同步IPsec SA的方法、组成员及组密钥服务器技术

本申请公开了一种同步因特网协议安全安全联盟（IPsec?SA）的方法，该方法包括：任一GM在接收到的携带KD载荷的消息时，若KD载荷中的SPI与本地临时记录的SPI不一致时，向KS发送该KD载荷中的SPI无效的消息，获得IPsec?SA。基于同样的发明专利技术构思，本发明专利技术还提出一组成员（GM）和组密钥服务器（KS），能够使GM同KS上的IPsec?SA保持同步，保证业务的正常使用。

【技术实现步骤摘要】

【技术保护点】
一种同步因特网协议安全安全联盟IPsec？SA的方法，应用于组加密传输虚拟私有网络GET？VPN组网中，所述组网中包括多个组成员GM和一个组密钥服务器KS，其特征在于，任一所述GM接收到所述KS发送的携带安全联盟SA载荷的消息，并验证所述SA载荷中的SA策略成功时，在本地临时记录所述SA载荷中的安全参数索引SPI和SA策略，包括：该GM接收到KS发送的携带密钥下发KD载荷的消息时，确定所述KD载荷中的SPI与本地临时记录的SPI是否一致，如果是，生成IPsec？SA，并存储到安全联盟数据库中，其中，所述IPsec？SA包含所述KD载荷中的密钥信息，以及记录的SPI和SA策略；否则，向所述KS发送所述KD载荷中的SPI无效的消息，使所述KS根据所述无效的SPI获取对应的IPsec？SA，并通过rekey消息下发；接收到所述KS发送的rekey消息时，获得所述rekey消息中携带的IPsec？SA，并存储到所述安全联盟数据库中。

【技术特征摘要】

【专利技术属性】
技术研发人员：王占群，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：