技術領域

本發明涉及網關驗證技術，尤其涉及一種深度報文檢查方法與裝置。

背景技術

深度報文檢查（deep?packet?inspection，DPI）技術是一種流量檢測技術。深度報文檢查技術可以用于帶寬管理和控制。深度報文檢查技術應用地越來越廣泛。隨著網絡安全威脅逐漸集中在OSI?model（Open?System?Interconnectmodel，開放系統互聯模型）的高層，網絡安全技術需要了解報文的應用層的內容，才能進行有效的攻擊防御。

現有技術中，業務節點中包含了報文檢查模塊以及業務處理模塊。在需要對同一個報文進行多種業務處理并且不同的業務處理需要由不同的業務節點執行的情況下，需要預先確定處理順序，報文根據預先確定的處理順序，依次到達不同的業務節點進行業務處理。現有技術中對報文的分發方式不夠靈活。

發明內容

本發明提供一種深度報文檢查的方法與裝置，以改善現有技術對報文的處理方式不夠靈活的技術問題。

第一個方面，提供了一種深度報文檢查方法，包括：

深度報文檢查裝置接收轉發面裝置轉發的第一報文；

所述深度報文檢查裝置根據所述第一報文中的傳輸控制協議以及網際協議族的應用層的第一特征以及所述第一特征與第一業務節點的第一對應關系確定所述第一業務節點，所述第一業務節點能夠對接收到的報文進行第一業務處理；和

所述深度報文檢查裝置向所述第一業務節點發送第二報文，所述第二報文中包含所述第一報文。

上述技術方案中，所述深度報文檢查裝置可以根據所述第一特征確定第一業務節點，并向所述第一業務節點發送所述第二報文。上述技術方案改善了現有技術對報文的處理方式不夠靈活的技術問題。

在所述第一方面提供的所述深度報文檢查方法的第一種可能的實現方式中，所述深度報文檢查裝置接收所述轉發面裝置轉發的所述第一報文之后，以及所述深度報文檢查裝置向所述第一業務節點發送所述第二報文之前，所述方法還包括：

所述深度報文檢查裝置根據所述第一報文中的傳輸控制協議以及網際協議族的應用層的第二特征以及所述第二特征與第二業務節點的第二對應關系確定所述第二業務節點，所述第二業務節點能夠對接收到的報文進行第二業務處理；

所述深度報文檢查裝置根據所述第一報文中的所述第一特征以及所述第一特征與所述第一業務節點的所述第一對應關系確定所述第一業務節點之后，所述深度報文檢查裝置根據所述第一報文中的所述第二特征以及所述第二特征與所述第二業務節點的所述第二對應關系確定所述第二業務節點之后，以及所述深度報文檢查裝置向所述第一業務節點發送所述第二報文之前，所述方法還包括：

所述深度報文檢查裝置將所述第一報文封裝為所述第二報文，所述第二報文包括所述第二業務節點的標識，所述第二報文用于指示所述第一業務節點對所述第二報文進行所述第一業務處理后，根據所述第二報文中的所述第二業務節點的標識將所述第二報文轉發至所述第二業務節點。

在所述第一方面提供的所述深度報文檢查方法的第二種可能的實現方式中，所述第二報文為所述第一報文。

在所述第一方面提供的所述深度報文檢查方法的第三種可能的實現方式中，所述深度報文檢查裝置接收所述轉發面裝置轉發的所述第一報文之后，以及所述深度報文檢查裝置向所述第一業務節點發送所述第二報文之前，所述方法還包括：

所述深度報文檢查裝置根據所述第一報文中的傳輸控制協議以及網際協議族的應用層的第二特征以及所述第二特征與第二業務節點的第二對應關系確定所述第二業務節點，所述第二業務節點能夠對接收到的報文進行第二業務處理；

所述深度報文檢查裝置根據所述第一報文中的所述第二特征以及所述第二特征與所述第二業務節點的所述第二對應關系確定所述第二業務節點之后，所述方法還包括：

所述深度報文檢查裝置向所述第二業務節點發送所述第二報文。

根據所述第一方面提供的所述深度報文檢查方法、所述第一方面提供的所述深度報文檢查方法的第一種可能的實現方式、所述深度報文檢查方法的第二種可能的實現方式以及所述深度報文檢查方法的第三種可能的實現方式，在所述第一方面提供的所述深度報文檢查方法的第四種可能的實現方式中，所述第二報文用于使所述第一業務節點向所述轉發面裝置發送信令，所述信令用于使所述轉發面裝置丟棄第三報文，所述第三報文中的傳輸控制協議層以及網際協議族的數據鏈路層、網際協議層或者傳輸層中的字段與所述第一報文中的傳輸控制協議層以及網際協議族的數據鏈路層、網際協議層或者傳輸層中的對應字段相同。