本申請涉及數(shù)據(jù)處理技術(shù)領(lǐng)域，具體涉及一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法及裝置。本申請同時涉及一種基于傳輸層安全連接的業(yè)務(wù)類型提供方法及裝置，以及一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別系統(tǒng)。

背景技術(shù)：

電信運營商建設(shè)并擁有網(wǎng)絡(luò)基礎(chǔ)設(shè)施、并在此基礎(chǔ)上提供通訊服務(wù)，數(shù)據(jù)業(yè)務(wù)提供方可以利用電信運營商的網(wǎng)絡(luò)發(fā)展自己的數(shù)據(jù)業(yè)務(wù)，用戶可以通過其提供的客戶端(例如：app)訪問相應(yīng)的服務(wù)端，從而實現(xiàn)所需的功能。通?？蛻舳税l(fā)送的業(yè)務(wù)數(shù)據(jù)報文都會經(jīng)過電信運營商提供的業(yè)務(wù)接入網(wǎng)關(guān)，業(yè)務(wù)接入網(wǎng)關(guān)可以對接收到的業(yè)務(wù)數(shù)據(jù)報文進行識別，統(tǒng)計并記錄數(shù)據(jù)流量的歸屬信息、作為供計費網(wǎng)關(guān)進行計費的依據(jù)，并在處理完畢后將所述業(yè)務(wù)數(shù)據(jù)報文發(fā)送到公用數(shù)據(jù)網(wǎng)絡(luò)中，所述業(yè)務(wù)數(shù)據(jù)報文最終經(jīng)由路由器的轉(zhuǎn)發(fā)到達相應(yīng)的服務(wù)端，而服務(wù)端發(fā)送的業(yè)務(wù)數(shù)據(jù)報文也會經(jīng)由所述業(yè)務(wù)接入網(wǎng)關(guān)返回給所述客戶端。

目前，大部分數(shù)據(jù)業(yè)務(wù)流量都采用加密傳輸?shù)姆绞?，普遍利用客戶端與服務(wù)端建立的傳輸層安全連接(例如：tls連接)實現(xiàn)業(yè)務(wù)數(shù)據(jù)的加密傳輸，所述傳輸層安全連接是為應(yīng)用層提供的、位于tcp之上的安全傳輸通道，下面以tls連接為例進行說明?？蛻舳嗽趖ls握手階段向服務(wù)端發(fā)送clienthello報文，隨后雙方可以驗證證書并通過協(xié)商生成對稱密鑰，完成tls連接(也稱為tls會話)的建立，此后雙方就可以采用對稱密鑰基于所述tls連接進行加密通信。

在上述加密傳輸?shù)幕A(chǔ)上，業(yè)務(wù)接入網(wǎng)關(guān)通常采用基于sni的流量歸屬識別方案，即：利用在tlsclienthello報文的擴展字段中攜帶的sni(servernameindication)進行識別。根據(jù)tls協(xié)議的要求sni中通常包含業(yè)務(wù)域名信息(例如：alipay.com或者baidu.com)，指明客戶端想要訪問的主機或者虛擬主機(多個虛擬主機可以位于同一個物理服務(wù)器上)的名稱，業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)此業(yè)務(wù)域名信息將后續(xù)基于tls連接傳輸?shù)臄?shù)據(jù)業(yè)務(wù)流量歸屬到相應(yīng)的數(shù)據(jù)業(yè)務(wù)。

在具體應(yīng)用中上述現(xiàn)有技術(shù)具有以下缺陷：

1)因為運營商根據(jù)sni攜帶的業(yè)務(wù)域名信息識別數(shù)據(jù)流量的歸屬，而業(yè)務(wù)域名存在變動的可能性，為了保證運營商能夠正確地實施計費等功能，每當數(shù)據(jù)業(yè)務(wù)提供方增加、刪除、或者更改業(yè)務(wù)域名信息，都需要通知運營商，由運營商進行相應(yīng)的配置調(diào)整。由此可見，這種方式不僅增加了數(shù)據(jù)業(yè)務(wù)提供方的工作量，而且給運營商的運維配置管理帶來不便。

2)采用基于sni的識別方式，只能根據(jù)業(yè)務(wù)域名識別數(shù)據(jù)流量的歸屬，粒度單一、不夠靈活。

技術(shù)實現(xiàn)要素：

本申請實施例提供一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法和裝置，以解決采用現(xiàn)有技術(shù)導(dǎo)致的、數(shù)據(jù)業(yè)務(wù)提供方和運營商運作復(fù)雜以及識別粒度單一的問題。本申請實施例還提供一種基于傳輸層安全連接的業(yè)務(wù)類型提供方法和裝置，以及一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別系統(tǒng)。

本申請?zhí)峁┮环N基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法，所述方法在業(yè)務(wù)接入網(wǎng)關(guān)中實施，包括：

接收客戶端發(fā)送的用于建立傳輸層安全連接的預(yù)設(shè)報文；

通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型；

其中，所述業(yè)務(wù)類型標識由提供所述業(yè)務(wù)接入網(wǎng)關(guān)的運營方與提供所述客戶端的數(shù)據(jù)業(yè)務(wù)提供方通過預(yù)先協(xié)商分配給所述數(shù)據(jù)業(yè)務(wù)提供方，并預(yù)先指定給所述客戶端。

可選的，所述傳輸層安全連接包括：tls連接。

可選的，所述預(yù)設(shè)報文包括：clienthello報文；

所述通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識，包括：通過解封裝操作，從clienthello報文的擴展數(shù)據(jù)塊中提取業(yè)務(wù)類型擴展信息，并從所述業(yè)務(wù)類型擴展信息中至少提取所述業(yè)務(wù)類型標識。

可選的，從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中提取的信息還包括：消息認證碼；

通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識和所述消息認證碼之后，包括：至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；判斷所述本地消息認證碼與所述提取的消息認證碼是否一致；并在一致時，將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型；

其中，所述客戶端存儲的、與預(yù)先指定給其的業(yè)務(wù)類型標識相對應(yīng)的密鑰，與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步。

可選的，所述客戶端存儲的、與預(yù)先指定給其的業(yè)務(wù)類型標識相對應(yīng)的密鑰，與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步，通過以下方式實現(xiàn)：

所述客戶端從所述數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心獲取、并且僅獲取與預(yù)先指定給其的業(yè)務(wù)類型標識相對應(yīng)的密鑰，并存儲于客戶端；

所述業(yè)務(wù)接入網(wǎng)關(guān)從所述運營方的密鑰中心獲取與預(yù)先指定給所述客戶端的業(yè)務(wù)類型標識相對應(yīng)的密鑰，并存儲于業(yè)務(wù)接入網(wǎng)關(guān)；

所述數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心存儲的業(yè)務(wù)類型標識及對應(yīng)密鑰，與所述運營方的密鑰中心存儲的相應(yīng)信息保持同步。

可選的，所述對應(yīng)于所述業(yè)務(wù)類型標識的密鑰數(shù)量為兩個或者兩個以上；

從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中提取的信息還包括：密鑰標識；

所述至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；包括：

根據(jù)提取的所述密鑰標識，從本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選取相應(yīng)密鑰；

至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼。

可選的，從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中提取的信息還包括：時間戳；

所述至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼，包括：根據(jù)所述業(yè)務(wù)類型標識、所選密鑰、以及所述時間戳，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；

當所述判斷所述本地消息認證碼與所述提取的消息認證碼是否一致的結(jié)果為一致時，包括：獲取系統(tǒng)時間；通過與所述系統(tǒng)時間進行比較，判斷所述時間戳所對應(yīng)的時間是否處于預(yù)設(shè)有效范圍內(nèi)；并在處于所述有效范圍內(nèi)時，將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型；

其中，所述系統(tǒng)時間與所述客戶端的系統(tǒng)時間保持同步。

可選的，從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中提取的信息還包括：時間戳；

所述至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼，包括：根據(jù)所述業(yè)務(wù)類型標識、所述對應(yīng)于所述業(yè)務(wù)類型標識的密鑰、以及所述時間戳，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；

當所述判斷所述本地消息認證碼與所述提取的消息認證碼是否一致的結(jié)果為一致時，包括：獲取系統(tǒng)時間；通過與所述系統(tǒng)時間進行比較，判斷所述時間戳所對應(yīng)的時間是否處于預(yù)設(shè)有效范圍內(nèi)；并在處于所述有效范圍內(nèi)時，將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型；

其中，所述系統(tǒng)時間與所述客戶端的系統(tǒng)時間保持同步。

可選的，所述客戶端包括：ott業(yè)務(wù)客戶端。

相應(yīng)的，本申請還提供一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別裝置，所述裝置部署于業(yè)務(wù)接入網(wǎng)關(guān)，包括：

預(yù)設(shè)報文接收單元，用于接收客戶端發(fā)送的用于建立傳輸層安全連接的預(yù)設(shè)報文；

業(yè)務(wù)類型標識提取單元，用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型；其中，所述業(yè)務(wù)類型標識由提供所述業(yè)務(wù)接入網(wǎng)關(guān)的運營方與提供所述客戶端的數(shù)據(jù)業(yè)務(wù)提供方通過預(yù)先協(xié)商分配給所述數(shù)據(jù)業(yè)務(wù)提供方，并預(yù)先指定給所述客戶端。

可選的，所述業(yè)務(wù)類型標識提取單元，具體用于通過解封裝操作，從clienthello報文的擴展數(shù)據(jù)塊中提取業(yè)務(wù)類型擴展信息，從所述業(yè)務(wù)類型擴展信息中至少提取所述業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。

可選的，所述業(yè)務(wù)類型標識提取單元包括：信息提取子單元、本地消息認證碼計算子單元、認證碼比對子單元、以及流量歸屬識別子單元；

所述信息提取子單元，用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識和消息認證碼；

所述本地消息認證碼計算子單元，用于至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；

所述認證碼比對子單元，用于判斷所述本地消息認證碼與所述提取的消息認證碼是否一致；

所述流量歸屬識別子單元，用于當所述認證碼比對子單元的輸出為是時，將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型；

所述裝置還包括：

網(wǎng)關(guān)密鑰同步單元，用于所述客戶端存儲的、與預(yù)先指定給其的業(yè)務(wù)類型標識相對應(yīng)的密鑰，與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步。

可選的，所述信息提取子單元，具體用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識、消息認證碼和密鑰標識；

所述本地消息認證碼計算子單元，包括：

接入側(cè)密鑰選取子單元，用于根據(jù)提取的所述密鑰標識，從本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選取相應(yīng)密鑰；

接入側(cè)計算執(zhí)行子單元，用于至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼。

可選的，所述信息提取子單元，具體用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識、消息認證碼、密鑰標識和時間戳；

所述接入側(cè)計算執(zhí)行子單元，具體用于根據(jù)所述業(yè)務(wù)類型標識、所選密鑰、以及所述時間戳，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；

所述業(yè)務(wù)類型標識提取單元還包括：

系統(tǒng)時間獲取子單元，用于當所述認證碼比對子單元的輸出為是時，獲取系統(tǒng)時間；

時間戳驗證子單元，用于通過與所述系統(tǒng)時間進行比較，判斷所述時間戳所對應(yīng)的時間是否處于預(yù)設(shè)有效范圍內(nèi)；并在處于所述有效范圍內(nèi)時，觸發(fā)所述流量歸屬識別子單元；

所述裝置還包括：

網(wǎng)關(guān)時間同步單元，用于所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間與所述客戶端的系統(tǒng)時間保持同步。

可選的，所述信息提取子單元，具體用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識、消息認證碼和時間戳；

所述本地消息認證碼計算子單元，具體用于根據(jù)所述業(yè)務(wù)類型標識、所述對應(yīng)于所述業(yè)務(wù)類型標識的密鑰、以及所述時間戳，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；

所述業(yè)務(wù)類型標識提取單元還包括：

系統(tǒng)時間獲取子單元，用于當所述認證碼比對子單元的輸出為是時，獲取系統(tǒng)時間；

時間戳驗證子單元，用于通過與所述系統(tǒng)時間進行比較，判斷所述時間戳所對應(yīng)的時間是否處于預(yù)設(shè)有效范圍內(nèi)；并在處于所述有效范圍內(nèi)時，觸發(fā)所述流量歸屬識別子單元；

所述裝置還包括：

網(wǎng)關(guān)時間同步單元，用于所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間與所述客戶端的系統(tǒng)時間保持同步。

此外，本申請還提供一種基于傳輸層安全連接的業(yè)務(wù)類型提供方法，所述方法在客戶端實施，包括：

獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識；

在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息；

發(fā)送封裝后的所述預(yù)設(shè)報文，以供業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)所述業(yè)務(wù)類型標識進行業(yè)務(wù)數(shù)據(jù)流量歸屬的識別；

其中，所述業(yè)務(wù)類型標識由提供所述業(yè)務(wù)接入網(wǎng)關(guān)的運營方與提供所述客戶端的數(shù)據(jù)業(yè)務(wù)提供方通過預(yù)先協(xié)商分配給所述數(shù)據(jù)業(yè)務(wù)提供方，并預(yù)先指定給所述客戶端。

可選的，所述傳輸層安全連接包括：tls連接。

可選的，所述預(yù)設(shè)報文包括：clienthello報文；

所述在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息，包括：在用于建立tls連接的clienthello報文的擴展數(shù)據(jù)塊中，封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息。

可選的，在所述獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識后，包括：至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼；

在所述預(yù)設(shè)報文中封裝的業(yè)務(wù)類型擴展信息中，不僅包含所述業(yè)務(wù)類型標識，還包含：所述消息認證碼；

其中，所述本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步。

可選的，所述本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步，通過以下方式實現(xiàn)：

所述客戶端從所述數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心獲取對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，并存儲于客戶端；

所述業(yè)務(wù)接入網(wǎng)關(guān)從所述運營方的密鑰中心獲取對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，并存儲于業(yè)務(wù)接入網(wǎng)關(guān)；

所述數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心存儲的業(yè)務(wù)類型標識及對應(yīng)密鑰，與所述運營方的密鑰中心存儲的相應(yīng)信息保持同步。

可選的，所述對應(yīng)于所述業(yè)務(wù)類型標識的密鑰數(shù)量為兩個或者兩個以上；

所述至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼，包括：按照預(yù)設(shè)策略從對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選擇一個密鑰；至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用所述預(yù)設(shè)散列算法計算消息認證碼；

在所述業(yè)務(wù)類型擴展信息中還包含：所選密鑰的密鑰標識。

可選的，所述至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用所述預(yù)設(shè)散列算法計算消息認證碼，包括：獲取當前系統(tǒng)時間對應(yīng)的時間戳；根據(jù)所述業(yè)務(wù)類型標識和所選密鑰、以及所述時間戳，采用所述預(yù)設(shè)散列算法計算消息認證碼；

在所述業(yè)務(wù)類型擴展信息中還包含：所述時間戳；

其中，所述系統(tǒng)時間與所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步。

可選的，所述至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼，包括：獲取當前系統(tǒng)時間對應(yīng)的時間戳；根據(jù)所述業(yè)務(wù)類型標識和所述對應(yīng)于所述業(yè)務(wù)類型標識的密鑰、以及所述時間戳，采用所述預(yù)設(shè)散列算法計算消息認證碼；

在所述業(yè)務(wù)類型擴展信息中還包含：所述時間戳；

其中，所述系統(tǒng)時間與所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步。

可選的，所述方法包括：

根據(jù)預(yù)先獲取的運營策略，判斷是否執(zhí)行封裝業(yè)務(wù)類型標識的操作；

若是，則執(zhí)行所述獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識的步驟。

相應(yīng)的，本申請還提供一種基于傳輸層安全連接的業(yè)務(wù)類型提供裝置，所述裝置部署于客戶端，包括：

業(yè)務(wù)類型標識獲取單元，用于獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識；其中，所述業(yè)務(wù)類型標識由提供所述業(yè)務(wù)接入網(wǎng)關(guān)的運營方與提供所述客戶端的數(shù)據(jù)業(yè)務(wù)提供方通過預(yù)先協(xié)商分配給所述數(shù)據(jù)業(yè)務(wù)提供方，并預(yù)先指定給所述客戶端；

業(yè)務(wù)類型標識封裝單元，用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息；

預(yù)設(shè)報文發(fā)送單元，用于發(fā)送封裝后的所述預(yù)設(shè)報文，以供業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)所述業(yè)務(wù)類型標識進行業(yè)務(wù)數(shù)據(jù)流量歸屬的識別。

可選的，所述業(yè)務(wù)類型標識封裝單元，具體用于在用于建立tls連接的clienthello報文的擴展數(shù)據(jù)塊中，封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息。

可選的，所述裝置包括：

消息認證碼計算單元，用于在所述業(yè)務(wù)類型標識獲取單元獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識后，至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼；

所述業(yè)務(wù)類型標識封裝單元，具體用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識、及所述消息認證碼的業(yè)務(wù)類型擴展信息；

所述裝置還包括：

客戶端密鑰同步單元，用于本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步。

可選的，所述消息認證碼計算單元，包括：

客戶端密鑰選取子單元，用于按照預(yù)設(shè)策略從對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選擇一個密鑰；

客戶端第一計算執(zhí)行子單元，用于至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用與所述業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼；

所述業(yè)務(wù)類型標識封裝單元，具體用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識、所述消息認證碼、以及所選密鑰的密鑰標識的業(yè)務(wù)類型擴展信息。

可選的，所述客戶端第一計算執(zhí)行子單元，包括：

時間戳獲取子單元，用于獲取當前系統(tǒng)時間對應(yīng)的時間戳；

客戶端第二計算執(zhí)行子單元，用于根據(jù)所述業(yè)務(wù)類型標識和所選密鑰、以及所述時間戳，采用所述預(yù)設(shè)散列算法計算消息認證碼；

所述業(yè)務(wù)類型標識封裝單元，具體用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識、所述消息認證碼、以及所述時間戳的業(yè)務(wù)類型擴展信息；

所述裝置還包括：

客戶端時間同步單元，用于所述客戶端的系統(tǒng)時間與所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步。

可選的，所述消息認證碼計算單元包括：

時間戳獲取子單元，用于獲取當前系統(tǒng)時間對應(yīng)的時間戳；

客戶端第三計算執(zhí)行子單元，用于根據(jù)所述業(yè)務(wù)類型標識和所述對應(yīng)于所述業(yè)務(wù)類型標識的密鑰、以及所述時間戳，采用所述預(yù)設(shè)散列算法計算消息認證碼；

所述業(yè)務(wù)類型標識封裝單元，具體用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識、所述消息認證碼、以及所述時間戳的業(yè)務(wù)類型擴展信息；

所述裝置還包括：

客戶端時間同步單元，用于所述客戶端的系統(tǒng)時間與所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步。

可選的，所述裝置包括：

運營策略判斷單元，用于根據(jù)預(yù)先獲取的運營策略，判斷是否執(zhí)行封裝業(yè)務(wù)類型標識的操作；并在是時，觸發(fā)所述業(yè)務(wù)類型標識獲取單元工作。

此外，本申請還提供一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別系統(tǒng)，包括：根據(jù)上述任意一項所述的基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別裝置，以及根據(jù)上述任意一項所述的基于傳輸層安全連接的業(yè)務(wù)類型提供裝置。

與現(xiàn)有技術(shù)相比，本申請具有以下優(yōu)點：

本申請?zhí)峁┑幕趥鬏攲影踩B接的數(shù)據(jù)流量歸屬識別技術(shù)方案，由數(shù)據(jù)業(yè)務(wù)客戶端和業(yè)務(wù)接入網(wǎng)關(guān)配合完成。其中，客戶端獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識，在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息，并發(fā)送封裝后的所述預(yù)設(shè)報文；業(yè)務(wù)接入網(wǎng)關(guān)接收所述預(yù)設(shè)報文后，通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取所述業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。其中，所述業(yè)務(wù)類型標識由提供所述業(yè)務(wù)接入網(wǎng)關(guān)的運營方與提供所述客戶端的數(shù)據(jù)業(yè)務(wù)提供方、通過預(yù)先協(xié)商分配給所述數(shù)據(jù)業(yè)務(wù)提供方，并預(yù)先指定給所述客戶端。

本申請?zhí)岢龅纳鲜黾夹g(shù)方案，提供了一種識別數(shù)據(jù)業(yè)務(wù)流量歸屬的新思路，與傳統(tǒng)基于sni的流量歸屬識別方法不同，本技術(shù)方案采用業(yè)務(wù)類型標識區(qū)分不同的業(yè)務(wù)類型，客戶端在用于建立傳輸層安全連接的預(yù)設(shè)報文中封裝與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識，業(yè)務(wù)接入網(wǎng)關(guān)則根據(jù)業(yè)務(wù)類型標識識別數(shù)據(jù)流量歸屬。由于業(yè)務(wù)類型標識是數(shù)據(jù)業(yè)務(wù)提供方與運營方預(yù)先協(xié)商分配的，對于運營方來說可以做到一次配置長期有效，而且由于與業(yè)務(wù)域名無關(guān)，當數(shù)據(jù)業(yè)務(wù)提供方需要變更業(yè)務(wù)域名信息時，無需通知運營商進行重新配置。從而既簡化了數(shù)據(jù)業(yè)務(wù)提供方的操作，也為運營商的運維配置管理提供便利，而且還可以通過定義不同粒度的業(yè)務(wù)類型實現(xiàn)不同粒度的流量歸屬識別，與傳統(tǒng)基于sni的流量歸屬識別方法相比更為靈活，可以為流量統(tǒng)付等流量經(jīng)營模式、以及用戶行為監(jiān)控等業(yè)務(wù)目標提供更好的支持。

附圖說明

圖1是本申請的一種基于傳輸層安全連接的業(yè)務(wù)類型提供方法的實施例的流程圖；

圖2是本申請的一種基于傳輸層安全連接的業(yè)務(wù)類型提供裝置的實施例的示意圖；

圖3是本申請的一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法的實施例的流程圖；

圖4是本申請的一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別裝置的實施例的示意圖；

圖5是本申請的一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別系統(tǒng)的實施例的示意圖；

圖6是本申請實施例提供的流量歸屬識別的基本流程示意圖。

具體實施方式

在下面的描述中闡述了很多具體細節(jié)以便于充分理解本申請。但是，本申請能夠以很多不同于在此描述的其它方式來實施，本領(lǐng)域技術(shù)人員可以在不違背本申請內(nèi)涵的情況下做類似推廣，因此，本申請不受下面公開的具體實施的限制。

在本申請中，分別提供了一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法及裝置，一種基于傳輸層安全連接的業(yè)務(wù)類型提供方法及裝置，以及一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別系統(tǒng)。在下面的實施例中逐一進行詳細說明。

為了便于理解，在描述具體的實施例之前，先對本申請的技術(shù)方案進行簡要說明。本申請?zhí)峁┝艘环N識別數(shù)據(jù)業(yè)務(wù)流量歸屬的新技術(shù)方案，其核心在于：提出了業(yè)務(wù)類型標識的概念，用業(yè)務(wù)類型標識區(qū)分不同的業(yè)務(wù)類型，客戶端在用于建立傳輸層安全連接的預(yù)設(shè)報文中封裝與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識，業(yè)務(wù)接入網(wǎng)關(guān)則根據(jù)業(yè)務(wù)類型標識識別數(shù)據(jù)流量歸屬。由于業(yè)務(wù)類型標識是數(shù)據(jù)業(yè)務(wù)提供方與運營方預(yù)先協(xié)商分配的，而且與業(yè)務(wù)域名無關(guān)，因此可以簡化數(shù)據(jù)業(yè)務(wù)提供方的操作，也為運營商的運維配置管理提供便利。

所述數(shù)據(jù)業(yè)務(wù)包括基于有線寬帶接入方式或者無線接入方式、利用運營方的網(wǎng)絡(luò)設(shè)施向用戶提供的各種應(yīng)用服務(wù)，其中包括ott業(yè)務(wù)。所述數(shù)據(jù)業(yè)務(wù)提供方則是指提供數(shù)據(jù)業(yè)務(wù)的一方，例如：阿里巴巴、騰訊等。所述客戶端是指數(shù)據(jù)業(yè)務(wù)提供方提供的、用于訪問數(shù)據(jù)業(yè)務(wù)服務(wù)的應(yīng)用程序，例如：來往客戶端、qq客戶端等。所述運營方是指建設(shè)并擁有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一方，可以是通常所述的運營商，例如：中國電信等。數(shù)據(jù)業(yè)務(wù)客戶端發(fā)送的報文通常都會經(jīng)過運營方提供的業(yè)務(wù)接入網(wǎng)關(guān)，業(yè)務(wù)接入網(wǎng)關(guān)采集數(shù)據(jù)流量的歸屬信息，為其他網(wǎng)關(guān)或者服務(wù)器執(zhí)行基于數(shù)據(jù)流量歸屬的相關(guān)業(yè)務(wù)處理提供依據(jù)，例如：為計費網(wǎng)關(guān)進行計費提供依據(jù)。

所述業(yè)務(wù)類型標識是由提供業(yè)務(wù)接入網(wǎng)關(guān)的運營方與數(shù)據(jù)業(yè)務(wù)提供方、通過預(yù)先協(xié)商分配給所述數(shù)據(jù)業(yè)務(wù)提供方的。例如：可以由數(shù)據(jù)業(yè)務(wù)提供方向運營方發(fā)出申請，由運營方為其分配一個或者多個業(yè)務(wù)類型標識；也可以由數(shù)據(jù)業(yè)務(wù)提供方向運營商上報一個或者多個業(yè)務(wù)類型標識，經(jīng)由運營商審批后、相應(yīng)業(yè)務(wù)類型標識被分配給所述數(shù)據(jù)業(yè)務(wù)提供方。

所述業(yè)務(wù)類型則可以采用不同的粒度加以定義，例如：可以將數(shù)據(jù)業(yè)務(wù)提供方開展的多種數(shù)據(jù)業(yè)務(wù)指定為一種業(yè)務(wù)類型，那么通過協(xié)商為數(shù)據(jù)業(yè)務(wù)提供方分配一個業(yè)務(wù)類型標識(下面以serviceid表示)即可；為了實現(xiàn)更為細致的流量歸屬識別、為運營商進行流量經(jīng)營提供便利，也可以將數(shù)據(jù)業(yè)務(wù)提供方的不同數(shù)據(jù)業(yè)務(wù)分別定義為不同的業(yè)務(wù)類型，并用不同的serviceid加以區(qū)分，例如：阿里巴巴可以將支付寶和淘寶設(shè)定為不同的業(yè)務(wù)類型，用serviceid＝1標識支付寶業(yè)務(wù)類型，用serviceid＝2標識淘寶業(yè)務(wù)類型，進一步地，也可以將一種數(shù)據(jù)業(yè)務(wù)根據(jù)預(yù)設(shè)策略細化為不同的業(yè)務(wù)類型，例如對于淘寶數(shù)據(jù)業(yè)務(wù)，可以將對店鋪a的訪問和對店鋪b的訪問分別設(shè)定為不同的業(yè)務(wù)類型，用不同的serviceid加以標識。

由此可見，在具體實施中，本技術(shù)方案引入的業(yè)務(wù)類型標識，可以定義不同粒度的業(yè)務(wù)類型，因此為實現(xiàn)不同粒度的流量歸屬識別提供了可能性，比基于sni的流量歸屬識別方法更為靈活。具體實施時，定義好業(yè)務(wù)類型與serviceid的對應(yīng)關(guān)系后，數(shù)據(jù)業(yè)務(wù)提供方可以將serviceid指定給相應(yīng)的客戶端，即：建立業(yè)務(wù)類型標識與客戶端的對應(yīng)關(guān)系。

所述傳輸層安全連接是指為應(yīng)用層提供的、位于tcp之上的安全傳輸通道?？蛻舳伺c服務(wù)端建立傳輸層安全連接的過程通常包括：兩者之間先建立tcp數(shù)據(jù)連接，然后雙方采用預(yù)設(shè)流程協(xié)商對稱密鑰(在此過程中還可以進行身份驗證等安全性檢查)，完成對稱密鑰的協(xié)商后，可以認為傳輸層安全連接建立完畢，此后雙方就可以采用對稱密鑰基于所述傳輸層安全連接進行加密通信。

本技術(shù)方案可以應(yīng)用于基于傳輸層安全連接進行數(shù)據(jù)傳輸?shù)膽?yīng)用場景中，客戶端獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識，在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息，并發(fā)送封裝后的所述預(yù)設(shè)報文；業(yè)務(wù)接入網(wǎng)關(guān)接收所述預(yù)設(shè)報文后，通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中提取所述業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。

作為一種優(yōu)選實施方式，可以采用基于tls協(xié)議(transportlayersecurityprotocol—安全傳輸層協(xié)議)的tls連接(也稱為tls會話)作為所述傳輸層安全連接，從而便于目前各種基于tls協(xié)議的數(shù)據(jù)業(yè)務(wù)客戶端、以及業(yè)務(wù)接入網(wǎng)關(guān)實施本技術(shù)方案。在建立tls連接的過程中，客戶端向服務(wù)端發(fā)送clienthello報文、密鑰交換報文等多個報文，實施本技術(shù)方案的客戶端可以在上述報文的擴展數(shù)據(jù)塊或者預(yù)留字段、或者其它不影響tls連接建立過程的字段中封裝至少包含業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息?？紤]到clienthello報文是tls連接建立過程中通常需要發(fā)送的報文、而且其報文格式支持擴展數(shù)據(jù)塊，因此，在本文下面的實施例中以在tls連接的clienthello報文中，封裝至少包含業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息為例，對本技術(shù)方案的實施方式進行描述。

但是本技術(shù)方案并不局限于采用tls連接的應(yīng)用場景，也可以應(yīng)用于其他基于傳輸層安全連接的應(yīng)用場景中，只要客戶端與業(yè)務(wù)接入網(wǎng)關(guān)預(yù)先協(xié)商好所述預(yù)設(shè)報文的封裝格式，客戶端按照所述格式的要求封裝業(yè)務(wù)類型標識，業(yè)務(wù)接入網(wǎng)關(guān)接收預(yù)設(shè)報文后按照所述格式執(zhí)行解封裝操作，提取業(yè)務(wù)類型標識，就同樣可以實現(xiàn)本申請的技術(shù)方案。

下面對本申請?zhí)峁┑膶嵤├鹨贿M行說明。為了便于理解，首先描述本申請?zhí)峁┑囊环N基于傳輸層安全連接的業(yè)務(wù)類型提供方法的實施例，所述方法在客戶端實施。

參考圖1，其為本申請的一種基于傳輸層安全連接的業(yè)務(wù)類型提供方法的實施例的流程圖，所述方法包括如下步驟：

步驟101、獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識。

通常，客戶端可以預(yù)先接收服務(wù)端下發(fā)的運營策略，所述運營策略規(guī)定客戶端在報文中封裝業(yè)務(wù)類型標識的條件，因此在執(zhí)行本步驟之前，可以先根據(jù)所述營運策略，判斷是否需要執(zhí)行封裝業(yè)務(wù)類型標識的操作，若是，則執(zhí)行本步驟，獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識。所述運營策略可以包含時間、地域、或者系統(tǒng)配置等多個維度的條件，例如：可以規(guī)定在每天8:00—10:00之間封裝業(yè)務(wù)類型標識，如果當前時間為9:00，則滿足運營策略規(guī)定的條件，可以執(zhí)行本步驟。采用這種方式，可以根據(jù)運營需求、靈活地觸發(fā)本方法的實施。

本步驟獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識，為步驟102執(zhí)行封裝操作做好準備。在具體實施時，預(yù)先指定給所述客戶端的業(yè)務(wù)類型標識可以預(yù)置在所述客戶端中(例如寫在配置文件中)，也可以由客戶端在啟動時向服務(wù)端動態(tài)獲取。如果指定給所述客戶端的業(yè)務(wù)類型標識只有一個，那么本步驟直接獲取所述業(yè)務(wù)類型標識即可，如果根據(jù)對業(yè)務(wù)類型的劃分，為所述客戶端預(yù)先指定了兩個或者兩個以上的業(yè)務(wù)類型標識，那么本步驟則可以根據(jù)配置文件中對每種業(yè)務(wù)類型的描述、以及待傳輸業(yè)務(wù)數(shù)據(jù)的屬性或特征判斷其所屬的業(yè)務(wù)類型、并選擇相應(yīng)的業(yè)務(wù)類型標識。

步驟102、在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息。

客戶端與服務(wù)端之間建立起tcp連接之后，可以啟動傳輸層安全連接的建立過程，在本實施例中所述傳輸層安全連接是指tls連接，所述預(yù)設(shè)報文是clienthello報文，因此本步驟在用于建立tls連接的clienthello報文中封裝包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息。

在clienthello報文封裝所述業(yè)務(wù)類型擴展信息，是為了讓業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)其中包含的業(yè)務(wù)類型標識，進行數(shù)據(jù)流量歸屬的識別。在最為簡單易行的實施方式中，所述業(yè)務(wù)類型擴展信息中可以僅包含業(yè)務(wù)類型標識。

優(yōu)選地，為了便于業(yè)務(wù)接入網(wǎng)關(guān)驗證接收到的業(yè)務(wù)類型標識的完整性、以及甄別業(yè)務(wù)類型標識是否被冒用，本實施例提供根據(jù)步驟101獲取的業(yè)務(wù)類型標識及對應(yīng)密鑰計算消息認證碼、并在所述業(yè)務(wù)類型擴展信息中包含所述消息認證碼的優(yōu)選實施方式。另外，在此基礎(chǔ)上還分別提供了從多個密鑰中選取密鑰、以及在所述業(yè)務(wù)類型擴展信息中包含時間戳的另外兩種優(yōu)選實施方式。下面分別進行說明。

(一)根據(jù)所述業(yè)務(wù)類型標識及對應(yīng)密鑰計算消息認證碼

為了采用這種優(yōu)選實施方式，所述客戶端通常存儲對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，并且與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步。例如：所述業(yè)務(wù)類型標識為serviceid1，對應(yīng)密鑰為key1，客戶端存儲該信息，業(yè)務(wù)接入網(wǎng)關(guān)也同樣存儲了該信息。

具體實施時，所述客戶端可以預(yù)置指定給它的各業(yè)務(wù)類型標識的對應(yīng)密鑰，業(yè)務(wù)接入網(wǎng)關(guān)也可以預(yù)置指定給所述客戶端的各業(yè)務(wù)類型標識的對應(yīng)密鑰，并且與所述客戶端相同。

此外，也可以采用動態(tài)獲取的方式，客戶端可以在啟動過程中、或者定期從數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心獲取(可以通過請求獲取、也可以被動接收下發(fā)的密鑰信息)指定給它的各業(yè)務(wù)類型標識的對應(yīng)密鑰，并將獲取的信息在本地存儲；類似的，業(yè)務(wù)接入網(wǎng)關(guān)也可以定期從運營方的密鑰中心獲取指定給所述客戶端的各業(yè)務(wù)類型標識的對應(yīng)密鑰，并存儲在本地；并且，所述數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心存儲的業(yè)務(wù)類型標識及對應(yīng)密鑰、與運營方的密鑰中心存儲的相應(yīng)信息保持同步，例如：所述數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心可以定期將其維護的業(yè)務(wù)類型標識及對應(yīng)密鑰發(fā)送給運營方的密鑰中心。需要說明的是，所述客戶端不能從數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心獲取未指定給它的其他業(yè)務(wù)類型標識的對應(yīng)密鑰。

通過上述同步機制，在所述客戶端一側(cè)存儲的、預(yù)先指定給所述客戶端的各業(yè)務(wù)類型標識的對應(yīng)密鑰，與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步；自然，對于通過步驟101獲取的與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的所述業(yè)務(wù)類型標識，雙方也存儲了相同的密鑰。

在執(zhí)行本步驟之前，可以獲取本地存儲的、與所述業(yè)務(wù)類型標識對應(yīng)的密鑰，然后根據(jù)所述業(yè)務(wù)類型標識和所述密鑰，采用與所述業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼，例如：可以將所述業(yè)務(wù)類型標識和所述密鑰直接連接成字符串，然后采用預(yù)設(shè)散列算法計算消息認證碼。本步驟在clienthello報文的擴展數(shù)據(jù)塊中，封裝不僅包含所述業(yè)務(wù)類型標識，還包含所述消息認證碼的業(yè)務(wù)類型擴展信息。

(二)從對應(yīng)于所述業(yè)務(wù)類型標識的多個密鑰中選取密鑰

為了進一步加強安全性，與所述業(yè)務(wù)類型標識對應(yīng)的密鑰數(shù)量可以為兩個或者兩個以上，每個密鑰都有各自的標識信息。在這種情況下，在執(zhí)行本步驟之前，可以按照預(yù)設(shè)策略從對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選擇一個密鑰，然后根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用與業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼。本步驟在clienthello報文的擴展數(shù)據(jù)塊中，封裝不僅包含所述業(yè)務(wù)類型標識和所述消息認證碼、還包含所選密鑰的密鑰標識的業(yè)務(wù)類型擴展信息。

(三)在所述業(yè)務(wù)類型擴展信息中包含時間戳

為了便于業(yè)務(wù)接入網(wǎng)關(guān)驗證其接收到的clienthello報文中的業(yè)務(wù)類型標識的新鮮性，識別可能存在的回放(也稱為重放)行為，本實施例還提供在所述業(yè)務(wù)類型擴展信息中包含時間戳的優(yōu)選實施方式。采用這種優(yōu)選實施方式，要求客戶端的系統(tǒng)時間與業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步，保持系統(tǒng)時間同步可以有多種實施方式，此處列舉一種：客戶端與數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心通過時間同步協(xié)議(例如：簡單網(wǎng)絡(luò)時間協(xié)議)保持彼此的系統(tǒng)時間同步；業(yè)務(wù)接入網(wǎng)關(guān)與運營方密鑰中心通過時間同步協(xié)議保持彼此的系統(tǒng)時間同步；上述兩個密鑰中心則可以通過從原子鐘獲取時間的方式保持雙方系統(tǒng)時間的同步。在具體實施時，可以根據(jù)需要設(shè)置系統(tǒng)時間同步的精度，例如：可以設(shè)置為小時或者分鐘。

在客戶端的系統(tǒng)時間與業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步的基礎(chǔ)上，在執(zhí)行本步驟之前，可以獲取當前系統(tǒng)時間對應(yīng)的時間戳，根據(jù)步驟101獲取的業(yè)務(wù)類型標識和對應(yīng)于所述業(yè)務(wù)類型標識的密鑰、以及所述時間戳，采用與業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼。本步驟在clienthello報文的擴展數(shù)據(jù)塊中，封裝不僅包含所述業(yè)務(wù)類型標識和所述消息認證碼，還包含所述時間戳的業(yè)務(wù)類型擴展信息。

以上，在利用密鑰生成消息認證碼的優(yōu)選實施方式的基礎(chǔ)上，還分別給出了從多個密鑰中選取密鑰、以及攜帶時間戳的優(yōu)選實施方式，在具體實施時，這些優(yōu)選實施方式也可以結(jié)合使用。例如，可以將(二)和(三)結(jié)合起來實施，在執(zhí)行本步驟之前，首先從對應(yīng)于所述業(yè)務(wù)類型標識的多個密鑰中選取一個，獲取當前系統(tǒng)時間對應(yīng)的時間戳，然后根據(jù)所述業(yè)務(wù)類型標識、所選密鑰、以及所述時間戳，采用與業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼，那么本步驟在clienthello報文的擴展數(shù)據(jù)塊中封裝的業(yè)務(wù)類型擴展信息中，不僅包括所述業(yè)務(wù)類型標識、所述消息認證碼，還包括所選密鑰的密鑰標識、以及所述時間戳。

在clienthello報文的擴展數(shù)據(jù)塊中封裝至少包含業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息時，通常需要根據(jù)tls協(xié)議的規(guī)定進行封裝，例如添加類型信息、長度信息等。下面給出一個在clienthello報文的擴展數(shù)據(jù)塊中封裝業(yè)務(wù)類型擴展信息的具體例子，在本例子中，所述業(yè)務(wù)類型擴展信息中包含業(yè)務(wù)類型標識、時間戳、密鑰標識、以及消息認證碼：

type:0x698說明：擴展數(shù)據(jù)塊類型

length:xx說明：擴展數(shù)據(jù)塊長度

serviceid:xxxx說明：業(yè)務(wù)類型標識

servicetimestamp:12345678說明：時間戳

keyid：1說明：密鑰標識

mac:1233456789abcdefg說明：消息認證碼

上面描述了本實施例提供的多種優(yōu)選實施方式，主要是為了便于業(yè)務(wù)接入網(wǎng)關(guān)驗證業(yè)務(wù)類型標識的完整性、甄別是否被冒用、以及是否存在重放行為等，這些對于實施本技術(shù)方案都不是必需的。本技術(shù)方案的核心在于，客戶端在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息，以供業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)所述業(yè)務(wù)類型標識進行數(shù)據(jù)流量歸屬的識別，因此只要在所述預(yù)設(shè)報文中封裝了所述業(yè)務(wù)類型標識信息，就都在本申請的保護范圍內(nèi)。

步驟103、發(fā)送封裝后的所述預(yù)設(shè)報文，以供業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)所述業(yè)務(wù)類型標識進行數(shù)據(jù)流量歸屬的識別。

步驟102完成預(yù)設(shè)報文的封裝后，就可以向服務(wù)端發(fā)送所述預(yù)設(shè)報文。所述預(yù)設(shè)報文在傳輸過程中，會經(jīng)過所述業(yè)務(wù)接入網(wǎng)關(guān)，業(yè)務(wù)接入網(wǎng)關(guān)識別所述預(yù)設(shè)報文后，可以根據(jù)其中封裝的業(yè)務(wù)類型標識進行數(shù)據(jù)流量歸屬的識別。

綜上所述，本實施例提供的一種基于傳輸層安全連接的業(yè)務(wù)類型提供方法，由客戶端在用于建立傳輸層安全連接的預(yù)設(shè)報文中封裝至少包含業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息，為業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)業(yè)務(wù)類型標識進行數(shù)據(jù)流量歸屬的識別提供了必要前提；而且客戶端封裝的業(yè)務(wù)類型標識可以對應(yīng)于不同粒度的業(yè)務(wù)類型，因此可以在業(yè)務(wù)接入網(wǎng)關(guān)一側(cè)實現(xiàn)不同粒度的數(shù)據(jù)流量歸屬識別。

在上述的實施例中，提供了一種基于傳輸層安全連接的業(yè)務(wù)類型提供方法，與之相對應(yīng)的，本申請還提供一種基于傳輸層安全連接的業(yè)務(wù)類型提供裝置。請參看圖2，其為本申請的一種基于傳輸層安全連接的業(yè)務(wù)類型提供裝置的實施例示意圖。由于裝置實施例基本相似于方法實施例，所以描述得比較簡單，相關(guān)之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。

本實施例的一種基于傳輸層安全連接的業(yè)務(wù)類型提供裝置，所述裝置部署于客戶端，包括：業(yè)務(wù)類型標識獲取單元201，用于獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識；其中，所述業(yè)務(wù)類型標識由提供所述業(yè)務(wù)接入網(wǎng)關(guān)的運營方與提供所述客戶端的數(shù)據(jù)業(yè)務(wù)提供方通過預(yù)先協(xié)商分配給所述數(shù)據(jù)業(yè)務(wù)提供方，并預(yù)先指定給所述客戶端；業(yè)務(wù)類型標識封裝單元202，用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息；預(yù)設(shè)報文發(fā)送單元203，用于發(fā)送封裝后的所述預(yù)設(shè)報文，以供業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)所述業(yè)務(wù)類型標識進行業(yè)務(wù)數(shù)據(jù)流量歸屬的識別。

可選的，所述業(yè)務(wù)類型標識封裝單元，具體用于在用于建立tls連接的clienthello報文的擴展數(shù)據(jù)塊中，封裝至少包含所述業(yè)務(wù)類型標識的業(yè)務(wù)類型擴展信息。

可選的，所述裝置包括：

消息認證碼計算單元，用于在所述業(yè)務(wù)類型標識獲取單元獲取與待傳輸業(yè)務(wù)數(shù)據(jù)對應(yīng)的業(yè)務(wù)類型標識后，至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼；

所述業(yè)務(wù)類型標識封裝單元，具體用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識、及所述消息認證碼的業(yè)務(wù)類型擴展信息；

所述裝置還包括：

客戶端密鑰同步單元，用于本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步。

可選的，所述消息認證碼計算單元，包括：

客戶端密鑰選取子單元，用于按照預(yù)設(shè)策略從對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選擇一個密鑰；

客戶端第一計算執(zhí)行子單元，用于至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用與所述業(yè)務(wù)接入網(wǎng)關(guān)相同的預(yù)設(shè)散列算法計算消息認證碼；

所述業(yè)務(wù)類型標識封裝單元，具體用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識、所述消息認證碼、以及所選密鑰的密鑰標識的業(yè)務(wù)類型擴展信息。

可選的，所述客戶端第一計算執(zhí)行子單元，包括：

時間戳獲取子單元，用于獲取當前系統(tǒng)時間對應(yīng)的時間戳；

客戶端第二計算執(zhí)行子單元，用于根據(jù)所述業(yè)務(wù)類型標識和所選密鑰、以及所述時間戳，采用所述預(yù)設(shè)散列算法計算消息認證碼；

所述業(yè)務(wù)類型標識封裝單元，具體用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識、所述消息認證碼、以及所述時間戳的業(yè)務(wù)類型擴展信息；

所述裝置還包括：

客戶端時間同步單元，用于所述客戶端的系統(tǒng)時間與所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步。

可選的，所述消息認證碼計算單元包括：

時間戳獲取子單元，用于獲取當前系統(tǒng)時間對應(yīng)的時間戳；

客戶端第三計算執(zhí)行子單元，用于根據(jù)所述業(yè)務(wù)類型標識和所述對應(yīng)于所述業(yè)務(wù)類型標識的密鑰、以及所述時間戳，采用所述預(yù)設(shè)散列算法計算消息認證碼；

所述業(yè)務(wù)類型標識封裝單元，具體用于在用于與服務(wù)端建立傳輸層安全連接的預(yù)設(shè)報文中，封裝至少包含所述業(yè)務(wù)類型標識、所述消息認證碼、以及所述時間戳的業(yè)務(wù)類型擴展信息；

所述裝置還包括：

客戶端時間同步單元，用于所述客戶端的系統(tǒng)時間與所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步。

可選的，所述裝置包括：

運營策略判斷單元，用于根據(jù)預(yù)先獲取的運營策略，判斷是否執(zhí)行封裝業(yè)務(wù)類型標識的操作；并在是時，觸發(fā)所述業(yè)務(wù)類型標識獲取單元工作。

此外，本申請還提供一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法，所述方法通常業(yè)務(wù)接入網(wǎng)關(guān)中實施。

請參考圖3，其為本申請?zhí)峁┑囊环N基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法的實施例的流程圖，本實施例與上述方法實施例步驟相同的部分不再贅述，下面重點描述不同之處。本實施例的一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法，包括如下步驟：

步驟301、接收客戶端發(fā)送的用于建立傳輸層安全連接的預(yù)設(shè)報文。

客戶端發(fā)送的數(shù)據(jù)報文在傳輸?shù)竭_服務(wù)端之前，通常都會經(jīng)過業(yè)務(wù)接入網(wǎng)關(guān)，業(yè)務(wù)接入網(wǎng)關(guān)接收客戶端發(fā)送的數(shù)據(jù)報文后，根據(jù)報文封裝的協(xié)議類型、端口等相關(guān)信息識別是否為所述預(yù)設(shè)報文，如果是則可以執(zhí)行后續(xù)步驟302。

在本實施例中，所述傳輸層安全連接是tls連接，在tls連接上承載的是https應(yīng)用，所述預(yù)設(shè)報文是clienthello報文，那么如果業(yè)務(wù)接入網(wǎng)關(guān)通過對接收報文的解析，發(fā)現(xiàn)該報文是443端口的，并且是tls握手階段(contenttype＝22)的消息類型為1的報文，就可以識別出該報文為clienthello報文，隨后就可以執(zhí)行步驟302。

步驟302、通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。

本步驟可以根據(jù)與客戶端約定好的格式，從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中提取業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。本實施例中，可以從clienthello報文擴展數(shù)據(jù)塊中提取業(yè)務(wù)類型擴展信息，并從中提取所述業(yè)務(wù)類型標識。

為了便于業(yè)務(wù)接入網(wǎng)關(guān)能夠?qū)笪男畔⒌耐暾赃M行驗證，以及甄別冒用業(yè)務(wù)類型標識等現(xiàn)象，所述客戶端還可以在預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中包含消息驗證碼、密鑰標識、時間戳等信息，業(yè)務(wù)接入網(wǎng)關(guān)和所述客戶端可以預(yù)先約定好在預(yù)設(shè)報文中封裝哪些信息，那么本步驟可以根據(jù)從所述業(yè)務(wù)類型擴展信息中提取的信息執(zhí)行相應(yīng)的驗證操作，下面描述幾種優(yōu)選實施方式。

(一)提取的信息包括：業(yè)務(wù)類型標識和基于密鑰計算得到的消息認證碼。

采用基于密鑰計算消息認證碼的優(yōu)選實施方式，要求所述客戶端存儲的密鑰信息與業(yè)務(wù)接入網(wǎng)關(guān)同步，即：對于預(yù)先指定給所述客戶端的各業(yè)務(wù)類型標識，客戶端所存儲的相應(yīng)密鑰，與業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步。此外，業(yè)務(wù)接入網(wǎng)關(guān)通常為多種客戶端(包括本實施例中的所述客戶端)提供接入服務(wù)，因此也可以存儲指定給其他客戶端的業(yè)務(wù)類型標識的對應(yīng)密鑰，這些密鑰可以是預(yù)置的、也可以是從運營方的密鑰中心獲取的。

本步驟可以通過以下方式驗證業(yè)務(wù)類型標識的完整性、以及所述客戶端是否存在冒用業(yè)務(wù)類型標識的行為。

具體實現(xiàn)可以為：根據(jù)從預(yù)設(shè)報文中提取的業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；判斷所述本地消息認證碼與所述提取的消息認證碼是否一致。

若一致，一方面驗證了業(yè)務(wù)類型標識的信息完整性，另一方面說明所述客戶端在計算消息認證碼時使用的是指定給其的業(yè)務(wù)類型標識以及相對應(yīng)的正確密鑰，所述客戶端沒有冒用其他客戶端的業(yè)務(wù)類型標識，在這種情況下，可以根據(jù)所述業(yè)務(wù)類型標識，將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。

若不一致，可能是因為在所述預(yù)設(shè)報文中封裝的業(yè)務(wù)類型標識的完整性在傳輸過程中被破壞，或者是客戶端冒用了未指定給它的業(yè)務(wù)類型標識，而客戶端沒有相對應(yīng)的正確密鑰，因此導(dǎo)致其在預(yù)設(shè)報文中封裝的消息認證碼與業(yè)務(wù)接入網(wǎng)關(guān)計算得到的不同。在這兩種情況下，都不能夠根據(jù)所述業(yè)務(wù)類型標識，將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。

傳統(tǒng)基于sni的數(shù)據(jù)流量識別方案不具備對sni正確性的驗證機制，因此無法識別可能存在的流量欺詐現(xiàn)象，例如：訪問某一數(shù)據(jù)業(yè)務(wù)的報文、卻攜帶了其他數(shù)據(jù)業(yè)務(wù)的sni，從而導(dǎo)致業(yè)務(wù)接入網(wǎng)關(guān)做出錯誤的流量歸屬判定。而本實施例提供的上述優(yōu)選實施方式，通過對消息認證碼的比對，可以識別出客戶端的冒充行為，從而避免作出錯誤的流量歸屬判定。

(二)提取的信息包括：業(yè)務(wù)類型標識、消息認證碼和密鑰標識。

為了進一步提高安全性，與所述業(yè)務(wù)類型標識對應(yīng)的密鑰數(shù)量可以為兩個或者兩個以上，所述客戶端選用了其中一個參與消息認證碼的計算，業(yè)務(wù)接入網(wǎng)關(guān)也需要使用同樣的密鑰進行驗證。在這種情況下，本步驟從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中提取的信息不僅包括業(yè)務(wù)類型標識、消息認證碼，還包括密鑰標識，計算本地消息認證碼的方式也相應(yīng)地調(diào)整為：

根據(jù)提取的所述密鑰標識，從本地存儲的對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選取相應(yīng)密鑰；至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼。

在通過上述方式計算得到消息認證碼后，可以采用在(一)中描述的相同方式進行驗證，從而不僅可以甄別是否存在冒用業(yè)務(wù)類型標識的現(xiàn)象，而且由于采用了多密鑰，因此可以進一步增強安全性。

(三)提取的信息包括：業(yè)務(wù)類型標識、消息認證碼和時間戳信息。

為了識別是否存在報文重放(也稱回放)現(xiàn)象，客戶端可以在發(fā)送的報文中封裝時間戳，業(yè)務(wù)接入網(wǎng)關(guān)則根據(jù)系統(tǒng)時間和所述時間戳判斷接收到的報文是否為重放報文。采用這種優(yōu)選實施方案，要求客戶端的系統(tǒng)時間與業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間保持同步，具體實施方式，請參見上一方法實施例中的相關(guān)描述，此處不再贅述。

本步驟從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中提取的信息不僅包括業(yè)務(wù)類型標識、消息認證碼，還包括時間戳，計算本地消息認證碼的方式也相應(yīng)地調(diào)整為：根據(jù)所述業(yè)務(wù)類型標識、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰、以及所述時間戳信息，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼。

在通過上述方式計算得到本地消息認證碼后，可以采用在(一)中描述的相同方式進行驗證，當判斷出本地消息認證碼與從預(yù)設(shè)報文中提取的消息認證碼一致時，可以執(zhí)行如下操作：獲取系統(tǒng)時間；通過與所述系統(tǒng)時間進行比較，判斷所述時間戳所對應(yīng)的時間是否處于預(yù)設(shè)有效范圍內(nèi)；并在處于所述有效范圍內(nèi)時，將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。

為了便于理解，此處舉例說明。預(yù)先設(shè)置有效范圍為：業(yè)務(wù)接入網(wǎng)關(guān)接收并處理所述預(yù)設(shè)報文之前的10分鐘，那么如果業(yè)務(wù)接入網(wǎng)關(guān)在本步驟獲取的系統(tǒng)時間為9:10，從預(yù)設(shè)報文中提取的時間戳所對應(yīng)的時間為9:08，由于9:08處于9:10之前的10分鐘之內(nèi)，因此可以認為不是重放報文，但是如果時間戳所對應(yīng)的時間為8:30，則可以認為接收到的預(yù)設(shè)報文是經(jīng)過攔截、復(fù)制處理后的重放報文，在這種情況下，則不能利用從所述預(yù)設(shè)報文中提取的業(yè)務(wù)類型標識進行后續(xù)流量的歸屬判定。采用這種實施方式可以抵御網(wǎng)絡(luò)中可能存在的重放攻擊。

以上給出了與客戶端相配合的幾種優(yōu)選實施方式，在具體實施時，可以根據(jù)需要選取相應(yīng)的實施方式，例如：也可以將上述第二種與第三種優(yōu)選實施方式結(jié)合起來，在這種情況下，客戶端在預(yù)設(shè)報文中封裝的業(yè)務(wù)類型擴展信息中包含：業(yè)務(wù)類型標識、消息認證碼、密鑰標識、以及時間戳，本步驟可以在提取上述信息后，先根據(jù)提取的所述密鑰標識，從本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選取相應(yīng)密鑰，然后根據(jù)提取的業(yè)務(wù)類型標識、所選密鑰、以及提取的時間戳計算本地消息認證碼，最后判斷所述本地消息認證碼與提取的消息認證碼是否一致，并在一致的情況下判斷時間戳是否在有效范圍內(nèi)。

需要說明的是，本技術(shù)方案的核心在于：業(yè)務(wù)接入網(wǎng)關(guān)從預(yù)設(shè)報文中提取業(yè)務(wù)類型標識，并根據(jù)所述標識確定后續(xù)流量歸屬。上述提供的多種優(yōu)選實施方式，主要是為了識別冒用業(yè)務(wù)類型標識、以及重放行為等異常操作行為，是對本技術(shù)方案的進一步的優(yōu)化。

在本實施例中，在從用于建立tls連接的clienthello報文中提取業(yè)務(wù)類型標識后，可以將后續(xù)基于所述tls連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。在具體實施時，可以在解封裝操作過程中，記錄所述tls連接的五元組信息，包括：源ip地址，源端口，目的ip地址，目的端口和協(xié)議號，并建立起五元組與所述業(yè)務(wù)類型標識的對應(yīng)關(guān)系，那么當客戶端與服務(wù)端利用建立好的tls連接傳輸應(yīng)用層數(shù)據(jù)時，業(yè)務(wù)接入網(wǎng)關(guān)可以將與所述五元組對應(yīng)的業(yè)務(wù)數(shù)據(jù)流量都歸屬于所述業(yè)務(wù)類型標識所對應(yīng)的業(yè)務(wù)類型。

需要說明的是，基于tls連接傳輸?shù)膽?yīng)用層數(shù)據(jù)，并不局限于遵循h(huán)ttp協(xié)議的應(yīng)用層數(shù)據(jù)，也可以是基于其他協(xié)議的應(yīng)用層數(shù)據(jù)，例如：ftp、smtp、pop、telnet等，都是可以的。

在具體實施時，業(yè)務(wù)接入網(wǎng)關(guān)通過實施本實施例描述的方法，在根據(jù)業(yè)務(wù)類型標識識別數(shù)據(jù)流量歸屬的基礎(chǔ)上，可以定期生成流量清單，記錄與每個業(yè)務(wù)類型標識對應(yīng)的數(shù)據(jù)流量。例如，為了簡化描述用serviceid代表業(yè)務(wù)類型標識，可以生成如下形式的流量清單：serviceid1—xxxx字節(jié)，serviceid2—xxxx字節(jié)，......。并可以將生成的流量清單提供給進行計費的計費網(wǎng)關(guān)，由于serviceid是由運營方與數(shù)據(jù)業(yè)務(wù)提供方協(xié)商分配的，計費網(wǎng)關(guān)通常預(yù)先配置了serviceid與數(shù)據(jù)業(yè)務(wù)提供方之間的對應(yīng)關(guān)系，因此可以將屬于同一數(shù)據(jù)業(yè)務(wù)提供方的流量統(tǒng)一進行計費，也可以采用預(yù)先設(shè)定的差異化計費方式，根據(jù)不同的serviceid采用不同的計費方式，并最終匯總到相應(yīng)的數(shù)據(jù)業(yè)務(wù)提供方。

此外，業(yè)務(wù)接入網(wǎng)關(guān)生成的流量清單不僅可以用于計費，還可以提供給其他的服務(wù)端進行進一步的數(shù)據(jù)挖掘，例如：可以基于不同時段、不同業(yè)務(wù)類型的數(shù)據(jù)流量，分析用戶上網(wǎng)行為、實施用戶行為監(jiān)控等其他業(yè)務(wù)目標。

綜上所述，本申請?zhí)峁┑幕趥鬏攲影踩B接的數(shù)據(jù)流量歸屬識別方法，可以在運營方原有設(shè)備的基礎(chǔ)上增加通過業(yè)務(wù)類型標識識別數(shù)據(jù)流量歸屬的功能，即：客戶端可以在用于建立傳輸層安全連接的預(yù)設(shè)報文中封裝業(yè)務(wù)類型標識，而業(yè)務(wù)接入網(wǎng)關(guān)根據(jù)該標識識別后續(xù)業(yè)務(wù)數(shù)據(jù)的流量歸屬。采用該技術(shù)方案，可以在保證業(yè)務(wù)數(shù)據(jù)安全傳輸?shù)幕A(chǔ)上實現(xiàn)數(shù)據(jù)流量的有效識別，不僅可以簡化數(shù)據(jù)業(yè)務(wù)提供方和運營方的操作復(fù)雜度，實現(xiàn)不同粒度的流量歸屬識別，而且可以為流量統(tǒng)付等流量經(jīng)營模式、以及用戶行為監(jiān)控等業(yè)務(wù)目標提供更好的支持。

在上述的實施例中，提供了一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別方法，與之相對應(yīng)的，本申請還提供一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別裝置。請參看圖4，其為本申請的一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別裝置的實施例示意圖。由于裝置實施例基本相似于方法實施例，所以描述得比較簡單，相關(guān)之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。

本實施例的一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別裝置，所述裝置部署于業(yè)務(wù)接入網(wǎng)關(guān)，包括：預(yù)設(shè)報文接收單元401，用于接收客戶端發(fā)送的用于建立傳輸層安全連接的預(yù)設(shè)報文；業(yè)務(wù)類型標識提取單元402，用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型；其中，所述業(yè)務(wù)類型標識由提供所述業(yè)務(wù)接入網(wǎng)關(guān)的運營方與提供所述客戶端的數(shù)據(jù)業(yè)務(wù)提供方通過預(yù)先協(xié)商分配給所述數(shù)據(jù)業(yè)務(wù)提供方，并預(yù)先指定給所述客戶端。

可選的，所述業(yè)務(wù)類型標識提取單元，具體用于通過解封裝操作，從clienthello報文的擴展數(shù)據(jù)塊中提取業(yè)務(wù)類型擴展信息，從所述業(yè)務(wù)類型擴展信息中至少提取所述業(yè)務(wù)類型標識，并將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。

可選的，所述業(yè)務(wù)類型標識提取單元包括：信息提取子單元、本地消息認證碼計算子單元、認證碼比對子單元、以及流量歸屬識別子單元；

所述信息提取子單元，用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識和消息認證碼；

所述本地消息認證碼計算子單元，用于至少根據(jù)所述業(yè)務(wù)類型標識和本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；

所述認證碼比對子單元，用于判斷所述本地消息認證碼與所述提取的消息認證碼是否一致；

所述流量歸屬識別子單元，用于當所述認證碼比對子單元的輸出為是時，將后續(xù)基于所述傳輸層安全連接的業(yè)務(wù)數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型；

所述裝置還包括：

網(wǎng)關(guān)密鑰同步單元，用于所述客戶端存儲的、與預(yù)先指定給其的業(yè)務(wù)類型標識相對應(yīng)的密鑰，與所述業(yè)務(wù)接入網(wǎng)關(guān)存儲的相應(yīng)信息保持同步。

可選的，所述信息提取子單元，具體用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識、消息認證碼和密鑰標識；

所述本地消息認證碼計算子單元，包括：

接入側(cè)密鑰選取子單元，用于根據(jù)提取的所述密鑰標識，從本地存儲的、對應(yīng)于所述業(yè)務(wù)類型標識的各密鑰中選取相應(yīng)密鑰；

接入側(cè)計算執(zhí)行子單元，用于至少根據(jù)所述業(yè)務(wù)類型標識和所選密鑰，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼。

可選的，所述信息提取子單元，具體用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識、消息認證碼、密鑰標識和時間戳；

所述接入側(cè)計算執(zhí)行子單元，具體用于根據(jù)所述業(yè)務(wù)類型標識、所選密鑰、以及所述時間戳，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；

所述業(yè)務(wù)類型標識提取單元還包括：

系統(tǒng)時間獲取子單元，用于當所述認證碼比對子單元的輸出為是時，獲取系統(tǒng)時間；

時間戳驗證子單元，用于通過與所述系統(tǒng)時間進行比較，判斷所述時間戳所對應(yīng)的時間是否處于預(yù)設(shè)有效范圍內(nèi)；并在處于所述有效范圍內(nèi)時，觸發(fā)所述流量歸屬識別子單元；

所述裝置還包括：

網(wǎng)關(guān)時間同步單元，用于所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間與所述客戶端的系統(tǒng)時間保持同步。

可選的，所述信息提取子單元，具體用于通過解封裝操作從所述預(yù)設(shè)報文的業(yè)務(wù)類型擴展信息中至少提取業(yè)務(wù)類型標識、消息認證碼和時間戳；

所述本地消息認證碼計算子單元，具體用于根據(jù)所述業(yè)務(wù)類型標識、所述對應(yīng)于所述業(yè)務(wù)類型標識的密鑰、以及所述時間戳，采用與所述客戶端相同的預(yù)設(shè)散列算法計算本地消息認證碼；

所述業(yè)務(wù)類型標識提取單元還包括：

系統(tǒng)時間獲取子單元，用于當所述認證碼比對子單元的輸出為是時，獲取系統(tǒng)時間；

時間戳驗證子單元，用于通過與所述系統(tǒng)時間進行比較，判斷所述時間戳所對應(yīng)的時間是否處于預(yù)設(shè)有效范圍內(nèi)；并在處于所述有效范圍內(nèi)時，觸發(fā)所述流量歸屬識別子單元；

所述裝置還包括：

網(wǎng)關(guān)時間同步單元，用于所述業(yè)務(wù)接入網(wǎng)關(guān)的系統(tǒng)時間與所述客戶端的系統(tǒng)時間保持同步。

此外，本申請實施例還提供了一種基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別系統(tǒng)，如圖5所示，該系統(tǒng)包括：基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別裝置501，以及基于傳輸層安全連接的業(yè)務(wù)類型提供裝置502。

其中，所述基于傳輸層安全連接的業(yè)務(wù)類型提供裝置(以下簡稱業(yè)務(wù)類型提供裝置)可以部署于移動終端或者計算機等客戶端設(shè)備，所述基于傳輸層安全連接的數(shù)據(jù)流量歸屬識別裝置(以下簡稱數(shù)據(jù)流量歸屬識別裝置)可以部署于運營方的業(yè)務(wù)接入網(wǎng)關(guān)服務(wù)器上。在具體實施時，所述系統(tǒng)中通常還包括：數(shù)據(jù)業(yè)務(wù)服務(wù)器，下面結(jié)合圖6，對流量歸屬識別的基本流程作簡要說明。

部署于移動終端設(shè)備的業(yè)務(wù)類型提供裝置在需要發(fā)送應(yīng)用層數(shù)據(jù)時，在與數(shù)據(jù)業(yè)務(wù)服務(wù)器建立tcp連接的基礎(chǔ)上，啟動tls連接的建立過程，在clienthello報文中封裝業(yè)務(wù)類型標識，部署于業(yè)務(wù)接入網(wǎng)關(guān)服務(wù)器的數(shù)據(jù)流量歸屬識別裝置識別該報文后，從中提取業(yè)務(wù)類型標識，與tls連接建立關(guān)聯(lián)，并將clienthello報文繼續(xù)傳輸給數(shù)據(jù)業(yè)務(wù)服務(wù)器；tls連接建立完畢，移動終端設(shè)備與數(shù)據(jù)業(yè)務(wù)服務(wù)器之間利用tls連接傳輸應(yīng)用層數(shù)據(jù)，數(shù)據(jù)流量歸屬識別裝置根據(jù)已提取的業(yè)務(wù)類型標識，將這些數(shù)據(jù)流量歸屬于相應(yīng)的業(yè)務(wù)類型。

在具體實施時，本系統(tǒng)中還可以有數(shù)據(jù)業(yè)務(wù)提供方的密鑰中心、以及運營方的密鑰中心，分別為業(yè)務(wù)類型提供裝置和數(shù)據(jù)流量歸屬識別裝置提供與業(yè)務(wù)類型標識對應(yīng)的密鑰，從而數(shù)據(jù)流量歸屬識別裝置從clienthello報文中提取業(yè)務(wù)類型標識后，還可以實現(xiàn)對業(yè)務(wù)類型標識的完整性、是否被冒用進行驗證；在業(yè)務(wù)類型提供裝置和數(shù)據(jù)流量歸屬識別裝置保持系統(tǒng)時間同步的情況下，數(shù)據(jù)流量歸屬識別裝置還可以對重放進行識別。具體的實施方式此處不再贅述，請參見前面實施例中的相應(yīng)描述。

本申請雖然以較佳實施例公開如上，但其并不是用來限定本申請，任何本領(lǐng)域技術(shù)人員在不脫離本申請的精神和范圍內(nèi)，都可以做出可能的變動和修改，因此本申請的保護范圍應(yīng)當以本申請權(quán)利要求所界定的范圍為準。

在一個典型的配置中，計算設(shè)備包括一個或多個處理器(cpu)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。

內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲器，隨機存取存儲器(ram)和/或非易失性內(nèi)存等形式，如只讀存儲器(rom)或閃存(flashram)。內(nèi)存是計算機可讀介質(zhì)的示例。

1、計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括，但不限于相變內(nèi)存(pram)、靜態(tài)隨機存取存儲器(sram)、動態(tài)隨機存取存儲器(dram)、其他類型的隨機存取存儲器(ram)、只讀存儲器(rom)、電可擦除可編程只讀存儲器(eeprom)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(cd-rom)、數(shù)字多功能光盤(dvd)或其他光學(xué)存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的界定，計算機可讀介質(zhì)不包括非暫存電腦可讀媒體(transitorymedia)，如調(diào)制的數(shù)據(jù)信號和載波。

2、本領(lǐng)域技術(shù)人員應(yīng)明白，本申請的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。