[发明专利]一种路由协议组密钥管理方法、系统及设备

权利要求书

1.一种路由协议组密钥管理方法，其特征在于，所述方法包括：

第一通信设备与第二通信设备在建立安全联盟并获知所述第二通信设备的路由协议的安全参数；

所述第一通信设备根据所述第二通信设备的路由协议的安全参数生成路由协议组安全联盟(GSA)；

所述第一通信设备根据所述安全联盟，向所述第二通信设备发送所述GSA。

2.如权利要求1所述的方法，其特征在于：所述第一通信设备获知所述第二通信设备的路由协议的安全参数包括：

所述第一通信设备向所述第二通信设备发送请求消息；

所述第二通信设备向所述第一通信设备发送响应消息，其中携带所述第二通信设备的路由协议支持的认证算法列表参数。

3.如权利要求2所述的方法，其特征在于：

所述请求消息中携带所述第一通信设备的路由协议支持的认证算法列表参数；

所述第二通信设备接收所请求消息后，从所述第一通信设备的路由协议支持的认证算法列表参数中选择其支持的认证算法参数，再发送所述响应消息。

4.如权利要求1所述的方法，其特征在于：第一通信设备获知所述第二通信设备的路由协议的安全参数的同时，利用IKE_SA_INIT交换过程与所述第二通信设备建立安全联盟，或，所述请求消息和响应消息为IKE_SA_INIT交换的消息，且其中携带建立安全联盟的载荷。

5.如权利要求1所述的方法，其特征在于：所述路由协议的安全参数利用扩展的通知载荷承载。

6.如权利要求5所述的方法，其特征在于：扩展的通知载荷的ProtocolID字段用于承载路由协议类型，通知消息类型(Notify Message Type)字段用于承载路由协议的安全参数类型，通知数据(Notification Data)字段用于承载具体路由协议支持的认证算法列表参数。

7.如权利要求1所述的方法，其特征在于：所述第一通信设备生成路由协议GSA包括选择所述第一通信设备和第二通信设备路由协议共同支持的认证算法，计算认证密码，确定Key ID、生存期和起始序列号，所述路由协议GSA利用扩展的SA载荷或新增载荷承载。

8.如权利要求7所述的方法，其特征在于：扩展的SA载荷的协议标识符(Protocol ID)字段及变换类型(Transform Type)字段用于承载路由协议类型；安全参数索引长度(SPI size)字段用于承载密钥标识符(Key ID)的长度，安全参数索引(SPI)字段用于承载密钥标识符值(Key ID)，变换标识符(Transform ID)字段用于承载路由协议的认证算法类型；属性类型(Attribute Type)字段用于承载路由协议GSA的密钥长度、密钥值、起始序列号、生存时间。

9.如权利要求1所述的方法，其特征在于：第一通信设备根据所述安全联盟，向所述第二通信设备发送所述路由协议GSA后，该方法还包括：

新加入通信设备与邻居通信设备建立安全联盟，所述邻居通信设备是所述第一通信设备或第二通信设备；

所述邻居通信设备对所述新加入通信设备进行身份验证；

验证通过后，所述邻居通信设备向所述新加入通信设备发送路由协议GSA。

10.如权利要求1或9所述的方法，其特征在于：所述路由协议GSA通过IKE_AUTH交换或新增的路由协议组安全联盟交换发送。

11.如权利要求1所述的方法，其特征在于：所述第一通信设备根据路由协议GSA的使用策略周期性或基于事件触发式与所述第二通信设备建立安全联盟并获知其路由协议的安全参数。

12.一种设备，其特征在于：所述设备包括安全联盟建立模块、路由协议组安全联盟(GSA)生成模块及路由协议GSA交换模块，其中，

所述安全联盟建立模块，用于与其他设备建立安全联盟；所述设备为组密钥发送方时，还用于获知组内组密钥接收方路由协议的安全参数；所述路由协议GSA生成模块，用于根据组内组密钥接收方路由协议的安全参数生成路由协议GSA；所述路由协议GSA交换模块，用于在所述建立的安全联盟的保护下向所述组密钥接收方发送所述路由协议GSA。