CN107548045A - 一种业务受限访问控制方法和装置 - Google Patents

Abstract

本发明实施例提供的一种业务受限访问控制方法和装置，通过扩展RFC3588协议(即Diameter Base Protocol，Diameter基础协议)中的IP Filter Rule(网络地址过滤规则)结构的src and dst(源地址和目的地址)字段，新增URL(统一资源定位符)的可选参数，使OCS(在线计费系统)可以通过设置ULR而不是设置IP(网络地址)地址来进行报文过滤，方便命令设置和使用。

Description

一种业务受限访问控制方法和装置

技术领域

本发明涉及网络通信技术领域，尤其涉及3GPP(3rd Generation PartnershipProject，第三代合作伙伴计划)组织定义的EPC(Evolved Packet Core，分组核心演进)系统中，在OCS(Online Charging System，在线计费系统)中发过滤信息，对用户使用网络行为进行限制的一种方法。

背景技术

MS/UE(MS/UE，移动终端)在OCS上认证成功，发起数据业务触发信用控制请求申请配额，OCS根据用户的使用情况，向GW(GateWay，网关)发出信用控制应答消息作为响应，指示将用户业务限制接入，信用控制应答消息中的FUI(Final-Unit-Indication，最后配额指示)字段采用IP Filter Rule(网络地址过滤规则)格式携带OCS允许或者禁止该用户继续使用的业务地址。GW允许用户访问OCS指示可继续使用的业务，不允许用户访问其他业务。

其中IP Filter Rule格式是RFC 3588协议(即Diameter Base Protocol，Diameter基础协议)规定的数据格式，具体为：action dir proto from src to dst[options](动作方向协议从源地址到目的地址[设置])。

在OCS需要限制用户网络行为的情况下，如果用户手机终端的IP(InternetProtocol，网络互连协议，下文同时代指网络地址即IP地址)地址为any(任何地址)，允许该用户继续访问的IP地址为2.2.2.2的充值网站进行充值。那么根据命令格式给出操作命令：“permit in ip from any to 2.2.2.2(允许进入从任何地址到2.2.2.2的IP地址的报文)”和“permit out ip from 2.2.2.2to any(允许出去从2.2.2.2到任何地址的IP地址的报文)”。

可以看出，在限制用户网络行为的时候，设置命令需要知道目标网站的IP，如果目标网站的IP有多个，也需要执行多条命令；而对用户使用来说通常IP是不可见的，只知道URL(Uniform Resource Locator，统一资源定位符)，使用IP地址进行设置命令的方式，不够方便灵活。

发明内容

本发明实施例提供的一种业务受限访问控制方法和装置，主要要解决的技术问题是当在线计费系统OCS需要限制用户网络行为时，设置命令需要知道目标网站的IP并且如果目标网站的IP有多个，也需要执行多条命，不够方便灵活。

为解决上述技术问题，本发明实施例提供一种业务受限访问控制方法，包括：

接收网关发送的信用控制请求消息；

查询用户当前业务配额；

当所述业务配额不足时，生成信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

将所述信用控制应答消息发送到网关。

本发明实施例提供一种业务受限访问控制方法，其特征在于，包括：

发送信用控制请求消息；

接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

将所述信用控制应答消息中的统一资源定位符参数信息写入过滤信息表；

根据所述过滤信息表和当前业务报文的统一资源定位符参数信息进行过滤判断；

根据所述过滤判断的结果对当前业务报文进行受限访问控制。

本发明实施例还提供一种业务受限访问控制方法，其特征在于，包括：

发送信用控制请求消息；

接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

获取所述控制应答消息中的统一资源定位符参数信息相关的网络地址信息；

将所述网络地址信息写入过滤信息表；

根据所述所述过滤信息表和当前业务报文的网络地址信息进行过滤判断；

根据所述过滤判断的结果对当前业务报文进行受限访问控制。

本发明实施例提供一种业务受限访问控制装置，包括：

第一接收模块，用于接收信用控制请求消息；

查询模块，用于查询用户当前业务配额；

第一生成模块，用于当所述业务配额不足时，生成信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

第一发送模块，用于将所述信用控制应答消息发送到网关。

本发明实施例还提供一种业务受限访问控制装置，其特征在于，包括：

第二生成模块，用于生成信用控制请求消息；

第二发送模块，用于发送信用控制请求消息；

第二接收模块，用于接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

第一处理模块，用于将所述信用控制应答消息中的统一资源定位符参数信息写入过滤信息表；

第一判断模块，用于根据所述过滤信息表和当前业务报文的统一资源定位符参数信息进行过滤判断；

第一控制模块，用于根据所述过滤判断的结果对当前业务报文进行受限访问控制。

本发明实施例还提供一种业务受限访问控制装置，其特征在于，包括：

第三生成模块，用于生成信用控制请求消息；

第三发送模块，用于发送信用控制请求消息；

第三接收模块，用于接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

第二获取模块，用于获取所述控制应答消息中的统一资源定位符参数信息相关的网络地址信息；

第二处理模块，用于将所述网络地址信息写入过滤信息表；

第二判断模块，用于根据所述所述过滤信息表和当前业务报文的网络地址信息进行过滤判断；

第二控制模块，用于根据所述过滤判断的结果对当前业务报文进行受限访问控制。

本发明的有益效果是：

根据本发明实施例提供的一种业务受限访问控制方法和装置，在线计费系统OCS可以通过设置含有URL参数而不是IP地址信用控制应答消息来使网关GW进行用户报文过滤，方便命令设置和使用。

附图说明

图1为本发明实施例一在线计费系统指示用户只能访问充值网站URL和IP的流程示意图；

图2为本发明实施例二在线计费系统限制用户不能访问sina新浪相关网站的的流程示意图；

图3为本发明实施例三的在线计费系统指示用户只能访问具体IP的流程示意图；

图4为本发明实施例四业务受限访问控制在线计费系统的装置示意图；

图5为本发明实施例五业务受限访问控制网关的装置示意图；

图6为本发明实施例六业务受限访问控制网关的装置示意图。

具体实施方式

下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。

实施例一：

本实施例为当用户欠费时，在线计费系统OCS指示用户只能访问充值网站的URL和IP地址，用户使用URL访问的具体流程，请参见图1。

S101，用户接入，承载建立成功。

用户使用数据业务或网络连接等情况下，会与GW建立通信，即建立承载。

S102，用户使用数据业务。

S103，GW向OCS发送信用控制请求消息。

用户使用数据业务的行为触发GW发送信用控制请求消息给OCS，请求用户当前业务的配额。OCS还可以定期向GW发送信息，GW回应信用控制请求消息，以实现对用户业务配额的监控。

S104，OCS判断用户业务配额是否充足，若是，则转至S105，若否，转至S106。

S105，通用处理。

OCS判断用户业务配额充足，响应GW的信用控制请求消息，下发用户配额，用户网络行为正常连接，不受限制。

S106，生成信用控制应答消息。

当OCS发现用户配额不足即欠费时，生成信用控制请求消息的应答消息即信用控制应答消息作为响应，发送给GW，指示将限制用户业务。信用控制应答消息中的Restriction-Filter-Rule(限制-控制-规则)字段采用IP Filter Rule格式，扩展src和dst字段，新增URL参数：

src and dst<address/mask|URL>[ports](目的地址和源地址<地址/遮掩|统一资源定位符>[端口])。

src和dst是配置过滤命令的目的地址和源地址，携带OCS允许该用户继续访问的URL或者限制用户继续访问的URL。另外支持URL的通配符“*”号和“？”号。

OCS发给GW指令：

permit in ip from any to www.recharge.com(允许进入从任何地址到www.recharge.com网站的IP地址的报文)

permit out ip from www.recharge.com to any(允许出去从www.recharge.com网站到任何地址的IP地址的报文)

这里“www.recharge.com”指充值网站网址，具体可以为www.taobao.com或各运营商的官方网站。指令含义为放行所有www.recharge.com网站的上行和下行报文。

S107，GW收到信用控制应答消息。

S108，查询消息命令中URL网站对应的IP地址。

GW解析信用控制应答消息中的URL，查找其对应的IP地址。

S109，把URL和对应的IP地址放入GW的过滤信息表并维护。

URL和对应的IP地址可能有多个，同时把URL和对应的IP地址放入GW的过滤信息表中，GW可以利用URL和IP两种地址进行过滤，既减轻设置命令的个数，又防止遗漏，提高可靠性。GW同时要维护过滤信息表，如果在用户使用业务的过程中，发现网站IP等信息变化，需动态更新过滤信息表。

S110，用户终端发送含有访问网站URL或IP的报文给GW。

用户用手机终端访问www.recharge.com网站地址，进行充值操作。因为GW可以利用URL和IP两种地址进行过滤，所以若用户发送含有网站的IP地址的报文，也要进行过滤。

S111，GW提取报文中的URL或IP和GW过滤信息表的信息进行匹配。

S112，判断匹配是否成功；若是，转到S112；若否，则转到S113。

S113，执行过滤规则指定操作。

指令为放行所有www.recharge.com网站的上行和下行报文。用户访问充值网站的报文不受GW的任何限制，和网站报文交互，进行充值。

S114，执行过滤规则指定的反向操作。

用户若访问www.sina.com(新浪)网站地址，进行上网浏览，GW提取“www.sina.com”和GW过滤信息表匹配，此时会匹配失败，即允许用户访问的网站列表里没有www.sina.com。报文没有匹配到过滤规则，就执行过滤规则指定的反向操作，访问新浪的网站报文全部丢弃，用户不能进行上网浏览。

本发明实施例提供的一种业务受限访问控制方法，通过扩展RFC 3588协议中的IP Filter Rule结构的src and dst字段，新增URL的可选参数，OCS直接设置ULR，同时利用URL和IP地址来进行报文过滤，限制用户网络行为。URL可能对应多个IP，采用本发明实施例提供的业务受限访问控制方法和装置，可以减轻设置命令的个数，防止遗漏，提高可靠性。并且如果后续网站的IP变化了，而URL一般不会变，也就不需要修改命令，提高可维护性。同时，扩展RFC3588协议中的IP Filter Rule结构的src and dst字段，在其中增加URL的可选参数，还可以用于别的使用RFC 3588协议的系统、网元或信用控制服务器。

显然，本领域的技术人员应该明白，本实施例中GW将与URL对应的IP地址也放入了过滤列表，同时利用URL和IP地址来进行报文过滤，也可以只将与URL地址放入过滤列表，只使用URL过滤。并且本实施例中指令为放行所有www.recharge.com网站的上行和下行报文，若将本发明实施例的方案应用于别的场景时，对指令内容进行相应改变或更改过滤规则，也都应当视为属于本发明的保护范围。

实施例二：

本实施例为在线计费系统OCS限制用户不能访问sina新浪相关网站的具体流程，请参见图2。

S201，用户接入，承载建立成功。

S202，用户使用数据业务。

S203，GW向OCS发送信用控制请求消息。

用户使用数据业务的行为触发GW发送信用控制请求消息给OCS，请求用户当前业务的配额。

S204，OCS判断用户业务是否受限，若是，则转至S206，若否，转至S205。

OCS判断用户业务配额是否充足，若充足，则业务不受限，若不充足，则业务受限。

S205，通用处理。

OCS判断用户业务配额充足，响应GW的信用控制请求信息，下发用户配额，用户网络行为不受限制。

S206，生成信用控制应答消息。

当OCS发现用户不能访问新浪相关网站时，生成信用控制请求消息的应答消息即信用控制应答消息作为响应，发送给GW，指示用户不能访问新浪相关网址。因为扩展URL参数支持URL的通配符“*”号和“？”号，其中：“*”号表示一个或者多个字符；“？”号标识一个字符。如URL为*.sina.com时，那么当访问的地址含有后缀为“.sina.com”字符的URL时，可以匹配成功。

OCS发给GW指令：

deny in ip from any to www.sina.com*(拒绝进入从任何地址到sina网站的IP地址的报文)

这里“www.sina.com*”指任何带有“www.sina.com”的报文，指令含义为拒绝所有从终端任意地址到sina网站的上行报文，不需要知道sina网站的具体的IP地址，即可下发命令。

S207，GW收到信用控制应答消息。

S208，将消息命令中URL放入过滤信息表。

S209，用户终端发送含有访问网站网址的报文给GW。

用户用手机终端访问www.sina.com网站。

S210，GW提取报文中的网站地址信息进行匹配。

GW提取报文中的URL地址和GW过滤信息表的信息进行匹配。

S211，判断匹配是否成功；若是，转到S212；若否，则转到S213。

S212，执行过滤规则指定操作。

指令为拒绝所有从终端任意地址到sina网站的上行报文。用户访问新浪网站的报文会被阻止，无法访问。

S213，执行过滤规则指定的反向操作。

用户若访问www.baidu.com(百度)网站，进行上网浏览，GW提取“www.baidu.com”和GW过滤信息表匹配，此时会匹配失败，即禁止用户访问的网站列表里没有www.baidu.com。报文没有匹配到过滤规则，就执行过滤规则指定的反向操作，访问百度的网站报文会被放行，用户可以正常上网浏览百度网站。

本发明实施例提供的一种业务受限访问控制方法，通过扩展URL的可选参数支持URL的通配符，OCS直接设置ULR，限制用户访问特定网站，不需要知道网站的具体的IP地址，即可下发命令，简化命令。

显然，本领域的技术人员应该明白，本实施例中GW只将与URL地址放入过滤列表，只使用URL过滤，也可以将URL对应的IP地址放入过滤列表。并且本实施例中指令为拒绝所有www.sina.com网站的上行报文，若将本发明实施例的方案应用于别的场景时，对指令内容进行相应改变，也都应当视为属于本发明的保护范围。

实施例三：

本实施例为当用户欠费时，在线计费系统OCS指示用户只能访问IP地址为140.205.164.47的网站，用户使用IP访问的具体流程，请参见图3。

S301，用户接入，承载建立成功。

用户使用数据业务或网络连接等情况下，会与GW建立通信，即建立承载。

S302，用户使用数据业务。

S303，GW向OCS发送信用控制请求消息。

用户使用数据业务的行为触发GW发送信用控制请求消息给OCS，请求用户当前业务的配额。

S304，OCS判断用户业务配额是否充足，若是，则转至S305，若否，转至S306。

S305，通用处理。

OCS判断用户业务配额充足，响应GW的信用控制请求消息，下发用户配额，用户网络行为正常连接，不受限制。

S306，生成信用控制应答消息。

当OCS发现用户配额不足即欠费时，生成信用控制请求消息的应答消息即信用控制应答消息作为响应，发送给GW，指示将限制用户业务。信用控制应答消息中包括预设的可以访问的IP地址为140.205.164.47的网站URL参数信息。

S307，GW收到信用控制应答消息。

S308，查询消息命令中URL网站对应的IP地址。

该URL对应的IP地址为140.205.164.47。

S309，把对应的IP地址放入GW的过滤信息表。

GW把对应的IP地址放入过滤信息表。

S310，用户终端发送含有访问网站IP的报文给GW。

S311，GW提取报文中的IP和GW过滤信息表的信息进行匹配。

S312，判断匹配是否成功；若是，转到S313；若否，则转到S114。

S313，执行过滤规则指定操作。

指令为放行所有IP地址为140.205.164.47的上行和下行报文。用户访问该IP地址的报文不受GW的任何限制，可正常访问。

S314，执行过滤规则指定的反向操作。

用户若访问3.3.3.3地址，进行上网浏览，GW提取“3.3.3.3”和GW过滤信息表匹配，此时会匹配失败，即允许用户访问的网站列表里没有3.3.3.3地址。报文没有匹配到过滤规则，就执行过滤规则指定的反向操作，访问3.3.3.3报文全部丢弃，用户不能进行浏览。

实施例四：

图4为业务受限访问控制在线计费系统OCS装置示意图，下面对各模块及功能进行进一步说明，包括：

第一接收模块401，用于接收GW发送的信用控制请求消息。

OCS还可以定期向GW发送信息，GW回应信用控制请求消息，以实现对用户业务配额的监控。

查询模块402，用于查询用户当前业务配额。

接收GW发送的信用控制请求消息后，OCS会查询该用户的业务配额，看是否配额不足或欠费，如果该用户配额充足就不需发送信用控制应答消息，只下发用户配额。

第一生成模块403，用于当该用户业务配额不足时，生成信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的URL参数信息。

生成带有预设的受限访问资源的URL参数信息的信用控制应答消息，需要对信用控制应答消息中的IP Filter Rule格式中的src和dst字段的参数范围进行扩展，将预设的受限访问资源的URL参数信息写入扩展的src和dst字段的参数范围中。URL参数信息可以是带有通配符的URL参数信息。

第一发送模块404，用于将信用控制应答消息发送到GW。

信用控制应答消息生成后，会发送给GW，GW再将信用控制应答消息中的URL参数信息放入过滤消息表。

通用处理模块405，用于下发用户配额。

OCS判断用户业务配额充足时，响应GW的信用控制请求消息，通用处理模块下发用户配额，用户网络行为正常连接，不受限制。

显然，本领域的技术人员应该明白，若将本发明实施例的方案应用于别的场景时，对本实施例中OCS各模块进行相应增加或减少，也都应当视为属于本发明的保护范围。

实施例五：

图5为业务受限访问控制网关GW示意图，下面对各模块及功能进行进一步说明，包括：

第二生成模块501，用于生成信用控制请求消息。

用户使用数据业务的行为触发GW发送信用控制请求消息给OCS，信用控制请求消息用来请求OCS查询用户当前业务配额是否充足。

第二发送模块502，用于发送信用控制请求消息；

GW将信用控制请求消息发送给OCS。

第二接收模块503，用于接收信用控制应答消息，其中包括预设的受限访问资源的URL参数信息。

第一获取模块504，用于获取信用控制应答消息中的URL参数信息相关的IP地址信息。

GW可以根据信用控制应答消息中的URL参数信息获取相关的IP地址信息。

第一处理模块505，用于将信用控制应答消息中的URL参数信息写入过滤信息表；或将URL和相关的IP地址信息写入过滤信息表并维护。

GW提取出信用控制应答消息中的URL参数信息，写入过滤信息表。在需要用URL和对应的IP地址同时进行过滤判断时，还可以将URL和相关的IP地址信息都写入到过滤信息表；同时要维护过滤信息表，如果在用户使用业务的过程中，发现网站IP等信息变化，需动态更新过滤信息表。

第一判断模块506，用于根据过滤信息表和当前业务报文的URL参数信息进行过滤判断。

GW收到用户当前业务报文，提取其中的URL参数信息与过滤信息表进行对比。如果过滤信息表中包含URL对应的IP，GW也可以提取其中的IP与过滤信息表进行对比。

第一控制模块507，用于根据所述过滤判断的结果对当前业务报文进行受限访问控制。

用户当前业务报文中URL或IP能够匹配或不能匹配过滤信息表，都将根据信用控制应答消息中的指令内容进行访问控制，执行过滤规则指定操作或执行过滤规则指定的反向操作。

显然，本领域的技术人员应该明白，若将本发明实施例的方案应用于别的场景时，对本实施例中GW各模块进行相应增加或减少，也都应当视为属于本发明的保护范围。

实施例六：

图6为业务受限访问控制网关GW示意图，下面对各模块及功能进行进一步说明，包括：

第三生成模块601，用于生成信用控制请求消息。

第三发送模块602，用于发送信用控制请求消息。

第三接收模块603，用于接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的URL参数信息。

第二获取模块604，用于获取控制应答消息中的URL参数信息相关的IP地址信息；

第二处理模块605，用于将IP地址信息写入过滤信息表并维护。

GW可以只将URL对应的IP地址放入过滤信息表，同时维护该过滤信息表，在用户使用业务的过程中，发现网站IP等信息变化，动态更新过滤信息表。

第二判断模块606，用于根据过滤信息表和当前业务报文的IP地址信息进行过滤判断。

GW收到用户当前业务报文，提取其中的IP与过滤信息表进行对比。

第二控制模块607，用于根据所述过滤判断的结果对当前业务报文进行受限访问控制。

用户当前业务报文中IP能够匹配或不能匹配过滤信息表，都将根据信用控制应答消息中的指令内容进行访问控制，执行过滤规则指定操作或执行过滤规则指定的反向操作。

显然，本领域的技术人员应该明白，上述本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在计算机存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以，本发明不限制于任何特定的硬件和软件结合。

以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (12)

1.一种业务受限访问控制方法，包括：

接收网关发送的信用控制请求消息；

查询用户当前业务配额；

当所述业务配额不足时，生成信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

将所述信用控制应答消息发送到网关。

2.如权利要求1所述的业务受限访问控制方法，其特征在于，所述预设的受限访问资源的统一资源定位符参数信息包括：至少一个带有通配符的统一资源定位符参数信息。

3.如权利要求1或2所述的业务受限访问控制方法，其特征在于，所述生成信用控制应答消息包括：对信用控制应答消息中的网络地址过滤规则格式中的源地址和目的地址字段的参数范围进行扩展，将所述预设的受限访问资源的统一资源定位符参数信息写入所述源地址和目的地址字段的扩展的参数范围中。

4.一种业务受限访问控制方法，其特征在于，包括：

发送信用控制请求消息；

接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

将所述信用控制应答消息中的统一资源定位符参数信息写入过滤信息表；

根据所述过滤信息表和当前业务报文的统一资源定位符参数信息进行过滤判断；

根据所述过滤判断的结果对当前业务报文进行受限访问控制。

5.如权利要求4所述的业务受限访问控制方法，其特征在于，还包括：

获取所述信用控制应答消息中的统一资源定位符参数信息相关的网络地址信息；

将所述网络地址信息写入过滤信息表；

根据所述所述过滤信息表和当前业务报文的网络地址信息进行过滤判断；

根据所述过滤判断的结果对当前业务报文进行受限访问控制。

6.一种业务受限访问控制方法，其特征在于，包括：

发送信用控制请求消息；

接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

获取所述控制应答消息中的统一资源定位符参数信息相关的网络地址信息；

将所述网络地址信息写入过滤信息表；

根据所述所述过滤信息表和当前业务报文的网络地址信息进行过滤判断；

根据所述过滤判断的结果对当前业务报文进行受限访问控制。

7.一种业务受限访问控制装置，其特征在于，包括：

第一接收模块，用于接收信用控制请求消息；

查询模块，用于查询用户当前业务配额；

第一生成模块，用于当所述业务配额不足时，生成信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

第一发送模块，用于将所述信用控制应答消息发送到网关。

8.根据权利要求7所述的业务受限访问控制装置，其特征在于，所述预设的受限访问资源的统一资源定位符参数信息包括：至少一个带有通配符的统一资源定位符参数信息。

9.根据权利要求7或8所述的业务受限访问控制装置，其特征在于，所述生成信用控制应答消息包括：对信用控制应答消息中的网络地址过滤规则格式中的源地址和目的地址字段的参数范围进行扩展，将所述预设的受限访问资源的统一资源定位符参数信息写入所述源地址和目的地址字段的扩展的参数范围中。

10.一种业务受限访问控制装置，其特征在于，包括：

第二生成模块，用于生成信用控制请求消息；

第二发送模块，用于发送信用控制请求消息；

第二接收模块，用于接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

第一处理模块，用于将所述信用控制应答消息中的统一资源定位符参数信息写入过滤信息表；

第一判断模块，用于根据所述过滤信息表和当前业务报文的统一资源定位符参数信息进行过滤判断；

第一控制模块，用于根据所述过滤判断的结果对当前业务报文进行受限访问控制。

11.如权利要求10所述的业务受限访问控制装置，其特征在于，还包括：

第一获取模块，用于获取所述信用控制应答消息中的统一资源定位符参数信息相关的网络地址信息；

所述第一处理模块，还用于将所述网络地址信息写入过滤信息表；

所述第一判断模块，还用于根据所述过滤信息表和当前业务报文的统一资源定位符参数信息进行过滤判断；

所述第一控制模块，还用于根据所述过滤判断的结果对当前业务报文进行受限访问控制。

12.一种业务受限访问控制装置，其特征在于，包括：

第三生成模块，用于生成信用控制请求消息；

第三发送模块，用于发送信用控制请求消息；

第三接收模块，用于接收信用控制应答消息，所述信用控制应答消息中包括预设的受限访问资源的统一资源定位符参数信息；

第二获取模块，用于获取所述控制应答消息中的统一资源定位符参数信息相关的网络地址信息；

第二处理模块，用于将所述网络地址信息写入过滤信息表；

第二判断模块，用于根据所述所述过滤信息表和当前业务报文的网络地址信息进行过滤判断；

第二控制模块，用于根据所述过滤判断的结果对当前业务报文进行受限访问控制。