一种上网行为管理方法、装置及上网行为管理设备

技术领域

本申请涉及上网行为管理领域，具体涉及一种上网行为管理方法、装置及上网行为管理设备。

背景技术

随着互联网发展和应用的广泛，网络中存在海量的数据报文，如何高效地对数据报文进行传输，其中涉及的路由成为了互联网发展中的重要问题，传统的路由方式无法满足互联网对于高效路由和定制化服务的需求，因此IPv6扩展头技术在互联网及运营商网络得到广泛使用。

但是本申请发明人发现，现有技术在运行IPv6网络的网络设备中将IPv6数据报文直接按照原来的数据报文转发方式进行转发，在这过程中引入的上网行为管理应用，也是按照原来的上网行为管理策略进行访问控制处理，在上网行为管理方面存在欠缺精细度的问题。

发明内容

本申请提供了一种上网行为管理方法、装置及上网行为管理设备，用于针对IPv6数据报文，引入了更为精细化的上网行为管理处理架构，由此增加上网行为管理设备在IPv6场景下的多样性，并且也可以降低上网行为管理设备的工作压力和工作开销，以及提高上网行为管理设备所处网络的安全性、合规性。

第一方面，本申请提供了一种上网行为管理方法，方法包括：

上网行为管理设备获取网络架构中待进行访问控制的目标数据报文；

上网行为管理设备识别目标数据报文是否携带IPv6扩展头；

若目标数据报文未携带IPv6扩展头，则上网行为管理设备调用预先配置的通用数据报文访问控制策略对目标数据报文进行访问控制处理，其中，通用数据报文访问控制策略描述了对未携带有IPv6扩展头的数据报文进行访问控制时的处理内容；

若目标数据报文携带IPv6扩展头，则上网行为管理设备调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理，其中，IPv6数据报文访问控制策略描述了对携带有IPv6扩展头的数据报文进行访问控制时的处理内容。

结合本申请第一方面，在本申请第一方面第一种可能的实现方式中，上网行为管理设备识别目标数据报文是否携带IPv6扩展头，包括：

上网行为管理设备检测报头信息中NextHead字段的值是否为44；

若Next Head字段的值为44，则上网行为管理设备确定目标数据报文携带IPv6扩展头。

结合本申请第一方面，在本申请第一方面第二种可能的实现方式中，若目标数据报文携带IPv6扩展头，则上网行为管理设备调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理，包括：

若目标数据报文携带IPv6扩展头，则上网行为管理设备检测IPv6扩展头是否通过合法性校验；

若IPv6扩展头通过合法性校验，则上网行为管理设备调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理。

结合本申请第一方面，在本申请第一方面第三种可能的实现方式中，IPv6数据报文访问控制策略描述具体包括对逐跳选项报头、目的选项报头、路由选择报头、分片报头、认证扩展报头和封装安全载荷报头共六种类型的IPv6扩展头的数据报文进行访问控制时的处理内容。

结合本申请第一方面第三种可能的实现方式，在本申请第一方面第四种可能的实现方式中，处理内容包括阻断和放行两种处理方式。

结合本申请第一方面第三种可能的实现方式，在本申请第一方面第五种可能的实现方式中，方法还包括：

若是未命中六种类型的IPv6扩展头的IPv6扩展头的策略，则上网行为管理设备丢弃目标数据报文。

结合本申请第一方面第三种可能的实现方式，在本申请第一方面第六种可能的实现方式中，每种类型的处理内容配置有对应的优先级，高优先级的处理内容覆盖低优先级的处理内容。

第二方面，本申请提供了一种上网行为管理装置，装置包括：

获取单元，用于获取网络架构中待进行访问控制的目标数据报文；

识别单元，用于识别目标数据报文是否携带IPv6扩展头，若目标数据报文未携带IPv6扩展头，则触发第一访问控制处理单元，若目标数据报文携带IPv6扩展头，则触发第二访问控制处理单元；

第一访问控制处理单元，用于调用预先配置的通用数据报文访问控制策略对目标数据报文进行访问控制处理，其中，通用数据报文访问控制策略描述了对未携带有IPv6扩展头的数据报文进行访问控制时的处理内容；

第二访问控制处理单元，用于调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理，其中，IPv6数据报文访问控制策略描述了对携带有IPv6扩展头的数据报文进行访问控制时的处理内容。

结合本申请第二方面，在本申请第二方面第一种可能的实现方式中，识别单元，具体用于：

检测报头信息中NextHead字段的值是否为44；

若Next Head字段的值为44，则确定目标数据报文携带IPv6扩展头。

结合本申请第二方面，在本申请第二方面第二种可能的实现方式中，第二访问控制处理单元，具体用于：

若目标数据报文携带IPv6扩展头，则检测IPv6扩展头是否通过合法性校验；

若IPv6扩展头通过合法性校验，则调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理。

结合本申请第二方面，在本申请第二方面第三种可能的实现方式中，IPv6数据报文访问控制策略描述具体包括对逐跳选项报头、目的选项报头、路由选择报头、分片报头、认证扩展报头和封装安全载荷报头共六种类型的IPv6扩展头的数据报文进行访问控制时的处理内容。

结合本申请第二方面第三种可能的实现方式，在本申请第二方面第四种可能的实现方式中，处理内容包括阻断和放行两种处理方式。

结合本申请第二方面第三种可能的实现方式，在本申请第二方面第五种可能的实现方式中，第二访问控制处理单元，具体用于：

若是未命中六种类型的IPv6扩展头的IPv6扩展头的策略，则丢弃目标数据报文。

结合本申请第二方面第三种可能的实现方式，在本申请第二方面第六种可能的实现方式中，每种类型的处理内容配置有对应的优先级，高优先级的处理内容覆盖低优先级的处理内容。

第三方面，本申请提供了一种上网行为管理设备，包括处理器和存储器，存储器中存储有计算机程序，处理器调用存储器中的计算机程序时执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。

第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质存储有多条指令，指令适于处理器进行加载，以执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。

从以上内容可得出，本申请具有以下的有益效果：

本申请针对于数据报文是否携带IPv6扩展头的两种情况，分别配置了IPv6数据报文访问控制策略和通用数据报文访问控制策，在判断当前的目标数据报文是否携带IPv6扩展头之后，则可以针对携带IPv6扩展头的情况进行更为细腻的访问控制处理，如此针对IPv6数据报文，本申请引入了更为精细化的上网行为管理处理架构，由此增加上网行为管理设备在IPv6场景下的多样性，并且也可以降低上网行为管理设备的工作压力和工作开销，以及提高上网行为管理设备所处网络的安全性、合规性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请上网行为管理方法的一种流程示意图；

图2为本申请目标数据报文的报文信息的一种实例示意图；

图3为本申请IPv6扩展头的一种实例示意图；

图4为本申请上网行为管理装置的一种结构示意图；

图5为本申请上网行为管理设备的一种结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。在本申请中出现的对步骤进行的命名或者编号，并不意味着必须按照命名或者编号所指示的时间/逻辑先后顺序执行方法流程中的步骤，已经命名或者编号的流程步骤可以根据要实现的技术目的变更执行次序，只要能达到相同或者相类似的技术效果即可。

本申请中所出现的模块的划分，是一种逻辑上的划分，实际应用中实现时可以有另外的划分方式，例如多个模块可以结合成或集成在另一个系统中，或一些特征可以忽略，或不执行，另外，所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，模块之间的间接耦合或通信连接可以是电性或其他类似的形式，本申请中均不作限定。并且，作为分离部件说明的模块或子模块可以是也可以不是物理上的分离，可以是也可以不是物理模块，或者可以分布到多个电路模块中，可以根据实际的需要选择其中的部分或全部模块来实现本申请方案的目的。

在介绍本申请提供的上网行为管理方法之前，首先介绍本申请所涉及的背景内容。

本申请提供的上网行为管理方法、装置以及计算机可读存储介质，可应用于上网行为管理设备，用于针对IPv6数据报文，引入了更为精细化的上网行为管理处理架构，由此增加上网行为管理设备在IPv6场景下的多样性，并且也可以降低上网行为管理设备的工作压力和工作开销，以及提高上网行为管理设备所处网络的安全性、合规性。

本申请提及的上网行为管理方法，其执行主体可以为上网行为管理装置，或者集成了该上网行为管理装置的上网行为管理设备。其中，上网行为管理装置可以采用硬件或者软件的方式实现，而上网行为管理设备，既可以是网络架构中专门用于运行上网行为管理应用服务的专用设备，并通过本申请所提供的上网行为管理方法来进行更为精细化的上网行为管理，或者，上网行为管理设备也可以是网络架构中承载着上网行为管理应用服务的任意设备，其本身也承载有其他方面的应用服务，如此在完成其他方面的数据处理工作的同时，也可以通过本申请所提供的上网行为管理方法来进行更为精细化的上网行为管理。

作为一个实例，上网行为设备具体可以配置于公司的网络架构中，如此可以在公司网络中针对IPv6数据报文进行更为精细化的上网行为管理。

作为又一个实例，上网行为管理设备具体也可以配置于运营商网络架构中，如此可以在运营商网络中针对IPv6数据报文进行更为精细化的上网行为管理。

下面，开始介绍本申请提供的上网行为管理方法。

首先，参阅图1，图1示出了本申请上网行为管理方法的一种流程示意图，本申请提供的上网行为管理方法，具体可包括如下步骤S101至步骤S104：

步骤S101，上网行为管理设备获取网络架构中待进行访问控制的目标数据报文；

可以理解的是，对于上网行为管理设备而言，无论是网络架构中专门用于运行上网行为管理应用服务的专用设备，还是网络架构中承载着上网行为管理应用服务以及其他方面的应用服务的任意设备，在完成前期配置后进行上网行为管理时，首先要获取到的数据就是待进行访问控制的数据报文，为方便说明，本申请将其记为目标数据报文。

其中，该目标数据报文通常是网络架构中当前处于传输过程中的数据报文，如此，在数据报文传输过程中，上网行为管理设备可以在数据报文转发环节中施加访问控制，以达到更为高效、安全的处理效果。

对应的，上网行为管理设备如何获取到当前待进行访问控制的目标数据报文，容易理解，是可以参考现有技术的，该环节并不是本申请的方案重点，因此此处不再进行具体的展开说明。

步骤S102，上网行为管理设备识别目标数据报文是否携带IPv6扩展头；

可以理解的是，本申请并不是直接针对IPv6数据报文，而是具体针对的IPv6数据报文中的IPv6扩展头，可以理解，在实际情况下，并不是所有的IPv6数据报文都携带有IPv6扩展头的，而本申请所要实现的更为精细化的上网行为管理/访问控制，则是以IPv6扩展头作为基础来展开。

对此，本申请需要检测、识别当前的目标数据报文是否携带有IPv6扩展头。

其中，应当理解的是，此处对于IPv6扩展头的识别，通常只识别其存在与否，并不需要识别出具体的IPv6扩展头内容，更通俗来讲，只需要通过IPv6数据报文的相关报文特征来确定是否携带有IPv6扩展头即可。

此外，对于此处的处理，还可以先识别是否属于IPv6数据报文，再检测其是否携带有IPv6扩展头，其中，若是前面步骤S101所获取到的数据报文直接为IPv6数据报文的话，那就无需进行是否为IPv6数据报文的识别了。

而对于不是IPv6数据报文的数据报文(不是IPv6数据报文的话必然未携带IPv6扩展头)和未携带IPv6扩展头的IPv6数据报文，显然，则只需要按照传统的、通用的数据报文对待方式，进行相应的上网行为管理/访问控制，这就需要触发后续的步骤S103进行处理。

反之，对于携带IPv6扩展头的IPv6数据报文，则需要按照本申请特别配置的上网行为管理策略/访问控制策略，来进行相应的上网行为管理/访问控制，这就需要触发后续的步骤S104进行处理。

步骤S103，若目标数据报文未携带IPv6扩展头，则上网行为管理设备调用预先配置的通用数据报文访问控制策略对目标数据报文进行访问控制处理，其中，通用数据报文访问控制策略描述了对未携带有IPv6扩展头的数据报文进行访问控制时的处理内容；

可以理解的是，对于未携带IPv6扩展头的目标数据报文，则可以按照通用数据报文访问控制策略进行处理，该通用数据报文访问控制策略可以直接采用传统的、原来的数据报文访问控制策略的内容。

步骤S104，若目标数据报文携带IPv6扩展头，则上网行为管理设备调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理，其中，IPv6数据报文访问控制策略描述了对携带有IPv6扩展头的数据报文进行访问控制时的处理内容。

可以理解的是，对于携带IPv6扩展头的目标数据报文，则可以按照本申请特别设置的IPv6数据报文访问控制策略，对其进行处理。

其中，具体的，对应于上面提及的本申请是以IPv6扩展头作为基础来展开更为精细化的上网行为管理/访问控制，对此，该IPv6数据报文访问控制策略，则可以针对IPv6扩展头所涉及内容的差异，来进行差异化的上网行为管理/访问控制，如此可以获得灵活的、高适配性的处理效果。

而在该情况下，容易理解，更为精细化的上网行为管理/访问控制，通常是基于安全考量来配置的，也因此，可以提高上网行为管理设备所处网络的安全性、合规性；

此外，直接基于IPv6扩展头来展开上网行为管理/访问控制，相较于传统基于更为复杂化的报文内容来进行差异化管理，本申请引入了IPv6扩展头这一颗粒度，也有助于简化上网行为管理设备的处理架构，如此可以有效降低上网行为管理设备的工作压力和工作开销。

此外，对于转发目标数据报文的相关网络设备(一些情况下包括上网行为管理设备本身)而言，若是基于IPv6扩展头这一新的颗粒度来确定目标数据报文无需进行转发，显然还可以直接避免转发目标数据报文所需的数据处理和网络开销，这也可以进一步加强有效降低上网行为管理设备的工作压力和工作开销这一优点。

从而，通过上述优点，有效丰富了各类数据报文中IPv6数据报文的上网行为管理/访问控制，提高了上网行为管理设备的应用场景的多样性，提高适用的业务范围，增强其应用范围和应用效果。

简而言之，对于以上的方案内容，本申请针对于数据报文是否携带IPv6扩展头的两种情况，分别配置了IPv6数据报文访问控制策略和通用数据报文访问控制策，在判断当前的目标数据报文是否携带IPv6扩展头之后，则可以针对携带IPv6扩展头的情况进行更为细腻的访问控制处理，如此针对IPv6数据报文，本申请引入了更为精细化的上网行为管理处理架构，由此增加上网行为管理设备在IPv6场景下的多样性，并且也可以降低上网行为管理设备的工作压力和工作开销，以及提高上网行为管理设备所处网络的安全性、合规性。

继续对上述图1所示实施例的各个步骤及其在实际应用中可能的实现方式进行详细阐述。

如前面所提及的，本申请可以基于相关报文特征来确定是否携带有IPv6扩展头，作为一种示例性的实现方式，前面步骤S102上网行为管理设备识别目标数据报文是否携带IPv6扩展头的过程中，具体可以包括：

上网行为管理设备检测报头信息中Next Head字段的值是否为44；

若Next Head字段的值为44，则上网行为管理设备确定目标数据报文携带IPv6扩展头。

具体的，还可以参考图2示出的本申请目标数据报文的报文信息的一种实例示意图，IPv6报文头部Next Header字段的值为44，表示当前报文存在扩展头部，扩展头部的类型表示为IPv6分片报文头信息。

而对于IPv6扩展头在数据报文中的具体位置，可以理解，是遵循IPv6数据报文的规范的，其通常是固定的，具体来说，当报文中数据链路层的type字段标识为0x86dd，表示承载的上层协议就是IPv6，IPv6报文头部是定长(固定为40字节)，说明数据是IPv6数据报文，当IPv6数据报文承载的是上层协议ICMPv6、TCP、UDP等的时候，Next Header字段的值分别为58、6、17，这个时候和IPv4数据报文头部中的Protocol字段很类似，当不是以上3种协议类型的时候，IPv6报文头部紧接的是扩展头部。

此外，在确定存在IPv6扩展头之后展开的适配性访问控制处理之前，本申请还可以涉及到对目标数据报文所存在的IPv6扩展头的合法性校验，从而可以保障不会因IPv6扩展头本身的内容问题，而导致后续的策略匹配处理/访问控制处理异常进行，或者导致无意义地触发后续的策略匹配处理/访问控制处理。

对应的，作为又一种示例性的实现方式，前面步骤S104若目标数据报文携带IPv6扩展头，则上网行为管理设备调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理，可以包括：

若目标数据报文携带IPv6扩展头，则上网行为管理设备检测IPv6扩展头是否通过合法性校验；

若IPv6扩展头通过合法性校验，则上网行为管理设备调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理。

其中，用来校验目标数据报文所携带的IPv6扩展头的合法性的合法性校验，可以通过校验IPv6扩展头的格式还有内容是否符合合法性要求/规范性要求，可以理解，在数据报文方面，校验报头信息是否符合预设要求在技术实现上是较为简单的，校验IPv6数据报文的报头中的IPv6扩展头同样如此，因此此处不再加以赘述。

此外，对于前面提及的，本申请是针对IPv6扩展头所涉及内容的差异，来进行差异化的上网行为管理/访问控制，对此，本申请可以基于IPv6扩展头的不同类型来展开不同的IPv6数据报文访问控制策略的配置，以实现不同类型的IPv6扩展头的差异化处理。

作为又一种示例性的实现方式，本申请所涉及的不同IPv6扩展头，可以分为IPv6数据报文访问控制策略描述具体包括对逐跳选项报头、目的选项报头、路由选择报头、分片报头、认证扩展报头和封装安全载荷报头共六种类型。

对应的，IPv6数据报文访问控制策略描述具体包括对逐跳选项报头、目的选项报头、路由选择报头、分片报头、认证扩展报头和封装安全载荷报头共六种类型的IPv6扩展头的数据报文进行访问控制时的处理内容。

在具体应用中，每个IPv6数据报文可以承载1个或者多个的扩展头，扩展头可以通过链表的形式组织起来。

参考图3示出的本申请IPv6扩展头的一种实例示意图，图3中示有三个IPv6数据报文，第一个IPv6数据报文(图3中的左边报文)没有IPv6扩展头，第二个IPv6数据报文(图3中的中间报文)有一个选路头(路由选择报头)，第三个包(图3中的右边报文)有三个扩展头，即分段头(分片报头)、身份验证头(认证扩展报头)、ESP头(封装安全载荷报头)。

而在命中了具体IPv6数据报文访问控制策略所展开的上网行为管理/访问控制过程中，本申请则可以对其进行简化，分成阻断和放行这一个二分化的差异化处理，即，IPv6数据报文访问控制策略所涉及的处理内容包括阻断和放行两种处理方式。

显然，若符合预先配置为阻断的IPv6扩展头，则对目标数据报文进行阻断，删除目标数据报文并阻断目标数据报文所涉及的数据连接，不让其继续进行在网络架构中传输，反之，则对目标数据报文进行放行，让其继续按照原传输链路继续进行传输，直至目的地址。

此外，本申请在针对上述6种IPv6扩展头进行上网行为管理/访问控制的情况下，IPv6扩展头在具体应用中也可能出现超出上述6种IPv6扩展头的范围，其，目标数据报文可能携带的是其他类型的IPv6扩展头(这些扩展头也是可以通过前面的合法性校验的)，如此，则可能会出现未命中上述6种IPv6扩展头对应的具体IPv6数据报文访问控制策略的情况，对此，本申请则可以对上网行为管理设备配置为丢弃这类报文，以拒绝相应的报文传输。

对应的，作为又一种示例性的实现方式，本申请方法还可以包括：

若是未命中六种类型的IPv6扩展头的IPv6扩展头的策略，则上网行为管理设备丢弃目标数据报文。

此外，同个道理，在实际情况下，除了上述6种IPv6扩展头的应用实例，在配置了其他预设类型的IPv6扩展头的应用实例中，也可以同样按照上述处理方式进行处理。

作为一个实例，携带IPv6扩展头信息的流量报文会遍历上网行为管理设备当前的策略列表，匹配条件包括接口、源地址、目的地址、应用、服务、IPv6扩展头，如果当前策略是启用状态，则查找该IP是否在策略列表中，如果都满足，查看命中的策略是放行或拒绝，如果全部策略都未命中，则设置该数据包丢弃。

其中，可以看出，在此处实例中，涉及到了与传统基于IP地址进行上网行为管理/访问控制的结合，从这也可以看出，本申请IPv6数据报文访问控制策略并不是就针对IPv6扩展头的具体类型，也可以继续涉及到传统数据报文访问控制策略中涉及的IP地址(包括源IP地址和目的IP地址)等元素。

此外，对于本申请在涉及不同类型的IPv6扩展头的情况下所配置的具体IPv6数据报文访问控制策略，其不仅可以是针对单个的IPv6扩展头，还可以对应于一个IPv6数据报文可以携带多个IPv6扩展头的情况，针对多个的IPv6扩展头，或者说，针对IPv6扩展头的组合，如此，就可以形成更为丰富的IPv6数据报文访问控制策略，可以在同时出现多个类型的IPv6扩展头时都可以精确匹配到对应的具体IPv6数据报文访问控制策略来进行上网行为管理处理/访问控制处理。

或者，针对于同时出现多个类型的IPv6扩展头的情况，若是每一个具体IPv6数据报文访问控制策略只针对一种IPv6扩展头，则可能会出现一个数据报文同时命中多个具体IPv6数据报文访问控制策略的情况，而具体IPv6数据报文访问控制策略之间的具体处理内容还可能出现重叠或者冲突的情况。

对此，作为又一种示例性的实现方式，对于本申请所配置的IPv6数据报文访问控制策略而言，每种类型的处理内容配置有对应的优先级，高优先级的处理内容覆盖低优先级的处理内容，如此，只选择性执行命中的、优先级处于高位的目标IPv6数据报文访问控制策略，即可避免命中的、不同类型的IPv6数据报文访问控制策略之间出现处理内容重叠或者冲突的情况。

以上是本申请提供的上网行为管理方法的介绍，为便于更好的实施本申请提供的上网行为管理方法，本申请还从功能模块角度提供了一种上网行为管理装置。

参阅图4，图4为本申请上网行为管理装置的一种结构示意图，在本申请中，上网行为管理装置400具体可包括如下结构：

获取单元401，用于获取网络架构中待进行访问控制的目标数据报文；

识别单元402，用于识别目标数据报文是否携带IPv6扩展头，若目标数据报文未携带IPv6扩展头，则触发第一访问控制处理单元403，若目标数据报文携带IPv6扩展头，则触发第二访问控制处理单元404；

第一访问控制处理单元403，用于调用预先配置的通用数据报文访问控制策略对目标数据报文进行访问控制处理，其中，通用数据报文访问控制策略描述了对未携带有IPv6扩展头的数据报文进行访问控制时的处理内容；

第二访问控制处理单元404，用于调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理，其中，IPv6数据报文访问控制策略描述了对携带有IPv6扩展头的数据报文进行访问控制时的处理内容。

在一种示例性的实现方式中，识别单元402，具体用于：

检测报头信息中NextHead字段的值是否为44；

若Next Head字段的值为44，则确定目标数据报文携带IPv6扩展头。

在又一种示例性的实现方式中，第二访问控制处理单元404，具体用于：

若目标数据报文携带IPv6扩展头，则检测IPv6扩展头是否通过合法性校验；

若IPv6扩展头通过合法性校验，则调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理。

在又一种示例性的实现方式中，IPv6数据报文访问控制策略描述具体包括对逐跳选项报头、目的选项报头、路由选择报头、分片报头、认证扩展报头和封装安全载荷报头共六种类型的IPv6扩展头的数据报文进行访问控制时的处理内容。

在又一种示例性的实现方式中，处理内容包括阻断和放行两种处理方式。

在又一种示例性的实现方式中，第二访问控制处理单元404，具体用于：

若是未命中六种类型的IPv6扩展头的IPv6扩展头的策略，则丢弃目标数据报文。

在又一种示例性的实现方式中，每种类型的处理内容配置有对应的优先级，高优先级的处理内容覆盖低优先级的处理内容。

本申请还从硬件结构角度提供了一种上网行为管理设备，参阅图5，图5示出了本申请上网行为管理设备的一种结构示意图，具体的，本申请上网行为管理设备可包括处理器501、存储器502以及输入输出设备503，处理器501用于执行存储器502中存储的计算机程序时实现如图1对应实施例中上网行为管理方法的各步骤；或者，处理器501用于执行存储器502中存储的计算机程序时实现如图4对应实施例中各单元的功能，存储器502用于存储处理器501执行上述图1对应实施例中上网行为管理方法所需的计算机程序。

示例性的，计算机程序可以被分割成一个或多个模块/单元，一个或者多个模块/单元被存储在存储器502中，并由处理器501执行，以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序在计算机装置中的执行过程。

上网行为管理设备可包括，但不仅限于处理器501、存储器502、输入输出设备503。本领域技术人员可以理解，示意仅仅是上网行为管理设备的示例，并不构成对上网行为管理设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如上网行为管理设备还可以包括网络接入设备、总线等，处理器501、存储器502、输入输出设备503等通过总线相连。

处理器501可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，处理器是上网行为管理设备的控制中心，利用各种接口和线路连接整个设备的各个部分。

存储器502可用于存储计算机程序和/或模块，处理器501通过运行或执行存储在存储器502内的计算机程序和/或模块，以及调用存储在存储器502内的数据，实现计算机装置的各种功能。存储器502可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据上网行为管理设备的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

处理器501用于执行存储器502中存储的计算机程序时，具体可实现以下功能：

上网行为管理设备获取网络架构中待进行访问控制的目标数据报文；

上网行为管理设备识别目标数据报文是否携带IPv6扩展头；

若目标数据报文未携带IPv6扩展头，则上网行为管理设备调用预先配置的通用数据报文访问控制策略对目标数据报文进行访问控制处理，其中，通用数据报文访问控制策略描述了对未携带有IPv6扩展头的数据报文进行访问控制时的处理内容；

若目标数据报文携带IPv6扩展头，则上网行为管理设备调用预先配置的IPv6数据报文访问控制策略对目标数据报文进行访问控制处理，其中，IPv6数据报文访问控制策略描述了对携带有IPv6扩展头的数据报文进行访问控制时的处理内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的上网行为管理装置、上网行为管理设备及其相应单元的具体工作过程，可以参考如图1对应实施例中上网行为管理方法的说明，具体在此不再赘述。

本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。

为此，本申请提供一种计算机可读存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本申请如图1对应实施例中上网行为管理方法的步骤，具体操作可参考如图1对应实施例中上网行为管理方法的说明，在此不再赘述。

其中，该计算机可读存储介质可以包括：只读存储器(Read Only Memory，ROM)、随机存取记忆体(Random Access Memory，RAM)、磁盘或光盘等。

由于该计算机可读存储介质中所存储的指令，可以执行本申请如图1对应实施例中上网行为管理方法的步骤，因此，可以实现本申请如图1对应实施例中上网行为管理方法所能实现的有益效果，详见前面的说明，在此不再赘述。

以上对本申请提供的上网行为管理方法、装置、上网行为管理设备以及计算机可读存储介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。