專利名稱:一種執(zhí)行安全控制的方法、系統(tǒng)及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域���,特別涉及執(zhí)行安全控制的方法��、系統(tǒng)及策略控制和 計(jì)費(fèi)規(guī)則功能實(shí)體�����、策略和計(jì)費(fèi)執(zhí)行實(shí)體��。
背景技術(shù):
圖1為3GPP在TS 23.203里定義的PCC ( Policy Charging Control,策略 和計(jì)費(fèi)控制)架構(gòu)示意圖���,如圖所示,PCC中各個(gè)功能實(shí)體作用如下
PCRF ( Policy Control and Charging Rules Function,策略控制和計(jì)費(fèi)規(guī)則功 能實(shí)體)該功能實(shí)體根據(jù)用戶接入網(wǎng)絡(luò)的限制����、運(yùn)營(yíng)商策略、從SPR (Subscription Profile Repository,用戶簽約數(shù)據(jù)ft據(jù)庫(kù))功能實(shí)體獲取的用戶 簽約數(shù)據(jù)���、以及從AF (Application Function,應(yīng)用層功能實(shí)體)獲取的用戶當(dāng) 前正在進(jìn)行的業(yè)務(wù)信息等決定對(duì)應(yīng)的策略����,并將該策略提供給PCEF( Policy and Charging Enforcement Function,策略和計(jì)費(fèi)執(zhí)行實(shí)體),由PCEF執(zhí)行這些策 略��。策略包括業(yè)務(wù)數(shù)據(jù)流(完成某一業(yè)務(wù)����,比如語(yǔ)音的IP流集合)的檢測(cè)規(guī) 則、是否門控���、業(yè)務(wù)數(shù)據(jù)流對(duì)應(yīng)的QoS (Quality of Service,服務(wù)質(zhì)量)和基 于流的計(jì)費(fèi)規(guī)則等����。
PCEF:該實(shí)體執(zhí)行PCRF下發(fā)或者捐定的策略�����,具體來(lái)說(shuō)就是執(zhí)行業(yè)務(wù) 數(shù)據(jù)流的^r測(cè)和測(cè)量�,保證業(yè)務(wù)數(shù)據(jù)流的QoS、用戶面流量處理�、觸發(fā)控制面 的會(huì)話管理等;
SPR:該功能實(shí)體向PCRF提供用戶簽約數(shù)據(jù)�����;
AF:該功能實(shí)體向PCRF動(dòng)態(tài)提供應(yīng)用層的會(huì)話信息��,PCRF根據(jù)該信息 動(dòng)態(tài)生成或者修改對(duì)應(yīng)的規(guī)則�。
各功能實(shí)體間的參考點(diǎn)描述如下RX參考點(diǎn)該參考點(diǎn)用于AF下發(fā)應(yīng)用層相關(guān)信息,該信息包括但不限 于IP過(guò)濾器���,用于識(shí)別業(yè)務(wù)數(shù)據(jù)流����、應(yīng)用���、或者媒體所需的帶寬信息�����,該參 考點(diǎn)使用IETF定義的Diameter協(xié)議�;
參考點(diǎn)該參考點(diǎn)使PCRF可以動(dòng)態(tài)控制PCEF上所執(zhí)行的PCC規(guī)則����。 該參考點(diǎn)實(shí)現(xiàn)以下功能建立、維護(hù)���、終結(jié)IP-CAN (IP Connectivity Access Network, IP連通接入網(wǎng)絡(luò))會(huì)話�;PCEF向PCRF請(qǐng)求PCC規(guī)則�;PCRF向 PCEF提供PCC規(guī)則;協(xié)商IP-CAN承載建立模式。該參考點(diǎn)使用IETF定義 的Diameter協(xié)議����;
Sp參考點(diǎn)用于PCRF向SPR請(qǐng)求用戶簽約信息,該簽約信息用于確定 IP-CAN傳輸層策略��。該接口目前屬于私有接口 (設(shè)備商自定義��,沒有公開化)���;
為了更容易理解IP-CAN會(huì)話流程����,先闡述幾個(gè)術(shù)語(yǔ)
IP-CAN:當(dāng)用戶在接入網(wǎng)絡(luò)內(nèi)漫游(位置改變時(shí))仍能保存IP業(yè)務(wù)連續(xù) 性(即不中斷業(yè)務(wù))�����,具有這樣性質(zhì)的接入網(wǎng)絡(luò)稱為IP-CAN�,比如GPRS(General Packet Radio Service,通用分組無(wú)線業(yè)務(wù))網(wǎng)絡(luò),I-WLAN (無(wú)線本地局域網(wǎng)同 3GPP網(wǎng)絡(luò)互通系統(tǒng))網(wǎng)絡(luò)等�;
IP-CANbearer: IP-CAN承載,具有明確速率���,延遲和誤比特率的IP傳輸 路徑(該路徑指的是接入網(wǎng)到PCEF之間)�����,對(duì)于GPRS來(lái)說(shuō)IP-CAN bearer對(duì) 應(yīng)PDP (Packet Data Protocol,分組數(shù)據(jù)協(xié)議)上下文�;
IP-CAN session: IP-CAN會(huì)話����,指的是UE ( User Equipment,用戶設(shè)備) 和PDN (Packet Data Network,分組lt據(jù)網(wǎng),比如internet)標(biāo)識(shí)之間的連4妄關(guān) 系����,該連接關(guān)系通過(guò)UE的IP地址和UE的標(biāo)識(shí)來(lái)識(shí)別。只要UE分配了 IP 地址并且能被IP網(wǎng)絡(luò)識(shí)別����,則IP-CAN存在。IP-CAN會(huì)話可以包含一到多個(gè) IP-CAN承載��。
圖2為IP-CAN會(huì)話建立流程示意圖���,如圖所示����,IP-CAN會(huì)話建立包括 如下流程
步驟201 ��、 PCEF接收到UE發(fā)起的IP-CAN會(huì)話建立請(qǐng)求消息(分配一個(gè)在PDN網(wǎng)絡(luò)可見的IP地址),具體消息格式與接入網(wǎng)類型有關(guān)����,對(duì)于GPRS, 即建立第一個(gè)PDP上下文;
步驟202�����、 PCEF通知PCRF IP-CAN會(huì)話建立��,PCEF創(chuàng)建一個(gè)新的DCC (Diameter信用控制)會(huì)話�����,向PCRF發(fā)送CCR (信用控制請(qǐng)求�, Credit-Control-Request )消息,包含UE標(biāo)識(shí)和IP地址���。如果PCRF執(zhí)行IP-CAN 承載和規(guī)則綁定�����,則PCEF還要上報(bào)IP-CAN承載標(biāo)識(shí)( 一般情況下���,UE建立 IP-CAN會(huì)話的同時(shí)會(huì)建立缺省IP-CAN承載來(lái)傳遞控制層信令)����;
步驟203 �����、 PCRF存儲(chǔ)CCR消息里的信息�����;
步驟204��、 PCRF如果需要用戶簽約相關(guān)信息����,則向SPR請(qǐng)求���;
步驟205�����、 SPR返回用戶簽約信息�����,包括用戶當(dāng)前簽約的業(yè)務(wù)���,計(jì)費(fèi)模式
"^"寸5 ,色,
步驟206�����、 PCRF生成新的PCC規(guī)則�;
步驟207��、 PCRF存儲(chǔ)PCC規(guī)則����,如果PCRF執(zhí)行IP-CAN承載和規(guī)則綁 定,則還要記錄PCC規(guī)則和IP-CAN承載標(biāo)識(shí)的綁定關(guān)系����;
步驟208、 PCRF通過(guò)CCA (信用控制應(yīng)答��,Credit-Control-Answer)消息 將PCC規(guī)則返回給PCEF,如果PCRF執(zhí)行IP-CAN承載和規(guī)則綁定���,則指明 PCC規(guī)則和IP-CAN承載標(biāo)識(shí)的j^定關(guān)系(即在那個(gè)IP-CAN承載執(zhí)行對(duì)應(yīng)的 規(guī)則);
步驟209�����、 PCEF安裝規(guī)則��,并根據(jù)規(guī)則打開或者關(guān)閉對(duì)應(yīng)的業(yè)務(wù)數(shù)據(jù)流�����, 保證相應(yīng)的QoS�����,如果PCEF執(zhí)行IP-CAN承載和規(guī)則綁定��,則由PCEF根據(jù) 規(guī)則要求選擇一個(gè)合適的IP-CAN承載����,否則PCEF根據(jù)PCRJF的PCC規(guī)則和 IP-CAN承載標(biāo)識(shí)的綁定關(guān)系�,在對(duì)應(yīng)的IP-CAN承載上4丸4于規(guī)則;
步驟210���、 PCEF向UE返回IP-CAN會(huì)話建立響應(yīng)消息�����;
圖3為UE發(fā)起的IP-CAN承載建立流程示意圖���,如圖所示���,UE發(fā)起 IP-CAN承載建立包括如下步驟.
步驟301 、 AF接收到一個(gè)觸發(fā)事件(比如UE發(fā)起的多媒體呼叫控制信令)后����,需要建立一個(gè)新的Diameter會(huì)話并向PCRF提供業(yè)務(wù)信息;
步驟302�����、 AF從觸發(fā)事件中提取需要的業(yè)務(wù)信息(比如IP流的地址信息�����,
端口號(hào)����,媒體類型等);
步驟303���、 AF向PCRF發(fā)送AAR (批準(zhǔn)和/或授權(quán)請(qǐng)求�����,AA-Request)消
息�����,包含業(yè)務(wù)信息����;
步驟304、 PCRF保存接收到的業(yè)務(wù)信息�;
步驟305、如果PCRF此時(shí)沒有用戶簽約信息���,則向SPR請(qǐng)求用戶簽約信
息;
步驟306���、 SPR返回用戶簽約信息�����,包括用戶當(dāng)前簽約的業(yè)務(wù)�����; 步驟307���、 PCRF根據(jù)接受到的業(yè)務(wù)信息和以前從PCEF接受到的信息(比 如IP-CAN會(huì)話建立時(shí))將該AF會(huì)話關(guān)聯(lián)到一個(gè)對(duì)應(yīng)的IP-CAN會(huì)話���; 步驟308、 PCRF向AF返回AAA消息��;
步驟309��、PCEF接收到UE發(fā)起的IP-CAN會(huì)話消息�,要求建立新的IP-CAN 承載,對(duì)于GPRS,即建立第二個(gè)PDP上下文�����;
步驟310����、 PCEF通知PCRF IP-CAN會(huì)話需要修改,向PCRF發(fā)送CCR 消息���,請(qǐng)求針對(duì)該IP-CAN承載的PCC規(guī)則�,如果PCRF執(zhí)行IP-CAN承載和 MJ3'J綁定����,則PCEF還要上報(bào)新的IP-CAN承載標(biāo)識(shí)��;
步驟311�����、 PCRF存儲(chǔ)CCR消息里的信息���,并且利用從PCEF接受到信息 和步驟303中從AF接收到的業(yè)務(wù)信息,將IP-CAN會(huì)話關(guān)聯(lián)到特定的AF會(huì) 話( 一個(gè)IP-CAN會(huì)話可與多個(gè)AF會(huì)話有關(guān)聯(lián)關(guān)系)����,生成并保存新的PCC 規(guī)則(根據(jù)業(yè)務(wù)信息和用戶簽約,運(yùn)營(yíng)商配置等信息)��;
步驟312�、 PCRF向PCEF返回CCA消息,帶有新的PCC規(guī)則�,如果PCRF 執(zhí)行IP-CAN承載和規(guī)則綁定�����,則指明在新建立的IP-CAN承載上執(zhí)行PCC規(guī) 則����;
步驟313�����、 PCEF安裝規(guī)則�,并根據(jù)規(guī)則打開或者關(guān)閉對(duì)應(yīng)的業(yè)務(wù)數(shù)據(jù)流��, 保證對(duì)應(yīng)的QoS和計(jì)費(fèi)統(tǒng)計(jì)���;步驟314�����、如果用戶是在線計(jì)費(fèi)并且OCS ( Online Charging System,在線 計(jì)費(fèi)系統(tǒng))連接正??捎?�,則PCEF可以向OCS請(qǐng)求信息計(jì)費(fèi)關(guān)鍵字信息���; 步驟315����、 OCS向PCEF返回信用控制信息��。 步驟316、 PCEF向UE返回IP-AN會(huì)話響應(yīng)消息�;
圖4為IP-CAN會(huì)話、IP-CAN承載�����、PCC規(guī)則和IP流之間的綁定關(guān)系示 意圖���,通過(guò)以上所述的IP-CAN會(huì)話建立過(guò)程�����、IP-CAN承載建立過(guò)程���,在PCEF 上實(shí)際形成了如圖所示的IP-CAN會(huì)話、IP-CAN承載���、PCC規(guī)則和IP流之間
的綁定關(guān)系���。
當(dāng)UE在PDN分配了可尋址的IP地址后,UE就建立IP-CAN會(huì)話���,為了 滿足不同的QoS要求���,在同一個(gè)IP-CAN會(huì)話里可以建立不同QoS要求的 IP-CAN承載,在每個(gè)IP-CAN承載里可以有多個(gè)IP流(比如用戶可以同時(shí)在 不同服務(wù)器下載文件)�����,PCEF是根據(jù)PCC規(guī)則(PCC規(guī)則包含IP五元組�����,即 IP源�、目的地址、源端口號(hào)��、目的端口號(hào)�����、協(xié)議來(lái)識(shí)別IP流���。每個(gè)PCC規(guī)則 可以包含一到多個(gè)IP流�,它們稱為業(yè)務(wù)數(shù)據(jù)流(Service Data Flow )���。在PCRF 通過(guò)Gx接口傳遞給PCEF的PCC規(guī)則中���,包含了門控信息�����、QoS控制參數(shù)�����、 業(yè)務(wù)數(shù)據(jù)流的計(jì)費(fèi)參數(shù)�����,PCEF可以根據(jù)PCC規(guī)則中的這些控制參數(shù)來(lái)進(jìn)行業(yè) 務(wù)流的準(zhǔn)入控制�、流量監(jiān)管和計(jì)費(fèi)等操作��。
發(fā)明人在發(fā)明過(guò)程中注意到在現(xiàn)有PCC所提供的機(jī)制中�,PCRF定義了 計(jì)費(fèi)規(guī)則、QoS控制���、門控信息的PCC規(guī)則�����,然后通過(guò)Gx接口把業(yè)務(wù)數(shù)據(jù)流 的IP五元組過(guò)濾規(guī)則和相應(yīng)的規(guī)則參數(shù)傳遞給PCEF, PCEF可以根據(jù)業(yè)務(wù)數(shù) 據(jù)流的規(guī)則進(jìn)行計(jì)費(fèi)��、QoS控制�、門控��。
但是�,目前PCC架構(gòu)中尚沒有能夠解決對(duì)用戶接入會(huì)話后的用戶業(yè)務(wù)數(shù) 據(jù)流提供安全控制能力的技術(shù)方案,這樣使得PCC無(wú)法適用于數(shù)據(jù)業(yè)務(wù)接入 控制的應(yīng)用場(chǎng)景�。
比如,隨著網(wǎng)絡(luò)安全問題在電信網(wǎng)絡(luò)的漫延�,在PCEF (分組接入網(wǎng)關(guān)) 上提供集成防火墻功能和準(zhǔn)入控制等網(wǎng)絡(luò)安全防護(hù)功能,已經(jīng)成為網(wǎng)關(guān)設(shè)備的一個(gè)重要功能�����,這些安全防護(hù)功能的引入對(duì)于提升整體網(wǎng)絡(luò)安全度���,減少網(wǎng)絡(luò) 安全事故�,降低運(yùn)營(yíng)商的網(wǎng)絡(luò)運(yùn)行和維護(hù)成本具有重要的應(yīng)用意義�����。這些網(wǎng)絡(luò) 安全防護(hù)功能的實(shí)現(xiàn)上往往需要根據(jù)復(fù)雜���、變化的策略條件進(jìn)行策略判斷并在 不同的策略條件下進(jìn)行不同的安全防護(hù)功能���。
現(xiàn)有技術(shù)至少在例如在以下的應(yīng)用場(chǎng)景中就不能解決以下問題
1�����、 為了防止來(lái)自終端的垃圾郵件攻擊�����、或者防止終端由于軟件安全漏洞 造成的對(duì)網(wǎng)絡(luò)的攻擊等問題��,網(wǎng)絡(luò)不能在用戶終端接入網(wǎng)絡(luò)時(shí)�����,當(dāng)網(wǎng)絡(luò)需要能 夠根據(jù)終端的安全狀態(tài)���,如操作系統(tǒng)、操作系統(tǒng)補(bǔ)丁���、防病毒軟件等信息對(duì)用 戶的數(shù)據(jù)業(yè)務(wù)接入進(jìn)行安全控制時(shí)����,現(xiàn)有的網(wǎng)絡(luò)并不能對(duì)此終端所適用的業(yè)務(wù) 接入進(jìn)行準(zhǔn)入控制。
2����、 當(dāng)PCEF配置防火墻時(shí),現(xiàn)有技術(shù)并不能對(duì)防火墻的多種控制模式或 不同的功能進(jìn)行打包��。這樣當(dāng)出現(xiàn)需要根據(jù)用戶簽約的防火墻模式進(jìn)行防火墻 模式選擇���;或者,需要根據(jù)目前用戶的接入網(wǎng)類型����、用戶是否漫游等策略條件 來(lái)決定防火墻模式的選擇時(shí),現(xiàn)有技術(shù)并不能對(duì)是否提供防火墻等功能進(jìn)行控 制��。
由于目前PCC架構(gòu)中尚不支持上述安全策略控制的能力��,使得PCC僅限 于應(yīng)用在確定業(yè)務(wù)數(shù)據(jù)流的應(yīng)用場(chǎng)景��,如IMS等應(yīng)用場(chǎng)景�����,無(wú)法適用于數(shù)據(jù)業(yè) 務(wù)接入控制應(yīng)用場(chǎng)景�����。不能使網(wǎng)絡(luò)根據(jù)不同策略條件實(shí)現(xiàn)不同的安全策略控制 功能,從而提高網(wǎng)絡(luò)安全性��,促進(jìn)數(shù)據(jù)業(yè)務(wù)的廣泛開展和應(yīng)用����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種執(zhí)行安全控制的方法、系統(tǒng)及策略控制和計(jì)費(fèi)規(guī)則 功能實(shí)體�、策略和計(jì)費(fèi)執(zhí)行實(shí)體,用以解決提供在PCC架構(gòu)中對(duì)用戶會(huì)話提 供安全控制的問題�。
本發(fā)明實(shí)施例提供了一種執(zhí)行安全控制的方法,包括如下步驟 策略和計(jì)費(fèi)執(zhí)行實(shí)體從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全控制策略信息�����;
所述策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)安全控制策略信息執(zhí)行用戶的安全控制����。
本發(fā)明實(shí)施例還提供了一種執(zhí)行安全控制的系統(tǒng),策略和計(jì)費(fèi)執(zhí)行實(shí)體����、 策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體、接收模塊�����、執(zhí)行模塊,其中
接收模塊���,與策略和計(jì)費(fèi)執(zhí)行實(shí)體相連�,用于從策略控制和計(jì)費(fèi)規(guī)則功能 實(shí)體接收安全控制策略信息����;
執(zhí)行模塊,與策略和計(jì)費(fèi)執(zhí)行實(shí)體相連����,用于根據(jù)所述安全控制策略信息 執(zhí)行用戶的安全控制���。
本發(fā)明實(shí)施例又提供了 一種策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體�����,包括發(fā)送模 塊�����,用于在根據(jù)所述用戶的策略條件信息判斷并生成安全控制策略后���,將安全 控制策略發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體����;
策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)所述安全控制策略執(zhí)行用戶的安全控制�。
本發(fā)明實(shí)施例還提供了一種策略和計(jì)費(fèi)執(zhí)行實(shí)體,包括 接收模塊����,用于從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全控制策略信息; 執(zhí)行模塊�,用于根據(jù)所述安全控制策略信息執(zhí)行用戶的安全控制。 本發(fā)明實(shí)施例有益效果如下
由于策略和計(jì)費(fèi)執(zhí)行實(shí)體從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全控制 策略信息后����,策略和計(jì)費(fèi)執(zhí)行實(shí)體再根據(jù)安全控制策略信息執(zhí)行用戶的安全控 制,從而具備了對(duì)用戶接入會(huì)話進(jìn)行控制的能力�。
圖1為背景技術(shù)中所述3GPP在TS 23.203里定義的PCC架構(gòu)示意圖; 圖2為背景技術(shù)中所述IP-CAN會(huì)話建立流程示意圖�����; 圖3為背景技術(shù)中所述UE發(fā)起的IP-CAN承載建立流程示意圖�����; 圖4為背景技術(shù)中所述IP-CAN會(huì)話、IP-CAN承載���、PCC規(guī)則和IP流之 間的綁定關(guān)系示意圖����;圖5為本發(fā)明實(shí)施例中所述執(zhí)行安全控制方法的實(shí)施流程示意圖6為本發(fā)明所述實(shí)施例一實(shí)施流程示意圖7為本發(fā)明所述實(shí)施例二實(shí)施流程示意圖8為本發(fā)明實(shí)施例中所述執(zhí)行安全控制系統(tǒng)的結(jié)構(gòu)示意圖9為本發(fā)明實(shí)施例中所述策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體結(jié)構(gòu)示意圖10為本發(fā)明實(shí)施例中所述策略和計(jì)費(fèi)執(zhí)行實(shí)體結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行說(shuō)明�����。
圖5為執(zhí)行安全控制方法的實(shí)施流程示意圖����,如圖所示��,在執(zhí)行安全控制 時(shí)可以包括如下步驟
步驟501��、策略和計(jì)費(fèi)執(zhí)行實(shí)體從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全 控制策略信息����;
步驟502��、所述策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)安全控制策略信息執(zhí)行用戶的安 全控制���。
實(shí)施例中,安全控制策略包含防火墻控制列表信息���、防火墻才莫式信息�����。 執(zhí)行用戶的安全控制功能包括
根據(jù)所述訪問控制列表信息對(duì)用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行訪問控制����;
和/或��,根據(jù)所述防火墻模式信息為用戶業(yè)務(wù)數(shù)據(jù)流選擇相應(yīng)模式的防火墻 并執(zhí)行防火墻功能��。
其中�����,執(zhí)行訪問控制可以是根據(jù)訪問控制列表信息指定的訪問控制列表中 允許訪問的IP地址�����、端口、協(xié)議���、應(yīng)用類型之一或者其組合對(duì)用戶業(yè)務(wù)數(shù)據(jù) 流執(zhí)行準(zhǔn)入訪問控制�;
執(zhí)行防火墻功能可以是根據(jù)防火墻模式信息指定的防火墻模式選擇報(bào)文 過(guò)濾模式�����、深度檢測(cè)模式��、防垃圾郵件過(guò)濾���、防病毒過(guò)濾之一或者其組合的防 火墻�,并為用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行防火墻功能���。安全控制策略信息可以是由策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體通過(guò)信用控制 請(qǐng)求消息或重鑒權(quán)請(qǐng)求消息發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體�。
安全控制策略信息可以是通過(guò)信用控制請(qǐng)求消息或者重鑒權(quán)請(qǐng)求消息發(fā) 送至策略和計(jì)費(fèi)執(zhí)行實(shí)體的訪問控制列表信息����、和/或防火墻模式信息�����。
其中,訪問控制列表信息可以通過(guò)在Gx接口的Diameter協(xié)議中增加訪問 控制列表編號(hào)ACL-Number AVP來(lái)表示�;
防火墻模式信息可以通過(guò)在Gx接口的Diameter協(xié)議中增加防火墻模式編 號(hào)Firewal-Mode-Number AVP來(lái)表示。
實(shí)施中��,策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)所述用戶的策略條件信息判斷 并生成安全控制策略后���,將安全控制策略發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體��;
策略和計(jì)費(fèi)執(zhí)行實(shí)體再根據(jù)所述安全控制策略執(zhí)行用戶的安全控制�。
策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)用戶的策略條件信息判斷并生成安全 控制策略的訪問控制列表信息����,所述用戶的策略條件信息可以是從策略和計(jì)費(fèi) 執(zhí)行實(shí)體、網(wǎng)管系統(tǒng)���、設(shè)備管理系統(tǒng)之一或者其組合獲取的用戶終端的終端軟 件版本�、操作系統(tǒng)版本�、操作系統(tǒng)補(bǔ)丁、是否安裝了防病毒軟件及軟件版本之 一或者其組合的策略條件信息���;
和/或�,所述策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)用戶的策略條件信息判斷并 生成安全控制策略的防火墻模式信息��,所述用戶的策略條件信息是用戶簽約數(shù) 據(jù)、用戶的接入網(wǎng)類型��、用戶的漫游狀態(tài)之一或者其組合的信息�����。
下面以為用戶提供各種安全控制策略的實(shí)施例來(lái)進(jìn)一 步說(shuō)明執(zhí)行安全控 制的實(shí)施方式����。
實(shí)施例一
本實(shí)施例描述了根據(jù)用戶終端的終端軟件版本、操作系統(tǒng)版本��、操作系統(tǒng) 補(bǔ)丁��、和/或是否安裝了防病毒軟件及軟件版本等信息進(jìn)行策略決策�����,判斷并生 成安全控制策略���,通過(guò)安全控制策略實(shí)現(xiàn)用戶的準(zhǔn)入控制的應(yīng)用示例���。用戶在 IP接入會(huì)話建立時(shí)�����,PCRF從設(shè)備管理系統(tǒng)獲得用戶終端的終端軟件版本、操作系統(tǒng)版本��、操作系統(tǒng)補(bǔ)丁��、和/或是否安裝了防病毒軟件及軟件版本等信息�; PCRP根據(jù)所獲得的信息,判斷并生成安全控制策略�,安全控制策略中包括針 對(duì)此用戶終端所適用的訪問控制列表,并將信息發(fā)送給PCEF進(jìn)行準(zhǔn)入控制處理��。
圖6為實(shí)施例一實(shí)施流程示意圖��,如圖所示���,包括如下步驟 步驟601 ���、用戶發(fā)起IP接入會(huì)話建立請(qǐng)求到PCEF。
步驟602���、 PCEF發(fā)送信用控制請(qǐng)求消息到PCRF,用于觸發(fā)PCRF反饋安 全控制策略��,其中信用控制請(qǐng)求消息中攜帶用戶終端設(shè)備信息����。
步驟603、 PCRF通過(guò)設(shè)備管理系統(tǒng)獲得用戶終端的終端軟件版本��、操作 系統(tǒng)版本���、操作系統(tǒng)補(bǔ)丁���、和/或是否安裝了防病毒軟件及軟件版本等信息。
步驟604���、 PCRF進(jìn)行判斷并生成安全控制策略����,根據(jù)所獲得的信息�,判 斷決定針對(duì)此用戶終端所適用的訪問控制列表一,在安全控制策略信息中包括 了訪問控制列表一����。
步驟605、 PCRF發(fā)送信用控制應(yīng)答消息到PCEF���,消息中帶有此用戶終端 的訪問控制列表一信息��。
步驟606���、 PCEF根據(jù)收到的訪問控制列表一信息進(jìn)行準(zhǔn)入控制,對(duì)經(jīng)過(guò) PCEF的用戶相關(guān)數(shù)據(jù)流進(jìn)行允許接納或拒絕操作����。
步驟607、 PCEF向用戶終端發(fā)送IP接入會(huì)話建立應(yīng)答消息��。
步驟608���、當(dāng)設(shè)備管理系統(tǒng)發(fā)現(xiàn)用戶終端軟件版本不是所期望的最新版本 時(shí)����,設(shè)備管理系統(tǒng)可以提示用戶及時(shí)升級(jí)終端軟件版本���。
步驟609��、用戶終端通過(guò)設(shè)備管理系統(tǒng)進(jìn)行軟件升級(jí)����。
步驟610、設(shè)備管理系統(tǒng)向PCRF發(fā)送用戶終端升級(jí)后的終端軟件信息�����。
步驟611���、 PCRF進(jìn)行判斷并生成安全控制策略���,才艮據(jù)用戶終端升級(jí)后的 終端軟件信息,判斷決定針對(duì)此用戶終端所適用的訪問控制列表二�����,在安全控 制策略信息中包括訪問控制列表二���。
步驟612���、 PCRF發(fā)送重鑒權(quán)請(qǐng)求消息到PCEF,消息中帶有此用戶終端的訪問控制列表二信息。
步驟613�����、 PCEF根據(jù)收到的訪問控制列表二信息進(jìn)行準(zhǔn)入控制�����,對(duì)經(jīng)過(guò) PCEF的用戶相關(guān)數(shù)據(jù)流進(jìn)行允許接納或拒絕操作。 步驟614���、 PCEF向PCRF發(fā)送重鑒權(quán)響應(yīng)消息�。
通過(guò)本實(shí)施例實(shí)施可知�����,實(shí)施例可以根據(jù)終端軟件信息對(duì)用戶進(jìn)行準(zhǔn)入接 納控制����。當(dāng)用戶終端的軟件版本或配置不符合網(wǎng)絡(luò)安全要求時(shí)�,可以限制終端 能夠訪問的網(wǎng)絡(luò)資源,如僅允許訪問設(shè)備管理系統(tǒng)進(jìn)行軟件升級(jí)���,當(dāng)終端的軟 件版本或配置滿足網(wǎng)絡(luò)安全要求后再允許終端訪問其它的用戶訂閱的網(wǎng)絡(luò)資 源����。這樣可以避免不符合安全要求的終端���,如操作系統(tǒng)存在安全漏洞����、沒有安 裝防病毒軟件的終端接入網(wǎng)絡(luò),從而對(duì)網(wǎng)絡(luò)的安全威脅帶來(lái)潛在的危險(xiǎn)���,提升 了網(wǎng)絡(luò)整體的安全性��,減少網(wǎng)絡(luò)安全事故��,降低網(wǎng)絡(luò)的運(yùn)行和維護(hù)成本�。
實(shí)施例二
本實(shí)施例描述了根據(jù)用戶簽約數(shù)據(jù)�����、或用戶的接入網(wǎng)類型�、或是否漫游用 戶等條ffT判斷應(yīng)為用戶提供的防火墻模式,并送給PCEF進(jìn)行處理�����。 圖7為實(shí)施例二實(shí)施流程示意圖��,如圖所示���,包括以下步驟 步驟701 ��、用戶發(fā)起IP接入會(huì)話建立請(qǐng)求到PCEF��。
步驟702��、 PCEF發(fā)送信用控制請(qǐng)求消息到PCRF��,用于觸發(fā)PCRF反饋安 全控制策略���,其中信用控制請(qǐng)求消息中攜帶用當(dāng)前使用的接入網(wǎng)類型�、是否漫 游等信息�����。
步驟703����、 PCRF通過(guò)SPR獲得用戶的簽約信息�,包括用戶簽約的防火墻 模式信息。
步驟704�、 PCRF根據(jù)用戶簽約數(shù)據(jù),或者用戶的接入網(wǎng)類型�、或者是否 漫游用戶等策略條件,判斷并生成安全控制策略���,安全控制策略信息中包括應(yīng) 為用戶提供的防火墻才莫式信息����。如根據(jù)用戶的簽約信息,如果用戶簽約了防火 墻模式���,則使用用戶簽約信息��;否則����,由運(yùn)營(yíng)商預(yù)先定義的�����,對(duì)不同用戶接入 網(wǎng)類型提供不同的防火墻才莫式�,比如對(duì)WLAN ( Wireless Local Area Network,無(wú)線局域網(wǎng))接入的用戶提供的防火墻功能模式區(qū)別與于采用WCDMA (Wireless CDMA,無(wú)線CDMA )接入的用戶���;或者對(duì)漫游用戶不提供防火墻 功能等���。
步驟705、 PCRF發(fā)送信用控制應(yīng)答消息到PCEF,消息中帶有用戶的防火 墻模式(Firewall Mode Number)信息。
步驟706����、 PCEF才艮據(jù)收到的防火墻模式信息針對(duì)此接入用戶進(jìn)行防火墻 模式選擇并啟動(dòng)相應(yīng)的防火墻功能。
步驟707����、 PCEF向用戶終端發(fā)送IP接入會(huì)話建立應(yīng)答消息。
從以上描述�,可以知道本實(shí)施例通過(guò)對(duì)用戶簽約信息、接入網(wǎng)類型��、是否 漫游用戶����,以及其他可能的策略條件信息,可以為用戶提供不同組合的防火墻 功能�����,使用戶防火墻功能得到充分的應(yīng)用�����,從而為用戶提供安全保證����。
本發(fā)明實(shí)施例還提供了 一種執(zhí)行安全控制的系統(tǒng),下面結(jié)合附圖對(duì)本系統(tǒng) 的具體實(shí)施方式
進(jìn)行說(shuō)明����。
圖8為執(zhí)行安全控制系統(tǒng)的結(jié)構(gòu)示意圖,如圖所示�����,系統(tǒng)中包括策略和計(jì) 費(fèi)執(zhí)行實(shí)體���、策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體����、接收模塊�����、執(zhí)行模塊���,其中 接收模塊���、執(zhí)行模塊與策略和計(jì)費(fèi)執(zhí)行實(shí)體相連; 接收模塊從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全控制策略信息; 執(zhí)行模塊根據(jù)所述安全控制策略信息執(zhí)行用戶的安全控制�����。 安全控制策略可以包含防火墻控制列表信息�����、防火墻模式信息����。 執(zhí)行模塊可以包括訪問控制單元、和/或防火墻單元���,其中 訪問控制單元��,用于根據(jù)所述訪問控制列表信息對(duì)用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行訪 問控制�����;
防火墻單元�����,用于根據(jù)所述防火墻模式信息為用戶業(yè)務(wù)數(shù)據(jù)流選擇相應(yīng)模 式的防火墻并執(zhí)行防火墻功能。
訪問控制單元可以進(jìn) 一 步用于根據(jù)訪問控制列表信息指定的訪問控制列 表中允許訪問的IP地址、端口����、協(xié)議、應(yīng)用類型之一或者其組合對(duì)用戶業(yè)務(wù)數(shù)據(jù)流4丸行準(zhǔn)入訪問控制����;
所述防火墻單元可以進(jìn)一步用于根據(jù)防火墻模式信息指定的防火墻模式 選擇報(bào)文過(guò)濾模式、深度檢測(cè)一莫式�、防垃圾郵件過(guò)濾、防病毒過(guò)濾之一或者其 組合的防火墻�����,并為用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行防火墻功能�����。
接收模塊可以通過(guò)信用控制請(qǐng)求消息或重鑒權(quán)請(qǐng)求消息接收所述安全控 制策略信息��。
安全控制策略信息可以是訪問控制列表信息����、和/或防火墻模式信息。
訪問控制列表信息可以通過(guò)在Gx接口的Diameter協(xié)議中增加訪問控制列 表編號(hào)ACL-Number AVP來(lái)表示�;
防火墻模式信息可以通過(guò)在Gx接口的Diameter協(xié)議中增加防火墻模式編 號(hào)Firewal-Mode-Number AVP來(lái)表示���。
系統(tǒng)中還可以包括發(fā)送模塊,用于在策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)所 述用戶的策略條件信息判斷并生成安全控制策略后�,將安全控制策略發(fā)送至策
略和計(jì)費(fèi)執(zhí)行實(shí)體;
策略和計(jì)費(fèi)執(zhí)行實(shí)體才艮據(jù)所述安全控制策略執(zhí)行用戶的安全控制����。
系統(tǒng)中還可以包括第一荻取模塊、和成第二獲取模塊��,其中
第一獲取模塊��,用于從策略和計(jì)費(fèi)執(zhí)行實(shí)體��、網(wǎng)管系統(tǒng)�����、設(shè)備管理系統(tǒng)之 一或者其組合獲取用戶終端的終端軟件版本��、操作系統(tǒng)版本���、操作系統(tǒng)補(bǔ)丁��、 是否安裝了防病毒軟件及軟件版本之一或者其組合的策略條件信息�;
所述策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)所述策略條件信息判斷并生成安 全控制策略的訪問控制列表信息�����;
第二獲取模塊�,用于獲取包括用戶簽約數(shù)據(jù)、用戶的接入網(wǎng)類型�、用戶的
漫游狀態(tài)之一或者其組合的用戶的策略條件信息;
所述策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)用戶的策略條件信息判斷并生成 安全控制策略的防火墻;溪式信息����。
本發(fā)明實(shí)施例還提供了 一種策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體,下面結(jié)合附圖對(duì)PCRF的具體實(shí)施方式
進(jìn)行說(shuō)明���。
圖9為策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體結(jié)構(gòu)示意圖���,如圖所示,在PCRF中 包括
包括發(fā)送模塊�,用于在根據(jù)所述用戶的策略條件信息判斷并生成安全控制 策略后,將安全控制策略發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體��;
策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)所述安全控制策略執(zhí)行用戶的安全控制���。
進(jìn)一步的可以包括第一策略生成^^莫塊�����、第一獲取^莫塊���、和/或第二策略生成 模塊�、第二獲取模塊��,其中
第一獲取模塊��,用于從策略和計(jì)費(fèi)執(zhí)行實(shí)體����、網(wǎng)管系統(tǒng)、設(shè)備管理系統(tǒng)之 一或者其組合獲取用戶終端的終端軟件版本�、操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁��、 是否安裝了防病毒軟件及軟件版本之一或者其組合的策略條件信息��;
第一策略生成模塊���,用于根據(jù)所述策略條件信息判斷并生成安全控制策略 的訪問控制列表信息�;
第二獲取模塊����,用于獲取包括用戶簽約數(shù)據(jù)�、用戶的接入網(wǎng)類型���、用戶的 漫游狀態(tài)之一或者其組合的用戶的策略條件信息;
第二策略生成模塊���,用于根據(jù)用戶的策略條件信息判斷并生成安全控制策 略的防火墻模式信息��。
本發(fā)明實(shí)施例還提供了一種策略和計(jì)費(fèi)執(zhí)行實(shí)體���,下面結(jié)合附圖對(duì)PCEF 的具體實(shí)施方式
進(jìn)行說(shuō)明。
圖IO為策略和計(jì)費(fèi)執(zhí)行實(shí)體結(jié)構(gòu)示意圖�,如圖所示,PCEF中包括
接收模塊�����,用于從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全控制策略信息���;
執(zhí)行模塊��,用于根據(jù)所述安全控制策略信息執(zhí)行用戶的安全控制���。
所述執(zhí)行模塊可以包括訪問控制單元���、和/或防火墻單元,其中 訪問控制單元���,用于才艮據(jù)所述訪問控制列表信息對(duì)用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行訪 問控制��;
防火墻單元�����,用于根據(jù)所述防火墻模式信息為用戶業(yè)務(wù)數(shù)據(jù)流選擇相應(yīng)模式的防火墻并執(zhí)行防火墻功能�����。
接收模塊�,進(jìn)一步用于通過(guò)信用控制請(qǐng)求消息或重鑒權(quán)請(qǐng)求消息接收所述 安全控制策略信息�。
實(shí)施例中,運(yùn)營(yíng)商可以根據(jù)需求預(yù)先定義了一些訪問控制列表�����,在PCEF 的防火墻功能模塊設(shè)置。當(dāng)用戶IP-CAN會(huì)話建立時(shí)���,PCRF從PCEF��、網(wǎng)管系 統(tǒng)或設(shè)備管理(DeviceManagement)系統(tǒng)等獲得用戶終端的終端軟件版本��、操 作系統(tǒng)版本��、操作系統(tǒng)補(bǔ)丁�����、和/或是否安裝了防病毒軟件及軟件版本等信息, 根據(jù)這些策略條件信息決策應(yīng)為用戶提供的訪問控制列表信息��。PCRF可以通 過(guò)Diameter CCA (信用控制請(qǐng)求)或者RAR (重鑒權(quán)請(qǐng)求)消息把相應(yīng)配置 在PCEF上的訪問控制列表編號(hào)(ACL number)信息發(fā)送到PCEF�����??梢酝ㄟ^(guò) 在Gx接口的Diameter協(xié)議中增加ACL-Number AVP來(lái)表示,這個(gè)AVP是32 位整數(shù)類型�,可以根據(jù)訪問控制列表的不同而具有不同的取值。除PCRP下發(fā) 訪問控制列表編號(hào)方法外����,PCRF還可以直接向PCEF下發(fā)訪問控制列表的具 體定義��,如允許訪問的IP地址�����、端口���、協(xié)議、應(yīng)用類型等信息�。PCEF可以根 據(jù)PCRF下發(fā)的訪問控制列表信息執(zhí)行相應(yīng)的準(zhǔn)入控制。
同時(shí)�����,運(yùn)營(yíng)商可以根據(jù)需求將防火墻的多種控制模式(例如報(bào)文過(guò)濾模式����、 深度檢測(cè)模式),或不同功能(例如防垃圾郵件過(guò)濾和防病毒過(guò)濾)打包�,預(yù) 先設(shè)置為多個(gè)防火墻功能模式,其中每種模式可以用一個(gè)號(hào)碼來(lái)唯一標(biāo)識(shí)����,并 在PCEF設(shè)置���。用戶接入時(shí),PCRF根據(jù)用戶簽約數(shù)據(jù)����,或者用戶的接入網(wǎng)類 型或漫游狀態(tài),判斷應(yīng)為用戶提供的防火墻模式�。PCRF通過(guò)和PCEF之間的 Gx接口 ,把用戶的防火墻模式信息傳遞給PCEF��。如PCRF可以通過(guò)Diameter RAR (重鑒權(quán)請(qǐng)求)或CCA (信用控制請(qǐng)求)消息把用戶的防火墻模式信息 發(fā)送到PCEF ���。 可以通過(guò)在Gx接口的Diameter協(xié)議中增加 Firewal-Mode-Number AVP來(lái)表示���,這個(gè)AVP是32位整數(shù)類型���。PCEF根據(jù) PCRF下發(fā)的防火墻模式信息執(zhí)行相應(yīng)的防火墻模式選擇并啟動(dòng)相應(yīng)的防火墻 功能�����。由上述實(shí)施例可以看出����,在現(xiàn)有技術(shù)中的PCC架構(gòu)還不具備安全策略控
制的能力時(shí),本發(fā)明實(shí)施例達(dá)到了增強(qiáng)PCC架構(gòu)功能的目的���,使得PCEF可以 根據(jù)PCRF下發(fā)的安全控制策略�����,有效地實(shí)現(xiàn)對(duì)用戶的安全準(zhǔn)入控制�、訪問控 制����、防火墻功能模式的選擇等安全防護(hù)功能。
同時(shí)����,對(duì)于業(yè)務(wù)的準(zhǔn)入控制方面,4吏得運(yùn)營(yíng)商可以根據(jù)需求預(yù)先定義一些 訪問控制列表�,當(dāng)用戶會(huì)話接入后,使PCRF可以通過(guò)對(duì)用戶終端的操作系統(tǒng)�、 操作系統(tǒng)補(bǔ)丁、防病毒軟件等信息的分析�,來(lái)決策用戶應(yīng)匹配的訪問控制列表 信息,并通過(guò)Gx接口下發(fā)到PCEF執(zhí)行��,從而達(dá)到對(duì)用戶終端的業(yè)務(wù)數(shù)據(jù)流 的控制��。
在對(duì)于對(duì)用戶業(yè)務(wù)流執(zhí)行防火墻的模式選擇的控制方面,使得運(yùn)營(yíng)商可以 根據(jù)需求�,將防火墻的多種控制模式,或不同功能打包��,預(yù)先設(shè)置為不同的執(zhí) 行防火墻功能的防火墻模式�。當(dāng)用戶接入時(shí),使得PCRF可以根據(jù)用戶簽約數(shù) 據(jù)��、或者用戶當(dāng)前的接入網(wǎng)類型�����、用戶是否漫游等條件����,判斷應(yīng)為用戶提供的 防火墻模式,并通過(guò)Gx接口下發(fā)到PCEF設(shè)備執(zhí)行�����,從而達(dá)到了能夠?qū)I(yè)務(wù) 流進(jìn)行防火墻模式的選擇�。
顯然��,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā) 明的精神和范圍�����。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及 其等同技術(shù)的范圍之內(nèi)���,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)���。
權(quán)利要求
1、一種執(zhí)行安全控制的方法�����,其特征在于��,包括如下步驟策略和計(jì)費(fèi)執(zhí)行實(shí)體從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全控制策略信息���;所述策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)安全控制策略信息執(zhí)行用戶的安全控制�。
2��、 如權(quán)利要求1所述的方法����,其特征在于,所述安全控制策略包含防火 墻控制列表信息����、防火墻模式信息��。
3�����、 如權(quán)利要求2所述的方法���,其特征在于,所述執(zhí)行用戶的安全控制包 括如下步驟根據(jù)所述訪問控制列表信息對(duì)用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行訪問控制�����; 和/或�����,根據(jù)所述防火墻模式信息為用戶業(yè)務(wù)數(shù)據(jù)流選擇相應(yīng)模式的防火墻 并執(zhí)行防火墻功能���。
4����、 如權(quán)利要求3所述的方法��,其特征在于����,根據(jù)訪問控制列表信息指定 的訪問控制列表中允許訪問的IP地址、端口�����、協(xié)議�、應(yīng)用類型之一或者其組 合對(duì)用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行準(zhǔn)入訪問控制;根據(jù)防火墻模式信息指定的防火墻模式選擇報(bào)文過(guò)濾模式����、深度檢測(cè)模 式、防垃圾郵件過(guò)濾�����、防病毒過(guò)濾之一或者其組合的防火墻�����,并為用戶業(yè)務(wù)數(shù) 據(jù)流執(zhí)^f于防火墻功能�����。
5、 如權(quán)利要求1或2所述的方法�����,其特征在于����,所述安全控制策略信息 是由策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體通過(guò)信用控制請(qǐng)求消息或重鑒權(quán)請(qǐng)求消息 發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體。
6���、 如權(quán)利要求5所述的方法�����,其特征在于�����,所述安全控制策略信息是通 過(guò)信用控制請(qǐng)求消息或者重鑒權(quán)請(qǐng)求消息發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體的訪問 控制列表信息�����、和/或防火墻才莫式信息����。
7、 如權(quán)利要求6所述的方法�����,其特征在于����,所述訪問控制列表信息通過(guò) 在Gx接口的Diameter協(xié)議中增加訪問控制列表編號(hào)ACL-Number AVP來(lái)表防火墻模式信息通過(guò)在Gx接口的Diameter協(xié)議中增加防火墻模式編號(hào) Firewal-Mode-Number AVP來(lái)表示����。
8、 如權(quán)利要求l所述的方法�����,其特征在于��,進(jìn)一步包括如下步驟 策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)所述用戶的策略條件信息判斷并生成安全控制策略后��,將安全控制策略發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體�;策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)所述安全控制策略執(zhí)行用戶的安全控制。
9�、 如權(quán)利要求8所述的方法,其特征在于,所述策略控制和計(jì)費(fèi)規(guī)則功 能實(shí)體根據(jù)用戶的策略條件信息判斷并生成安全控制策略的訪問控制列表信 息��,所述用戶的策略條件信息是從策略和計(jì)費(fèi)執(zhí)行實(shí)體����、網(wǎng)管系統(tǒng)、設(shè)備管理 系統(tǒng)之一或者其組合獲取的用戶終端的終端軟件版本����、操作系統(tǒng)版本、操作系 統(tǒng)補(bǔ)丁����、是否安裝了防病毒軟件及軟件版本之一或者其組合的策略條件信息;和/或�����,所述策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)用戶的策略條件信息判斷并 生成安全控制策略的防火墻模式信息�����,所述用戶的策略條件信息是用戶簽約數(shù) 據(jù)���、用戶的接入網(wǎng)類型�����、用戶的漫游狀態(tài)之一或者其組合的信息�。
10、 一種執(zhí)行安全控制的系統(tǒng)�,策略和計(jì)費(fèi)執(zhí)行實(shí)體、策略控制和計(jì)費(fèi)規(guī) 則功能實(shí)體���,其特征在于,還包括接收模塊���、執(zhí)行模塊��,其中接收模塊���,與策略和計(jì)費(fèi)執(zhí)行實(shí)體相連,用于從策略控制和計(jì)費(fèi)規(guī)則功能 實(shí)體接收安全控制策略信息�����;一執(zhí)行模塊�����,與策略和計(jì)費(fèi)執(zhí)行實(shí)體相連,用于根據(jù)所述安全控制策略信息 執(zhí)行用戶的安全控制����。
11、 如權(quán)利要求IO所述的系統(tǒng)���,其特征在于����,所述安全控制策略包含防 火墻控制列表信息�、防火墻模式信息。
12�����、 如權(quán)利要求11所述的系統(tǒng)����,其特征在于,所述執(zhí)行模塊包括訪問控 制單元����、和/或防火墻單元,其中訪問控制單元�,用于根據(jù)所述訪問控制列表信息對(duì)用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行訪問控制�;防火墻單元��,用于根據(jù)所述防火墻模式信息為用戶業(yè)務(wù)數(shù)據(jù)流選擇相應(yīng)模 式的防火墻并執(zhí)行防火墻功能�。
13、 如權(quán)利要求12所述的系統(tǒng)����,其特征在于,所述訪問控制單元進(jìn)一步用于根據(jù)訪問控制列表信息指定的訪問控制列表中允許訪問的IP地址���、端口、協(xié)議��、應(yīng)用類型之一或者其組合對(duì)用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行準(zhǔn)入訪問控制����;所述防火墻單元進(jìn)一步用于根據(jù)防火墻模式信息指定的防火墻模式選擇 報(bào)文過(guò)濾模式、深度檢測(cè)模式����、防垃圾郵件過(guò)濾、防病毒過(guò)濾之一或者其組合 的防火墻�����,并為用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行防火墻功能。
14���、 如權(quán)利要求10或11所述的系統(tǒng)���,其特征在于,接收模塊���,進(jìn)一步用 于通過(guò)信用控制請(qǐng)求消息或重鑒權(quán)請(qǐng)求消息接收所述安全控制策略信息��。
15�、 如權(quán)利要求14所述的系統(tǒng)�����,其特征在于��,所述安全控制策略信息是 訪問控制列表信息����、和/或防火墻^^莫式信息。
16����、 如權(quán)利要求15所述的系統(tǒng)����,其特征在于����,所述訪問控制列表信息通 過(guò)在Gx接口的Diameter協(xié)議中增加訪問控制列表編號(hào)ACL-Number AVP來(lái)表示;.防火墻模式信息通過(guò)在Gx接口的Diameter協(xié)議中增加防火墻模式編號(hào) Firewal-Mode-Number AVP來(lái)表示���。
17���、 如權(quán)利要求IO所述的系統(tǒng),其特征在于�,進(jìn)一步包括發(fā)送模塊,用 于在策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)所述用戶的策略條件信息判斷并生成 安全控制策略后��,將安全控制策略發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體���;策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)所述安全控制策略執(zhí)行用戶的安全控制。
18���、 如權(quán)利要求17所述的系統(tǒng)�,其特征在于��,進(jìn)一步包括第一獲取模塊、 和/或第二獲取模塊�,其中第一獲取模塊,用于從策略和計(jì)費(fèi)執(zhí)行實(shí)體��、網(wǎng)管系統(tǒng)���、設(shè)備管理系統(tǒng)之 一或者其組合獲取用戶終端的終端軟件版本�����、操作系統(tǒng)版本�����、操作系統(tǒng)補(bǔ)丁�����、是否安裝了防病毒軟件及軟件版本之一或者其組合的策略條件信息����;所述策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)所述策略條件信息判斷并生成安全控制策略的訪問控制列表信息����;第二獲取模塊����,用于獲取包括用戶簽約數(shù)據(jù)���、用戶的接入網(wǎng)類型�����、用戶的漫游狀態(tài)之一或者其組合的用戶的策略條件信息���;所述策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體根據(jù)用戶的策略條件信息判斷并生成 安全控制策略的防火墻模式信息。
19����、 一種策略和計(jì)費(fèi)執(zhí)行實(shí)體,其特征在于�����,包括接收模塊��,用于從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全控制策略信息����; 執(zhí)行模塊,用于根據(jù)所述安全控制策略信息執(zhí)行用戶的安全控制���。
20���、 如權(quán)利要求19所述的策略和計(jì)費(fèi)執(zhí)行實(shí)體,其特征在于����,所述執(zhí)行 模塊包括訪問控制單元、和/或防火墻單元���,其中訪問控制單元����,用于根據(jù)所述訪問控制列表信息對(duì)用戶業(yè)務(wù)數(shù)據(jù)流執(zhí)行訪 問控制�����;防火墻單元��,用于根據(jù)所述防火墻模式信息為用戶業(yè)務(wù)數(shù)據(jù)流選擇相應(yīng)模 式的防火墻并4丸行防火墻功能��。
21、 如權(quán)利要求19或20所述的策略和計(jì)費(fèi)執(zhí)行實(shí)體�����,其特征在于��,接收 模塊�����,進(jìn)一步用于通過(guò)信用控制請(qǐng)求消息或重鑒權(quán)請(qǐng)求消息接收所述安全控制
22�、 一種策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體,其特征在于����,包括發(fā)送模塊,用 于在根據(jù)所述用戶的策略條件信息判斷并生成安全控制策略后����,將安全控制策 略發(fā)送至策略和計(jì)費(fèi)執(zhí)行實(shí)體;策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)所述安全控制策略執(zhí)行用戶的安全控制�。
23、 如權(quán)利要求22所述的策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體��,其特征在于���, 進(jìn)一步包括第一策略生成模塊��、第一獲取模塊�、和/或第二策略生成模塊����、第二 獲取模塊,其中第一獲^^莫塊���,用于從策略和計(jì)費(fèi)執(zhí)行實(shí)體����、網(wǎng)管系統(tǒng)�����、設(shè)備管理系統(tǒng)之 一或者其組合獲取用戶終端的終端軟件版本��、操作系統(tǒng)版本�、操作系統(tǒng)補(bǔ)丁、是否安裝了防病毒軟件及軟件版本之一或者其組合的策略條件信息���;第一策略生成才莫塊�����,用于根據(jù)所述策略條件信息判斷并生成安全控制策略的訪問控制列表信息�;第二獲取模塊,用于獲取包括用戶簽約數(shù)據(jù)�、用戶的接入網(wǎng)類型、用戶的漫游狀態(tài)之一或者其組合的用戶的策略條件信息����;第二策略生成才莫塊,用于才艮據(jù)用戶的策略條件信息判斷并生成安全控制策略的防火墻模式信息����。
全文摘要
本發(fā)明公開了一種執(zhí)行安全控制的方法、系統(tǒng)及策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體�、策略和計(jì)費(fèi)執(zhí)行實(shí)體,包括策略和計(jì)費(fèi)執(zhí)行實(shí)體從策略控制和計(jì)費(fèi)規(guī)則功能實(shí)體接收安全控制策略信息�;所述策略和計(jì)費(fèi)執(zhí)行實(shí)體根據(jù)安全控制策略信息執(zhí)行用戶的安全控制。使用本發(fā)明能夠在策略和計(jì)費(fèi)控制架構(gòu)中對(duì)用戶會(huì)話提供安全控制���。
文檔編號(hào)H04L9/00GK101299660SQ200710101580
公開日2008年11月5日 申請(qǐng)日期2007年4月30日 優(yōu)先權(quán)日2007年4月30日
發(fā)明者侯志鵬, 譚仕勇, 邸錦文, 峰 陳, 黃世碧 申請(qǐng)人:華為技術(shù)有限公司