專利名稱::一種報(bào)文過濾的方法、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及網(wǎng)絡(luò)寬帶技術(shù),特別涉及一種報(bào)文過濾的方法、系統(tǒng)和設(shè)備。技術(shù)背景網(wǎng)絡(luò)寬帶技術(shù)的出現(xiàn),給運(yùn)營商帶來機(jī)遇的同時(shí)也帶來了需要解決的問題,例如寬帶業(yè)務(wù)無法識別造成的難于管理、無法實(shí)現(xiàn)內(nèi)容計(jì)費(fèi)、不能滿足信息安全的需要等問題,這就使得深度包檢測技術(shù)應(yīng)運(yùn)而生。深度包4企測(DPI,DeepPacketInspection)是相對普通報(bào)文分析而言的一種新技術(shù),普通報(bào)文檢測僅僅分析IP包應(yīng)用層以下的內(nèi)容,即根據(jù)接收到的數(shù)據(jù)報(bào)文的五元組,將接收到的各數(shù)據(jù)報(bào)文進(jìn)行流分類,確定各數(shù)據(jù)報(bào)文所屬的流類型,其中,數(shù)據(jù)報(bào)文的五元組包括源地址、目的地址、源端口、目的端口以及協(xié)議類型。而DPI進(jìn)一步對與DPI相關(guān)的流類型中的數(shù)據(jù)報(bào)文進(jìn)行識別處理,其中,所述識別處理包括對數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的分析或基于流量特征的檢測,識別出各流類型對應(yīng)的數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,對該流類型對應(yīng)的數(shù)據(jù)報(bào)文進(jìn)行DPI過濾,例如,如果檢測出接收到的數(shù)據(jù)報(bào)文的內(nèi)容中包含病毒,則可以根據(jù)DPI策略,丟棄該數(shù)據(jù)報(bào)文。需要說明的是其中,對數(shù)據(jù)報(bào)文進(jìn)行基于流量特征的檢測,識別數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容的方式屬于基于流量特征的檢測(DFI,DeepFlowInspection)技術(shù),在本發(fā)明中,將DPI和DFI4支術(shù)廣義地統(tǒng)稱為DPI技術(shù)。上述DPI的處理過程由DPI服務(wù)器完成,圖1為現(xiàn)有技術(shù)中DPI服務(wù)器所在網(wǎng)絡(luò)架構(gòu)圖,如圖l所示,該DPI服務(wù)器設(shè)置在核心網(wǎng)和接入網(wǎng)的邊緣,例如設(shè)置在核心網(wǎng)和接入網(wǎng)邊緣的IP邊緣節(jié)點(diǎn)或業(yè)務(wù)路由器中。由于接入網(wǎng)中可能包含多個(gè)接入節(jié)點(diǎn)(AN,AccessNode),一個(gè)AN可能接收多個(gè)用戶駐地網(wǎng)絡(luò)(CPN,CustomerPremiseNetwork)中的多個(gè)用戶設(shè)備(UE,UserEquipment)發(fā)送的數(shù)據(jù)報(bào)文,也就是說,來自接入網(wǎng)的所有數(shù)據(jù)報(bào)文都由該DPI服務(wù)器集中處理,這就使得DPI服務(wù)器處理的數(shù)據(jù)報(bào)文流量大,從而造成DPI服務(wù)器處理數(shù)據(jù)報(bào)文的實(shí)時(shí)性難以保證,并且對DPI服務(wù)器的集中處理能力有很高要求。
發(fā)明內(nèi)容本發(fā)明實(shí)施例提供了一種報(bào)文過濾的方法、系統(tǒng)和設(shè)備,以便于減小DPI服務(wù)器處理的數(shù)據(jù)報(bào)文流量。一種^艮文過濾的方法,該方法包4舌設(shè)置在接入網(wǎng)用戶側(cè)的深度包檢測DPI代理服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾。一種DPI代理服務(wù)器,該DPI代理服務(wù)器設(shè)置在接入網(wǎng)用戶側(cè),該DPI代理服務(wù)器包括接收單元,接收數(shù)據(jù)報(bào)文;業(yè)務(wù)識別單元,對所述接收單元接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出所述數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;DPI過濾單元,用于才艮據(jù)所述業(yè)務(wù)識別單元識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾。一種才艮文過濾的系統(tǒng),該系統(tǒng)包括設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器,用于對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別,識別出所述數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾;DPI代理服務(wù)器的上游設(shè)備,用于向所述DPI代理服務(wù)器發(fā)送數(shù)據(jù)報(bào)文。由以上技術(shù)方案可以看出,本發(fā)明實(shí)施例提供的方法、系統(tǒng)和設(shè)備,通過設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出該數(shù)據(jù)l艮文的業(yè)務(wù)類型和/或內(nèi)容,才艮據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)才艮文進(jìn)行DPI過濾。這種方式是將DPI代理服務(wù)器分布式地設(shè)置在接入網(wǎng)用戶側(cè),每個(gè)分布式設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器接收到的數(shù)據(jù)報(bào)文僅為其所對應(yīng)用戶網(wǎng)絡(luò)的用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文,相比較現(xiàn)有技術(shù)中集中式設(shè)置在核心網(wǎng)和接入網(wǎng)的邊緣的DPI服務(wù)器,負(fù)擔(dān)的數(shù)據(jù)報(bào)文流量較少,從而能夠保證對數(shù)據(jù)報(bào)文進(jìn)行深度包檢測的實(shí)時(shí)性。圖1為現(xiàn)有技術(shù)中DPI服務(wù)器所在網(wǎng)絡(luò)架構(gòu)圖;圖2為本發(fā)明實(shí)施例提供的報(bào)文過濾的方法流程圖;圖3為本發(fā)明實(shí)施例提供的系統(tǒng)結(jié)構(gòu)示意圖;圖4為本發(fā)明實(shí)施例提供的DPI代理服務(wù)器的結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施例提供的報(bào)文過濾方法的系統(tǒng)流程圖;圖6為本發(fā)明實(shí)施例提供的一個(gè)具體的報(bào)文過濾系統(tǒng)示意圖。具體實(shí)施方式為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)描述。本發(fā)明實(shí)施例提供的方法主要包括設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)4于DPI過濾。其中,上述對數(shù)據(jù)報(bào)文進(jìn)行DPI過濾可以為如果識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為允許通過時(shí),按照該數(shù)據(jù)報(bào)文的目的地址發(fā)送該數(shù)據(jù)報(bào)文;如果識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為流量限制時(shí),再按照DPI流量限制策略對該數(shù)據(jù)報(bào)文進(jìn)行流量限制處理。該DPI過濾可以進(jìn)一步包括如果識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為重定向時(shí),將該數(shù)據(jù)報(bào)文發(fā)送給DPI服務(wù)器進(jìn)行進(jìn)一步的DPI檢測。該DPI過濾策略可以是接入控制歹寸表(ACL,AccessControlList)。上述的DPI代理服務(wù)器可以分布式地設(shè)置在駐地網(wǎng)關(guān)(RG,ResidentialGateway)、AN或匯聚網(wǎng)節(jié)點(diǎn)中,DPI服務(wù)器可以集中地設(shè)置在IP邊緣節(jié)點(diǎn)、路由器或DPI代理服務(wù)器上行方向的其它設(shè)備中。圖2為本發(fā)明實(shí)施例提供的報(bào)文過濾的方法流程圖,如圖2所示,該方法包括以下步驟步驟201:DPI代理服務(wù)器接收數(shù)據(jù)報(bào)文。步驟202:DPI代理服務(wù)器確定接收到的數(shù)據(jù)報(bào)文所屬的流類型,并對該數(shù)據(jù)才艮文進(jìn)行包過濾。本步驟中,DPI代理服務(wù)器根據(jù)接收到的數(shù)據(jù)報(bào)文的五元組,分析該數(shù)據(jù)報(bào)文的應(yīng)用層以下的內(nèi)容,對該數(shù)據(jù)報(bào)文進(jìn)行分類,確定該數(shù)據(jù)報(bào)文所屬的流類型,如果該數(shù)據(jù)報(bào)文所屬的流類型與DPI無關(guān),則不對該數(shù)據(jù)報(bào)文做DPI處理,將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)出去;如果該數(shù)據(jù)報(bào)文所屬的流類型與DPI相關(guān),則繼續(xù)執(zhí)行步驟203。步驟203:DPI代理服務(wù)器判斷該數(shù)據(jù)報(bào)文所屬的流類型對應(yīng)的流標(biāo)識是否存在于設(shè)置的ACL中,如果存在,則執(zhí)行步驟204,如果不存在,則按照缺省進(jìn)行處理,例如丟棄該數(shù)據(jù)報(bào)文,或者,執(zhí)行步驟208。本步驟中也可以判斷該數(shù)據(jù)報(bào)文包含的用戶標(biāo)識是否存在與設(shè)置的ACL中。本步驟中的ACL可以是策略服務(wù)器預(yù)先直接設(shè)置在DPI代理服務(wù)器中的,也可以是策略服務(wù)器設(shè)置在DPI服務(wù)器中,再由DPI服務(wù)器將ACL設(shè)置在DPI代理服務(wù)器中。本步驟中的ACL的結(jié)構(gòu)可以如表1所示,該ACL中保存了流標(biāo)識或用戶標(biāo)識、業(yè)務(wù)類型、內(nèi)容與處理方式之間的對應(yīng)關(guān)系。表1<table>tableseeoriginaldocumentpage11</column></row><table>另外,也可以不執(zhí)行上述步驟202和步驟203,直接執(zhí)行步驟204。步驟204:DPI代理服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容。本步驟中,對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理可以采用對數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的分析、基于流量特征的檢測或其它識別處理方法。這些識別處理方法是現(xiàn)有技術(shù),在此不再贅述。另外,在步驟204之前還可以首先判斷步驟202中確定的流類型對應(yīng)的流標(biāo)識在ACL中是否有對應(yīng)的業(yè)務(wù)類型和內(nèi)容,也就是在ACL中,該流標(biāo)識對應(yīng)的業(yè)務(wù)類型和內(nèi)容項(xiàng)是否不為空,如杲?jīng)]有對應(yīng)的業(yè)務(wù)類型和內(nèi)容,則直接按照該流標(biāo)識在ACL中對應(yīng)的處理方式對數(shù)據(jù)報(bào)文進(jìn)行處理,如果有對應(yīng)的業(yè)務(wù)類型或內(nèi)容,則繼續(xù)執(zhí)行步驟204。步驟205:DPI代理服務(wù)器判斷在ACL中,該數(shù)據(jù)凈艮文對應(yīng)的流標(biāo)識和識別出的業(yè)務(wù)類型和/或內(nèi)容對應(yīng)的處理方式,如果其處理方式為允許通過,執(zhí)行步驟206;如果其處理方式為流量限制,則執(zhí)行步驟207;如果其處理方式為重定向,則執(zhí)行步驟208。本步驟中,處理方式為重定向的數(shù)據(jù)報(bào)文通常是初步檢測不能確定該數(shù)據(jù)報(bào)文的安全性或計(jì)費(fèi)信息等,而需要進(jìn)一步檢測確定其是否安全或確定其計(jì)費(fèi)信息等的數(shù)據(jù)報(bào)文。另外,可以將數(shù)據(jù)報(bào)文根據(jù)不同的處理方式分為白色數(shù)據(jù)報(bào)文、黑色數(shù)據(jù)報(bào)文和灰色數(shù)據(jù)報(bào)文。其中,白色數(shù)據(jù)報(bào)文為允許通過的數(shù)據(jù)報(bào)文,黑色數(shù)據(jù)報(bào)文為需要進(jìn)行流量限制的數(shù)據(jù)報(bào)文,灰色數(shù)據(jù)報(bào)文為需要重定向進(jìn)一步進(jìn)行檢測數(shù)據(jù)報(bào)文。步驟206:DPI代理服務(wù)器按照該數(shù)據(jù)報(bào)文的目的地址發(fā)送該數(shù)據(jù)報(bào)文,結(jié)束流程。步驟207:DPI代理服務(wù)器按照DPI流量限制策略對該數(shù)據(jù)報(bào)文進(jìn)行流量限制處理,結(jié)束流程。本步驟中,DPI流量限制策略可以是數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容與流量限制處理方式的對應(yīng)關(guān)系。該流量限制處理方式可以是丟棄該數(shù)據(jù)報(bào)文,或以一定流量允許數(shù)據(jù)報(bào)文通過。步驟208:DPI代理服務(wù)器將該數(shù)據(jù)報(bào)文進(jìn)行重定向,轉(zhuǎn)發(fā)給DPI服務(wù)器。本步驟中,DPI代理服務(wù)器可以采用隧道技術(shù),設(shè)定隧道起點(diǎn)為DPI代理服務(wù)器,隧道終點(diǎn)為DPI服務(wù)器,通過隧道將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給DPI服務(wù)器,其中,采用的隧道可以是以太網(wǎng)隧道、IP隧道或其它專門的通道;或者,將數(shù)據(jù)報(bào)文的目的地址修改為DPI服務(wù)器的目的地址,將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給DPI服務(wù)器。步驟209:DPI服務(wù)器確定接收到的數(shù)據(jù)報(bào)文所屬的流類型,并對該數(shù)據(jù)報(bào)文進(jìn)行包過濾。該步驟的處理方式與步驟202的處理方式相同,在此不再贅述。另外,本步驟也可以不執(zhí)行,直接執(zhí)行步驟210。步驟210:DPI服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容。步驟211:DPI服務(wù)器對該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容進(jìn)行分析,確定該數(shù)據(jù)才艮文對應(yīng)的處理方式,并按照確定的處理方式對該數(shù)據(jù)4艮文進(jìn)行處理。例如,DPI服務(wù)器對該數(shù)據(jù)報(bào)文進(jìn)行分析后,判斷該業(yè)務(wù)類型和/或內(nèi)容中發(fā)現(xiàn)不安全的因素,則將該數(shù)據(jù)報(bào)文的處理方式確定為流量限制,丟棄該數(shù)據(jù)報(bào)文或以一定流量允許數(shù)據(jù)報(bào)文通過;如果沒有發(fā)現(xiàn)不安全的因素,則可以將該數(shù)據(jù)報(bào)文的處理方式確定為通過。該流程還可以繼續(xù)包括以下步驟步驟212:DPI服務(wù)器向策略服務(wù)器發(fā)送策略更新請求。本步驟中的更改可以是DPI服務(wù)器直接對DPI代理服務(wù)器中的DPI過濾策略進(jìn)行更改,并向策略服務(wù)器發(fā)送策略更新請求,從策略服務(wù)器中獲取新的DFI過濾策略;也可以向策略服務(wù)器發(fā)送策略更新請求,從策略服務(wù)器中獲取新的DFI過濾策略,再由策略服務(wù)器對DPI代理服務(wù)器中的DPI過濾策略進(jìn)行更改。圖2中所述流程中,也可以只在ACL中設(shè)置允許通過和流量限制兩種處理方式,此時(shí),不需要設(shè)置DPI服務(wù)器,只需要DPI代理服務(wù)器執(zhí)行步驟201至步驟207即可完成4艮文過濾的過程。圖3為本發(fā)明實(shí)施例提供的系統(tǒng)結(jié)構(gòu)示意圖,如圖3所示,該系統(tǒng)包括設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器310和DPI代理服務(wù)器的上游設(shè)備300。DPI代理服務(wù)器310,用于對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別,識別出該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容,根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾。DPI代理服務(wù)器的上游設(shè)備300,用于向DPI代理服務(wù)器310發(fā)送數(shù)據(jù)報(bào)文。該系統(tǒng)還可以包括DPI服務(wù)器320,用于接收DPI代理服務(wù)器310轉(zhuǎn)發(fā)來的數(shù)據(jù)報(bào)文,對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出所述數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容,對識別出的業(yè)務(wù)類型和/或內(nèi)容進(jìn)行分析,確定該數(shù)據(jù)報(bào)文對應(yīng)的處理方式,并按照確定的處理方式對該數(shù)據(jù)報(bào)文進(jìn)行處理。DPI代理服務(wù)器310,還用于將在DPI過濾過程中需要進(jìn)行重定向處理的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給DPI服務(wù)器320。DPI代理服務(wù)器310進(jìn)行的過濾處理為如果所述識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為允許通過時(shí),按照該數(shù)據(jù)報(bào)文的目的地址發(fā)送該數(shù)據(jù)報(bào)文;如果識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為流量限制時(shí),則按照預(yù)先設(shè)置的DPI流量限制策略對所述數(shù)據(jù)報(bào)文進(jìn)行流量限制處理;如果識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為重定向時(shí),將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給DPI服務(wù)器進(jìn)行DPH企測。該系統(tǒng)還可以包括策略服務(wù)器330,用于為DPI代理服務(wù)器310配置DPI過濾策略。DPI服務(wù)器320,還用于根據(jù)自身確定的數(shù)據(jù)報(bào)文的處理方式,向策略服務(wù)器330發(fā)送包含更改信息的策略更新請求,并對設(shè)置在所述DPI代理服務(wù)器310中的DPI過濾策略進(jìn)行更改;策略服務(wù)器330,接收到DPI服務(wù)器320發(fā)送的更新請求后,根據(jù)該更新請求中包含的更改信息對自身存儲(chǔ)的DPI過濾策略進(jìn)行更新。更改策略服務(wù)器時(shí),該系統(tǒng)還可以釆用如下方式DPI服務(wù)器320,還用于根據(jù)自身確定的數(shù)據(jù)報(bào)文的處理方式,向策略服務(wù)器330發(fā)送包含更改信息的策略更新請求;策略服務(wù)器330,接收到DPI服務(wù)器320發(fā)送的更新請求后,根據(jù)該更新請求中包含的更改信息對自身存儲(chǔ)的DPI過濾策略進(jìn)行更新,并更改DPI代理服務(wù)器310中的DPI過濾策略。其中,DPI代理服務(wù)器310可以設(shè)置在RG、AN或匯聚網(wǎng)節(jié)點(diǎn)中;DPI服務(wù)器320可以設(shè)置在IP邊緣節(jié)點(diǎn)、業(yè)務(wù)服務(wù)器或DPI代理服務(wù)器310的下游匯聚網(wǎng)節(jié)點(diǎn)中。對于無線網(wǎng)絡(luò),IPEdge可以為GGSN或ASNGW,AN可以為BS;對于DSL網(wǎng)絡(luò),IPEdge可以為寬帶接入服務(wù)器(BRAS,BroadbandRemoteAccessServer)/寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BNG,BroadbandNetworkGateway),AN可以為DSLAM;對于PON,AN可以是ONT/ONU,也可以是OLT。圖4為本發(fā)明實(shí)施例提供的DPI代理服務(wù)器的結(jié)構(gòu)示意圖,如圖4所示,該DPI代理服務(wù)器可以包括接收單元401、業(yè)務(wù)識別單元402和DPI過濾單元403;接收單元401,接收數(shù)據(jù)報(bào)文。業(yè)務(wù)識別單元402,對接收單元401接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出所述數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容。DPI過濾單元403,用于根據(jù)業(yè)務(wù)識別單元402識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾。該DPI代理服務(wù)器還可以包括流分類單元404和類型過濾單元405;流分類單元404,用于確定接收單元401接收到的數(shù)據(jù)報(bào)文所屬的流類型;類型過濾單元405,用于根據(jù)流分類單元404確定的流類型,將與DPI無關(guān)的流類型對應(yīng)的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給該數(shù)據(jù)報(bào)文的目的地址對應(yīng)的設(shè)備或?qū)υ摂?shù)據(jù)報(bào)文進(jìn)行流量限制處理,將與DPI相關(guān)的流類型對應(yīng)的數(shù)據(jù)報(bào)文發(fā)送給業(yè)務(wù)識別單元402進(jìn)行識別處理。其中,流量限制處理包括將該數(shù)據(jù)報(bào)文進(jìn)行丟棄。該DPI代理服務(wù)器還可以包括判斷單元406和發(fā)送單元407。判斷單元406,用于對類型過濾單元405發(fā)送給業(yè)務(wù)識別單元402的數(shù)據(jù)報(bào)文進(jìn)行判斷,判斷該數(shù)據(jù)報(bào)文所屬的流類型對應(yīng)的流標(biāo)識是否設(shè)置在DPI過濾策略中,如果存在,則觸發(fā)業(yè)務(wù)識別單元402執(zhí)行所述識別的搡作,如果不存在,則禁止業(yè)務(wù)識別單元402執(zhí)行所述識別的操作,并將該數(shù)據(jù)報(bào)文提供給發(fā)送單元407;發(fā)送單元407,用于將判斷單元406提供的數(shù)據(jù)報(bào)文發(fā)送給該數(shù)據(jù)報(bào)文的目的地址對應(yīng)的設(shè)備,或?qū)⒃摂?shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給DPI服務(wù)器進(jìn)行DPI檢測。發(fā)送單元407,還用于按照數(shù)據(jù)報(bào)文的目的地址發(fā)送該數(shù)據(jù)報(bào)文;DPI過濾單元403可以包括策略執(zhí)行單元4031,用于根據(jù)業(yè)務(wù)識別單元402識別出的業(yè)務(wù)類型和/或內(nèi)容,確定該業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式;通知單元4032,用于當(dāng)所述策略執(zhí)行單元4031確定的處理方式為允許通過時(shí),通知發(fā)送單元407按照該數(shù)據(jù)報(bào)文的目的地址發(fā)送所述數(shù)據(jù)報(bào)文;當(dāng)策略執(zhí)行單元4031確定的處理方式為流量限制時(shí),則通知發(fā)送單元407按照預(yù)先設(shè)置的DPI流量限制策略發(fā)送該數(shù)據(jù)報(bào)文;當(dāng)策略執(zhí)行單元4031確定的處理方式為重定向時(shí),通知重定向單元4033將對該數(shù)據(jù)報(bào)文進(jìn)行重定向。此時(shí),該DPI代理服務(wù)器還可以包括重定向單元409,用于通過隧道技術(shù)或修改數(shù)據(jù)報(bào)文目的地址為DPI服務(wù)器地址的方式,將接收到的數(shù)據(jù)報(bào)文發(fā)送給DPI服務(wù)器。該DPI代理服務(wù)器還可以包括DPI策略存儲(chǔ)單元408,用于存儲(chǔ)DPI過濾策略。另外,該DPI策略存儲(chǔ)單元408中還可以存儲(chǔ)其它DPI相關(guān)策略,可以包括DPI業(yè)務(wù)識別MJ'j、DPI過濾策略和/或DPI流量限制策略。下面結(jié)合本發(fā)明實(shí)施例提供的系統(tǒng),舉一個(gè)具體的實(shí)施例,對應(yīng)用該系統(tǒng)的流程進(jìn)行描述,圖5為本發(fā)明實(shí)施例提供的報(bào)文過濾方法的系統(tǒng)流程圖,該實(shí)施例中,結(jié)合的報(bào)文過濾的系統(tǒng)架構(gòu)圖可以如圖6所示,該實(shí)施例中,DPI代理服務(wù)器設(shè)置在AN或RG或匯聚節(jié)點(diǎn)中。DPI如圖5所示,該系統(tǒng)流程圖包括以下步驟步驟501:策略服務(wù)器向DPI服務(wù)器配置DPI相關(guān)策略。其中,所述DPI相關(guān)策略可以包括DPI過濾策略、DPI流量限制策略或DPI業(yè)務(wù)識別規(guī)則。在此步驟之前,如果DPI代理服務(wù)器設(shè)置在RG中,則需要對DPI代理服務(wù)器所在的RG進(jìn)行網(wǎng)絡(luò)認(rèn)證,使該RG成為可信節(jié)點(diǎn)。步驟502:DPI服務(wù)器向DPI代理服務(wù)器配置DPI相關(guān)策略。當(dāng)DPI代理服務(wù)器位于DSLAM或OLT,DPIACL及DPI相關(guān)策略可通過L2CP配置;當(dāng)DPI代理服務(wù)器位于ONU/OLT,DPIACL及DPI相關(guān)策略可通過OMCI配置;當(dāng)DPI代理服務(wù)器位于RG,DPIACL及DPI相關(guān)策略可通過TR069配置。步驟503:DPI代理服務(wù)器接收用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文。步驟504:DPI代理服務(wù)器執(zhí)行圖2所示流程中步驟202至步驟205的操作,對接收到的報(bào)文進(jìn)行DPI分析,識別接收到的數(shù)據(jù)報(bào)文是灰色數(shù)據(jù)報(bào)文、白色數(shù)據(jù)報(bào)文還是黑色數(shù)據(jù)報(bào)文,如果是白色數(shù)據(jù)報(bào)文,執(zhí)行步驟505,如果是黑色數(shù)據(jù)報(bào)文,則執(zhí)行步驟506,如果是灰色數(shù)據(jù)報(bào)文,則執(zhí)行步驟507。步驟505:DPI代理服務(wù)器將該白色數(shù)據(jù)報(bào)文發(fā)送給IP邊緣設(shè)備,結(jié)束流程。步驟506:DPI代理服務(wù)器按照DPI流量限制策略處理該黑色數(shù)據(jù)報(bào)文,結(jié)束流程。步驟507:DPI代理服務(wù)器將該灰色數(shù)據(jù)報(bào)文發(fā)送給DPI服務(wù)器。步驟508:DPI服務(wù)器執(zhí)行圖2所示流程中的步驟209至步驟211對該灰色數(shù)據(jù)報(bào)文進(jìn)行進(jìn)一步的DPI分析,確定對該灰色數(shù)據(jù)報(bào)文的處理方式,并對該灰色數(shù)據(jù)報(bào)文執(zhí)行相應(yīng)地處理。步驟509:DPI服務(wù)器根據(jù)確定的處理方式向策略服務(wù)器發(fā)送策略更新請求。步驟510:策略服務(wù)器接收到策略更新請求后,根據(jù)策略更新請求中的更改信息對DPI相關(guān)策略進(jìn)行更新。步驟511:策略服務(wù)器更新DPI服務(wù)器中的DPI相關(guān)策略。步驟512:DPI服務(wù)器更新DPI代理服務(wù)器中的DPI相關(guān)策略。由以上描述可以看出,本發(fā)明實(shí)施例提供的方法、系統(tǒng)和設(shè)備,通過設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容,根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾。這種方式是將DPI代理服務(wù)器分布式設(shè)置在接入網(wǎng)用戶側(cè),這些分布式設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器接收到的數(shù)據(jù)報(bào)文僅為其所對應(yīng)用戶網(wǎng)絡(luò)的用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文,相比較現(xiàn)有技術(shù)中集中設(shè)置在核心網(wǎng)和接入網(wǎng)的邊緣的DPI服務(wù)器,較小了需要處理的數(shù)據(jù)報(bào)文流量,從而能夠保證對數(shù)據(jù)報(bào)文進(jìn)行深度包檢測的實(shí)時(shí)性。另外,分布式DPI代理服務(wù)器和集中式DPI服務(wù)器還可以相結(jié)合,組成一種新型的分布式與集中式混合的DPI網(wǎng)絡(luò),雖然每個(gè)分布式的DPI代理服務(wù)器所負(fù)擔(dān)的數(shù)據(jù)報(bào)文流量較少,但所有的分布式DPI代理服務(wù)器卻分擔(dān)了大部分的需要DPI的數(shù)據(jù)報(bào)文流量,僅有少量需要進(jìn)一步重定向到DPI服務(wù)器的數(shù)據(jù)報(bào)文,從而有效地降低了DPI服務(wù)器的處理成本和實(shí)現(xiàn)難度。更進(jìn)一步地,在DPI代理服務(wù)器對數(shù)據(jù)報(bào)文進(jìn)行DPI過濾時(shí),將需要進(jìn)行重定向處理的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給DPI服務(wù)器,由DPI服務(wù)器進(jìn)行進(jìn)一步的DPI檢測,使得DPI代理服務(wù)器不能確定的數(shù)據(jù)報(bào)文能夠進(jìn)一步得到檢測,從而保證了對數(shù)據(jù)報(bào)文進(jìn)行深度包檢測的可靠性,并且這種方式,只有需要重定向的數(shù)據(jù)報(bào)文才會(huì)轉(zhuǎn)發(fā)給DPI服務(wù)器,降低了對DPI服務(wù)器的集中處理能力,也保證了DPI服務(wù)器處理數(shù)據(jù)報(bào)文的實(shí)時(shí)性。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。權(quán)利要求1、一種報(bào)文過濾的方法,其特征在于,該方法包括設(shè)置在接入網(wǎng)用戶側(cè)的深度包檢測DPI代理服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾。2、根據(jù)權(quán)利要求要求1所述的方法,其特征在于,在所述對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理之前還包括DPI代理服務(wù)器確定接收到的數(shù)據(jù)報(bào)文所屬的流類型,選4奪與DPI相關(guān)的流類型對應(yīng)的數(shù)據(jù)報(bào)文進(jìn)行所述識別處理。3、根據(jù)權(quán)利要求2所述的方法,其特征在于,在進(jìn)行所述識別處理之前還包括DPI代理服務(wù)器判斷所述與DPI相關(guān)的流類型對應(yīng)的流標(biāo)識是否設(shè)置在預(yù)先設(shè)置的DPI過濾策略中,如果存在,則繼續(xù)進(jìn)行所述識別處理。4、根據(jù)權(quán)利要求1所述的方法,其特征在于,所述對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理包括對接收到的數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的分析,或者,對接收到的數(shù)據(jù)報(bào)文進(jìn)行基于流量特征的檢測。5、根據(jù)權(quán)利要求要求1所述的方法,其特征在于,所述DPI過濾策略為接入控制列表ACL。6、根據(jù)權(quán)利要求要求1所述的方法,其特征在于,所述對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾包括如果所述識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為允許通過時(shí),按照該數(shù)據(jù)報(bào)文的目的地址發(fā)送該數(shù)據(jù)報(bào)文;如果識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為流量限制時(shí),則按照預(yù)先設(shè)置的DPI流量限制策略對所述數(shù)據(jù)報(bào)文進(jìn)行流量限制處理。7、根據(jù)權(quán)利要求6所述的方法,其特征在于,所述對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾還包括如果識別出的業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式為重定向時(shí),將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給DPI服務(wù)器進(jìn)行DPI檢測。8、根據(jù)權(quán)利要求3或7所述的方法,其特征在于,將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給DPI服務(wù)器包括采用隧道技術(shù),將隧道起點(diǎn)設(shè)置為DPI代理服務(wù)器,將隧道重點(diǎn)設(shè)置為DPI服務(wù)器,通過隧道將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給所述DPI服務(wù)器;或者,將所述數(shù)據(jù)報(bào)文的目的地址修改為DPI服務(wù)器的目的地址,將所述數(shù)據(jù)報(bào)文發(fā)送給DPI服務(wù)器。9、4艮據(jù)權(quán)利要求3或7所述的方法,其特征在于,所述DPI服務(wù)器對轉(zhuǎn)發(fā)來的數(shù)據(jù)報(bào)文進(jìn)行的DPI檢測包括DPI服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出所述數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;對所述識別出的業(yè)務(wù)類型和/或內(nèi)容進(jìn)行分析,確定所述數(shù)據(jù)報(bào)文對應(yīng)的處理方式,并按照確定的處理方式對所述數(shù)據(jù)報(bào)文進(jìn)行處理。10、根據(jù)權(quán)利要求9所述的方法,其特征在于,在所述DPI服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理之前還包括DPI服務(wù)器確定轉(zhuǎn)發(fā)來的數(shù)據(jù)報(bào)文所屬的流類型,選擇與DPI相關(guān)的流類型對應(yīng)的數(shù)據(jù)報(bào)文進(jìn)行所述識別處理。11、根據(jù)權(quán)利要求9所述的方法,其特征在于,該方法還包括所述DPI服務(wù)器根據(jù)確定的所迷數(shù)據(jù)報(bào)文對應(yīng)的處理方式,對預(yù)先設(shè)置的DPI過濾策略進(jìn)行更改。12、根據(jù)權(quán)利要求11所述的方法,其特征在于,所述對預(yù)先設(shè)置的DPI過濾策略進(jìn)行更改包括DPI服務(wù)器向策略服務(wù)器發(fā)送策略更新請求,從所述策略服務(wù)器中獲取更新后的DPI過濾策略,并對設(shè)置在DPI代理服務(wù)器中的DPI過濾策略進(jìn)行更改更新;或者,DPI服務(wù)器向策略服務(wù)器發(fā)送策略更新請求,從所述策略服務(wù)器中獲取更新后的DPI過濾策略,并由所述策略服務(wù)器對所述DPI代理服務(wù)器中的DPI過濾策略進(jìn)行更新。13、一種DPI代理服務(wù)器,其特征在于,該DPI代理服務(wù)器設(shè)置在接入網(wǎng)用戶側(cè),該DPI代理服務(wù)器包括接收單元,接收數(shù)據(jù)報(bào)文;業(yè)務(wù)識別單元,對所述接收單元接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出所述數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;DPI過濾單元,用于^4t所述業(yè)務(wù)識別單元識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾。14、根據(jù)權(quán)利要求13所述的DPI代理服務(wù)器,其特征在于,該DPI代理服務(wù)器還包括流分類單元,用于確定所述接收單元接收到的數(shù)據(jù)報(bào)文所屬的流類型;類型過濾單元,用于#4居所述流分類單元確定的流類型,選擇與DPI相關(guān)的流類型對應(yīng)的數(shù)據(jù)報(bào)文發(fā)送給所述業(yè)務(wù)識別單元進(jìn)行識別處理。15、根據(jù)權(quán)利要求14所述的DPI代理服務(wù)器,其特征在于,該DPI代理服務(wù)器還包括判斷單元,用于對所述類型過濾單元發(fā)送給所述業(yè)務(wù)識別單元的數(shù)據(jù)報(bào)文進(jìn)行判斷,判斷所述數(shù)據(jù)報(bào)文所屬的流類型對應(yīng)的流標(biāo)識是否設(shè)置在所述DPI過濾策略中,如果存在,則觸發(fā)所述業(yè)務(wù)識別單元執(zhí)行所述識別的操作;發(fā)送單元,用于將所述判斷單元提供的數(shù)據(jù)報(bào)文發(fā)送給該數(shù)據(jù)報(bào)文的目的地址對應(yīng)的設(shè)備。16、根據(jù)權(quán)利要求13所述的DPI代理服務(wù)器,其特征在于,該DPI代理服務(wù)器還包括發(fā)送單元,用于發(fā)送所述數(shù)據(jù)報(bào)文;重定向單元,用于通過隧道技術(shù)或?qū)⑺鰯?shù)據(jù)報(bào)文的目的地址修改為DPI服務(wù)器的地址的方式,將接收到得數(shù)據(jù)報(bào)文發(fā)送給DPI代理服務(wù)器;所述DPI過濾單元包括策略確定單元,用于才艮據(jù)所述業(yè)務(wù)識別單元識別出的業(yè)務(wù)類型和/或內(nèi)容,確定該業(yè)務(wù)類型和/或內(nèi)容在DPI過濾策略中對應(yīng)的處理方式;所述發(fā)送單元按照所述數(shù)據(jù)報(bào)文的目的地址發(fā)送所述數(shù)據(jù)報(bào)文;當(dāng)所迷策略確定單元確定的處理方式為流量限制時(shí),則通知所述發(fā)送單元按照預(yù)先設(shè)置的DPI流量限制策略發(fā)送所述數(shù)據(jù)報(bào)文;當(dāng)所述策略確定單元確定的處理方式為重定向時(shí),將所述數(shù)據(jù)報(bào)文發(fā)送給重定向單元。17、根據(jù)權(quán)利要求13所述的DPI代理服務(wù)器,其特征在于,該DPI代理服務(wù)器還包括DPI策略存儲(chǔ)單元,用于存儲(chǔ)DPI過濾策略。18、一種報(bào)文過濾的系統(tǒng),其特征在于,該系統(tǒng)包括設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器,用于對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別,識別出所述數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾;DPI代理服務(wù)器的上游設(shè)備,用于向所述DPI代理服務(wù)器發(fā)送數(shù)據(jù)報(bào)文。19、根據(jù)權(quán)利要求18所述的系統(tǒng),其特征在于,該系統(tǒng)還包括DPI服務(wù)器,用于接收所述DPI代理服務(wù)器轉(zhuǎn)發(fā)來的數(shù)據(jù)報(bào)文,對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出所述數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容;對所述識別出的業(yè)務(wù)類型和/或內(nèi)容進(jìn)行分析,確定所述數(shù)據(jù)報(bào)文對應(yīng)的處理方式,并按照確定的處理方式對所述數(shù)據(jù)報(bào)文進(jìn)行處理;所述DPI代理服務(wù)器,還用于將在所述DPI過濾過程中需要進(jìn)行重定向處理的lt據(jù)報(bào)文轉(zhuǎn)發(fā)給所述DPI服務(wù)器。20、根據(jù)權(quán)利要求18所述的系統(tǒng),其特征在于,該系統(tǒng)還包括DPI策略服務(wù)器,用于為所述DPI代理服務(wù)器配置DPI過濾策略。21、根據(jù)權(quán)利要求20所述的系統(tǒng),其特征在于,所述DPI服務(wù)器,還用于根據(jù)自身確定的所述數(shù)據(jù)報(bào)文的處理方式,向所述策略服務(wù)器發(fā)送策略更新請求,并從所述策略服務(wù)器中獲取更新后的DPI過濾策略,對設(shè)置在所述DPI代理服務(wù)器中的DPI過濾策略進(jìn)行更新;所述策略服務(wù)器,接收所述DPI服務(wù)器發(fā)送的更新請求,將更新后的DPI過濾策略提供給所述DPI服務(wù)器,。22、根據(jù)權(quán)利要求20所述的系統(tǒng),其特征在于,所迷DPI服務(wù)器,還用于根據(jù)自身確定的所述數(shù)據(jù)報(bào)文的處理方式,向所述策略服務(wù)器發(fā)送策略更新請求,從所述策略服務(wù)器中獲取更新后的DPI過濾策略;所述策略服務(wù)器,接收到所述DPI服務(wù)器發(fā)送的更新請求后,將更新后的DPI過濾策略提供給所述DPI服務(wù)器和DPI代理服務(wù)器。23、根據(jù)權(quán)利要求19所述的系統(tǒng),其特征在于,所述DPI代理服務(wù)器設(shè)置在路由器組RG、接入節(jié)點(diǎn)AN或匯聚網(wǎng)節(jié)點(diǎn)中;所述DPI服務(wù)器設(shè)置在IP邊緣節(jié)點(diǎn)、業(yè)務(wù)服務(wù)器或所述DPI代理服務(wù)器的下游匯聚網(wǎng)節(jié)點(diǎn)中。全文摘要本發(fā)明提供了一種報(bào)文過濾的方法、系統(tǒng)和設(shè)備,設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器對接收到的數(shù)據(jù)報(bào)文進(jìn)行識別處理,識別出該數(shù)據(jù)報(bào)文的業(yè)務(wù)類型和/或內(nèi)容,根據(jù)識別出的業(yè)務(wù)類型和/或內(nèi)容,按照預(yù)先設(shè)置的DPI過濾策略對該數(shù)據(jù)報(bào)文進(jìn)行DPI過濾。這種方式是將DPI代理服務(wù)器分布設(shè)置在接入網(wǎng)用戶側(cè),這些分布設(shè)置在接入網(wǎng)用戶側(cè)的DPI代理服務(wù)器接收到的數(shù)據(jù)報(bào)文僅為其所對應(yīng)用戶網(wǎng)絡(luò)的用戶設(shè)備發(fā)送的數(shù)據(jù)報(bào)文,相比較現(xiàn)有技術(shù)中集中設(shè)置在核心網(wǎng)和接入網(wǎng)的邊緣的DPI服務(wù)器,縮小了需要處理的數(shù)據(jù)報(bào)文流量,從而能夠保證對數(shù)據(jù)報(bào)文進(jìn)行深度包檢測的實(shí)時(shí)性。文檔編號H04L12/26GK101399749SQ20071015172公開日2009年4月1日申請日期2007年9月27日優(yōu)先權(quán)日2007年9月27日發(fā)明者鄭若濱申請人:華為技術(shù)有限公司