專利名稱:一種組安全聯(lián)盟的生成方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信網(wǎng)絡(luò)路由安全技木����,尤其涉及ー種在組密鑰管理協(xié)議特別是路由協(xié)議組密鑰管理協(xié)議中的組安全聯(lián)盟的生成方法及裝置�。
背景技術(shù):
組密鑰管理協(xié)議是在組播應(yīng)用中實(shí)現(xiàn)組安全聯(lián)盟或組密鑰管理的協(xié)議,主要包括組安全聯(lián)盟的生成����、分發(fā)與更新,該組安全聯(lián)盟用于保護(hù)組播應(yīng)用消息����,為組播通信安全提供了保障����。本文中組安全聯(lián)盟等同于組密鑰�,兩個(gè)詞組可以互換使用。現(xiàn)有的組密鑰管理協(xié)議 GDOI (The Group Domain of Interpretation,組解釋域,是 RFC3547 的內(nèi)容��,最新的草案是draft-ietf-msec-gdoi-update-07,發(fā)布于2010年10月25日)�,其架構(gòu) 如圖I所示���,組播組中包括一個(gè)GCKS(Group Controller/Key Server,組控制/密鑰服務(wù)器)和多個(gè)GM(Group Member,組員)。⑶01協(xié)議的流程如圖2所示�,分為階段I協(xié)議和階段2協(xié)議����。階段I協(xié)議的目的是GM和GCKS協(xié)商初始安全聯(lián)盟并進(jìn)行相互認(rèn)證,階段I協(xié)議可以使用 ISAKMP(InternetSecurity Association and Key Management Protocol,因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議,是RFC2408的內(nèi)容)階段I協(xié)議或IKEv2 (Internet KeyExchangeProtocol Version 2,因特網(wǎng)密鑰交換協(xié)議第二版,是RFC4306的內(nèi)容)階段1(在RFC4306中稱為Initial Exchange��,初始交換)協(xié)議來實(shí)現(xiàn)。使用ISAKMP階段I協(xié)議的流程如圖3所示�,有四種交換方式,其流程分別如圖3 (a)�、圖3 (b)�����、圖3 (c)和圖3 (d)所示。使用IKEv2階段I協(xié)議的流程如圖4所示��。在所建立的初始安全聯(lián)盟的保護(hù)下,階段2協(xié)議GR0UPKEY-PULL交換的目的是GM從GCKS下載組密鑰材料包括組安全聯(lián)盟��。IETF個(gè)人草案“Group Key Management using IKEv2”(draft-yeung-g-ikev2_01,發(fā)表于 2010 年 3 月 8日)對(duì)IKEv2進(jìn)行了擴(kuò)展���,使IKEv2可以用于組密鑰管理,該方案簡(jiǎn)稱為G-IKEv2,其注冊(cè)交換(Registration Exchanges)包括 IKE_SA_INIT 交換和 GSA_AUTH 交換�,其中 IKE_SA_INIT交換用于初始安全聯(lián)盟的建立����,包括協(xié)商密碼算法��、交換隨機(jī)數(shù)和DifTie-Hellman值,而GSA_AUTH交換用于GM和GCKS之間的相互認(rèn)證����、GCKS授權(quán)GM加入某個(gè)組��、GCKS向GM發(fā)送組策略和組密鑰�����。G-IKEv2的注冊(cè)交換流程如圖5所示����。上述現(xiàn)有技術(shù)的特點(diǎn)是�����,GM與GCKS協(xié)商建立初始安全聯(lián)盟并進(jìn)行相互認(rèn)證�,在所建立的初始安全聯(lián)盟的保護(hù)下����,GCKS向GM發(fā)送組安全聯(lián)盟����。上述現(xiàn)有技術(shù)的缺點(diǎn)是,GCKS沒有和GM協(xié)商建立組安全聯(lián)盟,組安全聯(lián)盟是由GCKS單方生成的��。該缺點(diǎn)導(dǎo)致的問題是I、GM和GCKS的安全機(jī)制的實(shí)現(xiàn)和配置繁瑣�����,缺乏靈活性��。GM為了可以加入某個(gè)組,其密碼算法����、安全參數(shù)等的實(shí)現(xiàn)和配置就必須嚴(yán)格屬于GCKS的ー個(gè)子集���,或者與GCKS的實(shí)現(xiàn)和配置相同�。這導(dǎo)致了 GM和GCKS安全機(jī)制的實(shí)現(xiàn)和配置工作繁瑣,嚴(yán)重缺乏靈活性���。2、GM和GCKS的安全機(jī)制的更新困難而繁瑣。一旦在安全機(jī)制中增加新的算法和新的安全參數(shù)�����,則一般情況下所有的GM和GCKS都需要更新��,否則GM無法采用GCKS生成的組安全聯(lián)盟��,這導(dǎo)致了更新工作的困難和繁瑣�。
3����、無法滿足算法敏捷性(algorithm agility)的安全需求,這對(duì)于密鑰管理協(xié)議或安全聯(lián)盟管理協(xié)議來說���,是ー個(gè)不足或缺陷���。算法敏捷性一方面是指算法可以及時(shí)更新,另ー方面是指通信雙方可以相互協(xié)商達(dá)成采用一致的算法及相應(yīng)的參數(shù)��,而不會(huì)因?yàn)椴荒懿捎猛坏乃惴捌湎鄳?yīng)參數(shù)而導(dǎo)致無法完成交易或業(yè)務(wù)(transaction)���。上述現(xiàn)有技術(shù)的應(yīng)用場(chǎng)合是應(yīng)用層的應(yīng)用程序�,但是經(jīng)過相關(guān)的修改或調(diào)整后��,也可以應(yīng)用于較底層的路由協(xié)議�����。例如IETF(Internet EngineeringTask Force,互聯(lián)網(wǎng)エ程任務(wù)組)個(gè)人草案“ Multicast Router Key ManagementProtocol (多播路由器密鑰管理協(xié)議,簡(jiǎn)稱 MRKMP) ” (draf t-har tman-karp-mrkmp-00,發(fā)表于 2010 年 10 月 18 日)將 GDOI引入基于局域鏈路(link-local based)的路由協(xié)議組密鑰管理中,并且提出在⑶01的第ー階段(Phase I)的初始交換和認(rèn)證交換中應(yīng)用簡(jiǎn)化的IKEv2的初始交換 和認(rèn)證交換�。但是該MRKMP方案和上述現(xiàn)有技術(shù)存在同樣的問題,即沒有實(shí)現(xiàn)GM和GCKS協(xié)商建立組安全聯(lián)盟�。為了解決上述問題���、彌補(bǔ)上述缺陷��,先后出現(xiàn)實(shí)現(xiàn)了 GM和GCKS協(xié)商建立組安全聯(lián)盟的組安全聯(lián)盟管理的方案��。例如��,ー種組安全聯(lián)盟的協(xié)商方法,組安全聯(lián)盟是直接在GCKS和GM之間ー對(duì)ー協(xié)商的�,并且協(xié)商是發(fā)生在初始安全聯(lián)盟建立后、身份認(rèn)證之前的,這樣帶來的結(jié)果是GCKS需要和GM反復(fù)協(xié)商組安全聯(lián)盟����,導(dǎo)致效率低下���,而其中的身份認(rèn)證發(fā)生在組安全聯(lián)盟協(xié)商之后�����,這樣做存在的安全漏洞是���,有可能使不合法的、不能通過身份認(rèn)證的路由設(shè)備也獲得組安全聯(lián)盟�。例如����,一種實(shí)現(xiàn)多方通信安全的系統(tǒng)和方法,該方法主要包括當(dāng)系統(tǒng)工作在集中式密鑰管理方式吋,GCKS創(chuàng)建并保存組安全聯(lián)盟�,所述GCKS與組成員協(xié)商創(chuàng)建初始化安全聯(lián)盟���,并在該初始化安全聯(lián)盟保護(hù)下組成員從GCKS獲取組安全聯(lián)盟�;當(dāng)系統(tǒng)工作在分布式密鑰管理方式時(shí),在組通信開始時(shí)全體組成員共同創(chuàng)建組安全聯(lián)盟����。該方法針對(duì)應(yīng)用層并提供API調(diào)用接ロ�����,在集中式密鑰管理方式時(shí)不涉及GCKS和GM協(xié)商組安全聯(lián)盟�,而在分布式密鑰管理方式時(shí)只是提到“在組通信開始時(shí)全體組成員共同創(chuàng)建組安全聯(lián)盟”��,但是并沒有提供協(xié)商的具體方法和步驟����。例如��,針對(duì)第三方訪問安全通信會(huì)話時(shí)的一種密鑰協(xié)商和管理方法與系統(tǒng)�,即在原來兩個(gè)使用第一個(gè)密鑰建立起初次安全通信會(huì)話的設(shè)備中,當(dāng)有新加入的設(shè)備發(fā)出加入請(qǐng)求時(shí)���,原來的兩個(gè)設(shè)備使用第二個(gè)密鑰建立第二次通信會(huì)話,并且讓處理加入請(qǐng)求的設(shè)備充當(dāng)GCKS的角色���,在相互的驗(yàn)證通過后,GCKS負(fù)責(zé)將第二個(gè)密鑰(即組密鑰)發(fā)送給加入申請(qǐng)者���。顯然���,該專利的組密鑰協(xié)商方法是讓充當(dāng)GCKS的兩個(gè)設(shè)備(即最先建立初次安全通信會(huì)話的兩個(gè)設(shè)備)來為后來加入者協(xié)商組密鑰(即用第二個(gè)密鑰建立第二次通信會(huì)話),后來加入者并沒有實(shí)質(zhì)參與組密鑰的協(xié)商��,而只是接收已經(jīng)協(xié)商好的組密鑰�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供ー種組安全聯(lián)盟的生成方法及裝置,以使GCKS與GM之間的安全機(jī)制的實(shí)現(xiàn)和配置更簡(jiǎn)易�����,更具靈活性。為了解決上述技術(shù)問題�,本發(fā)明提供了ー種組安全聯(lián)盟的生成方法,包括組控制器和密鑰服務(wù)器(GCKS)收集通過身份驗(yàn)證的請(qǐng)求加入預(yù)定組的設(shè)備支持的��、且本GCKS也支持的安全參數(shù)����;根據(jù)所述安全參數(shù)生成所述預(yù)定組的組安全聯(lián)盟。
進(jìn)ー步地�,上述方法還具有下面特點(diǎn)所述GCKS是在以下過程中收集所述設(shè)備支持的�����、且本GCKS也支持的安全參數(shù)的與所述設(shè)備建立初始安全聯(lián)盟的過程、或與所述設(shè)備進(jìn)行身份驗(yàn)證的過程�����。進(jìn)ー步地���,上述方法 還具有下面特點(diǎn)所述GCKS收集所述設(shè)備支持的�、且本GCKS也支持的安全參數(shù)的步驟包括所述GCKS接收到承載所述設(shè)備支持的所有安全參數(shù)的載荷后,從中提取出本GCKS支持的安全參數(shù);或所述GCKS向所述設(shè)備發(fā)送承載本GCKS支持的所有安全參數(shù)的載荷后�����,接收所述設(shè)備反饋的從該載荷中提取的所述設(shè)備支持的安全參數(shù)。進(jìn)ー步地����,上述方法還具有下面特點(diǎn)所述載荷為以下載荷中的任ー種擴(kuò)展的通知載荷、擴(kuò)展的安全聯(lián)盟載荷�、新設(shè)計(jì)的載荷���;所述擴(kuò)展的通知載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)的通知載荷、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版(IKEv2)的通知載荷����;所述擴(kuò)展的安全聯(lián)盟載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的安全聯(lián)盟載荷�����、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的安全聯(lián)盟載荷。進(jìn)ー步地����,上述方法還具有下面特點(diǎn)所述GCKS根據(jù)所述安全參數(shù)生成組安全聯(lián)盟的步驟包括所述GCKS從所述安全參數(shù)中選擇當(dāng)前最多所述設(shè)備支持的安全參數(shù)�,利用所選擇的安全參數(shù)生成組安全聯(lián)盟����。進(jìn)ー步地��,上述方法還具有下面特點(diǎn)所述根據(jù)所述安全參數(shù)生成組安全聯(lián)盟的步驟之后�����,所述方法還包括在新設(shè)備加入所述預(yù)定組的過程中����,所述GCKS判斷該新設(shè)備支持的安全參數(shù)是否支持所述組安全聯(lián)盟,若支持�����,則將所述組安全聯(lián)盟發(fā)送給所述新設(shè)備,若不支持����,則在判斷所述新設(shè)備與當(dāng)前組內(nèi)所有組員之間有共同支持的安全參數(shù)時(shí),根據(jù)該共同支持的安全參數(shù)生成新的組安全聯(lián)盟����。為了解決上述問題����,本發(fā)明還提供了ー種生成組安全聯(lián)盟的裝置�����,應(yīng)用于組控制器和密鑰服務(wù)器(GCKS),包括收集模塊����,用于收集通過身份驗(yàn)證的請(qǐng)求加入預(yù)定組的設(shè)備支持的���、且本GCKS也支持的安全參數(shù)����;生成模塊,用于根據(jù)所述收集模塊收集的安全參數(shù)生成所述預(yù)定組的組安全聯(lián)盟�。進(jìn)ー步地,上述裝置還具有下面特點(diǎn)所述收集模塊包括接收單元�,用于接收承載所述設(shè)備支持的所有安全參數(shù)的載荷��;提取單元����,用于從所述接收単元接收到的所述載荷中提取出本GCKS支持的安全參數(shù)���,其中�,所述載荷為以下載荷中的任ー種擴(kuò)展的通知載荷�����、擴(kuò)展的安全聯(lián)盟載荷����、新設(shè)計(jì)的載荷���,所述擴(kuò)展的通知載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的通知載荷�、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的通知載荷�����,
所述擴(kuò)展的安全聯(lián)盟載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的安全聯(lián)盟載荷�����、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的安全聯(lián)盟載荷。進(jìn)ー步地,上述裝置還具有下面特點(diǎn)所述收集模塊包括發(fā)送單元����,用于向所述設(shè)備發(fā)送承載本GCKS支持的所有安全參數(shù)的載荷����;接收單元�����,用于接收所述設(shè)備反饋的從該載荷中提取的所述設(shè)備支持的安全參數(shù),其中�,所述載荷為以下載荷中的任ー種擴(kuò)展的通知載荷��、擴(kuò)展的安全聯(lián)盟載荷、新設(shè)計(jì)的載荷��,所述擴(kuò)展的通知載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的通知載荷、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的通知載荷����,所述擴(kuò)展的安全聯(lián)盟載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的安全聯(lián)盟載荷、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的安全聯(lián)盟載荷。進(jìn)ー步地,上述裝置還具有下面特點(diǎn)所述生成模塊包括選擇單元�,用于從所述收集模塊收集的安全參數(shù)中選擇當(dāng)前最多所述設(shè)備支持的安全參數(shù)����;生成単元�,用于利用所述選擇単元選擇的安全參數(shù)生成組安全聯(lián)盟��。進(jìn)ー步地��,上述裝置還具有下面特點(diǎn)還包括第一判斷模塊,用于在新設(shè)備加入所述預(yù)定組的過程中�����,判斷該新設(shè)備支持的安全參數(shù)是否支持所述組安全聯(lián)盟;發(fā)送模塊�����,用于在所述第一判斷模塊判斷該新設(shè)備支持的安全參數(shù)支持所述組安全聯(lián)盟的情況下��,將所述組安全聯(lián)盟發(fā)送給所述新設(shè)備�����;第二判斷模塊����,用于在所述第一判斷模塊判斷該新設(shè)備支持的安全參數(shù)不支持所述組安全聯(lián)盟的情況下����,判斷所述新設(shè)備與當(dāng)前組內(nèi)所有組員之間是否有共同支持的安全參數(shù);所述生成模塊���,還用于在所述判斷模塊判斷所述新設(shè)備與當(dāng)前組內(nèi)所有組員之間有共同支持的安全參數(shù)的情況下����,利用該共同支持的安全參數(shù)生成新的組安全聯(lián)盟。綜上��,本發(fā)明提供ー種組安全聯(lián)盟的生成方法及裝置����,通過在原有的流程中増加參數(shù)和消息來實(shí)現(xiàn)GM和GCKS協(xié)商組安全聯(lián)盟的功能;本發(fā)明能夠滿足組密鑰管理協(xié)議或組安全聯(lián)盟管理協(xié)議的算法敏捷性需求�。與現(xiàn)有的組安全聯(lián)盟協(xié)商方案相比,本發(fā)明降低了 GM和GCKS安全機(jī)制實(shí)現(xiàn)���、配置和更新的難度與復(fù)雜性�,增強(qiáng)了 GM和GCKS安全機(jī)制實(shí)現(xiàn)�����、配置和更新的靈活性���。
圖I是現(xiàn)有技術(shù)⑶OI的架構(gòu)示意圖���;圖2是現(xiàn)有技術(shù)⑶OI的流程示意圖;圖3 (a)是現(xiàn)有技術(shù)ISAKMP的基本交換的流程圖�;圖3 (b)是現(xiàn)有技術(shù)ISAKMP的身份保護(hù)交換的流程圖; 圖3 (C)是現(xiàn)有技術(shù)ISAKMP的僅認(rèn)證交換的流程圖;圖3(d)是現(xiàn)有技術(shù)ISAKMP的進(jìn)取交換(Aggressive Exchange)的流程圖4是現(xiàn)有技術(shù)IKEv2初始交換的流程圖�����;圖5是現(xiàn)有技術(shù)G_IKEv2的注冊(cè)交換的流程圖;圖6為本發(fā)明實(shí)施例的組安全聯(lián)盟的生成方法的流程圖�����;圖7是本發(fā)明實(shí)施例的當(dāng)有新GM請(qǐng)求加入組時(shí)更新組安全聯(lián)盟的流程圖��;圖8是本發(fā)明實(shí)施例的⑶OI的流程示意圖����;圖9 (a)是本發(fā)明實(shí)施例的在GDOI中的ISAKMP基本交換的流程圖�;圖9 (b)是本發(fā)明實(shí)施例的在GDOI中的ISAKMP身份保護(hù)交換的流程圖;圖9 (C)是本發(fā)明實(shí)施例的在⑶OI中的ISAKMP僅認(rèn)證交換的流程圖;圖9 (d)是本發(fā)明實(shí)施例的在GDOI中的ISAKMP進(jìn)取交換的流程圖��;圖10是本發(fā)明實(shí)施例的在GDOI中的IKEv2初始交換的流程圖���;圖11是本發(fā)明實(shí)施例的G_IKEv2的注冊(cè)交換的流程圖;圖12是本發(fā)明一實(shí)施例的生成組安全聯(lián)盟的裝置的示意圖;圖13是本發(fā)明另ー實(shí)施例的生成組安全聯(lián)盟的裝置的示意圖����。
具體實(shí)施例方式本發(fā)明提供的ー種組安全聯(lián)盟協(xié)商的方法,主要包括GCKS收集通過身份驗(yàn)證的請(qǐng)求加入預(yù)定組的設(shè)備支持的���、且本GCKS也支持的安全參數(shù)�����;根據(jù)所述安全參數(shù)生成所述預(yù)定組的組安全聯(lián)盟。這樣�,即可實(shí)現(xiàn)GCKS與GM之間通過協(xié)商來生成組安全聯(lián)盟�����。為了更好地理解本發(fā)明����,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)ー步地描述����。圖6為本發(fā)明實(shí)施例的組安全聯(lián)盟協(xié)商的方法的流程圖�,包括下面步驟步驟I :GCKS與請(qǐng)求加入預(yù)定組的請(qǐng)求設(shè)備建立初始安全聯(lián)盟、相互進(jìn)行身份驗(yàn)證,并從所述請(qǐng)求設(shè)備收集GCKS和所述請(qǐng)求設(shè)備都支持的安全參數(shù)�����。步驟2 =GCKS根據(jù)收集的安全參數(shù),生成組安全聯(lián)盟。步驟3 :在所建立的初始安全聯(lián)盟的保護(hù)下���,GCKS向GM發(fā)送組安全聯(lián)盟���。其中��,所述GCKS是在與所述請(qǐng)求設(shè)備建立初始安全聯(lián)盟的過程中��、或在與所述請(qǐng)求設(shè)備進(jìn)行身份驗(yàn)證的過程中,收集所述請(qǐng)求設(shè)備支持的���、且本GCKS也支持的安全參數(shù)的�。本發(fā)明實(shí)施例中GCKS從所述請(qǐng)求設(shè)備收集安全參數(shù)���,可以通過以下方式之ー完成I、在GCKS與所述請(qǐng)求設(shè)備建立初始安全聯(lián)盟的過程中完成收集安全參數(shù)�,該方式下承載所述請(qǐng)求設(shè)備或GCKS的安全參數(shù)的載荷未能得到保護(hù)���;2���、在初始安全聯(lián)盟已經(jīng)建立���、在GCKS和所述請(qǐng)求設(shè)備進(jìn)行相互身份驗(yàn)證的過程中完成收集安全參數(shù)���,該方式下承載所述請(qǐng)求設(shè)備或GCKS的安全參數(shù)的載荷能夠得到保護(hù)���。本發(fā)明實(shí)施例中承載所述請(qǐng)求設(shè)備或GCKS的安全參數(shù)的載荷可以是以下之一I�、經(jīng)過擴(kuò)展的通知載荷�;2����、經(jīng)過擴(kuò)展的安全聯(lián)盟載荷��;3���、新設(shè)計(jì)的載荷。其中��,經(jīng)過擴(kuò)展的通知載荷可以是以下之一
I����、當(dāng)⑶OI的階段I使用ISAKMP協(xié)議階段I交換時(shí)�,是擴(kuò)展的ISAKMP的通知載荷;2��、當(dāng)⑶OI的階段I使用IKEv2協(xié)議階段I交換(或稱為初始交換)時(shí)�,是擴(kuò)展的IKEv2的通知載荷;
3��、當(dāng)使用的是G_IKEv2協(xié)議吋����,是擴(kuò)展的IKEv2的通知載荷。本發(fā)明實(shí)施例中GCKS從所述請(qǐng)求設(shè)備收集安全參數(shù)實(shí)現(xiàn)GCKS和GM協(xié)商組安全聯(lián)盟,具體的實(shí)現(xiàn)方式可以是以下之一I���、所述請(qǐng)求設(shè)備向GCKS發(fā)送承載所述請(qǐng)求設(shè)備支持的所有安全參數(shù)的載荷��,GCKS從中提取所支持的安全參數(shù)��,如果GCKS不支持所述請(qǐng)求設(shè)備的所有安全參數(shù),則GCKS向所述請(qǐng)求設(shè)備發(fā)送報(bào)錯(cuò)通知,表明GCKS將無法生成所述請(qǐng)求設(shè)備支持的組安全聯(lián)盟����;2、GCKS向所述請(qǐng)求設(shè)備發(fā)送承載GCKS支持的所有安全參數(shù)的載荷����,所述請(qǐng)求設(shè)備從中選擇所有支持的安全參數(shù)�����,并用載荷承載��,將選擇的安全參數(shù)反饋給GCKS����,如果所述請(qǐng)求設(shè)備不支持GCKS的所有安全參數(shù),則所述請(qǐng)求設(shè)備向GCKS發(fā)送報(bào)錯(cuò)通知,表明所述請(qǐng)求設(shè)備將無法支持GCKS生成的組安全聯(lián)盟�。本發(fā)明實(shí)施例中根據(jù)收集的通過身份驗(yàn)證的所述請(qǐng)求設(shè)備的安全參數(shù),GCKS生成組安全聯(lián)盟�����,具體實(shí)現(xiàn)為若請(qǐng)求加入組的設(shè)備僅有ー個(gè)�,則GCKS根據(jù)該設(shè)備與本GCKS都支持的安全參數(shù)生成組安全聯(lián)盟;若請(qǐng)求加入組的設(shè)備有兩個(gè)以上�����,則GCKS選擇當(dāng)前所有所述請(qǐng)求設(shè)備都支持的安全參數(shù)�,生成組安全聯(lián)盟��;如果不存在當(dāng)前所有請(qǐng)求設(shè)備都支持的安全參數(shù)�����,則GCKS選擇當(dāng)前最多請(qǐng)求設(shè)備支持的安全參數(shù)生成組安全聯(lián)盟����。當(dāng)有新設(shè)備請(qǐng)求加入組時(shí)�����,如圖7所示�,本實(shí)施例的組安全聯(lián)盟協(xié)商的方法還包括下面步驟步驟10 =GCKS與新請(qǐng)求設(shè)備建立初始安全聯(lián)盟���、相互進(jìn)行身份驗(yàn)證�����,并從該新設(shè)備收集GCKS和該新設(shè)備都支持的安全參數(shù)�;步驟20 =GCKS檢查該新設(shè)備的安全參數(shù)����,判斷該新設(shè)備是否支持當(dāng)前的組安全聯(lián)盟,若是��,則轉(zhuǎn)向步驟30 ;否則�����,轉(zhuǎn)向步驟40 ;步驟30�����,在所建立的初始安全聯(lián)盟的保護(hù)下����,GCKS向該新設(shè)備發(fā)送當(dāng)前的組安全聯(lián)盟����;步驟40 =GCKS判斷該新設(shè)備與當(dāng)前組內(nèi)GM是否具有共同支持的安全參數(shù)�����,若有�����,則轉(zhuǎn)向步驟50 ;否則�,轉(zhuǎn)向步驟60 �;步驟50 :GCKS更新組安全聯(lián)盟��,即利用該新設(shè)備與當(dāng)前組內(nèi)GM共同支持的安全參數(shù)生成組安全聯(lián)盟����,并將更新后的GCKS發(fā)送給新GM和組內(nèi)所布GM �����;步驟60 =GCKS拒絕該新設(shè)備的加入,向該新設(shè)備發(fā)送告警信息��。本發(fā)明是在組密鑰管理協(xié)議⑶OI或組安全聯(lián)盟管理協(xié)議中増加GCKS與GM協(xié)商組安全聯(lián)盟的功能�����,并發(fā)送和更新GCKS生成的組安全聯(lián)盟。本發(fā)明是通過增加或修改原有流程中的參數(shù)和消息來實(shí)現(xiàn)GCKS與GM協(xié)商組安全聯(lián)盟��、GCKS更新井向GM發(fā)送的所生成的組安全聯(lián)盟�����。本發(fā)明改進(jìn)的組密鑰管理協(xié)議或組安全聯(lián)盟管理協(xié)議除了服務(wù)于應(yīng)用層的協(xié)議和程序外�����,還服務(wù)于較底層的協(xié)議��,特別是組播路由協(xié)議。
圖8是本發(fā)明實(shí)施例的⑶OI的流程示意圖,詳述如下階段I協(xié)議ISAKMP或IKEv2階段I交換��,完成的功能包括GCKS和GM協(xié)商初始安全聯(lián)盟����、GCKS和GM相互進(jìn)行身份認(rèn)證��、GCKS向GM收集GCKS和GM都支持的安全參數(shù)。GCKS與ー個(gè)到多個(gè)GM進(jìn)行階段I協(xié)議���。GCKS根據(jù)收集的安全參數(shù)生成組安全聯(lián)盟����。階段2協(xié)議GR0UPKEY-PULL (組密鑰下載)交換�����,完成的功能包括GM從GCKS下載密鑰材料包括所生成的組安全聯(lián)盟����。
GCKS生成新的組安全聯(lián)盟����,所述發(fā)生在兩種場(chǎng)景之下���,ー是GCKS更新當(dāng)前密鑰材料包括組安全聯(lián)盟��,ニ是當(dāng)有新的GM加入時(shí)需要生成新的組安全聯(lián)盟。階段2協(xié)議GR0UPKEY-PUSH(組密鑰推送)消息���,完成的功能包括GCKS向GM發(fā)送更新的密鑰材料包括新生成的組安全聯(lián)盟。下面以幾個(gè)實(shí)施例對(duì)本發(fā)明的組安全聯(lián)盟協(xié)商的方法進(jìn)行詳細(xì)的說明�。實(shí)施例一圖9(a)為根據(jù)本發(fā)明的在⑶OI中的ISAKMP基本交換流程圖���,通過使用擴(kuò)展的通知載荷(標(biāo)記為Ne),或者擴(kuò)展的安全聯(lián)盟載荷(標(biāo)記為SAe),或者新增的載荷(標(biāo)記為SAI (security association information,安全聯(lián)盟信息))來承載GM或GCKS支持的安全參數(shù)��,詳述如下步驟101 GM 向 GCKS 發(fā)送 HDR、SA�、NONCE ����;其中��,HDR是ISAKMP協(xié)議的頭部��,SA是GM向GCKS提供的���、用于建立初始安全聯(lián)盟的��、GM支持的所有安全參數(shù)(ー套到多套),NONCE是用于密鑰交換的隨機(jī)數(shù)。步驟102 =GCKS 向 GM 發(fā)送 HDR����、SA、NONCE����、Ne 或者 SAe 或者 SAI �;其中,SA承載的是GCKS從接收到的步驟101的SA中選擇的用于建立初始安全聯(lián)盟的安全參數(shù)(ー套)����,Ne或者SAe或者SAI承載的是GCKS向GM提供的����、用于生成組安全聯(lián)盟的�����、GCKS支持的所有安全參數(shù)(ー套到多套),例如���,如果GCKS和GM是路由設(shè)備����,GDOI用于路由協(xié)議的組安全聯(lián)盟管理,則Ne或者SAe或者SAI承載的是路由協(xié)議安全聯(lián)盟的一套到多套參數(shù)�。載荷HDR和NONCE的意思同步驟101,不再贅述���。步驟103 :611向60 發(fā)送1101 ����、1^、10^���、4^'11�����、恥或者546或者5八1 �����;其中����,KE是承載用于生成會(huì)話密鑰(session key)的數(shù)據(jù)的密鑰交換載荷�,IDii是GM的身份標(biāo)識(shí)載荷,AUTH是認(rèn)證載荷��,Ne或者SAe或者SAI承載的是從步驟102的Ne或者SAe或者SAI提供的安全參數(shù)中選取的GM支持的所有安全參數(shù)(ー套到多套)�����。至此��,GCKS完成從GM收集安全參數(shù),也即GCKS和該GM同時(shí)支持的所有安全參數(shù)�。步驟104 =GCKS 向 GM 發(fā)送 HDR�、KE����、IDir、AUTH ����;其中,IDir是GCKS的身份載荷��。至此�,GCKS和GM可根據(jù)SA��、N0NCE和KE建立初始安全聯(lián)盟��,并完成相互身份認(rèn)證�����。上述承載GM或GCKS的安全參數(shù)的載荷Ne或者SAe或者SAI是在建立初始安全聯(lián)盟的過程中發(fā)送的�����,該方式下承載GM或GCKS的安全參數(shù)的載荷未能得到保護(hù)。上述GCKS從GM收集安全參數(shù)實(shí)現(xiàn)GCKS和GM協(xié)商組安全聯(lián)盟�,具體的實(shí)現(xiàn)方式是GCKS向GM發(fā)送承載GCKS支持的所有安全參數(shù)的載荷���,GM從中選擇所有支持的安全參數(shù)�����,并用載荷承載���,將其反饋給GCKS ;如果GM不支持GCKS的所有安全參數(shù)���,則GM向GCKS發(fā)送報(bào)錯(cuò)通知�����,表明GM將無法支持GCKS生成的組安全聯(lián)盟。實(shí)施例ニ圖9(b)為根據(jù)本發(fā)明的在GDOI中的ISAKMP身份保護(hù)交換流程圖����,通過使用擴(kuò)展的通知載荷(標(biāo)記為Ne),或者擴(kuò)展的安全聯(lián)盟載荷(標(biāo)記為SAe),或者新增的載荷(標(biāo)記為SAI (security association information,安全聯(lián)盟信息))來承載GM或GCKS支持的安全參數(shù)����,詳述如下步驟201 :GM 向 GCKS 發(fā)送 HDR 和 SA�。步驟202 =GCKS 向 GM 發(fā)送 HDR 和 SA ;其中����,SA承載的是GCKS從接收到的步驟201的SA中選擇的用于 建立初始安全聯(lián)
盟的ー套安全參數(shù)���。步驟203 GM 向 GCKS 發(fā)送 HDR�����、KE�����、NONCE���。步驟204 =GCKS 向 GM 發(fā)送 HDR����、KE�、N0NCE。至此���,GCKS和GM完成密鑰交換載荷和隨機(jī)載荷的相互交換���,并建立初始安全聯(lián)盟�����。以下的交換是在初始安全聯(lián)盟的保護(hù)下進(jìn)行的�����,HDR*中的號(hào)表示HDR隨后的所有內(nèi)容都是經(jīng)過加密和完整性認(rèn)證的。步驟205 GM 向 GCKS 發(fā)送 HDR*���、IDii, AUTH����、Ne 或者 SAe 或者 SAI。步驟206 =GCKS 向 GM 發(fā)送 HDR*�����、IDii, AUTH�。至此�����,GCKS和GM完成相互的身份認(rèn)證����,并且GCKS完成從GM收集安全參數(shù)����。上述承載GM的安全參數(shù)的載荷在初始安全聯(lián)盟已經(jīng)建立�����、GCKS和GM進(jìn)行相互認(rèn)證的過程中發(fā)送的����,該方式下承載GM的安全參數(shù)的載荷能夠得到保護(hù)����。上述GCKS從GM收集安全參數(shù)實(shí)現(xiàn)GCKS和GM協(xié)商組安全聯(lián)盟��,具體的實(shí)現(xiàn)方式是GM向GCKS發(fā)送承載GM支持的所有安全參數(shù)的載荷�����,GCKS從中提取本身所支持的安全參數(shù)��;如果GCKS不支持GM的所有安全參數(shù)�����,則GCKS向GM發(fā)送報(bào)錯(cuò)通知�����,表明GCKS將無法生成GM支持的組安全聯(lián)盟���。實(shí)施例三圖9(c)為根據(jù)本發(fā)明的在⑶01中的ISAKMP僅認(rèn)證交換的流程圖�,通過使用擴(kuò)展的通知載荷(標(biāo)記為Ne),或者擴(kuò)展的安全聯(lián)盟載荷(標(biāo)記為SAe),或者新增的載荷(標(biāo)記為SAI)來承載GM或GCKS支持的安全參數(shù)�,詳述如下步驟301 GM 向 GCKS 發(fā)送 HDR��、SA�、N0NCE���、Ne 或者 SAe 或者 SAI。步驟302 =GCKS 向 GM 發(fā)送 HDR���、SA���、NONCE、IDir����、AUTH。至此�����,GCKS完成從GM收集安全參數(shù)�����。步驟303 GM 向 GCKS 發(fā)送 HDR����、IDii, AUTH���。至此�����,GCKS和GM完成初始安全聯(lián)盟的建立,并相互的身份認(rèn)證���。上述承載GM的安全參數(shù)的載荷Ne或者SAe或者SAI是在建立初始安全聯(lián)盟的過程中發(fā)送的�,該方式下承載GM的安全參數(shù)的載荷未能得到保護(hù)�����。上述GCKS從GM收集安全參數(shù)實(shí)現(xiàn)GCKS和GM協(xié)商組安全聯(lián)盟,具體的實(shí)現(xiàn)方式是GM向GCKS發(fā)送承載GM支持的所有安全參數(shù)的載荷����,GCKS從中提取本身所支持的安全參數(shù)����;如果GCKS不支持GM的所有安全參數(shù)�,則GCKS向GM發(fā)送報(bào)錯(cuò)通知,表明GCKS將無法生成GM支持的組安全聯(lián)盟�。
實(shí)施例四圖9(d)為根據(jù)本發(fā)明的在GDOI中的ISAKMP進(jìn)行交換的流程圖����,通過使用擴(kuò)展的通知載荷(標(biāo)記為Ne),或者擴(kuò)展的安全聯(lián)盟載荷(標(biāo)記為SAe),或者新增的載荷(標(biāo)記為SAI)來承載GM或GCKS支持的安全參數(shù),詳述如下步驟401 GM 向 GCKS 發(fā)送 HDR��、SA、KE����、NONCE����、IDii����、Ne 或者 SAe 或者 SAI�����。步驟402 =GCKS 向 GM 發(fā)送 HDR、SA�、KE�、NONCE��、IDir��、AUTH��。至此���,GCKS完成從GM收集安全參數(shù)��,并雙方建立初始安全聯(lián)盟���。步驟 403 GM 向 GCKS 發(fā)送 HDR*�、AUTH。至此���,GCKS和GM完成相互的身份認(rèn)證�。上述承載GM的安全參數(shù)的載荷Ne或者SAe或者SAI是在建立初始安全聯(lián)盟的過程中發(fā)送的�,該方式下承載GM的安全參數(shù)的載荷未能得到保護(hù)�����。上述GCKS從GM收集安全參數(shù)實(shí)現(xiàn)GCKS和GM協(xié)商組安全聯(lián)盟,具體的實(shí)現(xiàn)方式是GM向GCKS發(fā)送承載GM支持的所有安全參數(shù)的載荷,GCKS從中提取本身所支持的安全參數(shù)����;如果GCKS不支持GM的所有安全參數(shù)�����,則GCKS向GM發(fā)送報(bào)錯(cuò)通知,表明GCKS將無法生成GM支持的組安全聯(lián)盟。實(shí)施例五圖10為根據(jù)本發(fā)明的在GDOI中的IKEv2初始交換的流程圖�,通過使用擴(kuò)展的通知載荷(標(biāo)記為Ne),或者擴(kuò)展的安全聯(lián)盟載荷(標(biāo)記為SAe),或者新增的載荷(標(biāo)記為SAI)來承載GM或GCKS支持的安全參數(shù)�����,詳述如下步驟501 GM 向 GCKS 發(fā)送 IKE_SA_INIT 請(qǐng)求;具體地���,GM向 GCKS 發(fā)送 HDR、SAil�、KEi、Ni����,其中 HDR 是 IKEv2 的頭部����,SAil 是 GM向GCKS提供的、用于建立初始安全聯(lián)盟的����、GM支持的所有安全參數(shù)(ー套到多套)��,KEi是承載用于生成會(huì)話密鑰(session key)的數(shù)據(jù)的密鑰交換載荷����,Ni是用于密鑰交換的隨機(jī)數(shù)載荷。這些載荷標(biāo)記中的“i”表示發(fā)起者(initiator)���。步驟502 =GCKS 向 GM 發(fā)送 IKE_SA_INIT 響應(yīng)����; 具體地,GCKS向GM發(fā)送HDR�����、SArI����、KEr、Nr��、[CERTREQ],帶方括號(hào)的載荷表示可選項(xiàng)�,其中CERTREQ是證書請(qǐng)求載荷�����,其他載荷的含義同步驟501����,其中SArl承載的是GCKS從接收到的步驟501的SAil中選擇的用于建立初始安全聯(lián)盟的安全參數(shù)(ー套)。這些載荷標(biāo)記中的“:r ”表示響應(yīng)者(responder)���。至此�,GCKS和GM可建立初始安全聯(lián)盟��。以下消息的發(fā)送是在上述所建立的初始安全聯(lián)盟的保護(hù)下進(jìn)行的,用SKH表示對(duì)花括號(hào)中的載荷進(jìn)行了加密和完整性保護(hù)���。步驟503 GM 向 GCKS 發(fā)送 IKE_AUTH 請(qǐng)求���;具體地���,GM向 GCKS 發(fā)送 HDR、SK{皿�,[CERT, ] [CERTREQ, ] [IDr��,]AUTH, Ne/SAe/SAI�,TSi,TSr},其中CERT是證書載荷�����,AUTH是認(rèn)證載荷�,IDi和IDr分別是發(fā)起者和響應(yīng) 者的身份標(biāo)識(shí)載荷���,Ne或者SAe或者SAI承載的是GM向GCKS提供的�、用于生成組安全聯(lián)盟的�、GM支持的所有安全參數(shù)(ー套到多套)�����,TSi和TSr分別是發(fā)起者和響應(yīng)者的流選擇子載荷。步驟504 =GCKS 向 GM 發(fā)送 IKE_AUTH 響應(yīng)��;GCKS 向 GM 發(fā)送 HDR����、SK {IDr, [CERT, ]AUTH, TSi�,TSr}。
至此����,GCKS完成從GM收集安全參數(shù),并GCKS和GM完成相互的身份認(rèn)證�����。上述承載GM的安全參數(shù)的載荷在初始安全聯(lián)盟已經(jīng)建立、GCKS和GM進(jìn)行相互認(rèn)證的過程中發(fā)送的��,該方式下承載GM的安全參數(shù)的載荷能夠得到保護(hù)�。上述GCKS從GM收集安全參數(shù)實(shí)現(xiàn)GCKS和GM協(xié)商組安全聯(lián)盟�,具體的實(shí)現(xiàn)方式是GM向GCKS發(fā)送承載GM支持的所有安全參數(shù)的載荷,GCKS從中提取本身所支持的安全參數(shù)�;如果GCKS不支持GM的所有安全參數(shù)��,則GCKS向GM發(fā)送報(bào)錯(cuò)通知�,表明GCKS將無法生成GM支持的組安全聯(lián)盟���。
實(shí)施例六圖11為根據(jù)本發(fā)明實(shí)施例的G-IKEv2的注冊(cè)交換的流程圖,通過使用擴(kuò)展的通知載荷(標(biāo)記為Ne),或者擴(kuò)展的安全聯(lián)盟載荷(標(biāo)記為SAe),或者新增的載荷(標(biāo)記為SAI)來承載GM或GCKS支持的安全參數(shù),詳述如下步驟601 GM 向 GCKS 發(fā)送 IKE_SA_INIT 請(qǐng)求�;具體地,GM向 GCKS 發(fā)送 HDR�、SAil���、KEi、Ni����。步驟602 =GCKS 向 GM 發(fā)送 IKE_SA_INIT 響應(yīng);具體地,GCKS向 GM 發(fā)送 HDR�、SArU KEr�����、Nr�、[CERTREQ]。至此�����,GCKS和GM可建立初始安全聯(lián)盟����。以下消息的發(fā)送是在上述所建立的初始安全聯(lián)盟的保護(hù)下進(jìn)行的��。步驟603 GM 向 GCKS 發(fā)送 GSA_AUTH 請(qǐng)求;具體地���,GM向 GCKS 發(fā)送 HDR、SK {皿�����,[CERT, ] [CERTREQ, ] [IDr, ]AUTH, IDg, Ne/SAe/SAI}����,其中IDg是組標(biāo)識(shí)符載荷����,表示GM向GCKS請(qǐng)求加入的組�。步驟604 =GCKS 向 GM 發(fā)送 GSA_AUTH 響應(yīng)���;具體地��,GCKS向 GM 發(fā)送 HDR���、SK {IDr, [CERT, ]AUTH}��。至此,GCKS完成從GM收集安全參數(shù)��,并GCKS和GM完成相互的身份認(rèn)證�。上述承載GM的安全參數(shù)的載荷在初始安全聯(lián)盟已經(jīng)建立、GCKS和GM進(jìn)行相互認(rèn)證的過程中發(fā)送�,該方式下承載GM的安全參數(shù)的載荷能夠得到保護(hù)�。上述GCKS從GM收集安全參數(shù)實(shí)現(xiàn)GCKS和GM協(xié)商組安全聯(lián)盟��,具體的實(shí)現(xiàn)方式是GM向GCKS發(fā)送承載GM支持的所有安全參數(shù)的載荷�����,GCKS從中提取所支持的安全參數(shù);如果GCKS不支持GM的所有安全參數(shù)�����,則GCKS向GM發(fā)送報(bào)錯(cuò)通知,表明GCKS將無法生成GM支持的組安全聯(lián)盟���。本發(fā)明還提供ー種生成組安全聯(lián)盟的裝置��,應(yīng)用于GCKS,如圖12所示�,本實(shí)施例的裝置包括收集模塊和生成模塊,其中���,收集模塊����,用于收集通過身份驗(yàn)證的請(qǐng)求加入預(yù)定組的設(shè)備支持的、且本GCKS也支持的安全參數(shù);生成模塊���,用于根據(jù)所述收集模塊收集的安全參數(shù)生成所述預(yù)定組的組安全聯(lián)盟。在一優(yōu)選實(shí)施例中�,所述收集模塊可以包括接收單元和提取單元���,接收單元�����,用于接收承載所述設(shè)備支持的所有安全參數(shù)的載荷�����;提取單元,用于從所述接收単元接收到的所述載荷中提取出本GCKS支持的所有安全參數(shù)���。
在另ー優(yōu)選實(shí)施例中�,所述收集模塊可以包括所述收集模塊可以包括發(fā)送單元�,用于向所述設(shè)備發(fā)送承載本GCKS支持的所有安全參數(shù)的載荷;接收單元�,用于接收所述設(shè)備反饋的從該載荷中提取的所述設(shè)備支持的安全參數(shù)��。其中��,所述載荷為以下載荷中的任ー種擴(kuò)展的通知載荷���、擴(kuò)展的安全聯(lián)盟載荷���、新設(shè)計(jì)的載荷,所述擴(kuò)展的通知載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)的通知載荷����、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版(IKEv2)的通知載荷�����,所述擴(kuò)展的安全聯(lián)盟載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的安全聯(lián)盟載荷��、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的安全聯(lián)盟載荷。在一優(yōu)選實(shí)施例中��,所述生成模塊可以包括選擇單元���,用于從所述收集模塊收集的安全參數(shù)中選擇當(dāng)前最多所述設(shè)備支持的安全參數(shù)�����;生成単元�,用于利用所述選擇単元選擇的安全參數(shù)生成組安全聯(lián)盟。在一優(yōu)選實(shí)施例中,如圖13所示�,本實(shí)施例的裝置除了收集模塊和生成模塊外���,還可以包括第一判斷模塊����、發(fā)送模塊和第二判斷模塊�,其中�����,第一判斷模塊����,用于在新設(shè)備加入所述預(yù)定組的過程中�,判斷該新設(shè)備支持的安全參數(shù)是否支持所述組安全聯(lián)盟;發(fā)送模塊��,用于在所述第一判斷模塊判斷該新設(shè)備支持的安全參數(shù)支持所述組安全聯(lián)盟的情況下,將所述組安全聯(lián)盟發(fā)送給所述新設(shè)備;第二判斷模塊�����,用于在所述第一判斷模塊判斷該新設(shè)備支持的安全參數(shù)不支持所述組安全聯(lián)盟的情況下,判斷所述新設(shè)備與當(dāng)前組內(nèi)所有組員之間是否有共同支持的安全參數(shù)���;所述生成模塊�,還用于在所述第二判斷模塊判斷所述新設(shè)備與當(dāng)前組內(nèi)所有組員之間有共同支持的安全參數(shù)的情況下�����,利用該共同支持的安全參數(shù)生成新的組安全聯(lián)盟�。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成���,所述程序可以存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,如只讀存儲(chǔ)器����、磁盤或光盤等��?�?蛇x地����,上述實(shí)施例的全部或部分步驟也可以使用ー個(gè)或多個(gè)集成電路來實(shí)現(xiàn)��。相應(yīng)地�����,上述實(shí)施例中的各模塊/単元可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能模塊的形式實(shí)現(xiàn)�����。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合���。以上僅為本發(fā)明的優(yōu)選實(shí)施例,當(dāng)然���,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍����。權(quán)利要求
1.ー種組安全聯(lián)盟的生成方法���,包括 組控制器和密鑰服務(wù)器(GCKS)收集通過身份驗(yàn)證的請(qǐng)求加入預(yù)定組的設(shè)備支持的��、且本GCKS也支持的安全參數(shù); 根據(jù)所述安全參數(shù)生成所述預(yù)定組的組安全聯(lián)盟。
2.如權(quán)利要求I所述的方法��,其特征在干 所述GCKS是在以下過程中收集所述設(shè)備支持的、且本GCKS也支持的安全參數(shù)的與所述設(shè)備建立初始安全聯(lián)盟的過程、或與所述設(shè)備進(jìn)行身份驗(yàn)證的過程����。
3.如權(quán)利要求I或2所述的方法,其特征在于所述GCKS收集所述設(shè)備支持的、且本GCKS也支持的安全參數(shù)的步驟包括 所述GCKS接收到承載所述設(shè)備支持的所有安全參數(shù)的載荷后��,從中提取出本GCKS支持的安全參數(shù)�����;或 所述GCKS向所述設(shè)備發(fā)送承載本GCKS支持的所有安全參數(shù)的載荷后����,接收所述設(shè)備反饋的從該載荷中提取的所述設(shè)備支持的安全參數(shù)。
4.如權(quán)利要求3所述的方法�����,其特征在于所述載荷為以下載荷中的任ー種 擴(kuò)展的通知載荷���、擴(kuò)展的安全聯(lián)盟載荷、新設(shè)計(jì)的載荷; 所述擴(kuò)展的通知載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)的通知載荷��、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版(IKEv2)的通知載荷; 所述擴(kuò)展的安全聯(lián)盟載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的安全聯(lián)盟載荷�、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的安全聯(lián)盟載荷。
5.如權(quán)利要求I或2所述的方法,其特征在于所述GCKS根據(jù)所述安全參數(shù)生成組安全聯(lián)盟的步驟包括 所述GCKS從所述安全參數(shù)中選擇當(dāng)前最多所述設(shè)備支持的安全參數(shù),利用所選擇的安全參數(shù)生成組安全聯(lián)盟���。
6.如權(quán)利要求I所述的方法��,其特征在于所述根據(jù)所述安全參數(shù)生成組安全聯(lián)盟的步驟之后���,所述方法還包括 在新設(shè)備加入所述預(yù)定組的過程中,所述GCKS判斷該新設(shè)備支持的安全參數(shù)是否支持所述組安全聯(lián)盟�,若支持��,則將所述組安全聯(lián)盟發(fā)送給所述新設(shè)備�,若不支持,則在判斷所述新設(shè)備與當(dāng)前組內(nèi)所有組員之間有共同支持的安全參數(shù)時(shí)����,根據(jù)該共同支持的安全參數(shù)生成新的組安全聯(lián)盟。
7.—種生成組安全聯(lián)盟的裝置�����,應(yīng)用于組控制器和密鑰服務(wù)器(GCKS)�����,包括 收集模塊,用于收集通過身份驗(yàn)證的請(qǐng)求加入預(yù)定組的設(shè)備支持的�、且本GCKS也支持的安全參數(shù)����; 生成模塊�����,用于根據(jù)所述收集模塊收集的安全參數(shù)生成所述預(yù)定組的組安全聯(lián)盟���。
8.如權(quán)利要求7所述的裝置����,其特征在于所述收集模塊包括 接收單元����,用于接收承載所述設(shè)備支持的所有安全參數(shù)的載荷����; 提取單元�,用于從所述接收單元接收到的所述載荷中提取出本GCKS支持的安全參數(shù), 其中���,所述載荷為以下載荷中的任ー種 擴(kuò)展的通知載荷����、擴(kuò)展的安全聯(lián)盟載荷����、新設(shè)計(jì)的載荷, 所述擴(kuò)展的通知載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的通知載荷��、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的通知載荷����, 所述擴(kuò)展的安全聯(lián)盟載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的安全聯(lián)盟載荷、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的安全聯(lián)盟載荷�。
9.如權(quán)利要求7所述的裝置���,其特征在于所述收集模塊包括 發(fā)送單元���,用于向所述設(shè)備發(fā)送承載本GCKS支持的所有安全參數(shù)的載荷����; 接收單元����,用于接收所述設(shè)備反饋的從該載荷中提取的所述設(shè)備支持的安全參數(shù)�, 其中�����,所述載荷為以下載荷中的任ー種 擴(kuò)展的通知載荷、擴(kuò)展的安全聯(lián)盟載荷��、新設(shè)計(jì)的載荷�����, 所述擴(kuò)展的通知載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的通知載荷��、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的通知載荷���, 所述擴(kuò)展的安全聯(lián)盟載荷為擴(kuò)展的因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議的安全聯(lián)盟載荷、或擴(kuò)展的因特網(wǎng)密鑰交換協(xié)議第二版的安全聯(lián)盟載荷����。
10.如權(quán)利要求7所述的裝置,其特征在于所述生成模塊包括 選擇單元�,用于從所述收集模塊收集的安全參數(shù)中選擇當(dāng)前最多所述設(shè)備支持的安全參數(shù); 生成単元����,用于利用所述選擇単元選擇的安全參數(shù)生成組安全聯(lián)盟���。
11.如權(quán)利要求7-10任一項(xiàng)所述的裝置��,其特征在于還包括 第一判斷模塊���,用于在新設(shè)備加入所述預(yù)定組的過程中����,判斷該新設(shè)備支持的安全參數(shù)是否支持所述組安全聯(lián)盟; 發(fā)送模塊,用于在所述第一判斷模塊判斷該新設(shè)備支持的安全參數(shù)支持所述組安全聯(lián)盟的情況下���,將所述組安全聯(lián)盟發(fā)送給所述新設(shè)備��; 第二判斷模塊�,用于在所述第一判斷模塊判斷該新設(shè)備支持的安全參數(shù)不支持所述組安全聯(lián)盟的情況下,判斷所述新設(shè)備與當(dāng)前組內(nèi)所有組員之間是否有共同支持的安全參數(shù); 所述生成模塊�,還用于在所述判斷模塊判斷所述新設(shè)備與當(dāng)前組內(nèi)所有組員之間有共同支持的安全參數(shù)的情況下����,利用該共同支持的安全參數(shù)生成新的組安全聯(lián)盟。
全文摘要
本發(fā)明提供一種組安全聯(lián)盟的生成方法及裝置��,該方法包括組控制器和密鑰服務(wù)器(GCKS)收集通過身份驗(yàn)證的請(qǐng)求加入預(yù)定組的設(shè)備支持的���、且本GCKS也支持的安全參數(shù)��;根據(jù)所述安全參數(shù)生成所述預(yù)定組的組安全聯(lián)盟�����。通過本發(fā)明可以使GCKS與GM之間的安全機(jī)制的實(shí)現(xiàn)和配置更簡(jiǎn)易���,更具靈活性。
文檔編號(hào)H04L29/06GK102655452SQ20111005334
公開日2012年9月5日 申請(qǐng)日期2011年3月4日 優(yōu)先權(quán)日2011年3月4日
發(fā)明者梁小萍 申請(qǐng)人:中興通訊股份有限公司