控制装置、执行装置、生成过滤规则的方法及系统的制作方法

专利名称：控制装置、执行装置、生成过滤规则的方法及系统的制作方法
技术领域：
本发明涉及通信领域，尤其涉及生成过滤规则的技术。
背景技术：
在为不同签约用户提供业务的同时，需要对用户的业务请求进行策略控制
和计费控制。目前能够提供策略控制和计费控制的系统有3GPP定义的PCC(策 略和计费控制)系统，其架构如图1所示，包括SPR (Subscription Profile Repository,用户签约数据数据库)、AF ( Application Function,应用层功能) 实体、PCRF ( Policy Control and Charging Rules Function,策略控制和计费规则 功能)实体、PCEF ( Policy and Charging Enforcement Function,策略和计费执 行)实体、OCS (Online Charging System,在线计费系统)和OFCS (Offline Charging System,离线计费系统)。
各个功能实体的功能如下
SPR实体向PCRF实体提供用户签约数据；
AF实体向PCRF实体动态提供应用层的会话信息等应用相关信息； PCRF实体，根据用户接入网络的限制、运营商策略、用户签约数据(从 SPR功能实体获取)以及用户当前正在进行的会话信息(从AF功能实体获取) 等决定对应的策略计费控制规则，包括业务数据流(完成某一业务，比如语音 的IP流集合)的PCC过滤规则、是否进行门控的控制策略，业务数据流对应 的QoS (Quality of Service,服务质量)控制策略和基于流的计费控制策略等； 并通过Gx接口，将所决定的策略计费控制规则下发给PCEF实体，这种策略 计费控制规则也被称为动态策略计费控制规则；或根据PCRF实体上保存的策 略计费控制规则的相关信息，指示PCEF实体激活事先预定义在PCEF实体中
的某项策略计费控制规则；
PCEF实体，执行PCRF实体下发的策略计费控制规则，或者指定的策略 计费控制规则，具体来说就是根据所述策略计费控制规则中的PCC过滤规则， 执行业务数据流的检测和测量，保证业务数据流的QoS，用户面的流量处理和 触发控制面的会话管理等；以及保存有;f企测和测量到的承载相关信息。
OCS和OFCS分别主要用于在线计费和离线计费。
PCRF实体主要通过Diameter CCA( Credit-Control-Answer,信用控制应答) 或RAR(Re-Auth-Request，重鉴权请求)消息，将所决定的策略计费控制规则 下发给PCEF实体，例如在Diameter CCA或RAR消息的Charging-Rule-Install (计费规则安装)的Charging-Rule-Definition (计费规则定义)中携带策略计
费控制规则，如下
Charging-Rule-Definition ::= < AVP Header: 1003 >
{ Charging-Rule誦Name } [Service-Identifier ] [Rating-Group ] *[ Flow-Description ] [Flow-Status ] [QoS-Information ] [Reporting-Level ] [Online J [Offline ] *[ Flows ] *[AVPJ
其中，Charging-Rule-Name表示携带应用业务流控制策略信息的PCC过滤 规则名称；Flow-Description表示所述PCC过滤规则中描述的所述应用业务流 的一个或多个IP的5元组信息；Flow-Status表示所述应用业务流的门控策略 寸言息；Rating-Group、 Reporting-Level 、 Online 、 Offline 、 Metering-Method等表
示所述应用业务流的计费控制策略信息；QoS-Information表示所述应用业务流 的QoS控制策略信息。
对于在PCEF实体中预定义的策略计费控制MJ'J，其中的PCC过滤〗現则除 了包含IP的5元组信息外，还可以包含扩展7层解析信息，如URL ( Uniform Resource Locator,统一资源定位符)等信息。
由上述可以看出，无论是PCRF实体动态生成的策略计费控制规则还是在 PCEF实体中预定义的策略计费控制规则，其中的PCC过滤规则中的IP 5元组 信息和/或扩展7层解析信息都是确定的(虽然IP可以有掩码，URL可以有通 配符，但是都是在策略计费控制规则中明确规定的范围内，广义上可以认为是 确定的)，PCEF实体可以根据这些确定的PCC过滤规则，检测业务数据流报 文，并根据策略控制信息，对能够匹配到所述PCC过滤规则的业务数据流报 文，执行相应的QoS、门控和计费等策略控制。但是在一些应用场景中，仅仅 根据这些确定的过滤规则信息检测接收到的业务数据流，无法执行相应的 QoS、门控和计费等策略控制
例如FTP ( File Transfer Protocol,文件传送协议)应用中，现有PCC架构 只能下发FTP控制面的过滤规则，例如IP5元组可以取值为原IP为分配给 终端的IP;目的IP为FTP服务器IP;原端口号为any;目的端口号为21(控 制端口)；协议号为6(TCP)。但是当用户和FTP服务器建立FTP连接时，会 使用上述地址先建立一个控制连接，然后协商数据端口，协商成功后就会使用 协商的数据端口 (不同于上述定义的控制端口 )进行数据传输。这种情况下， 如果PCEF实体还使用现有的控制面过滤规则对后续用户与数据端口之间交互 的FTP数据业务进行过滤，就无法实现对FTP数据业务的QoS和计费控制。
又如现有PCC架构的HTTP ( HyperText Transfer Protocol,超文本传送协 议)应用中，PCEF实体直接根据IP 5元组信息和/或URL信息来才金测业务数 据流。但是在一些基于WAP (Wireless Application Protocol,无线应用协议) 的应用中，应用服务器的IP地址和端口号是放在HTTP header域的特定字段(例
如X-Online-Host字段)中，用户终端发送HTTP请求到WAP网关后，WAP 网关将根据HTTP header域中的X-Online-Host字段将该请求转发到相应的在 线应用服务器。用户与应用服务器之间进行HTTP数据流的交互。这种情况下， 如果PCEF实体还使用现有的IP 5元组信息、URL信息等过滤规则对后续业务 数据流进行过滤，显然无法实现对用户与应用月l务器之间的HTTP数据流的 QoS和计费控制。
可见利用现有技术生成的过滤规则，无法对数据应用，例如FTP下载、 HTTP Proxy (超文本传送协议代理)等应用进行策略控制，从而无法实现对这 些数据应用的QoS保证、计费和门控的有效控制。

发明内容
本发明的实施例提供一种控制装置、执行装置、生成过滤规则的指示方法、 生成过滤规则的方法及系统，通过本发明实施例，能够对数据应用，例如FTP 下载、HTTP Proxy等应用进行策略控制，从而能够实现对这些数据应用的QoS 保证、计费和/或门控的有效控制。
本发明的实施例通过如下技术方案实现 本发明的实施例提供一种生成过滤规则的指示方法，其包括 根据策略上下文信息生成包含有控制策略信息以及需要根据检测到的信 息动态生成过滤规则的指示的策略计费控制规则； 将所述策略计费控制规则传输给执行实体执行。 本发明的实施例还提供一种生成过滤规则的方法，其包括 获取策略计费控制规则，所述策略计费控制规则中携带控制策略信息，以 及需要根据检测到的信息动态生成过滤规则的指示；
根据所述指示对数据应用报文进行检测，根据检测到的信息，动态生成过 滤规则；
根据动态生成的过滤规则，对数据应用报文进行检测； 利用所述控制策略信息，对能够匹配到所述过滤MJ'J的数据应用报文进行 控制。
本发明的实施例还提供一种控制装置，其包括
控制规则生成单元，用于根据策略上下文信息生成策略计费控制规则，在 生成的策略计费控制规则中包括控制策略信息，以及需要根据检测到的信息 动态生成过滤规则的指示；
控制规则传输单元，用于将所述策略计费控制规则下发出去。
本发明的实施例还提供一种执行装置，其包括
获取单元，用于获取策略计费控制规则，所述策略计费控制规则中携带控
制策略信息，以及需要根据检测到的信息动态生成过滤规则的指示；
过滤规则生成单元，用于根据所述指示对数据应用报文进行检测，根据检
测到的信息，动态生成过滤规则；
检测单元，用于根据动态生成的过滤规则，对数据应用报文进行检测； 控制单元，用于利用所述控制策略信息，对能够匹配到所述动态生成的过
滤规则的数据应用报文进行控制。
本发明的实施例还提供一种生成过滤规则的方法，其包括 根据策略上下文信息生成策略计费控制规则，在生成的策略计费控制规则
中包括控制策略信息，以及需要根据检测到的信息动态生成过滤规则的指示； 根据所述策略计费控制规则中的指示对数据应用报文进行检测，根据检测
到的信息动态生成过滤规则；根据动态生成的过滤规则，对数据应用报文进行
检测；根据所述控制策略信息对能够匹配到所述动态生成的过滤规则的数据应
用报文进行控制。
本发明的实施例还提供一种生成过滤规则的系统，其包括 策略控制和计费规则功能实体，用于根据策略上下文信息生成包含有控制
策略信息以及需要根据检测到的信息动态生成过滤规则的指示的策略计费控
制规则；
策略和计费执行实体，用于根据所述策略计费控制规则中的指示对数据应
用报文进行检测，根据检测到的信息，动态生成过滤规则；根据动态生成的过 滤规则，对数据应用报文进行检测；根据所述控制策略信息对能够匹配到所述 动态生成的过滤规则的数据应用报文进行控制。
由上述本发明的实施例提供的具体实施方案可以看出，其中，在根据策略 上下文信息生成的策略计费控制规则中包含需要根据检测到的信息动态生成 过滤规则的指示，根据该指示对数据应用报文进行检测，根据检测到的信息， 动态生成过滤规则，并利用所生成的过滤规则，对数据应用报文，例如FTP 下载、HTTP Proxy等应用报文，进行检测，并利用控制策略信息对能够匹配 到该过滤规则的报文进行相应的策略控制，因此本发明实施例能够实现对这些 数据应用的QoS保证、计费和/或门控的有效控制。


图1为现有PCC系统架构示意图； 图2为本发明第一实施例的流程图3为本发明第一实施例中的在FTP应用中，对业务数据流报文实施QoS 控制的流程图4为本发明第一实施例中的在HTTP应用中，对业务数据流报文实施计 费控制的流程图5为本发明第一实施例中的在HTTP应用中，对业务数据流报文实施门 控控制的流程图6为本发明第二实施例中的结构示意图； 图7为本发明第三实施例中的结构示意图； 图8为本发明第四实施例中的结构示意图。
具体实施例方式
本发明实施例提供一种生成过滤规则的方法，其能够根据检测信息动态生
成过滤规则，并利用所生成的过滤规则,对数据应用，例如FTP下载、HTTP Proxy等应用进行策略控制，从而能够实现对这些数据应用的QoS保证、计费 和门控的有效控制。该方法的实施过程如图2所示，包括
步骤S101， PCRF实体根据策略上下文信息，生成策略计费控制规则，策 略计费控制规则中包含控制策略信息，以及动态生成过滤规则的指示，并通过 Gx接口发送给PCEF实体。
策略计费控制规则中包括的控制策略信息可以包含在所述需要根据检测 到的信息动态生成过滤规则的指示中，也可以不包含在所述需要根据检测到的 信息动态生成过滤规则的指示中
PCRF实体可以根据需要，到SPR实体中获取用户签约信息，所述用户签 约信息中包含运营商配置的控制策略信息。PCRF实体也可以根据需要，到AF 实体中获取应用相关信息；或到PCEF实体中获取承载相关信息；PCRF实体 中也可以配置有运营商自定义的控制策略信息。
运营商所配置的控制策略信息中包括是否允许某种业务实现等门控控制 策略，可以分配的带宽等QoS控制策略，计费方式等计费控制策略，以及用来 协助上述控制策略信息实现的PCC过滤规则。该PCC过滤规则可以包括IP 5 元组信息、应用协议类型，还可以进一步包括扩展7层解析(URL)信息。另 夕卜，运营商所配置的控制策略信息中还可以包括是否需要根据检测的信息动态 生成过滤规则的指示信息。
PCRF实体可以根据上述用户签约信息、承载相关信息、应用相关信息、 运营商自定义的策略等中的一个或多个策略上下文信息，确定出是否需要动态 生成过滤规则。例如，如果上述用户签约信息和/或运营商自定义的策略中包含 有是否需要根据检测的信息动态生成过滤规则的指示信息，则PCRF实体可以 根据确定出需要动态生成过滤规则；如果PCRF实体根据承载相关信息和/或应 用相关信息发现HTTP报文头中的特定字段，或FTP的数据端口，则认为需要
动态生成过滤失见则。
当PCRF实体确定需要动态生成过滤规则后，则根据上述信息制订策略计 费控制规则，所述策略计费控制规则中除了包括现有技术中携带的应用业务流
控制策略信息的PCC过滤规则，是否进行门控的控制策略信息，业务数据流 对应的QoS控制策略信息和基于流的计费控制策略信息等，还包括动态生成过 滤规则的指示。之后PCRF实体通过Gx接口，将所生成的策略计费控制规则 发送给PCEF实体。
如下给出了在Diameter CCA或RAR消息的Charging-Rule-Install的 Charging-Rule-Defmition中携带的策略计费控制规则中包含动态生成过滤规
则的指示的示例
Charging-Rule-Definition ::= < AVP Header: 1003 >
{ Charging-Rule-Name } [Service-Identifier ] [Rating-Group ] * [ Flow-Description ] *[ Create-Dynamic-Filter
[Flow-Status ] [QoS-Information ] [Reporting-Level〗 [Online ] [Offline ] *[ Flows ] *[AVP]
将上述实例与现有的Charging-Rule-Defmition进行对比，可以看出，实例 中的Create-Dynamic-Filter AVP是新增的信元，用来表示需要动态生成过滤规 则的指示。
PCRF实体通过Create-Dynamic-Filter AVP信元表示需要动态生成过滤规
则的指示时，首先需要说明动态生成过滤规则所应用的协议类型，然后说明根
据应用协议类型使用的检测方法，例如FTP协议类型使用端口检测方法，如 Data-Port-Detect检测方法，HTTP协议类型使用HTTP-Proxy 4全测方法；另外 还需要对检测报文的IP 5元组和/或URL进行限定。
如下给出一个需要根据检测信息动态生成过滤规则的指示的示例
Create-Dynamic-Filter ::= < AVP Header: xxxx > [APP-Protocol] * [Data-Port-Detect] [HTTP-Proxy] [IP-5-Tuple;i [URL]
上述Create-Dynamic-Filter AVP中各个信元分别描述如下
1、 APP-Protocol AVP信元表示应用的协议类型，如FTP、 HTTP等协议类型。
2、 Data-Port-Detect AVP表示应用FTP协议类型情况下，通过检测业务流 的数据端口，生成动态过滤规则，其可以有以下取值
FTPPORT(O)，表示检测FTP PORT命令中的端口 ； FTP—PASV(l)，表示检测FTPPASV命令中的端口。
3、 HTTP-ProxyAVP表示应用HTTP协议类型情况下，通过检测HTTP报
文头中的特定字段动态生成过滤规则，其可以有以下取值
HTTP-Proxy AVP ::= < AVP Header: xxxx > [x-online國host] * [Gate-Filter] [Flow-Status]
其中，x-online-host AVP表示检测HTTP x-online-host中的信息，根据检测 到的信息动态生成过滤规则；
*Gate-Filter AVP表示一个或多个门控过滤规则，根据所述门控过滤规则， 可以对能够匹配到所述门控过滤规则的数据流实施门控；
Flow-Status AVP表示对能够匹配到上述动态过滤规则的数据应用报文进
行门控控制的控制策略信息，仍使用已有定义取值。
4、 IP-5-Tuple AVP主要包含IP 5元组信息源IP地址、目的IP地址、源 端口号、目的端口号和协议号。其中IP地址可以有掩码(例如掩码长度是8、 16或24等)，端口号可以有一定范围(例如551-559)。
5 、 URL AVP表示扩展7层解析过滤MJ'] ， URL中可以4吏用通配符(例如 http:〃wwwAcom )。
当仅仅在应用HTTP协议类型的情况下，上述Create-Dynamic-Filter AVP 中可以不包括Data-Port-Detect AVP信元。
当仅仅在应用FTP协议类型的情况下，上述Create-Dynamic-Filter AVP中 可以不包括HTTP-Proxy AVP信元。
步骤S102, PCEF实体根据PCRF实体下发的策略计费控制规则，根据所 述策略计费控制规则中的指示，对数据报文进行检测，并根据检测结果信息动
制策略信息，对能够匹配到动态生成的过滤规则的数据应用报文进行相应的控 制。
PCEF实体收到PCRF实体发来的策略计费控制规则后，发现其中携带有 需要根据检测信息动态生成过滤规则的指示，即Create-Dynamic-Filter AVP, 则根据Create-Dynamic-Filter中的应用协议类型(APP-Protocol),使用相应的 检测方法(例如FTP端口， HTTP特定字段)进行检测。在检测的过程中使用 Create-Dynamic-Filter中的IP 5元组和/或URL对数据应用l艮文进行检测，即将 报文中携带的源地址、目的地址等信息与Create-Dynamic-Filter中的过滤规则 IP 5元组和/或URL信息进行匹配，如果匹配成功，则根据匹配到的数据应用 4艮文的端口和/或IP地址等，动态生成过滤少见则，即将匹配到的数据应用报文 端口和/或IP地址等信息作为动态生成的过滤规则的一部分。
信息执行相应的控制，如下 如果控制策略信息是指示中携带的门控控制策略信息，则PCEF实体对后
续的应用报文进行过滤，根据门控控制策略信息给出的指示(ENABLE(使能)、 DISABLE (禁止)等)，对能够匹配到动态过滤规则的HTTP协议应用业务数 据流报文，进行转发或者丟弃等门控控制；
如果控制策略信息是PCRF实体发来的策略计费控制规则中携带的QoS 控制策略信息，则使用该QoS控制策略信息对匹配到动态过滤规则的HTTP 协议或FTP协议数据应用报文进行QoS控制。PCEF实体可以根据QoS控制 策略信息，发起IP-CAN会话的更新操作，例如IP-CAN会话的QoS参数更新， 或IP-CAN承载的建立、删除等操作；
如果控制策略信息是PCRF实体发来的策略计费控制规则中携带的计费控 制策略信息，则PCEF实体可以根据该计费控制策略信息，对后续的HTTP协 议或FTP协议数据应用报文进行计费控制，如对于匹配到动态过滤规则的业务 数据流按流量或时长计费，在线或离线计费等计费控制。
下面举例对本发明第 一 实施例进行详细描述。
例1,对FTP业务数据端口进行检测，并根据检测信息动态生成过滤规则， 根据动态生成的过滤规则进行QoS控制的应用实例
用户IP-CAN会话建立后，需要使用FTP业务，发送IP-CAN承载建立消 息到PCEF实体。PCEF实体发送Diameter CCR消息到PCRF实体，用于请求 策略控制失见则；PCRF实体才艮据用户签约信息和运营商定义的QoS控制策略， 生成策略控制规则，策略控制规则中包含根据检测信息动态生成过滤规则的指 示，用于指示PCEF实体需要对FTP数据端口进4亍检测并动态生成过滤规则， 同时，对能够匹配到动态生成过滤规则的数据应用报文实施QoS控制(分配 2M带宽)。PCRF实体将策略控制规则发送给PCEF实体执行。
具体实施过程如图3所示，包括
步骤3(H,用户IP-CAN会话已建立。
步骤302,用户要使用FTP协议下载业务，需要新建立IP-CAN承载，于
是发送建立请求到PCEF (GW)实体。该建立请求中携带用户ID信息。
步骤303, PCEF实体发送Diameter CCR消息到PCRF实体，消息中携带 有承载相关信息和用户ID信息等，用于请求策略控制规则。
步骤304, PCRF实体可以到SPR实体中根据用户ID获取用户签约信息。 如果PCRF实体中保存有用户签约信息，则步骤304可以省略。 步骤305， PCRF实体根据运营商定义的QoS控制策略信息(本实施例中 运营商定义的QoS控制策略信息是为用户分配2M比特/秒的带宽用于FTP 应用下载；)和用户签约信息(用户签约信息中还定义了需要动态检测用户数 据端口信息)生成策略控制规则，并通过Diameter CCA消息，将该策略控制 规则发送到PCEF实体执行。
该策略控制规则携带有如下信息
QoS-Information信息，用来表示为用户分配2M比特/秒的带宽的QoS控 制策略信息；
因为FTP业务需要检测数据端口 ，所以策略控制规则中除了携带有如下上 述信息之外，还携带有根据检测信息动态生成过滤规则的指示信息 Create-Dynamic画Filter AVP ，其中
APP-Protocol取值为FTP;
Data-Port-Detect AVP有两个取值，分别为FTP—PORT(0)和FTP—PAS V( 1)， 表示需要对FTP PORT和FTP PASV命令中的端口进行检测，并动态生成过滤 规则；
IP-5-Tuple AVP主要包含IP 5元组信息
原IP地址为用户的IP地址；目的IP地址为FTP Server IP的地址；原端 口为any，目的端口为21;协议号为6(TCP)。
步骤306, PCEF实体安装该策略控制规则，并发送IP-CAN承载建立应答 到用户终端。
步骤307， IP-CAN承载建立后，用户开始基于FTP协议下载数据应用报
文。
步骤308， PCEF实体对用户下载的FTP报文进行检测，首先将用户下载 的FTP报文中的信息与指示信息Create-Dynamic-Filter AVP中的IP 5元组信息 进行匹配，如果报文中的信息能够匹配IP 5元组信息原IP地址为用户的IP 地址；目的IP地址为FTP Server IP的地址；原端口为any,目的端口为21;
-险测用户终端和FTP Server使用的端口 ；才全测到用户终端使用端口 23456, FTP Server使用端口 20后，PCEF实体根据检测到的端口信息，动态生成过滤规则。
该动态生成的过滤规则包含的IP-5-Tuple AVP包含如下信息
原IP地址为用户的IP地址；目的IP地址为FTP Server的IP地址；原端 口为23456,目的端口为20;协议号为6(TCP)。
步骤309, PCEF实体根据动态生成的过滤规则，对数据应用报文进行检 测，并利用根据策略控制规则中的QoS-Information AVP信元，限制能够匹配 到所述动态生成的过滤规则的数据应用报文的传输带宽为2M比特/秒。
例2,在HTTP应用中，对App Server进行检测，根据检测到的信息动态 生成过滤规则，根据该动态生成的过滤规则进行计费控制实例
用户IP-CAN会话建立时，发送IP-CAN会话建立消息到PCEF实体。PCEF 实体发送Diameter CCR消息到PCRF实体，用于请求策略控制规则，PCRF实 体根据用户签约信息和运营商定义的计费控制策略，生成策略控制规则。该策 略控制规则中包含根据检测信息动态生成过滤规则的指示，用于指示PCEF实 体需要对HTTP头域中的x-online-host字段进行检测(其中含有应用服务器的 IP地址和端口号)，并动态生成过滤规则，同时，对能够匹配到动态生成的过 滤规则的数据应用报文实施计费控制(不同费率)。PCRF实体通过Diameter CCA消息，将策略控制规则发送给PCEF实体执行。
具体实施过程如图4所示，包括
步骤401 ，用户发起IP-CAN会话建立，将会话建立请求发送给PCEF实
体，要求建立IP-CAN会话。该会话建立请求中携带用户的ID信息。
步骤402, PCEF实体发送Diameter CCR消息到PCRF实体，消息中携带 有承载相关信息和用户ID信息等，用于请求策略控制规则。
步骤403，PCRF实体根据用户ID信息，到SPR实体中获取用户签约信息。 如果PCRF实体中保存有用户签约信息，则步骤403可以省略。 步骤404， PCRF实体根据运营商定义的计费策略(本实施例中运营商定 义的计费控制策略是对于用户访问App Server实施特殊费率，例如8折优惠) 和用户签约信息(本例中用户签约信息定义了用户访问Internet时需要经过 HTTP Proxy (例如WAP网关))生成策略控制规则，并通过Diameter CCA消 息，将该策略控制规则发送到PCEF实体执行。
该策略控制规则中包含有Rating-GroupAVP,用来表示应用费率标示； 因为用户访问的App Server需要HTTPProxy服务器转发，而且用户将App Server的IP地址和端口号放在HTTP Header的x-online-host字段中，需要PCEF 实体将App Server检测出来，所以该策略控制规则中除了携带上述信息之外， 还携带有根据检测信息动态生成过滤规则的指示信息Create-Dynamic-Filter AVP，其中包括如下信息
APP-Protocol取值为HTTP协议；
HTTP-Proxy AVP中带有x-online-host AVP ，表示需要检测HTTP x-online-host中的信息，并根据检测到的信息动态生成过滤规则； IP-5-Tuple AVP主要包含IP 5元组信息
原IP地址为用户IP;目的IP为HTTP Proxy服务器IP;原端口为any, 目的端口为any;协议号为6 ( TCP);
URL AVP中包含需要过滤的高层应用信息。
步骤405， PCEF实体安装该策略控制规则，并发送IP-CAN会话建立应答 到用户终端。
步骤406， IP-CAN会话建立后，用户开始HTTP业务。
步骤407， PCEF实体利用Create-Dynamic-Filter AVP中的IP 5元组信息和 /或URL信息对用户HTTP数据应用报文进行检测即将用户HTTP数据应用 报文中的信息与Create-Dynamic-Filter AVP中的IP 5元组信息和/或URL信息 进行匹配，若匹配成功，则根据HTTP头中的x-online-host得到App Server的 IP地址为1.2.3.4，端口为12345， PCEF实体根据得到的IP地址和端口信息, 动态生成过滤规则，该动态生成的过滤规则包含如下信息
原IP地址为用户的IP地址；目的IP地址为HTTP Proxy月良务器的IP地址； 原端口为用户为这次TCP连接选定的端口号，目的端口为HTTP Proxy服务器 端口号；协议号为6 (TCP);
App Server的IP地址1.2.3.4,端口 12345,和/或URL信息，与动态生 成的过滤规则之间的绑定关系。
步骤408， PCEF实体根据动态生成的过滤规则，对数据应用报文进行检 观'J，并根据策略控制规则中的计费控制策略信息对能够匹配到该动态生成的过 滤规则的数据应用报文，实施计费控制。
PCEF实体根据动态生成的过滤规则中的IP地址、端口号和协议号等信息， 对数据应用报文进行检测，并根据策略控制规则中的计费控制策略信息，如 Rating-Group,对能够匹配到过滤规则中的信息的数据应用报文(包括根据上 述绑定关系，能够匹配到过滤规则中的信息的数据应用报文)，实施计费控制。
例3，在HTTP应用中，对App Server进行检测，根据检测到的信息动态 生成过滤规则，根据该动态生成的过滤规则进行门控控制实例
用户IP-CAN会话建立时，发送IP-CAN会话建立请求消息到PCEF实体。 PCEF实体发送Diameter CCR消息到PCRF实体，用于请求策略控制规则， PCRF实体根据用户签约信息和运营商定义的门控控制策略，生成策略控制规 则。策略控制规则中禁止用户访问的网站；同时，因为用户使用HTTP Proxy, 控制策略规则中还包含有根据检测信息动态生成过滤规则的指示，用于指示 PCEF实体需要对HTTP头域中的x-online-host字段进行检测(其中含有应用
服务器的IP地址和端口号)，并根据检测到的信息动态生成过滤规则。PCRF 实体将策略控制规则发送给PCEF实体执行，对能够匹配到动态生成过滤规则 的数据应用报文实施门控控制。
具体实施过程如图5所示，包括
步骤501 ，用户发起IP-CAN会话建立，将会话建立请求发送给PCEF实 体，要求建立IP-CAN会话。该会话建立请求中携带用户的ID信息。
步骤502, PCEF实体发送Diameter CCR消息到PCRF实体，消息中携带 有承载相关信息和用户ID信息等，用于请求策略控制规则。
步骤503, PCRF实体根据用户ID信息，到SPR实体中获取用户签约信息。
如果PCRF实体中保存有用户签约信息，则步骤503可以省略。
步骤504, PCRF实体根据运营商定义的门控控制策略(本实施例中运营 商定义的门控控制策略是禁止用户访问一些网站，如IP地址为1.2.3.4，端 口为12345的App Server)和用户签约信息(本例中用户签约信息定义了用户 访问Internet时需要经过HTTP Proxy (例如WAP网关))生成策略控制规则， 并通过Diameter CCA消息，将该策略控制规则发送到PCEF实体执行。
因为用户访问的App Server需要HTTP Proxy服务器转发，而且用户将App Server的IP地址和端口号放在HTTP Header的x-online-host字段中，需要PCEF 实体将App Server检测出来，并对App Server实施门控，所以该策略控制规则 中携带有根据检测信息动态生成过滤规则的指示信息Create-Dynamic-Filter AVP,该指示信息中包括如下信息
APP-Protocol取值为HTTP协议；
HTTP-Proxy AVP中带有x-online-host AVP,表示需要检测HTTP x-online-host中的信息，并根据检测到的信息动态生成过滤规则；
Gate-Filter AVP中包含有网站列表IP地址为1.2.3.4,端口为12345的 App Server;
Flow-Status AVP取值为DISABLE ( 1 )，禁止报文通过；IP-5-Tuple AVP中主要包含IP 5元组信息
原IP地址为用户IP;目的IP为HTTP Proxy服务器IP;原端口为any, 目的端口为any;协议号为6 ( TCP );
URL AVP中包含需要过滤的高层应用信息。
步骤505, PCEF实体安装该策略控制规则，并发送IP-CAN会话建立应答 到用户终端。
步骤506, IP-CAN会话建立后，用户开始HTTP业务。 步骤507, PCEF实体对用户的HTTP数据应用报文进行检测首先HTTP 数据应用才艮文与指示信息Create-Dynamic-Filter AVP中的IP 5元组信息和/或 URL信息进行匹配；若能够匹配成功，则根据HTTP头中的x-online-host检 测到App Server的IP地址为1.2.3.4，端口为12345， PCEF实体根据检测到 的IP地址和端口信息，动态生成过滤MJ'j,该过滤^L则中包含如下信息 原IP地址为用户的IP地址；目的IP地址为HTTP Proxy服务器的IP地址； 原端口为用户为这次TCP连接选定的端口号，目的端口为HTTP Proxy服务器 的端口号；协议号为6 (TCP);
App Server的IP为1.2.3.4,端口 12345，和/或URL信息与动态生成的过 滤规则之间的绑定关系。
步骤508, PCEF实体接收用户的HTTP数据应用报文； 步骤509, PCEF实体根据动态生成的过滤规则，对用户的HTTP数据应 用报文进行门控控制。
PCEF实体根据动态生成的过滤规则，对用户的HTTP数据应用报文进行 检测，若发现有发往IP地址为1.2.3.4,和/或端口号为12345的HTTP数据应 用报文，因为本实施例中的门控控制策略为指示信息中携带的禁止用户访问IP 地址为1.2.3.4,和/或端口号为12345的App Server的门控控制策略信息，则 PCEF实体会将这些才艮文全部丟弃。
本发明第一实施例还提供一种指示生成过滤规则的方法，其具体实施过程
与本发明第一实施例中的步骤SIOI的具体实施过程雷同，这里不再详细描述。 本发明第一实施例，还提供一种生成过滤规则的方法，其具体实施过程与
本发明第一实施例中的步骤S102的具体实施过程雷同，这里不再详细描述。
本发明第二实施例提供一种控制装置，其结构如图6所示，包括控制规 则生成单元和控制MJ'j传输单元。
控制规则生成单元，用于根据策略上下文信息生成策略计费控制规则，在 生成的策略计费控制规则中包括控制策略信息，以及需要根据检测到的信息 动态生成过滤规则的指示。
其中策略上下文信息包括运营商定义的门控控制策略、QoS控制策略、计 费控制策略、用户签约信息等。
其中，所述需要根据检测到的信息动态生成过滤规则的指示，包括
动态生成过滤MJ'J时所应用的协议类型；
根据所述应用协议类型检测接收到的数据应用报文时使用的检测方法； 检测报文时所使用的IP 5元组和/或URL信息。
策略计费控制规则中包括的控制策略信息可以包含在所述需要根据检测 到的信息动态生成过滤规则的指示中，也可以不包含在所述需要根据检测到的 信息动态生成过滤规则的指示中。
控制规则传输单元，用于将所述策略计费控制规则下发出去。其可以通过 Diameter CCA消息，将该策略控制规则发送到PCEF实体执行。
所述控制装置可以集成在PCRF实体中。
本发明第三实施例提供一种执行装置，其结构如图7所示，包括获取单 元、过滤规则生成单元、检测单元和控制单元。其中所述过滤规则生成单元包 括检测方法确定子单元、检测子单元和过滤规则生成子单元。所述控制单元 包括第一控制子单元、第二控制子单元和第三控制子单元。
获取单元，用于获取策略计费控制规则，所述策略计费控制规则中携带控 制策略信息，以及需要根据检测到的信息动态生成过滤规则的指示；其中，所
述需要根据检测到的信息动态生成过滤规则的指示，包括 动态生成过滤失见则时所应用的协议类型；
根据所应用的协议类型检测接收到的数据应用报文时使用的检测方法； 检测报文时所使用的IP 5元组和/或URL信息。
其中所述控制策略信息包括QoS控制策略信息、门控控制策略信息，和 /或，计费控制策略信息。该控制策略信息可以包含在所述需要根据检测到的信 息动态生成过滤规则的指示中，也可以不包含在所述需要根据检测到的信息动 态生成过滤规则的指示中。
过滤规则生成单元，用于根据所述指示对数据应用报文进行检测，根据检 测到的信息动态生成过滤规则；具体处理情况如下
检测方法确定子单元，用于根据所述指示，确定检测数据应用报文所应用 的协议类型，并根据所应用的协议类型确定相应的4企测方法；
检测子单元，用于根据所确定的检测方法，将接收到的数据应用报文中的 信息，与所述指示信息中携带的IP5元组和/或URL信息进行匹配；
过滤规则生成子单元，用于将所述检测子单元能够匹配到IP 5元组和/或 URL信息的数据应用报文信息，加入到过滤规则中。
检测单元，用于根据动态生成的过滤规则，对数据应用报文进行检测；也 就是，将数据应用报文中的信息与动态生成的过滤规则中的IP 5元组和/或URL 信息进行匹配。
控制单元，用于利用所述控制策略信息，对能够匹配到所述动态生成的过 滤规则的数据应用报文进行控制。具体处理情况如下
第一控制子单元，用于当控制策略信息中包含有服务质量QOS控制策略 信息时，利用所述QOS控制策略信息，对能够匹配到所述动态生成的过滤规 则的数据应用报文进行服务质量控制；和/或，
第二控制子单元，用于当控制策略信息中包含有门控控制策略信息时，利 用所述门控控制策略信息，对能够匹配到所述动态生成的过滤规则的数据应用
4良文进行门控控制；和/或，
第三控制子单元，用于当控制策略信息中包含有计费控制策略信息时，利 用所述计费控制策略信息，对能够匹配到所述动态生成的过滤规则的数据应用 报文进行计费控制。
上述执行装置可以集成在PCEF实体中。
本发明第四实施例提供一种生成过滤规则的系统，其结构如图8所示，包
括
策略控制和计费规则功能实体，用于根据策略上下文信息生成策略计费控 制规则，在生成的策略计费控制规则中包括控制策略信息，以及需要根据检 测到的信息动态生成过滤规则的指示；其包含的单元及各个单元的具体处理情 况与上述本发明第二实施例中的控制装置中的各个单元的处理情况雷同。
策略和计费执行实体，用于根据携带有控制策略信息，以及需要根据检测 到的信息动态生成过滤规则的指示，对数据应用报文进行检测，根据检测到的 信息动态生成过滤规则；根据动态生成的过滤规则，对数据应用报文进行检测； 利用所述控制策略信息，对能够匹配到所述动态生成的过滤规则的数据应用报 文进行控制。其包含的单元及各个单元的具体处理情况与上述本发明第三实施 例中的执行装置中的各个单元的处理情况雷同。
由上述本发明实施例提供的具体实施方案可以看出，其中，根据策略上下 文信息生成的策略计费控制规则中包含需要根据^r测到的信息动态生成过滤 规则的指示，根据该指示对数据应用报文进行检测，根据检测到的信息，动态 生成过滤规则，并利用所生成的过滤规则，对数据应用报文，例如FTP下载、 HTTP Proxy等应用报文，进行检测，并利用控制策略信息对能够匹配到该过 滤规则的报文进行相应的策略控制，因此本发明实施例能够实现对这些数据应 用的QoS保证、计费和/或门控的有效控制。
明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
权利要求
1、一种生成过滤规则的指示方法，其特征在于，包括根据策略上下文信息生成策略计费控制规则，在生成的策略计费控制规则中包括控制策略信息，以及需要根据检测到的信息动态生成过滤规则的指示； 将所述策略计费控制规则传输给执行实体执行。
2、 如权利要求1所述的方法，其特征在于，所述需要根据;险测到的信息 动态生成过滤规则的指示，包括动态生成过滤规则时所应用的协议类型；根据所述应用协议类型检测接收到的数据应用报文时使用的检测方法； 检测报文时所使用的IP 5元组和/或统一资源定位符URL信息。
3、 如权利要求1或2所述的方法，其特征在于，根据所述应用协议类型 检测接收到的报文时使用的检测方法，包括应用文件传送协议FTP协议类型检测接收到的数据应用报文时，采用数据 端口检测方法；或者，应用超文本传送协议HTTP协议类型检测接收到的数据应用报文时，采用 超文本传送协议代理HTTP-Proxy检测方法。
4、 如权利要求1或2所述的方法，其特征在于，所述控制策略信息中包 括如下信息中的至少一种服务质量QoS控制策略信息、门控控制策略信息、计费控制策略信息。
5、 一种生成过滤规则的方法，其特征在于，包括获取策略计费控制规则，所述策略计费控制规则中携带控制策略信息，以 及需要根据检测到的信息动态生成过滤规则的指示；根据所述指示对数据应用报文进行检测，根据检测到的信息，动态生成过 滤规则；根据动态生成的过滤规则，对数据应用报文进行检测；利用所述控制策略信息，对能够匹配到所述过滤规则的数据应用报文进行控制。
6、 如权利要求5所述的方法，其特征在于，所述需要根据检测到的信息 动态生成过滤规则的指示，包括动态生成过滤^见则时所应用的协-汉类型；根据所应用的协议类型检测接收到的数据应用报文时使用的检测方法； 检测报文时所使用的IP 5元组和/或统一资源定位符URL信息。
7、 如权利要求6所述的方法，其特征在于，所述根据所述指示对数据应 用报文进行检测，根据检测到的信息，动态生成过滤规则，包括根据所述指示，确定检测数据应用报文所应用的协议类型，并根据所应用 的协议类型确定相应的4企测方法；根据所确定的检测方法，将接收到的数据应用报文中的信息，与所述指示 信息中携带的IP5元组和/或URL信息进行匹配；并当匹配成功后，将数据应 用报文中的信息加入到过滤规则中。
8、 如权利要求5至7任意一项所述的方法，其特征在于，所述利用所述 控制策略信息，对能够匹配到所述过滤规则的数据应用报文进行控制，包括当控制策略信息中包含有服务质量QOS控制策略信息时，利用所述QOS 控制策略信息，对能够匹配到所述动态生成的过滤规则的数据应用报文进行 QOS控制；或者，当控制策略信息中包含有门控控制策略信息时，利用所述门控控制策略信 息，对能够匹配到所述动态生成的过滤规则的数据应用报文进行门控控制；或 者，当控制策略信息中包含有计费控制策略信息时，利用所述计费控制策略信 息，对能够匹配到所述动态生成的过滤规则的数据应用报文进行计费控制。
9、 一种控制装置，其特征在于，包括控制规则生成单元，用于根据策略上下文信息生成包含有控制策略信息以 及需要根据检测到的信息动态生成过滤规则的指示的策略计费控制规则； 控制规则传输单元，用于将所述策略计费控制规则下发出去。
10、 如权利要求9所述的控制装置，其特征在于，所述需要根据检测到的 信息动态生成过滤规则的指示，包括动态生成过滤规则时所应用的协议类型；根据所述应用协议类型检测接收到的数据应用报文时使用的检测方法； 检测报文时所使用的IP 5元组和/或统一资源定位符URL信息。
11、 一种执行装置，其特征在于，包括获取单元，用于获取策略计费控制规则，所述策略计费控制规则中携带控 制策略信息，以及需要根据检测到的信息动态生成过滤规则的指示；过滤规则生成单元，用于根据所述指示对数据应用报文进行检测，根据检 测到的信息，动态生成过滤规则；检测单元，用于根据动态生成的过滤规则，对数据应用报文进行检测；控制单元，用于利用所述控制策略信息，对能够匹配到所述动态生成的过 滤规则的数据应用报文进行控制。
12、 如权利要求11所述的执行装置，其特征在于，所述需要根据检测到 的信息动态生成过滤规则的指示，包括动态生成过滤规则时所应用的协议类型；根据所应用的协议类型4企测接收到的数据应用报文时使用的检测方法； 检测报文时所使用的IP 5元组和/或统一资源定位符URL信息。
13、 如权利要求12所述的执行装置，其特征在于，所述过滤规则生成单 元包括检测方法确定子单元，用于根据所述指示，确定检测数据应用报文所应用 的协议类型，并根据所应用的协议类型确定相应的^f企测方法；检测子单元，用于根据所确定的检测方法，将接收到的数据应用报文中的 信息，与所述指示信息中携带的IP5元组和/或URL信息进行匹配；过滤MJ'J生成子单元，用于将匹配到上述IP 5元组和/或URL信息的数据 应用报文中的信息加入到过滤规则中。
14、 如权利要求ll、 12或13所述的执行装置，其特征在于，所述控制单 元包括第一控制子单元，用于当控制策略信息中包含有服务质量QOS控制策略 信息时，利用所述QOS控制策略信息，对能够匹配到所述动态生成的过滤规 则的数据应用报文进行QOS控制；和/或，第二控制子单元，用于当控制策略信息中包含有门控控制策略信息时，利 用所述门控控制策略信息，对能够匹配到所述动态生成的过滤规则的数据应用 报文进行门控控制；和/或，第三控制子单元，用于当控制策略信息中包含有计费控制策略信息时，利 用所述计费控制策略信息，对能够匹配到所述动态生成的过滤规则的数据应用 报文进行计费控制。
15、 一种生成过滤规则的方法，其特征在于，包括 根据策略上下文信息生成策略计费控制规则，在生成的策略计费控制规则中包括控制策略信息，以及需要根据检测到的信息动态生成过滤规则的指示； 根据所述策略计费控制规则中的指示对数据应用报文进行检测，根据检测 到的信息动态生成过滤规则；根据动态生成的过滤规则，对数据应用报文进行 检测；根据所述控制策略信息对能够匹配到所述动态生成的过滤规则的数据应 用报文进行控制。
16、 一种生成过滤规则的系统，其特征在于，包括策略控制和计费规则功能实体，用于根据策略上下文信息生成包含有控制 策略信息以及需要根据检测到的信息动态生成过滤规则的指示的策略计费控 制规则；策略和计费执行实体，用于根据所述策略计费控制规则中的指示对数据应 用报文进行检测，根据检测到的信息，动态生成过滤规则；根据动态生成的过 滤规则，对数据应用报文进行检测；根据所述控制策略信息对能够匹配到所述 动态生成的过滤规则的数据应用报文进行控制。
全文摘要
本发明公开了一种控制装置、执行装置、生成过滤规则的指示方法、生成过滤规则的方法及系统，其中，根据策略上下文信息生成的策略计费控制规则中包含需要根据检测到的信息动态生成过滤规则的指示，根据该指示对数据应用报文进行检测，根据检测到的信息，动态生成过滤规则，并利用所生成的过滤规则，对数据应用报文，例如FTP下载、HTTP Proxy等应用报文，进行检测，并利用控制策略信息对能够匹配到该过滤规则的报文进行相应的策略控制，因此本发明实施例能够实现对这些数据应用的QoS保证、计费和/或门控的有效控制。
文档编号H04L12/14GK101364893SQ20071014015
公开日2009年2月11日 申请日期2007年8月8日 优先权日2007年8月8日
发明者岩 李, 毛玉欣, 谭仕勇, 鹏 赵, 魏伟华, 黄世碧 申请人:华为技术有限公司