(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111573236.0 (22)申请日 2021.12.21 (71)申请人 迈普通信技 术股份有限公司 地址 610041 四川省成 都市高新区天府三 街288号1栋15 -24层 (72)发明人 林茂　陈丽莎　王钦雅　叶婷　 兰丽莎　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 加密传输方法、 装置及S D-WAN网络系统 (57)摘要 本申请提供一种加密传输方法、 装置及SD ‑ WAN网络系统， 方法包括： 边缘设备对第一原始报 文进行加密， 得到第一加密报文； 边缘设备对所 述第一加密报文进行隧道封装， 得到第一隧道加 密报文； 边缘设备向本设备连接的PoP节点发送 所述第一隧道加密报文。 在这个过程中， 边缘设 备只需要对原始报文进行一次加密处理， 就在 SD‑WAN网络中实现了 数据加密传输。 相较于现有 方案， 边缘设备减少了一次加密过程， 从而提高 了边缘设备的处理性能。 且由于PoP节点所能传 输的是加密后的加密报文， 因此也保证了传输过 程中数据的安全性。 权利要求书2页 说明书10页 附图5页 CN 114338116 A 2022.04.12 CN 114338116 A 1.一种加密 传输方法， 其特 征在于， 应用于S D‑WAN网络中的边 缘设备上， 包括： 对第一原 始报文进行加密， 得到第一加密报文； 对所述第一加密报文 进行隧道封装， 得到第一隧道加密报文； 向本设备 连接的PoP节点发送所述第一隧道加密报文。 2.如权利要求1所述的加密传输方法， 其特征在于， 在对第一原始报文进行加密之前， 所述方法还 包括： 与所连接的PoP节点之间建立IPSec  Overlay隧道， 并协商第一安全参数； 所述第一安 全参数用于进行本设备与所 连接的PoP节点之间的隧道封装与解封装； 通过PoP节点之间的网络连接， 获取对端边缘设备的路由信息， 并根据所述路由信息， 建立本设备与所述对端边 缘设备之间的端到端IP Sec数据加密通道； 通过所述端到端IPSec数据加密通道， 与所述对端边缘设备协商第二安全参数； 所述第 二安全参数用于进行对报文 进行加密和解密。 3.如权利要求1所述的加密传输方法， 其特征在于， 对第一原始报文进行加密， 得到第 一加密报文， 包括： 在传输模式下对所述第一原 始报文进行加密和ES P封装， 得到所述第一加密报文。 4.如权利要求1 ‑3任一项所述的加密 传输方法， 其特 征在于， 所述方法还 包括： 接收所连接的PoP节点传来的第二隧道加密报文； 所述第二隧道加密报文为经过加密 和隧道封装后得到的报文； 对所述第二隧道加密报文 进行解封装， 得到第二加密报文； 对所述第二加密报文， 采用与对端边缘设备协商得到的第二安全参数进行解密， 得到 第二原始报文。 5.一种加密 传输方法， 其特 征在于， 应用于S D‑WAN网络中的PoP节点上， 包括： 在接收到所连接的边缘设备传来的第 一隧道加密报文时， 对所述第 一隧道加密报文进 行隧道解封装， 得到第一加密报文； 所述第一隧道加密报文为经过加密和隧道封装后得到 的报文； 将所述第一加密报文传输至对端PoP节点， 以使所述对端PoP节点对所述第一加密报文 进行隧道封装后传输 至所述对端PoP节点所 连接的边 缘设备。 6.如权利要求5所述的加密传输方法， 其特征在于， 在接收到所连接的边缘设备传来的 第一加密报文之前， 所述方法还 包括： 与所连接的边缘设备之间建立IPSec  Overlay隧道， 并协商第一安全参数； 所述第一安 全参数用于进行本节点与所 连接的边 缘设备之间的隧道封装与解封装。 7.如权利要求5或6所述的加密 传输方法， 其特 征在于， 所述方法还 包括： 在接收到所述对端PoP节点传来的第二加密报文时， 对所述第二加密报文进行隧道封 装， 得到第二隧道加密报文； 将所述第二隧道加密报文发送给本节点所 连接的边 缘设备。 8.一种加密传输装置， 其特征在于， 应用于SD ‑WAN网络中的边缘设备上， 包括： 加密模 块和第一封装 模块； 所述加密模块， 用于对第一原 始报文进行加密， 得到第一加密报文； 所述第一封装模块， 用于对所述第 一加密报文进行隧道封装， 得到第 一隧道加密报文，权　利　要　求　书 1/2 页 2 CN 114338116 A 2向本设备 连接的PoP节点发送所述第一隧道加密报文。 9.一种加密传输装置， 其特征在于， 应用于SD ‑WAN网络中的PoP节点上， 包括： 第二封装 模块和传输模块； 所述第二封装模块， 用于在接收到所连接的边缘设备传来的第一隧道加密报文时， 对 所述第一隧道加密报文进行隧道解封装， 得到第一加密报文； 所述第一隧道加密报文为经 过加密和隧道封装后得到的报文； 所述传输模块， 用于将所述第一加密报文传输至对端PoP节点， 以使所述对端PoP节点 对所述第一加密报文 进行隧道封装后传输 至所述对端PoP节点所 连接的边 缘设备。 10.一种S D‑WAN网络系统， 其特 征在于， 包括： 多个边 缘设备和多个PoP节点； 每个所述PoP节点和至少一个所述 边缘设备之间建立有IP Sec Overlay隧道； 各所述PoP节点之间建立有数据的传输通道； 所述边缘设备用于执 行如权利要求1至4中任一项所述的加密 传输方法； 所述PoP节点用于执 行如权利要求5 至7中任一项所述的加密 传输方法。权　利　要　求　书 2/2 页 3 CN 114338116 A 3