数据包处理方法及装置制造方法
【专利摘要】本发明实施例提供一种数据包处理方法及装置。本发明数据包处理方法,包括:接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息;根据所述标识信息,对所述IP数据包进行过滤处理。本发明实施例,通过接收IP地址中含有指示该IP地址对应业务类型标识信息的IP数据包,并根据该IP数据包的IP地址中的标识信息对该IP数据包进行过滤处理,大大提高了检测速度,满足实时检测的要求。
【专利说明】数据包处理方法及装置
【技术领域】
[0001 ] 本发明实施例涉及通信技术,尤其涉及一种数据包处理方法及装置。
【背景技术】
[0002]随着网络技术的发展,互联网已经成为人们工作、生活、学习过程中不可或缺、便捷高效的工具,而一些恶意网站或者钓鱼网站的出现严重影响用户的数据安全信息,同时企业普遍存在电脑和互联网滥用的严重问题,因此,安全网关技术变地非常重要,同时对于安全网关技术的要求也越来越高。
[0003]现有技术通过对数据包进行一系列的深度内容分析后,判断是否需要按照安全管理策略对数据包进行相应的丢弃、拦截或放行等处理。例如,对数据包携带的应用层数据依次进行数据提取,将提取的数据输入统一资源定位符(Uniform Resource Locator,简称URL)匹配模块与恶意URL库中的URL进行匹配,以及对提取的数据进行病毒检测,进行恶意代码检测,进行反钓鱼检测等等一系列的检测。
[0004]由于现有技术需要对数据包做大量的分析比对,其检测速度慢,难以满足实时要求。
【发明内容】
[0005]本发实施例提供一种数据包处理方法及装置,用以解决现有技术检测速度慢的问题。
[0006]第一方面,本发明实施例提供一种数据包处理方法,包括:
[0007]接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息;
[0008]根据所述标识信息,对所述IP数据包进行过滤处理。
[0009]结合第一方面,在第一方面的第一种可能的实现方式中,所述标识信息为子网地址中预定位置比特位的编码值。
[0010]结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述根据所述标识信息,对所述IP数据包进行过滤处理,包括:
[0011]提取所述IP数据包携带的业务数据,并对所述业务数据的类型进行识别,确定所述IP数据包中包含的业务数据为第一业务类型,并且,根据所述标识信息,确定所述IP地址对应的第二业务类型;
[0012]比较所述第一业务类型和第二业务类型是否一致;
[0013]若不一致,则对所述IP数据包进行过滤处理。
[0014]结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述根据所述标识信息,对所述IP数据包进行过滤处理,包括:
[0015]根据所述标识信息,确定所述IP地址对应的业务类型;
[0016]采用与所述业务类型对应的安全策略,对所述IP数据包进行过滤处理。
[0017]结合第一方面、第一方面的第一种至第三种任一种可能的实现方式,在第一方面的第四种可能的实现方式中,所述IP数据包为IPv6数据包或IPv4数据包;
[0018]对应地,所述IP地址为IPv6地址或IPv4地址。
[0019]第二方面,本发明实施例提供一种数据包处理装置,包括:
[0020]接收模块,用于接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息;
[0021]处理模块,用于根据所述标识信息,对所述IP数据包进行过滤处理。
[0022]结合第二方面,在第二面的第一种可能的实现方式中,所述标识信息为子网地址中预定位置比特位的编码值。
[0023]结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述处理模块包括:
[0024]识别单元,用于提取所述IP数据包携带的业务数据,并对所述业务数据的类型进行识别,确定所述IP数据包中包含的业务数据为第一业务类型,并且,根据所述标识信息,确定所述IP地址对应的第二业务类型;
[0025]比较单元,用于比较所述识别单元确定的所述第一业务类型和第二业务类型是否一致;
[0026]第一处理单元,用于若所述比较单元的比较结果不一致,则对所述IP数据包进行过滤处理。
[0027]结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述处理模块包括:
[0028]确定单元,用于根据所述标识信息,确定所述IP地址对应的业务类型;
[0029]第二处理单元,用于采用与所述确定单元确定的所述业务类型对应的安全策略,对所述IP数据包进行过滤处理。
[0030]结合第二方面、第二方面的第一种至第三种任一种可能的实现方式,在第二方面的第四种可能的实现方式中,所述IP数据包为IPv6数据包或IPv4数据包;
[0031]对应地,所述IP地址为IPv6地址或IPv4地址。
[0032]本发明实施例,通过接收IP地址中含有指示该IP地址对应业务类型标识信息的IP数据包,并根据该IP数据包的IP地址中的标识信息对该IP数据包进行过滤处理,大大提高了检测速度,满足实时检测的要求。
【专利附图】
【附图说明】
[0033]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0034]图1a为本发明实施例的应用场景示意图;
[0035]图1b为本发明数据包处理方法实施例一的流程示意图;
[0036]图2a为本发明数据包处理方法实施例二的流程示意图;
[0037]图2b为本实施例中IPv6地址格式示意图;
[0038]图3为本发明数据包处理方法实施例三的流程示意图;
[0039]图4为本发明数据包处理方法实施例四的流程示意图;
[0040]图5为本发明数据包处理装置实施例一的结构示意图;
[0041]图6为本发明数据包处理装置实施例二的结构示意图;
[0042]图7为本发明数据包处理装置实施例三的结构示意图;
[0043]图8为本发明数据包处理装置实施例四的结构示意图;
[0044]图9为本发明实施例提供的数据包处理设备的结构示意图。
【具体实施方式】
[0045]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0046]图la为本发明实施例的应用场景示意图,如图la所示,本发明实施例中,执行主体为数据包处理装置,该装置可以通过软件和/或硬件实现,且可以将该数据包处理装置部署在用户现有的网络接入点或者客户终端,对应于该数据包处理装置可以具体为网关类设备或客户端的软件,可以降低用户终端上网时所引发的风险与问题。
[0047]图lb为本发明数据包处理方法实施例一的流程示意图。本实施例的执行主体为数据包处理装置。如图lb所示,本实施例的方法可以包括:
[0048]步骤101、接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息。
[0049]目前网络间互联协议(Internet Protocol,简称IP协议)包含互联网协议第四版(Internet Protocol vers1n4,简称 IPv4)及互联网协议第六版(Internet Protocolvers1n6,简称IPv6)。其中,IPv4被广泛应用,但由于其地址只有32位,随着互联网的蓬勃发展,网络设备及终端大规模地增长,网络协议地址(Internet Protocol Address,简称IP地址)的需求量愈来愈大,出现IP地址短缺情况。而其中,IPv6采用128位地址长度,扩大了地址空间,带来了地址的极大丰富,有比较多的空闲bit位。因此,本实施例中可以根据内容的信息即网站服务内容对IP地址进行进一步地划分,即在IP地址的子网地址中选取一定位置上的比特位,这些比特位的不同编码值分别分配给提供不同类别业务的网站内容提供商。
[0050]本实施例中,数据包处理装置接收IP数据包即IP报文,该IP报文不一定是单个报文,可以是基于同一连接的连续多个IP报文,即某条数据流。由于该IP数据包的IP地址中包含用于指示该IP地址对应的业务类型的标识信息,该标识信息是子网地址中预定位置比特位的编码值,如第a位到第b位上的编码值,例如社交类网站发送的IP数据包IP地址的第a位到第b位编码为80,新闻类类网站发送的IP数据包IP地址的该位编码为90等类似方法,其中国际组织互联网数字分配机构(The Internet Assigned NumbersAuthority,简称IANA)分配给某个国家、某个运营商或者某个企业一段固定长度的前缀后,再由国家或运营商根据内容的信息对IP地址进行进一步划分,例如IP地址总共有Μ位,ΙΑΝΑ分配给某个运营商的前缀是Ν位,则剩余的Μ-Ν位可供该运营商进一步划分,a位到b位为所述可供进一步划分的M-N位中的至少I个比特位,a的取值范围为I至M-N中的自然数,b的取值范围2至M-N中的自然数,a小于b。因此,可以通过该IP数据包的IP地址中的标识信息获知该IP数据包的业务类型。
[0051]步骤102、根据所述标识信息,对所述IP数据包进行过滤处理。
[0052]通过该IP数据包的IP地址中的标识信息获知该IP数据包的业务类型,然后对该IP数据包进行过滤处理,比如对于恶意网站进行阻止,或者对于上班时间阻止娱乐网站只允许上技术类网站等类似情况。
[0053]本实施例中,所述IP数据包可以为IPv6数据包或IPv4数据包;对应地,所述IP地址可以为IPv6地址或IPv4地址。
[0054]根据上述可知IPv6采用128位地址长度,扩大了地址空间,有比较多的空闲bit位,本实施例中可以根据网站服务内容不同,对IP地址进一步地划分,因此,IP数据包为IPv6数据包及IP地址为IPv6地址时可以实现本发明上述技术方案。而对于IPv4,虽然在大部分地区IPv4地址比较紧张,没有太多空闲地址可以用来标示内容类型,但是不排除在某些IP地址丰富的国家或者地区,或者分配给大企业的IPv4地址,也可以使用某些空闲bit位来标示网站内容类型,因此,IP数据包为IPv4数据包及IP地址为IPv4地址时亦可以实现本发明上述技术方案。
[0055]本实施例,通过接收IP地址中含有指示该IP地址对应业务类型标识信息的IP数据包,并根据该IP数据包的IP地址中的标识信息对该IP数据包进行过滤处理,大大提高了检测速度,满足实时检测的要求。
[0056]下面采用几个具体的实施例,对图1所示方法实施例的技术方案进行详细说明。
[0057]图2a为本发明数据包处理方法实施例二的流程示意图,如图2a所示,本实施例的方法可以包括:
[0058]步骤201、接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息。
[0059]IP地址的分成了子网地址(Subnet Prefix)和主机地址(Identifier Id)两部分,其中,网络号用于识别主机所在的网络,其位数直接决定了可以分配的网络数;主机号用于识别该网络中的主机,其位数直接决定了网络中最大的主机数。
[0060]本实施例中,具体地所述标识信息为子网地址中预定位置比特位的编码值。
[0061]数据包处理装置接收IP数据包,该IP数据包的IP地址的子网地址中包含用于指示该IP地址对应的业务类型的标识信息,例如社交类网站发送的IP数据包IP地址中子网地址的第a位到第b位编码为80,新闻类类网站发送的IP数据包IP地址中子网地址的该些位编码为90等类似方法。本实施例中,该标识信息可以包含在该子网地址的如最后4位或者8位或者16位或者其它位上,本实施例在此不作特别限制。例如,图2b为本实施例中IPv6地址格式示意图,如图2b所示,对于128位的IPv6地址,子网地址和主机地址各占64位,子网地址中的第57-64位编码为10则代表该网站为新闻类网站,子网地址中的第57-64位编码为20则代表该网站为电子商务类网站等。因此,可以通过该IP数据包的IP地址的子网地址中的标识信息获知该IP数据包的业务类型。
[0062]步骤202、提取所述IP数据包携带的业务数据,并对所述业务数据的类型进行识另IJ,确定所述IP数据包中包含的业务数据为第一业务类型。
[0063]本实施例中,通过利用深度包检测(Deep Packet Inspect1n,简称DPI)技术提取IP数据包携带的业务数据如URL,具体应用层数据等,通过根据URL和/或数据包中具体内容中的关键字对该IP数据包携带的业务数据进行简单地数据解析,只需识别该IP数据包内容的类别,并对已识别的IP数据包内容类型进行分类,如数据包具体内容中包含“晨报”等类似关键字,则该网页是新闻网站并以“ 1”为代表,包含“明星”,“电影”等类似关键字,则该网页是娱乐网站并以“3”为代表,而不需要进行过多的分析和恶意代码检测。比如,1、2及3三种类型,其中1、2及3分别代表:新闻类、电子商务类及娱乐类,通过分析确定该IP数据包中包含的业务数据为第一业务类型,例如为类型1或者2或者3。
[0064]步骤203、根据所述标识信息,确定所述IP地址对应的第二业务类型。
[0065]同时,根据IP地址中包含用于指示该IP地址对应的业务类型的标识信息,对IP数据包的IP地址中特定bit位数值进行分析,可以快速地确定该IP地址对应的第二业务类型,例如,对于IPv6地址,子网地址中的第57位-64位为10、20及30分别代表1新闻类、2电子商务类及3娱乐类。
[0066]步骤204、比较所述第一业务类型和第二业务类型是否一致;若不一致,则对所述IP数据包进行过滤处理。
[0067]需要说明的是,若一个网站是正规网站,则一定满足上述第一业务类型和第二业务类型一致。因此,若通过将同一 IP数据包根据DPI分类(即第一业务类型)与根据该IP数据包的IP地址所携带业务类型信息分类(即第二业务类型)的结果进行比对,判断该第一业务类型和第二业务类型是否一致,若不一致,则说明该IP地址对应的网站有问题,是假冒网站,可能是钓鱼网站,例如,通过DPI方式对IP数据包应用层数据的分析结果为电子商务类购物网站,而通过IP地址所携带的业务类型信息判断该IP数据包是新闻网站,则说明该网站是一个假冒的网站。根据事先设定的安全策略对该IP数据包进行相应地过滤处理,例如,丢弃该IP数据包,或者对用户弹出提示告警,由用户手动进行确认。
[0068]而若判断该第一业务类型和第二业务类型一致,则亦根据事先设定的安全策略对该IP数据包进行相应地处理,例如,可以将该数据放行。
[0069]本实施例,通过接收IP地址中含有指示该IP地址对应业务类型标识信息的IP数据包,使用DPI对该IP数据包检测分析该IP数据包包含的业务数据类型,以及根据该IP数据包的IP地址中的标识信息判断该IP数据包包含的业务数据类型,将通过两种方式得到的业务数据类型进行比对判断,根据比对判断的结果对该IP数据包进行过滤处理,大大提高了检测速度,满足实时检测的要求,同时提高了检测的准确率。
[0070]图3为本发明数据包处理方法实施例三的流程示意图,如图3所示,本实施例与图2所示实施例的区别在于本实施例中直接根据IP数据包的IP地址中携带的该IP数据包的内容分类信息对该IP数据包进行过滤处理,本实施例的方法可以包括:
[0071]步骤301、接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息。
[0072]本实施例中,具体地所述标识信息为子网地址中预定位置比特位的编码值。本实施例中,该标识信息可以包含在该子网地址的如最后4位或者8位或者16位或者其它位上,本实施例在此不作特别限制。例如,对于IPv6地址,可以根据IP数据包内容的信息不同,在IP地址的子网地址的后8位即第57-64位给予固定编码代表不同类型的内容信息。
[0073]步骤302、根据所述标识信息,确定所述IP地址对应的业务类型。
[0074]本实施例中,执行主体为数据包处理装置,例如可以为上网行为管理设备,上网行为管理设备根据IP地址中包含用于指示该IP地址对应的业务类型的标识信息,对IP数据包的IP地址中特定bit位数值可以通过查询内容分类信息表进行分析,例如,对于IPv6地址,子网地址中的第57位-64位为10、20及30分别代表I新闻类、2电子商务类及3娱乐类,从而可以快速地确定该IP地址对应的业务类型。
[0075]步骤303、采用与所述业务类型对应的安全策略,对所述IP数据包进行过滤处理。
[0076]本实施例中,上网行为管理设备采用业务类型对应的安全策略之前,还可根据事先设定的各分类信息对应的安全策略查询与该业务类型对应的安全策略,例如,公司禁止员工在上班时间上娱乐类及购物类网站,只允许上技术类网站,或者禁止孩子在某个时间段上相关游戏网站等。从而上网行为管理设备根据与该IP数据包的业务类型相应的安全策略对该IP数据包进行相应地过滤处理,例如丢包或者放行处理。
[0077]本实施例,通过接收IP地址中含有指示该IP地址对应业务类型标识信息的IP数据包,并直接根据该IP数据包的IP地址中的标识信息对该IP数据包进行过滤处理,大大提高了检测及处理速度,满足实时检测的要求。
[0078]图4为本发明数据包处理方法实施例四的流程示意图。本实施例的执行主体为数据包处理装置,该装置可以通过软件和/或硬件实现。如图4所示,本实施例的方法可以包括:
[0079]步骤401、生成IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息。
[0080]根据上述实施例可知,目前IP协议包含IPv4和IPv6,而其中IPv6采用128位地址长度,扩大了地址空间,带来了地址的极大丰富,有比较多的空闲bit位。而对于IPv4,虽然在大部分地区IPv4地址比较紧张,没有太多空闲地址可以用来标示内容类型,但是不排除在某些IP地址丰富的国家或者地区,或者分配给大企业的IPv4地址,也可以使用某些空闲bit位来标示网站内容类型。因此,本实施例中,可以根据网站服务内容信息不同,对IP地址进一步地划分,即可按照网站服务内容不同,在IP地址中特定位给予固定的编码,即在IP地址中嵌入了 IP地址所指向的内容。
[0081]本实施例中,生成的IP数据包即IP报文,该IP报文不一定是单个报文,可以是基于同一连接的连续多个IP报文,即某条数据流。该IP数据包的IP地址中包含用于指示该IP地址对应的业务类型的标识信息,例如社交类网站的IP地址的特定位,如第a位到第b位编码为80,新闻类类网站的该些位编码为90等类似方法,其中a位到b位为该IP地址中任意若干地址位。因此,数据包处理装置可以通过该IP数据包的IP地址中的标识信息获知该IP数据包的业务类型。
[0082]步骤402、发送所述IP数据包。
[0083]向网关类设备或客户端软件发送该IP数据包,该IP数据包的IP地址中包含用于指示该IP地址对应的业务类型的标识信息,以便于网关类设备或客户端软件根据该IP数据包所携带的业务类型的信息对IP数据包进行快速地过滤处理。
[0084]本实施例中,所述IP数据包可以为IPv6数据包或IPv4数据包,对应地,所述IP地址可以为IPv6地址或IPv4地址。
[0085]根据上述可知IPv6采用128位地址长度,扩大了地址空间,有比较多的空闲bit位,本实施例中可以根据网站服务内容不同,对IP地址进一步地划分,因此,IP数据包为IPv6数据包及IP地址为IPv6地址时可以实现本发明上述技术方案。而对于IPv4,虽然在大部分地区IPv4地址比较紧张,没有太多空闲地址可以用来标示内容类型,但是不排除在某些IP地址丰富的国家或者地区,或者分配给大企业的IPv4地址,也可以使用某些空闲bit位来标示网站内容类型,因此,IP数据包为IPv4数据包及IP地址为IPv4地址时亦可以实现本发明上述技术方案。
[0086]进一步地,所述标识信息为子网地址中预定位置比特位的编码值。本实施例中,数据包处理装置生成IP数据包,该IP数据包的IP地址的子网地址中包含用于指示该IP地址对应的业务类型的标识信息,例如社交类网站的IP地址中子网地址部分的特定位,如第a位到第b位编码为80,新闻类类网站的该位编码为90等类似方法。本实施例中,该标识信息可以包含在该子网地址的如最后4位或者8位或者16位或者其它位上,本实施例在此不作特别限制。例如,对于128位的IPv6地址,子网地址中的第57-64位编码为10则代表该网站为新闻类网站,第57-64位编码为20则代表该网站为电子商务类网站等。
[0087]本实施例,通过生成IP地址中含有指示该IP地址对应业务类型标识信息的IP数据包,并发送该IP数据包,以便于对IP数据包进行过滤处理,大大提高了检测速度,满足实时检测的要求。
[0088]图5为本发明数据包处理装置实施例一的结构示意图。本实施例中的数据包处理装置可以设置在用户侧。本实施例提供的数据包处理装置50包括:接收模块501及处理模块 502。
[0089]其中,接收模块501用于接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息;
[0090]处理模块502用于根据所述标识信息,对所述IP数据包进行过滤处理。
[0091]可选地,所述IP数据包为IPv6数据包或IPv4数据包;对应地,所述IP地址为IPv6地址或IPv4地址。
[0092]本实施例的数据包处理装置,可以用于数据包处理方法实施例一的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0093]图6为本发明数据包处理装置实施例二的结构示意图,如图6所示,本实施例提供的数据包处理装置50在图5所示数据包处理装置结构的基础上,所述处理模块502可以包括:
[0094]识别单元5021,用于提取所述IP数据包携带的业务数据,并对业务数据的类型进行识别,确定所述IP数据包中包含的业务数据为第一业务类型,并且,根据所述标识信息,确定所述IP地址对应的第二业务类型;
[0095]比较单元5022,用于比较所述识别单元5021确定的所述第一业务类型和第二业务类型是否一致;
[0096]第一处理单元5023,用于若所述比较单元5022的比较结果不一致,则对所述IP数据包进行过滤处理。
[0097]可选地,所述标识信息为子网地址中预定位置比特位的编码值。
[0098]本实施例的数据包处理装置,可以用于数据包处理方法实施例二的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0099]图7为本发明数据包处理装置实施例三的结构示意图,如图7所示,本实施例提供的数据包处理装置50在图5所示数据包处理装置结构的基础上,所述处理模块502可以包括:
[0100]确定单元5024,用于根据所述标识信息,确定所述IP地址对应的业务类型;
[0101]第二处理单元5025,用于采用与所述确定单元5024确定的所述业务类型对应的安全策略,对所述IP数据包进行过滤处理。
[0102]可选地,所述标识信息为子网地址中预定位置比特位的编码值。
[0103]本实施例的数据包处理装置,可以用于数据包处理方法实施例三的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0104]图8为本发明数据包处理装置实施例四的结构示意图。本实施例中的数据包处理装置可以设置在网络侧。本实施例提供的数据包处理装置80包括:生成模块801及发送模块 802。
[0105]其中,生成模块801,用于生成IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息;
[0106]发送模块802,用于发送所述IP数据包。
[0107]可选地,所述标识信息为子网地址中预定位置比特位的编码值。可选地,所述IP数据包为IPv6数据包或IPv4数据包;对应地,所述IP地址为IPv6地址或IPv4地址。
[0108]本实施例的数据包处理装置,可以用于数据包处理方法实施例四的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0109]图9为本发明实施例提供的数据包处理设备的结构示意图。如图9所示,本实施例提供的数据包处理设备90包括处理器901和存储器902。数据包处理设备90还可以包括网络接口单元903,该网络接口单元903可以和处理器901相连。其中,网络接口单元903用于接收IP数据包,存储器902用于存储执行指令,当设备90运行时,处理器901与存储器902之间通信,处理器901调用存储器902中的执行指令,用于对所述网络接口单元903接收的所述IP数据包执行以下操作:
[0110]根据所述IP数据包的IP地址中包含的用于指示所述IP地址对应的业务类型的标识信息,对所述IP数据包进行过滤处理。
[0111]可选地,所述标识信息为子网地址中预定位置比特位的编码值。
[0112]可选地,所述根据所述标识信息,对所述IP数据包进行过滤处理,包括:
[0113]提取所述IP数据包携带的业务数据,并对所述业务数据的类型进行识别,确定所述IP数据包中包含的业务数据为第一业务类型,并且,根据所述标识信息,确定所述IP地址对应的第二业务类型;
[0114]比较所述第一业务类型和第二业务类型是否一致;
[0115]若不一致,则对所述IP数据包进行过滤处理。
[0116]可选地,所述根据所述标识信息,对所述IP数据包进行过滤处理,包括:
[0117]根据所述标识信息,确定所述IP地址对应的业务类型;
[0118]采用与所述业务类型对应的安全策略,对所述IP数据包进行过滤处理。
[0119]可选地,所述IP数据包为IPv6数据包或IPv4数据包;
[0120]对应地,所述IP地址为IPv6地址或IPv4地址。
[0121]本实施例的设备,可以用于执行本发明任意实施例所提供的数据包处理方法的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0122]本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0123]最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【权利要求】
1.一种数据包处理方法,其特征在于,包括: 接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息; 根据所述标识信息,对所述IP数据包进行过滤处理。
2.根据权利要求1所述的方法,其特征在于,所述标识信息为子网地址中预定位置比特位的编码值。
3.根据权利要求1或2所述的方法,其特征在于,所述根据所述标识信息,对所述IP数据包进行过滤处理,包括: 提取所述IP数据包携带的业务数据,并对所述业务数据的类型进行识别,确定所述IP数据包中包含的业务数据为第一业务类型,并且,根据所述标识信息,确定所述IP地址对应的第二业务类型; 比较所述第一业务类型和第二业务类型是否一致; 若不一致,则对所述IP数据包进行过滤处理。
4.根据权利要求1或2所述的方法,其特征在于,所述根据所述标识信息,对所述IP数据包进行过滤处理,包括: 根据所述标识信息,确定所述IP地址对应的业务类型; 采用与所述业务类型对应的安全策略,对所述IP数据包进行过滤处理。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述IP数据包为IPv6数据包或IPv4数据包; 对应地,所述IP地址为IPv6地址或IPv4地址。
6.一种数据包处理装置,其特征在于,包括: 接收模块,用于接收IP数据包,所述IP数据包的IP地址中包含用于指示所述IP地址对应的业务类型的标识信息; 处理模块,用于根据所述标识信息,对所述IP数据包进行过滤处理。
7.根据权利要求6所述的装置,其特征在于,所述标识信息为子网地址中预定位置比特位的编码值。
8.根据权利要求6或7所述的装置,其特征在于,所述处理模块包括: 识别单元,用于提取所述IP数据包携带的业务数据,并对所述业务数据的类型进行识另O,确定所述IP数据包中包含的业务数据为第一业务类型,并且,根据所述标识信息,确定所述IP地址对应的第二业务类型; 比较单元,用于比较所述识别单元确定的所述第一业务类型和第二业务类型是否一致; 第一处理单元,用于若所述比较单元的比较结果不一致,则对所述IP数据包进行过滤处理。
9.根据权利要求6或7所述的装置,其特征在于,所述处理模块包括: 确定单元,用于根据所述标识信息,确定所述IP地址对应的业务类型; 第二处理单元,用于采用与所述确定单元确定的所述业务类型对应的安全策略,对所述IP数据包进行过滤处理。
10.根据权利要求6-9中任一项所述的装置,其特征在于,所述IP数据包为IPv6数据包或IPv4数据包;对应地,所述IP地址为IPv6地址或IPv4地址。
【文档编号】H04L29/06GK104348776SQ201310312190
【公开日】2015年2月11日 申请日期:2013年7月23日 优先权日:2013年7月23日
【发明者】黄敏 申请人:华为技术有限公司