WO2008134985A1 - Procédé, système et dispositif permettant d'effectuer un contrôle de sécurité - Google Patents

Description

一种执行安全控制的方法、 系统及设备 技术领域

本发明涉及通信领域， 特别涉及执行安全控制的方法、 系统及策略控 制和计费规则功能实体、 策略和计费执行实体。 背景技术

目前, 3GPP ( 3rd Genera t i on Par tner shi p Proj ec t , 第三代合作伙 伴计划 ) 在 TS 23.203里定义了 PCC ( Policy Charging Control, 策略和计 费控制）的架构， PCC中各个功能实体及其作用如下： PCRF( Policy Control and Charging Rules Function, 策略控制和计费规则功能实体）根据用户接 入网络的限制、 运营商策略， λλ SPR ( Subscription Profile Repository, 用 户签约数据数据库）功能实体获取用户签约数据、 以及从 AF ( Application Function, 应用层功能实体） 获取用户当前正在进行的业务信息等决定对 应的策略， 并将该策略提供给 PCEF ( Policy and Charging Enforcement Function, 策略和计费执行实体） ， 由 PCEF执行这些策略。 策略包括业 务数据流（完成某一业务， 比如语音的 IP流集合） 的检测规则、 是否门 控、 业务数据流对应的 QoS ( Quality of Service, 服务质量） 和基于流的 计费规则等。

PCEF: 该实体执行 PCRF下发或者指定的策略， 具体来说就是执行业 务数据流的检测和测量， 保证业务数据流的 QoS、 用户面流量处理、 触发 控制面的会话管理等；

SPR: 该功能实体向 PCRF提供用户签约数据；

AF: 该功能实体向 PCRF动态提供应用层的会话信息， PCRF根据该 信息动态生成或者修改对应的规则。 与 IP-CAN会话流程有关的几个术语阐述如下：

IP-CAN: 当用户在接入网络内漫游（位置改变时） 仍能保存 IP业务 连续性 （即不中断业务） ， 具有这样性质的接入网络称为 IP-CAN, 比如 GPRS ( General Packet Radio Service, 通用分组无线业务） 网络， I-WLAN (无线本地局域网同 3GPP网络互通系统） 网络等；

IP-CAN bearer: IP-CAN承载， 具有明确速率， 延迟和错误比特率的 IP传输路径（该路径指的是接入网到 PCEF之间），对于 GPRS来说 IP-CAN bearer对应 PDP ( Packet Data Protocol, 分组数据协议） 上下文；

IP-CAN session: IP-CAN会话， 指的是 UE ( User Equipment, 用户设 备）和 PDN ( Packet Data Network, 分组数据网， 比如 internet )标识之间 的连接关系， 该连接关系通过 UE的 IP地址和 UE的标识来识别。 只要 UE分配了 IP地址并且能被 IP网络识别， 则 IP-CAN存在。 IP-CAN会话 可以包含一到多个 IP-CAN 载。

在该 PCC架构的基础上， 可以实现 IP -CAN会话、 IP-CAN承载的建 立等流程。 当 UE在 PDN分配了可寻址的 IP地址后， UE就建立 IP-CAN 会话， 为了满足不同的 QoS要求， 在同一个 IP-CAN会话里可以建立不同 QoS要求的 IP-CAN承载， 在每个 IP-CAN承载里可以有多个 IP流（比如 用户可以同时在不同服务器下载文件） ， PCEF是根据 PCC规则 （PCC规 则包含 IP五元组， 即 IP源、 目的地址、 源端口号、 目的端口号、 协议来 识别 IP流。 每个 PCC规则可以包含一到多个 IP流， 它们称为业务数据流 ( Service Data Flow ) 。 在 PCRF通过 Gx接口传递给 PCEF的 PCC规则 中， 包含了门控信息、 QoS控制参数、 业务数据流的计费参数， PCEF可 以根据 PCC规则中的这些控制参数来进行业务流的准入控制、 流量监管 和计费等操作。

发明人在发明过程中发现， 现有技术至少存在以下缺陷： 目前 PCC 架构仅限于应用在确定业务数据流的应用场景， 如 IMS等应用场景， 无法 适用于数据业务接入控制应用场景。 不能使网络根据不同策略条件实现不 同的安全策略控制功能， 从而提高网络安全性， 促进数据业务的广泛开展 和应用。 发明内容

本发明实施例提供一种执行安全控制的方法、 系统及策略控制和计费 规则功能实体、 策略和计费执行实体， 用以解决提供在 PCC架构中对用 户会话提供安全控制的问题。

本发明实施例提供了一种执行安全控制的方法， 包括如下步骤： 策略和计费执行实体从策略控制和计费规则功能实体接收安全控制 策略信息；

所述策略和计费执行实体根据安全控制策略信息执行用户的安全控 制。

本发明实施例还提供了一种执行安全控制的系统， 包括策略和计费执 行实体、 策略控制和计费规则功能实体、 接收模块、 执行模块， 其中： 接收模块， 与策略和计费执行实体相连， 用于从策略控制和计费规则 功能实体接收安全控制策略信息；

执行模块， 与策略和计费执行实体相连， 用于根据所述安全控制策略 信息执行用户的安全控制。

本发明实施例又提供了一种策略控制和计费规则功能实体， 包括发送 模块， 用于在根据所述用户的策略条件信息判断， 并生成安全控制策略信 息后， 将安全控制策略信息发送至策略和计费执行实体；

策略和计费执行实体根据所述安全控制策略信息执行用户的安全控 制。

本发明实施例还提供了一种策略和计费执行实体， 包括：

接收模块， 用于从策略控制和计费规则功能实体接收安全控制策略信 息；

执行模块， 用于根据所述安全控制策略信息执行用户的安全控制。 本发明实施例有益效果如下：

由于策略和计费执行实体从策略控制和计费规则功能实体接收安全 控制策略信息后， 策略和计费执行实体再根据安全控制策略信息执行用户 的安全控制， 从而具备了对用户接入会话进行控制的能力。 附图说明

图 1为本发明实施例中所述执行安全控制方法的实施流程示意图； 图 2为本发明所述一个实施例实施流程示意图；

图 3为本发明所述另一个实施例实施流程示意图；

图 4为本发明实施例中所述执行安全控制系统的一个实施例结构示意 图；

图 5为本发明实施例中所述执行安全控制系统的又一实施例结构示意 图；

图 6为本发明实施例中所述执行安全控制系统的再一实施例结构示意 图；

图 7为本发明实施例中所述策略控制和计费规则功能实体一个实施例 的结构示意图；

图 8为本发明实施例中所述策略控制和计费规则功能实体另一个实施 例的结构示意图；

图 9为本发明实施例中所述策略和计费执行实体一个实施例的结构示 意图；

图 10为本发明实施例中所述策略和计费执行实体另一个实施例的结 构示意图。 具体实施方式

下面结合附图对本发明的具体实施方式进行说明。

图 1为执行安全控制方法的实施流程示意图， 如图 1所示， 在执行安 全控制时可以包括如下步骤：

步骤 501、 策略和计费执行实体从策略控制和计费规则功能实体接收 安全控制策略信息；

步骤 502、 所述策略和计费执行实体根据安全控制策略信息执行用户 的安全控制。

实施例中， 安全控制策略信息包含访问控制列表信息、 防火墙模式信 息。

执行用户的安全控制功能包括：

根据所述访问控制列表信息对用户业务数据流执行访问控制； 和 /或，根据所述防火墙模式信息为用户业务数据流选择相应模式的防 火墙并执行防火墙功能。

其中， 执行访问控制可以是根据访问控制列表信息指定的访问控制列 表中允许访问的 IP地址、 端口、 协议、 应用类型之一或者其组合， 对用 户业务数据流执行准入访问控制；

执行防火墙功能可以是根据防火墙模式信息指定的防火墙模式选择 报文过滤模式、 深度检测模式、 防垃圾邮件过滤、 防病毒过滤之一或者其 组合的防火墙， 并为用户业务数据流执行防火墙功能。

安全控制策略信息可以是由策略控制和计费规则功能实体通过信用 控制请求消息或重鉴权请求消息发送至策略和计费执行实体。

安全控制策略信息可以是通过信用控制请求消息或重鉴权请求消息 发送至策略和计费执行实体的访问控制列表信息、 和 /或防火墙模式信息。

其中， 访问控制列表信息可以通过在 Gx接口的 Diameter协议中增加 访问控制列表编号 ACL-Number A VP来表示； 防火墙模式信息可以通过在 Gx接口的 Diameter协议中增加防火墙模 式编号 Firewal-Mode-Number A VP来表示。

实施中， 策略控制和计费规则功能实体根据所述用户的策略条件信息 判断并生成安全控制策略信息后， 将安全控制策略信息发送至策略和计费 执行实体；

策略和计费执行实体再根据所述安全控制策略信息执行用户的安全 控制。

策略控制和计费规则功能实体根据用户的策略条件信息判断并生成 的访问控制列表信息， 所述用户的策略条件信息可以是从策略和计费执行 实体、 网管系统、 设备管理系统之一或者其组合获取的用户终端的终端软 件版本、 操作系统版本、 操作系统补丁、 是否安装了防病毒软件及软件版 本之一或者其组合的策略条件信息；

和 /或，所述策略控制和计费规则功能实体根据用户的策略条件信息判 断并生成的防火墙模式信息， 所述用户的策略条件信息是用户签约数据、 用户的接入网类型、 用户的漫游状态之一或者其组合的信息。

下面以为用户提供各种安全控制策略信息的实施例来进一步说明执 行安全控制的实施方式。

本实施例描述了根据用户终端的终端软件版本、 操作系统版本、 操作 系统补丁、 和 /或是否安装了防病毒软件及软件版本等信息进行策略决策， 判断并生成安全控制策略信息， 通过安全控制策略信息实现用户的准入控 制的应用示例。 用户在 IP接入会话建立时， PCRF从设备管理系统获得用 户终端的终端软件版本、 操作系统版本、 操作系统补丁、 和 /或是否安装了 防病毒软件及软件版本等信息； PCRF根据所获得的信息， 判断并生成安 全控制策略信息， 安全控制策略信息中包括针对此用户终端所适用的访问 控制列表， 并将信息发送给 PCEF进行准入控制处理。

图 2为一个实施例实施流程示意图， 如图 2所示， 包括如下步骤： 步骤 601、 用户发起 IP接入会话建立请求到 PCEF。

步骤 602、 PCEF发送信用控制请求消息到 PCRF, 用于触发 PCRF反 馈安全控制策略信息， 其中信用控制请求消息中携带用户终端设备信息。

步骤 603、 PCRF通过设备管理系统获得用户终端的终端软件版本、 操作系统版本、操作系统补丁、和 /或是否安装了防病毒软件及软件版本等 信息。

步骤 604、 PCRF进行判断， 并生成安全控制策略信息， 根据所获得 的信息， 判断决定针对此用户终端所适用的访问控制列表一， 在安全控制 策略信息中包括了访问控制列表一。

步骤 605、 PCRF发送信用控制应答消息到 PCEF, 消息中带有此用户 终端的访问控制列表一信息。

步骤 606、 PCEF根据收到的访问控制列表一信息进行准入控制， 对 经过 PCEF的用户相关数据流进行允许接纳或拒绝操作。

步骤 607、 PCEF向用户终端发送 IP接入会话建立应答消息。

步骤 608、 当设备管理系统发现用户终端软件版本不是所期望的最新 版本时， 设备管理系统可以提示用户及时升级终端软件版本。

步骤 609、 用户终端通过设备管理系统进行软件升级。

步骤 610、 设备管理系统向 PCRF发送用户终端升级后的终端软件信 息。

步骤 611、 PCRF进行判断并生成安全控制策略信息， 根据用户终端 升级后的终端软件信息， 判断决定针对此用户终端所适用的访问控制列表 二， 在安全控制策略信息中包括访问控制列表二。

步骤 612、 PCRF发送重鉴权请求消息到 PCEF, 消息中带有此用户终 端的访问控制列表二信息。

步骤 613、 PCEF根据收到的访问控制列表二信息进行准入控制， 对 经过 PCEF的用户相关数据流进行允许接纳或拒绝操作。 步骤 614、 PCEF向 PCRF发送重鉴权响应消息。

通过本实施例实施可知， 实施例可以根据终端软件信息对用户进行准 入接纳控制。 当用户终端的软件版本或配置不符合网络安全要求时， 可以 限制终端能够访问的网络资源， 如仅允许访问设备管理系统进行软件升 级， 当终端的软件版本或配置满足网络安全要求后再允许终端访问其它的 用户订阅的网络资源。 这样可以避免不符合安全要求的终端， 如操作系统 存在安全漏洞、 没有安装防病毒软件的终端接入网络， 从而对网络的安全 威胁带来潜在的危险， 提升了网络整体的安全性， 减少网络安全事故， 降 低网络的运行和维护成本。

本实施例描述了根据用户签约数据、 或用户的接入网类型、 或是否漫 游用户等条件，判断应为用户提供的防火墙模式，并送给 PCEF进行处理。

图 3为另一个实施例实施流程示意图， 如图 3所示， 包括以下步骤： 步骤 701、 用户发起 IP接入会话建立请求到 PCEF。

步骤 702、 PCEF发送信用控制请求消息到 PCRF, 用于触发 PCRF反 馈安全控制策略信息， 其中信用控制请求消息中携带用当前使用的接入网 类型、 是否漫游等信息。

步骤 703、 PCRF通过 SPR获得用户的签约信息， 包括用户签约的防 火墙模式信息。

步骤 704、 PCRF根据用户签约数据， 或者用户的接入网类型、 或者 是否漫游用户等策略条件判断并生成安全控制策略信息， 安全控制策略信 息中包括应为用户提供的防火墙模式信息。 如根据用户的签约信息， 如果 用户签约了防火墙模式， 则使用用户签约信息； 否则， 由运营商预先定义 的， 对不同用户接入网类型提供不同的防火墙模式， 比如对 WLAN ( Wireless Local Area Network, 无线局域网 )接入的用户提供的防火墙功 能模式区别与于采用 WCDMA ( Wideband CDMA, 宽带 CDMA )接入的 用户； 或者对漫游用户不提供防火墙功能等。 步骤 705、 PCRF发送信用控制应答消息到 PCEF, 消息中带有用户的 防火墙模式 （ Firewall Mode Number )信息。

步骤 706、 PCEF根据收到的防火墙模式信息针对此接入用户进行防 火墙模式选择并启动相应的防火墙功能。

步骤 707、 PCEF向用户终端发送 IP接入会话建立应答消息。

从以上描述， 可以知道本实施例通过对用户签约信息、 接入网类型、 是否漫游用户， 以及其他可能的策略条件信息， 可以为用户提供不同组合 的防火墙功能， 使用户防火墙功能得到充分的应用， 从而为用户提供安全 保证。

本发明实施例还提供了一种执行安全控制的系统， 下面结合附图对本 系统的具体实施方式进行说明。

图 4为执行安全控制系统的一个实施例结构示意图， 如图 4所示， 系 统中包括策略和计费执行实体、策略控制和计费规则功能实体、接收模块、 执行模块， 其中：

接收模块、 执行模块与策略和计费执行实体相连；

接收模块从策略控制和计费规则功能实体接收安全控制策略信息； 执行模块根据所述安全控制策略信息执行用户的安全控制。

安全控制策略信息可以包含访问控制列表信息、 防火墙模式信息。 图 5为执行安全控制系统的又一实施例结构示意图， 如图 5所示， 本 实施例执行模块可以包括访问控制单元、 和 /或防火墙单元， 其中：

访问控制单元， 用于根据所述访问控制列表信息对用户业务数据流执 行访问控制；

防火墙单元， 用于根据所述防火墙模式信息为用户业务数据流选择相 应模式的防火墙并执行防火墙功能。

访问控制单元可以进一步用于根据访问控制列表信息指定的访问控 制列表中允许访问的 IP地址、 端口、 协议、 应用类型之一或者其组合对 用户业务数据流执行准入访问控制；

所述防火墙单元可以进一步用于根据防火墙模式信息指定的防火墙 模式选择报文过滤模式、 深度检测模式、 防垃圾邮件过滤、 防病毒过滤之 一或者其组合的防火墙， 并为用户业务数据流执行防火墙功能。

接收模块可以通过信用控制请求消息或重鉴权请求消息接收所述安 全控制策略信息。

安全控制策略信息可以是访问控制列表信息、 和 /或防火墙模式信息。 访问控制列表信息可以通过在 Gx接口的 Diameter协议中增加访问控 制列表编号 ACL-Number A VP来表示；

防火墙模式信息可以通过在 Gx接口的 Diameter协议中增加防火墙模 式编号 Firewal-Mode-Number A VP来表示。

系统中还可以包括发送模块， 用于在策略控制和计费规则功能实体根 据所述用户的策略条件信息判断， 并生成安全控制策略信息后， 将安全控 制策略信息发送至策略和计费执行实体；

策略和计费执行实体根据所述安全控制策略信息执行用户的安全控 制。

图 6为执行安全控制系统的再一实施例结构示意图， 如图 6所示， 系 统系统中还可以包括第一获取模块、 和 /或第二获取模块， 其中：

第一获取模块， 用于从策略和计费执行实体、 网管系统、 设备管理系 统之一或者其组合获取用户终端的终端软件版本、 操作系统版本、 操作系 统补丁、 是否安装了防病毒软件及软件版本之一或者其组合的策略条件信 息；

所述策略控制和计费规则功能实体根据所述策略条件信息判断并生 成访问控制列表信息；

第二获取模块， 用于获取包括用户签约数据、 用户的接入网类型、 用 户的漫游状态之一或者其组合的用户的策略条件信息； 所述策略控制和计费规则功能实体根据用户的策略条件信息判断并 生成防火墙模式信息。

本发明实施例还提供了一种策略控制和计费规则功能实体， 下面结合 附图对 PCRF的具体实施方式进行说明。

图 7为策略控制和计费规则功能实体一个实施例的结构示意图， 如图

7所示， 在 PCRF中包括：

包括发送模块， 用于在根据所述用户的策略条件信息判断并生成安全 控制策略信息后， 将安全控制策略信息发送至策略和计费执行实体；

则策略和计费执行实体根据所述安全控制策略信息执行用户的安全 控制。

图 8为策略控制和计费规则功能实体另一个实施例的结构示意图， 如 图 8所示，本实施例进一步的可以包括第一策略生成模块、第一获取模块、 和 /或第二策略生成模块、第二获取模块， 图中仅示出了第一获取模块和第 一策略生成模块， 其中：

第一获取模块， 用于从策略和计费执行实体、 网管系统、 设备管理系 统之一或者其组合获取用户终端的终端软件版本、 操作系统版本、 操作系 统补丁、 是否安装了防病毒软件及软件版本之一或者其组合的策略条件信 息；

第一策略生成模块， 用于根据所述策略条件信息判断， 并生成安全控 制策略信息的访问控制列表信息；

第二获取模块， 用于获取包括用户签约数据、 用户的接入网类型、 用 户的漫游状态之一或者其组合的用户的策略条件信息；

第二策略生成模块， 用于根据用户的策略条件信息判断， 并生成安全 控制策略信息的防火墙模式信息。

本发明实施例还提供了一种策略和计费执行实体， 下面结合附图对

PCEF的具体实施方式进行说明。 图 9为策略和计费执行实体一个实施例的结构示意图， 如图 9所示， PCEF中包括：

接收模块， 用于从策略控制和计费规则功能实体接收安全控制策略信 息；

执行模块， 用于根据所述安全控制策略信息执行用户的安全控制。 图 10为策略和计费执行实体另一个实施例的结构示意图， 如图 10所 示， 本实施例执行模块可以包括访问控制单元、 和 /或防火墙单元， 其中： 访问控制单元， 用于根据所述访问控制列表信息对用户业务数据流执 行访问控制；

防火墙单元， 用于根据所述防火墙模式信息为用户业务数据流选择相 应模式的防火墙并执行防火墙功能。

接收模块， 进一步用于通过信用控制请求消息或重鉴权请求消息接收 所述安全控制策略信息。

实施例中， 运营商可以根据需求预先定义了一些访问控制列表， 在 PCEF的防火墙功能模块设置。当用户 IP-CAN会话建立时， PCRF从 PCEF、 网管系统或设备管理（ Device Management )系统等获得用户终端的终端软 件版本、 操作系统版本、 操作系统补丁、 和 /或是否安装了防病毒软件及软 件版本等信息， 根据这些策略条件信息决策应为用户提供的访问控制列表 信息。 PCRF可以通过 Diameter CCA (信用控制请求）或者 RAR (重鉴权 请求）消息把相应配置在 PCEF上的访问控制列表编号（ ACL number )信 息发送到 PCEF。可以通过在 Gx接口的 Diameter协议中增加 ACL-Number AVP来表示， 这个 AVP是 32位整数类型， 可以根据访问控制列表的不同 而具有不同的取值。 除 PCRF下发访问控制列表编号方法外， PCRF还可 以直接向 PCEF下发访问控制列表的具体定义， 如允许访问的 IP地址、 端 口、 协议、 应用类型等信息。 PCEF可以根据 PCRF下发的访问控制列表 信息执行相应的准入控制。 同时， 运营商可以根据需求将防火墙的多种控制模式（例如报文过滤 模式、 深度检测模式）， 或不同功能（例如防垃圾邮件过滤和防病毒过滤） 打包， 预先设置为多个防火墙功能模式， 其中每种模式可以用一个号码来 唯一标识， 并在 PCEF设置。 用户接入时， PCRF根据用户签约数据， 或 者用户的接入网类型或漫游状态，判断应为用户提供的防火墙模式。 PCRF 通过和 PCEF之间的 Gx接口， 把用户的防火墙模式信息传递给 PCEF。 如 PCRF可以通过 Diameter RAR (重鉴权请求）或 CCA (信用控制请求）消 息把用户的防火墙模式信息发送到 PCEF。可以通过在 Gx接口的 Diameter 协议中增加 Firewal-Mode-Number A VP来表示， 这个 AVP是 32位整数类 型。 PCEF根据 PCRF下发的防火墙模式信息执行相应的防火墙模式选择 并启动相应的防火墙功能。

随着网络安全问题在电信网络的漫延， 在 PCEF上提供集成防火墙功 能和准入控制等网络安全防护功能， 已经成为网关设备的一个重要功能， 这些安全防护功能的引入对于提升整体网络安全度， 减少网络安全事故， 降低运营商的网络运行和维护成本具有重要的应用意义。 本发明实施例的 执行安全控制的方法、 系统及设备能够实现根据复杂、 变化的策略条件进 由上述实施例可以看出， 在现有技术中的 PCC架构还不具备安全策 略控制的能力时， 本发明实施例达到了增强 PCC架构功能的目的， 使得 PCEF可以根据 PCRF下发的安全控制策略信息， 有效地实现对用户的安 全准入控制、 访问控制、 防火墙功能模式的选择等安全防护功能。

同时， 对于业务的准入控制方面， 使得运营商可以根据需求预先定义 一些访问控制列表， 当用户会话接入后， 使 PCRF可以通过对用户终端的 操作系统、 操作系统补丁、 防病毒软件等信息的分析， 来决策用户应匹配 的访问控制列表信息， 并通过 Gx接口下发到 PCEF执行， 从而达到对用 户终端的业务数据流的控制。 在对于对用户业务流执行防火墙的模式选择的控制方面， 使得运营商 可以根据需求， 将防火墙的多种控制模式， 或不同功能打包， 预先设置为 不同的执行防火墙功能的防火墙模式。 当用户接入时， 使得 PCRF可以根 据用户签约数据、 或者用户当前的接入网类型、 用户是否漫游等条件， 判 断应为用户提供的防火墙模式， 并通过 Gx接口下发到 PCEF设备执行， 从而达到了能够对业务流进行防火墙模式的选择。 本发明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权 利要求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在 内。

Claims

权利 要求 书

1、 一种执行安全控制的方法， 其特征在于， 包括如下步骤： 策略和计费执行实体从策略控制和计费规则功能实体接收安全控制 策略信息；

所述策略和计费执行实体根据所述安全控制策略信息执行用户的安 全控制。

2、 如权利要求 1所述的方法， 其特征在于， 所述安全控制策略信息 包含访问控制列表信息、 防火墙模式信息。

3、 如权利要求 2所述的方法， 其特征在于， 所述执行用户的安全控 制包括如下步骤：

根据所述访问控制列表信息对用户业务数据流执行访问控制； 和 /或，根据所述防火墙模式信息为用户业务数据流选择相应模式的防 火墙并执行防火墙功能。

4、 如权利要求 3所述的方法， 其特征在于， 所述执行用户的安全控 制包括如下步骤：

根据访问控制列表信息指定的访问控制列表中允许访问的 IP地址、 端口、 协议、 应用类型之一或者其组合， 对用户业务数据流执行准入访问 控制；

根据防火墙模式信息指定的防火墙模式选择报文过滤模式、 深度检测 模式、 防垃圾邮件过滤、 防病毒过滤之一或者其组合的防火墙， 并为用户 业务数据流执行防火墙功能。

5、 如权利要求 1或 2所述的方法， 其特征在于， 所述策略和计费执 行实体从策略控制和计费规则功能实体接收安全控制策略信息具体包括： 所述策略和计费执行实体接收所述策略控制和计费规则功能实体通过信 用控制请求消息或重鉴权请求消息发送的安全控制策略信息。

6、 如权利要求 5所述的方法， 其特征在于， 所述策略和计费执行实 体接收通过信用控制请求消息或重鉴权请求消息发送的， 访问控制列表信 息、 和 /或防火墙模式信息的安全控制策略信息。

7、 如权利要求 6所述的方法， 其特征在于， 所述访问控制列表信息 通过在 Gx接口的 Diameter协议中增加访问控制列表编号 ACL-Number AVP来表示；

防火墙模式信息通过在 Gx接口的 Diameter协议中增加防火墙模式编 号 Firewal-Mode-Number AVP来表示。

8、 如权利要求 1所述的方法， 其特征在于， 所述策略和计费执行实 体从策略控制和计费规则功能实体接收安全控制策略信息具体包括如下 步骤：

策略和计费执行实体接收策略控制和计费规则功能实体根据所述用 户的策略条件信息判断并生成的安全控制策略信息。

9、 如权利要求 8所述的方法， 其特征在于， 所述策略控制和计费规 则功能实体根据所述用户的策略条件信息判断并生成的安全控制策略信 息具体包括： 所述策略控制和计费规则功能实体根据用户的策略条件信息 判断并生成的访问控制列表信息， 所述用户的策略条件信息是从策略和计 费执行实体、 网管系统、 设备管理系统之一或者其组合获取的用户终端的 终端软件版本、 操作系统版本、 操作系统补丁、 是否安装了防病毒软件及 软件版本之一或者其组合的策略条件信息；

和 /或，所述策略控制和计费规则功能实体根据用户的策略条件信息判 断并生成的防火墙模式信息， 所述用户的策略条件信息是用户签约数据、 用户的接入网类型、 用户的漫游状态之一或者其组合的信息。

10、 一种执行安全控制的系统， 包括策略和计费执行实体、 策略控制 和计费规则功能实体， 其特征在于， 还包括接收模块、 执行模块， 其中： 接收模块， 与策略和计费执行实体相连， 用于从策略控制和计费规则 功能实体接收安全控制策略信息； 执行模块， 与策略和计费执行实体相连， 用于根据所述安全控制策略 信息执行用户的安全控制。

11、 如权利要求 10所述的系统， 其特征在于， 所述安全控制策略信 息包含访问控制列表信息、 防火墙模式信息。

12、 如权利要求 11所述的系统， 其特征在于， 所述执行模块包括访 问控制单元、 和 /或防火墙单元， 其中：

访问控制单元， 用于根据所述访问控制列表信息对用户业务数据流执 行访问控制；

防火墙单元， 用于根据所述防火墙模式信息为用户业务数据流选择相 应模式的防火墙并执行防火墙功能。

13、 如权利要求 12所述的系统， 其特征在于， 所述访问控制单元进 一步用于根据访问控制列表信息指定的访问控制列表中允许访问的 IP地 址、 端口、 协议、 应用类型之一或者其组合对用户业务数据流执行准入访 问控制；

所述防火墙单元进一步用于根据防火墙模式信息指定的防火墙模式 选择报文过滤模式、 深度检测模式、 防垃圾邮件过滤、 防病毒过滤之一或 者其组合的防火墙， 并为用户业务数据流执行防火墙功能。

14、 如权利要求 10或 11所述的系统， 其特征在于， 接收模块， 进一 步用于接收所述策略控制和计费规则功能实体通过信用控制请求消息或 重鉴权请求消息发送的所述安全控制策略信息。

15、 如权利要求 14所述的系统， 其特征在于， 所述安全控制策略信 息是访问控制列表信息、 和 /或防火墙模式信息。

16、 如权利要求 15所述的系统， 其特征在于， 所述访问控制列表信 息通过在 Gx接口的 Diameter协议中增加访问控制列表编号 ACL-Number A VP来表示；

防火墙模式信息通过在 Gx接口的 Diameter协议中增加防火墙模式编 号 Firewal-Mode-Number AVP来表示。

17、 如权利要求 10所述的系统， 其特征在于， 进一步包括发送模块， 用于所述策略控制和计费规则功能实体根据所述用户的策略条件信息判 断， 并生成的安全控制策略信息后， 将该安全控制策略信息发送至策略和 计费执行实体。

18、 如权利要求 17所述的系统， 其特征在于， 进一步包括第一获取 模块、 和 /或第二获取模块， 其中：

第一获取模块， 用于从策略和计费执行实体、 网管系统、 设备管理系 统之一或者其组合获取用户终端的终端软件版本、 操作系统版本、 操作系 统补丁、 是否安装了防病毒软件及软件版本之一或者其组合的策略条件信 息；

则， 所述接收模块具体用于所述策略控制和计费规则功能实体根据所 述策略条件信息判断， 并生成访问控制列表信息；

第二获取模块， 用于获取包括用户签约数据、 用户的接入网类型、 用 户的漫游状态之一或者其组合的用户的策略条件信息；

则， 所述接收模块具体用于所述策略控制和计费规则功能实体根据用 户的策略条件信息判断并生成防火墙模式信息。

19、 一种策略和计费执行实体， 其特征在于， 包括：

接收模块， 用于从策略控制和计费规则功能实体接收安全控制策略信 息；

执行模块， 用于根据所述安全控制策略信息执行用户的安全控制。

20、 如权利要求 19所述的策略和计费执行实体， 其特征在于， 所述 执行模块包括访问控制单元、 和 /或防火墙单元， 其中：

访问控制单元， 用于根据访问控制列表信息对用户业务数据流执行访 问控制；

防火墙单元， 用于根据所述防火墙模式信息为用户业务数据流选择相 应模式的防火墙并执行防火墙功能。

21、 如权利要求 19或 20所述的策略和计费执行实体， 其特征在于， 接收模块， 进一步用于接收所述策略控制和计费规则功能实体通过信用控 制请求消息或重鉴权请求消息发送的所述安全控制策略信息。

22、一种策略控制和计费规则功能实体， 其特征在于， 包括发送模块， 用于在根据所述用户的策略条件信息判断并生成安全控制策略信息后， 将 用于策略和计费执行实体执行用户的安全控制的安全控制策略信息发送 至所述策略和计费执行实体。

23、 如权利要求 22所述的策略控制和计费规则功能实体， 其特征在 于， 进一步包括第一策略生成模块、 第一获取模块、 和 /或第二策略生成模 块、 第二获取模块， 其中：

第一获取模块， 用于从策略和计费执行实体、 网管系统、 设备管理系 统之一或者其组合获取用户终端的终端软件版本、 操作系统版本、 操作系 统补丁、 是否安装了防病毒软件及软件版本之一或者其组合的策略条件信 息；

第一策略生成模块， 用于根据所述策略条件信息判断， 并生成访问控 制列表信息；

第二获取模块， 用于获取包括用户签约数据、 用户的接入网类型、 用 户的漫游状态之一或者其组合的用户的策略条件信息；

第二策略生成模块， 用于根据用户的策略条件信息判断， 并生成防火 墙模式信息。