[发明专利]一种执行安全控制的方法、系统及设备

权利要求书

1.一种执行安全控制的方法，其特征在于，包括如下步骤：

策略和计费执行实体从策略控制和计费规则功能实体接收安全控制策略信息；

所述策略和计费执行实体根据安全控制策略信息执行用户的安全控制；

所述安全控制策略包含防火墙控制列表信息、防火墙模式信息；

所述执行用户的安全控制包括如下步骤：

根据所述访问控制列表信息对用户业务数据流执行访问控制；

和/或，根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。

2.如权利要求1所述的方法，其特征在于，根据访问控制列表信息指定的访问控制列表中允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务数据流执行准入访问控制；

根据防火墙模式信息指定的防火墙模式选择报文过滤模式、深度检测模式、防垃圾邮件过滤、防病毒过滤之一或者其组合的防火墙，并为用户业务数据流执行防火墙功能。

3.如权利要求1所述的方法，其特征在于，所述安全控制策略信息是由策略控制和计费规则功能实体通过信用控制请求消息或重鉴权请求消息发送至策略和计费执行实体。

4.如权利要求3所述的方法，其特征在于，所述安全控制策略信息是通过信用控制请求消息或者重鉴权请求消息发送至策略和计费执行实体的访问控制列表信息、和/或防火墙模式信息。

5.如权利要求4所述的方法，其特征在于，所述访问控制列表信息通过在Gx接口的Diameter协议中增加访问控制列表编号ACL-Number AVP来表示；

防火墙模式信息通过在Gx接口的Diameter协议中增加防火墙模式编号 Firewal-Mode-Number AVP来表示。

6.如权利要求1所述的方法，其特征在于，进一步包括如下步骤：

策略控制和计费规则功能实体根据所述用户的策略条件信息判断并生成安全控制策略后，将安全控制策略发送至策略和计费执行实体；

策略和计费执行实体根据所述安全控制策略执行用户的安全控制。

7.如权利要求6所述的方法，其特征在于，所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全控制策略的访问控制列表信息，所述用户的策略条件信息是从策略和计费执行实体、网管系统、设备管理系统之一或者其组合获取的用户终端的终端软件版本、操作系统版本、操作系统补丁、是否安装了防病毒软件及软件版本之一或者其组合的策略条件信息；

和/或，所述策略控制和计费规则功能实体根据用户的策略条件信息判断并生成安全控制策略的防火墙模式信息，所述用户的策略条件信息是用户签约数据、用户的接入网类型、用户的漫游状态之一或者其组合的信息。

8.一种执行安全控制的系统，包括：策略和计费执行实体、策略控制和计费规则功能实体，其特征在于，还包括接收模块、执行模块，其中：

接收模块，与策略和计费执行实体相连，用于从策略控制和计费规则功能实体接收安全控制策略信息；

执行模块，与策略和计费执行实体相连，用于根据所述安全控制策略信息执行用户的安全控制；

所述安全控制策略包含防火墙控制列表信息、防火墙模式信息；

所述执行模块包括访问控制单元、和/或防火墙单元，其中：

访问控制单元，用于根据所述访问控制列表信息对用户业务数据流执行访问控制；

防火墙单元，用于根据所述防火墙模式信息为用户业务数据流选择相应模式的防火墙并执行防火墙功能。

9.如权利要求8所述的系统，其特征在于，所述访问控制单元进一步用 于根据访问控制列表信息指定的访问控制列表中允许访问的IP地址、端口、协议、应用类型之一或者其组合对用户业务数据流执行准入访问控制；

所述防火墙单元进一步用于根据防火墙模式信息指定的防火墙模式选择报文过滤模式、深度检测模式、防垃圾邮件过滤、防病毒过滤之一或者其组合的防火墙，并为用户业务数据流执行防火墙功能。

10.如权利要求8或9所述的系统，其特征在于，接收模块，进一步用于通过信用控制请求消息或重鉴权请求消息接收所述安全控制策略信息。

11.如权利要求10所述的系统，其特征在于，所述安全控制策略信息是访问控制列表信息、和/或防火墙模式信息。