[发明专利]互联网通信架构、网络设备及执行数据包内容分析的方法

说明书

技术领域

本发明涉及通信系统，尤其涉及支持数据包载荷内容分析的互联网通信架构、网络设备、分组交换机及执行数据包内容分析的方法。

背景技术

互联网迅速得到广泛应用，因为它可高速传输音频、视频和数据包。互联网架构通常包括交换设备，例如路由器、交换机、分组交换机，接入点和互联网服务提供商网络(ISPN)、互联网通信路径和终端设备。终端设备包括个人电脑或笔记本电脑、服务器、机顶盒、手持数据/通信设备和其它客户端设备。所有这些位于远程位置的终端设备通过可利用的互联网通信路径交换音频、视频和数据包。

传统终端设备可获得与通信数据相关的各种远程和本地服务。一般地，终端设备分析接收到的数据以判断能否保证该服务。在对分组接收数据进行分析之前，终端设备首先重构这些数据包(分段)并在本地保存该重构数据。如果对重构数据的分析表明可以得到保证，则终端设备将把重构数据转发到本地或远程服务——这一过程通常需要再分段或重传(对于远程服务而言)数据。该过程通常会导致浪费通信、本地存储、本地处理和路由架构资源。此外，即使终端设备可完成这样的分析和传输，也没必要这么做来阻碍非常期望的服务。这将应用到源和目的终端设备，例如，源和目的终端设备可以是客户端设备和服务器。

一般地，除了网络设备将数据包从源终端设备路由到一个或多个目的终端设备，通过互联网的音频、视频和数据包交换不包括对数据包的任何内部控制。换言之，互联网架构中通常的数据包流是无限制的。尽管这些数据包自由流一般是有益的，但是仍然有一些数据包有意或无意地包含一些破坏性内容(如，病毒、蠕虫或其它恶意软件)、非授权内容(如，视频、音频文本或程序代码的盗版)、有害内容(如，色情或成人主题)或不适当的内容(如，由于风俗习惯、区域局限或语言限制等对特定区域不宜的内容)。传统终端设备必须担负限制这些破坏性、非授权、有害和不适当的内容的责任。然而，这些终端设备往往无法完成。例如，即使激活了恶意代码防护软件，终端设备往往还是会受感染。即使安装了屏蔽软件，色情内容仍然会显示在孩子面前。其它屏蔽这类内容的过滤器也经常会失败，出现不想要的结果。

由于数据包的长度不定，通过分析分段后数据包的载荷部分并不能轻易地从带有任意上述目标数据或文件的数据包中识别出目标数据。

通过与本发明的系统进行比较后，现有和传统的手段的其它局限和缺点对本领域的技术人员来说是很明显的。

发明内容

本发明提供一种操作装置和方法，结合至少一幅附图给出了充分地显示和/或描述，并更完整地在权利要求中阐明。

根据本发明提出的一种带有网络设备和终端设备的互联网架构，用于根据载荷与空间相关模板的比较结果支持数据包路由和引导，其中网络设备和终端设备包含服务模块管理器和服务模块。该架构包括多个用于接收和发送数据(包括目标数据)的终端设备、多个交换设备。交换机包括多个端口，用于接收数据包，执行数据包的载荷分析、封装和服务模块引导，以及沿着至少一个端口转发。交换设备在进行数据包分析时，将数据包的载荷部分与多个空间相关载荷触发模板相比较。也就是说，通过将载荷模板分段为多个空间相关载荷触发模板，交换设备试图确切地识别通过交换设备传送的目标数据，而不管目标数据分段。根据比较过程中的匹配情况，交换设备应用触发逻辑、封装和服务模块引导。

根据本发明提出的一种带有多个端口的网络设备，包括多个分组交换接口电路、用户接口电路、包括服务模块管理器和多个本地服务模块的本地存储器，以及处理电路。服务模块管理器分析数据包内容，通过分析数据包内容，服务模块管理器可将数据包载荷部分与多个空间相关载荷模板相比较。根据比较过程中的匹配情况，服务模块管理器应用触发逻辑、封装和服务模块引导。

根据本发明的一方面，提供了一种互联网通信架构，其中包括：

带有唯一标识符的第一终端设备；

第二终端设备，其使用所述唯一标识符将目标数据打包成多个数据包，该目标数据具有至少一个目标比特序列，且打包目标数据包括对目标数据进行分段；

服务模块，其接收至少一个指示，该指示说明正在试图进行目标数据的交换；

交换设备，包括处理电路、存储器、第一端口、第二端口；其中，所述第一端口与到达第一终端设备的第一路径通信连接，所述第二端口与从第二终端设备出发的第二路径通信连接；

存储器，其中包含第一模板和第二模板，第一模板对应于至少一个目标比特序列的第一部分，第二模板对应于至少一个目标比特序列的第二部分，第一模板和第二模板空间相关以对打包目标数据的分段进行补偿；