专利名称::一种数据包分类方法及其系统的制作方法
技术领域:
:本发明涉及IP数据包分类
技术领域:
,特别是一种数据包分类方法以及一种用于数据分类的系统。
背景技术:
:全球接入微波互操作性(WorldwideInteroperabilityforMicrowaveAccess,WiMAX)是一种基于电气与电子工程师协会(IEEE)802.16标准的无线城域网技术。图1是WiMAX网络架构体系图。参照图1,WiMAX网络主要由三个部分组成终端;接入业务网(ASN),包括基站(BS)和接入业务网网关(ASN-GW);连接业务网(CSN),包括策略服务器(PF)、认证、授权和计费服务器(AAAServer)、应用服务器(AF)等逻辑实体。WiMAX网络无线侧是基于IEEE802.16d/e标准的无线城域网接入技术。图1中的R1、R2、R3等表示参考点(referencepoint),也就是接口。在WiMAX系统中,ASN是为终端提供无线接入服务的网络功能集合,包括网元BS和ASN-GW。CSN为终端提供IP连接服务。终端为移动用户设备,用户使用该终端接入WiMAX网络。在WiMAX网络中,分类器用于将网络承载的各种业务分类到承栽网络的具体业务流中。上行业务的分类器在终端上实现,下行业务分类器在BS或ASN-GW上实现。业务流是WiMAX承载网络服务质量(QoS)保证的最小操作对象,不同的业务流可以有不同的QoS保证,分类器可以根据上层业务不同的QoS要求,将其分配到相应的业务流中。分类器由一系列分类规则组成,具体分类参数见IEEE相关标准。如果承载的是IP业务,主要的分类参数之一就是IP地址。例如,对于IPv4数据包,根据源/目的IP地址、协议类型、源/目的传输控制协议/用户数据协议(TCP/UDP)端口号就可将特定IP包分类到某个具体业务流。在移动IPv6协议(MIPv6)应用到WiMAX中后,终端和位于CSN的家乡代理(HA)之间通过隧道方式传输数据。但由于无线网络中,为了更好的利用空口资源,需要把不同QoS的数据分类到不同的数据通道中传输,对应到WiMAX网络就是要把IP数据包分类到不同的业务流中传输。现有IEEE标准虽然定义了一系列的分类器规则,但在MIPv6应用到WiMAX网络后,有一种情况将无法处理。当终端与HA之间的数据采用IP安全/封装安全负荷(IPSec/ESP)加密的时候,由于终端与HA之间的数据包采用隧道模式,因此HA在加密的时候,把其收到的整个IP包都加密保护起来,并在加密的包前面加入隧道IP头,因此,如果分类器要依赖后面IP包中的信息区分不同的业务流就无法实现,因为这个包只能在终端或HA上才能解开,而分类器却需要在这两个实体传输路径之间的ASN-GW、接入路由器(AR)或BS等分类节点上对数据包进行分类。
发明内容有鉴于此,本发明提出了一种数据包分类方法,用以实现对加密后数据包的进行分类。本发明的另一个目的在于提出一种用于数据包分类的系统。根据上述目的,本发明提供了一种数据包分类方法,该方法包括加密节点在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;分类节点根据所述分类参数对该加密后IP数据包进行分类。所述分类参数包括源地址、目的地址、上层协议、目的端口、源端口、传输类、流标签、安全参数索引(SPI)其中之一或者它们的任意组合。所述非加密部分包括隧道IP头、隧道IP扩展头、封装安全负荷(ESP)报头其中之一或者它们的任意组合。该方法进一步包括加密节点从加密前IP数据包中提取分类参数。所述在加密后IP数据包的非加密部分添加分类参数的步骤包括将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。所述在加密后IP数据包的非加密部分添加分类参数的步骤包括查询到所述分类参数与加密后IP数据包的隧道IP报头存在重合的内容,则将分类参数中不重合的内容组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分;或者,查询到所述分类参数与加密后IP数据包的隧道IP报头不存在重合的内容,则将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。该方法进一步包括加密节点和解密节点通过交互为不同业务流分配不同的分类参数;加密节点和/或解密节点向分类节点通知所述业务流及对应的分类参数。该方法进一步包括加密节点和解密节点交换分类器信息。该方法进一步包括加密节点和分类节点通过交互为不同的业务流分配不同的分类参数。在上述方案中,所述分类参数包括流标签。该方法进一步包括在加密节点为不同业务流配置不同的分类参数;加密节点在加密后IP数据包中添加为该数据包所属的业务流配置的分类参数。该方法进一步包括分类节点删除加密后IP数据包中部分或全部分类参数。本发明还提供了一种用于数据包分类的系统,该系统包括加密节点,用于在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;包括分类器的分类节点,所述分类器用于根据所述分类参数对该加密后IP数据包进行分类。所述加密节点进一步包括提取单元和/或查询单元。其中,提取单元,用于从加密前IP数据包中提取分类参数;查询单元,用于获取分类参数中与加密后IP数据包的隧道IP报头不重合的内容作为要添加的分类参数。所述分类节点进一步包括删除单元,用于删除加密后IP数据包中部分或全部分类参数。所述加密节点进一步包括第一交互单元,所述分类节点进一步包括第二交互单元;所述第一交互单元和第二交互单元用于通过交互为不同业务流分配不同的分类参数。所述加密节点进一步包括第一配置单元,所述分类节点进一步包括第二配置单元;所述第一配置单元和第二配置单元用于为不同业务流配置不同的分类参数。所述加密节点为全球接入微波互操作性WiMAX系统中的家乡代理;所述分类节点为WiMAX系统中的基站或网关。所述加密节点进一步包括第一交互单元;该系统进一步包括解密节点,该解密节点包括第三交互单元;所述第一交互单元和第三交互单元用于通过交互为不同业务流分配不同的分类参数,并向分类节点通知所述业务流及对应的分类参数。所述加密节点为全球接入微波互操作性WiMAX系统中的家乡代理;所述分类节点为WiMAX系统中的基站或接入业务网网关或接入路由器AR;所述解密节点为WiMAX系统中的终端。从上述方案中可以看出,由于本发明中加密节点在加密后IP数据包的非加密部分添加了用于分类的分类参数,当分类节点收到该数据包后,分类器可以直接读取非加密部分的分类参数,从而可以根据分类参数对该数据包进行分类。通过本发明的实施,即使加密后IP数据包只能在解密节点被解密,但是分类节点无需对数据包进行解密,即可获取分类参数,并根据分类参数进行分类。本发明提供了多种获取分类参数的方法,例如从加密前IP数据包中提取分类参数,加密节点和分类节点或解密节点通过交互分配分了参数,直接配置分类参数等,提高了分类的灵活性。图1为WiMAX网络架构示意图2为本发明第一实施例的流程示意图3为本发明第二实施例的流程示意图4为本发明第三实施例的流程示意图5为本发明第四实施例的流程示意图6为本发明第一实施例的系统结构示意图7为本发明第二实施例和第三实施例的系统结构示意图8为本发明第四实施例的系统结构示意图。具体实施例方式为使本发明的目的、技术方案和优点更加清楚,以下举实施例对本发明进一步详细说明。本发明的核心思想是,加密节点在加密后IP数据包的非加密部分添加分类参数,后续的加密后IP数据包都将携带分类参数,分类节点则根据所述分类参数对该加密后IP数据包进行分类。下面首先说明采用隧道模式传输时加密前IP数据包和加密后IP数据包的结构。参见表l,加密前IP数据包包括隧道IP报头、隧道IP扩展头、<table>tableseeoriginaldocumentpage9</column></row><table>表2<table>tableseeoriginaldocumentpage9</column></row><table>参见表2,当对IP数据包进行加密传输时,例如采用IPSec/ESP加密时,加密后IP数据包包括隧道IP报头、隧道IP扩展头、ESP报头、加密数据、ESP认证(ESPAUTH)。其中,加密部分包括加密数据,非加密部分包括隧道IP报头、隧道IP扩展头、ESP报头等。加密数据是对加密前IP数据包中原IP报头、原IP扩展头、上层协议头以及数据部分进行加密形成的;隧道IP报头中除了目的地址和源地址必须按实际情况构建外,其它的字段内容可以根据情况由加密节点构建或拷贝原IP报头的相应字段内容;隧道IP扩展头是由加密节点自己构建的,通常不能拷贝加密前IP数据包中的原IP扩展头。通过表1和表2所示的结构可以看出,如果加密节点和解密节点之间的分类节点需要通过加密前IP数据包中的信息进行分类,那么由于所用的信息被加密,因此分类节点上的分类器无法直接根据现有的加密后IP数据包完成分类。本发明实施例中所述的分类参数如表3所示,但不局限于此。分类节点可以根据这些参数中的任意一个或者它们的任意组合来进行分类。表3类型包过滤属性大小(比特)1源地址(SourceAddress)1282目的地址(DestinationAddress)1283上层协议(UpperLayerProtocol)84目的端口(DestinationPort)165源端口(SourcePort)166传输类(TrafficClass)87流标签(FlowLabel)208安全参数索引(SPI)8第一实施例参照图2,本发明第一实施例的流程如下步骤101至步骤102,加密节点在对IP数据包加密之前将可能用于分类的分类信息提取出来,并将这些分类参数添加到加密后IP数据包的非加密部分。这里以非加密部分为隧道IP扩展头为例进行说明。本实施例的隧道IP扩展头可以定义如下名称为过滤器头(FilterHeader);类型(Type)可以待定;结构可以如表4所示。参照表4,新隧道IP扩展头的前8比特为下一个头(NextHeader)字段,表示FilterHeader的开始;第二个8比特为扩展头长度(HdrExtLen)字段,表示FilterHeader的长度;后面的比特为选项(Options)部分,用来表示具体的分类参数。其中,NextHeader和HdrExtLen字段的定义可以与通常IPv6扩展头的定义相同,这里不再赘述。Options部分的形式可以如表5所示,按照Filter类型、Filter数值的顺序排列,其中Filter类型为表3中的类型,Filter数值为表3中包过滤器属性的值,例如分类参数为目的端口时,Filter类型为4,Filter数值为8E。另外,当扩展头的总长度不满足8字节的整数倍时,可以在最后釆用填充位进行填充,使其达到8字节的整数倍。表401234567890123456789012345678…NextHeaderHdrExtLenOptions表5Filter类型Filter数值Filter类型Filter数值以上所述的隧道IP扩展头只是作为本发明实施例的示例,本发明显然并不局限于此。进一步,如果加密节点预先了解分类节点需要哪些分类信息对数据包进行分类传输,加密节点可以选择这些分类信息添加到加密后IP数据包的隧道IP扩展头中;如果加密节点不知道分类节点需要哪些信息对数据包进行分类传输,加密节点可以将表3中的全部分类信息都添加到加密后IP数据包的隧道IP扩展头中。除了在隧道IP扩展头中添加分类参数外,还可以在ESP报头中添加诸如SPI等分类参数。步骤103,加密节点将添加了分类参数的加密后IP数据包发送给分类节点中的分类器。步骤104,分类节点中的分类器收到来自加密节点的上述IP数据包,根据隧道IP扩展头中的分类参数进行分类,将其分配到相应的业务流中,从而通过相应的数据通道传输给解密节点。进一步,如果分类节点知道后续节点不再需要FilterHeader中部分或全部分类参数,则可以删除所述不需要的部分或全部分类参数。步骤105,分类节点将分类后的IP数据包通过对应的数据通道发送给解密节点。解密节点如果收到带有FilterHeader扩展头的数据包时,可以忽略这个隧道IP扩展头,而不做任何处理。另外,由于在隧道IP报头中也存在TrafficClass和FlowLabel这两个字段,如果隧道IP报头中的这两个字段与原IP报头一致的话,在扩展头中就可以不用携带它们。因此,在步骤101之前还可以进一步包括查询到分类参数与加密后IP数据包的隧道IP报头存在重合的内容,则在步骤101中将分类参数中不重合的内容组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分;或者,在步骤101之前进一步包括查询到所述分类参数与加密后IP数据包的隧道IP报头不存在重合的内容,则在步骤101中将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。相应地,在步骤104中,分类节点根据隧道IP报头和隧道IP扩展头中的分类参数进行分类。本实施例的上述方法可以通过如图6所示的系统来实现。该系统包括解密节点和分类节点,还可以进一步包括解密节点。其中,加密节点在加密后IP数据包的非加密部分添加分类参数,并发送该加密后IP数据包;分类节点包括分类器,该分类器根据所述分类参数对该加密后IP数据包进行分类,并将分类后的数据包发送给解密节点;解密节点则解密并处理所收到的加密后IP数据包。如图6所示,加密节点进一步可以包括提取单元和/或查询单元。其中,提取单元用于从加密前IP数据包中提取分类参数;查询单元用于获取分类参数中与加密后IP数据包的隧道IP报头中不重合的内容,以便填写到加密后IP数据包的隧道IP扩展头部分。分类节点还可以进一步删除单元,该删除单元用于删除加密后IP数据包中部分或全部分类参数。本实施例的加密节点可以为WiMAX系统中的HA,分类节点可以为WiMAX系统中的基站或ASN-GW或AR,解密节点可以为WiMAX系统中的终端。但是,本发明并不局限与此。第二实施例在第二实施例中,加密节点预先通过与解密节点或分类节点的交互为不同业务流分配不同的分类参数。简便起见,本实施例以分配流标签(FlowLabel)为例进行说明。首先简单介绍一下FlowLabel,在IPv6的基本报头中有一个FlowLabel域,用于唯一标识从源地址到目的地址的一个业务流,这个值由一般由源进行分配,也就是在加密节点进行分配。步骤201,加密节点和解密节点通过交互,交换分类节点的加密前的分类器信息,为不同业务流分配不同的FlowLabel。这个过程可以是在加密节点和解密节点生成安全联盟(SA)时进行,也可以是在其它时候进行。这里假设解密节点已经获知分类节点的加密前的分类器信息,例如解密节点通过与分类节点交互获取分类器信息。步骤202,加密节点将加密前的业务流分类器信息及对应的FlowLabel通知给分类节点。由于解密节点也拥有加密前的业务流分类器信息及对应的FlowLabel,在本步骤中,也可以由解密节点将加密前的业务流分类器信息及对应的FlowLabel通知给分类节点。步骤203,加密节点在加密后IP数据包的隧道IP扩展头中添加与该数据包所属业务流对应的步骤201中新分配的FlowLabel。这样,加密节点就不必从加密前IP数据包中提取原始的FlowLabel。步骤204,加密节点将添加了步骤201中新分配的FlowLabel的加密后IP数据包发送出去。步骤205,分类节点中的分类器收到来自加密节点的上述IP数据包,根据隧道IP扩展头中的FlowLabel以及其它分类参数进行分类,将其分配到相应的业务流中,从而通过不同的数据通道传输给解密节点。步骤206,分类节点将分类后的IP数据包通过对应的数据通道发送给解密节点。第三实施例与第二实施例不同的是,在第三实施例中,加密节点和分类节点直接通过交互为不同业务流分配不同的FlowLabel。参见图4,第三实施例包括以下步骤步骤301,加密节点和解密节点生成SA,并交换加密前的分类器信息。步骤302,加密节点和分类节点通过交互为不同业务流分配不同的FlowLabel。步骤303,加密节点在加密后IP数据包的隧道IP扩展头中添加与该数据包所属业务流对应步骤302中分配的FlowLabel。这样,加密节点就不必从加密前IP数据包中提取原始的FlowLabel。步骤304,加密节点将添加了步骤302中分配的FlowLabel的加密后IP数据包发送出去。步骤305,分类节点中的分类器收到来自加密节点的上述IP数据包,根据隧道IP扩展头中的FlowLabel以及其它分类参数进行分类,将其分配到相应的业务流中,从而通过不同的数据通道传输给解密节点。步骤306,分类节点将分类后的IP数据包通过对应的数据通道发送给解密节点。解密节点收到的该IP数据包后,可以忽略这个隧道IP扩展头,而不做任何处理。本发明第二实施例和第三实施例的方法可以通过如图7所示的系统来实现。该系统包括解密节点和分类节点,还可以进一步包括解密节点。其中,加密节点在加密后IP数据包的非加密部分添加分类参数,并将其发送给分类节点;分类节点包括分类器,分类器根据所述分类参数对该加密后ip数据包进行分类,并将分类后的数据包发送给解密节点;解密节点则解密并处理所收到的加密后IP数据包。如图7所示,加密节点进一步包括第一交互单元,分类节点进一步包括第二交互单元,解密节点进一步包括第三交互单元。其中,对应于第三实施例,第一交互单元和第二交互单元通过交互为不同业务流分配不同的加密后的分类参数;对应于第二实施例,第一交互单元和第三交互单元通过交互为不同业务流分配不同的加密后的分类参数,并通知分类节点所述业务流及对应加密后的分类参数。同样,第二实施例和第三实施例中的加密节点可以为WiMAX系统中的HA,分类节点可以为WiMAX系统中的基站或ASN-GW或AR,解密节点可以为WiMAX系统中的终端。但是,本发明并不局限与此。第四实施例与前面的几个实施例不同,本发明的第四实施例在加密节点和分类节点直接为不同业务流配置不同的分类参数。参照图5,本发明第四实施例的包括以下步骤步骤401,在加密节点和分类节点为不同业务流配置不同的加密后的分类参数,例如人工配置或者自动配置。步骤402,加密节点在加密后IP数据包的非加密部分添加与该数据包所属业务流对应的加密后的分类参数。步骤403,力。密节点将添加了加密后的分类参数的加密后IP数据包发送出去。步骤404,分类节点收到来自加密节点的上述IP数据包,根据非加密部分的分类参数以及与其对应的业务流信息进行分类,将其分配到相应的业务流中,从而通过不同的数据通道传输给解密节点。步骤405,分类节点将分类后的加密后IP数据包通过对应的数据通道发送给解密节点。解密节点收到该IP数据包时,可以忽略非加密部分的分了参数,而不做任何处理。本实施例的上述方法可以通过如图8所示的系统来实现。该系统包括解密节点和分类节点,还可以进一步包括解密节点。其中,加密节点在加密后IP数据包的非加密部分添加分类参数,并发送该加密后IP数据包;分类节点包括分类器,分类器根据所述分类参数对该加密后IP数据包进行分类;解密节点则解密并处理所收到的加密后IP数据包。如图8所示,加密节点进一步包括第一配置单元,分类节点进一步包括第二配置单元。其中,第一配置单元和第二配置单元分别用于为不同业务流配置不同的加密后的分类参数。同样,第四实施例中的加密节点可以为WiMAX系统中的HA,分类节点可以为WiMAX系统中的基站或ASN-GW或AR,解密节点可以为WiMAX系统中的终端。但是,本发明并不局限与此。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1、一种数据包分类方法,其特征在于,该方法包括加密节点在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;分类节点根据所述分类参数对该加密后IP数据包进行分类。2、根据权利要求1所述的方法,其特征在于,所述分类参数包括源地址、目的地址、上层协议、目的端口、源端口、传输类、流标签、安全参数索引SPI其中之一或者它们的任意组合。3、根据权利要求1所述的方法,其特征在于,所述非加密部分包括隧道IP头、隧道IP扩展头、封装安全负荷ESP报头其中之一或者它们的任意组合。4、根据权利要求1所述的方法,其特征在于,该方法进一步包括加密节点从加密前IP数据包中提取分类参数。5、根据权利要求4所述的方法,其特征在于,所述在加密后IP数据包的非加密部分添加分类参数的步骤包括将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。6、根据权利要求4所述的方法,其特征在于,所述在加密后IP数据包的非加密部分添加分类参数的步骤包括查询到所述分类参数与加密后IP数据包的隧道IP报头存在重合的内容,则将分类参数中不重合的内容组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分;或者,查询到所述分类参数与加密后IP数据包的隧道IP报头不存在重合的内容,则将分类参数组成隧道IP扩展头,并填写到加密后IP数据包的隧道IP扩展头部分。7、根据权利要求1所述的方法,其特征在于,该方法进一步包括加密节点和解密节点通过交互为不同业务流分配不同的分类参数;加密节点和/或解密节点向分类节点通知所述业务流及对应的分类参数。8、根据权利要求7所述的方法,其特征在于,该方法进一步包括加密节点和解密节点交换分类器信息。9、根据权利要求1所述的方法,其特征在于,该方法进一步包括加密节点和分类节点通过交互为不同的业务流分配不同的分类参数。10、根据权利要求7、8或9所述的方法,其特征在于,所述分类参数包括流标签。11、根据权利要求1所述的方法,其特征在于,该方法进一步包括在加密节点为不同业务流配置不同的分类参数;加密节点在加密后IP数据包中添加为该数据包所属的业务流配置的分类参数。12、根据权利要求1所述的方法,其特征在于,该方法进一步包括分类节点删除加密后IP数据包中部分或全部分类参数。13、一种用于数据包分类的系统,其特征在于,该系统包括加密节点,用于在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;包括分类器的分类节点,所述分类器用于根据所述分类参数对该加密后IP数据包进行分类。14、根据权利要求13所述的系统,其特征在于,所述加密节点进一步包括提取单元和/或查询单元,其中,提取单元,用于从加密前IP数据包中提取分类参数;查询单元,用于获取分类参数中与加密后IP数据包的隧道IP报头不重合的内容作为要添加的分类参数。15、根据权利要求13所述的系统,其特征在于,所述分类节点进一步包括删除单元,用于删除加密后IP数据包中部分或全部分类参数。16、根据权利要求13所述的系统,其特征在于,所述加密节点进一步包括第一交互单元,所述分类节点进一步包括第二交互单元;所述第一交互单元和第二交互单元用于通过交互为不同业务流分配不同的分类参数。17、根据权利要求13所述的系统,其特征在于,所述加密节点进一步包括第一配置单元,所述分类节点进一步包括第二配置单元;所述第一配置单元和第二配置单元用于为不同业务流配置不同的分类参数。18、根据权利要求13~17之一所述的系统,其特征在于,所述加密节点为全球接入微波互操作性WiMAX系统中的家乡代理;所述分类节点为WiMAX系统中的基站或网关。19、根据权利要求13所述的系统,其特征在于,所述加密节点进一步包括第一交互单元;该系统进一步包括解密节点,该解密节点包括第三交互单元;所述第一交互单元和第三交互单元用于通过交互为不同业务流分配不同的分类参数,并向分类节点通知所述业务流及对应的分类参数。20、根据权利要求19所述的系统,其特征在于,所述加密节点为全球接入微波互操作性WiMAX系统中的家乡代理;所述分类节点为WiMAX系统中的基站或接入业务网网关或接入路由器AR;所述解密节点为WiMAX系统中的终端。全文摘要本发明公开了一种数据包分类方法,该方法包括加密节点在加密后IP数据包的非加密部分添加分类参数,并发送给分类节点;分类节点根据所述分类参数对该加密后IP数据包进行分类。本发明还提供了一种用于数据包分类的系统。通过本发明的实施,分类节点收到加密后IP数据包后,可以直接读取非加密部分的分类参数,从而可以根据分类参数对该数据包进行分类。本发明还提供了多种获取分类参数的方法,提高了分类的灵活性。文档编号H04L29/06GK101119289SQ20061010386公开日2008年2月6日申请日期2006年8月4日优先权日2006年8月4日发明者吴建军,梁文亮,勇谢,亮顾申请人:华为技术有限公司