WO2014117321A1

WO2014117321A1 - 访问控制方法、装置及系统

Info

Publication number: WO2014117321A1
Application number: PCT/CN2013/071073
Authority: WO
Inventors: 韩文勇; 刘清顺; 孔涛; 刁文波
Original assignee: 华为技术有限公司
Priority date: 2013-01-29
Filing date: 2013-01-29
Publication date: 2014-08-07
Also published as: CN104094618B; CN104094618A

Abstract

本发明实施例提供一种访问控制方法、装置及系统，该访问控制方法接收UE发送的访问策略控制请求，其中，该访问策略控制请求包含用户所需的策略控制信息，并根据该策略控制信息，生成访问控制策略，向策略存储网元发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

Description

访问控制方法、装置及系统

技术领域本发明实施例涉及通信技术领域，尤其涉及一种访问控制方法、装置及系统。背景技术

随着网络技术的发展，越来越多的人在使用移动互联网，同时人们对移动流量的要求也越来越高。因此，一方面需要通过提升移动宽带的网络容量来满足快速增长的数据业务需求，另一方面需要通过精细化流量经营，发挥网络每比特的最大效率。

在现有技术中，第三代合作伙伴计划（The 3rd Generation Partnership Project, 以下简称 3GPP )针对流量精细化运营的要求设置了策略控制和计费 ( Policy Control and Charging, 以下简称 PCC )架构，从而运营商可以根据现有网络的状况，设置不同的策略控制满足不同用户访问移动互联网的需求，例如，运营商可以根据一组用户当前的网络状况，设置一个基于时间、地点和应用等的策略控制，以达到对网络流量精细化运营的目的。

然而，由于不同用户访问移动互联网的需求不同，从而造成不同用户需要不同的上网策略控制，而现有技术是通过运营商根据运营商的角度设置策略控制，从而不能满足用户的需求，进而降低了策略控制的灵活性。发明内容

本发明实施例提供一种访问控制方法、装置及系统，以解决不同用户的需求，并提高策略控制的灵活性。

第一方面，本发明实施例提供一种访问控制方法，包括：

接收用户设备 UE发送的访问策略控制请求，所述访问策略控制请求包含用户所需的策略控制信息；

根据所述策略控制信息，生成访问控制策略；

向策略存储网元发送所述访问控制策略，以使控制策略执行实体与所述策略存储网元交互获取所述访问控制策略。

在第一种可能的实现方式中，所述根据所述策略控制信息，生成访问控制策略，包括：

根据所述策略控制信息，从预先存储的访问控制策略模板中选择访问控制策略模板，根据选择的访问控制策略模板生成访问控制策略。

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述预先存储的访问控制策略模板 , 包括如下至少一个控制策略因素：

时间段、时长、位置、网站类型、应用程序类型。

结合第一方面至第一方面的第二种可能的任一实现方式中，在第三种可能的实现方式中，所述向策略存储网元发送所述访问控制策略，包括：

向签约数据保存 SPR发送访问控制策略；或者，

向 Dimater代理 DPA发送访问控制策略；或者，

向规则服务器 rules Server发送访问控制策略。

结合第一方面的第三种可能的实现方式，在第四种可能的实现方式中，所述向规则服务器 rules Server发送访问控制策略之后，还包括：

向所述 SPR发送通知消息，用以通知用户已配置所述访问控制策略。第二方面，本发明实施例提供一种访问控制方法，包括：

策略存储网元接收门户入口服务器 Portal Server发送的访问控制策略，所述访问控制策略为所述 Portal Server根据用户所需的策略控制信息生成的；

策略存储网元与策略执行实体交互，以使所述控制策略执行实体获取所述访问控制策略并对用户的访问过程进行策略控制。

在第一种可能的实现方式中，所述策略存储网元接收 Portal Server发送的访问控制策略，包括：

签约数据保存 SPR接收 Portal Server发送的访问控制策略；所述策略存储网元与策略执行实体交互，以使所述控制策略执行实体获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

所述 SPR接收策略和计费规则定义功能 PCRF发送的用户签约信息请求消息；

所述 SPR向所述 PCRF发送包含所述访问控制策略的用户签约信息响应消息，以使所述 PCRF将所述访问控制策略发送给策略和计费规则执行功能 PCEF对用户的访问过程进行策略控制。

在第二种可能的实现方式中，所述策略存储网元接收 Portal Server发送的访问控制策略，包括：

Dimater代理 DPA接收 Portal Server发送的访问控制策略；

所述策略存储网元与策略执行实体交互，以使所述控制策略执行实体获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

所述 DPA接收 PCEF发送的控制策略请求消息；

所述 DPA从 PCRF获取用户签约的控制策略；

所述 DPA向所述 PCEF发送包含所述访问控制策略和所述用户签约的控制策略的控制策略响应消息，以使所述 PCEF根据所述访问控制策略和所述用户签约的控制策略对用户的访问过程进行策略控制。

在第三种可能的实现方式中，所述策略存储网元接收 Portal Server发送的访问控制策略，包括：

规则服务器 Rules Server接收 Portal Server发送的访问控制策略；所述策略存储网元与策略执行实体交互，以使所述控制策略执行实体获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

所述 Rules Server接收 PCEF发送的用户设备 UE上网通知消息；所述 Rules Server向所述 PCEF发送包含所述访问控制策略的 UE上网响应消息，以使所述 PCEF根据所述访问控制策略对用户的访问过程进行策略控制。

第三方面，本发明实施例提供一种访问控制方法，包括：

计费规则执行功能 PCEF接收用户设备 UE发送的上网请求消息；所述 PCEF与所述策略存储网元交互，以获取所述访问控制策略并对用户的访问过程进行策略控制。

在第一种可能的实现方式中，所述 PCEF与所述策略存储网元交互，以获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

所述 PCEF通过策略和计费规则定义功能 PCRF向签约数据保存 SPR 发送用户签约信息请求消息；

所述 PCEF接收所述 SPR通过 PCRF发送的包含所述访问控制策略的用户签约信息响应消息，以获取所述访问控制策略对用户的访问过程进行策略控制。

在第二种可能的实现方式中，所述 PCEF与所述策略存储网元交互，以获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

所述 PCEF向 Dimater代理 DPA发送控制策略请求消息；

所述 PCEF接收所述 DPA发送的包含所述访问控制策略和所述用户签约的控制策略的控制策略响应消息，以获取所述访问控制策略和所述用户签约的控制策略对用户的访问过程进行策略控制。

在第三种可能的实现方式中，所述 PCEF与所述策略存储网元交互，以获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

所述 PCEF向规则服务器 Rules Server发送用户设备 UE上网通知消息；

所述 PCEF接收所述规则服务器发送的包含所述访问控制策略的 UE 上网通知响应消息，以根据所述访问控制策略对用户的访问过程进行策略控制。

第四方面，本发明实施例提供一种访问控制方法，包括：

策略和计费规则定义功能 PCRF接收计费规则执行功能 PCEF发送的控制策略请求消息；

所述 PCRF向所述 PCEF发送包括访问控制策略的控制策略响应消息，所述访问控制策略为根据用户所需的策略控制信息生成的。

在第一种可能的实现方式中，所述策略和计费规则定义功能 PCRF接收计费规则执行功能 PCEF发送的控制策略请求消息之后，包括：

所述 PCRF向签约数据保存 SPR发送用户签约信息请求消息；所述 PCRF接收所述 SPR发送的包含所述访问控制策略的用户签约信息响应消息，以使所述 PCRF将所述访问控制策略发送给所述 PCEF对用户的访问过程进行策略控制。

在第二种可能的实现方式中，所述策略和计费规则定义功能 PCRF接收计费规则执行功能 PCEF发送的控制策略请求消息，包括：

所述 PCRF接收所述 PCEF通过 Dimater代理 DPA发送的控制策略请求消息；所述 PCRF向所述 DPA发送包含用户签约的控制策略的控制策略响应消息，以使所述 DPA将所述访问控制策略发送给所述 PCEF对用户的访问过程进行策略控制。

第五方面，本发明实施例提供一种门户入口服务器 Portal Server, 包括：接收模块，用于接收用户设备 UE发送的访问策略控制请求，所述访问策略控制请求包含用户所需的策略控制信息；

处理模块，用于根据所述策略控制信息，生成访问控制策略；

发送模块，用于向策略存储网元发送所述访问控制策略，以使控制策略执行实体与所述策略存储网元交互获取所述访问控制策略。

在第一种可能的实现方式中，所述处理模块，具体用于根据所述策略控制信息，从预先存储的访问控制策略模板中选择访问控制策略模板，根据选择的访问控制策略模板生成访问控制策略。

结合第五方面的第一种可能的实现方式，在第二种可能的实现方式中，所述预先存储的访问控制策略模板 , 包括如下至少一个控制策略因素：

时间段、时长、位置、网站类型、应用程序类型。

结合第五方面至第一方面的第二种可能的任一实现方式中，在第三种可能的实现方式中，所述发送模块，

具体用于向签约数据保存 SPR发送访问控制策略；或者，

具体用于向 Dimater代理 DPA发送访问控制策略；或者，

具体用于向规则服务器 rules Server发送访问控制策略。

结合第五方面的第三种可能的实现方式，在第四种可能的实现方式中，所述发送模块，还用于向所述 SPR发送通知消息，用以通知用户已配置所述访问控制策略

第六方面，本发明实施例提供一种策略存储网元，包括：

接收模块，用于接收门户入口服务器 Portal Server发送的访问控制策略，所述访问控制策略为所述 Portal Server根据用户所需的策略控制信息生成的；

处理模块，用于策略存储网元与策略执行实体交互，以使所述控制策略执行实体获取所述访问控制策略并对用户的访问过程进行策略控制。

在第一种可能的实现方式中，所述策略存储网元为 SPR, 所述接收模块，具体用于接收 Portal Server发送的访问控制策略，以及接收策略和计费规则定义功能 PCRF发送的用户签约信息请求消息；所述处理模块，具体用于向所述 PCRF发送包含所述访问控制策略的用户签约信息响应消息，以使所述 PCRF将所述访问控制策略发送给策略和计费规则执行功能 PCEF对用户的访问过程进行策略控制。

在第二种可能的实现方式中，所述策略存储网元为 Dimater代理 DPA, 所述接收模块，具体用于接收 Portal Server发送的访问控制策略，并在接收 Portal Server发送的访问控制策略之后，接收 PCEF发送的控制策略请求消息，以及从 PCRF获取用户签约的控制策略；

所述处理模块，具体用于向所述 PCEF发送包含所述访问控制策略和所述用户签约的控制策略的控制策略响应消息，以使所述 PCEF根据所述访问控制策略和所述用户签约的控制策略对用户的访问过程进行策略控制。

在第三种可能的实现方式中，所述策略存储网元为规则服务器 Rules Server,

所述接收模块，具体用于接收 Portal Server发送的访问控制策略，并在接收 Portal Server发送的访问控制策略之后，接收 PCEF发送的用户设备 UE上网通知消息；

所述处理模块，具体用于向所述 PCEF发送包含所述访问控制策略的 UE上网响应消息，以使所述 PCEF根据所述访问控制策略对用户的访问过程进行策略控制。

第七方面，本发明实施例提供一种计费规则执行功能 PCEF, 包括：接收模块，用于接收用户设备 UE发送的上网请求消息；

处理模块，用于与所述策略存储网元交互，以获取所述访问控制策略并对用户的访问过程进行策略控制。

在第一种可能的实现方式中，还包括：发送模块，

所述发送模块，用于通过策略和计费规则定义功能 PCRF向签约数据保存 SPR发送用户签约信息请求消息；

所述接收模块，具体用于接收所述 SPR通过 PCRF发送的包含所述访问控制策略的用户签约信息响应消息，以获取所述访问控制策略并对用户的访问过程进行策略控制。

在第二种可能的实现方式中，还包括：发送模块，

所述发送模块，用于向 Dimater代理 DPA发送控制策略请求消息；所述接收模块，具体用于接收所述 DPA发送的包含所述访问控制策略和所述用户签约的控制策略的控制策略响应消息，以获取所述访问控制策略和所述用户签约的控制策略并对用户的访问过程进行策略控制。

在第三种可能的实现方式中，还包括：发送模块，

所述发送模块，用于向规则服务器 Rules Server发送用户设备 UE上网通知消息；

所述接收模块，具体用于接收所述规则服务器发送的包含所述访问控制策略的 UE上网通知和所述用户签约信息的控制策略响应消息，以根据所述访问控制策略对用户的访问过程进行策略控制。

第八方面，本发明实施例提供一种策略和计费规则定义功能 PCRF, 包括：

接收模块，用于接收计费规则执行功能 PCEF发送的控制策略请求消息；

发送模块，用于向所述 PCEF发送包括访问控制策略的控制策略响应消息，所述访问控制策略为根据用户所需的策略控制信息生成的。

在第一种可能的实现方式中，所述发送模块，具体用于向签约数据保存 SPR发送用户签约信息请求消息；

所述接收模块，具体用于接收所述 SPR发送的包含所述访问控制策略的用户签约信息响应消息，以使所述 PCRF将所述访问控制策略发送给所述 PCEF对用户的访问过程进行策略控制。

在第二种可能的实现方式中，所述接收模块，具体用于接收 Dimater 代理 DPA发送的控制策略请求消息；

所述发送模块，具体用于向所述 DPA发送包含用户签约的控制策略的控制策略响应消息，以使所述 DPA 将所述访问控制策略发送给所述 PCEF对用户的访问过程进行策略控制。

第九方面，本发明实施例提供一种门户入口服务器 Portal Server, 包括：处理器和存储器，所述存储器存储执行指令，当所述门户入口服务器运行时，所述处理器与所述存储器之间通信，所述处理器执行所述执行指令使得所述集中控制器执行如上述第一方面至第一方面的第四种可能的实现方式中的任一的方法。

第十方面，本发明实施例提供一种策略存储网元，包括：处理器和存储器，所述存储器存储执行指令，当所述策略存储网元运行时，所述处理器与所述存储器之间通信，所述处理器执行所述执行指令使得所述集中控制器执行如上述第二方面至第一方面的第三种可能的实现方式中的任一的方法。

第十一方面，本发明实施例提供一种计费规则执行功能 PCEF, 包括：处理器和存储器，所述存储器存储执行指令，当所述 PCEF运行时，所述处理器与所述存储器之间通信，所述处理器执行所述执行指令使得所述集中控制器执行如上述第三方面至第一方面的第三种可能的实现方式中的任一的方法。

第十二方面，本发明实施例提供一种策略和计费规则定义功能 PCRF, 包括：处理器和存储器，所述存储器存储执行指令，当所述 PCRF运行时，所述处理器与所述存储器之间通信，所述处理器执行所述执行指令使得所述集中控制器执行如上述第四方面至第一方面的第三种可能的实现方式中的任一的方法。

第十三方面，本发明实施例提供一种访问控制系统，包括：如上述第五方面至第五方面的第三种可能的实现方式中的任一的门户入口服务器 Portal Server, 如上述第六方面或第六方面的第一种可能的策略存储网元、如上述第七方面或第七方面的第一种可能的计费规则执行功能 PCEF 和如上述第八方面或第八方面的第一种可能的策略和计费规则定义功能 PCRF。

第十四方面，本发明实施例提供一种访问控制系统，包括：如上述第五方面至第五方面的第三种可能的实现方式中的任一的门户入口服务器 Portal Server, 如上述第六方面或第六方面的第二种可能的的策略存储网元、如上述第七方面或第七方面的第二种可能的计费规则执行功能 PCEF 和如上述第八方面或第八方面的第二种可能的策略和计费规则定义功能 PCRF。

第十五方面，本发明实施例提供一种访问控制系统，包括：如上述第五方面至第五方面的第三种可能的实现方式中的任一的门户入口服务器 Portal Server, 如上述第六方面或第六方面的第三种可能的的策略存储网元和如上述第七方面或第七方面的第三种可能的计费规则执行功能 PCEF 和策略和计费规则定义功能 PCRF。

第十六方面，本发明实施例提供一种访问控制系统，包括：如上述第五方面至第五方面的第四种可能的实现方式中的任一的门户入口服务器 Portal Server, 如上述第六方面或第六方面的第三种可能的策略存储网元和如上述第七方面或第七方面的第三种可能的计费规则执行功能 PCEF。

本发明实施例提供的访问控制方法、装置及系统，通过接收 UE发送的访问策略控制请求，其中，该访问策略控制请求包含用户所需的策略控制信息，接着，根据该策略控制信息，生成访问控制策略，并向策略存储网元发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。附图说明

实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明一实施例访问控制方法的流程示意图；

图 2为本发明二实施例访问控制方法的流程示意图；

图 3为本发明三实施例访问控制方法的流程示意图；

图 4为本发明四实施例访问控制方法的流程示意图；

图 5为本发明五实施例访问控制方法的流程示意图；

图 6为本发明六实施例访问控制方法的流程示意图；

图 7为本发明七实施例访问控制方法的流程示意图；

图 8为本发明八实施例访问控制方法的流程示意图；

图 9为本发明门户入口服务器实施例一的结构示意图；

图 10为本发明策略存储网元实施例一的结构示意图；图 11为本发明策略和计费规则执行功能实施例一的结构示意图；图 12为本发明策略和计费规则定义功能实施例一的结构示意图；图 13为本发明门户入口服务器实施例二的结构示意图；

图 14为本发明策略存储网元实施例二的结构示意图；

图 15为本发明策略和计费规则执行功能实施例二的结构示意图；图 16为本发明策略和计费规则定义功能实施例二的结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1 为本发明一实施例访问控制方法的流程示意图。如图 1所示，该访问控制方法包括：

步骤 101、门户入口服务器（Portal Server )接收用户设备 UE发送的访问策略控制请求，其中，该访问策略控制请求包含用户所需的策略控制信息。

在本实施例中，用户需要自己配置上网的策略控制信息时，可以通过用户设备（ User Equipment , 以下简称 UE ) 向门户入口服务器发送访问策略控制请求，用以进行策略控制信息的配置，其中， UE可以是手机、智能终端，多媒体设备或是流媒体设备等终端设备。根据 UE可以为不同的终端设备， UE 进入门户服务器的方式可以包括：通过手机终端进入与门户入口服务器相连的网页，也可以通过电脑进入与门户入口服务器相连的网页。因此，门户入口服务器可以接收 UE发送的访问策略控制请求，其中，该访问策略控制请求可以包含用户所需的策略控制信息。

步骤 102、门户入口服务器根据该策略控制信息，生成访问控制策略。具体的，门户入口服务器中可以预先存储有访问控制策略模板，在门户入口服务器接收 UE发送的访问策略控制请求之后，门户入口服务器可以根据该访问策略控制请求中包含的用户所需的策略控制信息，从预先存储的访问控制策略模板中选择访问控制策略模板，并根据选择的访问控制策略模板生成访问控制策略。

需要说明的是，预先存储的访问控制策略模板可以包括如下至少一个控制策略因素：

时间段、时长、位置、网站类型、应用程序类型。

举例来说，本实施例中，访问控制策略模板可以如表 1所示。

序号策略分类规则组合模板

1.1 时长，时间基于时间段策略限制用户不能在某时间段内上网

1.2 段和位置基于时长策略限制用户每天只能上网多少分钟

1.3 限制基于位置策略限制用户不能在某个地方上网

1.4 基于时间段和位置组合用户不能在某时间段内在某策略限制个地方上网

1.5 基于时长和位置组合策用户只能在某个地方上网多略限制少分钟

2.1 网站类型基于网站类别过滤用户不能访问某些某类网站

2.2 及时长，时基于时间段内访问网站用户不能在某时间段内访问间段和位类别过滤某类网站

2.3 置组合过基于时长限制访问网站用户每天只能访问某类网站滤类别多少分钟

2.4 基于位置限制访问网站用户不能在某个地方访问某类别类网站

2.5 基于时间段和位置组合用户不能在某时间段内在某访问网站类别过滤个地方访问某类网站

2.6 基于时长和位置组合限用户每天只能在某个地方访制访问网站类别问某些网站多少分钟

3.1 应用类型基于应用限制用户不能访问某些应用（比如即时长，时 IM类）

3.2 基于时间段限制访问应用户不能在某时间段访问某间段和位

用些应用

3.3 置限制基于时长限制访问应用用户每天只能访问某些应用多少分钟 3.4 基于位置限制访问应用用户不能在某个地方使用某些应用

3.5 基于时间段和位置组合用户不能在某时间段内在某限制使用应用个地方使用某些应用

3.6 基于时长和位置组合限用户每天只能在某个地方使制使用应用用某些应用多少分钟

在本实施例中，在表 1所示的模板中，一共为用户配置了 3大类 17小类的模板，其中，每一个控制策略因素可以对应多个实例，而且，每个用户可以选择或不选择某个模板，并对各个因素对应的实例进行配置。

步骤 103、门户入口服务器向策略存储网元发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。

在本实施例中，门户入口服务器向策略存储网元发送访问控制策略具体可以包括：

向签约数据保存 SPR发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。或者，

向 Dimater代理 DPA发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。或者，

向规则服务器 Rules Server发送访问控制策略，并向 SPR发送通知消息，用以通知用户已配置所述访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。或者，

向规则服务器发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。

本实施例提供的访问控制方法，通过接收 UE发送的访问策略控制请求，其中，该访问策略控制请求包含用户所需的策略控制信息，接着，根据该策略控制信息，生成访问控制策略，并向策略存储网元发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

图 2为本发明二实施例访问控制方法的流程示意图。如图 2所示，本实施例可以有至少 4种适用场景：

第一种适用场景，在现有技术 PCC架构中， SPR不仅可以存储有用户签约数据，还可以存储用户所需的策略控制信息。

第二种适用场景，在现有技术 PCC架构中，将设备 DPA设置在 PCRF 和 PCEF之间 , 并将 DPA设置为 PCRF和 PCEF之间的 Gx接口代理 , 并将用户所需的策略控制信息存储在 DPA中，进一步的， DPA可以与门户入口服务器通过私有接口相连。

第三种适用场景，在现有技术 PCC架构中，增加规则服务器，同时在规则服务器与 PCRF之间可以设置有门户入口服务器，并且规则服务器与门户入口服务器之间可以设置有私有接口，规则服务器与 PCEF之间可以设置有 Re接口，门户入口服务器与 PCRF之间可以设置有发放接口。

第四种适用场景，在没有 PCC架构的场景下，可以设置与分组数据网关（ Packet data network Gateway , 以下简称 PCEF )相连的规则服务器，同时在 PCEF与规则服务器之间设置有 Re接口，进一步的，还可以设置与规则服务器相连的门户入口服务器，同时在规则服务器与门户入口服务器之间设置有私有接口。

该访问控制方法可以包括：

步骤 201、策略存储网元接收门户入口服务器 Portal Server发送的访问控制策略，其中，访问控制策略为该门户入口服务器根据用户所需的策略控制信息生成的。

本是实施例可以应用在上述不同的场景中，因此，策略存储网元可以为 SPR、 DAP或者为规则服务器。

具体的，在第一种适用场景下， SPR可以接收门户入口服务器发送的访问控制策略，其中，访问控制策略为该门户入口服务器根据用户所需的策略控制信息生成的。

或者，

在第二种适用场景下， DPA接收 PCEF发送的控制策略请求消息或者，

在第三种适用场景下或第四种适用场景下，规则服务器接收门户入口服务器发送的访问控制策略，其中，访问控制策略为该门户入口服务器根据用户所需的策略控制信息生成的。

步骤 202、策略存储网元与策略执行实体交互，以使控制策略执行实体获取访问控制策略并对用户的访问过程进行策略控制。

在 UE上网之后，既 UE向策略执行实体发送上网请求之后，策略执行实体可以与策略存储网元交互，以使控制策略执行实体获取访问控制策略并对用户的访问过程进行策略控制。

具体的，在第一种适用场景下， SPR接收策略和计费规则定义功能 PCRF发送的用户签约信息请求消息；

SPR向 PCRF发送包含访问控制策略的用户签约信息响应消息，以使

PCRF将访问控制策略发送给策略和计费规则执行功能 PCEF对用户的访问过程进行策略控制。

或者，

在第二种适用场景下， DPA接收 PCEF发送的控制策略请求消息； DPA从 PCRF获取用户签约的控制策略；

DP A向 PCEF发送包含用户自定义的访问控制策略和用户签约的控制策略的控制策略响应消息，以使 PCEF根据访问控制策略和用户签约的控制策略对用户的访问过程进行策略控制。

或者，

在第三种适用场景下，规则服务器接收 PCEF发送的用户设备 UE上网通知消息；

规则服务器向 PCEF发送包含访问控制策略的 UE上网响应消息，以使 PCEF根据访问控制策略对用户的访问过程进行策略控制。

或者，

在第四种适用场景下，规则服务器接收 PCEF发送的用户设备 UE上网通知消息；

本实施例提供的访问控制方法，通过策略存储网元接收门户入口服务器发送的访问控制策略，其中，该访问控制策略为门户入口服务器根据用户所需的策略控制信息生成的，接着，策略存储网元与策略执行实体交互，以使控制策略执行实体获取该访问控制策略并对用户的访问过程进行策略控制。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

图 3为本发明三实施例访问控制方法的流程示意图。如图 3所示，本实施例的适用场景与图 2中的适用场景相同，该访问控制方法可以包括：步骤 301、 PCEF接收用户设备 UE发送的上网请求消息；在本实施例中， PCEF 可以是分组数据网关（Packet Data Network Gateway, 以下简称 PGW )也可以是网关 GPRS支持节点（ Gateway GPRS Support Node , 以下简称 GGSN ) , 在比不做限制，凡是本领域技术人员所能理解的可以用于策略和计费规则执行功能的网元均可。

具体的，不论是图 2所示的任意一种适用场景下， PCEF可以接收到用户设备 UE发送的上网请求消息。

步骤 302、 PCEF 与策略存储网元交互，以获取访问控制策略并对用户的访问过程进行策略控制。

本实施例在图 2所示的第一种适用场景下，步骤 302可以具体为：

PCEF通过 PCRF向 SPR发送用户签约信息请求消息；

接着， PCEF接收 SPR通过 PCRF发送的包含访问控制策略的用户签约信息响应消息，以获取访问控制策略对用户的访问过程进行策略控制。

在图 2所示的第三种适用场景或是第四种适用场景下，步骤 302可以具体为：

PCEF可以向规则服务器发送 UE上网通知消息；

PCEF接收规则服务器发送的包含访问控制策略的 UE上网通知响应消息，以根据该访问控制策略对用户的访问过程进行策略控制。

进一步的，在本实施例在图 2所示的第二种适用场景下，步骤 302之后，可以包括：

PCEF向 DPA发送控制策略请求消息；

接着， PCEF接收 DPA发送的包含访问控制策略和用户签约的控制策略的控制策略响应消息，以获取访问控制策略和用户签约的控制策略对用户的访问过程进行策略控制。

本实施例提供的访问控制方法，通过 PCEF接收 UE发送的上网请求消息，接着， PCEF 与策略存储网元交互，以获取访问控制策略并对用户的访问过程进行策略控制。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

图 4为本发明四实施例访问控制方法的流程示意图。如图 4所示，本实施例的适用场景与图 2中的适用场景相同，该访问控制方法可以包括：步骤 401、 PCRF接收 PCEF发送的控制策略请求消息。

步骤 402、 PCRF向 PCEF发送包括访问控制策略的控制策略响应消息，其中，该访问控制策略为根据用户所需的策略控制信息生成的。

进一步的，在本实施例在图 2所示的第一种适用场景下，在步骤 401 之后，还可以包括：

PCRF向签约数据保存 SPR发送用户签约信息请求消息；

PCRF接收 SPR发送的包含访问控制策略的用户签约信息响应消息，以使 PCRF将访问控制策略发送给 PCEF对用户的访问过程进行策略控制。

可选的，在本实施例在图 2所示的第二种适用场景下，在步骤 401之后，还可以包括：

PCRF接收 DPA发送的控制策略请求消息；

PCRF向 DPA发送包含用户签约的控制策略的控制策略响应消息，以使 DPA将所述访问控制策略发送给所述 PCEF对用户的访问过程进行策略控制。

本实施例提供的访问控制方法，通过 PCRF接收 PCEF发送的控制策略请求消息，并向 PCEF发送包括访问控制策略的控制策略响应消息，该访问控制策略为根据用户所需的策略控制信息生成的。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

图 5为本发明五实施例访问控制方法的流程示意图。如图 5所示，本实施例的适用场景与图 2中的第一种适用场景类似。

本实施例的适用场景是在现有技术 PCC架构的基础上，在 SPR网元中以存储用户所需的策略控制信息，进一步的，用户可以通过门户入口服务器将用户自定义的策略控制信息存储在 SPR网元中。

该访问控制方法具体可以包括：

步骤 501、 UE向门户入口服务器发送访问策略控制请求。

在本实施例中 UE可以向门户入口服务器发送访问策略控制请求，其中，该访问策略控制请求包含用户所需的策略控制信息。

需要说明的是，本实施例中的 UE可以是手机终端设备也可以是电脑，在此不做限制，凡是可以与门户入口服务器连接的终端设备均可以。

步骤 502、门户入口服务器向 SPR发送访问控制策略。具体的，门户入口服务器可以根据 UE发送的访问策略控制请求，既根据该访问策略控制请求中包括的用户所需的策略控制信息生成访问控制策略，并向 SPR发送该访问控制策略，同时 SPR存储该访问控制策略。

步骤 503、 UE向 PCEF发送上网请求消息。

具体的， UE需要上网时，首先向 PCEF发送上网请求，既 UE向 PCEF 发送分组数据协议（Packet Data Protocol, 以下简称 PDP )连接。

步骤 504、 PCEF向 PCRF发送控制策略请求消息。

步骤 505、 PCRF向 SPR发送用户签约信息请求消息。

步骤 506、 SPR向 PCRF发送用户签约信息响应消息。

具体的，该用户签约信息响应消息中包括有用户签约信息，以及访问控制策略，例如，用户不可以在每天时间为 9:00〜11 :00和 14:00〜16:00的时间段内上网。需要说明的是，该访问控制策略为根据用户所需的策略控制信息生成的。

步骤 507、 PCRF向 PCEF发送控制策略响应消息。

具体的， PCRF将用户签约的控制策略设置在该控制策略响应消息中，既该控制策略响应消息中包括用户所需的策略控制和用户签约的控制策略，需要说明的，用户签约的控制策略是运营商设置在 PCRF的控制策略， UE无法更改的控制策略。

需要说明的是，在上述步骤 506和步骤 507中，对 Sp和 Gx接口携带的参数进行扩展，增加携带访问控制策略的参数，例如：在 Gx接口中增加携带访问控制策略 , 可以增设函数 X-User-Self-Defined rule：： <AVP header>

具体的，可以在该函数中包括以下参数的任意一个或多个，

[TemplateNumber]为访问控制策略模板序号，可以对应上述表 1的模板定义，该模板序号可以有 17个，例如 1 , 2... , 17 , 该参数为必选项。

选项，可以同时使用

[Limited Position]为限制位置（小区标识），该参数为可选项，可以同时使用多个。

[Limited URL Type]为限制网站类别 , 该参数为可选项 , 可以同时使用多个。

[Limited App Type]为限制应用类型，该参数为可选项，可以同时使用多个。

步骤 508、 PCEF向 UE发送上网成功响应消息。

步骤 509、 PCEF执行访问控制策略和用户签约的控制策略。

图 6为本发明六实施例访问控制方法的流程示意图。如图 6所示，本实施例的适用场景与图 2中的第二种适用场景类似。

在现有技术 PCC架构中 , 将设备 DPA设置在 PCRF和 PCEF之间 , 同时 , 在 DPA与 PCRF之间 , 以及在 DPA与 PCEF之间设置有 Gx接口，并将用户所需的策略控制信息存储在 DPA中，进一步的， DPA可以与门户入口服务器通过私有接口相连。

该访问控制方法具体可以包括：

步骤 601、 UE向门户入口服务器发送访问策略控制请求。

步骤 602、门户入口服务器向 DPA发送访问控制策略。

具体的，门户入口服务器可以根据 UE发送的访问策略控制请求，既根据该访问策略控制请求中包括的用户所需的策略控制信息生成访问控制策略，并向 DPA发送该访问控制策略，同时 DPA存储该访问控制策略。

步骤 603、 UE向 PCEF发送上网请求消息。

具体的， UE需要上网时，首先向 PCEF发送上网请求，既 UE向 PCEF 发送 PDP连接。

步骤 604、 PCEF向 DPA发送控制策略请求消息。

步骤 605、 DPA向 PCRF转发控制策略请求消息。

步骤 606、 PCRF向 DPA发送控制策略响应消息。

具体的， PCRF接收 DPA发送的控制策略请求消息之后 , PCRF可以从 SPR获取用户签约信息。 PCRF可以根据用户签约信息生成用户签约的控制策略，既该控制策略响应消息中可以包括有用户签约的控制策略。需要说明的是，该用户签约的控制策略为是运营商设置在 PCRF的控制策略，

UE无法更改的控制策略。

步骤 607、 DPA向 PCEF发送包含访问控制策略的控制策略响应消息。具体的，该控制策略响应消息中包括有访问控制策略和用户签约的控制策略。

需要说明的是，该访问控制策略为根据用户所需的策略控制信息生成的。

步骤 608、 PCEF向 UE发送上网成功响应消息。

步骤 609、 PCEF执行访问控制策略和用户签约的控制策略。

图 7为本发明七实施例访问控制方法的流程示意图。如图 7所示，本实施例的适用场景与图 2中的第三种适用场景类似。

在现有技术 PCC架构中，增加规则服务器，同时在规则服务器与 PCRF 之间可以设置有门户入口服务器，并且规则服务器与门户入口服务器之间可以设置有私有接口，规则服务器与 PCEF之间可以设置有 Re接口，门户入口服务器与 PCRF之间可以设置有发放接口。

该访问控制方法具体可以包括：

步骤 701、 UE向门户入口服务器发送访问策略控制请求。

步骤 702、门户入口服务器向规则服务器发送访问控制策略。

具体的，门户入口服务器可以根据 UE发送的访问策略控制请求，既根据该访问策略控制请求中包括的用户所需的策略控制信息生成访问控制策略，并向规则服务器发送该访问控制策略，同时规则服务器存储该访问控制策略。

步骤 703、门户入口服务器通过发放接口向 SPR发送通知消息。

在本实施例中的通知消息用以向 SPR通知用户已设置访问控制策略 , 并可以通知用户已设置访问控制策略在规则服务器中。

步骤 704、 UE向 PCEF发送上网请求消息。具体的， UE需要上网时，首先向 PCEF发送上网请求，既 UE向 PCEF 发送 PDP连接。

步骤 705、 PCEF从 PCRF获取用户签约的控制策略。

具体的， PCRF可以从 SPR获取用户签约信息，以及 UE在规则服务器存储访问策略控制的信息，接着， PCRF生成与该用户签约信息对应的用户签约的控制策略， PCEF从 PCRF获取用户签约的控制策略。

步骤 706、 PCEF向 UE发送上网成功响应消息。

步骤 707、 PCEF向规则服务器发送 UE上网通知消息。

具体的， PCEF根据从 SPR获知 UE 已配置访问策略控制的信息，并向规则服务器发送 UE上网通知消息，用以获取访问策略控制。

步骤 708、规则服务器向 PCEF发送 UE上网响应消息。

具体的，该 UE上网响应消息中包括有访问策略控制。

步骤 709、 PCEF执行访问控制策略和用户签约的控制策略。

图 8为本发明八实施例访问控制方法的流程示意图。如图 8所示，本实施例的适用场景与图 2中的第四种适用场景类似。

在没有 PCC架构的场景下，可以设置与 PCEF相连的规则服务器，同时在 PCEF与规则服务器之间设置有 Re接口，进一步的，还可以设置与规则服务器相连的门户入口服务器，同时在规则服务器与门户入口服务器之间设置有私有接口。

该访问控制方法具体可以包括：

步骤 801、 UE向门户入口服务器发送访问策略控制请求。

步骤 802、门户入口服务器向规则服务器发送访问控制策略。

步骤 803、 UE向 PCEF发送上网请求消息。

步骤 804、 PCEF向 UE发送上网成功响应消息。

步骤 805、 PCEF向规则服务器发送 UE上网通知消息。

步骤 806、规则服务器向 PCEF发送 UE上网响应消息。

具体的，该 UE上网响应消息中包括有访问策略控制。

步骤 807、 PCEF执行访问控制策略和用户签约的控制策略。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： ROM, RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

图 9为本发明门户入口服务器实施例一的结构示意图；如图 9所示，门户入口服务器包括：接收模块 901、处理模块 902和发送模块 903。其中，

接收模块 901 , 用于接收用户设备 UE发送的访问策略控制请求，访问策略控制请求包含用户所需的策略控制信息；

处理模块 902, 用于根据策略控制信息，生成访问控制策略；

发送模块 903 , 用于向策略存储网元发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。

进一步的，处理模块 902, 具体用于根据策略控制信息，从预先存储的访问控制策略模板中选择访问控制策略模板 , 根据选择的访问控制策略模板生成访问控制策略。

可选的，预先存储的访问控制策略模板，包括如下至少一个控制策略因素：时间段、时长、位置、网站类型、应用程序类型。

进一步的，发送模块 903 , 可以具体用于向签约数据保存 SPR发送访问控制策略；或者，可以具体用于向 Dimater代理 DPA发送访问控制策略；或者，可以具体用于向规则服务器 rules Server发送访问控制策略。

进一步的，发送模块 903 , 用于向规则服务器 rules Server发送访问控制策略之后，向 SPR发送通知消息，通知消息用以通知用户已设置访问控制策略。

本实施例提供的门户入口服务器，通过接收 UE发送的访问策略控制请求，其中，该访问策略控制请求包含用户所需的策略控制信息，接着，根据该策略控制信息，生成访问控制策略，并向策略存储网元发送访问控制策略，以使控制策略执行实体与策略存储网元交互获取访问控制策略。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

图 10为本发明策略存储网元实施例一的结构示意图；如图 10所示，策略存储网元包括：接收模块 1001和处理模块 1002。其中，

接收模块 1001 , 用于接收门户入口服务器 Portal Server发送的访问控制策略，访问控制策略为 Portal Server根据用户所需的策略控制信息生成的；

处理模块 1002 , 用于策略存储网元与策略执行实体交互，以使控制策略执行实体获取访问控制策略并对用户的访问过程进行策略控制。

可选的，该策略存储网元可以为 SPR, 其中，

接收模块 1001 , 具体用于接收 Portal Server发送的访问控制策略，以及接收策略和计费规则定义功能 PCRF发送的用户签约信息请求消息；处理模块 1002 ,具体用于向 PCRF发送包含访问控制策略的用户签约信息响应消息，以使 PCRF将访问控制策略发送给策略和计费规则执行功能 PCEF对用户的访问过程进行策略控制。

可选的 , 策略存储网元可以为 Dimater代理 DPA, 其中 ,

接收模块 1001 , 具体用于接收 Portal Server发送的访问控制策略，并在接收 Portal Server发送的访问控制策略之后，接收 PCEF发送的控制策略请求消息，以及从 PCRF获取用户签约信息的控制策略；

处理模块 1002 ,具体用于向 PCEF发送包含访问控制策略和用户签约信息的控制策略的控制策略响应消息，以使 PCEF根据访问控制策略和用户签约的控制策略对用户的访问过程进行策略控制。

可选的，策略存储网元可以为规则服务器 Rules Server, 其中，接收模块 1001 , 具体用于接收 Portal Server发送的访问控制策略，并在接收 Portal Server发送的访问控制策略之后，接收 PCEF发送的用户设备 UE上网通知消息；

处理模块 1002, 具体用于向 PCEF发送包含访问控制策略的 UE上网响应消息，以使 PCEF根据访问控制策略对用户的访问过程进行策略控制。

本实施例提供的策略存储网元，通过接收门户入口服务器发送的访问控制策略，并为门户入口服务器根据用户所需的策略控制信息生成的，接着，与策略执行实体交互，以使控制策略执行实体获取该访问控制策略并对用户的访问过程进行策略控制。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

图 11 为本发明策略和计费规则执行功能实施例一的结构示意图；如图 11所示，该 PCEF包括：接收模块 1101和处理模块 1102。其中，

接收模块 1101 , 用于接收用户设备 UE发送的上网请求消息；处理模块 1102, 用于与策略存储网元交互，以获取访问控制策略并对用户的访问过程进行策略控制。

可选的，还可以包括：发送模块 1103 ,

发送模块 1103 ,用于通过策略和计费规则定义功能 PCRF向签约数据保存 SPR发送用户签约信息请求消息；

接收模块 1101 , 具体用于接收 SPR通过 PCRF发送的包含访问控制策略的用户签约信息响应消息，以获取访问控制策略并对用户的访问过程进行策略控制。

可选的，还可以包括：发送模块 1103 ,

发送模块 1103 , 用于向 Dimater代理 DPA发送控制策略请求消息；接收模块 1101 , 具体用于接收 DPA发送的包含访问控制策略和用户签约信息的控制策略的控制策略响应消息，以获取访问控制策略和用户签约的控制策略并对用户的访问过程进行策略控制。

可选的，还可以包括：发送模块 1103 ,

发送模块 1103 , 用于向规则服务器 Rules Server发送用户设备 UE上网通知消息；

接收模块 1 101 ,具体用于接收规则服务器发送的包含访问控制策略的 UE 上网通知和用户签约信息的控制策略响应消息，以根据访问控制策略对用户的访问过程进行策略控制。

本实施例提供的 PCEF, 通过接收 UE发送的上网请求消息，接着，与策略存储网元交互，以获取访问控制策略并对用户的访问过程进行策略控制。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

图 12为本发明策略和计费规则定义功能实施例一的结构示意图；如图 12所示，策略和计费规则定义功能 PCRF包括：接收模块 1201和发送模块 1202。其中，

接收模块 1201 ,用于接收计费规则执行功能 PCEF发送的控制策略请求消息；

发送模块 1202 ,用于向 PCEF发送包括访问控制策略的控制策略响应消息，访问控制策略为根据用户所需的策略控制信息生成的。

可选的，发送模块 1202, 具体用于向签约数据保存 SPR发送用户签约信息请求消息；

接收模块 1201 , 具体用于接收 SPR发送的包含访问控制策略的用户签约信息响应消息，以使 PCRF将访问控制策略发送给 PCEF对用户的访问过程进行策略控制。

可选的，接收模块 1201 , 具体用于接收 DPA发送的控制策略请求消息；

发送模块 1202, 具体用于向 DPA发送包含用户签约信息的控制策略的控制策略响应消息，以使 DPA将访问控制策略发送给根据访问控制策略对用户的访问过程进行策略控制。

本实施例提供的访问控制方法，通过接收 PCEF发送的控制策略请求消息，并向 PCEF发送包括访问控制策略的控制策略响应消息，该访问控制策略为根据用户所需的策略控制信息生成的。从而可以满足用户对访问控制策略的需求，进而提高了策略控制的灵活性。

图 13为本发明门户入口服务器实施例二的结构示意图；如图 13所示，门户入口服务器，可以包括：处理器 1301 和存储器 1302, 存储器 1302 存储执行指令，当门户入口服务器运行时，处理器 1301与存储器 1302之间通信，处理器 1301执行执行指令使得集中控制器执行图 1 实施例所示的方法。

图 14为本发明策略存储网元实施例二的结构示意图；如图 14所示，策略存储网元，可以包括：处理器 1401和存储器 1402 , 存储器 1402存储执行指令，当策略存储网元运行时，处理器 1401与存储器 1402之间通信，处理器 1401执行执行指令使得集中控制器执行图 2实施例所示的方法。

图 15 为本发明策略和计费规则执行功能实施例二的结构示意图；如图 15所示，可以包括：处理器 1501和存储器 1502, 存储器 1501存储执行指令，当 PCEF运行时，处理器 1502与存储器 1501之间通信，处理器 1501执行执行指令使得集中控制器执行如图 3实施例所示的方法。

图 16为本发明策略和计费规则定义功能实施例二的结构示意图；如图 16所示，可以包括：处理器 1601和存储器 1602, 存储器 1602存储执行指令，当 PCRF运行时，处理器 1601与存储器 1602之间通信，处理器 1601执行执行指令使得集中控制器执行如图 4实施例所示的方法。

本发明实施例提供一种访问控制系统，可以包括：如上述实施例的门户入口服务器、如上述实施例的策略存储网元为 SPR的策略存储网元、如上述实施例的 PCEF和如上述实施例的策略和计费规则定义功能 PCRF。

本发明实施例提供一种访问控制系统，可以包括：如上述实施例的门户入口服务器、如上述实施例的策略存储网元为 DPA 的策略存储网元、如上述实施例的 PCEF和如上述实施例的 PCRF。

本发明实施例提供一种访问控制系统，可以包括：如上述实施例门户入口服务器、如上述实施例的策略存储网元为规则服务器的策略存储网元和如上述实施例的 PCEF和 PCRF。

本发明实施例提供一种访问控制系统，可以包括：如上述实施例的门户入口服务器、如上述实施例的策略存储网元和如上述实施例的 PCEF。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求书

1、一种访问控制方法，其特征在于，包括：

根据所述策略控制信息，生成访问控制策略；

2、根据权利要求 1所述的方法，其特征在于，所述根据所述策略控制信息，生成访问控制策略，包括：

3、根据权利要求 2所述的方法，其特征在于，所述预先存储的访问控制策略模板，包括如下至少一个控制策略因素：

时间段、时长、位置、网站类型、应用程序类型。

4、根据权利要求 1〜3中任一项所述的方法，其特征在于，所述向策略存储网元发送所述访问控制策略，包括：

向签约数据保存 SPR发送访问控制策略；或者，

向 Dimater代理 DPA发送访问控制策略；或者，

向规则服务器 rules Server发送访问控制策略。

5、根据权利要求 4所述的方法，其特征在于，所述向规则服务器 rules

Server发送访问控制策略之后，还包括：

向所述 SPR发送通知消息，用以通知用户已配置所述访问控制策略。

6、一种访问控制方法，其特征在于，包括：

7、根据权利要求 6所述的方法，其特征在于，所述策略存储网元接收 Portal Server发送的访问控制策略，包括：签约数据保存 SPR接收 Portal Server发送的访问控制策略；所述策略存储网元与策略执行实体交互，以使所述控制策略执行实体获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

8、根据权利要求 6所述的方法，其特征在于，所述策略存储网元接收 Portal Server发送的访问控制策略，包括：

Dimater代理 DPA接收 Portal Server发送的访问控制策略；

所述 DPA接收 PCEF发送的控制策略请求消息；

所述 DPA从 PCRF获取用户签约的控制策略；

9、根据权利要求 6所述的方法，其特征在于，所述策略存储网元接收 Portal Server发送的访问控制策略，包括：

10、一种访问控制方法，其特征在于，包括：

11、根据权利要求 10所述的方法，其特征在于，所述 PCEF与所述策略存储网元交互，以获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

12、根据权利要求 10所述的方法，其特征在于，所述 PCEF与所述策略存储网元交互，以获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

所述 PCEF向 Dimater代理 DPA发送控制策略请求消息；

13、根据权利要求 10所述的方法，其特征在于，所述 PCEF与所述策略存储网元交互，以获取所述访问控制策略并对用户的访问过程进行策略控制，包括：

14、一种访问控制方法，其特征在于，包括：

15、根据权利要求 14所述的方法，其特征在于，所述策略和计费规则定义功能 PCRF接收计费规则执行功能 PCEF发送的控制策略请求消息之后，包括：

16、根据权利要求 14所述的方法，其特征在于，所述策略和计费规则定义功能 PCRF接收计费规则执行功能 PCEF发送的控制策略请求消息，包括：

所述 PCRF接收所述 PCEF通过 Dimater代理 DPA发送的控制策略请求消息；

所述 PCRF向所述 DPA发送包含用户签约的控制策略的控制策略响应消息，以使所述 DPA将所述访问控制策略发送给所述 PCEF对用户的访问过程进行策略控制。

17、一种门户入口服务器 Portal Server, 其特征在于，包括：

接收模块，用于接收用户设备 UE发送的访问策略控制请求，所述访问策略控制请求包含用户所需的策略控制信息；

18、根据权利要求 17所述的 Portal Server, 其特征在于，所述处理模块，具体用于根据所述策略控制信息，从预先存储的访问控制策略模板中选择访问控制策略模板，根据选择的访问控制策略模板生成访问控制策略。

19、根据权利要求 18所述的 Portal Server, 其特征在于，所述预先存储的访问控制策略模板，包括如下至少一个控制策略因素：

时间段、时长、位置、网站类型、应用程序类型。

20、根据权利要求 17-19中任一项所述的 Portal Server, 其特征在于，所述发送模块，

具体用于向签约数据保存 SPR发送访问控制策略；或者，

具体用于向 Dimater代理 DPA发送访问控制策略；或者，具体用于向规则服务器 rules Server发送访问控制策略。

21、根据权利要求 20中所述的 Portal Server, 其特征在于，所述发送模块，还用于向所述 SPR发送通知消息，用以通知用户已配置所述访问控制策略

22、一种策略存储网元，其特征在于，包括：

23、根据权利要求 22所述的策略存储网元，其特征在于，所述策略存储网元为 SPR,

所述接收模块，具体用于接收 Portal Server发送的访问控制策略，以及接收策略和计费规则定义功能 PCRF发送的用户签约信息请求消息；所述处理模块，具体用于向所述 PCRF发送包含所述访问控制策略的用户签约信息响应消息，以使所述 PCRF将所述访问控制策略发送给策略和计费规则执行功能 PCEF对用户的访问过程进行策略控制。

24、根据权利要求 22所述的策略存储网元，其特征在于，所述策略存储网元为 Dimater代理 DPA,

所述接收模块，具体用于接收 Portal Server发送的访问控制策略，并在接收 Portal Server发送的访问控制策略之后，接收 PCEF发送的控制策略请求消息，以及从 PCRF获取用户签约的控制策略；

25、根据权利要求 22所述的策略存储网元，其特征在于，所述策略存储网元为规则服务器 Rules Server,

所述接收模块，具体用于接收 Portal Server发送的访问控制策略，并在接收 Portal Server发送的访问控制策略之后，接收 PCEF发送的用户设备 UE上网通知消息；所述处理模块，具体用于向所述 PCEF发送包含所述访问控制策略的 UE上网响应消息，以使所述 PCEF根据所述访问控制策略对用户的访问过程进行策略控制。

26、一种计费规则执行功能 PCEF, 其特征在于，包括：

接收模块，用于接收用户设备 UE发送的上网请求消息；

27、根据权利要求 26所述的 PCEF, 其特征在于，还包括：发送模块，所述发送模块，用于通过策略和计费规则定义功能 PCRF向签约数据保存 SPR发送用户签约信息请求消息；

28、根据权利要求 26所述的 PCEF, 其特征在于，还包括：发送模块，所述发送模块，用于向 Dimater代理 DPA发送控制策略请求消息；所述接收模块，具体用于接收所述 DPA发送的包含所述访问控制策略和所述用户签约的控制策略的控制策略响应消息，以获取所述访问控制策略和所述用户签约的控制策略并对用户的访问过程进行策略控制。

29、根据权利要求 26所述的 PCEF, 其特征在于，还包括：发送模块，

30、一种策略和计费规则定义功能 PCRF, 其特征在于，包括：接收模块，用于接收计费规则执行功能 PCEF发送的控制策略请求消息；

31、根据权利要求 30所述的 PCRF , 其特征在于，

所述发送模块，具体用于向签约数据保存 SPR发送用户签约信息请求消息；

32、根据权利要求 30所述的 PCRF , 其特征在于，

所述接收模块，具体用于接收 Dimater代理 DPA发送的控制策略请求消息；

33、一种门户入口服务器 Portal Server, 其特征在于，包括：处理器和存储器，所述存储器存储执行指令，当所述门户入口服务器运行时，所述处理器与所述存储器之间通信，所述处理器执行所述执行指令使得所述集中控制器执行如权利要求 1-5任一项所述的方法。

34、一种策略存储网元，其特征在于，包括：处理器和存储器，所述存储器存储执行指令，当所述策略存储网元运行时，所述处理器与所述存储器之间通信，所述处理器执行所述执行指令使得所述集中控制器执行如权利要求 6-9任一项所述的方法。

35、一种计费规则执行功能 PCEF , 其特征在于，包括：处理器和存储器，所述存储器存储执行指令，当所述 PCEF运行时，所述处理器与所述存储器之间通信，所述处理器执行所述执行指令使得所述集中控制器执行如权利要求 10-13任一项所述的方法。

36、一种策略和计费规则定义功能 PCRF, 其特征在于，包括：处理器和存储器，所述存储器存储执行指令，当所述 PCRF运行时，所述处理器与所述存储器之间通信，所述处理器执行所述执行指令使得所述集中控制器执行如权利要求 14 - 16任一项所述的方法。

37、一种访问控制系统，其特征在于，包括：如权利要求 17-20任一所述的门户入口服务器 Portal Server, 如权利要求 22或 23所述的策略存储网元、如权利要求 26或 27所述的计费规则执行功能 PCEF和如权利要求 30或 31所述的策略和计费规则定义功能 PCRF。

38、一种访问控制系统，其特征在于，包括：如权利要求 17-20任一所述的门户入口服务器 Portal Server, 如权利要求 22或 24所述的策略存储网元、如权利要求 26或 28所述的计费规则执行功能 PCEF和如权利要求 30或 32所述的策略和计费规则定义功能 PCRF。

39、一种访问控制系统，其特征在于，包括：如权利要求 17-20任一所述的门户入口服务器 Portal Server, 如权利要求 22或 25所述的策略存储网元和如权利要求 26或 29所述的计费规则执行功能 PCEF和策略和计费规则定义功能 PCRF。

40、一种访问控制系统，其特征在于，包括：如权利要求 17-21任一所述的门户入口服务器 Portal Server, 如权利要求 22或 25所述的策略存储网元和如权利要求 26或 29所述的计费规则执行功能 PCEF。