业务流量管控方法、系统、DPI节点及存储介质与流程

业务流量管控方法、系统、dpi节点及存储介质
技术领域
1.本技术涉及一种通信技术，提供一种业务流量管控方法、系统、dpi(deep packet inspection，深度报文检测)节点及计算机可读存储介质。


背景技术：

2.当前运营商在不同接入网部署独立的dpi流量管控系统，实现4g用户、5g用户及固网宽带用户的热门业务，其中业务实现关键点在于账号信息回溯，数据流和用户身份信息需建立实时关联，通过不同接入网接入的用户能基于ip流量进行用户行为精细化的统一管控，但各网络系统间业务策略机制相互独立，用户通过不同接入网接入时，因ip的不同，无法满足策略同步的需求，且无法对用户进行统一策略管理。


技术实现要素：

3.本技术的目的在于提供一种业务流量管控方法、系统、dpi节点及计算机可读存储介质，实现基于用户账号的业务策略的泛在化的统一控制。
4.本技术提出一种业务流量管控方法，应用于dpi节点，包括：当用户终端接入网络时，获取所述用户终端的用户ip和用户账号信息，建立所述用户ip与所述用户账号信息的关联关系；将所述用户账号信息发送给策略管控网元，以使得所述策略管控网元将所述用户账号信息与映射清单关联，得到用户账号信息与流量管控策略的关联关系；接收所述策略管控网元发送的与所述用户账号信息关联的流量管控策略，形成用户ip与用户账号信息与流量管控策略的关联关系，以对所述用户终端的业务流量进行管控。
5.进一步地，所述获取所述用户终端的账号信息包括：接收认证服务器镜像同步的与所述用户终端交互的认证报文，从所述认证报文中提取得到所述用户ip和用户账号信息。
6.进一步地，所述形成用户ip与用户账号信息与流量管控策略的关联关系之后，包括：当检测到所述用户终端的业务流量进入时，获取所述用户终端的用户ip，并通过所述用户ip与所述用户账号信息的关联关系，以及用户账号信息与管控策略的关联关系，确定对应的流量管控策略；根据所述流量管控策略对所述用户终端的业务流量进行管控。
7.进一步地，所述流量管理策略包括不同业务类型的业务流量对应的不同的子流量管控策略，所述根据所述流量管控策略对所述用户终端的业务流量进行管控包括：识别所述用户终端的业务流量的业务类型；根据所述业务流量的业务类型关联对应的子流量管控策略，并根据子流量管控策略对所述用户终端的业务流量进行管控。
8.进一步地，所述账号信息对应的用户身份为政企用户的下属用户身份，所述流量管控策略包括下属用户身份对应的子流量管控策略，所述根据所述流量管控策略对所述用户终端的业务流量进行管控包括：对所述企业用户的下属用户所对应的业务流量进行监测，以确定下属用户的网络行为；根据所述下属用户的网络行为和所述子流量管控策略对所述下属用户对应用户终端的业务流量进行管控。
9.进一步地，所述根据所述流量管控策略对所述用户终端的业务流量进行管控之后，还包括：确定所述业务流量为预设行业的业务流量时，向所述策略管控网元请求获取所述用户终端的用户身份，以为所述预设行业提供潜在需求用户清单。
10.本技术还提供一种业务流量管控系统，包括：dpi节点，用于当用户终端接入网络时，获取所述用户终端的用户ip和用户账号信息，建立所述用户ip与所述用户账号信息的关联关系，将所述用户账号信息发送给策略管控网元；所述策略管控网元，用于将所述用户账号信息与映射清单关联，得到用户账号信息与流量管控策略的关联关系，并将与所述用户账号信息关联的流量管控策略发送给dpi节点；所述dpi节点，还用于接收所述策略管控网元发送的与所述用户账号信息关联的流量管控策略，形成用户ip与用户账号信息与流量管控策略的关联关系，以对所述用户终端的业务流量进行管控。
11.进一步地，所述映射清单用于存储多个用户账号信息与用户身份信息的关联关系；所述策略管控网元用于存储用户身份与流量管控策略的关联关系，还用于将所述用户账号信息与所述映射清单关联，得到用户身份信息，并形成用户账号信息与用户身份信息与流量业务策略的关联关系。
12.本技术还提出一种dpi节点，包括：获取模块，当用户终端接入网络时，获取所述用户终端的用户ip和用户账号信息，并建立所述用户ip与所述用户账号信息的关联关系；发送模块，将所述用户账号信息发送给策略管控网元，以使得所述策略管控网元将所述用户账号信息与映射清单关联，得到用户账号信息与流量管控策略的关联关系；接收模块，接收所述策略管控网元发送的与所述用户账号信息关联的流量管控策略，形成用户ip与用户账号信息与流量管控策略的关联关系，以对所述用户终端的业务流量进行控制。
13.本技术还提出一种计算机设备，所述计算机设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个被所述一个或多个处理器执行时，使得所述计算机设备实现如上所述的方法。
14.本技术还提出一种计算机可读存储介质，其上存储有计算机可读指令，其上存储有计算机可读指令，当所述计算机可读指令被计算机的处理器执行时，使计算机执行如上所述的方法。
15.与现有技术相比，本技术具有如下有益效果：
16.本技术提供的技术方案中，当用户终端接入网络时，获取用户终端的用户ip和账号信息，并建立用户ip与用户账号信息的关联关系；将用户账号信息发送给策略管控网元，以使得策略管控网元将用户账号信息与映射清单关联，得到用户账号信息与管控策略的关联关系，接收策略管控网元发送的与用户账号信息关联的流量管控策略，形成用户ip与用户账号信息与流量管控策略的关联关系，以对用户终端的业务流量进行控制，即策略管控网元与dpi系统实行转控分离，在映射清单与dpi系统间起到耦合作用，建立用户ip与用户账号与流量管控的多级关联表，且dpi基于与各专业网络的对接和统一的策略管理，在用户ip的基础上，实现基于用户账号的业务策略的泛在化的统一控制。
附图说明
17.图1是本技术涉及的一种实施环境的示意图；
18.图2是本技术一示例性实施例示出的一种业务流量管控方法的流程图；
19.图3是本技术一示例性实施例示出的一种业务流量管控系统的架构示意图；
20.图4是本技术一示例性实施例示出的另一种业务流量管控系统的架构示意图；
21.图5是本技术的一示例性实施例示出的一种政企用户场景的示意图；
22.图6是本技术一示例性实施例示出的一种dpi节点的结构示意图；
23.图7示出了适于用来实现本技术实施例的计算机设备的结构示意图。
具体实施方式
24.这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
25.附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
26.附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
27.还需要说明的是：在本技术中提及的“多个”是指两个或者两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
28.请参阅图1，图1是本技术涉及的一种实施环境的示意图。该实施环境包括dpi节点10和策略管控网元20，dpi节点10和服务端20之间通过有线或者无线网络进行通信；
29.dpi节点10用于获取用户终端的用户ip和用户账号信息，并将用户账号信息发送给策略管控网元，以获取到对应的流量管控策略；
30.策略管控网元20用于将用户账号信息与映射清单关联，得到用户账号信息与流量管控策略的关联关系；
31.dpi节点10还用于接收策略管控网元发送的与用户账号信息关联的流量管控策略，形成用户ip与用户账号信息与流量管控策略的关联关系，进而根据流量管控策略对用户终端的业务流量进行控制。
32.其中，dpi节点和策略管控网元20可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn(content delivery network，内容分发网络)以及大数据和人工智能平台等基础云计算服务的云服务器，本处不对此进行限制。
33.请参阅图2，图2是本技术一示例性实施例示出的一种业务流量管控方法的流程图，该业务流量管控方法由图1所示的dpi节点10执行，业务流量管控方法包括步骤s110至步骤s130，详细介绍如下：
34.s110、当用户终端接入网络时，获取用户终端的用户ip和用户账号信息，建立用户ip与用户账号信息的关联关系。
35.在本实施例中，用户终端可以通过无线移动通信网、宽带网络等方式接入网络，当用户终端接入网络时，获取用户终端的账号信息，该账号信息指的是宽带上网业务的账户和密码，账号信息是开通宽带业务时，宽带运营商(电信、移动、联通等)提供给用户终端的，作为接入网络的验证凭据。例如通过pppoe(point to point protocol over ethernet，基于以太网的点对点)会话接入网络时，用户终端通过pppoe拨号，输入账号和密码，获取用户终端的账号密码。
36.需要说明的是，本实施例的一示例中的获取用户终端的用户ip和用户账号信息包括：接收认证服务器镜像同步的与用户终端交互的认证报文，从认证报文中提取得到用户ip和用户账号信息。
37.可以理解的是，当用户终端想要接入网络时，输入账号和密码，认证服务器需要对账号和密码进行认证，确定账号和密码是否正确，且该账号是否已经接入网络，在认证服务器与用户终端进行认证交互时，认证报文中包含对账号密码进行认证的认证阶段的报文，认证阶段的报文包括账号和密码；认证服务器得到认证报文后，同时将认证报文复制并发送给dpi节点，进而dpi从认证报文中提取到用户账号信息；例如当用户终端通过pppoe会话接入网络时，dpi节点接收认证报文，拆分解读radius交互报文中的pppoe会话报文，pppoe会话报文包括pppoe认证阶段的交互报文，如chap(challenge handshake authentication protocol，挑战握手认证协议)认证报文，进而dpi节点从pppoe会话报文中提取到用户账号信息。
38.可以理解的是，认证服务器除了对用户终端的账号和密码进行认证之外，还需要在用户终端记录用户终端的用户ip的上线信息，本实施例中的认证报文还包括协商阶段的报文，该协商阶段的报文包括用户ip，dpi接收到认证报文之后，从认证报文中提取得到用户ip，建立用户账号信息与ip的对应关系，以便于后续确定对应ip对应的流量管控策略。例如当用户终端通过pppoe会话接入网络时，pppoe会话报文还包括ipcp(internet protocol control protocol，网际协议控制协议)协商阶段的交互报文，如ipcp协商报文，进而提取到用户ip。
39.在本实施例的另一示例中，当认证服务器与用户终端进行认证交互时，可以获取用户终端的账号信息和用户ip，此时认证服务器也可以无需镜像同步报文，直接将账号信息和用户ip发送给dpi节点。
40.s120、将用户账号信息发送给策略管控网元，以使得策略管控网元将用户账号信息与映射清单关联，得到用户账号信息与流量管控策略的关联关系。
41.在本实施例中，dpi节点将用户账号信息发送给策略管控网元，策略管控网元将用户账号信息与映射清单关联，策略管控网元得到用户账号信息与流量管控策略的关联关系，其中，策略管控网元得到的用户账号信息与流量管控策略的关联关系可以是当前获取的用户账号信息与流量管控策略的关联关系，也可以是所有用户账号信息与流量管控策略的关联关系，在此并不进行限定。
42.需要说明的是，流量管控策略是对用户终端的业务流量进行管理和控制的策略，包括但不限于业务流量加速、禁用、流量安全防护等管控方式。
43.s130、接收策略管控网元发送的与用户账号信息关联的流量管控策略，形成用户ip与用户账号信息与流量管控策略的关联关系，以对用户终端的业务流量进行控制。
44.在本实施例中，当策略管控网元得到用户账号信息与流量管控策略的关系之后，将与用户账号信息关联的流量管控策略发送给dpi节点，进而dpi节点将用户ip与用户账号信息的关联关系进行归并，会形成单个用户终端的会话流表，即形成用户ip与用户账号信息与流量管控策略的关联关系，以对用户终端的业务流量进行管控，其中dpi接收到的流量管控策略可以是一个，也可以是多个，在此并不进行限定。
45.示例性的，当用户终端a接入网络时，dpi节点接收认证服务器镜像同步的与用户终端a交互的认证报文，从认证报文中提取得到用户账号信息a和用户ip1，dpi节点建立用户账号信息a与ip1的关联关系，dpi节点将用户账号信息a发送给策略管控网元，之后接收与用户账号信息a关联的流量管控策略a，进而形成ip1与用户账号信息a与流量管控策略a的关联关系。可以理解的是，dpi节点可以在同一时间接收认证服务器镜像同步的多个用户终端对应认证报文，进而dpi节点可以形成多个用户终端的用户账号信息与流量管控策略，如还可以针对用户终端b，形成ip3与用户账号信息b与流量管控策略b的关联关系。
46.值得注意的是，dpi节点在形成用户ip与用户账号信息与流量管控策略的关联关系之后，本实施例提供的方法还包括：
47.当检测到用户终端的业务流量进入时，获取用户终端的用户ip，并通过用户ip与用户账号信息与流量管控策略的关联关系，确定对应的流量管控策略；根据流量管控策略对用户终端的业务流量进行控制。
48.在本实施例中，当用户终端接入网络，用户终端可以使用网络，当用户终端使用网络时，业务流量会进入dpi节点，进而dpi节点检测到用户终端的业务流量进入，dpi节点获取业务流量的用户ip，由于dpi节点建立了用户ip与用户账号信息的关联关系，dpi节点还形成了用户ip与用户账号信息与流量管控策略的关联关系，进而dpi节点可以确定用户ip对应的流量管控策略，进而根据流量管控策略对用户终端的业务流量进行管控，如对用户终端的业务流量进行加速或禁用。
49.示例性的，用户终端a使用网络时，其业务流量进入dpi节点，dpi节点对链路上的业务流量进行采集与识别，识别获取用户ip为ip1，根据ip1与用户账号信息a与流量管控策略a确定ip1对应的流量管控策略。
50.需要说明的是，本实施例中的dpi节点还可以精准识别出不同业务类型的业务流量，进而针对不同业务类型的业务流量关联对应流管控策略；可选的，流量管理策略包括不同业务类型的业务流量对应的不同的子流量管控策略；其中业务类型指的是该业务流量对应的业务的类型，例如游戏流量对应的业务的类型为娱乐业务，支付流量对应的业务的类型为支付业务，即时通讯流量对应的业务的类型为通讯业务；不同的业务类型对应不同的子流量管理策略，进而根据所述流量管控策略对所述用户终端的业务流量进行管控包括：
51.识别所述用户终端的业务流量的业务类型；根据所述业务流量的业务类型关联对应的子流量管控策略，并根据所述子流量管控策略对所述用户终端的业务流量进行管控。
52.例如娱乐业务类型对应子流量管控策略1，支付业务类型对应子流量管控策略2，通讯业务类型对应子流量管控策略3；当用户终端的业务流量进入dpi节点时，dpi节点识别用户终端的业务流量的业务类型，如业务类型为娱乐业务，则关联对应子流量管控策略1，进而根据子流量管控策略1对用户终端的业务流量进行管控。
53.可以理解的是，业务类型的业务流量与子流量管控策略的对应关系可以根据用户
实际需求进行灵活调整，例如娱乐业务类型的业务流量对应的子管控策略1为流量加速，通讯业务类型对应子流量管控策略3为禁用流量。
54.在本实施例的一个示例中，业务流量管控方法可以应用于个人用户流量管控场景，可选的，账号信息对应的用户身份为个人用户，根据子流量管控策略对用户终端的业务流量进行管控包括：在第一预设时间段内对用户终端的支付业务类型的业务流量进行禁用，其中第一预设时间段可以由用户设置，例如凌晨2:00与6:00内禁用用户终端的支付业务类型的业务流量，如禁用微信支付的流量。
55.进一步的，若该个人用户为预设行为限制用户，则在第一预设时间段内对用户终端的支付业务类型的业务流量进行禁用。其中预设行为限制用户可以是未成年，也可以是老年人；可以理解的是，运营商在为用户开通流量时，会获取用户的身份信息，如身份证号码，进而可以根据身份信息确定出个人用户的年龄，以此来判断账号信息对应的用户是否为预设行为限制用户，如是，则在第一预设时间段内禁用支付业务类型的业务流量，以避免未成年和老年人遇到诈骗消费。
56.可选的，根据子流量管控策略对用户终端的业务流量进行管控还包括：在第二预设时间段内对用户终端的娱乐业务类型的业务流量进行加速。其中加速指的是流量提速，娱乐业务类型包括但不限于游戏、视频等，第二预设时间段可以是游戏或视频开启起的预设时间段，例如在游戏开启后的10分钟内对用户终端的游戏业务的业务流量进行加速。
57.可选的，账号信息对应的或政企用户的下属用户身份，根据子流量管控策略对用户终端的业务流量进行管控包括：在第一预设时间段内对用户终端的即时通信业务类型的业务流量进行加速，例如在会议时间时，对员工的视频通话的业务流量进行加速；在第二预设时间段内对用户终端的娱乐业务类型的业务流量进行禁用，例如在工作时间9:00-12:00内禁用员工的游戏业务的业务流量；可以理解的是，业务流量对应的子流量管控策略可以由政企用户的灵活设置，在此仅举例说明。
58.可选的，根据流量管控策略对用户终端的业务流量进行管控还可以是对用户终端的业务流量选择最优的网络路径，以确保业务流量稳定不丢包。例如为用户终端的视频流量选择最优的未出现阻塞的路径，以保证用户可以流畅观看视频。
59.本实施例提供的业务流量管控方法可以应用于政企用户流量管控场景，账号信息对应的用户身份为政企用户的下属用户身份，流量管控策略包括下属用户身份对应的子流量管控策略，根据流量管控策略对用户终端的业务流量进行管控包括：对企业用户的下属用户终端的业务流量进行监测，以确定下属用户的网络行为；根据下属用户的网络行为和子流量管控策略对用户终端的业务流量进行管控。
60.其中政企用户包括但不限于企业、学校和政府等行业客户，政企用户的下属用户包括员工、学生、老师、公职人员等；在本实施例中，对企业用户的下属用户终端的业务流量进行监测，可以根据业务流量的用途确定下属用户的网络行为，例如业务流量的用途为向企业外部传输文件时，则确定下属用户的网络行为为数据外传行为；又例如业务流量的用途为游戏启动，则可以确定下属用户的网络行为为打游戏。
61.值得注意的是，本实施例中的子流量管控策略与下属用户的网络行为相对应，在确定下属用户的网络行为后，确定下属用户的网络行为对应的子流量管控策略，进而对下属用户的用户终端的业务流量进行管控。
62.可选的，子流量管控策略包括当网络行为为数据外传时，则禁用业务流量；若网络行为为工作时间的游戏行为时，则禁用业务流量；若网络行为为正常的工作行为，则加速业务流量，或流量安全防护。
63.值得注意的是，本实施例中是由策略管控网元确定账号信息对应的用户身份，策略管控网元中存储有用户身份与流量管控策略的关联关系，进而策略管控网元在于映射清单关联后，可以得到用户账号信息与用户身份与流量管控策略的关联关系；因此策略管控网元确定账号信息对应的用户身份为个人用户身份时，则将该个人用户对应的流量管控策略发送给dpi节点，进而dpi节点进行业务流量管控；策略管控网元确定账号信息对应的用户身份为政企用户的下属用户身份，如某个企业的员工时，策略管控网元首先找到该企业的流量管控策略，进一步在企业的流量管控策略中找到各个员工对应的子流量管控策略，将子流量管控策略发送给dpi节点。
64.在本实施例中，dpi节点还可以对接入的用户进行实时回溯，具体是对泛在接入网用户身份的实时回溯，根据流量管控策略对用户终端的业务流量进行管控之后，还包括：确定业务流量为预设行业的业务流量时，向策略管控网元获取用户终端的用户身份，以为预设行业提供潜在需求用户清单。
65.其中，预设行业包括但不限于游戏娱乐、教育学习、医疗健康等行业，dpi节点对业务流量进行分析，可以确定该业务流量的用途，进而可以确定出业务流量所属行业；dpi节点检测到用户的游戏娱乐、教育学习、医疗健康等业务流量时，由于策略管控网元存储了用户身份信息与流量管控策略，因此dpi可以向策略管控网元请求获取身份信息，以为游戏娱乐、教育学习、医疗健康业务提供潜在需求用户清单。
66.可以理解的是，在本技术的具体实施方式中，涉及到获取用户身份信息，以为预设行业提供潜在需求用户清单等相关的数据，当本技术以上实施例运用到具体产品或技术中时，需要获得用户许可或者同意，且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
67.图2所示实施例的技术方案是从dpi节点的角度进行阐述，以下结合图3从业务流量管控系统的角度对本技术实施例的技术方案进行阐述：
68.图3示出一种业务流量管控系统的架构示意图，该业务流量管控系统包括dpi节点10、策略管控网元20和用户终端50，其中：
69.dpi节点10，用于当用户终端50接入网络时，获取用户终端50的用户ip和用户账号信息，建立用户ip与用户账号信息的关联关系，将用户账号信息发送给策略管控网元20；
70.策略管控网元20，用于将用户账号信息与映射清单30关联，得到用户账号信息与流量管控策略的关联关系，并将与用户账号信息关联的流量管控策略发送给dpi节点10；
71.dpi节点10，还用于接收策略管控网元20发送的与用户账号信息关联的流量管控策略，形成用户ip与用户账号信息与流量管控策略的关联关系，以对用户终端50的业务流量进行管控。
72.在本实施例中，dpi节点10将用户账号信息发送给策略管控网元20，该用户账号信息指的是宽带上网业务的账户和密码，策略管控网元20可以将用户账号信息与映射清单30关联，得到用户账号信息与流量管控策略的关联关系，例如在一示例中，映射清单30包括用户账号信息与流量管控策略的映射关系，进而策略管控网元20将用户账号信息与映射清单
30进行匹配，得到接收到的用户账号信息与流量管控策略的关联关系。
73.值得说明是，本实施例的另一示例中，策略管控网元20存储有用户身份信息与流量管控策略的关联关系，映射清单30存储有多个用户账号信息与用户身份信息的关联关系，进而策略管控网元20将用户账号信息与映射清单30关联，得到用户身份信息，并形成用户账号与用户身份信息与流量业务策略的关联关系，其中映射清单可以位于另一服务器的数据库，也可以位于策略管控网元20的数据库中。当映射清单30存储在另一服务器的数据库时，策略管控网元20接收到用户账号信息之后，将该用户账号信息发送给该服务器，服务器查找本地数据库中的映射清单，将与用户账号信息关联的身份信息发送给策略管控网元20，进而策略管控网元20得到用户账号与用户身份信息与流量业务策略的关联关系。
74.在本实施例中，业务流量控制系统还包括认证服务器40，该认证服务器40用于与用户终端50进行认证交互，并在认证成功后，将认证报文镜像同步至dpi节点10；dpi节点10，用于从认证报文中提取得到ip和用户账号信息。
75.可以理解的是，当用户终端50想要接入网络时，认证服务器40会对用户终端50发送的账号和密码进行认证，确定账号和密码是否匹配且正确，当账号和密码匹配且正确时，配置用户终端50的用户ip；当认证服务器40在对用户终端50的认证成功后，将认证报文镜像同步至dpi节点10，进而dpi节点10可以从认证报文中提取得到用户ip和用户账号信息，此时dpi节点10可以建立用户ip和用户账号信息的关联关系，以便于后续确定对应ip与账号对应的流量管控策略。
76.为了便于理解，本实施例以一个较为具体的例子对业务流量管控方法进行说明，如图4所示，应用于业务流量控制系统，包括：用户(终端)50、基站60、lac(location area code，位置区码)网元70、lns(l2tp network server，l2tp访问集中器)80、radius(认证服务器)40、dpi节点10、策略管控网元20和映射清单30；
77.其中，lac网元70是为寻呼而设置的一个区域，覆盖一片地理区域，初期一般按行政区域划分(一个县或一个区)，或按寻呼量划分；lac70和lns80用于搭建核心网到城域网sr/bras的数据链路层隧道，lns80是用于处理l2tp协议服务器端部分的设备，它作为l2tp隧道的另一侧端点，是lac70的对端设备，是被lac70进行隧道传输的ppp会话的逻辑终止端点；在upf(user plane function,用户面功能)\pgw(pdn gateway，pdn网关)上进行lac拨号，无需进行复杂的imsi号到手机号的转换，实现开销小，可靠性高。
78.radius40用于与用户50进行认证交互。
79.dpi节点10具备流量特征库，用于识别用户50的业务流量，还用于识别radius40发送的认证报文中的用户信息，建立用户ip与用户账号的映射关系，基于用户ip对业务流量进行监测及管控。
80.策略管控网元20用于存储用户账号的业务流量管控策略，还将ip与账号信息与用户身份信息关联，匹配并下发相应的业务流量管控策略，进行相关的管控操作。
81.映射清单30存储用户多个接入网的用户账号与身份信息关联关系。该业务流量管控方法包括：
82.1、用户50通过无线移动通信网、宽带网络等方式接入互联网。
83.2、用户50上线时，认证流量通过lac70传递给radius40，认证成功后，radius40将认证交互报文镜像同步至dpi节点10。
84.3、dpi节点10拆分解认证交互中的pppoe会话报文，提取用户ip和账号信息，并和用户业务流实时归并，形成单个用户的ip与账号信息与业务流量的会话流表。
85.4、dpi节点10将用户账号上传至策略管控网元20，策略管控网元20将用户账号与映射清单关联，得到用户身份信息，并形成用户账号与用户身份信息与流量管控策略的关联信息。
86.5、策略管控网元20根据用户账号，向dpi节点10返还相应流量管控策略。
87.6、dpi节点10形成ip与账号信息与业务流量与流量管控策略的会话流表。
88.7、用户业务流量通过由lac70和lns 80形成的vpn(虚拟专用)网络进入dpi节点10，dpi节点10获取流量的用户ip，匹配到用户的账号，进而获取流量管控策略，对业务流量进行统一策略调度。
89.在此，对业务流量控制的方法的应用场景进行说明：
90.个人用户泛在接入场景：同一用户通过无线、固定宽带多个帐号接入互联网，均能根据其应用需求享受到相同的服务(如网络加速，流量安全防护等)，实现泛在接入条件下单用户业务策略的一致性；
91.政企用户场景：包括大型企业、学校、政府等多种行业客户，能基于行业客户的管理需求对其下属人员上网行为进行统一监测、管控等操作，如校园网内禁止访问不良或违法网站；即便学生离校回家，也可根据家庭宽带关联相同策略，限制学生访问非法网页，如限制政府、企业员工上班期间联网娱乐，提升工作效率。
92.例如如图5所示，当员工1用户通过ip1对应的手机账号接入网络时，dpi节点通过认证服务器镜像的认证报文获取到ip1和手机账号1，将手机账号1发送给管控策略网元，管控策略网元将手机账号1发送给映射清单对应的服务器，并接收服务器返回的手机账号1与员工1的关联关系，管控策略网元存储了企业a为各个员工设置的流量管控策略，进而管控策略网元形成了ip1与手机账号1与员工1与企业a与流量管控策略1的对应关系，进而将流量管控策略1发送给dpi节点，dpi节点形成ip1与手机账号1与员工1与流量管控策略1的关联关系，进而根据流量管控策略1对ip1的业务流量进行管控。当员工1用ip2对应的宽带账号接入网络时，dpi节点形成ip2与宽带账号1与员工1与流量管控策略1的关联关系，也根据流量管控策略1对ip2的业务流量进行管控。
93.需要说明的是，单个用户的ip地址是会变化的，例如通过手机和电脑上网，其ip地址不同，因此基于ip地址去关联流量管控策略，因此无法实现管控策略的统一管理和各网络策略调度的同步；本发明实施例提供的业务流量管控方法，通过用户账号向管控策略网元申请对应的管控策略，通用化程度高，实现对业务流量进行统一策略调度，实现业务策略的一致性。
94.进一步地，通过radius将认证报文镜像至dpi节点，解决相关技术中逐包解封导致的巨大开销问题，如pgw和upf需对用户流逐包解封截取用户imsi(国际移动用户识别码，international mobile subscriber identity)信息，严重影响设备运行转发。
95.进一步地，通过泛在接入网用户身份的实时回溯，解决基于认证数据库关联的离线分析方式的滞后性问题。
96.进一步地，通过dpi系统改造，独立于专业网络的集中式服务部署dpi节点，将认证报文和用户上网使用流量的用户流报文关联整合，以认证交互信息轻量级的解读开销实现
ip与用户帐号信息与流量与流量管控策略的实时关联，并保证认证过程全生命周期的ip信息的实时同步回溯，相较于相关技术，由于无需对认证之外的用户流镜像分析，实现成本低，系统开销小，且dpi节点无需部署在终端与radius之间的特定位置。
97.进一步地，在政企用户场景下，引入分级策略管理，建立行政企用户与个人用户信息与专业网络帐号三级关联表，解决相关技术中网络只适用于2c场景(面向个人的场景)，不适用2b场景(面向企业的场景)的情况；
98.进一步地，基于与各专业网络的对接和统一的策略管理，无论是通过无线还是固定带宽接入专业网络，通过统一化策略解决各网络业务策略调度不同步问题，实现业务策略的泛在化统一控制，并可进行多接入网络的多维度管理，更具灵活性。
99.进一步地，相比于传统路由转发，策略管控网元与dpi系统实行转控分离，在数据库与dpi系统间起到耦合作用，建立ip与账号与身份与策略的多级关联表，实现dpi系统基于业务的高效转发。
100.以下介绍本技术的装置实施例，可以用于执行本技术上述实施例中的基于业务流量管控方法。对于本技术装置实施例中未披露的细节，请参照本技术上述的业务流量管控方法的实施例。
101.如图6所示，图6是本技术的一示例性实施例示出的一种dpi节点的示意图，包括：
102.获取模块610，当用户终端接入网络时，获取用户终端的用户ip和用户账号信息，并建立用户ip与用户账号信息的关联关系；
103.发送模块620，将用户账号信息发送给策略管控网元，以使得策略管控网元将用户账号信息与映射清单关联，得到用户账号信息与流量管控策略的关联关系；
104.接收模块630，接收策略管控网元发送的与用户账号信息关联的流量管控策略，形成用户ip与用户账号信息与流量管控策略的关联关系，以对用户终端的业务流量进行控制。
105.在本技术的一些实施例中，基于前述方案，获取模块620具体用于接收认证服务器镜像同步的与用户终端交互的认证报文，从认证报文中提取得到用户ip和用户账号信息。
106.在本技术的一些实施例中，基于前述方案，dpi节点还包括管控模块，其用于当检测到用户终端的业务流量进入时，获取用户终端的用户ip，并通过用户ip与用户账号信息的关联关系，以及用户账号信息与流量管控策略的关联关系，确定对应的流量管控策略；根据流量管控策略对用户终端的业务流量进行管控。
107.在本技术的一些实施例中，基于前述方案，流量管理策略包括不同业务类型的业务流量对应的不同的子流量管控策略；管控模块实现根据流量管控策略对用户终端的业务流量进行管控的过程包括：识别用户终端的业务流量的业务类型；根据业务流量的业务类型关联对应的子流量管控策略，并根据子流量管控策略对用户终端的业务流量进行管控。
108.在本技术的一些实施例中，基于前述方案，账号信息对应的用户身份为政企用户的下属用户身份，流量管控策略包括下属用户身份对应的子流量管控策略；管控模块实现根据流量管控策略对用户终端的业务流量进行管控的过程包括：对企业用户的下属用户所对应的业务流量进行监测，以确定下属用户的网络行为；根据下属用户的网络行为和子流量管控策略对下属用户对应用户终端的业务流量进行管控。
109.在本技术的一些实施例中，基于前述方案，dpi节点还包括请求模块，其用于确定
业务流量为预设行业的业务流量时，向策略管控网元请求获取用户终端的用户身份，以为预设行业提供潜在需求用户清单。
110.需要说明的是，上述实施例所提供的装置与上述实施例所提供的方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。
111.在一示例性实施例中，一种计算机设备，包括一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个被所述一个或多个处理器执行时，使得所述计算机设备实现如前所述的方法。
112.图7是根据一示例性实施例示出的一种计算机设备的结构示意图。
113.需要说明的是，该计算机设备只是一个适配于本技术的示例，不能认为是提供了对本技术的使用范围的任何限制。该计算机设备也不能解释为需要依赖于或者必须具有图7中示出的示例性的计算机设备中的一个或者多个组件。
114.如图7所示，在一示例性实施例中，计算机设备包括处理组件701、存储器702、电源组件703、多媒体组件704、音频组件705、处理器706、传感器组件707和通信组件708。其中，上述组件并不全是必须的，计算机设备可以根据自身功能需求增加其他组件或减少某些组件，本实施例不作限定。
115.处理组件701通常控制计算机设备的整体操作，诸如与显示、数据通信以及日志数据处理相关联的操作等。处理组件701可以包括一个或多个处理器706来执行指令，以完成上述操作的全部或部分步骤。此外，处理组件701可以包括一个或多个模块，便于处理组件701和其他组件之间的交互。例如，处理组件701可以包括多媒体模块，以方便多媒体组件704和处理组件701之间的交互。
116.存储器702被配置为存储各种类型的数据以支持在计算机设备的操作，这些数据的示例包括用于在计算机设备上操作的任何应用程序或方法的指令。存储器702中存储有一个或多个模块，该一个或多个模块被配置成由该一个或多个处理器706执行，以完成上述实施例中所描述的方法中的全部或者部分步骤。
117.电源组件703为计算机设备的各种组件提供电力。电源组件703可以包括电源管理系统，一个或多个电源，及其他与为计算机设备生成、管理和分配电力相关联的组件。
118.多媒体组件704包括在计算机设备和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括tp(touch panel，触摸面板)和lcd(liquid crystal display，液晶显示器)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。
119.音频组件705被配置为输出和/或输入音频信号。例如，音频组件705包括一个麦克风，当计算机设备处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。在一些实施例中，音频组件705还包括一个扬声器，用于输出音频信号。
120.传感器组件707包括一个或多个传感器，用于为计算机设备提供各个方面的状态评估。例如，传感器组件707可以检测到计算机设备的打开/关闭状态，还可以检测计算机设
备的温度变化。
121.通信组件708被配置为便于计算机设备和其他设备之间有线或无线方式的通信。计算机设备可以接入基于通信标准的无线网络，例如wi-fi(wireless-fidelity，无线网络)。
122.可以理解，图7所示的结构仅为示意，计算机设备该可以包括比图7中所示更多或更少的组件，或者具有与图7所示不同的组件。图7中所示的各组件均可以采用硬件、软件或者其组合来实现。
123.在一示例性实施例中，一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前所述的方法。该计算机可读存储介质可以是上述实施例中描述的计算机设备中所包含的，也可以是单独存在，而未装配入该计算机设备中。
124.需要说明的是，本技术实施例所示的计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
125.本领域技术人员在考虑说明书及实践这里公开的实施方式后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。
126.上述内容，仅为本技术的较佳示例性实施例，并非用于限制本技术的实施方案，本领域普通技术人员根据本技术的主要构思和精神，可以十分方便地进行相应的变通或修改，故本技术的保护范围应以权利要求书所要求的保护范围为准。