(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211005325.X (22)申请日 2022.08.22 (71)申请人 奇安信科技 集团股份有限公司 地址 100032 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 奇安信网神信息技 术 （北京） 股份有 限公司 (72)发明人 赵福辰　刘浩　王茜　季家震　 (74)专利代理 机构 北京鼎佳达知识产权代理事 务所(普通 合伙) 11348 专利代理师 刘铁鸣　刘铁生 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/2592(2022.01) (54)发明名称 报文传输方法、 报文传输通道建立方法及装 置 (57)摘要 本发明公开了一种报文传输方法、 报文传输 通道建立方法及装置， 涉及通信技术领域， 主要 目的在于明确报文的来源私网以及在来源私网 中的来源私网设备； 报文传输方法应用于包括发 送端设备以及接收端设备的系统， 发送端设备与 接收端设备之间建立有通用路由封装GRE隧道， 报文传输方法包括： 发送端设备通过GRE隧道将 私网设备的目标报文发送至接收端设备， 目标报 文中携带有私网设备对应的私网地址和GRE标 识， 同一私网内的私网设备共用同一 GRE标识， 且 GRE标识具有唯一 性。 权利要求书3页 说明书13页 附图3页 CN 115396171 A 2022.11.25 CN 115396171 A 1.一种报文传输方法， 其特征在于， 应用于包括发送端设备以及接收端设备的系统， 其 中， 所述发送端设备与所述接收端设备之间建立有通用路由封装GRE隧道， 所述方法包括： 所述发送端设备通过所述GRE 隧道将私网设备的目标报文发送至所述接收端设备， 其 中， 所述目标报文中携带有 所述私网设备对应的私网地址和GRE标识， 同一私网内的私网设 备共用同一GRE标识， 且GRE标识具有唯一 性。 2.根据权利要求1所述的方法， 其特征在于， 所述发送端设备由第 一设备和第 二设备组 成， 所述第一设备与同一私网内的多个私网设备连接， 且所述第一设备与所述接 收端设备 之间建立GRE通道， 所述第一设备和所述第二设备之间建立有网际互联协议安全IPsec隧 道， 所述发送端设备通过所述GRE隧道将私网设备的目标报文发送至所述接收端设备， 包 括： 所述第一设备对所述私网设备发出的数据报文进行GRE隧道封装， 形成第一GRE报文， 其中， 所述数据报文中携带有所述私网设备对应的私网地址和GRE标识； 所述第一设备对所述第一GRE报文进行IPsec隧道封装， 并通过所述IPsec隧道将封装 后形成的第一 IPsec报文发送至所述第二设备； 所述第二设备将所述第一 IPsec报文作为所述目标报文发送至所述接收端设备。 3.根据权利要求2所述的方法， 其特征在于， 所述第 一设备对所述私网设备的数据报文 进行GRE隧道封装， 包括： 所述第一设备基于所述GRE 隧道对应的协议以及所述数据报文对应的协议， 生成第一 GRE协议包头； 所述第一设备基于所述GRE隧道的源地址和目标地址生成第一地址包头， 其中， 所述源 地址为所述第一设备的地址， 所述目标地址为所述接收端设备的地址； 所述第一设备为所述数据报文依次添加第一GRE协议包头、 第一 地址包头 。 4.根据权利要求2所述的方法， 其特征在于， 所述第一设备对所述第一GRE报文进行 IPsec隧道封装， 包括： 所述第一设备基于所述第一GRE报文包括的内容， 生成第一 IPsec包头； 所述第一设备基于所述IP sec隧道的源地址和目标地址生成第二地址包头， 其中， 所述 源地址为所述第一设备的地址， 所述目标地址为所述第二设备的地址； 为所述第一GRE报文依次添加第一 IPsec包头、 第二 地址包头 。 5.根据权利要求1所述的方法， 其特征在于， 所述发送端设备由第 一设备和第 二设备组 成， 所述第一设备用于与同一私网内的多个私网设备连接， 所述第一设备与所述第二设备 之间建立有IPsec隧道， 且所述第二设备与所述接收端设备之间建立GRE通道， 所述发送端 设备通过 所述GRE隧道将私网设备的目标报文发送至所述接收端设备， 包括： 所述第一设备对所述私网设备发出的数据报文进行IP sec隧道封装， 并通过所述IP sec 隧道将封装后形成的第二IPsec报文发送至所述第二设备， 其中， 所述数据报文中携带有 所 述私网设备对应的私网地址和GRE标识； 所述第二设备对所述第二IPsec报文进行GRE隧道封装形成所述目标报文， 并将所述目 标报文发送至所述接收端设备。 6.根据权利要求5所述的方法， 其特征在于， 所述第二设备对所述第二IPsec报文进行 GRE隧道封装， 包括：权　利　要　求　书 1/3 页 2 CN 115396171 A 2所述第二设备基于所述GRE隧道对应的协议以及所述第二IP sec报文对应的协议， 生成 第二GRE协议包头； 所述第二设备基于所述GRE隧道的源地址和目标地址生成第三地址包头， 其中， 所述源 地址为所述第二设备的地址， 所述目标地址为所述接收端设备的地址； 所述第二设备为所述第二 IPsec报文依次添加第二GRE协议包头、 第三 地址包头 。 7.根据权利要求5所述的方法， 其特征在于， 所述第 一设备对所述私网设备的数据报文 进行IPsec隧道封装， 包括： 所述第一设备基于所述数据报文包括的内容， 生成第二 IPsec包头； 所述第一设备基于所述IP sec隧道的源地址和目标地址生成第四地址包头， 其中， 所述 源地址为所述第一设备的地址， 所述目标地址为所述第二设备的地址； 为所述数据报文依次添加第二 IPsec包头、 第四地址包头 。 8.根据权利要求2或5所述的方法， 其特 征在于， 所述方法还 包括： 所述第一设备向所述第二设备发送携带有所述第一设备的地址的IPsec隧道建立请 求， 其中， 所述第一设备的地址作为 IPsec隧道的源地址； 所述第一设备接收所述第二设备返回的IP sec隧道建立接受响应， 并从所述IP sec隧道 建立接受响应中提取 所述第二设备的地址； 所述第一设备将所述第二设备的地址配置为所述 IPsec隧道的目标地址 。 9.根据权利要求1 ‑7中任一所述的方法， 其特征在于， 在所述发送端设备通过所述GRE 隧道将私网设备的目标报文发送至所述接收端设备之后， 所述方法还 包括： 所述接收端设备解封所述目标报文获得 所述私网地址和所述GRE标识。 10.根据权利要求9所述的方法， 其特征在于， 在所述接收端设备解封所述目标报文获 得所述私网地址和所述GRE标识之后， 所述方法还 包括： 所述接收端设备提取 所述目标报文携带的网络数据； 所述接收端设备基于所述网络数据审计对应于所述私网地址和所述GRE标识的私网设 备的上网行为。 11.根据权利要求1 ‑7中任一所述的方法， 其特 征在于， 所述方法还 包括： 所述发送端设备向所述接收端设备发送携带有所述发送端设备的地址的GRE隧道建立 请求， 其中， 所述发送端设备的地址作为GRE隧道的源地址； 所述发送端设备接收所述接收端设备返回的GRE隧道建立接受响应， 并从所述GRE隧道 建立接受响应中提取 所述接收端设备的地址； 所述发送端设备将所述接收端设备的地址配置为所述GRE隧道的目标地址 。 12.一种报文传输通道建立方法， 其特征在于， 应用于包括发送端设备以及接收端设备 的系统， 所述方法包括： 建立所述发送端设备和所述接收端设备之间的GRE隧道； 配置所述发送端设备的GRE隧道应用机制， 其中， 所述GRE隧道应用机制用于限定所述 发送端设备将私网设备的目标报文通过GRE隧道传输至所述接收端设备， 其中， 所述目标报 文中携带有 所述私网设备对应的私网地址和GRE标识， 同一私网内的私网设备共用同一GRE 标识， 且GRE标识具有唯一 性。 13.根据权利要求12所述的方法， 其特征在于， 所述发送端设备由第 一设备和第 二设备权　利　要　求　书 2/3 页 3 CN 115396171 A 3