[发明专利]一种实现组成员设备通信的方法和设备

说明书

技术领域

本申请涉及通信技术领域，特别涉及一种实现组成员设备通信的方法和设备。

背景技术

传统的IPsec VPN是一种点到点的隧道连接，而组域虚拟专用网络（Group Domain Virtual Private Network，GD VPN）是一种点到多点的无隧道连接。GD VPN主要用于保护组播流量，例如音频、视频广播和组播文件的安全传输。

GD VPN提供了一种基于组的IPsec安全模型。组是一个安全策略的集合，属于同一个组的所有成员共享相同的安全策略及密钥。GD VPN由密钥服务器（Key Server，KS）和组成员（Group Member，GM）组成。其中，KS通过划分不同的组来管理不同的安全策略和密钥；GM通过加入相应的组，从KS获取安全策略及密钥，并负责对数据流量加密和解密。

GD VPN提供了一种群组成员间多点加密通信的方案，群组成员都向指定的KS服务器进行注册，KS向GM下发加密安全策略及密钥，并负责维护密钥的更新，同一个KS可以管理多个群组解释域（Group Domain of Interpretation，GDOI）组，也就是能够同时支持对多个群组加密通信的集中管理。目前，GD VPN是一个集中控制管理方案，GM只能向一个KS注册，加入一个GDOI组，一个接口只能应用一个IPSec安全策略组。

大型用户网络是分域管理的，包括服务器和网络设备，分布在不同管理域的设备如要利用GD VPN进行加密通信难度非常大，通常一个网络域的管理员不会允许本域的设备直接向其它网络域的服务器注册获取密钥信息，因此，现有的GD VPN网络还不能满足不同域内的GM进行通信的需求。并且一个域内由一个KS管理GM设备，KS的管理性能是有上限的，当该KS管理的GM设备的数量超过性能上限时，无法继续平滑扩充。

发明内容

有鉴于此，本申请提供一种实现组成员设备通信的方法和设备，能够使不同域内的GM设备通过使用相同的安全策略进行跨域通信，并且能够实现域内可管理成员的大量线性扩充。

为解决上述技术问题，本发明的技术方案是这样实现的：

一种实现组成员GM设备通信的方法，该方法应用于包含多个KS和GM设备的组网中的任一KS上，其特征在于，该KS配置全局互通注册ID域，该KS配置KS组，在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组，以及本KS在该GDOI组中对应的优先级，并通告该KS组中的其他KS；该KS获得该KS组中其他KS通告的GDOI组ID和对应优先级；包括：

该KS若不为该KS组中优先级最高的KS，当接收到GM设备的注册信息时，若该注册信息中的GDOI组ID为所述全局互通注册ID域中的GDOI组ID，向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略，同该GM设备进行协商并下发给该GM设备，使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。

一种设备，可应用为包含多个KS和GM设备的组网中的任一KS，其特征在于，该设备包括：配置单元、接收单元和处理单元；

所述配置单元，用于配置全局互通注册ID域，配置KS组，在该KS组中配置ID为所述全局互通注册ID域中的GDOI组ID的GDOI组，以及本KS在该GDOI组中对应的优先级；并通告该KS组中的其他KS；获得该KS组中其他KS通告的GDOI组ID和对应优先级；

所述接收单元，用于接收GM设备发送的注册信息；

所述处理单元，用于当本设备若不为该KS组中优先级最高的KS，所述接收单元接收到GM设备的注册信息时，若该注册信息中的GDOI组ID为所述配置单元配置的全局互通注册ID域中的GDOI组ID，向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略，同该GM设备进行协商并下发给该GM设备，使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。

综上所述，本申请通过不为KS组中优先级最高的KS，在接收到配置全局互通注册ID域中的GDOI组ID的GM设备的注册信息时，向该KS组中优先级最高的KS获取该GDOI组ID对应的安全策略，将获得的安全策略同该GM设备协商并下发给该GM设备，使该GM设备使用获得的安全策略同与其配置相同的GDOI组ID的GM设备进行通信。通过该方法能够使不同域内的GM设备通过使用相同的安全策略进行跨域通信，并且能够实现域内可管理成员的大量线性扩充。

附图说明