WO2014094432A1

WO2014094432A1 - 深度报文检测结果扩散方法及装置

Info

Publication number: WO2014094432A1
Application number: PCT/CN2013/080594
Authority: WO
Inventors: 周英伟
Original assignee: 华为技术有限公司
Priority date: 2012-12-19
Filing date: 2013-08-01
Publication date: 2014-06-26
Also published as: CA2838215C; CN103067199A; US9497089B2; CA2838215A1; US20140173104A1; CN103067199B

Abstract

本发明实施例公开了一种深度报文检测结果扩散方法，本发明实施例还公开了一种识别功能网元和扩散网元。其中所述方法包括：识别功能网元接收IP网络流中的数据报文；对数据报文进行识别，如果识别成功，则将识别得到的第一识别结果保存至识别功能网元的本地流表，并将第一识别结果插入数据报文的头部扩展字段；如果无法识别，则将第二识别结果插入数据报文的头部扩展字段，第二识别结果为识别功能网元创建本地流表时的识别结果初始值；当根据业务配置确定无需丢弃数据报文时，向第一下游设备发送携带有第一识别结果或第二识别结果的数据报文。采用本发明，无需所有网元均进行DPI业务识别，降低了整体网络执行DPI的时延，降低了维护成本。

Description

深度^ L检测结果扩散方法及装置

技术领域

本发明涉及通信领域，尤其涉及一种深度报文检测结果扩散方法及装置。背景技术

深度报文检测（英文全称为 Deep Packet Inspection, 筒称为 DPI )技术能够识别出 IP网络流的具体 7层协议、应用等，例如：可以识别出当前网络流为 edonkey (电驴），且属于 P2P类的应用。 DPI主要用于加强现有网络流量的精细化运营，运营商可以基于相关数据做协议软件使用情况分析、流量优化、安全管理、内容计费等业务，为达到这一目的，运营商会在网络上各网元部署 DPI功能，形成识别功能网元，而识别功能网元的 DPI功能主要包括协议应用识别能力，报文解析能力。

现有技术中，在网络中的每一个做 DPI 业务的网元均部署有识别功能模块。 IP 网络流中的数据报文需要在网络中的每个网元完成识别，然后网元在本机内部返回识别结果并基于识别结果进行后续相关业务处理，这就导致整体网络执行 DPI业务的时延较大。发明内容

本发明实施例所要解决的技术问题在于，提供一种深度报文检测结果扩散方法及装置，以降低整体网络中执行 DPI业务的时延。

为了解决上述技术问题，第一方面，本发明实施例提供了一种深度报文检测（DPI )识别结果扩散方法，包括：识别功能网元接收网络流中的数据报文；

对所述数据报文进行 DPI识别，如果成功识别所述数据报文，则将识别得到的第一识别结果保存至所述识别功能网元的本地流表，并将所述第一识别结果插入所述数据报文的头部扩展字段；如果无法识别所述数据报文，则将第二识别结果插入所述数据报文的头部扩展字段，所述第二识别结果为所述识别功能网元创建所述本地流表时的识别结果初始值；

向第一下游设备发送携带有所述第一识别结果或所述第二识别结果的所述数据报文。

在第一方面的第一种可能的实现方式中，所述数据报文为 IPv4报文或 IPv6报文；当所述数据报文为 IPv4报文时，所述将所述第一识别结果插入所述数据报文的头部扩展字段，包括：将所述第一识别结果插入所述数据报文头部的选项字段；当所述数据报文为 IPv6报文时，所述将所述第一识别结果插入所述数据报文的头部扩展字段，包括：将所述第一识别结果插入所述数据报文的扩展头部字段。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述数据报文的头部扩展字段还包含第一识别状态码，用于向所述第一下游设备指示所述数据报文是否携带有所述第一识别结果或第二识别结果。

结合第一方面或第一方面的第一种可能的实现方式，在第三种可能的实现方式中，当所述数据报文是所述网络流中第一个进入所述识别功能网元进行识别的数据包时，则在将所述第二识别结果插入所述数据报文的头部扩展字段之后，所述方法还包括：

在所述数据报文的头部扩展字段插入识别首包标记，以使所述第一下游设备在接收到携带有首包标记的所述数据报文后，向所述识别功能网元发送携带有所述第一识别结果的响应报文；所述响应报文还包含有服务器或用户设备在接收到所述数据报文后生成响应消息；所述首包标记用于标识所述网络流中第一个进入所述识别功能网元进行识别的数据包。

接收并解析所述响应报文，得到所述第一识别结果，并将所述第一识别结果保存至所述本地流表；

将所述响应报文携带的所述第一识别结果删除后向第二下游设备发送。结合所述第一方面，或所述第一方面的第一、二或第三种可能的实现方式，还提供了所述第一方面的第四种可能的实现方式：所述本地流表中设置有第一反向识别结果携带标记，用于指示是否在接收到的响应报文的头部扩展字段插入所述第一识别结果；所述第一反向识别结果携带标记在所述识别功能网元成功识别所述数据报文时置为真；

在向所述第一下游设备发送携带有所述第一识别结果的数据报文之后，所述方法还包括：

接收所述服务器或用户设备在接收到所述数据报文之后发出的响应报文；所述响应_¾文由所述第一下游设备转发至所述识别功能网元；

判断所述第一反向识别结果携带标记是否为真，如果是，则将所述第一识别结果插入所述响应报文的头部扩展字段，并将所述第一反向识别结果携带标记置为假，然后向第二下游设备发送携带有所述第一识别结果的响应报文。结合所述第一方面，或所述第一方面的第一、二或第三种可能的实现方式，还提供了所述第一方面的第五种可能的实现方式：所述本地流表中设置有第二反向识别结果携带标记，用于指示所述识别功能网元是否在接收到所述数据报文之后接收的下一个数据报文的头部扩展字段插入所述第一识别结果，所述下一个数据报文属于所述网络流；

在向所述第一下游设备发送携带有所述第一识别结果的数据报文后，所述方法还包括：

接收响应报文，所述响应报文由所述第一下游设备发送至所述识别功能网元，所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有识别结果请求信息，所述响应消息由服务器或用户设备在接收所述数据报文后生成，所述识别结果请求信息用于向所述识别功能网元请求所述第一识别结果；解析所述响应报文，将所述第二反向识别结果携带标记置为真，将所述响应报文携带的所述识别结果请求信息删除后向第二下游设备发送，其中，所述响应报文的头部扩展字段还包含第三识别状态码，用于向所述识别功能网元指示所述响应报文携带有所述识别结果请求信息；

接收所述网络流中的下一个数据报文，判断所述第二反向识别结果携带标记是否为真，如果是，则将所述第二反向识别结果携带标记置为假，并将所述第一识别结果插入所述下一个数据报文的头部扩展字段，然后将所述下一个数据报文发送至所述第一下游设备。

结合所述第一方面，或所述第一方面的第一、二或第三种可能的实现方式，还提供了所述第一方面的第六种可能的实现方式：

如果无法识别所述数据报文，则在向所述第一下游设备发送携带有所述第二识别结果的数据报文之后，所述方法还包括：

接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元；

对所述响应报文进行识别，得到所述第一识别结果，将所述第一识别结果保存至所述本地流表，并将所述第一识别结果插入所述识别功能网元接收的下一个数据报文的头部扩展字段，所述下一个数据报文属于所述网络流。第二方面，提供一种识别功能网元，包括：

第一接收单元，用于接收网络流中的数据报文；

第一识别单元，用于对所述数据报文进行深度报文检测（DPI )识别；第一处理单元，用于在所述第一识别单元成功识别所述数据报文时，将识别得到的第一识别结果保存至所述识别功能网元的本地流表，并将所述第一识别结果插入所述数据报文的头部扩展字段；在所述第一识别单元无法识别所述数据报文时，将第二识别结果插入所述数据报文的头部扩展字段，所述第二识别结果为所述识别功能网元创建所述本地流表时的识别结果初始值；

第一发送单元，用于向第一下游设备发送携带有所述第一识别结果或所述第二识别结果的所述数据报文。

在第二方面的第一种可能的实现方式中，所述第一处理单元还用于在所述数据报文的头部扩展字段插入第一识别状态码，用于向所述第一下游设备指示所述数据报文携带有所述第一识别结果或第二识别结果。

结合第二方面，或第二方面的第一种可能的实现方式，在第二种可能的实现方式中，如果所述数据报文是所述识别功能网元接收到的所述网络流中的第一个数据包，则所述第一处理单元还用于，在将所述第二识别结果插入所述数据报文的头部扩展字段之后，在所述数据报文的头部扩展字段插入识别首包标记，以使所述第一下游设备在接收到携带有首包标记的所述数据报文后，向所述识别功能网元发送携带有所述第一识别结果的响应报文；所述响应报文还包含有服务器或用户设备在接收到所述数据报文后生成响应消息；所述首包标记用于标识所述网络流中第一个进入所述识别功能网元进行识别的数据包。

结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，所述网元还包括：

第二接收单元，用于在所述第一发送单元向所述第一下游设备发送携带有所述第二识别结果和识别首包标记的数据报文之后，接收响应报文，所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有所述第一识别结果，所述响应消息由服务器或用户设备在接收到所述数据报文后生成；第二处理单元，用于解析所述响应报文以将所述第一识别结果保存至所述本地流表，然后将所述响应报文携带的所述第一识别结果删除；

第二发送单元，用于向第二下游设备发送所述第二处理单元处理后的响应报文。

结合第二方面，或第二方面的第一种可能的实现方式，在第四种可能的实现方式中，所述网元还包括：

第一配置单元，用于在所述本地流表中配置第一反向识别结果携带标记，并在所述第一识别单元成功识别所述数据报文时，将所述第一反向识别结果携带标记置为真；所述第一反向识别结果携带标记用于指示是否在接收到的响应报文的头部扩展字段插入所述第一识别结果，其中，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元；第三接收单元，用于在所述第一发送单元向所述第一下游设备发送携带有所述第一识别结果的数据报文后，接收所述响应报文；

第三处理单元，用于在所述第三接收单元接收到所述响应报文时，判断所述第一反向识别结果携带标记是否为真，如果是，则将所述第一识别结果插入所述响应报文的头部扩展字段，并将所述第一反向识别结果携带标记置为假；第三发送单元，用于向所述第二下游设备发送插入所述第一识别结果后的所述响应 4艮文。

结合第二方面，或第二方面的第一种可能的实现方式，在第五种可能的实现方式中，所述网元还包括：

第二配置单元，用于在所述本地流表中配置第二反向识别结果携带标记，并在第四接收单元接收到响应报文时，将所述第二反向识别结果携带标记置为真；所述第二反向识别结果携带标记用于指示是否在所述识别功能网元接收的下一个数据报文的头部扩展字段插入所述第一识别结果；

第四接收单元，用于在所述第一发送单元向所述第一下游设备发送携带有所述第一识别结果的数据报文后，接收响应报文，所述响应报文由所述第一下游设备发送至所述识别功能网元，所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有识别结果请求信息，所述响应消息由服务器或用户设备在接收所述数据报文或所述网络流的其他数据报文后生成，所述识别结果请求信息用于向所述识别功能网元请求所述第一识别结果；

第四处理单元，用于将所述响应报文携带的所述识别结果请求信息删除；第四发送单元，用于向第二下游设备发送删除识别结果请求信息后的所述响应 4艮文；第五接收单元，用于接收下一个数据报文；所述下一个数据报文是所述识别功能网元在接收到所述数据报文之后，接收到的下一个数据报文，且所述下一个数据报文属于所述网络流；

第五处理单元，用于判断所述第二反向识别结果携带标记是否为真，如果是则将所述第一识别结果插入所述下一个数据报文的头部扩展字段；

第五发送单元，用于将携带有所述第一识别结果的所述下一个数据报文发送至所述第一下游设备。

结合第二方面，或第二方面的第一种可能的实现方式，在第六种可能的实现方式中，所述网元还包括：

第六接收单元，用于在所述第一发送单元向所述第一下游设备发送携带有所述第二识别结果的数据报文后，接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元；

第二识别单元，用于对所述响应报文进行识别；

第六处理单元，用于在所述第二识别单元成功识别所述响应报文后获取第一识别结果，将所述第一识别结果保存至所述本地流表，并将所述第一识别结果插入所述识别功能网元接收的下一个数据报文的头部扩展字段，所述下一个数据报文属于所述网络流。

实施本发明实施例，具有如下有益效果：

1 )识别功能网元对接收到的报文进行业务识别并将识别结果插入报文的头部扩展字段进行发送，从而使其他网元无需进行报文识别即可获取识别结果，降低了整体网络进行 DPI的时延； 2 ) 由于仅识别功能网元对报文进行识别，识别数据库的更新只涉及识别功能网元，降低了维护成本；

3 ) 当识别功能网元或扩散网元的本地流表保存的第一识别结果消失（例如，网元重启或故障造成原来保存的所述第一识别结果消失）时，可以在报文中插入相应信息以向相应网元请求第一识别结果，无需再次进行识别，避免了再次进行识别可能出现的无法完成识别的现象。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1 是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图；

图 2是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图；

图 3 是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图；

图 4是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图；

图 5 是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图；

图 6是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图；

图 7是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图；

图 8A是根据本发明一种实施例的 IPv4报文头部的选项字段的格式示意图；

图 8B是根据本发明一种实施例的 IPv6报文头部的扩展报头字段的格式示意图；

图 9A是根据本发明一种实施例的识别功能网元的结构示意图；图 9B是根据本发明一种实施例的识别功能网元的结构示意图；图 9C是根据本发明一种实施例的识别功能网元的结构示意图；图 10是根据本发明一种实施例的识别功能网元的结构示意图；图 11是根据本发明一种实施例的识别功能网元的结构示意图；图 12是根据本发明一种实施例的识别功能网元的结构示意图；图 13A是根据本发明一种实施例的扩散网元结构示意图；

图 13B是根据本发明一种实施例的扩散网元的第一处理单元的结构示意图；

图 14是根据本发明一种实施例的扩散网元及其第一处理单元的结构示意图；

图 15是图 13B所示实施例中的第一处理单元的另一种结构示意图；图 16是根据本发明一种实施例的扩散网元的结构示意图；

图 17是根据本发明一种实施例的扩散网元的结构示意图；

图 18是根据本发明一种实施例的识别功能网元的结构示意图；图 19是根据本发明一种实施例的扩散网元的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图 1 是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图，参照图 1 , 该方法包括： 100: 识别功能网元接收网络流中的数据报文。

102: 对所述数据报文进行识别，如果成功识别所述数据报文，则将识别得到的第一识别结果保存至所述识别功能网元的本地流表，并将所述第一识别结果插入所述数据报文的头部扩展字段；如果无法识别所述数据报文，则将第二识别结果插入所述数据报文的头部扩展字段，所述第二识别结果为所述识别功能网元创建所述本地流表时的识别结果初始值。

104: 向第一下游设备发送携带有所述第一识别结果或第二识别结果的数据报文。

可选的，在本实施例的一种实现方式中，所述的网络流具体可以为 IP网络流，所述数据报文包括： IPv4报文或 IPv6报文。当所述数据报文为 IPv4报文时，所述头部扩展字段为所述 IPv4报文头部的选项字段，当所述数据报文为 IPv6报文时，所述头部扩展字段为所述 IPv6报文头部的扩展报头字段。

可选的，在本实施例的一种实现方式中，所述数据报文的头部扩展字段还包含第一识别状态码，用于向所述第一下游设备指示所述数据报文携带有所述第一识别结果或第二识别结果。

其中，在 102中，每一次将识别结果信息插入所述数据报文的头部扩展字段后，调整 IP报文头长度、 IP报文长度以及校验和（下文筒称为 "做适应性调整" ）。

本实施例仅由识别功能网元对数据报文进行识别，并将识别结果信息插入数据报文的头部扩展字段以进行转发，无需在网络中的所有网元均进行业务识另¹ J , 降低了整体网络中 DPI业务导致的时延。此外，由于仅需要识别功能网元对报文进行识别，识别数据库的更新只涉及识别功能网元，降低了维护成本。可选的，在本实施例的一种实现方式中，如果所述数据报文是所述 IP网络流中第一个进入所述识别功能网元进行识别的数据包，则在成功识别或无法识别所述数据报文时，还在所述数据报文的头部扩展字段插入识别首包标记，用于标识所述 IP网络流中第一个进入所述识别功能网元进行识别的数据包。示例性的，如下情况的数据报文可以插入所述识别首包标记：识别功能网元第一次接收到的属于所述 IP网络流的数据报文；或，识别功能网元由于重启或故障导致本地流表不再保存有对所述 IP网络流的第一识别结果，之后首次接收到的属于所述 IP网络流的数据报文。

进一步可选的，包含所述第二识别结果和识别首包标记的数据报文可以用于向扩散网元（所述扩散网元可以是所述第一下游设备，也可以是所述第一下游设备的下游设备）请求所述第一识别结果。例如，在扩散网元的本地流表中保存有所述第一识别结果的情况下，如果所述识别功能网元无法识别所述数据报文，则在向所述第一下游设备发送携带有所述第二识别结果和识别首包标记的数据报文之后，所述方法还包括以下步骤：

a: 接收响应^艮文，所述响应^艮文由所述第一下游设备发送至所述识别功能网元，所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有所述第一识别结果，所述响应消息由服务器或用户设备在接收到所述数据报文后生成，所述响应^¾文用于将所述第一识别结果通知所述识别功能网元； b: 解析所述响应报文以将所述第一识别结果保存至所述本地流表； c: 将所述响应报文携带的所述第一识别结果删除后向第二下游设备发送。其中，可选的，所述响应报文的头部扩展字段中还包含第二识别状态码，用于向所述识别功能网元指示所述响应报文携带有所述第一识别结果。在本实现方式中，如果所述识别功能网元由于重启或故障导致其原本保存的第一识别结果消失，可以不对接收到的所述数据报文进行识别（或者，可以在无法识别所述数据报文的情况下），而从保存有所述第一识别结果的扩散网元获取所述第一识别结果，保证了所述识别功能网元能够获取所述第一识别结果。

可选的，在本实施例的一种实现方式中，所述本地流表中设置有第一反向识别结果携带标记，用于指示所述识别功能网元是否在之后接收到的响应报文的头部扩展字段插入所述第一识别结果，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元，所述第一反向识别结果携带标记在所述识别功能网元成功识别所述数据报文时置为真；在向所述第一下游设备发送携带有所述第一识别结果的数据报文之后，所述方法还包括以下步骤：

a: 接收所述响应报文； b: 判断所述第一反向识别结果携带标记是否为真，如果是，则将所述第一识别结果插入所述响应报文的头部扩展字段，将所述第一反向识别结果携带标记置为假，然后向第二下游设备发送携带有所述第一识别结果的响应报文。其中，可选的，在将所述第一识别结果插入所述响应报文的头部扩展字段时，还将第四识别状态码插入所述响应报文的头部扩展字段，用于向所述第二下游设备指示所述响应报文携带所述第一识别结果。

可选的，在本实施例的一种实现方式中，所述本地流表中设置有第二反向识别结果携带标记，用于指示所述识别功能网元是否在接收到所述数据报文之后接收的下一个数据报文的头部扩展字段插入所述第一识别结果，所述下一个数据报文属于所述 IP网络流；在向所述第一下游设备发送携带有所述第一识别结果的数据报文后，所述方法还包括以下步骤：

a: 接收响应报文，所述响应报文由所述第一下游设备发送至所述识别功能网元，所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有识别结果请求信息，所述响应消息由服务器或用户设备在接收所述数据报文或所述 IP网络流的后续数据报文后生成，所述识别结果请求信息用于向所述识别功能网元请求所述第一识别结果； b:解析所述响应报文，发现所述响应报文的头部扩展字段携带有所述识别结果请求信息，则将所述第二反向识别结果携带标记置为真，将所述响应报文携带的所述识别结果请求信息删除后向第二下游设备发送，其中，所述响应报文的头部扩展字段还包含第三识别状态码，用于向所述识别功能网元指示所述响应报文携带有所述识别结果请求信息； c: 接收所述网络流中的下一个数据报文，判断所述第二反向识别结果携带标记是否为真，如果是，则将所述第二反向识别结果携带标记置为假，将所述第一识别结果插入所述下一个数据报文的头部扩展字段，然后在根据业务配置确定无需丢弃携带有所述第一识别结果的所述下一个数据报文时，将其发送至所述第一下游设备。

可选的，在本实施例的一种实现方式中，如果无法识别所述数据报文，则在向所述第一下游设备发送携带有所述第二识别结果的数据报文之后，所述方法还包括以下步骤：

a: 接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元； b:对所述响应报文进行识别； c: 如果成功识别所述响应^艮文从而获取所述第一识别结果，则将所述第一识别结果保存至所述本地流表，并将所述第一识别结果插入所述识别功能网元接收的下一个数据报文的头部扩展字段，所述下一个数据报文属于所述 IP网络流； d: 如果无法识别所述响应报文，则对所述下一个数据报文进行识别。

进一步可选的，所述识别功能网元的本地流表中设置有第三反向识别结果携带标记，用于所述识别功能网元根据所述第三反向识别结果确定是否在所述下一个数据报文的头部扩展字段插入所述第一识别结果。此时，本实现方式中的步骤 c可以通过以下方式实现：

当所述识别功能网元成功识别所述响应报文时，将所述第三反向识别结果携带标记置为真；向第二下游设备转发所述响应报文，或者将所述第一识别结果插入所述响应报文的头部扩展字段，然后再向所述第二下游设备发送；接收所述下一个数据报文，判断所述第三反向识别结果携带标记是否为真，如果是，则将所述第一识别结果插入所述下一个数据报文的头部扩展字段，将所述第三反向识别结果携带标记置为假，并在根据业务配置确定无需丢弃携带有所述第一识别结果的所述下一个数据报文时，将其发送至所述第一下游设备。其中，可选的，在将所述第一识别结果插入所述响应报文的头部扩展字段时，还将第四识别状态码插入所述响应报文的头部扩展字段，用于向所述第二下游设备指示所述响应报文携带所述第一识别结果。

对于本实施例中上述各种实现方式中的第一、第二、第三和第四识别状态码，示例性的，请参照图 7A和图 7B中的说明。本领域技术人员应当理解，所述第一、第四识别状态码可以是同一个识别状态码在不同场景中的应用。此夕卜，本领域技术人员也应当理解，在上述各个实施例中提及的第一、第二和第三反向识别结果标记可以是同一个标记在不同场景中的应用。图 2是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图，参照图 2, 该方法包括：

200: 扩散网元接收网络流中的数据报文。

202: 解析所述数据报文的头部扩展字段以确定所述数据报文的头部扩展字段携带的插入信息。

204: 根据所述插入信息进行所述扩散网元的本地流表管理。

206: 当根据业务配置确定无需丢弃所述数据报文时，进行报文转发处理，包括：向第一下游设备发送所述数据报文以便所述第一下游设备根据所述插入信息进行流表管理，或将所述数据报文携带的所述插入信息删除后向所述第一下游设备发送。

可选的，所述数据报文包括： IPv4报文或 IPv6报文。当所述数据报文为 IPv4报文时，所述头部扩展字段为所述 IPv4报文头部的选项字段，当所述数据报文为 IPv6报文时，所述头部扩展字段为所述 IPv6报文头部的扩展报头字段。

本实施例中，扩散网元仅需要解析识别功能网元发送的数据报文的头部扩展字段以获取识别结果信息和执行报文转发处理，无需对数据报文进行识别，降低了整体网络中 DPI业务导致的时延。

可选的，在本实施例的一种实现方式中， 204包括以下几种情况：

1: 如果所述插入信息包含第一识别结果，或，包含所述第一识别结果和第一识别状态码，则将所述第一识别结果保存至所述本地流表。

2: 如果所述插入信息包含第二识别结果，或，包含所述第二识别结果和第一识别状态码，则创建或刷新所述本地流表而不保存所述第二识别结果（即：不将所述插入信息携带的第二识别结果保存至所述本地流表，并且该操作并不对所述扩散网元创建所述本地流表产生影响）。

3: 如果所述插入信息包含识别结果请求信息，或，包含所述识别结果请求信息和第三识别状态码，则创建或刷新所述本地流表。

其中：所述第一识别结果是所述数据报文成功完成深度报文检测识别时的识别结果，所述第二识别结果是所述扩散网元创建所述本地流表时的识别结果初始值，所述第一识别状态码用于向所述扩散网元指示所述数据报文携带所述第一识别结果或第二识别结果，所述第三识别状态码用于向第二下游设备指示所述数据^艮文携带所述识别结果请求信息，所述识别结果请求信息用于向所述第二下游设备请求所述第一识别结果。可选的，所述第二下游设备是识别功能网元。

进一步可选的，当所述插入信息包含所述第一识别结果或第二识别结果时，所述插入信息还包含：识别首包标记，用于标识所述 IP网络流中第一个进行深度报文检测识别的数据报文。

可选的，在本实施例的一种实现方式中，所述本地流表中设置有第四反向识别结果携带标记，用于所述扩散网元根据所述第四反向识别结果携带标记确定是否将所述第一识别结果通知所述第二下游设备。

当所述插入信息包含所述识别首包标记和第二识别结果时， 204还可以包括以下步骤：确定所述本地流表是否保存有所述第一识别结果，如果是，则将所述第四反向识别结果携带标记置为真。在 206之后，所述方法还可以包括以下步骤：

a:所述识别扩散网元接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述扩散网元； b: 判断所述第四反向识别结果携带标记是否为真，如果是则将所述第一识别结果插入所述响应报文的头部扩展字段，将所述第四反向识别结果携带标记置为假； c:向所述第二下游设备发送携带有所述第一识别结果的响应报文，以将所述第一识别结果通知所述第二下游设备。

进一步可选的，在本实现方式的步骤 b中，当所述第一识别结果插入所述响应报文的头部扩展字段时，还将第二识别状态码插入所述响应报文的头部扩展字段，以向所述第二下游设备指示所述响应报文携带有所述第一识别结果。

在本实现方式中，扩散网元可以在接收携带有所述第二识别结果和识别首包标记的数据报文后，在本地流表保存有所述第一识别结果的情况下，将所述第一识别结果通知所述第二下游设备（例如：识别功能网元），避免出现所述问题。可选的，在本实施例的一种实现方式中，所述本地流表中设置有识别结果等待报文计数，用于计算所述扩散网元在获取所述第一识别结果之前所接收到的数据报文的数目。 204还可以包括以下步骤：在所述本地流表未保存有所述第一识别结果的情况下，如果所述插入信息不包含所述第一识别结果，或者所述插入信息包含所述第一识别结果但却未将所述第一识别结果保存至所述本地流表，则判断所述识别结果等待报文计数是否超过预设阈值，如果是，则向所述第二下游设备请求所述第一识别结果。

进一步可选的，可以通过以下方式向所述第二下游设备请求所述第一识别结果：

在所述本地流表中设置第五反向识别结果携带标记，用于所述扩散网元根据所述第五反向识别结果携带标记确定是否向所述第二下游设备请求所述第一识别结果。在 204中，如果判断所述识别结果等待报文计数超过预设阈值，则将所述第五反向识别结果携带标记置为真。然后，在 206后，所述方法还包括以下步骤：

a: 接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述扩散网元； b:判断所述第五反向识别结果携带标记为真，则将所述识别结果请求信息插入所述响应报文的头部扩展字段，将所述第五反向识别结果携带标记置为假，将所述识别结果等待报文计数清零； _c:向所述第二下游设备发送携带有所述识别结果请求信息的响应报文，以向所述第二下游设备请求所述第一识别结果，以便所述第二下游设备在接收到携带有所述识别结果请求信息的响应报文后，在接收到属于所述 IP 网络流的下一个数据报文时，在所述下一个数据报文的头部扩展字段插入所述第一识别结果然后再发送至所述扩散网元； d:接收所述下一个数据报文并进行解析，将所述第一识别结果保存至所述本地流表从而获取所述第一识别结果。

在本实现方式中，如果扩散网元在预设阈值范围内没有获取所述第一识别结果（即：没有将所述第一识别结果保存至本地流表），则会主动发起识别结果请求，以向所述第二下游设备（例如：识别功能网元）请求所述第一识别结果。避免了所述扩散网元由于故障、配置等原因而无法获取所述第一识别结果的问题。

本领域技术人员应当理解，上述第四、第五反向识别结果携带标记可以是同一个标记在不同场景中的应用。

图 3 是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图，参照图 3, 所述方法包括：

300: 扩散网元接收响应报文，所述响应报文由第一下游设备发送至所述扩散网元，所述响应报文携带有响应信息并且所述响应报文的头部扩展字段携带有插入信息，所述响应信息由服务器或用户设备在接收 IP网络流中的数据艮文后生成。

302: 解析所述响应文的头部扩展字段以确定所述响应文的头部扩展字段携带的所述插入信息。

304: 根据所述插入信息进行所述扩散网元的本地流表管理。

306: 进行报文转发处理，包括：向第二下游设备发送所述响应报文以便所述第二下游设备根据所述插入信息进行流表管理，或将所述响应报文携带的所述插入信息删除后向所述第二下游设备发送。

可选的，在本实施例的一种实现方式中， 304包括：如果所述插入信息包含所述第一识别结果和第四识别状态码，则将所述第一识别结果保存至所述本地流表中，所述第一识别结果是所述 IP网络流成功完成深度报文检测识别时的识别结果，所述第四识别状态码用于向所述扩散网元指示所述响应报文携带有所述第一识别结果。

在本实现方式中，扩散网元能够通过解析所述响应报文的头部扩展字段从而获取所述第一识别结果。可选的，在本实施例的一种实现方式中，如果所述插入信息包含识别结果请求信息，或包含所述识别结果请求信息和第三识别状态码，则刷新所述本地流表后向所述第二下游设备转发所述响应报文；如果所述插入信息包含所述第一识别结果和第二识别状态码，则刷新所述本地流表而不保存所述第一识别结果，然后向所述第二下游设备转发所述响应报文。下面以 IPv4数据报文为例，示例性地对本发明实施例进行描述。图 4是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图，参照图 4, 该方法包括：

步骤 1：用户发起业务访问，如 HTTP业务访问。

步骤 2:识别功能网元 1完成对数据报文的识别，将获取的第一识别结果保存至本地流表并将第一识别结果插入数据报文的 IP选项字段后做适应性调整。可选的，如果所述数据报文是其所属 IP网络流中第一个进入识别功能网元 1进行识别的数据包，还可以将识别首包标记随第一识别结果插入 IP选项字段。可选的，再将第一识别结果插入数据报文的 IP选项字段时，还可以插入第一识别状态码，用于向下游网元指示该数据报文携带第一识别结果。

步骤 3:识别功能网元 1发送携带有第一识别结果的数据报文至扩散网元 2 (识别功能网元 1 ,以及扩散网元 2至扩散网元 N中的任一网元发送数据报文的前提都是：业务配置未导致数据报文被丢弃。例如，如果一个网元的业务配置为阻断或限流从而导致数据报文被丢弃，则该网元不转发当前数据报文，当前流程结束。该前提在本发明的其他实施例中同样适用，为了更清楚的描述本发明各个实施例，下文均默认为业务配置未导致数据报文丢弃）。

步骤 4:扩散网元 2进行报文转发处理。具体的，网元 2解析数据报文的 IP 选项字段，将第一识别结果保存至本地流表从而获取第一识别结果，然后执行步骤 5。

步骤 5: 扩散网元 2将携带第一识别结果的数据报文向下游设备发送。图 3中仅图示了扩散网元 2和扩散网元 N, 本领域技术人员应当理解：在网元 2和网元 N之间还可以有任意数目的扩散网元，这些网元所执行的操作可以与网元 2执行的操作相同，此处不赘述。在网元 N之后还可以有任意数目普通网元，所述普通网元无需对数据报文进行识别，也无需获取和扩散第一识别结果。

步骤 6: 扩散网元 N进行报文转发处理。具体的，将数据报文的 IP选项字段中的插入信息删除并做适应性调整，然后执行步骤 7。

可选的，在本实施例的一种实现方式中，网元 N 可以保留数据报文携带的插入信息，以为用户提供业务识别服务。

步骤 7: 发送数据报文。

在本发明的一种实施例中，如果识别功能网元无法识别当前数据报文，则可以继续对后续的数据报文进行识别。在识别功能网元完成对数据报文的识别的情况下，对于该数据报文所属 IP网络流的后续数据报文无须进行识别，可直接应用本地流表中保存的第一识别结果进行业务处理。

当然，识别功能网元可以部署在网络中的任意位置，并且识别功能网元也可能无法在一次识别中就获取第一识别结果，例如，参照图 5, 图 5是根据本发明一种实施例的深度 ^艮文检测结果扩散方法的流程示意图，该方法包括：步骤 1: 用户发起业务访问。

步骤 2: 扩散网元 1接收到数据报文，进行报文转发处理。具体的，创建或刷新流表（例如，刷新网络流的访问时间等信息），然后将数据报文发送至识别功能网元 2。

步骤 3: 识别功能网元 2对接收到的数据报文进行识别，无法识别，将第二识别结果和识别首包标记插入数据报文的 IP选项字段并做适应性调整。然后，将经过上述处理后数据报文发送至扩散网元 3。可选的，当将第二识别结果和识别首包标记插入数据报文的 IP选项字段时，还可以插入第一识别状态码，用于向下游网元指示数据报文携带有第二识别结果。

步骤 4: 扩散网元 3进行报文转发处理。具体的，网元 3解析数据报文的 IP选项字段，发现只有识别首包标记且识别结果为初始值（即：第二识别结果），则刷新或创建流表而不保存识别结果，然后转发数据报文至下游网元。

图 5中仅图示了扩散网元 1、扩散网元 3和扩散网元 N, 本领域技术人员应当理解，在网元 1和网元 2之间，以及在网元 3和网元 N之间还可以有任意数目的扩散网元。在网元 3和网元 N之间的网元在上行方向和下行方向对报文所执行的操作可以与网元 3执行的操作相同，此处不赘述。

步骤 5: 扩散网元 N进行报文转发处理。具体的，解析数据报文的 IP选项字段，发现只有识别首包标记，识别结果为初始默认值，则创建或刷新流表而不保存识别结果。将数据报文的 IP选项字段中的插入信息删除并做适应性调整，然后将数据报文发送至对端用户或服务器。

步骤 6: 扩散网元 N接收到对端用户或服务器发送的响应报文，进行报文转发处理。具体的，解析该响应报文的 IP选项字段发现不含有插入信息，则只刷新流表，并转发响应报文至扩散网元 3。

步骤 7: 请参照步骤 6。

步骤 8: 识别功能网元 2对响应报文进行识别并且成功识别从而获取第一识别结果，进行报文处理和流表管理。具体的，将第一识别结果保存至本地流表，并将本地流表中预定义的反向识别结果携带标记 (此处的反向识别结果携带标记可以是：上行识别结果携带标记)置为真，将第一识别结果插入响应报文的 IP选项字段并 #文适应性调整，然后向下游发送响应文。可选的，在将第一识别结果插入响应报文的 IP选项字段时，还可以插入第四识别状态码，用于向下游的扩散网元指示响应报文携带有第一识别结果。

步骤 9: 扩散网元 1接收到携带第一识别结果的响应报文，进行报文转发处理。具体的，解析数据报文的 IP选项字段，发现其携带有第一识别结果，则将第一识别结果保存至本地流表。然后，可选的，网元 1直接转发响应报文至用户设备；或者，网元 1将响应报文中的插入信息删除并做适应性调整后发送至用户设备。

步骤 10: 扩散网元 1接收到同一 IP网络流的后续业务报文，进行报文转发处理。具体的，判断本地流表保存有对当前数据报文所属 IP网络流的第一识别结果，则刷新流表，根据第一识别结果进行业务处理以及发送数据报文。

步骤 11: 识别功能网元 2接收到数据报文，不进行识别，进行报文处理和流表管理。具体的，判断所述反向识别结果携带标记为真，则将第一识别结果插入数据报文的 IP选项字段并做适应性调整，将所述反向识别结果携带标记置为假，然后发送经过上述处理的数据报文。可选的，在将第一识别结果插入数据报文的 IP选项字段时，还可以插入第一识别状态码。

之后，网元 3和网元 N所执行的操作请参照图 3所示实施例中的网元 2 和网元 N执行的操作，此处不赘述。

本实施例通过在本地流表预定义反向识别携带标记，以便在成功识别响应报文后，将第一识别结果插入之后接收到的下一个数据报文的 IP选项字段，实现了第一识别结果的快速扩散。

在本发明的另一种实施例中，参照图 5, 假设网络中没有扩散网元 1 , 识别功能网元 2直接面向用户。在这种情况下，在步骤 8 中，识别功能网元 2 进行报文处理和流表管理包括：将获取的第一识别结果保存至本地流表，将本地流表中预定义的反向识别结果携带标记置为真，然后可选的，网元 2转发响应 4艮文，或者，网元 2将第一识别结果插入响应文的 IP选项字段并 #文适应性调整后发送响应报文给用户设备。其他网元所执行的操作保持不变。

在本发明的再一种实施例中，参照图 5, 如果在步骤 8中，识别功能网元

2无法识别响应报文，则识别功能网元 2在步骤 11 中，对接收到的数据报文进行识别。

图 6是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图，参照图 6, 该方法包括：

600: 识别功能网元接收到 IP网络流中的数据报文并进行识别，如果无法识别则执行 601及其后续步骤，否则执行 606及其后续步骤。

601 : 识别功能网元进行文转发处理。具体的，将第二识别结果插入数据报文的 IP选项字段并做适应性调整，然后进行后续业务处理（包括阻断、限流、计费等业务，本发明对此不做限制）。其中，如果识别功能网元接收到数据报文属于以下情况，则数据报文的 IP选项字段还插入有识别首包标记（该标记用于标识接收到的数据报文所属 IP网络流中第一个进入识别功能网元进行识别的数据包）： 1、识别功能网元第一次接收到属于所述 IP网络流的数据报文； 2、识别功能网元由于重启或故障导致本地流表不再保存有对所述 IP网络流的第一识别结果，之后首次接收到属于所述 IP网络流的数据报文。

602: 识别功能网元下游的各扩散网元接收到数据报文，进行报文解析。如果解析结果不满足第一条件，则执行 603; 如果解析结果满足第一条件却不满足第二条件，则执行 604; 如果解析结果同时满足第一条件和第二条件，则执行 605。

其中，第一条件为：解析数据报文的 IP选项字段，确定其包含第二识别结果和识别首包标记。第二条件为：当前进行数据报文解析的扩散网元的本地流表中保存有第一识别结果。

603: 不满足第一条件的扩散网元进行报文转发处理。

例如，各下游网元中的当前扩散网元接收到数据报文，该数据报文仅包含第二识别结果，则刷新或创建流表，然后向下游网元转发该数据报文，或者将该数据报文中的插入信息删除后向下游网元发送；再例如，各下游网元中的当前扩散网元接收到数据报文，该数据报文不包含插入信息，则向下游转发该数据报文。

其中，如果当前扩散网元是面向用户 /服务器的网元，之后的后续处理步骤可以参照图 5所示实施例，由识别功能网元对响应报文进行识别。如果完成对响应报文的识别则执行图 5所示实施例的相应步骤；如果未完成对响应报文的识别，则继续对后续接收的数据报文进行识别，依此类推。

604: 满足第一条件而不满足第二条件的扩散网元进行报文转发处理。例如，下游的当前扩散网元接收到数据报文，该数据报文仅包含第二识别结果和识别首包标记，如果当前扩散网元没有本地流表（例如：当前网元重启导致其本地流表消失），则创建流表，然后转发数据报文，或者将数据报文中的插入信息删除后发送；如果当前网元的本地流表中未保存第一识别结果，则进行流表刷新（例如，刷新当前 IP网络流的访问时间 )后转发数据报文，或者将数据报文中的插入信息删除后发送。

其中，如果当前扩散网元是面向服务器 /用户的网元，之后的处理步骤与上述 603的后续处理步骤相同，此处不再赘述。

605: 满足第一条件和第二条件的下游网元进行报文转发处理。在这种情况下，当前扩散网元将数据报文中的插入信息认为是识别功能网元向其请求第一识别结果。所以，当前扩散网元将数据报文的 IP选项字段中的插入信息删除并做适应性调整后向下游网元发送处理后的数据报文（或者，转发携带有插入信息的数据报文），并将第一识别结果插入之后接收到的响应报文的 IP选项字段。可选的，在将第一识别结果插入之后接收到的响应报文的 IP选项字段时，还可以插入第二识别状态码，用于向识别功能网元指示该响应报文携带有第一识别结果。具体的，可以通过以下步骤实现：

在当前扩散网元的本地流表中设置有反向识别结果携带标记（此处的反向识别结果携带标记可以是：下行识别结果携带标记）；当前扩散网元确定接收到的数据报文携带有第二识别结果和识别首包标记，并且本地流表保存有第一识别结果，则将反向识别结果携带标记置为真，删除数据报文的 IP选项字段中的插入信息并做适应性调整后进行报文发送；之后，接收到响应报文时，判断反向识别结果携带标记是否为为真，如果是，则将所述第一识别结果（或第一识别结果和第二识别状态码）插入该响应文的 IP选项字段并 #文适应性调整，将所述反向识别结果携带标记置为假，然后发送上述处理后的响应报文；识别功能网元接收到上述响应报文（响应报文可能经由其他扩散网元转发。当其他扩散网元接收到响应报文时，解析发现其携带第一识别结果和第二识别状态码，则不对响应报文进行处理，直接向下游转发），解析该响应报文的 IP 选项字段获取第一识别结果，将第一识别结果保存至本地流表，删除该响应报文中的插入信息并做适应性调整后发送。显然， 602、 603、 604和 605可以是一个循环执行过程，直至识别功能网元下游的所有扩散单元均根据其满足的条件执行完相应的操作后结束。

606: 识别功能网元进行报文处理和流表管理。

可选的，对于 606及其后续步骤的描述请参照图 4所示实施例中的相应描述。

可选的， 606及其后续步骤包括以下内容：

a:识别功能网元的本地流表中预定义有反向识别结果携带标记（此处的反向识别结果携带标记可以是：下行识别结果携带标记），当成功识别数据报文时，将获取的第一识别结果保存至本地流表，将第一识别结果插入数据报文的 IP选项字段并做适应性调整，将所述反向识别结果携带标记置为真，然后发送上述处理后的数据报文。

b:各下游网元接收到数据报文，进行报文转发处理。例如，请参照图 4所示实施例中的步骤 3至步骤 7。

c:下行方向上，识别功能网元上游各扩散网元接收响应报文，转发至识别功能网元。例如，请参照图 4所示实施例中的步骤 6至步骤 7。

d:识别功能网元接收到响应报文，判断所述反向识别结果携带标记为真，则将第一识别结果插入响应报文的 IP选项字段并做适应性调整，将所述反向识别结果携带标记置为假，然后发送响应报文。

本实施例可以实现：

在各个网元已经获取第一识别结果的情况下，如果识别功能网元故障或重启 (或者，识别功能网元及其下游任一网元故障或重启），当识别功能网元接收到上行方向的数据流时，可以通过向其下游的扩散网元请求第一识别结果从而获取第一识别结果。如果识别功能网元故障或重启，之后接收到下行方向的数据流，此时网络中的各个网元可以在下行方向上只转发报文和刷新流表，然后由识别功能网元对接下来的上行数据报文进行相应处理（例如：插入识别首包标记和第二识别结果）。而在现有技术中，当部署识别功能的网元重启时，对于已经完成部分数据交互的 IP网络流，由于识别模块可能无法获取到对应的特征，可能出现无法完成识别的情况。

本发明还提供了一种故障网元获取第一识别结果的方法。参照图 7, 图 7 是根据本发明一种实施例的深度报文检测结果扩散方法的流程示意图，该方法包括：

本实施例的背景为：识别功能网元 1已经完成了对数据报文的识别，其他各网元均保存有第一识别结果。在发送上行中间数据流的过程中，扩散网元 2 已经接收到超过预设阈值的数据报文，但仍未获取第一识别结果（例如：扩散网元 2发生故障导致这种情况发生）。

步骤 1: 用户发送中间数据至识别功能网元 1。

步骤 2: 识别功能网元 1接收到数据报文，由于之前已经获取了该数据报文所属 IP网络流的第一识别结果，所以刷新流表和进行相应业务处理，然后转发数据报文。

步骤 3至步骤 8: 扩散网元 2发送包含识别结果请求信息的报文以便向识别功能网元 1请求第一识别结果，具体的：

步骤 3: 扩散网元 2收到数据报文后，判断识别结果等待报文计数超过预设阈值（即网元 2已经接收到超过预设阈值的数据报文，但仍未获取第一识别结果），将本地流表中预定义的反向识别结果携带标记（此处的反向识别结果携带标记可以是：下行识别结果携带标记）置为真，将识别结果请求信息（该识别结果请求信息可以包含本地流表中的识别结果）插入数据报文的 IP选项字段并做适应性调整，然后发送数据报文。可选的，在将识别结果请求信息插入数据报文的 IP选项字段时，还可以插入第三识别状态码，用于向识别功能网元指示该数据文携带识别结果请求信息，从而向识别功能网元请求第一识别结果。

在本实施例的一种实现方式中，在扩散网元的本地流表中未保存所述第一识别结果的情况下，扩散网元每次接收到数据报文，都解析其扩展字段，如果该数据报文未携带第一识别结果，或者该数据报文携带有第一识别结果而扩散网元却未能将第一识别结果保存至本地流表，则将本地流表中的识别结果等待报文计数加一个单位值；如果数据报文的头部扩展字段携带第一识别结果，且扩散网元却将第一识别结果保存至本地流表，则将识别结果等待报文计数清步骤 4: 扩散网元 3接收到数据报文进行报文转发处理。具体的，解析数据报文的 IP选项字段，确定其携带的是识别结果请求信息则不进行报文处理，只刷新流表和进行业务处理。然后向下游转发数据报文。

步骤 5: 扩散网元 N接收到数据报文进行报文转发处理。具体的，确定该数据报文携带的是识别结果请求信息，只刷新流表和进行业务处理，将数据报文中的识别结果请求信息删除并做适应性调整。然后发送数据报文。

步骤 6: 扩散网元 N接收到响应报文，刷新流表并进行相关业务处理。然后转发响应 4艮文。

步骤 7: 请参照步骤 6。步骤 8: 网元 2接收到响应报文，判断识别结果等待报文计数超过阈值，且所述反向识别结果标记为真，将识别结果请求信息插入响应报文的 IP选项字段并进行适应性调整（所述识别结果请求信息可以包括本地流表中的识别结果），同时将所述反向识别结果携带标记置为假，将识别结果等待报文计数清零，然后发送响应报文。可选的，在将识别结果请求信息插入响应报文的 IP 选项字段时，还可以插入第三识别状态码，用于向识别功能网元指示该响应报文携带识别结果请求信息，从而向识别功能网元请求第一识别结果。

步骤 9至步骤 10: 识别功能网元将携带识别结果请求信息的响应报文中的插入信息删除后向下游发送，并将第一识别结果插入接收到的下一个数据报文的 IP选项字段后转发。具体的：

步骤 9: 识别功能网元 1接收到响应报文进行报文转发处理。具体的，解析该响应报文的 IP选项字段，判断包含扩散网元发送的识别结果请求信息，则将本地流表中预定义的反向识别结果携带标记（此处的反向识别结果携带标记可以是：上行识别结果携带标记）置为真，将响应报文中的插入信息删除并做适应性调整，刷新流表和进行相关业务处理，然后发送响应报文。

步骤 10: 识别功能网元 1接收到数据报文进行报文转发处理。具体的，判断所述反向识别结果携带标记为真，则将第一识别结果插入数据报文的 IP 选项字段并做适应性调整。将所述反向识别结果携带标记置为假，刷新流表和进行相关业务处理，然后发送数据报文。

步骤 11: 扩散网元 2接收到数据报文进行报文转发处理。具体的，解析数据报文的 IP选项字段，将第一识别结果保存至本地流表。刷新流表和进行相关业务处理，然后发送数据报文。步骤 12和步骤 13: 请参照步骤 11。但是在步骤 13中，扩散网元 N可以将数据报文中的插入信息删除并做适应性调整，然后再发送至服务器 /用户。

在本发明的一种实施例中，如果扩散网元在转发上行数据的过程中故障，且该故障网元是上行方向上所述识别功能网元的上游网元，则该故障网元可以将识别结果请求信息插入上行方向的数据报文中，以便识别功能网元根据预定义的反向识别结果携带标记和本地流表中保存的第一识别结果执行相应操作。

在本发明的另一种实施例中，如果发生故障的扩散网元在转发下行数据的过程中故障，且该故障网元是下行方向上所述识别功能网元的上游网元，则该故障网元可以将识别结果请求信息插入下行方向的响应报文中，以便识别功能网元根据预定义的反向识别结果携带标记和本地流表中保存的第一识别结果执行相应操作。

需要说明的是，本发明各实施例提供的反向识别结果携带标记的默认值为假，对报文转发无影响。可选的，反向识别结果携带标记可以是本地流表中定义的一个标记，当配置为真时，用于表示当前方向的反方向报文需要携带相应的插入信息。

图 8A是根据本发明一种实施例的 IPv4报文头部的选项字段的格式示意图；图 8B是本发明一种实施例的 IPv6报文头部的扩展报头字段的格式示意图。

参照图 8A, IPv4头部通过选项（ OPTION )字段提供 IP头部的扩展信息携带能力，每一跳都需要处理 ΟΡΉΟΝ。本实施例中的 OPTION字段定义有如下内容：

Option type定义为 00011110。高位起第一位表示是否将该 option复制进所有 IP分片，设置为 0代表不复制，只需第一片携带识别信息。第二、三两位取 00代表该 option属于控制类消息。后五位 11110为 option number (选项号）， IP协议栈通过该字段来确定 option类型， 11110作为之前的保留 option number,在本技术方案中可用作标识该 option为识别结果携带信息。如果一个报文的 option number字段为 11110,则由需要获取识别结果的网元，例如识别功能网元或扩散网元解析该报文的 Option字段，其他不支持该 option的设备可以忽略后继续转发该报文。

Option长度内容为整个 option的长度。

识别状态码为 4位，高位起第一位为识别首包标记，置 1时标识当前 IP 网络流中第一个进行识别的数据包，用于非识别功能网元判断识别功能网元是否需要从其他网元获取识别结果。对于高位起的后 3位， 000可作为第一识别状态码或第四识别状态码，用于识别功能网元向扩散网元扩散第一识别结果和 /或第二识别结果； 001可作为第三识别状态码，标识识别结果请求信息，用于扩散网元向识别功能网元请求第一识别结果； 010可作为第二识别状态码，用于标识该 option为对识别功能网元请求第一识别结果的响应；其他保留。

识别结果包含识别出来的协议、应用、终端类型等信息，其长度与识别功能返回的识别结果结构有关，可以支持多识别结果携带。

扩展信息字段，可以标识当前 IP网络流的策略信息，如丢弃或限流等。其中， Option type, 识别状态码和识别结果的定义使得识别功能网元和扩散网元可以根据不同的插入信息进行相应处理。能力，本实施例的扩展字段插入 IPv6 的扩展报头字段，采用 Hop-by-Hop Options (逐跳选项 )扩展头来实现，协议规定 Hop-by-Hop Options必须在每个网元都需要处理，对于该扩展报头字段定义如下：

Next Header(8bits)头部记录了下一个扩展头的信息。

Hdr ext len ( 8bits )记录了 Hop-by-Hop Options头部的长度。

Option type定义为 00011110, 高位起前两位 00表示如果网元无法识别该 option则跳过继续处理下一个 option; 第三位设置为 0表示在转发过程中不修改该 option的内容；后五位 11110为 option number, IP协议栈通过该字段来确定 option类型， 11110作为之前的保留 option number , 在本技术方案中被用作标识该 option为识别结果携带信息。如果一个报文的 option number字段为 11110的，则由需要获取识别结果的设备，例如识别功能网元或扩散网元解析该报文的 Option字段，其他设备可以忽略后继续转发该报文。

对于 Option长度、识别状态码、识别结果和扩展信息字段的描述请参照图 7A中的描述，此处不再赘述。其中， Option type、识别状态码和识别结果的定义使得识别功能网元和扩散网元可以根据不同的插入信息进行相应处理。

在本发明提供的各种方法实施例中，如上文所述，对于携带插入信息的报文，有的识别功能网元或扩散网元可以选择将其从报文中删除后发送，或者将其保留在报文中发送。这种选择性可以通过定义网元属性实现，这种定义同样适用于本发明提供的装置实施例。例如，可以将识别功能网元或扩散网元定义为上行边缘节点、下行边缘节点、上行终结节点或下行终结节点来确定识别结果扩散的范围。其中：

上行边缘节点：禁止上行报文携带本方案中的插入信息，接收到该类型的报文后直接丢弃，并在超过一定阈值后采取保护措施以防止攻击。但是会向上下行发送携带有插入信息的报文。下行边缘节点：禁止下行报文携带本方案中的插入信息，接收到该类型的报文后直接丢弃，并在超过一定阈值后采取保护措施以防止攻击，但是会向上下行发送携带有插入信息的报文。

上行终结节点：禁止下行 "¾文携带本方案中的插入信息，接收到该类型的报文后直接丢弃，并在超过一定阈值后采取保护措施以防止攻击。如果来自上行方向的报文的头部扩展字段携带有本方案中的插入信息，删除插入信息后转发（例如，剥离携带本方案中的插入信息的报文的头部扩展字段后转发）。并禁止上行方向识别结果携带标记位置为真。

下行终结节点：禁止上行 "¾文携带本方案中的插入信息，接收到该类型的报文后直接丢弃，并在超过一定阈值后采取保护措施以防止攻击。如果来自下行方向的报文的头部扩展字段携带有本方案中的插入信息，删除插入信息后转发。并禁止下行方向识别结果携带标记位置为真。

例如，在图 3中，可以将识别功能网元 1定义为下行边缘节点，将扩散网元 N定义为上行边缘节点以便网元 N将携带第一识别结果的数据报文发送至对端用户设备，而介于网元 1与网元 N之间的节点可以对接收到的携带本发明提供的插入信息的报文进行解析和转发等操作。在图 4 中，可以将网元 1 定义为下行终结节点，将网元 N定义为上行终结节点。

再例如，在一条网络流所流经的所有网元中，如果选取其中的一段路径执行 DPI业务，此时，可以根据需要定义该路径的起点网元和终点网元的网元属性。

图 9A是根据本发明一种实施例的识别功能网元结构示意图，参照图 9A, 该识别功能网元 90包括：第一接收单元 91 , 用于接收网络流中的数据报文；

第一识别单元 92, 用于对所述数据报文进行深度报文检测（DPI )识别；第一处理单元 93, 用于在所述第一识别单元成功识别所述数据报文时，将识别得到的第一识别结果保存至所述识别功能网元的本地流表，并将所述第一识别结果插入所述数据报文的头部扩展字段；在所述第一识别单元无法识别所述数据报文时，将第二识别结果插入所述数据报文的头部扩展字段，所述第二识别结果为所述识别功能网元创建所述本地流表时的识别结果初始值；第一发送单元 94, 用于向第一下游设备发送携带有所述第一识别结果或第二识别结果的数据报文。

可选的，所述第一处理单元 93还用于在所述数据报文的头部扩展字段插入第一识别状态码，用于向所述第一下游设备指示所述数据报文携带有所述第一识别结果或第二识别结果。

可选的，所述网络流具体可以为 IP网络流，如果所述数据 4艮文是所述 IP 网络流中第一个进入所述第一识别单元进行识别的数据包，则所述第一处理单元 93还用于在所述数据报文的头部扩展字段插入识别首包标记，用于标识所述 IP网络流中第一个进入所述识别功能网元进行识别的数据包。

本实施例提供的识别功能网元 90通过在数据报文的头部扩展字段插入识别结果信息，以向其他网元设备发送识别结果信息，能够降低整体网络进行 DPI业务的时延。

在图 9A所示实施例的一种实现方式中，参照图 9B, 识别功能网元 90，还可以包括：

第六接收单元 95, 用于在所述第一发送单元 94向所述第一下游设备发送携带有所述第二识别结果的数据报文后，接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元 90';

第二识别单元 96, 用于对所述响应报文进行识别；

第六处理单元 97, 用于在所述第二识别单元 96成功识别所述响应报文从而获取第一识别结果时，将所述第一识别结果保存至所述本地流表，并将所述第一识别结果插入所述识别功能网元 90，接收的下一个数据报文的头部扩展字段，所述下一个数据报文属于所述 IP网络流。

本实现方式可以在第一识别单元 92未完成识别的情况下，对相应的响应报文进行识别，并通过报文的头部扩展字段实现识别结果的扩散。

其中，参照图 9C, 所述第六处理单元 97可以包括：

第一配置子单元 971 , 用于在所述识别功能网元 90，的本地流表中配置第三反向识别结果携带标记，以便所述识别功能网元 90，根据所述第三反向识别结果确定是否在所述下一个数据报文的头部扩展字段插入所述第一识别结果，以及用于在所述第二识别单元 96成功识别所述响应报文时，将所述第三反向识别结果携带标记置为真；

第二配置子单元 972, 用于在下述第七接收单元接收到所述下一个数据报文时，确定所述第三反向识别结果携带标置为真，则将所述第一识别结果插入所述下一个数据报文的头部扩展字段，将所述第三反向识别结果携带标记置为假，然后调用下述第七发送单元。

所述识别功能网元 90，还包括：

第六发送单元，用于在所述第一配置子模块 971完成配置后，向第二下游设备转发所述响应报文，或者，将所述第一识别结果插入所述响应报文的头部扩展字段，然后再向所述第二下游设备发送；

第七接收单元，用于接收所述下一个数据报文；

第七发送单元，用于根据业务配置确定无需丢弃携带有所述第一识别结果的所述下一个数据报文，则将其发送至所述第一下游设备。

当然 ,所述第七接收单元和第七发送单元的功能也可以分别通过第一接收单元 91和第一发送单元 94实现。

识别功能网元 90，能够在无法识别当前数据报文的情况下，对之后接收的响应报文进行识别，并将成功识别得到的第一识别结果通过报文的头部扩展字段向其他设备扩散。降低了整体网络中进行 DPI业务导致的时延。

图 10是根据本发明一种实施例的识别功能网元结构示意图，参照图 10, 识别功能网元 100可以包括：

第一接收单元 91 ,第一识别单元 92,第一处理单元 93,第一发送单元 94, 以及：

第二接收单元 101 , 用于在所述第一发送单元 94向所述第一下游设备发送携带有所述第二识别结果和识别首包标记的数据报文之后，接收响应报文，所述响应报文由所述第一下游设备发送至所述识别功能网元 100, 所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有所述第一识别结果，所述响应消息由服务器或用户设备在接收到所述数据报文后生成，所述响应报文用于将所述第一识别结果通知所述识别功能网元。可选的，所述响应报文的头部扩展字段还携带有第二识别状态码，用于向识别功能网元 100指示所述响应报文携带有所述第一识别结果。第二处理单元 102, 用于解析所述响应报文以将所述第一识别结果保存至所述本地流表，然后将所述响应报文携带的所述第一识别结果删除。

第二发送单元 103, 用于向第二下游设备发送所述第二处理单元处理后的响应 4艮文。

其中，第一接收单元 91接收到的数据报文为所述 IP网络流中第一个进行识别的报文；第一识别单元 92未完成对所述数据报文的识别；第一处理单元 93将第二识别结果和识别首包标记插入所述数据报文的头部扩展字段。

在其他设备中的至少一个保存有第一识别结果的情况下，如果识别功能网元 100出现故障或重启导致本地流表中的第一识别结果消失，网元 100可以将识别首包标记和第二识别结果插入接收到的数据报文（属于所述 IP网络流 ) 的头部扩展字段，以向保存第一识别结果的设备请求第一识别结果，而无需再次对文进行识别，避免了对于完成部分数据间交互的 IP网络流，可能无法完成识别的问题。

图 11是根据本发明一种实施例的识别功能网元结构示意图，参照图 11 , 识别功能网元 110可以包括：

第一配置单元 111 , 用于在所述本地流表中配置第一反向识别结果携带标记，并在所述第一识别单元成功识别所述数据报文时，将所述第一反向识别结果携带标记置为真；在下述第三处理单元 113完成报文处理时，将所述第一反向识别结果携带标记置为假；所述第一反向识别结果携带标记用于指示是否在接收到的响应报文的头部扩展字段插入所述第一识别结果，其中，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元；

第三接收单元 112, 用于在所述第一发送单元 94向所述第一下游设备发送携带有所述第一识别结果的数据报文后，接收所述响应报文；

第三处理单元 113,用于在所述第三接收单元 112接收到所述响应报文时，判断所述第一反向识别结果携带标记是否为真，如果是，则：将所述第一识别结果插入所述响应报文的头部扩展字段，或将所述第一识别结果和第四识别状态码插入所述响应报文的头部扩展字段，所述第四识别状态码用于向第二下游设备指示所述响应报文携带所述第一识别结果；

第三发送单元 114, 用于向所述第二下游设备发送由所述第三处理单元

113处理后的响应报文。

其中，第一识别单元 92完成了对所述数据报文的识别。

图 12是根据本发明一种实施例的识别功能网元结构示意图，参照图 11 , 识别功能网元 120可以包括：

第二配置单元 121 , 用于在所述本地流表中配置第二反向识别结果携带标记，并在第四接收单元接收到响应报文时，将所述第二反向识别结果携带标记置为真；所述第二反向识别结果携带标记用于指示所述识别功能网元 120是否在所述识别功能网元接收的下一个数据报文的头部扩展字段插入所述第一识别结果；以及，用于在下述第四接收单元 122接收到响应报文时，将所述第二反向识别结果携带标记置为真，在下述第五处理单元 126完成对所述下一个数据报文的处理时，将所述第二反向识别结果携带标记置为假，所述下一个数据报文是所述识别功能网元在接收到所述数据报文之后，接收到的下一个数据报文，且所述下一个数据报文属于所述网络流；

第四接收单元 122, 用于在所述第一发送单元 94向所述第一下游设备发送携带有所述第一识别结果的数据报文后，接收所述响应报文，所述响应报文由所述第一下游设备发送至所述识别功能网元 120, 所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有识别结果请求信息，所述响应消息由服务器或用户设备在接收所述数据报文或所述 IP网络流的后续数据报文后生成，所述识别结果请求信息用于向所述识别功能网元 120请求所述第一识别结果；

第四处理单元 123, 用于将所述响应报文携带的所述识别结果请求信息删除；

第四发送单元 124, 用于向第二下游设备发送所述第四处理单元 123处理后的响应 4艮文；

第五接收单元 125, 用于接收所述下一个数据报文；所述下一个数据报文是所述识别功能网元在接收到所述数据报文之后，接收到的下一个数据报文，且所述下一个数据报文属于所述网络流；

第五处理单元 126, 用于判断所述第二反向识别结果携带标记是否为真，如果是，则将所述第一识别结果插入所述下一个数据报文的头部扩展字段；第五发送单元 127, 用于当根据业务配置确定无需丢弃携带有所述第一识别结果的所述下一个数据报文时，将其发送至所述第一下游设备。

当然，所述第五接收单元 125和第五发送单元 127的功能也可以分别通过第一接收单元 91和第一发送单元 94实现。

图 13A是根据本发明一种实施例的扩散网元结构示意图，参照图 13A, 扩散网元 130包括：

第一接收单元 131 , 用于接收 IP网络流中的数据报文；

第一解析单元 132, 用于解析所述数据报文的头部扩展字段以确定所述数据报文的头部扩展字段携带的插入信息；

第一处理单元 133, 用于根据所述插入信息进行所述扩散网元 130的本地流表管理；

第一发送单元 134, 用于根据业务配置确定无需丢弃所述数据报文，则进行报文转发处理，包括：向第一下游设备发送所述数据报文以便所述第一下游设备根据所述插入信息进行流表管理，或将所述数据报文携带的所述插入信息删除后向所述第一下游设备发送。

本领域技术人员应该理解，如果业务配置为阻断或限流等导致所述数据报文被丢弃，则无法进行报文转发处理。

本实施例所提供的扩散网元 130 能够对数据报文的头部扩展字段进行解析，进而根据插入信息进行相应的处理，以获取或扩散识别结果信息。

在本实施例的一种实现方式中，参照图 13B,

第一处理单元 133 包括：第一处理子单元 1331 , 和 /或第二处理子单元 1332, 和 /或第三处理子单元 1333。

第一处理子单元 1331 , 用于在所述插入信息包含第一识别结果，或，包含所述第一识别结果和第一识别状态码时，将所述第一识别结果保存至所述本地流表。第二处理子单元 1332, 用于在所述插入信息包含第二识别结果，或，包含所述第二识别结果和第一识别状态码时，创建或刷新所述本地流表而不保存所述第二识别结果。

第三处理子单元 1333, 用于在所述插入信息包含识别结果请求信息，或，包含所述识别结果请求信息和第三识别状态码时，创建或刷新所述本地流表。

其中：所述第一识别结果是所述数据报文成功完成深度报文检测识别时的识别结果，所述第二识别结果是所述扩散网元 130创建所述本地流表时的识别结果初始值，所述第一识别状态码用于向所述扩散网元 130指示所述数据报文携带所述第一识别结果或第二识别结果，所述第三识别状态码用于向第二下游设备指示所述数据报文携带所述识别结果请求信息，所述识别结果请求信息用于向所述第二下游设备请求所述第一识别结果。

本实施例提供的扩散网元 130无需对数据报文进行识别，只需要解析数据报文的头部扩展字段，从而根据数据报文携带的插入信息进行识别结果的获取或扩散，降低了现有网络进行 DPI业务的时延，降低了维护成本。

至少一个识别功能网元 90(或识别功能网元 90，）和至少一个扩散网元 130 可以构成一个识别结果扩散系统，用于执行 DPI业务。在该系统中，只由识别功能网元 90进行报文识别，并利用报文的头部扩展字段向扩散网元 130进行识别结果的扩散，降低了现有网络进行 DPI业务的时延，降低了维护成本。

图 14是根据本发明一种实施例的扩散网元的结构示意图，参照图 14, 扩散网元 140包括：第一接收单元 131 , 第一解析单元 132, 第一处理单元 133, 第一发送单元 134, 以及：第二接收单元 141、第二处理单元 142和第二发送单元 143。其中，

所述第一处理单元 133还包括第一配置子单元 1334, 用于在所述本地流表中配置第四反向识别结果携带标记，以便所述扩散网元 140根据所述第四反向识别结果携带标记确定是否将所述第一识别结果通知所述第二下游设备；以及，用于在所述插入信息包含所述第二识别结果和识别首包标记，并且所述本地流表中保存有所述第一识别结果时，将所述第四反向识别结果携带标记置为真，在下述第二处理单元 142完成报文处理后，将所述第四反向识别结果携带标记置为^ ί叚。

第二接收单元 141 , 用于在所述第一发送单元 134进行报文转发处理后，接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述扩散网元 130。

第二处理单元 142, 用于判断所述第四反向识别结果携带标记为真，则将所述第一识别结果插入所述响应报文的头部扩展字段。

可选的，所述第二处理单元 142还用于：在将所述第一识别结果插入所述响应报文的头部扩展字段时，将第二识别状态码插入所述响应报文的头部扩展字段，以向所述第二下游设备指示所述响应报文携带有所述第一识别结果。

第二发送单元 143, 用于向所述第二下游设备发送所述第二处理单元 142 处理后的响应报文，以将所述第一识别结果通知所述第二下游设备。

本实施例所提供的扩散网元 140 能够在识别功能网元重启或故障的情况下，将第一识别结果通知识别功能网元，避免了识别功能网元无法识别后续数据报文导致无法获取第一识别结果的问题。

图 15是图 13B所示实施例中的第一处理单元的一种结构示意图，参照图 15 , 第一处理单元 150包括：

第一处理子单元 1331、第二处理子单元 1332、第三处理子单元 1333、计数子单元 1501和判断子单元 1502, 其中，

计数子单元 1501 , 用于计算识别结果等待报文计数，所述识别结果等待报文计数表示所述扩散网元 130在获取所述第一识别结果之前所接收到的数据报文的数目；

判断子单元 1502, 用于在所述本地流表未保存有所述第一识别结果的情况下，如果所述插入信息不包含所述第一识别结果，或所述插入信息包含所述第一识别结果但却未将所述第一识别结果保存至所述本地流表，则判断所述识别结果等待报文计数是否超过预设阈值，如果是，则触发所述扩散网元 130 向所述第二下游设备请求所述第一识别结果。

可选的，参照图 16, 图 16是根据本发明一种实施例的扩散网元的结构示意图，参照图 16, 扩散网元 160包括：第一接收单元 131、第一解析单元 132、第一处理单元 151和第一发送单元 134, 以及第三接收单元 161、第三处理单元 162、第三发送单元 163和第四接收单元 164, 其中，

第一处理单元 151除了包括第一处理单元 150的各个部分外，还包括第二配置子单元，用于在所述本地流表中配置第五反向识别结果携带标记，以便所述扩散网元 160根据所述第五反向识别结果携带标记确定是否向所述第二下游设备请求所述第一识别结果；以及，用于在所述识别结果等待报文计数超过预设阈值时将所述第五反向识别结果携带标记置为真，在下述第三处理单元 162完成报文处理后，将所述第五反向识别结果携带标记置为假，将所述识别结果等待报文计数清零。

第三接收单元 161 , 用于在所述第一发送单元 134进行报文转发处理后，接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述扩散网元 160;

第三处理单元 162, 用于判断所述第五反向识别结果携带标记为真，则将识别结果请求信息插入所述响应报文的头部扩展字段；

第三发送单元 163, 用于向所述第二下游设备发送所述第三处理单元 162 处理后的响应报文，以向所述第二下游设备请求所述第一识别结果，以便所述第二下游设备在接收到携带有所述识别结果请求信息的响应报文后，在接收到属于所述 IP网络流的下一个数据报文时，在所述下一个数据报文的头部扩展字段插入所述第一识别结果然后再发送至所述扩散网元 160;

第四接收单元 164, 用于接收所述下一个数据报文并进行解析，将所述第一识别结果保存至所述本地流表，从而获取所述第一识别结果。

本实施例提供的扩散网元 160在接收到预定次数的数据报文时，如果仍未获取第一识别结果，可以自动向识别功能网元请求所述第一识别结果，能够避免扩散网元 160由于故障或重启等导致丢失所述第一识别结果。

图 17是根据本发明一种实施例的扩散网元的结构示意图，参照图 17, 扩散网元 170包括：

接收单元 171 , 用于接收响应报文，所述响应报文由第一下游设备发送至所述扩散网元 170, 所述响应报文携带有响应信息并且所述响应报文的头部扩展字段携带有插入信息，所述响应信息由服务器或用户设备在接收 IP网络流中的数据报文后生成；

解析单元 172, 用于解析所述响应报文的头部扩展字段以确定所述响应报文的头部扩展字段携带的所述插入信息；

处理单元 173, 用于根据所述插入信息进行所述扩散网元 170的本地流表管理；

发送单元 174, 用于向第二下游设备发送所述响应报文以便所述第二下游设备根据所述插入信息进行流表管理，或将所述响应报文携带的所述插入信息删除后向所述第二下游设备发送。

可选的，在本实施例的一种实现方式中，所述处理单元 173包括：处理子单元，用于在所述插入信息包含所述第一识别结果和第四识别状态码时，将所述第一识别结果保存至所述本地流表中，所述第一识别结果是所述 IP网络流成功完成深度文检测识别时的识别结果，所述第四识别状态码用于向所述扩散网元 170指示所述响应报文携带有所述第一识别结果。

本实施例提供的扩散网元 170能够对接收的响应报文进行解析，并将响应报文的头部扩展字段携带的第一识别结果保存至本地流表从而获取第一识别结果。

本领域技术人员应当理解，扩散网元 170也可以具有图 13至图 16所示扩散网元的结构和功能，本发明对此不进行详述。

图 18是根据本发明一种实施例的识别功能网元的结构示意图，参照图 18, 识别功能网元 180包括：接收机 181、发射机 182和存储器 183, 以及与接收机 181、发射机 182和存储器 183分别连接的处理器 184。其中，

存储器 183存储有各种数据、程序与应用，以由处理器 184调用从而实现以下功能：

处理器 184通过接收机 181接收 IP网络流中的数据报文；

对所述数据报文进行识别，如果成功识别所述数据报文，则将识别得到的第一识别结果保存至所述识别功能网元的本地流表，并将所述第一识别结果插入所述数据报文的头部扩展字段；如果无法识别所述数据报文，则将第二识别结果插入所述数据报文的头部扩展字段，所述第二识别结果为所述识别功能网元 180创建所述本地流表时的识别结果初始值；

当根据业务配置确定无需丢弃所述数据报文时，通过所述发射机 182向第一下游设备发送携带有所述第一识别结果或第二识别结果的数据报文。

可选的，存储器 183存储有所述识别功能网元 180的本地流表。

可选的，所述数据报文包括： IPv4报文或 IPv6报文；当所述数据报文为 IPv4报文时，所述头部扩展字段为所述 IPv4报文头部的选项字段，当所述数据报文为 IPv6报文时，所述头部扩展字段为所述 IPv6报文头部的扩展报头字段。

可选的，所述数据报文的头部扩展字段还包含第一识别状态码，用于向所述第一下游设备指示所述数据报文携带有所述第一识别结果或第二识别结果。

可选的，如果所述数据报文是所述 IP网络流中第一个进入所述识别功能网元进行识别的数据包，则在成功识别或无法识别所述数据报文时，在所述数据报文的头部扩展字段插入识别首包标记，用于标识所述 IP网络流中第一个进入所述识别功能网元进行识别的数据包。

进一步可选的，在通过发射机 182向所述第一下游设备发送携带有所述第二识别结果和识别首包标记的数据报文之后，在本实施例的一种实现方式中，处理器 184还用于：

通过接收机 181接收响应报文，所述响应报文由所述第一下游设备发送至所述识别功能网元，所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有所述第一识别结果，所述响应消息由服务器或用户设备在接收到所述数据^艮文后生成，所述响应^¾文用于将所述第一识别结果通知所述识别功能网元；

解析所述响应报文以将所述第一识别结果保存至所述本地流表；将所述响应报文携带的所述第一识别结果删除后向第二下游设备发送。其中，可选的，所述响应报文的头部扩展字段中还包含第二识别状态码，用于向所述识别功能网元 180指示所述响应报文携带有所述第一识别结果。

可选的，在本实施例的一种实现方式中，所述识别功能网元 180的本地流表中设置有第一反向识别结果携带标记，用于所述识别功能网元 180根据所述第一反向识别结果携带标记确定是否在之后接收到的响应报文的头部扩展字段插入所述第一识别结果，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元 180, 所述第一反向识别结果携带标记在所述识别功能网元 180 成功识别所述数据报文时置为真；

在通过发射机 182 向所述第一下游设备发送携带有所述第一识别结果的数据报文之后，处理器 184还用于：

通过接收机 181接收所述响应报文；

判断所述第一反向识别结果携带标记为真，则将所述第一识别结果插入所述响应报文的头部扩展字段，将所述第一反向识别结果携带标记置为假，然后通过发射机 182向第二下游设备发送携带有所述第一识别结果的响应报文。可选的，在将所述第一识别结果插入所述响应报文的头部扩展字段时，还将第四识别状态码插入所述响应报文的头部扩展字段，用于向所述第二下游设备指示所述响应报文携带所述第一识别结果。

可选的，在本实施例的一种实现方式中，所述识别功能网元 180的本地流表中设置有第二反向识别结果携带标记，用于所述识别功能网元 180根据所述第二反向识别结果携带标记确定是否在之后接收的下一个数据报文的头部扩展字段插入所述第一识别结果，所述下一个数据报文属于所述 IP网络流；在通过发射机 182 向所述第一下游设备发送携带有所述第一识别结果的数据报文后，所述处理器 184还用于：

通过接收机 181接收响应报文，所述响应报文由所述第一下游设备发送至所述识别功能网元，所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有识别结果请求信息，所述响应消息由服务器或用户设备在接收所述数据报文或所述 IP网络流的后续数据报文后生成，所述识别结果请求信息用于向所述识别功能网元 180请求所述第一识别结果；

解析所述响应报文，发现所述响应报文的头部扩展字段携带有所述识别结果请求信息，则将所述第二反向识别结果携带标记置为真，将所述响应报文携带的所述识别结果请求信息删除后，通过发射机 182向第二下游设备发送，其中，所述响应报文的头部扩展字段还包含第三识别状态码，用于向所述识别功能网元 180指示所述响应报文携带有所述识别结果请求信息；

通过接收机 181接收到所述下一个数据报文，判断所述第二反向识别结果携带标记为真，则将所述第二反向识别结果携带标记置为假，将所述第一识别结果插入所述下一个数据报文的头部扩展字段，然后在根据业务配置确定无需丢弃携带有所述第一识别结果的所述下一个数据报文时，将其通过发射机 182 发送至所述第一下游设备。

可选的，在本实施例的一种实现方式中，在处理器 184无法识别所述数据报文的情况下，在通过发射机 182向所述第一下游设备发送携带有所述第二识别结果的数据报文之后，所述处理器 184还用于：

通过接收机 181接收到响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元 180;

对所述响应报文进行识别，如果成功识别所述响应报文从而获取所述第一识别结果，则将所述第一识别结果保存至所述本地流表，并将所述第一识别结果插入所述识别功能网元接收的下一个数据报文的头部扩展字段，所述下一个数据报文属于所述 IP网络流；

如果无法识别所述响应报文，则对所述下一个数据报文进行识别。

进一步可选的，所述识别功能网元 180的本地流表中设置有第三反向识别结果携带标记，用于所述识别功能网元 180根据所述第三反向识别结果确定是否在所述下一个数据报文的头部扩展字段插入所述第一识别结果；处理器 184 通过以下方式将所述第一识别结果插入所述识别功能网元接收的下一个数据报文的头部扩展字段：

当所述处理器 184成功识别所述响应报文时，将所述第三反向识别结果携带标记置为真；

通过发射机 182向第二下游设备转发所述响应报文，或者将所述第一识别结果插入所述响应报文的头部扩展字段，然后再通过发射机 182向所述第二下游设备发送。可选的，在将所述第一识别结果插入所述响应报文的头部扩展字段时，还将第四识别状态码插入所述响应报文的头部扩展字段，用于向所述第二下游设备指示所述响应报文携带所述第一识别结果；

通过接收机 181接收所述下一个数据报文，判断所述第三反向识别结果携带标记为真，则将所述第一识别结果插入所述下一个数据报文的头部扩展字段，将所述第三反向识别结果携带标记置为假，并在根据业务配置确定无需丢弃携带有所述第一识别结果的所述下一个数据报文时，通过发射机 182将其发送至所述第一下游设备。

图 19是根据本发明一种实施例的识别功能网元的结构示意图，参照图 19, 识别功能网元 190包括：接收机 191、发射机 192和存储器 193, 以及与接收机 191、发射机 192和存储器 193分别连接的处理器 194。其中，

存储器 193存储有各种数据、程序与应用，以由处理器 194调用从而实现以下功能：

处理器 194通过接收机 191接收 IP网络流中的数据报文；

解析所述数据报文的头部扩展字段以确定所述数据报文的头部扩展字段携带的插入信息；

根据所述插入信息进行报文转发处理；

当根据业务配置确定无需丢弃所述数据报文时，进行报文转发处理，包括：通过发射机 192 向第一下游设备发送所述数据报文以便所述第一下游设备根据所述插入信息进行流表管理，或将所述数据报文携带的所述插入信息删除后，通过发射机 192 向所述第一下游设备发送未携带所述插入信息的数据报文。

可选的，所述存储器 193存储所述扩散网元 190的本地流表。

可选的，所述数据报文包括： IPv4报文或 IPv6报文；当所述数据报文为 IPv4报文时，所述头部扩展字段为所述 IPv4报文头部的选项字段，当所述数据报文为 IPv6报文时，所述头部扩展字段为所述 IPv6报文头部的扩展头字段。

可选的，处理器 194根据所述插入信息进行所述扩散网元的本地流表管理包括：

如果所述插入信息包含第一识别结果，或，包含所述第一识别结果和第一识别状态码，则将所述第一识别结果保存至所述本地流表；

如果所述插入信息包含第二识别结果，或，包含所述第二识别结果和第一识别状态码，则创建或刷新所述本地流表而不保存所述第二识别结果；

如果所述插入信息包含识别结果请求信息，或，包含所述识别结果请求信息和第三识别状态码，则创建或刷新所述本地流表；

其中，所述第一识别结果是所述数据报文成功完成深度报文检测识别时的识别结果，所述第二识别结果是所述扩散网元 190创建所述本地流表时的识别结果初始值，所述第一识别状态码用于向所述扩散网元 190指示所述数据报文携带所述第一识别结果或第二识别结果，所述第三识别状态码用于向第二下游设备指示所述数据报文携带所述识别结果请求信息，所述识别结果请求信息用于向所述第二下游设备请求所述第一识别结果。

其中，可选的，当所述插入信息包含所述第一识别结果或第二识别结果时，所述插入信息还包含：识别首包标记，用于标识所述 IP网络流中第一个进行深度报文检测识别的数据报文。

进一步可选的，所述处理器 194还用于：

在所述本地流表中配置第四反向识别结果携带标记，用于所述扩散网元根据所述第四反向识别结果携带标记确定是否将所述第一识别结果通知所述第二下游设备；

在所述插入信息包含所述识别首包标记和第二识别结果时，确定所述本地流表是否保存有所述第一识别结果，如果是，则将所述第四反向识别结果携带标记置为真；

在进行报文转发处理后，通过接收机 191接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述扩散网元 190;

判断所述第四反向识别结果携带标记为真，则将所述第一识别结果插入所述响应报文的头部扩展字段，将所述第四反向识别结果携带标记置为假；可选的，当将所述第一识别结果插入所述响应报文的头部扩展字段时，还将第二识别状态码插入所述响应报文的头部扩展字段，以向所述第二下游设备指示所述响应报文携带有所述第一识别结果；

通过发射机 192 向所述第二下游设备发送携带有所述第一识别结果的响应报文，以将所述第一识别结果通知所述第二下游设备。

可选的，在本实施例的一种实现方式中，所述处理器 194还用于：在所述本地流表中设置计算识别结果等待报文计数，用于计算所述扩散网元在获取所述第一识别结果之前所接收到的数据报文的数目；

在所述本地流表未保存有所述第一识别结果的情况下，如果所述插入信息不包含所述第一识别结果，或者所述插入信息包含所述第一识别结果但却未将所述第一识别结果保存至所述本地流表，则判断所述识别结果等待报文计数是否超过预设阈值，如果是，则向所述第二下游设备请求所述第一识别结果。

进一步可选的，所述处理器 194还用于：

在所述本地流表中配置第五反向识别结果携带标记，用于所述扩散网元

190根据所述第五反向识别结果携带标记确定是否向所述第二下游设备请求所述第一识别结果，并在判断所述识别结果等待报文计数超过预设阈值时，将所述第五反向识别结果携带标记置为真；

在进行文转发处理后，所述处理器 194还用于：

通过接收机 191接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述扩散网元 190;

判断所述第五反向识别结果携带标记为真，则将所述识别结果请求信息插入所述响应报文的头部扩展字段，将所述第五反向识别结果携带标记置为假，将所述识别结果等待报文计数清零；

通过发射机 192 向所述第二下游设备发送携带有所述识别结果请求信息的响应报文，以向所述第二下游设备请求所述第一识别结果，以便所述第二下游设备在接收到携带有所述识别结果请求信息的响应报文后，在接收到属于所述 IP网络流的下一个数据报文时，在所述下一个数据报文的头部扩展字段插入所述第一识别结果然后再发送至所述扩散网元 190;

通过接收机 191接收所述下一个数据报文并进行解析，将所述第一识别结果保存至所述本地流表从而获取所述第一识别结果。

可选的，在本实施例的一种实现方式中，处理器 194还用于：通过接收机 191接收响应报文，所述响应报文由第一下游设备发送至所述扩散网元，所述响应报文携带有响应信息并且所述响应报文的头部扩展字段携带有插入信息，所述响应信息由服务器或用户设备在接收 IP网络流中的数据 4艮文后生成；

解析所述响应报文的头部扩展字段以确定所述响应报文的头部扩展字段携带的所述插入信息；

根据所述插入信息进行所述扩散网元的本地流表管理；

通过发射机 192 向第二下游设备发送所述响应报文以便所述第二下游设备根据所述插入信息进行流表管理，或将所述响应报文携带的所述插入信息删除后，通过发射机 192向所述第二下游设备发送未携带所述插入信息的响应报文。

进一步可选的 ,如果所述插入信息包含所述第一识别结果和第四识别状态码，则处理器 194还用于：将所述第一识别结果保存至所述本地流表中，所述第一识别结果是所述 IP网络流成功完成深度报文检测识别时的识别结果，所述第四识别状态码用于向所述扩散网元 190指示所述响应报文携带有所述第一识别结果。

可选的，所述处理器还用于：

通过接收机 191接收头部扩展字段携带有识别结果请求信息的响应报文，或者接收头部扩展字段携带有所述第一识别结果和第二识别状态码的响应报文；

通过发射机 192向所述第二下游设备转发上述接收到的响应报文。

本发明一种实施例还提供一种识别结果扩散系统，包括图 9A至图 12所示实施例中的任意一种识别功能网元和图 13A至图 16所示实施例中的任意一种扩散网元。

本发明一种实施例还提供一种识别结果扩散系统，包括图 9A至图 12所示实施例中的任意一种识别功能网元，图 13A至图 16所示实施例中的任意一种扩散网元，以及图 17所示的扩散网元。

其中，对于所述识别功能网元和扩散网元的详细说明，请参照上文各装置实施例中的相应说明，此处不再赞述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory, ROM )或随机存储记忆体（Random Access Memory, RAM )等。

以上所揭露的仅为本发明一种较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims

1、一种深度报文检测（DPI )识别结果扩散方法，其特征在于，所述方法包括：

识别功能网元接收网络流中的数据报文；

对所述数据报文进行 DPI识别，如果成功识别所述数据报文，则将识别得到的第一识别结果保存至所述识别功能网元的本地流表，并将所述第一识别结果插入所述数据报文的头部扩展权字段；如果无法识别所述数据报文，则将第二识别结果插入所述数据报文的头部扩利 _展字段，所述第二识别结果为所述识别功能网元创建所述本地流表时的识别结果 5 8初要始值；

向第一下游设备发送携带有所述第一识别结果或所述第二识别结果的所

求

述数据报文。

2、如权利要求 1所述方法，其特征在于，

所述数据报文为 IPv4报文或 IPv6报文；

当所述数据报文为 IPv4报文时，所述将所述第一识别结果插入所述数据报文的头部扩展字段，包括：将所述第一识别结果插入所述数据报文头部的选项字段；当所述数据报文为 IPv6报文时，所述将所述第一识别结果插入所述数据报文的头部扩展字段，包括：将所述第一识别结果插入所述数据报文的扩展头部字段。

3、如权利要求 1或 2所述方法，其特征在于，所述数据报文的头部扩展字段还包含第一识别状态码，用于向所述第一下游设备指示所述数据报文是否携带有所述第一识别结果或第二识别结果。

4、如权利要求 1或 2所述方法，其特征在于，当所述数据报文是所述网络流中第一个进入所述识别功能网元进行识别的数据包时，则在将所述第二识别结果插入所述数据报文的头部扩展字段之后，所述方法还包括：

将所述响应报文携带的所述第一识别结果删除后向第二下游设备发送。

5、如权利要求 4所述方法，其特征在于，

所述响应报文的头部扩展字段中还包含第二识别状态码，用于向所述识别功能网元指示所述响应报文携带有所述第一识别结果。

6、如权利要求 1至 4中任一项所述方法，其特征在于，

所述本地流表中设置有第一反向识别结果携带标记，用于指示是否在接收到的响应报文的头部扩展字段插入所述第一识别结果；所述第一反向识别结果携带标记在所述识别功能网元成功识别所述数据报文时置为真；

判断所述第一反向识别结果携带标记是否为真，如果是，则将所述第一识别结果插入所述响应报文的头部扩展字段，并将所述第一反向识别结果携带标记置为假，然后向第二下游设备发送携带有所述第一识别结果的响应报文。

7、如权利要求 1至 4中任一项所述方法，其特征在于，

所述本地流表中设置有第二反向识别结果携带标记，用于指示所述识别功能网元是否在接收到所述数据报文之后接收的下一个数据报文的头部扩展字段插入所述第一识别结果，所述下一个数据报文属于所述网络流；

8、如权利要求 1至 4中任一项所述方法，其特征在于，如果无法识别所述数据报文，则在向所述第一下游设备发送携带有所述第二识别结果的数据报文之后，所述方法还包括：

对所述响应报文进行识别，得到所述第一识别结果，将所述第一识别结果保存至所述本地流表，并将所述第一识别结果插入所述识别功能网元接收的下一个数据报文的头部扩展字段，所述下一个数据报文属于所述网络流。

9、一种识别功能网元，其特征在于，所述网元包括：

第一接收单元，用于接收网络流中的数据报文；

10、如权利要求 9所述网元，其特征在于，所述第一处理单元还用于在所述数据报文的头部扩展字段插入第一识别状态码，用于向所述第一下游设备指示所述数据报文携带有所述第一识别结果或第二识别结果。

11、如权利要求 9或 10所述的网元，其特征在于，如果所述数据报文是所述识别功能网元接收到的所述网络流中的第一个数据包，则所述第一处理单元还用于，在将所述第二识别结果插入所述数据报文的头部扩展字段之后，在所述数据报文的头部扩展字段插入识别首包标记，以使所述第一下游设备在接收到携带有首包标记的所述数据报文后，向所述识别功能网元发送携带有所述第一识别结果的响应报文；所述响应报文还包含有服务器或用户设备在接收到所述数据报文后生成响应消息；所述首包标记用于标识所述网络流中第一个进入所述识别功能网元进行识别的数据包。

12、如权利要求 11所述的网元，其特征在于，所述网元还包括：第二接收单元，用于在所述第一发送单元向所述第一下游设备发送携带有所述第二识别结果和识别首包标记的数据报文之后，接收响应报文，所述响应报文携带有响应消息并且所述响应报文的头部扩展字段携带有所述第一识别结果，所述响应消息由服务器或用户设备在接收到所述数据报文后生成；第二处理单元，用于解析所述响应报文以将所述第一识别结果保存至所述本地流表，然后将所述响应报文携带的所述第一识别结果删除；

13、如权利要求 9或 10所述的网元，其特征在于，所述网元还包括：第一配置单元，用于在所述本地流表中配置第一反向识别结果携带标记，并在所述第一识别单元成功识别所述数据报文时，将所述第一反向识别结果携带标记置为真；所述第一反向识别结果携带标记用于指示是否在接收到的响应报文的头部扩展字段插入所述第一识别结果，其中，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元；

第三接收单元，用于在所述第一发送单元向所述第一下游设备发送携带有所述第一识别结果的数据报文后，接收所述响应报文；

14、如权利要求 9或 10所述的网元，其特征在于，所述网元还包括：第二配置单元，用于在所述本地流表中配置第二反向识别结果携带标记，并在第四接收单元接收到响应报文时，将所述第二反向识别结果携带标记置为真；所述第二反向识别结果携带标记用于指示是否在所述识别功能网元接收的下一个数据报文的头部扩展字段插入所述第一识别结果；

第四处理单元，用于将所述响应报文携带的所述识别结果请求信息删除；第四发送单元，用于向第二下游设备发送删除识别结果请求信息后的所述响应 4艮文；

第五接收单元，用于接收下一个数据报文；所述下一个数据报文是所述识别功能网元在接收到所述数据报文之后，接收到的下一个数据报文，且所述下一个数据报文属于所述网络流；

15、如权利要求 9或 1 0所述的网元，其特征在于，所述网元还包括：第六接收单元，用于在所述第一发送单元向所述第一下游设备发送携带有所述第二识别结果的数据报文后，接收响应报文，所述响应报文由服务器或用户设备在接收所述数据报文后生成，并由所述第一下游设备转发至所述识别功能网元；

第二识别单元，用于对所述响应报文进行识别；