WO2023040653A1

WO2023040653A1 - 通信方法及装置

Info

Publication number: WO2023040653A1
Application number: PCT/CN2022/115879
Authority: WO
Inventors: 江伟玉; 杨飞; 王闯; 党娟娜
Original assignee: 华为技术有限公司
Priority date: 2021-09-15
Filing date: 2022-08-30
Publication date: 2023-03-23
Also published as: CN115834090A

Abstract

本申请提供一种通信方法及装置，涉及通信领域，可实现抗报文攻击的同时，还能保障业务的连续性和实时性。该方法包括：第一网络设备接收来自终端的第一报文，并向第二网络设备发送第二报文。其中，第二报文为通过在第一报文内封装安全信息得到的报文，该安全信息用于指示第二报文为经由第一网络设备确定的可信报文。

Description

通信方法及装置

本申请要求于2021年9月15日提交国家知识产权局、申请号为202111083005.1、申请名称为“通信方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，尤其涉及一种通信方法及装置。

背景技术

在网络安全领域中，可部署一些网络安全方案，例如黑洞方案、流量清洗方案等，用以防止非正常的业务报文，比如攻击报文、恶意报文、不受信任的报文、或者安全等级低的报文攻击对应的设备，避免发生数据泄露、设备瘫痪等情况。

其中，对于黑洞方案，被报文攻击的设备(以下简称被攻击设备)可以将接收到的所有流量发往黑洞，即专门用于流量接收的设备，确保被攻击设备不再受到影响。但是，发往黑洞的流量也包括正常的业务报文，这会导致业务中断，业务的连续性得不到保障。对于流量清洗方案，被攻击设备可以将接收到的所有流量发往高防清洗中心。高防清洗中心通过对报文进行深层解析，可以识别出正常的业务报文和非正常的业务报文，从而将正常的业务报文返回被攻击设备，以保障业务的连续性。但是，高防清洗中心对报文进行深层解析的耗时较长，导致业务出现明显滞后，业务的实时性得不到保障。

发明内容

本申请实施例提供一种通信方法及装置，以实现抗报文攻击的同时，还能保障业务的连续性和实时性。

本申请采用如下技术方案：

第一方面，提供一种通信方法。该方法包括：第一网络设备接收来自终端的第一报文，并向第二网络设备发送第二报文。其中，第二报文为通过在第一报文内封装安全信息得到的报文，该安全信息用于指示第二报文为经由第一网络设备确定的可信报文。

根据第一方面所述的方法可知，通过在第一报文内封装安全信息，以便得到的第二报文为经由第一网络设备确定的可信报文，这样第二网络设备根据第二报文内封装的安全信息便可以确定第二报文是否攻击报文，无需对第二报文进行深层解析，在实现抗报文攻击的同时，还能保障业务的连续性和实时性。

一种可能的设计方案中，安全信息可以包括第一验证信息，第一验证信息用于指示第二报文为经由第一网络设备确定的可信报文。可选地，第一验证信息为密码保护信息。如此，可以避免安全信息被伪造或篡改，从而提高安全信息的可信度。

可选地，安全信息还可以包括第二验证信息，第二验证信息可以包括如下一项或多项：验证算法的标识、防重放信息、第一网络设备的标识、密钥密文、第二网络设备的标识、第三设备的内部可达地址、或第一指示信息。第三设备为第二网络设备的下游设备，第一指示信息用于指示安全信息的类型。其中，第二验证信息中携带上述的下一项或多项信息，主要用于第二网络设备的验证以及转发使用，即第二网络设备可以使用这些信息，对安全信息进行验证，并使用这些信息转发第三报文。这种情况下，通过随包携带这些信息，使得第二网络设备无需在本地动态维护这些信息，从而可以节约第二网络设备的处理资源，提高第二网络设备的资源利用率和运行效率。

可选地，第二验证信息还可以包括第二指示信息，第二指示信息用于指示安全信息是否包括如下一项或多项：验证算法的标识、防重放信息、第一网络设备的标识、或密钥密文。

可选地，第二验证信息还可以包括第二指示信息，第二指示信息用于指示如下一项或多项在第二报文中的位置和/或长度：第一验证信息、验证算法的标识、防重放信息、第一网络设备的标识、或密钥密文。

如此，第二网络设备根据第二指示信息，可以准确地从第二报文中提取出上述一项或多项信息，以保证后续验证的准确性和可靠性，避免因第二网络设备未能准确提取出上述一项或多项信息而导致验证失败。由于第二指示信息可以指示上述一项或多项信息在第二报文中的位置和/或长度，上述一项或多项信息可以更灵活地封装在第二报文中，使得第二报文的结构更灵活，业务兼容性更好，可以适用更多业务场景。

可选地，第一验证信息可以在第二报文的头部或尾部，第二验证信息可以在第二报文的头部或尾部。可以理解，第二网络设备对第二报文解析顺序是从第二报文的头部依次解析到尾部。在此基础上，一种可选方式是将第一验证信息封装在第二报文尾部，将第二验证信息封装在第二报文头部，以便第二网络设备处理第二验证信息与解析第二报文可以同步，比如，第二网络设备在根据第二验证信息做好验证准备时，其也同步解析到第二报文的尾部，并提取出第一验证信息，以实现第一时间验证第二报文，避免过长的等待时间，提高第二网络设备的验证效率。

可选地，第二报文为互联网协议第4版IPv4报文或互联网协议第6版IPv6报文。其中，第二报文为IPv4报文，第二验证信息位于IPv4报文的IPv4头部和载荷之间，或者第二报文为IPv6报文，第二验证信息位于IPv6报文的IPv6协议头部的扩展头中，以实现兼容当前的IPv4报文或IPv6报文，协议改动更小，更方便实际应用。

可选地，在第一网络设备向第二网络设备发送第二报文之前，第一方面所述的方法还可以包括：第一网络设备接收来自网络控制器的第一配置信息。其中，该第一配置信息可以包括如下一项或多项：第三设备的公开地址、第一验证信息、验证算法、验证算法的标识、防重放信息、第一密钥、防重放信息、第一网络设备的标识、密钥密文、第二网络设备的标识、第三设备的内部可达地址、第一指示信息、或第二指示信息。其中，验证算法、防重放信息和第一密钥用于确定第一验证信息。网络控制器通过向第一网络设备配置第一配置信息，使得第一网络设备可以根据该第一配置信息在第一报文内封装安全信息，得到第二报文。这样，第二网络设备根据第二报文内封装的安全信息便可以确定第二报文是否攻击报文，无需对第二报文进行深层解析，在实现抗报文攻击的同时，还能保障业务的连续性和实时性。

可选地，第一报文和第二报文的目的地址为第三设备的公开地址。其中，第三设备的公开地址是指：该地址指向第三设备，但不可达第三设备。也就是说，携带第三设备的公开地址的报文无法直接发往第三设备，而可以发往可达第三设备的网络设备，例如第一网络设备或第二网络设备，由这些网络设备确定该报文不是攻击报文后，将该报文的目的地址更新第三设备的内部可达地址，再向第三设备转发，以避免第三设备被报文直接攻击。

一种可能的设计方案中，第一网络设备为如下任一项：路由器、网关、或交换机，第二网络设备为路由器，也就是说，第一方面所述的方法可以应用到路由转发场景，以实现在转发场景下跨区域、跨片区、或跨网络层的抗报文攻击。

第二方面，提供一种通信方法。该方法包括：第二网络设备接收来自第一网络设备的第二报文，第二网络设备验证第二报文。其中，第二报文内封装有安全信息，安全信息用于指示第二报文为经由第一网络设备确定的可信报文。

一种可能的设计方案中，安全信息可以包括第一验证信息，第一验证信息用于指示第二报文为经由第一网络设备确定的可信报文。可选地，第一验证信息为密码保护信息。

可选地，安全信息还可以包括第二验证信息，第二验证信息可以包括如下一项或多项：验证算法的标识、防重放信息、第一网络设备的标识、密钥密文、第二网络设备的标识、第三设备的内部可达地址、或第一指示信息，第一指示信息用于指示安全信息的类型。

可选地，第一验证信息在第二报文的头部或尾部，第二验证信息在第二报文的头部或尾部。

可选地，第二报文为互联网协议第4版IPv4报文，或互联网协议第6版IPv6报文。其中，第二报文为IPv4报文，第二验证信息位于IPv4报文的IPv4头部和载荷之间，或者第二报文为IPv6报文，第二验证信息位于IPv6报文的IPv6协议头部的扩展头中。

可选地，第二网络设备验证第二报文可以包括：第二网络设备根据第二验证信息，确定第三验证信息，从而根据第一验证信息和第三验证信息，验证第二报文。

进一步地，第二网络设备根据第一验证信息和第三验证信息，验证第二报文可以包括：若第一验证信息与第三验证信息相同，则第二网络设备将第二报文的目的地址更新为第三设备的内部可达地址，得到第三报文，并向第三设备发送第三报文。或者，若第一验证信息与第三验证信息不同，则第二网络设备丢弃第二报文。如此，通过比较第一验证信息与第三验证信息是否相同，可以准确识别出第一验证信息是否被篡改，以及第一验证信息是否为伪造信息等，从而可以提高验证的安全性和可靠性。

进一步地，第二网络设备根据第二验证信息，确定第三验证信息可以包括：第二网络设备根据密钥密文或第一网络设备的标识确定第二密钥，从而根据验证算法、防重放信息和第二密钥，确定第三验证信息。可以看出，第二密钥并未直接携带在安全信息中，而要第二网络设备根据密钥密文或第一网络设备的标识确定，也就是说，第二密钥是足够安全的密钥，其难以被伪造或者篡改。因此，在保证第二密钥足够安全的基础上，攻击报文通常只能篡改或者伪造其他信息，比如验证算法、防重放信息等。但是，由于验证过程是根据验证算法、防重放信息和第二密钥确定第三验证信息，一旦验证算法、防重放信息等信息被伪造或者篡改，便会导致第三验证信息与第一验证信息不同，以至验证不通过，从而实现可靠且安全地检验第二报文是否为伪造或被篡改的攻击报文。

可选地，第二网络设备根据第二验证信息，确定第三验证信息，可以包括：第二网络设备判断安全信息中是否包括第一网络设备的标识，若第二网络设备确定安全信息中包括所述第一网络设备的标识，则根据第二验证信息，确定第三验证信息。或者，第二网络设备验证第二报文可以包括：第二网络设备确定安全信息中不包括第一网络设备的标识，第二网络设备丢弃第二报文，或者第二网络设备向高防清洗中心发送第二报文。

其中，第二报文携带该第一网络设备的标识，表示该第二报文是来自可信设备，比如第一网络设备的可信报文。基于此原理，如果第二报文中不包括该第一网络设备的标识，则表示第二报文是不可信的报文，那么第二网络设备可以不再验证该第二报文，而向高防清洗中心发送第二报文。如此，一方面，可以节约第二网络设备的处理资源，提高第二网络设备的运行效率；另一方面，由于第二报文是不可信的报文，但不表示第二报文就是攻击报文，第二报文也可能是来自于互联网的常规数据报文，因此，第二网络设备将第二报文发往高防清洗中心，可以确保在第二报文是常规数据报文时，其仍能够正常访问第三设备，以保障业务的可靠性和稳定性。但是，第二报文在携带该第一网络设备的标识的基础上仍未通过验证，说明该第二报文可能是被篡改或者伪造的攻击报文，第二网络设备可以将该第二报文丢弃，不再发往高防清洗中心，以节约高防清洗中心的处理资源。

一种可能的设计方案中，第二网络设备验证第二报文之前，第二方面所述方法还可以包括：第二网络设备接收来自网络控制器的第二配置信息，第二配置信息包括如下一项或多项：第三设备的内部可达地址、第二网络设备的标识、第一网络设备的标识、或第三密钥，第三密钥用于解密密钥密文得到第二密钥。可以看出，网络控制器通过向第二网络设备配置第二配置信息，使得第二网络设备可以根据该第二配置信息对第二报文进行验证，以确定第二报文是否攻击报文，无需对第二报文进行深层解析，在实现抗报文攻击的同时，还能保障业务的连续性和实时性。

一种可能的设计方案中，第一网络设备为如下任一项：路由器、网关、或交换机，第二网络设备为路由器。

此外，第二方面所述的方法的其他技术效果可以参考第一方面所述的方法的技术效果，此处不再赘述。

第三方面，提供一种通信装置。该通信装置可以用于第一方面的第一网络设备，该通信装置可以是路由器、网关或交换机，也可以是路由器、网关或交换机中的装置(例如，芯片，或者芯片系统，或者电路)，或者是能够和路由器、网关或交换机匹配使用的装置。一种可能的实现中，该通信装置可以包括：执行第一方面中所描述的方法/操作/步骤/动作所对应的模块或单元，该模块或单元可以是硬件电路，也可是软件，也可以是硬件电路结合软件实现。

一种可能的实现中，第三方面所述的通信装置包括：收发模块和处理模块。其中，收发模块，用于接收来自终端的第一报文。处理模块，用于获取第二报文。收发模块，用于向第二网络设备发送第二报文。第二报文为通过在第一报文内封装安全信息得到的报文，该安全信息用于指示第二报文为经由该通信装置确定的可信报文。

一种可能的设计方案中，安全信息可以包括第一验证信息，第一验证信息用于指示第二报文为经由第三方面所述的通信装置确定的可信报文。可选地，第一验证信息为密码保护信息。

可选地，安全信息还可以包括第二验证信息，第二验证信息可以包括如下一项或多项：验证算法的标识、防重放信息、第三方面所述的通信装置的标识、密钥密文、第二网络设备的标识、第三设备的内部可达地址、或第一指示信息，第三设备为第二网络设备的下游设备，第一指示信息用于指示安全信息的类型。

可选地，第二验证信息还可以包括第二指示信息，第二指示信息用于指示安全信息是否包括如下一项或多项：验证算法的标识、防重放信息、第三方面所述的通信装置的标识、或密钥密文。

可选地，第二验证信息还可以包括第二指示信息，第二指示信息用于指示如下一项或多项在第二报文中的位置和/或长度：第一验证信息、验证算法的标识、防重放信息、第三方面所述的通信装置的标识、或密钥密文。

可选地，第一验证信息可以在第二报文的头部或尾部，第二验证信息可以在第二报文的头部或尾部。

可选地，第二报文为互联网协议第4版IPv4报文或互联网协议第6版IPv6报文。其中，第二报文为IPv4报文，第二验证信息位于IPv4报文的IPv4头部和载荷之间，或者第二报文为IPv6报文，第二验证信息位于IPv6报文的IPv6协议头部的扩展头中。

可选地，收发模块，还用于在向第二网络设备发送第二报文之前，接收来自网络控制器的第一配置信息。其中，该第一配置信息可以包括如下一项或多项：第三设备的公开地址、第一验证信息、验证算法、验证算法的标识、防重放信息、第一密钥、防重放信息、第三方面所述的通信装置的标识、密钥密文、第二网络设备的标识、第三设备的内部可达地址、第一指示信息、或第二指示信息，验证算法、防重放信息和第一密钥用于确定第一验证信息。

可选地，第一报文和第二报文的目的地址为第三设备的公开地址。

一种可能的设计方案中，第三方面所述的装置为如下任一项：路由器、网关、或交换机，第二网络设备为路由器。

可选地，收发模块也可以包括发送模块和接收模块。其中，发送模块用于实现第三方面所述的装置的发送功能，接收模块用于实现第三方面所述的装置的接收功能。

可选地，第三方面所述的装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该装置可以执行上述第一方面所述的方法。

此外，第三方面所述的装置的技术效果可以参考第一方面所述的方法的技术效果，此处不再赘述。

第四方面，提供一种通信装置。该通信装置可以用于第二方面的第二网络设备，该通信装置可以是路由器，也可以是路由器中的装置(例如，芯片，或者芯片系统，或者电路)，或者是能够和路由器匹配使用的装置。一种可能的实现中，该通信装置可以包括：执行第二方面中所描述的方法/操作/步骤/动作所对应的模块或单元，该模块或单元可以是硬件电路，也可是软件，也可以是硬件电路结合软件实现。

一种可能的实现中，第四方面所述的通信装置包括：收发模块和处理模块。其中，收发模块，用于接收来自第一网络设备的第二报文；处理模块，用于验证第二报文。第二报文内封装有安全信息，安全信息用于指示第二报文为经由第一网络设备确定的可信报文。

可选地，安全信息还可以包括第二验证信息，第二验证信息可以包括如下一项或多项：验证算法的标识、防重放信息、第一网络设备的标识、密钥密文、第四方面所述的通信装置的标识、第三设备的内部可达地址、或第一指示信息，第一指示信息用于指示安全信息的类型。

可选地，处理模块，还用于根据第二验证信息，确定第三验证信息，从而根据第一验证信息和第三验证信息，验证第二报文。

进一步地，若第一验证信息与第三验证信息相同，则处理模块，还用于将第二报文的目的地址更新为第三设备的内部可达地址，得到第三报文，并控制收发模块向第三设备发送第三报文。或者，若第一验证信息与第三验证信息不同，则处理模块，还用于丢弃第二报文。

进一步地，处理模块，还用于根据密钥密文或第一网络设备的标识确定第二密钥，从而根据验证算法、防重放信息和第二密钥，确定第三验证信息。

可选地，处理模块，还用于在根据第二验证信息，确定第三验证信息之前，确定安全信息中包括第一网络设备的标识。或者，处理模块，还用于确定安全信息中不包括第一网络设备的标识，处理模块丢弃第二报文，或者控制收发模块向高防清洗中心发送第二报文。

一种可能的设计方案中，收发模块，还用于在处理模块验证第二报文之前，接收来自网络控制器的第二配置信息。第二配置信息包括如下一项或多项：第三设备的内部可达地址、第四方面所述的通信装置的标识、第一网络设备的标识、或第三密钥，第三密钥用于解密密钥密文得到第二密钥。

一种可能的设计方案中，第一网络设备为如下任一项：路由器、网关、或交换机，第四方面所述的通信装置为路由器。

可选地，收发模块也可以包括发送模块和接收模块。其中，发送模块用于实现第四方面所述的装置的发送功能，接收模块用于实现第四方面所述的装置的接收功能。

可选地，第四方面所述的装置还可以包括存储模块，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得该装置可以执行上述第二方面所述的方法。

此外，第四方面所述的装置的技术效果可以参考第二方面所述的方法的技术效果，此处不再赘述。

第五方面，提供一种通信装置。该装置包括：处理器。其中，处理器，用于执行如第一方面或第二方面所述的方法。

一种可能的设计方案中，第五方面所述的装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于该装置与其他装置通信。

一种可能的设计方案中，第五方面所述的装置还可以包括存储器。该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面或第二方面所述的方法所涉及的计算机程序(或一组指令)和/或数据。

在本申请中，第五方面所述的装置可以为第一方面或第二方面所述的网络设备，或者可设置于该网络设备中的芯片(系统)或其他部件或组件，或者包含该网络设备的装置。

此外，第五方面所述的装置的技术效果可以参考第一方面或第二方面所述的方法的技术效果，此处不再赘述。

第六方面，提供一种通信装置。该装置包括：与存储器耦合的处理器。其中，存储器用于存储计算机指令，当处理器执行该指令时，以使该装置执行如第一方面或第二方面所述的方法。

一种可能的设计方案中，第六方面所述的装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于该装置与其他装置通信。

在本申请中，第六方面所述的装置可以为第一方面或第二方面所述的网络设备，或者可设置于该网络设备中的芯片(系统)或其他部件或组件，或者包含该网络设备的装置。

此外，第六方面所述的装置的技术效果可以参考第一方面或第二方面所述的方法的技术效果，此处不再赘述。

第七方面，提供一种通信装置。该装置包括：逻辑电路和输入输出接口。

一种可能的实现中，第七方面所述的通信装置适用于第一方面所述的网络设备，例如第一网络设备，或者可设置于该网络设备中的芯片(系统)或其他部件或组件，或者包含该网络设备的装置。

其中，输入输出接口，用于接收来自终端的第一报文。逻辑电路，用于获取第二报文。输入输出接口，还用于向第二网络设备发送第二报文。第二报文为通过在第一报文内封装安全信息得到的报文，安全信息用于指示第二报文为经由通信装置确定的可信报文。

可选地，第七方面所述的装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于该装置与其他装置通信。

可选地，第七方面所述的装置还可以包括存储器。存储器可以与处理器集成在一起，也可以分开设置。存储器可以用于存储第一方面所述的方法所涉及的计算机程序和/或数据。

另一种可能的实现中，第七方面所述的通信装置适用于第二方面所述的网络设备，例如第二网络设备，或者可设置于该网络设备中的芯片(系统)或其他部件或组件，或者包含该网络设备的装置。

其中，输入输出接口，用于接收来自第一网络设备的第二报文。逻辑电路，用于验证第二报文。第二报文内封装有安全信息，安全信息用于指示第二报文为经由第一网络设备确定的可信报文。

可选地，第七方面所述的装置还可以包括存储器。存储器可以与处理器集成在一起，也可以分开设置。存储器可以用于存储第二方面所述的方法所涉及的计算机程序和/或数据。

此外，第七方面所述的装置的技术效果可以参考第一方面或第二方面所述的方法的技术效果，此处不再赘述。

第八方面，提供一种通信装置。该装置包括：处理器和收发器。其中，收发器用于通信装置和其他装置之间进行信息交互，处理器执行程序指令，用以执行如第一方面或第二方面所述的方法。

一种可能的设计方案中，第八方面所述的装置还可以包括存储器。该存储器可以与处理器集成在一起，也可以分开设置。该存储器可以用于存储第一方面或第二方面所述的方法所涉及的计算机程序和/或数据。

在本申请中，第八方面所述的装置可以为第一方面或第二方面所述的网络设备，或者可设置于该网络设备中的芯片(系统)或其他部件或组件，或者包含该网络设备的装置。

此外，第八方面所述的装置的技术效果可以参考第一方面或第二方面所述的方法的技术效果，此处不再赘述。

第九方面，提供一种通信系统。该通信系统包括第一方面所述方法中的网络设备，比如第一网络设备和定位管理网元，以及包括第二方面所述的方法中的网络设备，比如第二网络设备。

第十方面，提供一种计算机可读存储介质，包括：计算机程序；当该计算机程序在计算机上运行时，使得第一方面或第二方面所述的方法被执行。

第十一方面，提供一种计算机程序产品，包括计算机程序，当该计算机程序或指令在计算机上运行时，使得第一方面或第二方面所述的方法被执行。

附图说明

图1为洪泛攻击的场景示意图；

图2为黑洞方案和流量清洗方案的场景示意图；

图3为本申请实施例提供的通信系统的架构示意图；

图4为本申请实施例提供的通信方法的流程示意图一；

图5为本申请实施例提供的通信方法中IPv4报文的结构示意图一；

图6为本申请实施例提供的通信方法中IPv4报文的结构示意图二；

图7为本申请实施例提供的通信方法中IPv6报文的结构示意图；

图8为本申请实施例提供的通信方法中IPv4报文的结构示意图三；

图9为本申请实施例提供的通信方法中IPv4报文的结构示意图四；

图10为本申请实施例提供的通信方法的应用场景示意图；

图11为本申请实施例提供的通信装置的结构示意图一；

图12为本申请实施例提供的通信装置的结构示意图二；

图13为本申请实施例提供的通信装置的结构示意图三。

具体实施方式

下面介绍本申请实施例所涉及的技术术语。

1、报文攻击：

报文攻击是指攻击者将攻击报文进行一定伪装，然后向被攻击设备发起访问，以攻击被攻击设备，造成被攻击设备的数据泄露，甚至是设备瘫痪等，从而造成重大经济损失。其中，典型的报文攻击是分布式拒绝服务(distributed denial of service，DDoS)攻击，例如洪泛(flooding)类的DDoS攻击(以下简称洪泛攻击)。攻击者利用大量僵尸网络主机，集中式地向被攻击设备发送攻击流量，通过压倒性的资源优势耗尽被攻击设备的带宽、计算或存储资源，造成被攻击设备瘫痪，服务中断。

洪泛攻击主要包括两种，分别如图1中的(a)和(b)所示。请参阅图1中的(a)，一种洪泛攻击(记为洪泛攻击1)是攻击者向被攻击设备发送大量的攻击报文，这些攻击报文中携带有虚假或不可达的互联网协议(internet protocol，IP)地址，致使被攻击设备需要维持大量的半连接，或者响应大量不可达的报文，造成被攻击设备的资源耗尽。请参阅图1中的(b)，另一种洪泛攻击(记为洪泛攻击2)是攻击者通过大量的僵尸主机，集中向被攻击设备发送大量的报文，直接导致被攻击设备的资源耗尽。因此，针对洪泛攻击，目前提出了3种解决方案，分别是黑洞、流量清洗和交互式挑战验证，下面分别介绍。

2、黑洞：

请参阅图2，黑洞方案是指，当洪泛攻击的攻击流量到达被攻击设备时，被攻击设备可以请求其所在的互联网服务提供商(internet service provider，ISP)将所有发往被攻击设备的流量导向黑洞，即专门用于流量接收的设备，确保被攻击设备不再受到影响，比如与被攻击设备连接，或者说共用链路的其他设备不受影响。

3、流量清洗：

请参阅图2，流量清洗方案是指，当洪泛攻击的攻击流量到达被攻击设备时，被攻击设备可以请求其所在的ISP将所有发往被攻击设备的流量发往高防清洗中心。高防清洗中心可以是专门用于识别洪泛攻击的设备。高防清洗中心通过对报文进行深层解析，可以识别出洪泛攻击的攻击特征，从而识别出合法流量，即包括正常的业务报文的流量，以及非法流量，即包括非正常的业务报文，或者说攻击报文的流量。如此，高防清洗中心可以将合法流量返回被攻击设备，以保障业务的连续性。

需要说明，针对上述洪泛攻击1和洪泛攻击2，黑洞方案和流量清洗方案都可以适用。但是，对于黑洞方案，ISP导向黑洞的流量通常也包括正常的业务流量，比如大量正常的业务报文，由于黑洞只是被动接收流量，并不会将这部分正常的业务流量返回被攻击设备，导致业务中断，业务的连续性得不到保障。对于流量清洗方案，高防清洗中心对报文进行深层解析的耗时较长，导致业务出现明显滞后，业务的实时性得不到保障。

4、交互式挑战验证：

交互式挑战验证是一种针对洪泛攻击1的解决方案，其通过判断是否接收到客户端的响应报文，而确定原先接收到的报文是否为洪泛攻击1的攻击报文。

具体地，客户端(client)可以向服务器(server)发送报文1。报文1可以是同步空闲字符(synchronous idle character，SYN)报文，或者其他任何可能形式的报文，对此不限定。服务器确定SYN cookie，比如服务器可以根据报文1的源IP地址、目的IP地址、源端口、目的端口、以及SYN序列号，加密计算SYN cookie，使得SYN cookie不可伪造。之后，服务器可以向客户端发送报文2。报文2可以是报文1的应答消息(acknowledgement，ACK)报文，携带有SYN cookie。这样，客户端可以确定SYN cookie+1，比如客户端可以从报文2中提取出SYN cookie，从而进一步确定SYN cookie+1。最后，客户端可以向服务器发送报文3。报文3可以是报文2的ACK报文，携带有SYN cookie+1。对于服务器而言，服务器可以验证报文3，以根据报文3中的SYN cookie+1，确定报文3为正常的业务报文，从而继续处理该业务保证，以保证业务的实时性和连续性。但是，如果服务器确定报文3未携带有SYN cookie+1，或者超时未接收到报文3，则说明报文1是虚假IP地址的攻击报文，服务器可以中断与客户端之间的半连接，以避免维持半连接带来的开销，节约服务器的资源。

可以看出，在交互式挑战验证方案中，服务器通过响应其接收的每个报文，便可以在报文中封装SYN cookie，从而通过SYN cookie识别洪泛攻击1。也正由于服务器需要响应每个接收的报文，在面临洪泛攻击2时，这种响应方式仍会导致服务器的资源被快速耗尽，无法实现抗洪泛攻击。

因此，无论是黑洞、流量清洗、还是交互式挑战验证，都无法做到，既能够抗报文攻击，又能够保障业务的连续性和实时性。

针对上述技术问题，本申请实施例提出了如下技术方案，本申请实施例的技术方案可以应用于各种数据网络，例如数据中心网络、企业或园区网络、边缘计算网、云网等等。

本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是，各个系统可以包括另外的设备、组件、模块等，并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外，还可以使用这些方案的组合。

另外，在本申请实施例中，“示例地”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

为便于理解本申请实施例，首先以图3中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性地，图3为本申请实施例提供的通信方法所适用的一种通信系统的架构示意图。

如图3所示，该通信系统包括：终端和网络设备。

其中，上述终端为接入上述通信系统，且具有收发功能的终端或可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置(uesr equipment，UE)、接入终端、用户单元(subscriber unit)、用户站、移动站(mobile station，MS)、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、蜂窝电话(cellular phone)、智能电话(smart phone)、平板电脑(Pad)、无线数据卡、个人数字助理电脑(personal digital assistant，PDA)、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machine type communication，MTC)终端、带无线收发功能的电脑、虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的RSU等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。需要指出，终端可以设置相应的客户端(client)，因此下文提到的客户端可以理解为该客户端所在的终端，二者可以相互替换。

上述网络设备可以是多个，例如第一网络设备和第二网络设备，位于上述通信系统的网络侧，且是具有收发功能的设备或可设置于该设备的芯片或芯片系统。该网络设备可以包括：转发设备，例如路由器(router)，例如接入路由器(access router，AR)、交换机，例如接入交换机，汇聚交换机，核心交换机、或网关等支持路由或交换功能的物理设备，也可以是支持路由发布和报文转发的虚拟设备等，可以是通信网络中的控制器，或者也可以为通信网络中的节点、服务器，例如数据服务器、网络服务器、云服务器等，或者是由这些服务器构成的服务器集群，比如新空口(new radio，NR)系统中的gNB，或，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB、传输点(transmission and reception point，TRP)或者transmission point，TP)或传输测量功能(transmission measurement function，TMF)的网络节点，如基带单元(BBU)，或，中心单元(central unit，CU)、分布式单元(distributed unit，DU)、具有基站功能的路边单元(road side unit，RSU)，或者有线接入网关等。此外，在采用不同的无线接入技术的系统中，网络设备的名称可能会有所不同，例如宽带码分多址(wideband code division multiple access，WCDMA)中的NB(NodeB)，长期演进(long term evolution，LTE)中的eNB或eNodeB(evolutional NodeB)。网络设备还可以是云无线接入网络(cloud radio access network，CRAN)场景下的无线控制器。此外，网络设备也可以包括无线保真(wireless fidelity，WiFi)系统中的接入点(access point，AP)，无线中继节点、无线回传节点、各种形式的宏基站、微基站(也称为小站)、中继站、接入点、可穿戴设备、车载设备等等。

具体地，第一网络设备为例，第一网络设备可以是客户终端设备(customer premises equipment，CPE)，其设备形态的一种示例可以是如下任一项：路由器、交换器、或网关等支持路由或交换功能的转发设备，或者也可以是服务器，例如数据服务器、网络服务器、云服务器、或者由这些服务器构成的服务器集群，本申请对此不做任何限定。第一网络设备可以是多个，多个第一网络设备相互连接形成环网，例如星环网、单环网或多环网、非环网、或者其他任何可能形式的网络拓扑结构，本申请对此不做任何限定。

以第二网络设备为例，第二网络设备可以是CPE、云入口设备、或云出口设备，与第一网络设备类似，其设备形态的一种示例可以是如下任一项：路由器、交换器、或网关等支持路由或交换功能的转发设备，或者也可以是服务器，例如数据服务器、网络服务器、云服务器、或者由这些服务器构成的服务器集群。第二网络设备也可以是多个，多个第二网络设备相互连接形成环网、非环网、或者其他任何可能形式的网络拓扑结构。

可选地，该通信系统还可以包括第三设备，该第三设备可以是该通信系统中与上述第一网络设备和第二网络设备不同的网络设备，或者可以是与上述终端不同的终端。一方面，对于第一网络设备的物理形态而言，具体可以是服务器，例如数据服务器、网络服务器、云服务器等，或者是由这些服务器构成的服务器集群，本申请对此不做任何限定。对于第一网络设备的功能形态而言，第三设备可以提供安全服务，可以是防火墙；此外，第三设备可以提供云服务，也就是说，第三设备可以是云设备，但不限定，第三设备也可以提供常规服务，即非云服务。

其中，终端、第一网络设备、第二网络设备和第三设备可以应用到路由转发场景，执行本申请实施例提供的通信方法，以实现在转发场景下跨区域、跨片区、或跨网络层的抗报文攻击，下面将结合图4-图9对本申请实施例提供的通信方法进行具体阐述。

示例性地，图4为本申请实施例提供的通信方法的流程示意图一。该通信方法可以适用于图3所示的通信系统中终端与网络设备，比如第一网设备和第二网络设备之间的通信。如图4所示，该通信方法包括：

S401，终端向第一网络设备发送第一报文。相应的，第一网络设备接收来自终端的第一报文。

第一报文可以是互联网协议第4版(internet protocol version 4，IPv4)报文，或者互联网协议第6版(internet protocol version 6，IPv6)报文。或者，第一报文也可以是下一代互联网协议报文，例如，该下一代互联网协议报文可以被称为互联网协议第6版(internet protocol version 6+，IPv6+)报文、互联网协议第9版(internet protocol version 9，IPv9)报文、新版互联网协议(new internet protocol version，New IP)报文、或者其他任何可能的命名形式，本申请对此不做任何限定。

第一报文对应的目的设备可以是第三设备，即第一报文需要发往第三设备，且可以途径第一网络设备和第二网络设备，也即第三设备是第一网络设备和第二网络设备的下游设备。这样，第一网络设备的目的地址可以是第三设备的地址，比如第三设备的公开地址。第三设备的公开地址是指：该地址指向第三设备，但不可达第三设备，例如可以是第三设备的高防IP地址前缀。也就是说，携带第三设备的公开地址的报文无法直接发送到第三设备，而可以发往可达第三设备的网络设备，例如第一网络设备或第二网络设备，由这些网络设备确定该报文不是攻击报文后，将该报文的目的地址更新为第三设备的内部可达地址，再转发至第三设备，以避免第三设备被报文直接攻击。其中，该内部可达地址可以为真实的目的IP地址(true inner destionation IP address，TrueInnerDstIP)，且只对第三设备可用，即只有第三设备能够识别该内部可达地址，并根据该内部可达地址进行路由或消费报文，具体实现可以参考下述S403，以及第二种可能的应用场景中的相关介绍，在此不予赘述。

对于终端而言，终端可以从网域名称服务器(domain name server，DNS)获取第三设备的公开地址，或者也可以本地预先配置第三设备的公开地址，对此不做限定。以从DNS获取为例，DNS预先配置有第三设备的域名与第三设备的公开地址的对应关系，比如通过网络控制实体(network control entity，NCE)为DNS配置该对应关系。终端可以根据第三设备的域名，访问该DNS，从而获取第三设备的公开地址，并将第三设备的公开地址封装到待发送的报文中，得到第一报文。

S402，第一网络设备向第二网络设备发送第二报文。相应的，第二网络设备接收来自第一网络设备的第二报文。

其中，第二报文为通过在第一报文内封装安全信息得到的报文。该安全信息用于指示第二报文为经由第一网络设备确定的可信报文，或者也可以说，安全信息用于指示第二报文为经由第一网络设备确认、担保、验证、认证或证明的可信报文。在第一报文是IPv4报文、IPv6报文、或者下一代互联网协议报文的基础上，得到的第二报文也是IPv4报文、IPv6报文、或者下一代互联网协议报文。

该安全信息可以包括第一验证信息，该第一验证信息可以为身份验证代码(authcode)，且可以为密码保护信息，用于指示第二报文为经由第一网络设备确定的可信报文。如此，可以避免安全信息被伪造或篡改，从而提高安全信息的可信度。第一验证信息可以是第一网络设备根据验证算法、防重放信息和第一密钥确定。验证算法例如可以为散列信息认证码(hash-based message authentication code，HMAC)算法、加密消息认证码(cipher-based message authentication code，CMAC)算法、通用哈希的消息验证码(message authentication code based on universal hashing，UMAC)算法、伽罗瓦消息验证码(galois message authentication code，GMAC)算法等。防重放信息例如可以为不重复的序列号(senquence，SEQ)、随机数、时间戳等。第一密钥可以是第一网络设备的私密密钥，如一个秘密的对称密钥，或者是一个非对称的解密密钥，或者量子密钥等等。

一种可能的实现中，第一网络设备预先配置有公开地址列表，对于发往公开地址列表中对应公开地址的报文，第一网络设备需要在该报文中添加安全信息，以证明该报文是第一网络设备确定的可信报文，而非攻击报文，从而确保该可信报文能够被公开地址对应的设备接收。在此基础上，第一网络设备接收到第一报文后，确定第一报文中第三设备的公开地址属于公开地址列表中的公开地址，从而根据验证算法、SEQ和第一密钥息确定第一验证信息，并将第一验证信息封装在第一报文中得到第二报文。可选地，将第一验证信息封装在第一报文的头部或尾部得到第二报文。例如，图5所示，第二报文为IPv4报文，第一验证信息可以位于IPv4报文的尾部。或者，如图6所示，第二报文为IPv6报文，第一验证信息可以位于IPv6报文的尾部，例如，被封装在IPv6报文尾部的完整性校验值(integrity check value，ICV)中。需要指出的是，第一验证信息的长度，以及第一验证信息在第二报文中的位置，可以是第一网络设备和第二网络设备事先约定的，或者是协议预定义的，以便第二网络设备后续能够从第二报文中提取出第一验证信息。

可选地，安全信息还可以包括第二验证信息，第二验证信息可以包括如下一项或多项：第一网络设备的标识或密钥密文。其中，第一网络设备的标识可以是可鉴别的主体标识符(authenticated identifier，AID)，第二报文携带该第一网络设备的标识，表示该第二报文是来自可信设备，比如第一网络设备的可信报文。第一网络设备可以有多个，每个第一网络设备都可以有各自对应的标识，这些标识可以相同，或者也可以不同，以区分各第一网络设备，例如第一网络设备1{AID1}、第一网络设备2{AID2}、第一网络设备3{AID3}等等。此外，上述密钥密文可以是密钥信息描述符(information of cryptographic key，KeyInfo)，该密钥密文可以根据第二密钥加密得到，或者是第二密钥的标识，用以指示该第二密钥。该第二密钥与上述的第一密钥可以是相同的密钥，或者也可以是不同的密钥，比如第一密钥和第二密钥具备某种派生关系，可以根据第一密钥计算得到第二密钥，用于第二网络设备验证该安全信息。可以看出，作为实现验证的一种方式，第一网络设备并未直接向第二网络设备发送第二密钥，而是发送指示该第二密钥或者经由第二密钥加密得到的密钥密文，如此可以提高通信安全，避免通信过程中第二密钥被窃取，保证验证的可靠性。其中，第二网络设备验证该安全信息的具体实现可以参考下述S403中的相关介绍，在此不予赘述。

可选地，第二验证信息还可以包括第二指示信息，第二指示信息用于指示安全信息是否包括如下一项或多项：第一网络设备的标识或密钥密文。比如，第二指示信息包括多个比特(bit)(记为比特位串1)，该比特位串1中的每个比特的取值可以用于指示安全信息是否包括上述对应一项信息，比如第一网络设备的标识或者密钥密文。假设，第二指示信息包括2个比特，第1个比特的取值用于指示安全信息是否包括第一网络设备的标识，第2个比特的取值用于指示安全信息是否包括密钥密文。或者，该比特位串1的取值组合可以用于指示安全信息是否包括如下一项或多项：第一网络设备的标识、或密钥密文。继续上述假设，第二指示信息包括2个比特，2个比特的取值为11指示安全信息包括第一网络设备的标识和密钥密文，2个比特的取值为00指示安全信息不包括第一网络设备的标识和密钥密文，2个比特的取值为10指示安全信息只包括第一网络设备的标识，2个比特的取值为01指示安全信息只包括密钥密文。或者，第二指示信息还用于指示如下一项或多项在第二报文中的位置和/或长度：第一网络设备的标识、或密钥密文。比如，第二指示信息还包括更多的比特(记为比特位串2)，用以指示第一网络设备的标识在第二报文中的位置和长度，例如第一网络设备的标识在第二报文中起始位置、结束位置、长度等等，和/或，指示密钥密文在第二报文中的位置和/或长度，例如密钥密文在第二报文中的起始位置、结束位置、长度等等。继续上述假设，第二指示信息在上述2个比特之后还包括6个比特，在这6个比特中，3个比特的取值组合用于指示第一网络设备的标识在第二报文中的位置和/或长度，另外3个比特的取值组合用于指示密钥密文在第二报文中的位置和/或长度。

需要指出的是，上述实现方式中，第二指示信息通过比特位串1指示安全信息是否包括第一网络设备的标识和/或密钥密文，以及通过比特位串2指示第一网络设备的标识和/或密钥密文在第二报文中的位置和/或长度。另一些实现方式中，对于第一网络设备的标识和密钥密文中的每项信息，第二指示信息还可以采用同一比特来指示安全信息是否包括该项信息，以及该项信息在第二报文中的位置和/或长度。比如，如果这些比特为特定的取值组合，则指示安全信息不包括该项信息；如果这些比特为其他的取值组合，则指示该项信息在第二报文中的位置和/或长度，即隐式指示安全信息包括该项信息。继续上述假设，第二指示信息包括8个比特，前4个比特的特定取值组合，比如全为0或全为1，用以指示安全信息中不包括第一网络设备的标识，前4个比特的其他取值组合，比如1010，用以指示第一网络设备的标识在第二报文中的位置和/或长度。同理，后4个比特的特定取值组合，比如全为0或全为1，用以指示安全信息中不包括密钥密文，后4个比特的其他取值组合，比如0011，用以指示密钥密文在第二报文中的位置和/或长度。又一些实施方式中，第二指示信息还可以用于指示上述的第一验证信息在第二报文中的位置和/或长度，例如第一验证信息在第二报文中起始位置、结束位置、长度等等，具体实现与上述第一网络设备的标识和/或密钥密文类似，可以参考理解，不再赘述。另一种可能的实现中，第一网络设备的标识和/或密钥密文的长度，以及其在第二报文中的位置可以是第一网络设备和第二网络设备事先约定的，或者是协议预定义的，以便第二网络设备后续能够从第二报文中提取出第一网络设备的标识和/或密钥密文。此外，如果第二指示信息只指示了上述信息的位置，则这些信息的长度可以是第一网络设备和第二网络设备事先约定的，或者是协议预定义的，例如定长；同理，如果第二指示信息只指示了上述信息的长度，则这些信息的位置可以是第一网络设备和第二网络设备事先约定的，或者是协议预定义的。

可以理解，通过在第二验证信息中携带第二指示信息，使得第二网络设备根据第二指示信息可以准确地从第二报文中提取出上述一项或多项信息，比如上述的第一验证信息、第一网络设备的标识、密钥密文等等，以保证后续验证的准确性和可靠性，避免因第二网络设备未能准确提取出上述一项或多项信息而导致验证失败。由于第二指示信息可以指示上述一项或多项信息在第二报文的位置和/或长度，上述一项或多项信息可以更灵活地封装在第二报文中，使得第二报文的结构更灵活，业务兼容性更好，可以适用更多业务场景。

与第一验证信息在第二报文的头部或尾部类似，第二验证信息也可以在第二报文的头部或尾部。也就是说，第一网络设备可以将第一验证信息和第二验证信息分别封装在第一报文的头部或尾部，得到第二报文。其中，由于第二网络设备对第二报文解析顺序通常是从第二报文的头部依次解析到尾部。在此基础上，一种可选方式是将第一验证信息封装在第二报文尾部，将第二验证信息封装在第二报文头部，以便第二网络设备处理第二验证信息与解析第二报文可以同步，比如，第二网络设备在根据第二验证信息做好验证准备时，其也同步解析到第二报文的尾部，并提取出第一验证信息，以实现在第一时间验证第二报文，避免过长的等待时间，提高第二网络设备的验证效率。

方式11，如图5和图6所示，第二验证信息位于IPv4报文的IPv4头部和载荷之间，例如位于IPv4头部之后的用户数据报协议(user datagram protocol，UDP)头部与载荷之前的内层IP头部之间。具体地，第二验证信息可以被封装在UDP头部与载荷之间媒体接入控制(media access control，MAC)安全策略(security，SEC)的SecTag头部中。SecTag头部可以包括：以太类型(ether type)信元、标签控制信息(TAG control information，TCI)信元、安全联盟编号(association number，AN)信元、短帧长度(short length，SL)信元、报文编号(packet number，PN)信元、安全通道标识(secure channel indicator，SCI)信元。其中，以太类型信元的长度为2个字节(byte)。TCI信元的长度为6个比特，AN信元的长度为2个比特，这样TCI信元和AN信元的长度之和为1个字节。SL信元的长度为1个字节。PN信元的长度为4个字节。SCI信元的长度为8个字节。第二验证信息可以封装在上述的一个或多个信元，例如SCI信元中，或者其他任何可能的信元中，以实现信元复用，节约通信开销。当然，第二验证信息被封装在SecTag头部中仅为一种示例，不作为限定，比如，第二验证信息可以作为独立信元，封装在SecTag头部与内层IP头部之间，本申请对此不做任何限定。

方式12，如图7所示，第二验证信息可以位于IPv6报文的IPv6协议头部的扩展头中。具体地，第二验证信息可以被封装在扩展头的一些信元，例如目的选项(destination options)中，或者其他任何可能的信元中，并通过一个类型长度值(type-length-value，TLV)进行标识，以实现信元复用，节约通信开销。当然，第二验证信息也可以作为独立信元被封装扩展头中，本申请对此不做任何限定。

结合上述方式11和方式12，可以看出，通过将第二验证信息封装在IPv4报文的IPv4头部和载荷之间，或者封装IPv6报文的IPv6协议头部的扩展头中，可实现兼容当前的IPv4报文或IPv6报文，协议改动更小，更方便实际应用。

本申请实施例中，第二报文的目的地址仍为第三设备的公开地址，这样，第一网络设备可以根据第三设备的公开地址对应的出端口，向第二网络设备发送该第二报文。相应的，第二网络设备可以通过与第一网络设备连接的入端口接收该第二报文，从而继续执行下述S403。

S403，第二网络设备解析第二报文。

其中，第二网络设备解析第二报文是指对第二报文进行解封装，从第二报文中提取出上述安全信息。

具体地，一种实施方式中，安全信息包括第一验证信息，第二网络设备可以通过预先配置或者协议预先定义的方式，在本地预先配置对应的验证算法、防重放信息以及第二密钥，或者配置由该验证算法、防重放信息以及第二密钥确定的第三验证信息。这样，第二网络设备根据预先约定的位置和长度，或者协议预定义的位置和长度，从第二报文中提取出第一验证信息后，可以进一步判断该第一验证信息与第三验证信息是否相同。其中，通过比较第一验证信息与第三验证信息是否相同，可以准确识别出第一验证信息是否被篡改，以及第一验证信息是否为伪造信息等，从而可以提高验证的安全性和可靠性。例如，如果第一验证信息与第三验证信息相同，则说明第二报文是合法报文，第二报文的验证通过，第二网络设备可以将第二报文的目的地址更新为第三设备的内部可达地址，比如第二网络设备可以遍历路由表项，将路由表项中记录的第三设备的内部可达地址更新到第二报文的目的地址中，得到第三报文，并向第三设备发送第三报文。如果第一验证信息与第三验证信息不同，则说明第二报文可能是非法报文，第二报文的验证未通过，第二网络设备可以丢弃该第二报文，或者，第二网络设备仍可以向高防清洗中心发送第二报文。

另一种实施方式中，安全信息包括第一验证信息和第二验证信息，第二网络设备可以根据预先约定的位置和长度，或者协议预定义的位置和长度，从第二报文中提取出第一验证信息，以及上述密钥密文和/或第一网络设备的标识，或者，在第二验证信息包括第二指示信息的基础上，第二网络设备还可以根据第二指示信息，从第二报文中提取出第一验证信息，以及上述密钥密文和/或第一网络设备的标识。如此，第二网络设备可以根据密钥密文或第一网络设备的标识，确定第二密钥，下面具体介绍。

方式21，在密钥密文由第二密钥加密得到的情况下，第二网络设备可以预先配置对应第三密钥，第三密钥可以用于解密密钥密文，例如通过第三密钥和相应的解密算法解密密钥密文，从而得到第二密钥。第三密钥可以是第二网络设备的私密密钥，如一个秘密的对称密钥，或者是一个非对称的解密密钥，或者量子密钥等等。在密钥密文为第二密钥的标识的情况下，第二网络设备预先配置有第二密钥的标识与第二密钥的对应关系，以根据该对应关系确定该第二密钥。

方式22，第二网络设备的本地动态维护有第一网络设备的标识列表，该标识列表中记录有每个第一网络设备的标识与该标识对应的密钥的对应关系，且对应关系可以根据NCE下发的配置动态更新。例如，AID1{密钥1}，AID2{密钥2}，AID3{密钥3}，AID4{密钥4}等等。第二网络设备可以根据该第二验证信息中携带的第一网络设备的标识，遍历标识列表，以确定出该第一网络设备的标识对应的密钥，比如第二密钥。

如此，第二网络设备确定出第二密钥后，可以根据验证算法、防重放信息和第二密钥，确定第三验证信息，并判断该第一验证信息与第三验证信息是否相同。如果第一验证信息与第三验证信息相同，则第二网络设备可以将第二报文的目的地址更新为第三设备的内部可达地址，得到第三报文，并向第三设备发送第三报文。如果第一验证信息与第三验证信息不相同，则第二网络设备可以丢弃该第二报文，或者，第二网络设备仍可以向高防清洗中心发送第二报文。当然，如果第二网络设备确定接收到的报文中未携带第一验证信息，则第二网络设备也可以直接丢弃该报文，或者向高防清洗中心发送该报文。

可以看出，由于第二密钥并未直接携带在安全信息中，而需要第二网络设备根据密钥密文或第一网络设备的标识确定，或者直接配置在第二网络设备本地，也就是说，第二密钥是足够安全的密钥，其难以被伪造或者篡改。因此，在保证第二密钥足够安全的基础上，攻击报文通常只能篡改或者伪造其他信息，比如验证算法、防重放信息等。这就使得一旦验证算法、防重放信息等信息被伪造或者篡改，便导致第一验证信息与第三验证信息不同，以至于验证不通过，从而实现可靠且安全地验证第二报文是否为伪造或被篡改的攻击报文。

综上，根据图4所示的方法，通过在第一报文内封装安全信息，以便得到的第二报文为经由第一网络设备确定的可信报文，这样第二网络设备无需对第二报文进行深层解析，根据第二报文内封装的安全信息便可以确定第二报文是否攻击报文，在实现抗报文攻击，比如抗洪泛攻击1和抗洪泛攻击2的同时，还能保障业务的连续性和实时性。此外，图4所示的方法应用到抗报文攻击仅为一种示例，其还可以应用到更多场景，比如根据安全级别限制访问、根据服务质量的优先级限制访问等等。

可选地，结合上述实施例，在一种可能的应用场景中，第二网络设备根据第二验证信息，确定第三验证信息具体可以是：第二网络设备判断安全信息中是否包括上述第一网络设备的标识，如果第二网络设备确定安全信息中包括上述第一网络设备的标识，则根据第二验证信息，确定第三验证信息。反之，第二网络设备确定安全信息中不包括第一网络设备的标识，第二网络设备可以丢弃第二报文，而无需执行上述验证流程。

可以看出，第二报文携带该第一网络设备的标识，表示该第二报文是来自可信设备，比如是来自第一网络设备的可信报文。如果第二报文中不包括该第一网络设备的标识，则表示第二报文是不可信的报文，那么第二网络设备可以不再验证该第二报文，而向高防清洗中心发送第二报文。如此，一方面，可以节约第二网络设备的处理资源，提高第二网络设备的运行效率；另一方面，由于第二报文是不可信的报文，但不表示第二报文就是攻击报文，第二报文也可能是来自于互联网的常规数据报文，因此，第二网络设备将第二报文发往高防清洗中心，可以确保在第二报文是常规数据报文时，其仍能够正常访问第三设备，以保障业务的可靠性和稳定性。但是，第二报文在携带该第一网络设备的标识的基础上仍未通过验证，说明该第二报文可能是被篡改或者伪造的攻击报文，第二网络设备可以丢弃该第二报文，不再发往高防清洗中心，以节约高防清洗中心的处理资源。

需要指出，第二网络设备在确定第二报文携带该第一网络设备的标识且未通过验证的基础上，丢弃该第二报文仅为一种示例，不作为限定，此时，第二网络设备仍可以向高防清洗中心发送第二报文。

可选地，结合上述实施例，在一可能的应用场景中，上述第二验证信息还可以包括如下一项或多项：第一指示信息、第二网络设备的标识、验证算法的标识、防重放信息、或第三设备的内部可达地址。

上述第一指示信息可以用于指示安全信息的类型，比如指示安全信息为抗洪泛攻击1和/或抗洪泛攻击2的信息，例如Anti-DDoS信息，或者还可以用于指示第二报文的类型，比如指示第二报文是真实无伪造的报文或者非攻击报文。此外，由于本申请实施例中的安全信息并不仅仅用于抗洪泛攻击1和/或抗洪泛攻击2，其还可以用于根据安全级别限制访问、根据服务质量的优先级限制访问等等，第一指示信息还可以用于指示如下一项或多项：终端的安全级别、报文发送者的可信程度，比如终端或者第一网络设备的可信程度、第二报文的健康程度、或者服务质量的优先级等等，本申请对此不做任何限定。

上述第二网络设备的标识用于指示上述第二报文需要由对应的第二网络设备进行处理，可以是该第二网络设备的安全功能执行者匹配标识(MatchID)，也可以是其他任何可能的标识。其中，作为一种示例，第二网络设备可以有多个，每个第二网络设备都可以有各自对应的标识，这些标识可以相同，或者也可以不同，用以区分各第二网络设备，例如，假设多个第二网络设备包括第二网络设备1、第二网络设备2和第二网络设备3，多个第二网络设备各自对应的标识可以是第二网络设备1{MatchID1}、第二网络设备2{MatchID2}、第二网络设备3{MatchID3}。对于一个第二网络设备，该第二网络设备接收到第二报文后，可以判断该第二网络设备的标识与该第二报文中携带的第二网络设备的标识是否相同。如果该第二网络设备的标识与该第二报文中携带的第二网络设备的标识相同，则该第二网络设备处理该第二报文，即执行上述S403的验证流程，请参考上述S403理解，不再赘述。如果该第二网络设备的标识与该第二报文中携带的第二网络设备的标识不同，则该第二网络设备可以向其他第二网络设备转发该第二报文，直至转发至标识相同的第二网络设备。例如，继续上述假设，第二报文中携带MatchID3，第二网络设备1接收到该第二报文后，确定第二报文中携带的MatchID3与第二网络设备1自身的标识不同，根据路由表向第二网络设备2转发该第二报文。第二网络设备2接收到该第二报文后，也确定第二报文中携带的MatchID3与第二网络设备2自身的标识不同，从而根据路由表向第二网络设备3转发该第二报文。这样，第二网络设备3可以确定第二报文中携带的MatchID3与第二网络设备3自身的标识相同，从而验证该第二报文。可以看出，第二网络设备的标识可实现将第二报文发往指定的第二网络设备进行验证，即由第一网络设备提前确定不同的流量由不同的第二网络设备验证，避免将大量流量发往同一个第二网络设备进行验证，以实现多个第二网络设备的负载均衡。当然，通过第二网络设备的标识实现负载均衡仅为一种示例，不作为限定，例如，也可以通过配置第一网络设备与第二网络设备之间的指定链路实现负载均衡。

上述验证算法的标识用于指示该第二报文需要使用对应的验证算法进行验证，可以是该验证算法的密码套件标识(CipherSuitID)。第二网络设备在本地配置有多种验证算法，以及还配置有每种验证算法与该验证算法的标识的对应关系。这样，第二网络设备可以根据安全信息中该验证算法的标识以及该对应关系，从多种验证算法中确定出用于生成上述第二密钥所需的验证算法，以避免因为使用错误的验证算法生成错误的密钥而导致对上述安全信息的验证失败，从而可以提高验证的可靠性。

上述防重放信息可以用于第二网络设备生成第三密钥，还可以用于防止重放攻击，例如第二网络设备可以通过防重放信息判断第二报文是一个重放报文还是新报文。上述第三设备的内部可达地址可以用于第二网络设备生成第三报文，具体实现可以参考上述S403中的相关介绍，在此不再赘述。

在第二验证信息包括如下一项或多项信息：第一指示信息、第二网络设备的标识、验证算法的标识、防重放信息、或第三设备的内部可达地址的基础上，如果第二报文是IPv4报文，则第二验证信息包括的这些信息可以携带在同一信元、不同信元、或者作为独立信元携带在IPv4报文中。比如，如图8和图9所示，第三设备的内部可达地址作为独立信元，携带在SecTag头部与内层IP头部之间，或者也可以携带在其他任何可能的位置。防重放信息可以携带在SecTag头部中的PN信元中，或者也可以携带在其他任何可能的信元。第二验证信息中除第三设备的内部可达地址和防重放信息外的其他信息可以携带在SecTag头部中的SCI信元中，或者也可以携带在其他任何可能的信元。或者，如果第二报文是IPv6报文，则第二验证信息包括的这些信息可以携带在同一信元、不同信元、或者作为独立信元携带在IPv6报文中，具体实现可以参考上述IPv6报文的相关介绍，在此不再赘述。

在此基础上，上述第二指示信息还可以用于指示安全信息是否包括第二验证信息的如下一项或多项信息：第一指示信息、第二网络设备的标识、验证算法的标识、防重放信息、或第三设备的内部可达地址；以及，第二指示信息还可以用于指示这些信息在第二报文中的位置和/或长度，具体实现可以参考上述402中的相关介绍，在此不再赘述。当然，如果第二指示信息没有指示安全信息是否包括这些信息，那么安全信息是否包括这些信息可以是第一网络设备和第二网络设备事先约定的，或者是协议预定义的。同理，如果第二指示信息没有指示这些信息在第二报文中的位置和/或长度，那么这些信息在第二报文中的位置和长度可以是第一网络设备和第二网络设备事先约定的，或者是协议预定义的。

可以看出，第二验证信息中携带上述的一项或多项信息，比如防重放信息、或第三设备的内部可达地址等信息，主要用于第二网络设备的验证以及转发使用，即第二网络设备可以使用这些信息，对安全信息进行验证，并使用这些信息转发第三报文。这种情况下，通过随包携带这些信息，使得第二网络设备无需在本地动态维护这些信息，从而可以节约第二网络设备的处理资源，提高第二网络设备的资源利用率和运行效率。

此外，第二验证信息包括上述一项或多项信息仅为一种示例，并不作为限定，第二验证信息还可以包括其他任何可能的信息，比如还包括如下一项或多项信息：第一域的标识，以及终端的标识，第一域可以为第一网络设备或者其他任何可能的网络设备管理的网络区域。

可选地，结合上述实施例，在一种可能的应用场景中，第一网络设备还可以接收来自网络控制器的第一配置信息。其中，该第一配置信息可以承载在如下一项或多项消息中：超文本传输安全协议(hypertext transfer protocol secure，HTTPS)消息、网络配置协议(network configuration protocol，NETCONF)消息、表征状态转移配置协议(representational state transfer configuration protocol，RESTCONF)消息、或表征状态转移(restful)消息。该第一配置信息可以包括如下一项或多项：第三设备的公开地址、第一验证信息、验证算法、验证算法的标识、第一密钥、防重放信息、第一网络设备的标识、密钥密文、第二网络设备的标识、第三设备的内部可达地址、第一指示信息、或第二指示信息。

一种可能的设计中，在第一配置信息中包括第一验证信息的情况下，即网络控制器可以直接向第一网络设备配置第一验证信息，第一网络设备无需自行确定第一验证信息。这种情况下，第一配置信息中可以不包括用于第一网络设备确定第一验证信息的相关信息，比如第一密钥、防重放信息、验证算法、验证算法的标识等信息，以节约资源，降低通信开销。当然，在第一配置信息中包括第一验证信息的情况下，第一配置信息不包括这些相关信息仅为一种示例，第一配置信息也可以包括这些相关信息，本申请对此不做任何限定。又一种可能的设计中，在第一配置信息中不包括第一验证信息的情况下，第一配置信息中可以包括这些相关信息，以便第一网络设备能够根据这些相关信息自行确定第一验证信息。另一种可能的设计中，在如下一项或多项信息：第一指示信息、第二网络设备的标识、验证算法的标识、防重放信息、或第三设备的内部可达地址需要随包携带的情况下，比如携带在第二报文的上述第二验证信息中，第一配置信息中可以包括这些信息；但是，在这些信息不需要随包携带的情况下，第一配置信息中可以包括或者也可以不包括这些信息，本申请对此不做任何限定。再一种可能的设计中，在第一网络设备本地预先配置有验证算法的情况下，第一配置信息中可以不包括该验证算法，但包括该验证算法的标识，用以通过验证算法的标识指示第一网络设备使用该验证算法的标识对应的验证算法；或者，这种情况下，第一配置信息中仍可以包括该验证算法，本申请对此不做任何限定。此外，在第一网络设备本地预先没有配置验证算法的情况下，第一配置信息中可以包括该验证算法，但不包括该验证算法的标识，用以通过验证算法直接指示第一网络设备需要使用该验证算法；或者，这种情况下，第一配置信息仍可以包括该验证算法的标识，本申请对此不做任何限定。

可以看出，网络控制器通过向第一网络设备配置第一配置信息，使得第一网络设备可以根据该第一配置信息在第一报文内封装安全信息，得到第二报文。这样，第二网络设备根据第二报文内封装的安全信息便可以确定第二报文是否攻击报文，无需对第二报文进行深层解析，在实现抗报文攻击的同时，还能保障业务的连续性和实时性。

可选地，结合上述实施例在一种可能的应用场景中，第二网络设备还可以接收来自网络控制器的第二配置信息。该第二配置信息可以承载在如下一项或多项消息中：HTTPS消息、NETCONF消息、RESTCONF消息、或restful消息中，第二配置信息包括如下一项或多项：第三设备的内部可达地址、第二网络设备的标识、第一网络设备的标识、或第三密钥，第三密钥用于解密密钥密文得到第二密钥。

一种可能的设计中，在第三设备的内部可达地址和/或第二网络设备的标识随包携带的基础上，比如携带在第二报文的上述第二验证信息中，第二配置信息中可以不包括该第三设备的内部可达地址和/或第二网络设备的标识，以节约通信开销，降低第二网络设备的信息维护量，提高第二网络设备的运行效率。或者，在第三设备的内部可达地址和/或第二网络设备的标识随包携带的基础上，第二配置信息仍可以包括该第三设备的内部可达地址和/或第二网络设备的标识，本申请对此不做任何限定。另一种可能的设计中，如果第二网络设备需要使采用上述方式21获得第二密钥，则第二配置信息中包括第三密钥，且可以不包括第一网络设备的标识，以节约通信开销，提高通信效率。或者，在第二网络设备需要使采用上述方式21获得第二密钥的基础上，第二配置信息中仍可以包括第一网络设备的标识，本申请对此不做任何限定。如果第二网络设备需要使采用上述方式22获得第二密钥，则第二配置信息中包括第一网络设备的标识，且可以不包括第三密钥，以节约通信开销，提高通信效率。或者，在第二网络设备需要使采用上述方式22获得第二密钥的基础上，第二配置信息中仍可以包括第三密钥，本申请对此不做任何限定。

可以看出，网络控制器通过向第二网络设备配置第二配置信息，使得第二网络设备可以根据该第二配置信息对第二报文进行验证，以确定第二报文是否攻击报文，无需对第二报文进行深层解析，在实现抗报文攻击的同时，还能保障业务的连续性和实时性。

以上结合图4介绍了本申请实施例提供的通信方法的整体流程，以下结合图10详细说明图4所示的通信方法在具体应用场景下的流程。如图10所示的应用场景包括：NCE、DNS、高防清洗中心、客户端(比如客户端1和客户端2)、CPE(比如CPE1和CEP2)、云入口设备(比如云入口设备1、云入口设备2、云入口设备3和云入口设备4)、以及云服务(比如云服务1、云服务2和云服务3)。其中，上述终端可以为客户端，上述第一网络设备可以为CPE，上述第二网络设备可以为云入口设备，上述第三设备为云服务。为便于理解，下面以客户端1、CEP1、云入口设备1以及云服务1为例进行介绍。

其中，NCE可以向DNS下发云服务1的公开地址与云服务1的域名的对应关系。NCE可以向CPE1下发对应的第一配置信息，该第一配置信息可以包括云服务1的公开地址、云服务1的内部可达地址、第一验证信息、验证算法、验证算法的标识、防重放信息、第一密钥、密钥密文、CPE1的标识、云入口设备1的标识、第一指示信息、以及第二指示信息中的一种或多种。NCE可以向云入口设备1下发对应的第二配置信息，该第二配置信息可以包括云服务1的内部可达地址、云入口设备1的标识、CPE1的标识、以及第三密钥。

客户端1可以根据云服务1的域名访问DNS，从而获取云服务1的公开地址。客户端1可以将云服务1的公开地址封装到待发送报文的目的地址中，得到报文A。客户端1可以遍历本地的路由表，向CPE1发送该报文A。

CPE1确定报文A的目的地址与本地配置的地址相同，即都是云服务1的公开地址，在报文A中封装安全信息，得到报文B。其中，该安全信息可以包括上述第一验证信息和第二验证信息，该第二验证信息可以包括验证算法的标识、防重放信息、密钥密文、第一指示信息、第二指示信息、CPE1的标识、云入口设备1的标识、以及云服务1的内部可达地址。CPE1可以遍历本地的路由表，向云入口设备1发送该报文B。

云入口设备1从报文B中提取出安全信息，确定安全信息中云入口设备的标识与本地配置的标识相同，即都是云入口设备1的标识。如果云入口设备1确定安全信息中云入口设备的标识与本地配置的标识不同，比如安全信息中包括云入口设备2的标识，则云入口设备1向云入口设备2转发该报文B。仍以云入口设备1为例，云入口设备1进一步确定安全信息中的标识与本地配置的标识相同，即都是CPE1的标识。之后，云入口设备1使用本地配置的第三密钥解密安全信息中的密钥密文，获得第二密钥。云入口设备1使用安全信息中验证算法的标识对应的验证算法，对安全信息中的防重放信息以及该第二密钥加密，得到第三验证信息。最后，云入口设备1确定该第三验证信息与安全信息中的第一验证信息相同，从而剥除报文B中的安全信息，将报文B中的目的地址更新为安全信息中云服务1的内部可达地址，得到报文C，并向云服务1发送该报文C。

需要指出，对于来自互联网直接访问云服务1的数据报文，该数据报文通常没有封装安全信息，也没有携带标识。此时，云入口设备1无法确定该数据报文是正常报文还是攻击报文，因此可以向高防清洗中心转发该数据报文。如果高防清洗中心通过深层解析确定该数据报文是攻击报文，则丢弃该数据报文。如果高防清洗中心通过深层解析确定该数据报文是正常报文，则向云入口设备1转发该数据报文，以便云入口设备1将该数据报文中的目的地址更新为云服务1的内部可达地址，然后向云服务1发送该数据报文，确保在该数据报文是正常报文的情况下，该数据报文最终仍能够被发往云服务1。但是，如果某些攻击报文伪造或者篡改了上述报文中的安全信息，比如伪造或者篡改上述密钥密文、防重放信息等，则云入口设备1通过校验，可以确定安全信息中的标识与本地配置的标识不同，或者确定第三验证信息与安全信息中的第一验证信息不同，则确定该报文为攻击报文，从而丢弃该报文。

以上结合图4-图10详细说明了本申请实施例提供的通信方法。以下结合图11-图13详细说明用于执行本申请实施例提供的通信方法的通信装置。

示例性地，图11是本申请实施例提供的通信装置的结构示意图一。通信装置1100可以包括：执行上述的方法/操作/步骤/动作所对应的模块或单元，该模块或单元可以是硬件电路，也可是软件，也可以是硬件电路结合软件实现。比如，如图11所示，通信装置1100包括：收发模块1101和处理模块1102。为了便于说明，图11仅示出了该通信装置的主要部件。

一些实施例中，该通信装置1100可适用于图3中所示出的通信系统中，执行图4中所示出的方法中第一网络设备的功能。

其中，收发模块1101，用于接收来自终端的第一报文。处理模块1102，用于获取第二报文。收发模块1101，用于向第二网络设备发送第二报文。第二报文为通过在第一报文内封装安全信息得到的报文，该安全信息用于指示第二报文为经由该通信装置确定的可信报文。

一种可能的设计方案中，安全信息可以包括第一验证信息，第一验证信息用于指示第二报文为经由通信装置1100确定的可信报文。

可选地，安全信息还可以包括第二验证信息，第二验证信息可以包括如下一项或多项：验证算法的标识、防重放信息、通信装置1100的标识、密钥密文、第二网络设备的标识、第三设备的内部可达地址、或第一指示信息，第三设备为第二网络设备的下游设备，第一指示信息用于指示安全信息的类型。

可选地，第二验证信息还可以包括第二指示信息，第二指示信息用于指示安全信息是否包括如下一项或多项：验证算法的标识、防重放信息、通信装置1100的标识、或密钥密文。

可选地，第二验证信息还可以包括第二指示信息，第二指示信息用于指示如下一项或多项在第二报文中的位置和/或长度：第一验证信息、验证算法的标识、防重放信息、通信装置1100的标识、或密钥密文。

可选地，收发模块1101，还用于在向第二网络设备发送第二报文之前，接收来自网络控制器的第一配置信息。其中，该第一配置信息可以包括如下一项或多项：第三设备的公开地址、第一验证信息、验证算法、验证算法的标识、防重放信息、第一密钥、防重放信息、通信装置1100的标识、密钥密文、第二网络设备的标识、第三设备的内部可达地址、第一指示信息、或第二指示信息，验证算法、防重放信息和第一密钥用于确定第一验证信息。

一种可能的设计方案中，通信装置1100为如下任一项：路由器、网关、或交换机，第二网络设备为路由器。

可选地，收发模块1101也可以包括发送模块和接收模块(图11中未示出)。其中，发送模块用于实现通信装置1100的发送功能，接收模块用于实现通信装置1100的接收功能。

可选地，通信装置1100还可以包括存储模块(图11中未示出)，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得通信装置1100可以执行图4所示出的方法中第一网络设备的功能。

应理解，通信装置1100中涉及的处理模块可以由处理器或处理器相关电路组件实现，可以为处理器或处理单元；收发模块可以由收发器或收发器相关电路组件实现，可以为收发器或收发单元。

需要说明的是，该通信装置1100可以用于上述第一网络设备，该通信装置1100可以是路由器、网关或交换机，也可以是路由器、网关或交换机中的装置(例如，芯片，或者芯片系统，或者电路)，或者是能够和路由器、网关或交换机匹配使用的装置。

此外，通信装置1100的技术效果可以参考图4所示出的方法中对应的技术效果，此处不再赘述。

另一些实施例中，该通信装置1100可适用于图3中所示出的通信系统中，执行图4中所示出的方法中第二网络设备的功能。

其中，收发模块1101，用于接收来自第一网络设备的第二报文。处理模块1102，用于验证第二报文。第二报文内封装有安全信息，安全信息用于指示第二报文为经由第一网络设备确定的可信报文。

一种可能的设计方案中，安全信息可以包括第一验证信息，第一验证信息用于指示第二报文为经由第一网络设备确定的可信报文。

可选地，安全信息还可以包括第二验证信息，第二验证信息可以包括如下一项或多项：验证算法的标识、防重放信息、第一网络设备的标识、密钥密文、通信装置1100的标识、第三设备的内部可达地址、或第一指示信息，第一指示信息用于指示安全信息的类型。

可选地，处理模块1102，还用于根据第二验证信息，确定第三验证信息，从而根据第一验证信息和第三验证信息，验证第二报文。

进一步地，若第一验证信息与第三验证信息相同，则处理模块1102，还用于将第二报文的目的地址更新为第三设备的内部可达地址，得到第三报文，并控制收发模块1101向第三设备发送第三报文。或者，若第一验证信息与第三验证信息不同，则处理模块1102，还用于丢弃第二报文。

进一步地，处理模块1102，还用于根据密钥密文或第一网络设备的标识确定第二密钥，从而根据验证算法、防重放信息和第二密钥，确定第三验证信息。

可选地，处理模块1102，还用于在根据第二验证信息，确定第三验证信息之前，确定安全信息中包括第一网络设备的标识。或者，处理模块1102，还用于确定安全信息中不包括第一网络设备的标识，处理模块1102丢弃第二报文，或者控制收发模块1101向高防清洗中心发送第二报文。

一种可能的设计方案中，收发模块1101，还用于在处理模块1102验证第二报文之前，接收来自网络控制器的第二配置信息。第二配置信息包括如下一项或多项：第三设备的内部可达地址、通信装置1100的标识、第一网络设备的标识、或第三密钥，第三密钥用于解密密钥密文得到第二密钥。

一种可能的设计方案中，第一网络设备为如下任一项：路由器、网关、或交换机，通信装置1100为路由器。

可选地，通信装置1100还可以包括存储模块(图11中未示出)，该存储模块存储有程序或指令。当处理模块执行该程序或指令时，使得通信装置1100可以执行图4所示出的方法中第二网络设备的功能。

需要说明的是，该通信装置1100可以用于上述的第二网络设备，该通信装置1100可以是路由器，也可以是路由器中的装置(例如，芯片，或者芯片系统，或者电路)，或者是能够和路由器匹配使用的装置。

示例性地，图12为本申请实施例提供的通信装置的结构示意图三。该通信装置可以是终端设备或网络设备，也可以是可设置于终端设备或网络设备的芯片(系统)或其他部件或组件。如图12所示，通信装置1200可以包括处理器1201。可选地，通信装置1200还可以包括存储器1202和/或收发器1203。其中，处理器1201与存储器1202和收发器1203耦合，如可以通过通信总线连接。

下面结合图12对通信装置1200的各个构成部件进行具体的介绍：

其中，处理器1201是通信装置1200的控制中心，可以是一个处理器，也可以是多个处理元件的统称，或者也可以称为逻辑电路。例如，处理器1201是一个或多个中央处理器(central processing unit，CPU)，也可以是特定集成电路(application specific integrated circuit，ASIC)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digital signal processor，DSP)，或，一个或者多个现场可编程门阵列(field programmable gate array，FPGA)。

可选地，处理器1201可以通过运行或执行存储在存储器1202内的软件程序，以及调用存储在存储器1202内的数据，执行通信装置1200的各种功能。

在具体的实现中，作为一种实施例，处理器1201可以包括一个或多个CPU，例如图12中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，通信装置1200也可以包括多个处理器，例如图2中所示的处理器1201和处理器1204。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

其中，存储器1202用于存储执行本申请方案的软件程序，并由处理器1201来控制，使得上述图4所示的方法被执行。

可选地，存储器1202可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器1202可以和处理器1201集成在一起，也可以独立存在，并通过通信装置1200的接口电路，或者说输入输出接口(图12中未示出)与处理器1201耦合，本申请实施例对此不作具体限定。

收发器1203，用于与其他通信装置之间的通信。例如，通信装置1200为终端，收发器1203可以用于与网络设备通信，或者与另一个终端设备通信。又例如，通信装置1200为网络设备，收发器1203可以用于与终端通信，或者与另一个网络设备通信。

可选地，收发器1203可以包括接收器和发送器(图12中未单独示出)。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器1203可以和处理器1201集成在一起，也可以独立存在，并通过通信装置1200的接口电路(图12中未示出)与处理器1201耦合，本申请实施例对此不作具体限定。

一种可能的实现中，该通信装置1200还可以包括输入输出接口和逻辑电路(图12中未示出)

一方面，该通信装置1200可以适用于上述方法实施例中的网络设备，例如第一网络设备，或者可设置于该网络设备中的芯片(系统)或其他部件或组件，或者包含该网络设备的装置。输入输出接口，用于接收来自终端的第一报文。逻辑电路，用于获取第二报文。输入输出接口，还用于向第二网络设备发送第二报文。第二报文为通过在第一报文内封装安全信息得到的报文，安全信息用于指示第二报文为经由通信装置确定的可信报文。

或者，另一方面，该通信装置1200可以适用于上述方法实施例中的网络设备，例如第二网络设备，或者可设置于该网络设备中的芯片(系统)或其他部件或组件，或者包含该网络设备的装置。输入输出接口，用于接收来自第一网络设备的第二报文。逻辑电路，用于验证第二报文。第二报文内封装有安全信息，安全信息用于指示第二报文为经由第一网络设备确定的可信报文。

需要说明的是，图12中示出的通信装置1200的结构并不构成对该通信装置的限定，实际的通信装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，通信装置1200的技术效果可以参考上述方法实施例的技术效果，此处不再赘述。

参见图13，图13为本申请提供的通信装置1300的结构示意图四，该通信装置1300可以配置为图3所示的通信系统中的第一网络设备或者第二网络设备。通信装置1300包括：主控板1310和接口板1330。

主控板1310也称为主处理单元(main processing unit，MPU)或路由处理卡(route processor card)，主控板1310用于对通信装置1300中各个组件的控制和管理，包括路由计算、设备管理、设备维护、协议处理功能。主控板1310包括：中央处理器1313和存储器1313。

接口板1330也称为线路接口单元卡(line processing unit，LPU)、线卡(line card)或业务板。接口板1330用于提供各种业务接口并实现数据包的转发。业务接口包括而不限于以太网接口、POS(packet over SONET/SDH)接口等，以太网接口例如是灵活以太网业务接口(flexible ethernet clients，FlexE Clients)。接口板1330包括：中央处理器1331、网络处理器1332、转发表项存储器1334和物理接口卡(ph8sical interface card，PIC)1333。

接口板1330上的中央处理器1331用于对接口板1330进行控制管理并与主控板1310上的中央处理器1313进行通信。

网络处理器1332用于实现报文的转发处理。网络处理器1332的形态可以是转发芯片。具体而言，网络处理器1332用于基于转发表项存储器1334保存的转发表，例如上述第一报文或第二报文对应的转发表，转发接收到的报文，例如转发该第一报文或第二报文。其中，如果报文的目的地址为通信装置1300的地址，则将该报文上送至CPU(如中央处理器1313)处理；如果报文的目的地址不是通信装置1300的地址，则根据该目的地址从转发表中查找到该目的地址对应的下一跳和出接口，将该报文转发到该目的地址对应的出接口，从而向对应的下一跳转发该报文，例如向第二设备发送第二报文，或者向第三设备发送第三报文。其中，上行报文的处理包括：报文入接口的处理，转发表查找；下行报文的处理：转发表查找等等。

物理接口卡1333用于实现物理层的对接功能，原始的流量由此进入接口板1330，以及处理后的报文从该物理接口卡1333发出。物理接口卡1333也称为子卡，可安装在接口板1330上，负责将光电信号转换为报文并对报文进行合法性检查后转发给网络处理器1332处理。在一些实施例中，中央处理器也可执行网络处理器1332的功能，比如基于通用CPU实现软件转发，从而物理接口卡1333中不需要网络处理器1332。

可选地，通信装置1300包括多个接口板，例如通信装置1300还包括接口板1340，接口板1340包括：中央处理器1341、网络处理器1342、转发表项存储器1344和物理接口卡1343。

可选地，通信装置1300还包括交换网板1320。交换网板1320也可以称为交换网板单元(switch fabric unit，SFU)。在通信装置1300有多个接口板1330的情况下，交换网板1320用于完成各接口板之间的数据交换。例如，接口板1330和接口板1340之间可以通过交换网板1320通信。

主控板1310和接口板1330耦合。例如。主控板1310、接口板1330和接口板1340，以及交换网板1320之间通过系统总线与系统背板相连实现互通。在一种可能的实现方式中，主控板1310和接口板1330之间建立进程间通信协议(inter-process communication，IPC)通道，主控板1310和接口板130之间通过IPC通道进行通信。

在逻辑上，通信装置1300包括控制面和转发面，控制面包括主控板1310和中央处理器1331，转发面包括执行转发的各个组件，比如转发表项存储器1334、物理接口卡1333和网络处理器1332。控制面执行路由器、生成转发表、处理信令和协议报文、配置与维护设备的状态等功能，控制面将生成的转发表下发给转发面，在转发面，网络处理器1332基于控制面下发的转发表对物理接口卡1333收到的报文查表转发。控制面下发的转发表可以保存在转发表项存储器1334中。在有些实施例中，控制面和转发面可以完全分离，不在同一设备上。

如果通信装置1300被配置为第一网络设备，物理接口卡1333接收来自终端的第一报文，发送给网络处理器1332，网络处理器1332在第一报文中封装安全信息，得到第二报文，并通过物理接口卡1333向第二网络设备发送第二报文。

如果通信装置1300被配置为第二网络设备，物理接口卡1333接收来自第一网络设备的第二报文，发送给网络处理器1332，网络处理器1332验证第二报文通过后，可以剥除第二报文中携带的安全信息，在第二报文内封装第三设备的内部可达地址，得到第三报文，并通过物理接口卡1333向第二设备发送第三报文。

本申请实施例中接口板1340上的操作与接口板1330的操作一致，为了简洁，不再赘述。本实施例的通信装置1300可对应于上述各个方法实施例中的第一网络设备，该通信装置1300中的主控板1310、接口板1330和/或1340可以实现上述各个方法实施例中的第一网络设备或者第二网络设备所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

值得说明的是，主控板可能有一块或多块，有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块，网络设备的数据处理能力越强，提供的接口板越多。接口板上的物理接口卡也可以有一块或多块。交换网板可能没有，也可能有一块或多块，有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下，网络设备可以不需要交换网板，接口板承担整个系统的业务数据的处理功能。在分布式转发架构下，网络设备可以有至少一块交换网板，通过交换网板实现多块接口板之间的数据交换，提供大容量的数据交换和处理能力。所以，分布式架构的网络设备的数据接入和处理能力要大于集中式架构的设备。可选地，网络设备的形态也可以是只有一块板卡，即没有交换网板，接口板和主控板的功能集成在该一块板卡上，此时接口板上的中央处理器和主控板上的中央处理器在该一块板卡上可以合并为一个中央处理器，执行两者叠加后的功能，这种形态设备的数据交换和处理能力较低(例如，低端交换机或路由器等网络设备)。具体采用哪种架构，取决于具体的组网部署场景，此处不做任何限定。

在一些可能的实施例中，上述第一网络设备或第二网络设备可以实现为虚拟化设备。以第一网络设备为例，例如，虚拟化设备可以是运行有用于发送报文功能的程序的虚拟机(virtual machine，VM)，虚拟机部署在硬件设备上(例如，物理服务器)。虚拟机指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。可以将虚拟机配置为第一网络设备。例如，可以基于通用的物理服务器结合网络功能虚拟化(network functions virtualization，NFV)技术来实现第一网络设备。第一网络设备为虚拟主机、虚拟路由器或虚拟交换机。本领域技术人员通过阅读本申请即可结合NFV技术在通用物理服务器上虚拟出具有上述功能的第一网络设备。此处不再赘述。

例如，虚拟化设备可以是容器，容器是一种用于提供隔离的虚拟化环境的实体，例如，容器可以是docker容器。可以将容器配置为第一网络设备。例如，可以通过对应的镜像来创建出第一网络设备，例如可以通过提供代理服务的容器(proxy-container)的镜像，为proxy-container创建1个容器实例，比如为容器实例proxy-container1，将容器实例proxy-container1提供为第一网络设备。采用容器技术实现时，第一网络设备可以利用物理机的内核运行，多个第一网络设备可以共享物理机的操作系统。通过容器技术可以将不同的第一网络设备隔离开来。容器化的第一网络设备可以在虚拟化的环境中运行，例如可以在虚拟机中运行，容器化的第一网络设备也可以直接在物理机中运行。

例如，虚拟化设备可以是Pod，Pod是一种容器编排引擎(kubernetes，K8s)为部署、管理、编排容器化应用的基本单位。Pod可以包括一个或多个容器。同一个Pod中的每个容器通常部署在同一主机上，因此同一个Pod中的每个容器可以通过该主机进行通信，并且可以共享该主机的存储资源和网络资源。可以将Pod配置为第一网络设备。例如，具体地，可以指令容器即服务(container as a service，CaaS)来创建Pod，将Pod提供为路由管理设备。

当然，第一网络设备还可以是其他虚拟化设备，在此不做一一列举。

在一些可能的实施例中，上述第一网络设备也可以由通用处理器来实现。例如，该通用处理器的形态可以是一种芯片。具体地，实现第一网络设备的通用处理器包括处理电路和与该处理电路内部连接通信的输入接口以及输出接口，该处理电路用于通过输入接口执行上述各个方法实施例中的报文的生成步骤，该处理电路用于通过输入接口执行上述各个方法实施例中的接收步骤，该处理电路用于通过输出接口执行上述各个方法实施例中的发送步骤。可选地，该通用处理器还可以包括存储介质，该处理电路用于通过存储介质执行上述各个方法实施例中的存储步骤。存储介质可以存储处理电路执行的指令，该处理电路用于执行存储介质存储的指令以执行上述各个方法实施例。

本申请实施例提供一种通信系统。该通信系统包括上述一个或多个终端，以及一个或多个网络设备。本申请还提供一种通信系统，该通信系统可包括以上第一网络设备和第二网络设备。该通信系统可用于实现上述方法实施例、方法实施例的任意一种可能的实现方式中由第一网络设备和第二网络设备执行的操作。示例性的，该通信系统可具有如图3所示结构。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序或指令，所述计算机程序或指令被计算机(例如，处理器)执行，以实现本申请实施例中由任意装置执行的任意一种方法的部分或全部步骤。

本申请实施例提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述方法实施例中的方法。

上述各种产品形态的装置，分别具有上述方法实施例中第一网络设备的任意功能，此处不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例中描述的各方法步骤和单元，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各实施例的步骤及组成。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参见前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，该单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

该作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本申请的技术方案本质上，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例中方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上描述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机程序指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例中的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机程序指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，DVD)、或者半导体介质(例如固态硬盘)等。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上描述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种通信方法，其特征在于，所述方法包括：

第一网络设备接收来自终端的第一报文；

所述第一网络设备向第二网络设备发送第二报文，所述第二报文为通过在所述第一报文内封装安全信息得到的报文，所述安全信息用于指示所述第二报文为经由所述第一网络设备确定的可信报文。
根据权利要求1所述的方法，其特征在于，所述安全信息包括第一验证信息，所述第一验证信息用于指示所述第二报文为经由所述第一网络设备确定的可信报文。
根据权利要求2所述的方法，其特征在于，所述安全信息还包括第二验证信息，所述第二验证信息包括如下一项或多项：验证算法的标识、防重放信息、所述第一网络设备的标识、密钥密文、所述第二网络设备的标识、第三设备的内部可达地址、或第一指示信息，所述第三设备为所述第二网络设备的下游设备，所述第一指示信息用于指示所述安全信息的类型。
根据权利要求3所述的方法，其特征在于，所述第二验证信息还包括第二指示信息，所述第二指示信息用于指示所述安全信息是否包括如下一项或多项：所述验证算法的标识、所述防重放信息、所述第一网络设备的标识、或所述密钥密文。
根据权利要求3或4所述的方法，其特征在于，所述第二验证信息还包括第二指示信息，所述第二指示信息用于指示如下一项或多项在所述第二报文中的位置和/或长度：所述第一验证信息、所述验证算法的标识、所述防重放信息、所述第一网络设备的标识、或所述密钥密文。
根据权利要求3-5中任一项所述的方法，其特征在于，所述第一验证信息在所述第二报文的头部或尾部，所述第二验证信息在所述第二报文的头部或尾部。
根据权利要求3-6中任一项所述的方法，其特征在于，所述第二报文为互联网协议第4版IPv4报文或互联网协议第6版IPv6报文，其中，所述第二报文为IPv4报文，所述第二验证信息位于IPv4报文的IPv4头部和载荷之间，或者所述第二报文为IPv6报文，所述第二验证信息位于IPv6报文的IPv6协议头部的扩展头中。
根据权利要求4或5所述的方法，其特征在于，在所述第一网络设备向第二网络设备发送第二报文之前，所述方法还包括：

所述第一网络设备接收来自网络控制器的第一配置信息，所述第一配置信息包括如下一项或多项：所述第三设备的公开地址、所述第一验证信息、所述验证算法、所述验证算法的标识、所述防重放信息、所述第一密钥、所述防重放信息、所述第一网络设备的标识、所述密钥密文、所述第二网络设备的标识、所述第三设备的内部可达地址、所述第一指示信息、或所述第二指示信息；其中，所述验证算法、所述防重放信息和所述第一密钥用于确定所述第一验证信息。
根据权利要求3-8中任一项所述的方法，其特征在于，所述第一报文和所述第二报文的目的地址为所述第三设备的公开地址，其中，所述第三设备的公开地址是指：所述地址指向所述第三设备，但不可达所述第三设备。
根据权利要求1-9中任一项所述的方法，其特征在于，所述第一网络设备为如下任一项：路由器、网关、或交换机，所述第二网络设备为路由器。
一种通信方法，其特征在于，所述方法包括：

第二网络设备接收来自第一网络设备的第二报文，所述第二报文内封装有安全信息，所述安全信息用于指示所述第二报文为经由所述第一网络设备确定的可信报文；

所述第二网络设备验证所述第二报文。
根据权利要求11所述的方法，其特征在于，所述安全信息包括第一验证信息，所述第一验证信息用于指示所述第二报文为经由所述第一网络设备确定的可信报文。
根据权利要求12所述的方法，其特征在于，所述安全信息还包括第二验证信息，所述第二验证信息包括如下一项或多项：验证算法的标识、防重放信息、所述第一网络设备的标识、密钥密文、所述第二网络设备的标识、所述第三设备的内部可达地址、或第一指示信息，所述第一指示信息用于指示所述安全信息的类型。
根据权利要求13所述的方法，其特征在于，所述第二验证信息还包括第二指示信息，所述第二指示信息用于指示所述安全信息是否包括如下一项或多项：所述验证算法的标识、所述防重放信息、所述第一网络设备的标识、或所述密钥密文。
根据权利要求13或14所述的方法，其特征在于，所述第二验证信息还包括第二指示信息，所述第二指示信息用于指示如下一项或多项在所述第二报文中的位置和/或长度：所述第一验证信息、所述验证算法的标识、所述防重放信息、所述第一网络设备的标识、或所述密钥密文。
根据权利要求13-15中任一项所述的方法，其特征在于，所述第一验证信息在所述第二报文的头部或尾部，所述第二验证信息在所述第二报文的头部或尾部。
根据权利要求13-16中任一项所述的方法，其特征在于，所述第二报文为互联网协议第4版IPv4报文或互联网协议第6版IPv6报文，其中，所述第二报文为IPv4报文，所述第二验证信息位于IPv4报文的IPv4头部和载荷之间，或者所述第二报文为IPv6报文，所述第二验证信息位于IPv6报文的IPv6协议头部的扩展头中。
根据权利要求13-17中任一项所述的方法，其特征在于，所述第二网络设备验证所述第二报文，包括：

所述第二网络设备根据所述第二验证信息，确定第三验证信息；

所述第二网络设备根据所述第一验证信息和所述第三验证信息，验证所述第二报文。
根据权利要求18所述的方法，其特征在于，所述第二网络设备根据所述第一验证信息和所述第三验证信息，验证所述第二报文，包括：

若所述第一验证信息与所述第三验证信息相同，则所述第二网络设备将所述第二报文的目的地址更新为所述第三设备的内部可达地址，得到第三报文，并向所述第三设备发送所述第三报文；或者，

若所述第一验证信息与所述第三验证信息不同，则所述第二网络设备丢弃所述第二报文。
根据权利要求18或19所述的方法，其特征在于，所述第二网络设备根据所述第二验证信息，确定第三验证信息，包括：

所述第二网络设备判断所述安全信息中是否包括所述第一网络设备的标识；

若所述第二网络设备确定所述安全信息中包括所述第一网络设备的标识，则根据所述第二验证信息，确定所述第三验证信息。
根据权利要求18-20中任一项所述的方法，其特征在于，所述第二网络设备根据所述第二验证信息，确定第三验证信息，包括：

所述第二网络设备根据所述密钥密文或所述第一网络设备的标识确定第二密钥；

所述第二网络设备根据所述验证算法、所述防重放信息和所述第二密钥，确定第三验证信息。
根据权利要求14-21中任一项所述的方法，其特征在于，在所述第二网络设备验证所述第二报文之前，所述方法还包括：

所述第二网络设备接收来自网络控制器的第二配置信息，所述第二配置信息包括如下一项或多项：所述第三设备的内部可达地址、所述第二网络设备的标识、所述第一网络设备的标识、或第三密钥，所述第三密钥用于解密所述密钥密文得到所述第二密钥。
根据权利要求11-22中任一项所述的方法，其特征在于，所述第一网络设备为如下任一项：路由器、网关、或交换机，所述第二网络设备为路由器。
一种通信装置，其特征在于，所述装置包括：收发模块和处理模块，其中，

所述收发模块，用于接收来自终端的第一报文；

所述处理模块，用于获取第二报文，所述第二报文为通过在所述第一报文内封装安全信息得到的报文，所述安全信息用于指示所述第二报文为经由所述通信装置确定的可信报文；

所述收发模块，用于向第二网络设备发送第二报文。
根据权利要求24所述的装置，其特征在于，所述安全信息包括第一验证信息，所述第一验证信息用于指示所述第二报文为经由所述通信装置确定的可信报文。
根据权利要求25所述的装置，其特征在于，所述安全信息还包括第二验证信息，所述第二验证信息包括如下一项或多项：验证算法的标识、防重放信息、所述通信装置的标识、密钥密文、所述第二网络设备的标识、第三设备的内部可达地址、或第一指示信息，所述第三设备为所述第二网络设备的下游设备，所述第一指示信息用于指示所述安全信息的类型。
根据权利要求26所述的装置，其特征在于，所述第二验证信息还包括第二指示信息，所述第二指示信息用于指示所述安全信息是否包括如下一项或多项：所述验证算法的标识、所述防重放信息、所述通信装置的标识、或所述密钥密文。
根据权利要求26或27所述的装置，其特征在于，所述第二验证信息还包括第二指示信息，所述第二指示信息用于指示如下一项或多项在所述第二报文中的位置：所述第一验证信息、所述验证算法的标识、所述防重放信息、所述通信装置的标识、或所述密钥密文。
根据权利要求26-28中任一项所述的装置，其特征在于，所述第一验证信息在所述第二报文的头部或尾部，所述第二验证信息在所述第二报文的头部或尾部。
根据权利要求26-29中任一项所述的装置，其特征在于，所述第二报文为互联网协议第4版IPv4报文或互联网协议第6版IPv6报文，其中，所述第二报文为IPv4报文，所述第二验证信息位于IPv4报文的IPv4头部和载荷之间，或者所述第二报文为IPv6报文，所述第二验证信息位于IPv6报文的IPv6协议头部的扩展头中。
根据权利要求28或29所述的装置，其特征在于，所述收发模块，还用于在所述收发模块向第二网络设备发送第二报文之前，接收来自网络控制器的第一配置信息，所述第一配置信息包括如下一项或多项：所述第三设备的公开地址、所述第一验证信息、所述验证算法、所述验证算法的标识、所述防重放信息、所述第一密钥、所述防重放信息、所述通信装置的标识、所述密钥密文、所述第二网络设备的标识、所述第三设备的内部可达地址、所述第一指示信息、或所述第二指示信息；其中，所述验证算法、所述防重放信息和所述第一密钥用于确定所述第一验证信息。
根据权利要求26-31中任一项所述的装置，其特征在于，所述第一报文和所述第二报文的目的地址为所述第三设备的公开地址，其中，所述第三设备的公开地址是指：所述地址指向所述第三设备，但不可达所述第三设备。
根据权利要求24-32中任一项所述的装置，其特征在于，所述第一网络设备为如下任一项：路由器、网关、或交换机，所述第二网络设备为路由器。
一种通信装置，其特征在于，所述装置包括：收发模块和处理模块，其中，

所述收发模块，用于接收来自第一网络设备的第二报文，所述第二报文内封装有安全信息，所述安全信息用于指示所述第二报文为经由所述第一网络设备确定的可信报文；

所述处理模块，用于验证所述第二报文。
根据权利要求34所述的装置，其特征在于，所述安全信息包括第一验证信息，所述第一验证信息用于指示所述第二报文为经由所述第一网络设备确定的可信报文。
根据权利要求35所述的装置，其特征在于，所述安全信息还包括第二验证信息，所述第二验证信息包括如下一项或多项：验证算法的标识、防重放信息、所述第一网络设备的标识、密钥密文、所述通信装置的标识、所述第三设备的内部可达地址、或第一指示信息，所述第一指示信息用于指示所述安全信息的类型。
根据权利要求36所述的装置，其特征在于，所述第二验证信息还包括第二指示信息，所述第二指示信息用于指示所述安全信息是否包括如下一项或多项：所述验证算法的标识、所述防重放信息、所述第一网络设备的标识、或所述密钥密文。
根据权利要求36或37所述的装置，其特征在于，所述第二验证信息还包括第二指示信息，以及所述第二指示信息用于指示如下一项或多项在所述第二报文中的位置和/或长度：所述第一验证信息、所述验证算法的标识、所述防重放信息、所述第一网络设备的标识、或所述密钥密文。
根据权利要求36-38中任一项所述的装置，其特征在于，所述第一验证信息在所述第二报文的头部或尾部，所述第二验证信息在所述第二报文的头部或尾部。
根据权利要求36-39中任一项所述的装置，其特征在于，所述第二报文为互联网协议第4版IPv4报文或互联网协议第6版IPv6报文，其中，所述第二报文为IPv4报文，所述第二验证信息位于IPv4报文的IPv4头部和载荷之间，或者所述第二报文为IPv6报文，所述第二验证信息位于IPv6报文的IPv6协议头部的扩展头中。
根据权利要求38或39所述的装置，其特征在于，所述处理模块，还用于根据所述第二验证信息，确定第三验证信息，并根据所述第一验证信息和所述第三验证信息，验证所述第二报文。
根据权利要求30所述的装置，其特征在于，若所述第一验证信息与所述第三验证信息相同，则所述处理模块，还用于将所述第二报文的目的地址更新为所述第三设备的内部可达地址，得到所述第三报文，并控制所述收发模块向所述第三设备发送所述第三报文；或者，若所述第一验证信息与所述第三验证信息不同，则所述处理模块丢弃所述第二报文。
根据权利要求41或42所述的装置，其特征在于，所述处理模块，还用于判断所述安全信息中是否包括所述第一网络设备的标识；若所述处理模块确定所述安全信息中包括所述第一网络设备的标识，则根据所述第二验证信息，确定所述第三验证信息。
根据权利要求41-43中任一项所述的装置，其特征在于，所述处理模块，还用于根据所述密钥密文或所述第一网络设备的标识确定第二密钥，并根据所述验证算法、所述防重放信息和所述第二密钥，确定第三验证信息。
根据权利要求34-44中任一项所述的装置，其特征在于，所述收发模块，还用于在所述处理模块验证所述第二报文之前，接收来自网络控制器的第二配置信息，所述第二配置信息包括如下一项或多项：所述第三设备的内部可达地址、所述通信装置的标识、所述第一网络设备的标识、或第三密钥，所述第三密钥用于解密所述密钥密文得到所述第二密钥。
根据权利要求34-45中任一项所述的装置，其特征在于，所述第一网络设备为如下任一项：路由器、网关、或交换机，所述第二网络设备为路由器。
一种通信装置，其特征在于，包括：与存储器耦合的处理器；所述存储器用于存储指令，所述处理器用于执行所述指令，以使所述通信装置执行如权利要求1-10中任一项所述的方法，或者执行如权利要求11-23中任一项所述的方法。
一种通信系统，其特征在于，包括：如权利要求1-10中任一项所述的方法中的第一网络设备，以及如权利要求11-23中任一项所述的方法中的第二网络设备。
一种计算机可读存储介质，其特征在于，包括：计算机程序；当该计算机程序在计算机上运行时，使得如权利要求1-23中任一项所述的方法被执行。
一种计算机程序产品，其特征在于，所述计算机程序产品包括：计算机程序，当所述计算机程序在计算机上运行时，使得如权利要求1-23中任一项所述的方法被执行。