一种执行安全控制的方法、系统及设备的制作方法

专利名称：一种执行安全控制的方法、系统及设备的制作方法
技术领域：
本发明涉及通信领域，特别涉及执行安全控制的方法、系统及策略控制和 计费规则功能实体、策略和计费执行实体。
背景技术：
图1为3GPP在TS 23.203里定义的PCC ( Policy Charging Control,策略 和计费控制)架构示意图，如图所示，PCC中各个功能实体作用如下
PCRF ( Policy Control and Charging Rules Function,策略控制和计费规则功 能实体)该功能实体根据用户接入网络的限制、运营商策略、从SPR (Subscription Profile Repository,用户签约数据ft据库)功能实体获取的用户 签约数据、以及从AF (Application Function,应用层功能实体)获取的用户当 前正在进行的业务信息等决定对应的策略，并将该策略提供给PCEF( Policy and Charging Enforcement Function,策略和计费执行实体)，由PCEF执行这些策 略。策略包括业务数据流(完成某一业务，比如语音的IP流集合)的检测规 则、是否门控、业务数据流对应的QoS (Quality of Service,服务质量)和基 于流的计费规则等。
PCEF:该实体执行PCRF下发或者捐定的策略，具体来说就是执行业务 数据流的^r测和测量，保证业务数据流的QoS、用户面流量处理、触发控制面 的会话管理等；
SPR:该功能实体向PCRF提供用户签约数据；
AF:该功能实体向PCRF动态提供应用层的会话信息，PCRF根据该信息 动态生成或者修改对应的规则。
各功能实体间的参考点描述如下RX参考点该参考点用于AF下发应用层相关信息，该信息包括但不限 于IP过滤器，用于识别业务数据流、应用、或者媒体所需的带宽信息，该参 考点使用IETF定义的Diameter协议；
参考点该参考点使PCRF可以动态控制PCEF上所执行的PCC规则。 该参考点实现以下功能建立、维护、终结IP-CAN (IP Connectivity Access Network, IP连通接入网络)会话；PCEF向PCRF请求PCC规则；PCRF向 PCEF提供PCC规则；协商IP-CAN承载建立模式。该参考点使用IETF定义 的Diameter协议；
Sp参考点用于PCRF向SPR请求用户签约信息，该签约信息用于确定 IP-CAN传输层策略。该接口目前属于私有接口 (设备商自定义，没有公开化)；
为了更容易理解IP-CAN会话流程，先阐述几个术语
IP-CAN:当用户在接入网络内漫游(位置改变时)仍能保存IP业务连续 性(即不中断业务)，具有这样性质的接入网络称为IP-CAN，比如GPRS(General Packet Radio Service,通用分组无线业务)网络，I-WLAN (无线本地局域网同 3GPP网络互通系统)网络等；
IP-CANbearer: IP-CAN承载，具有明确速率，延迟和误比特率的IP传输 路径(该路径指的是接入网到PCEF之间)，对于GPRS来说IP-CAN bearer对 应PDP (Packet Data Protocol,分组数据协议)上下文；
IP-CAN session: IP-CAN会话，指的是UE ( User Equipment,用户设备) 和PDN (Packet Data Network,分组lt据网，比如internet)标识之间的连4妄关 系，该连接关系通过UE的IP地址和UE的标识来识别。只要UE分配了 IP 地址并且能被IP网络识别，则IP-CAN存在。IP-CAN会话可以包含一到多个 IP-CAN承载。
图2为IP-CAN会话建立流程示意图，如图所示，IP-CAN会话建立包括 如下流程
步骤201 、 PCEF接收到UE发起的IP-CAN会话建立请求消息(分配一个在PDN网络可见的IP地址)，具体消息格式与接入网类型有关，对于GPRS, 即建立第一个PDP上下文；
步骤202、 PCEF通知PCRF IP-CAN会话建立，PCEF创建一个新的DCC (Diameter信用控制)会话，向PCRF发送CCR (信用控制请求， Credit-Control-Request )消息，包含UE标识和IP地址。如果PCRF执行IP-CAN 承载和规则绑定，则PCEF还要上报IP-CAN承载标识( 一般情况下，UE建立 IP-CAN会话的同时会建立缺省IP-CAN承载来传递控制层信令)；
步骤203 、 PCRF存储CCR消息里的信息；
步骤204、 PCRF如果需要用户签约相关信息，则向SPR请求；
步骤205、 SPR返回用户签约信息，包括用户当前签约的业务，计费模式
"^"寸5 ,色,
步骤206、 PCRF生成新的PCC规则；
步骤207、 PCRF存储PCC规则，如果PCRF执行IP-CAN承载和规则绑 定，则还要记录PCC规则和IP-CAN承载标识的绑定关系；
步骤208、 PCRF通过CCA (信用控制应答，Credit-Control-Answer)消息 将PCC规则返回给PCEF,如果PCRF执行IP-CAN承载和规则绑定，则指明 PCC规则和IP-CAN承载标识的j^定关系(即在那个IP-CAN承载执行对应的 规则);
步骤209、 PCEF安装规则，并根据规则打开或者关闭对应的业务数据流， 保证相应的QoS，如果PCEF执行IP-CAN承载和规则绑定，则由PCEF根据 规则要求选择一个合适的IP-CAN承载，否则PCEF根据PCRJF的PCC规则和 IP-CAN承载标识的绑定关系，在对应的IP-CAN承载上4丸4于规则；
步骤210、 PCEF向UE返回IP-CAN会话建立响应消息；
图3为UE发起的IP-CAN承载建立流程示意图，如图所示，UE发起 IP-CAN承载建立包括如下步骤.
步骤301 、 AF接收到一个触发事件(比如UE发起的多媒体呼叫控制信令)后，需要建立一个新的Diameter会话并向PCRF提供业务信息；
步骤302、 AF从触发事件中提取需要的业务信息(比如IP流的地址信息，
端口号，媒体类型等)；
步骤303、 AF向PCRF发送AAR (批准和/或授权请求，AA-Request)消
息，包含业务信息；
步骤304、 PCRF保存接收到的业务信息；
步骤305、如果PCRF此时没有用户签约信息，则向SPR请求用户签约信
息；
步骤306、 SPR返回用户签约信息，包括用户当前签约的业务； 步骤307、 PCRF根据接受到的业务信息和以前从PCEF接受到的信息(比 如IP-CAN会话建立时)将该AF会话关联到一个对应的IP-CAN会话； 步骤308、 PCRF向AF返回AAA消息；
步骤309、PCEF接收到UE发起的IP-CAN会话消息，要求建立新的IP-CAN 承载，对于GPRS,即建立第二个PDP上下文；
步骤310、 PCEF通知PCRF IP-CAN会话需要修改，向PCRF发送CCR 消息，请求针对该IP-CAN承载的PCC规则，如果PCRF执行IP-CAN承载和 MJ3'J绑定，则PCEF还要上报新的IP-CAN承载标识；
步骤311、 PCRF存储CCR消息里的信息，并且利用从PCEF接受到信息 和步骤303中从AF接收到的业务信息，将IP-CAN会话关联到特定的AF会 话( 一个IP-CAN会话可与多个AF会话有关联关系)，生成并保存新的PCC 规则(根据业务信息和用户签约，运营商配置等信息)；
步骤312、 PCRF向PCEF返回CCA消息，带有新的PCC规则，如果PCRF 执行IP-CAN承载和规则绑定，则指明在新建立的IP-CAN承载上执行PCC规 则；
步骤313、 PCEF安装规则，并根据规则打开或者关闭对应的业务数据流， 保证对应的QoS和计费统计；步骤314、如果用户是在线计费并且OCS ( Online Charging System,在线 计费系统)连接正常可用，则PCEF可以向OCS请求信息计费关键字信息； 步骤315、 OCS向PCEF返回信用控制信息。 步骤316、 PCEF向UE返回IP-AN会话响应消息；
图4为IP-CAN会话、IP-CAN承载、PCC规则和IP流之间的绑定关系示 意图，通过以上所述的IP-CAN会话建立过程、IP-CAN承载建立过程，在PCEF 上实际形成了如图所示的IP-CAN会话、IP-CAN承载、PCC规则和IP流之间
的绑定关系。
当UE在PDN分配了可寻址的IP地址后，UE就建立IP-CAN会话，为了 满足不同的QoS要求，在同一个IP-CAN会话里可以建立不同QoS要求的 IP-CAN承载，在每个IP-CAN承载里可以有多个IP流(比如用户可以同时在 不同服务器下载文件)，PCEF是根据PCC规则(PCC规则包含IP五元组，即 IP源、目的地址、源端口号、目的端口号、协议来识别IP流。每个PCC规则 可以包含一到多个IP流，它们称为业务数据流(Service Data Flow )。在PCRF 通过Gx接口传递给PCEF的PCC规则中，包含了门控信息、QoS控制参数、 业务数据流的计费参数，PCEF可以根据PCC规则中的这些控制参数来进行业 务流的准入控制、流量监管和计费等操作。
发明人在发明过程中注意到在现有PCC所提供的机制中，PCRF定义了 计费规则、QoS控制、门控信息的PCC规则，然后通过Gx接口把业务数据流 的IP五元组过滤规则和相应的规则参数传递给PCEF, PCEF可以根据业务数 据流的规则进行计费、QoS控制、门控。
但是，目前PCC架构中尚没有能够解决对用户接入会话后的用户业务数 据流提供安全控制能力的技术方案，这样使得PCC无法适用于数据业务接入 控制的应用场景。
比如，随着网络安全问题在电信网络的漫延，在PCEF (分组接入网关) 上提供集成防火墙功能和准入控制等网络安全防护功能，已经成为网关设备的一个重要功能，这些安全防护功能的引入对于提升整体网络安全度，减少网络 安全事故，降低运营商的网络运行和维护成本具有重要的应用意义。这些网络 安全防护功能的实现上往往需要根据复杂、变化的策略条件进行策略判断并在 不同的策略条件下进行不同的安全防护功能。
现有技术至少在例如在以下的应用场景中就不能解决以下问题
1、 为了防止来自终端的垃圾邮件攻击、或者防止终端由于软件安全漏洞 造成的对网络的攻击等问题，网络不能在用户终端接入网络时，当网络需要能 够根据终端的安全状态，如操作系统、操作系统补丁、防病毒软件等信息对用 户的数据业务接入进行安全控制时，现有的网络并不能对此终端所适用的业务 接入进行准入控制。
2、 当PCEF配置防火墙时，现有技术并不能对防火墙的多种控制模式或 不同的功能进行打包。这样当出现需要根据用户签约的防火墙模式进行防火墙 模式选择；或者，需要根据目前用户的接入网类型、用户是否漫游等策略条件 来决定防火墙模式的选择时，现有技术并不能对是否提供防火墙等功能进行控 制。
由于目前PCC架构中尚不支持上述安全策略控制的能力，使得PCC仅限 于应用在确定业务数据流的应用场景，如IMS等应用场景，无法适用于数据业 务接入控制应用场景。不能使网络根据不同策略条件实现不同的安全策略控制 功能，从而提高网络安全性，促进数据业务的广泛开展和应用。

发明内容
本发明实施例提供一种执行安全控制的方法、系统及策略控制和计费规则 功能实体、策略和计费执行实体，用以解决提供在PCC架构中对用户会话提 供安全控制的问题。
本发明实施例提供了一种执行安全控制的方法，包括如下步骤 策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略信息；
所述策略和计费执行实体根据安全控制策略信息执行用户的安全控制。
本发明实施例还提供了一种执行安全控制的系统，策略和计费执行实体、 策略控制和计费规则功能实体、接收模块、执行模块，其中
接收模块，与策略和计费执行实体相连，用于从策略控制和计费规则功能 实体接收安全控制策略信息；
执行模块，与策略和计费执行实体相连，用于根据所述安全控制策略信息 执行用户的安全控制。
本发明实施例又提供了 一种策略控制和计费规则功能实体，包括发送模 块，用于在根据所述用户的策略条件信息判断并生成安全控制策略后，将安全 控制策略发送至策略和计费执行实体；
策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
本发明实施例还提供了一种策略和计费执行实体，包括 接收模块，用于从策略控制和计费规则功能实体接收安全控制策略信息； 执行模块，用于根据所述安全控制策略信息执行用户的安全控制。 本发明实施例有益效果如下
由于策略和计费执行实体从策略控制和计费规则功能实体接收安全控制 策略信息后，策略和计费执行实体再根据安全控制策略信息执行用户的安全控 制，从而具备了对用户接入会话进行控制的能力。


图1为背景技术中所述3GPP在TS 23.203里定义的PCC架构示意图； 图2为背景技术中所述IP-CAN会话建立流程示意图； 图3为背景技术中所述UE发起的IP-CAN承载建立流程示意图； 图4为背景技术中所述IP-CAN会话、IP-CAN承载、PCC规则和IP流之 间的绑定关系示意图；图5为本发明实施例中所述执行安全控制方法的实施流程示意图6为本发明所述实施例一实施流程示意图7为本发明所述实施例二实施流程示意图8为本发明实施例中所述执行安全控制系统的结构示意图9为本发明实施例中所述策略控制和计费规则功能实体结构示意图10为本发明实施例中所述策略和计费执行实体结构示意图。
具体实施例方式
下面结合附图对本发明的具体实施方式
进行说明。
图5为执行安全控制方法的实施流程示意图，如图所示，在执行安全控制 时可以包括如下步骤
步骤501、策略和计费执行实体从策略控制和计费规则功能实体接收安全 控制策略信息；
步骤502、所述策略和计费执行实体根据安全控制策略信息执行用户的安 全控制。
实施例中，安全控制策略包含防火墙控制列表信息、防火墙才莫式信息。 执行用户的安全控制功能包括
根据所述访问控制列表信息对用户业务数据流执行访问控制；
和/或，根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙 并执行防火墙功能。
其中，执行访问控制可以是根据访问控制列表信息指定的访问控制列表中 允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务数据 流执行准入访问控制；
执行防火墙功能可以是根据防火墙模式信息指定的防火墙模式选择报文 过滤模式、深度检测模式、防垃圾邮件过滤、防病毒过滤之一或者其组合的防 火墙，并为用户业务数据流执行防火墙功能。安全控制策略信息可以是由策略控制和计费规则功能实体通过信用控制 请求消息或重鉴权请求消息发送至策略和计费执行实体。
安全控制策略信息可以是通过信用控制请求消息或者重鉴权请求消息发 送至策略和计费执行实体的访问控制列表信息、和/或防火墙模式信息。
其中，访问控制列表信息可以通过在Gx接口的Diameter协议中增加访问 控制列表编号ACL-Number AVP来表示；
防火墙模式信息可以通过在Gx接口的Diameter协议中增加防火墙模式编 号Firewal-Mode-Number AVP来表示。
实施中，策略控制和计费规则功能实体根据所述用户的策略条件信息判断 并生成安全控制策略后，将安全控制策略发送至策略和计费执行实体；
策略和计费执行实体再根据所述安全控制策略执行用户的安全控制。
策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全 控制策略的访问控制列表信息，所述用户的策略条件信息可以是从策略和计费 执行实体、网管系统、设备管理系统之一或者其组合获取的用户终端的终端软 件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之 一或者其组合的策略条件信息；
和/或，所述策略控制和计费规则功能实体根据用户的策略条件信息判断并 生成安全控制策略的防火墙模式信息，所述用户的策略条件信息是用户签约数 据、用户的接入网类型、用户的漫游状态之一或者其组合的信息。
下面以为用户提供各种安全控制策略的实施例来进一 步说明执行安全控 制的实施方式。
实施例一
本实施例描述了根据用户终端的终端软件版本、操作系统版本、操作系统 补丁、和/或是否安装了防病毒软件及软件版本等信息进行策略决策，判断并生 成安全控制策略，通过安全控制策略实现用户的准入控制的应用示例。用户在 IP接入会话建立时，PCRF从设备管理系统获得用户终端的终端软件版本、操作系统版本、操作系统补丁、和/或是否安装了防病毒软件及软件版本等信息； PCRP根据所获得的信息，判断并生成安全控制策略，安全控制策略中包括针 对此用户终端所适用的访问控制列表，并将信息发送给PCEF进行准入控制处理。
图6为实施例一实施流程示意图，如图所示，包括如下步骤 步骤601 、用户发起IP接入会话建立请求到PCEF。
步骤602、 PCEF发送信用控制请求消息到PCRF,用于触发PCRF反馈安 全控制策略，其中信用控制请求消息中携带用户终端设备信息。
步骤603、 PCRF通过设备管理系统获得用户终端的终端软件版本、操作 系统版本、操作系统补丁、和/或是否安装了防病毒软件及软件版本等信息。
步骤604、 PCRF进行判断并生成安全控制策略，根据所获得的信息，判 断决定针对此用户终端所适用的访问控制列表一，在安全控制策略信息中包括 了访问控制列表一。
步骤605、 PCRF发送信用控制应答消息到PCEF，消息中带有此用户终端 的访问控制列表一信息。
步骤606、 PCEF根据收到的访问控制列表一信息进行准入控制，对经过 PCEF的用户相关数据流进行允许接纳或拒绝操作。
步骤607、 PCEF向用户终端发送IP接入会话建立应答消息。
步骤608、当设备管理系统发现用户终端软件版本不是所期望的最新版本 时，设备管理系统可以提示用户及时升级终端软件版本。
步骤609、用户终端通过设备管理系统进行软件升级。
步骤610、设备管理系统向PCRF发送用户终端升级后的终端软件信息。
步骤611、 PCRF进行判断并生成安全控制策略，才艮据用户终端升级后的 终端软件信息，判断决定针对此用户终端所适用的访问控制列表二，在安全控 制策略信息中包括访问控制列表二。
步骤612、 PCRF发送重鉴权请求消息到PCEF,消息中带有此用户终端的访问控制列表二信息。
步骤613、 PCEF根据收到的访问控制列表二信息进行准入控制，对经过 PCEF的用户相关数据流进行允许接纳或拒绝操作。 步骤614、 PCEF向PCRF发送重鉴权响应消息。
通过本实施例实施可知，实施例可以根据终端软件信息对用户进行准入接 纳控制。当用户终端的软件版本或配置不符合网络安全要求时，可以限制终端 能够访问的网络资源，如仅允许访问设备管理系统进行软件升级，当终端的软 件版本或配置满足网络安全要求后再允许终端访问其它的用户订阅的网络资 源。这样可以避免不符合安全要求的终端，如操作系统存在安全漏洞、没有安 装防病毒软件的终端接入网络，从而对网络的安全威胁带来潜在的危险，提升 了网络整体的安全性，减少网络安全事故，降低网络的运行和维护成本。
实施例二
本实施例描述了根据用户签约数据、或用户的接入网类型、或是否漫游用 户等条ffT判断应为用户提供的防火墙模式，并送给PCEF进行处理。 图7为实施例二实施流程示意图，如图所示，包括以下步骤 步骤701 、用户发起IP接入会话建立请求到PCEF。
步骤702、 PCEF发送信用控制请求消息到PCRF，用于触发PCRF反馈安 全控制策略，其中信用控制请求消息中携带用当前使用的接入网类型、是否漫 游等信息。
步骤703、 PCRF通过SPR获得用户的签约信息，包括用户签约的防火墙 模式信息。
步骤704、 PCRF根据用户签约数据，或者用户的接入网类型、或者是否 漫游用户等策略条件，判断并生成安全控制策略，安全控制策略信息中包括应 为用户提供的防火墙才莫式信息。如根据用户的签约信息，如果用户签约了防火 墙模式，则使用用户签约信息；否则，由运营商预先定义的，对不同用户接入 网类型提供不同的防火墙才莫式，比如对WLAN ( Wireless Local Area Network,无线局域网)接入的用户提供的防火墙功能模式区别与于采用WCDMA (Wireless CDMA，无线CDMA )接入的用户；或者对漫游用户不提供防火墙 功能等。
步骤705、 PCRF发送信用控制应答消息到PCEF,消息中带有用户的防火 墙模式(Firewall Mode Number)信息。
步骤706、 PCEF才艮据收到的防火墙模式信息针对此接入用户进行防火墙 模式选择并启动相应的防火墙功能。
步骤707、 PCEF向用户终端发送IP接入会话建立应答消息。
从以上描述，可以知道本实施例通过对用户签约信息、接入网类型、是否 漫游用户，以及其他可能的策略条件信息，可以为用户提供不同组合的防火墙 功能，使用户防火墙功能得到充分的应用，从而为用户提供安全保证。
本发明实施例还提供了 一种执行安全控制的系统，下面结合附图对本系统 的具体实施方式
进行说明。
图8为执行安全控制系统的结构示意图，如图所示，系统中包括策略和计 费执行实体、策略控制和计费规则功能实体、接收模块、执行模块，其中 接收模块、执行模块与策略和计费执行实体相连； 接收模块从策略控制和计费规则功能实体接收安全控制策略信息； 执行模块根据所述安全控制策略信息执行用户的安全控制。 安全控制策略可以包含防火墙控制列表信息、防火墙模式信息。 执行模块可以包括访问控制单元、和/或防火墙单元，其中 访问控制单元，用于根据所述访问控制列表信息对用户业务数据流执行访 问控制；
防火墙单元，用于根据所述防火墙模式信息为用户业务数据流选择相应模 式的防火墙并执行防火墙功能。
访问控制单元可以进 一 步用于根据访问控制列表信息指定的访问控制列 表中允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务数据流4丸行准入访问控制；
所述防火墙单元可以进一步用于根据防火墙模式信息指定的防火墙模式 选择报文过滤模式、深度检测一莫式、防垃圾邮件过滤、防病毒过滤之一或者其 组合的防火墙，并为用户业务数据流执行防火墙功能。
接收模块可以通过信用控制请求消息或重鉴权请求消息接收所述安全控 制策略信息。
安全控制策略信息可以是访问控制列表信息、和/或防火墙模式信息。
访问控制列表信息可以通过在Gx接口的Diameter协议中增加访问控制列 表编号ACL-Number AVP来表示；
防火墙模式信息可以通过在Gx接口的Diameter协议中增加防火墙模式编 号Firewal-Mode-Number AVP来表示。
系统中还可以包括发送模块，用于在策略控制和计费规则功能实体根据所 述用户的策略条件信息判断并生成安全控制策略后，将安全控制策略发送至策
略和计费执行实体；
策略和计费执行实体才艮据所述安全控制策略执行用户的安全控制。
系统中还可以包括第一荻取模块、和成第二获取模块，其中
第一获取模块，用于从策略和计费执行实体、网管系统、设备管理系统之 一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、 是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息；
所述策略控制和计费规则功能实体根据所述策略条件信息判断并生成安 全控制策略的访问控制列表信息；
第二获取模块，用于获取包括用户签约数据、用户的接入网类型、用户的
漫游状态之一或者其组合的用户的策略条件信息；
所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成 安全控制策略的防火墙;溪式信息。
本发明实施例还提供了 一种策略控制和计费规则功能实体，下面结合附图对PCRF的具体实施方式
进行说明。
图9为策略控制和计费规则功能实体结构示意图，如图所示，在PCRF中 包括
包括发送模块，用于在根据所述用户的策略条件信息判断并生成安全控制 策略后，将安全控制策略发送至策略和计费执行实体；
策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
进一步的可以包括第一策略生成^^莫块、第一获取^莫块、和/或第二策略生成 模块、第二获取模块，其中
第一获取模块，用于从策略和计费执行实体、网管系统、设备管理系统之 一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、 是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息；
第一策略生成模块，用于根据所述策略条件信息判断并生成安全控制策略 的访问控制列表信息；
第二获取模块，用于获取包括用户签约数据、用户的接入网类型、用户的 漫游状态之一或者其组合的用户的策略条件信息；
第二策略生成模块，用于根据用户的策略条件信息判断并生成安全控制策 略的防火墙模式信息。
本发明实施例还提供了一种策略和计费执行实体，下面结合附图对PCEF 的具体实施方式
进行说明。
图IO为策略和计费执行实体结构示意图，如图所示，PCEF中包括
接收模块，用于从策略控制和计费规则功能实体接收安全控制策略信息；
执行模块，用于根据所述安全控制策略信息执行用户的安全控制。
所述执行模块可以包括访问控制单元、和/或防火墙单元，其中 访问控制单元，用于才艮据所述访问控制列表信息对用户业务数据流执行访 问控制；
防火墙单元，用于根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
接收模块，进一步用于通过信用控制请求消息或重鉴权请求消息接收所述 安全控制策略信息。
实施例中，运营商可以根据需求预先定义了一些访问控制列表，在PCEF 的防火墙功能模块设置。当用户IP-CAN会话建立时，PCRF从PCEF、网管系 统或设备管理(DeviceManagement)系统等获得用户终端的终端软件版本、操 作系统版本、操作系统补丁、和/或是否安装了防病毒软件及软件版本等信息， 根据这些策略条件信息决策应为用户提供的访问控制列表信息。PCRF可以通 过Diameter CCA (信用控制请求)或者RAR (重鉴权请求)消息把相应配置 在PCEF上的访问控制列表编号(ACL number)信息发送到PCEF。可以通过 在Gx接口的Diameter协议中增加ACL-Number AVP来表示，这个AVP是32 位整数类型，可以根据访问控制列表的不同而具有不同的取值。除PCRP下发 访问控制列表编号方法外，PCRF还可以直接向PCEF下发访问控制列表的具 体定义，如允许访问的IP地址、端口、协议、应用类型等信息。PCEF可以根 据PCRF下发的访问控制列表信息执行相应的准入控制。
同时，运营商可以根据需求将防火墙的多种控制模式(例如报文过滤模式、 深度检测模式)，或不同功能(例如防垃圾邮件过滤和防病毒过滤)打包，预 先设置为多个防火墙功能模式，其中每种模式可以用一个号码来唯一标识，并 在PCEF设置。用户接入时，PCRF根据用户签约数据，或者用户的接入网类 型或漫游状态，判断应为用户提供的防火墙模式。PCRF通过和PCEF之间的 Gx接口 ，把用户的防火墙模式信息传递给PCEF。如PCRF可以通过Diameter RAR (重鉴权请求)或CCA (信用控制请求)消息把用户的防火墙模式信息 发送到PCEF 。 可以通过在Gx接口的Diameter协议中增加 Firewal-Mode-Number AVP来表示，这个AVP是32位整数类型。PCEF根据 PCRF下发的防火墙模式信息执行相应的防火墙模式选择并启动相应的防火墙 功能。由上述实施例可以看出，在现有技术中的PCC架构还不具备安全策略控
制的能力时，本发明实施例达到了增强PCC架构功能的目的，使得PCEF可以 根据PCRF下发的安全控制策略，有效地实现对用户的安全准入控制、访问控 制、防火墙功能模式的选择等安全防护功能。
同时，对于业务的准入控制方面，4吏得运营商可以根据需求预先定义一些 访问控制列表，当用户会话接入后，使PCRF可以通过对用户终端的操作系统、 操作系统补丁、防病毒软件等信息的分析，来决策用户应匹配的访问控制列表 信息，并通过Gx接口下发到PCEF执行，从而达到对用户终端的业务数据流 的控制。
在对于对用户业务流执行防火墙的模式选择的控制方面，使得运营商可以 根据需求，将防火墙的多种控制模式，或不同功能打包，预先设置为不同的执 行防火墙功能的防火墙模式。当用户接入时，使得PCRF可以根据用户签约数 据、或者用户当前的接入网类型、用户是否漫游等条件，判断应为用户提供的 防火墙模式，并通过Gx接口下发到PCEF设备执行，从而达到了能够对业务 流进行防火墙模式的选择。
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
权利要求
1、一种执行安全控制的方法，其特征在于，包括如下步骤策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略信息；所述策略和计费执行实体根据安全控制策略信息执行用户的安全控制。
2、 如权利要求1所述的方法，其特征在于，所述安全控制策略包含防火 墙控制列表信息、防火墙模式信息。
3、 如权利要求2所述的方法，其特征在于，所述执行用户的安全控制包 括如下步骤根据所述访问控制列表信息对用户业务数据流执行访问控制； 和/或，根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙 并执行防火墙功能。
4、 如权利要求3所述的方法，其特征在于，根据访问控制列表信息指定 的访问控制列表中允许访问的IP地址、端口、协议、应用类型之一或者其组 合对用户业务数据流执行准入访问控制；根据防火墙模式信息指定的防火墙模式选择报文过滤模式、深度检测模 式、防垃圾邮件过滤、防病毒过滤之一或者其组合的防火墙，并为用户业务数 据流执^f于防火墙功能。
5、 如权利要求1或2所述的方法，其特征在于，所述安全控制策略信息 是由策略控制和计费规则功能实体通过信用控制请求消息或重鉴权请求消息 发送至策略和计费执行实体。
6、 如权利要求5所述的方法，其特征在于，所述安全控制策略信息是通 过信用控制请求消息或者重鉴权请求消息发送至策略和计费执行实体的访问 控制列表信息、和/或防火墙才莫式信息。
7、 如权利要求6所述的方法，其特征在于，所述访问控制列表信息通过 在Gx接口的Diameter协议中增加访问控制列表编号ACL-Number AVP来表防火墙模式信息通过在Gx接口的Diameter协议中增加防火墙模式编号 Firewal-Mode-Number AVP来表示。
8、 如权利要求l所述的方法，其特征在于，进一步包括如下步骤 策略控制和计费规则功能实体根据所述用户的策略条件信息判断并生成安全控制策略后，将安全控制策略发送至策略和计费执行实体；策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
9、 如权利要求8所述的方法，其特征在于，所述策略控制和计费规则功 能实体根据用户的策略条件信息判断并生成安全控制策略的访问控制列表信 息，所述用户的策略条件信息是从策略和计费执行实体、网管系统、设备管理 系统之一或者其组合获取的用户终端的终端软件版本、操作系统版本、操作系 统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息；和/或，所述策略控制和计费规则功能实体根据用户的策略条件信息判断并 生成安全控制策略的防火墙模式信息，所述用户的策略条件信息是用户签约数 据、用户的接入网类型、用户的漫游状态之一或者其组合的信息。
10、 一种执行安全控制的系统，策略和计费执行实体、策略控制和计费规 则功能实体，其特征在于，还包括接收模块、执行模块，其中接收模块，与策略和计费执行实体相连，用于从策略控制和计费规则功能 实体接收安全控制策略信息；一执行模块，与策略和计费执行实体相连，用于根据所述安全控制策略信息 执行用户的安全控制。
11、 如权利要求IO所述的系统，其特征在于，所述安全控制策略包含防 火墙控制列表信息、防火墙模式信息。
12、 如权利要求11所述的系统，其特征在于，所述执行模块包括访问控 制单元、和/或防火墙单元，其中访问控制单元，用于根据所述访问控制列表信息对用户业务数据流执行访问控制；防火墙单元，用于根据所述防火墙模式信息为用户业务数据流选择相应模 式的防火墙并执行防火墙功能。
13、 如权利要求12所述的系统，其特征在于，所述访问控制单元进一步用于根据访问控制列表信息指定的访问控制列表中允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务数据流执行准入访问控制；所述防火墙单元进一步用于根据防火墙模式信息指定的防火墙模式选择 报文过滤模式、深度检测模式、防垃圾邮件过滤、防病毒过滤之一或者其组合 的防火墙，并为用户业务数据流执行防火墙功能。
14、 如权利要求10或11所述的系统，其特征在于，接收模块，进一步用 于通过信用控制请求消息或重鉴权请求消息接收所述安全控制策略信息。
15、 如权利要求14所述的系统，其特征在于，所述安全控制策略信息是 访问控制列表信息、和/或防火墙^^莫式信息。
16、 如权利要求15所述的系统，其特征在于，所述访问控制列表信息通 过在Gx接口的Diameter协议中增加访问控制列表编号ACL-Number AVP来表示；.防火墙模式信息通过在Gx接口的Diameter协议中增加防火墙模式编号 Firewal-Mode-Number AVP来表示。
17、 如权利要求IO所述的系统，其特征在于，进一步包括发送模块，用 于在策略控制和计费规则功能实体根据所述用户的策略条件信息判断并生成 安全控制策略后，将安全控制策略发送至策略和计费执行实体；策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
18、 如权利要求17所述的系统，其特征在于，进一步包括第一获取模块、 和/或第二获取模块，其中第一获取模块，用于从策略和计费执行实体、网管系统、设备管理系统之 一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息；所述策略控制和计费规则功能实体根据所述策略条件信息判断并生成安全控制策略的访问控制列表信息；第二获取模块，用于获取包括用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的用户的策略条件信息；所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成 安全控制策略的防火墙模式信息。
19、 一种策略和计费执行实体，其特征在于，包括接收模块，用于从策略控制和计费规则功能实体接收安全控制策略信息； 执行模块，用于根据所述安全控制策略信息执行用户的安全控制。
20、 如权利要求19所述的策略和计费执行实体，其特征在于，所述执行 模块包括访问控制单元、和/或防火墙单元，其中访问控制单元，用于根据所述访问控制列表信息对用户业务数据流执行访 问控制；防火墙单元，用于根据所述防火墙模式信息为用户业务数据流选择相应模 式的防火墙并4丸行防火墙功能。
21、 如权利要求19或20所述的策略和计费执行实体，其特征在于，接收 模块，进一步用于通过信用控制请求消息或重鉴权请求消息接收所述安全控制
22、 一种策略控制和计费规则功能实体，其特征在于，包括发送模块，用 于在根据所述用户的策略条件信息判断并生成安全控制策略后，将安全控制策 略发送至策略和计费执行实体；策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
23、 如权利要求22所述的策略控制和计费规则功能实体，其特征在于， 进一步包括第一策略生成模块、第一获取模块、和/或第二策略生成模块、第二 获取模块，其中第一获^^莫块，用于从策略和计费执行实体、网管系统、设备管理系统之 一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息；第一策略生成才莫块，用于根据所述策略条件信息判断并生成安全控制策略的访问控制列表信息；第二获取模块，用于获取包括用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的用户的策略条件信息；第二策略生成才莫块，用于才艮据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息。
全文摘要
本发明公开了一种执行安全控制的方法、系统及策略控制和计费规则功能实体、策略和计费执行实体，包括策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略信息；所述策略和计费执行实体根据安全控制策略信息执行用户的安全控制。使用本发明能够在策略和计费控制架构中对用户会话提供安全控制。
文档编号H04L9/00GK101299660SQ200710101580
公开日2008年11月5日 申请日期2007年4月30日 优先权日2007年4月30日
发明者侯志鹏, 谭仕勇, 邸锦文, 峰 陈, 黄世碧 申请人:华为技术有限公司