CN101299660B - 一种执行安全控制的方法、系统及设备 - Google Patents
一种执行安全控制的方法、系统及设备 Download PDFInfo
- Publication number
- CN101299660B CN101299660B CN2007101015803A CN200710101580A CN101299660B CN 101299660 B CN101299660 B CN 101299660B CN 2007101015803 A CN2007101015803 A CN 2007101015803A CN 200710101580 A CN200710101580 A CN 200710101580A CN 101299660 B CN101299660 B CN 101299660B
- Authority
- CN
- China
- Prior art keywords
- information
- user
- strategy
- control
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
Abstract
本发明公开了一种执行安全控制的方法、系统及策略控制和计费规则功能实体、策略和计费执行实体,包括:策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略信息;所述策略和计费执行实体根据安全控制策略信息执行用户的安全控制。使用本发明能够在策略和计费控制架构中对用户会话提供安全控制。
Description
技术领域
本发明涉及通信领域,特别涉及执行安全控制的方法、系统及策略控制和计费规则功能实体、策略和计费执行实体。
背景技术
图1为3GPP在TS23.203里定义的PCC(Policy Charging Control,策略和计费控制)架构示意图,如图所示,PCC中各个功能实体作用如下:
PCRF(Policy Control and Charging Rules Function,策略控制和计费规则功能实体):该功能实体根据用户接入网络的限制、运营商策略、从SPR(Subscription Profile Repository,用户签约数据数据库)功能实体获取的用户签约数据、以及从AF(Application Function,应用层功能实体)获取的用户当前正在进行的业务信息等决定对应的策略,并将该策略提供给PCEF(Policy andCharging Enforcement Function,策略和计费执行实体),由PCEF执行这些策略。策略包括业务数据流(完成某一业务,比如语音的IP流集合)的检测规则、是否门控、业务数据流对应的QoS(Quality of Service,服务质量)和基于流的计费规则等。
PCEF:该实体执行PCRF下发或者指定的策略,具体来说就是执行业务数据流的检测和测量,保证业务数据流的QoS、用户面流量处理、触发控制面的会话管理等;
SPR:该功能实体向PCRF提供用户签约数据;
AF:该功能实体向PCRF动态提供应用层的会话信息,PCRF根据该信息动态生成或者修改对应的规则。
各功能实体间的参考点描述如下:
RX参考点:该参考点用于AF下发应用层相关信息,该信息包括但不限于IP过滤器,用于识别业务数据流、应用、或者媒体所需的带宽信息,该参考点使用IETF定义的Diameter协议;
GX参考点:该参考点使PCRF可以动态控制PCEF上所执行的PCC规则。该参考点实现以下功能:建立、维护、终结IP-CAN(IP Connectivity AccessNetwork,IP连通接入网络)会话;PCEF向PCRF请求PCC规则;PCRF向PCEF提供PCC规则;协商IP-CAN承载建立模式。该参考点使用IETF定义的Diameter协议;
Sp参考点:用于PCRF向SPR请求用户签约信息,该签约信息用于确定IP-CAN传输层策略。该接口目前属于私有接口(设备商自定义,没有公开化);
为了更容易理解IP-CAN会话流程,先阐述几个术语:
IP-CAN:当用户在接入网络内漫游(位置改变时)仍能保存IP业务连续性(即不中断业务),具有这样性质的接入网络称为IP-CAN,比如GPRS(GeneralPacket Radio Service,通用分组无线业务)网络,I-WLAN(无线本地局域网同3GPP网络互通系统)网络等;
IP-CAN bearer:IP-CAN承载,具有明确速率,延迟和误比特率的IP传输路径(该路径指的是接入网到PCEF之间),对于GPRS来说IP-CAN bearer对应PDP(Packet Data Protocol,分组数据协议)上下文;
IP-CAN session:IP-CAN会话,指的是UE(User Equipment,用户设备)和PDN(Packet Data Network,分组数据网,比如internet)标识之间的连接关系,该连接关系通过UE的IP地址和UE的标识来识别。只要UE分配了IP地址并且能被IP网络识别,则IP-CAN存在。IP-CAN会话可以包含一到多个IP-CAN承载。
图2为IP-CAN会话建立流程示意图,如图所示,IP-CAN会话建立包括如下流程:
步骤201、PCEF接收到UE发起的IP-CAN会话建立请求消息(分配一个 在PDN网络可见的IP地址),具体消息格式与接入网类型有关,对于GPRS,即建立第一个PDP上下文;
步骤202、PCEF通知PCRF IP-CAN会话建立,PCEF创建一个新的DCC(Diameter信用控制)会话,向PCRF发送CCR(信用控制请求,Credit-Control-Request)消息,包含UE标识和IP地址。如果PCRF执行IP-CAN承载和规则绑定,则PCEF还要上报IP-CAN承载标识(一般情况下,UE建立IP-CAN会话的同时会建立缺省IP-CAN承载来传递控制层信令);
步骤203、PCRF存储CCR消息里的信息;
步骤204、PCRF如果需要用户签约相关信息,则向SPR请求;
步骤205、SPR返回用户签约信息,包括用户当前签约的业务,计费模式等信息;
步骤206、PCRF生成新的PCC规则;
步骤207、PCRF存储PCC规则,如果PCRF执行IP-CAN承载和规则绑定,则还要记录PCC规则和IP-CAN承载标识的绑定关系;
步骤208、PCRF通过CCA(信用控制应答,Credit-Control-Answer)消息将PCC规则返回给PCEF,如果PCRF执行IP-CAN承载和规则绑定,则指明PCC规则和IP-CAN承载标识的绑定关系(即在那个IP-CAN承载执行对应的规则);
步骤209、PCEF安装规则,并根据规则打开或者关闭对应的业务数据流,保证相应的QoS,如果PCEF执行IP-CAN承载和规则绑定,则由PCEF根据规则要求选择一个合适的IP-CAN承载,否则PCEF根据PCRF的PCC规则和IP-CAN承载标识的绑定关系,在对应的IP-CAN承载上执行规则;
步骤210、PCEF向UE返回IP-CAN会话建立响应消息;
图3为UE发起的IP-CAN承载建立流程示意图,如图所示,UE发起IP-CAN承载建立包括如下步骤:
步骤301、AF接收到一个触发事件(比如UE发起的多媒体呼叫控制信令) 后,需要建立一个新的Diameter会话并向PCRF提供业务信息;
步骤302、AF从触发事件中提取需要的业务信息(比如IP流的地址信息,端口号,媒体类型等);
步骤303、AF向PCRF发送AAR(批准和/或授权请求,AA-Request)消息,包含业务信息;
步骤304、PCRF保存接收到的业务信息;
步骤305、如果PCRF此时没有用户签约信息,则向SPR请求用户签约信息;
步骤306、SPR返回用户签约信息,包括用户当前签约的业务;
步骤307、PCRF根据接受到的业务信息和以前从PCEF接受到的信息(比如IP-CAN会话建立时)将该AF会话关联到一个对应的IP-CAN会话;
步骤308、PCRF向AF返回AAA消息;
步骤309、PCEF接收到UE发起的IP-CAN会话消息,要求建立新的IP-CAN承载,对于GPRS,即建立第二个PDP上下文;
步骤310、PCEF通知PCRF IP-CAN会话需要修改,向PCRF发送CCR消息,请求针对该IP-CAN承载的PCC规则,如果PCRF执行IP-CAN承载和规则绑定,则PCEF还要上报新的IP-CAN承载标识;
步骤311、PCRF存储CCR消息里的信息,并且利用从PCEF接受到信息和步骤303中从AF接收到的业务信息,将IP-CAN会话关联到特定的AF会话(一个IP-CAN会话可与多个AF会话有关联关系),生成并保存新的PCC规则(根据业务信息和用户签约,运营商配置等信息);
步骤312、PCRF向PCEF返回CCA消息,带有新的PCC规则,如果PCRF执行IP-CAN承载和规则绑定,则指明在新建立的IP-CAN承载上执行PCC规则;
步骤313、PCEF安装规则,并根据规则打开或者关闭对应的业务数据流,保证对应的QoS和计费统计;
步骤314、如果用户是在线计费并且OCS(Online Charging System,在线计费系统)连接正常可用,则PCEF可以向OCS请求信息计费关键字信息;
步骤315、OCS向PCEF返回信用控制信息。
步骤316、PCEF向UE返回IP-AN会话响应消息;
图4为IP-CAN会话、IP-CAN承载、PCC规则和IP流之间的绑定关系示意图,通过以上所述的IP-CAN会话建立过程、IP-CAN承载建立过程,在PCEF上实际形成了如图所示的IP-CAN会话、IP-CAN承载、PCC规则和IP流之间的绑定关系。
当UE在PDN分配了可寻址的IP地址后,UE就建立IP-CAN会话,为了满足不同的QoS要求,在同一个IP-CAN会话里可以建立不同QoS要求的IP-CAN承载,在每个IP-CAN承载里可以有多个IP流(比如用户可以同时在不同服务器下载文件),PCEF是根据PCC规则(PCC规则包含IP五元组,即IP源、目的地址、源端口号、目的端口号、协议来识别IP流。每个PCC规则可以包含一到多个IP流,它们称为业务数据流(Service Data Flow)。在PCRF通过Gx接口传递给PCEF的PCC规则中,包含了门控信息、QoS控制参数、业务数据流的计费参数,PCEF可以根据PCC规则中的这些控制参数来进行业务流的准入控制、流量监管和计费等操作。
发明人在发明过程中注意到:在现有PCC所提供的机制中,PCRF定义了计费规则、QoS控制、门控信息的PCC规则,然后通过Gx接口把业务数据流的IP五元组过滤规则和相应的规则参数传递给PCEF,PCEF可以根据业务数据流的规则进行计费、QoS控制、门控。
但是,目前PCC架构中尚没有能够解决对用户接入会话后的用户业务数据流提供安全控制能力的技术方案,这样使得PCC无法适用于数据业务接入控制的应用场景。
比如,随着网络安全问题在电信网络的漫延,在PCEF(分组接入网关)上提供集成防火墙功能和准入控制等网络安全防护功能,已经成为网关设备的 一个重要功能,这些安全防护功能的引入对于提升整体网络安全度,减少网络安全事故,降低运营商的网络运行和维护成本具有重要的应用意义。这些网络安全防护功能的实现上往往需要根据复杂、变化的策略条件进行策略判断并在不同的策略条件下进行不同的安全防护功能。
现有技术至少在例如在以下的应用场景中就不能解决以下问题:
1、为了防止来自终端的垃圾邮件攻击、或者防止终端由于软件安全漏洞造成的对网络的攻击等问题,网络不能在用户终端接入网络时,当网络需要能够根据终端的安全状态,如操作系统、操作系统补丁、防病毒软件等信息对用户的数据业务接入进行安全控制时,现有的网络并不能对此终端所适用的业务接入进行准入控制。
2、当PCEF配置防火墙时,现有技术并不能对防火墙的多种控制模式或不同的功能进行打包。这样当出现需要根据用户签约的防火墙模式进行防火墙模式选择;或者,需要根据目前用户的接入网类型、用户是否漫游等策略条件来决定防火墙模式的选择时,现有技术并不能对是否提供防火墙等功能进行控制。
由于目前PCC架构中尚不支持上述安全策略控制的能力,使得PCC仅限于应用在确定业务数据流的应用场景,如IMS等应用场景,无法适用于数据业务接入控制应用场景。不能使网络根据不同策略条件实现不同的安全策略控制功能,从而提高网络安全性,促进数据业务的广泛开展和应用。
发明内容
本发明实施例提供一种执行安全控制的方法、系统及策略控制和计费规则功能实体、策略和计费执行实体,用以解决提供在PCC架构中对用户会话提供安全控制的问题。
本发明实施例提供了一种执行安全控制的方法,包括如下步骤:
策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略 信息;
所述策略和计费执行实体根据安全控制策略信息执行用户的安全控制;
所述安全控制策略包含防火墙控制列表信息、防火墙模式信息;
所述执行用户的安全控制包括如下步骤:
根据所述访问控制列表信息对用户业务数据流执行访问控制;和/或,根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
本发明实施例还提供了一种执行安全控制的系统,包括:策略和计费执行实体、策略控制和计费规则功能实体,还包括接收模块、执行模块,其中:
接收模块,与策略和计费执行实体相连,用于从策略控制和计费规则功能实体接收安全控制策略信息;
执行模块,与策略和计费执行实体相连,用于根据所述安全控制策略信息执行用户的安全控制;
所述安全控制策略包含防火墙控制列表信息、防火墙模式信息;
所述执行模块包括访问控制单元、和/或防火墙单元,其中:
访问控制单元,用于根据所述访问控制列表信息对用户业务数据流执行访问控制;
防火墙单元,用于根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
本发明实施例又提供了一种策略控制和计费规则功能实体,包括发送模块,用于在根据所述用户的策略条件信息判断并生成安全控制策略后,将安全控制策略发送至策略和计费执行实体;
策略和计费执行实体根据所述安全控制策略执行用户的安全控制;
进一步包括第一策略生成模块、第一获取模块、和/或第二策略生成模块、第二获取模块,其中:
第一获取模块,用于从策略和计费执行实体、网管系统、设备管理系统之 一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息;
第一策略生成模块,用于根据所述策略条件信息判断并生成安全控制策略的访问控制列表信息;
第二获取模块,用于获取包括用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的用户的策略条件信息;
第二策略生成模块,用于根据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息。
本发明实施例还提供了一种策略和计费执行实体,包括:
接收模块,用于从策略控制和计费规则功能实体接收安全控制策略信息;
执行模块,用于根据所述安全控制策略信息执行用户的安全控制;
所述安全控制策略包含防火墙控制列表信息、防火墙模式信息;
所述执行模块包括访问控制单元、和/或防火墙单元,其中:
访问控制单元,用于根据所述访问控制列表信息对用户业务数据流执行访问控制;
防火墙单元,用于根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
本发明实施例有益效果如下:
由于策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略信息后,策略和计费执行实体再根据安全控制策略信息执行用户的安全控制,从而具备了对用户接入会话进行控制的能力。
附图说明
图1为背景技术中所述3GPP在TS23.203里定义的PCC架构示意图;
图2为背景技术中所述IP-CAN会话建立流程示意图;
图3为背景技术中所述UE发起的IP-CAN承载建立流程示意图;
图4为背景技术中所述IP-CAN会话、IP-CAN承载、PCC规则和IP流之间的绑定关系示意图;
图5为本发明实施例中所述执行安全控制方法的实施流程示意图;
图6为本发明所述实施例一实施流程示意图;
图7为本发明所述实施例二实施流程示意图;
图8为本发明实施例中所述执行安全控制系统的结构示意图;
图9为本发明实施例中所述策略控制和计费规则功能实体结构示意图;
图10为本发明实施例中所述策略和计费执行实体结构示意图。
具体实施方式
下面结合附图对本发明的具体实施方式进行说明。
图5为执行安全控制方法的实施流程示意图,如图所示,在执行安全控制时可以包括如下步骤:
步骤501、策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略信息;
步骤502、所述策略和计费执行实体根据安全控制策略信息执行用户的安全控制。
实施例中,安全控制策略包含防火墙控制列表信息、防火墙模式信息。
执行用户的安全控制功能包括:
根据所述访问控制列表信息对用户业务数据流执行访问控制;
和/或,根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
其中,执行访问控制可以是根据访问控制列表信息指定的访问控制列表中允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务数据流执行准入访问控制;
执行防火墙功能可以是根据防火墙模式信息指定的防火墙模式选择报文过滤模式、深度检测模式、防垃圾邮件过滤、防病毒过滤之一或者其组合的防火墙,并为用户业务数据流执行防火墙功能。
安全控制策略信息可以是由策略控制和计费规则功能实体通过信用控制请求消息或重鉴权请求消息发送至策略和计费执行实体。
安全控制策略信息可以是通过信用控制请求消息或者重鉴权请求消息发送至策略和计费执行实体的访问控制列表信息、和/或防火墙模式信息。
其中,访问控制列表信息可以通过在Gx接口的Diameter协议中增加访问控制列表编号ACL-NumberAVP来表示;
防火墙模式信息可以通过在Gx接口的Diameter协议中增加防火墙模式编号Firewal-Mode-Number AVP来表示。
实施中,策略控制和计费规则功能实体根据所述用户的策略条件信息判断并生成安全控制策略后,将安全控制策略发送至策略和计费执行实体;
策略和计费执行实体再根据所述安全控制策略执行用户的安全控制。
策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全控制策略的访问控制列表信息,所述用户的策略条件信息可以是从策略和计费执行实体、网管系统、设备管理系统之一或者其组合获取的用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息;
和/或,所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息,所述用户的策略条件信息是用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的信息。
下面以为用户提供各种安全控制策略的实施例来进一步说明执行安全控制的实施方式。
实施例一
本实施例描述了根据用户终端的终端软件版本、操作系统版本、操作系统补丁、和/或是否安装了防病毒软件及软件版本等信息进行策略决策,判断并生成安全控制策略,通过安全控制策略实现用户的准入控制的应用示例。用户在IP接入会话建立时,PCRF从设备管理系统获得用户终端的终端软件版本、操 作系统版本、操作系统补丁、和/或是否安装了防病毒软件及软件版本等信息;PCRF根据所获得的信息,判断并生成安全控制策略,安全控制策略中包括针对此用户终端所适用的访问控制列表,并将信息发送给PCEF进行准入控制处理。
图6为实施例一实施流程示意图,如图所示,包括如下步骤:
步骤601、用户发起IP接入会话建立请求到PCEF。
步骤602、PCEF发送信用控制请求消息到PCRF,用于触发PCRF反馈安全控制策略,其中信用控制请求消息中携带用户终端设备信息。
步骤603、PCRF通过设备管理系统获得用户终端的终端软件版本、操作系统版本、操作系统补丁、和/或是否安装了防病毒软件及软件版本等信息。
步骤604、PCRF进行判断并生成安全控制策略,根据所获得的信息,判断决定针对此用户终端所适用的访问控制列表一,在安全控制策略信息中包括了访问控制列表一。
步骤605、PCRF发送信用控制应答消息到PCEF,消息中带有此用户终端的访问控制列表一信息。
步骤606、PCEF根据收到的访问控制列表一信息进行准入控制,对经过PCEF的用户相关数据流进行允许接纳或拒绝操作。
步骤607、PCEF向用户终端发送IP接入会话建立应答消息。
步骤608、当设备管理系统发现用户终端软件版本不是所期望的最新版本时,设备管理系统可以提示用户及时升级终端软件版本。
步骤609、用户终端通过设备管理系统进行软件升级。
步骤610、设备管理系统向PCRF发送用户终端升级后的终端软件信息。
步骤611、PCRF进行判断并生成安全控制策略,根据用户终端升级后的终端软件信息,判断决定针对此用户终端所适用的访问控制列表二,在安全控制策略信息中包括访问控制列表二。
步骤612、PCRF发送重鉴权请求消息到PCEF,消息中带有此用户终端的 访问控制列表二信息。
步骤613、PCEF根据收到的访问控制列表二信息进行准入控制,对经过PCEF的用户相关数据流进行允许接纳或拒绝操作。
步骤614、PCEF向PCRF发送重鉴权响应消息。
通过本实施例实施可知,实施例可以根据终端软件信息对用户进行准入接纳控制。当用户终端的软件版本或配置不符合网络安全要求时,可以限制终端能够访问的网络资源,如仅允许访问设备管理系统进行软件升级,当终端的软件版本或配置满足网络安全要求后再允许终端访问其它的用户订阅的网络资源。这样可以避免不符合安全要求的终端,如操作系统存在安全漏洞、没有安装防病毒软件的终端接入网络,从而对网络的安全威胁带来潜在的危险,提升了网络整体的安全性,减少网络安全事故,降低网络的运行和维护成本。
实施例二
本实施例描述了根据用户签约数据、或用户的接入网类型、或是否漫游用户等条件,判断应为用户提供的防火墙模式,并送给PCEF进行处理。
图7为实施例二实施流程示意图,如图所示,包括以下步骤:
步骤701、用户发起IP接入会话建立请求到PCEF。
步骤702、PCEF发送信用控制请求消息到PCRF,用于触发PCRF反馈安全控制策略,其中信用控制请求消息中携带用当前使用的接入网类型、是否漫游等信息。
步骤703、PCRF通过SPR获得用户的签约信息,包括用户签约的防火墙模式信息。
步骤704、PCRF根据用户签约数据,或者用户的接入网类型、或者是否漫游用户等策略条件,判断并生成安全控制策略,安全控制策略信息中包括应为用户提供的防火墙模式信息。如根据用户的签约信息,如果用户签约了防火墙模式,则使用用户签约信息;否则,由运营商预先定义的,对不同用户接入网类型提供不同的防火墙模式,比如对WLAN(Wireless Local Area Network, 无线局域网)接入的用户提供的防火墙功能模式区别与于采用WCDMA(Wireless CDMA,无线CDMA)接入的用户;或者对漫游用户不提供防火墙功能等。
步骤705、PCRF发送信用控制应答消息到PCEF,消息中带有用户的防火墙模式(Firewall Mode Number)信息。
步骤706、PCEF根据收到的防火墙模式信息针对此接入用户进行防火墙模式选择并启动相应的防火墙功能。
步骤707、PCEF向用户终端发送IP接入会话建立应答消息。
从以上描述,可以知道本实施例通过对用户签约信息、接入网类型、是否漫游用户,以及其他可能的策略条件信息,可以为用户提供不同组合的防火墙功能,使用户防火墙功能得到充分的应用,从而为用户提供安全保证。
本发明实施例还提供了一种执行安全控制的系统,下面结合附图对本系统的具体实施方式进行说明。
图8为执行安全控制系统的结构示意图,如图所示,系统中包括策略和计费执行实体、策略控制和计费规则功能实体、接收模块、执行模块,其中:
接收模块、执行模块与策略和计费执行实体相连;
接收模块从策略控制和计费规则功能实体接收安全控制策略信息;
执行模块根据所述安全控制策略信息执行用户的安全控制。
安全控制策略可以包含防火墙控制列表信息、防火墙模式信息。
执行模块可以包括访问控制单元、和/或防火墙单元,其中:
访问控制单元,用于根据所述访问控制列表信息对用户业务数据流执行访问控制;
防火墙单元,用于根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
访问控制单元可以进一步用于根据访问控制列表信息指定的访问控制列表中允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务 数据流执行准入访问控制;
所述防火墙单元可以进一步用于根据防火墙模式信息指定的防火墙模式选择报文过滤模式、深度检测模式、防垃圾邮件过滤、防病毒过滤之一或者其组合的防火墙,并为用户业务数据流执行防火墙功能。
接收模块可以通过信用控制请求消息或重鉴权请求消息接收所述安全控制策略信息。
安全控制策略信息可以是访问控制列表信息、和/或防火墙模式信息。
访问控制列表信息可以通过在Gx接口的Diameter协议中增加访问控制列表编号ACL-Number AVP来表示;
防火墙模式信息可以通过在Gx接口的Diameter协议中增加防火墙模式编号Firewal-Mode-Number AVP来表示。
系统中还可以包括发送模块,用于在策略控制和计费规则功能实体根据所述用户的策略条件信息判断并生成安全控制策略后,将安全控制策略发送至策略和计费执行实体;
策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
系统中还可以包括第一获取模块、和/或第二获取模块,其中:
第一获取模块,用于从策略和计费执行实体、网管系统、设备管理系统之一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息;
所述策略控制和计费规则功能实体根据所述策略条件信息判断并生成安全控制策略的访问控制列表信息;
第二获取模块,用于获取包括用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的用户的策略条件信息;
所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息。
本发明实施例还提供了一种策略控制和计费规则功能实体,下面结合附图 对PCRF的具体实施方式进行说明。
图9为策略控制和计费规则功能实体结构示意图,如图所示,在PCRF中包括:
包括发送模块,用于在根据所述用户的策略条件信息判断并生成安全控制策略后,将安全控制策略发送至策略和计费执行实体;
策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
进一步的可以包括第一策略生成模块、第一获取模块、和/或第二策略生成模块、第二获取模块,其中:
第一获取模块,用于从策略和计费执行实体、网管系统、设备管理系统之一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息;
第一策略生成模块,用于根据所述策略条件信息判断并生成安全控制策略的访问控制列表信息;
第二获取模块,用于获取包括用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的用户的策略条件信息;
第二策略生成模块,用于根据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息。
本发明实施例还提供了一种策略和计费执行实体,下面结合附图对PCEF的具体实施方式进行说明。
图10为策略和计费执行实体结构示意图,如图所示,PCEF中包括:
接收模块,用于从策略控制和计费规则功能实体接收安全控制策略信息;
执行模块,用于根据所述安全控制策略信息执行用户的安全控制。
所述执行模块可以包括访问控制单元、和/或防火墙单元,其中:
访问控制单元,用于根据所述访问控制列表信息对用户业务数据流执行访问控制;
防火墙单元,用于根据所述防火墙模式信息为用户业务数据流选择相应模 式的防火墙并执行防火墙功能。
接收模块,进一步用于通过信用控制请求消息或重鉴权请求消息接收所述安全控制策略信息。
实施例中,运营商可以根据需求预先定义了一些访问控制列表,在PCEF的防火墙功能模块设置。当用户IP-CAN会话建立时,PCRF从PCEF、网管系统或设备管理(Device Management)系统等获得用户终端的终端软件版本、操作系统版本、操作系统补丁、和/或是否安装了防病毒软件及软件版本等信息,根据这些策略条件信息决策应为用户提供的访问控制列表信息。PCRF可以通过Diameter CCA(信用控制请求)或者RAR(重鉴权请求)消息把相应配置在PCEF上的访问控制列表编号(ACL number)信息发送到PCEF。可以通过在Gx接口的Diameter协议中增加ACL-Number AVP来表示,这个AVP是32位整数类型,可以根据访问控制列表的不同而具有不同的取值。除PCRF下发访问控制列表编号方法外,PCRF还可以直接向PCEF下发访问控制列表的具体定义,如允许访问的IP地址、端口、协议、应用类型等信息。PCEF可以根据PCRF下发的访问控制列表信息执行相应的准入控制。
同时,运营商可以根据需求将防火墙的多种控制模式(例如报文过滤模式、深度检测模式),或不同功能(例如防垃圾邮件过滤和防病毒过滤)打包,预先设置为多个防火墙功能模式,其中每种模式可以用一个号码来唯一标识,并在PCEF设置。用户接入时,PCRF根据用户签约数据,或者用户的接入网类型或漫游状态,判断应为用户提供的防火墙模式。PCRF通过和PCEF之间的Gx接口,把用户的防火墙模式信息传递给PCEF。如PCRF可以通过DiameterRAR(重鉴权请求)或CCA(信用控制请求)消息把用户的防火墙模式信息发送到PCEF。可以通过在Gx接口的Diameter协议中增加Firewal-Mode-Number AVP来表示,这个AVP是32位整数类型。PCEF根据PCRF下发的防火墙模式信息执行相应的防火墙模式选择并启动相应的防火墙功能。
由上述实施例可以看出,在现有技术中的PCC架构还不具备安全策略控制的能力时,本发明实施例达到了增强PCC架构功能的目的,使得PCEF可以根据PCRF下发的安全控制策略,有效地实现对用户的安全准入控制、访问控制、防火墙功能模式的选择等安全防护功能。
同时,对于业务的准入控制方面,使得运营商可以根据需求预先定义一些访问控制列表,当用户会话接入后,使PCRF可以通过对用户终端的操作系统、操作系统补丁、防病毒软件等信息的分析,来决策用户应匹配的访问控制列表信息,并通过Gx接口下发到PCEF执行,从而达到对用户终端的业务数据流的控制。
在对于对用户业务流执行防火墙的模式选择的控制方面,使得运营商可以根据需求,将防火墙的多种控制模式,或不同功能打包,预先设置为不同的执行防火墙功能的防火墙模式。当用户接入时,使得PCRF可以根据用户签约数据、或者用户当前的接入网类型、用户是否漫游等条件,判断应为用户提供的防火墙模式,并通过Gx接口下发到PCEF设备执行,从而达到了能够对业务流进行防火墙模式的选择。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (17)
1.一种执行安全控制的方法,其特征在于,包括如下步骤:
策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略信息;
所述策略和计费执行实体根据安全控制策略信息执行用户的安全控制;
所述安全控制策略包含防火墙控制列表信息、防火墙模式信息;
所述执行用户的安全控制包括如下步骤:
根据所述访问控制列表信息对用户业务数据流执行访问控制;
和/或,根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
2.如权利要求1所述的方法,其特征在于,根据访问控制列表信息指定的访问控制列表中允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务数据流执行准入访问控制;
根据防火墙模式信息指定的防火墙模式选择报文过滤模式、深度检测模式、防垃圾邮件过滤、防病毒过滤之一或者其组合的防火墙,并为用户业务数据流执行防火墙功能。
3.如权利要求1所述的方法,其特征在于,所述安全控制策略信息是由策略控制和计费规则功能实体通过信用控制请求消息或重鉴权请求消息发送至策略和计费执行实体。
4.如权利要求3所述的方法,其特征在于,所述安全控制策略信息是通过信用控制请求消息或者重鉴权请求消息发送至策略和计费执行实体的访问控制列表信息、和/或防火墙模式信息。
5.如权利要求4所述的方法,其特征在于,所述访问控制列表信息通过在Gx接口的Diameter协议中增加访问控制列表编号ACL-Number AVP来表示;
防火墙模式信息通过在Gx接口的Diameter协议中增加防火墙模式编号 Firewal-Mode-Number AVP来表示。
6.如权利要求1所述的方法,其特征在于,进一步包括如下步骤:
策略控制和计费规则功能实体根据所述用户的策略条件信息判断并生成安全控制策略后,将安全控制策略发送至策略和计费执行实体;
策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
7.如权利要求6所述的方法,其特征在于,所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全控制策略的访问控制列表信息,所述用户的策略条件信息是从策略和计费执行实体、网管系统、设备管理系统之一或者其组合获取的用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息;
和/或,所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息,所述用户的策略条件信息是用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的信息。
8.一种执行安全控制的系统,包括:策略和计费执行实体、策略控制和计费规则功能实体,其特征在于,还包括接收模块、执行模块,其中:
接收模块,与策略和计费执行实体相连,用于从策略控制和计费规则功能实体接收安全控制策略信息;
执行模块,与策略和计费执行实体相连,用于根据所述安全控制策略信息执行用户的安全控制;
所述安全控制策略包含防火墙控制列表信息、防火墙模式信息;
所述执行模块包括访问控制单元、和/或防火墙单元,其中:
访问控制单元,用于根据所述访问控制列表信息对用户业务数据流执行访问控制;
防火墙单元,用于根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
9.如权利要求8所述的系统,其特征在于,所述访问控制单元进一步用 于根据访问控制列表信息指定的访问控制列表中允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务数据流执行准入访问控制;
所述防火墙单元进一步用于根据防火墙模式信息指定的防火墙模式选择报文过滤模式、深度检测模式、防垃圾邮件过滤、防病毒过滤之一或者其组合的防火墙,并为用户业务数据流执行防火墙功能。
10.如权利要求8或9所述的系统,其特征在于,接收模块,进一步用于通过信用控制请求消息或重鉴权请求消息接收所述安全控制策略信息。
11.如权利要求10所述的系统,其特征在于,所述安全控制策略信息是访问控制列表信息、和/或防火墙模式信息。
12.如权利要求11所述的系统,其特征在于,所述访问控制列表信息通过在Gx接口的Diameter协议中增加访问控制列表编号ACL-NumberAVP来表示;
防火墙模式信息通过在Gx接口的Diameter协议中增加防火墙模式编号Firewal-Mode-Number AVP来表示。
13.如权利要求8所述的系统,其特征在于,进一步包括发送模块,用于在策略控制和计费规则功能实体根据所述用户的策略条件信息判断并生成安全控制策略后,将安全控制策略发送至策略和计费执行实体;
策略和计费执行实体根据所述安全控制策略执行用户的安全控制。
14.如权利要求13所述的系统,其特征在于,进一步包括第一获取模块、和/或第二获取模块,其中:
第一获取模块,用于从策略和计费执行实体、网管系统、设备管理系统之一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息;
所述策略控制和计费规则功能实体根据所述策略条件信息判断并生成安全控制策略的访问控制列表信息;
第二获取模块,用于获取包括用户签约数据、用户的接入网类型、用户的 漫游状态之一或者其组合的用户的策略条件信息;
所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息。
15.一种策略和计费执行实体,其特征在于,包括:
接收模块,用于从策略控制和计费规则功能实体接收安全控制策略信息;
执行模块,用于根据所述安全控制策略信息执行用户的安全控制;
所述安全控制策略包含防火墙控制列表信息、防火墙模式信息;
所述执行模块包括访问控制单元、和/或防火墙单元,其中:
访问控制单元,用于根据所述访问控制列表信息对用户业务数据流执行访问控制;
防火墙单元,用于根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。
16.如权利要求15所述的策略和计费执行实体,其特征在于,接收模块,进一步用于通过信用控制请求消息或重鉴权请求消息接收所述安全控制策略信息。
17.一种策略控制和计费规则功能实体,其特征在于,包括发送模块,用于在根据所述用户的策略条件信息判断并生成安全控制策略后,将安全控制策略发送至策略和计费执行实体;
策略和计费执行实体根据所述安全控制策略执行用户的安全控制;
进一步包括第一策略生成模块、第一获取模块、和/或第二策略生成模块、第二获取模块,其中:
第一获取模块,用于从策略和计费执行实体、网管系统、设备管理系统之一或者其组合获取用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息;
第一策略生成模块,用于根据所述策略条件信息判断并生成安全控制策略的访问控制列表信息;
第二获取模块,用于获取包括用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的用户的策略条件信息;
第二策略生成模块,用于根据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101015803A CN101299660B (zh) | 2007-04-30 | 2007-04-30 | 一种执行安全控制的方法、系统及设备 |
| EP08734222A EP2106070A4 (en) | 2007-04-30 | 2008-04-30 | METHOD, SYSTEM AND DEVICE FOR CARRYING OUT A SAFETY CHECK |
| PCT/CN2008/070866 WO2008134985A1 (fr) | 2007-04-30 | 2008-04-30 | Procédé, système et dispositif permettant d'effectuer un contrôle de sécurité |
| US12/543,971 US20090307746A1 (en) | 2007-04-30 | 2009-08-19 | Method, system and device for implementing security control |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101015803A CN101299660B (zh) | 2007-04-30 | 2007-04-30 | 一种执行安全控制的方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101299660A CN101299660A (zh) | 2008-11-05 |
| CN101299660B true CN101299660B (zh) | 2010-12-08 |
Family
ID=39943140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101015803A Active CN101299660B (zh) | 2007-04-30 | 2007-04-30 | 一种执行安全控制的方法、系统及设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090307746A1 (zh) |
| EP (1) | EP2106070A4 (zh) |
| CN (1) | CN101299660B (zh) |
| WO (1) | WO2008134985A1 (zh) |
Families Citing this family (77)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8391834B2 (en) * | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
| US8924469B2 (en) | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
| US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
| US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
| US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
| US8725123B2 (en) | 2008-06-05 | 2014-05-13 | Headwater Partners I Llc | Communications device with secure data path processing agents |
| US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
| US8583781B2 (en) | 2009-01-28 | 2013-11-12 | Headwater Partners I Llc | Simplified service network architecture |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| US8898293B2 (en) | 2009-01-28 | 2014-11-25 | Headwater Partners I Llc | Service offer set publishing to device agent with on-device service selection |
| US8924543B2 (en) | 2009-01-28 | 2014-12-30 | Headwater Partners I Llc | Service design center for device assisted services |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US8893009B2 (en) | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
| US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US9392462B2 (en) * | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
| US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
| US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
| US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
| US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
| US8606911B2 (en) | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
| US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
| US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
| US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
| US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US9098820B2 (en) * | 2009-02-23 | 2015-08-04 | International Business Machines Corporation | Conservation modeling engine framework |
| US9009293B2 (en) | 2009-11-18 | 2015-04-14 | Cisco Technology, Inc. | System and method for reporting packet characteristics in a network environment |
| US9015318B1 (en) | 2009-11-18 | 2015-04-21 | Cisco Technology, Inc. | System and method for inspecting domain name system flows in a network environment |
| US9148380B2 (en) | 2009-11-23 | 2015-09-29 | Cisco Technology, Inc. | System and method for providing a sequence numbering mechanism in a network environment |
| US8792495B1 (en) | 2009-12-19 | 2014-07-29 | Cisco Technology, Inc. | System and method for managing out of order packets in a network environment |
| US9350876B2 (en) * | 2010-01-04 | 2016-05-24 | Tekelec, Inc. | Methods, systems, and computer readable media for detecting initiation of a service data flow using a Gx rule |
| US9535762B2 (en) | 2010-05-28 | 2017-01-03 | At&T Intellectual Property I, L.P. | Methods to improve overload protection for a home subscriber server (HSS) |
| US9319433B2 (en) * | 2010-06-29 | 2016-04-19 | At&T Intellectual Property I, L.P. | Prioritization of protocol messages at a server |
| CN102438201B (zh) * | 2010-09-29 | 2017-06-09 | 阿尔卡特朗讯 | 用于基于在线计费信息确定业务流的定向的方法和装置 |
| US8787303B2 (en) | 2010-10-05 | 2014-07-22 | Cisco Technology, Inc. | Methods and apparatus for data traffic offloading at a router |
| WO2012086816A1 (ja) * | 2010-12-24 | 2012-06-28 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
| US9003057B2 (en) | 2011-01-04 | 2015-04-07 | Cisco Technology, Inc. | System and method for exchanging information in a mobile wireless network environment |
| US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
| US8743690B1 (en) | 2011-06-14 | 2014-06-03 | Cisco Technology, Inc. | Selective packet sequence acceleration in a network environment |
| US8737221B1 (en) | 2011-06-14 | 2014-05-27 | Cisco Technology, Inc. | Accelerated processing of aggregate data flows in a network environment |
| US8948013B1 (en) | 2011-06-14 | 2015-02-03 | Cisco Technology, Inc. | Selective packet sequence acceleration in a network environment |
| RU2477520C1 (ru) | 2012-03-14 | 2013-03-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ динамической адаптации функционала антивирусного приложения на основе конфигурации устройства |
| CN102819709B (zh) * | 2012-08-15 | 2016-03-30 | 小米科技有限责任公司 | 一种实现系统安全的方法及装置 |
| US9871765B2 (en) * | 2012-09-04 | 2018-01-16 | Alcatel Lucent | DIAMETER firewall using reception IP address or peer identity |
| WO2016053232A1 (en) * | 2014-09-29 | 2016-04-07 | Hewlett Packard Enterprise Development Lp | Security control |
| US10602000B2 (en) | 2014-10-29 | 2020-03-24 | Nokia Of America Corporation | Policy decisions based on offline charging rules when service chaining is implemented |
| US9756016B2 (en) | 2014-10-30 | 2017-09-05 | Alcatel Lucent | Security services for end users that utilize service chaining |
| CN107086978B (zh) * | 2016-02-15 | 2019-12-10 | 中国移动通信集团福建有限公司 | 一种识别木马病毒的方法及装置 |
| US11190450B2 (en) | 2016-06-30 | 2021-11-30 | Intel Corporation | System to monitor and control data in a network |
| US11616782B2 (en) * | 2018-08-27 | 2023-03-28 | Box, Inc. | Context-aware content object security |
| US20200067975A1 (en) * | 2018-08-27 | 2020-02-27 | Box, Inc. | Ransomware remediation in collaboration environments |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852384A (zh) * | 2005-06-18 | 2006-10-25 | 华为技术有限公司 | 一种策略和计费规则决策的实现方法 |
| CN1874239A (zh) * | 2005-05-30 | 2006-12-06 | 华为技术有限公司 | 一种内容计费实现方法和系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567863B (zh) * | 2003-06-17 | 2010-04-07 | 华为技术有限公司 | 一种对外部网络接入的控制方法 |
| CN100433899C (zh) * | 2004-12-28 | 2008-11-12 | 华为技术有限公司 | 一种保证移动通信系统数据业务安全的方法及系统 |
| WO2007026268A1 (en) * | 2005-08-31 | 2007-03-08 | Nokia Corporation | Inter-access mobility and service control |
| DE602006010606D1 (de) * | 2006-06-02 | 2009-12-31 | Ericsson Telefon Ab L M | Einrichtungen und verfahren zum garantieren einer dienstgüte pro dienstdatenfluss durch die trägerschicht |
| CN100471160C (zh) * | 2006-07-31 | 2009-03-18 | 华为技术有限公司 | 实现在不同网络之间协商策略信息的方法和系统 |
| US9871872B2 (en) * | 2007-04-13 | 2018-01-16 | Nokia Technologies Oy | Mechanism for executing server discovery |
| EP2153621B1 (en) * | 2007-04-27 | 2018-12-26 | Telefonaktiebolaget LM Ericsson (publ) | A method and a device for improved service authorization |
-
2007
- 2007-04-30 CN CN2007101015803A patent/CN101299660B/zh active Active
-
2008
- 2008-04-30 WO PCT/CN2008/070866 patent/WO2008134985A1/zh active Application Filing
- 2008-04-30 EP EP08734222A patent/EP2106070A4/en not_active Withdrawn
-
2009
- 2009-08-19 US US12/543,971 patent/US20090307746A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1874239A (zh) * | 2005-05-30 | 2006-12-06 | 华为技术有限公司 | 一种内容计费实现方法和系统 |
| CN1852384A (zh) * | 2005-06-18 | 2006-10-25 | 华为技术有限公司 | 一种策略和计费规则决策的实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 3rd Generation Partnership Project.Policy and charging control architecture(release 7).3GPP TS 23.230 V1.0.0.3(23230100),30-35及图7.1. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2106070A1 (en) | 2009-09-30 |
| CN101299660A (zh) | 2008-11-05 |
| WO2008134985A1 (fr) | 2008-11-13 |
| US20090307746A1 (en) | 2009-12-10 |
| EP2106070A4 (en) | 2012-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101299660B (zh) | 一种执行安全控制的方法、系统及设备 | |
| CN101296169B (zh) | 一种用户会话承载业务建立方法、系统及设备 | |
| CN101677437B (zh) | 多分组数据网场景下实现策略和计费控制的方法和系统 | |
| US8750825B2 (en) | Methods, systems, and computer readable media for inter-carrier roaming cost containment | |
| EP2702727B1 (en) | Method and device for controlling qos and/or policy and charging control of a guest user | |
| US20120144049A1 (en) | Policy and/or charging control for a communication session | |
| US20130122860A1 (en) | Method for providing a monitoring of usage network resources of a user session within a network and a network device | |
| US20120059942A1 (en) | Method and System for Session Modification | |
| WO2011029636A1 (en) | A method for delivering dynamic policy rules to an end user, according on his/ her account balance and service subscription level, in a telecommunication network | |
| WO2011012165A1 (en) | Packet classification method and apparatus | |
| Balbas et al. | Policy and charging control in the evolved packet system | |
| EP2443865A1 (en) | Establishing a communication session | |
| CN102547640A (zh) | 一种消费限制业务的签约和执行方法及系统 | |
| CN101369917B (zh) | 扩展策略和计费控制规则的方法、系统及装置 | |
| CN101364893A (zh) | 控制装置、执行装置、生成过滤规则的方法及系统 | |
| CN104581670A (zh) | 应用接入控制方法及应用功能实体装置 | |
| EP2781050B1 (en) | Method and telecommunications network utilizing more than one online charging system for a given user | |
| CN102547854A (zh) | 策略控制方法及装置 | |
| CN101378328A (zh) | 一种应用控制策略的方法、装置及系统 | |
| CN101572954B (zh) | 释放会话的方法、装置和系统 | |
| WO2012065657A1 (en) | A method for policy and charge control over data flows in a gx-enabled network | |
| EP2800407B1 (en) | Method and system for identifying application detection control function mode | |
| CN101730049B (zh) | 实现计费控制的方法及系统 | |
| CN103841539B (zh) | 一种漫游本地业务功能实现方法和系统 | |
| CN101378522B (zh) | 分发策略的方法、系统和策略分发实体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |