CN102142925B - 深度包检测过滤方法、设备和*** - Google Patents
深度包检测过滤方法、设备和*** Download PDFInfo
- Publication number
- CN102142925B CN102142925B CN201010253510.1A CN201010253510A CN102142925B CN 102142925 B CN102142925 B CN 102142925B CN 201010253510 A CN201010253510 A CN 201010253510A CN 102142925 B CN102142925 B CN 102142925B
- Authority
- CN
- China
- Prior art keywords
- user
- deep
- packet detection
- upstream data
- filtering policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 360
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000007689 inspection Methods 0.000 title abstract description 12
- 238000001514 detection method Methods 0.000 claims description 300
- 238000011144 upstream manufacturing Methods 0.000 claims description 178
- 230000006870 function Effects 0.000 claims description 113
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 239000000344 soap Substances 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 208000001613 Gambling Diseases 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及一种深度包检测过滤方法、设备和***,其中,该深度包检测过滤方法包括:根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。本发明实施例获取用户的相关信息后,可以根据用户的相关信息对各个用户分别采用对应的用户DPI过滤策略,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
Description
技术领域
本发明实施例涉及通信技术领域,特别涉及一种深度包检测过滤方法、设备和***。
背景技术
深度包检测(Deep Packet Inspection;简称:DPI)技术可以应用于流量管理、安全和网络分析等方面,能够对网络数据包进行内容分析。DPI技术能够为不同的应用程序提供深度包检测,够检测出数据包的内容及有效负载并且能够提取出内容级别的信息,如恶意软件、具体数据和应用程序类型。
现有技术中网关通用分组无线服务支持节点(Gateway General PacketRadio Service Support Node;简称:GGSN)可以采用内嵌的DPI或独立的DPI服务器,对移动用户的上下行数据进行深层的数据包过滤和分析。运营商可以在GGSN上为接入点名称(Access Point Name;简称:APN)配置不同的包过滤/分析规则,GGSN根据这些规则,对用户数据包进行处理,例如:在第三层进行源/目的地IP地址过滤;在第四层进行端口号过滤;在第七层进行URL过滤。通过第三层至七层的包过滤和分析,GGSN可以识别区分用户上下行数据传送的内容,判断是否允许处理。
但是,现有的GGSN或独立的DPI过滤服务器的过滤方式不灵活,不利于实现精度化管理。
发明内容
本发明实施例提供一种深度包检测过滤方法、设备和***,用以解决现有DPI过滤技术的过滤方式不灵活的问题,实现对DPI过滤策略的内容的灵活设置。
本发明实施例提供一种深度包检测过滤方法,包括:
根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
本发明实施例又提供一种深度包检测过滤方法,包括:
获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
本发明实施例再提供一种深度包检测规则功能实体,包括:
用户策略确定模块,用于根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
用户策略发送模块,用于将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
本发明实施例还提供一种深度包检测执行功能实体,包括:
用户策略获取模块,用于获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
过滤模块,用于根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
本发明实施例还提供一种深度包检测过滤***,包括:深度包检测规则功能实体和深度包检测执行功能实体;
所述深度包检测规则功能实体包括:
用户策略确定模块,用于根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
用户策略发送模块,用于将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容;
所述深度包检测执行功能实体包括:
用户策略获取模块,用于获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
过滤模块,用于根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
本发明实施例提供的深度包检测过滤方法、设备和***,获取用户的相关信息后,可以根据用户的相关信息对各个用户分别采用对应的用户DPI过滤策略,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明深度包检测过滤方法第一实施例的流程图;
图2为本发明深度包检测过滤方法第二实施例的流程图;
图3a为本发明深度包检测过滤方法第三实施例的应用场景的示意图;
图3b为本发明深度包检测过滤方法第三实施例的流程示意图;
图4a为本发明深度包检测过滤方法第四实施例的应用场景的示意图;
图4b为本发明深度包检测过滤方法第四实施例的流程示意图;
图5为本发明深度包检测规则功能实体第一实施例的结构示意图;
图6为本发明深度包检测规则功能实体第二实施例的结构示意图;
图7为本发明深度包检测执行功能实体第一实施例的结构示意图;
图8为本发明深度包检测执行功能实体第二实施例的结构示意图;
图9为本发明深度包检测过滤***实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明深度包检测过滤方法第一实施例的流程图,如图1所示,该深度包检测过滤方法可以包括以下步骤:
步骤101、根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
其中,用户的相关信息可以包括用户类别、用户年龄、用户订购产品或用户位置信息的至少一种。
本发明实施例中通过深度包检测规则功能实体(DPIRF)和深度包检测执行功能实体(DPIEF)进行用户DPI过滤策略,DPIRF可以有多种实现方式,包括以下示例:
示例一、对策略与计费执行功能实体(PCEF)和网关设备(GGSN)上的策略与计费规则功能实体(PCRF)之间的Gx(Diameter)接口进行改进,将PCEF与DPIEF设置在一起、将PCRF与DPIRF部署在一起。PCRF从用户签约数据库(SPR)的获取用户的相关信息后发给DPIRF,DPIRF接收PCRF从SPR获取的用户的相关信息,对PCEF进行策略加载。
示例二、DPIRF为独立设备或将DPIRF设置在DPI设备例如:DPI过滤服务器中,当需要进行DPI过滤时,由网关设备(GGSN)上PCEF的向DPIRF申请DPI过滤策略,PCEF与DPIRF之间的接口可采用Gx接口。此时,DPIRF从用户签约数据库(SPR)获取用户的相关信息的方法具体为:若DPIRF接收到用户深度包检测过滤策略申请,则DPIRF向SPR发送用户信息申请,所述用户信息申请用于请求获取发送上行数据的用户的相关信息,接收所述用户签约数据库返回的所述用户的相关信息。
步骤102、将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
在步骤102中,如果***中DPIRF独立于PCRF之外,则DPIRF可以直接将的用户深度包检测过滤策略发送给DPIEF;如果***中有DPIRF与PCRF部署在一起,则DPIRF将用户深度包检测过滤策略发送给DPIEF的方法具体可以包括:
通过策略与计费规则功能实体将所述用户深度包检测过滤策略发送给策略与计费执行功能实体后,在所述策略与计费执行功能实体确定执行所述用户深度包检测过滤策略时,所述策略与计费执行功能实体将所述上行数据和所述用户深度包检测过滤策略发送给深度包检测执行功能实体。
进一步地,该深度包检测过滤方法还可以包括:
设置所述用户深度包检测过滤策略的有效期,在将所述用户深度包检测过滤策略发送给深度包检测执行功能实体时携带所述有效期。
DPIRF获取用户深度包检测过滤策略后,可以设置用户深度包检测过滤策略的有效期,然后,可以将用户深度包检测过滤策略与有效期一起发送给DPIEF,在有效期之内,DPIEF可以保存该用户的用户深度包检测过滤策略,对该用户再次发生的上行数据直接该用户深度包检测过滤策略进行内容识别和过滤。
本实施例DPIRF或PCRF从SPR获取用户的相关信息后,DPIRF可以根据用户的相关信息对各个用户分别确定对应的用户DPI过滤策略,DPIEF则可以根据DPIRF确定的用户DPI过滤策略,对该用户的数据进行内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
图2为本发明深度包检测过滤方法第二实施例的流程图,如图2所示,该深度包检测过滤方法可以包括以下步骤:
步骤201、获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
其中,用户的相关信息可以包括用户类别、用户年龄、用户订购产品或用户位置信息的至少一种。
由于DPIEF可以与PCEF部署在一起,DPIRF与PCRF部署在一起,DPIEF、DPIRF也可以分别独立设置,因此在步骤201之前,对公共深度包检测过滤策略进行分析的过程即可以由DPIEF完成,由可以由PCRF完成,具体如下:
在策略与计费执行功能实体接收认证、鉴权通过后的用户发送的上行数据后,策略与计费规则功能实体或深度包检测过滤执行功能实体接收所述策略与计费执行功能实体发送的用户深度包检测过滤策略申请;
所述策略与计费规则功能实体或深度包检测过滤执行功能实体对所述上行数据进行公共深度包检测过滤策略分析,判断所述上行数据是否允许执行公共深度包检测过滤策略;
如果是,则所述策略与计费规则功能实体或深度包检测过滤执行功能实体向深度包检测规则功能实体发送用户深度包检测过滤策略申请,所述用户深度包检测过滤策略申请中携带所述用户的相关信息。
步骤202、根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
其中,步骤202具体可以包括:
步骤2021、根据所述用户深度包检测过滤策略,判断所述上行数据中所述用户请求访问的网址是否允许访问;如果是,则执行步骤2023;否则,执行步骤2022。
步骤2022、通过策略与计费执行功能实体将重定向网址或替换指定关键字后的上行数据返回所述用户。
步骤2023、通过策略与计费执行功能实体将所述上行数据发送至所述用户请求访问的网址所归属的互联网服务器。
步骤2024、通过策略与计费执行功能实体接收所述互联网服务器返回的所述用户的下行数据;
步骤2025、根据所述用户深度包检测过滤策略,对所述下行数据进行用户深度包检测内容识别,过滤所述下行数据中限制所述用户访问的内容后,通过所述策略与计费执行功能实体发送给所述用户。
进一步地,该深度包检测过滤方法还可以包括:
根据设置的有效期,对所述用户深度包检测过滤策略进行缓存;
在所述有效期内,若再次接收到所述用户的上行数据或下行数据,则根据所述用户深度包检测过滤策略,对所述用户的上行数据或下行数据进行内容识别,过滤所述上行数据或所述下行数据中限制所述用户访问的内容。
DPIRF获取用户深度包检测过滤策略后,可以设置用户深度包检测过滤策略的有效期,然后,将用户深度包检测过滤策略与有效期一起发送给DPIEF。在有效期之内,DPIEF可以保存该用户的用户深度包检测过滤策略,如果DPIEF再次到该用户的上行数据时,可以不用向DPIRF获取用户深度包检测过滤策略,而是直接根据DPIRF发送的用户深度包检测过滤策略标识等,采用上次保存的用户深度包检测过滤策略对该用户的上行数据进行用户深度包检测内容识别,过滤上行数据中限制该用户访问的内容。
本实施例DPIEF可以获取DPIRF根据用户的相关信息确定的用户DPI过滤策略,对该用户的数据进行内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
图3a为本发明深度包检测过滤方法第三实施例的应用场景的示意图,如图3a所示,如果将DPIRF与PCRF集成或部署在一起,将DPIEF与PCEF集成或部署在一起,且将PCEF集成或部署在网关设备例如:GGSN。PCEF接收到用户发送的上行数据后,向PCRF发送用户DPI过滤策略申请,PCRF向SPR发送用户信息申请,以获取用户的相关信息;PCRF将携带用户的相关信息的用户DPI过滤策略申请发送给DPIRF;DPIRF可根据不同用户的相关信息,定义不同的用户DPI过滤策略,其中用户DPI过滤策略中具体的DPI过滤信息(DPI数据)可通过DPI管理功能实体(Deep Packet Inspection ManagementFunction;简称:DPIMF)统一维护管理。DPIMF可将DPI数据同步到DPIEF上;或将DPI数据发送到DPIRF,通过PCRF和PCEF同步到DPIEF上,DPIRF与DPIEF之间传输的公共DPI过滤策略可为标识信息(ID),避免每次上网请求传送过多DPI过滤信息。DPIEF根据用户DPI过滤策略对上行数据进行内容识别和过滤后,可通过PCEF将过滤后的上行数据发送给互联网服务器,并将互联网服务器返回的下行数据发送到DPIEF上;DPIEF根据用户DPI过滤策略对下行数据进行内容识别和过滤后,通过PCEF将过滤后的下行数据返回给用户。
此外,基于用户的相关信息的用户DPI过滤策略可以设置有效期,由DPIRF在向DPIEF发送用户DPI过滤策略时指定,例如:有效期为1天,即用户在当天的首次上网时将DPI过滤策略下载到DPIEF,然后每次用户上网无需重新申请用户DPI过滤策略。此外,当某一用户无任何对应的用户DPI过滤策略时,DPIRF可以默认增加面向运营商的全部用户生效的公共DPI过滤策略,例如:运营商限定所有用户不允许访问非法赌博网站。
图3b为本发明深度包检测过滤方法第三实施例的流程示意图,如图3b所示,该深度包检测过滤方法具体包括以下步骤:
步骤301、需要上网的用户在完成认证、鉴权后,将上网请求即上行数据发给网关设备例如:GGSN上的PCEF。
步骤302、PCEF针对该用户的上行数据,向PCRF发送用户DPI过滤策略申请。
其中,用户DPI过滤策略为基于用户的相关信息的DPI过滤策略,根据用户DPI过滤策略可以按照不同的用户的相关信息对不同的用户进行DPI过滤,例如:少年儿童不允许访问不健康网站。此外,PCEF还可以向PCRF发送Qos策略(例如:VIP用户带宽2M,普通用户带宽512k)、计费策略(例如:普通用户下载0.1元/Mb,VIP用户下载0.05元/Mb)等。
步骤303、PCRF对该上行数据进行公共DPI过滤策略分析,如果该上行数据不允许执行公共DPI过滤策略,可以直接向用户返回重定向网址;如果该上行数据允许执行公共DPI过滤策略,再申请用户DPI过滤策略,此时需要获取用户的相关信息,具体方法为:PCRF向SPR发送用于请求获取用户的相关信息的用户信息申请,该用户信息申请可以通过Diameter或简单对象访问协议(Simple Object Access Protocol;简称:SOAP)消息等承载;具体地,用户信息申请可以包括用户标识,SPR根据用户标识可以将查找到的用户的相关信息例如:用户年龄、用户类别、用户订购产品、用户位置信息等返回给PCRF。
步骤304、PCRF接收到SPR返回的用户的相关信息后,根据用户的相关信息可以对当前用户需要的用户DPI过滤策略进行选择,例如:选择***级的公共DPI过滤策略或用户级的用户DPI过滤策略。然后PCRF将用户的相关信息发送给DPIRF进行用户DPI过滤策略申请。
步骤305、DPIRF根据用户的相关信息,确定对应的用户DPI过滤策略后,将根据用户的相关信息确定的用户DPI过滤策略发送给PCRF。每种用户DPI过滤策略定义了用户可以访问或限制访问的统一资源定位符(Uniform/Universal Resource Locator;简称:URL)、关键字信息等。例如:根据用户类别和年龄决定可以使用的DPI过滤策略,用户年龄段属少年儿童(年龄<=18)应该使用“少年儿童DPI过滤策略”;再根据用户类别判断用户属于“VIP用户”或是“普通用户”,如果属于“普通用户”,则采用“普通用户DPI过滤策略”;综上,DPIRF决定采用的“普通用户DPI过滤策略”和“少年儿童DPI过滤策略”。
步骤306、PCRF将用户的相关信息和确定的用户DPI过滤策略发送给PCEF,PCEF根据用户的相关信息和用户DPI过滤策略确定是否执行用户DPI过滤策略。
步骤307、PCEF确定需要执行用户DPI过滤策略时,将用户的上行数据和确定的用户DPI过滤策略发送给DPIEF。
步骤308、DPIEF根据用户DPI过滤策略对上行数据进行用户DPI内容识别,过滤限制该用户访问的内容,例如:判断上行数据中用户请求访问的网址是否在用户DPI过滤策略允许的范围内,如果是,则允许访问,执行步骤310;否则,限制访问,执行步骤309或步骤314。
例如:用户需要采用的用户DPI过滤策略为DPIRF返回的“VIP DPI过滤策略”和“少年儿童DPI过滤策略”,则DPIEF根据对用户的上行数据进行DPI分析,对“VIP DPI过滤策略”和“少年儿童DPI过滤策略”进行逐一分析,假设首先判断用户的上行数据中包括的用户请求访问的URL是否在“普通用户DPI过滤策略”,如果不在,则不允许访问;如果在,则继续判断用户请求访问的URL是否在“少年儿童DPI过滤策略”,如果在,则允许访问,执行步骤310;否则不允许访问,执行步骤309或步骤314。
步骤309、指示PCEF将上行数据中的指定关键字的内容替换。
步骤310、指示PCEF将用户的上行数据发送给用户请求访问的网址所归属的互联网(Internet)服务器。如果在步骤308之后执行了步骤309,则在步骤310中,PCEF向互联网服务器发送的上行数据为已经替换了部分指定关键字的上行数据。
步骤311、互联网服务器向PCEF返回请求访问的网址中相关数据即用户的下行数据。
步骤312、PCEF将接收到的下行数据和PCEF保存的用户DPI过滤策略发送给DPIEF,DPIEF根据用户DPI过滤策略对下行数据进行用户DPI内容识别,对限制该用户访问的内容进行过滤,具体方法可以参考步骤308,判断是否下行数据中包括的内容是否在用户DPI过滤策略允许的范围内,如果是,则执行步骤313;否则,将下行数据中的指定关键字替换后返回给用户,或执行步骤314。
步骤313、PCEF将用户的下行数据返回给用户。
步骤314、PCEF将重定向网址返回给用户。其中,重定向是将HTTP的请求重新指向另外一个服务器,例如:在用户访问hw.cn时,实际访问的可以是重新指向的相同的服务器:www.huawei.com.cn。
其中,在步骤308和步骤第312中,DPIEF执行的功能相同,区别是在步骤308是对上行数据执行用户DPI过滤策略,在步骤312是对下行数据执行用户DPI过滤策略。其中,对上行数据或下行数据执行用户DPI过滤策略后,所采用的DPI过滤策略可以进行不同处理,例如:对上行数据,关键字过滤处理机制可以为:受限的关键字禁止发送,重定向到指定网址;对下行数据,关键字过滤处理机制可以为:替换指定关键词。对上行数据和下行数据进行DPI分析,也可以进行相同处理,例如:不允许时,返回重定向网址。
在具体实施本发明实施例的用户深度包检测过滤方法的过程中,各个功能实体之间的可以采用的协议的包括以下情况:
情况一、PCRF与PCEF之间采用的Diameter协议(Gx)。
当PCEF判断用户首次上网或DPI过滤策略的有效期已过期时,向PCRF重新申请DPI过滤策略;具体地,可以在信用鉴权响应(Credit ControlRequest;简称:CCA)中增加新的属性值对(Attribute-Value Pairs;简称:AVP),例如以下为一种信用鉴权响应的格式:
<CC-Answer>::=<Diameter Header:272,PXY>
*[DPI-Filter-Rule-Group]
DPI-Filter-Rule-Group::=<AVP Header:50001>
*[DPI-Filter-Rule-id]
[Expire-timer]
DPI-Filter-Rule-id::=<AVP Header:50002>UTF8String
其中的“*[DPI-Filter-Rule-Group]”为新的属性值对的字段。
情况二、DPIRF与PCRF之间采用新定义的Diameter协议或其他协议,具体实现的功能可以包括:
PCRF向DPIRF发起的用户DPI过滤策略申请中至少包含但不限于用户的以下相关信息:用户标识和用户基本信息例如:用户年龄、用户类别、用户订购产品、用户位置信息等;
DPIRF向PCRF返回的用户DPI过滤策略中至少包含但并不限于用户允许访问的至少1个DPI过滤策略、有效期等。
情况三、DPIEF与PCEF之间采用新定义的Diameter协议或其他协议;具体实现的功能可以包括:
PCEF向DPIEF发起的用于指示DPIEF执行用户DPI过滤策略的消息中至少包含但不限于以下信息:用户标识、用户的上行数据或下行数据、用户DPI过滤策略、有效期等;
DPIEF向PCEF返回的响应消息中至少包含但不限于以下信息:过滤请求结果(允许、重定向、替换关键字)、重定向网址(当过滤请求结果为重定向时有效)、用户上行数据或用户下行数据(替换关键字信息)。
情况四、PCRF与SPR之间可以采用Diameter或SOAP协议(Sp),通过Diameter或SOAP消息承载PCRF向SPR发送的用户信息申请。
需要说明的是,本发明实施例中的上网请求可以是非对称数字用户环路(Asymmetric Digital Subscriber Line;简称:ADSL)宽带上网、WLAN、全球微波互联接入(Worldwide Interoperability for Microwave Access;简称:WiMax)等多种上网领域的上网请求,DPIRF或DPIEF可以由多个上网领域的上网监控设备集成。
本实施例PCRF从SPR获取用户的相关信息后,DPIRF可以根据用户的相关信息对各个用户分别确定对应的用户DPI过滤策略,DPIEF则可以获取DPIRF确定的用户DPI过滤策略,根据对用户DPI过滤策略该用户的数据进行内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
图4a为本发明深度包检测过滤方法第四实施例的应用场景的示意图,如图4a所示,与图3a的区别在于,DPIRF与PCRF为对等的功能实体,二者的网络位置相同,DPIEF为独立设备或集成部署在已有的DPI设备中,此外PCEF部署在GGSN,用户的相关信息存储在SPR中。GGSN接收到用户发送给的上行数据后,向DPIEF发送用户DPI过滤策略申请,DPIEF向DPIRF发送用户DPI过滤策略申请,然后DPIRF向SPR发送用户信息申请,以获取用户的相关信息;DPIRF根据用户的相关信息确定用户DPI过滤策略后,将确定的用户DPI过滤策略发送给DPIEF,DPIEF对上行数据进行内容识别和过滤后,将过滤后的上行数据发送给用户请求访问的网址所归属的互联网服务器;然后DPIEF根据用户DPI过滤策略对接收到的互联网服务器返回的下行数据进行内容识别和过滤,再将过滤后的下行数据返回给用户。
图4b为本发明深度包检测过滤方法第四实施例的流程示意图,如图4所示,该深度包检测过滤方法具体可以包括以下步骤:
步骤401、需要上网的用户在认证、鉴权通过后,将上网请求即上行数据发给网关设备例如:GGSN。
步骤402、GGSN针对该用户的上行数据,向DPIEF发送用户DPI过滤策略申请。
步骤403、DPIEF先进行公共DPI过滤策略分析,如果不允许执行公共DPI过滤策略,则可以直接向用户返回重定向网址;如果允许执行公共DPI过滤策略,DPIEF向DPIRF发送用户DPI过滤策略申请后,DPIRF向SPR发送用户信息申请,可以通过Diameter或SOAP消息承载该用户信息申请。
步骤404、DPIRF根据SPR返回的用户的相关信息进行用户DPI过滤策略申请,并将确定的用户DPI过滤策略发送给DPIEF。其中DPIRF确定用户DPI过滤策略的方法可以参照上述第三实施例中步骤305中的相关描述。
步骤405、DPIEF根据确定的用户DPI过滤策略对用户的上行数据进行用户DPI内容识别,过滤限制该用户访问的内容,例如:判断上行数据中用户请求访问的网址是否在用户DPI过滤策略允许的范围内,如果是,则允许访问,执行步骤407;如果限制访问,则执行步骤406或步骤412。
步骤406、指示GGSN将上行数据中的指定关键字后的内容替换。
步骤407、指示GGSN将用户的上行数据发送给用户请求访问的网址所归属的互联网(Internet)服务器。
步骤408、互联网服务器向GGSN返回请求访问的网址中相关数据即用户的下行数据。
步骤409、GGSN将接收到的下行数据和用户DPI过滤策略发送给DPIEF。
步骤410、DPIEF根据用户DPI过滤策略对下行数据进行用户DPI内容识别,将限制该用户访问的内容进行过滤,例如:判断下行数据中包括的内容是否在用户DPI过滤策略允许的范围内,如果允许,则执行步骤411;否则,将下行数据中的指定关键字替换后返回给用户,或执行步骤412。其中,DPIEF可将用户对应的用户DPI过滤策略进行缓存,并设置用户DPI过滤策略的有效期,有效期可以在DPIRF向DPIEF加载在用户DPI过滤策略加载时指定,例如:指定有效期为一天,则该用户当天第一次初始上网时加载对应的用户DPI过滤策略,这天的其他时间,只要对应的用户DPI过滤策略已存在可以不再进行用户DPI过滤策略申请。
步骤411、GGSN将用户的下行数据返回给用户。
步骤412、GGSN将重定向网址返回给用户。
本实施例DPIRF从SPR获取用户的相关信息后,DPIRF可以根据用户的相关信息对各个用户分别确定对应的用户DPI过滤策略,DPIEF则可以获取DPIRF确定的用户DPI过滤策略,根据对用户DPI过滤策略该用户的数据进行内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
图5为本发明深度包检测规则功能实体第一实施例的结构示意图,如图5所示,该深度包检测规则功能实体可以包括:
用户策略确定模块51,用于根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
用户策略发送模块52,用于将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
具体地,深度包检测规则功能实体(DPIRF)可以独立设置或设置在DPI设备中,也可以与策略与计费规则功能实体(PCRF)部署在一起,DPIRF从用户签约数据库(SPR)获取发送上行数据的用户的相关信息,或PCRF从SPR获取用户的相关信息后发送给DPIRF后,用户策略确定模块51根据发送上行数据的用户的相关信息,可以确定该用户的相关信息对应的用户深度包检测(DPI)过滤策略;然后,用户策略发送模块52将该用户DPI过滤策略发送给深度包检测执行功能实体(DPIEF),DPIEF根据该用户DPI过滤策略,可以对上行数据进行用户深度包检测内容识别,过滤上行数据中限制该用户访问的内容。然后DPIEF可以通过网关设备上的策略与计费执行功能实体(PCEF)可以将过滤后的上行数据发送给用户请求访问的网址所在的互联网服务器,如果接收到互联网服务器返回的下行数据,则根据用户DPI过滤策略将接收到的下行数据过滤后返回给用户。
本实施例DPIRF或PCRF从SPR获取用户的相关信息后,DPIRF的用户策略确定模块可以根据用户的相关信息对各个用户分别确定对应的用户DPI过滤策略,用户策略发送模块可以将该用户DPI过滤策略发送给DPIEF,DPIEF则可以根据DPIRF确定的用户DPI过滤策略,实现对该用户的数据的内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
图6为本发明深度包检测规则功能实体第二实施例的结构示意图,如图6所示,在本发明深度包检测规则功能实体第一实施例的基础上,该深度包检测规则功能实体还可以包括:用户信息申请模块53或用户信息接收模块54。
其中,用户信息申请模块53,用于若接收到用户深度包检测过滤策略申请,则向用户签约数据库发送用户信息申请,所述用户信息申请用于请求获取发送上行数据的用户的相关信息,接收所述用户签约数据库返回的所述用户的相关信息;
用户信息接收模块54,用于接收策略与计费规则功能实体从所述用户签约数据库获取的所述用户的相关信息。
进一步地,该深度包检测规则功能实体还可以包括:
有效期设置模块55,用于设置所述用户深度包检测过滤策略的有效期,在将所述用户深度包检测过滤策略发送给深度包检测执行功能实体时携带所述有效期。
具体地,当DPIRF独立设置或设置在DPI设备中时,在DPIRF接收到网关设备上的PCEF发送的用户DPI过滤策略申请后,用户信息申请模块53可以向用户签约数据库发送用户信息申请,请求获取发送上行数据的用户的相关信息,在接收到用户签约数据库返回的该用户的相关信息。当DPIRF与PCRF部署在一起时,可以通过PCRF从用户签约数据库获取的该用户的相关信息,然后DPIRF的用户信息接收模块54接收PCRF发送的该用户的相关信息。用户策略确定模块51根据发送上行数据的用户的相关信息,可以确定该用户的相关信息对应的用户DPI过滤策略;有效期设置模块55可以设置该用户DPI过滤策略的有效期;然后,用户策略发送模块52将该用户DPI过滤策略发送给DPIEF。在用户DPI过滤策略的有效期内,DPIEF根据该用户DPI过滤策略,可以对上行数据进行用户深度包检测内容识别,过滤上行数据中限制该用户访问的内容。然后DPIEF可以通过网关设备上的PCEF可以将过滤后的的上行数据发送给用户请求访问的网址所在的互联网服务器,如果接收到互联网服务器返回的下行数据,则根据用户DPI过滤策略将接收到的下行数据过滤后返回给用户。
本实施例DPIRF的用户信息申请模块或用户信息接收模块获取用户的相关信息后,用户策略确定模块可以根据用户的相关信息对各个用户分别确定对应的用户DPI过滤策略,有效期设置模块可以设置该用户DPI过滤策略的有效期,用户策略发送模块可以将该用户DPI过滤策略及其有效期发送给DPIEF,DPIEF则可以根据DPIRF确定的用户DPI过滤策略,实现对该用户的数据的内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
图7为本发明深度包检测执行功能实体第一实施例的结构示意图,如图7所示,该深度包检测执行功能实体可以包括:用户策略获取模块71和过滤模块72。
其中,用户策略获取模块71,用于获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
过滤模块72,用于根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
具体地,深度包检测执行功能实体(DPIEF)可以独立设置或设置在DPI设备中,也可以与策略与计费执行功能实体(PCEF)部署在一起,DPIEF的用户策略获取模块71接收到DPIRF根据发送上行数据的用户的相关信息确定的用户深度包检测(DPI)过滤策略后,过滤模块72根据该用户DPI过滤策略,对上行数据进行深度包检测内容识别,过滤上行数据中限制该用户访问的内容。通过网关设备将该上行数据发送给用户请求访问的网址所在的互联网服务器,如果接收到互联网服务器返回的下行数据,则根据用户DPI过滤策略将接收到的下行数据过滤后返回给用户。
本实施例DPIEF的用户策略获取模块可以获取DPIRF根据用户的相关信息确定的用户DPI过滤策略,过滤模块对该用户的数据进行内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
图8为本发明深度包检测执行功能实体第二实施例的结构示意图,如图8所示,在本发明深度包检测执行功能实体第一实施例的基础上,该深度包检测执行功能实体的过滤模块72包括:判断子模块721、上行数据子模块722和返回子模块723。
其中,判断子模块721,用于根据所述用户深度包检测过滤策略,判断所述上行数据中所述用户请求访问的网址是否允许访问;
上行数据子模块722,用于如果上行数据中所述用户请求访问的网址允许访问,则通过策略与计费执行功能实体将所述上行数据发送至所述用户请求访问的网址所归属的互联网服务器;
返回子模块723,用于如果上行数据中所述用户请求访问的网址不允许访问,通过策略与计费执行功能实体将重定向网址或替换指定关键字后的上行数据返回所述用户。
进一步地,过滤模块72还可以包括:下行数据子模块724,用于通过策略与计费执行功能实体接收所述互联网服务器返回的所述用户的下行数据;根据所述用户深度包检测过滤策略,对所述下行数据进行用户深度包检测内容识别,过滤所述下行数据中限制所述用户访问的内容后,通过所述策略与计费执行功能实体发送给所述用户。
此外,该深度包检测执行功能实体还可以包括:策略申请接收模块73、公共策略分析模块74和用户策略申请模块75。
其中,策略申请接收模块73,用于在策略与计费执行功能实体接收认证、鉴权通过后的用户发送的上行数据后,接收所述策略与计费执行功能实体发送的用户深度包检测过滤策略申请;
公共策略分析模块74,用于对所述上行数据进行公共深度包检测过滤策略分析,判断所述上行数据是否允许执行公共深度包检测过滤策略;
用户策略申请模块75,用于如果允许执行公共深度包检测过滤策略,则向深度包检测规则功能实体发送用户深度包检测过滤策略申请,所述用户深度包检测过滤策略申请中携带所述用户的相关信息。
具体地,在网关设备上的PCEF接收到认证、鉴权通过后的用户发送的上行数据后,策略申请接收模块73可以接收到该PCEF发送的用户DPI过滤策略申请;公共策略分析模块74对该上行数据进行公共DPI过滤策略分析,判断该上行数据是否允许执行公共DPI过滤策略;如果允许执行公共DPI过滤策略,则用户策略申请模块75向DPIRF发送携带用户的相关信息的用户DPI过滤策略申请,DPIRF完成用户DPI过滤策略申请后,向DPIEF返回确定的用户DPI过滤策略。用户策略获取模块71接收到DPIRF根据发送上行数据的用户的相关信息确定的用户DPI过滤策略后,过滤模块72的判断子模块721根据用户DPI过滤策略,判断所述上行数据中所述用户请求访问的网址是否允许访问;如果是,则上行数据子模块722通过网关设备的PCEF将所述上行数据发送至所述用户请求访问的网址所归属的互联网服务器;否则,返回子模块723通过PCEF将重定向网址或替换指定关键字后的上行数据返回所述用户。如果上行数据子模块722通过网关设备的PCEF将所述上行数据发送至所述用户请求访问的网址所归属的互联网服务器,则下行数据子模块724可以从PCEF接收互联网服务器返回的所述用户的下行数据,再根据用户DPI过滤策略,对所述下行数据进行用户DPI内容识别,过滤所述下行数据中限制所述用户访问的内容后,通过PCEF向用户请求访问的网址所在的互联网服务器发送该上行数据,如果接收到互联网服务器返回的下行数据,则根据用户DPI过滤策略将接收到的下行数据过滤后返回给用户。
本实施例DPIEF的用户策略获取模块可以获取DPIRF根据用户的相关信息确定的用户DPI过滤策略,过滤模块的各个子模块对该用户的数据进行内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
图9为本发明深度包检测过滤***实施例的结构示意图,如图9所示,该深度包检测过滤***可以包括:深度包检测规则功能实体91和深度包检测执行功能实体92;
其中,深度包检测规则功能实体91可以包括:
用户策略确定模块,用于根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
用户策略发送模块,用于将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容;
深度包检测执行功能实体92可以包括:
用户策略获取模块,用于获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
过滤模块,用于根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
具体地,深度包检测规则功能实体91和深度包检测执行功能实体92的具体结构可以参照上述实施例中的相关描述,深度包检测规则功能实体91可以独立设置或设置在DPI设备中,也可以与策略与计费规则功能实体94部署在一起;深度包检测执行功能实体92可以独立设置或设置在DPI设备中,也可以与策略与计费执行功能实体93部署在一起。
当深度包检测规则功能实体91、深度包检测执行功能实体92独立设置或设置在DPI设备中时,深度包检测规则功能实体91可以接收到网关设备发送的用户DPI过滤策略申请,然后,向用户签约数据库发送用户信息申请,请求获取发送上行数据的用户的相关信息,可以接收到用户签约数据库返回的该用户的相关信息,再根据用户的相关信息确定对应的用户DPI过滤策略;并将该用户DPI过滤策略发送给深度包检测执行功能实体92。深度包检测执行功能实体92根据该用户DPI过滤策略,可以对上行数据进行用户DPI内容识别,过滤上行数据中限制该用户访问的内容。
进一步地,该深度包检测过滤***还可以包括:
策略与计费执行功能实体93,用于在接收到认证、鉴权通过后的用户发送的上行数据后,向策略与计费规则功能实体94或深度包检测执行功能实体92发送用户深度包检测过滤策略申请;
策略与计费规则功能实体94,用于在接收到策略与计费执行功能实体93发送的用户深度包检测过滤策略申请后,对所述上行数据进行公共深度包检测过滤策略分析;判断所述上行数据是否允许执行公共深度包检测过滤策略,如果是,则向深度包检测规则功能实体91发送用户深度包检测过滤策略申请,所述用户深度包检测过滤策略申请中携带所述用户的相关信息。
当深度包检测规则功能实体91与策略与计费规则功能实体94部署在一起;深度包检测执行功能实体92与策略与计费执行功能实体93部署在一起时,可以通过从用户签约数据库获取的该用户的相关信息,然后策略与计费规则功能实体94将该用户的相关信息发送给深度包检测规则功能实体91。深度包检测规则功能实体91根据用户的相关信息,可以确定该用户的相关信息对应的用户DPI过滤策略;然后,将该用户DPI过滤策略发送给深度包检测执行功能实体92。深度包检测执行功能实体92根据该用户DPI过滤策略,可以对上行数据进行用户深度包检测内容识别,过滤上行数据中限制该用户访问的内容。然后深度包检测执行功能实体92通过网关设备上的策略与计费执行功能实体93向用户请求访问的网址所在的互联网服务器发送该上行数据,如果接收到互联网服务器返回的下行数据,则根据用户DPI过滤策略将接收到的下行数据过滤后返回给用户。
本实施例深度包检测规则功能实体根据用户的相关信息确定的用户DPI过滤策略,深度包检测执行功能实体的可以根据深度包检测规则功能实体确定的用户DPI过滤策略,对该用户的数据进行内容识别和过滤,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (15)
1.一种深度包检测过滤方法,其特征在于,包括:
在策略与计费规则功能实体或深度包检测过滤执行功能实体对上行数据进行公共深度包检测过滤策略分析,判断所述上行数据允许执行公共深度包检测过滤策略之后,根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
2.根据权利要求1所述的深度包检测过滤方法,其特征在于,所述用户的相关信息包括用户类别、用户年龄、用户订购产品或用户位置信息的至少一种,所述根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略之前,包括:
若接收到用户深度包检测过滤策略申请,则向用户签约数据库发送用户信息申请,所述用户信息申请用于请求获取发送上行数据的用户的相关信息,接收所述用户签约数据库返回的所述用户的相关信息;或
接收策略与计费规则功能实体从所述用户签约数据库获取的所述用户的相关信息。
3.根据权利要求1所述的深度包检测过滤方法,其特征在于,所述将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,包括:
通过策略与计费规则功能实体将所述用户深度包检测过滤策略发送给策略与计费执行功能实体后,在所述策略与计费执行功能实体确定执行所述用户深度包检测过滤策略时,所述策略与计费执行功能实体将所述上行数据和所述用户深度包检测过滤策略发送给深度包检测执行功能实体。
4.根据权利要求1所述的深度包检测过滤方法,其特征在于,还包括:
设置所述用户深度包检测过滤策略的有效期,在将所述用户深度包检测过滤策略发送给深度包检测执行功能实体时携带所述有效期。
5.一种深度包检测过滤方法,其特征在于,包括:
获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容;
所述用户的相关信息包括用户类别、用户年龄、用户订购产品或用户位置信息的至少一种,所述获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略之前,还包括:
在策略与计费执行功能实体接收认证、鉴权通过后的用户发送的上行数据后,策略与计费规则功能实体或深度包检测过滤执行功能实体接收所述策略与计费执行功能实体发送的用户深度包检测过滤策略申请;
所述策略与计费规则功能实体或深度包检测过滤执行功能实体对所述上行数据进行公共深度包检测过滤策略分析,判断所述上行数据是否允许执行公共深度包检测过滤策略;
如果是,则所述策略与计费规则功能实体或深度包检测过滤执行功能实体向深度包检测规则功能实体发送用户深度包检测过滤策略申请,所述用户深度包检测过滤策略申请中携带所述用户的相关信息。
6.根据权利要求5所述的深度包检测过滤方法,其特征在于,所述根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容,包括:
根据所述用户深度包检测过滤策略,判断所述上行数据中所述用户请求访问的网址是否允许访问;
如果是,则通过策略与计费执行功能实体将所述上行数据发送至所述用户请求访问的网址所归属的互联网服务器;
否则,通过策略与计费执行功能实体将重定向网址或替换指定关键字后的上行数据返回所述用户。
7.根据权利要求6所述的深度包检测过滤方法,其特征在于,所述通过策略与计费执行功能实体将所述上行数据发送至所述用户请求访问的网址所归属的互联网服务器之后,包括:
通过所述策略与计费执行功能实体接收所述互联网服务器返回的所述用户的下行数据;
根据所述用户深度包检测过滤策略,对所述下行数据进行用户深度包检测内容识别,过滤所述下行数据中限制所述用户访问的内容后,通过所述策略与计费执行功能实体发送给所述用户。
8.根据权利要求5-7任一所述的深度包检测过滤方法,其特征在于,还包括:
根据设置的有效期,对所述用户深度包检测过滤策略进行缓存;
在所述有效期内,若再次接收到所述用户的上行数据或下行数据,则根据所述用户深度包检测过滤策略,对所述用户的上行数据或下行数据进行内容识别,过滤所述上行数据或所述下行数据中限制所述用户访问的内容。
9.一种深度包检测规则功能实体,其特征在于,包括:
用户策略确定模块,用于在策略与计费规则功能实体或深度包检测过滤执行功能实体对上行数据进行公共深度包检测过滤策略分析,判断所述上行数据允许执行公共深度包检测过滤策略之后,根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
用户策略发送模块,用于将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。
10.根据权利要求9所述的深度包检测规则功能实体,其特征在于,还包括:
用户信息申请模块,用于若接收到用户深度包检测过滤策略申请,则向用户签约数据库发送用户信息申请,所述用户信息申请用于请求获取发送上行数据的用户的相关信息,接收所述用户签约数据库返回的所述用户的相关信息;或
用户信息接收模块,用于接收策略与计费规则功能实体从所述用户签约数据库获取的所述用户的相关信息。
11.根据权利要求9或10所述的深度包检测规则功能实体,其特征在于,还包括:
有效期设置模块,用于设置所述用户深度包检测过滤策略的有效期,在将所述用户深度包检测过滤策略发送给深度包检测执行功能实体时携带所述有效期。
12.一种深度包检测执行功能实体,其特征在于,包括:
用户策略获取模块,用于获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
过滤模块,用于根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容;
策略申请接收模块,用于在策略与计费执行功能实体接收认证、鉴权通过后的用户发送的上行数据后,接收所述策略与计费执行功能实体发送的用户深度包检测过滤策略申请;
公共策略分析模块,用于对所述上行数据进行公共深度包检测过滤策略分析,判断所述上行数据是否允许执行公共深度包检测过滤策略;
用户策略申请模块,用于如果允许执行公共深度包检测过滤策略,则向深度包检测规则功能实体发送用户深度包检测过滤策略申请,所述用户深度包检测过滤策略申请中携带所述用户的相关信息。
13.根据权利要求12所述的深度包检测执行功能实体,其特征在于,所述过滤模块包括:
判断子模块,用于根据所述用户深度包检测过滤策略,判断所述上行数据中所述用户请求访问的网址是否允许访问;
上行数据子模块,用于如果上行数据中所述用户请求访问的网址允许访问,则通过策略与计费执行功能实体将所述上行数据发送至所述用户请求访问的网址所归属的互联网服务器;
返回子模块,用于如果上行数据中所述用户请求访问的网址不允许访问,通过策略与计费执行功能实体将重定向网址或替换指定关键字后的上行数据返回所述用户。
14.根据权利要求13所述的深度包检测执行功能实体,其特征在于,所述过滤模块还包括:
下行数据子模块,用于通过策略与计费执行功能实体接收所述互联网服务器返回的所述用户的下行数据;根据所述用户深度包检测过滤策略,对所述下行数据进行用户深度包检测内容识别,过滤所述下行数据中限制所述用户访问的内容后,通过所述策略与计费执行功能实体发送给所述用户。
15.一种深度包检测过滤***,其特征在于,包括:深度包检测规则功能实体和深度包检测执行功能实体;
所述深度包检测规则功能实体包括:
用户策略确定模块,用于根据发送上行数据的用户的相关信息,确定所述用户的相关信息对应的用户深度包检测过滤策略;
用户策略发送模块,用于将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容;
所述深度包检测执行功能实体包括:
用户策略获取模块,用于获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信息确定的用户深度包检测过滤策略;
过滤模块,用于根据所述用户深度包检测过滤策略,对所述上行数据进行深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容;
策略与计费执行功能实体,与所述深度包检测执行功能实体连接,用于在接收到认证、鉴权通过后的用户发送的上行数据后,向策略与计费规则功能实体或所述深度包检测执行功能实体发送用户深度包检测过滤策略申请;
策略与计费规则功能实体,与所述深度包检测执行规则实体连接,用于在接收到所述策略与计费执行功能实体发送的用户深度包检测过滤策略申请后,对所述上行数据进行公共深度包检测过滤策略分析;判断所述上行数据是否允许执行公共深度包检测过滤策略,如果是,则向所述深度包检测规则功能实体发送用户深度包检测过滤策略申请,所述用户深度包检测过滤策略申请中携带所述用户的相关信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010253510.1A CN102142925B (zh) | 2010-08-12 | 2010-08-12 | 深度包检测过滤方法、设备和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010253510.1A CN102142925B (zh) | 2010-08-12 | 2010-08-12 | 深度包检测过滤方法、设备和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102142925A CN102142925A (zh) | 2011-08-03 |
| CN102142925B true CN102142925B (zh) | 2015-01-07 |
Family
ID=44410180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010253510.1A Expired - Fee Related CN102142925B (zh) | 2010-08-12 | 2010-08-12 | 深度包检测过滤方法、设备和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102142925B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888307B (zh) * | 2012-12-20 | 2017-11-17 | 中国电信股份有限公司 | 用于优化深度包检测的方法、用户侧板卡和宽带接入网关 |
| CN104468253B (zh) * | 2013-09-23 | 2019-07-12 | 中兴通讯股份有限公司 | 一种深度包检测控制方法及装置 |
| CN105354234B (zh) * | 2015-10-09 | 2018-10-09 | 武汉烽火网络有限责任公司 | 基于深度包检测的网络实时大数据***及大数据分析方法 |
| CN107493203A (zh) * | 2016-06-12 | 2017-12-19 | 中兴通讯股份有限公司 | Dpi规则下发方法及装置 |
| CN113923207A (zh) * | 2021-09-28 | 2022-01-11 | 广东女子职业技术学院 | 计算机网络监控方法和终端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937623A (zh) * | 2006-10-18 | 2007-03-28 | 华为技术有限公司 | 一种控制网络业务的方法及*** |
| CN101399749A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种报文过滤的方法、***和设备 |
| CN101720111A (zh) * | 2009-02-03 | 2010-06-02 | 中兴通讯股份有限公司 | 一种下发深度包检测技术策略的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599895B (zh) * | 2008-06-04 | 2012-07-04 | 华为技术有限公司 | 数据处理方法及宽带网络网关、策略控制器装置和接入节点设备 |
-
2010
- 2010-08-12 CN CN201010253510.1A patent/CN102142925B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1937623A (zh) * | 2006-10-18 | 2007-03-28 | 华为技术有限公司 | 一种控制网络业务的方法及*** |
| CN101399749A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种报文过滤的方法、***和设备 |
| CN101720111A (zh) * | 2009-02-03 | 2010-06-02 | 中兴通讯股份有限公司 | 一种下发深度包检测技术策略的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102142925A (zh) | 2011-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101868180B1 (ko) | 다수의 기능들을 단일 플랫폼으로 취합하는 방법 | |
| KR101768743B1 (ko) | 사용자 통지를 제공하는 시스템 및 방법 | |
| CN101977239B (zh) | 一种制定策略的方法、策略服务器及网关 | |
| US8855017B2 (en) | System and method of building an infrastructure for a virtual network | |
| JP6514639B2 (ja) | 無線アクセスネットワークにおける輻輳を動的に制御するための方法、システム、およびコンピュータ読取可能媒体 | |
| CN104185973B (zh) | 用于设定数据发送的优先级的方法和设备 | |
| CN108028809B (zh) | 信息处理装置、信息处理方法以及程序记录介质 | |
| CN101809973B (zh) | 控制电子广告的接收 | |
| CN104335638A (zh) | 用于接入网发现和选择的方法、***和计算机可读介质 | |
| CN102142925B (zh) | 深度包检测过滤方法、设备和*** | |
| AU2011305456B2 (en) | Service offer set publishing to device agent with on-device service selection | |
| CN102497379B (zh) | 网络接入方法、***及设备 | |
| CN102665191B (zh) | 一种数据业务的策略控制方法、装置及*** | |
| US20100303087A1 (en) | Method and System for Controlling Network Access | |
| CN103718508B (zh) | 通信网络中的高级确定、处理和控制 | |
| CN103200231B (zh) | 策略控制方法及*** | |
| CN106982430B (zh) | 一种基于用户使用习惯的Portal认证方法及*** | |
| EP4248616A1 (en) | Methods and apparatus for differentiated charging in a communication network | |
| CN102395117B (zh) | 内容类型识别的方法和设备 | |
| EP3641248B1 (en) | Traffic optimization device, communication system, traffic optimization method, and program | |
| CN103609169A (zh) | 一种数据传输的控制方法、装置 | |
| JP2015511432A (ja) | 移動パケットコアネットワークにおけるセッション終了 | |
| CN102726076A (zh) | 策略和计费控制方法、实体及*** | |
| CN102957702B (zh) | 请求数据的方法及客户端 | |
| Peng et al. | Multipath mobile data offloading of deadline assurance with policy and charging control in cellular/WiFi networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150107 |