[发明专利]Internet协议安全性联盟的生成方法和路由设备

权利要求书

1.一种Internet协议安全性IPSec联盟SA的生成方法，其特征在于，该方法包括：

密钥服务器KS接收并保存本组区域虚拟私有网络Group-Domain-VPN中新加入的组成员GM在注册至本KS的过程中发送的自身配置的需要保护的所有数据流的区分标识；

KS针对已注册至本KS的每一GM，比较该GM与所述新加入的GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流；

KS将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及确定出的需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM，以使所述两个GM分别利用收到的安全策略、密钥、数据流区分标识生成IPSec SA以对具有收到的数据流区分标识的双向数据流进行保护处理。

2.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

KS在已注册至本KS的GM退出所述GROUP-DOMAIN-VPN时，删除已保存的由该退出的GM发送的其自身配置的需要保护的所有数据流的区分标识，重新比较同一GROUP-DOMAIN-VPN中每两个GM发送的需要保护的所有数据流的区分标识并确定需要这两个GM同时保护的双向数据流，发送给所述两个GM以生成新的IPSec SA。

3.根据权利要求2所述的方法，其特征在于，该方法进一步包括：

所述KS启动本KS上配置的所述GROUP-DOMAIN-VPN的安全策略和密钥对应的生存定时器，所述生存定时器的时长为预先配置的所述安全策略和密钥的生存时间；

所述KS将本KS上配置的所述GROUP-DOMAIN-VPN的安全策略、密钥、以及确定出的需要所述两个GM同时保护的双向数据流的区分标识发送给所述两个GM进一步包括：所述KS将依据所述生存定时器当前显示的时间确定出的所述安全策略和密钥当前剩余的生存时间分别发送给所述两个GM，以使所述两个GM分别启动对应所述IPSec SA的定时器，在所述定时器超时之前重新注册至所述KS，在所述定时器超时时删除对应的IPSec SA，所述GM启动的定时器的时长为所述安全策略和密钥当前剩余的生存时间；

所述KS通过以下步骤确定已注册至本KS的GM退出所述GROUP-DOMAIN-VPN：

KS实时检测启动的所述生存定时器，当检测到所述生存定时器超时时，检测已注册至本KS的每一GM是否在所述生存定时器超时之前重新注册至本KS，如果否，确认该GM退出本GROUP-DOMAIN-VPN。

4.根据权利要求3所述的方法，其特征在于，该方法进一步包括：

KS接收并保存已注册至本KS的GM在所述生存定时器超时之前重新注册至本KS的过程中发送的其自身配置的需要保护的所有数据流的区分标识，并删除已保存的该GM之前发送的所有数据流的区分标识；

KS在设定的缓冲时间到达时，比较已重新注册至本KS的每两个GM发送的需要保护的所有数据流的区分标识以确定这两个GM同时保护的双向数据流并发送给这两个GM以生成新的IPSec SA；所述设定的缓冲时间为设定的所述GROUP-DOMAIN-VPN中GM重新注册至KS所需要的时间。

5.根据权利要求1至4任一所述的方法，其特征在于，所述KS通过以下步骤确定需要两个GM同时保护的双向数据流：

KS针对两个GM中一个GM发送的需要保护的每一数据流的区分标识，判断该区分标识是否与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同或者有交集，

当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识相同时，KS将具有该区分标识的数据流确定为需要所述两个GM同时保护的双向数据流；

当该区分标识与所述两个GM中另一个GM发送的需要保护的一条数据流的区分标识有交集时，KS将区分标识为该交集的数据流确定为需要所述两个GM同时保护的双向数据流。

6.根据权利要求5所述的方法，其特征在于，所述数据流的区分标识为数据流的源IP地址、目的IP地址、源端口号、源端口号范围、目的端口号、目的端口号范围、传输协议、传输协议范围中的至少一个。