ESP を使用して IPsec SA を確立し、暗号化キーを迅速に変更する必要がある C++ プロジェクトに取り組んでいます。私の質問は次のとおりです。
対応する SA を削除して新しい SA を作成せずに、暗号化 IPsec キーを更新する方法はありますか?
IPsec はこれを許可しますか? RFC4301 でこの問題について何も見つかりませんでした...
Netlink/XFRM メッセージを使用して SAD を変更しています。Netlink メッセージ フラグで NLM_F_REPLACE を使用し、メッセージ タイプとして XFRM_MSG_UPDSA を使用しようとしましたが、これらのメッセージはまったく効果がありませんでした。XFRM_MSG_ALLOCSPI メッセージによって開始された SA を完了するために XFRM_MSG_UPDSA が使用されているのを見てきました。
これが XFRM_MSG_UPDSA タイプのメッセージの唯一の目的ですか、それとも何らかの形で暗号化キーを変更するために使用できますか?
キーは(前述のように)急速に変更する必要があるため、パフォーマンスが重要な要素になります。したがって、私は可能な限り最小限の管理 IPsec (=Netlink/XFRM) 操作でシステムに負担をかけたいと考えています。