[发明专利]一种防止IPsec SA老化后丢包的方法、装置、设备及存储介质

说明书

本发明涉及一种防止IPsec SA老化后丢包的方法、装置、设备及存储介质，方法包括：S1、与对端设备之间建立IPsec通道，并生成第一IPsecSA；S2、当接收到对端设备发送的密钥交换报文或者当第一IPsec SA达到老化要求时，向对端设备发送密钥交换报文，与对端设备重新协商密钥后，创建第二IPsec SA，并保留第一IPsec SA；S3、启动定时器，并在定时器到时之前，采用第一IPsec SA对发送至对端设备的加密报文进行加密；S4、在定时器到时后，判断对端设备发送的加密报文是否采用第二IPsec SA加密；S5、当定时器到时后，对端设备发送的加密报文是采用第二IPsec SA加密时，删除第一IPsec SA，否则，重复步骤S3至步骤S4。本发明解决了目前SA老化后经常出现丢包的问题。

技术领域

本发明涉及通信技术领域，尤其涉及一种防止IPsec SA老化后丢包的方法、装置、设备及存储介质。

背景技术

为了保证通讯的安全，在进行IPsec通讯时，设置有SA，为了安全起见IPsec SA设计了更新老化机制，有流量老化、时间老化二种方式，即流量达到一定限额时，更新IPsecSA；或者时间达到限额时更新IPsec SA。

目前，常见的更新方法为：当甲方流量或时间达到限额时，开始重协商IPsec SA，发送重协商IPsec SA报文；乙方收到重协商IPsec SA报文。双方都更新新的SA，此时会出现两个问题：

一、甲方更新SA，删除老的SA；乙方使用老的SA继续加密的情况。乙方使用老的SA加密的报文到达甲方时，甲方的SA已经删掉，无法进行正常解密，报文会被丢弃；

二、甲方更新SA，乙方重协商IPsec SA的报文在网络中出现延迟，未到达，所以新的SA未更新，此时甲方使用新的SA加密的数据到达乙方，报文无法解密，报文被丢弃。

因此，目前的SA老化后，经常会出现丢包的情况。

发明内容

有鉴于此，有必要提供一种防止IPsec SA老化后丢包的方法、装置、设备及存储介质，用以解决目前SA老化后经常出现丢包的问题。

第一方面，本发明提供一种防止IPsec SA老化后丢包的方法，包括如下步骤：

S1、与对端设备之间建立IPsec通道，并生成第一IPsec SA；

S2、当接收到对端设备发送的密钥交换报文或者当第一IPsec SA达到老化要求时，向对端设备发送密钥交换报文，与对端设备重新协商密钥后，创建第二IPsec SA，并保留第一IPsec SA；

S3、启动定时器，并在定时器到时之前，采用第一IPsec SA对发送至对端设备的加密报文进行加密；

S4、在定时器到时后，判断对端设备发送的加密报文是否采用第二IPsec SA加密；

S5、当定时器到时后，对端设备发送的加密报文是采用第二IPsec SA加密时，删除第一IPsec SA，否则，重复步骤S3至步骤S4。

优选的，所述的防止IPsec SA老化后丢包的方法中，所述步骤S1具体包括：

与对端设备进行IKE协商，生成IKE SA，当IKE SA生成后，与对端设备进行IPSEC协商，生成第一IPsec SA。

优选的，所述的防止IPsec SA老化后丢包的方法中，所述老化要求至少包括时间限额老化要求和流量限额老化要求。

优选的，所述的防止IPsec SA老化后丢包的方法中，所述定时器的定时时间为5秒。

优选的，所述的防止IPsec SA老化后丢包的方法中，所述步骤S5中，当重复步骤S3至步骤S4的次数达到3次时，删除第一IPsec SA。