WO2011006450A1

WO2011006450A1 - 业务处理方法及通信设备

Info

Publication number: WO2011006450A1
Application number: PCT/CN2010/075218
Authority: WO
Inventors: 周汉; 吴问付; 孙晓姬; 王子谦
Original assignee: 华为技术有限公司
Priority date: 2009-07-17
Filing date: 2010-07-16
Publication date: 2011-01-20
Also published as: CN101959192A

Description

业务处理方法及通信设备本申请要求于 2009年 07月 17日提交中国专利局、申请号为 200910159149. 3、发明名称为 "业务处理方法及通信设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明涉及通信技术领域，具体涉及一种业务处理方法及通信设备。背景技术第三代合作伙伴计划（3GPP, 3rd Generation Partnership Project ) 提出了了演进的分组交换系统 (EPS, Evolved Packet System)。机器到机器（M2M, Machine to Machine )应用指的是一个或者多个网元之间在不需要人为参与的情况下进行的网络通信。目前 M2M应用可以在 EPS网络架构中使用。

现有技术中，在 M2M应用中，访问分组数据网络（PDN, Packet Data Network) 的应用服务器是可以任意访问的，没有受到限制。如果是利用了虚拟专用网络（VPN, Virtual Private Network), 则可以为用户提供指定的应用服务器进行访问，但是含有特定的接入点名称（APN, Access Point Name ) 的限制。对丁 · Μ2Μ应用，某些应用是针对行业用户的特殊需求制定的，例如电力行业用户的抄表业务，此类 Μ2Μ终端只需要访问电力行业用户的 Μ2Μ应用服务器即可。因此，为了优化网络性能和增强网络安全，运营商希望类似特殊应用的 Μ2Μ终端只需要访问某个固定的 Μ2Μ应用服务器。

同样对于上述此类的 Μ2Μ应用，由于业务应用简单，数据量小，数据业务只需要在一个非保证比特速率 (GBR, Guaranteed Bi t Rate ) 承载 (例如，缺省承载）中传输即可。为了节约网络资源，运营商不希望此类 M2M终端使用其他的业务，当后续此类 M2M终端发起的资源分配 /修改、专有承载激活、分组数据协议（PDP, Packet Data Protocol ) 上下文激活、二次 PDP上下文激活、或附着 /PDN连接请求的流程，运营商希望引入一种机制使网络侧有选择的拒绝此类 M2M终端的业务请求。

在对此方法的研究和实践过程中，本发明的发明人发现：现有技术中 M2M应用中没有针对 M2M终端对特定的网元设备例如应用服务器进行访问限制，虽然 VPN技术可以针对特定应用服务器进行访问，但是需要特定的 APN进行限制，而在 M2M应用中 APN 是公共资源，没有限制。进一步的，关于限制 M2M终端数据业务的传输也没有相关的技术解决方案。因此，现有技术在 M2M应用中还没有实现对 M2M终端发起的业务进行控制，从而降低网络的安全性。发明内容本发明实施例提供一种能够提高网络安全性的业务处理方法及通信设备。

本发明实施例提供 ·种业务处理方法，包括：

在机器到机器 M2M应用的网络中，获知关于业务控制的属性信息，所述关于业务控制的属性信息包括允许访问的服务器信息和 /或限制操作的承载及资源信息；

在获知终端发送的业务请求后，根据获知的所述业务控制的属性信息对所述的业务请求进行控制。

本发明实施例提供一种通信设备，包括：

信息获知单元，用于在机器到机器 M2M应用的网络中，获知关于业务控制的属性信息，所述关于业务控制的属性信息包括允许访问的服务器信息和 /或限制操作的承载及资源信息；

处理单元，用于获知终端发送的业务请求后，根据获知的所述业务控制的属性信息对所述的业务请求进行控制。

上述技术方案可以看出，本发明实施例技术方案是获知了关于业务控制的属性信息，所述关于业务控制的属性信息包括允许访问的服务器信息和 /或限制操作的承载及资源信息，因此在获知终端发送的业务请求后，就可以根据所述关于业务控制的属性信息对所述业务请求对应的业务进行控制，从而实现了对 M2M终端发起的业务进行控制，提高了网络的安全性。附图说明图 1是本发明实施例一的业务处理方法流程图；

图 2是本发明实施例二的业务处理方法流程图；

图 3是本发明实施例三的业务处理方法流程图；

图 4是本发明实施例四的业务处理方法流程图；图 5是本发明实施例五的业务处理方法流程图；

图 6是本发明实施例六的业务处理方法流程图；

图 7是本发明实施例的通信设备结构示意图；

图 8是本发明实施例的通信系统结构示意图。具体实施方式本发明实施例提供一种能够提高网络安全性的业务处理方法、通信设备及通信系统。以下分别进行详细说明。

图 1是本发明实施例一的业务处理方法流程图，主要包括步骤：

步骤 101、在机器到机器 M2M应用的网络中，获知关于业务控制的属性信息，所述关于业务控制的属性信息包括允许访问的服务器信息和 /或限制操作的承载及资源信息；

获知关于业务控制的属性信息包括：从服务网关 SGW配置信息、分组数据网络网关 PGW配置信息、归属用户服务器 HSS数据库、签约数据库 SPR、或群组签约数据库中获知关于业务控制的属性信息。

步骤 102、在获知终端发送的业务请求后，根据获知的所述业务控制的属性信息对所述的业务请求进行控制。

其中，所述关于业务控制的属性信息为允许访问的服务器信息时；所述根据获知的所述业务控制的属性信息对所述的业务请求进行控制包括：如果终端的业务请求的信息与所述允许访问的服务器信息不一致，则拒绝所述终端的业务请求。所述关于业务控制的属性信息还包括允许使用的业务信息；如果终端的业务请求的信息与所述允许使用的业务信息不一致，则拒绝所述终端的业务请求。

或者是，

所述关于业务控制的属性信息为限制操作的承载及资源信息时，

所述根据获知的所述业务控制的属性信息对所述的业务请求进行控制包括：如果终端的业务请求的信息属于所述限制操作的承载及资源信息，则拒绝所述终端的业务请求。

或者是，

所述关于业务控制的属性信息包括限制操作的承载及资源信息，以及包括允许访问的服务器信息时；

所述根据获知所述业务控制的属性信息对所述的业务请求进行控制包括：若终端业务请求的信息属于限制操作的承载及资源信息，拒绝所述终端的业务请求。

从该实施例内容可以看出，本发明实施例技术方案是获取了关于业务控制的属性信息，所述关于业务控制的属性信息包括允许访问的服务器信息和 /或限制操作的承载及资源信息，因此在获知终端发送的业务请求后，就可以根据所述关于业务控制的属性信息对所述业务请求对应的业务进行控制，从而实现了对 M2M终端发起的业务进行控制，提高了网络的安全性。

以下结合更具体实施例进行详细介绍，具体包括实施例二到实施例六。

实施例二：

本实施例描述的是移动性管理网元（可以是移动管理实体（MME , Mobility Management Entity), 服务 GPRS支持节点（SGSN, Serving GPRS Support Node ), 或者移动交换中心 (MSC, Mobile Switch Center) 等）从归属用户服务器（HSS, Home Subscriber Server) 数据库或群组（例如 Group) 签约数据库（所述群组签约数据库可以是为 M2M应用专门服务的签约数据库，可以具有 HSS和 /或 SPR的功能）获取关于业务控制的属性信息，包括获取到允许访问的应用服务器信息，可选的还包括获取到允许使用的业务信息，和 /或，获取到限制操作的承载及资源信息（例如包括限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或附着 /分组数据网络（PDN, Packet Data Network) 连接请求的信息）。移动性管理网元后续可以将上述信息通知给服务网关（SGW, Serving Gateway) 和分组数据网络网关（PGW, Packet Data Network Gateway ) , 可选的如果是动态策略和计费控制（PCC, Policy Charging Control ) 应用，贝 l」PGW可以将上述信息通知给策略和计费规则功能（PCRF, Policy Charging Rules Function)。这样，移动性管理网元、 SGW、 PGW, 或 PCRF可以在接收终端发送的业务请求后，根据获知的所述业务控制的属性信息对所述的业务请求进行控制，从而可以利用该业务限制机制优化网络性能，节约网络资源，增强网络安全。

图 2是本发明实施例二的业务处理方法流程图。

流程图中显示的步骤概括而言主要包括获取信息、信息通知及执行控制三大部分内容。获取信息的内容包括步骤 201到 202，信息通知的内容包括步骤 203到 206, 执行控制的内容包括步骤 207到 212。

步骤 201、移动性管理网元向 HSS数据库或 Group签约数据库所在的网元发送更新位置 (Update Location) 消息。

步骤 202、 HSS数据库或 Group签约数据库所在的网元向移动性管理网元发送更新位置确认（Update Location Ack) 消息，其中可以携带业务控制的属性信息。

所述业务控制的属性信息可以是如下信息：消息中可以携带允许访问的应用服务器信息，如允许访问的应用服务器的 IP地址或者完全合格域名（FQDN, Fully Qualified Domain Name ) (也可以是一个 IP地址或 FQDN的列表信息）。可选的，可以携带允许使用的业务信息，该业务信息用于指示用户使用业务的标识信息，如服务标识 Service ID、或服务质量等级标识 QCI等。可选的，还可以携带限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息。这些信息都可以预先由终端在所述数据库中签约。

所述允许访问的应用服务器信息、允许使用的业务信息可以按照 M2M终端粒度进行限制（如 M2M终端进行业务访问，可以根据该 M2M终端签约或配置的业务控制的属性信息进行限制），或可以按照 Group粒度进行限制（如一个群组下的终端进行业务访问，可以获知该终端属于哪个群组，然后根据该群组的签约或配置的业务控制的属性信息进行限制），或可以按照 APN或者业务粒度进行限制（如可以根据签约或配置的 APN或业务信息对终端请求访问的 APN或业务信息进行限制）。而限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息可以按照 M2M终端粒度进行限制，也可以按照 Group粒度进行限制，或可以按照承载、 PDN连接、或 APN粒度进行限制，本发明实施例不作限制。

需要说明的是，也可以是 HSS数据库或 Group签约数据库所在的网元主动向移动性管理网元发送插入签约数据（Insert Subscriber Data) 消息，在消息中携带上述信息，本发明实施例对此不作限制。

步骤 203、移动性管理网兀通过 SGW向 PGW发送创建会话请求（Create Session Request ) 消息，其中可以携带业务控制的属性信息；

消息中携带允许访问的应用服务器信息，如允许访问的应用服务器的 IP地址或者 FQDN (也可以是一个 IP地址或 FQDN的列表信息）。可选的，可以携带允许使用的业务信息，该业务信息用于指示用户使用业务的标识信息，如 Service 1D、或 QC1等。可选的，还可以携带限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息。

步骤 204、在动态 PCC应用情况下， PGW向 PCRF发送 IP CAN会话建立指示（ Indication of IP CAN Session Establishment ) 消息，其中可以携带所述业务控制的属性信息。

步骤 205、 PCRF向 PGW发送 IP CAN会话建立确认（ Ack of IP CAN Session Establishment )。

步骤 206、 PGW向 SGW发送创建会话响应（Create Session Response )消息，而 SGW 向移动性管理网元发送创建会话响应（Create Session Response ) 消息。

通过该 "通知"过程， SGW、 PGW和 PCRF也可以获取到所述业务控制的属性信息。这样后续 M2M终端发起业务请求时，移动性管理网元、 SGW、 PGW, 或 PCRF都可以执行相应的控制操作。

步骤 207、当 M2M终端发起资源修改或者分配的流程时， M2M终端向移动性管理网元发送承载资源修改 /分配请求 ( Bearer Resource Modification/Allocation Request )消息，消息中携带 SDF (Service Data Flow,服务数据流） QoS和 TAD (Traffic Aggregate Description, 流聚合描述）信息。

需要说明的是，本发明实施例所述的终端发起的业务请求，可以是终端发起的承载资源修改 /分配、专有承载激活、 PDP上下文激活、二次 PDP上下文激活、或附着 /PDN 连接请求等，本发明实施例对此不作限制。

步骤 208、移动性管理网元向 SGW转发请求承载资源修改 /分配（Bearer Resource

Modification/Allocation Request ) 消息，消息中可以携带 SDF QoS和 TAD信息。

步骤 209、 SGW向 PGW转发请求承载资源修改 /分配（ Bearer Resource Modification/Allocation Request ) 消息，消息中可以携带 SDF QoS和 TAD信息。

步骤 210、如果是动态 PCC应用， PGW向 PCRF发送 IP CAN会话修改指示（Indication of IP CAN Session modification) 消息，消息中可以携带 SDF QoS和 TAD信息。

步骤 211、 PCRF执行业务控制，向 PGW返回 TP CAN会话修改确认（Ack of TP-CAN Session modification) 消息。

PCRF可以根据之前获知的属性信息执行控制操作：

如果获取的是允许访问的应用服务器信息，获知 M2M终端请求访问的应用服务器信息与获取的允许访问的应用服务器信息是否一致，如果一致，则允许 M2M终端接入；如果不一致，则拒绝 M2M终端接入。例如将 M2M终端携带的 TAD信元中的 DL Packet filter (下行数据过滤器）中的源地址或 UL Packet filter (上行数据过滤器）中的目的地址和之前获知的允许访问的应用服务器信息作比较，如果两者一致，则允许 M2M终端接入，否则拒绝接入，拒绝消息中可以携带一个原因值指示拒绝该 M2M终端接入当前业务，例如 "非法服务器信息（illegal Server information) "或 "不允许的服务器（Not Allowed Server )，，。

如果获取的是允许访问的业务信息，在允许访问应用服务器的基础上，获知 M2M 终端请求访问的业务信息与获取的允许使用的业务信息是否一致，如果一致，则允许 M2M终端接入；如果不一致，则拒绝 M2M终端接入。例如将 M2M终端携带的 SDF QoS中的 QCI或 Service ID和之前获取到的允许使用的业务信息（如 QCI或 Service ID) 作比较，如果两者都一致，则允许接入；否则拒绝接入，并且可以携带一个原因值指不，如"禁止业务 (Forbidden Service ) "或 "不允许的业务 (Not Allowed Service )，，。

如果获取的是限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息，获知 M2M终端请求承载资源修改 /分配的信息是否属于获取的限制用户发起专有承载激活、 PDP上下文激活、一次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息，如果不属于，则允许限制 M2M终端接入；如果属丁 ·，则拒绝 M2M终端接入，并且可以携带一个原因值指示，如 "不允许的激活（Not Allowed Activation)，，。

如果获取的是允许访问的应用服务器信息和允许访问的业务信息，如果终端业务请求的相关信息与所述允许访问信息的其中任意一项不一致，则拒绝所述终端的业务请求。

如果获取的是限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息，还有允许访问的应用服务器信息、允许访问的业务信息中的任 ·项或两项；可以将这些获取的信息与 M2M发起业务请求中的相关信息进行比较，一般来说，如果先利用限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息进行比较并且结果为业务请求中的信息属于限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息，则无论另外一种或两种获取的信息进行的比较结果如何，都拒绝接入。或者如果终端的业务请求的信息与允许访问的服务器信息或允许使用的业务信息至少一项不一致，拒绝所述终端的业务请求。

如果 PCRF允许接入，则在 IP CAN会话修改确认（Ack of IP-CAN Session modification) 消息中携带 PCC规则下发给 PGW; 如果不允许接入，则在 IP CAN会话修改确认（Ack of IP-CAN Session modification) 消息中携带一个原因值指示拒绝该接入当前业务，原因值的具体表现形式参见前面几种情况的描述。

步骤 212、如果在 IP CAN会话修改确认消息中指示拒绝该用户接入，贝 l」PGW通过 SGW 和移动性管理网元向 M2M终端发送承载资源修改 /分配拒绝（Bearer Resource Modification/Allocation Reject )消息，消息中可以携带一个原因值指示拒绝该 M2M 终端接入当前业务，原因值的具体表现形式参见前面几种情况的描述。

需要说明的是，上述步骤是以 PCRF进行控制举例说明但不局限于此。步骤 207移动性管理网元接收到承载资源修改 /分配请求后，也可以进行控制，具体内容与 PCRF 执行控制操作是相同的。如果移动性管理网元拒绝 M2M终端接入，则会向 M2M终端发送承载资源修改 /分配拒绝 (Bearer Resource Modification/Allocation Reject )消息，消息中可以携带一个原因值指示拒绝该 M2M终端接入当前业务，原因值的具体表现形式参见前面几种情况的描述。如果移动性管理网元允许 M2M终端接入，才执行步骤 208。

还需要说明的是，步骤 208中 SGW接收到承载资源修改 /分配请求后，也可以进行控制，具体内容与 PCRF执行控制操作是相同的。如果 SGW拒绝 M2M终端接入，则通过移动性管理网元向 M2M终端发送承载资源修改 I分配拒绝（ Bearer Resource Modification/Allocation Reject )消息，消息中可以携带一个原因值指示拒绝该 M2M 终端接入当前业务，原因值的具体表现形式参见前面几种情况的描述。如果 SGW允许 M2M 终端接入，才执行步骤 209。

还需要说明的是，步骤 209中 PGW接收到承载资源修改 /分配请求后，也可以进行控制，具体内容与 PCRF执行控制操作是相同的。如果 PGW拒绝 M2M终端接入，则通过 SGW 和移动性管理网元向 M2M终端发送承载资源修改 /分配拒绝（Bearer Resource Modification/Allocation Reject )消息，消息中可以携带一个原因值指示拒绝该 M2M 终端接入当前业务，原因值的具体表现形式参见前面几种情况的描述。如果 PGW允许 M2M 终端接入，才执行步骤 210。

上述是以 M2M终端发起承载资源修改 /分配的情况举例说明，当 M2M终端发起专有承载激活、 PDP上下文激活、一次 PDP上下文激活、或 PDN连接请求时，网络侧网元也可以执行同样的控制策略，对 M2M终端发起的业务进行限制。

从该实施例内容可以看出，通过上述技术方案，可以对 M2M终端发起的不同的业务请求进行控制，从而可以利用该业务限制机制优化网络性能，节约网络资源，增强网络安全。

实施例三：

本实施例描述的是在动态 PCC应用时， PCRF从签约数据库（SPR Subscription Profi le Repository ) 或 Group签约数据库获取关于业务控制的属性信息。

图 3是本发明实施例三的业务处理方法流程图。

流程图中显示的步骤概括而言主要包括获取信息及执行控制两大部分内容。获取信息的内容包括步骤 301到 308 , 执行控制的内容包括步骤 309到 313。

步骤 301、移动性管理网元向 SGW发送创建会话请求（Create Sess ion Request ) 消息。

步骤 302、 SGW向 PGW发送创建会话请求（Create Session Request ) 消息。

步骤 303、如果动态 PCC应用， PGW向 PCRF发送 IP CAN会话建立指示（ Indication of

IP CAN Session Establ ishment ) 消息。

步骤 304、 PCRF向 SPR数据库或 Group签约数据库所在的网元发送用户数据请求 (Profi le Request ) 消息，请求获取业务控制的属性信息。

步骤 305、 SPR数据库或 Group签约数据库所在的网元向 PCRF发送用户数据响应 (Profi le Response ) 消息，其中可以携带业务控制的属性信息。

消息中可以携带业务控制的属性信息的描述，参见前面步骤 202中的描述。

需要说明的是，也可以是 SPR数据库或 Group签约数据库所在的网元主动向 PCRF发送用户数据更新（Profile Update ) 消息，在消息中可以携带上述信息，本发明实施例对此不作限制。

步骤 306、 PCRF向 PGW发送 IP CAN会话建立确认（ Ack of IP CAN Session

Rstabli shment )，其中可以携带业务控制的属性信息。

步骤 307、 PGW向 SGW发送创建会话响应（Create Session Response ) 消息，其中可以携带业务控制的属性信息。

步骤 308、 SGW向移动性管理网元发送创建会话响应（Create Session Response ) 消息，其中可以携带业务控制的属性信息。

步骤 309—步骤 313 :参见前面实施例二步骤 207— 212的描述及实施例二中需说明部分内容的描述。

实施例四：

本实施例描述的是可以在 SGW或 PGW上预先配置一些业务控制的信息，后续 M2M终端在承载资源修改 /分配请求中， SGW或 PGW可以执行控制。

图 4是本发明实施例四的业务处理方法流程图。

步骤 401、 M2M终端向移动性管理网元发送承载资源修改 /分配请求（Bearer Resource Modificat ion/Al locat ion Reques t ) 消息，消息中携带 SDF QoS和 TAD信息，可选的，可以携带群组标识信息。

步骤 402、移动性管理网元向 SGW转发请求承载资源修改 /分配（Bearer Resource Modificat ion/Al locat ion Request ) 消息，消息中携带 SDF QoS和 TAD信息，可选的，可以携带群组标识信息。

步骤 403、 SGW向 PGW转发请求承载资源修改 /分配（Bearer Resource

Modificat ion/Al locat ion Request ) 消息，消息中携带 SDF QoS和 TAD信息，可选的，可以携带群组标识信息。

PGW中预先可以配置允许访问的应用服务器信息，如允许访问的应用服务器的 IP 地址或者 FQDN (也可以是一个 IP地址或 FQDN的列表信息）。可选的，可以配置允许使用的业务信息，该业务信息用于标识用户使用业务的属性信息，如 Service ID、或 QCI 等。可选的，还可以配置限制用户发起专有承载激活、 PDP上下文激活、二次 PDP上下文激活、资源分配 /修改、或 PDN连接请求的信息。

PGW根据预先配置的属性信息进行控制，具体可以参见实施例二步骤 211中 PCRF执行控制的操作，其原理是相同。

PGW也可以根据所述 Group ID所对应的配置上下文执行对应的控制策略，如果终端业务请求的相关信息与配置信息 ·致，则允许用户接入；如果不 ·致，则拒绝用户接入。

步骤 404、如果 PGW允许 M2M终端接入，并且如果是动态 PCC应用， PGW向 PCRF发送 IP CAN会话修改指示（Indication of IP CAN Session modification) 消息，消息中携带 SDF QoS和 TAD信息。

步骤 405、 PCRF向 PGW发送 IP CAN会话修改确认（ Ack of IP-CAN Session modification) 消息。

需要说明的是，上述步骤是以 PGW根据预配置信息进行控制举例说明但不局限于此。步骤 402中 SGW接收到承载资源修改 /分配请求后，也可以根据预配置信息进行控制，具体内容与 PGW执行控制操作是相同的。如果 SGW拒绝 M2M终端接入，则会通过移动性管理网元向 M2M终端发送承载资源修改 I分配拒绝（ Bearer Resource Modification/Allocation Reject )消息，消息中可以携带一个原因值指示拒绝该 M2M 终端接入当前业务，原因值的具体表现形式参见实施例二几种情况的描述。如果 SGW 允许 M2M终端接入，才执行步骤 403。

从该实施例内容可以看出，通过上述技术方案， SGW或 PGW根据预配置信息可以对 M2M终端发起的不同业务请求对应的业务进行控制，从而可以利用该业务限制机制优化网络性能，节约网络资源，增强网络安全。

实施例五：

本实施例描述的是当 M2M终端发起专有承载建立时，如果动态 PCC应用，网络侧网元可以执行控制。

图 5是本发明实施例五的业务处理方法流程图。

步骤 501、 PCRF获取业务控制的属性信息。

PCRF可以根据实施例二或实施例三中描述的获取方式获取业务控制的属性信息，此处不再赘述。

步骤 502、如果动态 PCC应用，当 M2M终端发起专有承载建立时，发起业务请求与应用实体（AF, Appl icat ion Funct ion ) 交互， AF再向 PCRF发送应用 /服务通知

(Appl icat ion/service info ) 消息，消息中可以携带请求访问的应用服务器信息，可选的携带请求使用的业务信息。

步骤 503、 PCRF向 AF返冋确认（Acknowledge ) 消息。

需要说明的是，该步骤中 PCRF可以根据获知的业务控制的属性信息，执行如实施例二或实施例三中描述的控制过程，此处不再赘述。如果不执行控制，则继续下一步骤 504。

步骤 504、 PCRF向 PGW发送策略和计费规则规定（Pol icy and Charging Rules Provi s ion ) 消息，消息中可以携带业务控制的属性信息。

需要说明的是， PGW可以根据实施例二、实施例三、或实施例四中描述的获取方式获取业务控制的属性信息，此处不再赘述。

PGW获取业务控制的属性信息后，可以根据业务控制的属性信息，执行如实施例二、实施例三、或实施例四中描述的控制过程，此处不再赘述。如果不执行控制，向移动性管理网元发送创建专有承载请求 /更新承载请求消息。

步骤 505、 PGW向 SGW发送策略和计费规则规定（Pol icy and Charging Rules

Provi s ion ) 消息，消息中可以携带业务控制的属性信息。

需要说明的是， SGW可以根据实施例二、实施例三、或实施例四中描述的获取方式获取业务控制的属性信息，此处不再赘述。

SGW获取业务控制的属性信息后，可以根据业务控制的属性信息，执行如实施例二、实施例三、或实施例四中描述的控制过程，此处不再赘述。如果不执行控制，向移动性管理网元发送创建专有承载请求 /更新承载请求消息。

步骤 506、 SGW向移动性管理网元发送创建专有承载请求 /更新承载请求消息，其中可以携带业务控制的属性信息。

步骤 507、移动性管理网元进行业务控制。

需要说明的是，移动性管理网元可以根据实施例二或实施例三中描述的获取方式获取业务控制的属性信息，此处不再赘述。

移动性管理网元可以根据获知的业务控制的属性信息，执行如实施例二、或实施例三中描述的控制过程，此处不再赘述。

从该实施例内容可以看出，通过上述技术方案，可以对 M2M终端发起的不同业务请求对应的业务进行控制，从而可以利用该业务限制机制优化网络性能，节约网络资源，增强网络安全。实施例六：

木实施例描述的是当 M2M终端发起缺省承载建立时，可以为缺省承载分配一个数据过滤器（packet filter)对 M2M终端请求访问的业务进行限制，后续 M2M终端发起业务请求时，分配的数据过滤器（packet filter) 可以针对 M2M终端发起的业务请求进行控制。

图 6是本发明实施例六的业务处理方法流程图。

步骤 601、 M2M终端发起建立缺省承载，向移动性管理网元发起附着 /PDN连接请求 (Attach Request/PDN Connectivity Request ) 消息，消息中可以携带请求接入的应用服务器信息，可选的还可以携带请求使用的业务信息，可选的还可以携带 M2M终端所属的群组标识（如， Group ID)。

移动性管理网元根据获知的业务控制的属性信息进行控制，具体可以参见实施例二步骤 211中 PCRF执行控制的操作，其原理是相同。

步骤 602、移动性管理网元通过 SGW向 PGW发送创建会话请求（Create Session Request )消息，消息中可以携带请求接入的应用服务器信息，可选的还可以携带请求使用的业务信息，可选的还可以携带 M2M终端所属的群组标识信息。 SGW或 PGW可以根据所述 Group ID所对应的配置上下文执行对应的控制策略，如果终端业务请求的相关信息与配置信息一致，则允许用户接入；如果不一致，则拒绝用户接入。

SGW或 PGW根据获取的属性信息进行控制，具体可以参见实施例二步骤 211中 PCRF 执行控制的操作，其原理是相同。

步骤 603、如果没有动态 PCC应用，即静态 PCC应用时，如果 PGW允许终端接入当前访问的业务， PGW可以根据 M2M终端的 IP地址和获取到的允许访问的应用服务器的地址构造出数据包过滤器 packet filter, 即为缺省承载分配 ·个相应的分组过滤器 packet f ilter。

步骤 604、 PGW向移动性管理网元发送创建会话响应（Create Session Response ) 消息，消息中可以携带为缺省承载分配的 packet filter。

移动性管理网元获取分配的 packet filter, 那么后续当终端向网络发送数据或者网络向终端发送数据时，移动性管理网元可以通过 packet filter对业务请求进行控制，该控制主要是由 packet filter根据 M2M终端的 IP地址和获取到的允许访问的应用服务器的地址对请求进行控制，如果不一致，则拒绝用户接入；如果一致，则允许用户接入。

步骤 605、如果动态 PCC应用， PGW向 PCRF发送 IP CAN Session建立指示请求消息，消息中可以携带 M2M终端的 IP地址，可选的可以携带允许访问的应用服务器信息。步骤 606、 PCRF根据获取的属性信息进行控制，具体可以参见实施例—步骤 211中 PCRF执行控制的操作，其原理是相同。如果 PCRF允许接入， PCRF根据获取到的 M2M终端的 IP地址和允许访问的 M2M应用服务器地址信息生成业务数据流模板 Service date flow template。

步骤 607、 PCRF向 PGW返回 IP CAN会话修改确认消息，消息中可以携带为缺省承载分配的业务数据流模板 Service date flow template。

步骤 608、 PGW向移动性管理网元发送创建会话响应消息，消息中可以携带为缺省承载分酉己的 Service date flow template。

移动性管理网元获取分配的 Service date flow template, 那么后续当终端向网络发送数据或者网络向终端发送数据时，移动性管理网元可以通过 Service date flow template对业务请求进行控制，该控制主要是由 Service date flow template根据 M2M 终端的 IP地址和获取到的允许访问的应用服务器的地址对请求进行控制，如果不 ·致，则拒绝用户接入；如果一致，则允许用户接入。

本发明实施例在静态 PCC应用时为缺省承载分配一个相应的 packet filter, 在动态 PCC应用时分配 '个561^ 6 date flow template , 目的都是为了从缺省承载的数据包过滤器粒度或业务数据流模板粒度进行限制控制，后续终端发起的请求可以根据该数据包过滤器或业务数据流模板进行限制控制，如果不一致，则拒绝用户接入；如果 -致，则允许用户接入。

上述内容详细介绍了本发明实施例的业务处理方法，相应的，本发明实施例提供一种通信设备和通信系统。

图 7是本发明实施例的通信设备结构示意图。

如图 7所示，通信设备包括：信息获知单元 71、处理单元 72。

信息获知单元 71 , 用于在机器到机器 M2M应用的网络中，获知关于业务控制的属性信息，所述关于业务控制的属性信息包括允许访问的服务器信息和 /或限制操作的承载及资源信息；

处理单元 72, 于获知终端发送的业务请求后，根据获知的所述业务控制的属性信息对所述的业务请求进行控制。

处理单元 72包括：第 '比较单元 721、第 '控制单元 722。

第一比较单元 721 , 用于在所述关于业务控制的属性信息为允许访问的服务器信息时，将接收的业务请求中的信息与允许访问的服务器信息进行比较；第一控制单元 722 , 用于在所述业务请求的信息与所述允许访问的服务器信息不一致时，拒绝所述终端的业务请求。

所述第一比较单元 721在所述关于业务控制的属性信息还包括允许使用的业务信息时，将接收的业务请求的信息与所述允许使用的业务信息进行比较；所述第一控制单元 722在所述业务请求的信息与所述允许使用的业务信息不一致时，拒绝所述终端的业务请求

或者，处理单元 72包括：第二比较单元 723、第二控制单元 724。

第二比较单元 723 , 用于在所述关于业务控制的属性信息为限制操作的承载及资源信息时，将接收的业务请求的信息与限制操作的承载及资源信息进行比较；

第二控制单元 724, 用于在所述业务请求的信息属于限制操作的承载及资源信息时，拒绝所述终端的业务请求。

或者，处理单元 72包括：第三比较单元 725、第三控制单元 726。

第三比较单元 725 , 用于在所述关于业务控制的属性信息包括限制操作的承载及资源信息，以及包括允许访问的服务器信息时，将接收的业务请求的信息与所述业务控制的属性信息进行比较；

第二控制单元 726, 用于在所述业务请求的信息属于限制操作的承载及资源信息时，拒绝所述终端的业务请求。

其中，通信设备可以为由移动性管理网元、分组数据网络网关 PGW或策略和计费执行功能实体 PCRF。

图 8是本发明实施例的通信系统结构示意图。

如图 8所示，通信系统包括：终端 81、网络侧设备 82。

终端 81 , 用于在机器到机器 M2M应用的网络中，发送业务请求；

网络侧设备 82, 用于获知关于业务控制的属性信息，所述关于业务控制的属性信息包括允许访问的服务器信息和 /或限制操作的承载及资源信息，在获知所述终端 81 发送的业务请求后，根据获知的所述关于业务控制的属性信息对所述的业务请求进行控制。

所述网络侧设备 82具体用于获知的所述业务控制的属性信息为允许访问的服务器信息时，如果终端 81的业务请求的信息与所述允许访问的服务器信息不一致，则拒绝所述终端 81的业务请求；

或者，

所述网络侧设备 82具体用于获知的所述关于业务控制的属性信息为限制操作的承载及资源信息时，如果终端 81的业务请求的信息属于所述限制操作的承载及资源信息，则拒绝所述终端 81的业务请求；

或者，

所述网络侧设备 82具体用于获知的所述关于业务控制的属性信息包括限制操作的承载及资源信息，以及包括允许访问的服务器信息时；若终端 81业务请求的信息属于限制操作的承载及资源信息，拒绝所述终端 81的业务请求。

其中，网络侧设备 82为由移动性管理网元、服务网关 SGW、分组数据网络网关 PGW 或策略和计费执行功能实体 PCRF。

网络侧设备 82可以具有上述图 7所示的结构，具体参见前面描述。

需要说明的是，上述装置和系统内的各单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

综上所述，本发明实施例技术方案是获知了关于业务控制的属性信息，所述关于业务控制的属性信息包括允许访问的服务器信息和 /或限制操作的承载及资源信息，因此在获知终端发送的业务请求后，就可以根据所述关于业务控制的属性信息对所述业务请求对应的业务进行控制，从而实现了对 M2M终端发起的业务进行控制，提高了网络的安全性。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器（ROM, Read Only Memory ), 随机存取存储器（RAM, Random Access Memory ) ^ 磁盘或光盘等。

以上对本发明实施例所提供的一种业务处理方法及通信设备进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种业务处理方法，其特征在于，包括：

2、根据权利要求 1所述的业务处理方法，其特征在于：

所述获知关于业务控制的属性信息包括：从服务网关 SGW配置信息、分组数据网络网关 PGW配置信息、归属用户服务器 HSS数据库、签约数据库 SPR或群组签约数据库中获知关于业务控制的属性信息。

3、根据权利耍求 1或 2所述的业务处理方法，其特征在于：

所述关于业务控制的属性信息为允许访 1 的服务器信息时；

所述根据获知的所述业务控制的属性信息对所述的业务请求进行控制包括：如果终端的业务请求的信息与所述允许访问的服务器信息不一致，则拒绝所述终端的业务请求。

4、根据权利要求 3所述的业务处理方法，其特征在于：

所述关于业务控制的属性信息为允许访问的服务器信息时，所述关于业务控制的属性信息还包括允许使用的业务信息；

如果终端的业务请求的信息与所述允许使用的业务信息不一致，则拒绝所述终端的业务请求。

5、根据权利要求 1或 2所述的业务处理方法，其特征在于：

6、根据权利要求 1或 2所述的业务处理方法，其特征在于：

7、根据权利要求 1或 2所述的业务处理方法，其特征在于：

所述获知关于业务控制的属性信息具体为：

移动性管理网元从属用户服务器 HSS数据库或群组签约数据库获取所述关于业务控制的属性信息；或者，

移动性管理网元接收策略和计费执行功能实体 PCRF发送的由所述 PCRRF从签约数据库 SPR或群组签约数据库获取的所述关于业务控制的属性信息。

8、根据权利要求 1或 2所述的业务处理方法，其特征在于：

所述获知关于业务控制的属性信息具体为：

服务网关 SGW接收移动性管理网元发送的由所述移动性管理网元从归属用户服务器 HSS数据库或群组签约数据库获取的所述关于业务控制的属性信息；或者，

服务网关 SGW接收策略和计费执行功能实体 PCRF发送的由所述 PCRRF从签约数据库 SPR或群组签约数据库获取的所述关于业务控制的属性信息；或者，

服务网关 SGW获取自身配置的关于业务控制的属性信息。

9、根据权利要求 1或 2所述的业务处理方法，其特征在于：

所述获知关于业务控制的属性信息具体为- 分组数据网络网关 PGW接收移动性管理网元发送的由所述移动性管理网元从归属用户服务器 HSS数据库或群组签约数据库获取的所述关于业务控制的属性信息；或者，分组数据网络网关 PGW接收策略和计费执行功能实体 PCRF发送的由所述 PCRRF从签约数据库 SPR或群组签约数据库获取的所述关于业务控制的属性信息；或者，

分组数据网络网关 PGW获取自身配置的关于业务控制的属性信息。

10、根据权利要求 1或 2所述的业务处理方法，其特征在于：

所述获知关于业务控制的属性信息具体为：

策略和计费执行功能实体 PCRF从签约数据库 SPR或群组签约数据库获取关于业务控制的属性信息；或者，

策略和计费执行功能实体 PCRF接收移动性管理网元发送的由所述移动性管理网元从归属用户服务器 HSS数据库或群组签约数据库获取的所述关于业务控制的属性信

11、根据权利要求 1或 2所述的业务处理方法，其特征在于：

所述终端发送的业务请求包括：承载资源修改 /分配请求、专有承载激活请求、分组数据协议 PDP上下文激活请求、二次分组数据协议 PDP上下文激活请求、或附着 / 分组数据网络 PDN连接请求。

12、一种通信设备，其特征在于，包括：

13、根据权利要求 12所述的通信设备，其特征在于，所述处理单元包括：第一比较单元，用于在所述关于业务控制的属性信息为允许访问的服务器信息时，将接收的业务请求的信息与所述允许访问的服务器信息进行比较，；

第 ·控制单元，用于在所述业务请求的信息与所述允许访问的服务器信息不 -致时，拒绝所述终端的业务请求。

14、根据权利要求 13所述的通信设备，其特征在于：

所述第一比较单元在所述关于业务控制的属性信息还包括允许使用的业务信息时，将接收的业务请求的信息与所述允许使用的业务信息进行比较；

所述第一控制单元在所述业务请求的信息与所述允许使用的业务信息不一致时，拒绝所述终端的业务请求。

15、根据权利要求 12所述的通信设备，其特征在于，所述处理单元包括：第二比较单元，用于在所述关于业务控制的属性信息为限制操作的承载及资源信息时，将接收的业务请求的信息与所述限制操作的承载及资源信息进行比较；

第二控制单元，用于在所述业务请求的信息属于限制操作的承载及资源信息时，拒绝所述终端的业务请求。

16、根据权利要求 12所述的通信设备，其特征在于，所述处理单兀包括：第三比较单元，用于，在所述关于业务控制的属性信息包括限制操作的承载及资源信息，以及包括允许访问的服务器信息时，将接收的业务请求的信息与所述业务控制的属性信息进行比较；第三控制单元，用于在所述业务请求的信息属于限制操作的承载及资源信息时, 拒绝所述终端的业务请求。