(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211213373.8 (22)申请日 2022.09.30 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 易斗　周尚武　 (74)专利代理 机构 深圳市深佳知识产权代理事 务所(普通 合伙) 44285 专利代理师 张晓 (51)Int.Cl. H04L 69/06(2022.01) H04L 61/251(2022.01) H04L 9/40(2022.01) (54)发明名称 一种网络包识别方法、 客户端、 装置、 设备及 存储介质 (57)摘要 本发明公开了一种网络包识别方法、 客户 端、 装置、 设备及存储介质； 在本方案中， 客户端 在向目标设备 发送原始网络包前， 需要根据原始 网络包的五元组信息创建具有相同五元组信息 的目标网络包， 并向该目标网络包的可用标准字 段中写入认证信息后通过中间设备发送至目标 设备。 通过该方式， 就算通过NAT 技术将目标网络 包的五元 组信息进行了修改， 目标设备还可以根 据目标网络包的可用标准字段中的认证信息识 别目标连接中各网络包的身份； 并且， 本方案通 过独立的目标网络包的可用标准字段承载认证 信息的方式， 还 可避免中间设备对非标准选项的 不兼容问题。 权利要求书2页 说明书11页 附图3页 CN 115529359 A 2022.12.27 CN 115529359 A 1.一种网络包识别方法， 其特征在于， 所述网络包识别方法应用于NAT网络架构中的客 户端， 所述网络包识别方法包括： 若检测到目标 连接发送的原 始网络包， 则提取 所述原始网络包的五元组信息； 利用所述五元组信息创建具有相同五元组信息的目标网络包； 向所述目标网络包的可用标准字段中写入认证信 息； 所述可用标准字段为中间设备不 敏感字段； 将所述目标网络包通过所述中间设备发送至目标设备， 以使所述目标设备利用所述目 标网络包的认证信息， 对所述目标 连接进行身份识别。 2.根据权利要求1所述的网络包识别方法， 其特征在于， 所述若检测到目标连接发送的 原始网络包， 则提取 所述原始网络包的五元组信息， 包括： 若检测到目标 连接发送的首个网络包， 则提取 所述首个网络包的五元组信息； 相应地， 所述利用所述五元组信息创建具有相同五元组信息的目标网络包， 包括： 利用所述五元组信 息创建具有相同五元组信 息的， 用来伪装所述首个网络包的目标网 络包； 相应地， 在所述将所述目标网络包通过 所述中间设备发送至目标设备之后， 还 包括： 将所述首个网络包转发至所述目标设备。 3.根据权利要求2所述的网络包识别方法， 其特征在于， 所述目标连接具体为TCP连接， 所述首个网络包具体为SYN网络包； 相应地， 所述若检测到目标连接发送的首个网络包， 则提取所述首个网络包的五元组 信息， 包括： 若检测到TCP连接发送的SYN网络包， 则提取 所述SYN网络包的五元组信息； 相应的， 所述利用所述五元组信息创建具有相同五元组信息的， 用来伪装所述首个网 络包的目标网络包， 包括： 利用所述五元组信息创建具有相同五元组信息的， 用来伪 装所述SYN网络包的FAKESYN 网络包； 相应地， 在将所述首个网络包转发至所述目标设备的步骤之后， 还 包括： 在接收到针对所述SYN网络包反馈的 “SYN+ACK”网络包之前， 对所述FAKESYN网络包执 行重传操作直至接收到 “SYN+ACK”报文， 或者， 检测到 “SYN重传报文 ”， 以避免FAKESYN数据 包丢失。 4.一种网络包识别方法， 其特征在于， 所述网络包识别方法应用于NAT网络架构中的目 标设备， 所述网络包识别方法包括： 识别接收到的报文是否为目标网络包； 其中， 所述目标网络包为： 客户端根据原始网络 包的五元组信息创建的具有相同五元组信息的网络包， 且所述目标网络包的可用标准字段 中写入了认证信息； 从识别到的所述目标网络包的可用标准字段中解析认证信 息， 并解析所述目标网络包 的五元组信息； 所述可用标准字段为中间设备不敏感字段； 根据所述认证信 息识别与 所述五元组信 息相同的目标连接的身份信 息， 以实现以每连 接为单位的身份识别。 5.根据权利要求4所述的网络包识别方法， 其特征在于， 所述目标设备后端连接有资源权　利　要　求　书 1/2 页 2 CN 115529359 A 2服务器； 相应的， 根据所述认证信息识别与所述五元组信息相同的目标连接的身份信息之后， 还包括： 根据所述身份信息判断所述目标 连接是否具有访问目标资源服 务器的权限； 若所述目标连接具有访问目标资源服务器的权限， 则允许所述目标资源服务器可被访 问。 6.根据权利要求4或5所述的网络包识别方法， 其特征在于， 根据所述认证信息识别与 所述五元组信息相同的目标 连接的身份信息之后， 还 包括： 根据不同连接发送的身份信息， 将具有同一身份信息的网络包发送至同一资源服务 器， 将具有不同身份信息的网络包发送至不同资源服 务器。 7.一种网络包识别客户端， 其特征在于， 所述网络包识别客户端应用于NAT网络架构的 终端设备， 所述网络包识别客户端包括： 提取模块， 用于检测到目标连接发送的原始网络包时， 提取所述原始网络包的五元组 信息； 创建模块， 用于利用所述五元组信息创建具有相同五元组信息的目标网络包； 写入模块， 用于向所述目标网络包的可用标准字段中写入认证信息； 所述可用标准字 段为中间设备不敏感字段； 第一发送模块， 用于将所述目标网络包通过所述中间设备发送至目标设备， 以使所述 目标设备利用所述目标网络包的认证信息， 对所述目标 连接进行身份识别。 8.一种网络包识别装置， 其特征在于， 所述网络包识别装置应用于NAT网络架构中的目 标设备， 所述网络包识别装置包括： 第一识别模块， 用于识别接收到的报文是否为目标网络包； 其中， 所述目标网络包为： 所述客户端根据原始网络包的五元组信息创建的具有相同五元组信息的网络包， 且所述目 标网络包的可用标准字段中写入了认证信息； 解析模块， 用于从识别到的所述目标网络包的可用标准字段中解析认证信息， 并解析 所述目标网络包的五元组信息； 所述可用标准字段为中间设备不敏感字段； 第二识别模块， 用于根据所述认证信 息识别与 所述五元组信 息相同的目标连接的身份 信息， 以实现以每连接为单位的身份识别。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至3任一项所述的基于客户端的 网络包识别方法的步骤， 或者 实现如权利要求4至6任一项 所述的基于目标设备的网络包识 别方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至3任一项 所述的基于客户端的网 络包识别方法的步骤， 或者 实现如权利要求4至6任一项所述的基于目标设备的网络包识别 方法的步骤。权　利　要　求　书 2/2 页 3 CN 115529359 A 3