CN103269276A - 一种实现组成员设备通信的方法和设备 - Google Patents
一种实现组成员设备通信的方法和设备 Download PDFInfo
- Publication number
- CN103269276A CN103269276A CN2013101965515A CN201310196551A CN103269276A CN 103269276 A CN103269276 A CN 103269276A CN 2013101965515 A CN2013101965515 A CN 2013101965515A CN 201310196551 A CN201310196551 A CN 201310196551A CN 103269276 A CN103269276 A CN 103269276A
- Authority
- CN
- China
- Prior art keywords
- equipment
- group
- gdoi
- territory
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种实现组成员(GM)设备通信的方法,该方法包括:不为密钥服务器(KS)组中优先级最高的KS,在接收到配置全局互通注册ID域中的群组解释域(GDOI)组ID的GM设备的注册信息时,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,将获得的安全策略同该GM设备协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。基于同样的发明构思,本申请还提出一种设备,能够使不同域内的GM设备通过使用相同的安全策略进行跨域通信,并且能够实现域内可管理成员的大量线性扩充。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种实现组成员设备通信的方法和设备。
背景技术
传统的IPsec VPN是一种点到点的隧道连接,而组域虚拟专用网络(GroupDomain Virtual Private Network,GD VPN)是一种点到多点的无隧道连接。GD VPN主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。
GD VPN提供了一种基于组的IPsec安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的安全策略及密钥。GD VPN由密钥服务器(KeyServer,KS)和组成员(Group Member,GM)组成。其中,KS通过划分不同的组来管理不同的安全策略和密钥;GM通过加入相应的组,从KS获取安全策略及密钥,并负责对数据流量加密和解密。
GD VPN提供了一种群组成员间多点加密通信的方案,群组成员都向指定的KS服务器进行注册,KS向GM下发加密安全策略及密钥,并负责维护密钥的更新,同一个KS可以管理多个群组解释域(Group Domain of Interpretation,GDOI)组,也就是能够同时支持对多个群组加密通信的集中管理。目前,GD VPN是一个集中控制管理方案,GM只能向一个KS注册,加入一个GDOI组,一个接口只能应用一个IPSec安全策略组。
大型用户网络是分域管理的,包括服务器和网络设备,分布在不同管理域的设备如要利用GD VPN进行加密通信难度非常大,通常一个网络域的管理员不会允许本域的设备直接向其它网络域的服务器注册获取密钥信息,因此,现有的GD VPN网络还不能满足不同域内的GM进行通信的需求。并且一个域内由一个KS管理GM设备,KS的管理性能是有上限的,当该KS管理的GM设备的数量超过性能上限时,无法继续平滑扩充。
发明内容
有鉴于此,本申请提供一种实现组成员设备通信的方法和设备,能够使不同域内的GM设备通过使用相同的安全策略进行跨域通信,并且能够实现域内可管理成员的大量线性扩充。
为解决上述技术问题,本发明的技术方案是这样实现的:
一种实现组成员GM设备通信的方法,该方法应用于包含多个KS和GM设备的组网中的任一KS上,其特征在于,该KS配置全局互通注册ID域,该KS配置KS组,在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组,以及本KS在该GDOI组中对应的优先级,并通告该KS组中的其他KS;该KS获得该KS组中其他KS通告的GDOI组ID和对应优先级;包括:
该KS若不为该KS组中优先级最高的KS,当接收到GM设备的注册信息时,若该注册信息中的GDOI组ID为所述全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。
一种设备,可应用为包含多个KS和GM设备的组网中的任一KS,其特征在于,该设备包括:配置单元、接收单元和处理单元;
所述配置单元,用于配置全局互通注册ID域,配置KS组,在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组,以及本KS在该GDOI组中对应的优先级;并通告该KS组中的其他KS;获得该KS组中其他KS通告的GDOI组ID和对应优先级;
所述接收单元,用于接收GM设备发送的注册信息;
所述处理单元,用于当本设备若不为该KS组中优先级最高的KS,所述接收单元接收到GM设备的注册信息时,若该注册信息中的GDOI组ID为所述配置单元配置的全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。
综上所述,本申请通过不为KS组中优先级最高的KS,在接收到配置全局互通注册ID域中的GDOI组ID的GM设备的注册信息时,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,将获得的安全策略同该GM设备协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。通过该方法能够使不同域内的GM设备通过使用相同的安全策略进行跨域通信,并且能够实现域内可管理成员的大量线性扩充。
附图说明
图1为本发明实施例一中KS组中优先级不是最高的KS实现GM设备跨域通信的方法流程示意图;
图2为本发明实施例二中优先级不是最高的KS实现同一域内不同KS管理的GM设备之间通信的方法流程示意图;
图3为本发明具体实施例中实现GM设备跨域通信的组网示意图;
图4为本发明具体实施例中应用于上述技术的设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案作进一步地详细说明。
本发明实施例中提出一种实现GM设备通信的方法,该方法应用于包含多个不同域的KS和GM设备的组网中的任一KS上,该组网中任一KS配置全局互通注册ID域,KS组,在该KS组中配置GDOI组,以及本KS在该GDOI组中对应的优先级;该KS为该GDOI组分配所述全局互通注册ID域中的GDOI组ID,并通告该KS组中的其他KS,该KS获得该KS组中其他KS通告的GDOI组ID和对应优先级。
该KS若不为该KS组中优先级最高的KS,在接收到配置全局互通注册ID域中的GDOI组ID的GM设备的注册信息时,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,将获得的安全策略同该GM设备协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。通过该方法,不同域内的GM设备可以通过使用相同的安全策略进行跨域通信,并且能够实现域内可管理成员的大量线性扩充。
该组网中的KS和GM设备全网路由可达。预先配置全局互通注册ID域,如包含数值1-100的域,对于该组网中需要全局通信的GM设备配置该全局互通注册ID域中的GDOI组ID,在注册时,使用配置的GDOI组ID,即在为各GM设备配置GDOI组ID时,需要全局互通的、且在一个GDOI组的GM设备,分配相同的全局互通注册ID域中的GDOI组ID;对于只与本域内的同一KS管理的GM设备通信的设备,不分配该全局互通注册ID域内的GDOI组ID,分配配置的全局互通注册ID域之外的GDOI组ID,如大于100的整数。
该组网中的任一KS可以在本地配置多个KS组,并在任一KS组中配置多个GDOI组。本发明具体实施例中以配置一个KS组1,并在该KS组1中配置1的GDOI组5为例。对配置的GDOI组分配的GDOI组ID为全局互通注册ID域中的GDOI组ID为了实现某些GM设备全局互通的需要。
KS组1中的KS还需要配置本KS在GDOI组中的优先级。配置完成后,KS组中的各KS需要互相通告配置信息。包括:本KS所在的KS组的ID、该KS组中的GDOI组ID,以及本KS在各GDOI组中对应的优先级。
为了实现各KS之间的配置信息的同步,任一KS配置同本KS属于同一KS组的其他KS的IP地址,通过配置的IP地址向对应的KS进行配置信息的通告。
任一KS接收到其他KS同步的KS组ID、GDOI组ID和优先级时,在进行全局信息同步时,根据接收的优先级值确定向哪台KS同步,以及需要同步的GDOI组ID,本发明具体实施例中选择向优先级最高的KS同步安全策略。安全策略包括:保护的数据流信息、加密算法、认证算法、封装模式等。
实施例一
以KS组中的各KS为不同域中的KS为例,结合附图详细描述如何实现GM设备跨域通信。
参见图1,图1为本发明实施例一中KS组中优先级不是最高的KS实现GM设备跨域通信的方法流程示意图。具体步骤为:
步骤101,组网中任一KS若不为KS组中优先级最高的KS,接收到GM设备的注册信息。
步骤102,若该注册信息中的GDOI组ID为所述全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行跨域通信,结束本流程。
本步骤中当该GM设备的注册信息中的GDOI组ID为全局互通注册ID域中的GDOI组ID时,确定该GM设备需要全局通信,不会立即下发安全策略,而是与优先级最高的KS通信,获得优先级最高的KS上该GDOI组ID对应的安全策略,获得该安全策略后再向发送注册信息的GM设备下发安全策略。
本发明具体实施例中的注册信息同现有实现,包含GM设备的ID和GM设备的GDOI组ID。
步骤103,若该注册信息中的GDOI组ID不为所述全局互通注册ID域中的GDOI组ID,根据该注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
本步骤中,该KS若接收到的注册信息中的GDOI组ID为普通ID,即不为全局互通注册ID域中的GDOI组ID时,同现有实现,在本地获取对应的安全策略进行下发。
该KS若为该KS组中优先级最高的KS,当接收到GM设备的注册信息时,根据该GM设备的注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
对于一个KS组中优先级最高的KS,接收到GM设备的注册进行时,该GM设备的注册信息中的GDOI组ID是否为配置的全局互通注册ID域内的GDOI组ID,都会从本地获取GDOI组ID对应的安全策略。
通过本发明上述具体实施例的实现,该KS管理的GM设备,还会跨域与其他KS管理的GM设备通信,如果该KS不知道与本域中GM设备通信的GM设备,不利于管理。因此本发明具体实施例中,在向本KS注册成功的GM设备的GDOI组ID,为所述全局互通注册ID域中的GDOI组ID时,该KS将该GM设备的注册信息同步给该KS组中的其他KS,使其他KS获知与域内GM设备跨域通信的GM设备。
同样道理,该KS也会接收到其他KS同步的GM设备的注册信息,因此KS组中的任一KS能够更好地管理本KS所在域中各GM设备,并知道域内哪个GM设备与域外的哪个GM设备进行跨域通信。
实施例二
由于同一个域内,一个KS达到GM管理性能上限时,本发明具体实施例中可以进行线性扩容,来增加一个KS,并与该域中原KS配置在一个KS组中,来实现分担管理该域中的GM设备。具体实现如下:
当该KS达到GM管理性能上限时,在该KS所管理的域中增加KS。
该KS将本KS同该增加的KS配置到一个KS组中,并将本KS的配置信息同步给该增加的KS,使该增加的KS配置低于本KS优先级的优先级,分担管理该KS所管理的域中的GM设备。
由于配置新增加的KS的优先级小于本域中原先存在的KS,并且这两个KS在同一KS组中,并且其他配置相同,新增加的KS完全可以为原KS分担管理该域中的GM设备。
以KS组中的各KS为同一域中的KS为例,结合附图详细描述同一域内不同KS管理的GM设备之间如何通信。
参见图2,图2为本发明实施例二中优先级不是最高的KS实现同一域内不同KS管理的GM设备之间通信的方法流程示意图。具体步骤为:
步骤201,组网中任一KS若不为KS组中优先级最高的KS,接收到GM设备的注册信息。
步骤202,若该注册信息中的GDOI组ID为所述全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信,结束本流程。
本步骤中当该GM设备的注册信息中的GDOI组ID为全局互通注册ID域中的GDOI组ID时,确定该GM设备需要与全局通信,不会立即下发安全策略,而是与优先级最高的KS通信,获得优先级最高的KS上该GDOI组ID对应的安全策略,获得该安全策略后再向发送注册信息的GM设备下发安全策略。
本发明具体实施例中的注册信息同现有实现,包含GM设备的ID和GM设备的GDOI组ID。
步骤103,若该注册信息中的GDOI组ID不为所述全局互通注册ID域中的GDOI组ID,根据该注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
本步骤中,该KS若接收到的注册信息中的GDOI组ID为普通ID,即不为全局互通注册ID域中的GDOI组ID时,同现有实现,在本地获取对应的安全策略进行下发。
该KS若为该KS组中优先级最高的KS,当接收到GM设备的注册信息时,根据该GM设备的注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
对于一个KS组中优先级最高的KS,接收到GM设备的注册进行时,该GM设备的注册信息中的GDOI组ID是否为配置的全局互通注册ID域内的GDOI组ID,都会从本地获取GDOI组ID对应的安全策略。
该实施例中,对于同一个域内,一个KS达到GM管理性能上限后,再增加KS来满足需要扩容的需要,新增加的KS与该域内原先存在的KS配置到一个KS组中,并在该实施例中给出了同一KS组中各KS处理各GM设备的注册信息的过程,因此,通过该实施例能够支持对超大规模GM管理时的KS性能提升和网络平滑扩容,扩容后的网络中不同KS管理的GM设备之间也可以通过相同的安全策略进行通信。
实施例三
下面结合附图,详细说明本发明具体实施例中如何实现GM设备跨域通信的。
参见图3,图3为本发明具体实施例中实现GM设备跨域通信的组网示意图。图3中有三个网络管理域,每个管理域内部署了一台KS对GM设备进行管理。在KS1管理的域内R1、R2和R3,在KS2管理的域内R4,以及在KS3管理的域内R5需要跨域通信,KS3管理的R6和R7在域内通信。
KS1在本地配置全局互通注册ID域,该域中的GDOI组ID为1-100,配置KS组1,在KS组1中配置一个GDOI组,为该GDOI组分配一个全局互通注册ID域中的GDOI组ID11,并配置KS1在GDOI组11中对应的优先级值为5。KS1还配置KS组1中其他KS的ID地址:KS2的IP地址和KS3的IP地址。
KS1知道KS2和KS3的IP地址,将配置的KS组ID1,GDOI组ID11,以及优先级值5分别通知给KS2和KS3。
KS2和KS3与KS1的配置类似,只是配置不同的优先级,以确定最终向谁同步全局同步信息,安全策略。
假设KS2配置的优先级值为3,KS3配置的优先级值为1。KS1获得KS2和KS3通告的配置信息后,获知本KS不需要向其他KS获取安全策略,根据本地配置进行下发。KS2或KS3接收到KS组1中其他KS通告的配置信息时,获知KS组1中标识为1的GDOI组中GM设备需要的安全策略需要向优先级最高的KS1获取。
KS1接收到R1、R2或R3发送的注册信息时,根据注册信息中的GDOI组ID对应的安全策略,与R1、R2或R3进行协商并下发。
KS1确定注册信息中的GDOI组ID为11,由于11为全局互通注册ID域中的GDOI组ID,因此,将R1、R2或R3的注册信息同步给KS2和KS3。
KS3接收到R5发送的注册信息,确定注册信息中的GDOI组ID为11,由于11为全局互通注册ID域中的GDOI组ID,KS3不直接下发安全策略,与KS1进行通信,获取KS1上GDOI组ID为11对应的安全策略,同R5进行协商,并将从KS1上获取的安全策略下发给R5。同时,将R5的注册信息同步给KS1和KS2。
KS2接收到R4的注册信息时,与KS3接收R5的注册信息时处理过程类似,这里不再一一举例。
当R1、R2、R3、R4和R5都注册成功后,可以使用获得的安全策略中相同的全局密钥进行跨域通信。
KS3接收到R6或R7发送的注册信息时,确定注册信息中的GDOI组ID为120,由于120不为全局互通注册ID域中的GDOI组ID,直接根据注册信息中的GDOI组ID在本地查找对应的安全策略,同R6或R7进行协商,并下发查找到的安全策略。并且不将R6或R7的注册信息同步给其他KS。
当R6和R7都注册成功时,R6和R7可以在KS3管理的域内进行通信。
本发明具体实施例中基于同样的发明构思,还提出一种设备,该设备可应用为包含多个KS和GM设备的组网中的任一KS。参见图4,图4为本发明具体实施例中应用于上述技术的设备的结构示意图。该设备包括:配置单元401、接收单元402和处理单元403。
配置单元401,用于配置全局互通注册ID域,配置KS组,在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组,以及本KS在该GDOI组中对应的优先级;并通告该KS组中的其他KS;获得该KS组中其他KS通告的GDOI组ID和对应优先级。
接收单元402,用于接收GM设备发送的注册信息。
处理单元403,用于当本设备若不为该KS组中优先级最高的KS,接收单元402接收到GM设备的注册信息时,若该注册信息中的GDOI组ID为配置单元401配置的全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。
较佳地,
处理单元403,进一步用于若确定该注册信息中的GDOI组ID不为所述全局互通注册ID域中的GDOI组ID,根据该注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
较佳地,
处理单元403,进一步用于本设备若为该KS组中优先级最高的KS,当接收单元402接收到GM设备的注册信息时,根据该GM设备的注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
较佳地,
处理单元403,进一步用于若向本设备注册成功的GM设备的GDOI组ID,为所述全局互通注册ID域中的GDOI组ID时,将该GM设备的注册信息同步给该KS组中的其他KS,使其他KS获知与域内GM设备通信的GM设备。
较佳地,
处理单元403,进一步用于当确定本设备达到GM管理性能上限时,在本设备所管理的域中增加KS;将本设备同该增加的KS配置到一个KS组中,并将本设备的配置信息同步给该增加的KS,使该增加的KS配置低于本设备优先级的优先级,分担管理本设备所管理的域中的GM设备。
上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单元。
综上所述,本发明具体实施例中该组网中任一KS若不为该KS组中优先级最高的KS,在接收到配置全局互通注册ID域中的GDOI组ID的GM设备的注册信息时,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略;同该GM设备协商并将获得的安全策略下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。通过该方法,不同域内的GM设备可以通过使用相同的安全策略进行跨域通信,并且通过在域中增加KS能够支持超大规模GM管理时的KS性能提升和网络平滑扩容。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种实现组成员GM设备通信的方法,该方法应用于包含多个密钥服务器KS和GM设备的组网中的任一KS上,其特征在于,该KS配置全局互通注册标识ID域,该KS配置KS组,在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组,以及本KS在该GDOI组中对应的优先级,并通告该KS组中的其他KS;该KS获得该KS组中其他KS通告的GDOI组ID和对应优先级;包括:
该KS若不为该KS组中优先级最高的KS,当接收到GM设备的注册信息时,若该注册信息中的GDOI组ID为所述全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:若该注册信息中的GDOI组ID不为所述全局互通注册ID域中的GDOI组ID,根据该注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
该KS若为该KS组中优先级最高的KS,当接收到GM设备的注册信息时,根据该GM设备的注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述方法进一步包括:
若向本KS注册成功的GM设备的GDOI组ID,为所述全局互通注册ID域中的GDOI组ID时,该KS将该GM设备的注册信息同步给该KS组中的其他KS,使其他KS获知与域内GM设备通信的GM设备。
5.根据权利要求4所述的方法,其特征在于,所述方法进一步包括:
当该KS达到GM管理性能上限时,在该KS所管理的域中增加KS;
该KS将本KS同该增加的KS配置到一个KS组中,并将本KS的配置信息同步给该增加的KS,使该增加的KS配置低于本KS优先级的优先级,分担管理该KS所管理的域中的GM设备。
6.一种设备,可应用为包含多个密钥服务器KS和组成员GM设备的组网中的任一KS,其特征在于,该设备包括:配置单元、接收单元和处理单元;
所述配置单元,用于配置全局互通注册标识ID域;配置KS组,在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组,以及本KS在该GDOI组中对应的优先级;并通告该KS组中的其他KS;获得该KS组中其他KS通告的GDOI组ID和对应优先级;
所述接收单元,用于接收GM设备发送的注册信息;
所述处理单元,用于当本设备若不为该KS组中优先级最高的KS,所述接收单元接收到GM设备的注册信息时,若该注册信息中的GDOI组ID为所述配置单元配置的全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。
7.根据权利要求6所述的设备,其特征在于,
所述处理单元,进一步用于若确定该注册信息中的GDOI组ID不为所述全局互通注册ID域中的GDOI组ID,根据该注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
8.根据权利要求6所述的设备,其特征在于,
所述处理单元,进一步用于本设备若为该KS组中优先级最高的KS,当所述接收单元接收到GM设备的注册信息时,根据该GM设备的注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
9.根据权利要求6-8任意一项所述的设备,其特征在于,
所述处理单元,进一步用于若向本设备注册成功的GM设备的GDOI组ID,为所述全局互通注册ID域中的GDOI组ID时,将该GM设备的注册信息同步给该KS组中的其他KS,使其他KS获知与域内GM设备通信的GM设备。
10.根据权利要求9所述的设备,其特征在于,
所述处理单元,进一步用于当确定本设备达到GM管理性能上限时,在本设备所管理的域中增加KS;将本设备同该增加的KS配置到一个KS组中,并将本设备的配置信息同步给该增加的KS,使该增加的KS配置低于本设备优先级的优先级,分担管理本设备所管理的域中的GM设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310196551.5A CN103269276B (zh) | 2013-05-22 | 2013-05-22 | 一种实现组成员设备通信的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310196551.5A CN103269276B (zh) | 2013-05-22 | 2013-05-22 | 一种实现组成员设备通信的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103269276A true CN103269276A (zh) | 2013-08-28 |
| CN103269276B CN103269276B (zh) | 2016-03-16 |
Family
ID=49012886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310196551.5A Active CN103269276B (zh) | 2013-05-22 | 2013-05-22 | 一种实现组成员设备通信的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103269276B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168205A (zh) * | 2014-08-06 | 2014-11-26 | 杭州华三通信技术有限公司 | 报文处理方法及装置 |
| CN104270350A (zh) * | 2014-09-19 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种密钥信息的传输方法和设备 |
| WO2017004993A1 (zh) * | 2015-07-06 | 2017-01-12 | 中兴通讯股份有限公司 | 一种多密钥服务器备份的方法及设备、密钥服务器 |
| CN108683637A (zh) * | 2018-04-16 | 2018-10-19 | 新华三技术有限公司 | 用于组成员的注册方法及装置 |
| CN112910639A (zh) * | 2021-02-05 | 2021-06-04 | 北京邮电大学 | 多域场景下的量子加密业务传输方法及相关设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106449A (zh) * | 2006-07-13 | 2008-01-16 | 华为技术有限公司 | 实现多方通信安全的系统和方法 |
| CN101355425A (zh) * | 2007-07-24 | 2009-01-28 | 华为技术有限公司 | 组密钥管理中实现新组员注册的方法、装置及系统 |
| US20090271612A1 (en) * | 2006-08-15 | 2009-10-29 | Huawei Technologies Co., Ltd. | Method, system and device for realizing multi-party communication security |
| CN102904901A (zh) * | 2012-10-29 | 2013-01-30 | 杭州华三通信技术有限公司 | 同步IPsec SA的方法、组成员及组密钥服务器 |
-
2013
- 2013-05-22 CN CN201310196551.5A patent/CN103269276B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106449A (zh) * | 2006-07-13 | 2008-01-16 | 华为技术有限公司 | 实现多方通信安全的系统和方法 |
| US20090271612A1 (en) * | 2006-08-15 | 2009-10-29 | Huawei Technologies Co., Ltd. | Method, system and device for realizing multi-party communication security |
| CN101355425A (zh) * | 2007-07-24 | 2009-01-28 | 华为技术有限公司 | 组密钥管理中实现新组员注册的方法、装置及系统 |
| CN102904901A (zh) * | 2012-10-29 | 2013-01-30 | 杭州华三通信技术有限公司 | 同步IPsec SA的方法、组成员及组密钥服务器 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168205A (zh) * | 2014-08-06 | 2014-11-26 | 杭州华三通信技术有限公司 | 报文处理方法及装置 |
| CN104168205B (zh) * | 2014-08-06 | 2017-08-08 | 新华三技术有限公司 | 报文处理方法及装置 |
| CN104270350A (zh) * | 2014-09-19 | 2015-01-07 | 杭州华三通信技术有限公司 | 一种密钥信息的传输方法和设备 |
| WO2017004993A1 (zh) * | 2015-07-06 | 2017-01-12 | 中兴通讯股份有限公司 | 一种多密钥服务器备份的方法及设备、密钥服务器 |
| CN106341366A (zh) * | 2015-07-06 | 2017-01-18 | 中兴通讯股份有限公司 | 一种多密钥服务器备份的方法及设备、密钥服务器 |
| CN108683637A (zh) * | 2018-04-16 | 2018-10-19 | 新华三技术有限公司 | 用于组成员的注册方法及装置 |
| CN112910639A (zh) * | 2021-02-05 | 2021-06-04 | 北京邮电大学 | 多域场景下的量子加密业务传输方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103269276B (zh) | 2016-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103490891B (zh) | 一种电网ssl vpn中密钥更新和使用的方法 | |
| CN103269276A (zh) | 一种实现组成员设备通信的方法和设备 | |
| CN105580339B (zh) | 用于端到端m2m服务层会话的方法与设备 | |
| CN109413194B (zh) | 用于移动通信系统的用户信息云端协同处理及转移方法 | |
| CN106972922B (zh) | 一种基于量子密钥分配网络的移动保密通信方法 | |
| CN108259469A (zh) | 一种基于区块链的集群安全认证方法、一种节点及集群 | |
| CN109660337A (zh) | 一种量子与经典融合的通信网络系统及其密钥分发方法 | |
| CN109842485A (zh) | 一种有中心的量子密钥服务网络系统 | |
| JP2013157693A (ja) | 暗号通信システム、通信装置、鍵配布装置、暗号通信方法 | |
| CN103401905B (zh) | 基于移动智能终端的电网调度移动应用平台系统 | |
| CN109842442B (zh) | 一种以机场为区域中心的量子密钥服务方法 | |
| CN109995514A (zh) | 一种安全高效的量子密钥移动服务方法 | |
| KR20120062859A (ko) | Wlan 접속 인증을 기반으로 하는 서비스에 액세스하는 방법, 시스템 및 장치 | |
| CN111342952B (zh) | 一种安全高效的量子密钥服务方法与系统 | |
| CN102904901A (zh) | 同步IPsec SA的方法、组成员及组密钥服务器 | |
| CN108667781A (zh) | 一种数字证书管理方法及设备 | |
| CN113839995A (zh) | 跨域资源纳管系统、方法、设备及存储介质 | |
| CN101742491A (zh) | 一种移动设备与安全接入网关间密钥交换协商方法 | |
| CN109089288A (zh) | 一种数据传输的方法和设备 | |
| CN201387555Y (zh) | 一种综合远程监控系统 | |
| CN102742247B (zh) | 一种数据分路传输方法及装置、系统 | |
| CN110247925A (zh) | 配电自动化信息交互方法、系统、终端及存储介质 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| CN101448256A (zh) | 一种移动多媒体广播业务运营管理方法和系统 | |
| CN101425862A (zh) | 移动多媒体广播业务运营管理系统与方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230613 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |