一种实现组成员设备通信的方法和设备
技术领域
本申请涉及通信技术领域,特别涉及一种实现组成员设备通信的方法和设备。
背景技术
传统的IPsec VPN是一种点到点的隧道连接,而组域虚拟专用网络(GroupDomain Virtual Private Network,GD VPN)是一种点到多点的无隧道连接。GD VPN主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。
GD VPN提供了一种基于组的IPsec安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的安全策略及密钥。GD VPN由密钥服务器(KeyServer,KS)和组成员(Group Member,GM)组成。其中,KS通过划分不同的组来管理不同的安全策略和密钥;GM通过加入相应的组,从KS获取安全策略及密钥,并负责对数据流量加密和解密。
GD VPN提供了一种群组成员间多点加密通信的方案,群组成员都向指定的KS服务器进行注册,KS向GM下发加密安全策略及密钥,并负责维护密钥的更新,同一个KS可以管理多个群组解释域(Group Domain of Interpretation,GDOI)组,也就是能够同时支持对多个群组加密通信的集中管理。目前,GD VPN是一个集中控制管理方案,GM只能向一个KS注册,加入一个GDOI组,一个接口只能应用一个IPSec安全策略组。
大型用户网络是分域管理的,包括服务器和网络设备,分布在不同管理域的设备如要利用GD VPN进行加密通信难度非常大,通常一个网络域的管理员不会允许本域的设备直接向其它网络域的服务器注册获取密钥信息,因此,现有的GD VPN网络还不能满足不同域内的GM进行通信的需求。并且一个域内由一个KS管理GM设备,KS的管理性能是有上限的,当该KS管理的GM设备的数量超过性能上限时,无法继续平滑扩充。
发明内容
有鉴于此,本申请提供一种实现组成员设备通信的方法和设备,能够使不同域内的GM设备通过使用相同的安全策略进行跨域通信,并且能够实现域内可管理成员的大量线性扩充。
为解决上述技术问题,本发明的技术方案是这样实现的:
一种实现组成员GM设备通信的方法,该方法应用于包含多个KS和GM设备的组网中的任一KS上,其特征在于,该KS配置全局互通注册ID域,该KS配置KS组,在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组,以及本KS在该GDOI组中对应的优先级,并通告该KS组中的其他KS;该KS获得该KS组中其他KS通告的GDOI组ID和对应优先级;包括:
该KS若不为该KS组中优先级最高的KS,当接收到GM设备的注册信息时,若该注册信息中的GDOI组ID为所述全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。
一种设备,可应用为包含多个KS和GM设备的组网中的任一KS,其特征在于,该设备包括:配置单元、接收单元和处理单元;
所述配置单元,用于配置全局互通注册ID域,配置KS组,在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组,以及本KS在该GDOI组中对应的优先级;并通告该KS组中的其他KS;获得该KS组中其他KS通告的GDOI组ID和对应优先级;
所述接收单元,用于接收GM设备发送的注册信息;
所述处理单元,用于当本设备若不为该KS组中优先级最高的KS,所述接收单元接收到GM设备的注册信息时,若该注册信息中的GDOI组ID为所述配置单元配置的全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。
综上所述,本申请通过不为KS组中优先级最高的KS,在接收到配置全局互通注册ID域中的GDOI组ID的GM设备的注册信息时,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,将获得的安全策略同该GM设备协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。通过该方法能够使不同域内的GM设备通过使用相同的安全策略进行跨域通信,并且能够实现域内可管理成员的大量线性扩充。
附图说明
图1为本发明实施例一中KS组中优先级不是最高的KS实现GM设备跨域通信的方法流程示意图;
图2为本发明实施例二中优先级不是最高的KS实现同一域内不同KS管理的GM设备之间通信的方法流程示意图;
图3为本发明具体实施例中实现GM设备跨域通信的组网示意图;
图4为本发明具体实施例中应用于上述技术的设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案作进一步地详细说明。
本发明实施例中提出一种实现GM设备通信的方法,该方法应用于包含多个不同域的KS和GM设备的组网中的任一KS上,该组网中任一KS配置全局互通注册ID域,KS组,在该KS组中配置GDOI组,以及本KS在该GDOI组中对应的优先级;该KS为该GDOI组分配所述全局互通注册ID域中的GDOI组ID,并通告该KS组中的其他KS,该KS获得该KS组中其他KS通告的GDOI组ID和对应优先级。
该KS若不为该KS组中优先级最高的KS,在接收到配置全局互通注册ID域中的GDOI组ID的GM设备的注册信息时,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,将获得的安全策略同该GM设备协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。通过该方法,不同域内的GM设备可以通过使用相同的安全策略进行跨域通信,并且能够实现域内可管理成员的大量线性扩充。
该组网中的KS和GM设备全网路由可达。预先配置全局互通注册ID域,如包含数值1-100的域,对于该组网中需要全局通信的GM设备配置该全局互通注册ID域中的GDOI组ID,在注册时,使用配置的GDOI组ID,即在为各GM设备配置GDOI组ID时,需要全局互通的、且在一个GDOI组的GM设备,分配相同的全局互通注册ID域中的GDOI组ID;对于只与本域内的同一KS管理的GM设备通信的设备,不分配该全局互通注册ID域内的GDOI组ID,分配配置的全局互通注册ID域之外的GDOI组ID,如大于100的整数。
该组网中的任一KS可以在本地配置多个KS组,并在任一KS组中配置多个GDOI组。本发明具体实施例中以配置一个KS组1,并在该KS组1中配置1的GDOI组5为例。对配置的GDOI组分配的GDOI组ID为全局互通注册ID域中的GDOI组ID为了实现某些GM设备全局互通的需要。
KS组1中的KS还需要配置本KS在GDOI组中的优先级。配置完成后,KS组中的各KS需要互相通告配置信息。包括:本KS所在的KS组的ID、该KS组中的GDOI组ID,以及本KS在各GDOI组中对应的优先级。
为了实现各KS之间的配置信息的同步,任一KS配置同本KS属于同一KS组的其他KS的IP地址,通过配置的IP地址向对应的KS进行配置信息的通告。
任一KS接收到其他KS同步的KS组ID、GDOI组ID和优先级时,在进行全局信息同步时,根据接收的优先级值确定向哪台KS同步,以及需要同步的GDOI组ID,本发明具体实施例中选择向优先级最高的KS同步安全策略。安全策略包括:保护的数据流信息、加密算法、认证算法、封装模式等。
实施例一
以KS组中的各KS为不同域中的KS为例,结合附图详细描述如何实现GM设备跨域通信。
参见图1,图1为本发明实施例一中KS组中优先级不是最高的KS实现GM设备跨域通信的方法流程示意图。具体步骤为:
步骤101,组网中任一KS若不为KS组中优先级最高的KS,接收到GM设备的注册信息。
步骤102,若该注册信息中的GDOI组ID为所述全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行跨域通信,结束本流程。
本步骤中当该GM设备的注册信息中的GDOI组ID为全局互通注册ID域中的GDOI组ID时,确定该GM设备需要全局通信,不会立即下发安全策略,而是与优先级最高的KS通信,获得优先级最高的KS上该GDOI组ID对应的安全策略,获得该安全策略后再向发送注册信息的GM设备下发安全策略。
本发明具体实施例中的注册信息同现有实现,包含GM设备的ID和GM设备的GDOI组ID。
步骤103,若该注册信息中的GDOI组ID不为所述全局互通注册ID域中的GDOI组ID,根据该注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
本步骤中,该KS若接收到的注册信息中的GDOI组ID为普通ID,即不为全局互通注册ID域中的GDOI组ID时,同现有实现,在本地获取对应的安全策略进行下发。
该KS若为该KS组中优先级最高的KS,当接收到GM设备的注册信息时,根据该GM设备的注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
对于一个KS组中优先级最高的KS,接收到GM设备的注册进行时,该GM设备的注册信息中的GDOI组ID是否为配置的全局互通注册ID域内的GDOI组ID,都会从本地获取GDOI组ID对应的安全策略。
通过本发明上述具体实施例的实现,该KS管理的GM设备,还会跨域与其他KS管理的GM设备通信,如果该KS不知道与本域中GM设备通信的GM设备,不利于管理。因此本发明具体实施例中,在向本KS注册成功的GM设备的GDOI组ID,为所述全局互通注册ID域中的GDOI组ID时,该KS将该GM设备的注册信息同步给该KS组中的其他KS,使其他KS获知与域内GM设备跨域通信的GM设备。
同样道理,该KS也会接收到其他KS同步的GM设备的注册信息,因此KS组中的任一KS能够更好地管理本KS所在域中各GM设备,并知道域内哪个GM设备与域外的哪个GM设备进行跨域通信。
实施例二
由于同一个域内,一个KS达到GM管理性能上限时,本发明具体实施例中可以进行线性扩容,来增加一个KS,并与该域中原KS配置在一个KS组中,来实现分担管理该域中的GM设备。具体实现如下:
当该KS达到GM管理性能上限时,在该KS所管理的域中增加KS。
该KS将本KS同该增加的KS配置到一个KS组中,并将本KS的配置信息同步给该增加的KS,使该增加的KS配置低于本KS优先级的优先级,分担管理该KS所管理的域中的GM设备。
由于配置新增加的KS的优先级小于本域中原先存在的KS,并且这两个KS在同一KS组中,并且其他配置相同,新增加的KS完全可以为原KS分担管理该域中的GM设备。
以KS组中的各KS为同一域中的KS为例,结合附图详细描述同一域内不同KS管理的GM设备之间如何通信。
参见图2,图2为本发明实施例二中优先级不是最高的KS实现同一域内不同KS管理的GM设备之间通信的方法流程示意图。具体步骤为:
步骤201,组网中任一KS若不为KS组中优先级最高的KS,接收到GM设备的注册信息。
步骤202,若该注册信息中的GDOI组ID为所述全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信,结束本流程。
本步骤中当该GM设备的注册信息中的GDOI组ID为全局互通注册ID域中的GDOI组ID时,确定该GM设备需要与全局通信,不会立即下发安全策略,而是与优先级最高的KS通信,获得优先级最高的KS上该GDOI组ID对应的安全策略,获得该安全策略后再向发送注册信息的GM设备下发安全策略。
本发明具体实施例中的注册信息同现有实现,包含GM设备的ID和GM设备的GDOI组ID。
步骤103,若该注册信息中的GDOI组ID不为所述全局互通注册ID域中的GDOI组ID,根据该注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
本步骤中,该KS若接收到的注册信息中的GDOI组ID为普通ID,即不为全局互通注册ID域中的GDOI组ID时,同现有实现,在本地获取对应的安全策略进行下发。
该KS若为该KS组中优先级最高的KS,当接收到GM设备的注册信息时,根据该GM设备的注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
对于一个KS组中优先级最高的KS,接收到GM设备的注册进行时,该GM设备的注册信息中的GDOI组ID是否为配置的全局互通注册ID域内的GDOI组ID,都会从本地获取GDOI组ID对应的安全策略。
该实施例中,对于同一个域内,一个KS达到GM管理性能上限后,再增加KS来满足需要扩容的需要,新增加的KS与该域内原先存在的KS配置到一个KS组中,并在该实施例中给出了同一KS组中各KS处理各GM设备的注册信息的过程,因此,通过该实施例能够支持对超大规模GM管理时的KS性能提升和网络平滑扩容,扩容后的网络中不同KS管理的GM设备之间也可以通过相同的安全策略进行通信。
实施例三
下面结合附图,详细说明本发明具体实施例中如何实现GM设备跨域通信的。
参见图3,图3为本发明具体实施例中实现GM设备跨域通信的组网示意图。图3中有三个网络管理域,每个管理域内部署了一台KS对GM设备进行管理。在KS1管理的域内R1、R2和R3,在KS2管理的域内R4,以及在KS3管理的域内R5需要跨域通信,KS3管理的R6和R7在域内通信。
KS1在本地配置全局互通注册ID域,该域中的GDOI组ID为1-100,配置KS组1,在KS组1中配置一个GDOI组,为该GDOI组分配一个全局互通注册ID域中的GDOI组ID11,并配置KS1在GDOI组11中对应的优先级值为5。KS1还配置KS组1中其他KS的ID地址:KS2的IP地址和KS3的IP地址。
KS1知道KS2和KS3的IP地址,将配置的KS组ID1,GDOI组ID11,以及优先级值5分别通知给KS2和KS3。
KS2和KS3与KS1的配置类似,只是配置不同的优先级,以确定最终向谁同步全局同步信息,安全策略。
假设KS2配置的优先级值为3,KS3配置的优先级值为1。KS1获得KS2和KS3通告的配置信息后,获知本KS不需要向其他KS获取安全策略,根据本地配置进行下发。KS2或KS3接收到KS组1中其他KS通告的配置信息时,获知KS组1中标识为1的GDOI组中GM设备需要的安全策略需要向优先级最高的KS1获取。
KS1接收到R1、R2或R3发送的注册信息时,根据注册信息中的GDOI组ID对应的安全策略,与R1、R2或R3进行协商并下发。
KS1确定注册信息中的GDOI组ID为11,由于11为全局互通注册ID域中的GDOI组ID,因此,将R1、R2或R3的注册信息同步给KS2和KS3。
KS3接收到R5发送的注册信息,确定注册信息中的GDOI组ID为11,由于11为全局互通注册ID域中的GDOI组ID,KS3不直接下发安全策略,与KS1进行通信,获取KS1上GDOI组ID为11对应的安全策略,同R5进行协商,并将从KS1上获取的安全策略下发给R5。同时,将R5的注册信息同步给KS1和KS2。
KS2接收到R4的注册信息时,与KS3接收R5的注册信息时处理过程类似,这里不再一一举例。
当R1、R2、R3、R4和R5都注册成功后,可以使用获得的安全策略中相同的全局密钥进行跨域通信。
KS3接收到R6或R7发送的注册信息时,确定注册信息中的GDOI组ID为120,由于120不为全局互通注册ID域中的GDOI组ID,直接根据注册信息中的GDOI组ID在本地查找对应的安全策略,同R6或R7进行协商,并下发查找到的安全策略。并且不将R6或R7的注册信息同步给其他KS。
当R6和R7都注册成功时,R6和R7可以在KS3管理的域内进行通信。
本发明具体实施例中基于同样的发明构思,还提出一种设备,该设备可应用为包含多个KS和GM设备的组网中的任一KS。参见图4,图4为本发明具体实施例中应用于上述技术的设备的结构示意图。该设备包括:配置单元401、接收单元402和处理单元403。
配置单元401,用于配置全局互通注册ID域,配置KS组,在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组,以及本KS在该GDOI组中对应的优先级;并通告该KS组中的其他KS;获得该KS组中其他KS通告的GDOI组ID和对应优先级。
接收单元402,用于接收GM设备发送的注册信息。
处理单元403,用于当本设备若不为该KS组中优先级最高的KS,接收单元402接收到GM设备的注册信息时,若该注册信息中的GDOI组ID为配置单元401配置的全局互通注册ID域中的GDOI组ID,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。
较佳地,
处理单元403,进一步用于若确定该注册信息中的GDOI组ID不为所述全局互通注册ID域中的GDOI组ID,根据该注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
较佳地,
处理单元403,进一步用于本设备若为该KS组中优先级最高的KS,当接收单元402接收到GM设备的注册信息时,根据该GM设备的注册信息中的GDOI组ID在本地获得对应的安全策略,同该GM设备进行协商并下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同GDOI组ID的GM设备进行通信。
较佳地,
处理单元403,进一步用于若向本设备注册成功的GM设备的GDOI组ID,为所述全局互通注册ID域中的GDOI组ID时,将该GM设备的注册信息同步给该KS组中的其他KS,使其他KS获知与域内GM设备通信的GM设备。
较佳地,
处理单元403,进一步用于当确定本设备达到GM管理性能上限时,在本设备所管理的域中增加KS;将本设备同该增加的KS配置到一个KS组中,并将本设备的配置信息同步给该增加的KS,使该增加的KS配置低于本设备优先级的优先级,分担管理本设备所管理的域中的GM设备。
上述实施例的单元可以集成于一体,也可以分离部署;可以合并为一个单元,也可以进一步拆分成多个子单元。
综上所述,本发明具体实施例中该组网中任一KS若不为该KS组中优先级最高的KS,在接收到配置全局互通注册ID域中的GDOI组ID的GM设备的注册信息时,向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略;同该GM设备协商并将获得的安全策略下发给该GM设备,使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。通过该方法,不同域内的GM设备可以通过使用相同的安全策略进行跨域通信,并且通过在域中增加KS能够支持超大规模GM管理时的KS性能提升和网络平滑扩容。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。