同步IPsecSA的方法、組成員及組密鑰服務器的制作方法

專利名稱：同步IPsec SA的方法、組成員及組密鑰服務器的制作方法
技術領域：
本申請涉及通信技術領域，特別涉及一種同步因特網協議安全安全聯盟(IPsecSA)的方法、組成員及組密鑰服務器。
背景技術：
組加密傳輸虛擬私有網絡(GroupEncrypted Transport Virtual PrivateNetwork, GET VPN)是一種實現密鑰和安全策略集中管理的解決方案。傳統的IPsec VPN是一種點到點的隧道連接，而GET VPN是一種點到多點的無隧道連接。GET VPN的典型應用體現為對組播流量的保護，例如音頻、視頻廣播和組播文件的安全傳輸。GET VPN提供了一種新的基于組的IPsec安全模型。組是一個安全策略的集合，屬于同一個組的所有成員共享相同的安全策略及密鑰。GET VPN由密鑰服務器(KeyServer，KS)和組成員(Group Member，GM)組成，其中，KS通過劃分不同的組來管理不同的安全策略和密鑰，GM通過加入相應的組，從KS獲取安全策略及密鑰，并負責對數據流量加密和解密。在GETVPN組網中，GM需要向KS注冊，這個注冊過程依次包括兩個階段的協商第一階段的IKE協商GM與KS進行協商，進行雙方的身份認證，身份認證通過后，生成用于保護二階段⑶OI協商的IKE SA ;第二階段的⑶OI協商由⑶OI協議定義其協商過程，這是一個GM從KS上“拉”策略的過程。在第二協商階段的第二條報中將SA策略下發給GM，在第四條報文中再把SA策略使用的密鑰通過KD載荷下發給GM，這樣某些情況下GM收到的KD載荷中的安全參數索引(SPI)可能和SA載荷中的SPI不一致，如交互過程中生成了新的SA策略，或交互過程中老的SA策略刪除了，此時GM無法正常的創建IPsec SA，GM和KS的IPsec SA就不同步了，只能等待KS在Rekey時更新IPsec SA ;GM在創建IPsecSA時，由于本地資源不足或其他原因創建失敗；由于網絡問題，GM無法正常接收KS發送的Rekey消息；GM手工或非正常刪除KS下發的IPsec SA后，無法正常接收其他GM發送的報文等，都可能造成GM和KS的IPsec SA不同步，在KS在Rekey更新IPsec SA之前，業務不能正常使用。

發明內容
有鑒于此，本申請提供一種同步IPsec SA的方法、組成員及組密鑰服務器，能夠使GM同KS上的IPsec SA保持同步，保證業務的正常使用。為解決上述技術問題，本發明的技術方案是這樣實現的一種同步因特網協議安全安全聯盟IPsec SA的方法，應用于組加密傳輸虛擬私有網絡GET VPN組網中，所述組網中包括多個組成員GM和一個組密鑰服務器KS，任一所述GM接收到所述KS發送的攜帶安全聯盟SA載荷的消息，并驗證所述SA載荷中的SA策略成功時，在本地臨時記錄所述SA載荷中的安全參數索引SPI和SA策略，包括該GM接收到KS發送的攜帶密鑰下發KD載荷的消息時，確定所述KD載荷中的SPI與本地臨時記錄的SPI是否一致，如果是，生成IPsec SA，并存儲到安全聯盟數據庫中，其中，所述IPsec SA包含所述KD載荷中的密鑰信息，以及記錄的SPI和SA策略；否則，向所述KS發送所述KD載荷中的SPI無效的消息，使所述KS根據所述無效的SPI獲取對應的IPsec SA,并通過rekey消息下發；接收到所述KS發送的rekey消息時,獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中。一種組成員GM，可應用于組加密傳輸虛擬私有網絡GET VPN組網中，所述組網中還包括其他GM和一個組密鑰服務器KS，所述GM包括接收單元、記錄單元、確定單元、存儲單元和發送單元；所述接收單元，用于接收所述KS發送的攜帶SA載荷的消息；接收所述KS發送的攜帶密鑰下發KD載荷的消息；接收所述KS發送的rekey消息；所述記錄單元，用于當所述接收單元接收到所述KS發送的攜帶SA載荷的消息，且驗證所述SA載荷中的SA策略成功時，在本地臨時記錄所述SA載荷中的安全參數索引SPI和SA策略；·
所述確定單元,用于當所述接收單元接收到所述KS發送的攜帶KD載荷的消息時，確定所述KD載荷中的SPI與所述記錄單元臨時記錄的SPI是否一致；所述存儲單元,用于當所述確定單元確定所述KD載荷中的SPI與所述記錄單元臨時記錄的SPI —致時，生成IPsec SA,并存儲到安全聯盟數據庫中，其中，所述IPsecSA包含所述KD載荷中的密鑰信息，以及記錄的SPI和SA策略；當所述接收單元接收到所述KS發送的rekey消息時,獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中；所述發送單元，用于當所述確定單元確定所述KD載荷中的SPI與所述記錄單元臨時記錄的SPI不一致時，向所述KS發送所述KD載荷中的SPI無效的消息，使所述KS根據所述無效的SPI獲取對應的IPsec SA,并通過rekey消息下發。一種組密鑰服務器KS，可應用于組加密傳輸虛擬私有網絡GET VPN組網中，所述組網中還包括多個組成員GM,所述KS包括接收單元、查找單元和發送單元；所述接收單元，用于接收所述任一所述GM發送的攜帶安全參數索引SPI無效的消息；所述查找單元，用于當所述接收單元接收到所述GM發送的攜帶SPI無效的消息時，根據所述消息中的SPI查找對應的IPsec SA ；所述發送單元，用于將所述查找單元查找到的對應IPsec SA通過rekey消息發送給所述GM。綜上所述，本申請通過在接收到的攜帶KD載荷的消息時，若KD載荷中的SPI與本地臨時記錄的SPI不一致時，向所述KS發送該KD載荷中的SPI無效的消息，獲得IPsecSA，使GM同KS上的IPsec SA保持同步，保證業務的正常使用。


圖I為本發明實施例中同步IPsec SA的方法的流程示意圖；圖2為本發明具體實施例中應用于同步IPsec SA的GM的結構示意圖；圖3為本發明具體實施例中可應用于同步IPsec SA的結構示意圖。
具體實施例方式為使本發明的目的、技術方案及優點更加清楚明白，以下參照附圖并舉實施例，對本發明所述方案作進一步地詳細說明。
本發明實施例中提出一種同步IPsec SA的方法，該方法應用于GET VPN組網中，該組網中包括多個GM和一個KS，任一所述GM向KS注冊時，第一階段IKE協商，生成IKESA，用于進行身份驗證，為第二階段的交換提供保護的過程同現有實現，在第二階段協商過程中，接收到KS發送的攜帶KD載荷的消息，確定所述KD載荷中的SPI與接收到的SA載荷中的SPI是否一致，一致時，生成IPsec SA并存儲到安全聯盟數據庫中；不一致時，向KS發送KD載荷中的SPI無效的消息，重新獲取IPsecSA，達到該GM同KS的IPsec SA 一致，能夠保證業務的正常使用。參見圖1，圖I為本發明實施例中同步IPsec SA的方法的流程示意圖。具體步驟為步驟101，任一所述GM接收到所述KS發送的攜帶SA載荷的消息，并驗證所述SA載荷中的SA策略成功時，在本地臨時記錄所述SA載荷中的SPI和SA策略。在具體實現時，接收到KS發送的攜帶SA載荷的消息時，獲得SA載荷中的SA策略，并在本地進行驗證，如果該SA策略可接受，即安全協議和加密算法等該GM支持，則驗證成功，其中SA安全策略包括保護的數據流信息、加密算法、認證算法、封裝模式等。此時，只是將SA載荷中的SPI和SA策略臨時記錄，并不直接存儲到安全聯盟數據庫中。步驟102，該GM接收到KS發送的攜帶KD載荷的消息時，確定所述KD載荷中的SPI與本地臨時記錄的SPI是否一致，如果是，執行步驟103 ;否則，執行步驟104。步驟103，該GM生成IPsec SA，并存儲到安全聯盟數據庫中，其中，所述IPsec SA包含所述KD載荷中的密鑰信息，以及記錄的SPI和SA策略。當KD載荷中的SPI同本地臨時記錄的SPI —致時，才能成功地生成IPsec SA，該IPsec SA包含SPI、SA策略和密鑰信息，并將成功生成的IPsec SA存儲到安全聯盟數據庫中。其中，密鑰信息包含KEK和TEK。步驟101中在本地臨時記錄所述SA載荷中的SPI和SA策略時，進一步記錄SA載荷中的老化時間。本步驟中在該GM生成IPsec SA，并存儲到安全聯盟數據庫中時，該方法進一步包括同時存儲本地臨時記錄的老化時間，當所述老化時間到時，刪除所述存儲的IPsec SA。步驟101中臨時記錄的老化時間并不生效，只有存儲到安全聯盟數據庫中時該老化時間才生效。步驟104，該GM向所述KS發送所述KD載荷中的SPI無效的消息，使所述KS根據所述無效的SPI獲取對應的IPsec SA,并通過rekey消息下發。當KD載荷中的SPI同本地臨時記錄的SPI不一致時，此時生成IPsec SA失敗，但是本發明實施例中并不就此結束該流程，等待KS發送rekey消息來獲得IPsec SA，而是獲得該KD載荷中的SPI，并向KS發送該獲得的SPI無效的消息重新獲得IPsec SA。KS接收到GM發送的SPI無效的消息時，根據該無效的SPI在本地獲取對應的IPsec SA,并通過rekey消息下發；如果根據無效SPI未獲得對應的IPsec SA,則不處理該SPI無效的消息。KS維護IPsec SA的生命周期，GM請求無效SPI對應的IPsec SA時，在KS上可能已經老化，因此會有找不到對應的IPsec SA的情況發生。GM在向KS發送的SPI無效的消息時，其中，無效的SPI通過INVALID-SPI的消息類型實現，該INVALID-SPI的消息類型為在RFC2408中定義，這里不再詳細贅述。步驟105,該GM接收到所述KS發送的rekey消息時,獲得所述rekey消息中攜帶的IPsec SA，并存儲到所述安全聯盟數據庫中。該GM接收到攜帶IPsec SA的rekey消息時,將其中的IPsec SA存儲到安全聯盟數據庫中，同接收到更新IPsec SA的rekey消息處理方式一致,并將臨時記錄的SPI和SA策略刪除。在存儲到安全聯盟數據庫中時，先確定IPsec SA包含的SPI在所述安全聯盟數據庫中是否已存在，如果存在，則根據該rekey消息中攜帶的老化時間刷新對應的IPsecSA，否則，進行存儲。在GET VPN組網中，KS維護IPsec SA的生命周期，在GM注冊時創建IPsec SA并下發給GM,在IPsec SA老化前通過rekey消息通知GM更新IPsec SA,以保持IPsec SA的 新鮮性。因此，KS發送rekey消息以及GM處理該消息無本質區別，只是觸發該消息的發送不一樣，一種是KS主動發送保鮮并同步IPsec SA，該種情況同現有實現處理過程一致；另一種情況就是通過GM發送SPI無效的消息,觸發KS發送rekey消息。該GM向所述KS發送所述KD載荷中的SPI無效的消息后，該方法進一步包括在預設時間內，如果該GM未接收到所述KS發送的rekey消息，再次向所述KS發送所述KD載荷中的SPI無效的消息，直到接收到所述KS發送的rekey消息或達到預設次數，結束向所述KS發送KD載荷中的SPI無效的消息。默認發送KD載荷中的SPI無效的消息的次數為3次，在具體應用中可以根據實際需要設置次數。步驟105中在該GM獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中時，該方法進一步包括同時存儲所述rekey消息中攜帶的所述IPsec SA的老化時間，當所述老化時間到時，刪除所述存儲的IPsec SA0該方法進一步包括該GM接收到其他GM發送的報文時，在所述安全聯盟數據庫中查找所述報文中攜帶的SPI，如果查找到，根據所述安全聯盟數據庫中所述SPI對應的IPsec SA處理所述報文；如果未查找到，向所述KS發送所述報文中攜帶的SPI無效的消息，重新獲取IPsec SA。其中，向所述KS發送所述報文中攜帶的SPI無效的消息，重新獲取IPsec SA的過程為該GM向所述KS發送所述KD載荷中的SPI無效的消息，使所述KS根據所述無效的SPI獲取對應的IPsec SA,并通過rekey消息下發；接收到所述KS發送的rekey消息時,獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中。本發明具體實施例中基于同樣的發明構思，還提出一種GM，可應用于GETVPN組網中，所述組網中還包括其他GM和一個KS。參見圖2，圖2為本發明具體實施例中應用于同步IPsec SA的GM的結構示意圖。該GM包括接收單元201、記錄單元202、確定單元203、存儲單元204和發送單元205。接收單元201,用于接收所述KS發送的攜帶SA載荷的消息；接收所述KS發送的攜帶KD載荷的消息；接收所述KS發送的rekey消息。記錄單元202，用于當接收單元201接收到所述KS發送的攜帶SA載荷的消息，且驗證所述SA載荷中的SA策略成功時，在本地臨時記錄所述SA載荷中的SPI和SA策略。
確定單元203,用于當接收單元201接收到所述KS發送的攜帶KD載荷的消息時，確定所述KD載荷中的SPI與記錄單元202臨時記錄的SPI是否一致。存儲單元204,用于當確定單元203確定所述KD載荷中的SPI與所述記錄單元臨時記錄的SPI —致時，生成IPsec SA，并存儲到安全聯盟數據庫中，其中，所述IPsec SA包含所述KD載荷中的密鑰信息，以及記錄的SPI和SA策略；當接收單元201接收到所述KS發送的rekey消息時,獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中。發送單元205,用于當確定單元203確定所述KD載荷中的SPI與所述記錄單元臨時記錄的SPI不一致時，向所述KS發送所述KD載荷中的SPI無效的消息，使所述KS根據所述無效的SPI獲取對應的IPsec SA,并通過rekey消息下發。較佳地，該GM進一步包括設置單元206。設置單兀206,用于設置預設時間。·發送單元205，用于向所述KS發送所述KD載荷中的SPI無效的消息后，在設置單元206設置的預設時間內，接收單元201未接收到所述KS發送的rekey消息時，再次向所述KS發送所述KD載荷中的SPI無效的消息,直到所述接收單元接收到所述KS發送的rekey消息或達到預設次數，結束向所述KS發送KD載荷中的SPI無效的消息。較佳地，記錄單元202,進一步用于在本地臨時記錄所述SA載荷中的老化時間。所述存儲單元，進一步用于在生成IPsec SA，并存儲到安全聯盟數據庫中時，，存儲單元204，進一步用于在生成IPsec SA，并存儲到安全聯盟數據庫中時，同時存儲所述記錄單元中臨時記錄的老化時間，當所述老化時間到時，刪除所述存儲的IPsec SA ;在獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中時，同時存儲所述rekey消息中攜帶的所述IPsec SA的老化時間，當所述老化時間到時,刪除所述存儲的IPsec SA。較佳地，該GM進一步包括查找單元207和處理單元208。接收單元201，進一步用于接收其他GM發送的報文。查找單元207，用于當接收單元201接收到其他GM發送的報文時，在所述安全聯盟數據庫中查找所述報文中攜帶的SPI。處理單元208，用于當查找單元207在所述安全聯盟數據庫中查找到所述報文中的SPI時，根據所述安全聯盟數據庫中所述SPI對應的IPsec SA處理所述報文。發送單元205，進一步用于當查找單元207在所述安全聯盟數據庫中未查找到所述報文中的SPI時，向所述KS發送所述報文中攜帶的SPI無效的消息，重新獲取IPsec SA。本發明具體實施例中基于同樣的發明構思，還提出一種KS，可應用于GET VPN組網中，所述組網中還包括多個GM，參見圖3，圖3為本發明具體實施例中可應用于同步IPsecSA的結構示意圖。該KS包括接收單元301、查找單元302和發送單元303。接收單元301，用于接收所述任一所述GM發送的攜帶SPI無效的消息。查找單元302，用于當接收單元301接收到所述GM發送的攜帶SPI無效的消息時，根據所述消息中的SPI查找對應的IPsec SA。發送單元303,用于將查找單元301查找到的對應IPsec SA通過rekey消息發送給所述GM。
上述實施例的單元可以集成于一體，也可以分離部署；可以合并為一個單元，也可以進一步拆分成多個子單兀。綜上所述，在第二協商階段的第二條報中將SA策略下發給GM，在第四條報文中再把SA策略使用的密鑰通過KD載荷下發給GM，這樣某些情況下GM收到的KD載荷中的安全參數索引(SPI)可能和SA載荷中的SPI不一致，如交互過程中生成了新的SA策略，或交互過程中老的SA策略刪除了，此時GM無法正常的創建IPsec SA, GM和KS的IPsec SA就不同步了，只能等待KS在Rekey時更新IPsec SA ;GM在創建IPsec SA時，由于本地資源不足或其他原因創建失敗；由于網絡問題， GM無法正常接收KS發送的Rekey消息；GM手工或非正常刪除KS下發的IPsec SA后，無法正常接收其他GM發送的報文等，都可能造成GM和KS的IPsec SA不同步。本發明具體實施例中通過在接收到的攜帶KD載荷的消息時，若KD載荷中的SPI與本地臨時記錄的SPI不一致時，向所述KS發送該KD載荷中的SPI無效的消息，獲得IPsec SA,使GM同KS上的IPsec SA保持同步，保證業務的正常使用。在本發明的具體實施例中還公開了在一個GM接收到其他GM發送的報文時，如果在本地的安全聯盟數據庫中查找該報文中攜帶的SPI，未查找到時，向所述KS發送該報文中的SPI無效的消息，獲得IPsec SA，使GM同KS上的IPsec SA保持同步，保證業務的正常使用。以上所述，僅為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。凡在本發明的精神和原則之內，所作的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。
權利要求
1.一種同步因特網協議安全安全聯盟IPsec SA的方法，應用于組加密傳輸虛擬私有網絡GET VPN組網中，所述組網中包括多個組成員GM和一個組密鑰服務器KS，其特征在于，任一所述GM接收到所述KS發送的攜帶安全聯盟SA載荷的消息，并驗證所述SA載荷中的SA策略成功時，在本地臨時記錄所述SA載荷中的安全參數索引SPI和SA策略，包括 該GM接收到KS發送的攜帶密鑰下發KD載荷的消息時，確定所述KD載荷中的SPI與本地臨時記錄的SPI是否一致，如果是，生成IPsec SA，并存儲到安全聯盟數據庫中，其中，所述IPsec SA包含所述KD載荷中的密鑰信息，以及記錄的SPI和SA策略；否則，向所述KS發送所述KD載荷中的SPI無效的消息，使所述KS根據所述無效的SPI獲取對應的IPsecSA,并通過rekey消息下發；接收到所述KS發送的rekey消息時,獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中。
2.根據權利要求I所述的方法，其特征在于，所述向所述KS發送所述KD載荷中的SPI無效的消息后，所述方法進一步包括在預設時間內，未接收到所述KS發送的rekey消息時，再次向所述KS發送所述KD載荷中的SPI無效的消息，直到接收到所述KS發送的rekey消息或達到預設次數，結束向所述KS發送KD載荷中的SPI無效的消息。
3.根據權利要求I所述的方法，所述方法進一步包括在本地臨時記錄所述SA載荷中的老化時間； 所述生成IPsec SA，并存儲到安全聯盟數據庫中時，所述方法進一步包括同時存儲所述臨時記錄的老化時間，當所述老化時間到時，刪除所述存儲的IPsec SA; 所述獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中時,所述方法進一步包括同時存儲所述rekey消息中攜帶的所述IPsec SA的老化時間，當所述老化時間到時，刪除所述存儲的IPsec SA。
4.根據權利要求1-3任意一項所述的方法，其特征在于，所述方法進一步包括 該GM接收到其他GM發送的報文時，在所述安全聯盟數據庫中查找所述報文中攜帶的SPI，如果查找到，根據所述安全聯盟數據庫中所述SPI對應的IPsec SA處理所述報文；如果未查找到，向所述KS發送所述報文中攜帶的SPI無效的消息，重新獲取IPsec SA。
5.一種組成員GM，可應用于組加密傳輸虛擬私有網絡GET VPN組網中，所述組網中還包括其他GM和一個組密鑰服務器KS，其特征在于，所述GM包括接收單元、記錄單元、確定單元、存儲單元和發送單元； 所述接收單元，用于接收所述KS發送的攜帶SA載荷的消息；接收所述KS發送的攜帶密鑰下發KD載荷的消息；接收所述KS發送的rekey消息； 所述記錄單元，用于當所述接收單元接收到所述KS發送的攜帶SA載荷的消息，且驗證所述SA載荷中的SA策略成功時，在本地臨時記錄所述SA載荷中的安全參數索引SPI和SA策略； 所述確定單元，用于當所述接收單元接收到所述KS發送的攜帶KD載荷的消息時，確定所述KD載荷中的SPI與所述記錄單元臨時記錄的SPI是否一致； 所述存儲單元，用于當所述確定單元確定所述KD載荷中的SPI與所述記錄單元臨時記錄的SPI —致時，生成因特網協議安全安全聯盟IPsec SA，并存儲到安全聯盟數據庫中，其中，所述IPsec SA包含所述KD載荷中的密鑰信息，以及記錄的SPI和SA策略；當所述接收單元接收到所述KS發送的rekey消息時,獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中； 所述發送單元，用于當所述確定單元確定所述KD載荷中的SPI與所述記錄單元臨時記錄的SPI不一致時，向所述KS發送所述KD載荷中的SPI無效的消息，使所述KS根據所述無效的SPI獲取對應的IPsec SA,并通過rekey消息下發。
6.根據權利要求5所述的GM，其特征在于，所述GM進一步包括設置單元； 所述設置單元，用于設置預設時間； 所述發送單元，用于向所述KS發送所述KD載荷中的SPI無效的消息后，在所述設置單元設置的預設時間內，所述接收單元未接收到所述KS發送的rekey消息時，再次向所述KS發送所述KD載荷中的SPI無效的消息,直到所述接收單元接收到所述KS發送的rekey消息或達到預設次數，結束向所述KS發送KD載荷中的SPI無效的消息。
7.根據權利要求5所述的GM，其特征在于， 所述記錄單元，進一步用于在本地臨時記錄所述SA載荷中的老化時間； 所述存儲單元，進一步用于在生成IPsec SA，并存儲到安全聯盟數據庫中時，同時存儲所述記錄單元中臨時記錄的老化時間，當所述老化時間到時，刪除所述存儲的IPsec SA ;在獲得所述rekey消息中攜帶的IPsec SA,并存儲到所述安全聯盟數據庫中時，同時存儲所述rekey消息中攜帶的所述IPsec SA的老化時間，當所述老化時間到時，刪除所述存儲的IPsec SA0
8.根據權利要求5-7任意一項所述的GM，其特征在于，該GM還進一步包括查找單元和處理單元； 所述接收單元，進一步用于接收其他GM發送的報文； 所述查找單元，用于當所述接收單元接收到其他GM發送的報文時，在所述安全聯盟數據庫中查找所述報文中攜帶的SPI ； 所述處理單元，用于當所述查找單元在所述安全聯盟數據庫中查找到所述報文中的SPI時，根據所述安全聯盟數據庫中所述SPI對應的IPsec SA處理所述報文； 所述發送單元，進一步用于當所述查找單元在所述安全聯盟數據庫中未查找到所述報文中的SPI時，向所述KS發送所述報文中攜帶的SPI無效的消息，重新獲取IPsec SA。
9.一種組密鑰服務器KS，可應用于組加密傳輸虛擬私有網絡GET VPN組網中，所述組網中還包括多個組成員GM，其特征在于，所述KS包括接收單元、查找單元和發送單元； 所述接收單元，用于接收所述任一所述GM發送的攜帶安全參數索引S PI無效的消息；所述查找單元，用于當所述接收單元接收到所述GM發送的攜帶SPI無效的消息時，根據所述消息中的SPI查找對應的因特網協議安全安全聯盟IPsec SA ； 所述發送單元，用于將所述查找單元查找到的對應IPsec SA通過rekey消息發送給所述GM。
全文摘要
本申請公開了一種同步因特網協議安全安全聯盟(IPsec SA)的方法，該方法包括任一GM在接收到的攜帶KD載荷的消息時，若KD載荷中的SPI與本地臨時記錄的SPI不一致時，向KS發送該KD載荷中的SPI無效的消息，獲得IPsec SA。基于同樣的發明構思，本發明還提出一組成員(GM)和組密鑰服務器(KS)，能夠使GM同KS上的IPsec SA保持同步，保證業務的正常使用。
文檔編號H04L29/06GK102904901SQ201210423078
公開日2013年1月30日 申請日期2012年10月29日 優先權日2012年10月29日
發明者王占群 申請人:杭州華三通信技術有限公司