[发明专利]一种删除Child SA的方法和设备

权利要求书

1.一种删除子安全联盟Child SA的方法，其特征在于，包括：

当设备需要删除Child SA时，所述设备将待删除Child SA对应的出方向Child SA设置为不可用，并向对端设备发送携带该待删除Child SA的安全参数索引SPI和安全协议的删除消息；

当所述设备接收到所述对端设备返回的删除响应消息时，所述设备删除所述待删除Child SA以及该待删除Child SA对应的出方向Child SA；其中，所述删除响应消息为所述对端设备接收到所述删除消息，并删除该删除消息中携带的SPI和安全协议对应的Child SA，以及该Child SA对应的入方向Child SA之后向所述设备返回的。

2.如权利要求1所述的方法，其特征在于，所述设备将待删除Child SA对应的出方向Child SA设置为不可用，具体为：

所述设备为所述待删除Child SA对应的出方向Child SA增加不可用标识；或，

所述设备将所述待删除Child SA对应的出方向Child SA保存到特定数据库，该特定数据库中的Child SA为不可用Child SA。

3.如权利要求1所述的方法，其特征在于，该方法还包括：

在所述设备向所述对端设备发送删除消息之后，接收到所述对端设备返回的删除响应消息之前，若所述设备接收到所述对端设备发送加密报文，且该加密报文使用的Child SA的SPI和安全协议为所述待删除Child SA的SPI和安全协议，所述设备使用所述待删除Child SA对该加密报文进行解密。

4.一种删除子安全联盟Child SA的设备，其特征在于，包括：

设置模块，用于当所述设备需要删除Child SA时，将待删除Child SA对应的出方向Child SA设置为不可用；

第一接口模块，用于向对端设备发送携带所述待删除Child SA的安全参数索引SPI和安全协议的删除消息；接收对端设备返回的删除响应消息；

第二接口模块，用于接收删除消息；向删除消息的发送方设备返回删除响应消息；

第一删除模块，用于当所述第一接口模块接收到所述对端设备的删除响应消息时，删除所述待删除Child SA以及该待删除Child SA对应的出方向ChildSA；

第二删除模块，用于当所述第二接口模块接收到删除消息时，删除该删除消息中携带的SPI和安全协议对应的Child SA，以及该Child SA对应的入方向Child SA，并通过所述第二接口模块向删除消息的发送方设备返回删除响应消息。

5.如权利要求4所述的设备，其特征在于，所述设置模块具体用于，通过以下方式实现将待删除Child SA对应的出方向Child SA设置为不可用：

为所述待删除Child SA对应的出方向Child SA增加不可用标识；或，

将所述待删除Child SA对应的出方向Child SA保存到特定数据库，该特定数据库中的Child SA为不可用Child SA。

6.如权利要求4所述的设备，其特征在于，所述设备还包括：

处理模块，用于在所述第一接口模块向所述对端设备发送删除消息之后，接收到所述对端设备返回的删除响应消息之前，所述设备接收到所述对端设备发送的加密报文时，该加密报文使用的Child SA的SPI和安全协议为所述待删除Child SA的SPI和安全协议，使用所述待删除Child SA对该加密报文进行解密。