太阳城集团

  • / 24
  • 下载费用:30 金币  

深度包检测过滤方法、设备和系统.pdf

摘要
申请专利号:

CN201010253510.1

申请日:

2010.08.12

公开号:

CN102142925B

公开日:

2015.01.07

当前法律状态:

授权

有效性:

有权

法律详情: 授权|||实质审查的生效IPC(主分类):H04L 1/00申请日:20100812|||公开
IPC分类号: H04L1/00; H04L29/06 主分类号: H04L1/00
申请人: 华为技术有限公司
发明人: 夏秀岩
地址: 518129 广东省深圳市龙岗区坂田华为总部办公楼
优先权:
专利代理机构: 北京同立钧成知识产权代理有限公司 11205 代理人: 刘芳
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

太阳城集团CN201010253510.1

授权太阳城集团号:

太阳城集团102142925B||||||

法律状态太阳城集团日:

2015.01.07|||2011.09.28|||2011.08.03

法律状态类型:

授权|||实质审查的生效|||公开

摘要

本发明实施例涉及一种深度包检测过滤方法、设备和系统,其中,该深度包检测过滤方法包括:根据发送上行数据的用户的相关太阳城集团,确定所述用户的相关太阳城集团对应的用户深度包检测过滤策略;将所述用户深度包检测过滤策略发送给深度包检测执行功能实体,由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内容识别,过滤所述上行数据中限制所述用户访问的内容。本发明实施例获取用户的相关太阳城集团后,可以根据用户的相关太阳城集团对各个用户分别采用对应的用户DPI过滤策略,DPI过滤策略的内容设置灵活,应用范围广,可以满足不同用户群的需求,实现更准确细致的内容过滤。

权利要求书

1: 一种深度包检测过滤方法, 其特征在于, 包括 : 根据发送上行数据的用户的相关太阳城集团, 确定所述用户的相关太阳城集团对应的用户深度包检 测过滤策略 ; 将所述用户深度包检测过滤策略发送给深度包检测执行功能实体, 由所述深度包检测 执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检测内 容识别, 过滤所述上行数据中限制所述用户访问的内容。
2: 根据权利要求 1 所述的深度包检测过滤方法, 其特征在于, 所述用户的相关太阳城集团包 括用户类别、 用户年龄、 用户订购产品或用户位置太阳城集团的至少一种, 所述根据发送上行数 据的用户的相关太阳城集团, 确定所述用户的相关太阳城集团对应的用户深度包检测过滤策略之前, 包 括: 若接收到用户深度包检测过滤策略申请, 则向用户签约数据库发送用户太阳城集团申请, 所 述用户太阳城集团申请用于请求获取发送上行数据的用户的相关太阳城集团, 接收所述用户签约数据库 返回的所述用户的相关太阳城集团 ; 或 接收策略与计费规则功能实体从所述用户签约数据库获取的所述用户的相关太阳城集团。
3: 根据权利要求 1 所述的深度包检测过滤方法, 其特征在于, 所述将所述用户深度包 检测过滤策略发送给深度包检测执行功能实体, 包括 : 通过策略与计费规则功能实体将所述用户深度包检测过滤策略发送给策略与计费执 行功能实体后, 在所述策略与计费执行功能实体确定执行所述用户深度包检测过滤策略 时, 所述策略与计费执行功能实体将所述上行数据和所述用户深度包检测过滤策略发送给 深度包检测执行功能实体。
4: 根据权利要求 1 所述的深度包检测过滤方法, 其特征在于, 还包括 : 设置所述用户深度包检测过滤策略的有效期, 在将所述用户深度包检测过滤策略发送 给深度包检测执行功能实体时携带所述有效期。
5: 一种深度包检测过滤方法, 其特征在于, 包括 : 获取用户深度包检测规则功能实体根据发送上行数据的用户的相关太阳城集团确定的用户 深度包检测过滤策略 ; 根据所述用户深度包检测过滤策略, 对所述上行数据进行深度包检测内容识别, 过滤 所述上行数据中限制所述用户访问的内容。
6: 根据权利要求 5 所述的深度包检测过滤方法, 其特征在于, 所述根据所述用户深度 包检测过滤策略, 对所述上行数据进行深度包检测内容识别, 过滤所述上行数据中限制所 述用户访问的内容, 包括 : 根据所述用户深度包检测过滤策略, 判断所述上行数据中所述用户请求访问的网址是 否允许访问 ; 如果是, 则通过策略与计费执行功能实体将所述上行数据发送至所述用户请求访问的 网址所归属的互联网服务器 ; 否则, 通过策略与计费执行功能实体将重定向网址或替换指定关键字后的上行数据返 回所述用户。
7: 根据权利要求 6 所述的深度包检测过滤方法, 其特征在于, 所述通过策略与计费执 行功能实体将所述上行数据发送至所述用户请求访问的网址所归属的互联网服务器之后, 2 包括 : 通过所述策略与计费执行功能实体接收所述互联网服务器返回的所述用户的下行数 据; 根据所述用户深度包检测过滤策略, 对所述下行数据进行用户深度包检测内容识别, 过滤所述下行数据中限制所述用户访问的内容后, 通过所述策略与计费执行功能实体发送 给所述用户。
8: 根据权利要求 5 所述的深度包检测过滤方法, 其特征在于, 所述用户的相关太阳城集团包 括用户类别、 用户年龄、 用户订购产品或用户位置太阳城集团的至少一种, 所述获取用户深度包检 测规则功能实体根据发送上行数据的用户的相关太阳城集团确定的用户深度包检测过滤策略之 前, 包括 : 在策略与计费执行功能实体接收认证、 鉴权通过后的用户发送的上行数据后, 策略与 计费规则功能实体或深度包检测过滤执行功能实体接收所述策略与计费执行功能实体发 送的用户深度包检测过滤策略申请 ; 所述策略与计费规则功能实体或深度包检测过滤执行功能实体对所述上行数据进行 公共深度包检测过滤策略分析, 判断所述上行数据是否允许执行公共深度包检测过滤策 略; 如果是, 则所述策略与计费规则功能实体或深度包检测过滤执行功能实体向深度包检 测规则功能实体发送用户深度包检测过滤策略申请, 所述用户深度包检测过滤策略申请中 携带所述用户的相关太阳城集团。
9: 根据权利要求 5-8 任一所述的深度包检测过滤方法, 其特征在于, 还包括 : 根据设置的有效期, 对所述用户深度包检测过滤策略进行缓存 ; 在所述有效期内, 若再次接收到所述用户的上行数据或下行数据, 则根据所述用户深 度包检测过滤策略, 对所述用户的上行数据或下行数据进行内容识别, 过滤所述上行数据 或所述下行数据中限制所述用户访问的内容。
10: 一种深度包检测规则功能实体, 其特征在于, 包括 : 用户策略确定模块, 用于根据发送上行数据的用户的相关太阳城集团, 确定所述用户的相关 太阳城集团对应的用户深度包检测过滤策略 ; 用户策略发送模块, 用于将所述用户深度包检测过滤策略发送给深度包检测执行功能 实体, 由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据 进行用户深度包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
11: 根据权利要求 10 所述的深度包检测规则功能实体, 其特征在于, 还包括 : 用户太阳城集团申请模块, 用于若接收到用户深度包检测过滤策略申请, 则向用户签约数据 库发送用户太阳城集团申请, 所述用户太阳城集团申请用于请求获取发送上行数据的用户的相关太阳城集团, 接收所述用户签约数据库返回的所述用户的相关太阳城集团 ; 或 用户太阳城集团接收模块, 用于接收策略与计费规则功能实体从所述用户签约数据库获取的 所述用户的相关太阳城集团。
12: 根据权利要求 10 或 11 所述的深度包检测规则功能实体, 其特征在于, 还包括 : 有效期设置模块, 用于设置所述用户深度包检测过滤策略的有效期, 在将所述用户深 度包检测过滤策略发送给深度包检测执行功能实体时携带所述有效期。 3
13: 一种深度包检测执行功能实体, 其特征在于, 包括 : 用户策略获取模块, 用于获取用户深度包检测规则功能实体根据发送上行数据的用户 的相关太阳城集团确定的用户深度包检测过滤策略 ; 过滤模块, 用于根据所述用户深度包检测过滤策略, 对所述上行数据进行深度包检测 内容识别, 过滤所述上行数据中限制所述用户访问的内容。
14: 根据权利要求 13 所述的深度包检测执行功能实体, 其特征在于, 所述过滤模块包 括: 判断子模块, 用于根据所述用户深度包检测过滤策略, 判断所述上行数据中所述用户 请求访问的网址是否允许访问 ; 上行数据子模块, 用于如果上行数据中所述用户请求访问的网址允许访问, 则通过策 略与计费执行功能实体将所述上行数据发送至所述用户请求访问的网址所归属的互联网 服务器 ; 返回子模块, 用于如果上行数据中所述用户请求访问的网址不允许访问, 通过策略与 计费执行功能实体将重定向网址或替换指定关键字后的上行数据返回所述用户。
15: 根据权利要求 14 所述的深度包检测执行功能实体, 其特征在于, 所述过滤模块还 包括 : 下行数据子模块, 用于通过策略与计费执行功能实体接收所述互联网服务器返回的所 述用户的下行数据 ; 根据所述用户深度包检测过滤策略, 对所述下行数据进行用户深度包 检测内容识别, 过滤所述下行数据中限制所述用户访问的内容后, 通过所述策略与计费执 行功能实体发送给所述用户。
16: 根据权利要求 13-15 任一所述的深度包检测执行功能实体, 其特征在于, 还包括 : 策略申请接收模块, 用于在策略与计费执行功能实体接收认证、 鉴权通过后的用户发 送的上行数据后, 接收所述策略与计费执行功能实体发送的用户深度包检测过滤策略申 请; 公共策略分析模块, 用于对所述上行数据进行公共深度包检测过滤策略分析, 判断所 述上行数据是否允许执行公共深度包检测过滤策略 ; 用户策略申请模块, 用于如果允许执行公共深度包检测过滤策略, 则向深度包检测规 则功能实体发送用户深度包检测过滤策略申请, 所述用户深度包检测过滤策略申请中携带 所述用户的相关太阳城集团。
17: 一种深度包检测过滤系统, 其特征在于, 包括 : 深度包检测规则功能实体和深度包 检测执行功能实体 ; 所述深度包检测规则功能实体包括 : 用户策略确定模块, 用于根据发送上行数据的用户的相关太阳城集团, 确定所述用户的相关 太阳城集团对应的用户深度包检测过滤策略 ; 用户策略发送模块, 用于将所述用户深度包检测过滤策略发送给深度包检测执行功能 实体, 由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据 进行用户深度包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容 ; 所述深度包检测执行功能实体包括 : 用户策略获取模块, 用于获取用户深度包检测规则功能实体根据发送上行数据的用户 4 的相关太阳城集团确定的用户深度包检测过滤策略 ; 过滤模块, 用于根据所述用户深度包检测过滤策略, 对所述上行数据进行深度包检测 内容识别, 过滤所述上行数据中限制所述用户访问的内容。
18: 根据权利要求 17 所述的深度包检测过滤系统, 其特征在于, 还包括 : 策略与计费执行功能实体, 与所述深度包检测执行功能实体连接, 用于在接收到认证、 鉴权通过后的用户发送的上行数据后, 向策略与计费规则功能实体或所述深度包检测执行 功能实体发送用户深度包检测过滤策略申请 ; 策略与计费规则功能实体, 与所述深度包检测执行规则实体连接, 用于在接收到所述 策略与计费执行功能实体发送的用户深度包检测过滤策略申请后, 对所述上行数据进行公 共深度包检测过滤策略分析 ; 判断所述上行数据是否允许执行公共深度包检测过滤策略, 如果是, 则向所述深度包检测规则功能实体发送用户深度包检测过滤策略申请, 所述用户 深度包检测过滤策略申请中携带所述用户的相关太阳城集团。

说明书


深度包检测过滤方法、 设备和系统

    【技术领域】
     本发明实施例涉及通信技术领域, 特别涉及一种深度包检测过滤方法、 设备和系统。 背景技术 深度包检测 (Deep Packet Inspection ; 简称 : DPI) 技术可以应用于流量管理、 安 全和网络分析等方面, 能够对网络数据包进行内容分析。 DPI 技术能够为不同的应用程序提 供深度包检测, 够检测出数据包的内容及有效负载并且能够提取出内容级别的太阳城集团, 如恶 意软件、 具体数据和应用程序类型。
     现有技术中网关通用分组无线服务支持节点 (Gateway General Packet Radio Service Support Node ; 简称 : GGSN) 可以采用内嵌的 DPI 或独立的 DPI 服务器, 对移动用户 的上下行数据进行深层的数据包过滤和分析。 运营商可以在 GGSN 上为接入点名称 (Access Point Name ; 简称 : APN) 配置不同的包过滤 / 分析规则, GGSN 根据这些规则, 对用户数据包
     进行处理, 例如 : 在第三层进行源 / 目的地 IP 地址过滤 ; 在第四层进行端口号过滤 ; 在第七 层进行 URL 过滤。通过第三层至七层的包过滤和分析, GGSN 可以识别区分用户上下行数据 传送的内容, 判断是否允许处理。
     但是, 现有的 GGSN 或独立的 DPI 过滤服务器的过滤方式不灵活, 不利于实现精度 化管理。 发明内容
     本发明实施例提供一种深度包检测过滤方法、 设备和系统, 用以解决现有 DPI 过 滤技术的过滤方式不灵活的问题, 实现对 DPI 过滤策略的内容的灵活设置。
     本发明实施例提供一种深度包检测过滤方法, 包括 :
     根据发送上行数据的用户的相关太阳城集团, 确定所述用户的相关太阳城集团对应的用户深度 包检测过滤策略 ;
     将所述用户深度包检测过滤策略发送给深度包检测执行功能实体, 由所述深度包 检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户深度包检 测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     本发明实施例又提供一种深度包检测过滤方法, 包括 :
     获取用户深度包检测规则功能实体根据发送上行数据的用户的相关太阳城集团确定的 用户深度包检测过滤策略 ;
     根据所述用户深度包检测过滤策略, 对所述上行数据进行深度包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     本发明实施例再提供一种深度包检测规则功能实体, 包括 :
     用户策略确定模块, 用于根据发送上行数据的用户的相关太阳城集团, 确定所述用户的 相关太阳城集团对应的用户深度包检测过滤策略 ;用户策略发送模块, 用于将所述用户深度包检测过滤策略发送给深度包检测执行 功能实体, 由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行 数据进行用户深度包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     本发明实施例还提供一种深度包检测执行功能实体, 包括 :
     用户策略获取模块, 用于获取用户深度包检测规则功能实体根据发送上行数据的 用户的相关太阳城集团确定的用户深度包检测过滤策略 ;
     过滤模块, 用于根据所述用户深度包检测过滤策略, 对所述上行数据进行深度包 检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     本发明实施例还提供一种深度包检测过滤系统, 包括 : 深度包检测规则功能实体 和深度包检测执行功能实体 ;
     所述深度包检测规则功能实体包括 :
     用户策略确定模块, 用于根据发送上行数据的用户的相关太阳城集团, 确定所述用户的 相关太阳城集团对应的用户深度包检测过滤策略 ;
     用户策略发送模块, 用于将所述用户深度包检测过滤策略发送给深度包检测执行 功能实体, 由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行 数据进行用户深度包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容 ; 所述深度包检测执行功能实体包括 :
     用户策略获取模块, 用于获取用户深度包检测规则功能实体根据发送上行数据的 用户的相关太阳城集团确定的用户深度包检测过滤策略 ;
     过滤模块, 用于根据所述用户深度包检测过滤策略, 对所述上行数据进行深度包 检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     本发明实施例提供的深度包检测过滤方法、 设备和系统, 获取用户的相关太阳城集团后, 可以根据用户的相关太阳城集团对各个用户分别采用对应的用户 DPI 过滤策略, DPI 过滤策略的 内容设置灵活, 应用范围广, 可以满足不同用户群的需求, 实现更准确细致的内容过滤。
     附图说明
     为了更清楚地说明本发明实施例或现有技术中的技术方案, 下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍, 显而易见地, 下面描述中的附图是本发 明的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以根 据这些附图获得其他的附图。
     图 1 为本发明深度包检测过滤方法第一实施例的流程图 ;
     图 2 为本发明深度包检测过滤方法第二实施例的流程图 ;
     图 3a 为本发明深度包检测过滤方法第三实施例的应用场景的示意图 ;
     图 3b 为本发明深度包检测过滤方法第三实施例的流程示意图 ;
     图 4a 为本发明深度包检测过滤方法第四实施例的应用场景的示意图 ;
     图 4b 为本发明深度包检测过滤方法第四实施例的流程示意图 ;
     图 5 为本发明深度包检测规则功能实体第一实施例的结构示意图 ;
     图 6 为本发明深度包检测规则功能实体第二实施例的结构示意图 ;
     图 7 为本发明深度包检测执行功能实体第一实施例的结构示意图 ;图 8 为本发明深度包检测执行功能实体第二实施例的结构示意图 ; 图 9 为本发明深度包检测过滤系统实施例的结构示意图。具体实施方式
     为使本发明实施例的目的、 技术方案和优点更加清楚, 下面将结合本发明实施例 中的附图, 对本发明实施例中的技术方案进行清楚、 完整地描述, 显然, 所描述的实施例是 本发明一部分实施例, 而不是全部的实施例。 基于本发明中的实施例, 本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
     图 1 为本发明深度包检测过滤方法第一实施例的流程图, 如图 1 所示, 该深度包检 测过滤方法可以包括以下步骤 :
     步骤 101、 根据发送上行数据的用户的相关太阳城集团, 确定所述用户的相关太阳城集团对应的 用户深度包检测过滤策略 ;
     其中, 用户的相关太阳城集团可以包括用户类别、 用户年龄、 用户订购产品或用户位置信 息的至少一种。
     本发明实施例中通过深度包检测规则功能实体 (DPIRF) 和深度包检测执行功能 实体 (DPIEF) 进行用户 DPI 过滤策略, DPIRF 可以有多种实现方式, 包括以下示例 : 示例一、 对策略与计费执行功能实体 (PCEF) 和网关设备 (GGSN) 上的策略与计费 规则功能实体 (PCRF) 之间的 Gx(Diameter) 接口进行改进, 将 PCEF 与 DPIEF 设置在一起、 将 PCRF 与 DPIRF 部署在一起。PCRF 从用户签约数据库 (SPR) 的获取用户的相关太阳城集团后发 给 DPIRF, DPIRF 接收 PCRF 从 SPR 获取的用户的相关太阳城集团, 对 PCEF 进行策略加载。
     示例二、 DPIRF 为独立设备或将 DPIRF 设置在 DPI 设备例如 : DPI 过滤服务器中, 当 需要进行 DPI 过滤时, 由网关设备 (GGSN) 上 PCEF 的向 DPIRF 申请 DPI 过滤策略, PCEF 与 DPIRF 之间的接口可采用 Gx 接口。此时, DPIRF 从用户签约数据库 (SPR) 获取用户的相关 太阳城集团的方法具体为 : 若 DPIRF 接收到用户深度包检测过滤策略申请, 则 DPIRF 向 SPR 发送用 户太阳城集团申请, 所述用户太阳城集团申请用于请求获取发送上行数据的用户的相关太阳城集团, 接收所述 用户签约数据库返回的所述用户的相关太阳城集团。
     步骤 102、 将所述用户深度包检测过滤策略发送给深度包检测执行功能实体, 由所 述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行数据进行用户 深度包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     在步骤 102 中, 如果系统中 DPIRF 独立于 PCRF 之外, 则 DPIRF 可以直接将的用户 深度包检测过滤策略发送给 DPIEF ; 如果系统中有 DPIRF 与 PCRF 部署在一起, 则 DPIRF 将 用户深度包检测过滤策略发送给 DPIEF 的方法具体可以包括 :
     通过策略与计费规则功能实体将所述用户深度包检测过滤策略发送给策略与计 费执行功能实体后, 在所述策略与计费执行功能实体确定执行所述用户深度包检测过滤策 略时, 所述策略与计费执行功能实体将所述上行数据和所述用户深度包检测过滤策略发送 给深度包检测执行功能实体。
     进一步地, 该深度包检测过滤方法还可以包括 :
     设置所述用户深度包检测过滤策略的有效期, 在将所述用户深度包检测过滤策略 发送给深度包检测执行功能实体时携带所述有效期。
     DPIRF 获取用户深度包检测过滤策略后, 可以设置用户深度包检测过滤策略的有 效期, 然后, 可以将用户深度包检测过滤策略与有效期一起发送给 DPIEF, 在有效期之内, DPIEF 可以保存该用户的用户深度包检测过滤策略, 对该用户再次发生的上行数据直接该 用户深度包检测过滤策略进行内容识别和过滤。
     本实施例 DPIRF 或 PCRF 从 SPR 获取用户的相关太阳城集团后, DPIRF 可以根据用户的相 关太阳城集团对各个用户分别确定对应的用户 DPI 过滤策略, DPIEF 则可以根据 DPIRF 确定的用 户 DPI 过滤策略, 对该用户的数据进行内容识别和过滤, DPI 过滤策略的内容设置灵活, 应 用范围广, 可以满足不同用户群的需求, 实现更准确细致的内容过滤。
     图 2 为本发明深度包检测过滤方法第二实施例的流程图, 如图 2 所示, 该深度包检 测过滤方法可以包括以下步骤 :
     步骤 201、 获取用户深度包检测规则功能实体根据发送上行数据的用户的相关信 息确定的用户深度包检测过滤策略 ;
     其中, 用户的相关太阳城集团可以包括用户类别、 用户年龄、 用户订购产品或用户位置信 息的至少一种。
     由于 DPIEF 可以与 PCEF 部署在一起, DPIRF 与 PCRF 部署在一起, DPIEF、 DPIRF 也 可以分别独立设置, 因此在步骤 201 之前, 对公共深度包检测过滤策略进行分析的过程即 可以由 DPIEF 完成, 由可以由 PCRF 完成, 具体如下 :
     在策略与计费执行功能实体接收认证、 鉴权通过后的用户发送的上行数据后, 策 略与计费规则功能实体或深度包检测过滤执行功能实体接收所述策略与计费执行功能实 体发送的用户深度包检测过滤策略申请 ;
     所述策略与计费规则功能实体或深度包检测过滤执行功能实体对所述上行数据 进行公共深度包检测过滤策略分析, 判断所述上行数据是否允许执行公共深度包检测过滤 策略 ;
     如果是, 则所述策略与计费规则功能实体或深度包检测过滤执行功能实体向深度 包检测规则功能实体发送用户深度包检测过滤策略申请, 所述用户深度包检测过滤策略申 请中携带所述用户的相关太阳城集团。
     步骤 202、 根据所述用户深度包检测过滤策略, 对所述上行数据进行深度包检测内 容识别, 过滤所述上行数据中限制所述用户访问的内容。
     其中, 步骤 202 具体可以包括 :
     步骤 2021、 根据所述用户深度包检测过滤策略, 判断所述上行数据中所述用户请 求访问的网址是否允许访问 ; 如果是, 则执行步骤 2023 ; 否则, 执行步骤 2022。
     步骤 2022、 通过策略与计费执行功能实体将重定向网址或替换指定关键字后的上 行数据返回所述用户。
     步骤 2023、 通过策略与计费执行功能实体将所述上行数据发送至所述用户请求访 问的网址所归属的互联网服务器。
     步骤 2024、 通过策略与计费执行功能实体接收所述互联网服务器返回的所述用户 的下行数据 ;
     步骤 2025、 根据所述用户深度包检测过滤策略, 对所述下行数据进行用户深度包 检测内容识别, 过滤所述下行数据中限制所述用户访问的内容后, 通过所述策略与计费执行功能实体发送给所述用户。
     进一步地, 该深度包检测过滤方法还可以包括 :
     根据设置的有效期, 对所述用户深度包检测过滤策略进行缓存 ;
     在所述有效期内, 若再次接收到所述用户的上行数据或下行数据, 则根据所述用 户深度包检测过滤策略, 对所述用户的上行数据或下行数据进行内容识别, 过滤所述上行 数据或所述下行数据中限制所述用户访问的内容。
     DPIRF 获取用户深度包检测过滤策略后, 可以设置用户深度包检测过滤策略的有 效期, 然后, 将用户深度包检测过滤策略与有效期一起发送给 DPIEF。在有效期之内, DPIEF 可以保存该用户的用户深度包检测过滤策略, 如果 DPIEF 再次到该用户的上行数据时, 可 以不用向 DPIRF 获取用户深度包检测过滤策略, 而是直接根据 DPIRF 发送的用户深度包检 测过滤策略标识等, 采用上次保存的用户深度包检测过滤策略对该用户的上行数据进行用 户深度包检测内容识别, 过滤上行数据中限制该用户访问的内容。
     本实施例 DPIEF 可以获取 DPIRF 根据用户的相关太阳城集团确定的用户 DPI 过滤策略, 对该用户的数据进行内容识别和过滤, DPI 过滤策略的内容设置灵活, 应用范围广, 可以满 足不同用户群的需求, 实现更准确细致的内容过滤。 图 3a 为本发明深度包检测过滤方法第三实施例的应用场景的示意图, 如图 3a 所 示, 如果将 DPIRF 与 PCRF 集成或部署在一起, 将 DPIEF 与 PCEF 集成或部署在一起, 且将 PCEF 集成或部署在网关设备例如 : GGSN。PCEF 接收到用户发送的上行数据后, 向 PCRF 发送用户 DPI 过滤策略申请, PCRF 向 SPR 发送用户太阳城集团申请, 以获取用户的相关太阳城集团 ; PCRF 将携带用 户的相关太阳城集团的用户 DPI 过滤策略申请发送给 DPIRF ; DPIRF 可根据不同用户的相关太阳城集团, 定义不同的用户 DPI 过滤策略, 其中用户 DPI 过滤策略中具体的 DPI 过滤太阳城集团 (DPI 数据 ) 可通过 DPI 管理功能实体 (Deep Packet Inspection Management Function ; 简称 : DPIMF) 统一维护管理。 DPIMF 可将 DPI 数据同步到 DPIEF 上 ; 或将 DPI 数据发送到 DPIRF, 通过 PCRF 和 PCEF 同步到 DPIEF 上, DPIRF 与 DPIEF 之间传输的公共 DPI 过滤策略可为标识太阳城集团 (ID), 避免每次上网请求传送过多 DPI 过滤太阳城集团。DPIEF 根据用户 DPI 过滤策略对上行数据进行 内容识别和过滤后, 可通过 PCEF 将过滤后的上行数据发送给互联网服务器, 并将互联网服 务器返回的下行数据发送到 DPIEF 上 ; DPIEF 根据用户 DPI 过滤策略对下行数据进行内容 识别和过滤后, 通过 PCEF 将过滤后的下行数据返回给用户。
     此外, 基于用户的相关太阳城集团的用户 DPI 过滤策略可以设置有效期, 由 DPIRF 在向 DPIEF 发送用户 DPI 过滤策略时指定, 例如 : 有效期为 1 天, 即用户在当天的首次上网时将 DPI 过滤策略下载到 DPIEF, 然后每次用户上网无需重新申请用户 DPI 过滤策略。此外, 当 某一用户无任何对应的用户 DPI 过滤策略时, DPIRF 可以默认增加面向运营商的全部用户 生效的公共 DPI 过滤策略, 例如 : 运营商限定所有用户不允许访问非法赌博网站。
     图 3b 为本发明深度包检测过滤方法第三实施例的流程示意图, 如图 3b 所示, 该深 度包检测过滤方法具体包括以下步骤 :
     步骤 301、 需要上网的用户在完成认证、 鉴权后, 将上网请求即上行数据发给网关 设备例如 : GGSN 上的 PCEF。
     步骤 302、 PCEF 针对该用户的上行数据, 向 PCRF 发送用户 DPI 过滤策略申请。
     其中, 用户 DPI 过滤策略为基于用户的相关太阳城集团的 DPI 过滤策略, 根据用户 DPI 过
     滤策略可以按照不同的用户的相关太阳城集团对不同的用户进行 DPI 过滤, 例如 : 少年儿童不允 许访问不健康网站。此外, PCEF 还可以向 PCRF 发送 Qos 策略 ( 例如 : VIP 用户带宽 2M, 普 通用户带宽 512k)、 计费策略 ( 例如 : 普通用户下载 0.1 元 /Mb, VIP 用户下载 0.05 元 /Mb) 等。
     步骤 303、 PCRF 对该上行数据进行公共 DPI 过滤策略分析, 如果该上行数据不允 许执行公共 DPI 过滤策略, 可以直接向用户返回重定向网址 ; 如果该上行数据允许执行公 共 DPI 过滤策略, 再申请用户 DPI 过滤策略, 此时需要获取用户的相关太阳城集团, 具体方法为 : PCRF 向 SPR 发送用于请求获取用户的相关太阳城集团的用户太阳城集团申请, 该用户太阳城集团申请可以通过 Diameter 或简单对象访问协议 (Simple Object Access Protocol ; 简称 : SOAP) 消息等承 载; 具体地, 用户太阳城集团申请可以包括用户标识, SPR 根据用户标识可以将查找到的用户的相 关太阳城集团例如 : 用户年龄、 用户类别、 用户订购产品、 用户位置太阳城集团等返回给 PCRF。
     步骤 304、 PCRF 接收到 SPR 返回的用户的相关太阳城集团后, 根据用户的相关太阳城集团可以对 当前用户需要的用户 DPI 过滤策略进行选择, 例如 : 选择系统级的公共 DPI 过滤策略或用户 级的用户 DPI 过滤策略。然后 PCRF 将用户的相关太阳城集团发送给 DPIRF 进行用户 DPI 过滤策 略申请。 步骤 305、 DPIRF 根据用户的相关太阳城集团, 确定对应的用户 DPI 过滤策略后, 将根据 用户的相关太阳城集团确定的用户 DPI 过滤策略发送给 PCRF。每种用户 DPI 过滤策略定义了用 户可以访问或限制访问的统一资源定位符 (Uniform/Universal Resource Locator ; 简称 : URL)、 关键字太阳城集团等。例如 : 根据用户类别和年龄决定可以使用的 DPI 过滤策略, 用户年龄 段属少年儿童 ( 年龄<= 18) 应该使用 “少年儿童 DPI 过滤策略” ; 再根据用户类别判断用 户属于 “VIP 用户” 或是 “普通用户” , 如果属于 “普通用户” , 则采用 “普通用户 DPI 过滤策 略” ; 综上, DPIRF 决定采用的 “普通用户 DPI 过滤策略” 和 “少年儿童 DPI 过滤策略” 。
     步骤 306、 PCRF 将用户的相关太阳城集团和确定的用户 DPI 过滤策略发送给 PCEF, PCEF 根据用户的相关太阳城集团和用户 DPI 过滤策略确定是否执行用户 DPI 过滤策略。
     步骤 307、 PCEF 确定需要执行用户 DPI 过滤策略时, 将用户的上行数据和确定的用 户 DPI 过滤策略发送给 DPIEF。
     步骤 308、 DPIEF 根据用户 DPI 过滤策略对上行数据进行用户 DPI 内容识别, 过滤 限制该用户访问的内容, 例如 : 判断上行数据中用户请求访问的网址是否在用户 DPI 过滤 策略允许的范围内, 如果是, 则允许访问, 执行步骤 310 ; 否则, 限制访问, 执行步骤 309 或步 骤 314。
     例如 : 用户需要采用的用户 DPI 过滤策略为 DPIRF 返回的 “VIP DPI 过滤策略” 和 “少年儿童 DPI 过滤策略” , 则 DPIEF 根据对用户的上行数据进行 DPI 分析, 对 “VIP DPI 过 滤策略” 和 “少年儿童 DPI 过滤策略” 进行逐一分析, 假设首先判断用户的上行数据中包括 的用户请求访问的 URL 是否在 “普通用户 DPI 过滤策略” , 如果不在, 则不允许访问 ; 如果在, 则继续判断用户请求访问的 URL 是否在 “少年儿童 DPI 过滤策略” , 如果在, 则允许访问, 执 行步骤 310 ; 否则不允许访问, 执行步骤 309 或步骤 314。
     步骤 309、 指示 PCEF 将上行数据中的指定关键字的内容替换。
     步骤 310、 指示 PCEF 将用户的上行数据发送给用户请求访问的网址所归属的互联 网 (Internet) 服务器。如果在步骤 308 之后执行了步骤 309, 则在步骤 310 中, PCEF 向互
     联网服务器发送的上行数据为已经替换了部分指定关键字的上行数据。
     步骤 311、 互联网服务器向 PCEF 返回请求访问的网址中相关数据即用户的下行数 据。
     步骤 312、 PCEF 将接收到的下行数据和 PCEF 保存的用户 DPI 过滤策略发送给 DPIEF, DPIEF 根据用户 DPI 过滤策略对下行数据进行用户 DPI 内容识别, 对限制该用户访 问的内容进行过滤, 具体方法可以参考步骤 308, 判断是否下行数据中包括的内容是否在用 户 DPI 过滤策略允许的范围内, 如果是, 则执行步骤 313 ; 否则, 将下行数据中的指定关键字 替换后返回给用户, 或执行步骤 314。
     步骤 313、 PCEF 将用户的下行数据返回给用户。
     步骤 314、 PCEF 将重定向网址返回给用户。其中, 重定向是将 HTTP 的请求重新指 向另外一个服务器, 例如 : 在用户访问 hw.cn 时, 实际访问的可以是重新指向的相同的服务 器: www.huawei.com.cn。
     其中, 在步骤 308 和步骤第 312 中, DPIEF 执行的功能相同, 区别是在步骤 308 是 对上行数据执行用户 DPI 过滤策略, 在步骤 312 是对下行数据执行用户 DPI 过滤策略。其 中, 对上行数据或下行数据执行用户 DPI 过滤策略后, 所采用的 DPI 过滤策略可以进行不同 处理, 例如 : 对上行数据, 关键字过滤处理机制可以为 : 受限的关键字禁止发送, 重定向到 指定网址 ; 对下行数据, 关键字过滤处理机制可以为 : 替换指定关键词。对上行数据和下行 数据进行 DPI 分析, 也可以进行相同处理, 例如 : 不允许时, 返回重定向网址。 在具体实施本发明实施例的用户深度包检测过滤方法的过程中, 各个功能实体之 间的可以采用的协议的包括以下情况 :
     情况一、 PCRF 与 PCEF 之间采用的 Diameter 协议 (Gx)。
     当 PCEF 判断用户首次上网或 DPI 过滤策略的有效期已过期时, 向 PCRF 重新申请 DPI 过滤策略 ; 具体地, 可以在信用鉴权响应 (Credit Control Request ; 简称 : CCA) 中增加 新的属性值对 (Attribute-Value Pairs ; 简称 : AVP), 例如以下为一种信用鉴权响应的格 式:
     :: =
     *[DPI-Filter-Rule-Group]
     DPI-Filter-Rule-Group:: =
     *[DPI-Filter-Rule-id]
     [Expire-timer]
     DPI-Filter-Rule-id:: = UTF8String
     其中的 “*[DPI-Filter-Rule-Group]” 为新的属性值对的字段。
     情况二、 DPIRF 与 PCRF 之间采用新定义的 Diameter 协议或其他协议, 具体实现的 功能可以包括 :
     PCRF 向 DPIRF 发起的用户 DPI 过滤策略申请中至少包含但不限于用户的以下相关 太阳城集团 : 用户标识和用户基本太阳城集团例如 : 用户年龄、 用户类别、 用户订购产品、 用户位置太阳城集团 等;
     DPIRF 向 PCRF 返回的用户 DPI 过滤策略中至少包含但并不限于用户允许访问的至 少 1 个 DPI 过滤策略、 有效期等。
     情况三、 DPIEF 与 PCEF 之间采用新定义的 Diameter 协议或其他协议 ; 具体实现的 功能可以包括 :
     PCEF 向 DPIEF 发起的用于指示 DPIEF 执行用户 DPI 过滤策略的消息中至少包含但 不限于以下太阳城集团 : 用户标识、 用户的上行数据或下行数据、 用户 DPI 过滤策略、 有效期等 ;
     DPIEF 向 PCEF 返回的响应消息中至少包含但不限于以下太阳城集团 : 过滤请求结果 ( 允 许、 重定向、 替换关键字 )、 重定向网址 ( 当过滤请求结果为重定向时有效 )、 用户上行数据 或用户下行数据 ( 替换关键字太阳城集团 )。
     情况四、 PCRF 与 SPR 之间可以采用 Diameter 或 SOAP 协议 (Sp), 通过 Diameter 或 SOAP 消息承载 PCRF 向 SPR 发送的用户太阳城集团申请。
     需 要 说 明 的 是, 本发明实施例中的上网请求可以是非对称数字用户环路 (Asymmetric Digital Subscriber Line ; 简称 : ADSL) 宽带上网、 WLAN、 全球微波互联接入 (Worldwide Interoperability for Microwave Access ; 简称 : WiMax) 等多种上网领域的 上网请求, DPIRF 或 DPIEF 可以由多个上网领域的上网监控设备集成。
     本实施例 PCRF 从 SPR 获取用户的相关太阳城集团后, DPIRF 可以根据用户的相关太阳城集团对 各个用户分别确定对应的用户 DPI 过滤策略, DPIEF 则可以获取 DPIRF 确定的用户 DPI 过 滤策略, 根据对用户 DPI 过滤策略该用户的数据进行内容识别和过滤, DPI 过滤策略的内容 设置灵活, 应用范围广, 可以满足不同用户群的需求, 实现更准确细致的内容过滤。
     图 4a 为本发明深度包检测过滤方法第四实施例的应用场景的示意图, 如图 4a 所 示, 与图 3a 的区别在于, DPIRF 与 PCRF 为对等的功能实体, 二者的网络位置相同, DPIEF 为 独立设备或集成部署在已有的 DPI 设备中, 此外 PCEF 部署在 GGSN, 用户的相关太阳城集团存储在 SPR 中。 GGSN 接收到用户发送给的上行数据后, 向 DPIEF 发送用户 DPI 过滤策略申请, DPIEF 向 DPIRF 发送用户 DPI 过滤策略申请, 然后 DPIRF 向 SPR 发送用户太阳城集团申请, 以获取用户的 相关太阳城集团 ; DPIRF 根据用户的相关太阳城集团确定用户 DPI 过滤策略后, 将确定的用户 DPI 过滤策 略发送给 DPIEF, DPIEF 对上行数据进行内容识别和过滤后, 将过滤后的上行数据发送给用 户请求访问的网址所归属的互联网服务器 ; 然后 DPIEF 根据用户 DPI 过滤策略对接收到的 互联网服务器返回的下行数据进行内容识别和过滤, 再将过滤后的下行数据返回给用户。
     图 4b 为本发明深度包检测过滤方法第四实施例的流程示意图, 如图 4 所示, 该深 度包检测过滤方法具体可以包括以下步骤 :
     步骤 401、 需要上网的用户在认证、 鉴权通过后, 将上网请求即上行数据发给网关 设备例如 : GGSN。
     步骤 402、 GGSN 针对该用户的上行数据, 向 DPIEF 发送用户 DPI 过滤策略申请。
     步骤 403、 DPIEF 先进行公共 DPI 过滤策略分析, 如果不允许执行公共 DPI 过滤策 略, 则可以直接向用户返回重定向网址 ; 如果允许执行公共 DPI 过滤策略, DPIEF 向 DPIRF 发送用户 DPI 过滤策略申请后, DPIRF 向 SPR 发送用户太阳城集团申请, 可以通过 Diameter 或 SOAP 消息承载该用户太阳城集团申请。
     步骤 404、 DPIRF 根据 SPR 返回的用户的相关太阳城集团进行用户 DPI 过滤策略申请, 并 将确定的用户 DPI 过滤策略发送给 DPIEF。其中 DPIRF 确定用户 DPI 过滤策略的方法可以 参照上述第三实施例中步骤 305 中的相关描述。
     步骤 405、 DPIEF 根据确定的用户 DPI 过滤策略对用户的上行数据进行用户 DPI 内容识别, 过滤限制该用户访问的内容, 例如 : 判断上行数据中用户请求访问的网址是否在用 户 DPI 过滤策略允许的范围内, 如果是, 则允许访问, 执行步骤 407 ; 如果限制访问, 则执行 步骤 406 或步骤 412。
     步骤 406、 指示 GGSN 将上行数据中的指定关键字后的内容替换。
     步骤 407、 指示 GGSN 将用户的上行数据发送给用户请求访问的网址所归属的互联 网 (Internet) 服务器。
     步骤 408、 互联网服务器向 GGSN 返回请求访问的网址中相关数据即用户的下行数 据。
     步骤 409、 GGSN 将接收到的下行数据和用户 DPI 过滤策略发送给 DPIEF。
     步骤 410、 DPIEF 根据用户 DPI 过滤策略对下行数据进行用户 DPI 内容识别, 将限 制该用户访问的内容进行过滤, 例如 : 判断下行数据中包括的内容是否在用户 DPI 过滤策 略允许的范围内, 如果允许, 则执行步骤 411 ; 否则, 将下行数据中的指定关键字替换后返 回给用户, 或执行步骤 412。其中, DPIEF 可将用户对应的用户 DPI 过滤策略进行缓存, 并设 置用户 DPI 过滤策略的有效期, 有效期可以在 DPIRF 向 DPIEF 加载在用户 DPI 过滤策略加 载时指定, 例如 : 指定有效期为一天, 则该用户当天第一次初始上网时加载对应的用户 DPI 过滤策略, 这天的其他太阳城集团, 只要对应的用户 DPI 过滤策略已存在可以不再进行用户 DPI 过 滤策略申请。
     步骤 411、 GGSN 将用户的下行数据返回给用户。
     步骤 412、 GGSN 将重定向网址返回给用户。
     本实施例 DPIRF 从 SPR 获取用户的相关太阳城集团后, DPIRF 可以根据用户的相关太阳城集团对 各个用户分别确定对应的用户 DPI 过滤策略, DPIEF 则可以获取 DPIRF 确定的用户 DPI 过 滤策略, 根据对用户 DPI 过滤策略该用户的数据进行内容识别和过滤, DPI 过滤策略的内容 设置灵活, 应用范围广, 可以满足不同用户群的需求, 实现更准确细致的内容过滤。
     图 5 为本发明深度包检测规则功能实体第一实施例的结构示意图, 如图 5 所示, 该 深度包检测规则功能实体可以包括 :
     用户策略确定模块 51, 用于根据发送上行数据的用户的相关太阳城集团, 确定所述用户 的相关太阳城集团对应的用户深度包检测过滤策略 ;
     用户策略发送模块 52, 用于将所述用户深度包检测过滤策略发送给深度包检测执 行功能实体, 由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上 行数据进行用户深度包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     具体地, 深度包检测规则功能实体 (DPIRF) 可以独立设置或设置在 DPI 设备中, 也 可以与策略与计费规则功能实体 (PCRF) 部署在一起, DPIRF 从用户签约数据库 (SPR) 获取 发送上行数据的用户的相关太阳城集团, 或 PCRF 从 SPR 获取用户的相关太阳城集团后发送给 DPIRF 后, 用户策略确定模块 51 根据发送上行数据的用户的相关太阳城集团, 可以确定该用户的相关太阳城集团 对应的用户深度包检测 (DPI) 过滤策略 ; 然后, 用户策略发送模块 52 将该用户 DPI 过滤策 略发送给深度包检测执行功能实体 (DPIEF), DPIEF 根据该用户 DPI 过滤策略, 可以对上行 数据进行用户深度包检测内容识别, 过滤上行数据中限制该用户访问的内容。然后 DPIEF 可以通过网关设备上的策略与计费执行功能实体 (PCEF) 可以将过滤后的上行数据发送给 用户请求访问的网址所在的互联网服务器, 如果接收到互联网服务器返回的下行数据, 则根据用户 DPI 过滤策略将接收到的下行数据过滤后返回给用户。
     本实施例 DPIRF 或 PCRF 从 SPR 获取用户的相关太阳城集团后, DPIRF 的用户策略确定模 块可以根据用户的相关太阳城集团对各个用户分别确定对应的用户 DPI 过滤策略, 用户策略发送 模块可以将该用户 DPI 过滤策略发送给 DPIEF, DPIEF 则可以根据 DPIRF 确定的用户 DPI 过 滤策略, 实现对该用户的数据的内容识别和过滤, DPI 过滤策略的内容设置灵活, 应用范围 广, 可以满足不同用户群的需求, 实现更准确细致的内容过滤。
     图 6 为本发明深度包检测规则功能实体第二实施例的结构示意图, 如图 6 所示, 在 本发明深度包检测规则功能实体第一实施例的基础上, 该深度包检测规则功能实体还可以 包括 : 用户太阳城集团申请模块 53 或用户太阳城集团接收模块 54。
     其中, 用户太阳城集团申请模块 53, 用于若接收到用户深度包检测过滤策略申请, 则向用 户签约数据库发送用户太阳城集团申请, 所述用户太阳城集团申请用于请求获取发送上行数据的用户的 相关太阳城集团, 接收所述用户签约数据库返回的所述用户的相关太阳城集团 ;
     用户太阳城集团接收模块 54, 用于接收策略与计费规则功能实体从所述用户签约数据库 获取的所述用户的相关太阳城集团。
     进一步地, 该深度包检测规则功能实体还可以包括 : 有效期设置模块 55, 用于设置所述用户深度包检测过滤策略的有效期, 在将所述 用户深度包检测过滤策略发送给深度包检测执行功能实体时携带所述有效期。
     具体地, 当 DPIRF 独立设置或设置在 DPI 设备中时, 在 DPIRF 接收到网关设备上的 PCEF 发送的用户 DPI 过滤策略申请后, 用户太阳城集团申请模块 53 可以向用户签约数据库发送用 户太阳城集团申请, 请求获取发送上行数据的用户的相关太阳城集团, 在接收到用户签约数据库返回的 该用户的相关太阳城集团。当 DPIRF 与 PCRF 部署在一起时, 可以通过 PCRF 从用户签约数据库获 取的该用户的相关太阳城集团, 然后 DPIRF 的用户太阳城集团接收模块 54 接收 PCRF 发送的该用户的相 关太阳城集团。用户策略确定模块 51 根据发送上行数据的用户的相关太阳城集团, 可以确定该用户的相 关太阳城集团对应的用户 DPI 过滤策略 ; 有效期设置模块 55 可以设置该用户 DPI 过滤策略的有效 期; 然后, 用户策略发送模块 52 将该用户 DPI 过滤策略发送给 DPIEF。在用户 DPI 过滤策 略的有效期内, DPIEF 根据该用户 DPI 过滤策略, 可以对上行数据进行用户深度包检测内容 识别, 过滤上行数据中限制该用户访问的内容。然后 DPIEF 可以通过网关设备上的 PCEF 可 以将过滤后的的上行数据发送给用户请求访问的网址所在的互联网服务器, 如果接收到互 联网服务器返回的下行数据, 则根据用户 DPI 过滤策略将接收到的下行数据过滤后返回给 用户。
     本实施例 DPIRF 的用户太阳城集团申请模块或用户太阳城集团接收模块获取用户的相关太阳城集团 后, 用户策略确定模块可以根据用户的相关太阳城集团对各个用户分别确定对应的用户 DPI 过滤 策略, 有效期设置模块可以设置该用户 DPI 过滤策略的有效期, 用户策略发送模块可以将 该用户 DPI 过滤策略及其有效期发送给 DPIEF, DPIEF 则可以根据 DPIRF 确定的用户 DPI 过 滤策略, 实现对该用户的数据的内容识别和过滤, DPI 过滤策略的内容设置灵活, 应用范围 广, 可以满足不同用户群的需求, 实现更准确细致的内容过滤。
     图 7 为本发明深度包检测执行功能实体第一实施例的结构示意图, 如图 7 所示, 该 深度包检测执行功能实体可以包括 : 用户策略获取模块 71 和过滤模块 72。
     其中, 用户策略获取模块 71, 用于获取用户深度包检测规则功能实体根据发送上
     行数据的用户的相关太阳城集团确定的用户深度包检测过滤策略 ;
     过滤模块 72, 用于根据所述用户深度包检测过滤策略, 对所述上行数据进行深度 包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     具体地, 深度包检测执行功能实体 (DPIEF) 可以独立设置或设置在 DPI 设备中, 也 可以与策略与计费执行功能实体 (PCEF) 部署在一起, DPIEF 的用户策略获取模块 71 接收 到 DPIRF 根据发送上行数据的用户的相关太阳城集团确定的用户深度包检测 (DPI) 过滤策略后, 过滤模块 72 根据该用户 DPI 过滤策略, 对上行数据进行深度包检测内容识别, 过滤上行数 据中限制该用户访问的内容。 通过网关设备将该上行数据发送给用户请求访问的网址所在 的互联网服务器, 如果接收到互联网服务器返回的下行数据, 则根据用户 DPI 过滤策略将 接收到的下行数据过滤后返回给用户。
     本实施例 DPIEF 的用户策略获取模块可以获取 DPIRF 根据用户的相关太阳城集团确定的 用户 DPI 过滤策略, 过滤模块对该用户的数据进行内容识别和过滤, DPI 过滤策略的内容设 置灵活, 应用范围广, 可以满足不同用户群的需求, 实现更准确细致的内容过滤。
     图 8 为本发明深度包检测执行功能实体第二实施例的结构示意图, 如图 8 所示, 在 本发明深度包检测执行功能实体第一实施例的基础上, 该深度包检测执行功能实体的过滤 模块 72 包括 : 判断子模块 721、 上行数据子模块 722 和返回子模块 723。 其中, 判断子模块 721, 用于根据所述用户深度包检测过滤策略, 判断所述上行数 据中所述用户请求访问的网址是否允许访问 ;
     上行数据子模块 722, 用于如果上行数据中所述用户请求访问的网址允许访问, 则 通过策略与计费执行功能实体将所述上行数据发送至所述用户请求访问的网址所归属的 互联网服务器 ;
     返回子模块 723, 用于如果上行数据中所述用户请求访问的网址不允许访问, 通过 策略与计费执行功能实体将重定向网址或替换指定关键字后的上行数据返回所述用户。
     进一步地, 过滤模块 72 还可以包括 : 下行数据子模块 724, 用于通过策略与计费执 行功能实体接收所述互联网服务器返回的所述用户的下行数据 ; 根据所述用户深度包检测 过滤策略, 对所述下行数据进行用户深度包检测内容识别, 过滤所述下行数据中限制所述 用户访问的内容后, 通过所述策略与计费执行功能实体发送给所述用户。
     此外, 该深度包检测执行功能实体还可以包括 : 策略申请接收模块 73、 公共策略 分析模块 74 和用户策略申请模块 75。
     其中, 策略申请接收模块 73, 用于在策略与计费执行功能实体接收认证、 鉴权通过 后的用户发送的上行数据后, 接收所述策略与计费执行功能实体发送的用户深度包检测过 滤策略申请 ;
     公共策略分析模块 74, 用于对所述上行数据进行公共深度包检测过滤策略分析, 判断所述上行数据是否允许执行公共深度包检测过滤策略 ;
     用户策略申请模块 75, 用于如果允许执行公共深度包检测过滤策略, 则向深度包 检测规则功能实体发送用户深度包检测过滤策略申请, 所述用户深度包检测过滤策略申请 中携带所述用户的相关太阳城集团。
     具体地, 在网关设备上的 PCEF 接收到认证、 鉴权通过后的用户发送的上行数据 后, 策略申请接收模块 73 可以接收到该 PCEF 发送的用户 DPI 过滤策略申请 ; 公共策略分析
     模块 74 对该上行数据进行公共 DPI 过滤策略分析, 判断该上行数据是否允许执行公共 DPI 过滤策略 ; 如果允许执行公共 DPI 过滤策略, 则用户策略申请模块 75 向 DPIRF 发送携带用 户的相关太阳城集团的用户 DPI 过滤策略申请, DPIRF 完成用户 DPI 过滤策略申请后, 向 DPIEF 返 回确定的用户 DPI 过滤策略。用户策略获取模块 71 接收到 DPIRF 根据发送上行数据的用 户的相关太阳城集团确定的用户 DPI 过滤策略后, 过滤模块 72 的判断子模块 721 根据用户 DPI 过 滤策略, 判断所述上行数据中所述用户请求访问的网址是否允许访问 ; 如果是, 则上行数据 子模块 722 通过网关设备的 PCEF 将所述上行数据发送至所述用户请求访问的网址所归属 的互联网服务器 ; 否则, 返回子模块 723 通过 PCEF 将重定向网址或替换指定关键字后的上 行数据返回所述用户。如果上行数据子模块 722 通过网关设备的 PCEF 将所述上行数据发 送至所述用户请求访问的网址所归属的互联网服务器, 则下行数据子模块 724 可以从 PCEF 接收互联网服务器返回的所述用户的下行数据, 再根据用户 DPI 过滤策略, 对所述下行数 据进行用户 DPI 内容识别, 过滤所述下行数据中限制所述用户访问的内容后, 通过 PCEF 向 用户请求访问的网址所在的互联网服务器发送该上行数据, 如果接收到互联网服务器返回 的下行数据, 则根据用户 DPI 过滤策略将接收到的下行数据过滤后返回给用户。
     本实施例 DPIEF 的用户策略获取模块可以获取 DPIRF 根据用户的相关太阳城集团确定的 用户 DPI 过滤策略, 过滤模块的各个子模块对该用户的数据进行内容识别和过滤, DPI 过滤 策略的内容设置灵活, 应用范围广, 可以满足不同用户群的需求, 实现更准确细致的内容过 滤。
     图 9 为本发明深度包检测过滤系统实施例的结构示意图, 如图 9 所示, 该深度包检 测过滤系统可以包括 : 深度包检测规则功能实体 91 和深度包检测执行功能实体 92 ;
     其中, 深度包检测规则功能实体 91 可以包括 :
     用户策略确定模块, 用于根据发送上行数据的用户的相关太阳城集团, 确定所述用户的 相关太阳城集团对应的用户深度包检测过滤策略 ;
     用户策略发送模块, 用于将所述用户深度包检测过滤策略发送给深度包检测执行 功能实体, 由所述深度包检测执行功能实体根据所述用户深度包检测过滤策略对所述上行 数据进行用户深度包检测内容识别, 过滤所述上行数据中限制所述用户访问的内容 ;
     深度包检测执行功能实体 92 可以包括 :
     用户策略获取模块, 用于获取用户深度包检测规则功能实体根据发送上行数据的 用户的相关太阳城集团确定的用户深度包检测过滤策略 ;
     过滤模块, 用于根据所述用户深度包检测过滤策略, 对所述上行数据进行深度包 检测内容识别, 过滤所述上行数据中限制所述用户访问的内容。
     具体地, 深度包检测规则功能实体 91 和深度包检测执行功能实体 92 的具体结构 可以参照上述实施例中的相关描述, 深度包检测规则功能实体 91 可以独立设置或设置在 DPI 设备中, 也可以与策略与计费规则功能实体 94 部署在一起 ; 深度包检测执行功能实体 92 可以独立设置或设置在 DPI 设备中, 也可以与策略与计费执行功能实体 93 部署在一起。
     当深度包检测规则功能实体 91、 深度包检测执行功能实体 92 独立设置或设置在 DPI 设备中时, 深度包检测规则功能实体 91 可以接收到网关设备发送的用户 DPI 过滤策略 申请, 然后, 向用户签约数据库发送用户太阳城集团申请, 请求获取发送上行数据的用户的相关信 息, 可以接收到用户签约数据库返回的该用户的相关太阳城集团, 再根据用户的相关太阳城集团确定对应的用户 DPI 过滤策略 ; 并将该用户 DPI 过滤策略发送给深度包检测执行功能实体 92。深 度包检测执行功能实体 92 根据该用户 DPI 过滤策略, 可以对上行数据进行用户 DPI 内容识 别, 过滤上行数据中限制该用户访问的内容。
     进一步地, 该深度包检测过滤系统还可以包括 :
     策略与计费执行功能实体 93, 用于在接收到认证、 鉴权通过后的用户发送的上行 数据后, 向策略与计费规则功能实体 94 或深度包检测执行功能实体 92 发送用户深度包检 测过滤策略申请 ;
     策略与计费规则功能实体 94, 用于在接收到策略与计费执行功能实体 93 发送的 用户深度包检测过滤策略申请后, 对所述上行数据进行公共深度包检测过滤策略分析 ; 判 断所述上行数据是否允许执行公共深度包检测过滤策略, 如果是, 则向深度包检测规则功 能实体 91 发送用户深度包检测过滤策略申请, 所述用户深度包检测过滤策略申请中携带 所述用户的相关太阳城集团。
     当深度包检测规则功能实体 91 与策略与计费规则功能实体 94 部署在一起 ; 深度 包检测执行功能实体 92 与策略与计费执行功能实体 93 部署在一起时, 可以通过从用户签 约数据库获取的该用户的相关太阳城集团, 然后策略与计费规则功能实体 94 将该用户的相关信 息发送给深度包检测规则功能实体 91。 深度包检测规则功能实体 91 根据用户的相关太阳城集团, 可以确定该用户的相关太阳城集团对应的用户 DPI 过滤策略 ; 然后, 将该用户 DPI 过滤策略发送给 深度包检测执行功能实体 92。深度包检测执行功能实体 92 根据该用户 DPI 过滤策略, 可 以对上行数据进行用户深度包检测内容识别, 过滤上行数据中限制该用户访问的内容。然 后深度包检测执行功能实体 92 通过网关设备上的策略与计费执行功能实体 93 向用户请求 访问的网址所在的互联网服务器发送该上行数据, 如果接收到互联网服务器返回的下行数 据, 则根据用户 DPI 过滤策略将接收到的下行数据过滤后返回给用户。
     本实施例深度包检测规则功能实体根据用户的相关太阳城集团确定的用户 DPI 过滤策 略, 深度包检测执行功能实体的可以根据深度包检测规则功能实体确定的用户 DPI 过滤策 略, 对该用户的数据进行内容识别和过滤, DPI 过滤策略的内容设置灵活, 应用范围广, 可以 满足不同用户群的需求, 实现更准确细致的内容过滤。
     本领域普通技术人员可以理解 : 实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成, 前述的程序可以存储于一计算机可读取存储介质中, 该程序 在执行时, 执行包括上述方法实施例的步骤 ; 而前述的存储介质包括 : ROM、 RAM、 磁碟或者 光盘等各种可以存储程序代码的介质。
太阳城集团     最后应说明的是 : 以上实施例仅用以说明本发明的技术方案, 而非对其限制 ; 尽 管参照前述实施例对本发明进行了详细的说明, 本领域的普通技术人员应当理解 : 其依然 可以对前述各实施例所记载的技术方案进行修改, 或者对其中部分技术特征进行等同替 换; 而这些修改或者替换, 并不使相应技术方案的本质脱离本发明各实施例技术方案的范 围。

关 键 词:
深度 检测 过滤 方法 设备 系统
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
太阳城集团本文
本文标题:深度包检测过滤方法、设备和系统.pdf
链接地址:http://zh228.com/p-6420475.html
太阳城集团我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

copyright@ 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
葡京赌场|welcome document.write ('');