CN101404650B - 一种细分网络应用服务质量的方法和系统 - Google Patents

Abstract

本发明公开一种细分网络应用服务质量的方法和系统，包括：拦截经过本地的上层用户应用软件的数据包；识别数据包的应用层协议类型，并根据识别结果过滤数据包，留下流媒体数据；根据媒体流数据包中的TCP/UDP端口号反向查找应用程序进程信息；根据当前媒体流数据包的应用层协议信息、进程信息，查询预制的Qos等级表，确定该媒体流数据包对应的应用的Qos标记等级；根据媒体流数据包的TCP/UDP端口号、Qos标记等级为该媒体流数据包对应的应用打上合适的Qos标记。通过本发明可以根据用户当前使用的应用程序情况，提供一个合适的网络质量标记。

Description

一种细分网络应用服务质量的方法和系统

技术领域

本发明涉及计算机通信领域，特别是涉及一种细分计算机网络应用程序的服务质量(Qos)，并验证用户端Qos标记合法性的方法和系统。

背景技术

当前的IP网络正朝着多业务、多应用承载的方向发展。网络服务质量等级(Qos/802.1p)也越来越成为互联网协议(IP)网络的一项重要技术。每一种应用对于网络质量都有不同的要求，Qos技术可以很好的保证IP网络可以针对每一类型的业务提供不同的质量，比如：恒定带宽、低延时等。

但是Qos技术仅从网络的角度来对应用进行分类，并且一般采用根据IP地址、业务VLAN划分等方法来静态设置某种应用Qos的等级，并在IP网络中静态的部署。例如：现有IP网络Qos的实现主要依靠宽带接入服务器(BAS)设备来为用户的不同应用进行Qos等级的分配，分配的依据一般是按照给不同用户的应用分配不同的虚拟局域网(VLAN)来实现。比如：通过给视频应用分配VLAN1，给语音业务分配VLAN2，给数据业务分配VLAN3的方式，在BAS等设备的接入端清空用户数据包原来的Qos标记，并根据这些VLAN的ID号为数据包打上不同的Qos标记。这种方式的缺点主要有以下几个：1)、只能根据业务采用静态配置的方式来标记数据包的Qos；2)、对于一些特殊应用，比如嵌入在环球网(WEB)应用中的流媒体应用，无法细分其Qos等级；3)、使用了网络中比较宝贵的VLAN资源；4)、无法区别同一类型应用软件的提供商，不方便后向的增值业务的开展。

另一种可能的实现Qos部署的方式是使用DPI(Deep PacketInspection深度包检测)设备，由于DPI设备可以检测每个IP数据包的内容信息，因此使用DPI设备也可以做到对用户应用的细分和对应用提供商的区分，从而对不同应用的数据包标记不同的Qos等级。但采用DPI设备实现Qos的标记，首先会在网络中引入一个单一的故障点，并且这一单一故障点发生故障时将会影响大量的用户；其次，使用这种集中式DPI的方式，对设备性能要求很高，只能用硬件方式实现，成本较高。对于网络应用的细分和应用软件开发商的识别和增值业务的开展均没有理想的方法。

另一个方面，802.1p的Qos标记是一个通用的标准，任意一个用户或应用程序都可以给自己的IP包指定任意的Qos等级，这样会造成Qos标记滥用的现象。因此，在网络端需要有一个机制去鉴别这些Qos标记的合法性。

发明内容

有鉴于此，本发明提出一种细分网络应用服务质量的方法和系统，可以根据用户当前使用的应用程序情况，提供一个合适的网络质量标记。

基于上述目的本发明提供的一种细分网络应用服务质量的方法，，包括：

拦截经过本地的上层用户应用软件的数据包；

识别数据包的应用层协议类型，并根据识别结果过滤数据包，留下流媒体数据；

根据媒体流数据包中的TCP/UDP端口号反向查找应用程序进程信息；

根据当前媒体流数据包的应用层协议信息、进程信息，查询预制的Qos等级表，确定该媒体流数据包对应的应用的Qos标记等级；

根据媒体流数据包的TCP/UDP端口号、Qos标记等级为该媒体流数据包对应的应用打上合适的Qos标记。

可选的，该方法所述识别数据包的应用层协议为通过查找数据包中协议关键字的方式来实现。

可选的，该方法所述TCP/UDP端口号为Socket端口号，通过TDI接口查询的方式反向查找应用程序进程信息。

可选的，该方法所述判断多媒体数据包的Qos标记等级的判断依据是该应用需要使用的优先级，或者是该进程信息特征对应的软件开发商信息。

可选的，该方法所述查询预制的Qos等级表过程中如果没有找到匹配的Qos等级，则直接透明转发该流媒体数据包。

可选的，该方法所述本地为用户PC或BAS设备；

如果为用户PC，则该方法还包括：

用户PC在通信最初期时，还需要执行对Qos标记合法性认证的算法，依据该算法计算结果确定用户数据包的Qos标记。

可选的，该方法所述对Qos标记合法性认证的算法包括：

用户PC获得IP地址；

将IP地址的每个字节除以一个数，然后取余作为包的Qos值发送给BAS设备，BAS设备判断在用户连接建立以后获得的用户实际数据包中的前n个包的Qos值必须与碰撞序列相同，则BAS设备认可以后用户发送包的Qos标志，否则一律忽略用户Qos标志；

根据这个数列将IP地址转化为唯一的由n个1-7的数组成的数列，用这n个数来标记用户最先发送的n个数据包的Qos值；

其中，n为碰撞序列的长度，标记的Qos是802.1p中的前3个bit位，作为算法的除数必须不能被0-255中的任意数整除；同时，其余数不能大于7。

可选的，该方法所述碰撞序列的长度n为4。

基于上述目的，本发明还提供了一种细分网络应用服务质量的系统，包括：

总体控制模块，用于完成操作系统关联功能、各子模块的调度功能、系统管理功能；

包过滤模块，用于拦截获取经过本地的上层用户应用软件的所有数据包；

包分析模块，用于分析包过滤模块捕获的数据包，从中甄别出该数据包使用的上层应用协议类型和使用的TCP/UDP端口号，根据识别到的TCP/UDP端口号反向查询应用程序进程信息的功能；

Qos查询表模块，用于提供Qos等级与具体应用的TCP/UDP端口号、Qos标记等级的对应查询功能，维护Qos查询表；

Qos标记模块，根据包分析模块分析的TCP/UDP端口号、Qos标记等级，在Qos查询表中对该应用的Qos等级进行查询，根据查询的结果对该数据包的Qos进行标记。

可选的，该系统设置在用户PC或BAS设备中。

可选的，该系统设置在用户PC中时，所述Qos标记模块，还用于执行对Qos标记合法性认证的算法，依据该算法计算结果确定用户数据包的Qos标记。

可选的，该系统所述Qos标记模块执行对Qos标记合法性认证的算法包括：

将IP地址的每个字节除以一个数，然后取余作为包的Qos值发送给BAS设备，BAS设备判断在用户连接建立以后获得的用户实际数据包中的前n个包的Qos值必须与碰撞序列相同，则BAS设备认可以后用户发送包的Qos标志，否则一律忽略用户Qos标志；

根据这个数列将IP地址转化为唯一的由n个1-7的数组成的数列，用这n个数来标记用户最先发送的n个数据包的Qos值；

其中，n为碰撞序列的长度，标记的Qos是802.1p中的前3个bit位，作为算法的除数必须不能被0-255中的任意数整除；同时，其余数不能大于7。

从上面所述可以看出，本发明提供的一种细分网络应用服务质量的方法和系统，根据实际应用的要求，动态的为用户数据包标记Qos等级的功能，系统只在用户应用需要时才给通信分配一个恰当的Qos等级，在应用结束时，系统将收回使用完毕的Qos等级。并且由于方案的实现方法采用了分布式的DPI检测手段，可以有效的避免网络中的单一故障点现象和相关的安全隐患。

同时，本方案还提出了通过用户进程特征的检测，例如通过用户进程名称、进程打开的TCP或UDP端口号、应用软件进程使用的通信协议特征等，识别应用软件提供商的方法，为网络开展增值业务提供了技术上的可能性。

另一方面，本发明中还提出了采用Qos碰撞技术来进行用户端Qos标记合法性的验证的算法，通过这一算法的应用，网络接入端可以验证用户端的Qos标记的合法性，避免网络Qos技术被不合理的滥用，使Qos动态标记更加合理，安全性更高。

附图说明

图1为本发明实施例细分网络应用服务质量方法的流程示意图；

图2为本发明实施例Qos碰撞技术实现的基本网络架构示意图；

图3本发明实施例细分网络应用服务质量系统的结构示意图。

具体实施方式

下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。

本发明提供一种根据用户应用程序的自动识别和主流应用程序与Qos等级对应关系表，自适应的为网络应用程序分配指定的Qos等级，差异化网络应用对网络质量的要求，动态保障指定的网络应用所需要的高带宽、低延时的网络质量，优化网络的流量。本发明还提供了一种网络端认证用户端Qos标记合法性的方法(Qos标记碰撞技术)。

本发明方案主要包括以下内容：

拦截经过本地的上层用户应用软件的数据包，其中，所述上层是指TCP/IP协议传输层以上的协议层次和ISO/OSI七层通信模型中传输层以上的协议层次；识别数据包的应用层协议类型，并根据识别结果过滤数据包，留下流媒体数据；根据媒体流数据包中的TCP/UDP端口号反向查找应用程序进程信息；根据当前媒体流数据包的应用层协议信息、进程信息，查询预制的Qos等级表，确定该媒体流数据包对应的应用的Qos标记等级；根据媒体流数据包的TCP/UDP端口号、Qos标记等级为该媒体流数据包对应的应用打上合适的Qos标记。

本发明主要内容包括以下几个方面：

1)、基于用户数据包过滤的上层应用检测机制；

2)、基于应用层协议的应用识别方法；

3)、基于应用程序使用的Socket端口的应用程序进程信息反向查找机制；

4)、基于Qos匹配表的应用程序质量等级标记；

5)、基于Qos碰撞技术的用户侧Qos标记的认证机制。

本发明的实现方案有两种，可以在用户个人电脑(PC)上实现，也可以在用户接入网络的网关路由器上实现。在路由器上实现时不需要考虑Qos标记的合法性，而在PC上实现时可以通过Qos标记碰撞技术验证Qos标记的合法性。这两种方案的具体实现比较类似，只是在网络中的实现位置不同。

现以个人电脑的实现方案为例，假设用户个人电脑的操作系统为WindosXP，其它操作系统对本方案无影响，只是具体实现采用的技术细节不同：

在个人电脑上实现时主要通过软件的方式。在个人电脑上设置一个网卡过滤的驱动程序，过滤用户到网卡硬件的所有IP数据包，获取包内的上层应用的协议；

根据应用层打开的传输控制协议(TCP)或用户数据报协议(UDP)端口号来反向查询应用程序的进程信息，从而定位该应用软件的开发商信息；

最后根据应用层协议的类型、软件开发商的信息查询系统预制的Qos查询表，决定应该为该应用提供什么Qos等级。

另外，当系统检测到该用户已经结束该应用的使用时，系统将取消为该应用分配的Qos等级。同时，由于在用户个人电脑(PC)上实现Qos标记的功能，还需要增加对Qos标记合法性认证的算法。

该方案的具体工作流程，参见图1所示：

步骤101，上层用户应用软件的数据包在传送到网卡驱动之前被拦截。

在Windows操作系统平台下可以通过编写NDIS中间层驱动程序来实现对于所有IP包的拦截。

步骤102，应用层协议识别，并对数据包进行过滤，留下流媒体数据。

应用层协议的识别可以通过查找数据包中协议关键字的方式来实现，例如：对于多媒体信息服务(MMS)流媒体可以通过关键字节的判别来加以区分，MMS协议一般在协议包头内含有固定的“MMS”字符串，并且客户端向服务器端发包的固定开头为“01 00 00 00”(4个字节，每个包均有)，而且每个包均有序号，该序号为4个字节，且随着通信过程不断递增。

根据检测到的这些特征，可以确定这个应用是一个基于MMS的流媒体应用。

步骤103，操作系统从媒体流数据包中提取该应用使用的Socket端口号，并通过TDI接口查询的方式(在Windows平台下适用)反向查找应用程序进程信息，例如：进程名称等，根据这些进程信息和进程使用的TCP/UDP端口号、以及通信协议的特征，可以判别出这一应用的软件名称，如果此软件是较为流行或较为著名的软件，可以对应到该软件的开发商。

步骤104，操作系统将判定的应用层协议信息、进程信息(通常已包含软件名及识别出来的软件开发商名)交付Qos查询表处理模块，该处理模块根据应用层协议信息、以及进程信息来判断该多媒体数据包所对应的应用的Qos标记等级，判断依据可以是该应用需要使用的优先级，也可以是该进程信息特征对应的软件开发商信息。

判断结果有两种，一种结果是在在查询表中找到了匹配的Qos等级，则进入步骤105；另一种结果是没有找到匹配的Qos等级，即应用层协议信息、进程信息与查询表不匹配，则直接透明转发该流媒体数据包到网卡驱动程序。

步骤105，查询处理的结果将被通知到Qos标记模块，Qos标记模块将根据该多媒体数据包对应的应用的Socket号、Qos等级为该应用的数据包打上合适802.1p的MAC层Qos标记，即将过滤驱动捕获的用户MAC数据包的第25字节的前3个bit进行标记，再重新计算整个数据包的CRC校验值，并将修改后的数据包发送到网卡驱动程序。

对于在用户个人电脑(PC)上实现Qos标记，用户PC通信最初期时，还需要由Qos标记模块执行对Qos标记合法性认证的算法。执行该算法时用户数据包的Qos标记依据本算法计算结果，而不依据Qos查询表的查询结果。也就是说，在执行算法时Qos标记不到查询表中查询，例如：PC通信的前8个包做Qos碰撞时，这8个包的Qos标记值由算法计算得到，不去查询表中查找。在8个包发送结束后再按原来的方法进行Qos标记的查询。这一算法标记的用户数据包个数与算法中的序列相关。

关于对Qos标记合法性认证的算法(Qos标记的信任机制)，本实施例中，采用Qos碰撞检测方法，实现方案如下，其基本网络环境参见图2所示：

首先，用户PC通过PPPoE拨号接入DSLAM设备，并通过Radius认证从DHCP服务器中获得IP地址(该IP地址是用户通过PC上网时由DHCP服务器分配给用户PC的IP地址)，这一过程与现有网络的运行过程一致。

然后，在DHCP服务器返回用户有效的IP地址时，BAS设备应该记录下这个IP地址，并根据这个IP地址生成一个Qos碰撞序列。

这里考虑使用一种算法将IP地址转化为碰撞序列，基本方法是碰撞序列的长度为4(可以考虑增加长度保证安全性)，将IP地址的每个字节除以一个数，然后取余作为包的Qos值发送给BAS设备，BAS设备在用户连接建立以后获得的用户实际数据包中的前4个包的Qos值必须与碰撞序列相同，BAS设备才会认可以后用户发送包的Qos标志，否则一律忽略用户Qos。

本方案标记的Qos是802.1p中的前3个bit位，这3个bit位共有8种优先级，去除0优先级不做碰撞用，共有7个等级。作为算法的除数必须不能被0-255中的任意数整除；同时，其余数不能大于7。所以采用一个数列来作为除数，比如：可以采用2，3，7，11，13。其中，这里因为算法上的要求所以数列中的数全部为质数，在数列中数的选用上是按照从前到后的顺序的，即一旦除2所得的余数不符合要求，就选用3.......，所以变换数组选用的顺序也可以构造一个不同的碰撞序列。

最后，根据这个数列将IP地址转化为唯一的由4个1-7的数组成的数列，用这4个数来标记用户最先发送的4个数据包的Qos值，BAS设备收到后确认此用户发送的Qos值可信。其中，BAS设备确认此用户发送的Qos值可信过程中，所采用的算法与用户PC端相同，但不做Qos标记而只做与用户端碰撞序列内的Qos标记比较，如果整个序列中的所有Qos标记值和顺序均相同，则认证通过，BAS设备将承认以后用户标记的Qos；否则BAS设备将清除所有的用户标记Qos。另外，在BAS设备接受了用户标记的802.1P的Qos后还要将其转化为三层的Qos，以实现端到端的Qos保证，不过这一点属于已有技术，不是本发明讨论的范围了。

在安全性要求较高的应用中，还可以定义一个有效期，超过有效期后，需要程序重新发送碰撞序列，进行再次认证。

以上所述的Qos碰撞技术主要优点有两个方面：

1)、直接采用IP地址生成的碰撞序列有较强的随机性，且认证过程融合于通信过程中，不需要特殊握手过程的开销；

2)、对于用户侧接入线路的质量有一定的检测作用，在用户接入网络通信质量不高，Qos无法保证的情况下，网络侧也自适应的停止Qos的识别和保障。如果用户发送的正确碰撞序列由于接入线路质量较低造成丢包或乱序，则碰撞不能通过。网络不会向用户侧应用提供无法保证端到端的Qos业务

参见图3所示，基于上述方法，本发明在用户侧细分网络应用服务质量的系统包括如下模块：

总体控制模块301，包括与操作系统关联功能、各子模块的调度功能、系统管理功能，以及触发对Qos标记合法性认证的算法等；

包过滤模块302，获取用户与网卡硬件之间传输的所有数据包，发送到包分析模块303；

包分析模块303，可以分析包过滤模块捕获的数据包，从中甄别出该数据包使用的上层应用协议类型和使用的TCP/UDP端口号，本模块还应可以根据识别到的TCP/UDP端口号反向查询应用程序进程信息的功能；

Qos查询表模块304，提供Qos等级与具体应用的对应查询功能，同时提供对Qos查询表表项的添加、修改、删除操作等查询表维护功能；

Qos标记模块305，根据从包分析模块303获取的分析结果，向Qos查询表模块304发送查询请求，Qos查询表模块304在Qos查询表中对该应用的Qos等级进行查询，并将结果返回给Qos标记模块305，由其根据查询的结果对该数据包的Qos进行标记；或者在用户PC通信最初时，执行Qos标记合法性认证的算法，根据该算法计算结果确定用户数据包的Qos标记。

另外，对于在PC端实现本发明方法的系统，在BAS设备端还需要增加支持Qos碰撞技术的软件模块。

本发明的描述是为了示例和说明起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

Claims (12)

1.一种细分网络应用服务质量的方法，其特征在于，包括：

拦截经过本地的上层用户应用软件的数据包；

识别数据包的应用层协议类型，并根据识别结果过滤数据包，留下媒体流数据包；

根据媒体流数据包中的TCP/UDP端口号反向查找应用程序进程信息；

根据当前媒体流数据包的应用层协议信息、进程信息，查询预制的Qos等级表，确定该媒体流数据包对应的应用的Qos标记等级；

根据媒体流数据包的TCP/UDP端口号、Qos标记等级为该媒体流数据包对应的应用打上合适的Qos标记。

2.根据权利要求1所述的方法，其特征在于，所述识别数据包的应用层协议类型为通过查找数据包中协议关键字的方式来实现。

3.根据权利要求1所述的方法，其特征在于，所述TCP/UDP端口号为Socket端口号，通过传输驱动程序TDI接口查询的方式反向查找应用程序进程信息。

4.根据权利要求1所述的方法，其特征在于，所述确定媒体流数据包对应的应用的Qos标记等级的判断依据是该媒体流数据包对应的应用需要使用的优先级，或者是该媒体流数据包的进程信息特征对应的软件开发商信息。

5.根据权利要求1所述的方法，其特征在于，所述查询预制的Qos等级表过程中如果没有找到匹配的Qos等级，则直接透明转发该媒体流数据包。

6.根据权利要求1所述的方法，其特征在于，所述本地为用户个人电脑PC或宽带接入服务器BAS设备；

如果为用户PC，则该方法还包括：

用户PC在通信最初期时，还需要执行对Qos标记合法性认证的算法，依据该算法计算结果确定用户数据包的Qos标记。

7.根据权利要求6所述的方法，其特征在于，所述对Qos标记合法性认证的算法包括：

用户PC获得IP地址；

将IP地址的每个字节除以一个数，然后取余作为包的Qos值发送给BAS设备，BAS设备判断在用户连接建立以后获得的用户实际数据包中的前n个包的Qos值必须与碰撞序列相同，则BAS设备认可以后用户发送包的Qos标记，否则一律忽略用户Qos标记；

根据这个数列将IP地址转化为唯一的由n个1-7的数组成的数列，用这n个数来标记用户最先发送的n个数据包的Qos值；

其中，n为碰撞序列的长度，标记的Qos是802.1p中的前3个bit位，作为算法的除数必须不能被0-255中的任意数整除；同时，其余数不能大于7。

8.根据权利要求7所述的方法，其特征在于，所述碰撞序列的长度n为4。

9.一种细分网络应用服务质量的系统，其特征在于，包括：

总体控制模块，用于完成操作系统关联功能、各子模块的调度功能、系统管理功能；

包过滤模块，用于拦截获取经过本地的上层用户应用软件的所有数据包；

包分析模块，用于分析包过滤模块捕获的数据包，从中甄别出该数据包使用的上层应用协议类型和使用的TCP/UDP端口号，根据识别到的TCP/UDP端口号反向查询应用程序进程信息的功能；

Qos查询表模块，用于提供Qos等级与具体应用的TCP/UDP端口号、Qos标记等级的对应查询功能，维护Qos查询表；

Qos标记模块，根据包分析模块分析的TCP/UDP端口号、Qos标记等级，在Qos查询表中对该应用的Qos等级进行查询，根据查询的结果对该数据包的Qos进行标记。

10.根据权利要求9所述的系统，其特征在于，该系统设置在用户个人电脑PC或宽带接入服务器BAS设备中。

11.根据权利要求10所述的系统，其特征在于，该系统设置在用户PC中时，所述Qos标记模块，还用于执行对Qos标记合法性认证的算法，依据该算法计算结果确定用户数据包的Qos标记。

12.根据权利要求11所述的系统，其特征在于，所述Qos标记模块执行对Qos标记合法性认证的算法包括：

用户PC获得IP地址；

将IP地址的每个字节除以一个数，然后取余作为包的Qos值发送给BAS设备，BAS设备判断在用户连接建立以后获得的用户实际数据包中的前n个包的Qos值必须与碰撞序列相同，则BAS设备认可以后用户发送包的Qos标记，否则一律忽略用户Qos标记；

根据这个数列将IP地址转化为唯一的由n个1-7的数组成的数列，用这n个数来标记用户最先发送的n个数据包的Qos值；

其中，n为碰撞序列的长度，标记的Qos是802.1p中的前3个bit位，作为算法的除数必须不能被0-255中的任意数整除；同时，其余数不能大于7。

Images