專利名稱:一種實現(xiàn)組安全聯(lián)盟共享的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全傳輸技術(shù)�,特別是指一種在群組中實現(xiàn)組安全聯(lián)盟共享的方法。
背景技術(shù):
在TCP/IP網(wǎng)絡(luò)中���,IPsec是在IP層保護點到點流量的通用機制�。IPsec主要通過封裝安全載荷(ESP)和驗證頭(AH)協(xié)議來保護流量,其中,ESP能通過加密報文來提供報文的保密性,ESP也能夠提供源驗證、完整性保護和防回放(replay)攻擊能力;AH協(xié)議為報文提供源驗證����、完整性保護和防回放保護。ESP和AH協(xié)議工作的先決條件是兩個端點間存在安全聯(lián)盟(SA,SecurityAssociation)����,這樣就可以根據(jù)SA�����,在IPsec所保護的源端點和目的端點間來決定對報文采用何種處理方式�。這里��,所述的安全聯(lián)盟包括安全算法、安全服務(wù)�����、算法參數(shù)等內(nèi)容���。因此�,要使用ESP和AH協(xié)議���,就需要在IPsec的源端點和目的端點之間建立安全聯(lián)盟�,包括協(xié)商密鑰����,建立安全聯(lián)盟的工作一般是由因特網(wǎng)密鑰交換協(xié)議(IKE)來完成的����。
目前����,IKE只能支持點到點安全聯(lián)盟的建立�,也就是說只能在兩個節(jié)點間建立安全聯(lián)盟�����,而不能在超過兩個節(jié)點的群組中使用IKE來建立多節(jié)點共用的安全聯(lián)盟��。IKE在兩個節(jié)點間建立安全聯(lián)盟具體包括兩個階段第一階段是初始交換(INITIAL EXCHANGE)�,建立安全聯(lián)盟的發(fā)起端與響應(yīng)端之間通過DH算法產(chǎn)生一個密鑰��,同時完成兩端節(jié)點間的相互身份驗證��,創(chuàng)建IKE_SA�,該IKE_SA用來保護第二階段的交換����。第二階段主要是創(chuàng)建CHILD_SA交換(CREAT_CHILD_SA_EXCHANGE)��,建立安全聯(lián)盟的發(fā)起端與響應(yīng)端之間采用DH算法或其它加密算法產(chǎn)生一個CHILD_SA��,該CHILD_SA在使用ESP和AH協(xié)議時用于保護數(shù)據(jù)流量�����,在產(chǎn)生CHILD_SA過程中所使用的密鑰SK就是第一階段產(chǎn)生的IKE_SA�。第二階段還可以包括信息交換(INFORMATIONAL EXCHANGE)��,用來在IKE的兩個端點間傳輸一些數(shù)據(jù)信息�����?����?傊?���,在IKE中����,創(chuàng)建CHILD_SA交換和信息交換只有在初始交換完成后才能進行��。
由于IKE只能在群組中的任意兩個節(jié)點之間直接建立安全聯(lián)盟�����,所以IKE就無法在組播通信中使用���,因為在組播通信中,一個源接點發(fā)出的報文通常需要發(fā)送給多個目的節(jié)點���,由于SA創(chuàng)建��、SA查找和SA加密的成本問題����,在組播中不可能在源和每個目的節(jié)點之間使用不同的SA�����,必須在同一組播組中使用同一個SA�����。那么,要想在整個群組中全部使用同一安全聯(lián)盟����,就必須存在一個安全的方式將這個安全聯(lián)盟通知給其他的群組成員。
因特網(wǎng)工程任務(wù)組(IETF)的Msec工作組定義了一套完整的框架和協(xié)議來支持群組內(nèi)建立和發(fā)布安全聯(lián)盟�,其中,在組安全聯(lián)盟模型中定義了幾個協(xié)議�,包括登記協(xié)議,是組控制器/密鑰服務(wù)器(GCKS)和組成員之間的雙向單播協(xié)議��,通過該協(xié)議GCKS可驗證加入的組成員�����,并且為組成員提供Re-key協(xié)議和Data security協(xié)議安全聯(lián)盟的信息��;Re-key協(xié)議����,負(fù)責(zé)周期性地向組成員發(fā)送Re-key信息;數(shù)據(jù)安全協(xié)議(Data Security Protocol)�,可支持組播源向組成員安全地發(fā)送報文。但是���,Msec所提出的解決方式需要設(shè)計大量的新協(xié)議����,增加了安全聯(lián)盟開發(fā)和部署的難度�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種實現(xiàn)組安全聯(lián)盟共享的方法�����,其能在IPsec框架下���,支持組播通信中采用一個共享的安全聯(lián)盟�。
為達到上述目的���,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種實現(xiàn)組安全聯(lián)盟共享的方法��,該方法包括a.組播源節(jié)點接收節(jié)點的創(chuàng)建安全聯(lián)盟SA請求�,判斷當(dāng)前請求節(jié)點所屬組是否已存在共享CHILD_SA����,如果已存在,則執(zhí)行步驟b����;否則�,組播源節(jié)點與當(dāng)前請求節(jié)點創(chuàng)建安全聯(lián)盟�����,生成共享CHILD_SA���,并記錄當(dāng)前請求節(jié)點為其所屬組的傳播節(jié)點�,結(jié)束當(dāng)前流程�;b.通知當(dāng)前請求節(jié)點從其所屬組的傳播節(jié)點獲取共享CHILD_SA;當(dāng)前請求節(jié)點向本組的傳播節(jié)點發(fā)送獲取請求�����,本組的傳播節(jié)點使用兩點間建立的安全聯(lián)盟將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點���。
其中���,步驟a進一步包括創(chuàng)建安全聯(lián)盟生成共享CHILD_SA后,所述組播源節(jié)點向所述傳播節(jié)點發(fā)送義務(wù)向組中其它節(jié)點成員發(fā)共享CHILD_SA的指示���。
步驟b中當(dāng)前請求節(jié)點向本組傳播節(jié)點發(fā)送獲取請求之前進一步包括當(dāng)前請求節(jié)點判斷是否已與本組傳播節(jié)點建立安全聯(lián)盟�,如果是,則使用已建立的安全聯(lián)盟�����;否則��,先與本組傳播節(jié)點建立兩點間的安全聯(lián)盟�����。
該方法進一步包括將同一組播組的所有節(jié)點劃分為一個以上組播子組��。這里���,是根據(jù)每個節(jié)點的IP地址或域名將同一組播組的所有節(jié)點劃分為一個以上組播子組。
上述方案中�����,步驟a中所述記錄為記錄當(dāng)前請求節(jié)點為其所屬組播組和所屬組播子組的傳播節(jié)點���;則步驟b之前進一步包括確定當(dāng)前請求節(jié)點所屬組播子組��,判斷該子組是否已存在傳播節(jié)點��,如果存在��,則通知當(dāng)前請求節(jié)點從其所屬組播子組的傳播節(jié)點獲取共享CHILD_SA���;當(dāng)前請求節(jié)點向本子組的傳播節(jié)點發(fā)送獲取請求�,本子組的傳播節(jié)點使用兩點間建立的安全聯(lián)盟將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點�;否則,通知當(dāng)前請求節(jié)點從其所屬組播組的傳播節(jié)點獲取共享CHILD_SA�;當(dāng)前請求節(jié)點向本組的傳播節(jié)點發(fā)送獲取請求,本組的傳播節(jié)點使用兩點間建立的安全聯(lián)盟將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點�。
上述方案中,所述組播源節(jié)點為組播源/組播控制器�,或為負(fù)責(zé)組播源節(jié)點管理的服務(wù)器。其中���,所述負(fù)責(zé)組播源節(jié)點管理的服務(wù)器為組控制器和密鑰服務(wù)器��。
上述方案中���,所述組播源節(jié)點根據(jù)當(dāng)前請求節(jié)點的IP地址或域名來確定該請求節(jié)點所屬的組播組或組播子組。
該方法進一步包括確定當(dāng)前請求節(jié)點所屬組播組或組播子組的同時�����,采用組播傳輸中的組管理協(xié)議完成當(dāng)前請求節(jié)點的身份驗證。
該方法進一步包括組播源節(jié)點與組播組中一個節(jié)點Ai產(chǎn)生共享CHILD_SA后���,以廣播方式通知該組播組的其余節(jié)點從節(jié)點Ai獲取共享CHILD_SA��。
因此��,本發(fā)明所提供的實現(xiàn)組安全聯(lián)盟共享的方法��,對現(xiàn)有的IKE進行了擴展,組播源節(jié)點只與組播組中的某個節(jié)點創(chuàng)建安全聯(lián)盟�����、生成共享CHILD_SA�,該組中的其它節(jié)點再向組播源節(jié)點發(fā)送創(chuàng)建SA請求時,組播源節(jié)點只需通知該請求節(jié)點向已生成CHILD_SA的節(jié)點索取共享CHILD_SA����,該請求節(jié)點再采用現(xiàn)有IKE與已生成CHILD_SA節(jié)點創(chuàng)建兩點間的SA并獲取共享CHILD_SA,如此����,不僅能夠在IPsec框架下以盡量少地改動支持多播節(jié)點共享同一SA,而且����,避免了每個組成員都與組播源節(jié)點創(chuàng)建SA�、生成CHILD_SA所帶來的大量資源消耗����,減少了組播源節(jié)點的負(fù)荷。另外�����,擴展目前已存在的協(xié)議來支持組安全聯(lián)盟管理�����,不需要重新發(fā)明一套新協(xié)議����,使實現(xiàn)的復(fù)雜度大大降低,更易于與現(xiàn)有技術(shù)融合��。
本發(fā)明在組播組中任意的兩個節(jié)點間��,仍采用生成IKE_SA的方式來保護CHILD_SA的傳輸���,因此能保證安全地傳輸共享CHILD_SA�����。本發(fā)明還可將同一組的節(jié)點根據(jù)需要劃分成多個小組�,每個小組中只有一個節(jié)點從已生成CHILD_SA節(jié)點獲取共享CHILD_SA,而該小組的其它節(jié)點均從該節(jié)點獲得共享CHILD_SA��,這樣使創(chuàng)建SA盡可能分布化���,減少了傳輸共享CHILD_SA節(jié)點的負(fù)荷�����。
圖1為本發(fā)明方法一實施例實現(xiàn)的流程示意圖。
圖2為本發(fā)明方法另一實施例實現(xiàn)的流程示意圖��。
具體實施例方式
下面結(jié)合附圖及具體實施例對本發(fā)明再作進一步詳細(xì)的說明����。
本發(fā)明的基本思想就是在組播組中,組播源節(jié)點只與該組中第一個發(fā)起創(chuàng)建SA請求的節(jié)點創(chuàng)建安全聯(lián)盟�,生成共享CHILD_SA,組中其它節(jié)點再向組播源節(jié)點發(fā)起創(chuàng)建SA請求時�,組播源節(jié)點通知該發(fā)起創(chuàng)建SA請求的節(jié)點從已生成共享CHILD_SA節(jié)點獲取共享CHILD_SA,該發(fā)起創(chuàng)建SA請求的節(jié)點再與已生成共享CHILD_SA節(jié)點創(chuàng)建兩節(jié)點間的IKE_SA�,已生成共享CHILD_SA節(jié)點利用所創(chuàng)建的IKE_SA向發(fā)起創(chuàng)建SA請求的節(jié)點發(fā)送共享CHILD_SA�����。
這里��,組播源節(jié)點可以是組播源/組播控制器��,也可以是與組播源密切相關(guān)的�����、負(fù)責(zé)該組播源管理的服務(wù)器���,比如組控制器和密鑰服務(wù)器(GCKS,GroupController and Key Server)�����。
以組播源節(jié)點為組播源/組播控制器S為例���,本發(fā)明實現(xiàn)組安全聯(lián)盟共享的具體流程如圖1所示����,包括以下步驟步驟101組播源S接收某個節(jié)點發(fā)來的創(chuàng)建SA請求;步驟102~104組播源S判斷當(dāng)前請求節(jié)點所屬組播組是否已存在共享CHILD_SA��,如果已存在���,則執(zhí)行步驟105���;如果未存在,則組播源S與當(dāng)前請求節(jié)點之間通過IKE兩個階段的交換�����,產(chǎn)生一個IKE_SA和一個共享CHILD_SA���,該共享CHILD_SA作為保護組播數(shù)據(jù)流量的SA�。
然后�����,組播源S記錄當(dāng)前請求節(jié)點為其所屬組播組的傳播節(jié)點�,并通過IKE的信息交換INFORMATIONAL EXCHANGE向該傳播節(jié)點發(fā)出指示����,指示該節(jié)點有義務(wù)向本組其他成員發(fā)送所創(chuàng)建的共享CHILD_SA。
其中,當(dāng)前請求節(jié)點與組播源S之間通過IKE兩個階段的交換就是指IKE中的初始交換和創(chuàng)建CHILD_SA交換�,當(dāng)前請求節(jié)點與組播源S之間的信息交換受步驟103中產(chǎn)生的IKE_SA保護。
步驟102中����,組播源S可以根據(jù)當(dāng)前請求節(jié)點在創(chuàng)建SA請求中所攜帶的IP地址段或域名等信息確定其所屬的組播組。
步驟105~106組播源S通知當(dāng)前請求節(jié)點向該組的傳播節(jié)點索取共享CHILD_SA�����;當(dāng)前請求節(jié)點判斷一下是否與本組的傳播節(jié)點之間已存在安全聯(lián)盟�����,如果未存在����,則創(chuàng)建該兩點間的安全聯(lián)盟,產(chǎn)生IKE_SA(傳播節(jié)點���,當(dāng)前請求節(jié)點)����,如果已存在���,則不必再創(chuàng)建����,使用已有的IKE_SA(傳播節(jié)點,當(dāng)前請求節(jié)點)����;然后,當(dāng)前請求節(jié)點向本組的傳播節(jié)點發(fā)送獲取請求�����,傳播節(jié)點使用當(dāng)前的IKE_SA(傳播節(jié)點�,當(dāng)前請求節(jié)點)將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點,則當(dāng)前請求節(jié)點共享組安全聯(lián)盟�。
同理,同一組中的任意節(jié)點均可重復(fù)執(zhí)行上述步驟���,從該組的傳播節(jié)點獲得共享CHILD_SA����,共享組安全聯(lián)盟��。
假定A0���、A1......An為同一組播組節(jié)點成員�����,A0為第一個向S發(fā)起創(chuàng)建SA的節(jié)點����,且A0與組中其它任何成員都未建立兩點間的安全聯(lián)盟��,那么�����,A0與A1......An共享安全聯(lián)盟的實現(xiàn)過程是1)組播源S接收到A0發(fā)起的創(chuàng)建SA請求后���,判斷A0所屬組播組是否已存在共享CHILD_SA���,發(fā)現(xiàn)未存在,則A0與S之間通過IKE兩個階段的交換����,產(chǎn)生一個IKE_SA和一個共享CHILD_SA;然后���,組播源S記錄A0為本組的傳播節(jié)點��,并指示A0有義務(wù)向組中其它成員發(fā)送所創(chuàng)建的共享CHILD_SA��。
2)組播源S接收到A1的創(chuàng)建SA請求后��,判斷A1所屬組播組是否已存在共享CHILD_SA���,發(fā)現(xiàn)已存在且該組的傳播節(jié)點為A0�����,則組播源S通知A1向A0索取共享CHILD_SA��;A1發(fā)現(xiàn)與A0之間不存在安全聯(lián)盟�����,則先創(chuàng)建該兩點間的安全聯(lián)盟�,產(chǎn)生IKE_SA(A0��,A1)�,之后,A1向A0發(fā)送獲取請求��,A0使用當(dāng)前的IKE_SA(A0����,A1)將共享CHILD_SA發(fā)送給A1,則A0與A1共享同一安全聯(lián)盟�����。
同理��,其它任意一個與A0同組的組播節(jié)點均從A0獲得共享CHILD_SA�,也就是說,對于A2����、A3...An再向組播源S發(fā)送創(chuàng)建組播SA請求,均可依次類推����,從A0獲得共享CHILD_SA。
為了減輕A0的負(fù)荷���,避免單個節(jié)點負(fù)載過重�,組播源S還可將同一組播組的若干個成員按域劃分為一個以上組播子組��,比如根據(jù)IP地址或域名劃分。在每個組播子組中�,第一個從A0獲取共享CHILD_SA的節(jié)點作為該組播子組的傳播節(jié)點,也就是說����,該組播子組其余節(jié)點再向組播源S發(fā)送創(chuàng)建組播SA請求時,組播源S會通知當(dāng)前的請求節(jié)點從該組播子組的傳播節(jié)點獲取共享CHILD_SA�����,而不必從A0獲取��。
組播源S對每個組播子組進行統(tǒng)一管理和調(diào)度��,即組播源S需要對每個向自身發(fā)起創(chuàng)建組播SA請求的節(jié)點進行判斷�,確定其所屬的組播子組,再判斷該組播子組是否已存在傳播節(jié)點�����,如果有�,則通知當(dāng)前發(fā)請求的節(jié)點從其所屬組播子組的傳播節(jié)點獲取共享CHILD_SA;如果沒有�����,則組播源S需要通知當(dāng)前發(fā)請求的節(jié)點從A0獲取共享CHILD_SA,并記錄該節(jié)點為該組播子組的傳播節(jié)點�����。
組播源S將同一組播組成員劃分為多個組播子組的情況下�,本實施例中實現(xiàn)組安全聯(lián)盟共享的具體流程如圖2所示�,包括以下步驟步驟201~204組播源S接收某個節(jié)點發(fā)來的創(chuàng)建SA請求;組播源S判斷當(dāng)前請求節(jié)點所屬組播組是否已存在共享CHILD_SA�����,如果已存在����,則執(zhí)行步驟105;如果未存在��,則組播源S與當(dāng)前請求節(jié)點之間通過IKE兩個階段的交換����,產(chǎn)生一個IKE_SA和一個共享CHILD_SA,該共享CHILD_SA作為保護組播數(shù)據(jù)流量的SA�。
然后,組播源S記錄當(dāng)前請求節(jié)點為其所屬組播組和組播子組的傳播節(jié)點����,并向該傳播節(jié)點發(fā)出指示���,指示該節(jié)點有義務(wù)向本組其他成員發(fā)送所創(chuàng)建的共享CHILD_SA。
步驟202中�,組播源S可以根據(jù)當(dāng)前請求節(jié)點在創(chuàng)建SA請求中所攜帶的IP地址段或域名等信息確定其所屬的組播組和組播子組。
步驟205~207組播源S確定當(dāng)前請求節(jié)點所屬的組播子組����,判斷該組播子組是否已有傳播節(jié)點,如果有�,則執(zhí)行步驟209;否則�����,組播源S通知當(dāng)前請求節(jié)點從本組的傳播節(jié)點獲取共享CHILD_SA����,并記錄當(dāng)前請求節(jié)點為其所屬組播子組的傳播節(jié)點,然后�����,組播源S指示當(dāng)前請求節(jié)點有義務(wù)為本組播子組的其它節(jié)點傳輸共享CHILD_SA,執(zhí)行步驟208��。
步驟208當(dāng)前請求節(jié)點判斷一下是否與本組的傳播節(jié)點之間已存在安全聯(lián)盟����,如果未存在,則創(chuàng)建該兩點間的安全聯(lián)盟�,產(chǎn)生IKE_SA(傳播節(jié)點,當(dāng)前請求節(jié)點)�,如果已存在,則不必再創(chuàng)建���,使用已有的IKE_SA(傳播節(jié)點,當(dāng)前請求節(jié)點)���;然后���,當(dāng)前請求節(jié)點向本組的傳播節(jié)點發(fā)送獲取請求,傳播節(jié)點使用當(dāng)前的IKE_SA(傳播節(jié)點��,當(dāng)前請求節(jié)點)將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點���,則當(dāng)前請求節(jié)點共享組安全聯(lián)盟�,結(jié)束當(dāng)前流程。
步驟209組播源S通知當(dāng)前請求節(jié)點從其所屬組播子組的傳播節(jié)點獲取共享CHILD_SA����。
步驟210當(dāng)前請求節(jié)點判斷一下是否與本子組的傳播節(jié)點之間已存在安全聯(lián)盟,如果未存在�����,則創(chuàng)建該兩點間的安全聯(lián)盟�����,產(chǎn)生IKE_SA(本子組傳播節(jié)點��,當(dāng)前請求節(jié)點)���,如果已存在��,則不必再創(chuàng)建��,使用已有的IKE_SA(本子組傳播節(jié)點���,當(dāng)前請求節(jié)點);然后��,當(dāng)前請求節(jié)點向本子組的傳播節(jié)點發(fā)送獲取請求,當(dāng)前請求節(jié)點所屬子組的傳播節(jié)點使用當(dāng)前的IKE_SA(本子組傳播節(jié)點���,當(dāng)前請求節(jié)點)將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點���,則當(dāng)前請求節(jié)點共享組安全聯(lián)盟。
舉個例子�,假設(shè)A0、A1......An為同一組播組節(jié)點成員為例��,組播源S將A0���、A1......An按IP地址不同分為m組A10�、A11......A1i����;A20����、A21......A2j;.....����;Am0、Am1......Amn。其中����,A10為與組播源S創(chuàng)建安全聯(lián)盟,產(chǎn)生共享CHILD_SA的節(jié)點��,那么�����,A0與A1......An共享安全聯(lián)盟的實現(xiàn)過程是組播源S與A10產(chǎn)生共享CHILD_SA后�,如果當(dāng)前收到A11的創(chuàng)建組播SA請求,則組播源S確定A11與A10屬于同一組播子組���,就通知A11從A10獲取共享CHILD_SA��,于是����,A11與A10之間創(chuàng)建安全聯(lián)盟IKE_SA(A10�����,A11)����,A10使用IKE_SA(A10�����,A11)發(fā)送共享CHILD_SA給A11�。
如果當(dāng)前收到A20的創(chuàng)建組播SA請求��,則組播源S確定A20與A10不屬于同一組播子組���,且A20所屬的組播子組還沒有傳播節(jié)點�����,就通知A20從A10獲取共享CHILD_SA�����,且記錄A20為其所屬組播子組的傳播節(jié)點,并指示A20有義務(wù)為其他本組播子組的節(jié)點傳輸共享CHILD_SA�����,然后�,A20與A10之間創(chuàng)建安全聯(lián)盟IKE_SA(A10�����,A20)�����,A10使用IKE_SA(A10��,A20)發(fā)送共享CHILD_SA給A20�����。
以后�����,組播源S再收到A21的創(chuàng)建組播SA請求�����,就會通知其從A20獲取共享CHILD_SA�,而不是從A10獲取����,其它所有節(jié)點都以此類推��。
在上述實現(xiàn)方案中���,確定當(dāng)前發(fā)請求的節(jié)點所屬組播組或組播子組的步驟,可以同組播傳輸中的組管理協(xié)議結(jié)合起來�����,以完成組成員�,即當(dāng)前請求節(jié)點的身份驗證。
在上述實現(xiàn)方案中��,組播源S與某個節(jié)點Ai產(chǎn)生共享CHILD_SA���,也可以采用廣播方式通知本組播組的成員從Ai獲取共享CHILD_SA���,那么,同組的節(jié)點以后就直接與Ai建立安全聯(lián)盟���,從Ai獲取共享CHILD_SA即可�����。
以上所述����,僅為本發(fā)明的較佳實施例而已�,并非用來限定本發(fā)明的保護范圍。
權(quán)利要求
1.一種實現(xiàn)組安全聯(lián)盟共享的方法��,其特征在于����,該方法包括a.組播源節(jié)點接收節(jié)點的創(chuàng)建安全聯(lián)盟SA請求,判斷當(dāng)前請求節(jié)點所屬組是否已存在共享CHILD_SA���,如果已存在���,則執(zhí)行步驟b;否則�,組播源節(jié)點與當(dāng)前請求節(jié)點創(chuàng)建安全聯(lián)盟,生成共享CHILD_SA���,并記錄當(dāng)前請求節(jié)點為其所屬組的傳播節(jié)點�,結(jié)束當(dāng)前流程���;b.通知當(dāng)前請求節(jié)點從其所屬組的傳播節(jié)點獲取共享CHILD_SA�����;當(dāng)前請求節(jié)點向本組的傳播節(jié)點發(fā)送獲取請求�����,本組的傳播節(jié)點使用兩點間建立的安全聯(lián)盟將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點��。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,步驟a進一步包括創(chuàng)建安全聯(lián)盟生成共享CHILD_SA后����,所述組播源節(jié)點向所述傳播節(jié)點發(fā)送義務(wù)向組中其它節(jié)點成員發(fā)共享CHILD_SA的指示。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于,步驟b中當(dāng)前請求節(jié)點向本組傳播節(jié)點發(fā)送獲取請求之前進一步包括當(dāng)前請求節(jié)點判斷是否已與本組傳播節(jié)點建立安全聯(lián)盟��,如果是���,則使用已建立的安全聯(lián)盟��;否則�����,先與本組傳播節(jié)點建立兩點間的安全聯(lián)盟�����。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于,該方法進一步包括將同一組播組的所有節(jié)點劃分為一個以上組播子組�����。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,該方法進一步包括根據(jù)每個節(jié)點的IP地址或域名將同一組播組的所有節(jié)點劃分為一個以上組播子組����。
6.根據(jù)權(quán)利要求4所述的方法,其特征在于�,步驟a中所述記錄為記錄當(dāng)前請求節(jié)點為其所屬組播組和所屬組播子組的傳播節(jié)點;則步驟b之前進一步包括確定當(dāng)前請求節(jié)點所屬組播子組,判斷該子組是否已存在傳播節(jié)點��,如果存在��,則通知當(dāng)前請求節(jié)點從其所屬組播子組的傳播節(jié)點獲取共享CHILD_SA�����;當(dāng)前請求節(jié)點向本子組的傳播節(jié)點發(fā)送獲取請求����,本子組的傳播節(jié)點使用兩點間建立的安全聯(lián)盟將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點;否則�����,通知當(dāng)前請求節(jié)點從其所屬組播組的傳播節(jié)點獲取共享CHILD_SA�;當(dāng)前請求節(jié)點向本組的傳播節(jié)點發(fā)送獲取請求,本組的傳播節(jié)點使用兩點間建立的安全聯(lián)盟將共享CHILD_SA發(fā)送給當(dāng)前請求節(jié)點����。
7.根據(jù)權(quán)利要求1或6所述的方法,其特征在于���,所述組播源節(jié)點為組播源/組播控制器�����,或為負(fù)責(zé)組播源節(jié)點管理的服務(wù)器����。
8.根據(jù)權(quán)利要求1或6所述的方法,其特征在于�,所述組播源節(jié)點根據(jù)當(dāng)前請求節(jié)點的IP地址或域名來確定該請求節(jié)點所屬的組播組或組播子組�����。
9.根據(jù)權(quán)利要求1或6所述的方法����,其特征在于,該方法進一步包括確定當(dāng)前請求節(jié)點所屬組播組或組播子組的同時��,采用組播傳輸中的組管理協(xié)議完成當(dāng)前請求節(jié)點的身份驗證���。
10.根據(jù)權(quán)利要求1所述的方法����,其特征在于�����,該方法進一步包括組播源節(jié)點與組播組中一個節(jié)點Ai產(chǎn)生共享CHILD_SA后,以廣播方式通知該組播組的其余節(jié)點從節(jié)點Ai獲取共享CHILD_SA�����。
全文摘要
本發(fā)明公開了一種實現(xiàn)組安全聯(lián)盟共享的方法��,在組播組中�����,組播源節(jié)點只與該組中第一個發(fā)起創(chuàng)建SA請求的節(jié)點創(chuàng)建安全聯(lián)盟��,生成共享CHILD_SA��,組中其它節(jié)點再向組播源節(jié)點發(fā)起創(chuàng)建SA請求時���,組播源節(jié)點通知該發(fā)起創(chuàng)建SA請求的節(jié)點從已生成共享CHILD_SA節(jié)點獲取共享CHILD_SA���,該發(fā)起創(chuàng)建SA請求的節(jié)點再與已生成共享CHILD_SA節(jié)點創(chuàng)建兩節(jié)點間的IKE_SA,已生成共享CHILD_SA節(jié)點利用所創(chuàng)建的IKE_SA向發(fā)起創(chuàng)建SA請求的節(jié)點發(fā)送共享CHILD_SA����。該方法能在IPsec框架下��,支持組播通信中采用一個共享的安全聯(lián)盟���。
文檔編號H04Q3/545GK1585339SQ0315393
公開日2005年2月23日 申請日期2003年8月20日 優(yōu)先權(quán)日2003年8月20日
發(fā)明者苗福友 申請人:華為技術(shù)有限公司