CN117336001A - 一种加密信息的分发方法及相关装置 - Google Patents

Abstract

一种加密信息的分发方法，能够实现加密双方的数据加密传输，且有效地降低网络的部署复杂度。该方法包括：在路由通告报文中携带加密扩展信息，以指示路由前缀以及与路由前缀相关的加密扩展信息。网络设备在接收到路由通告报文时，基于路由通告报文中的加密扩展信息生成密钥，并且生成具有加密属性的路由表项，该路由表项能够指示网络设备采用密钥加密数据后再将加密后的数据发往路由前缀所指示的网络。在本方法中，基于路由通告报文来实现在多个网络设备之间传递加密信息，且引导网络设备生成具有加密属性的路由表项，从而保证网络设备能够基于路由表项实现数据报文的加密传输，无需在网络设备之间建立专用的加密隧道，有效地降低了网络的部署复杂度。

Description

一种加密信息的分发方法及相关装置

技术领域

本申请涉及互联网技术领域，尤其涉及一种加密信息的分发方法及相关装置。

背景技术

IP层流量加密服务(security services for traffic at the IP layer，IPSec)是用于提供高质量的、基于加密的安全服务的一套协议。IPSec提供的安全服务是在IP层提供的，用于对IP层和承载在IP层上的所有协议提供保护。因此，使用Ipsec能够保护在一对主机之间、一对安全网关之间或一个安全网关与一个主机之间的任意路径。

目前，在基于IPSec来加密流量的过程中，需要先在加密双方之间创建一条专用的加密隧道。然后，加密双方通过加密隧道交互加密所需的信息，以生成用于加密或解密数据的密钥。最后，在加密双方中任意一方获取到需要加密发送给另一方的流量时，则将流量路由到加密隧道，以便于对流量进行加密并通过加密隧道转发至另一方。

然而，由于基于IPSec在任意两个网络设备之间传输加密流量时，都需要先在这两个网络设备之间建立一条专用的加密隧道，导致网络部署复杂度较高，难以在实际的大规模网络环境中推广应用。

发明内容

本申请提供了一种加密信息的分发方法，无需在加密双方之间建立专用的加密隧道就能够实现加密双方的数据加密传输，有效地降低了网络的部署复杂度。

本申请第一方面提供一种加密信息的分发方法，包括：第一网络设备接收第一路由通告报文，第一路由通告报文包括路由前缀以及与路由前缀相关的第一加密扩展信息，第一加密扩展信息包括用于生成密钥的第一参数。然后，第一网络设备基于第一加密扩展信息生成至少一个密钥，其中至少一个密钥用于加密从第一网络设备前往路由前缀所指示的网络的数据报文和/或解密从路由前缀所指示的网络前往第一网络设备的数据报文。第一网络设备根据第一路由通告报文生成路由表项，路由表项包括路由前缀，且路由表项用于指示第一网络设备上前往路由前缀所指示的网络的出接口以及指示在转发目的地址属于路由前缀所指示的网络的数据报文之前采用至少一个密钥加密数据报文。也就是说，第一网络设备根据第一路由通告报文生成了具有加密属性的路由表项。

本方案中，通过在路由通告报文中携带加密扩展信息，以指示路由前缀以及与路由前缀相关的加密扩展信息。这样，网络设备在接收到路由通告报文时，能够基于路由通告报文中的加密扩展信息生成密钥，并且生成具有加密属性的路由表项，该路由表项能够指示网络设备采用密钥加密数据报文后再将加密后的数据报文发往路由前缀所指示的网络。在本方法中，基于路由通告报文来实现在多个网络设备之间传递加密信息，且引导网络设备生成具有加密属性的路由表项，从而保证网络设备能够基于路由表项实现数据报文的加密传输，无需在网络设备之间建立专用的加密隧道，有效地降低了网络的部署复杂度。

可选的，第一加密扩展信息携带于第一路由通告报文中的第一类型长度值(typelength value，TLV)字段，第一TLV字段包括用于生成密钥的第一参数。

可选的，第一加密扩展信息还包括用于指示第一加密网络拓扑的信息，第一加密网络拓扑的信息用于指示构成第一加密网络拓扑的多个网络设备，以及指示多个网络设备之间允许建立加密连接。

可选的，第一加密扩展信息还携带于第一路由通告报文中的第二TLV字段，第二TLV字段用于指示第一加密网络拓扑的信息。

本方案中，通过在路由通告报文中新增TLV字段，能够在实现携带加密扩展信息的同时，尽可能地减少对现有路由协议的改动，降低实际部署难度。

可选的，第一路由通告报文为边界网关协议(Border Gateway Protocol，BGP)报文或内部网关协议(Interior Gateway Protocol，IGP)报文。

可选的，第一路由通告报文为BGP更新报文；第一TLV字段和第二TLV字段携带于BGP更新报文中的扩展路径属性字段。

可选的，第一路由通告报文为开放式最短路径优先OSPF报文；第一TLV字段和第二TLV字段携带于OSPF报文中的链路状态通告(Link State Advertisement，LSA)子TLV字段。

可选的，第一网络设备获取到目标报文时，如果目标报文的目的地址与路由表项中的路由前缀匹配目标报文，第一网络设备目标报文基于路由表项的指示采用至少一个密钥加密目标报文。

可选的，若第一网络设备与第二网络设备之间具有已创建的隧道，则第一网络设备基于已创建的隧道发送加密后的目标报文报文，第二网络设备为路由前缀所指示的网络中的边界设备；若第一网络设备与第二网络设备之间不具有已创建的隧道，则第一网络设备新创建与第二网络设备之间的隧道，并基于新创建的隧道发送加密后的目标报文。

可选的，第一加密扩展信息中还包括第二网络设备的互联网协议IP地址；第一网络设备基于第二网络设备的IP地址以及第一网络设备的IP地址创建与第二网络设备之间的IPinIP隧道。

可选的，第一TLV字段中包括一个或多个网络设备的标识，一个或多个网络设备为加密网络拓扑中需要与第二网络设备建立加密连接的设备，第二网络设备为路由前缀所指示的网络中的边界设备。

可选的，第二TLV字段用于指示一个或多个网络设备所属的第一加密网络拓扑，以及一个或多个网络设备在第一加密网络拓扑内的标识，一个或多个网络设备为第一加密网络拓扑中需要与第二网络设备建立加密连接的设备，第二网络设备为路由前缀所指示的网络中的边界设备。

可选的，第二TLV字段包括多个比特位，多个比特位中的一个比特位用于指代第一加密网络拓扑内的至少一个网络设备，一个或多个网络设备对应于多个比特位中具有预设置位状态的一个或多个比特位。

可选的，第一TLV字段包括第二网络设备的路由器标识，第二网络设备为路由前缀所指示的网络中的边界设备；第一网络设备根据第二网络设备的路由器标识以及第一网络设备的路由器标识，生成至少一个密钥；其中，第二网络设备的路由器标识和第一网络设备的路由器标识均为唯一的标识。

本方案中，通过基于网络设备的路由器标识来生成密钥，能够保证密钥的唯一性，提高数据传输的安全性。

可选的，第一网络设备根据第一TLV字段和本地参数生成第一安全参数索引，第一安全参数索引用于指示第一网络设备与第二网络设备之间的加密连接，本地参数包括随机数和/或第一网络设备的标识，第二网络设备为路由前缀所指示的网络中的边界设备；若第一安全参数索引与第一网络设备中已生成的其他安全参数索引相同，第一网络设备则更新本地参数，并基于第一TLV字段和更新后的本地参数生成第二安全参数索引；第一网络设备向第二网络设备发送更新后的本地参数。

可选的，第一TLV字段还包括量子密钥参数。

可选的，第一网络设备生成第二加密扩展信息，第二加密扩展信息包括用于生成密钥的第二参数以及第二加密网络拓扑的信息，第二加密网络拓扑的信息用于指示构成第二加密网络拓扑的多个网络设备，以及指示第二加密网络拓扑中的多个网络设备之间允许建立加密连接；第一网络设备将第一路由通告报文中的第一加密扩展信息替换为第二加密扩展信息，得到第二路由通告报文；第一网络设备向邻居设备发送第二路由通告报文。

本方案中，网络设备在接收到路由通告报文后，通过更改路由通告报文中的加密扩展信息，能够建立使得网络设备根据实际需求建立与其他网络设备之间的加密连接，实现加密网络拓扑的灵活管理。

本申请第二方面提供一种加密信息的分发方法，包括：第二网络设备获取业务相关的加密信息，加密信息用于指示业务加密应用的对象；第二网络设备根据加密信息生成路由通告报文，路由通告报文包括路由前缀以及与路由前缀相关的加密扩展信息，加密扩展信息包括用于生成密钥的参数；第二网络设备向邻居设备发送路由通告报文。

可选的，业务加密应用的对象用于指示需要建立加密连接的地址族或虚拟专用网络VPN实例；基于路由前缀属于地址族或VPN实例中的网络前缀，第二网络设备生成路由通告报文，第二网络设备为路由前缀所指示的网络中的边界设备。

可选的，业务加密应用的对象包括路由策略，路由策略用于指示需建立加密连接的网络设备；基于第二网络设备属于路由策略中所指示的网络设备，第二网络设备生成路由通告报文。

本申请第三方面提供一种网络设备，包括：接收单元，用于接收第一路由通告报文，第一路由通告报文包括路由前缀以及与路由前缀相关的第一加密扩展信息，第一加密扩展信息包括用于生成密钥的第一参数；生成单元，用于基于第一加密扩展信息生成至少一个密钥，其中至少一个密钥用于加密从网络设备前往路由前缀所指示的网络的数据报文和/或解密从路由前缀所指示的网络前往网络设备的数据报文；生成单元，还用于根据第一路由通告报文生成路由表项，路由表项包括路由前缀，且路由表项用于指示网络设备上前往路由前缀所指示的网络的出接口以及指示在转发目的地址属于路由前缀所指示的网络的数据报文之前采用至少一个密钥加密数据报文。

可选的，第一加密扩展信息携带于第一路由通告报文中的第一TLV字段，第一TLV字段包括用于生成密钥的第一参数。

可选的，第一加密扩展信息还包括用于指示第一加密网络拓扑的信息，第一加密网络拓扑的信息用于指示构成第一加密网络拓扑的多个网络设备，以及指示多个网络设备之间允许建立加密连接。

可选的，第一加密扩展信息还携带于第一路由通告报文中的第二TLV字段，第二TLV字段用于指示第一加密网络拓扑的信息。

可选的，第一路由通告报文为BGP报文或IGP报文。

可选的，第一路由通告报文为BGP更新报文；第一TLV字段和第二TLV字段携带于BGP更新报文中的扩展路径属性字段。

可选的，第一路由通告报文为开放式最短路径优先OSPF报文；第一TLV字段和第二TLV字段携带于OSPF报文中的链路状态通告子TLV字段。

可选的，生成单元还用于：在获取到目标报文时，如果目标报文的目的地址与路由表项中的路由前缀匹配目标报文，基于路由表项的指示采用至少一个密钥加密目标报文。

可选的，网络设备还包括发送单元；

若网络设备与第二网络设备之间具有已创建的隧道，则发送单元用于基于已创建的隧道发送加密后的目标报文，第二网络设备为路由前缀所指示的网络中的边界设备；

若网络设备与第二网络设备之间不具有已创建的隧道，则生成单元用于新创建与第二网络设备之间的隧道，且发送单元用于基于新创建的隧道发送加密后的目标报文。

可选的，第一加密扩展信息中还包括第二网络设备的IP地址；生成单元用于基于第二网络设备的IP地址以及第一网络设备的IP地址创建与第二网络设备之间的IPinIP隧道。

可选的，第一TLV字段中包括一个或多个网络设备的标识，一个或多个网络设备为加密网络拓扑中需要与第二网络设备建立加密连接的设备，第二网络设备为路由前缀所指示的网络中的边界设备。

可选的，第二TLV字段用于指示一个或多个网络设备所属的第一加密网络拓扑，以及一个或多个网络设备在第一加密网络拓扑内的标识，一个或多个网络设备为第一加密网络拓扑中需要与第二网络设备建立加密连接的设备，第二网络设备为路由前缀所指示的网络中的边界设备。

可选的，第二TLV字段包括多个比特位，多个比特位中的一个比特位用于指代第一加密网络拓扑内的至少一个网络设备，一个或多个网络设备对应于多个比特位中具有预设置位状态的一个或多个比特位。

可选的，第一TLV字段包括第二网络设备的路由器标识，第二网络设备为路由前缀所指示的网络中的边界设备；生成单元，还用于根据第二网络设备的路由器标识以及第一网络设备的路由器标识，生成至少一个密钥；其中，第二网络设备的路由器标识和第一网络设备的路由器标识均为唯一的标识。

可选的，生成单元还用于：根据第一TLV字段和本地参数生成第一安全参数索引，第一安全参数索引用于指示网络设备与第二网络设备之间的加密连接，本地参数包括随机数和/或第一网络设备的标识，第二网络设备为路由前缀所指示的网络中的边界设备；若第一安全参数索引与网络设备中已生成的其他安全参数索引相同，则更新本地参数，并基于第一TLV字段和更新后的本地参数生成第二安全参数索引；发送单元，还用于向第二网络设备发送更新后的本地参数。

可选的，第一TLV字段还包括量子密钥参数。

可选的，生成单元，还用于生成第二加密扩展信息，第二加密扩展信息包括用于生成密钥的第二参数以及第二加密网络拓扑的信息，第二加密网络拓扑的信息用于指示构成第二加密网络拓扑的多个网络设备，以及指示第二加密网络拓扑中的多个网络设备之间允许建立加密连接；第一网络设备将第一路由通告报文中的第一加密扩展信息替换为第二加密扩展信息，得到第二路由通告报文；发送单元，还用于第一网络设备向邻居设备发送第二路由通告报文。

本申请第四方面提供一种网络设备，包括：获取单元，用于获取业务相关的加密信息，加密信息用于指示业务加密应用的对象；生成单元，根据加密信息生成路由通告报文，路由通告报文包括路由前缀以及与路由前缀相关的加密扩展信息，加密扩展信息包括用于生成密钥的参数；发送单元，用于向邻居设备发送路由通告报文。

可选的，业务加密应用的对象用于指示需要建立加密连接的地址族或VPN实例；生成单元，还用于基于路由前缀属于地址族或VPN实例中的网络前缀，生成路由通告报文，其中网络设备为路由前缀所指示的网络中的边界设备。

可选的，业务加密应用的对象包括路由策略，路由策略用于指示需建立加密连接的网络设备；生成单元，还用于基于网络设备属于路由策略中所指示的网络设备，生成路由通告报文。

本申请第五方面提供一种网络设备，包括处理器和存储器；其中，存储器用于存储程序代码，处理器用于调用存储器中的程序代码以使得网络设备执行如第一方面或第二方面的任意一种实施方式的方法。

本申请第六方面提供一种网络系统，包括第三方面任意一种实施方式的网络设备和第四方面任意一种实施方式的网络设备。

本申请第七方面提供一种计算机可读存储介质，存储有指令，当指令在计算机上运行时，使得计算机执行如第一方面的任意一种实施方式的方法。

本申请第八方面提供一种计算机程序产品，当其在计算机上运行时，使得计算机执行如第一方面的任意一种实施方式的方法。

本申请第九方面提供一种芯片，包括一个或多个处理器。处理器中的部分或全部用于读取并执行存储器中存储的计算机指令，以执行上述任一方面任意可能的实施方式中的方法。可选地，芯片还包括存储器。可选地，芯片还包括通信接口，处理器与通信接口连接。通信接口用于接收需要处理的数据和/或信息，处理器从通信接口获取数据和/或信息，并对数据和/或信息进行处理，并通过通信接口输出处理结果。可选地，通信接口是输入输出接口或者总线接口。本申请提供的方法由一个芯片实现，或者由多个芯片协同实现。

上述第二方面至第九方面提供的方案，用于实现或配合实现上述第一方面提供的方法，因此能够与第一方面达到相同或相应的有益效果，此处不再进行赘述。

附图说明

图1为本申请实施例提供的一种同一自治系统内加密业务的网络场景示意图；

图2为本申请实施例提供的一种跨自治系统加密业务的网络场景示意图；

图3为本申请实施例提供的一种加密信息的分发方法的流程示意图；

图4为本申请实施例提供的一种BGP更新报文的格式示意图；

图5为本申请实施例提供的一种OSPF内部区域前缀链路状态通告(E-Inter-Area-Prefix-LSA)报文的格式示意图；

图6为本申请实施例提供的一种OSPF E-Inter-Area-Prefix-LSA报文中TLV字段的格式示意图；

图7为本申请实施例提供的一种第一TLV字段和第二TLV字段的格式示意图；

图8为本申请实施例提供的一种第二TLV字段的格式示意图；

图9为本申请实施例提供的多种不同加密网络拓扑的结构示意图；

图10为本申请实施例提供的一种加密信息的分发方法的另一流程示意图；

图11为本申请实施例提供的一种同一自治系统内分发加密信息的示意图；

图12为本申请实施例提供的一种不同自治系统间分发加密信息的示意图；

图13为本申请实施例提供的一种发送侧设备发布携带加密扩展信息的路由通告报文的流程示意图；

图14为本申请实施例提供的一种接收侧设备接收并处理携带加密扩展信息的路由通告报文的流程示意图；

图15为本申请实施例提供的一种网络设备间生成安全参数索引的流程示意图；

图16为本申请实施例提供的一种SPI发生冲突时的重新协商流程示意图；

图17为本申请实施例提供的一种网络设备1700的结构示意图；

图18为本申请实施例提供的一种网络设备1800的结构示意图；

图19为本申请实施例提供的一种网络设备1900的结构示意图；

图20为本申请实施例提供的一种网络设备2000的结构示意图。

具体实施方式

下面结合附图，对本申请的实施例进行描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。本领域普通技术人员可知，随着技术发展和新场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

下面先对本申请实施例涉及的一些术语概念做解释说明。

(1)路由通告报文

路由通告报文是指用于通告路由的一种报文。具体来说，为了实现报文在网络设备之间的传输，网络设备之间需要相互发送用于通告路由的路由通告报文。例如，网络设备A向网络设备B发送携带有网络设备A的路由信息的路由通告报文。网络设备B在接收到来自网络设备A的路由通告报文之后，可以根据该路由通告报文中的路由信息生成相应的路由，以根据该路由将报文传输给网络设备A。

(2)路由前缀

路由前缀是用来唯一地标识着连入互联网中的一个网络的网络号。

(3)边界网关协议(Border Gateway Protocol，BGP)

BGP是运行于传输控制协议(Transmission Control Protocol，TCP)上的一种自治系统(autonomous system，AS)的路由协议。BGP用于在不同的自治系统之间交换路由信息。当两个AS需要交换路由信息时，每个AS都必须指定一个运行BGP的节点，来代表AS与其他的AS交换路由信息。两个AS中利用BGP交换信息的节点也被称为边界网关(BorderGateway)或边界路由器(Border Router)。

(4)内部网关协议(Interior Gateway Protocol，IGP)

IGP是一种自治系统内网络设备(例如网关、路由器)之间交换路由信息的协议。IGP协议包括路由信息协议(Routing Information Protocol，RIP)、开放式最短路径优先(Open Shortest Path First，OSPF)、中间系统到中间系统(Intermediate System-to-Intermediate System，IS-IS)路由协议、内部网关路由协议(Interior Gateway RoutingProtocol)、增强内部网关路由协议(Enhanced Interior Gateway Routing Protocol，EIGRP)等。

(5)虚拟专用网络实例(Virtual Private Network instance，VPN instance)

VPN实例又称为虚拟路由转发(Virtual Routing Forwarding，VRF)实例，不同VPN之间的路由隔离通过VPN实例来实现的。VPN实例是运营商边缘(Provider Edge，PE)设备为直接相连的站点建立并维护的一个专门实体，每个站点在PE设备上都有自己独立的VPN实例。PE设备上每个VPN实例都有相对独立的路由表和标签转发信息库(Label ForwardingInformation Base，LFIB)，确保VPN数据的独立性和安全性。

以上介绍了本申请实施例所涉及的术语概念，以下将介绍本申请实施例提供的加密信息的分发方法所应用的场景。

请参阅图1，图1为本申请实施例提供的一种相同自治系统内加密业务的网络场景示意图。

如图1所示，网络场景中包括位于同一个自治系统(即自治系统001)内的多个网络设备。多个网络设备具体包括网络设备a、网络设备b、网络设备c和网络设备A。其中，网络设备a以及网络设备b通过网络设备A与网络设备c建立邻居关系；或者，网络设备a直接与网络设备c建立邻居关系，且网络设备b直接与网络设备c建立邻居关系。示例性地，上述的网络设备a、网络设备b和网络设备c例如为PE设备，网络设备A为路由反射器(Route Reflector，RR)。

在图1所示的同一自治系统内传输数据的场景中，从网络设备a以及网络设备b前往网络设备c的数据报文需要加密传输，以保证数据的传输安全。也就是说，在图1所示的场景中，同一个自治系统内的网络设备之间所传输的业务数据需要进行加密。

请参阅图2，图2为本申请实施例提供的一种跨自治系统加密业务的网络场景示意图。

如图2所示，网络场景中包括位于不同自治系统的多个网络设备，该多个网络设备具体包括网络设备1-网络设备5。其中，网络设备1与网络设备2通过网络设备3、网络设备4和网络设备5建立连接，即从网络设备1发往网络设备2的数据报文需要经过网络设备3、网络设备4和网络设备5。并且，网络设备3与网络设备4之间的数据报文跨自治系统001传输，网络设备4与网络设备5之间的数据报文跨自治系统002传输。示例性地，上述的网络设备1和网络设备2例如为用户边缘(Customer Edge，CE)设备，网络设备3、网络设备4和网络设备5为PE设备。

在图2所示的跨自治系统传输数据的场景中，从网络设备3前往网络设备4的数据报文以及从网络设备4前往网络设备5的数据报文均需要加密传输，以保证数据的传输安全。也就是说，在图2所示的场景中，跨自治系统的网络设备之间所传输的业务数据需要进行加密。

以上图1和图2是以同一个自治系统内传输数据以及跨自治系统传输数据的场景为例，介绍了不同场景下网络设备之间加密传输数据。在实际应用中，其他场景下的网络设备之间也可能是需要加密传输数据，本实施例并不对具体的场景进行限定。

以上介绍了本申请实施例提供的方法所应用的场景，以下将详细介绍本申请实施例提供的加密信息的分发方法。

请参阅图3，图3为本申请实施例提供的一种加密信息的分发方法的流程示意图。其中，图3所示的方法能够应用于数据通信网络中任意两个路径可达的网络设备，以实现网络设备之间的加密信息分发，从而保证网络设备之间能够实现业务数据的加密传输。

如图3所示，加密信息的分发方法应用于第一网络设备和第二网络设备。其中，第二网络设备用于生成携带加密扩展信息的路由通告报文，并向第一网络设备发送该路由通告报文。第一网络设备则用于接收来自于第二网络设备的路由通告报文，并根据路由通告报文中的路由前缀和加密扩展信息生成路由表项，以使得第一网络设备能够基于路由表项的指示在向第二网络设备发送的数据报文之前对待发送的数据报文进行加密，向第二网络设备发送加密后的数据报文。

可选的，第一网络设备和第二网络设备例如为路由器、交换机或网关等物理设备，或者是支持报文转发的虚拟设备等，本实施例并不对第一网络设备第二网络设备的具体实现形式做限定。

具体地，图3所示的加密信息的分发方法包括以下的步骤301-305。

步骤301，第二网络设备获取业务相关的加密信息，加密信息用于指示业务加密应用的对象。

本实施例中，第二网络设备所获取到的加密信息用于指示业务加密所应用的对象，即指示哪些对象是需要进行业务加密的。基于获取到的加密信息，第二网络设备能够确认当前所执行的业务是否需要进行加密。

示例性地，业务加密所应用的对象包括需要建立加密连接的地址族或VPN实例，第二网络设备在发布路由通告报文之前，通告确认待发布的路由通告报文中的路由前缀是否属于地址族或VPN实例中的网络前缀，来确定路由前缀相关的业务是否需要加密。又例如，业务加密所应用的对象包括路由策略，该路由策略用于指示需建立加密连接的网络设备，比如路由策略指示需建立加密连接的网络设备的标识或地址。这样，第二网络设备通过确认本设备的标识或地址是否属于路由策略中所指示的网络设备的标识或地址，即可确认第二网络设备当前所执行的业务是否需要加密。

可选的，第二网络设备中的加密信息是通过控制器预先配置的；或者是网络系统中其他网络设备传递给第二网络设备的；又或者是第二网络设备中的加密信息是管理人员手动在第二网络设备上配置的，本实施例并不限定第二网络设备获取加密信息的具体方式。

步骤302，第二网络设备根据加密信息生成第一路由通告报文，第一路由通告报文包括路由前缀以及与路由前缀相关的第一加密扩展信息，且第一加密扩展信息包括用于生成密钥的第一参数。

在第二网络设备基于加密信息确定第二网络设备所执行的业务需要加密时，第二网络设备则生成携带第一加密扩展信息的第一路由通告报文。其中，第一路由通告报文中所携带的第一加密扩展信息与第一路由通告报文中的路由前缀具有相关性，即前往该路由前缀的报文需要基于第一加密扩展信息所指示的内容来加密传输。此外，第二网络设备为第一路由通告报文中路由前缀所指示的网络中的边界设备，用于负责路由前缀所指示的网络与其他网络之间的报文转发。

可选的，在业务加密所应用的对象包括需要建立加密连接的地址族或VPN实例的情况下，基于路由前缀属于地址族或VPN实例中的网络前缀，第二网络设备生成上述的第一路由通告报文。或者，在业务加密所应用的对象路由策略，且该路由策略用于指示需建立加密连接的网络设备的情况下，第二网络设备基于自身属于路由策略中所指示的网络设备，生成上述的第一路由通告报文。

步骤303，第二网络设备向邻居设备发送第一路由通告报文。

在生成第一路由通告报文后，第二网络设备则向所连接的邻居设备发送第一路由通告报文。并且，第二网络设备的邻居设备在接收到第一路由通告报文后，可选地，还会继续将第一路由通告报文转发给其他的邻居设备，以便于实现第一路由通告报文在整个数据通信网络中的传播。

步骤304，第一网络设备接收第一路由通告报文。

本实施例中，可选地，第一网络设备例如为第二网络设备的邻居设备，即第一网络设备从第二网络设备处接收到第一路由通告报文。可选地，第一网络设备也可以不为第二网络设备的邻居设备，即第一网络设备与第二网络设备之间还连接有其他的网络设备，第一网络设备从第一网络设备的邻居设备处接收到来自于第二网络设备的第一路由通告报文。

步骤305，第一网络设备基于第一路由通告报文中的第一加密扩展信息生成至少一个密钥。

由于第一路由通告报文中的第一加密扩展信息包括用于生成密钥的第一参数，因此第一网络设备能够基于第一加密扩展信息中的第一参数生成至少一个密钥。其中，第一网络设备所生成的至少一个密钥用于加密从第一网络设备前往第一路由通告报文中路由前缀所指示的网络的数据报文；或者，该至少一个密钥用于解密从路由前缀所指示的网络前往第一网络设备的数据报文。又或者，第一网络设备所生成的至少一个密钥既能够用于加密从第一网络设备前往路由前缀所指示的网络的数据报文，又能够用于解密从路由前缀所指示的网络前往第一网络设备的数据报文。

示例性地，在第一加密扩展信息中，用于生成密钥的第一参数包括以下的一种或多种参数：用于计算密钥的随机数、第二网络设备的标识、安全协议类型、报文封装模式、验证算法以及加密算法。基于第一加密扩展信息中的第一参数，第一网络设备能够采用第一参数中所指定的加密算法以及加密参数来生成上述的至少一个密钥。

步骤306，第一网络设备根据第一路由通告报文生成路由表项，路由表项包括第一路由通告报文中的路由前缀，且路由表项用于指示第一网络设备上前往路由前缀所指示的网络的出接口以及指示在转发目的地址属于路由前缀所指示的网络的数据报文之前采用至少一个密钥加密数据报文。

由于第一路由通告报文中同时包括路由前缀以及与路由前缀相关的第一加密扩展信息，因此第一网络设备基于第一路由通告报文生成具有加密属性的路由表项。在具有加密属性的路由表项中，既指示了第一网络设备如何转发前往路由前缀所指示的网络的数据报文，还指示了第一网络设备需要采用上述的至少一个密钥来加密前往路由前缀所指示的网络的数据报文。

需要说明的是，以上步骤301-306介绍了由第二网络设备向第一网络设备发送路由通告报文，以使得第一网络设备生成具有加密属性的路由表项，从而保证了第一网络设备能够向第二网络设备发送加密后的数据报文。在实际应用中，第一网络设备也可以向第二网络设备发送携带有加密扩展信息的路由通告报文，以使得第二网络设备也能够实现向第一网络设备发送加密后的数据报文。其中，第一网络设备向第二网络设备发送携带加密扩展信息的路由通告报文，且第二网络设备基于接收到的路由通告报文生成具有加密属性的路由表项的具体过程与上述的步骤301-306类似，本实施例对此不再赘述。

本实施例中，通过在路由通告报文中同时携带路由前缀以及与路由前缀相关的加密扩展信息，能够使得接收到路由通告报文的网络设备基于路由通告报文中的加密扩展信息生成密钥，并且生成具有加密属性的路由表项。其中，该路由表项能够指示网络设备采用密钥加密数据后再将加密后的数据发往路由前缀所指示的网络，从而实现在网络设备间加密传输数据。

总的来说，本实施例中基于路由通告报文来实现在多个网络设备之间传递加密信息，且引导网络设备生成具有加密属性的路由表项，从而保证网络设备能够基于路由表项实现数据报文的加密传输，无需在网络设备之间建立专用的加密隧道，有效地降低了网络的部署复杂度。

以上介绍了第二网络设备在第一路由通告报文中携带第一加密扩展信息，以使得第一网络设备在接收到第一路由通告报文后能够基于第一加密扩展信息生成具有加密属性的路由表项的过程。为便于理解，以下将详细介绍如何在第一路由通告报文中实现携带第一加密扩展信息。

可选的，在第一加密扩展信息中，除了上述用于生成密钥的第一参数之外，第一加密扩展信息还包括第一加密网络拓扑的信息。第一加密网络拓扑的信息用于指示构成第一加密网络拓扑的多个网络设备，以及指示多个网络设备之间允许建立加密连接。

应理解，第一网络设备和第二网络设备所处的数据通信网络中可能包括大量的网络设备，然而在一些实际业务场景下，往往只需要数据通信网络中的部分网络设备之间建立加密连接。在这种情况下，为了便于管理，期望相互间建立加密连接的部分网络设备则划分为一个加密网络拓扑，在同一个加密网络拓扑内的多个网络设备之间允许建立加密连接。

也就是说，通过在第一加密扩展信息中指示第一加密网络拓扑的信息，能够指示第二网络设备所处的第一加密网络拓扑，且第一加密网络拓扑内的其他网络设备是允许与第二网络设备建立加密连接的。

以下将介绍在第一加密扩展信息中携带用于生成密钥的第一参数以及指示第一加密网络拓扑的信息的具体实现方式。

实现方式1，第一加密扩展信息携带于第一路由通告报文中的第一类型长度值(type length value，TLV)字段中。

其中，第一TLV字段包括用于生成密钥的第一参数，以及第一加密网络拓扑的信息。例如，第一TLV字段中包括一个或多个网络设备的标识，该一个或多个网络设备为第一加密网络拓扑中需要与第二网络设备建立加密连接的设备。也就是说，实现方式1是通过在第一TLV字段携带网络设备的标识，来指定需要与第二网络设备建立加密连接的设备。这样，在任意一个网络设备接收到来自于第二网络设备的第一路由通告报文时，该网络设备只需要确定本设备的标识是否在第一TLV字段所指示的一个或多个标识中，即可确定是否需要与第二网络设备建立加密连接。

示例性地，在第二网络设备处于BGP网络的情况下，第一TLV字段中所包括的一个或多个网络设备的标识例如为网络设备的BGP路由器标识。此外，第一TLV字段中所包括的一个或多个网络设备的标识也可以为其他类型的标识，在此不做具体限定。

实现方式2，第一加密扩展信息携带于第一路由通告报文中的第一TLV字段和第二TLV字段中。

其中，第一TLV字段包括用于生成密钥的第一参数，第二TLV字段则用于指示第一加密网络拓扑的信息。也就是说，第一路由通告报文中的第一TLV字段用于传递生成密钥的参数，第二TLV字段则用于实现加密网络拓扑的管理。

示例性地，第二TLV字段用于指示一个或多个网络设备所属的第一加密网络拓扑，以及一个或多个网络设备在第一加密网络拓扑内的标识。即第二TLV字段同时指示了该一个或多个网络设备属于第一加密网络拓扑，以及这一个或多个网络设备在第一加密网络拓扑内的标识。其中，第二TLV字段所指示的一个或多个网络设备为第一加密网络拓扑中需要与第二网络设备建立加密连接的设备。

可选的，第二TLV字段包括多个比特位，且多个比特位中的一个比特位用于指代第一加密网络拓扑内的至少一个网络设备。第二TLV字段所指示的第一加密网络拓扑中的一个或多个网络设备则对应于多个比特位中具有预设置位状态的一个或多个比特位。其中，预设置位状态可以是指比特位被置位(即比特位的值为1)，即多个比特位中被置位的比特位所对应的网络设备则为第一加密网络拓扑中需要与第二网络设备建立加密连接的网络设备。或者，预设置位状态可以是指比特位未被置位(即比特位的值为0)，即多个比特位中未被置位的比特位所对应的网络设备则为第一加密网络拓扑中需要与第二网络设备建立加密连接的网络设备。本实施例并不对预设置位状态进行具体限定。

此外，第二TLV字段中的比特位可以是用于指代至少一个网络设备；在第二TLV字段中的比特位充足的情况下，第二TLV字段中的部分比特位也可以是不指代网络设备。

例如，假设第二TLV字段中包括6个比特位，如果第一加密网络拓扑中包括6个网络设备，且该6个网络设备均需要与第二网络设备建立加密连接，那么第二TLV中的每个比特位分别指代一个网络设备，且该6个比特位均被置位为1。

又例如，假设第二TLV字段中包括6个比特位，如果第一加密网络拓扑中包括12个网络设备，且该12个网络设备均需要与第二网络设备建立加密连接，那么第二TLV字段中的每个比特位分别指代两个网络设备，且该6个比特位均为置位为1。再例如，假设第二TLV字段中包括6个比特位，如果第一加密网络拓扑中包括3个需要与第二网络设备建立加密连接关系的网络设备，那么第二TLV字段中的前三个比特位可以是分别指代一个网络设备，且第二TLV字段中的前三个比特位均为置位为1。

可选的，在上述的实现方式1和实现方式2中，第一TLV字段包括用于生成密钥的第一参数，且该第一参数具体包括第二网络设备的路由器标识。

在第一网络设备基于第一加密扩展信息生成至少一个密钥的过程中，第一网络设备根据第二网络设备的路由器标识以及第一网络设备的路由器标识，生成至少一个密钥；其中，第二网络设备的路由器标识和第一网络设备的路由器标识均为唯一的标识。

由于第一网络设备以及第二网络设备的路由器标识均为数据通信网络中唯一的标识，因此基于两个网络设备的路由器标识来生成密钥，能够保证所生成的密钥的唯一性，从而保证加密传输的安全性。

需要说明的是，在第一网络设备生成至少一个密钥的过程中，除了上述的第二网络设备的路由器标识以及第一网络设备的路由器标识，第一网络设备还可以是基于其他的参数来共同生产至少一个密钥。例如，第一网络设备基于第一TLV字段中的随机数、第一网络设备所生成的随机数、第一网络设备的路由器标识和第二网络设备的路由器标识来生成至少一个密钥。本实施例并不对第一网络设备生成密钥的方式进行具体限定。

可选的，第一TLV字段还包括量子密钥参数，例如量子密钥分发(quantum keydistribution，QKD)的密钥标识。这样，在第一网络设备获取第一路由通告报文中的第一TLV字段后，第一网络设备向量子密钥传输网发送第一TLV字段中的QKD的密钥标识，以向量子密钥传输网请求获得量子密钥。在量子密钥传输网向第一网络设备返回量子密钥后，第一网络设备则采用量子密钥来加密前往第二网络设备的数据。

在一些可选的实施例中，第一网络设备和第二网络设备在建立加密连接后，往往还需要生成安全参数索引(secure parameter index，SPI)，以指示第一网络设备和第二网络设备之间的加密连接。例如，对于第一网络设备而言，第一网络设备所生成的安全参数索引是基于第一TLV字段中的内容和第一网络设备的本地参数生成的。

然而，在第一网络设备需要与多个其他的网络设备建立加密连接的情况下，第一网络设备针对不同的加密连接所生成的安全参数索引可能会相同。因此，本实施例中提供一种解决SPI冲突的方式。

示例性地，在第一网络设备接收到第一路由通告报文后，第一网络设备根据第一TLV字段和第一网络设备的本地参数生成第一安全参数索引。其中，第一安全参数索引用于指示第一网络设备与第二网络设备之间的加密连接，本地参数包括随机数和/或第一网络设备的标识。

若第一安全参数索引与第一网络设备中已生成的其他安全参数索引相同，第一网络设备则更新本地参数，并基于第一TLV字段和更新后的本地参数生成第二安全参数索引。其中，第二安全参数索引用于指示第一网络设备与第二网络设备之间的加密连接，且第二安全参数索引与第一网络设备中已生成的其他安全参数索引不相同。

然后，第一网络设备向第二网络设备发送更新后的本地参数，以便于第二网络设备也能够重新生成相应的安全参数索引。

以上介绍了基于第一路由通告报文中的第一TLV字段和第二TLV字段来实现第一加密扩展信息的携带，以下将结合具体应用场景来对上述的第一路由通告报文进行详细的介绍。

可选的，在第二网络设备所处的数据通信网络为BGP网络或IGP网络的情况下，第二网络设备所发送的第一路由通告报文例如为BGP报文或IGP报文。

以第一路由通告报文为BGP更新报文为例，第一TLV字段和第二TLV字段携带于BGP更新报文中的扩展路径属性字段。请参阅图4，图4为本申请实施例提供的一种BGP更新报文的格式示意图。BGP更新报文中包括多个字段，分别为不可达路由长度(unfeasible routeslength)字段、不可达路由(withdrawn routes)字段、路径属性长度(total pathattribute length)字段、路径属性(path attributes)字段以及网络层可达信息(networklayer reachability information，NLRI)字段。其中，不可达路由长度字段用于表示不可达路由字段的长度；不可达路由字段用于表示不可达的路由，包括要撤销的不可达路由的网络前缀；路径属性长度字段用于表示路径属性字段的长度。路径属性字段用于表示与NLRI字段相关的路径的属性列表。通常，路径属性字段是按照各种属性的类型号的顺序，填写与NLRI字段相关的路径的所有属性。NLRI字段用于表示网络层可达信息，包括需要通告的路由前缀。

本实施例中，通过对路径属性字段进行扩展，以实现将第一TLV字段和第二TLV字段携带于BGP更新报文中的扩展路径属性字段。其中，扩展路径属性字段包括标志位(flags)字段、类型(type)字段、长度(length)字段以及值(value)字段。其中，第一TLV字段和第二TLV字段均包括有类型(type)字段、长度(length)字段以及值(value)字段。

以第一路由通告报文为OSPF报文为例，第一TLV字段和第二TLV字段携带于OSPF报文中的链路状态通告(Link State Advertisement，LSA)子TLV字段。请参阅图5，图5为本申请实施例提供的一种OSPF内部区域前缀链路状态通告(E-Inter-Area-Prefix-LSA)报文的格式示意图。OSPF报文中包括多个字段，分别为LSA存活时间(LS Age)字段、链接状态标识(link state id)字段、公告路由器(advertising router)字段、序列号(LS sequencenumber)字段、LSA校验和(LS checksum)字段、长度字段和TLV字段。

请参阅图6，图6为本申请实施例提供的一种OSPF E-Inter-Area-Prefix-LSA报文中TLV字段的格式示意图。如图6所示，OSPF E-Inter-Area-Prefix-LSA报文中的TLV字段具体还包括以下的字段：内部区域前缀(inter-area prefix)字段、TLV长度字段、度量值(metric)字段、前缀长度(prefix length)字段、前缀选项(prefix options)字段、地址前缀(adress prefix)字段以及子TLV(sub-TLVs)字段。

本实施例中，通过扩展OSPF E-Inter-Area-Prefix-LSA报文中TLV字段的sub-TLVs字段，将第一TLV字段和第二TLV字段携带于sub-TLVs字段中，来实现OSPF报文中扩展携带第一TLV字段和第二TLV字段。

此外，通过第一TLV字段和第二TLV字段携带的加密扩展信息具备可选择(Optional)属性和透传(Transit)属性，即第二网络设备能够选择是否在路由通告报文中添加加密扩展信息，以及第一网络设备能够选择透传携带有加密扩展信息的路由通告报文。

示例性地，请参阅图7，图7为本申请实施例提供的一种第一TLV字段和第二TLV字段的格式示意图。如图7所示，在上述的BGP更新报文或OSPF报文中，第一TLV字段用于传递加密相关的参数，第一TLV字段包括基本sub-TLV(basic sub-TLV)、密钥交换算法-密钥交换sub-TLV(Diffie-Hellman Key exchange sub-TLV，DH_KE sub-TLV)、安全建议sub-TLV(secure proposal sub-TLV)。第二TLV字段则用于加密网络拓扑的管理，以适应数据通信网络中的任意加密拓扑，增加网络部署灵活性。

其中，基本sub-TLV例如包括：用于计算密钥的随机数以及用于携带网络设备相关的标识信息。具体地，网络设备相关的标识信息包括但不限于以下的多种标识：第二网络设备的IP地址，第二网络设备的路由器标识，用于量子加密的QKD密钥标识，用于标识密钥更新(rekey)的计数。

DH_KE sub-TLV包括：密钥交换算法组标识、密钥交换算法的互换数据。

安全建议sub-TLV包括：安全协议类型、报文封装模式、验证算法以及加密算法。

第二TLV字段包括：拓扑组标识(即上述的第一加密网络拓扑的标识)、拓扑组类型、拓扑组属性值。基于第二TLV字段中的多个字段，能够灵活地进行加密网络拓扑的管理。示例性地，请参阅图8，图8为本申请实施例提供的一种第二TLV字段的格式示意图。

其中，拓扑组标识用于指示需要与第二网络设备建立加密连接的网络设备所处于的加密网络拓扑。

图8中所示的Type是指拓扑组类型，拓扑组类型用于指示加密网络拓扑的类型。例如，拓扑组类型为0时，指示加密网络拓扑的类型为无子属性(no sub-attribution)；又例如，拓扑组类型为1时，指示加密网络拓扑的类型为分支子属性(hub-spoke sub-attribution)；再例如，拓扑组类型为2时，指示加密网络拓扑的类型为位图子属性(bitmapsub-attribution)。

图8中所示的Group type是指拓扑组类型，拓扑组属性值用于指示加密网络拓扑中具体的属性信息。例如，拓扑组属性值指示加密网络拓扑中的亲和组(affinity-group)属性(即图8中所示的AFFINITY-GROUP value)，该affinity-group属性用于指示同一个加密网络拓扑中需要加密连接的网络设备。此外，affinity-group属性还可以是具有相应的子属性(即图8中所示的SUB-ATTRIBUTION value)，affinity-group属性的子属性用于指示具体的需要加密连接的网络设备。

示例性地，请参阅图9，图9为本申请实施例提供的多种不同加密网络拓扑的结构示意图。如图9所示，在实际的网络拓扑中，PE1、PE2、PE3以及PE4之间相互连接。然而，在实际应用中，PE1、PE2、PE3以及PE4能够根据不同的业务需求形成不同的加密网络拓扑。其中，图9中的类型1-类型6分别用于表示不同的加密网络拓扑。

在类型1中，PE1、PE2、PE3以及PE4构成一个加密网络拓扑，且PE1、PE2、PE3以及PE4之间全连接加密，即任意一个PE均与其他的所有PE加密连接。

在类型2中，PE2、PE3以及PE4构成一个加密网络拓扑，且PE2、PE3以及PE4之间全连接加密，即PE2、PE3以及PE4中的任意一个PE均与其他的PE加密连接。对于类型2所示的加密网络拓扑，第二TLV字段中的拓扑组属性值指示affinity-group属性，PE2、PE3以及PE4携带相同的affinity-group值。

在类型3中，PE1、PE2、PE3以及PE4构成一个加密网络拓扑，且PE1、PE2和PE4分别与PE3加密连接。对于类型3所示的加密网络拓扑，第二TLV字段中的拓扑组属性值指示affinity-group属性，且affinity-group属性还具有子属性。

具体地，PE1、PE2、PE3以及PE4携带相同的affinity-group值。并且，在PE3所生成的路由通告报文中，第二TLV字段中的affinity-group属性的子属性为111，即表示PE3需要与PE1、PE2以及PE4加密连接。在PE1所生成的路由通告报文中，第二TLV字段中的affinity-group属性的子属性为001，即表示PE1需要与PE3加密连接。在PE2所生成的路由通告报文中，第二TLV字段中的affinity-group属性的子属性为010，即表示PE2需要与PE3加密连接。在PE4所生成的路由通告报文中，第二TLV字段中的affinity-group属性的子属性为100，即表示PE4需要与PE3加密连接。

或者，PE1、PE2、PE3以及PE4携带相同的affinity-group值。并且，在PE3所生成的路由通告报文中，第二TLV字段中的affinity-group属性的子属性为hub，即表示PE3为主干节点。在PE1、PE2以及PE4所生成的路由通告报文中，第二TLV字段中的affinity-group属性的子属性为spoke，即表示PE1、PE2以及PE4为分支节点。

在类型4中，PE1、PE2以及PE4构成加密网络拓扑A，且PE1、PE2以及PE4之间全连接加密。PE2、PE3以及PE4构成加密网络拓扑B，且PE2、PE3以及PE4之间全连接加密。对于类型4所示的加密网络拓扑，第二TLV字段中的拓扑组属性值指示affinity-group属。在PE1、PE2以及PE4向加密网络拓扑A中的其他PE发送的路由通告报文中，affinity-group值为A，在PE2、PE3以及PE4向加密网络拓扑B中的其他PE发送的路由通告报文中，affinity-group值为B。

在类型5中，PE1、PE2以及PE4构成加密网络拓扑A，且PE1分别与PE2和PE4加密连接。PE2、PE3以及PE4构成加密网络拓扑B，且PE3分别与PE2和PE4加密连接。

对于类型5所示的加密网络拓扑，在PE1向加密网络拓扑A中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为A，且affinity-group属性的子属性为11，即表示PE1需要与PE2、以及PE4加密连接。在PE2向加密网络拓扑A中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为A，且affinity-group属性的子属性为01，即表示PE2需要与PE1加密连接。在PE4向加密网络拓扑A中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为A，且affinity-group属性的子属性为10，即表示PE4需要与PE1加密连接。

此外，在PE3向加密网络拓扑B中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为B，且affinity-group属性的子属性为11，即表示PE3需要与PE2、以及PE4加密连接。在PE2向加密网络拓扑B中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为B，且affinity-group属性的子属性为01，即表示PE2需要与PE3加密连接。在PE4向加密网络拓扑B中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为B，且affinity-group属性的子属性为10，即表示PE4需要与PE3加密连接。

在类型6中，PE2、PE3以及PE4在业务A上构成加密网络拓扑A，且PE2、PE3以及PE4之间全连接加密。PE2、PE3以及PE4在业务B上构成加密网络拓扑B，且PE3分别与PE2和PE4加密连接。

示例性地，在类型6中，针对于VPN业务A，在PE2、PE3和PE4向加密网络拓扑A中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为A。针对于VPN业务B，在PE3向加密网络拓扑B中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为B，且affinity-group属性的子属性为11，即表示PE3需要与PE2和PE4加密连接。在PE2向加密网络拓扑B中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为B，且affinity-group属性的子属性为01，即表示PE2需要与PE3加密连接。在PE4向加密网络拓扑B中网络设备发送的路由通告报文中，第二TLV字段中的affinity-group值为B，且affinity-group属性的子属性为10，即表示PE4需要与PE3加密连接。

以上介绍了如何在第一路由通告报文中实现携带第一加密扩展信息，以下将具体介绍第一网络设备在获取到前往第二网络设备的报文时，如何向第二网络设备发送加密后的报文。

可选的，请参阅图10，图10为本申请实施例提供的一种加密信息的分发方法的另一流程示意图。如图10所示，在上述图3所示的实施例中，第一网络设备在根据第一路由通告报文生成路由表项后，第一网络设备还执行以下的步骤307-3011。

步骤307，第一网络设备获取到目标报文时，如果目标报文的目的地址与路由表项中的路由前缀匹配，第一网络设备基于路由表项的指示采用至少一个密钥加密目标报文。

其中，目标报文是第一网络设备接收到的待转发的报文。

本步骤中，如果目标报文的目的地址与路由表项中的路由前缀匹配，则代表目标报文是前往第二网络设备的报文，因此，第一网络设备基于路由表项的指示采用预先生成的至少一个密钥加密目标报文。

步骤308，判断第一网络设备与第二网络设备之间是否具有已创建的隧道。

本步骤中，第一网络设备在加密目标报文后，需要确定第一网络设备中是否已经具有与第二网络设备之间的隧道，例如VPN隧道。

步骤309，若第一网络设备与第二网络设备之间具有已创建的隧道，则第一网络设备基于已创建的隧道发送加密后的目标报文。

由于第一网络设备向第二网络设备传输的报文已经通过预先生成的密钥来进行加密，因此第一网络设备与第二网络设备之间的数据传输安全已经能够得到保证。在第一网络设备和第二网络设备之间具有已创建的隧道的情况下，第一网络设备则通过已创建的隧道向第二网络设备发送加密后的目标报文，而不需要再创建专用的加密隧道。

步骤3010，若第一网络设备与第二网络设备之间不具有已创建的隧道，则第一网络设备新创建与第二网络设备之间的隧道

步骤3011，第一网络设备基于新创建的隧道发送加密后的目标报文。

示例性地，第一加密扩展信息中还包括第二网络设备的互联网协议IP地址。第一网络设备基于第二网络设备的IP地址以及第一网络设备的IP地址来创建与第二网络设备之间的IPinIP隧道，即新创建的隧道为IPinIP隧道。其中，IPinIP隧道是一种三层隧道，通告将原来的IP包封装在新的IP包中，来创建隧道传输。

可选的，在第一网络设备接收到第一路由通告报文后，第一网络设备继续向其他的网络设备转发第一路由通告报文，以便于第一路由通告报文在数据通信网络中持续传递。

示例性地，在接收到第一路由通告报文后，第一网络设备确定是否需要更改第一路由通告报文。如果第一网络设备需要与其他的网络设备建立新的加密连接，第一网络设备则需要更改第一路由通告报文中的第一加密扩展信息，以便于其他的网络设备能够与第一网络设备建立加密连接。如果第一网络设备不需要与其他的网络设备建立新的加密连接，第一网络设备则不需要更改第一路由通告报文中的第一加密扩展信息，而是向其他网络设备转发第一路由通告报文，以便于其他的网络设备能够与第二网络设备建立加密连接。

如果第一网络设备需要更改第一路由通告报文中的第一加密扩展信息，第一网络设备则生成第二加密扩展信息，第二加密扩展信息包括用于生成密钥的第二参数以及第二加密网络拓扑的信息。第二加密网络拓扑的信息用于指示构成第二加密网络拓扑的多个网络设备，以及指示第二加密网络拓扑中的多个网络设备之间允许建立加密连接。并且，第一网络设备将第一路由通告报文中的第一加密扩展信息替换为第二加密扩展信息，得到第二路由通告报文，然后第一网络设备再向邻居设备发送第二路由通告报文。

如果第一网络设备不需要更改第一路由通告报文中的第一加密扩展信息，第一网络设备则将接收到的第一路由通告报文转发给第一网络设备的邻居设备，而不更改第一路由通告报文中的第一加密扩展信息。

以上介绍了本申请实施例提供的一种加密信息的分发方法，为便于理解，以下将结合具体例子详细介绍本申请实施例提供的加密信息的分发方法的执行过程。

请参阅图11，图11为本申请实施例提供的一种同一自治系统内分发加密信息的示意图。在图11中，从网络设备a以及网络设备b前往网络设备c的数据报文需要加密传输，以保证数据的传输安全。

首先，在网络设备a、网络设备b以及网络设备c上配置加密网络拓扑的属性，其中网络设备a和网络设备b的加密网络拓扑的属性为spoke属性，即网络设备a和网络设备b为分支节点；网络设备c的加密网络拓扑的属性为hub属性，即网络设备c为主干节点。

然后，网络设备c向网络设备A发送携带加密扩展信息的路由通告报文1。其中，路由通告报文1中还携带有与加密扩展信息相关的路由前缀，且网络设备c为该路由前缀1所指示的网络的边界设备。

网络设备A接收到网络设备c发送的路由通告报文1后，识别到路由通告报文1具有透传属性，因此网络设备A将路由通告报文1转发给网络设备a和网络设备b。

网络设备a在接收到路由通告报文1后，根据路由通告报文1中的路由前缀和加密扩展信息生成密钥和路由表项。其中，网络设备a所生成的路由表项指示了前往网络设备c的出接口以及在转发前往网络设备c的报文之前需要采用密钥加密报文。

类似地，网络设备b在接收到路由通告报文1后，根据路由通告报文1中的路由前缀和加密扩展信息生成密钥和路由表项。其中，网络设备b所生成的路由表项指示了前往网络设备c的出接口以及在转发前往网络设备c的报文之前需要采用密钥加密报文。

请参阅图12，图12为本申请实施例提供的一种不同自治系统间分发加密信息的示意图。在图12中，网络设备1和网络设备2之间进行数据通信，且从网络设备3前往网络设备5的数据报文需要加密传输。

首先，网络设备2向网络设备5发送路由通告报文2，路由通告报文2中携带有路由前缀，网络设备2为该路由前缀的边界设备。

然后，网络设备5根据从网络设备2接收到的路由通告报文2生成携带加密扩展信息的路由通告报文3，并向网络设备4发送路由通告报文3。其中，路由通告报文3中所携的路由前缀与路由通告报文2中的路由前缀相同。路由通告报文3中的加密扩展信息指示了需要与网络设备5建立加密连接的网络设备为网络设备3。

网络设备4接收到网络设备5发送的路由通告报文3后，识别到路由通告报文3具有透传属性，因此网络设备4将路由通告报文3转发给网络设备3。

网络设备3在接收到路由通告报文3后，根据路由通告报文3中的路由前缀和加密扩展信息生成密钥和路由表项3。其中，路由表项3指示了前往网络设备2的出接口以及在转发前往网络设备2的报文之前需要采用密钥加密报文。

这样，当网络设备3从网络设备1接收到前往网络设备2的数据报文时，网络设备3根据路由表项3的指示对数据报文进行加密后，再发送给网络设备4。网络设备5从网络设备4接收到加密后的数据报文之后，对加密后的数据报文进行解密，在将解密后的数据报文发送给网络设备2。

以下将从发布携带加密扩展信息的路由通告报文的网络设备(以下简称发送侧设备)的角度，以及接收携带加密扩展信息的路由通告报文的网络设备(以下简称接收侧设备)的角度来详细介绍加密信息的分发过程。其中，发送侧设备例如为上述实施例中的第二网络设备，接收侧设备例如为上述实施例中的第一网络设备。

请参阅图13，图13为本申请实施例提供的一种发送侧设备发布携带加密扩展信息的路由通告报文的流程示意图。如图13所示，发送侧设备发布携带加密扩展信息的路由通告报文的流程包括以下的步骤1301-1304。

步骤1301，发送侧设备配置加密扩展属性的相关参数。

本实施例中，发送侧设备配置加密扩展属性的相关参数的方式例如为控制器向发送侧设备下发加密扩展属性的相关参数，或者是管理人员手动在发送侧设备上配置加密扩展属性的相关参数。

其中，加密扩展属性的相关参数包括但不限于以下的参数：发送侧设备的IP地址，发送侧设备的路由器标识，用于量子加密的QKD密钥标识，用于标识密钥更新的计数，密钥交换算法组标识，密钥交换算法的互换数据，安全协议类型，报文封装模式，验证算法、加密算法以及需要与发送侧设备建立加密连接的网络设备的信息。

步骤1302，发送侧设备确定加密扩展属性应用的业务。

示例性地，发送侧设备基于预先配置的地址族、VPN实例或路由策略，确定加密扩展属性应用的业务，即确定发送侧设备上哪些网络前缀是与加密扩展属性相关的。

步骤1303，发送侧设备基于加密扩展属性的相关参数以及应用的业务生成携带加密扩展信息的路由通告报文。

在确定加密扩展属性应用的业务后，发送侧设备能够基于加密扩展属性的相关参数生成加密扩展信息。并且，在路由通告报文中携带路由前缀以及与路由前缀的加密扩展信息。其中，路由前缀是与加密扩展属性应用的业务相关的。

步骤1304，发送侧设备向邻居设备发送携带加密扩展信息的路由通告报文。

可选的，在发送侧设备向邻居设备发送加密扩展信息的路由通告报文之前，发送侧设备与数据通信网络中路由通告报文的可达的其他网络设备均已通过身份验证，以保证加解密双方在合法身份下建立关系，避免恶意仿冒者建立关系达到获取敏感数据信息。

示例性地，发送侧设备与其他网络设备之间通过安全传输层协议(TransportLayer Security，TLS)身份认证机制建立认证关系。或者，发送侧设备与其他网络设备之间使用预置身份密钥来建立认证关系。具体地，发送侧设备使用路由通告报文中的某一个比特标志来指示路由通告报文中的加密扩展信息是否受到加密和完整性保护。并且，发送侧设备使用预置身份密钥对路由通告报文中的加密扩展信息加密，然后使用预置身份密钥对加密扩展信息加密后的内容进行完整性计算，计算结果填充在路由通告报文中。这样，在接收侧设备接收到路由通告报文后，使用预置身份密钥对路由通告报文中的相应内容进行完整性验证，并在验证通过后采用预置身份密钥解析路由通告报文中的内容，得到加密扩展信息。

请参阅图14，图14为本申请实施例提供的一种接收侧设备接收并处理携带加密扩展信息的路由通告报文的流程示意图。如图14所示，接收侧设备接收并携带加密扩展信息的路由通告报文的流程包括以下的步骤1401-1414。在图14中，接收侧设备例如为上述实施例中的第一网络设备。

步骤1401，接收携带加密扩展信息的路由通告报文。

其中，接收侧设备可以从邻居设备或直接从发送侧设备处接收携带加密扩展信息的路由通告报文。

步骤1402，判断本设备是否支持加密扩展能力。

步骤1403，如果本设备不支持加密扩展能力，则透传路由通告报文。

如果接收侧设备不支持加密扩展能力，则接收侧设备透传路由通告报文，而不对路由通告报文进行处理。或者，接收侧设备仅根据路由通告报文中的路由前缀生成相应的路由表项，且接收侧设备所生成的路由表项是不具有加密属性的。

步骤1404，如果本设备支持加密扩展能力，则解析路由通告报文，得到加密扩展信息。

步骤1405，判断加密扩展信息是否与本设备相关。

其中，接收侧设备可以基于加密扩展信息中所指示的加密网络拓扑信息来判断加密扩展信息是否与本设备相关。

步骤1406，如果加密扩展信息与本设备不相关，则透传路由通告报文。

步骤1407，如果加密扩展信息与本设备相关，则生成至少一个密钥以及具有加密属性的路由表项。

步骤1408，判断是否需要更改路由通告报文中的加密扩展信息。

如果接收侧设备需要另外与其他的网络设备建立加密连接，则接收侧设备需要更改路由通告报文中的加密扩展信息。如果接收侧设备不需要另外与其他的网络设备建立加密连接，则接收侧设备不需要更改路由通告报文中的加密扩展信息。

步骤1409，如果需要更改路由通告报文中的加密扩展信息，则基于本地参数重新生成加密扩展信息，并转发新的路由通告报文。

其中，新的路由通告报文携带重新生成的加密扩展信息。

步骤1410，如果不需要更改路由通告报文中的加密扩展信息，则转发路由通告报文。

在不需要更改路由通告报文中的加密扩展信息的情况下，接收侧设备则向邻居设备转发所接收到的路由通告报文，而不更改路由通告报文中的加密扩展信息。

步骤1411，判断是否与发送侧设备之间是否有可用的隧道。

步骤1412，如果与发送侧设备之间有可用的隧道，则基于可用的隧道来加密转发前往发送侧设备的报文。

步骤1413，如果与发送侧设备之间没有可用的隧道，则基于发送侧设备的IP地址和接收侧设备的IP地址创建IPinIP隧道。

步骤1414，基于新创建的IPinIP隧道来加密转发前往发送侧设备的报文。

此外，在接收侧设备接收到发送侧设备发送的路由通告报文之后，接收侧设备还根据路由通告报文中的加密扩展信息以及本地参数生成安全参数索引，以标识接收侧设备与发送侧设备之间的加密连接。

请参阅图15，图15为本申请实施例提供的一种网络设备间生成安全参数索引的流程示意图。如图15所示，网络设备间生成安全参数索引的流程包括以下的步骤1501-1504。

步骤1501，网络设备1向网络设备2发送路由器标识1、随机数1以及rekey1。

其中，路由器标识1、随机数1以及rekey1携带在加密扩展信息中，网络设备1通过向网络设备2发送包括加密扩展信息的路由通告报文来实现路由器标识1、随机数1以及rekey1的发送。路由器标识1为网络设备1的路由器标识，随机数1和rekey1均是网络设备1生成的。

步骤1502，网络设备2生成SPI 1。

网络设备2通过伪随机函数prf+()来生成SPI 1。其中，SPI 1为prf+(路由器标识1|路由器标识2|随机数1|随机数2|rekey1|rekey2)。路由器标识2为网络设备2的标识，随机数2以及rekey2均是网络设备1生成的。

其中，SPI 1用于标识从网络设备1前往网络设备2的加密连接，网络设备2还可以生成用于标识从网络设备2前往网络设备1的加密连接的SPI 3，用于生成SPI 3的参数与用于生成SPI 1的参数相同。SPI 3为prf+(路由器标识2|路由器标识1|随机数2|随机数1|rekey2|rekey1)。

步骤1503，网络设备2向网络设备1发送路由器标识2、随机数2以及rekey2。

类似地，网络设备2通过向网络设备1发送包括加密扩展信息的路由通告报文来实现路由器标识2、随机数2以及rekey2的发送。

步骤1504，网络设备1生成SPI 2。

网络设备2通过伪随机函数prf+()来生成SPI 2。其中，SPI 2为prf+(路由器标识2|路由器标识1|随机数2|随机数1|rekey2|rekey1)。

本实施例中，通过基于加密双方之间唯一的路由器标识来生成SPI，能够有效地保证SPI的唯一性。

请参阅图16，图16为本申请实施例提供的一种SPI发生冲突时的重新协商流程示意图。如图16所示，当网络设备所生成的SPI发生冲突时，网络设备执行以下的协商流程。

步骤1601，网络设备1向网络设备3发送加密扩展信息1。

其中，加密扩展信息1携带于网络设备1向网络设备3发送的路由通告报文中。

步骤1602，网络设备3根据加密扩展信息1以及本地参数1生成SPI-11。

其中，网络设备3根据加密扩展信息1和本地参数1生成SPI-11的方式具体请参考上述图15对应的实施例中的步骤1502，在此不再赘述。

步骤1603，网络设备2向网络设备3发送加密扩展信息2。

其中，加密扩展信息2携带于网络设备2向网络设备3发送的路由通告报文中。

步骤1604，网络设备3根据加密扩展信息2以及本地参数1生成SPI-21。

步骤1605，基于SPI-11和SPI-21相同，网络设备3更新本地参数，得到本地参数2。

在网络设备3每次生成新的SPI之后，网络设备3对比新的SPI是否与已生成的SPI相同。SPI-11和SPI-21相同，网络设备3更新本地参数，得到本地参数2。

步骤1606，网络设备3根据加密扩展信息1以及本地参数2生成SPI-12，根据加密扩展信息2以及本地参数2生成SPI-22，并对比SPI-12和SPI-22是否仍然相同。

在网络设备3更新本地参数后，网络设备3则基于更新后得到的本地参数2重新计算发生冲突的SPI，并且对比更新本地参数后SPI是否仍然发生冲突。

步骤1607，在SPI-12和SPI-22不相同的情况下，网络设备3向网络设备1以及网络设备2发送加密扩展信息3，加密扩展信息3中携带本地参数2。

此外，如果SPI-12和SPI-22仍然相同，网络设备3则继续更新本地参数，直至不再出现SPI冲突的情况。

为了实现上述实施例，本申请还提供了一种网络设备。请参阅图17，图17为本申请实施例提供的一种网络设备1700的结构示意图。其中，图17中所示的网络设备1700例如为上述图3以及图10对应的实施例中的第一网络设备，或者上述图14对应的实施例中的接收侧设备。

如图17所示，网络设备1700包括：接收单元1701，用于接收第一路由通告报文，第一路由通告报文包括路由前缀以及与路由前缀相关的第一加密扩展信息，第一加密扩展信息包括用于生成密钥的第一参数；生成单元1702，用于基于第一加密扩展信息生成至少一个密钥，其中至少一个密钥用于加密从网络设备前往路由前缀所指示的网络的数据报文和/或解密从路由前缀所指示的网络前往网络设备的数据报文；生成单元1702，还用于根据第一路由通告报文生成路由表项，路由表项包括路由前缀，且路由表项用于指示网络设备上前往路由前缀所指示的网络的出接口以及指示在转发目的地址属于路由前缀所指示的网络的数据报文之前采用至少一个密钥加密数据报文。

可选的，第一加密扩展信息携带于第一路由通告报文中的第一TLV字段，第一TLV字段包括用于生成密钥的第一参数。

可选的，第一加密扩展信息还包括用于指示第一加密网络拓扑的信息，第一加密网络拓扑的信息用于指示构成第一加密网络拓扑的多个网络设备，以及指示多个网络设备之间允许建立加密连接。

可选的，第一加密扩展信息还携带于第一路由通告报文中的第二TLV字段，第二TLV字段用于指示第一加密网络拓扑的信息。

可选的，第一路由通告报文为BGP报文或IGP报文。

可选的，第一路由通告报文为BGP更新报文；第一TLV字段和第二TLV字段携带于BGP更新报文中的扩展路径属性字段。

可选的，第一路由通告报文为开放式最短路径优先OSPF报文；第一TLV字段和第二TLV字段携带于OSPF报文中的链路状态通告子TLV字段。

可选的，生成单元1702还用于：在获取到目标报文时，如果目标报文的目的地址与路由表项中的路由前缀匹配目标报文，基于路由表项的指示采用至少一个密钥加密目标报文。

可选的，网络设备还包括发送单元1703；

若网络设备与第二网络设备之间具有已创建的隧道，则发送单元1703用于基于已创建的隧道发送加密后的目标报文，第二网络设备为路由前缀所指示的网络中的边界设备；

若网络设备与第二网络设备之间不具有已创建的隧道，则生成单元1702用于新创建与第二网络设备之间的隧道，且发送单元1703用于基于新创建的隧道发送加密后的目标报文。

可选的，第一加密扩展信息中还包括第二网络设备的IP地址；生成单元1702用于基于第二网络设备的IP地址以及第一网络设备的IP地址创建与第二网络设备之间的IPinIP隧道。

可选的，第一TLV字段中包括一个或多个网络设备的标识，一个或多个网络设备为加密网络拓扑中需要与第二网络设备建立加密连接的设备，第二网络设备为路由前缀所指示的网络中的边界设备。

可选的，第二TLV字段用于指示一个或多个网络设备所属的第一加密网络拓扑，以及一个或多个网络设备在第一加密网络拓扑内的标识，一个或多个网络设备为第一加密网络拓扑中需要与第二网络设备建立加密连接的设备，第二网络设备为路由前缀所指示的网络中的边界设备。

可选的，第二TLV字段包括多个比特位，多个比特位中的一个比特位用于指代第一加密网络拓扑内的至少一个网络设备，一个或多个网络设备对应于多个比特位中具有预设置位状态的一个或多个比特位。

可选的，第一TLV字段包括第二网络设备的路由器标识，第二网络设备为路由前缀所指示的网络中的边界设备；生成单元1702，还用于根据第二网络设备的路由器标识以及第一网络设备的路由器标识，生成至少一个密钥；其中，第二网络设备的路由器标识和第一网络设备的路由器标识均为唯一的标识。

可选的，生成单元1702还用于：根据第一TLV字段和本地参数生成第一安全参数索引，第一安全参数索引用于指示网络设备与第二网络设备之间的加密连接，本地参数包括随机数和/或第一网络设备的标识，第二网络设备为路由前缀所指示的网络中的边界设备；若第一安全参数索引与网络设备中已生成的其他安全参数索引相同，则更新本地参数，并基于第一TLV字段和更新后的本地参数生成第二安全参数索引；发送单元1703，还用于向第二网络设备发送更新后的本地参数。

可选的，第一TLV字段还包括量子密钥参数。

可选的，生成单元1702，还用于生成第二加密扩展信息，第二加密扩展信息包括用于生成密钥的第二参数以及第二加密网络拓扑的信息，第二加密网络拓扑的信息用于指示构成第二加密网络拓扑的多个网络设备，以及指示第二加密网络拓扑中的多个网络设备之间允许建立加密连接；第一网络设备将第一路由通告报文中的第一加密扩展信息替换为第二加密扩展信息，得到第二路由通告报文；发送单元1703，还用于第一网络设备向邻居设备发送第二路由通告报文。

请参阅图18，图18为本申请实施例提供的一种网络设备1800的结构示意图。其中，图18中所示的网络设备1800例如为上述图3以及图10对应的实施例中的第二网络设备，或者上述图13对应的实施例中的发送侧设备。

如图18所示，网络设备1800包括：获取单元1801，用于获取业务相关的加密信息，加密信息用于指示业务加密应用的对象；生成单元1802，根据加密信息生成路由通告报文，路由通告报文包括路由前缀以及与路由前缀相关的加密扩展信息，加密扩展信息包括用于生成密钥的参数；发送单元1803，用于向邻居设备发送路由通告报文。

可选的，业务加密应用的对象包括需要建立加密连接的地址族或VPN实例；生成单元1802，还用于基于路由前缀属于地址族或VPN实例中的网络前缀，生成路由通告报文，其中网络设备为路由前缀所指示的网络中的边界设备。

可选的，业务加密应用的对象包括路由策略，路由策略用于指示需建立加密连接的网络设备；生成单元1802，还用于基于网络设备属于路由策略中所指示的网络设备，生成路由通告报文。

可以参阅图19，图19为本申请实施例提供的一种网络设备1900的结构示意图。其中，图19所示的网络设备1900可以用于执行上述实施例中所述的第一网络设备、第二网络设备、发送侧设备或接收侧设备中任意一个设备所执行的步骤。图19所示的网络设备1900尽管示出了某些特定特征，但是本领域的技术人员将从本申请实施例中意识到，为了简洁起见，图19未示出各种其他特征，以免混淆本申请实施例所公开的实施方式的更多相关方面。为此，作为示例，在一些实现方式中，网络设备1900包括一个或多个处理器(如，CPU)1901、网络接口1902、编程接口1903、存储器1904和一个或多个通信总线1905，用于将各种组件互连。在另一些实现方式中，网络设备1900也可以在上述示例基础上省略或增加部分功能部件或单元。

在一些实现方式中，网络接口1902用于在网络系统中和一个或多个其他的网络设备/服务器连接。在一些实现方式中，通信总线1905包括互连和控制系统组件之间的通信的电路。存储器1904可以包括非易失性存储器，例如，只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。存储器1904也可以包括易失性存储器，易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。

在一些实现中，存储器1904的非暂时性计算机可读存储介质存储以下程序、模块和数据结构，或其子集，例如包括获取单元(图中未示出)、发送单元(图中未示出)和处理单元19041。

在一个可能的实施例中，该网络设备1900可以具有上述图3对应的方法实施例中的网络设备中的任意功能。

应理解，网络设备1900对应于上述方法实施例中的第一网络设备，网络设备1900中的各模块和上述其他操作和/或功能分别为了实现上述方法实施例中的第一网络设备所实施的各种步骤和方法，具体细节可参见上述图3对应的方法实施例，为了简洁，在此不再赘述。

应理解，本申请可以是由网络设备1900上的网络接口1902来完成数据的收发操作，也可以是由处理器调用存储器中的程序代码，并在需要时配合网络接口1902来实现收发单元的功能。

在各种实现中，网络设备1900用于执行本申请实施例提供的加密信息的分发方法，例如是执行上述图3所示的实施例所对应的加密信息的分发方法。

本申请图19所述的网络设备具体结构可以为图20所示。

图20为本申请实施例提供的一种网络设备2000的结构示意图。其中，图20所示的网络设备2000可以用于执行上述实施例中所述的第一网络设备、第二网络设备、发送侧设备或接收侧设备中任意一个设备所执行的步骤。网络设备2000包括：主控板2020和接口板2030。

主控板2020也称为主处理单元(main processing unit，MPU)或路由处理器(route processor)，主控板2020用于对网络设备2000中各个组件的控制和管理，包括路由计算、设备管理、设备维护、协议处理功能。主控板2020包括：中央处理器2011和存储器2012。

接口板2030也称为线路处理单元(line processing unit，LPU)、线卡(linecard)或业务板。接口板2030用于提供各种业务接口并实现数据包的转发。业务接口包括但不限于以太网接口、POS(Packet over SONET/SDH)接口等。接口板2030包括：中央处理器2031、网络处理器2032、物理接口卡(physical interface card，PIC)2033和转发表项存储器2034。

接口板2030上的中央处理器2031用于对接口板2030进行控制管理并与主控板2020上的中央处理器2011通信。

网络处理器2032用于实现报文的转发处理。网络处理器2032的形态可以是转发芯片。

物理接口卡2033用于实现物理层的对接功能，原始的流量由此进入接口板2030，以及处理后的报文从该物理接口卡2033发出。物理接口卡2033包括至少一个物理接口，物理接口也称物理口，物理接口可以为灵活以太(Flexible Ethernet,FlexE)物理接口。在一些实施例中，接口板2030的中央处理器2031也可执行网络处理器2032的功能，比如基于通用CPU实现软件转发，从而接口板2030中不需要网络处理器2032。

可选的，网络设备2000包括多个接口板，例如网络设备2000还包括接口板2040，接口板2040包括：中央处理器2041、网络处理器2042、物理接口卡2043和转发表项存储器2044。

可选的，网络设备2000还包括交换网板2020。交换网板2020也可以称为交换网板单元(switch fabric unit，SFU)。在网络设备有多个接口板2030的情况下，交换网板2020用于各接口板之间的数据交换。例如，接口板2030和接口板2040之间可以通过交换网板2020通信。

主控板2020和接口板耦合。例如，主控板2020、接口板2030和接口板2040，以及交换网板2020之间通过系统总线和/或系统背板相连实现互通。在一种可能的实现方式中，主控板2020和接口板2030之间建立进程间通信协议(inter-process communication，IPC)通道，主控板2020和接口板2030之间通过IPC通道进行通信。

在逻辑上，网络设备2000包括控制面和转发面，控制面包括主控板2020和中央处理器2031，转发面包括执行转发的各个组件，比如转发表项存储器2034、物理接口卡2033和网络处理器2032。控制面执行发布路由、生成转发表、处理信令和协议报文、配置与维护设备的状态等功能，控制面将生成的转发表下发给转发面，在转发面，网络处理器2032基于控制面下发的转发表对物理接口卡2033收到的报文查表转发。控制面下发的转发表可以保存在转发表项存储器2034中。在有些实施例中，控制面和转发面可以完全分离，不在同一设备上。

应理解，本申请实施例中接口板2040上的操作与接口板2030的操作一致，为了简洁，不再赘述。应理解，本实施例的网络设备2000可对应于上述各个方法实施例中的第一网络设备，该网络设备2000中的主控板2020、接口板2030和/或接口板2040可以实现上述各个方法实施例中的第一网络设备所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

值得说明的是，主控板可能有一块或多块，有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块，网络设备的数据处理能力越强，提供的接口板越多。接口板上的物理接口卡也可以有一块或多块。交换网板可能没有，也可能有一块或多块，有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下，网络设备可以不需要交换网板，接口板承担整个系统的业务数据的处理功能。在分布式转发架构下，网络设备可以有至少一块交换网板，通过交换网板实现多块接口板之间的数据交换，提供大容量的数据交换和处理能力。可选的，网络设备的形态也可以是只有一块板卡，即没有交换网板，接口板和主控板的功能集成在该一块板卡上，此时接口板上的中央处理器和主控板上的中央处理器在该一块板卡上可以合并为一个中央处理器，执行两者叠加后的功能。具体采用哪种架构，取决于具体的组网部署场景，此处不做唯一限定。

应理解，上述各种产品形态的网络设备，分别具有上述方法实施例中第一网络设备和第二网络设备的任意功能，此处不再赘述。

进一步地，本申请实施例还提供了一种计算机程序产品，当该计算机程序产品在网络设备上运行时，使得网络设备执行上述图3对应的方法实施例中任一网络设备执行的方法。

本申请实施例还提供了一种芯片系统，包括处理器和接口电路，接口电路，用于接收指令并传输至处理器。其中，所述处理器用于实现上述任一方法实施例中的方法。

可选的，该芯片系统还包括存储器，该芯片系统中的处理器可以为一个或多个。该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时，该处理器可以是逻辑电路、集成电路等。当通过软件实现时，该处理器可以是一个通用处理器，通过读取存储器中存储的软件代码来实现上述任一方法实施例中的方法。

可选的，该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起，也可以和处理器分离设置，本申请并不限定。示例性的，存储器可以是非瞬时性处理器，例如只读存储器ROM，其可以与处理器集成在同一块芯片上，也可以分别设置在不同的芯片上，本申请对存储器的类型，以及存储器与处理器的设置方式不作具体限定。

以上对本申请实施例进行了详细介绍，本申请实施例方法中的步骤可以根据实际需要进行顺序调度、合并或删减；本申请实施例装置中的模块可以根据实际需要进行划分、合并或删减。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应理解，在本申请实施例中，“与A相应的B”表示B与A相关联，根据A可以确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

Claims (32)

1.一种加密信息的分发方法，其特征在于，包括：

第一网络设备接收第一路由通告报文，所述第一路由通告报文包括路由前缀以及与所述路由前缀相关的第一加密扩展信息，所述第一加密扩展信息包括用于生成密钥的第一参数；

所述第一网络设备基于所述第一加密扩展信息生成至少一个密钥，其中所述至少一个密钥用于加密从所述第一网络设备前往所述路由前缀所指示的网络的数据报文和/或解密从所述路由前缀所指示的网络前往所述第一网络设备的数据报文；

所述第一网络设备根据所述第一路由通告报文生成路由表项，所述路由表项包括所述路由前缀，且所述路由表项用于指示所述第一网络设备上前往所述路由前缀所指示的网络的出接口以及指示在转发目的地址属于所述路由前缀所指示的网络的数据报文之前采用所述至少一个密钥加密所述数据报文。

2.根据权利要求1所述的方法，其特征在于，所述第一加密扩展信息携带于所述第一路由通告报文中的第一类型长度值TLV字段，所述第一TLV字段包括用于生成密钥的第一参数。

3.根据权利要求2所述的方法，其特征在于，所述第一加密扩展信息，还包括用于指示第一加密网络拓扑的信息，所述第一加密网络拓扑的信息用于指示构成所述第一加密网络拓扑的多个网络设备，以及指示所述多个网络设备之间允许建立加密连接。

4.根据权利要求3所述的方法，其特征在于，所述第一加密扩展信息还携带于所述第一路由通告报文中的第二TLV字段，所述第二TLV字段用于指示所述第一加密网络拓扑的信息。

5.根据权利要求4所述的方法，其特征在于，所述第一路由通告报文为边界网关协议BGP报文或内部网关协议IGP报文。

6.根据权利要求5所述的方法，其特征在于，所述第一路由通告报文为BGP更新报文；

所述第一TLV字段和所述第二TLV字段携带于所述BGP更新报文中的扩展路径属性字段。

7.根据权利要求5所述的方法，其特征在于，所述第一路由通告报文为开放式最短路径优先OSPF报文；

所述第一TLV字段和所述第二TLV字段携带于所述OSPF报文中的链路状态通告子TLV字段。

8.根据权利要求1-7任意一项所述的方法，其特征在于，所述方法还包括：

所述第一网络设备获取到目标报文时，如果所述目标报文的目的地址与所述路由表项中的路由前缀匹配，所述第一网络设备基于所述路由表项的指示采用所述至少一个密钥加密所述目标报文。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

若所述第一网络设备与第二网络设备之间具有已创建的隧道，则所述第一网络设备基于所述已创建的隧道发送加密后的所述目标报文，所述第二网络设备为所述路由前缀所指示的网络中的边界设备；

若所述第一网络设备与所述第二网络设备之间不具有已创建的隧道，则所述第一网络设备新创建与所述第二网络设备之间的隧道，并基于新创建的隧道发送加密后的所述目标报文。

10.根据权利要求9所述的方法，其特征在于，所述第一加密扩展信息中还包括所述第二网络设备的互联网协议IP地址；

所述第一网络设备新创建与所述第二网络设备之间的隧道，包括：

所述第一网络设备基于所述第二网络设备的IP地址以及所述第一网络设备的IP地址创建与所述第二网络设备之间的IPinIP隧道。

11.根据权利要求3-10任意一项所述的方法，其特征在于，所述第一TLV字段中包括一个或多个网络设备的标识，所述一个或多个网络设备为所述加密网络拓扑中需要与第二网络设备建立加密连接的设备，所述第二网络设备为所述路由前缀所指示的网络中的边界设备。

12.根据权利要求4-10任意一项所述的方法，其特征在于，所述第二TLV字段用于指示一个或多个网络设备所属的第一加密网络拓扑，以及所述一个或多个网络设备在所述第一加密网络拓扑内的标识，所述一个或多个网络设备为所述第一加密网络拓扑中需要与第二网络设备建立加密连接的设备，所述第二网络设备为所述路由前缀所指示的网络中的边界设备。

13.根据权利要求12所述的方法，其特征在于，所述第二TLV字段包括多个比特位，所述多个比特位中的一个比特位用于指代所述第一加密网络拓扑内的至少一个网络设备，所述一个或多个网络设备对应于所述多个比特位中具有预设置位状态的一个或多个比特位。

14.根据权利要求2-10任意一项所述的方法，其特征在于，所述第一TLV字段包括第二网络设备的路由器标识，所述第二网络设备为所述路由前缀所指示的网络中的边界设备；

所述第一网络设备基于所述第一加密扩展信息生成至少一个密钥，包括：

所述第一网络设备根据所述第二网络设备的路由器标识以及所述第一网络设备的路由器标识，生成所述至少一个密钥；

其中，所述第二网络设备的路由器标识和所述第一网络设备的路由器标识均为唯一的标识。

15.根据权利要求2-14任意一项所述的方法，其特征在于，所述方法还包括：

所述第一网络设备根据所述第一TLV字段和本地参数生成第一安全参数索引，所述第一安全参数索引用于指示所述第一网络设备与第二网络设备之间的加密连接，所述本地参数包括随机数和/或所述第一网络设备的标识，所述第二网络设备为所述路由前缀所指示的网络中的边界设备；

若所述第一安全参数索引与所述第一网络设备中已生成的其他安全参数索引相同，所述第一网络设备则更新所述本地参数，并基于所述第一TLV字段和更新后的本地参数生成第二安全参数索引；

所述第一网络设备向所述第二网络设备发送所述更新后的本地参数。

16.根据权利要求2-15任意一项所述的方法，其特征在于，所述第一TLV字段还包括量子密钥参数。

17.根据权利要求1-16任意一项所述的方法，其特征在于，所述方法还包括：

所述第一网络设备生成第二加密扩展信息，所述第二加密扩展信息包括用于生成密钥的第二参数以及第二加密网络拓扑的信息，所述第二加密网络拓扑的信息用于指示构成所述第二加密网络拓扑的多个网络设备，以及指示所述第二加密网络拓扑中的多个网络设备之间允许建立加密连接；所述第一网络设备将所述第一路由通告报文中的所述第一加密扩展信息替换为所述第二加密扩展信息，得到第二路由通告报文；

所述第一网络设备向邻居设备发送所述第二路由通告报文。

18.一种加密信息的分发方法，其特征在于，包括：

第二网络设备获取业务相关的加密信息，所述加密信息用于指示业务加密应用的对象；所述第二网络设备根据所述加密信息生成路由通告报文，所述路由通告报文包括路由前缀以及与所述路由前缀相关的加密扩展信息，所述加密扩展信息包括用于生成密钥的参数；

所述第二网络设备向邻居设备发送所述路由通告报文。

19.根据权利要求18所述的方法，其特征在于，所述业务加密应用的对象包括需要建立加密连接的地址族或虚拟专用网络VPN实例；

所述第二网络设备根据所述加密信息生成路由通告报文，包括：

基于所述路由前缀属于所述地址族或所述VPN实例中的网络前缀，所述第二网络设备生成所述路由通告报文，所述第二网络设备为所述路由前缀所指示的网络中的边界设备。

20.根据权利要求18所述的方法，其特征在于，所述业务加密应用的对象包括路由策略，所述路由策略用于指示需建立加密连接的网络设备；

所述第二网络设备根据所述加密信息生成路由通告报文，包括：

基于所述第二网络设备属于所述路由策略中所指示的网络设备，所述第二网络设备生成所述路由通告报文。

21.一种网络设备，其特征在于，包括：

接收单元，用于接收第一路由通告报文，所述第一路由通告报文包括路由前缀以及与所述路由前缀相关的第一加密扩展信息，所述第一加密扩展信息包括用于生成密钥的第一参数；

生成单元，用于基于所述第一加密扩展信息生成至少一个密钥，其中所述至少一个密钥用于加密从所述网络设备前往所述路由前缀所指示的网络的数据报文和/或解密从所述路由前缀所指示的网络前往所述网络设备的数据报文；

所述生成单元，还用于根据所述第一路由通告报文生成路由表项，所述路由表项包括所述路由前缀，且所述路由表项用于指示所述网络设备上前往所述路由前缀所指示的网络的出接口以及指示在转发目的地址属于所述路由前缀所指示的网络的数据报文之前采用所述至少一个密钥加密所述数据报文。

22.根据权利要求21所述的网络设备，其特征在于，所述第一加密扩展信息携带于所述第一路由通告报文中的第一类型长度值TLV字段，所述第一TLV字段包括用于生成密钥的第一参数。

23.根据权利要求22所述的网络设备，其特征在于，所述第一加密扩展信息，还包括用于指示第一加密网络拓扑的信息，所述第一加密网络拓扑的信息用于指示构成所述第一加密网络拓扑的多个网络设备，以及指示所述多个网络设备之间允许建立加密连接；

所述第一加密扩展信息还携带于所述第一路由通告报文中的第二TLV字段，所述第二TLV字段用于指示所述第一加密网络拓扑的信息。

24.根据权利要求23所述的网络设备，其特征在于，所述第一路由通告报文为BGP报文或IGP报文。

25.根据权利要求24所述的网络设备，其特征在于，所述第一路由通告报文为BGP更新报文；

所述第一TLV字段和所述第二TLV字段携带于所述BGP更新报文中的扩展路径属性字段。

26.根据权利要求24所述的网络设备，其特征在于，所述第一路由通告报文为OSPF报文；

所述第一TLV字段和所述第二TLV字段携带于所述OSPF报文中的链路状态通告子TLV字段。

27.根据权利要求21-26任意一项所述的网络设备，其特征在于，

所述网络设备获取到目标报文时，如果所述目标报文的目的地址与所述路由表项中的路由前缀匹配，所述生成单元还用于基于所述路由表项的指示采用所述至少一个密钥加密所述目标报文。

28.一种网络设备，其特征在于，包括：

获取单元，用于获取业务相关的加密信息，所述加密信息用于指示业务加密应用的对象；

生成单元，根据所述加密信息生成路由通告报文，所述路由通告报文包括路由前缀以及与所述路由前缀相关的加密扩展信息，所述加密扩展信息包括用于生成密钥的参数；

发送单元，用于向邻居设备发送所述路由通告报文。

29.根据权利要求28所述的网络设备，其特征在于，所述业务加密应用的对象包括需要建立加密连接的地址族或VPN实例；

所述第二网络设备根据所述加密信息生成路由通告报文，包括：

基于所述路由前缀属于所述地址族或所述VPN实例中的网络前缀，所述第二网络设备生成所述路由通告报文，所述第二网络设备为所述路由前缀所指示的网络中的边界设备。

30.一种网络设备，包括处理器和存储器，所述存储器用于存储程序代码，所述处理器用于调用所述存储器中的程序代码以使得所述网络设备执行如权利要求1-20任一项所述的方法。

31.一种网络系统，包括如权利要求21-27任意一项所述的网络设备和权利要求28-29任意一项所述的网络设备。

32.一种计算机可读存储介质，存储有指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1-20任一项所述的方法。