传输报文的方法和电子设备与流程

1.本技术涉及通信领域，并且更具体地涉及通信领域中传输报文的方法和电子设备。


背景技术：

2.随着物联网(internet of things，iot)的发展，iot设备的增多，大部分iot设备的安全能力较低，容易受到攻击。为了避免iot设备受到攻击，需要购买专门的防火墙设备，而防火墙设备的成本较高。


技术实现要素：

3.本技术实施例提供了一种传输报文的方法和电子设备，以低成本的保障iot设备的安全。
4.第一方面，本技术提供了一种传输报文的方法，所述方法可由iot设备执行，iot设备可以是能够支持iot设备实现该方法所需的功能的装置，例如芯片系统。方法包括：iot设备生成第一网络协议(internet protocol，ip)报文，所述第一ip报文的报文头中的目的地址为所述中枢设备的ip地址，所述第一ip报文的报文体中的目的地址为目标设备的ip地址；所述iot设备根据所述中枢设备的ip地址向所述中枢设备发送所述第一ip报文，所述中枢设备用于根据iot设备的防火墙准则向所述目标设备转发所述第一ip报文。
5.在上述方案中，iot设备能够生成第一ip报文，第一ip报文的报文头中的目的地址为中枢设备的ip地址而不是目标设备的ip地址。iot设备可以将目标设备的ip地址封装在第一ip报文的报文体中，这样，中枢设备可以根据iot设备的防火墙准则确定是否需要将第一ip报文发送到目标设备，中枢设备可以作为防火墙设备，避免需要为iot设备购买专门的防火墙设备，从而可以节省成本，也能保障iot设备的安全性。
6.其中，上述iot设备不具有防火墙能力，中枢设备具有防火墙能力且中枢设备设置有iot设备的防火墙准则。
7.在一些可能的实现方式中，在所述iot设备生成第一网络协议ip报文之前，所述方法还包括：所述iot设备接收来自中枢设备的第二ip报文，所述第二ip报文的报文头中的源地址为所述中枢设备的ip地址；所述iot设备根据所述第二ip报文的报文头获取所述中枢设备的ip地址。
8.这样，iot设备可以根据第二ip报文的报文头中获取的中枢设备的ip地址生成第一ip报文。
9.在一些可能的实现方式中，在所述iot设备生成第一网络协议ip报文之前，所述方法还包括：所述iot设备接收来自中枢设备的第二ip报文，所述第二ip报文的报文体包括ip配置，所述ip配置包括所述中枢设备的ip地址；所述iot设备根据所述第二ip报文的报文体中的所述ip配置获取所述中枢设备的ip地址。
10.这样，iot设备可以根据第二ip报文的报文体中获取的中枢设备的ip地址生成第
一ip报文。
11.在一些可能的实现方式中，，所述ip配置还包括用于建立所述iot设备与所述中枢设备之间的隧道的隧道标识，所述方法还包括：所述iot设备根据所述隧道标识建立与所述中枢设备之间的隧道；
12.其中，所述iot设备根据所述中枢设备的ip地址向所述中枢设备发送所述第一ip报文，包括：所述iot设备根据所述中枢设备的ip地址通过所述隧道向所述中枢设备发送所述第一ip报文。
13.在上述技术方案中，iot设备与中枢设备可以通过隧道传输第一ip报文，有助于提高安全性。
14.在一些可能的实现方式中，所述隧道标识用于指示所述iot设备的隧道ip地址和所述中枢设备的隧道ip地址，所述第一ip报文的报文体中包括所述iot设备的隧道ip地址。
15.在上述方案中，若第一ip报文的报文体包括iot设备的隧道ip地址为中枢设备分配的隧道标识指示的iot设备的地址，这样，中枢设备根据隧道ip地址识别iot设备，避免非法的iot设备向中枢设备发送第一ip报文，从而可以提高安全性。
16.在一些可能的实现方式中，所述iot设备生成第一ip报文，包括：当所述iot设备中的应用发起ip请求时，所述iot设备生成所述应用的所述第一ip报文。
17.第二方面，本技术提供了一种传输报文的方法，包括：中枢设备接收来自iot设备的第一互联网协议ip报文，所述第一ip报文的报文头中的目的地址为所述中枢设备的ip地址，所述第一ip报文的报文体中的目的地址为目标设备的ip地址；所述中枢设备获取所述第一ip报文的报文体中的所述目标设备的ip地址；所述中枢设备根据所述iot设备的防火墙准则确定是否向所述目标设备的ip地址指示的所述目标设备发送第三ip报文，所述第三ip报文的报文头中的目的地址为所述目标设备的ip地址，所述第三ip报文的报文体中的数据部分为所述第一ip报文的报文体中的数据部分。
18.在上述方案中，中枢设备可以根据iot设备的防火墙准则确定是否需要将第三ip报文发送到目标设备，中枢设备可以作为防火墙设备，避免需要为iot设备购买专门的防火墙设备，从而可以节省成本，也能保证iot设备的安全性。
19.在一些可能的实现方式中，在所述中枢设备接收来自iot设备的第一ip报文之前，所述方法还包括：
20.所述中枢设备向所述iot设备发送第二ip报文，所述第二ip报文的报文头的源地址为所述中枢设备的ip地址。
21.在一些可能的实现方式中，在所述中枢设备接收来自iot设备的第一ip报文之前，所述方法还包括：所述中枢设备向所述iot设备发送第二ip报文，所述第二ip报文的报文体包括ip配置，所述ip配置包括所述中枢设备的ip地址。
22.在一些可能的实现方式中，所述ip配置还包括所述建立所述iot设备与所述中枢设备之间的隧道的隧道标识，所述方法还包括：
23.所述中枢设备根据所述隧道标识建立与所述iot设备之间的隧道；
24.其中，所述中枢设备接收来自iot设备的第一ip报文，包括：
25.所述中枢设备通过所述隧道接收来自所述iot设备的第一ip报文。
26.在一些可能的实现方式中，所述隧道标识用于指示所述iot设备的隧道ip地址和
所述中枢设备的隧道ip地址，所述第一ip报文的报文体中的源地址为所述iot设备的隧道ip地址。
27.在一些可能的实现方式中，在所述中枢设备根据所述iot设备的防火墙准则确定是否向所述目标设备发送第三ip报文之前，所述方法还包括：
28.所述中枢设备确定所述iot设备是否有权限向所述目标设备发送所述第三ip报文；
29.所述中枢设备根据所述iot设备的防火墙准则确定是否向所述目标设备发送第三ip报文，包括：
30.若所述中枢设备确定所述iot设备有权限向所述目标设备发送所述第三ip报文，所述中枢设备根据所述iot设备的防火墙准则确定是否向所述目标设备发送所述第三ip报文。
31.在一些可能的实现方式中，所述第三ip报文的报文头中的源地址为所述中枢设备的ip地址，或者，所述第三ip报文的报文头中的源地址为所述iot设备的ip地址。
32.第三方面，提供了一种传输报文的方法，包括：iot设备生成第一ip报文，所述第一ip报文的报文头中的目的地址为中枢设备的ip地址，所述第一ip报文的报文体中的目的地址为目标设备的ip地址；
33.所述iot设备根据所述中枢设备的ip地址向所述中枢设备发送所述第一ip报文；
34.所述中枢设备获取所述第一ip报文的报文体中的所述目标设备的ip地址；
35.所述中枢设备根据所述iot设备的防火墙准则确定是否向所述目标设备的ip地址指示的所述目标设备发送第三ip报文，所述第三ip报文的报文头中的目的地址为所述目标设备的ip地址，所述第三ip报文的报文体中的数据部分为所述第一ip报文的报文体中的数据部分。
36.在一些可能的实现方式中，在iot设备生成第一ip报文之前，所述方法还包括：所述中枢设备向所述iot设备发送第二ip报文，所述第二ip报文的报文头的源地址为所述中枢设备的ip地址；所述iot设备根据所述第二ip报文的报文头获取所述中枢设备的ip地址。
37.在一些可能的实现方式中，在iot设备生成第一ip报文之前，所述方法还包括：所述中枢设备向所述iot设备发送第二ip报文，所述第二ip报文的报文体包括ip配置，所述ip配置包括所述中枢设备的ip地址；所述iot设备根据所述第二ip报文的报文体中的所述ip配置获取所述中枢设备的ip地址。
38.在一些可能的实现方式中，所述ip配置还包括用于建立所述iot设备与所述中枢设备之间的隧道的隧道标识，所述方法还包括：所述iot设备与所述中枢设备根据所述隧道标识建立所述iot设备与所述中枢设备之间的隧道；其中，所述iot设备根据所述中枢设备的ip地址向所述中枢设备发送所述第一ip报文，包括：所述iot设备根据所述中枢设备的ip地址通过所述隧道向所述中枢设备发送所述第一ip报文。
39.在一些可能的实现方式中，所述隧道标识用于指示所述iot设备的隧道ip地址和所述中枢设备的隧道ip地址，所述第一ip报文的报文体的源地址为所述iot设备的隧道ip地址。
40.在一些可能的实现方式中，所述iot设备生成第一ip报文，包括：
41.当所述iot设备中的应用发起ip请求时，所述iot设备生成所述应用的所述第一ip
报文。
42.在一些可能的实现方式中，在所述中枢设备根据所述iot设备的防火墙准则确定是否向所述目标设备发送第三ip报文之前，所述方法还包括：
43.所述中枢设备确定所述iot设备是否有权限向所述目标设备发送所述第三ip报文；
44.所述中枢设备根据所述iot设备的防火墙准则确定是否向所述目标设备发送第三ip报文，包括：
45.若所述中枢设备确定所述iot设备有权限向所述目标设备发送所述第三ip报文，所述中枢设备根据所述iot设备的所述防火墙准则确定是否向所述目标设备发送所述第三ip报文。
46.在一些可能的实现方式中，所述第三ip报文的报文头中的源地址为所述中枢设备的ip地址，或者，所述第三ip报文的报文头中的源地址为所述iot设备的ip地址。
47.第四方面，提供了一种装置，该装置包含在电子设备中，该装置具有实现上述各方面及上述各方面的可能实现方式中电子设备行为的功能。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块或单元。例如，收发模块或单元、处理模块或单元、获取模块或单元等。
48.可选地，该装置可以是上述的iot设备或者中枢设备。
49.第五方面，提供了一种装置，所述装置包括处理器，处理器与存储器耦合，存储器用于存储计算机程序或指令，处理器用于执行存储器存储的计算机程序或指令，使得上述各方面及上述各方面的可能实现方式中的方法被执行。
50.例如，处理器用于执行存储器存储的计算机程序或指令，使得该装置执行上述各方面及上述各方面的可能实现方式中方法。
51.可选地，该装置包括的处理器为一个或多个。
52.可选地，该装置中还可以包括与处理器耦合的存储器。
53.可选地，该装置包括的存储器可以为一个或多个。
54.可选地，该存储器可以与该处理器集成在一起，或者分离设置。
55.可选地，该装置中还可以包括收发器。
56.第六方面，本技术提供了一种电子设备，包括：一个或多个处理器；存储器；多个应用程序；以及一个或多个计算机程序。其中，一个或多个计算机程序被存储在存储器中，一个或多个计算机程序包括指令。当指令被电子设备执行时，使得电子设备执行上述任一方面任一项可能的实现中的传输报文的方法。
57.可选地，该电子设备还可以包括：触摸显示屏和/或摄像头，其中，触摸显示屏包括触敏表面和显示器；
58.可选地，该电子设备可以是上述的iot设备或者中枢设备。
59.第七方面，本技术提供了一种计算机可读存储介质，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行上述任一方面任一项可能的传输报文的方法。
60.第八方面，本技术提供了一种计算机程序产品，当计算机程序产品在电子设备上运行时，使得电子设备执行上述任一方面任一项可能的传输报文的方法。
附图说明
61.图1是本技术实施例提供的应用场景示意图；
62.图2是本技术实施例提供的传输报文的装置示意性框图；
63.图3是本技术实施例提供的传输报文的方法示意图；
64.图4是本技术实施例提供的ip报文的格式示意图；
65.图5是本技术实施例提供的ip报文3的格式示意图；
66.图6是本技术实施例提供的ip报文6的格式示意图；
67.图7是本技术实施例提供的传输ip报文的响应的示意图；
68.图8是本技术实施例提供的iot设备的软件架构示意图；
69.图9是本技术实施例提供的另一传输报文的方法示意图。
具体实施方式
70.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
71.以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。
72.随着物联网的发展，iot设备的增多，iot设备成本较低，大部分iot设备没有防火墙能力。为了避免iot设备受到攻击，需要安装专门的防火墙设备，例如路由器可以作为防火墙设备避免iot设备受到攻击。但是路由器比较贵，成本比较高。物联网中，会有较多的没有防火墙能力的iot设备，也会有部分具有防火墙能力的设备。本技术实施例中可以利用部分具有防火墙能力的设备作为iot设备的中枢设备保护iot设备，将iot设备的ip报文安全发送到目标设备。如图1所示，以两个iot设备为例，两个iot设备110将要发送给目标设备130的ip报文发送到中枢设备120。中枢设备120具有防火墙能力，中枢设备120根据自身的防火墙准则确定是否需要将来自iot设备110的ip报文转发给目标设备130。中枢设备120可以作为枢纽汇聚iot设备的流量。例如，家用物联网中，可能包括电表、水表、手环、手表等iot设备，若没有针对这些iot设备的防火墙设备，则会导致这些iot设备的数据受到攻击。家用物联网中会有部分具有防火墙能力的设备，如电视或者音箱等具有防火墙能力。则电视或者音箱可以作为这些iot设备的中枢设备，将来自这些iot设备的ip报文发送到这些iot设备的服务器或者云端或者第三方设备。
73.示例性的，图2是本技术实施例提供的一例电子设备200的结构示意图。电子设备可以是iot设备、中枢设备或目标设备。电子设备200可以包括处理器210、存储器220、通信模块230、显示屏240等。
74.其中，处理器210可以包括一个或多个处理单元，存储器220用于存储程序代码和数据。在本技术实施例中，处理器210可执行存储器220存储的计算机执行指令，用于对电子设备200的动作进行控制管理。
75.通信模块230可以用于电子设备200的各个内部模块之间的通信、或者电子设备200和其他外部电子设备之间的通信等。示例性的，如果电子设备200通过有线连接的方式和其他电子设备通信，通信模块230可以包括接口等，例如usb接口，usb接口可以是符合usb标准规范的接口，具体可以是mini usb接口，micro usb接口，usb type c接口等。usb接口
可以用于连接充电器为电子设备200充电，也可以用于电子设备200与外围设备之间传输数据。也可以用于连接耳机，通过耳机播放音频。该接口还可以用于连接其他电子设备，例如ar设备等。
76.或者，通信模块230可以包括音频器件、射频电路、蓝牙芯片、无线保真(wireless fidelity，wi-fi)芯片、近距离无线通讯技术(near-field communication，nfc)模块等，可以通过多种不同的方式实现电子设备200与其他电子设备之间的交互。
77.显示屏240用于显示图像、视频等。可选地，电子设备200还可以包括外设设备250，例如鼠标、键盘、扬声器、麦克风等。
78.应理解，除了图2中列举的各种部件或者模块之外，本技术实施例对电子设备200的结构不做具体限定。在本技术另一些实施例中，电子设备200还可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。
79.下面结合图3描述本技术实施例提供的传输报文的方法300，方法300由中枢设备和iot设备执行。
80.s310，中枢设备可以与iot设备建立会话连接。
81.具体地，在s310中，中枢设备与iot设备可以协商传输ip报文的密钥。中枢设备与iot设备之间的后续的会话内容需要经过协商的密钥加密和认证，这样，可以保证中枢设备与iot设备之间会话内容安全。
82.可选地，中枢设备与iot设备在建立会话连接的过程中，iot设备可以获知中枢设备的ip地址，中枢设备也可以获知iot设备的ip地址。若iot设备可以获知中枢设备的ip地址，则可以不存在下述的s320和s330发送ip报文1以及获取中枢设备的ip地址的过程。
83.s320，中枢设备向iot设备发送ip报文1，iot设备接收中枢设备的ip报文1，例如，ip报文1可以是前述的第二ip报文。
84.例如，中枢设备向iot设备发送的ip报文1可以利用s310中协商的加密密钥进行加密。
85.s330，iot设备根据ip报文1获取中枢设备的ip地址。
86.例如，iot设备可以根据s310中协商的解密密钥对ip报文1进行解密从而获取中枢设备的ip地址。
87.具体地，s330，分以下两种情况讨论iot设备获取中枢设备的ip地址：
88.情况一，ip报文1的报文头的源地址为中枢设备的ip地址，iot设备根据ip报文1的报文头获取中枢设备的ip地址。
89.情况二，ip报文1的报文体包括ip配置，ip配置包括中枢设备的ip地址。iot设备根据ip报文1的报文体包括的ip配置确定中枢设备的ip地址。
90.可选地，在情况二中，ip配置除了包括中枢设备的ip地址之外，ip配置还可以包括隧道标识。隧道标识用于建立中枢设备与iot设备之间的隧道，隧道标识用于指示iot设备的隧道ip地址和中枢设备的隧道ip地址。
91.可以理解的是，上述为了方便描述，ip报文1的报文体中包括ip配置，ip配置可以包括中枢设备的ip地址和隧道标识。在实际应用中，中枢设备的ip地址和隧道标识可以通过不同的ip报文的报文体携带，例如，ip报文1的报文体包括ip配置1，ip配置1包括中枢设
备的ip地址，ip报文2的报文体包括ip配置2，ip配置2包括隧道标识，ip报文1和ip报文2为不同的ip报文，本技术不予限制。
92.可选地，ip配置也可以不包括中枢设备的ip地址只包括隧道标识。
93.s340，若ip配置包括隧道标识，iot设备根据隧道标识指示的iot设备的隧道ip地址和中枢设备的隧道ip地址建立iot设备与中枢设备之间的隧道。
94.其中，隧道可以理解为iot设备与中枢设备之间传输ip报文的通道，s340中建立的隧道也可以是支持加密和认证具有安全能力的隧道，这样，可以保证通过隧道传输的ip报文的安全性。
95.s350，当iot设备有应用发起ip请求时，iot设备根据中枢设备的ip地址生成ip报文3，例如ip报文3可以为前述的第一ip报文，ip报文3的报文头中的目的地址(destination address，da)为中枢设备的ip地址，ip报文3的报文体中的da为目标设备的ip地址。
96.现有技术中，iot设备发送的ip报文的报文头中的da为目标设备的ip地址，如图4所示为现有技术中iot设备发送的ip报文的格式，如图4所示源地址(source address，sa)为iot设备的ip地址，da为目标设备的ip地址。而本技术实施例中，iot设备根据ip配置将目标设备的ip地址封装在ip报文体中，将中枢设备的ip地址作为ip报文的报文头中的目的地址，从而生成ip报文3。ip报文3的格式如图5所示，ip报文3的报文头中的sa为iot设备的ip地址，da为中枢设备的ip地址，将目标设备的ip地址作为封装的ip数据封装在报文体中。其中，若ip配置包括隧道标识，则如图5所示ip报文3的报文体中的sa为隧道标识指示的iot设备的隧道ip地址；若ip配置不包括隧道标识，ip报文3的报文体中的sa可以为空，没有任何地址信息。
97.若ip配置包括隧道标识，则如图5所示ip报文3的报文体中的sa为隧道标识指示的iot设备的隧道ip地址。执行完s350之后，中枢设备可以确定ip报文3为iot设备的隧道ip地址对应的iot设备发送的。此外，若中枢设备向多个iot设备发送隧道标识，则每个iot设备的隧道标识不同。举例来说，隧道标识1指示iot设备1的隧道ip地址1和中枢设备的隧道ip地址，隧道标识2指示iot设备2的隧道ip地址2和中枢设备的隧道ip地址；iot设备1向中枢设备发送ip报文4，iot设备2向中枢设备发送ip报文5；其中，ip报文4的报文体中的sa为隧道ip地址1，ip报文5的报文体中的sa为隧道ip地址2。这样，中枢设备可以根据识别ip报文4和ip报文5中的报文体的源地址识别ip报文4来源于iot设备1，ip报文5来源于iot设备2。
98.例如，中枢设备向iot设备发送的ip报文3可以利用s310中协商的加密密钥进行加密。需要说明的是，s340和s350的顺序没有任何限制，s340可以在s350之前或者之后或者同时进行。
99.s360，iot设备根据中枢设备的ip地址向中枢设备发送ip报文3，中枢设备接收来自iot设备的ip报文3。
100.可选地，若ip配置包括隧道标识，此时iot设备与中枢设备之间建立了隧道，s360，包括：iot设备根据中枢设备的ip地址通过建立的隧道向中枢设备发送ip报文3，中枢设备通过建立的隧道接收来自iot设备的ip报文3。这样，iot设备与中枢设备通过隧道传输ip报文3可以提高安全性。
101.可以理解的是，若ip报文1的ip配置不包括隧道标识，iot设备与中枢设备之间可以不建立隧道，则iot设备可以直接根据中枢设备的ip地址向中枢设备发送ip报文3。
102.例如，iot设备可以根据s310中协商的解密密钥对ip报文3进行解密。
103.s370，中枢设备获取ip报文3的报文体中的目标设备的ip地址。
104.具体地，s370中，中枢设备解析ip报文3，获取ip报文3的报文体中的目标设备的ip地址，将目标设备的ip地址作为ip报文6的报文头的目的地址，例如，ip报文1可以是前述的第三ip报文。
105.s380，中枢设备根据iot设备的防火墙准则确定是否向目标设备发送ip报文6。
106.具体地，中枢设备可以设置有多个iot设备的防火墙准则，中枢设备可以根据方法300中的iot设备的防火墙准则确定是否向目标设备发送ip报文6。例如，中枢设备保存的iot设备的防火墙准则可以包括目标设备的ip地址、端口和协议类型中的至少一项。例如，中枢设备确定s370中获取的目标设备的ip地址是否是防火墙准则中允许iot设备的所发送的目标设备的ip地址，若是，则中枢设备向目标设备发送ip报文6；又例如，中枢设备确定s370中获取的目标设备的ip地址的协议类型，若s370中获取的目标设备的ip地址的协议类型是防火墙准则中允许协议类型，则中枢设备向目标设备发送ip报文6；再例如，中枢设备确定s370中获取的目标设备的ip地址对应的端口，若s370中获取的目标设备的ip地址对应的端口是防火墙准则中允许端口，则中枢设备向目标设备发送ip报文6。
107.其中，ip报文3和ip报文6的数据部分相同，区别在于，ip报文3和ip报文6的报文头不同，ip报文3的报文头中的目的地址为中枢设备的ip地址，ip报文6的报文头中的目的地址为目的设备的ip地址。
108.在s380中，若中枢设备根据自身的防火墙准则确定iot设备可以向目标设备发送ip报文，则中枢设备执行s390；若中枢设备根据自身的防火墙准确定目标设备非法，则中枢设备停止发送ip报文6。
109.下面分两种情况讨论s380：
110.情况一，在s380之前，中枢设备确定iot设备是否有权限向目标设备发送ip报文6，若中枢设备确定iot设备有权限向目标设备发送ip报文6，则执行s380；若中枢设备确定iot设备没有权限向目标设备发送ip报文6，则不执行s380。
111.情况二，中枢设备执行s380之后，若中枢设备根据自身的防火墙规则确定向目标设备发送ip报文6，则中枢设备确定iot设备是否有权限向目标设备发送ip报文6。若中枢设备有权限向目标设备发送ip报文6，则中枢设备向目标设备发送ip报文6，否则中枢设备不向目标设备发送ip报文6。其中，中枢设备执行s380之后，若中枢设备根据自身的防火墙规则确定不向目标设备发送ip报文6，则中枢设备也无需判断iot设备是否有权限向目标设备发送ip报文6了。
112.s390，中枢设备向目标设备发送ip报文6，目标设备接收来自中枢设备的ip报文6。
113.在s390中，以下分两种情况讨论ip报文6：
114.情况一，ip报文6的格式如图6所示，ip报文6的报文头的da为目标设备的ip地址，ip报文6的报文头中的sa为中枢设备的ip地址。对于目标设备来讲，可以获知接收到的第ip报文6是来自中枢设备。尤其是对于目标设备与中枢设备通过隧道的加密传输时，目标设备可以利用与中枢设备之间的秘钥解密ip报文6，从而可以解析来自中枢设备的ip报文6。
115.情况二，ip报文6的格式还可以如图4所示，ip报文6的报文头的da为目标设备的ip地址，ip报文6的报文头中的sa为iot设备的ip地址。对于目标设备来讲，可以获知接收到的
ip报文6来自iot设备，而不是中枢设备。
116.可以理解的是，s320中，中枢设备可以向iot设备发送一次ip报文1，执行多次s350-s390。同样地，s330中，iot设备可以获取一次中枢设备的ip地址，s340中，iot设备可以建立一次隧道，执行多次s350-s390。换句话说，iot设备可以接收中枢设备的一次ip报文1，根据ip报文1中的ip配置建立一次隧道，iot设备可以根据获取到的中枢设备的ip地址生成多个ip报文来发送数据。
117.上文方法300描述了iot设备通过中枢设备向目标设备传输ip报文3(或ip报文6)，同样地，目标设备在接收到来自中枢设备转发的来自iot设备的ip报文6时，目标设备不直接向iot设备发送ip报文6的响应，目标设备也可以通过中枢设备向iot设备发送ip报文6的响应。下面结合图7的方法700描述目标设备可以通过中枢设备向iot设备发送ip报文6的响应。
118.s710，目标设备接收到ip报文6之后，若ip报文6的报文头中的源地址为中枢设备，则目标设备可以向中枢设备发送ip报文6的响应，中枢设备接收ip报文6的响应，ip报文6的响应可以是ip报文。
119.作为s710可替换的方式，目标设备接收到ip报文6之后，若ip报文6的报文头的源地址为iot设备的ip地址，则目标设备可以向iot设备发送ip报文6的响应，此时没有方法700的各个步骤。
120.s720，中枢设备接收到ip报文6的响应之后，根据自身的防火墙准则确定ip报文6的响应是否合法，若合法，即ip报文6的响应即为ip报文3的响应，则执行s730。若不合法，则中枢设备将ip报文6的响应丢弃。
121.s730，中枢设备将ip报文3的响应通过s330建立的隧道向iot设备发送，iot设备接收ip报文3的响应。
122.需要说的是，s340建立的隧道可以是双向隧道，iot设备可以通过双向隧道向中枢设备发送ip报文3，iot设备也可以接收来自中枢设备的ip报文3的响应，ip报文3的响应也可以是ip报文。具体地，iot设备根据响应ip报文的源地址确定响应ip报文是不是来自中枢设备，若响应ip报文的源地址是中枢设备的ip地址则保留响应ip报文，若响应ip报文的源地址不是中枢设备的源地址，则丢弃，这样可以保证iot设备不会接收非中枢设备的报文，提高安全性。
123.图8是本技术实施例的iot设备的软件结构框图。分层架构将软件分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中，iot设备的软件结构可以从上至下分别为应用程序层、应用程序框架层、系统层和内核层。其中，应用程序层用于存放应用程序。应用程序框架层为应用程序层的应用程序提供应用编程接口(application programming interface，api)和编程框架。应用程序框架层包括一些预先定义的函数。系统层可以包括操作系统的多个功能模块。内核层是硬件和软件之间的层，内核层至少包含显示驱动，摄像头驱动，音频驱动，传感器驱动。其中，iot设备的应用程序层的配置模块和系统层的操作系统(operating system，os)ip协议栈模块可以协助完成本技术实施例提供的传输报文的方法，iot设备的处理器210对应配置模块和os ip协议栈模块。具体参见图9的方法900的描述。图9主要分为传输ip配置和处理ip报文两个过程，其中，针对一次传输ip配置可以传输多次ip报文。
124.s901，中枢设备与iot设备的配置模块建立会话连接。
125.可以理解的是，中枢设备与iot设备的配置模块建立会话连接过程中，协商中枢设备与iot设备传输ip报文的密钥。
126.可选地，中枢设备与与iot设备的配置模块在建立会话连接的过程中，iot设备的配置模块可以获知中枢设备的ip地址，中枢设备也可以获知iot设备的ip地址。若iot设备的配置模块可以获知中枢设备的ip地址，则可以不存在下述的s902和s903中发送ip报文1以及获取中枢设备的ip地址的过程。
127.s902，中枢设备向配置模块发送ip报文1。
128.s903，配置模块根据ip报文1获取中枢设备的ip地址。
129.具体地，s903与s330的两种情况相同，不同点在于s330是iot设备获取中枢设备的ip地址，s903是配置模块获取中枢设备的ip地址。具体地，分两种情况描述：
130.情况一，ip报文1的报文头的源地址为中枢设备的ip地址，配置模块根据ip报文1的报文头获取中枢设备的ip地址。执行s904，s904为配置模块向os ip协议栈模块发送中枢设备的ip地址。
131.情况二，ip报文1的报文体包括ip配置，ip配置包括中枢设备的ip地址。配置模块根据ip报文1的报文体包括的ip配置确定中枢设备的ip地址。执行s904，s904为配置模块向os ip协议栈模块发送中枢设备的ip地址。
132.可选地，在情况二中，ip配置除了包括中枢设备的ip地址之外，ip配置还可以包括隧道标识。若ip配置包括中枢设备的ip地址和隧道标识。执行s904，s904为向os ip协议栈模块发送中枢设备的ip地址和隧道标识。
133.s904，配置模块向os ip协议栈模块发送中枢设备的ip地址，或者发送中枢设备的ip地址和隧道标识。
134.s905，os ip协议栈模块保存中枢设备的ip地址，或者保存中枢设备的ip地址和隧道标识保存。
135.s906，若os ip协议栈模块保存隧道标识，os ip协议栈模块根据隧道标识建立隧道。
136.需要说明的是，s906可以在s908之前，但是s906与s907和s908的顺序没有任何限制，s906可以在s907或s908之前，s906可以在s907或s908之后，或者s906与s907或s908同时进行。
137.s907，当有应用启动时，配置模块可以向os ip协议栈模块发送ip请求。
138.s908，os ip协议栈模块根据中枢设备的ip地址生成ip报文3。
139.具体地，os ip协议栈模块生成ip报文3的方式参见s350的描述。
140.s909，os ip协议栈模块通过s906建立的隧道向中枢设备转发ip报文3。
141.s910-s912同s370-s390。
142.下面描述一个应用于本技术实施例提供的传输报文的方法的典型的一个应用场景。
143.用户购买了厂商a的智能冰箱，家中有厂商a的智能电视，其中，智能冰箱没有防火墙功能，智能电视具有防火墙功能。但是家中的路由器是厂商b的，家中厂商b的路由器没有设置厂商a的智能冰箱的防火墙准则。现有技术中，为了避免厂商a的智能冰箱受到攻击，则
需要购买专门的设置有厂商a的智能冰箱防火墙准则的路由器，而购买路由器的成本比较高。通过本技术实施例提供的传输报文的方法，厂商a的智能冰箱启动后，能够被厂商a的智能电视搜索到，则厂商a的智能冰箱和厂商a的智能电视建立安全会话，此外，厂商a的智能电视可以预置有厂商a的智能冰箱的防火墙准则。厂商a的智能冰箱根据前述方法实施例生成ip报文3，ip报文3的报文头的目的地址为厂商a的智能电视，ip报文3的报文体中的存在ip报文3的真正的目标设备的ip地址；这样，厂商a的智能冰箱可以将ip报文3先路由到厂商a的智能电视，厂商a的智能电视解析ip报文3，获取ip报文3的报文体中的目标设备的ip地址；厂商a的智能电视根据智能冰箱的防火墙准则确定目标设备是否合法，若目标设备合法，则厂商a的智能电视向目标设备发送ip报文6，ip报文6的数据部分即为ip报文3的数据部分，ip报文6的报文头的目的地址为目标设备的ip地址。这样，厂商a的智能电视可以将来自厂商a的智能冰箱的ip报文3路由到目标设备，避免需要为厂商a的智能冰箱购买专门的路由设备，从而可以降低成本。
144.可以理解的是，除了上述家用物联网场景之外，本技术实施例提供的传输报文的方法还可以应用在智能电网、智能农业、智能交通和环境检测等场景中，为了避免赘述本技术实施例不详细描述。
145.除了图9的将iot设备划分为配置模块和os ip模块之外，本实施例可以根据上述方法示例对iot设备和中枢设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块可以采用硬件的形式实现。需要说明的是，本实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
146.需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。
147.本实施例提供的iot设备和中枢设备，用于执行上述传输报文的方法，因此可以达到与上述实现方法相同的效果。在采用集成的单元的情况下，iot设备和中枢设备分别可以包括处理模块、存储模块和通信模块。其中，处理模块可以用于对iot设备和中枢设备的动作进行控制管理，例如，可以用于支持电子设备执行处理单元执行的步骤。存储模块可以用于支持iot设备和中枢设备执行存储程序代码和数据等。通信模块，可以用于支持iot设备和中枢设备与其他设备的通信。
148.其中，处理模块可以是处理器或控制器。其可以实现或执行结合本技术公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，数字信号处理(digital signal processing，dsp)和微处理器的组合等等。存储模块可以是存储器。通信模块具体可以为射频电路、蓝牙芯片、wi-fi芯片等与其他电子设备交互的设备。
149.在一个实施例中，当处理模块为处理器，存储模块为存储器时，本实施例所涉及的电子设备可以为具有图2所示结构的设备。
150.本实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机指令，当该计算机指令在电子设备上运行时，使得电子设备执行上述相关方法步骤实现上述实施例中的安全访问数据的方法。
151.本实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行
时，使得计算机执行上述相关步骤，以实现上述实施例中的安全访问数据的方法。
152.另外，本技术的实施例还提供一种装置，这个装置具体可以是芯片，组件或模块，该装置可包括相连的处理器和存储器；其中，存储器用于存储计算机执行指令，当装置运行时，处理器可执行存储器存储的计算机执行指令，以使芯片执行上述各方法实施例中的安全访问数据的方法。
153.其中，本实施例提供的电子设备、计算机存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。
154.通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。
155.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
156.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
157.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
158.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
159.以上内容，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。