一种GD VPN的注册方法和装置转让专利
申请号 : CN201510890366.5
文献号 : CN105592076B
文献日 : 2018-12-25
发明人 : 郑黎明
申请人 : 新华三技术有限公司
摘要 :
本发明提供一种GD VPN的注册方法和装置,该方法包括:KS对GM进行认证;所述KS对所述GM认证成功后,将本地配置的第一组标识发送给所述GM,以使所述GM在未配置第二组标识时,使用所述第一组标识向所述KS进行注册;所述KS接收来自所述GM的携带组标识的第一注册消息;所述KS将所述第一注册消息携带的组标识对应的安全策略和密钥信息发送给所述GM。通过本发明的技术方案,提高GD VPN组网的灵活性,简化GM上的配置过程。
权利要求 :
1.一种组域虚拟私有网络GD VPN的注册方法,应用于包括密钥服务器KS和多个组成员GM的GD VPN中,其特征在于,所述方法包括以下步骤:所述KS对GM进行认证;
所述KS对所述GM认证成功后,将本地配置的第一组标识发送给所述GM,以使所述GM在未配置第二组标识时,使用所述第一组标识向所述KS进行注册;
所述KS接收来自所述GM的携带第一组标识或者第二组标识的第一注册消息;
所述KS将所述第一注册消息携带的第一组标识或者第二组标识对应的安全策略和密钥信息发送给所述GM。
2.根据权利要求1所述的方法,其特征在于,所述KS将本地配置的第一组标识发送给所述GM的过程,具体包括:所述KS在接收到来自所述GM的第二注册消息时,如果发现所述第二注册消息中未携带所述第二组标识,则确定所述GM未配置所述第二组标识,并将本地配置的第一组标识发送给所述GM。
3.根据权利要求1或2所述的方法,其特征在于,所述KS对GM进行认证的过程,具体包括:在所述KS与所述GM之间的互联网密钥交换IKE协商过程完成后,所述KS接收来自所述GM的认证请求报文,所述认证请求报文携带认证信息;
所述KS利用所述认证信息对所述GM进行认证。
4.根据权利要求3所述的方法,其特征在于,所述认证信息包括用户名和密码,所述KS利用所述认证信息对所述GM进行认证的过程,具体包括:所述KS利用所述用户名和所述密码查询预先配置的认证表,所述认证表中记录了合法的用户名与密码之间的对应关系;如果认证表中存在所述用户名和所述密码之间的对应关系,确定所述GM认证成功;如果认证表中不存在所述用户名和所述密码之间的对应关系,确定所述GM认证失败;或者,所述KS将所述用户名和所述密码发送给认证服务器,由所述认证服务器利用所述用户名和所述密码对所述GM进行认证;如果所述KS收到所述认证服务器返回的认证成功报文,则确定所述GM认证成功;如果所述KS收到所述认证服务器返回的认证失败报文,则确定所述GM认证失败。
5.根据权利要求3所述的方法,其特征在于,针对所述KS与GM之间的IKE协商过程,在所述KS上预先配置一个预共享密钥,所述方法还包括:所述KS将所述预共享密钥发送给所述多个GM中的每个GM,以使所述每个GM使用相同的所述预共享密钥,与所述KS进行IKE协商过程。
6.一种组域虚拟私有网络GD VPN的注册装置,应用于包括密钥服务器KS和多个组成员GM的GD VPN中,其特征在于,所述GD VPN的注册装置应用在所述KS上,且所述GD VPN的注册装置具体包括:认证模块,用于对GM进行认证;
发送模块,用于对所述GM认证成功后,将本地配置的第一组标识发送给所述GM,以使所述GM在未配置第二组标识时,使用所述第一组标识向所述KS进行注册;
接收模块,用于接收来自所述GM的携带第一组标识或者第二组标识的第一注册消息;
所述发送模块,还用于将所述第一注册消息携带的第一组标识或者第二组标识对应的安全策略和密钥信息发送给所述GM。
7.根据权利要求6所述的装置,其特征在于,
所述发送模块,具体用于在将本地配置的第一组标识发送给所述GM的过程中,在接收到来自所述GM的第二注册消息时,如果发现所述第二注册消息中未携带所述第二组标识,则确定所述GM未配置所述第二组标识,并将本地配置的第一组标识发送给所述GM。
8.根据权利要求6或7所述的装置,其特征在于,
所述认证模块,具体用于在对GM进行认证的过程中,在KS与所述GM之间的互联网密钥交换IKE协商过程完成后,接收来自所述GM的认证请求报文,所述认证请求报文携带认证信息;利用所述认证信息对所述GM进行认证。
9.根据权利要求8所述的装置,其特征在于,
所述认证信息包括用户名和密码;所述认证模块,具体用于在利用所述认证信息对所述GM进行认证的过程中,利用所述用户名和所述密码查询预先配置的认证表,所述认证表中记录了合法的用户名与密码之间的对应关系;如果认证表中存在所述用户名和所述密码之间的对应关系,则确定所述GM认证成功;如果认证表中不存在所述用户名和所述密码之间的对应关系,则确定所述GM认证失败;或者,将所述用户名和所述密码发送给认证服务器,由所述认证服务器利用所述用户名和所述密码对所述GM进行认证;如果收到所述认证服务器返回的认证成功报文,则确定所述GM认证成功;如果收到所述认证服务器返回的认证失败报文,则确定所述GM认证失败。
10.根据权利要求8所述的装置,其特征在于,针对所述KS与GM之间的IKE协商过程,在所述KS上预先配置一个预共享密钥;
所述发送模块,还用于将所述预共享密钥发送给所述多个GM中的每个GM,以使每个GM使用相同的预共享密钥,与所述KS进行IKE协商过程。
说明书 :
一种GD VPN的注册方法和装置
技术领域
[0001] 本发明涉及通信技术领域,尤其涉及一种GD VPN的注册方法和装置。
背景技术
[0002] GD VPN(Group Domain Virtual Private Network,组域虚拟私有网络)是一种实现密钥和安全策略集中管理的解决方案。GD VPN是一种点到多点的无隧道连接,提供了一种基于组的IPsec(IP Security,IP安全)安全模型。组是一个安全策略的集合,属于同一个组的所有成员共享相同的安全策略和密钥。
[0003] 如图1所示,GD VPN可以由KS(Key Server,密钥服务器)和多个GM(Group Member,组成员)组成。其中,KS通过划分不同的组,来管理不同的安全策略和密钥,GM通过加入相应的组,从KS获取该组的安全策略和密钥。
[0004] 在GD VPN中,GM注册过程包括:第一阶段,IKE(Internet Key Exchange,互联网密钥交换)协商,GM与KS进行协商,进行双方的身份认证,身份认证通过后,生成用于保护第二阶段的IKE SA(Security Association,安全联盟)。第二阶段,GDOI(Group Domain of Interpretation,组解释域)协商,GM向KS发送自身的组ID(标识),KS根据GM的组标识向GM发送相应组的安全策略,GM对收到的安全策略进行验证,如果安全策略是可接受的,则向KS发送确认消息,KS收到确认消息后,向GM发送密钥信息,如KEK(Key Encryption Key,加密密钥的密钥)、TEK(Traffic Encryption Key,加密流量的密钥)等。
[0005] 在第二阶段中,GM需要先向KS发送自身的组标识,继而从KS获得该组标识对应的安全策略和密钥信息。但是,如果GM上没有配置组标识,则无法从KS获得对应的安全策略和密钥信息。这样,组标识就是GM的必要配置, GM上需要预先配置好组标识,这样的配置过程比较繁琐。
发明内容
[0006] 本发明提出一种组域虚拟私有网络GD VPN的注册方法,应用于包括密钥服务器KS和多个组成员GM的GD VPN中,所述方法包括以下步骤:
[0007] 所述KS对GM进行认证;所述KS对所述GM认证成功后,将本地配置的第一组标识发送给所述GM,以使所述GM在未配置第二组标识时,使用所述第一组标识向所述KS进行注册;所述KS接收来自所述GM的携带组标识的第一注册消息;所述KS将所述第一注册消息携带的组标识对应的安全策略和密钥信息发送给所述GM。
[0008] 本发明提出一种组域虚拟私有网络GD VPN的注册装置,应用于包括密钥服务器KS和多个组成员GM的GD VPN中,所述GD VPN的注册装置应用在所述KS上,且所述GD VPN的注册装置具体包括:
[0009] 认证模块,用于对GM进行认证;发送模块,用于对所述GM认证成功后,将本地配置的第一组标识发送给所述GM,以使所述GM在未配置第二组标识时,使用所述第一组标识向所述KS进行注册;接收模块,用于接收来自所述GM的携带组标识的第一注册消息;所述发送模块,还用于将所述第一注册消息携带的组标识对应的安全策略和密钥信息发送给所述GM。
[0010] 基于上述技术方案,本发明实施例中,KS可以在本地配置一个第一组标识,并可以在GM认证成功后,将本地配置的第一组标识发送给GM,以使GM在未配置第二组标识时,使用第一组标识向KS进行注册,由KS将第一组标识对应组的安全策略和密钥信息发送给该GM,从而完成该GM的注册过程,且该GM后续可以使用该第一组标识对应组的安全策略和密钥信息。这样,便可以提高GD VPN组网的灵活性,简化GM上的配置过程。
附图说明
[0011] 图1是GD VPN的组网示意图;
[0012] 图2是本发明一种实施方式中的GD VPN的注册方法的流程图;
[0013] 图3是本发明一种实施方式中的KS的硬件结构图;
[0014] 图4是本发明一种实施方式中的GD VPN的注册装置的结构图。
具体实施方式
[0015] 针对现有技术中存在的问题,本发明实施例中提出一种GD VPN的注册方法,该方法可以应用于包括KS和多个GM的GD VPN中,以图1为本发明实施例的应用场景示意图,GD VPN由KS、GM1、GM2和GM3组成。KS划分组1和组2,组1对应安全策略1和密钥信息1,组2对应安全策略2和密钥信息2。GM1通过加入组1,从KS获取组1对应的安全策略1和密钥信息1;GM2通过加入组1,从KS获取组1对应的安全策略1和密钥信息1;GM3通过加入组2,从KS获取组2对应的安全策略2和密钥信息2。安全策略可以为数据流信息、加密算法、认证算法、封装模式等。密钥信息可以为KEK和TEK等。
[0016] 在上述应用场景下,如图2所示,该GD VPN的注册方法可包括以下步骤:
[0017] 步骤201,KS对GM进行认证。
[0018] 本发明实施例中,KS对GM进行认证的过程,具体可以包括但不限于:
[0019] 步骤1、在KS与GM之间的IKE协商过程完成后,KS接收来自GM的认证请求报文,其中,该认证请求报文中至少携带了认证信息。
[0020] 步骤2、KS利用该认证信息对GM进行认证,该认证为扩展认证过程。
[0021] 在步骤1中,GM和KS均支持扩展认证,即在KS与GM之间的IKE协商过程完成后,GM会向KS发送携带了认证信息的认证请求报文,由KS接收来自GM的携带了认证信息的认证请求报文,并执行后续步骤。
[0022] 基于此,本发明实施例中,可以预先在GM上配置支持扩展认证的信息,基于此信息,GM可以获知本GM支持扩展认证。此外,可以预先在KS上配置支持扩展认证的信息,基于此信息,KS可以获知本KS支持扩展认证。
[0023] 本发明实施例中,在KS与GM之间的IKE协商过程中,KS判断GM是否支持扩展认证;如果GM支持扩展认证,则判断KS是否支持扩展认证;如果 KS支持扩展认证,则将KS支持扩展认证的信息发送给GM,由GM在KS与GM之间的IKE协商过程完成后,向KS发送携带GM的认证信息的认证请求报文。
[0024] 其中,在KS与GM之间的IKE协商过程中,如果GM支持扩展认证,则GM可以在向KS发送的报文中携带认证标识,该认证标识表示GM支持扩展认证,基于此认证标识,KS获知GM支持扩展认证。如果KS支持扩展认证,则KS可以在向GM发送的报文中携带认证标识,该认证标识表示KS支持扩展认证,基于此认证标识,GM获知KS支持扩展认证,且在本GM支持扩展认证时,在IKE协商过程完成后,向KS发送携带GM的认证信息的认证请求报文。
[0025] 针对KS与GM之间的IKE协商过程,可以有主模式协商过程和野蛮模式协商过程等两种方式。在主模式协商过程中,一共包括三对消息。第一对消息完成了SA交换,它是一个协商确认双方IKE安全策略的过程,第一对消息包括GM向KS发送的用于协商SA交换的请求报文(称为第一条协商报文),KS向GM发送的用于协商SA交换的响应报文(称为第二条协商报文)。第二对消息完成了密钥交换,第二对消息包括GM向KS发送的用于进行密钥交换的请求报文(称为第三条协商报文),KS向GM发送的用于进行密钥交换的响应报文(称为第四条协商报文)。第三对消息完成了标识信息和验证数据的交换,并进行双方身份的认证,第三对消息包括GM向KS发送的用于进行标识信息和验证数据交换的请求报文(称为第五条协商报文),KS向GM发送的用于进行标识信息和验证数据交换的响应报文(称为第六条协商报文)。在野蛮模式协商过程中,一共包括三条协商报文。GM向KS发送第一条协商报文,该第一条协商报文中携带了建立IKE SA所使用的参数、与密钥生成相关的信息和身份验证信息等内容。KS向GM发送第二条协商报文,该第二条协商报文中携带了KS匹配到的参数、密钥生成信息和身份验证信息等内容。GM向KS发送第三条协商报文,该第三条协商报文用于回应验证结果,并在GM与KS之间建立IKE SA。
[0026] 基于上述分析,则针对主模式协商过程,GM可以在向KS发送的第一条协商报文中携带认证标识,KS可以在向GM发送的第二条协商报文、或第四条协 商报文、或第六条协商报文中携带认证标识。或者,GM可以在向KS发送的第三条协商报文中携带认证标识,KS可以在向GM发送的第四条协商报文、或第六条协商报文中携带认证标识。或者,GM可以在向KS发送的第五条协商报文中携带认证标识,KS可以在向GM发送的第六条协商报文中携带认证标识。
[0027] 针对野蛮模式协商过程,GM可以在向KS发送的第一条协商报文中携带认证标识,KS可以在向GM发送的第二条协商报文中携带认证标识。
[0028] 在步骤2中,KS利用认证请求报文中携带的认证信息对GM进行认证(即扩展认证)。本发明实施例中,在IKE协商过程与GDOI协商过程之间增加扩展认证过程(即xAuth认证过程),扩展认证是KS对GM进行的一种额外认证,扩展认证过程是在IKE协商过程完成之后进行的交互,且在KS对GM进行认证完成之后,如果认证成功,则执行步骤202,进行GDOI协商过程;如果认证失败,则KS终止GM的注册过程,并删除IKE协商过程中得到的IKE SA。
[0029] 本发明实施例中,认证请求报文中携带的认证信息可以包括用户名和密码等信息,KS利用认证信息对GM进行认证的过程,具体可以包括但不限于如下方式:KS利用认证请求报文中携带的用户名和密码查询预先配置的认证表,该认证表中记录了合法的用户名与密码之间的对应关系;如果认证表中存在认证请求报文中携带的用户名和密码之间的对应关系,则确定GM认证成功;如果认证表中不存在认证请求报文中携带的用户名和密码之间的对应关系,则确定GM认证失败。或者,KS将认证请求报文中携带的用户名和密码发送给认证服务器(如RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器),由认证服务器利用该用户名和密码对GM进行认证,具体认证过程不再赘述;如果KS收到认证服务器返回的认证成功报文,则确定GM认证成功;如果KS收到认证服务器返回的认证失败报文,则确定GM认证失败。
[0030] 在IKE协商过程中,GM与KS进行身份认证的一种实现方式为:KS为GM配置预共享密钥,由KS和GM使用预共享密钥完成双方的身份认证过程,并生成相应的IKE SA。当GD VPN中存在大量GM时,目前实现方式是:KS为每个GM配置一个预共享密钥,各GM的预共享密钥不同,这样做的原因是:保 证每个GM可以使用独立的预共享密钥与KS完成IKE协商过程,保证每个GM单独完成认证,并保证每个GM的安全性和GM身份的可信性。而本发明实施例中,可以通过上述的扩展认证过程保证每个GM的安全性和GM身份的可信性,因此,针对KS与GM之间的IKE协商过程,在KS上预先配置一个预共享密钥即可,不需要为每个GM配置一个单独的预共享密钥。进一步的,KS将该一个预共享密钥发送给多个GM中的每个GM,以使每个GM使用相同的预共享密钥,与KS进行IKE协商过程,从而简化KS上的配置,却又不减弱安全性。
[0031] 基于上述技术方案,本发明实施例中,在KS与GM之间的IKE协商过程完成之后,在KS与GM之间的GDOI协商之前,由KS对GM进行认证,并在认证成功时,才进行KS与GM之间的GDOI协商,从而保证GM的安全性和GM身份的可信性。基于此,当GD VPN中存在大量GM时,KS上可以只预先配置一个预共享密钥,并为所有GM分配该预共享密钥,不需要为每个GM配置一个单独的预共享密钥,即可以保证GM的安全性和GM身份的可信性,即已经通过认证过程保证GM的安全性和GM身份的可信性,从而简化KS上的配置过程,却又不减弱认证的可靠性,提高了GD VPN组网的灵活性。
[0032] 步骤202,KS对GM认证成功后,将本地配置的第一组标识发送给GM,以使GM在未配置第二组标识时,使用第一组标识向KS进行注册。
[0033] 本发明实施例中,KS将本地配置的第一组标识发送给GM的过程,具体可以包括但不限于如下方式:方式一,KS在接收到来自GM的第二注册消息时,如果发现该第二注册消息中未携带第二组标识,则确定该GM未配置第二组标识,并将本地配置的第一组标识发送给该GM。方式二,KS对GM认证成功后,无论该GM是否配置第二组标识,均直接将本地配置的第一组标识发送给该GM。
[0034] 其中,第二组标识是指GM预先已配置好的组标识,是GM需要加入的组的组标识,不同的GM可能对应相同的第二组标识,也可能对应不同的第二组标识。例如,GM1需要从KS获取组1对应的安全策略1和密钥信息1时,则第二组标识可以为组1。第一组标识是默认组标识,KS可以在本地配置一个第 一组标识,并配置该第一组标识对应的安全策略和密钥信息。
[0035] 步骤203,KS接收来自GM的携带组标识的第一注册消息。
[0036] 如果KS采用上述方式一将本地配置的第一组标识发送给GM,则该GM向KS发送的第一注册消息携带的组标识为第一组标识。
[0037] 如果KS采用上述方式二将本地配置的第一组标识发送给GM,则该GM收到第一组标识后,判断自身是否配置有第二组标识,如果配置有第二组标识,则利用第二组标识向KS注册,即向KS发送的第一注册消息携带的组标识为第二组标识;如果未配置有第二组标识,则利用第一组标识向KS注册,即向KS发送的第一注册消息携带的组标识为第一组标识。
[0038] 步骤204,KS将第一注册消息携带的组标识对应的安全策略和密钥信息发送给GM。
[0039] 在GDOI协商过程中,KS根据第一注册消息携带的组标识向GM发送对应的安全策略,GM对收到的安全策略进行验证,如果安全策略可接受,向KS发送确认消息,KS收到确认消息后,向GM发送第一注册消息携带的组标识对应的密钥信息,如KEK、TEK等。
[0040] 基于上述技术方案,KS可以在本地配置一个第一组标识,并可以在GM认证成功后,将本地配置的第一组标识发送给GM,以使GM在未配置第二组标识时,使用第一组标识向KS进行注册,由KS将第一组标识对应组的安全策略和密钥信息发送给该GM,从而完成该GM的注册过程,且该GM后续可以使用该第一组标识对应组的安全策略和密钥信息。这样,便可以提高GD VPN组网的灵活性,简化GM上的配置过程。。
[0041] 基于与上述方法同样的发明构思,本发明实施例中还提供了一种GD VPN的注册装置,应用于包括KS和多个GM的GD VPN中,该GD VPN的注册装置应用在KS上。其中,该GD VPN的注册装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过GD VPN的注册装置所在的KS的处理器,读取非易失性存储器中对应的计算机程序指令形成的。从硬件层面而言,如图3所示,为本发明提 出的GD VPN的注册装置所在的KS的一种硬件结构图,除了图3所示的处理器、非易失性存储器外,KS还可以包括其他硬件,如负责处理报文的转发芯片、网络接口、内存等;从硬件结构上来讲,该KS还可能是分布式设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
[0042] 如图4所示,为本发明提出的LSP的GD VPN的注册装置的结构图,应用于包括密钥服务器KS和多个组成员GM的GD VPN中,所述GD VPN的注册装置应用在所述KS上,且所述GD VPN的注册装置具体包括:
[0043] 认证模块11,用于对GM进行认证;发送模块12,用于对所述GM认证成功后,将本地配置的第一组标识发送给所述GM,以使所述GM在未配置第二组标识时,使用所述第一组标识向所述KS进行注册;接收模块13,用于接收来自所述GM的携带组标识的第一注册消息;所述发送模块12,还用于将所述第一注册消息携带的组标识对应的安全策略和密钥信息发送给所述GM。
[0044] 所述发送模块12,具体用于在将本地配置的第一组标识发送给所述GM的过程中,在接收到来自所述GM的第二注册消息时,如果发现所述第二注册消息中未携带所述第二组标识,则确定所述GM未配置所述第二组标识,并将本地配置的第一组标识发送给所述GM。
[0045] 所述认证模块11,具体用于在对GM进行认证的过程中,在KS与所述GM之间的互联网密钥交换IKE协商过程完成后,接收来自所述GM的认证请求报文,所述认证请求报文携带认证信息;利用所述认证信息对所述GM进行认证。
[0046] 所述认证信息包括用户名和密码;所述认证模块11,具体用于在利用所述认证信息对所述GM进行认证的过程中,利用所述用户名和所述密码查询预先配置的认证表,所述认证表中记录了合法的用户名与密码之间的对应关系;如果认证表中存在所述用户名和所述密码之间的对应关系,则确定所述GM认证成功;如果认证表中不存在所述用户名和所述密码之间的对应关系,则确定所述GM认证失败;或者,将所述用户名和所述密码发送给认证服务器,由所述认证服务器利用所述用户名和所述密码对所述GM进行认证;如果收到所述认证服务器返回的认证成功报文,则确定所述GM认证成功;如果收到所述认证 服务器返回的认证失败报文,则确定所述GM认证失败。
[0047] 针对所述KS与GM之间的IKE协商过程,在所述KS上预先配置一个预共享密钥;所述发送模块12,还用于将所述预共享密钥发送给所述多个GM中的每个GM,以使每个GM使用相同的预共享密钥,与所述KS进行IKE协商过程。
[0048] 其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0049] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
[0050] 本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0051] 以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。