一種業務聯動控制系統和方法

專利名稱：一種業務聯動控制系統和方法
技術領域：
本發明涉及計算機網絡通信技術領域，尤其涉及一種控制通道和數據通道相分離 的業務聯動控制技術。
背景技術：
隨著互聯網技術的發展和應用，往往要對網絡層信息進行檢查和判斷，需要對網 絡業務進行識別與控制。目前，在網絡業務的實現上廣泛使用控制層與數據層相分離的思想，網絡業務的 控制通道與數據通道的傳輸路徑可能是完全不同的，這樣一來，如果只檢查和判斷控制通 道的報文，那么只能知道控制信息，而不能識別與控制數據通道的傳輸；如果只檢查和判斷 數據通道的報文，那么只能獲取數據通道上的數據，而數據通道上的數據和其它的數據一 樣，沒有明顯的特征，所以單獨在控制通道上進行業務識別或者單獨從數據通道上進行業 務識別都是沒有意義的。因此，如何實現控制通道和數據通道相分離的業務聯動識別和控制是業務控制中 需要解決的問題。

發明內容
本發明實施例提供一種通信系統中的業務聯動控制系統和方法，用于實現業務的 聯動識別和控制。一種通信系統中的業務聯動控制系統，擺闊深度包檢測DPI識別模塊，用于接收需要聯動識別的業務的第一識別模版，根據 所述第一識別模版識別出需要聯動識別的業務時，上報業務識別結果和聯動相關信息；DPI識別設備信息采集庫，用于接收并保存DPI識別模塊上報的業務識別結果和 聯動相關信息；聯動信息控制中心，用于從所述DPI識別設備信息采集庫讀取業務識別結果和聯 動相關信息并分類發送給聯動策略管理模塊；聯動策略管理模塊，用于獲得所述第一業務識別模版，并將所述第一業務模版發 送給DPI識別模塊，以及接收所述業務識別結果和聯動相關信息，根據預先設定的控制規 則生成業務的控制策略，并下發業務控制策略；DPI控制模塊，用于接收所述聯動策略管理模塊下發的業務控制策略，并執行所述 控制策略控制。進一步，所述聯動策略管理模塊，還用于根據所述聯動相關信息確定第二識別模 版，并將所述第二識別模版發送給DPI識別模塊；所述DPI識別模塊，還用于根據所述第二識別模版識別出需要聯動識別的業務 時，上報業務識別結果和聯動相關信息。較佳的，所述需要聯動識別業務為控制通道與數據通道相分離的業務，所述第一識別模版包含業務控制報文的特征信息，所述聯動相關信息和第二識別模版包含業務連接信息。所述聯動策略管理模塊、DPI識別設備信息采集庫和聯動信息控制中心設置在所 述通信系統中的運營支撐系統中。所述DPI識別模塊和DPI控制模塊設置在所述通信系統 中的相同或不同的業務控制設備上。一種在通信系統中應用所述業務聯動控制系統進行業務聯動控制方法，包括聯動策略管理模塊將需要聯動識別的業務的所述第一業務模版發送給DPI識別 模塊；DPI識別模塊根據所述第一業務識別模版識別出需要聯動識別的業務時，向DPI 識別設備信息采集庫上報業務識別結果和聯動相關信息；聯動信息控制中心從所述DPI識別設備信息采集庫讀取業務識別結果和聯動相 關信息并分類發送給聯動策略管理模塊；聯動策略管理模塊根據接收的業務識別結果和預先設定的控制規則生成業務的 控制策略，并向DPI控制模塊下發控制策略；DPI控制模塊接收并執行所述控制策略。進一步，還包括所述聯動策略管理模塊根據所述聯動相關信息確定第二識別模版，并將所述第二 識別模版發送給DPI識別模塊；所述DPI識別模塊根據所述第二識別模版識別出需要聯動識別的業務時，上報業 務識別結果和聯動相關信息。根據本發明實施例提供的技術方案，聯動策略管理模塊將需要聯動識別的業務的 所述第一業務模版發送給DPI識別模塊；DPI識別模塊根據所述第一業務識別模版識別出 需要聯動識別的業務時，向DPI識別設備信息采集庫上報業務識別結果和聯動相關信息； 聯動信息控制中心從所述DPI識別設備信息采集庫讀取業務識別結果和聯動相關信息并 分類發送給聯動策略管理模塊；聯動策略管理模塊根據接收的業務識別結果和預先設定的 控制規則生成業務的控制策略，并向DPI控制模塊下發對應的控制策略；DPI控制模塊根據 對應的控制策略控制業務，從而實現了業務的聯動識別和控制。


圖1為本發明實施例提供的通信系統中的業務聯動控制系統結構示意圖；圖2為本發明實施例提供的通信系統中的業務聯動控制方法流程示意圖。
具體實施例方式根據本發明實施例提供的技術方案，聯動策略管理模塊將需要聯動識別的業務的 第一業務模版發送給DPI識別模塊；DPI識別模塊根據第一業務識別模版識別出需要聯動 識別的業務時，向DPI識別設備信息采集庫上報業務識別結果和聯動相關信息；聯動信息 控制中心從DPI識別設備信息采集庫讀取業務識別結果和聯動相關信息并分類發送給聯 動策略管理模塊；聯動策略管理模塊根據接收的業務識別結果和預先設定的控制規則生成 業務的控制策略，并向DPI控制模塊下發控制策略，從而實現了業務的聯動識別和控制。
進一步，為簡化識別工作，聯動策略管理模塊根據聯動相關信息確定第二識別模 版，并將第二識別模版發送給DPI識別模塊；DPI識別模塊根據第二識別模版識別出需要聯 動識別的業務時，上報業務識別結果和聯動相關信息。需要聯動識別的業務類型很多，例如需要聯動識別業務為控制通道與數據通道相 分離的業務，需要聯動識別業務為控制通道與數據通道相分離的業務，第一識別模版包含 業務控制報文的特征信息，聯動相關信息和第二識別模版包含業務連接信息。對于這類業 務，只有當獲取控制通道的信息并結合數據通道的數據一起識別，才能最終判定出業務的 真實應用，進而實現對業務的控制，在這種情況就需要進行關聯識別和控制，本發明實施例 據此提供一種關聯控制技術，預先設定需要進行聯動控制的業務的識別模版，并根據識別 模塊識別控制信道中是否有需要聯動控制的業務的相關控制信息，例如H. 232協議的業務 根據H. 232業務控制報文識別時，在模版中設置H. 232業務控制報文的識別信息，則根據業 務控制信道上的控制數據，即控制報文，利用H. 232業務控制報文的特征信息，采用DPI識 別技術從控制信道中的報文中識別出需要聯動控制的業務以及業務的連接信息，并將業務 識別結果和業務的連接信息上報主管聯動業務的管理模塊，該管理模塊結合預先設定的控 制規則下發控制策略對業務進行控制，從而實現控制層面和數據層面的聯動。由于采用DPI識別技術需要較大的系統開銷，為此，管理模塊進一步生成包含業 務連接信息的第二識別模版并下發給識別模塊，識別模塊繼續利用業務連接信息識別業 務并上報識別結果，管理模塊進行根據識別模塊上報的信息確定控制策略并下發給執行模 塊。下面結合附圖，對本發明實施例提供的通信系統中的業務聯動控制系統以及方法 的具體實施方式
進行詳細的說明。如圖1所示，本發明實施例提供的一種通信系統中的業務聯動控制系統，包括DPI (Deep Packet Inspection，深度包檢測)識別模塊101，接收并保存需要聯動 識別的業務的第一識別模版，根據第一識別模版識別出需要聯動識別的業務時，上報業務 識別結果和聯動相關信息；聯動策略管理模塊102，用于獲得第一業務識別模版，并將第一業務模版發送給 DPI識別模塊101，以及接收業務識別結果和聯動相關信息，根據預先設定的控制規則生成 業務的控制策略，并向DPI控制模塊103下發業務控制策略；DPI控制模塊103，用于接收聯動策略管理模塊102下發的業務控制策略，并執行 控制策略控制；考慮到識別模塊101上報的數據非常大，可以在聯動控制系統中再設置DPI識別 設備信息采集庫104和聯動信息控制中心105，其中DPI識別設備信息采集庫104，用于接收并保存DPI識別模塊上報的業務識別結果 和聯動相關信息；聯動信息控制中心105，用于從DPI識別設備信息采集庫讀取業務識別結果和聯 動相關信息并分類發送給聯動策略管理模塊。進一步聯動策略管理模塊102，還用于根據聯動相關信息確定第二識別模版，并 將第二識別模版發送給DPI識別模塊101 ；DPI識別模塊101，還用于根據第二識別模版識別出需要聯動識別的業務時，上報業務識別結果和聯動相關信息。這樣，在整個 業務執行過程中，DPI識別模塊101可以根據第二識別模版周期性對 業務進行識別并上報識別結果，聯動策略管理模塊102根據各業務的識別結果采用相應的 控制策略對業務進行控制。一個具體實施例中DPI識別模塊101，用于接收并保存需要聯動識別的業務的第一識別模版，從業務 控制通道中的控制數據中獲得業務的識別信息，第一識別模版包含業務控制報文的特征信 息，DPI識別模塊101根據第一識別模版包含的業務控制報文特征信息，采用DPI技術識別 出需要聯動識別的業務時，上報業務識別結果和業務連接信息；聯動策略管理模塊102，用于獲得用戶輸入的第一業務識別模版，并將第一業務模 版發送給DPI識別模塊101，以及接收DPI識別模塊101在識別過程中上報的業務識別結果 和業務連接信息，根據預先設定的控制規則生成業務的控制策略，并下發控制策略；DPI控制模塊103，用于接收并執行聯動策略管理模塊102下發的控制策略。DPI識別設備信息采集庫104，用于接收并保存DPI識別模塊101上報的業務識別 結果和業務連接信息；聯動信息控制中心105，用于從DPI識別設備信息采集庫讀取業務識別結果和業 務連接信息，經分類后發送給聯動策略管理模塊102。在具體實現方式中，聯動策略管理模塊102、DPI識別設備信息采集庫104和聯動 信息控制中心105可以設置在通信系統中的運營支撐系統中。而DPI識別模塊101和DPI 控制模塊103設置在同一個通信系統中的業務控制設備上，例如一些關鍵的業務控制點， 也可以根據聯動控制的需要設置在不同的業務控制設備上。進一步，為簡化識別工作，DPI控制模塊103根據DPI識別設備101第一次上報的 業務連接信息，向DPI識別設備101發送更新的第二識別模版，DPI識別設備101根據業務 連接信息識別業務并上報識別結果。需要說明的是，業務的聯動識別和控制過程所需要的時間相對業務的建立或運行 時間可以忽略不計，也就是說業務的聯動識別和控制并不會影響業務的運行。如圖2所示，以控制通道和數據通道相分離的業務為例，應用本發明實施例提供 的應用圖1系統的一種業務聯動控制方法流程示意圖包括如下步驟S201、聯動策略管理模塊接收用戶設置的第一識別模版和控制規則，其中第一識 別模版包括在控制通道中識別需要進行聯動控制的控制報文特征信息，控制規則是對需要 進行聯動控制的業務進行控制的設置規則。舉例需要進行聯動控制的業務說明，對于控制通道與數據通道相分離的協議，如 H. 323等協議通過控制通道來協商數據傳輸的端口的協議進行業務識別時，就需要聯動識 另O。可以用識別模版來對控制通道的數據進行識別。該識別模版的結構為一張對應關系 表，對應需要聯動控制的業務，設置了控制通道中的控制報文相應的特征信息，以此判斷控 制報文所針對的業務。控制規則用于規定在識別出業務之后，對業務進行的控制。比如說對于上網業務 來說，控制規則可以為如果用戶要瀏覽的網站是合法的，那么就允許該上網業務；如果用 戶要瀏覽的網站是非法的，那么就禁止該上網業務。這樣對于上網業務來說，只需要對控制通道的數據進行識別，不需要進行聯動識別。對于電話業務來說，控制規則可以為如果簽 約用戶要進行十分鐘以外通話，那么降低用戶通話超過十分鐘之后的通話質量。在電話業 務中，用戶發起呼叫這一過程是通過控制通道來傳遞數據，而在通話過程中，電話業務是通 過數據通道來傳遞數據，這樣對于電話業務來說，不僅需要對控制通道的數據進行識別，還 要對數據通道的數據進行識別，需要進行聯動識別。S202、聯動策略管理模塊將第一識別模版發送給DPI識別模塊；S203、DPI識別模塊在業務建立以及進行過程中，從業務控制通道中的控制數據中 獲得業務的控制報文；S204、DPI識別模塊根據第一識別模版和獲得的業務控制報文識別出需要聯動識 別的業務時，將業務識別結果和業務連接信息發送給DPI識別設備信息采集庫進行保存；較佳地，在業務開始后，本發明實施例中可以采用DPI技術來識別業務，通過DPI 技術對業務的控制數據流進行檢測，可以獲知業務的識別信息。將識別模版與獲得的識別 信息進行對比，得到業務識別結果，并從控制數據流中獲得業務連接信息。例如在電話業務中，用戶發起呼叫這一過程是通過控制通道來傳遞數據，可以根 據識別模版對業務控制通道的數據進行識別，得到業務識別結果和業務連接信息。比如在 電話用戶A發起呼叫后，根據識別模版可以獲知該業務為簽約用戶發起的電話業務。在上 網業務中，可以根據識別模版對業務控制通道的數據進行識別，獲知用戶要瀏覽的是合法 網站。根據得到的業務識別結果和業務連接信息可以判斷出該業務是否需要進行聯動 識別，比如通過識別模版發現有電話業務的控制報文，那么就判斷該業務為電話業務，需要 進行聯動識別。如果發現該業務不需要進行聯動識別，比如通過識別模版發現業務為上網業務， 而上網業務是不需要進行聯動識別的，則不上報任何信息。S205 S206、聯動信息控制中心從DPI識別設備信息采集庫讀取業務識別結果和 業務連接信息，并分類發送給聯動策略管理模塊。S207、聯動策略管理模塊接收到業務識別結果和業務連接信息時，根據預置的控 制規則生成業務的控制策略，并向DPI控制模塊下發對應的控制策略。S208、DPI控制模塊根據對應的控制策略控制業務；S209、聯動策略管理模塊還將業務連接信息包含在第二識別模版中下發給DPI識 別設備；S210 213、DPI識別設備繼續根據第二識別模版識別業務并上報識別結果，轉至 S207，聯動策略管理模塊接收到業務識別結果時，根據預置的控制規則生成業務的控制策 略，并向DPI控制模塊下發對應的控制策略。步驟S210可以周期性啟動，聯動策略管理模塊每一次收到業務識別結果時下發 相應的控制策略，這樣在業務整個過程中都可以實現聯動識別和控制。比如對于簽約用戶A的通話時長超過了十分鐘，控制策略為降低用戶A的通話質 量，則DPI控制模塊執行該策略對相應數據通道的用戶業務進行控制，達到對控制信道和 數據信道相分離的業務的聯動控制目的。需要說明的是，DPI識別模塊也可以直接將業務識別結果和業務連接信息發送給聯動策略管理模塊。還需 要說明是，以上僅是以一個業務的聯動識別控制為例進行的說明，不同該業 務則有相應的識別模版，控制策略可能針對特定單一業務制定，也可能針對多個業務綜合 制定。以一個具體示例進行說明，例如利用本系統限制BT應用的下載流量到200M 首先由聯動策略管理模塊根據聯動業務需要下發預置的識別模板，這個識別模板 的作用是通過報文中的特征值“BitTorrent”發現這是一個BT下載的應用(第一模板就 是BT應用一BitTorrent)，那么DPI識別模塊就會將報文做深度檢測，所謂的深度檢測就 是檢測報文的(0SI模型的2-7層)內容，一旦發現BitTorrent這個特征值，可以認為發現 了這是個BT應用，這時就需要提取該BT業務的連接信息，把這條流的傳輸數據的協商端 口號，目的地址，源地址，目的端口，源端口，協議類型等信息提取出來，舉個例子比如提取 了(源IP192. 168. 1. 1，源端口 8080，目的地址10. 10. 10. 1，目的端口 80，協議UDP)這個信 息，就會將此信息，或相關的如所在域等信息提供給DPI識別信息收集庫，聯動控制中心將 這個信息分類，(比如說這兒就是按照業務BT的)，提供給聯動策略決策管理模塊。聯動策略決策管理模塊進行決策下發第二識別模板，這個第二識別模板內容即是
“源IP 192. 168. 1. 1、源端口 8080、目的地址10. 10. 10. 1、目的端口 80、協議UDP-----對應
BT業務流”。同時下發控制策略給DPI控制模塊，一旦DPI識別模塊檢測發現后續報文中有 這個連接的流量過來，就將該流量限速到200M。之所以需要第二識別模板，主要是系統性能和實際協商的端口考慮，檢測報文OSI 模型中2-7層的內容的開銷比只檢測報文2-3層內容開銷要大幾百倍，同時需要聯動的業 務協商的端口不經過第一次識別是不知道的，綜上都需要第一識別模板與第二識別，兩個 模板均是為了識別BT業務，但是復雜程度完全不同。顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精 神和范圍。這樣，倘若本發明的這些修改和變型屬于本發明權利要求及其等同技術的范圍 之內，則本發明也意圖包含這些改動和變型在內。
權利要求
1.一種通信系統中的業務聯動控制系統，其特征在于，包括深度包檢測DPI識別模塊，用于接收需要聯動識別的業務的第一識別模版，根據所述 第一識別模版識別出需要聯動識別的業務時，上報業務識別結果和聯動相關信息；DPI識別設備信息采集庫，用于接收并保存DPI識別模塊上報的業務識別結果和聯動 相關信息；聯動信息控制中心，用于從所述DPI識別設備信息采集庫讀取業務識別結果和聯動相 關信息并分類發送給聯動策略管理模塊；聯動策略管理模塊，用于獲得所述第一業務識別模版，并將所述第一業務模版發送給 DPI識別模塊，以及接收所述業務識別結果和聯動相關信息，根據預先設定的控制規則生成 業務的控制策略，并下發業務控制策略；DPI控制模塊，用于接收所述聯動策略管理模塊下發的業務控制策略，并執行所述控制 策略控制。
2.如權利要求1所述的聯動控制系統，其特征在于，所述聯動策略管理模塊，還用于根 據所述聯動相關信息確定第二識別模版，并將所述第二識別模版發送給DPI識別模塊；所述DPI識別模塊，還用于根據所述第二識別模版識別出需要聯動識別的業務時，上 報業務識別結果和聯動相關信息。
3.如權利要求2所述的聯動控制系統，其特征在于，所述需要聯動識別業務為控制通 道與數據通道相分離的業務，所述第一識別模版包含業務控制報文的特征信息，所述聯動 相關信息和第二識別模版包含業務連接信息。
4.如權利要求3所述的聯動控制系統，其特征在于，所述DPI識別模塊，具體用于從業 務控制通道中的控制數據中獲得業務控制報文，根據所述業務控制報文和第一識別模版包 含的業務控制報文特征信息，識別出需要聯動識別的業務，或者根據所述第二業務識別模 版中的業務連接信息，識別出需要聯動識別的業務。
5.如權利要求2所述的聯動控制系統，其特征在于，所述聯動策略管理模塊、DPI識別 設備信息采集庫和聯動信息控制中心設置在所述通信系統中的運營支撐系統中。
6.如權利要求5所述的聯動控制系統，其特征在于，所述DPI識別模塊和DPI控制模塊 設置在所述通信系統中的相同或不同的業務控制設備上。
7.—種在通信系統中應用權利要求1所述業務聯動控制系統進行業務聯動控制方法， 其特征在于，包括聯動策略管理模塊將需要聯動識別的業務的所述第一業務模版發送給DPI識別模塊； DPI識別模塊根據所述第一業務識別模版識別出需要聯動識別的業務時，向DPI識別 設備信息采集庫上報業務識別結果和聯動相關信息；聯動信息控制中心從所述DPI識別設備信息采集庫讀取業務識別結果和聯動相關信 息并分類發送給聯動策略管理模塊；聯動策略管理模塊根據接收的業務識別結果和預先設定的控制規則生成業務的控制 策略，并向DPI控制模塊下發控制策略； DPI控制模塊接收并執行所述控制策略。
8.如權利要求7所述的方法，其特征在于，還包括所述聯動策略管理模塊根據所述聯動相關信息確定第二識別模版，并將所述第二識別模版發送給DPI識別模塊；所述DPI識別模塊根據所述第二識別模版識別出需要聯動識別的業務時，上報業務識 別結果和聯動相關信息。
9.如權利要求8所述的方法，其特征在于，所述需要聯動識別業務為控制通道與數據 通道相分離的業務，所述第一識別模版包含業務控制報文的特征信息，所述聯動相關信息 和第二識別模版包含業務連接信息。
10.如權利要求9所述的方法，其特征在于，所述DPI識別模塊根據所述第一業務識別 模版識別出需要聯動識別的業務，具體包括所述DPI識別模塊從業務控制通道中的控制數據中獲得業務控制報文； 根據所述業務控制報文息和第一識別模版包含的業務控制報文特征信息，識別出需要 聯動識別的業務。
全文摘要
本發明涉及計算機網絡通信技術領域，提供一種通信系統中的業務聯動控制系統和方法，用于實現控制通道和數據通道相分離的業務聯動識別和控制。具體包括聯動策略管理模塊將需要聯動識別的業務的所述第一業務模版發送給DPI識別模塊識別需要聯動識別的業務，并通過DPI識別設備信息采集庫和聯動信息控制中心將業務識別結果和聯動相關信息分類發送給聯動策略管理模塊，聯動策略管理模塊根據接收的業務識別結果和預先設定的控制規則生成業務的控制策略，并向DPI控制模塊下發控制策略，DPI控制模塊接收并執行所述控制策略。
文檔編號H04L1/00GK102045131SQ20091018002
公開日2011年5月4日 申請日期2009年10月22日 優先權日2009年10月22日
發明者楊波 申請人:中興通訊股份有限公司