[发明专利]组密钥管理中实现新组员注册的方法、装置及系统

说明书

技术领域

本发明涉及组密钥管理技术，特别涉及组密钥管理中实现新组员注册的方法、装置及系统。

背景技术

互联网协议安全(IPsec，IP Security)是一组安全协议的总称，包括密钥管理和数据安全，以点对点的方式工作在IP层，能够提供授权、认证、密钥协商、密钥更新、数据安全等服务。开放最短路径优先路由协议第3版(OSPFv3，Open Shortest Path First version 3)是一种域内路由协议。RFC4552提出了如何用IPsec来解决OSPFv3的安全问题，针对OSPFv3运行于多播网络上的情况，提出了用组安全联盟(GSA，Group Security Association)来解决安全问题，让网络上的路由器共享同样的组安全算法以及密钥，即路由器在获得的GSA的保护下进行OSPF通信，建立路由。

但RFC4552只规定了如何使用GSA来解决OSPFv3的安全问题，但并没有同时提供一种自动组密钥管理机制，只建议了手工配置的方式。组密钥管理中很重要的一部分为组密钥的动态更新，即当组密钥到期或泄漏时，必须用新的密钥替换原来的密钥，即路由器必须在组密钥更新后，获得更新后的GSA。这种情况下手工配置就存在可扩展性差、安全性低的缺点，不适合多播网络较多、路由器数量较大的情况。

基于上述问题，OSPF和路由协议安全需求(RPSEC，Routing ProtocolSecurity Requirements)工作组提出了组密钥管理机制，该组密钥管理机制基于多播安全(MSEC，Multicast Security)工作组制定的组密钥管理(GKM，Group Key Management)协议，目的在于在组密钥动态更新后使路由器能自动获得更新后的GSA，以此来代替手工配置的方法。

draft-liu-ospfv3-automated-keying-req讨论了基于MSEC的GKM协议实现OSPFv3 IPsec组密钥管理中具体的需求。

用MSEC的GKM协议实现组密钥管理存在如下问题：MSEC的GKM协议基于客户端/服务器模型，要求客户端和服务端之间必须可达，也就是该协议运行时必须存在从客户端到服务器的路由。但在OSPFv3 IPsec的应用场景中，路由是由OSPFv3路由器建立的，建立过程需要MSEC的GKM协议的保护，这种保护由组控制器和密钥管理服务器(GCKS，GroupController Key Server)中的组安全联盟(GSA，Group Security Association)协议提供。路由器必须先从GCKS下载GSA后才能建立路由，但没有建立路由之前，路由器又无法从GCKS下载GSA，形成了矛盾。

进一步，由于GSA的传输也需要安全保护，通常将路由器从GCKS获得GSA的过程包含在MSEC的GKM协议注册过程中。所述注册的第一阶段为路由器作为组员向GCKS请求认证和密钥协商，此处的密钥指保证传输GSA安全的由路由器和GCKS两两协商的密钥，成功后与GCKS建立经过认证的加密通道，加密通道即指路由器和GCKS在交互中使用协商的密钥解析接收到的各种消息；所述注册的第二阶段为路由器通过所述加密通道向GCKS请求GSA下载，并获得GSA。不论在哪一个阶段，都可以将从路由器向GCKS发送的请求报文称为原始注册请求报文，而将GCKS返回的携带请求处理结果的响应报文称为原始响应报文，区别在于不同注册阶段的上述报文中携带的参数和内容不同。路由器和GCKS不断重复通过原始注册请求报文和原始响应报文进行的交互，直到路由器通过原始响应报文获得GCKS提供的GSA，注册过程的所有阶段结束。

考虑到GSA传输的安全性，解决MSEC的GKM协议实现OSPFv3 IPsec组密钥管理中存在的问题，需要GCKS本地可达，即路由器必须能在一跳内访问GCKS，运行注册过程以获得GSA。为此，draft-liu-ospfv3-automated-keying-req提出了3种可能的GCKS部署场景，下面简述这3种部署场景。

第一、在每个需要自动组密钥管理服务的OSPFv3多播网络上都部署一个GCKS，该GCKS可以是物理的，也可以是逻辑的，即GCKS由OSPFv3路由器担任。