• / 24
  • 下載費用:30 金幣  

深度包檢測過濾方法、設備和系統.pdf

摘要
申請專利號:

CN201010253510.1

申請日:

2010.08.12

公開號:

CN102142925B

公開日:

2015.01.07

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):H04L 1/00申請日:20100812|||公開
IPC分類號: H04L1/00; H04L29/06 主分類號: H04L1/00
申請人: 華為技術有限公司
發明人: 夏秀巖
地址: 518129 廣東省深圳市龍崗區坂田華為總部辦公樓
優先權:
專利代理機構: 北京同立鈞成知識產權代理有限公司 11205 代理人: 劉芳
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201010253510.1

授權公告號:

102142925B||||||

法律狀態公告日:

2015.01.07|||2011.09.28|||2011.08.03

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

本發明實施例涉及一種深度包檢測過濾方法、設備和系統,其中,該深度包檢測過濾方法包括:根據發送上行數據的用戶的相關信息,確定所述用戶的相關信息對應的用戶深度包檢測過濾策略;將所述用戶深度包檢測過濾策略發送給深度包檢測執行功能實體,由所述深度包檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上行數據進行用戶深度包檢測內容識別,過濾所述上行數據中限制所述用戶訪問的內容。本發明實施例獲取用戶的相關信息后,可以根據用戶的相關信息對各個用戶分別采用對應的用戶DPI過濾策略,DPI過濾策略的內容設置靈活,應用范圍廣,可以滿足不同用戶群的需求,實現更準確細致的內容過濾。

權利要求書

1: 一種深度包檢測過濾方法, 其特征在于, 包括 : 根據發送上行數據的用戶的相關信息, 確定所述用戶的相關信息對應的用戶深度包檢 測過濾策略 ; 將所述用戶深度包檢測過濾策略發送給深度包檢測執行功能實體, 由所述深度包檢測 執行功能實體根據所述用戶深度包檢測過濾策略對所述上行數據進行用戶深度包檢測內 容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
2: 根據權利要求 1 所述的深度包檢測過濾方法, 其特征在于, 所述用戶的相關信息包 括用戶類別、 用戶年齡、 用戶訂購產品或用戶位置信息的至少一種, 所述根據發送上行數 據的用戶的相關信息, 確定所述用戶的相關信息對應的用戶深度包檢測過濾策略之前, 包 括: 若接收到用戶深度包檢測過濾策略申請, 則向用戶簽約數據庫發送用戶信息申請, 所 述用戶信息申請用于請求獲取發送上行數據的用戶的相關信息, 接收所述用戶簽約數據庫 返回的所述用戶的相關信息 ; 或 接收策略與計費規則功能實體從所述用戶簽約數據庫獲取的所述用戶的相關信息。
3: 根據權利要求 1 所述的深度包檢測過濾方法, 其特征在于, 所述將所述用戶深度包 檢測過濾策略發送給深度包檢測執行功能實體, 包括 : 通過策略與計費規則功能實體將所述用戶深度包檢測過濾策略發送給策略與計費執 行功能實體后, 在所述策略與計費執行功能實體確定執行所述用戶深度包檢測過濾策略 時, 所述策略與計費執行功能實體將所述上行數據和所述用戶深度包檢測過濾策略發送給 深度包檢測執行功能實體。
4: 根據權利要求 1 所述的深度包檢測過濾方法, 其特征在于, 還包括 : 設置所述用戶深度包檢測過濾策略的有效期, 在將所述用戶深度包檢測過濾策略發送 給深度包檢測執行功能實體時攜帶所述有效期。
5: 一種深度包檢測過濾方法, 其特征在于, 包括 : 獲取用戶深度包檢測規則功能實體根據發送上行數據的用戶的相關信息確定的用戶 深度包檢測過濾策略 ; 根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度包檢測內容識別, 過濾 所述上行數據中限制所述用戶訪問的內容。
6: 根據權利要求 5 所述的深度包檢測過濾方法, 其特征在于, 所述根據所述用戶深度 包檢測過濾策略, 對所述上行數據進行深度包檢測內容識別, 過濾所述上行數據中限制所 述用戶訪問的內容, 包括 : 根據所述用戶深度包檢測過濾策略, 判斷所述上行數據中所述用戶請求訪問的網址是 否允許訪問 ; 如果是, 則通過策略與計費執行功能實體將所述上行數據發送至所述用戶請求訪問的 網址所歸屬的互聯網服務器 ; 否則, 通過策略與計費執行功能實體將重定向網址或替換指定關鍵字后的上行數據返 回所述用戶。
7: 根據權利要求 6 所述的深度包檢測過濾方法, 其特征在于, 所述通過策略與計費執 行功能實體將所述上行數據發送至所述用戶請求訪問的網址所歸屬的互聯網服務器之后, 2 包括 : 通過所述策略與計費執行功能實體接收所述互聯網服務器返回的所述用戶的下行數 據; 根據所述用戶深度包檢測過濾策略, 對所述下行數據進行用戶深度包檢測內容識別, 過濾所述下行數據中限制所述用戶訪問的內容后, 通過所述策略與計費執行功能實體發送 給所述用戶。
8: 根據權利要求 5 所述的深度包檢測過濾方法, 其特征在于, 所述用戶的相關信息包 括用戶類別、 用戶年齡、 用戶訂購產品或用戶位置信息的至少一種, 所述獲取用戶深度包檢 測規則功能實體根據發送上行數據的用戶的相關信息確定的用戶深度包檢測過濾策略之 前, 包括 : 在策略與計費執行功能實體接收認證、 鑒權通過后的用戶發送的上行數據后, 策略與 計費規則功能實體或深度包檢測過濾執行功能實體接收所述策略與計費執行功能實體發 送的用戶深度包檢測過濾策略申請 ; 所述策略與計費規則功能實體或深度包檢測過濾執行功能實體對所述上行數據進行 公共深度包檢測過濾策略分析, 判斷所述上行數據是否允許執行公共深度包檢測過濾策 略; 如果是, 則所述策略與計費規則功能實體或深度包檢測過濾執行功能實體向深度包檢 測規則功能實體發送用戶深度包檢測過濾策略申請, 所述用戶深度包檢測過濾策略申請中 攜帶所述用戶的相關信息。
9: 根據權利要求 5-8 任一所述的深度包檢測過濾方法, 其特征在于, 還包括 : 根據設置的有效期, 對所述用戶深度包檢測過濾策略進行緩存 ; 在所述有效期內, 若再次接收到所述用戶的上行數據或下行數據, 則根據所述用戶深 度包檢測過濾策略, 對所述用戶的上行數據或下行數據進行內容識別, 過濾所述上行數據 或所述下行數據中限制所述用戶訪問的內容。
10: 一種深度包檢測規則功能實體, 其特征在于, 包括 : 用戶策略確定模塊, 用于根據發送上行數據的用戶的相關信息, 確定所述用戶的相關 信息對應的用戶深度包檢測過濾策略 ; 用戶策略發送模塊, 用于將所述用戶深度包檢測過濾策略發送給深度包檢測執行功能 實體, 由所述深度包檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上行數據 進行用戶深度包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
11: 根據權利要求 10 所述的深度包檢測規則功能實體, 其特征在于, 還包括 : 用戶信息申請模塊, 用于若接收到用戶深度包檢測過濾策略申請, 則向用戶簽約數據 庫發送用戶信息申請, 所述用戶信息申請用于請求獲取發送上行數據的用戶的相關信息, 接收所述用戶簽約數據庫返回的所述用戶的相關信息 ; 或 用戶信息接收模塊, 用于接收策略與計費規則功能實體從所述用戶簽約數據庫獲取的 所述用戶的相關信息。
12: 根據權利要求 10 或 11 所述的深度包檢測規則功能實體, 其特征在于, 還包括 : 有效期設置模塊, 用于設置所述用戶深度包檢測過濾策略的有效期, 在將所述用戶深 度包檢測過濾策略發送給深度包檢測執行功能實體時攜帶所述有效期。 3
13: 一種深度包檢測執行功能實體, 其特征在于, 包括 : 用戶策略獲取模塊, 用于獲取用戶深度包檢測規則功能實體根據發送上行數據的用戶 的相關信息確定的用戶深度包檢測過濾策略 ; 過濾模塊, 用于根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度包檢測 內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
14: 根據權利要求 13 所述的深度包檢測執行功能實體, 其特征在于, 所述過濾模塊包 括: 判斷子模塊, 用于根據所述用戶深度包檢測過濾策略, 判斷所述上行數據中所述用戶 請求訪問的網址是否允許訪問 ; 上行數據子模塊, 用于如果上行數據中所述用戶請求訪問的網址允許訪問, 則通過策 略與計費執行功能實體將所述上行數據發送至所述用戶請求訪問的網址所歸屬的互聯網 服務器 ; 返回子模塊, 用于如果上行數據中所述用戶請求訪問的網址不允許訪問, 通過策略與 計費執行功能實體將重定向網址或替換指定關鍵字后的上行數據返回所述用戶。
15: 根據權利要求 14 所述的深度包檢測執行功能實體, 其特征在于, 所述過濾模塊還 包括 : 下行數據子模塊, 用于通過策略與計費執行功能實體接收所述互聯網服務器返回的所 述用戶的下行數據 ; 根據所述用戶深度包檢測過濾策略, 對所述下行數據進行用戶深度包 檢測內容識別, 過濾所述下行數據中限制所述用戶訪問的內容后, 通過所述策略與計費執 行功能實體發送給所述用戶。
16: 根據權利要求 13-15 任一所述的深度包檢測執行功能實體, 其特征在于, 還包括 : 策略申請接收模塊, 用于在策略與計費執行功能實體接收認證、 鑒權通過后的用戶發 送的上行數據后, 接收所述策略與計費執行功能實體發送的用戶深度包檢測過濾策略申 請; 公共策略分析模塊, 用于對所述上行數據進行公共深度包檢測過濾策略分析, 判斷所 述上行數據是否允許執行公共深度包檢測過濾策略 ; 用戶策略申請模塊, 用于如果允許執行公共深度包檢測過濾策略, 則向深度包檢測規 則功能實體發送用戶深度包檢測過濾策略申請, 所述用戶深度包檢測過濾策略申請中攜帶 所述用戶的相關信息。
17: 一種深度包檢測過濾系統, 其特征在于, 包括 : 深度包檢測規則功能實體和深度包 檢測執行功能實體 ; 所述深度包檢測規則功能實體包括 : 用戶策略確定模塊, 用于根據發送上行數據的用戶的相關信息, 確定所述用戶的相關 信息對應的用戶深度包檢測過濾策略 ; 用戶策略發送模塊, 用于將所述用戶深度包檢測過濾策略發送給深度包檢測執行功能 實體, 由所述深度包檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上行數據 進行用戶深度包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容 ; 所述深度包檢測執行功能實體包括 : 用戶策略獲取模塊, 用于獲取用戶深度包檢測規則功能實體根據發送上行數據的用戶 4 的相關信息確定的用戶深度包檢測過濾策略 ; 過濾模塊, 用于根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度包檢測 內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
18: 根據權利要求 17 所述的深度包檢測過濾系統, 其特征在于, 還包括 : 策略與計費執行功能實體, 與所述深度包檢測執行功能實體連接, 用于在接收到認證、 鑒權通過后的用戶發送的上行數據后, 向策略與計費規則功能實體或所述深度包檢測執行 功能實體發送用戶深度包檢測過濾策略申請 ; 策略與計費規則功能實體, 與所述深度包檢測執行規則實體連接, 用于在接收到所述 策略與計費執行功能實體發送的用戶深度包檢測過濾策略申請后, 對所述上行數據進行公 共深度包檢測過濾策略分析 ; 判斷所述上行數據是否允許執行公共深度包檢測過濾策略, 如果是, 則向所述深度包檢測規則功能實體發送用戶深度包檢測過濾策略申請, 所述用戶 深度包檢測過濾策略申請中攜帶所述用戶的相關信息。

說明書


深度包檢測過濾方法、 設備和系統

    【技術領域】
     本發明實施例涉及通信技術領域, 特別涉及一種深度包檢測過濾方法、 設備和系統。 背景技術 深度包檢測 (Deep Packet Inspection ; 簡稱 : DPI) 技術可以應用于流量管理、 安 全和網絡分析等方面, 能夠對網絡數據包進行內容分析。 DPI 技術能夠為不同的應用程序提 供深度包檢測, 夠檢測出數據包的內容及有效負載并且能夠提取出內容級別的信息, 如惡 意軟件、 具體數據和應用程序類型。
     現有技術中網關通用分組無線服務支持節點 (Gateway General Packet Radio Service Support Node ; 簡稱 : GGSN) 可以采用內嵌的 DPI 或獨立的 DPI 服務器, 對移動用戶 的上下行數據進行深層的數據包過濾和分析。 運營商可以在 GGSN 上為接入點名稱 (Access Point Name ; 簡稱 : APN) 配置不同的包過濾 / 分析規則, GGSN 根據這些規則, 對用戶數據包
     進行處理, 例如 : 在第三層進行源 / 目的地 IP 地址過濾 ; 在第四層進行端口號過濾 ; 在第七 層進行 URL 過濾。通過第三層至七層的包過濾和分析, GGSN 可以識別區分用戶上下行數據 傳送的內容, 判斷是否允許處理。
     但是, 現有的 GGSN 或獨立的 DPI 過濾服務器的過濾方式不靈活, 不利于實現精度 化管理。 發明內容
     本發明實施例提供一種深度包檢測過濾方法、 設備和系統, 用以解決現有 DPI 過 濾技術的過濾方式不靈活的問題, 實現對 DPI 過濾策略的內容的靈活設置。
     本發明實施例提供一種深度包檢測過濾方法, 包括 :
     根據發送上行數據的用戶的相關信息, 確定所述用戶的相關信息對應的用戶深度 包檢測過濾策略 ;
     將所述用戶深度包檢測過濾策略發送給深度包檢測執行功能實體, 由所述深度包 檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上行數據進行用戶深度包檢 測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     本發明實施例又提供一種深度包檢測過濾方法, 包括 :
     獲取用戶深度包檢測規則功能實體根據發送上行數據的用戶的相關信息確定的 用戶深度包檢測過濾策略 ;
     根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     本發明實施例再提供一種深度包檢測規則功能實體, 包括 :
     用戶策略確定模塊, 用于根據發送上行數據的用戶的相關信息, 確定所述用戶的 相關信息對應的用戶深度包檢測過濾策略 ;用戶策略發送模塊, 用于將所述用戶深度包檢測過濾策略發送給深度包檢測執行 功能實體, 由所述深度包檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上行 數據進行用戶深度包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     本發明實施例還提供一種深度包檢測執行功能實體, 包括 :
     用戶策略獲取模塊, 用于獲取用戶深度包檢測規則功能實體根據發送上行數據的 用戶的相關信息確定的用戶深度包檢測過濾策略 ;
     過濾模塊, 用于根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度包 檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     本發明實施例還提供一種深度包檢測過濾系統, 包括 : 深度包檢測規則功能實體 和深度包檢測執行功能實體 ;
     所述深度包檢測規則功能實體包括 :
     用戶策略確定模塊, 用于根據發送上行數據的用戶的相關信息, 確定所述用戶的 相關信息對應的用戶深度包檢測過濾策略 ;
     用戶策略發送模塊, 用于將所述用戶深度包檢測過濾策略發送給深度包檢測執行 功能實體, 由所述深度包檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上行 數據進行用戶深度包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容 ; 所述深度包檢測執行功能實體包括 :
     用戶策略獲取模塊, 用于獲取用戶深度包檢測規則功能實體根據發送上行數據的 用戶的相關信息確定的用戶深度包檢測過濾策略 ;
     過濾模塊, 用于根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度包 檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     本發明實施例提供的深度包檢測過濾方法、 設備和系統, 獲取用戶的相關信息后, 可以根據用戶的相關信息對各個用戶分別采用對應的用戶 DPI 過濾策略, DPI 過濾策略的 內容設置靈活, 應用范圍廣, 可以滿足不同用戶群的需求, 實現更準確細致的內容過濾。
     附圖說明
     為了更清楚地說明本發明實施例或現有技術中的技術方案, 下面將對實施例或現 有技術描述中所需要使用的附圖作一簡單地介紹, 顯而易見地, 下面描述中的附圖是本發 明的一些實施例, 對于本領域普通技術人員來講, 在不付出創造性勞動的前提下, 還可以根 據這些附圖獲得其他的附圖。
     圖 1 為本發明深度包檢測過濾方法第一實施例的流程圖 ;
     圖 2 為本發明深度包檢測過濾方法第二實施例的流程圖 ;
     圖 3a 為本發明深度包檢測過濾方法第三實施例的應用場景的示意圖 ;
     圖 3b 為本發明深度包檢測過濾方法第三實施例的流程示意圖 ;
     圖 4a 為本發明深度包檢測過濾方法第四實施例的應用場景的示意圖 ;
     圖 4b 為本發明深度包檢測過濾方法第四實施例的流程示意圖 ;
     圖 5 為本發明深度包檢測規則功能實體第一實施例的結構示意圖 ;
     圖 6 為本發明深度包檢測規則功能實體第二實施例的結構示意圖 ;
     圖 7 為本發明深度包檢測執行功能實體第一實施例的結構示意圖 ;圖 8 為本發明深度包檢測執行功能實體第二實施例的結構示意圖 ; 圖 9 為本發明深度包檢測過濾系統實施例的結構示意圖。具體實施方式
     為使本發明實施例的目的、 技術方案和優點更加清楚, 下面將結合本發明實施例 中的附圖, 對本發明實施例中的技術方案進行清楚、 完整地描述, 顯然, 所描述的實施例是 本發明一部分實施例, 而不是全部的實施例。 基于本發明中的實施例, 本領域普通技術人員 在沒有作出創造性勞動前提下所獲得的所有其他實施例, 都屬于本發明保護的范圍。
     圖 1 為本發明深度包檢測過濾方法第一實施例的流程圖, 如圖 1 所示, 該深度包檢 測過濾方法可以包括以下步驟 :
     步驟 101、 根據發送上行數據的用戶的相關信息, 確定所述用戶的相關信息對應的 用戶深度包檢測過濾策略 ;
     其中, 用戶的相關信息可以包括用戶類別、 用戶年齡、 用戶訂購產品或用戶位置信 息的至少一種。
     本發明實施例中通過深度包檢測規則功能實體 (DPIRF) 和深度包檢測執行功能 實體 (DPIEF) 進行用戶 DPI 過濾策略, DPIRF 可以有多種實現方式, 包括以下示例 : 示例一、 對策略與計費執行功能實體 (PCEF) 和網關設備 (GGSN) 上的策略與計費 規則功能實體 (PCRF) 之間的 Gx(Diameter) 接口進行改進, 將 PCEF 與 DPIEF 設置在一起、 將 PCRF 與 DPIRF 部署在一起。PCRF 從用戶簽約數據庫 (SPR) 的獲取用戶的相關信息后發 給 DPIRF, DPIRF 接收 PCRF 從 SPR 獲取的用戶的相關信息, 對 PCEF 進行策略加載。
     示例二、 DPIRF 為獨立設備或將 DPIRF 設置在 DPI 設備例如 : DPI 過濾服務器中, 當 需要進行 DPI 過濾時, 由網關設備 (GGSN) 上 PCEF 的向 DPIRF 申請 DPI 過濾策略, PCEF 與 DPIRF 之間的接口可采用 Gx 接口。此時, DPIRF 從用戶簽約數據庫 (SPR) 獲取用戶的相關 信息的方法具體為 : 若 DPIRF 接收到用戶深度包檢測過濾策略申請, 則 DPIRF 向 SPR 發送用 戶信息申請, 所述用戶信息申請用于請求獲取發送上行數據的用戶的相關信息, 接收所述 用戶簽約數據庫返回的所述用戶的相關信息。
     步驟 102、 將所述用戶深度包檢測過濾策略發送給深度包檢測執行功能實體, 由所 述深度包檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上行數據進行用戶 深度包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     在步驟 102 中, 如果系統中 DPIRF 獨立于 PCRF 之外, 則 DPIRF 可以直接將的用戶 深度包檢測過濾策略發送給 DPIEF ; 如果系統中有 DPIRF 與 PCRF 部署在一起, 則 DPIRF 將 用戶深度包檢測過濾策略發送給 DPIEF 的方法具體可以包括 :
     通過策略與計費規則功能實體將所述用戶深度包檢測過濾策略發送給策略與計 費執行功能實體后, 在所述策略與計費執行功能實體確定執行所述用戶深度包檢測過濾策 略時, 所述策略與計費執行功能實體將所述上行數據和所述用戶深度包檢測過濾策略發送 給深度包檢測執行功能實體。
     進一步地, 該深度包檢測過濾方法還可以包括 :
     設置所述用戶深度包檢測過濾策略的有效期, 在將所述用戶深度包檢測過濾策略 發送給深度包檢測執行功能實體時攜帶所述有效期。
     DPIRF 獲取用戶深度包檢測過濾策略后, 可以設置用戶深度包檢測過濾策略的有 效期, 然后, 可以將用戶深度包檢測過濾策略與有效期一起發送給 DPIEF, 在有效期之內, DPIEF 可以保存該用戶的用戶深度包檢測過濾策略, 對該用戶再次發生的上行數據直接該 用戶深度包檢測過濾策略進行內容識別和過濾。
     本實施例 DPIRF 或 PCRF 從 SPR 獲取用戶的相關信息后, DPIRF 可以根據用戶的相 關信息對各個用戶分別確定對應的用戶 DPI 過濾策略, DPIEF 則可以根據 DPIRF 確定的用 戶 DPI 過濾策略, 對該用戶的數據進行內容識別和過濾, DPI 過濾策略的內容設置靈活, 應 用范圍廣, 可以滿足不同用戶群的需求, 實現更準確細致的內容過濾。
     圖 2 為本發明深度包檢測過濾方法第二實施例的流程圖, 如圖 2 所示, 該深度包檢 測過濾方法可以包括以下步驟 :
     步驟 201、 獲取用戶深度包檢測規則功能實體根據發送上行數據的用戶的相關信 息確定的用戶深度包檢測過濾策略 ;
     其中, 用戶的相關信息可以包括用戶類別、 用戶年齡、 用戶訂購產品或用戶位置信 息的至少一種。
     由于 DPIEF 可以與 PCEF 部署在一起, DPIRF 與 PCRF 部署在一起, DPIEF、 DPIRF 也 可以分別獨立設置, 因此在步驟 201 之前, 對公共深度包檢測過濾策略進行分析的過程即 可以由 DPIEF 完成, 由可以由 PCRF 完成, 具體如下 :
     在策略與計費執行功能實體接收認證、 鑒權通過后的用戶發送的上行數據后, 策 略與計費規則功能實體或深度包檢測過濾執行功能實體接收所述策略與計費執行功能實 體發送的用戶深度包檢測過濾策略申請 ;
     所述策略與計費規則功能實體或深度包檢測過濾執行功能實體對所述上行數據 進行公共深度包檢測過濾策略分析, 判斷所述上行數據是否允許執行公共深度包檢測過濾 策略 ;
     如果是, 則所述策略與計費規則功能實體或深度包檢測過濾執行功能實體向深度 包檢測規則功能實體發送用戶深度包檢測過濾策略申請, 所述用戶深度包檢測過濾策略申 請中攜帶所述用戶的相關信息。
     步驟 202、 根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度包檢測內 容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     其中, 步驟 202 具體可以包括 :
     步驟 2021、 根據所述用戶深度包檢測過濾策略, 判斷所述上行數據中所述用戶請 求訪問的網址是否允許訪問 ; 如果是, 則執行步驟 2023 ; 否則, 執行步驟 2022。
     步驟 2022、 通過策略與計費執行功能實體將重定向網址或替換指定關鍵字后的上 行數據返回所述用戶。
     步驟 2023、 通過策略與計費執行功能實體將所述上行數據發送至所述用戶請求訪 問的網址所歸屬的互聯網服務器。
     步驟 2024、 通過策略與計費執行功能實體接收所述互聯網服務器返回的所述用戶 的下行數據 ;
     步驟 2025、 根據所述用戶深度包檢測過濾策略, 對所述下行數據進行用戶深度包 檢測內容識別, 過濾所述下行數據中限制所述用戶訪問的內容后, 通過所述策略與計費執行功能實體發送給所述用戶。
     進一步地, 該深度包檢測過濾方法還可以包括 :
     根據設置的有效期, 對所述用戶深度包檢測過濾策略進行緩存 ;
     在所述有效期內, 若再次接收到所述用戶的上行數據或下行數據, 則根據所述用 戶深度包檢測過濾策略, 對所述用戶的上行數據或下行數據進行內容識別, 過濾所述上行 數據或所述下行數據中限制所述用戶訪問的內容。
     DPIRF 獲取用戶深度包檢測過濾策略后, 可以設置用戶深度包檢測過濾策略的有 效期, 然后, 將用戶深度包檢測過濾策略與有效期一起發送給 DPIEF。在有效期之內, DPIEF 可以保存該用戶的用戶深度包檢測過濾策略, 如果 DPIEF 再次到該用戶的上行數據時, 可 以不用向 DPIRF 獲取用戶深度包檢測過濾策略, 而是直接根據 DPIRF 發送的用戶深度包檢 測過濾策略標識等, 采用上次保存的用戶深度包檢測過濾策略對該用戶的上行數據進行用 戶深度包檢測內容識別, 過濾上行數據中限制該用戶訪問的內容。
     本實施例 DPIEF 可以獲取 DPIRF 根據用戶的相關信息確定的用戶 DPI 過濾策略, 對該用戶的數據進行內容識別和過濾, DPI 過濾策略的內容設置靈活, 應用范圍廣, 可以滿 足不同用戶群的需求, 實現更準確細致的內容過濾。 圖 3a 為本發明深度包檢測過濾方法第三實施例的應用場景的示意圖, 如圖 3a 所 示, 如果將 DPIRF 與 PCRF 集成或部署在一起, 將 DPIEF 與 PCEF 集成或部署在一起, 且將 PCEF 集成或部署在網關設備例如 : GGSN。PCEF 接收到用戶發送的上行數據后, 向 PCRF 發送用戶 DPI 過濾策略申請, PCRF 向 SPR 發送用戶信息申請, 以獲取用戶的相關信息 ; PCRF 將攜帶用 戶的相關信息的用戶 DPI 過濾策略申請發送給 DPIRF ; DPIRF 可根據不同用戶的相關信息, 定義不同的用戶 DPI 過濾策略, 其中用戶 DPI 過濾策略中具體的 DPI 過濾信息 (DPI 數據 ) 可通過 DPI 管理功能實體 (Deep Packet Inspection Management Function ; 簡稱 : DPIMF) 統一維護管理。 DPIMF 可將 DPI 數據同步到 DPIEF 上 ; 或將 DPI 數據發送到 DPIRF, 通過 PCRF 和 PCEF 同步到 DPIEF 上, DPIRF 與 DPIEF 之間傳輸的公共 DPI 過濾策略可為標識信息 (ID), 避免每次上網請求傳送過多 DPI 過濾信息。DPIEF 根據用戶 DPI 過濾策略對上行數據進行 內容識別和過濾后, 可通過 PCEF 將過濾后的上行數據發送給互聯網服務器, 并將互聯網服 務器返回的下行數據發送到 DPIEF 上 ; DPIEF 根據用戶 DPI 過濾策略對下行數據進行內容 識別和過濾后, 通過 PCEF 將過濾后的下行數據返回給用戶。
     此外, 基于用戶的相關信息的用戶 DPI 過濾策略可以設置有效期, 由 DPIRF 在向 DPIEF 發送用戶 DPI 過濾策略時指定, 例如 : 有效期為 1 天, 即用戶在當天的首次上網時將 DPI 過濾策略下載到 DPIEF, 然后每次用戶上網無需重新申請用戶 DPI 過濾策略。此外, 當 某一用戶無任何對應的用戶 DPI 過濾策略時, DPIRF 可以默認增加面向運營商的全部用戶 生效的公共 DPI 過濾策略, 例如 : 運營商限定所有用戶不允許訪問非法賭博網站。
     圖 3b 為本發明深度包檢測過濾方法第三實施例的流程示意圖, 如圖 3b 所示, 該深 度包檢測過濾方法具體包括以下步驟 :
     步驟 301、 需要上網的用戶在完成認證、 鑒權后, 將上網請求即上行數據發給網關 設備例如 : GGSN 上的 PCEF。
     步驟 302、 PCEF 針對該用戶的上行數據, 向 PCRF 發送用戶 DPI 過濾策略申請。
     其中, 用戶 DPI 過濾策略為基于用戶的相關信息的 DPI 過濾策略, 根據用戶 DPI 過
     濾策略可以按照不同的用戶的相關信息對不同的用戶進行 DPI 過濾, 例如 : 少年兒童不允 許訪問不健康網站。此外, PCEF 還可以向 PCRF 發送 Qos 策略 ( 例如 : VIP 用戶帶寬 2M, 普 通用戶帶寬 512k)、 計費策略 ( 例如 : 普通用戶下載 0.1 元 /Mb, VIP 用戶下載 0.05 元 /Mb) 等。
     步驟 303、 PCRF 對該上行數據進行公共 DPI 過濾策略分析, 如果該上行數據不允 許執行公共 DPI 過濾策略, 可以直接向用戶返回重定向網址 ; 如果該上行數據允許執行公 共 DPI 過濾策略, 再申請用戶 DPI 過濾策略, 此時需要獲取用戶的相關信息, 具體方法為 : PCRF 向 SPR 發送用于請求獲取用戶的相關信息的用戶信息申請, 該用戶信息申請可以通過 Diameter 或簡單對象訪問協議 (Simple Object Access Protocol ; 簡稱 : SOAP) 消息等承 載; 具體地, 用戶信息申請可以包括用戶標識, SPR 根據用戶標識可以將查找到的用戶的相 關信息例如 : 用戶年齡、 用戶類別、 用戶訂購產品、 用戶位置信息等返回給 PCRF。
     步驟 304、 PCRF 接收到 SPR 返回的用戶的相關信息后, 根據用戶的相關信息可以對 當前用戶需要的用戶 DPI 過濾策略進行選擇, 例如 : 選擇系統級的公共 DPI 過濾策略或用戶 級的用戶 DPI 過濾策略。然后 PCRF 將用戶的相關信息發送給 DPIRF 進行用戶 DPI 過濾策 略申請。 步驟 305、 DPIRF 根據用戶的相關信息, 確定對應的用戶 DPI 過濾策略后, 將根據 用戶的相關信息確定的用戶 DPI 過濾策略發送給 PCRF。每種用戶 DPI 過濾策略定義了用 戶可以訪問或限制訪問的統一資源定位符 (Uniform/Universal Resource Locator ; 簡稱 : URL)、 關鍵字信息等。例如 : 根據用戶類別和年齡決定可以使用的 DPI 過濾策略, 用戶年齡 段屬少年兒童 ( 年齡<= 18) 應該使用 “少年兒童 DPI 過濾策略” ; 再根據用戶類別判斷用 戶屬于 “VIP 用戶” 或是 “普通用戶” , 如果屬于 “普通用戶” , 則采用 “普通用戶 DPI 過濾策 略” ; 綜上, DPIRF 決定采用的 “普通用戶 DPI 過濾策略” 和 “少年兒童 DPI 過濾策略” 。
     步驟 306、 PCRF 將用戶的相關信息和確定的用戶 DPI 過濾策略發送給 PCEF, PCEF 根據用戶的相關信息和用戶 DPI 過濾策略確定是否執行用戶 DPI 過濾策略。
     步驟 307、 PCEF 確定需要執行用戶 DPI 過濾策略時, 將用戶的上行數據和確定的用 戶 DPI 過濾策略發送給 DPIEF。
     步驟 308、 DPIEF 根據用戶 DPI 過濾策略對上行數據進行用戶 DPI 內容識別, 過濾 限制該用戶訪問的內容, 例如 : 判斷上行數據中用戶請求訪問的網址是否在用戶 DPI 過濾 策略允許的范圍內, 如果是, 則允許訪問, 執行步驟 310 ; 否則, 限制訪問, 執行步驟 309 或步 驟 314。
     例如 : 用戶需要采用的用戶 DPI 過濾策略為 DPIRF 返回的 “VIP DPI 過濾策略” 和 “少年兒童 DPI 過濾策略” , 則 DPIEF 根據對用戶的上行數據進行 DPI 分析, 對 “VIP DPI 過 濾策略” 和 “少年兒童 DPI 過濾策略” 進行逐一分析, 假設首先判斷用戶的上行數據中包括 的用戶請求訪問的 URL 是否在 “普通用戶 DPI 過濾策略” , 如果不在, 則不允許訪問 ; 如果在, 則繼續判斷用戶請求訪問的 URL 是否在 “少年兒童 DPI 過濾策略” , 如果在, 則允許訪問, 執 行步驟 310 ; 否則不允許訪問, 執行步驟 309 或步驟 314。
     步驟 309、 指示 PCEF 將上行數據中的指定關鍵字的內容替換。
     步驟 310、 指示 PCEF 將用戶的上行數據發送給用戶請求訪問的網址所歸屬的互聯 網 (Internet) 服務器。如果在步驟 308 之后執行了步驟 309, 則在步驟 310 中, PCEF 向互
     聯網服務器發送的上行數據為已經替換了部分指定關鍵字的上行數據。
     步驟 311、 互聯網服務器向 PCEF 返回請求訪問的網址中相關數據即用戶的下行數 據。
     步驟 312、 PCEF 將接收到的下行數據和 PCEF 保存的用戶 DPI 過濾策略發送給 DPIEF, DPIEF 根據用戶 DPI 過濾策略對下行數據進行用戶 DPI 內容識別, 對限制該用戶訪 問的內容進行過濾, 具體方法可以參考步驟 308, 判斷是否下行數據中包括的內容是否在用 戶 DPI 過濾策略允許的范圍內, 如果是, 則執行步驟 313 ; 否則, 將下行數據中的指定關鍵字 替換后返回給用戶, 或執行步驟 314。
     步驟 313、 PCEF 將用戶的下行數據返回給用戶。
     步驟 314、 PCEF 將重定向網址返回給用戶。其中, 重定向是將 HTTP 的請求重新指 向另外一個服務器, 例如 : 在用戶訪問 hw.cn 時, 實際訪問的可以是重新指向的相同的服務 器: www.huawei.com.cn。
     其中, 在步驟 308 和步驟第 312 中, DPIEF 執行的功能相同, 區別是在步驟 308 是 對上行數據執行用戶 DPI 過濾策略, 在步驟 312 是對下行數據執行用戶 DPI 過濾策略。其 中, 對上行數據或下行數據執行用戶 DPI 過濾策略后, 所采用的 DPI 過濾策略可以進行不同 處理, 例如 : 對上行數據, 關鍵字過濾處理機制可以為 : 受限的關鍵字禁止發送, 重定向到 指定網址 ; 對下行數據, 關鍵字過濾處理機制可以為 : 替換指定關鍵詞。對上行數據和下行 數據進行 DPI 分析, 也可以進行相同處理, 例如 : 不允許時, 返回重定向網址。 在具體實施本發明實施例的用戶深度包檢測過濾方法的過程中, 各個功能實體之 間的可以采用的協議的包括以下情況 :
     情況一、 PCRF 與 PCEF 之間采用的 Diameter 協議 (Gx)。
     當 PCEF 判斷用戶首次上網或 DPI 過濾策略的有效期已過期時, 向 PCRF 重新申請 DPI 過濾策略 ; 具體地, 可以在信用鑒權響應 (Credit Control Request ; 簡稱 : CCA) 中增加 新的屬性值對 (Attribute-Value Pairs ; 簡稱 : AVP), 例如以下為一種信用鑒權響應的格 式:
     :: =
     *[DPI-Filter-Rule-Group]
     DPI-Filter-Rule-Group:: =
     *[DPI-Filter-Rule-id]
     [Expire-timer]
     DPI-Filter-Rule-id:: = UTF8String
     其中的 “*[DPI-Filter-Rule-Group]” 為新的屬性值對的字段。
     情況二、 DPIRF 與 PCRF 之間采用新定義的 Diameter 協議或其他協議, 具體實現的 功能可以包括 :
     PCRF 向 DPIRF 發起的用戶 DPI 過濾策略申請中至少包含但不限于用戶的以下相關 信息 : 用戶標識和用戶基本信息例如 : 用戶年齡、 用戶類別、 用戶訂購產品、 用戶位置信息 等;
     DPIRF 向 PCRF 返回的用戶 DPI 過濾策略中至少包含但并不限于用戶允許訪問的至 少 1 個 DPI 過濾策略、 有效期等。
     情況三、 DPIEF 與 PCEF 之間采用新定義的 Diameter 協議或其他協議 ; 具體實現的 功能可以包括 :
     PCEF 向 DPIEF 發起的用于指示 DPIEF 執行用戶 DPI 過濾策略的消息中至少包含但 不限于以下信息 : 用戶標識、 用戶的上行數據或下行數據、 用戶 DPI 過濾策略、 有效期等 ;
     DPIEF 向 PCEF 返回的響應消息中至少包含但不限于以下信息 : 過濾請求結果 ( 允 許、 重定向、 替換關鍵字 )、 重定向網址 ( 當過濾請求結果為重定向時有效 )、 用戶上行數據 或用戶下行數據 ( 替換關鍵字信息 )。
     情況四、 PCRF 與 SPR 之間可以采用 Diameter 或 SOAP 協議 (Sp), 通過 Diameter 或 SOAP 消息承載 PCRF 向 SPR 發送的用戶信息申請。
     需 要 說 明 的 是, 本發明實施例中的上網請求可以是非對稱數字用戶環路 (Asymmetric Digital Subscriber Line ; 簡稱 : ADSL) 寬帶上網、 WLAN、 全球微波互聯接入 (Worldwide Interoperability for Microwave Access ; 簡稱 : WiMax) 等多種上網領域的 上網請求, DPIRF 或 DPIEF 可以由多個上網領域的上網監控設備集成。
     本實施例 PCRF 從 SPR 獲取用戶的相關信息后, DPIRF 可以根據用戶的相關信息對 各個用戶分別確定對應的用戶 DPI 過濾策略, DPIEF 則可以獲取 DPIRF 確定的用戶 DPI 過 濾策略, 根據對用戶 DPI 過濾策略該用戶的數據進行內容識別和過濾, DPI 過濾策略的內容 設置靈活, 應用范圍廣, 可以滿足不同用戶群的需求, 實現更準確細致的內容過濾。
     圖 4a 為本發明深度包檢測過濾方法第四實施例的應用場景的示意圖, 如圖 4a 所 示, 與圖 3a 的區別在于, DPIRF 與 PCRF 為對等的功能實體, 二者的網絡位置相同, DPIEF 為 獨立設備或集成部署在已有的 DPI 設備中, 此外 PCEF 部署在 GGSN, 用戶的相關信息存儲在 SPR 中。 GGSN 接收到用戶發送給的上行數據后, 向 DPIEF 發送用戶 DPI 過濾策略申請, DPIEF 向 DPIRF 發送用戶 DPI 過濾策略申請, 然后 DPIRF 向 SPR 發送用戶信息申請, 以獲取用戶的 相關信息 ; DPIRF 根據用戶的相關信息確定用戶 DPI 過濾策略后, 將確定的用戶 DPI 過濾策 略發送給 DPIEF, DPIEF 對上行數據進行內容識別和過濾后, 將過濾后的上行數據發送給用 戶請求訪問的網址所歸屬的互聯網服務器 ; 然后 DPIEF 根據用戶 DPI 過濾策略對接收到的 互聯網服務器返回的下行數據進行內容識別和過濾, 再將過濾后的下行數據返回給用戶。
     圖 4b 為本發明深度包檢測過濾方法第四實施例的流程示意圖, 如圖 4 所示, 該深 度包檢測過濾方法具體可以包括以下步驟 :
     步驟 401、 需要上網的用戶在認證、 鑒權通過后, 將上網請求即上行數據發給網關 設備例如 : GGSN。
     步驟 402、 GGSN 針對該用戶的上行數據, 向 DPIEF 發送用戶 DPI 過濾策略申請。
     步驟 403、 DPIEF 先進行公共 DPI 過濾策略分析, 如果不允許執行公共 DPI 過濾策 略, 則可以直接向用戶返回重定向網址 ; 如果允許執行公共 DPI 過濾策略, DPIEF 向 DPIRF 發送用戶 DPI 過濾策略申請后, DPIRF 向 SPR 發送用戶信息申請, 可以通過 Diameter 或 SOAP 消息承載該用戶信息申請。
     步驟 404、 DPIRF 根據 SPR 返回的用戶的相關信息進行用戶 DPI 過濾策略申請, 并 將確定的用戶 DPI 過濾策略發送給 DPIEF。其中 DPIRF 確定用戶 DPI 過濾策略的方法可以 參照上述第三實施例中步驟 305 中的相關描述。
     步驟 405、 DPIEF 根據確定的用戶 DPI 過濾策略對用戶的上行數據進行用戶 DPI 內容識別, 過濾限制該用戶訪問的內容, 例如 : 判斷上行數據中用戶請求訪問的網址是否在用 戶 DPI 過濾策略允許的范圍內, 如果是, 則允許訪問, 執行步驟 407 ; 如果限制訪問, 則執行 步驟 406 或步驟 412。
     步驟 406、 指示 GGSN 將上行數據中的指定關鍵字后的內容替換。
     步驟 407、 指示 GGSN 將用戶的上行數據發送給用戶請求訪問的網址所歸屬的互聯 網 (Internet) 服務器。
     步驟 408、 互聯網服務器向 GGSN 返回請求訪問的網址中相關數據即用戶的下行數 據。
     步驟 409、 GGSN 將接收到的下行數據和用戶 DPI 過濾策略發送給 DPIEF。
     步驟 410、 DPIEF 根據用戶 DPI 過濾策略對下行數據進行用戶 DPI 內容識別, 將限 制該用戶訪問的內容進行過濾, 例如 : 判斷下行數據中包括的內容是否在用戶 DPI 過濾策 略允許的范圍內, 如果允許, 則執行步驟 411 ; 否則, 將下行數據中的指定關鍵字替換后返 回給用戶, 或執行步驟 412。其中, DPIEF 可將用戶對應的用戶 DPI 過濾策略進行緩存, 并設 置用戶 DPI 過濾策略的有效期, 有效期可以在 DPIRF 向 DPIEF 加載在用戶 DPI 過濾策略加 載時指定, 例如 : 指定有效期為一天, 則該用戶當天第一次初始上網時加載對應的用戶 DPI 過濾策略, 這天的其他時間, 只要對應的用戶 DPI 過濾策略已存在可以不再進行用戶 DPI 過 濾策略申請。
     步驟 411、 GGSN 將用戶的下行數據返回給用戶。
     步驟 412、 GGSN 將重定向網址返回給用戶。
     本實施例 DPIRF 從 SPR 獲取用戶的相關信息后, DPIRF 可以根據用戶的相關信息對 各個用戶分別確定對應的用戶 DPI 過濾策略, DPIEF 則可以獲取 DPIRF 確定的用戶 DPI 過 濾策略, 根據對用戶 DPI 過濾策略該用戶的數據進行內容識別和過濾, DPI 過濾策略的內容 設置靈活, 應用范圍廣, 可以滿足不同用戶群的需求, 實現更準確細致的內容過濾。
     圖 5 為本發明深度包檢測規則功能實體第一實施例的結構示意圖, 如圖 5 所示, 該 深度包檢測規則功能實體可以包括 :
     用戶策略確定模塊 51, 用于根據發送上行數據的用戶的相關信息, 確定所述用戶 的相關信息對應的用戶深度包檢測過濾策略 ;
     用戶策略發送模塊 52, 用于將所述用戶深度包檢測過濾策略發送給深度包檢測執 行功能實體, 由所述深度包檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上 行數據進行用戶深度包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     具體地, 深度包檢測規則功能實體 (DPIRF) 可以獨立設置或設置在 DPI 設備中, 也 可以與策略與計費規則功能實體 (PCRF) 部署在一起, DPIRF 從用戶簽約數據庫 (SPR) 獲取 發送上行數據的用戶的相關信息, 或 PCRF 從 SPR 獲取用戶的相關信息后發送給 DPIRF 后, 用戶策略確定模塊 51 根據發送上行數據的用戶的相關信息, 可以確定該用戶的相關信息 對應的用戶深度包檢測 (DPI) 過濾策略 ; 然后, 用戶策略發送模塊 52 將該用戶 DPI 過濾策 略發送給深度包檢測執行功能實體 (DPIEF), DPIEF 根據該用戶 DPI 過濾策略, 可以對上行 數據進行用戶深度包檢測內容識別, 過濾上行數據中限制該用戶訪問的內容。然后 DPIEF 可以通過網關設備上的策略與計費執行功能實體 (PCEF) 可以將過濾后的上行數據發送給 用戶請求訪問的網址所在的互聯網服務器, 如果接收到互聯網服務器返回的下行數據, 則根據用戶 DPI 過濾策略將接收到的下行數據過濾后返回給用戶。
     本實施例 DPIRF 或 PCRF 從 SPR 獲取用戶的相關信息后, DPIRF 的用戶策略確定模 塊可以根據用戶的相關信息對各個用戶分別確定對應的用戶 DPI 過濾策略, 用戶策略發送 模塊可以將該用戶 DPI 過濾策略發送給 DPIEF, DPIEF 則可以根據 DPIRF 確定的用戶 DPI 過 濾策略, 實現對該用戶的數據的內容識別和過濾, DPI 過濾策略的內容設置靈活, 應用范圍 廣, 可以滿足不同用戶群的需求, 實現更準確細致的內容過濾。
     圖 6 為本發明深度包檢測規則功能實體第二實施例的結構示意圖, 如圖 6 所示, 在 本發明深度包檢測規則功能實體第一實施例的基礎上, 該深度包檢測規則功能實體還可以 包括 : 用戶信息申請模塊 53 或用戶信息接收模塊 54。
     其中, 用戶信息申請模塊 53, 用于若接收到用戶深度包檢測過濾策略申請, 則向用 戶簽約數據庫發送用戶信息申請, 所述用戶信息申請用于請求獲取發送上行數據的用戶的 相關信息, 接收所述用戶簽約數據庫返回的所述用戶的相關信息 ;
     用戶信息接收模塊 54, 用于接收策略與計費規則功能實體從所述用戶簽約數據庫 獲取的所述用戶的相關信息。
     進一步地, 該深度包檢測規則功能實體還可以包括 : 有效期設置模塊 55, 用于設置所述用戶深度包檢測過濾策略的有效期, 在將所述 用戶深度包檢測過濾策略發送給深度包檢測執行功能實體時攜帶所述有效期。
     具體地, 當 DPIRF 獨立設置或設置在 DPI 設備中時, 在 DPIRF 接收到網關設備上的 PCEF 發送的用戶 DPI 過濾策略申請后, 用戶信息申請模塊 53 可以向用戶簽約數據庫發送用 戶信息申請, 請求獲取發送上行數據的用戶的相關信息, 在接收到用戶簽約數據庫返回的 該用戶的相關信息。當 DPIRF 與 PCRF 部署在一起時, 可以通過 PCRF 從用戶簽約數據庫獲 取的該用戶的相關信息, 然后 DPIRF 的用戶信息接收模塊 54 接收 PCRF 發送的該用戶的相 關信息。用戶策略確定模塊 51 根據發送上行數據的用戶的相關信息, 可以確定該用戶的相 關信息對應的用戶 DPI 過濾策略 ; 有效期設置模塊 55 可以設置該用戶 DPI 過濾策略的有效 期; 然后, 用戶策略發送模塊 52 將該用戶 DPI 過濾策略發送給 DPIEF。在用戶 DPI 過濾策 略的有效期內, DPIEF 根據該用戶 DPI 過濾策略, 可以對上行數據進行用戶深度包檢測內容 識別, 過濾上行數據中限制該用戶訪問的內容。然后 DPIEF 可以通過網關設備上的 PCEF 可 以將過濾后的的上行數據發送給用戶請求訪問的網址所在的互聯網服務器, 如果接收到互 聯網服務器返回的下行數據, 則根據用戶 DPI 過濾策略將接收到的下行數據過濾后返回給 用戶。
     本實施例 DPIRF 的用戶信息申請模塊或用戶信息接收模塊獲取用戶的相關信息 后, 用戶策略確定模塊可以根據用戶的相關信息對各個用戶分別確定對應的用戶 DPI 過濾 策略, 有效期設置模塊可以設置該用戶 DPI 過濾策略的有效期, 用戶策略發送模塊可以將 該用戶 DPI 過濾策略及其有效期發送給 DPIEF, DPIEF 則可以根據 DPIRF 確定的用戶 DPI 過 濾策略, 實現對該用戶的數據的內容識別和過濾, DPI 過濾策略的內容設置靈活, 應用范圍 廣, 可以滿足不同用戶群的需求, 實現更準確細致的內容過濾。
     圖 7 為本發明深度包檢測執行功能實體第一實施例的結構示意圖, 如圖 7 所示, 該 深度包檢測執行功能實體可以包括 : 用戶策略獲取模塊 71 和過濾模塊 72。
     其中, 用戶策略獲取模塊 71, 用于獲取用戶深度包檢測規則功能實體根據發送上
     行數據的用戶的相關信息確定的用戶深度包檢測過濾策略 ;
     過濾模塊 72, 用于根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度 包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     具體地, 深度包檢測執行功能實體 (DPIEF) 可以獨立設置或設置在 DPI 設備中, 也 可以與策略與計費執行功能實體 (PCEF) 部署在一起, DPIEF 的用戶策略獲取模塊 71 接收 到 DPIRF 根據發送上行數據的用戶的相關信息確定的用戶深度包檢測 (DPI) 過濾策略后, 過濾模塊 72 根據該用戶 DPI 過濾策略, 對上行數據進行深度包檢測內容識別, 過濾上行數 據中限制該用戶訪問的內容。 通過網關設備將該上行數據發送給用戶請求訪問的網址所在 的互聯網服務器, 如果接收到互聯網服務器返回的下行數據, 則根據用戶 DPI 過濾策略將 接收到的下行數據過濾后返回給用戶。
     本實施例 DPIEF 的用戶策略獲取模塊可以獲取 DPIRF 根據用戶的相關信息確定的 用戶 DPI 過濾策略, 過濾模塊對該用戶的數據進行內容識別和過濾, DPI 過濾策略的內容設 置靈活, 應用范圍廣, 可以滿足不同用戶群的需求, 實現更準確細致的內容過濾。
     圖 8 為本發明深度包檢測執行功能實體第二實施例的結構示意圖, 如圖 8 所示, 在 本發明深度包檢測執行功能實體第一實施例的基礎上, 該深度包檢測執行功能實體的過濾 模塊 72 包括 : 判斷子模塊 721、 上行數據子模塊 722 和返回子模塊 723。 其中, 判斷子模塊 721, 用于根據所述用戶深度包檢測過濾策略, 判斷所述上行數 據中所述用戶請求訪問的網址是否允許訪問 ;
     上行數據子模塊 722, 用于如果上行數據中所述用戶請求訪問的網址允許訪問, 則 通過策略與計費執行功能實體將所述上行數據發送至所述用戶請求訪問的網址所歸屬的 互聯網服務器 ;
     返回子模塊 723, 用于如果上行數據中所述用戶請求訪問的網址不允許訪問, 通過 策略與計費執行功能實體將重定向網址或替換指定關鍵字后的上行數據返回所述用戶。
     進一步地, 過濾模塊 72 還可以包括 : 下行數據子模塊 724, 用于通過策略與計費執 行功能實體接收所述互聯網服務器返回的所述用戶的下行數據 ; 根據所述用戶深度包檢測 過濾策略, 對所述下行數據進行用戶深度包檢測內容識別, 過濾所述下行數據中限制所述 用戶訪問的內容后, 通過所述策略與計費執行功能實體發送給所述用戶。
     此外, 該深度包檢測執行功能實體還可以包括 : 策略申請接收模塊 73、 公共策略 分析模塊 74 和用戶策略申請模塊 75。
     其中, 策略申請接收模塊 73, 用于在策略與計費執行功能實體接收認證、 鑒權通過 后的用戶發送的上行數據后, 接收所述策略與計費執行功能實體發送的用戶深度包檢測過 濾策略申請 ;
     公共策略分析模塊 74, 用于對所述上行數據進行公共深度包檢測過濾策略分析, 判斷所述上行數據是否允許執行公共深度包檢測過濾策略 ;
     用戶策略申請模塊 75, 用于如果允許執行公共深度包檢測過濾策略, 則向深度包 檢測規則功能實體發送用戶深度包檢測過濾策略申請, 所述用戶深度包檢測過濾策略申請 中攜帶所述用戶的相關信息。
     具體地, 在網關設備上的 PCEF 接收到認證、 鑒權通過后的用戶發送的上行數據 后, 策略申請接收模塊 73 可以接收到該 PCEF 發送的用戶 DPI 過濾策略申請 ; 公共策略分析
     模塊 74 對該上行數據進行公共 DPI 過濾策略分析, 判斷該上行數據是否允許執行公共 DPI 過濾策略 ; 如果允許執行公共 DPI 過濾策略, 則用戶策略申請模塊 75 向 DPIRF 發送攜帶用 戶的相關信息的用戶 DPI 過濾策略申請, DPIRF 完成用戶 DPI 過濾策略申請后, 向 DPIEF 返 回確定的用戶 DPI 過濾策略。用戶策略獲取模塊 71 接收到 DPIRF 根據發送上行數據的用 戶的相關信息確定的用戶 DPI 過濾策略后, 過濾模塊 72 的判斷子模塊 721 根據用戶 DPI 過 濾策略, 判斷所述上行數據中所述用戶請求訪問的網址是否允許訪問 ; 如果是, 則上行數據 子模塊 722 通過網關設備的 PCEF 將所述上行數據發送至所述用戶請求訪問的網址所歸屬 的互聯網服務器 ; 否則, 返回子模塊 723 通過 PCEF 將重定向網址或替換指定關鍵字后的上 行數據返回所述用戶。如果上行數據子模塊 722 通過網關設備的 PCEF 將所述上行數據發 送至所述用戶請求訪問的網址所歸屬的互聯網服務器, 則下行數據子模塊 724 可以從 PCEF 接收互聯網服務器返回的所述用戶的下行數據, 再根據用戶 DPI 過濾策略, 對所述下行數 據進行用戶 DPI 內容識別, 過濾所述下行數據中限制所述用戶訪問的內容后, 通過 PCEF 向 用戶請求訪問的網址所在的互聯網服務器發送該上行數據, 如果接收到互聯網服務器返回 的下行數據, 則根據用戶 DPI 過濾策略將接收到的下行數據過濾后返回給用戶。
     本實施例 DPIEF 的用戶策略獲取模塊可以獲取 DPIRF 根據用戶的相關信息確定的 用戶 DPI 過濾策略, 過濾模塊的各個子模塊對該用戶的數據進行內容識別和過濾, DPI 過濾 策略的內容設置靈活, 應用范圍廣, 可以滿足不同用戶群的需求, 實現更準確細致的內容過 濾。
     圖 9 為本發明深度包檢測過濾系統實施例的結構示意圖, 如圖 9 所示, 該深度包檢 測過濾系統可以包括 : 深度包檢測規則功能實體 91 和深度包檢測執行功能實體 92 ;
     其中, 深度包檢測規則功能實體 91 可以包括 :
     用戶策略確定模塊, 用于根據發送上行數據的用戶的相關信息, 確定所述用戶的 相關信息對應的用戶深度包檢測過濾策略 ;
     用戶策略發送模塊, 用于將所述用戶深度包檢測過濾策略發送給深度包檢測執行 功能實體, 由所述深度包檢測執行功能實體根據所述用戶深度包檢測過濾策略對所述上行 數據進行用戶深度包檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容 ;
     深度包檢測執行功能實體 92 可以包括 :
     用戶策略獲取模塊, 用于獲取用戶深度包檢測規則功能實體根據發送上行數據的 用戶的相關信息確定的用戶深度包檢測過濾策略 ;
     過濾模塊, 用于根據所述用戶深度包檢測過濾策略, 對所述上行數據進行深度包 檢測內容識別, 過濾所述上行數據中限制所述用戶訪問的內容。
     具體地, 深度包檢測規則功能實體 91 和深度包檢測執行功能實體 92 的具體結構 可以參照上述實施例中的相關描述, 深度包檢測規則功能實體 91 可以獨立設置或設置在 DPI 設備中, 也可以與策略與計費規則功能實體 94 部署在一起 ; 深度包檢測執行功能實體 92 可以獨立設置或設置在 DPI 設備中, 也可以與策略與計費執行功能實體 93 部署在一起。
     當深度包檢測規則功能實體 91、 深度包檢測執行功能實體 92 獨立設置或設置在 DPI 設備中時, 深度包檢測規則功能實體 91 可以接收到網關設備發送的用戶 DPI 過濾策略 申請, 然后, 向用戶簽約數據庫發送用戶信息申請, 請求獲取發送上行數據的用戶的相關信 息, 可以接收到用戶簽約數據庫返回的該用戶的相關信息, 再根據用戶的相關信息確定對應的用戶 DPI 過濾策略 ; 并將該用戶 DPI 過濾策略發送給深度包檢測執行功能實體 92。深 度包檢測執行功能實體 92 根據該用戶 DPI 過濾策略, 可以對上行數據進行用戶 DPI 內容識 別, 過濾上行數據中限制該用戶訪問的內容。
     進一步地, 該深度包檢測過濾系統還可以包括 :
     策略與計費執行功能實體 93, 用于在接收到認證、 鑒權通過后的用戶發送的上行 數據后, 向策略與計費規則功能實體 94 或深度包檢測執行功能實體 92 發送用戶深度包檢 測過濾策略申請 ;
     策略與計費規則功能實體 94, 用于在接收到策略與計費執行功能實體 93 發送的 用戶深度包檢測過濾策略申請后, 對所述上行數據進行公共深度包檢測過濾策略分析 ; 判 斷所述上行數據是否允許執行公共深度包檢測過濾策略, 如果是, 則向深度包檢測規則功 能實體 91 發送用戶深度包檢測過濾策略申請, 所述用戶深度包檢測過濾策略申請中攜帶 所述用戶的相關信息。
     當深度包檢測規則功能實體 91 與策略與計費規則功能實體 94 部署在一起 ; 深度 包檢測執行功能實體 92 與策略與計費執行功能實體 93 部署在一起時, 可以通過從用戶簽 約數據庫獲取的該用戶的相關信息, 然后策略與計費規則功能實體 94 將該用戶的相關信 息發送給深度包檢測規則功能實體 91。 深度包檢測規則功能實體 91 根據用戶的相關信息, 可以確定該用戶的相關信息對應的用戶 DPI 過濾策略 ; 然后, 將該用戶 DPI 過濾策略發送給 深度包檢測執行功能實體 92。深度包檢測執行功能實體 92 根據該用戶 DPI 過濾策略, 可 以對上行數據進行用戶深度包檢測內容識別, 過濾上行數據中限制該用戶訪問的內容。然 后深度包檢測執行功能實體 92 通過網關設備上的策略與計費執行功能實體 93 向用戶請求 訪問的網址所在的互聯網服務器發送該上行數據, 如果接收到互聯網服務器返回的下行數 據, 則根據用戶 DPI 過濾策略將接收到的下行數據過濾后返回給用戶。
     本實施例深度包檢測規則功能實體根據用戶的相關信息確定的用戶 DPI 過濾策 略, 深度包檢測執行功能實體的可以根據深度包檢測規則功能實體確定的用戶 DPI 過濾策 略, 對該用戶的數據進行內容識別和過濾, DPI 過濾策略的內容設置靈活, 應用范圍廣, 可以 滿足不同用戶群的需求, 實現更準確細致的內容過濾。
     本領域普通技術人員可以理解 : 實現上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬件來完成, 前述的程序可以存儲于一計算機可讀取存儲介質中, 該程序 在執行時, 執行包括上述方法實施例的步驟 ; 而前述的存儲介質包括 : ROM、 RAM、 磁碟或者 光盤等各種可以存儲程序代碼的介質。
     最后應說明的是 : 以上實施例僅用以說明本發明的技術方案, 而非對其限制 ; 盡 管參照前述實施例對本發明進行了詳細的說明, 本領域的普通技術人員應當理解 : 其依然 可以對前述各實施例所記載的技術方案進行修改, 或者對其中部分技術特征進行等同替 換; 而這些修改或者替換, 并不使相應技術方案的本質脫離本發明各實施例技術方案的范 圍。

關 鍵 詞:
深度 檢測 過濾 方法 設備 系統
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:深度包檢測過濾方法、設備和系統.pdf
鏈接地址:http://www.rgyfuv.icu/p-6420475.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
山东11选5中奖结果走势图