基于IPv6地址映射流标签实现业务标识的方法及系统与流程

基于ipv6地址映射流标签实现业务标识的方法及系统
技术领域
1.本发明涉及网络通信领领域，更具体的，涉及一种基于ipv6地址映射流标签实现业务标识的方法及系统。


背景技术：

2.在ipv4传统网络中，要基于业务实现策略控制一般是采用访问控制列表进行业务标识。访问控制列表（access control lists，acl）是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。
3.acl对数据包的五元组进行标识，即源ip、目的ip、源端口、目的端口和协议，每一个或者多个五元组的信息可以表示一个业务。当我们将一条或者多条acl组合成一个规则集，再配置到网络设备的接口上并匹配放行或者丢弃的动作，即实现基于业务的访问控制策略。
4.近年来，企业网络正在由ipv4向ipv6大规模演进。ipv6拥有128位的地址空间，地址数量庞大，同时还有动态地址、临时地址等特点，传统的acl方式在ipv6网络中遭遇很多困难和挑战。
5.由于ipv6后64地址位是主机位，在地址分配时会自动带入主机的mac地址（eui-64模式），直接用分配的ipv6地址通信存在对外保留主机敏感信息的安全风险。因此，操作系统通过生成的一个临时ipv6地址对外通信，这个临时地址在网络中难以被监测和管理，导致无法配置五元组实现精确的业务标识。ipv6地址拥有64位网络位，64位主机位，给每一个终端设备可分配的ipv6地址数量及其庞大，且后64位主机往往是随机动态生成。当我们配置acl策略时需要精确控制每一个源ip地址和目的ip地址，这会带来巨大的配置和维护工作量，繁琐且效率低下。另外，acl是基于每一个五元组的策略进行控制，在ipv6的网络环境中，所有的acl策略都需要在网络设备（如路由器）上进行手工配置实现，任何一次变更都需要手工更改策略配置。由于业务总在不断变化，对业务的acl保障策略也需要随之灵活调整，全手工的管理方式将难以实现业务保障的运维目标。
6.因此，现在亟需一种基于ipv6地址实现高效业务标识的方法。


技术实现要素：

7.为了解决上述至少一个技术问题，本发明提出了一种基于ipv6地址映射流标签实现业务标识的方法及系统。
8.本发明第一方面提供了一种基于ipv6地址映射流标签实现业务标识方法，包括：获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息；根据ipv6地址空间，对业务标识信息进行编码得到对应流标签数据；
将业务标识信息与流标签数据的映射关系进行记录得到流标签映射关系表；根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行。
9.本方案中，所述获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息，之前包括：从业务大数据中搜索业务关键词数据，并将所述关键词进行文本数据汇总，得到关键词文本数据；根据关键词文本数据，对获取的业务描述数据进行关键词匹配搜索与对应频率分析，将高于预设频率的关键词进行标记得到标识关键词；将所述标识关键词进行语义分析与组合，得到业务标识信息。
10.本方案中，所述获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息，具体为：构建业务标识数据库；将业务标识信息导入业务标识数据库，对导入的数据进行重复性检查；若存在重复的业务标识信息，将其中重复的业务标识信息导出数据库，并根据相应的导入记录，得到对应的标识关键词；将频率较低的标识关键词进行相似词组替换，得到新的标识关键词；将新的标识关键词进行语义分析与重新组合，得到更新后的业务标识信息，将更新后的业务标识信息导入业务标识数据库。
11.本方案中，所述根据ipv6地址空间，对业务标识信息进行编码得到对应流标签数据，具体为：将业务标识信息进行业务关键词分析，得到业务应用信息；根据业务应用信息进行一对一的流标签编码，得到流标签数据。
12.本方案中，所述根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行，具体为：根据业务标识信息，获取相应的业务行为决策；根据业务行为决策进行控制行为配置转换，得到对应的流标签控制行为；根据流标签映射关系表，将业务标识信息中的流标签与流标签控制行为进行一一对应，形成业务访问控制策略表。
13.本方案中，所述根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行，还包括：获取ipv6待识别地址；将ipv6待识别地址进行地址解析得到业务识别地址段与流标签；根据流标签映射关系表，将所述业务识别地址段与流标签进行业务识别与访问控制识别，得到对应的业务标识信息与控制策略信息。
14.本方案中，还包括:根据实际网络业务通信，获取一组基于ipv6的网络数据；对所述网络数据进行业务识别并统计分析，得到业务标识信息频率；根据业务标识信息频率的大小进行排序，并根据排序结果将对应流标签映射关系
表进行顺序调整，得到高效的流标签映射关系表。
15.本发明第二方面还提供了一种基于ipv6地址映射流标签实现业务标识系统，该系统包括：存储器、处理器，所述存储器中包括基于ipv6地址映射流标签实现业务标识方法程序，所述基于ipv6地址映射流标签实现业务标识方法程序被所述处理器执行时实现如下步骤：获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息；根据ipv6地址空间，对业务标识信息进行编码得到对应流标签数据；将业务标识信息与流标签数据的映射关系进行记录得到流标签映射关系表；根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行。
16.本方案中，所述获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息，之前包括：从业务大数据中搜索业务关键词数据，并将所述关键词进行文本数据汇总，得到关键词文本数据；根据关键词文本数据，对获取的业务描述数据进行关键词匹配搜索与对应频率分析，将高于预设频率的关键词进行标记得到标识关键词；将所述标识关键词进行语义分析与组合，得到业务标识信息。
17.本方案中，所述获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息，具体为：构建业务标识数据库；将业务标识信息导入业务标识数据库，对导入的数据进行重复性检查；若存在重复的业务标识信息，将其中重复的业务标识信息导出数据库，并根据相应的导入记录，得到对应的标识关键词；将频率较低的标识关键词进行相似词组替换，得到新的标识关键词；将新的标识关键词进行语义分析与重新组合，得到更新后的业务标识信息，将更新后的业务标识信息导入业务标识数据库。
18.针对传统网络中acl（access control lists）访问控制列表）无法自动识别业务、策略配置复杂、维护工作量大、难以调度管理等问题，本发明公开了一种基于ipv6地址映射流标签实现业务标识的方法及系统，通过自定义ipv6地址规划，将ipv6地址的规划语义对ipv6报文的流标签（flow lable）进行映射，形成流标签映射关系表，根据流标签映射关系表中的业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行，本发明实现基于业务的精细化网络运维和安全防护，提升自动化工作效率，显著降低运维成本。
附图说明
19.图1示出了本发明一种基于ipv6地址映射流标签实现业务标识方法的流程图；图2示出了本发明获取业务标识信息流程图；图3示出了本发明获取业务访问控制策略表流程图；
图4示出了本发明一种基于ipv6地址映射流标签实现业务标识系统的框图。
具体实施方式
20.为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本技术的实施例及实施例中的特征可以相互组合。
21.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。
22.图1示出了本发明一种基于ipv6地址映射流标签实现业务标识方法的流程图。
23.如图1所示，本发明第一方面提供了一种基于ipv6地址映射流标签实现业务标识方法，包括：s102，获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息；s104，根据ipv6地址空间，对业务标识信息进行编码得到对应流标签数据；s106，将业务标识信息与流标签数据的映射关系进行记录得到流标签映射关系表；s108，根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行。
24.图2示出了本发明获取业务标识信息流程图。
25.根据本发明实施例，所述获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息，之前包括：s202，从业务大数据中搜索业务关键词数据，并将所述关键词进行文本数据汇总，得到关键词文本数据；s204，根据关键词文本数据，对获取的业务描述数据进行关键词匹配搜索与对应频率分析，将高于预设频率的关键词进行标记得到标识关键词；s206，将所述标识关键词进行语义分析与组合，得到业务标识信息。
26.需要说明的是，所述业务大数据包括所有的业务描述文本数据，所述关键词文本数据为描述业务语言中基本的分词数据，具有简单准确描述业务的作用。所述将所述标识关键词进行语义分析与组合，得到业务标识信息中，得到的业务标识信息具体为对业务描述数据进行唯一标识的信息。
27.根据本发明实施例，所述获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息，具体为：构建业务标识数据库；将业务标识信息导入业务标识数据库，对导入的数据进行重复性检查；若存在重复的业务标识信息，将其中重复的业务标识信息导出数据库，并根据相应的导入记录，得到对应的标识关键词；将频率较低的标识关键词进行相似词组替换，得到新的标识关键词；将新的标识关键词进行语义分析与重新组合，得到更新后的业务标识信息，将更
新后的业务标识信息导入业务标识数据库。
28.需要说明的是，所述若存在重复的业务标识信息，将其中重复的业务标识信息导出数据库，并根据相应的导入记录，得到对应的标识关键词中，重复的业务标识信息一般为两条，将其中重复的业务标识信息导出数据库具体为将其中一条信息进行导出，另一条信息保留原数据库中。所述将新的标识关键词进行语义分析与重新组合，得到更新后的业务标识信息，将更新后的业务标识信息导入业务标识数据库之后，能够保证在业务标识数据库中每条信息记录完整且独立无重复，具有唯一标识的特点。
29.根据本发明实施例，所述根据ipv6地址空间，对业务标识信息进行编码得到对应流标签数据，具体为：将业务标识信息进行业务关键词分析，得到业务应用信息；根据业务应用信息进行一对一的流标签编码，得到流标签数据。
30.需要说明的是，所述将业务标识信息进行业务关键词分析，得到业务应用信息中，一种业务标识信息对应一种业务应用信息。
31.图3示出了本发明获取业务访问控制策略表流程图。
32.根据本发明实施例，所述根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行，具体为：s302，根据业务标识信息，获取相应的业务行为决策；s304，根据业务行为决策进行控制行为配置转换，得到对应的流标签控制行为；s306，根据流标签映射关系表，将业务标识信息中的流标签与流标签控制行为进行一一对应，形成业务访问控制策略表。
33.需要说明的是，一条业务标识信息对应一种流标签和一种流标签控制行为。所述流标签控制行为包括网络中的放行、丢弃等，所述业务访问控制策略表内容包括业务应用、业务标识、流标签、通行策略等、所述通行策略即为控制行为。本发明通过建立业务访问控制策略表，能有进一步实现网络自动化工作效率，提高业务的精细化网络运维和安全防护效率，降低人工运维成本。
34.根据本发明实施例，所述根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行，还包括：获取ipv6待识别地址；将ipv6待识别地址进行地址解析得到业务识别地址段与流标签；根据流标签映射关系表，将所述业务识别地址段与流标签进行业务识别与访问控制识别，得到对应的业务标识信息与控制策略信息。
35.结合企业业务数据分类，统计业务量，对高频业务进行关系表的顺序调换，提高业务识别效率。
36.根据本发明实施例，还包括:根据实际网络业务通信，获取一组基于ipv6的网络数据；对所述网络数据进行业务识别并统计分析，得到业务标识信息频率；根据业务标识信息频率的大小进行排序，并根据排序结果将对应流标签映射关系表进行顺序调整，得到高效的流标签映射关系表。
37.需要说明的是，在实际网络业务通信中，由于不同企业其业务范围与业务数据的
侧重点不同，对不同的业务数据网络传输的频率也有所差异，本发明通过获取在实际网络业务通信中的数据进行业务识别并统计分析，能够得到相应的业务标识信息频率，根据频率对流标签映射关系表进行顺序的重新调整，具体为将使用频率较高的业务标识信息排在关系表靠前位置，从而大大提高网络识别与访问的效率。
38.根据本发明实施例，还包括：获取ipv6待识别地址进行地址解析得到的业务识别地址段与流标签；检查业务识别地址段是否符合预设条件；若所述业务识别地址段不符合预设条件，则对业务识别地址段进行异常数据分析，得到异常类型信息；根据异常类型信息对业务识别地址段进行数据地址修复并根据修复后的业务识别地址段获取对应的业务标识信息与控制策略信息。
39.需要说明的是，在实际网络传输中，常常会因为一些不可抗力因素导致ipv6地址错误的情况，进一步容易致使后续业务标识识别错误的情况发生。本发明通过对地址段进行预先检查，检测出异常错误类型，并作出有针对性的数据修复操作，能够有效提高ipv6业务识别的可靠性与精准性。所述预设条件具体为对地址段进行完整性条件与地址段范围性条件检查。
40.另外，所述异常类型信息包括数据丢失异常类型与数据错误异常类型。在根据异常类型信息对业务识别地址段进行数据地址修复并根据修复后的业务识别地址段获取对应的业务标识信息与控制策略信息中，若异常类型信息为数据丢失异常类型，则进行数据地址完整性修复，若异常类型信息为数据错误异常类型，则进行数据地址纠错修复。
41.为了更好地说明本发明具体实施例，以下对ipv6地址语义规划进行举例说明。
42.如表1所示，示例的ipv6为有固定前缀的地址段，作为地址规划和业务标识的基础（在真实环境中，该地址段一般为本单位全部的ipv6地址空间），本例以“fd00::/40”进行说明。对“fd00::/40”地址段进行语义规划，规划方案如表1所示。根据规划方案，“fd00:0000:0001:0001::/64”表示“北京分公司数据中心的门户应用的地址段”；“fd00:0000:0001:0002::/64”表示“北京分公司数据中心的oa应用的地址段”。
43.表1 ipv6地址规划方案如表2，ipv6地址业务标识规划所示。fd00:0000:0001:0001:0001::/80唯一标识了门户应用，fd00:0000:0001:0002:0002::/80唯一标识了oa应用。
44.表2 ipv6地址业务标识规划
如表3所示。其中，“北京分公司数据中心的门户应用”的流标签标识为“00001”，“北京分公司数据中心的oa应用”的流标签标识为“00002”，实现对业务的精确识别和自动标识。
45.表3业务标识与流标签的映射表如表4所示业务访问控制策略表。对于门户应用配置“放行”策略，对于oa应用配置“丢弃”策略。
46.表4业务访问控制策略表图4示出了本发明一种基于ipv6地址映射流标签实现业务标识系统的框图。
47.本发明第二方面还提供了一种基于ipv6地址映射流标签实现业务标识系统4，该系统包括：存储器41、处理器42，所述存储器中包括基于ipv6地址映射流标签实现业务标识方法程序，所述基于ipv6地址映射流标签实现业务标识方法程序被所述处理器执行时实现如下步骤：获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息；根据ipv6地址空间，对业务标识信息进行编码得到对应流标签数据；将业务标识信息与流标签数据的映射关系进行记录得到流标签映射关系表；根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行。
48.根据本发明实施例，所述获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息，之前包括：从业务大数据中搜索业务关键词数据，并将所述关键词进行文本数据汇总，得到关键词文本数据；根据关键词文本数据，对获取的业务描述数据进行关键词匹配搜索与对应频率分析，将高于预设频率的关键词进行标记得到标识关键词；将所述标识关键词进行语义分析与组合，得到业务标识信息。
49.需要说明的是，所述业务大数据包括所有的业务描述文本数据，所述关键词文本
数据为描述业务语言中基本的分词数据，具有简单准确描述业务的作用。所述将所述标识关键词进行语义分析与组合，得到业务标识信息中，得到的业务标识信息具体为对业务描述数据进行唯一标识的信息。
50.根据本发明实施例，所述获取业务描述数据，根据业务描述数据进行语义分割与类型分析，得到业务标识信息，具体为：构建业务标识数据库；将业务标识信息导入业务标识数据库，对导入的数据进行重复性检查；若存在重复的业务标识信息，将其中重复的业务标识信息导出数据库，并根据相应的导入记录，得到对应的标识关键词；将频率较低的标识关键词进行相似词组替换，得到新的标识关键词；将新的标识关键词进行语义分析与重新组合，得到更新后的业务标识信息，将更新后的业务标识信息导入业务标识数据库。
51.需要说明的是，所述若存在重复的业务标识信息，将其中重复的业务标识信息导出数据库，并根据相应的导入记录，得到对应的标识关键词中，重复的业务标识信息一般为两条，将其中重复的业务标识信息导出数据库具体为将其中一条信息进行导出，另一条信息保留原数据库中。所述将新的标识关键词进行语义分析与重新组合，得到更新后的业务标识信息，将更新后的业务标识信息导入业务标识数据库之后，能够保证在业务标识数据库中每条信息记录完整且独立无重复，具有唯一标识的特点。
52.根据本发明实施例，所述根据ipv6地址空间，对业务标识信息进行编码得到对应流标签数据，具体为：将业务标识信息进行业务关键词分析，得到业务应用信息；根据业务应用信息进行一对一的流标签编码，得到流标签数据。
53.需要说明的是，所述将业务标识信息进行业务关键词分析，得到业务应用信息中，一种业务标识信息对应一种业务应用信息。
54.根据本发明实施例，所述根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行，具体为：根据业务标识信息，获取相应的业务行为决策；根据业务行为决策进行控制行为配置转换，得到对应的流标签控制行为；根据流标签映射关系表，将业务标识信息中的流标签与流标签控制行为进行一一对应，形成业务访问控制策略表。
55.需要说明的是，一条业务标识信息对应一种流标签和一种流标签控制行为。所述流标签控制行为包括网络中的放行、丢弃等，所述业务访问控制策略表内容包括业务应用、业务标识、流标签、通行策略等、所述通行策略即为控制行为。本发明通过建立业务访问控制策略表，能有进一步实现网络自动化工作效率，提高业务的精细化网络运维和安全防护效率，降低人工运维成本。
56.根据本发明实施例，所述根据流标签映射关系表中业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行，还包括：获取ipv6待识别地址；将ipv6待识别地址进行地址解析得到业务识别地址段与流标签；
根据流标签映射关系表，将所述业务识别地址段与流标签进行业务识别与访问控制识别，得到对应的业务标识信息与控制策略信息。
57.结合企业业务数据分类，统计业务量，对高频业务进行关系表的顺序调换，提高业务识别效率。
58.根据本发明实施例，还包括:根据实际网络业务通信，获取一组基于ipv6的网络数据；对所述网络数据进行业务识别并统计分析，得到业务标识信息频率；根据业务标识信息频率的大小进行排序，并根据排序结果将对应流标签映射关系表进行顺序调整，得到高效的流标签映射关系表。
59.需要说明的是，在实际网络业务通信中，由于不同企业其业务范围与业务数据的侧重点不同，对不同的业务数据网络传输的频率也有所差异，本发明通过获取在实际网络业务通信中的数据进行业务识别并统计分析，能够得到相应的业务标识信息频率，根据频率对流标签映射关系表进行顺序的重新调整，具体为将使用频率较高的业务标识信息排在关系表靠前位置，从而大大提高网络识别与访问的效率。
60.针对传统网络中acl（access control lists）访问控制列表）无法自动识别业务、策略配置复杂、维护工作量大、难以调度管理等问题，本发明公开了一种基于ipv6地址映射流标签实现业务标识的方法及系统，通过自定义ipv6地址规划，将ipv6地址的规划语义对ipv6报文的流标签（flow lable）进行映射，形成流标签映射关系表，根据流标签映射关系表中的业务标识信息，对流标签进行控制行为配置，得到业务标识策略数据，将业务标识策略数据发送至cpe设备执行，本发明实现基于业务的精细化网络运维和安全防护，提升自动化工作效率，显著降低运维成本。
61.在本技术所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
62.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
63.另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
64.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
65.或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品
销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机、服务器、或者网络设备等）执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
66.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。