深度報文檢測結果擴散方法及裝置制造方法及圖紙

本發明專利技術的實施例公開了一種深度報文檢測結果擴散方法，本發明專利技術實施例還公開了一種識別功能網元和擴散網元。其中所述方法包括：識別功能網元接收IP網絡流中的數據報文；對數據報文進行識別，如果識別成功，則將識別得到的第一識別結果保存至識別功能網元的本地流表，并將第一識別結果插入數據報文的頭部擴展字段；如果無法識別，則將第二識別結果插入數據報文的頭部擴展字段，第二識別結果為識別功能網元創建本地流表時的識別結果初始值；當根據業務配置確定無需丟棄數據報文時，向第一下游設備發送攜帶有第一識別結果或第二識別結果的數據報文。采用本發明專利技術，無需所有網元均進行DPI業務識別，降低了整體網絡執行DPI的時延，降低了維護成本。

【技術實現步驟摘要】

本專利技術涉及通信領域，尤其涉及一種深度報文檢測結果擴散方法及裝置。
技術介紹
深度報文檢測(英文全稱為Deep Packet Inspection,簡稱為DPI)技術能夠識別出IP網絡流的具體7層協議、應用等，例如可以識別出當前網絡流為edonkey (電驢)，且屬于P2P類的應用。DPI主要用于加強現有網絡流量的精細化運營，運營商可以基于相關數據做協議軟件使用情況分析、流量優化、安全管理、內容計費等業務，為達到這一目的，運營商會在網絡上各網元部署DPI功能，形成識別功能網元，而識別功能網元的DPI功能主要包括協議應用識別能力，報文解析能力。現有技術中，在網絡中的每一個做DPI業務的網元均部署有識別功能模塊。IP網絡流中的數據報文需要在網絡中的每個網元完成識別，然后網元在本機內部返回識別結果并基于識別結果進行后續相關業務處理，這就導致整體網絡執行DPI業務的時延較大。
技術實現思路
本專利技術實施例所要解決的技術問題在于，提供一種深度報文檢測結果擴散方法及裝置，以降低整體網絡中執行DPI業務的時延。為了解決上述技術問題，第一方面，本專利技術實施例提供了一種深度報文檢測(DPI) 識別結果擴散方法，包括識別功能網元接收網絡流中的數據報文；對所述數據報文進行DPI識別，如果成功識別所述數據報文，則將識別得到的第一識別結果保存至所述識別功能網元的本地流表，并將所述第一識別結果插入所述數據報文的頭部擴展字段；如果無法識別所述數據報文，則將第二識別結果插入所述數據報文的頭部擴展字段，所述第二識別結果為所述識別功能網元創建所述本地流表時的識別結果初始值；向第一下游設備發送攜帶有所述第一識別結果或所述第二識別結果的所述數據報文。在第一方面的第一種可能的實現方式中，所述數據報文為IPv4報文或IPv6報文； 當所述數據報文為IPv4報文時，所述將所述第一識別結果插入所述數據報文的頭部擴展字段，包括將所述第一識別結果插入所述數據報文頭部的選項字段；當所述數據報文為 IPv6報文時，所述將所述第一識別結果插入所述數據報文的頭部擴展字段，包括將所述第一識別結果插入所述數據報文的擴展頭部字段。結合第一方面或第一方面的第一種可能的實現方式，在第二種可能的實現方式中，所述數據報文的頭部擴展字段還包含第一識別狀態碼，用于向所述第一下游設備指示所述數據報文是否攜帶有所述第一識別結果或第二識別結果。結合第一方 面或第一方面的第一種可能的實現方式，在第三種可能的實現方式中，當所述數據報文是所述網絡流中第一個進入所述識別功能網元進行識別的數據包時， 則在將所述第二識別結果插入所述數據報文的頭部擴展字段之后，所述方法還包括在所述數據報文的頭部擴展字段插入識別首包標記，以使所述第一下游設備在接收到攜帶有首包標記的所述數據報文后，向所述識別功能網元發送攜帶有所述第一識別結果的響應報文；所述響應報文還包含有服務器或用戶設備在接收到所述數據報文后生成響應消息；所述首包標記用于標識所述網絡流中第一個進入所述識別功能網元進行識別的數據包。接收并解析所述響應報文，得到所述第一識別結果，并將所述第一識別結果保存至所述本地流表；將所述響應報文攜帶的所述第一識別結果刪除后向第二下游設備發送。結合所述第一方面，或所述第一方面的第一、二或第三種可能的實現方式，還提供了所述第一方面的第四種可能的實現方式所述本地流表中設置有第一反向識別結果攜帶標記，用于指示是否在接收到的響應報文的頭部擴展字段插入所述第一識別結果；所述第一反向識別結果攜帶標記在所述識別功能網元成功識別所述數據報文時置為真；在向所述第一下游設備發送攜帶有所述第一識別結果的數據報文之后，所述方法還包括接收所述服務器或用戶設備在接收到所述數據報文之后發出的響應報文；所述響應報文由所述第一下游設備轉發至所述識別功能網元；判斷所述第一反向識別結果攜帶標記是否為真，如果是，則將所述第一識別結果插入所述響應報文的頭部擴展字段，并將所述第一反向識別結果 攜帶標記置為假，然后向第二下游設備發送攜帶有所述第一識別結果的響應報文。結合所述第一方面，或所述第一方面的第一、二或第三種可能的實現方式，還提供了所述第一方面的第五種可能的實現方式所述本地流表中設置有第二反向識別結果攜帶標記，用于指示所述識別功能網元是否在接收到所述數據報文之后接收的下一個數據報文的頭部擴展字段插入所述第一識別結果，所述下一個數據報文屬于所述網絡流；在向所述第一下游設備發送攜帶有所述第一識別結果的數據報文后，所述方法還包括接收響應報文，所述響應報文由所述第一下游設備發送至所述識別功能網元，所述響應報文攜帶有響應消息并且所述響應報文的頭部擴展字段攜帶有識別結果請求信息， 所述響應消息由服務器或用戶設備在接收所述數據報文后生成，所述識別結果請求信息用于向所述識別功能網元請求所述第一識別結果；解析所述響應報文，將所述第二反向識別結果攜帶標記置為真，將所述響應報文攜帶的所述識別結果請求信息刪除后向第二下游設備發送，其中，所述響應報文的頭部擴展字段還包含第三識別狀態碼，用于向所述識別功能網元指示所述響應報文攜帶有所述識別結果請求信息；接收所述網絡流中的下一個數據報文，判斷所述第二反向識別結果攜帶標記是否為真，如果是，則將所述第二反向識別結果攜帶標記置為假，并將所述第一識別結果插入所述下一個數據報文的頭部擴展字段，然后將所述下一個數據報文發送至所述第一下游設備。結合所述第一方面，或所述第一方面的第一、二或第三種可能的實現方式，還提供了所述第一方面的第六種可能的實現方式如果無法識別所述數據報文，則在向所述第一下游設備發送攜帶有所述第二識別結果的數據報文之后，所述方法還包括接收響應報文，所述響應報文由服務器或用戶設備在接收所述數據報文后生成， 并由所述第一下游設備轉發至所述識別功能網元；對所述響應報文進行識別，得到所述第一識別結果，將所述第一識別結果保存至所述本地流表，并將所述第一識別結果插入所述識別功能網元接收的下一個數據報文的頭部擴展字段，所述下一個數據報文屬于所述網絡流。第二方面，提供一種識別功能網元，包括第一接收單元，用于接收網絡流中的數據報文；第一識別單元，用于對所述數據報文進行深度報文檢測(DPI)識別；第一處理單元，用于在所述第一識別單元成功識別所述數據報文時，將識別得到的第一識別結果保存至所述識別功能網元的本地流表，并將所述第一識別結果插入所述數據報文的頭部擴展字段；在所述第一識別單元無法識別所述數據報文時，將第二識別結果插入所述數據報文的頭部擴展字段，所述第二識別結果為所述識別功能網元創建所述本地流表時的識別結果初始值；第一發送單元，用于向第一下游設備發送攜帶有所述第一識別結果或所述第二識別結果的所述數據報文。在第二方面的第一種可能的實現方式中，所述第一處理單元還用于在所述數據報文的頭部擴展字段插入第一識別狀態碼，用于向所述第一下游設備指示所述數據報文攜帶有所述第一識別結果或第二識別結果。結合第二方面，或第二方面的第一種可能的實現方式，在第二種可能的實現方式中，如果所述數據報文是所述識別功能網元接收到的所述網絡流中的第一個數據包，則所述第一處理單元還用于，在將所述第二識別結果插入所述數據報文的頭部擴展字段之后， 在所述數據報文的頭部擴展字段插入識別本文檔來自技高網...

【技術保護點】
一種深度報文檢測（DPI）識別結果擴散方法，其特征在于，所述方法包括：識別功能網元接收網絡流中的數據報文；對所述數據報文進行DPI識別，如果成功識別所述數據報文，則將識別得到的第一識別結果保存至所述識別功能網元的本地流表，并將所述第一識別結果插入所述數據報文的頭部擴展字段；如果無法識別所述數據報文，則將第二識別結果插入所述數據報文的頭部擴展字段，所述第二識別結果為所述識別功能網元創建所述本地流表時的識別結果初始值；向第一下游設備發送攜帶有所述第一識別結果或所述第二識別結果的所述數據報文。

【技術特征摘要】
1.一種深度報文檢測(DPI)識別結果擴散方法，其特征在于，所述方法包括 識別功能網元接收網絡流中的數據報文； 對所述數據報文進行DPI識別，如果成功識別所述數據報文，則將識別得到的第一識別結果保存至所述識別功能網元的本地流表，并將所述第一識別結果插入所述數據報文的頭部擴展字段；如果無法識別所述數據報文，則將第二識別結果插入所述數據報文的頭部擴展字段，所述第二識別結果為所述識別功能網元創建所述本地流表時的識別結果初始值； 向第一下游設備發送攜帶有所述第一識別結果或所述第二識別結果的所述數據報文。2.如權利要求1所述方法，其特征在于， 所述數據報文為IPv4報文或IPv6報文； 當所述數據報文為IPv4報文時，所述將所述第一識別結果插入所述數據報文的頭部擴展字段，包括將所述第一識別結果插入所述數據報文頭部的選項字段；當所述數據報文為IPv6報文時，所述將所述第一識別結果插入所述數據報文的頭部擴展字段，包括將所述第一識別結果插入所述數據報文的擴展頭部字段。3.如權利要求1或2所述方法，其特征在于，所述數據報文的頭部擴展字段還包含第一識別狀態碼，用于向所述第一下游設備指示所述數據報文是否攜帶有所述第一識別結果或第二識別結果。4.如權利要求1或2所述方法，其特征在于，當所述數據報文是所述網絡流中第一個進入所述識別功能網元進行識別的數據包時，則在將所述第二識別結果插入所述數據報文的頭部擴展字段之后，所述方法還包括 在所述數據報文的頭部擴展字段插入識別首包標記，以使所述第一下游設備在接收到攜帶有首包標記的所述數據報文后，向所述識別功能網元發送攜帶有所述第一識別結果的響應報文；所述響應報文還包含有服務器或用戶設備在接收到所述數據報文后生成響應消息；所述首包標記用于標識所述網絡流中第一個進入所述識別功能網元進行識別的數據包。接收并解析所述響應報文，得到所述第一識別結果，并將所述第一識別結果保存至所述本地流表； 將所述響應報文攜帶的所述第一識別結果刪除后向第二下游設備發送。5.如權利要求4所述方法，其特征在于， 所述響應報文的頭部擴展字段中還包含第二識別狀態碼，用于向所述識別功能網元指示所述響應報文攜帶有所述第一識別結果。6.如權利要求1至4中任一項所述方法，其特征在于， 所述本地流表中設置有第一反向識別結果攜帶標記，用于指示是否在接收到的響應報文的頭部擴展字段插入所述第一識別結果；所述第一反向識別結果攜帶標記在所述識別功能網元成功識別所述數據報文時置為真； 在向所述第一下游設備發送攜帶有所述第一識別結果的數據報文之后，所述方法還包括 接收所述服務器或用戶設備在接收到所述數據報文之后發出的響應報文；所述響應報文由所述第一下游設備轉發至所述識別功能網元；判斷所述第一反向識別結果攜帶標記是否為真，如果是，則將所述第一識別結果插入所述響應報文的頭部擴展字段，并將所述第一反向識別結果攜帶標記置為假，然后向第二下游設備發送攜帶有所述第一識別結果的響應報文。7.如權利要求1至4中任一項所述方法，其特征在于， 所述本地流表中設置有第二反向識別結果攜帶標記，用于指示所述識別功能網元是否在接收到所述數據報文之后接收的下一個數據報文的頭部擴展字段插入所述第一識別結果，所述下一個數據報文屬于所述網絡流； 在向所述第一下游設備發送攜帶有所述第一識別結果的數據報文后，所述方法還包括 接收響應報文，所述響應報文由所述第一下游設備發送至所述識別功能網元，所述響應報文攜帶有響應消息并且所述響應報文的頭部擴展字段攜帶有識別結果請求信息，所述響應消息由服務器或用戶設備在接收所述數據報文后生成，所述識別結果請求信息用于向所述識別功能網元請求所述第一識別結果； 解析所述響應報文，將所述第二反向識別結果攜帶標記置為真，將所述響應報文攜帶的所述識別結果請求信息刪除后向第二下游設備發送，其中，所述響應報文的頭部擴展字段還包含第三識別狀態碼，用于向所述識別功能網元指示所述響應報文攜帶有所述識別結果請求信息； 接收所述網絡流中的下一個數據報文，判斷所述第二反向識別結果攜帶標記是否為真，如果是，則將所述第二反向識別結果攜帶標記置為假，并將所述第一識別結果插入所述下一個數據報文的頭部擴展字段，然后將所述下一個數據報文發送至所述第一下游設備。8.如權利要求1至4中任一項所述方法，其特征在于，如果無法識別所述數據報文，則在向所述第一下游設備發送攜帶有所述第二識別結果的數據報文之后，所述方法還包括 接收響應報文，所述響應報文由服務器或用戶設備在接收所述數據報文后生成，并由所述第一下游設備轉發至所述識別功能網元；對所述響應報文進行識別，得到所述第一識別結果，將所述第一識別結果保存至所述本地流表，并將所述第一識別結果插入所述識別功能網元接收的下一個數據報文的頭部擴展字段，所述下一個數據報文屬于所述網絡流。9.一種識別功能網元，其特征在于，所述網元包括 第一接收單元，用于接收網絡流中的數據報文； 第一識別單元，用于對所述數據報文進行深度報文檢測(DPI)識別； 第一處理單元，用于...

【專利技術屬性】
技術研發人員：周英偉，
申請(專利權)人：華為技術有限公司，
類型：發明
國別省市：