本發明公開了一種基于IPSec VPN的防丟包密鑰預協商方法，屬于通信網絡技術領域，包括設置預協商標志，每預協商一次時該預協商標志的值△發生一次反轉，在協商生存期未結束時，設備A與設備B預協商，產生一個SPI和對稱密鑰；設備A根據當前預協商標志的值△計算出需要存儲的邏輯隧道號；設備A將邏輯隧道號對應的通道存儲的解密密鑰進行哈希處理后放入隊列，以使得在協商生存期到期后，供設備B根據SPI從對應的邏輯隧道號中獲取密鑰實現解密。當生存期到期后，設備A不管選用新密鑰還是舊密鑰加密，B收到后會根據SPI找到對應的邏輯隧道號，再從該邏輯隧道找出來hash隊列中的密鑰進行解密，保證在密鑰生存期到后往返的數據包不會丟包。

技術領域

本發明涉及通信網絡技術領域，特別涉及一種基于IPSec VPN的防丟包密鑰預協商方法。

背景技術

IPSec VPN密鑰交換協議都遵循國家密碼局《IPSec VPN技術規范》中的標準進行設計和實現。所有商密IPSecVPN產品都需遵循密鑰交換協議進行密鑰協商，才能與中心側\對端設備建立VPN安全隧道完成正常的通信。

密鑰交換協議定義了建立、協商、修改和刪除安全聯盟的過程和報文格式，密鑰交換協議包括兩個階段，對應兩種模式：

第一階段：對應主模式，實現通信雙方的身份認證和密鑰協商，最終通信雙方建立了一個ISAKMP SA，得到工作密鑰，該工作密鑰保護第二階段的協商過程。

第二階段：對應快速模式，實現通信雙方IPSec SA的協商，建立兩個IPSec SA，確認通信雙方的IPSec安全策略及會話密鑰。

設備的機密性是依靠兩端設備產生的會話密鑰來保證，而會話密鑰的有效時間為生存期時間，故生存期時間設置越短，密鑰切換越快，安全性越高。如果生存期到后觸發密鑰協商，密鑰切換不一致則會導致丟包現象，生存期時間設置越短，丟包就越頻繁，嚴重會導致VPN隧道斷鏈問題。

發明內容

本發明的目的在于克服現有技術的不足，避免在協商生存期到后，密鑰切換不一致時導致的丟包問題。

為實現以上目的，本發明采用一種防丟包預協商方法，其設置預協商標志，每預協商一次時該預協商標志的值△發生一次反轉，包括如下步驟：

在前一協商生存期未結束時，設備A向設備B發起下一生存期的密鑰協商，產生一個SPI和對稱密鑰供設備A和設備B存儲，該對稱密鑰包括加密密鑰和解密密鑰；

設備A利用加密密鑰對數據包進行加密后，并根據當前預協商標志的值△計算出需要存儲的邏輯隧道號；

設備A將邏輯隧道號對應通道存儲的對稱密鑰進行哈希處理后放入隊列，以在前一協商生存期到期后，使設備B根據SPI從對應的邏輯隧道號中獲取解密密鑰對加密后的數據包進行解密。

進一步地，所述設備A和所述設備B每預協商一次，預協商標志的值△在0和1之間反轉一次。

進一步地，所述設備A根據當前預協商標志的值△計算出需要存儲的邏輯隧道號，邏輯隧道號＝Δ*2048+1。

進一步地，在前一協商生存期到期后還包括：

設備A在前一協商生存期到期后超過設定的時間后，將其存儲的對稱密鑰銷毀。

另一方面，還公開一種基于IPSec VPN的防丟包密鑰預協商方法，設置預協商標志，每預協商一次時該預協商標志的值△發生一次反轉，包括如下步驟：

在前一協商生存期未結束時，設備B向設備A發起下一生存期的密鑰協商，產生一個SPI和對稱密鑰供設備A和設備B存儲，該對稱密鑰包括加密密鑰和解密密鑰；

設備B根據當前預協商標志的值△計算出需要存儲的邏輯隧道號；