摘要：本发明提供一种密钥更新的方案，在组网中同时包括单播组成员设备和组播组成员设备时，可以支持单播和组播混用，从而减少密钥服务器发送Rekey消息的数量，可有效减轻密钥服务器的负担。

Group Domain VPN（Group Domain Virtual Private Network，组域虚拟专用网络）是一种点到多点的无隧道连接，如图1所示，是由密钥服务器（Key Server，KS）和组成员（Group Member，GM）设备组成，密钥服务器通过划分不同的组来管理不同的安全策略和密钥；组成员设备通过加入相应的组，从密钥服务器获取安全策略及密钥，并负责对数据流量加密和解密，其中，组是一个安全策略的集合，属于同一个组的所有成员共享相同的安全策略及密钥。

图1 Group Domain VPN组网结构示意图

Group Domain VPN的工作过程可分为1、组成员设备向密钥服务器注册、2、组成员设备保护数据以及3、密钥更新三大部分。在组成员设备向密钥服务器注册后， 密钥服务器会定期向组成员设备发送密钥更新消息（Rekey消息）以对组成员设备的安全策略、密钥等信息进行更新。

目前，密钥服务器在发送Rekey消息时，如果密钥服务器以组播方式发送Rekey消息（也即发送组播Rekey消息），密钥服务器的负担较轻。但是如果组网中一旦有某几个，甚至某一个组成员设备不支持组播，就不得不全部采用单播的方式发送Rekey消息（也即发送单播Rekey消息），这样会增加密钥服务器的负担。

为此，本发明提供一种密钥更新的新方法，通过确定组成员设备的类型，在后续结合类型已知的组成员设备的类型，为所有类型已知的组成员设备发送与其类型对应的Rekey消息，即向单播组成员设备发送单播Rekey消息，向组播组成员设备发送组播Rekey。在组网中同时包括单播组成员设备和组播组成员设备时，可以支持单播和组播混用，从而减少密钥服务器发送Rekey消息的数量，可有效减轻密钥服务器的负担。

下面将结合图1说明一下密钥更新的过程。

当组成员设备在密钥服务器上完成注册后，密钥服务器上就保存了组成员设备的信息。为了区分已经注册的组成员设备是否能够接收组播Rekey消息，把已注册的组成员设备分为3个部分，如图2所示。

图2 密钥服务器上保存的已注册的组成员设备类型

假设图1中的组成员设备1、组成员设备2和组成员设备3均为已经在密钥服务器上完成注册的组成员设备，且密钥服务器已经确认组成员设备1为组播组成员设备，组成员设备2和组成员设备3为类型待定的组成员设备，而实际上组成员设备2是单播组成员设备，组成员设备3是组播组成员设备。

在上述假设的场景中应用本专利提出的密钥更新方法时，过程如下：

1、当密钥服务器准备发送Rekey消息时，密钥服务器首先确定已注册的组成员设备中是否有类型待定的组成员设备。经确认，密钥服务器发现组成员设备2和组成员设备3为类型待定的组成员设备，则直接发送组播Rekey消息。

2、实际为组播组成员设备的组成员设备将会接收到该组播Rekey消息。在接收到该组播Rekey消息后，判断是否是首次收到Rekey消息，如果不是，则直接处理该组播Rekey消息即可；如果是，则处理该组播Rekey消息，并且还需要向密钥服务器回复单播确认消息。实际为单播的组成员设备将不会接收到该组播Rekey消息。此处的处理，也为本发明区别于现有技术的技术手段，通过这种方式来辅助密钥服务器确定组成员设备的类型。

3、针对密钥服务器发送的组播Rekey消息，各个组成员设备的处理如下：

对于组成员设备1而言，密钥服务器已经确认组成员设备1为组播组成员设备，说明组成员设备1已经接收过Rekey消息，因此组成员设备1直接处理该组播Rekey消息即可，不需要向密钥服务器回复单播Rekey消息。

对于组成员设备2而言，由于组成员设备2是单播组成员设备，因此不会接收到该组播Rekey消息。

对于组成员设备3而言，密钥服务器还未确认组成员设备3的类型，说明组成员设备3没有接收过Rekey消息，该组播Rekey消息为组成员设备3首次接收到的Rekey消息，则处理该组播Rekey消息，并且向密钥服务器回复单播确认消息。

4、密钥服务器在预设时间内，接收到了组成员设备3针对该组播Rekey消息回复的单播确认消息，则将组成员设备3确认为组播组成员设备；未接收到组成员设备2针对该组播Rekey消息回复的单播确认消息，则将组成员设备2确认为单播组成员设备。

5、完成上述过程后，密钥服务器还需要向所有已确认为单播组成员设备的组成员设备发送单播Rekey消息，以使之前未接收到Rekey消息的单播组成员设备接收到Rekey消息，并进行相应的处理，对于单播组成员设备接收到单播Rekey消息的处理流程与现有技术相同。也即密钥服务器向组成员设备1发送单播Rekey消息，组成员设备1接收到该单播Rekey消息后进行相应处理。

另外，当密钥服务器准备发送Rekey消息时，如果确定已注册的组成员设备中没有类型待定的组成员设备，那么直接发送组播Rekey消息，并向各个单播组成员设备分别发送单播Rekey消息即可。

专利点评>>

通过使用本发明提供的方案，GDVPN组网不再受网络类型限制，可以自由的使用组播、单播或混合模式组网。使用混合模式组网时，有效的减少了网络中Rekey消息的数量，从而减轻了密钥服务器的负担。尤其是当混合模式组网中组播组成员设备较多，单播组成员设备较少时，效果十分显著。