[发明专利]一种密钥对的管理方法和设备

权利要求书

1.一种密钥对的管理方法，该方法应用于包括主密钥服务器KS和备KS的组域虚拟私有网络GD VPN中，其特征在于，所述方法包括以下步骤：

所述主KS获得第一密钥对，在第一密钥对同步载荷中添加所述第一密钥对，在第一冗余备份协议报文中添加所述第一密钥对同步载荷，并将所述第一冗余备份协议报文发送给备KS；所述第一密钥对包括第一公钥和第一私钥；

所述主KS定期更新密钥对，得到更新后的第二密钥对；

所述主KS在第二密钥对同步载荷中添加所述第二密钥对，在第二冗余备份协议报文中添加所述第二密钥对同步载荷，并将所述第二冗余备份协议报文发送给所述备KS；其中，所述第二密钥对包括第二公钥和第二私钥；

所述主KS在更新Rekey报文中添加公钥更新载荷，并在所述公钥更新载荷中添加所述第二公钥；所述主KS向GM发送携带所述第二公钥的Rekey报文，以使所述GM从所述Rekey报文中获取到所述第二公钥，将当前使用的公钥更新为所述公钥更新载荷中的第二公钥。

2.如权利要求1所述的方法，其特征在于，在所述主KS定期更新密钥对，得到更新后的第二密钥对之后，所述方法进一步包括：

所述主KS向组成员GM发送下线通知消息，以使所述GM下线并重新向所述主KS或所述备KS注册；

在所述GM重新向所述主KS注册时，所述主KS将所述第二公钥发送给所述GM，以使所述GM将当前使用的公钥更新为所述第二公钥。

3.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

所述主KS利用得到所述第二密钥对之前使用的私钥对所述第二公钥进行签名，并在所述公钥更新载荷中添加所述签名，以使所述GM在接收到所述Rekey报文时，利用本GM上当前使用的公钥验证所述公钥更新载荷中的签名，如果验证通过，则将当前使用的公钥更新为所述公钥更新载荷中的第二公钥。

4.一种主密钥服务器KS，应用于包括所述主KS和备KS的组域虚拟私有网络GD VPN中，其特征在于，所述主KS具体包括：

获得模块，用于获得第一密钥对，并定期更新密钥对，得到更新后的第二密钥对；其中，所述第一密钥对具体包括第一公钥和第一私钥，所述第二密钥对具体包括第二公钥和第二私钥；

发送模块，用于在第一密钥对同步载荷中添加所述第一密钥对，并在第一冗余备份协议报文中添加所述第一密钥对同步载荷，并将所述第一冗余备份协议报文发送给所述备KS；以及，在第二密钥对同步载荷中添加所述第二密钥对，并在第二冗余备份协议报文中添加所述第二密钥对同步载荷，并将所述第二冗余备份协议报文发送给所述备KS；

所述发送模块，还用于在定期更新密钥对，得到更新后的第二密钥对之后，在更新Rekey报文中添加公钥更新载荷，并在所述公钥更新载荷中添加所述第二公钥；向GM发送携带所述第二公钥的Rekey报文，以使所述GM从所述Rekey报文中获取到所述第二公钥，将当前使用的公钥更新为所述公钥更新载荷中的第二公钥。

5.如权利要求4所述的主KS，其特征在于，

所述发送模块，还用于在定期更新密钥对，得到更新后的第二密钥对之后，向组成员GM发送下线通知消息，以使所述GM下线并重新向所述主KS或所述备KS注册；在所述GM重新向所述主KS注册时，将所述第二公钥发送给所述GM，以使所述GM将当前使用的公钥更新为所述第二公钥。

6.如权利要求4所述的主KS，其特征在于，

所述发送模块，进一步利用得到所述第二密钥对之前使用的私钥对所述第二公钥进行签名，并在所述公钥更新载荷中添加所述签名，以使所述GM在接收到所述Rekey报文时，利用本GM上当前使用的公钥验证所述公钥更新载荷中的签名，如果验证通过，则将当前使用的公钥更新为所述公钥更新载荷中的第二公钥。