CN108683637A - 用于组成员的注册方法及装置 - Google Patents
用于组成员的注册方法及装置 Download PDFInfo
- Publication number
- CN108683637A CN108683637A CN201810338069.3A CN201810338069A CN108683637A CN 108683637 A CN108683637 A CN 108683637A CN 201810338069 A CN201810338069 A CN 201810338069A CN 108683637 A CN108683637 A CN 108683637A
- Authority
- CN
- China
- Prior art keywords
- registration
- load value
- registered
- register
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用于组成员的注册方法及装置。该方法包括:获取组成员GM中保存的多个密钥服务器KS的标识;根据每个KS的标识,确定与GM之间的链路为可用UP状态的至少一个第一KS;根据每个第一KS的标识,获取表示第一KS的注册负载情况的注册负载值;根据每个第一KS的注册负载值,确定可用于为GM进行注册的至少一个第二KS;根据每个第二KS的标识,向第二KS发起申请注册。本发明实施例的方法及装置,GM排除某些故障的KS或中间设备链路不通的KS,并在可用的KS中根据KS的注册负载值再次选择出适合进行注册的KS。由此能够缩短GM的注册时间,提高GM的注册效率,从而实现及时对需要受到保护的流量进行加密和解密,避免安全隐患。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种用于组成员的注册方法及装置。
背景技术
组域虚拟私有网络(英文:Group Domain Virtual Private Network,简写:GDVPN)是一种实现密钥和安全策略集中管理的解决方案。GDVPN是一种点到多点的无隧道连接,提供了一种基于组的网络协议安全(英文:Internet Protocol Security,简写:IPSec)模型。组是一个安全策略的集合,属于同一个组的各个成员共享相同的安全策略和密钥。
图1示出相关技术中的GDVPN组网的示意图。如图1所示,GDVPN可以由密钥服务器(英文:Key Server,简写:KS)和组成员(英文:Group Member,GM)组成。其中,KS通过划分不同的组,来管理不同的安全策略和密钥,GM通过加入相应的组,从KS获取该组的安全策略和密钥。
如图1所示,在GDVPN组网中,GM向KS的注册过程可以包括:
第一阶段,互联网密钥交换(Internet Key Exchange,简写:IKE)协商,包括:GM与KS进行协商,进行双方的身份认证,并在身份认证通过之后,生成用于保护第二阶段的互联网密钥交换安全联盟(英文:IKE Security Association,简写:IKE SA)。
第二阶段,组解释域(英文:Group Domain of Interpretation,简写:GDOI)协商,包括:GM向KS发送所在组的标识,例如组ID。KS根据GM所在组的标识向GM发送相应组的安全策略,例如需要受到保护的流量信息、加密算法、认证算法或封装模式等。GM对接收到的安全策略进行验证,如果安全策略可以接受,例如安全协议和加密算法可以支持,则向KS发送确认消息。KS在接收到GM发送的确认消息之后,向GM发送密钥信息,例如加密密钥的密钥(英文:Key Encryption Key,简写:KEK)、加密流量的密钥(英文:Traffic EncryptionKey,简写:TEK)等。在GM获取安全策略和密钥之后,GM可以对流量进行加密和解密。
相关技术中,GM上可以同时配置多个KS注册地址。GM按照配置顺序依次选择KS申请注册。如果GDVPN组网中存在故障或中间设备链路不通的KS,将会造成组成员GM的注册时间较长,注册效率较低。
发明内容
有鉴于此,本发明提出了一种用于组成员的注册方法及装置,以解决GDVPN组网中存在故障或中间设备链路不通的KS时造成组成员GM的注册时间较长的问题。
在第一方面,本发明提出了一种用于组成员的注册方法,所述方法用于组成员GM,所述方法包括:
获取GM中保存的多个密钥服务器KS的标识;
根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;
根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;
根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;
根据每个所述第二KS的标识,向所述第二KS发起申请注册。
结合第一方面,在第一种实现方式中,所述KS的标识为所述KS的IP地址;
所述根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS,包括:
根据每个所述KS的IP地址,分别向所述KS发送探测报文;
在接收到所述KS基于所述探测报文返回的应答报文时,将所述KS确定为与所述GM之间的链路为可用UP状态的第一KS。
结合第一方面,在第二种实现方式中,所述第一KS的标识为所述第一KS的IP地址;
所述根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值,包括:
根据每个所述第一KS的IP地址,分别向所述第一KS发送注册负载值请求;
接收每个所述第一KS基于所述注册负载值请求返回的表示所述第一KS的注册负载情况的注册负载值。
结合第一方面,在第三种实现方式中,所述注册负载值为表示注册资源使用情况的数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
对每个所述第一KS的注册负载值进行排序;
将注册负载值最小的第一KS确定为用于为所述GM进行注册的第二KS;
或
所述注册负载值为表示注册资源剩余情况的数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
对每个所述第一KS的注册负载值进行排序;
将注册负载值最大的第一KS确定为用于为所述GM进行注册的第二KS。
结合第一方面,在第四种实现方式中,所述注册负载值为表示注册资源使用情况的数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
将每个所述第一KS的注册负载值与第一注册负载阈值进行比较;
将注册负载值小于或等于第一注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS;
或
所述注册负载值为表示注册资源剩余情况的数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
将每个所述第一KS的注册负载值与第二注册负载阈值进行比较;
将注册负载值大于或等于第二注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS。
结合第一方面,在第五种实现方式中,在KS处于空闲状态时,KS的注册负载值为固定数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
将注册负载值为所述固定数值的第一KS确定为可用于为所述GM进行注册的第二KS。
在第二方面,本发明提供了一种用于组成员的注册装置,所述装置用于组成员GM,所述装置包括:
标识获取模块,用于获取GM中保存的多个密钥服务器KS的标识;
第一KS确定模块,用于根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;
注册负载值获取模块,用于根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;
第二KS确定模块,用于根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;
申请注册模块,用于根据每个所述第二KS的标识,向所述第二KS发起申请注册。
结合第二方面,在第一种实现方式中,所述KS的标识为所述KS的IP地址;
所述第一KS确定模块,包括:
探测报文发送子模块,用于根据每个所述KS的IP地址,分别向所述KS发送探测报文;
第一KS确定子模块,用于在接收到所述KS基于所述探测报文返回的应答报文时,将所述KS确定为与所述GM之间的链路为可用UP状态的第一KS。
结合第二方面,在第二种实现方式中,所述第一KS的标识为所述第一KS的IP地址;
所述注册负载值获取模块,包括:
注册负载值发送子模块,用于根据每个所述第一KS的IP地址,分别向所述第一KS发送注册负载值请求;
注册负载值接收子模块,用于接收每个所述第一KS基于所述注册负载值请求返回的表示所述第一KS的注册负载情况的注册负载值。
结合第二方面,在第三种实现方式中,所述注册负载值为表示注册资源使用情况的数值;
所述第二KS确定模块,包括:
排序子模块,用于对每个所述第一KS的注册负载值进行排序;
第二KS确定子模块,用于将注册负载值最小的第一KS确定为用于为所述GM进行注册的第二KS;
或
所述注册负载值为表示注册资源剩余情况的数值;
所述第二KS确定模块,包括:
排序子模块,用于对每个所述第一KS的注册负载值进行排序;
第二KS确定子模块,用于将注册负载值最大的第一KS确定为用于为所述GM进行注册的第二KS。
结合第二方面,在第四种实现方式中,所述注册负载值为表示注册资源使用情况的数值;
所述第二KS确定模块,包括:
比较子模块,用于将每个所述第一KS的注册负载值与第一注册负载阈值进行比较;
第二KS确定子模块,用于将注册负载值小于或等于第一注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS;
或
所述注册负载值为表示注册资源剩余情况的数值;
所述第二KS确定模块,包括:
比较子模块,用于将每个所述第一KS的注册负载值与第二注册负载阈值进行比较;
第二KS确定子模块,用于将注册负载值大于或等于第二注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS。
结合第二方面,在第五种实现方式中,在KS处于空闲状态时,KS的注册负载值为固定数值;
所述第二KS确定模块,包括:
第二KS确定子模块,用于将注册负载值为所述固定数值的第一KS确定为可用于为所述GM进行注册的第二KS。
在第三方面,本发明提供了一种用于组成员的注册装置,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现上述用于组成员的注册方法。
在第四方面,本发明提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述用于组成员的注册方法。
因此,通过应用本发明实施例提供的用于组成员的注册方法及装置,GM排除某些故障的KS或中间设备链路不通的KS,并在可用的KS中根据KS的注册负载值再次选择出适合进行注册的KS。由此能够缩短GM的注册时间,提高GM的注册效率,从而实现及时对需要受到保护的流量进行加密和解密,避免安全隐患。此外,根据KS的注册负载值,确定可用于为GM进行注册的KS,在存在大量GM同时注册时,能够极大地提高GM的注册效率以及KS间的负载分担效率。
根据下面参考附图对示例性实施例的详细说明,本发明的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本发明的示例性实施例、特征和方面,并且用于解释本发明的原理。
图1示出相关技术中的GDVPN组网的示意图;
图2示出相关技术中的GDVPN组网的示意图;
图3示出根据本发明一实施例的用于组成员的注册方法的流程图;
图4示出根据本发明一实施例的GDVPN组网的示意图;
图5示出根据本公开一实施例的用于组成员的注册装置的框图;
图6示出根据本公开一实施例的用于组成员的注册装置的框图;
图7示出根据本发明一实施例的用于组成员的注册装置的框图。
具体实施方式
以下将参考附图详细说明本发明的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本发明,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本发明同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本发明的主旨。
在GDVPN组网中,KS是密钥和安全策略的集中控制设备。通过部署多个协同工作的KS,提供KS的冗余备份和负载分担功能,从而提供高可靠性的支撑方案。多个协同工作的KS通过选举确定优先级最高的KS为主KS,其余的KS为备SK。主KS负责创建和维护密钥,并将生成的密钥、收集的GM的注册信息发送给该组中的各个备KS,以及对各个已经注册的GM进行更新密钥(英文:Rekey)。备KS自身不会生成密钥,它使用从主KS获得的密钥。主KS和各个备KS都可以接受GM的注册申请,因此备KS可以与主KS一起分担对GM的注册服务。在备KS上有新的GM完成注册之后,备KS将把新的GM的注册信息发送给主KS。
图2示出相关技术中的GDVPN组网的示意图。如图2所示,主KS和备KS通过数据交换保持各个KS之间的数据一致,实现数据的备份。在这个过程中,主KS向各个备KS同步密钥和GM的注册信息,备KS向主KS同步自己获得的新的GM的注册信息。主KS定期向各个备KS发送Hello报文,备KS通过监测是否能够定期接收到主KS发送的Hello报文,来判断主KS是否处于正常工作状态。在主KS发生故障时,其余处于正常工作状态的备KS将重新发起选举,产生新的主KS。
相关技术中,GM上可以同时配置多个KS注册地址。GM按照配置顺序依次选择KS申请注册。由此在第一个配置的KS连接不上时,可以继续选择其它的KS申请注册,以恢复正常工作状态。
在GDVPN组网中,GDVPN通过注册定时器来进行注册。在IPsec GDOI策略应用在接口下时,启动注册定时器(时间间隔较短),以检查本地配置是否完整。如果本地配置完整,修改注册定时器的时间间隔(时间间隔较长)。GM按照配置顺序,向第一个配置的KS发起注册,如果注册定时器超时还没有注册成功,则依次向下一个配置的KS发起注册。假设GM上配置了N个KS注册地址,如果只有最后一个KS是可用的,则理论上GM需要经过(N-1)个注册定时器的时间间隔之后才能够注册成功。在这个过程中,GM上的流量由于没有接收到KS发送的IPsec SA,无法对需要受到保护的流量进行加密和解密,从而造成安全隐患。
图3示出根据本发明一实施例的用于组成员的注册方法的流程图。该方法用于GDVPN组网中的组成员GM。如图3所示,该用于组成员的注册方法包括步骤S31至S35。
在步骤S31中,获取GM中保存的多个密钥服务器KS的标识。
其中,KS的标识可以指能够唯一标识KS的信息。例如,KS的标识可以为KS的编号或KS的网络协议地址(英文:Internet Protocol Address,简写:IP地址)等,本发明实施例对此不作限制。
下面通过一个具体示例进行说明。图4示出根据本发明一实施例的GDVPN组网的示意图。如图4所示,在GDVPN组网中,包括KS1、KS2、KS3和KS4等多个KS,以及GM1、GM2和GM3等多个GM。KS1的IP地址为1.1.1.1/16,KS2的IP地址为2.2.2.2/16,KS3的IP地址为3.3.3.3/16,以及KS4的IP地址为4.4.4.4/16。KS1、KS2、KS3和KS4等多个KS都可以接受GM1、GM2和GM3等多个GM的注册申请。
作为一个示例,KS的标识为KS的IP地址。如图4所示,GM1中保存多个KS的IP地址,包括1.1.1.1、2.2.2.2、3.3.3.3和4.4.4.4。GM2中保存多个KS的IP地址,包括1.1.1.1、2.2.2.2、3.3.3.3和4.4.4.4。GM3中保存多个KS的IP地址,包括1.1.1.1、2.2.2.2、3.3.3.3和4.4.4.4。由此KS1、KS2、KS3和KS4都可以接受GM1、GM2和GM3的注册申请。
在步骤S32中,根据每个KS的标识,确定与GM之间的链路为可用UP状态的至少一个第一KS。
其中,KS与GM之间的链路可以为可用UP状态或不可用DOWN状态。
如果KS与GM之间的链路为可用UP状态,则KS与GM之间可以进行报文的交互。反之亦然,如果KS与GM之间可以进行报文的交互,则KS与GM之间的链路为可用UP状态。
如果KS与GM之间的链路为不可用DOWN状态,则KS与GM之间不可以进行报文的交互。反之亦然,如果KS与GM之间不可以进行报文的交互,则KS与GM之间的链路为不可用DOWN状态。
在一种实现方式中,KS的标识为KS的IP地址;根据每个KS的标识,确定与GM之间的链路为可用UP状态的至少一个第一KS(步骤S32),包括:根据每个KS的IP地址,分别向KS发送探测报文;在接收到KS基于探测报文返回的应答报文时,将KS确定为与GM之间的链路为可用UP状态的第一KS。
其中,探测报文可以指能够探测KS与GM之间的链路的状态的报文。例如,探测报文可以为双向转发检测(英文:Bidirectional Forwarding Detection,简写:BFD)报文、网络控制报文协议(英文:Internet Control Message Protocol,简写:ICMP)报文、对等体存活检测(英文:Dead Peer Detection,简写:DPD)报文或保活(英文:Keepalive)报文等,本发明实施例对此不作限制。
在一种实现方式中,GM可以在IKE协商之前,通过BFD报文或ICMP报文等类型的探测报文,实现确定与GM之间的链路为可用UP状态的至少一个第一KS。则在该种情况下,探测报文和应答报文均可以为明文。
在另一种实现方式中,GM可以在IKE协商完成之后GDOI协商之前,通过IKE的DPD报文或IKE的Keep alive报文等类型的探测报文,实现确定与GM之间的链路为可用UP状态的至少一个第一KS。则在该种情况下,探测报文和应答报文均可以为密文,即可以通过IKE SA保护探测报文和应答报文。
作为一个示例,KS的标识为KS的IP地址。如图4所示,GM1获取本地保存的多个KS的IP地址,包括1.1.1.1、2.2.2.2、3.3.3.3和4.4.4.4。GM1分别向IP地址为1.1.1.1、2.2.2.2、3.3.3.3和4.4.4.4的KS发送探测报文。即GM1分别向KS1、KS2、KS3和KS4发送探测报文。如果GM1接收到KS1、KS3和KS4基于探测报文返回的应答报文,则GM1将KS1、KS3和KS4确定为与GM1之间的链路为可用UP状态的第一KS。
作为另一个示例,KS的标识为KS的IP地址。如图4所示,GM3获取本地保存的多个KS的IP地址,包括1.1.1.1、2.2.2.2、3.3.3.3和4.4.4.4。GM3分别向IP地址为1.1.1.1、2.2.2.2、3.3.3.3和4.4.4.4的KS发送探测报文。即GM3分别向KS1、KS2、KS3和KS4发送探测报文。如果GM3接收到KS2和KS4基于探测报文返回的应答报文,则GM3将KS2和KS4确定为与GM3之间的链路为可用UP状态的第一KS。
在步骤S33中,根据每个第一KS的标识,获取表示第一KS的注册负载情况的注册负载值。
其中,KS的注册负载值可以指能够表示KS的注册负载情况的信息。本领域技术人员可以根据实际应用场景灵活设定注册负载值。
在一种实现方式中,KS的注册负载值可以为能够表示KS的注册负载情况的相对值。例如,在KS处于繁忙状态时,KS的注册负载值可以为1;在KS处于空闲状态时,KS的注册负载值可以为0。由此在获取KS的注册负载值为1时,即能够确定该KS处于繁忙状态;在获取KS的注册负载值为0时,即能够确定该KS处于空闲状态。
在另一种实现方式中,KS的注册负载值可以为能够表示KS的注册负载情况的绝对值。例如,KS的注册负载值可以为表示KS的注册资源使用情况的数值,或KS的注册负载值可以为表示KS的注册资源剩余情况的数值。
作为一个示例,KS可以承担100个GM的申请注册。如果KS上正在申请注册的GM为20个,则该KS的注册负载值可以为表示KS的注册资源使用情况的数值,例如注册负载值为20;或该KS的注册负载值可以为表示KS的注册资源剩余情况的数值,例如注册负载值为80。
在一种实现方式中,第一KS的标识为第一KS的IP地址;根据每个第一KS的标识,获取表示第一KS的注册负载情况的注册负载值(步骤S33),包括:根据每个第一KS的IP地址,分别向第一KS发送注册负载值请求;接收每个第一KS基于注册负载值请求返回的表示第一KS的注册负载情况的注册负载值。
其中,注册负载值请求可以指能够从KS处请求获取注册负载值的信息。例如,注册负载值请求可以为用于获取注册负载值的请求报文。注册负载值请求可以包括请求方GM的标识、被请求方KS的标识以及从KS处请求获取注册负载值的信息等,本发明实施例对此不作限制。
在一种实现方式中,GM可以在IKE协商之前,实现获取每个第一KS的注册负载值。则在该种情况下,用于获取注册负载值的请求报文和携带注册负载值的应答报文均可以为明文。
在另一种实现方式中,GM可以在IKE协商完成之后GDOI协商之前,实现获取每个第一KS的注册负载值。则在该种情况下,用于获取注册负载值的请求报文和携带注册负载值的应答报文均可以为密文,即可以通过IKE SA保护用于获取注册负载值的请求报文和携带注册负载值的应答报文。
作为一个示例,第一KS的标识为第一KS的IP地址。如图4所示,如果GM1将KS1、KS3和KS4确定为与GM1之间的链路为可用UP状态的第一KS,则GM1分别向KS1、KS3和KS4发送注册负载值请求。即GM1分别向IP地址为1.1.1.1、3.3.3.3和4.4.4.4的KS发送注册负载值请求。GM1接收到KS1、KS3和KS4基于注册负载值请求返回的注册负载值,例如为{KS1:N1,KS3:N3,KS4:N4}。
作为另一个示例,第一KS的标识为第一KS的IP地址。如图4所示,如果GM3将KS2和KS4确定为与GM3之间的链路为可用UP状态的第一KS,则GM3分别向KS2和KS4发送注册负载值请求。即GM3分别向IP地址为2.2.2.2和4.4.4.4的KS发送注册负载值请求。GM3接收到KS2和KS4基于注册负载值请求返回的注册负载值,例如为{KS2:N2,KS4:N4}。
在步骤S34中,根据每个第一KS的注册负载值,确定可用于为GM进行注册的至少一个第二KS。
在步骤S35中,根据每个第二KS的标识,向第二KS发起申请注册。
在本发明实施例中,GM根据每个第一KS的注册负载值,可以确定可用于为GM进行注册的一个第二KS,也可以确定可用于为GM进行注册的多个第二KS,本发明实施例对此不作限制。在确定可用于为GM进行注册的多个第二KS时,可以按照多个第二KS的配置顺序依次选择第二KS申请注册。在第一个配置的第二KS连接不上时,可以继续选择其它的第二KS申请注册,由此能够增加系统的可靠性。
需要说明的是,第一KS是可用性检测之后选出的KS。第二KS是从第一KS中选出的注册负载较小的KS。一般情况下,第二KS与GM之间的链路为可用UP状态。在极小概率下,第二KS可能会出现连接不上的情况,在实际应用过程中,第二KS连接不上的情况可以不做考虑。
作为一个示例,第二KS的标识为第二KS的IP地址。如图4所示,GM1将KS1、KS3和KS4确定为与GM1之间的链路为可用UP状态的第一KS。如果GM1接收到KS1、KS3和KS4的注册负载值为{KS1:N1,KS3:N3,KS4:N4},则GM1根据{KS1:N1,KS3:N3,KS4:N4},确定可用于为GM1进行注册的第二KS为{KS1,KS4}。由此GM1按照配置顺序依次选择KS1和KS4申请注册。例如,GM1根据KS1的IP地址,向KS1发起申请注册,由KS1承担GM1的注册。如果GM1注册成功,则注册阶段结束。如果GM1注册失败,则GM1根据KS4的IP地址,向KS4发起申请注册,由KS4承担GM1的注册。
作为另一个示例,第二KS的标识为第二KS的IP地址。如图4所示,GM3将KS2和KS4确定为与GM3之间的链路为可用UP状态的第一KS。如果GM3接收到KS2和KS4的注册负载值为{KS2:N2,KS4:N4},则GM3根据{KS2:N2,KS4:N4},确定可用于为GM3进行注册的第二KS为{KS2}。由此GM3根据KS2的IP地址,向KS2发起申请注册,由KS2承担GM3的注册。
本发明实施例的方法,GM排除某些故障的KS或中间设备链路不通的KS,并在可用的KS中根据KS的注册负载值再次选择出适合进行注册的KS。由此能够缩短GM的注册时间,提高GM的注册效率,从而实现及时对需要受到保护的流量进行加密和解密,避免安全隐患。
此外,根据KS的注册负载值,确定可用于为GM进行注册的KS,在存在大量GM同时注册时,能够极大地提高GM的注册效率以及KS间的负载分担效率。
可选地,在一种实现方式中,在KS处于空闲状态时,KS的注册负载值为固定数值。根据每个第一KS的注册负载值,确定可用于为GM进行注册的至少一个第二KS,包括:将注册负载值为固定数值的第一KS确定为可用于为GM进行注册的第二KS。
例如,在KS处于繁忙状态时,KS的注册负载值为第一数值;在KS处于空闲状态时,KS的注册负载值为第二数值。第一数值与第二数值不同。GM将注册负载值为第二数值的第一KS确定为可用于为GM进行注册的第二KS。
其中,第一数值和第二数值可以为预先设定的数值,本发明实施例对此不作限制。例如,第一数值为1,第二数值为0。由此在KS处于繁忙状态时,KS的注册负载值可以为1;在KS处于空闲状态时,KS的注册负载值可以为0。则GM可以将注册负载值为0的第一KS确定为用于为GM进行注册的第二KS。
作为一个示例,在KS处于繁忙状态时,KS的注册负载值可以为1;在KS处于空闲状态时,KS的注册负载值可以为0。如图4所示,GM1将KS1、KS3和KS4确定为与GM1之间的链路为可用UP状态的第一KS。GM1分别向KS1、KS3和KS4发送注册负载值请求。GM1接收到KS1、KS3和KS4基于注册负载值请求返回的注册负载值为{KS1:0,KS3:1,KS4:0}。GM1将注册负载值为0的KS1和KS4确定为可用于为GM1进行注册的第二KS。
可选地,在一种实现方式中,注册负载值为表示注册资源使用情况的数值。根据每个第一KS的注册负载值,确定可用于为GM进行注册的至少一个第二KS(步骤S34),包括:对每个第一KS的注册负载值进行排序;将注册负载值最小的第一KS确定为用于为GM进行注册的第二KS。
作为一个示例,注册负载值为表示注册资源使用情况的数值。如图4所示,GM1将KS1、KS3和KS4确定为与GM1之间的链路为可用UP状态的第一KS。KS1、KS3和KS4均可以承担100个GM的申请注册。KS1上正在申请注册的GM为20个,KS3上正在申请注册的GM为50个,以及KS4上正在申请注册的GM为30个。GM1分别向KS1、KS3和KS4发送注册负载值请求。GM1接收到KS1、KS3和KS4基于注册负载值请求返回的注册负载值为{KS1:20,KS3:50,KS4:30}。GM1对注册负载值{KS1:20,KS3:50,KS4:30}进行排序,得到注册负载值由小到大的KS排序为KS1,KS4,KS3。由此GM1将注册负载值最小的KS1确定为用于为GM1进行注册的第二KS。
可选地,在一种实现方式中,注册负载值为表示注册资源剩余情况的数值。根据每个第一KS的注册负载值,确定可用于为GM进行注册的至少一个第二KS(步骤S34),包括:对每个第一KS的注册负载值进行排序;将注册负载值最大的第一KS确定为用于为GM进行注册的第二KS。
作为一个示例,注册负载值为表示注册资源剩余情况的数值。如图4所示,GM1将KS1、KS3和KS4确定为与GM1之间的链路为可用UP状态的第一KS。KS1、KS3和KS4均可以承担100个GM的申请注册。KS1上正在申请注册的GM为20个,KS3上正在申请注册的GM为50个,以及KS4上正在申请注册的GM为30个。GM1分别向KS1、KS3和KS4发送注册负载值请求。GM1接收到KS1、KS3和KS4基于注册负载值请求返回的注册负载值为{KS1:80,KS3:50,KS4:70}。GM1对注册负载值{KS1:80,KS3:50,KS4:70}进行排序,得到注册负载值由大到小的KS排序为KS1,KS4,KS3。由此GM1将注册负载值最大的KS1确定为用于为GM1进行注册的第二KS。
可选地,在一种实现方式中,注册负载值为表示注册资源使用情况的数值。根据每个第一KS的注册负载值,确定可用于为GM进行注册的至少一个第二KS(步骤S34),包括:将每个第一KS的注册负载值与第一注册负载阈值进行比较;将注册负载值小于或等于第一注册负载阈值的第一KS确定为可用于为GM进行注册的第二KS。
其中,第一注册负载阈值可以为预先设定的数值,例如,第一注册负载阈值为40等,本发明实施例对此不作限制。
作为一个示例,第一注册负载阈值为40,注册负载值为表示注册资源使用情况的数值。如图4所示,GM1将KS1、KS3和KS4确定为与GM1之间的链路为可用UP状态的第一KS。KS1、KS3和KS4均可以承担100个GM的申请注册。KS1上正在申请注册的GM为20个,KS3上正在申请注册的GM为50个,以及KS4上正在申请注册的GM为30个。GM1分别向KS1、KS3和KS4发送注册负载值请求。GM1接收到KS1、KS3和KS4基于注册负载值请求返回的注册负载值为{KS1:20,KS3:50,KS4:30}。GM1将注册负载值{KS1:20,KS3:50,KS4:30}与第一注册负载阈值40进行比较,得到注册负载值小于第一注册负载阈值的KS为{KS1,KS4}。由此GM1将注册负载值小于第一注册负载阈值的KS1和KS4确定为可用于为GM1进行注册的第二KS。
可选地,在一种实现方式中,注册负载值为表示注册资源剩余情况的数值。根据每个第一KS的注册负载值,确定可用于为GM进行注册的至少一个第二KS(步骤S34),包括:将每个第一KS的注册负载值与第二注册负载阈值进行比较;将注册负载值大于或等于第二注册负载阈值的第一KS确定为可用于为GM进行注册的第二KS。
其中,第二注册负载阈值可以为预先设定的数值,例如,第二注册负载阈值为60等,本发明实施例对此不作限制。
作为一个示例,第二注册负载阈值为60,注册负载值为表示注册资源剩余情况的数值。如图4所示,GM1将KS1、KS3和KS4确定为与GM1之间的链路为可用UP状态的第一KS。KS1、KS3和KS4均可以承担100个GM的申请注册。KS1上正在申请注册的GM为20个,KS3上正在申请注册的GM为50个,以及KS4上正在申请注册的GM为30个。GM1分别向KS1、KS3和KS4发送注册负载值请求。GM1接收到KS1、KS3和KS4基于注册负载值请求返回的注册负载值为{KS1:80,KS3:50,KS4:70}。GM1将注册负载值{KS1:80,KS3:50,KS4:70}与第二注册负载阈值60进行比较,得到注册负载值大于第二注册负载阈值的KS为{KS1,KS4}。由此GM1将注册负载值大于第二注册负载阈值的KS1和KS4确定为可用于为GM1进行注册的第二KS。
图5示出根据本公开一实施例的用于组成员的注册装置的框图。所述装置用于组成员GM。如图5所示,所述装置可以包括:
标识获取模块51,用于获取GM中保存的多个密钥服务器KS的标识;
第一KS确定模块52,用于根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;
注册负载值获取模块53,用于根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;
第二KS确定模块54,用于根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;
申请注册模块55,用于根据每个所述第二KS的标识,向所述第二KS发起申请注册。
图6示出根据本公开一实施例的用于组成员的注册装置的框图。如图6所示:
在一种可能的实现方式中,所述第一KS确定模块52包括:探测报文发送子模块521,用于根据每个所述KS的IP地址,分别向所述KS发送探测报文;第一KS确定子模块522,用于在接收到所述KS基于所述探测报文返回的应答报文时,将所述KS确定为与所述GM之间的链路为可用UP状态的第一KS。
在一种可能的实现方式中,所述第一KS的标识为所述第一KS的IP地址;所述注册负载值获取模块53包括:注册负载值请求发送子模块531,用于根据每个所述第一KS的IP地址,分别向所述第一KS发送注册负载值请求;注册负载值接收子模块532,用于接收每个所述第一KS基于所述注册负载值请求返回的表示所述第一KS的注册负载情况的注册负载值。
在一种可能的实现方式中,所述注册负载值为表示注册资源使用情况的数值;所述第二KS确定模块54包括:排序子模块541,用于对每个所述第一KS的注册负载值进行排序;第二KS确定子模块542,用于将注册负载值最小的第一KS确定为用于为所述GM进行注册的第二KS;
或所述注册负载值为表示注册资源剩余情况的数值;所述第二KS确定模块54包括:排序子模块541,用于对每个所述第一KS的注册负载值进行排序;第二KS确定子模块542,用于将注册负载值最大的第一KS确定为用于为所述GM进行注册的第二KS。
在一种可能的实现方式中,所述注册负载值为表示注册资源使用情况的数值;所述第二KS确定模块54包括:比较子模块543,用于将每个所述第一KS的注册负载值与第一注册负载阈值进行比较;第二KS确定子模块542,用于将注册负载值小于或等于第一注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS;
或所述注册负载值为表示注册资源剩余情况的数值;所述第二KS确定模块54包括:比较子模块543,用于将每个所述第一KS的注册负载值与第二注册负载阈值进行比较;第二KS确定子模块542,用于将注册负载值大于或等于第二注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS。
在一种可能的实现方式中,在KS处于空闲状态时,KS的注册负载值为固定数值;所述第二KS确定模块54包括:第二KS确定子模块542,用于将注册负载值为固定数值的第一KS确定为可用于为所述GM进行注册的第二KS。
本发明实施例的装置,GM排除某些故障的KS或中间设备链路不通的KS,并在可用的KS中根据KS的注册负载值再次选择出适合进行注册的KS。由此能够缩短GM的注册时间,提高GM的注册效率,从而实现及时对需要受到保护的流量进行加密和解密,避免安全隐患。
此外,根据KS的注册负载值,确定可用于为GM进行注册的KS,在存在大量GM同时注册时,能够极大地提高GM的注册效率以及KS间的负载分担效率。
图7示出根据本发明一实施例的用于组成员的注册装置的框图。参照图7,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与用于组成员的注册逻辑对应的机器可执行指令以执行上文所述的用于组成员的注册方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是随机存取存储器:(英文:Radom Access Memory,简称:RAM)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (12)
1.一种用于组成员的注册方法,其特征在于,所述方法用于组成员GM,所述方法包括:
获取GM中保存的多个密钥服务器KS的标识;
根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;
根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;
根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;
根据每个所述第二KS的标识,向所述第二KS发起申请注册。
2.根据权利要求1所述的方法,其特征在于,所述KS的标识为所述KS的IP地址;
所述根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS,包括:
根据每个所述KS的IP地址,分别向所述KS发送探测报文;
在接收到所述KS基于所述探测报文返回的应答报文时,将所述KS确定为与所述GM之间的链路为可用UP状态的第一KS。
3.根据权利要求1所述的方法,其特征在于,所述第一KS的标识为所述第一KS的IP地址;
所述根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值,包括:
根据每个所述第一KS的IP地址,分别向所述第一KS发送注册负载值请求;
接收每个所述第一KS基于所述注册负载值请求返回的表示所述第一KS的注册负载情况的注册负载值。
4.根据权利要求1所述的方法,其特征在于,所述注册负载值为表示注册资源使用情况的数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
对每个所述第一KS的注册负载值进行排序;
将注册负载值最小的第一KS确定为用于为所述GM进行注册的第二KS;
或
所述注册负载值为表示注册资源剩余情况的数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
对每个所述第一KS的注册负载值进行排序;
将注册负载值最大的第一KS确定为用于为所述GM进行注册的第二KS。
5.根据权利要求1所述的方法,其特征在于,所述注册负载值为表示注册资源使用情况的数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
将每个所述第一KS的注册负载值与第一注册负载阈值进行比较;
将注册负载值小于或等于第一注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS;
或
所述注册负载值为表示注册资源剩余情况的数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
将每个所述第一KS的注册负载值与第二注册负载阈值进行比较;
将注册负载值大于或等于第二注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS。
6.根据权利要求1所述的方法,其特征在于,在KS处于空闲状态时,KS的注册负载值为固定数值;
所述根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS,包括:
将注册负载值为所述固定数值的第一KS确定为可用于为所述GM进行注册的第二KS。
7.一种用于组成员的注册装置,其特征在于,所述装置用于组成员GM,所述装置包括:
标识获取模块,用于获取GM中保存的多个密钥服务器KS的标识;
第一KS确定模块,用于根据每个所述KS的标识,确定与所述GM之间的链路为可用UP状态的至少一个第一KS;
注册负载值获取模块,用于根据每个所述第一KS的标识,获取表示所述第一KS的注册负载情况的注册负载值;
第二KS确定模块,用于根据每个所述第一KS的注册负载值,确定可用于为所述GM进行注册的至少一个第二KS;
申请注册模块,用于根据每个所述第二KS的标识,向所述第二KS发起申请注册。
8.根据权利要求7所述的装置,其特征在于,所述KS的标识为所述KS的IP地址;
所述第一KS确定模块,包括:
探测报文发送子模块,用于根据每个所述KS的IP地址,分别向所述KS发送探测报文;
第一KS确定子模块,用于在接收到所述KS基于所述探测报文返回的应答报文时,将所述KS确定为与所述GM之间的链路为可用UP状态的第一KS。
9.根据权利要求7所述的装置,其特征在于,所述第一KS的标识为所述第一KS的IP地址;
所述注册负载值获取模块,包括:
注册负载值请求发送子模块,用于根据每个所述第一KS的IP地址,分别向所述第一KS发送注册负载值请求;
注册负载值接收子模块,用于接收每个所述第一KS基于所述注册负载值请求返回的表示所述第一KS的注册负载情况的注册负载值。
10.根据权利要求7所述的装置,其特征在于,所述注册负载值为表示注册资源使用情况的数值;
所述第二KS确定模块,包括:
排序子模块,用于对每个所述第一KS的注册负载值进行排序;
第二KS确定子模块,用于将注册负载值最小的第一KS确定为用于为所述GM进行注册的第二KS;
或
所述注册负载值为表示注册资源剩余情况的数值;
所述第二KS确定模块,包括:
排序子模块,用于对每个所述第一KS的注册负载值进行排序;
第二KS确定子模块,用于将注册负载值最大的第一KS确定为用于为所述GM进行注册的第二KS。
11.根据权利要求7所述的装置,其特征在于,所述注册负载值为表示注册资源使用情况的数值;
所述第二KS确定模块,包括:
比较子模块,用于将每个所述第一KS的注册负载值与第一注册负载阈值进行比较;
第二KS确定子模块,用于将注册负载值小于或等于第一注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS;
或
所述注册负载值为表示注册资源剩余情况的数值;
所述第二KS确定模块,包括:
比较子模块,用于将每个所述第一KS的注册负载值与第二注册负载阈值进行比较;
第二KS确定子模块,用于将注册负载值大于或等于第二注册负载阈值的第一KS确定为可用于为所述GM进行注册的第二KS。
12.根据权利要求7所述的装置,其特征在于,在KS处于空闲状态时,KS的注册负载值为固定数值;
所述第二KS确定模块,包括:
第二KS确定子模块,用于将注册负载值为所述固定数值的第一KS确定为可用于为所述GM进行注册的第二KS。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810338069.3A CN108683637B (zh) | 2018-04-16 | 2018-04-16 | 用于组成员的注册方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810338069.3A CN108683637B (zh) | 2018-04-16 | 2018-04-16 | 用于组成员的注册方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108683637A true CN108683637A (zh) | 2018-10-19 |
CN108683637B CN108683637B (zh) | 2020-08-11 |
Family
ID=63800950
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810338069.3A Active CN108683637B (zh) | 2018-04-16 | 2018-04-16 | 用于组成员的注册方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108683637B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102625419A (zh) * | 2012-02-29 | 2012-08-01 | 南京邮电大学 | 一种区分上下行数据流的网络链路选择方法 |
CN103269276A (zh) * | 2013-05-22 | 2013-08-28 | 杭州华三通信技术有限公司 | 一种实现组成员设备通信的方法和设备 |
CN103916634A (zh) * | 2014-04-04 | 2014-07-09 | 浙江宇视科技有限公司 | 一种基于openflow控制的视频点播方法 |
EP2779589A2 (en) * | 2013-03-12 | 2014-09-17 | Cisco Technology, Inc. | Changing dynamic group VPN member reachability information |
CN107404526A (zh) * | 2017-07-25 | 2017-11-28 | 桂林电子科技大学 | 基于sdn的p2p遥感数据网络自适应分发系统及方法 |
-
2018
- 2018-04-16 CN CN201810338069.3A patent/CN108683637B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102625419A (zh) * | 2012-02-29 | 2012-08-01 | 南京邮电大学 | 一种区分上下行数据流的网络链路选择方法 |
EP2779589A2 (en) * | 2013-03-12 | 2014-09-17 | Cisco Technology, Inc. | Changing dynamic group VPN member reachability information |
CN103269276A (zh) * | 2013-05-22 | 2013-08-28 | 杭州华三通信技术有限公司 | 一种实现组成员设备通信的方法和设备 |
CN103916634A (zh) * | 2014-04-04 | 2014-07-09 | 浙江宇视科技有限公司 | 一种基于openflow控制的视频点播方法 |
CN107404526A (zh) * | 2017-07-25 | 2017-11-28 | 桂林电子科技大学 | 基于sdn的p2p遥感数据网络自适应分发系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108683637B (zh) | 2020-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11190491B1 (en) | Method and apparatus for maintaining a resilient VPN connection | |
Atwady et al. | A survey on authentication techniques for the internet of things | |
CN102195957B (zh) | 一种资源共享方法、装置及系统 | |
US9565167B2 (en) | Load balancing internet protocol security tunnels | |
US9137226B2 (en) | Authentication method and authentication device for performing group authentication using a group key | |
US10284553B2 (en) | Relay apparatus, terminal apparatus, and communication method | |
US8510562B2 (en) | Content distribution with mutual anonymity | |
US8472311B2 (en) | Systems, methods, and computer readable media for providing instantaneous failover of packet processing elements in a network | |
US7260841B2 (en) | System and method for maintaining access to content in an encrypted network environment | |
US9325697B2 (en) | Provisioning and managing certificates for accessing secure services in network | |
US10567492B1 (en) | Methods for load balancing in a federated identity environment and devices thereof | |
US20220210130A1 (en) | Method and apparatus for maintaining a resilient vpn connection | |
CN108667933A (zh) | 连接建立方法、连接建立装置及通信系统 | |
CN104601550A (zh) | 基于集群阵列的反向隔离文件传输系统及其方法 | |
CN106059986A (zh) | Ssl会话重用的方法和服务器 | |
CN107707517B (zh) | 一种HTTPs握手方法、装置和系统 | |
CN102932219B (zh) | 动态组网设备注册与注销的方法 | |
CN101512539A (zh) | iSCSI和光纤通道认证 | |
CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
CN106535089A (zh) | 机器对机器虚拟私有网络 | |
Kandah et al. | Efficient key management for Big Data gathering in dynamic sensor networks | |
US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
Kim et al. | Chord based identity management for e-healthcare cloud applications | |
CN109743319A (zh) | 一种联网式专用服务器的可信启动和安全运行方法 | |
CN103973438B (zh) | 通信信道动态加密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230703 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |