CN110337137A - 数据包过滤方法、装置及系统 - Google Patents

Abstract

本申请提供一种数据包过滤方法、装置及系统，当终端接收到来自于AP发送的第一信息指示AP能代替终端进行数据包过滤后，终端将其数据包过滤规则发送至AP。使得AP能够根据所接收到的终端的数据包过滤规则，代替处在待机状态下的终端，对经由AP发往终端的数据包进行过滤，并将过滤后不满足过滤规则的数据包再发送至终端。从而减少了处于待机状态的终端对数据包进行过滤时的电量消耗，提高了终端的用户体验。

Description

数据包过滤方法、装置及系统

技术领域

本申请涉及无线通信技术，尤其涉及一种数据包过滤方法、装置及系统。

背景技术

随着通信技术以及终端技术的发展，人们在日常生活的越来越多的场景中，都可以使用终端与交换机、路由器和中继器等无线访问接入点(wireless access point，AP)建立连接关系，并使用终端通过所建立的连接关系访问互联网，从而能够通过终端获取互联网的内容，以及实现通过终端进行数据通信等功能。

现有技术中，终端与AP建立连接关系后，为了使处于待机状态的终端还能够接收AP所发送的来自互联网的数据包，终端会在DTIM(Delivery Traffic IndicationMessage)时刻定时唤醒，查看并接收AP发送的数据包。并且，终端在接收到AP发送的数据包后，还进一步对数据包进行过滤，在确保所接收到的数据包属于该终端以及保证数据包的安全后，再对所接收到的数据包进行后续处理。

但现有技术中，由于终端在每个接收到数据包的DTIM时刻都不能立即对数据包包进行处理，而是需要对数据包进行过滤。造成了终端对于数据包的过滤操作增加了终端的功耗，加快终端在待机状态下的电量消耗，进而影响终端的用户体验。因此，如何减少终端在连接AP的待机状态下对数据包进行过滤时的电量消耗，是本领域需要解决的技术问题。

发明内容

本申请提供一种数据包过滤方法、装置及系统，通过AP代替终端进行数据包的过滤，以减少处于待机状态的终端对数据包进行过滤时的电量消耗。

本申请第一方面提供一种数据包过滤系统，包括：

终端和无线访问接入点AP，终端和AP通过无线通信方式连接；

AP用于，向终端发送第一信息；其中，第一信息用于指示AP具有数据包过滤的能力；

终端用于，当接收到来自于AP的第一信息，向AP发送终端的数据包过滤规则；

AP用于，接收并存储终端发送的数据包过滤规则；

AP还用于，根据终端的数据包过滤规则，对AP将要发送给终端的数据包进行过滤。

具体地，在上述实施例中，当当终端接收到来自于AP发送的第一信息指示AP能代替终端进行数据包过滤后，终端将其数据包过滤规则发送至AP。使得AP能够根据所接收到的终端的数据包过滤规则，代替处在待机状态下的终端，对经由AP发往终端的数据包进行过滤，并将过滤后不满足过滤规则的数据包再发送至终端。使得处在待机状态下的终端不需要再对AP所发送的数据包进行过滤，而是可以在接收到AP发送的数据包后直接进行处理。从而实现了AP代替终端进行数据包的过滤，能够有效减少处于待机状态的终端对数据包进行过滤时通信模块或主机侧驱动的电量消耗。

在本申请第一方面一实施例中，第一信息携带在AP向终端发送的第一消息中；终端的数据包过滤规则携带在终端向AP发送的第二消息中。

具体地，在本实施例中，AP可以将第一信息携带在其向终端发送的第一消息中，第一消息可以是现有的AP向终端发送的消息，或者，第一消息是AP专门用于向终端发送第一信息所使用的第一消息。同时，终端可以将数据包过滤规则携带在终端向AP发送的第二消息中，第二消息可以是现有的终端向AP发送的消息，或者，第二消息是终端专门用于向AP发送数据包过滤规则的消息。综上，本实施例通过在第一消息中携带第一信息，在第二消息中携带数据包过滤规则的方式实现AP与终端之间数据包过滤规则的传输，具有实现容易、原理简单的技术特点。

在本申请第一方面一实施例中，终端与AP之间具体通过无线通信通道连接；其中，无线通信通道专门用于终端与AP进行通信；AP具体用于，通过无线通信通道向终端发送第一信息；终端具体用于，通过无线通信通道向AP发送终端的数据包过滤规则。

具体地，在本实施例中，AP和终端之间通过所建立的无线通信通道，进行第一信息以及数据包过滤规则的传输。由无线通信通道能够保证终端与AP之间的所传输的数据安全。

在本申请第一方面一实施例中，终端向AP所发送的数据包过滤规则包括至少一个五元组；其中，每个五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

具体地，在本实施例中，终端可以具体将其所存储的所有数据包过滤规则，依次以五元组的形式发送至AP。即，每个五元组对应终端的一个数据包过滤规则。

在本申请第一方面一实施例中，终端还用于，向AP发送第三信息；其中，第三信息用于指示AP对AP将要发送给终端的数据包进行过滤；AP具体用于，在接收到来自于终端的第三信息之后，根据终端的数据包过滤规则，对AP将要发送给终端的数据包进行过滤。

具体地，在本实施例中，终端向AP发送其数据包过滤规则后，AP并不立即代替终端对数据包进行过滤，而是当终端发送第三信息之后，通过第三信息指示AP开始代替其进行数据包过滤，从而丰富了本申请数据包过滤方法的应用方式以及应用场景。

在本申请第一方面一实施例中，终端还用于，向AP发送第四信息；其中，第四信息用于指示AP停止对AP将要发送给终端的数据包进行过滤；AP还用于，在接收到来自于终端的第四信息之后，停止对AP将要发送给终端的数据包进行过滤，并删除所存储的终端的数据包过滤规则。

具体地，在本实施例中，AP代替终端进行数据包过滤后，当终端确定不再需要AP代替其对数据包进行过滤时，终端可以通过发送第四信息的方式指示AP停止代替其进行数据包过滤，从而丰富了本申请数据包过滤方法的应用方式以及应用场景。

本申请第二方面提供一种数据包过滤系统，可应用于本申请第一方面所提供的数据包过滤系统，该方法包括：AP向终端发送第一信息；其中，第一信息用于指示AP具有数据包过滤的能力；当接收到来自于AP的第一信息，终端向AP发送终端的数据包过滤规则；AP接收并存储终端发送的数据包过滤规则；AP根据终端的数据包过滤规则，对将要发送给终端的数据包进行过滤。

在本申请第一方面一实施例中，AP具体用于，判断将要发送给所述终端的数据包，是否符合所述终端的数据包过滤规则；若是，AP确定不将所述数据包发送至所述终端；若否，AP确定将所述数据包发送至所述终端。

在本申请第二方面一实施例中，第一信息携带在AP向终端发送的第一消息中；终端的数据包过滤规则携带在终端向AP发送的第二消息中。

在本申请第二方面一实施例中，终端与AP之间具体通过无线通信通道连接；其中，无线通信通道专门用于终端与AP进行通信；AP向终端发送第一信息，包括：AP通过无线通信通道向终端发送第一信息；终端向AP发送终端的数据包过滤规则，包括：终端通过无线通信通道向AP发送终端的数据包过滤规则。

在本申请第二方面一实施例中，数据包过滤规则包括至少一个五元组；其中，每个五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

在本申请第二方面一实施例中，AP根据终端的数据包过滤规则，对将要发送给终端的数据包进行过滤之前，还包括：终端向AP发送第三信息；其中，其中，第三信息用于指示AP对AP将要发送给终端的数据包进行过滤；AP根据终端的数据包过滤规则，对将要发送给终端的数据包进行过滤，包括：AP在接收到来自于终端的第三信息之后，根据终端的数据包过滤规则，对将要发送给终端的数据包进行过滤。

在本申请第二方面一实施例中，AP根据终端的数据包过滤规则，对将要发送给终端的数据包进行过滤之后，还包括：终端向AP发送第四信息；其中，第四信息用于指示AP停止对AP将要发送给终端的数据包进行过滤；AP在接收到来自于终端的第四信息之后，停止对AP将要发送给终端的数据包进行过滤，并删除所存储的终端的数据包过滤规则。

在本申请第二方面一实施例中，所述AP根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤，包括：判断将要发送给所述终端的数据包，是否符合所述终端的数据包过滤规则；若是，所述AP确定不将所述数据包发送至所述终端；若否，所述AP确定将所述数据包发送至所述终端。

本申请第三方面提供一种数据包过滤方法，可以由本申请第一方面提供的数据包过滤系统中的终端执行，该方法包括：接收来自于无线访问接入点AP的第一信息；其中，第一信息用于指示AP具有数据包过滤的能力，终端与AP通过无线方式连接；向AP发送终端的数据包过滤规则；数据包过滤规则用于AP对将要发往终端的数据包进行过滤。

在本申请第三方面一实施例中，第一信息携带在AP向终端发送的第一消息中；终端的数据包过滤规则携带在终端向AP发送的第二消息中。

在本申请第三方面一实施例中，终端与AP之间具体通过无线通信通道连接；其中，无线通信通道专门用于终端与AP进行通信；接收来自于无线访问接入点AP的第一信息，包括：通过无线通信通道接收来自于AP的第一信息；向AP发送终端的数据包过滤规则，包括：通过无线通信通道向AP发送终端的数据包过滤规则。

在本申请第三方面一实施例中，数据包过滤规则包括至少一个五元组；其中，每个五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

在本申请第三方面一实施例中，向AP发送终端的数据包过滤规则之后，还包括：向AP发送第三信息；其中，第三信息用于指示AP对AP将要发送给终端的数据包进行过滤。

在本申请第三方面一实施例中，向AP发送终端的数据包过滤规则之后，还包括：

向AP发送第四信息；其中，第四信息用于指示AP停止对AP将要发送给终端的数据包进行过滤。

本申请第四方面提供一种数据包过滤方法，可以由本申请第一方面提供的数据包过滤系统中的AP执行，该方法包括：向终端发送第一信息；其中，所述第一信息用于指示所述AP具有数据包过滤的能力；接收来自于所述终端发送的所述终端的数据包过滤规则；根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤。

在本申请第四方面一实施例中，所述第一信息携带在所述AP向所述终端发送的第一消息中；所述终端的数据包过滤规则携带在所述终端向所述AP发送的第二消息中。

在本申请第四方面一实施例中，所述终端与所述AP之间具体通过无线通信通道连接；其中，所述无线通信通道专门用于所述终端与所述AP进行通信；所述向终端发送第一信息，包括：通过所述无线通信通道向所述终端发送第一信息；所述接收来自于所述终端发送的所述终端的数据包过滤规则，包括：通过所述无线通信通道接收到所述终端的数据包过滤规则。

在本申请第四方面一实施例中，所述数据包过滤规则包括至少一个五元组；其中，每个所述五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

在本申请第四方面一实施例中，所述根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤之前，还包括：

接收所述终端发送的第三信息，其中，所述第三信息用于指示所述AP对所述AP将要发送给所述终端的数据包进行过滤；所述根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤，包括：在接收到所述来自于所述终端的第三信息之后，根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤。

在本申请第四方面一实施例中，所述根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤之后，还包括：

接收所述终端发送的第四信息，其中，所述第四信息用于指示所述AP停止对所述AP将要发送给所述终端的数据包进行过滤；所述方法还包括：在接收到来自于所述终端的第四信息之后，停止对所述AP将要发送给所述终端的数据包进行过滤，并删除所存储的所述终端的数据包过滤规则。

在本申请第四方面一实施例中，所述根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤，包括：判断将要发送给所述终端的数据包，是否符合所述终端的数据包过滤规则；若是，确定不将所述数据包发送至所述终端；若否，确定将所述数据包发送至所述终端。

本申请第五方面提供一种数据包过滤装置，包括：接收模块，用于接收来自于无线访问接入点AP的第一信息；其中，第一信息用于指示AP具有数据包过滤的能力，终端与AP通过无线方式连接；发送模块，用于向AP发送终端的数据包过滤规则；数据包过滤规则用于AP对将要发往终端的数据包进行过滤。

在本申请第五方面一实施例中，第一信息携带在AP向终端发送的第一消息中；终端的数据包过滤规则携带在终端向AP发送的第二消息中。

在本申请第五方面一实施例中，终端与AP之间具体通过无线通信通道连接；其中，无线通信通道专门用于终端与AP进行通信；则接收模块具体用于，通过无线通信通道接收来自于AP的第一信息；发送模块具体用于，通过无线通信通道向AP发送终端的数据包过滤规则。

在本申请第五方面一实施例中，数据包过滤规则包括至少一个五元组；其中，每个五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

在本申请第五方面一实施例中，发送模块还用于，向AP发送第三信息；其中，第三信息用于指示AP对AP将要发送给终端的数据包进行过滤。

在本申请第五方面一实施例中，发送模块还用于，向AP发送第四信息；其中，第四信息用于指示AP停止对AP将要发送给终端的数据包进行过滤。

本申请第六方面提供一种数据包过滤装置，包括：发送模块，用于向终端发送第一信息；其中，所述第一信息用于指示所述AP具有数据包过滤的能力；接收模块，用于接收来自于所述终端发送的所述终端的数据包过滤规则；处理模块，用于根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤。

在本申请第六方面一实施例中，所述第一信息携带在所述发送模块向所述终端发送的第一消息中；所述终端的数据包过滤规则携带在所述终端向所述AP发送的第二消息中。

在本申请第六方面一实施例中，所述终端与所述AP之间具体通过无线通信通道连接；其中，所述无线通信通道专门用于所述终端与所述AP进行通信；所述发送模块具体用于，通过所述无线通信通道向所述终端发送第一信息；所述接收模块具体用于，通过所述无线通信通道接收到所述终端的数据包过滤规则。

在本申请第六方面一实施例中，所述数据包过滤规则包括至少一个五元组；其中，每个所述五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

在本申请第六方面一实施例中，所述接收模块还用于，接收所述终端发送的第三信息，其中，所述第三信息用于指示所述AP对所述AP将要发送给所述终端的数据包进行过滤；所述处理模块还用于，在接收到所述来自于所述终端的第三信息之后，根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤。

在本申请第六方面一实施例中，所述接收模块还用于，接收所述终端发送的第四信息，其中，所述第四信息用于指示所述AP停止对所述AP将要发送给所述终端的数据包进行过滤；所述方法还包括：所述处理模块还用于，在接收到来自于所述终端的第四信息之后，停止对所述AP将要发送给所述终端的数据包进行过滤，并删除所存储的所述终端的数据包过滤规则。

在本申请第六方面一实施例中，所述处理模块具体用于，判断将要发送给所述终端的数据包，是否符合所述终端的数据包过滤规则；若是，确定不将所述数据包发送至所述终端；若否，确定将所述数据包发送至所述终端。

本申请第七方面提供一种终端，包括：通信接口、处理器和存储器；其中，存储器中存储有指令，处理器调用并执行所述指令时，使终端执行如本申请第三方面任一项的方法。

在本申请第七方面一实施例中，通信接口用于接收来自于AP的第一信息，并将所述第一信息发送给所述处理器；其中，所述第一信息用于指示AP具有数据包过滤的能力，终端与AP通过无线方式连接；所述存储器中存储有指令，所述处理器调用并执行所述指令时，使得所述处理器在接收到所述第一信息后，将所述终端的数据包过滤规则发送至所述通信接口；所述通信接口还用于向AP发送终端的数据包过滤规则，其中，数据包过滤规则用于AP对将要发往终端的数据包进行过滤。

在本申请第七方面一实施例中，所述通信接口具体用于接收来自于AP的第一消息，第一信息携带在第一消息中；所述通信接口具体用于向AP发送第二消息，其中，终端的数据包过滤规则携带在所述通信接口向AP发送的第二消息中。

在本申请第七方面一实施例中，所述通信接口具体用于通过无线通信通道接收AP发送的第一信息；所述通信接口具体用于通过无线通信通道向AP发送数据包过滤规则。

在本申请第七方面一实施例中，数据包过滤规则包括至少一个五元组；其中，每个五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

在本申请第七方面一实施例中，所述处理器还用于，向通信接口发送第三信息；所述通信接口还用于，接收处理器发送的第三信息，并向AP发送第三信息；其中，第三信息用于指示AP对AP将要发送给终端的数据包进行过滤。

在本申请第七方面一实施例中，所述处理器还用于，向通信接口发送第四信息；所述通信接口还用于，接收处理器发送的第四信息，并向AP发送第四信息；其中，第四信息用于指示AP停止对AP将要发送给终端的数据包进行过滤。

本申请第八方面提供一种终端，包括：通信接口、处理器和存储器；其中，存储器中存储有指令，处理器调用并执行所述指令时，使终端执行如本申请第四方面任一项的方法。

在本申请第八方面一实施例中，所述处理器具体用于，向通信接口发送第一信息；所述通信接口用于接收处理器发送的第一信息，并向终端发送第一信息；其中，所述第一信息用于指示所述AP具有数据包过滤的能力；所述通信接口还用于接收来自于所述终端发送的所述终端的数据包过滤规则，并将所述终端的数据包过滤规则转发至所述处理器；所述处理器用于，根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤。

在本申请第八方面一实施例中，所述第一信息携带在所述通信接口向所述终端发送的第一消息中；所述终端的数据包过滤规则携带在所述通信接口接收的第二消息中。

在本申请第八方面一实施例中，所述终端与所述AP之间具体通过无线通信通道连接；其中，所述无线通信通道专门用于所述终端与所述AP进行通信；通信接口具体用于，通过所述无线通信通道向所述终端发送第一信息；通信接口具体用于，通过所述无线通信通道接收到所述终端的数据包过滤规则。

在本申请第八方面一实施例中，所述数据包过滤规则包括至少一个五元组；其中，每个所述五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

在本申请第八方面一实施例中，通信接口还用于，接收所述终端发送的第三信息，并将第三信息发送至处理器；其中，所述第三信息用于指示所述AP对所述AP将要发送给所述终端的数据包进行过滤；处理器用于，在接收到第三信息之后，根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤。

在本申请第八方面一实施例中，通信接口还用于，接收所述终端发送的第四信息，并将第四信息发送至处理器；其中，所述第四信息用于指示所述AP停止对所述AP将要发送给所述终端的数据包进行过滤；处理器用于，在接收到第四信息之后，停止对所述AP将要发送给所述终端的数据包进行过滤，并删除所存储的所述终端的数据包过滤规则。

综上，本申请提供一种数据包过滤方法、装置及系统，当终端接收到来自于AP发送的第一信息指示AP能代替终端进行数据包过滤后，终端将其数据包过滤规则发送至AP。使得AP能够根据所接收到的终端的数据包过滤规则，代替处在待机状态下的终端，对经由AP发往终端的数据包进行过滤，并将过滤后不满足过滤规则的数据包再发送至终端。使得处在待机状态下的终端不需要再对AP所发送的数据包进行过滤，而是可以在接收到AP发送的数据包后直接进行处理。从而实现了AP代替终端进行数据包的过滤，能够有效减少处于待机状态的终端对数据包进行过滤时通信模块或主机侧驱动的电量消耗；并且由于经过AP向终端发送的数据包可能被AP过滤而不会发送给终端，也能够进一步减少终端在DTIM时刻唤醒并接收数据包所消耗的电量，进而减少了终端在待机状态下的电量消耗，提高了终端的用户体验。

附图说明

图1为本申请应用的通信系统的结构示意图；

图2为现有技术中数据包过滤方法的流程示意图；

图3为本申请提供的数据包过滤方法一实施例的流程示意图；

图4为本申请提供的数据包过滤方法一实施例的流程示意图；

图5为本申请提供的数据包过滤方法一实施例的流程示意图；

图6为本申请提供的数据包过滤方法一实施例的流程示意图；

图7为本申请提供的数据包过滤方法一实施例的流程示意图；

图8为本申请提供的数据包过滤方法一实施例的流程示意图；

图9为本申请提供的数据包过滤方法一实施例的流程示意图；

图10为本申请提供的数据包过滤方法一实施例的流程示意图；

图11为本申请提供的数据包过滤装置一实施例的结构示意图；

图12为本申请提供的电子设备一实施例的结构示意图。

具体实施方式

图1为本申请应用的通信系统结构示意图，如图1所示的通信系统包括：终端1和无线访问接入点(wireless access point，AP)2，其中，终端1可以通过无线通信方式与AP2建立连接关系，并根据所建立的连接关系通过AP2接入互联网3，常见的AP2包括：交换机、路由器和中继器等设备，AP2与互联网3可以采用有线通信方式或无线通信方式连接而不做限定。当终端1与AP2建立连接关系后，终端1可以通过AP2接收互联网3发送的数据包，并通过AP2向互联网3发送数据包，从而实现终端1获取互联网3内的数据包或者与同样接入互联网3的其他设备进行通信。AP2在终端1与互联网3之间的数据包通信过程中起到了转发数据包的中继作用。例如：终端1内所安装的聊天应用程序(Application，APP)获取用户对话数据包后，终端1可以将用户对话数据包发送至AP2，经由AP2转发至互联网3；终端1还可也接收AP2转发的互联网3发送的用户对话数据包后，由终端1内的聊天APP处理该用户对话数据包。

终端1与AP2建立连接关系后，当终端1未被用户使用而处在待机状态下或者锁屏或者黑屏状态下，虽然终端不会主动再向AP2发送数据包，但可能还会收接收到AP2所转发的来自互联网3的数据包。因此，现有技术中规定了终端1在待机状态下定时唤醒，以接收AP2所发送的数据包的时间间隔DTIM(Delivery Traffic Indication Message)，其中，在每间隔DTIM的时刻，终端1内的通信模块会接收来自AP2的数据包。而AP2向终端1所转发的互联网3的数据包可能并不是终端1所需的，例如，互联网3通过AP2向其他终端通过广播方式发送的数据包，或者互联网3可能会通过AP2向终端1发送恶意的攻击数据包以窃取终端1的其他数据。因此，为了保证终端1所接收到的数据包的安全，现有技术中还规定了终端1需要对所接收到的数据包进行过滤。

图2为提供了一种数据包过滤方法的流程示意图。如图2示出了图1所示的通信系统中的终端1，在接收到互联网3通过AP2发送的数据包形式的数据包后，对所接收到的数据包进行过滤的处理流程，其中箭头方向示出了终端对数据包处理时的数据流方向。具体地，如图2所示，处于待机状态的终端1的通信模块在每间隔DTIM的时刻唤醒，询问AP2是否缓存了终端1的数据包。若AP2缓存有终端1的数据包，则AP将数据包发送至终端1，由终端1的通信模块进行接收。其中，通信模块可以是图2所示的终端内的无线保真芯片(Wi-Fichipset)。随后，该芯片对接收到的数据包进行过滤，例如通过对所接收到的数据包的地址、端口以及协议类型等进行判断，将符合过滤要求的数据包进行拦截，不进行后续处理；将不符合过滤要求而未被拦截的数据包发送至终端1的主机侧驱动(driver)，以唤醒终端1的主板对数据包进行进一步处理，例如终端通过主板中的协议栈对数据包进行解析后，将数据包中的数据发送至对应的应用程序。而在另一些终端中，如果终端1的通信模块未对数据包进行过滤，则终端1主机侧驱动接收到通信模块发送的数据包后，可以通过主板中的协议栈(TCP/IP)中的防火墙(IP Filter)中对该数据包进行过滤，并将符合过滤要求的数据包进行拦截，不进行后续处理；将不符合过滤要求的数据包而未被拦截的数据包进行解析后，发送至终端1中对应的应用程序(APP)进行处理。最终，终端1在APP处理所接收到的数据包后，切换回终端1接收到数据包前的待机状态继续休眠。

综上，在如图2所示的现有的数据包过滤方法中，虽然实现了终端1对接收到的AP2所发送的数据包进行过滤，保证了终端1进一步处理的数据包的安全。但是，由于需要终端1唤醒其通信模块或者主机侧协议栈中的防火墙对所接收到的数据包进行过滤，造成了处于待机状态终端1接收数据包后都需要对所接收到的数据包进行过滤。则对于终端1所接收到的不符合过滤要求而未被拦截的数据包，经过过滤后终端1可以进行后续处理，但还是会由于终端1对数据包进行的过滤处理而一定程度上增加了终端1的功耗，加快电量消耗；而对于终端1所接收到的符合过滤要求并进行拦截的数据包，虽然终端1不会继续对该数据包进行后续处理，但是终端1对数据包进行的过滤处理仍然会加快终端1在待机状态下的电量消耗，进而影响终端1的用户体验。

因此，本申请提供一种数据包过滤方法、装置及系统，以减少终端在连接AP的待机状态下对数据包进行过滤时的电量消耗。下面将结合本申请实施例中的附图，对本申请实施例进行描述。

其中，图3为本申请提供的数据包过滤方法一实施例的流程示意图，该方法可应用于如图1所示的通信系统中，并由通信系统中的终端1与AP2执行相应的步骤，如图3所示，本实施例提供的数据包过滤方法包括：

S100：终端与AP建立连接关系。

具体地，本实施例针对通信系统中AP发送给终端的数据包进行过滤，需要在AP与终端首先建立连接关系后，使得AP通过所建立的连接关系发送给终端的数据包进行过滤。因此在S100中，终端与AP建立连接关系。例如，在一种可能的实现方式中，支持IEEE 802.11无线通信标准的AP可以通过向空口持续发送Beacon帧的报文的方式宣称AP的存在，使得终端根据AP的Beacon帧检索到该AP的存在后，根据Beacon帧内AP的服务集标识(service setidentifier，SSID)等信息与AP建立连接关系。

可选地，本实施例中所述的连接关系为无线连接关系，终端通过与AP的无线连接关系，能够通过AP接入互联网后，通过AP向互联网发送数据包，以及通过AP接收来自互联网的数据包。此外，本实施例所述的终端与AP建立连接关系包括：终端实时进行AP的检索并在检索到AP后主动与该AP建立连接关系，或者终端在终端的用户的指示下与AP建立连接关系。对于终端连接AP的具体方法及原理可参照现有技术，本申请不作限定。

S101：AP向终端发送第一信息，其中，第一信息用于指示AP具有数据包过滤的能力。则对应地，在S101中终端接收AP所发送的第一信息。

随后，在终端与AP建立连接关系后，AP可以通过S101向终端发送第一消息中携带第一信息的方式，通过第一消息向终端指示该AP具备数据包过滤的能力。则终端在接收到AP发送的第一消息后，可以根据第一消息中的第一信息确定AP具有数据包过滤的能力。

S102：终端向AP发送终端的数据包过滤规则。

其中，所述数据包过滤规则可以是终端的存储设备中所存储的预设数据包的特征信息，该些预设数据包可以是攻击终端的数据包的特征信息等。在如图2所示的现有技术中，终端使用所存储的数据包过滤规则对接收到的数据包进行过滤。例如，所述数据包过滤规则可以是至少一个预设数据包的特征信息(例如：源地址、目的地址、源端口、目的端口和协议类型等)。则当终端接收到来自AP的数据包后，将接收到的数据包的特征信息与至少一个预设数据包的特征信息进行匹配，若存在与接收到的数据包的特征信息相同的预设数据包，终端不会处理所接收到的数据包；若接收到的数据包的特征信息与所有预设数据包的特征信息均不相同，则终端才会继续处理所接收到的数据包。

而在本实施例的S102中，当终端接收到AP发送的第一信息之后，由于AP具有数据包过滤的能力，因此终端可以将其所存储的数据包过滤规则发送至AP。则对于AP，在接收到终端发送的终端的数据包过滤规则后，可以在AP的存储设备中进行存储。可以理解的是，由于AP可以接收不同终端所发送的数据包过滤规则，AP可以将接收到的数据包过滤规则与终端建立对应关系。

可选地，所述数据包过滤规则可以包括终端中的应用程序提供的数据包过滤规则，或者可以包括终端的用户所指定的数据包过滤规则。

进一步地，在本实施例S102一种具体的实现方式中，若所述数据包的特征信息包括：数据包的源地址、目的地址、源端口、目的端口和协议类型。则终端可以具体将其所存储的所有数据包过滤规则，依次以五元组的形式发送至AP，每个数据包过滤规则的五元组包括：源地址、目的地址、源端口、目的端口和协议类型。其中，数据包的源地址包括互联网中发出该数据包的设备的地址，例如IP地址；源端口包括互联网中发出该数据包的设备的端口号；目的地址包括接收该数据包的设备的地址，例如IP地址，本实施例中目的地址特指终端的地址；目的端口包括接收该数据包的设备的端口号，本实施例中目的端口特指终端的端口号；协议类型包括：传输控制协议(transmission control protocol，TCP)、互联网协议(internet protocol，IP)或用户数据报协议(user datagram protocol，UDP)。

S103：AP根据终端的数据包过滤规则，对AP将要发送给终端的数据包进行过滤。

具体地，当AP通过S102接收到终端发送的该终端的数据包过滤规则后，可以根据所收到的数据包过滤规则，代替终端对数据包进行过滤。其中，由于终端已建立与AP的连接关系，则互联网通过AP发往终端的数据包都会经过该AP转发至终端，则AP在确定经由该AP转发至终端的数据包后，即可在数据包发往终端前，根据所接收到的该终端的数据包过滤规则，代替终端对数据包进行过滤。

在S103一种具体的实现方式中，所述AP对终端的数据包进行过滤包括：若AP判断将要发往终端的数据包满足数据包过滤规则，则AP不会继续将该数据包发送至终端；若数据包不满足数据包过滤规则，则AP继续将数据包发送至终端，由终端接收数据包后进行后续处理。

例如，若所述数据包过滤规则包括至少一个预设数据包的特征信息(例如：源地址、目的地址、源端口、目的端口和协议类型等)。则当AP接收到互联网发送给终端的数据包后，在AP将该数据包发送至终端前，将该数据包的特征信息与至少一个预设数据包的特征信息进行匹配，若存在接收到的数据包的特征信息相同的预设数据包，AP不会将数据包发送至终端；若接收到的数据包的特征信息与所有预设数据包的特征信息均不相同，则AP才会将所接收到的数据包进一步发送至终端。

进一步地，在本实施例中，当终端在确定所收到的数据包已经由AP代替其进行过滤之后，终端可以不再对数据包进行过滤，而是直接对数据包进行处理。例如，终端可以在S102中将其数据包过滤规则发送至AP之后，若接收到AP发送的数据包，即可直接对所接收到的数据包进行处理。

特别地，当本实施例中的终端处于待机状态，则AP在接收到发往终端的数据包并对数据包进行过滤后，对于不符合数据包过滤规则的数据进行缓存。当终端在DTIM时刻向AP询问是否有其数据包时，AP再将该时刻前所缓存的该终端的数据包发送至终端。此时，终端通过其通信模块接收到AP所发送的数据包之后，不需要再使用数据包过滤规则对接收到的数据包进行过滤，而是直接通过主板中的协议栈(TCP/IP)数据包进行解析后，发送至该数据包对应的应用程序进行处理。

综上，本申请实施例提供的数据包过滤方法中，当终端接收到来自于AP发送的第一信息指示AP能代替终端进行数据包过滤后，终端将其数据包过滤规则发送至AP。使得AP能够根据所接收到的终端的数据包过滤规则，代替处在待机状态下的终端，对经由AP发往终端的数据包进行过滤，并将过滤后不满足过滤规则的数据包再发送至终端。使得处在待机状态下的终端不需要再对AP所发送的数据包进行过滤，而是可以在接收到AP发送的数据包后直接进行处理。从而实现了AP代替终端进行数据包的过滤，能够有效减少处于待机状态的终端对数据包进行过滤时通信模块或主机侧驱动的电量消耗；并且由于经过AP向终端发送的数据包可能被AP过滤而不会发送给终端，也能够进一步减少终端在DTIM时刻唤醒并接收数据包所消耗的电量，进而减少了终端在待机状态下的电量消耗，提高了终端的用户体验。

可选地，在本申请另一种可能的实现方式中，如图3所示的S101还可以在S100之前执行，即，终端通过S101确定AP具备数据包过滤的能力，终端再通过S100建立与AP的连接关系，使得终端有选择性地建立与AP的连接，优先接入具备数据包过滤的能力的AP，以通过后续步骤使该AP代替终端进行数据包过滤。

进一步地，在如图3所示实施例基础上，图4为本申请提供的数据包过滤方法一实施例的流程示意图，如图4所示的实施例中，示出了一种AP向终端发送第一信息以及终端向AP发送数据包过滤规则的具体实现方法，该方法包括：

S200：终端和AP建立连接关系。

具体地，S200的实现方式与原理可参照S100，不再赘述。

S201：AP在向终端发送的第一消息中携带第一信息。

可选地，所述的第一消息可以是专门用于AP向终端指示其是否AP具备数据包过滤的能力的消息，例如，当第一消息是“1”时表示AP具备数据包过滤的能力。

或者，第一消息可以是现有消息，第一消息中携带用于指示AP具备数据包过滤的能力的信息，例如，第一消息可以是支持802.11协议的AP向终端所发送的Beacon帧，则Beacon帧通过新增字段“1”来表示AP具备数据包过滤的能力。

或者，本实施例中，AP还可以通过广播的形式，向AP覆盖范围内所有的终端广播第一消息，例如，AP广播的第一消息可以是Beacon帧。使得AP覆盖范围内的终端不论是否与该AP建立连接关系，都可以通过第一消息确定该AP具备数据包过滤的能力。则对于接收到该第一消息未与AP建立连接关系的终端，可以根据所获取的第一消息，优先选择与该AP建立连接关系、或者由其他AP切换至该AP的连接关系，以通过后续步骤由AP代替终端进行数据包过滤。

更为具体地，本实施例中第一信息可以是Beacon帧中，“vendor specific”字段中的“vendor specific OUI Type”。其中，Beacon帧中所增加的“vendor specific”字段用于AP的生产商增加自定义的数据。例如：以厂商A为例，厂商A生产的AP能够根据该厂商的组织唯一标识符(organizationally unique identifier，OUI)，在Beacon帧中添加的vendorspecific字段包括：

“Tag：Vendor Spevific：A

Tag Number：Vendor Specific(221)

Tag length：15

OUI：00-e0-fc

Vendor Specific OUI Type：B；

Vendor Specific Data：C”

则对于厂商A所生产的AP，当AP具有数据包过滤能力时，例如可以将其Beacon帧的“vendor specific”字段中B的取值设置为“40”，以指示该AP具有数据包过滤能力。相应地，终端接收到AP发送的Beacon帧后，若确定Beacon帧中的“Vendor Specific OUI Type”字段中B的取值为“40”，则确定AP具有数据包过滤能力。

S202：终端在向AP发送的第二消息中携带终端的数据包过滤规则。

具体地，终端具体通过第二消息，向AP发送终端的数据包过滤规则。其中，所述的第二消息可以是专门用于终端向AP发送数据包过滤规则的消息，或者，第二消息还可以是现有的终端向AP发送的消息，第二消息中携带终端的数据包过滤规则。例如，第二消息可以是支持802.11协议的终端向AP发送的Action帧，则Action帧通过新增的字段来表示数据包过滤规则的五元组。可选地，若终端包括多个数据包过滤规则，则终端可以通过一个Action帧携带终端所有的数据包过滤规则，或者通过多个Action帧携带一个数据包过滤规则。最终，AP通过接收终端所发送的一个或多个Action帧获取到终端的数据包过滤规则并进行存储。

更为具体地，本实施例中终端可以在向AP发送的Aciton帧中扩展“CategoryCode”字段来携带其数据包过滤规则。其中，Action帧中Category Code为21-125的类型，为预留的字段类型，可以由终端或者AP自定义使用。因此，终端可以在向AP发送的Aciton帧定义新的“Category Code”字段。例如：终端向AP发送的用于增加/删除数据包过滤规则的Aciton帧中，可以从21-125中选取类型X，并新增类型为X的“Category Code”字段包括：

“Category Code：X

Action Code：ADD/DEL

TCP Quinter seq Num：D

TCP Quinter length：13

TCP Quniter data:E”。

其中，“Category Code”字段中的“TCP Quniter data”可以携带数据包过滤规则E，例如E包括：通过五元组形式表示的数据包过滤规则。源地址、目的地址、源端口、目的端口和协议类型，其中，源地址通过四个字节表示，目的地址通过四个字节表示，源端口通过两个字节表示，目的端口通过两个字节表示，协议类型通过一个字节表示。即，“TCPQuniter data”中E的长度为13个字节，即“TCP Quinter length”取值为“13”同时，本申请对五元组中五元数据的具体排列方式不作具体限定。“TCP Quinter seq Num”为系统分配的序列号，例如可以是“1000”。

可选地，当AP通过action帧接收到终端发送的数据包过滤规则后，可以向终端通过Action帧发送确认信息，以确认AP已收到终端的数据包过滤规则。例如，AP向终端发送的用于确认接收到数据包过滤规则的Action帧中，新增的类型为X的“Category Code”字段包括：

“Category Code：X

Action Code：ACK

TCP Quinter ACK Num：F

TCP Quinter length：13

TCP Quniter data:E”。

其中，“Category Code”字段中的“TCP Quniter data”携带AP接收到的数据包过滤规则E，“TCP Quinter ACK Num”字段中F的取值与AP接收到的Action帧中的“TCPQuinter seq Num”相同，例如可以同为1000。

S203：AP根据终端的数据包过滤规则，对AP发送给终端的数据包进行过滤。

具体地，S203的实现方式与原理可参照S103，不再赘述。

图5为本申请提供的数据包过滤方法一实施例的流程示意图，如图5所示的实施例中，示出了另一种AP向终端发送第一信息以及终端向AP发送数据包过滤规则的具体实现方法，该方法包括：

S300：终端和AP建立无线通信通道。

具体地，在如图5所示的S300中终端与AP所建立的连接关系为无线通信通道，所述的无线通信通道包括但不限于hi-link通道，该通道为终端与AP之间的专用通道，并能够提供终端与AP之间所传输的数据安全。

则终端与AP建立无线通信通道后，在S301中AP通过该通道向终端发送第一信息。可选地，S301中AP具体可以通过无线通信通道向终端发送私有消息的方式，向终端宣称该AP具备数据包过滤的能力。

随后，在S302中，终端具体通过S300所建立的与AP之间的通信通道，向AP发送终端的数据包过滤规则。同样地，终端可以通过五元组的形式将数据包过滤规则通过通信通道发送至AP。则AP通过通信通道接收终终端发送的数据包过滤规则并进行存储。

S303：AP根据终端的数据包过滤规则，对AP发送给终端的数据包进行过滤。

具体地，S303的实现方式与原理可参照S103，不再赘述。

可选地，如图4和图5所示的实施例中，示出了两种AP向终端发送第一信息的方式，而在其他可能的实现方式中，终端还可以主动向AP确定AP是否具备数据包过滤的能力，若AP具备数据包过滤能力，则向终端发送第一信息。

例如，终端可以向AP发送请求信息的方式询问AP是否具备数据包过滤的能力，当AP收到终端的请求消息后，若确定AP具备数据包过滤能力，则向终端回复第一信息，使得终端根据第一信息确定AP具备数据包过滤的能力；而若确定AP不具备数据包过滤能力时，AP可以不向发送终端请求信息的响应消息。

又例如，终端还可以根据用户的指示来确定AP具备数据包过滤的能力，则AP可以不向终端发送第一信息。例如：使用终端的用户在确定终端所连接的AP具有代替终端进行数据包过滤的能力后，通过触摸屏、键盘或者按键灯交互装置向终端发出指示消息，当终端获取到用户的指示消息后，根据用户的指示消息确定AP具备数据包过滤的能力，即可通过S102将终端的数据包过滤规则发送至AP。

进一步地，图6为本申请提供的数据包过滤方法一实施例的流程示意图。如图6所示实施例示出了本申请AP在接收到终端的数据包过滤规则后，代替终端对数据包进行过滤的流程示意图。其中，该方法包括：

S401：AP接收互联网发送给终端的数据包。

具体地，在终端与AP建立连接关系后，互联网可以通过AP向终端发送数据包。则AP接收互联网发送的数据包，并可以根据数据包的目标地址以及目标端口等信息确定数据包是发往所述终端。

S402：AP根据终端的数据包过滤规则，对AP将要发送给终端的数据包进行过滤。

具体地，S402的可参照S103，其实现方式与原理相同。

S403：若S402中所接收到的数据包满足数据包过滤规则，则AP对该数据包进行拦截，不会将该数据包发送至终端。

S404：若S402中所接收到的数据包不满足数据包过滤规则，则AP不对该数据包进行拦截，并继续将该数据包发送至终端。

S405：当终端通过S404接收到AP所发送的数据包后，不再对数据包进行过滤，而是直接对数据包进行处理。

可以理解的是，如图6所示实施例中，S403与S404为并列选择方案，AP根据S402中对数据包的过滤结果选择执行S403或S404。

进一步地，在本申请上述各实施例基础上，图7为本申请提供的数据包过滤方法一实施例的流程示意图。如图7所示的实施例中，终端可以通过发送第三信息的方式指示AP开始代替其进行数据包过滤，从而丰富了本申请数据包过滤方法的应用方式以及应用场景。

具体地，在如图3-5任一项所示实施例中，终端向AP发送其数据包过滤规则后，AP并不立即执行S103代替终端对数据包进行过滤，而是需要S501中终端向AP发送第三消息指示AP开始代替终端对数据包进行过滤后，AP再根据终端的第三消息的指示，执行S502中使用终端的数据包过滤规则，对发往终端的数据包进行过滤。

可选地，所述第三消息可以是专门用于终端指示AP开始对AP将要发送给终端的数据包进行过滤的消息，或者，所述第三消息还可以是现有的终端发往AP的消息例如Action帧，终端通过Action帧中的字段例如“PS＝1”来指示AP开始对AP将要发送给终端的数据包进行过滤。

在S501一种可能的实现方式中，当终端由未待机状态进入待机状态时，可以生成第三消息并向AP发送，使得AP根据收到的第三消息开始代替处于待机状态的终端对AP将要发送给该终端的数据包进行过滤。或者，S401另一种可能的实现方式为，终端根据用户的指示向AP发送第三消息，例如：使用终端的用户在确定由AP代替终端进行数据包过滤后，通过触摸屏、键盘或者按键灯交互装置向终端发出指示消息，当终端获取到用户的指示消息后，根据用户的指示消息向AP发送第三消息，使得AP对AP将要发送给终端的数据包进行过滤。又或者，S401的另一种可能的实现方式为，终端在工作过程中，实时检测终端的电量，当检测到其电量低于预设阈值时，可以向AP发送第三消息，使得AP对AP将要发送给终端的数据包进行过滤。又或者，在本申请其他实施例中，AP在经过如图3所示的S102接收到终端的数据包过滤规则后，不论终端处于何种状态，即直接对发往终端的数据包进行过滤，而终端在向AP发送其数据包过滤规则后，则不会再对其接收到的数据包进行过滤。

随后，当AP接收到终端发送的第三消息后，开始替代终端对发送给该终端的数据包进行过滤，对AP将要发送给终端的数据包进行过滤的消息。可以理解的是，当终端向AP发送第三信息，指示AP代替终端对数据包进行过滤后，若终端再接收到AP所发送的数据包，则不会对数据包进行过滤。

进一步地，在本申请上述各实施例基础上，图8为本申请提供的数据包过滤方法一实施例的流程示意图。如图8所示的实施例中，终端可以通过发送第四信息的方式指示AP停止代替其进行数据包过滤，从而丰富了本申请数据包过滤方法的应用方式以及应用场景。

具体地，在如图3-5所示实施例基础上，AP根据终端的数据包过滤规则，对发送给终端的数据包进行过滤之后，若终端确定不再需要AP代替其对数据包进行过滤时，可以通过S503向AP发送第四消息，使得AP在S504中根据所接收到的第四消息停止对AP将要发送给终端的数据包进行过滤，并删除AP的存储设备中存储的该终端的数据包过滤规则。可选地，所述第四消息可以是专门用于终端指示AP停止对AP将要发送给终端的数据包进行过滤的消息，或者，所述第四消息还可以是现有的终端发往AP的消息例如Action帧，终端通过Action帧中的字段例如“PS＝0”来指示AP停止对AP将要发送给终端的数据包进行过滤。

在S503一种可能的实现方式中，当终端退出待机状态时，可以生成第四消息并向AP发送，使得AP根据第四消息停止对AP将要发送给终端的数据包进行过滤的消息并删除终端的数据包过滤规则。或者，在S405另一种可能的实现方式中，终端根据用户的指示向AP发送第四消息，例如：使用终端的用户在确定需要停止对AP将要发送给终端的数据包进行过滤的消息后，通过触摸屏、键盘或者按键灯交互装置向终端发出指示消息，当终端获取到用户的指示消息后，根据用户的指示消息向AP发送第四消息，使得AP根据第四消息停止对AP将要发送给终端的数据包进行过滤的消息并删除终端的数据包过滤规则。又或者，在S405另一种可能的实现方式中，终端可以不向AP发送第四消息，而是由AP检测到终端与该AP的连接关系已断开时，对AP将要发送给终端的数据包进行过滤的消息并删除终端的数据包过滤规则。

可选地，在上述各实施例中，在S102中终端向AP发送其数据包过滤规则之后，若终端内的数据包过滤规则由于软硬件配置或者应用程序更新而进行了更新，则终端在此之后的任意时刻，可以继续通过前述五元组的方式，将更新后的数据包过滤规则发送至AP。例如，终端向AP发送第五消息，所述第五消息可以是Action帧，并在Action帧内新增字段携带五元组。当AP根据第五消息接收到终端更新后的数据包过滤规则后，AP对所存储的该终端的数据包过滤规则进行更新。其中，所述的更新包括：数据包过滤规则的增加、删除与修改。

可选地，图9为本申请提供的数据包过滤方法一实施例的流程示意图；如图9所示的实施例中，示出了终端和AP执行如图4所示的数据包过滤方法时，终端和AP的一种具体实现方式。

其中，终端内设置的应用程序数据包过滤(APP packet filter)APF客户端，用于通过第一信息确定AP具有数据包过滤能力，以及存储终端的数据包过滤规则，并确定何时对终端接收到的数据包进行过滤。AP内设置应用程序数据包过滤代理(APP packet filterproxy)，用于向终端发送第一信息，以及存储终端发送的数据包过滤规则，并代替终端对数据包进行过滤的。

则在S601中，APF代理可以通过Beacon帧向APF客户端发送第一信息。当APF客户端接收到Beacon帧后，可以根据其中的第一信息确定AP具有数据包过滤能力，并将APF客户端中存储的数据包过滤规则在S602中通过Aciton帧发送至APF代理。APF代理接收到终端的数据包过滤规则后进行存储。

随后，当终端进入待机状态时，S603中，APF客户端即可向APF代理发送第三消息，以指示APF代理开始代替APF客户端对数据包进行过滤。而当终端退出待机状态时，S604中，APF客户端即可向APF代理发送第四消息，以指示APF代理停止代替APF客户端对数据包进行过滤。

可选地，图10为本申请提供的数据包过滤方法一实施例的流程示意图；如图10所示的实施例中，示出了终端和AP执行如图5所示的数据包过滤方法时，终端和AP的一种具体实现方式。

其中，终端内设置的应用程序数据包过滤(APP packet filter)APF客户端，用于通过第一信息确定AP具有数据包过滤能力，以及存储终端的数据包过滤规则，并确定何时对终端接收到的数据包进行过滤。终端内设置的专用通信模块用于与AP内设置的专用模块进行通信，所述专用通信模块包括但不限于：hi-link中间件。

AP内设置应用程序数据包过滤代理(APP packet filter proxy)，用于向终端发送第一信息，以及存储终端发送的数据包过滤规则，并代替终端对数据包进行过滤的。AP内设置的专用通信模块用于与终端内设置的专用模块进行通信，所述专用通信模块包括但不限于：hi-link中间件。

则在本实施例S701中，AP向终端所发送的第一信息，以及终端向AP所发送的数据包过滤规则都可以通过二者的专用通信模块进行传输。例如，在终端的专用通信模块与AP的专用通信模块之间建立无线通信信道后，APF代理即可通过AP的专用通信模块将第一信息发送至终端的专用通信模块，使得终端的专用通信模块将APF同步至APF客户端。随后，APF客户端可以根据第一信息确定AP具有数据包过滤能力，并在S702中将APF客户端中存储的数据包过滤规则通过终端的专用通信模块发送至AP的专用通信模块，使得AP的专用通信模块将接收到的数据包过滤规则同步至APF客户端进行存储。

随后，当终端进入待机状态时，S703中，APF客户端即可向APF代理发送第三消息，以指示APF代理开始代替APF客户端对数据包进行过滤。而当终端退出待机状态时，S704中，APF客户端即可向APF代理发送第四消息，以知识APF代理停止代替APF客户端对数据包进行过滤。

上述实本申请提供的实施例中，从AP和终端的角度对本申请提供的方法进行了介绍与说明，而为了实现上述本申请实施例提供的方法中的各功能，AP和终端可以包括硬件结构和/或软件模块，以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行，取决于技术方案的特定应用和设计约束条件。

例如，图11为本申请提供的数据包过滤装置一实施例的结构示意图，如图11所示的装置包括；接收模块1101，发送模块1102和处理模块1103。

当如图11所示的数据包过滤装置为终端时，可用于执行如图3-10任一所示实施例中终端所执行的方法步骤。其中，接收模块1101用于接收来自于无线访问接入点AP的第一信息；其中，第一信息用于指示AP具有数据包过滤的能力，终端与AP通过无线方式连接；发送模块1102用于向AP发送终端的数据包过滤规则；数据包过滤规则用于AP对将要发往终端的数据包进行过滤。

可选地，第一信息携带在接收模块1101接收的第一消息中；终端的数据包过滤规则携带在发送模块1102向AP发送的第二消息中。

可选地，终端与AP之间具体通过无线通信通道连接；其中，无线通信通道专门用于终端与AP进行通信；则接收模块1101具体用于，通过无线通信通道接收来自于AP的第一信息；发送模块1102具体用于，通过无线通信通道向AP发送终端的数据包过滤规则。

可选地，数据包过滤规则包括至少一个五元组；其中，每个五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

可选地，发送模块1102还用于，向AP发送第三信息；其中，第三信息用于指示AP对AP将要发送给终端的数据包进行过滤。

可选地，发送模块1102还用于，向AP发送第四信息；其中，第四信息用于指示AP停止对AP将要发送给终端的数据包进行过滤。

本实施例提供的数据包过滤装置可具体实现如图3-10所示实施例中终端的方法，其实现方式与原理相同，不再赘述。

当如图11所示的数据包过滤装置为AP时，可用于执行如图3-10任一实施例中AP所执行的方法步骤。其中，发送模块1102用于向终端发送第一信息；其中，第一信息用于指示AP具有数据包过滤的能力；接收模块1101用于接收终端发送的数据包过滤规则；处理模块1103用于根据终端的数据包过滤规则，对将要发送给终端的数据包进行过滤。

可选地，第一信息携带在所述发送模块1102向终端发送的第一消息中；终端的数据包过滤规则携带在接收模块1101接收的第二消息中。

可选地，发送模块1102具体用于通过无线通信通道向终端发送第一信息；接收模块1101具体用于通过无线通信通道接收终端发送的数据包过滤规则。

可选地，所述数据包过滤规则包括至少一个五元组；其中，每个所述五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

可选地，接收模块1101还用于，接收终端发送的第三信息；处理模块1103具体用于，在接收到所述来自于所述终端的第三信息之后，根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤

可选地，接收模块1101还用于，接收终端发送的第四信息；处理模块1103具体用于，在接收到来自于所述终端的第四信息之后，停止对所述AP将要发送给所述终端的数据包进行过滤，并删除所存储的所述终端的数据包过滤规则。

可选地，处理模块1103具体用于，判断将要发送给所述终端的数据包，是否符合终端的数据包过滤规则；若是，确定不将所述数据包发送至所述终端；若否，确定将所述数据包发送至所述终端。

本实施例提供的数据包过滤装置可具体实现如图3-10所示实施例中AP的方法，其实现方式与原理相同，不再赘述。

本申请上述各实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本申请各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

进一步地，图12为本申请提供的电子设备一实施例的结构示意图。如图12所示的电子设备包括：通信接口1210、处理器1220和存储器1230。其中，通信接口1210可以是收发器、电路、总线或者其他形式的接口，用于通过传输介质和其他设备通信；通信接口1210、处理器1220和存储器1230之间耦合，本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。

本申请实施例中不限定上述通信接口1210、处理器1220以及存储器1230之间的具体连接介质。本申请实施例在图12中以通信接口1210、存储器1230以及处理器1220之间通过总线1240连接，总线在图12中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

示例性地，若如图12所示的电子设备为如图3-10中任一实施例所述的终端，则通信接口1210用于接收来自于AP的第一信息，并将所述第一信息发送给所述处理器1220；其中，所述第一信息用于指示AP具有数据包过滤的能力，终端与AP通过无线方式连接；所述存储器1230中存储有指令，所述处理器1220调用并执行所述指令时，使得所述处理器1220在接收到所述第一信息后，将所述终端的数据包过滤规则发送至所述通信接口1210；所述通信接口1210还用于向AP发送终端的数据包过滤规则，其中，数据包过滤规则用于AP对将要发往终端的数据包进行过滤。

可选地，所述通信接口1210具体用于接收来自于AP的第一消息，第一信息携带在第一消息中；所述通信接口1210具体用于向AP发送第二消息，其中，终端的数据包过滤规则携带在所述通信接口向AP发送的第二消息中。

可选地，所述通信接口1210具体用于通过无线通信通道接收AP发送的第一信息；所述通信接口1210具体用于通过无线通信通道向AP发送数据包过滤规则。

可选地，数据包过滤规则包括至少一个五元组；其中，每个五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

可选地，所述处理器1220还用于，向通信接口发送第三信息；所述通信接口还用于，接收处理器发送的第三信息，并向AP发送第三信息；其中，第三信息用于指示AP对AP将要发送给终端的数据包进行过滤。

可选地，所述处理器1220还用于，向通信接口发送第四信息；所述通信接口还用于，接收处理器发送的第四信息，并向AP发送第四信息；其中，第四信息用于指示AP停止对AP将要发送给终端的数据包进行过滤。

又示例性地，若如图12所示的电子设备为图3-10中任一实施例所述的AP，则处理器1202用于向通信接口1201发送第一信息；通信接口1201用于接收第一信息并向终端发送第一信息；其中，第一信息用于指示AP具有数据包过滤的能力；通信接口1201还用于接收终端发送的数据包过滤规则，并将数据包过滤规则发送至处理器1202；所述存储器1230中存储有指令，所述处理器1220调用并执行所述指令时，使得所述处理器1220根据终端的数据包过滤规则，对将要发送给终端的数据包进行过滤。

可选地，第一信息携带在所述通信接口1201向终端发送的第一消息中；终端的数据包过滤规则携带在通信接口1201接收的第二消息中。

可选地，通信接口1201具体用于通过无线通信通道向终端发送第一信息；通信接口1201具体用于通过无线通信通道接收终端发送的数据包过滤规则。

可选地，所述数据包过滤规则包括至少一个五元组；其中，每个所述五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

可选地，通信接口1201还用于，接收终端发送的第三信息，并向处理器1202发送第三信息；处理器1202具体用于，在接收到所述来自于所述终端的第三信息之后，根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤

可选地，通信接口1201还用于，接收终端发送的第四信息，并向处理器1202发送第四信息；处理器1202具体用于，在接收到来自于所述终端的第四信息之后，停止对所述AP将要发送给所述终端的数据包进行过滤，并删除所存储的所述终端的数据包过滤规则。

可选地，处理器1202具体用于，判断将要发送给所述终端的数据包，是否符合终端的数据包过滤规则；若是，确定不将所述数据包发送至所述终端；若否，确定将所述数据包发送至所述终端。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatilememory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

本申请各实施例提供的方法中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digital video disc，简称DVD))、或者半导体介质(例如,SSD)等。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (21)

1.一种数据包过滤系统，其特征在于，包括：终端和无线访问接入点AP，所述终端和所述AP通过无线通信方式连接；

所述AP用于，向所述终端发送第一信息；其中，所述第一信息用于指示所述AP具有数据包过滤的能力；

所述终端用于，当接收到来自于所述AP的第一信息，向所述AP发送所述终端的数据包过滤规则；

所述AP用于，接收并存储所述终端发送的数据包过滤规则；

所述AP还用于，根据所述终端的数据包过滤规则，对所述AP将要发送给所述终端的数据包进行过滤。

2.根据权利要求1所述的系统，其特征在于，

所述第一信息携带在所述AP向所述终端发送的第一消息中；

所述终端的数据包过滤规则携带在所述终端向所述AP发送的第二消息中。

3.根据权利要求1或2所述的系统，其特征在于，所述终端与所述AP之间具体通过无线通信通道连接；其中，所述无线通信通道专门用于所述终端与所述AP进行通信；

所述AP具体用于，通过所述无线通信通道向所述终端发送第一信息；

所述终端具体用于，通过所述无线通信通道向所述AP发送所述终端的数据包过滤规则。

4.根据权利要求1-3任一项所述的系统，其特征在于，

所述数据包过滤规则包括至少一个五元组；其中，每个所述五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

5.根据权利要求1-4任一项所述的系统，其特征在于，

所述终端还用于，向所述AP发送第三信息；其中，所述第三信息用于指示所述AP对所述AP将要发送给所述终端的数据包进行过滤；

所述AP具体用于，在接收到来自于所述终端的第三信息之后，根据所述终端的数据包过滤规则，对所述AP将要发送给所述终端的数据包进行过滤。

6.根据权利要求1-5任一项所述的系统，其特征在于，

所述终端还用于，向所述AP发送第四信息；其中，所述第四信息用于指示所述AP停止对所述AP将要发送给所述终端的数据包进行过滤；

所述AP还用于，在接收到来自于所述终端的第四信息之后，停止对所述AP将要发送给所述终端的数据包进行过滤，并删除所存储的所述终端的数据包过滤规则。

7.根据权利要求1-6任一项所述的系统，其特征在于，

所述AP具体用于，判断将要发送给所述终端的数据包，是否符合所述终端的数据包过滤规则；

若是，所述AP确定不将所述数据包发送至所述终端；

若否，所述AP确定将所述数据包发送至所述终端。

8.一种数据包过滤方法，其特征在于，应用于数据包过滤系统；所述系统包括：终端和无线访问接入点AP，所述终端和所述AP通过无线通信方式连接；所述方法包括：

所述AP向所述终端发送第一信息；其中，所述第一信息用于指示所述AP具有数据包过滤的能力；

当接收到来自于所述AP的第一信息，所述终端向所述AP发送所述终端的数据包过滤规则；

所述AP接收并存储所述终端发送的数据包过滤规则；

所述AP根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤。

9.根据权利要求8所述的方法，其特征在于，

所述第一信息携带在所述AP向所述终端发送的第一消息中；

所述终端的数据包过滤规则携带在所述终端向所述AP发送的第二消息中。

10.根据权利要求8或9所述的方法，其特征在于，所述终端与所述AP之间具体通过无线通信通道连接；其中，所述无线通信通道专门用于所述终端与所述AP进行通信；

所述AP向所述终端发送第一信息，包括：

所述AP通过所述无线通信通道向所述终端发送第一信息；

所述终端向所述AP发送所述终端的数据包过滤规则，包括：

所述终端通过所述无线通信通道向所述AP发送所述终端的数据包过滤规则。

11.根据权利要求8-10任一项所述的方法，其特征在于，

所述数据包过滤规则包括至少一个五元组；其中，每个所述五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

12.根据权利要求8-11任一项所述的方法，其特征在于，

所述AP根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤之前，还包括：

所述终端向所述AP发送第三信息；其中，所述第三信息用于指示所述AP对所述AP将要发送给所述终端的数据包进行过滤；

所述AP根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤，包括：

所述AP在接收到所述来自于所述终端的第三信息之后，根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤。

13.根据权利要求8-12任一项所述的方法，其特征在于，

所述AP根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤之后，还包括：

所述终端向所述AP发送第四信息；其中，所述第四信息用于指示所述AP停止对所述AP将要发送给所述终端的数据包进行过滤；

所述AP在接收到来自于所述终端的第四信息之后，停止对所述AP将要发送给所述终端的数据包进行过滤，并删除所存储的所述终端的数据包过滤规则。

14.根据权利要求8-13任一项所述的方法，其特征在于，所述AP根据所述终端的数据包过滤规则，对将要发送给所述终端的数据包进行过滤，包括：

判断将要发送给所述终端的数据包，是否符合所述终端的数据包过滤规则；

若是，所述AP确定不将所述数据包发送至所述终端；

若否，所述AP确定将所述数据包发送至所述终端。

15.一种数据包过滤方法，应用于终端，其特征在于，包括：

接收来自于无线访问接入点AP的第一信息；其中，所述第一信息用于指示所述AP具有数据包过滤的能力，所述终端与所述AP通过无线方式连接；

向所述AP发送所述终端的数据包过滤规则；所述数据包过滤规则用于所述AP对将要发往所述终端的数据包进行过滤。

16.根据权利要求15所述的方法，其特征在于，

所述第一信息携带在所述AP向所述终端发送的第一消息中；

所述终端的数据包过滤规则携带在所述终端向所述AP发送的第二消息中。

17.根据权利要求15或16所述的方法，其特征在于，所述终端与所述AP之间具体通过无线通信通道连接；其中，所述无线通信通道专门用于所述终端与所述AP进行通信；

所述接收来自于无线访问接入点AP的第一信息，包括：

通过所述无线通信通道接收来自于所述AP的第一信息；

所述向所述AP发送所述终端的数据包过滤规则，包括：

通过所述无线通信通道向所述AP发送所述终端的数据包过滤规则。

18.根据权利要求15-17任一项所述的方法，其特征在于，

所述数据包过滤规则包括至少一个五元组；其中，每个所述五元组包括需要过滤的数据包的源地址、源端口、目的地址、目的端口和协议类型。

19.根据权利要求15-18任一项所述的方法，其特征在于，所述向所述AP发送所述终端的数据包过滤规则之后，还包括：

向所述AP发送第三信息；其中，所述第三信息用于指示所述AP对所述AP将要发送给所述终端的数据包进行过滤。

20.根据权利要求15-19任一项所述的方法，其特征在于，所述向所述AP发送所述终端的数据包过滤规则之后，还包括：

向所述AP发送第四信息；其中，所述第四信息用于指示所述AP停止对所述AP将要发送给所述终端的数据包进行过滤。

21.一种终端，其特征在于，包括：处理器和存储器；所述存储器中存储有指令，所述处理器调用并执行所述指令时，使所述终端执行如权利要求15-20任一项所述的方法。