[发明专利]加密传输方法、装置及SD-WAN网络系统

权利要求书

1.一种加密传输方法，其特征在于，应用于SD-WAN网络中的边缘设备上，包括：

对第一原始报文进行加密，得到第一加密报文；

对所述第一加密报文进行隧道封装，得到第一隧道加密报文；

向本设备连接的PoP节点发送所述第一隧道加密报文。

2.如权利要求1所述的加密传输方法，其特征在于，在对第一原始报文进行加密之前，所述方法还包括：

与所连接的PoP节点之间建立IPSec Overlay隧道，并协商第一安全参数；所述第一安全参数用于进行本设备与所连接的PoP节点之间的隧道封装与解封装；

通过PoP节点之间的网络连接，获取对端边缘设备的路由信息，并根据所述路由信息，建立本设备与所述对端边缘设备之间的端到端IPSec数据加密通道；

通过所述端到端IPSec数据加密通道，与所述对端边缘设备协商第二安全参数；所述第二安全参数用于进行对报文进行加密和解密。

3.如权利要求1所述的加密传输方法，其特征在于，对第一原始报文进行加密，得到第一加密报文，包括：

在传输模式下对所述第一原始报文进行加密和ESP封装，得到所述第一加密报文。

4.如权利要求1-3任一项所述的加密传输方法，其特征在于，所述方法还包括：

接收所连接的PoP节点传来的第二隧道加密报文；所述第二隧道加密报文为经过加密和隧道封装后得到的报文；

对所述第二隧道加密报文进行解封装，得到第二加密报文；

对所述第二加密报文，采用与对端边缘设备协商得到的第二安全参数进行解密，得到第二原始报文。

5.一种加密传输方法，其特征在于，应用于SD-WAN网络中的PoP节点上，包括：

在接收到所连接的边缘设备传来的第一隧道加密报文时，对所述第一隧道加密报文进行隧道解封装，得到第一加密报文；所述第一隧道加密报文为经过加密和隧道封装后得到的报文；

将所述第一加密报文传输至对端PoP节点，以使所述对端PoP节点对所述第一加密报文进行隧道封装后传输至所述对端PoP节点所连接的边缘设备。

6.如权利要求5所述的加密传输方法，其特征在于，在接收到所连接的边缘设备传来的第一加密报文之前，所述方法还包括：

与所连接的边缘设备之间建立IPSec Overlay隧道，并协商第一安全参数；所述第一安全参数用于进行本节点与所连接的边缘设备之间的隧道封装与解封装。

7.如权利要求5或6所述的加密传输方法，其特征在于，所述方法还包括：

在接收到所述对端PoP节点传来的第二加密报文时，对所述第二加密报文进行隧道封装，得到第二隧道加密报文；

将所述第二隧道加密报文发送给本节点所连接的边缘设备。

8.一种加密传输装置，其特征在于，应用于SD-WAN网络中的边缘设备上，包括：加密模块和第一封装模块；

所述加密模块，用于对第一原始报文进行加密，得到第一加密报文；

所述第一封装模块，用于对所述第一加密报文进行隧道封装，得到第一隧道加密报文，向本设备连接的PoP节点发送所述第一隧道加密报文。

9.一种加密传输装置，其特征在于，应用于SD-WAN网络中的PoP节点上，包括：第二封装模块和传输模块；

所述第二封装模块，用于在接收到所连接的边缘设备传来的第一隧道加密报文时，对所述第一隧道加密报文进行隧道解封装，得到第一加密报文；所述第一隧道加密报文为经过加密和隧道封装后得到的报文；

所述传输模块，用于将所述第一加密报文传输至对端PoP节点，以使所述对端PoP节点对所述第一加密报文进行隧道封装后传输至所述对端PoP节点所连接的边缘设备。

10.一种SD-WAN网络系统，其特征在于，包括：多个边缘设备和多个PoP节点；

每个所述PoP节点和至少一个所述边缘设备之间建立有IPSec Overlay隧道；

各所述PoP节点之间建立有数据的传输通道；

所述边缘设备用于执行如权利要求1至4中任一项所述的加密传输方法；

所述PoP节点用于执行如权利要求5至7中任一项所述的加密传输方法。