一种数据处理方法、装置及设备与流程

1.本发明涉及通信技术领域，特别是指一种数据处理方法、装置及设备。


背景技术：

2.srv6(基于ipv6转发平面的段路由)是基于源路由理念而设计的在网络上转发ipv6数据包的一种协议。通过在ipv6报文中插入一个路由扩展头(segment routing header，srh)，在srh中压入一个显式的ipv6地址栈，通过中间节点不断的进行更新目的地址和偏移地址栈的操作来完成逐跳转发。
3.现有技术中，srv6技术使用128bit的ipv6地址作为segment id(sid)，主要的缺点是报文头开销过大，无法为遍布全球的pop(point of presence，接入点)提供安全能力，也无法为接入点设备接提供一致的安全防护。


技术实现要素：

4.本发明要解决的技术问题是提供一种数据处理方法、装置及设备，实现基于租户、业务、安全功能提供独立的安全服务。
5.为解决上述技术问题，本发明的技术方案如下：
6.一种数据处理方法，包括：
7.接收接入设备发送的数据流；
8.按照基于ipv6转发平面的段路由srv6的地址字段中的预设字段的指示信息，为所述数据流配置相应的安全服务；所述指示信息包括以下至少一项：安全服务的租户，安全服务的业务，安全功能。
9.可选的，所述指示信息用于指示接入设备的指令是安全服务的租户时，为所述数据流配置相应的安全服务，包括：
10.安全能力为所述租户类型的数据流提供独立的安全服务。
11.可选的，所述指示信息用于指示接入设备的指令是安全服务的业务时，为所述数据流配置相应的安全服务，包括：
12.安全能力为所述业务类型的数据流提供独立的安全服务。
13.可选的，所述指示信息用于指示接入设备的指令是安全服务的租户业务时，为所述数据流配置相应的安全服务，包括：
14.安全能力为所述租户业务类型的数据流提供独立的安全服务。
15.可选的，所述指示信息用于指示接入设备的指令是为租户提供的安全功能时，为所述数据流配置相应的安全服务，包括：
16.识别数据流所需的安全功能服务的租户；
17.根据该租户的安全要求，为该租户提供独立的安全服务。
18.可选的，所述指示信息用于指示接入设备的指令是为业务提供的安全功能时，为所述数据流配置相应的安全服务，包括：
19.识别到数据流所需的安全功能服务的业务；
20.根据该业务的安全要求，为该业务提供独立的安全服务。
21.可选的，所述指示信息用于指示接入设备的指令是为租户业务提供的安全功能时，为所述数据流配置相应的安全服务，包括：
22.识别到数据流所需的安全功能服务的租户业务；
23.根据该租户业务的安全要求，提供独立的安全服务。
24.可选的，所述安全服务包括：至少一种安全能力，所述安全能力为安全产品，所述安全能力包括至少一种安全功能。
25.可选的，所述预设字段为srv6的段标识sid中的功能function字段。
26.可选的，数据处理方法，还包括：
27.向多个安全资源池下发相同的预设字段，所述预设字段配置有对应的安全策略；
28.根据所述预设字段和所述安全策略，为安全服务的租户，安全服务的业务，安全功能中的至少一种提供安全服务。
29.本发明还提供一种数据处理装置，所述装置包括：
30.收发模块，用于接收接入设备发送的数据流；
31.处理模块，用于按照基于ipv6转发平面的段路由srv6的地址字段中的预设字段的指示信息，为所述数据流配置相应的安全服务；所述指示信息包括以下至少一项：安全服务的租户，安全服务的业务，安全功能。
32.本发明还提供一种管理设备，包括：处理器、存储有计算机程序的存储器，所述计算机程序被处理器运行时，执行如上所述的方法。
33.本发明还提供一种计算机可读存储介质，存储指令，当所述指令在计算机上运行时，使得计算机执行如上所述的方法。
34.本发明的上述方案至少包括以下有益效果：
35.本发明的上述方案，通过接收接入设备发送的数据流；按照基于ipv6转发平面的段路由srv6的地址字段中的预设字段的指示信息，为所述数据流配置相应的安全服务；所述指示信息包括以下至少一项：安全服务的租户，安全服务的业务，安全功能。从而基于该指示信息可支持多种安全功能的安全产品进行srv6网络融合，实现基于租户、业务、安全功能提供独立的安全服务。
附图说明
36.图1是本发明实施的srv6报文的结构和功能示意图；
37.图2是本发明实施例提供的数据处理方法的流程图；
38.图3是本发明实施例的安全能力的资源池为用户提供相应独立的安全服务的示意图；
39.图4是本发明实施例的网络和安全管理中心控制不同安全能力的资源池为用户提供相应独立的安全服务的示意图；
40.图5是本发明实施例的安全管理中心的整体智能算路架构的示意图；
41.图6是本发明实施例的数据处理装置的模块图。
具体实施方式
42.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
43.如图1所示，srv6报文包括源地址，目的地址，srh(路由扩展头)以及报文净荷；其中，srh包括多个段列表(sid)，这些sid可以自由组合，自定义的sid结构包括128bit srv6地址，具体包括locator(位置)、function(功能)、arguments(参数)。locator标识一个网络节点，用于路由和转发报文到该节点。function代表设备的指令，这些指令都由设备预先设定，用于指示srv6 sid的生成节点进行相应的功能操作。如，end.dt4 sid表示某个ipv4vpn实例，对应的转发动作是解封装报文，并且查找ipv4 vpn实例路由表转发；end.dx2表示二层交叉连接，用于标识一个端点，对应的转发动作是封装报文，然后将剩余报文用指定出接口转发。arguments是一个可选字段，表示function指令执行时的参数。
44.如图2所示，本发明的实施例提供一种数据处理方法，所述方法包括：
45.步骤21，接收接入设备发送的数据流；
46.步骤22，按照基于ipv6转发平面的段路由srv6的地址字段中的预设字段的指示信息，为所述数据流配置相应的安全服务；
47.所述指示信息包括以下至少项：安全服务的租户，安全服务的业务，安全功能；
48.这里，所述安全服务包括：至少一种安全能力，所述安全能力为安全产品(如：防火墙、安全管家等)，所述安全能力包括至少一种安全功能(如：防火墙的加密功能、安全管家的拦截功能等)，不同安全能力的安全功能有可能相同也有可能不同；
49.所述预设字段为srv6的段标识sid(segment id)中的功能function字段。该实施例中，将所述srv6的段标识sid中的功能function字段进行了扩展，使得管理中心为接入设备的数据流，按照所述指示信息为用户提供安全服务，这样能够为用户提供大规模租户和多种业务类型的安全服务。
50.本发明的该实施例，扩展了srv6 function字段功能含义，为用户在安全资源池提供大规模多租户、多种业务类型的安全服务。以srv6地址中的function字段为不同的安全资源池提供相同的安全防护策略，实现以实体身份为中心的一致性的安全防护。
51.在新型网络安全架构中，需要在安全资源池同时为多个企业、多种业务提供安全服务，一般将基于企业用户划租户，一个企业用户可划分一个或多个租户，一个租户可对应一种或多种业务。根据租户和业务的安全防护要求，提供独立的安全防护能力。
52.srv6 sid中，function代表设备的指令，这些指令都由设备预先设定，用于指示srv6 sid的生成节点进行相应的功能操作。如，end.dt4 sid表示某个ipv4 vpn实例，对应的转发动作是解封装报文，并且查找ipv4 vpn实例路由表转发；end.dx2表示二层交叉连接，用于标识一个端点，对应的转发动作是封装报文，然后将剩余报文用指定出接口转发。
53.本发明的上述实施例中，所述指示信息用于指示接入设备的指令是安全服务的租户时，为所述数据流配置相应的安全服务，包括：安全能力为所述租户类型的数据流提供独立的安全服务。具体的，function字段的指示信息可以为：end.n，表示安全服务的租户tenant，安全能力需要为此租户提供独立的安全服务。
54.本发明的上述实施例中，所述指示信息用于指示接入设备的指令是安全服务的业务时，为所述数据流配置相应的安全服务，包括：安全能力为所述业务类型的数据流提供独立的安全服务。具体的，function字段的指示信息可以为：end.s，表示安全服务的业务service，安全能力需要为此业务提供独立的安全服务。
55.本发明的上述实施例中，所述指示信息用于指示接入设备的指令是安全服务的租户业务时，为所述数据流配置相应的安全服务，包括：安全能力为所述租户业务类型的数据流提供独立的安全服务。具体的，function字段的指示信息可以为：end.ns，表示安全服务的租户业务，安全能力需要为此租户业务提供独立的安全服务。
56.本发明的上述实施例中，所述指示信息用于指示接入设备的指令是为租户提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别数据流所需的安全功能服务的租户；根据该租户的安全要求，为该租户提供独立的安全服务。具体的，function字段的指示信息可以为：end.fn，表示安全能力为某租户提供的某种安全功能，安全能力根据此function，识别到流量所需的安全功能、服务于哪个租户，根据该租户的安全要求，提供独立的安全防护服务
57.本发明的上述实施例中，所述指示信息用于指示接入设备的指令是为业务提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别到数据流所需的安全功能服务的业务；根据该业务的安全要求，为该业务提供独立的安全服务。具体的，function字段的指示信息可以为：end.fs，表示安全能力为某种业务提供的某种安全功能，根据此function，识别到流量所需的安全功能、服务于哪个业务，根据该业务的安全要求，提供独立的安全防护服务。
58.本发明的上述实施例中，所述指示信息用于指示接入设备的指令是为租户业务提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别到数据流所需的安全功能服务的租户业务；根据该租户业务的安全要求，为该租户业务提供独立的安全服务。具体的，function字段的指示信息可以为：end.fns，表示安全能力为租户业务提供的某种安全功能，安全能力根据此function，识别到流量所需的安全功能、服务于哪个租户哪个业务，根据该租户业务的安全要求，提供独立的安全防护服务。
59.本发明的上述实施例，按照所述srv6的段标识sid中的功能function字段的指示，为用户提供相应独立的安全服务，能够有针对性的满足用户的需求。
60.如图3所示，本发明一具体实现实施例中，在安全能力的资源池内，安全能力1具有安全功能1和安全功能2，安全能力2具有安全功能3，根据所述srv6的段标识sid中的功能function字段的指示，需要为租户1提供安全功能1、安全功能2和安全功能3，需要为业务2提供安全功能1和安全功能3。
61.在安全能力1，用function标识不同安全功能、租户、业务；
62.在安全能力2用function标识不同租户、业务；
63.为租户1、业务2分配的srv6地址如下表所示：
[0064][0065][0066]
srv6流量转发过程中，能够根据srv6地址中的locator转发到具体的安全能力，安全能力再根据function字段识别租户、业务信息。避免安全资源池大规模多租户多业务场景下，配置过多的vpn、vlan、流量匹配策略，占用资源，影响处理效率。
[0067]
如图4所示，本发明的一可选的实施例中，上述数据处理方法还可以包括：
[0068]
向多个安全资源池下发相同的预设字段，所述预设字段配置有对应的安全策略；
[0069]
根据所述预设字段和所述安全策略，为安全服务的租户，安全服务的业务，安全功能中的至少一种提供安全服务。
[0070]
下面结合图4对不同安全资源池通过srv6 function提供一致安全服务进行说明。
[0071]
安全资源池1内的安全能力1和安全资源池2内的安全能力3是相同的安全产品，所
述安全能力1和所述安全能力3都具有多种安全功能，安全资源池1内的安全能力2和安全资源池2内的安全能力4是相同的安全产品，所述安全能力2和所述安全能力4都具有一种安全功能，网络和安全管理中心为租户1分配安全功能1，为业务2分配安全功能2。
[0072]
安全资源池1内的安全能力1的locator是locator1，安全资源池2的安全能力3的locator是locator3。
[0073]
安全资源池1内的安全能力2的locator是locator2，安全资源池2的安全能力4的locator是locator4。
[0074]
网络&安全管理中心为租户1分配function1，function1标识租户1和安全功能1；
[0075]
网络&安全管理中心为业务2分配function2，function2标识业务2。
[0076]
srv6地址如下表所示：
[0077]
[0078][0079]
数字转型下企业多分支互连，移动远程办公常态化，安全防护由以企业数据中心为中心，转变为以实体身份为中心，需要在遍布全球的网络中为企业客户提供一致的安全防护功能，也就是需要在分布式的安全资源池中，配置一致的安全防护策略。本发明的上述实施例采用srv6的function字段绑定安全防护策略，实现为实体在全球提供一致的安全服务。网络与安全融合的sase架构中，需要有网络&安全管理中心，用于实现对网络、对安全能力融合的管理和控制。
[0080]
需要说明的是，上述图4所示的实施例中，向多个安全资源池下发相同的预设字段，所述预设字段配置有对应的安全策略；这里的预设字段是function字段时，该function字段不限于是上述携带了上述指示信息的function字段；只要为安全资源池下发相同的预设字段即可；
[0081]
根据所述预设字段和所述安全策略，为安全服务的租户，安全服务的业务，安全功能中的至少一种提供安全服务；这样就能够实现不同的资源池基于相同的function字段以及对应的安全策略，实现相同的安全防护，进而在遍布全球的网络中为企业客户提供一致的安全防护功能。
[0082]
如图5所示，在不同的安全资源池为客户提供相同安全防护策略的方法包括：
[0083]
步骤1：网络&安全管理中心根据网络信息、安全资源池信息和客户请求信息实现网络、安全智能算路。企业客户开通业务或者在新的pop点接入网络时，网络&安全管理中心为企业客户进行算路，将安全能力作为转发过程中必经的网络节点进行智能算路。
[0084]
步骤2：网络&安全管理中心根据算路结果通知安全资源池配置安全能力，包括安全能力的扩容、安全能力地址配置、安全策略配置等。
[0085]
步骤3：网络&安全管理中心将算路结果下发到srv6隧道头节点，可以是接入设备，也可以是接入pop网关。接入设备可能是不支持srv6协议的便携终端。
[0086]
步骤4：接入设备作为srv6隧道头节点封装srv6协议报文并转发。
[0087]
步骤5：网络设备、安全设备，根据srv6段列表转发处理srv6报文。
[0088]
步骤6：srv6隧道尾节点解除srv6封装，根据尾节点的segment id，映射转发到企业应用。
[0089]
本发明的上述实施例所述的方法，通过扩展srv6地址中的function字段含义，使
用function字段标识租户、业务、安全功能中的至少一项，为企业客户提供灵活独立的安全服务。实现安全资源池共享，同时服务于大规模多租户业务，降低安全部署成本。并且安全资源池不需要配置复杂的流量识别策略，仅根据srv6地址中的function字段就能够区分业务流量，获取租户和业务信息；进一步地，基于srv6地址中的function字段，在安全管理中心统一为各地安全资源池配置相同的安全防护策略，避免防护策略不一致。并且不需要配置复杂的业务识别策略，仅根据srv6地址中的function字段，就能够识别用户业务，并提供相应的安全防护。
[0090]
如图6所示，本发明的实施例还提供一种数据处理装置60，所述装置60包括：
[0091]
收发模块61，用于接收接入设备发送的数据流；
[0092]
处理模块62，用于按照基于ipv6转发平面的段路由srv6的地址字段中的预设字段的指示信息，为所述数据流配置相应的安全服务；所述指示信息包括以下至少一项：安全服务的租户，安全服务的业务，安全功能。
[0093]
可选的，所述指示信息用于指示接入设备的指令是安全服务的租户时，为所述数据流配置相应的安全服务，包括：安全能力为所述租户类型的数据流提供独立的安全服务。
[0094]
可选的，所述指示信息用于指示接入设备的指令是安全服务的业务时，为所述数据流配置相应的安全服务，包括：安全能力为所述业务类型的数据流提供独立的安全服务。
[0095]
可选的，所述指示信息用于指示接入设备的指令是安全服务的租户业务时，为所述数据流配置相应的安全服务，包括：安全能力为所述租户业务类型的数据流提供独立的安全服务。
[0096]
可选的，所述指示信息用于指示接入设备的指令是为租户提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别数据流所需的安全功能服务的租户；根据该租户的安全要求，为该租户提供独立的安全服务。
[0097]
可选的，所述指示信息用于指示接入设备的指令是为业务提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别到数据流所需的安全功能服务的业务；根据该业务的安全要求，为该业务提供独立的安全服务。
[0098]
可选的，所述指示信息用于指示接入设备的指令是为租户业务提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别到数据流所需的安全功能服务的租户业务；根据该租户业务的安全要求，为该租户业务提供独立的安全服务。
[0099]
可选的，所述安全服务包括：至少一种安全能力，所述安全能力为安全产品，所述安全能力包括至少一种安全功能。
[0100]
可选的，所述预设字段为srv6的段标识sid中的功能function字段。
[0101]
可选的，所述处理模块62还用于向多个安全资源池下发相同的预设字段，所述预设字段配置有对应的安全策略；根据所述预设字段和所述安全策略，为安全服务的租户，安全服务的业务，安全功能中的至少一种提供安全服务。
[0102]
需要说明的是，该装置是与上述方法对应的装置，上述方法实施例中的所有实现方式均适用于该装置的实施例中，也能达到相同的技术效果。
[0103]
本发明的实施例还提供一种管理设备，包括：处理器、存储有计算机程序的存储器，所述计算机程序被处理器运行时，执行如上所述的方法。上述方法实施例中的所有实现方式均适用于该实施例中，也能达到相同的技术效果。这里的管理设备可以是云端或者网
络侧的安全管理中心。
[0104]
本发明的实施例还提供一种计算机可读存储介质，包括存储指令，当所述指令在计算机上运行时，使得计算机执行如上所述的方法。上述方法实施例中的所有实现方式均适用于该实施例中，也能达到相同的技术效果。
[0105]
本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0106]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0107]
在本发明所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0108]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0109]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
[0110]
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
[0111]
此外，需要指出的是，在本发明的装置和方法中，显然，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且，执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行，但是并不需要一定按照时间顺序执行，某些步骤可以并行或彼此独立地执行。对本领域的普通技术人员而言，能够理解本发明的方法和装置的全部或者任何步骤或者部件，可以在任何计算装置(包括处理器、存储介质等)或者计算装置的网络中，以硬件、固件、软件或者它们的组合加以实现，这是本领域普通技术人员在阅读了本发明的说明的情况下运用他们的基本编程技能就能实现的。
[0112]
因此，本发明的目的还可以通过在任何计算装置上运行一个程序或者一组程序来实现。所述计算装置可以是公知的通用装置。因此，本发明的目的也可以仅仅通过提供包含
实现所述方法或者装置的程序代码的程序产品来实现。也就是说，这样的程序产品也构成本发明，并且存储有这样的程序产品的存储介质也构成本发明。显然，所述存储介质可以是任何公知的存储介质或者将来所开发出来的任何存储介质。还需要指出的是，在本发明的装置和方法中，显然，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且，执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行，但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行。
[0113]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

技术特征：
1.一种数据处理方法，其特征在于，所述方法包括：接收接入设备发送的数据流；按照基于ipv6转发平面的段路由srv6的地址字段中的预设字段的指示信息，为所述数据流配置相应的安全服务；所述指示信息包括以下至少一项：安全服务的租户，安全服务的业务，安全功能。2.根据权利要求1所述的数据处理方法，其特征在于，所述指示信息用于指示接入设备的指令是安全服务的租户时，为所述数据流配置相应的安全服务，包括：安全能力为所述租户类型的数据流提供独立的安全服务。3.根据权利要求1所述的数据处理方法，其特征在于，所述指示信息用于指示接入设备的指令是安全服务的业务时，为所述数据流配置相应的安全服务，包括：安全能力为所述业务类型的数据流提供独立的安全服务。4.根据权利要求1所述的数据处理方法，其特征在于，所述指示信息用于指示接入设备的指令是安全服务的租户业务时，为所述数据流配置相应的安全服务，包括：安全能力为所述租户业务类型的数据流提供独立的安全服务。5.根据权利要求1所述的数据处理方法，其特征在于，所述指示信息用于指示接入设备的指令是为租户提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别数据流所需的安全功能服务的租户；根据该租户的安全要求，为该租户提供独立的安全服务。6.根据权利要求1所述的数据处理方法，其特征在于，所述指示信息用于指示接入设备的指令是为业务提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别到数据流所需的安全功能服务的业务；根据该业务的安全要求，为该业务提供独立的安全服务。7.根据权利要求1所述的数据处理方法，其特征在于，所述指示信息用于指示接入设备的指令是为租户业务提供的安全功能时，为所述数据流配置相应的安全服务，包括：识别到数据流所需的安全功能服务的租户业务；根据该租户业务的安全要求，为该租户业务提供独立的安全服务。8.根据权利要求1所述的数据处理方法，其特征在于，所述安全服务包括：至少一种安全能力，所述安全能力为安全产品，所述安全能力包括至少一种安全功能。9.根据权利要求1所述的数据处理方法，其特征在于，所述预设字段为srv6的段标识sid中的功能function字段。10.根据权利要求1所述的数据处理方法，其特征在于，还包括：向多个安全资源池下发相同的预设字段，所述预设字段配置有对应的安全策略；根据所述预设字段和所述安全策略，为安全服务的租户，安全服务的业务，安全功能中的至少一种提供安全服务。11.一种数据处理装置，其特征在于，所述装置包括：收发模块，用于接收接入设备发送的数据流；处理模块，用于按照基于ipv6转发平面的段路由srv6的地址字段中的预设字段的指示信息，为所述数据流配置相应的安全服务；所述指示信息包括以下至少一项：安全服务的租户，安全服务的业务，安全功能。
12.一种管理设备，其特征在于，包括：处理器、存储有计算机程序的存储器，所述计算机程序被处理器运行时，执行如权利要求1至10任一项所述的方法。13.一种计算机可读存储介质，其特征在于，存储指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1至10任一项所述的方法。

技术总结
本发明提供一种数据处理方法、装置及设备。数据处理方法包括：接收接入设备发送的数据流；按照基于IPv6转发平面的段路由SRv6的地址字段中的预设字段的指示信息，为所述数据流配置相应的安全服务；所述指示信息包括以下至少一项：安全服务的租户，安全服务的业务，安全功能。本发明的方案能够实现安全资源池的多租户、多业务的安全服务。多业务的安全服务。多业务的安全服务。


技术研发人员：鲁冬杰 庄小君 黄静
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2022.01.05
技术公布日：2023/7/20