本發(fā)明涉及一種防止IPsec SA老化后丟包的方法、裝置、設備及存儲介質，方法包括：S1、與對端設備之間建立IPsec通道，并生成第一IPsecSA；S2、當接收到對端設備發(fā)送的密鑰交換報文或者當?shù)谝籌Psec SA達到老化要求時，向對端設備發(fā)送密鑰交換報文，與對端設備重新協(xié)商密鑰后，創(chuàng)建第二IPsec SA，并保留第一IPsec SA；S3、啟動定時器，并在定時器到時之前，采用第一IPsec SA對發(fā)送至對端設備的加密報文進行加密；S4、在定時器到時后，判斷對端設備發(fā)送的加密報文是否采用第二IPsec SA加密；S5、當定時器到時后，對端設備發(fā)送的加密報文是采用第二IPsec SA加密時，刪除第一IPsec SA，否則，重復步驟S3至步驟S4。本發(fā)明解決了目前SA老化后經(jīng)常出現(xiàn)丟包的問題。

技術領域

本發(fā)明涉及通信技術領域，尤其涉及一種防止IPsec SA老化后丟包的方法、裝置、設備及存儲介質。

背景技術

為了保證通訊的安全，在進行IPsec通訊時，設置有SA，為了安全起見IPsec SA設計了更新老化機制，有流量老化、時間老化二種方式，即流量達到一定限額時，更新IPsecSA；或者時間達到限額時更新IPsec SA。

目前，常見的更新方法為：當甲方流量或時間達到限額時，開始重協(xié)商IPsec SA，發(fā)送重協(xié)商IPsec SA報文；乙方收到重協(xié)商IPsec SA報文。雙方都更新新的SA，此時會出現(xiàn)兩個問題：

一、甲方更新SA，刪除老的SA；乙方使用老的SA繼續(xù)加密的情況。乙方使用老的SA加密的報文到達甲方時，甲方的SA已經(jīng)刪掉，無法進行正常解密，報文會被丟棄；

二、甲方更新SA，乙方重協(xié)商IPsec SA的報文在網(wǎng)絡中出現(xiàn)延遲，未到達，所以新的SA未更新，此時甲方使用新的SA加密的數(shù)據(jù)到達乙方，報文無法解密，報文被丟棄。

因此，目前的SA老化后，經(jīng)常會出現(xiàn)丟包的情況。

發(fā)明內(nèi)容

有鑒于此，有必要提供一種防止IPsec SA老化后丟包的方法、裝置、設備及存儲介質，用以解決目前SA老化后經(jīng)常出現(xiàn)丟包的問題。

第一方面，本發(fā)明提供一種防止IPsec SA老化后丟包的方法，包括如下步驟：

S1、與對端設備之間建立IPsec通道，并生成第一IPsec SA；

S2、當接收到對端設備發(fā)送的密鑰交換報文或者當?shù)谝籌Psec SA達到老化要求時，向對端設備發(fā)送密鑰交換報文，與對端設備重新協(xié)商密鑰后，創(chuàng)建第二IPsec SA，并保留第一IPsec SA；

S3、啟動定時器，并在定時器到時之前，采用第一IPsec SA對發(fā)送至對端設備的加密報文進行加密；

S4、在定時器到時后，判斷對端設備發(fā)送的加密報文是否采用第二IPsec SA加密；

S5、當定時器到時后，對端設備發(fā)送的加密報文是采用第二IPsec SA加密時，刪除第一IPsec SA，否則，重復步驟S3至步驟S4。

優(yōu)選的，所述的防止IPsec SA老化后丟包的方法中，所述步驟S1具體包括：

與對端設備進行IKE協(xié)商，生成IKE SA，當IKE SA生成后，與對端設備進行IPSEC協(xié)商，生成第一IPsec SA。

優(yōu)選的，所述的防止IPsec SA老化后丟包的方法中，所述老化要求至少包括時間限額老化要求和流量限額老化要求。

優(yōu)選的，所述的防止IPsec SA老化后丟包的方法中，所述定時器的定時時間為5秒。

優(yōu)選的，所述的防止IPsec SA老化后丟包的方法中，所述步驟S5中，當重復步驟S3至步驟S4的次數(shù)達到3次時，刪除第一IPsec SA。