伍岳（中国移动通信集团四川有限公司，成都 610041）



电信运营商DPI系统优化建设研究

伍岳
（中国移动通信集团四川有限公司，成都 610041）

摘 要本文通过对某省级电信运营商DPI系统建设中出现的烟囱式部署方式进行深入分析，在现阶段DPI主要应用场景的基础上，提出了基于统一DPI设备的系统优化建设思路。

关键词DPI; 大数据; 流量经营; IP网

1　DPI技术简介

DPI(Deep Packet Inspection，深度分组检测技术)是一种基于应用层的流量检测和控制技术。DPI技术是相对普通报文检测而言的一种新的检测技术，即对应用层的内容（净荷）进行深度分析，从而根据应用层的净荷特征识别其应用类型或内容。当IP数据分组、TCP或者UDP数据流经过基于DPI技术的网络设备时，DPI引擎通过深入读取IP分组载荷的内容来对OSI 7层协议中的应用层信息进行重组，从而识别出IP分组的应用层协议，然后按照系统定义的管理策略对流量进行整形操作。

2　某省电信运营商DPI建设现状及问题分析

随着移动互联网业务的快速发展，为了对井喷式增长的流量进行有效的管理并进行价值化，DPI技术已经在电信运营商的网络中得到了广泛的应用，但DPI系统的建设也出现了诸多问题，下面以某省级电信运营商网络为例做进一步探讨。

2.1 某省级电信运营商DPI系统建设现状

在建设类型上，该省级电信运营商DPI设备主要包括数据采集和信令采集两类，数据采集DPI主要部署在Gn/S1-U、Gi、省网出口、省网网间出口、IDC出口、城域网出口及骨干网出口等7个采集点；信令采集DPI主要部署在Gb/Iu-PS、Mc、A口等4个采集点。在建设规模上，截至2014年底，该省级电信运营商建设DPI设备共310台。

2.2 某省级电信运营商DPI系统建设问题分析

该省级电信运营商的DPI系统为分散的烟囱式建设，各套DPI系统之间相互独立并为各自的业务应用服务，随着DPI系统规模的增长，诸多问题开始浮现。

（1）DPI系统重复建设：DPI系统存在单点重复采集、数据重复存储的情况。以Gn口为例，该省在Gn口共计部署了4套DPI系统为6个业务应用服务，从而造成单点的4次重复采集，最终导致Gn口的DPI系统建设每年以4倍Gn增长规模的速度增加。同时，采集的Gn口移动网日志数据在集团、省级的3套系统中进行了独立存储，出现一份日志数据存3遍，存储系统建3套的现象。

（2）DPI数据不统一：DPI系统所采集的数据，存在3个方面的数据不统一，包括不同厂家数据格式的不统一、不同位置采集的数据格式（TLV）的不统一、不同DPI系统间数据的不统一，最终造成DPI数据各说各话，无法实现DPI数据的有效利用。

（3） DPI数据片面化：如图1所示，网内各域、各系统数据采集、存储/处理、应用纵向绑定，大小采集系统林立，DPI数据片面化，造成无法端到端呈现全局数据，无法形成大数据的全视景，最终难以发挥大数据价值。

3　DPI系统优化建设研究

为了进一步的节约投资并优化DPI系统性能，最终为电信运营商的大数据运营服务，在前文分析的基础上，提出以统一DPI设备为基础对现网DPI系统进行优化建设的思路。

3.1 统一DPI设备

统一DPI是指一套DPI设备对链路上的流量进行采集与识别，并将满足其它系统所需的流量或分析统计数据分发给各第三方应用系统服务器。网络中各类流量管理相关的应用系统，如网间流控、Web Cache、非法VoIP检测、上网日志留存等，主要由DPI设备和应用服务器组成。其中，DPI设备负责数据采集、流量分析统计、日志合成，应用服务器主要完成对数据的进一步分析处理，合理组织和存储数据，并进行呈现。统一DPI整合了多个第三方应用系统的DPI设备，通过DPI复用为多个系统提供DPI能力，如图2所示。

3.2 优化建设思路

3.2.1 整合采集点

由于现网采集点的流量存在一定的交叉重叠，经对不同采集点流量特性的分析，如表1所示。在保证业务需求的前提下，全网业务数据采集点可由7个整合至5个，取消Gi和城域网出口采集点，保留S1-U/Gn口、IDC出口、省网出口、省网网间出口和骨干网间出口等5个DPI采集点，如图3所示。同时，同一个采集点上采用一套统一DPI设备为多套应用系统提供数据，实现DPI复用。

图1　DPI数据片面化

表1　整合采集点流量特性分析

图2　统一DPI的复用机制示意图

3.2.2 DPI数据格式规范化

根据运营商集团公司统一制定的相关规范，对DPI设备的业务识别能力及数据格式进行统一，实现不同厂家间、不同位置间、不同DPI系统间的数据格式规范化。

3.2.3 DPI数据复用

按照应用系统所需数据内容和格式的不同，DPI复用分为4种方式，其中第一种复用可以由分光器复用来实现，后3种复用由统一DPI设备复用实现，而通过后3种复用方式可实现对DPI数据高效复用并最终形成端到端的全局大数据场景，如表2所示。

图3　采集点整合

表2　DPI复用方式

4　结束语

在电信运营商加大流量经营和大数据布局的背景下，历年以来的DPI系统建设已经出现了重复建设和资源浪费的现象。因此，通过统一DPI设备的应用，可以对现网多个独立并行的DPI系统进行整合，在投资侧减少设备重复投资，在网络侧实现系统简约化，在数据侧实现全局化，并为电信运营商的大数据应用提供基础资源的支撑。

参考文献

[1] 周俊茂. 统一DPI技术与应用研究[J]. 电信技术, 2015(9).

[2] 左卫. 基于DPI的网络精细化管控技术研究[J]. 信息安全与通信保密, 2015(1).

[3] 张根喜. DPI技术在移动分组网中的应用研究[J]. 信息通信, 2013(04).

Research about the optimization and construction of DPI system for telecom operators

WU Yue
(China Mobile Group Sichuan Co., Ltd., Chengdu 610041, China)

AbstractThis paper analyzes the construction of the DPI system of a provincial telecommunication operator. Based on the main application scene of DPI, this paper proposes the idea of DPI system construction with unifi ed DPI equipment.

KeywordsDPI; big data; fl ow operation; IP network

News

展讯通信推出紫潭安全解决方案

1月23日，展讯通信（上海）有限公司（简称“展讯”）正式推出面向智能手机及物联网等应用领域的紫潭安全解决方案。该方案作为搭载可控芯片及操作系统的双OS安全解决方案，将实现从硬件平台、操作系统以及生物识别等关键技术的高度安全，从而重新定义国产安全智能终端的标准。

为了应对移动终端及物联网发展中日益普及而爆发的信息安全问题，紫光集团旗下的展讯开发了基于自主安全可信架构的智能终端解决方案—紫潭，该方案具备生物识别、公私分离、硬件加密、安全通信、可管可控、整机安全六大特色。特别是其硬件平台采用展讯自主研发的安全定制芯片—椒图，支持可信计算STEE安全级别的安全应用处理器，代码安全认证的安全启动模块，符合国际和中国标准加解密算法的加密模块，实现语音/数据加密通信的安全通信处理器，以及敏感数据特殊区域存储的存储加密。

通过专用加密通信技术、代码防篡改技术、安全运算区隔技术，椒图从最核心的芯片硬件源头解决整个移动终端系统的完整性和安全性。作为一款采用28 nm工艺的8核5模LTE智能安全手机芯片，它具有更强运算能力的ISP、GPU及更低功耗。该芯片从硬件源头解决系统完整性、关键应用完整性等问题，可防止篡改Boot、OS、服务及应用，杜绝恶意代码运行。

同时紫潭安全解决方案高度集成了中国科学院信息工程研究所的“海网云协同”体系架构以及中科虹霸独特的虹膜生物识别技术，并采用元心科技开发的国产双OS操作系统，分别搭载符合EAL4国际安全标准的国产操作系统和安卓原生操作系统，建立了从“终端”到“云端”的多层次全体系安全保障系统。

（乔治)

收稿日期：2015-11-02

中图分类号TN914

文献标识码A

文章编号1008-5599（2016）02-0065-04