技術領域

本發明涉及移動通信領域，尤其涉及一種應用業務識別方法和裝置。

背景技術

在移動通訊領域，分組域網關設備或獨立流量檢測設備通常具備用戶應用業務識別能力，典型地，通過DPI(Deep Packet Inspection，深度報文檢測)技術進行流量識別。

DPI技術通常包括多種不同的識別方法，如基于DNS(Domain Name System，域名系統)、IP(Internet Protocol，互聯網協議)地址或TCP/UDP(Transmission Control Protocol，傳輸控制協議；User Datagram Protocol，用戶數據報協議)端口號的淺層檢測法，基于應用業務協議特征或字符序列的深層檢測法，基于TCP/UDP流與流之間關聯關系的強啟發式檢測法，基于業務事件關聯關系的弱啟發式檢測法，基于長度/方向/速率等屬性的統計檢測法。

上述DPI檢測法，對于基于明文、自定義協議或不完全加密的應用流量較為有效，但是對于以現代密碼學為基礎的傳輸層加密協議SSL/TLS(Secure Socket Layer，安全套接字層；Transport Layer Security，TLS)則效果較差。這是因為SSL/TLS應用數據采用DES/3DES/AES(Data Encryption Standard，數據加密標準；三重數據加密標準；Advanced Encryption Standard，高級加密標準)等加密算法，密文完全無規律可循，普通DPI特征檢測結果的真實性無法保證，可能產生誤識別，無法處理用戶采用針對性軟件偽造特征以欺騙DPI檢測的復雜問題。

移動通信運營商通常需要應用業務的精確識別結果，從而進行精確地阻斷、限速、QoS(Quality of Service，服務質量)保證或內容計費。對特定應用業務免收流量費是移動運營商智能管道流量經營的一項重要創收服務，它相當于將對用戶的流量收費轉移到企業身上，是一種交叉收費方式，從而創造用戶、企業、運營商的共贏。如果DPI檢測結果不精確，可能有的流量應該收費，卻錯誤地給予免費，從而造成企業的額外支出，或運營商收入損失以及信譽影響。

典型地，如某運營商要求對基于SSL/TLS的某應用流量精確識別，對于用戶使用該應用的流量給予免費，而這部分費用由運營該應用的企業統一支付。通常的DPI檢測法，會基于該應用流量中的DNS域名、SSL/TLS業務名字段、SSL/TLS證書通用名等特征進行識別，將符合以上特征的流量歸為該應用。但是，這樣的檢測法很容易被人利用，開發出符合上述特征的應用層隧道軟件，讓使用此類軟件的用戶可以免費訪問任何網站或應用。這部分流量與付費企業的統計核對不符，損失可能由企業與運營商共同承擔。

發明內容

有鑒于此，本發明的目的在于提供一種應用業務識別方法和裝置,以解決如何精準識別數據流相關的應用業務的問題。

本發明解決上述技術問題所采用的技術方案如下：

根據本發明的一個方面，提供的一種應用業務識別方法，包括：獲取預設數字證書的指紋與其對應的應用業務之間的關聯關系；獲取數據流；從數據流中提取數字證書，并計算所述數字證書的指紋；根據所述預設數字證書的指紋與其對應的應用業務之間的關聯關系，查找出與所述數字證書的指紋具有關聯關系的應用業務，作為所述數據流對應的應用業務。

優選地，前述的方法，還包括：在查找到與所述數字證書的指紋具有關聯關系的應用業務后，計算所述數據流的會話指紋，并建立所述會話指紋與所述應用業務的關聯關系。

優選地，前述的方法，還包括：在未查找出與所述數字證書的指紋具有關聯關系的應用業務時，獲取已建立會話指紋與其對應的應用業務之間的關聯關系；計算所述數據流的會話指紋；根據所述已建立會話指紋與其對應的應用業務之間的關聯關系，查找出與所述會話指紋具有關聯關系的應用業務，作為所述數據流對應的業務。

優選地，前述的方法，獲取已建立會話指紋與其對應的應用業務之間的關聯關系，具體包括：將所述已建立會話指紋與其對應的應用業務之間的關聯關系獲取到內存中，當其中任一會話指紋與對應應用業務的關聯關系在預設時長內未被查找到時，從所述內存中進行釋放。

優選地，前述的方法，獲取數據流，具體包括：采用內存索引表將所述數據流獲取到內存中，并在所述數據流的連接中斷時從所述內存中釋放所述數據流。

優選地，前述的方法，所述預設數字證書為從所述應用業務對應的服務端獲取的服務端數字證書；從所述數據流中提取的數字證書為服務端數字證書。