[发明专利]加密传输方法、装置及SD-WAN网络系统

说明书

本申请提供一种加密传输方法、装置及SD‑WAN网络系统，方法包括：边缘设备对第一原始报文进行加密，得到第一加密报文；边缘设备对所述第一加密报文进行隧道封装，得到第一隧道加密报文；边缘设备向本设备连接的PoP节点发送所述第一隧道加密报文。在这个过程中，边缘设备只需要对原始报文进行一次加密处理，就在SD‑WAN网络中实现了数据加密传输。相较于现有方案，边缘设备减少了一次加密过程，从而提高了边缘设备的处理性能。且由于PoP节点所能传输的是加密后的加密报文，因此也保证了传输过程中数据的安全性。

技术领域

本申请涉及通信技术领域，具体而言，涉及一种加密传输方法、装置及SD-WAN网络系统。

背景技术

SD-WAN，即软件定义广域网，是将SDN(Software Defined Network，软件定义网络)技术应用到广域网场景中所形成的一种服务，这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。通过引入SD-WAN控制器，完成分支机构CPE(Customer Premise Equipment，客户前置设备)的集中管理以及自动化配置，包括各种Internet及专线接入的配置管理等。SD-WAN提供企业WAN网络及应用的可视化，提供智能路由功能，能够基于WAN网络的实时状态，将各种应用的数据流智能调度。

IPsec(Internet Protocol Security，互联网协议安全)是为IP网络提供安全性的协议和服务的集合，它是VPN(Virtual Private Network，虚拟专用网)中常用的一种技术。由于IP报文本身没有集成任何安全特性，IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道，IP数据包通过IPsec隧道进行加密传输，有效保证了数据在不安全的网络环境如Internet中传输的安全性。

SD-WAN中的常用组网是基于PoP(Point Of Presence，接入点)云端网络架构(On-PoP-Overlay架构)。该架构利用云端或运营商的PoP节点来终结CPE，设计部署时会选择在各地的多个机房部署多线PoP节点，分支机构需要首先探测和选择最佳的PoP节点并建立连接。在PoP中部署网关设备，CPE与PoP节点之间建立VPN(Virtual Private Network，虚拟专用网络)隧道，在PoP层解决跨运营商互通，提升互联品质。

目前，基于On-PoP-Overlay架构进行跨区域的业务开展时，所采用的传输方案通常为如下两种方案：

方案一：依次在各个节点之间建立IPsec隧道，然后进行通信，例如图1所示。在这种方式中，以图1为例，当CPE-1和CPE-3之间进行通信时，从CPE-1访问CPE-3需要经过三段IPSec隧道，其中IPSec隧道2是由运营商决定是否加密。如果运营商不加密，则存在数据泄露的风险。同时，在这种方式中，业务数据需要在PoP节点经过多次的隧道解封装、解密、加密、隧道封装操作(以PoP-1节点为例，PoP-1节点在接收到CPE-1的数据后，需要先进行隧道解封装、然后进行数据解密，接着再进行数据加密，隧道封装)，会影响PoP节点的处理性能。

方案二：在CPE和PoP节点之间建立IPsec隧道，并在通信的两CPE节点之间叠加一层IPSec隧道，进而进行通信，例如图2所示。在这种方式中，以图2为例，当CPE-1需要访问CPE-3时，CPE-1上需要对数据进行两次隧道封装和加密(针对IPSec隧道1需要进行一次隧道封装和加密，针对叠加IPSec隧道也需要进行一次隧道封装和加密)，相应的，CPE-3上需要对数据进行两次解封装和解密(针对叠加IPSec隧道需要进行一次隧道解封装和解密，针对IPSec隧道2也需要进行一次隧道解封装和解密)，从而影响会CPE节点的处理性能。

发明内容

本申请实施例的目的在于提供一种加密传输方法、装置及SD-WAN网络系统，用以提供一种新的在SD-WAN网络中实现数据加密传输的方案。