專利名稱：：一種數(shù)據(jù)通訊控制方法以及數(shù)據(jù)通訊控制裝置的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及通訊安全領(lǐng)域，尤其涉及一種數(shù)據(jù)通訊控制方法以及數(shù)據(jù)通訊控制裝置。
背景技術(shù)：
：隨著數(shù)據(jù)通訊網(wǎng)絡(luò)的不斷發(fā)展，針對該網(wǎng)絡(luò)的攻擊也不斷出現(xiàn)，目前對數(shù)據(jù)通訊網(wǎng)絡(luò)的安全威脅主要來自于三個方面蠕蟲病毒、拒絕服務(wù)(DoS,DenyofService)攻擊以及黑客攻擊。這些攻擊的特點(diǎn)都是在數(shù)據(jù)通訊的過程中產(chǎn)生惡意流量，這些惡意流量會影響通信網(wǎng)絡(luò)、互聯(lián)網(wǎng)(Internet)以及終端的安全并影響通信網(wǎng)絡(luò)正常功能，進(jìn)一步可能會浪費(fèi)核心網(wǎng)和接入網(wǎng)設(shè)備處理資源和帶寬資源，從而造成用戶高額計費(fèi)，帶來糾紛，并影響運(yùn)營商按流量計費(fèi)業(yè)務(wù)的開展。現(xiàn)有技術(shù)中一種數(shù)據(jù)通訊控制方法為以寬帶碼分多址接入系統(tǒng)(WCDMA,WidebandCodeDivisionMultipleAccess)中的分組域核心網(wǎng)為例，核心網(wǎng)中的網(wǎng)元，例如服務(wù)通用分組無線服務(wù)支持節(jié)點(diǎn)(SGSN,ServingGeneralpacketradioserviceSupportNode)或網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN,GatewayGPRSSupportNode)或無線網(wǎng)絡(luò)控制器(RNC,RadioNetworkController),會對該網(wǎng)元控制下的每個用戶的數(shù)據(jù)流進(jìn)行監(jiān)控，若發(fā)現(xiàn)某個用戶的數(shù)據(jù)流中的某個報文符合預(yù)置的惡意報文特征，則刪除該報文，并且完全丟棄該數(shù)據(jù)流。但是，在上述的技術(shù)中，由于核心網(wǎng)網(wǎng)元會完全丟棄含有惡意報文的數(shù)據(jù)流，則可能會導(dǎo)致該用戶發(fā)送的正常數(shù)據(jù)同樣被丟棄，因此會使得該用戶可能在某段時間內(nèi)無法正常使用網(wǎng)絡(luò)，從而降低了用戶體驗(yàn)。
發(fā)明內(nèi)容本發(fā)明實(shí)施例提供了一種數(shù)據(jù)通訊控制方法以及數(shù)據(jù)通訊控制裝置，能夠提高用戶體驗(yàn)。本發(fā)明實(shí)施例提供的數(shù)據(jù)通訊控制方法，包括接收用戶終端發(fā)送的數(shù)據(jù)流；判斷所述數(shù)據(jù)流中的報文是否滿足預(yù)置的攔截條件，若滿足，則對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。本發(fā)明實(shí)施例提供的數(shù)據(jù)通訊控制裝置，包括數(shù)據(jù)流接收單元，用于接收用戶終端發(fā)送的數(shù)據(jù)流；數(shù)據(jù)流校驗(yàn)單元，用于判斷所述數(shù)據(jù)流中的報文是否滿足預(yù)置的攔截條件；流量控制單元，用于當(dāng)所述數(shù)據(jù)流中的報文滿足預(yù)置的攔截條件時對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。從以上技術(shù)方案可以看出，本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)本發(fā)明實(shí)施例中，在判斷用戶終端發(fā)送的數(shù)據(jù)流中包含有惡意報文(即滿足預(yù)置的攔截條件的報文)時，則對該用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制，而不是直接丟棄該用戶終端發(fā)送的數(shù)據(jù)流，所以本發(fā)明實(shí)施例可以使得該用戶終端仍然能夠使用部分網(wǎng)絡(luò)，因此提高了用戶體驗(yàn)。圖1為本發(fā)明實(shí)施例中數(shù)據(jù)通訊控制方法實(shí)施例總體流程圖；圖2為本發(fā)明實(shí)施例中數(shù)據(jù)通訊控制系統(tǒng)實(shí)施例示意圖；圖3為本發(fā)明實(shí)施例中l(wèi)l據(jù)通訊控制方法實(shí)施例具體流程圖。具體實(shí)施例方式本發(fā)明實(shí)施例提供了一種數(shù)據(jù)通訊控制方法以及數(shù)據(jù)通訊控制裝置，用于提高用戶體驗(yàn)。本發(fā)明實(shí)施例中，在判斷用戶終端發(fā)送的數(shù)據(jù)流中包含有惡意報文(即滿足預(yù)置的攔截條件的報文)時，則對該用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制，而不是直接丟棄該用戶終端發(fā)送的數(shù)據(jù)流，所以本發(fā)明實(shí)施例可以使得該用戶終端仍然能夠使用部分網(wǎng)絡(luò)，因此提高了用戶體驗(yàn)。下面對本發(fā)明實(shí)施例中的數(shù)據(jù)通訊控制方法進(jìn)行詳細(xì)描述，為便于理解，本發(fā)明各實(shí)施例中均以WCDMA中的分組域核心網(wǎng)為例進(jìn)行說明，可以理解的是，本發(fā)明實(shí)施例的具體應(yīng)用范圍并不限于WCDMA中的分組域核心網(wǎng)，還可以是其他通訊網(wǎng)絡(luò)，例如IP網(wǎng)絡(luò)等。請參閱圖1,本發(fā)明實(shí)施例中數(shù)據(jù)通訊方法總體實(shí)施例包括101、核心網(wǎng)網(wǎng)元接收用戶終端發(fā)送的數(shù)據(jù)流；在WCDMA分組域的核心網(wǎng)中，各用戶終端之間進(jìn)行通訊需要通過核心網(wǎng)網(wǎng)元，例如SGSN或GGSN,各用戶終端之間傳輸?shù)臄?shù)據(jù)會經(jīng)過這些網(wǎng)元。本實(shí)施例中以SGSN為例進(jìn)行說明，可以理解的是，同樣可以是GGSN,或者是其他的核心網(wǎng)網(wǎng)元。SGSN接收用戶終端發(fā)送的數(shù)據(jù)流，該數(shù)據(jù)流中包含有若干個報文。102、獲取數(shù)據(jù)流中的報文信息；SGSN獲取到了用戶終端發(fā)送的數(shù)據(jù)流后，從該數(shù)據(jù)流中獲取該數(shù)據(jù)流所包含的報文的報文信息，報文信息中包含了該報文的傳輸端口，傳輸協(xié)議等參數(shù)。103、判斷步驟102中獲取到的報文信息是否與預(yù)置的報文特征匹配，若匹配，則執(zhí)行步驟104，若不匹配，則重復(fù)執(zhí)行步驟101;本實(shí)施例中，SGSN獲取到報文信息之后，判斷這些報文信息是否滿足某些特征，從而判斷該報文是否為惡意報文，具體的實(shí)現(xiàn)手段可以是判斷該報文的傳輸端口是否為某一個特定的端口，或者是該報文的傳輸協(xié)議是否為特定的傳輸協(xié)議，假設(shè)某報文的傳輸協(xié)議為傳輸控制協(xié)議(TCP,TransportControlProtocol),且傳輸端口為4444,則可認(rèn)為該才艮文屬于"沖擊波病毒"報文。若判斷該報文為惡意報文，則執(zhí)行步驟104,若判斷該報文不是惡意報文，則重復(fù)執(zhí)行步驟101,繼續(xù)監(jiān)控流程。104、對用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。當(dāng)SGSN判斷某用戶終端發(fā)送的數(shù)據(jù)流中包含有惡意報文之后，對該用戶終端后續(xù)發(fā)送的數(shù)據(jù)流進(jìn)行流量控制，具體的流量控制可以為帶寬限制、傳輸限制、訪問地址限制等，具體的流量控制的流程將在后續(xù)實(shí)施例中進(jìn)行詳纟田描述。本實(shí)施例中，在判斷用戶終端發(fā)送的數(shù)據(jù)流中包含有惡意報文(即滿足預(yù)置的攔截條件的報文)時，則對該用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制，而不是直接丟棄該用戶終端發(fā)送的數(shù)據(jù)流，所以本實(shí)施例可以使得該—用戶終端仍然能夠使用部分網(wǎng)絡(luò)，因此提高了用戶體驗(yàn)。下面介紹本發(fā)明實(shí)施例中的數(shù)據(jù)通訊控制裝置，具體請參閱圖2，本發(fā)明實(shí)施例中的數(shù)據(jù)通訊控制裝置包括數(shù)據(jù)流接收單元201,用于接收用戶終端發(fā)送的數(shù)據(jù)流，并將接收到的數(shù)據(jù)流發(fā)送至數(shù)據(jù)流校驗(yàn)單元202進(jìn)行校驗(yàn)；數(shù)據(jù)流校驗(yàn)單元202,用于判斷從數(shù)據(jù)流接收單元201接收到的數(shù)據(jù)流中的報文是否滿足預(yù)置的攔截條件，并當(dāng)滿足預(yù)置的攔截條件時通知流量控制單元203進(jìn)行流量控制；流量控制單元203，用于根據(jù)數(shù)據(jù)流校驗(yàn)單元202的通知對所述用戶終端發(fā)送的tt據(jù)流進(jìn)行流量控制。本發(fā)明實(shí)施例中的流量控制單元203可以進(jìn)一步包括以下單元中的至少一個帶寬控制單元2033，用于從所述數(shù)據(jù)流校驗(yàn)單元校驗(yàn)的數(shù)據(jù)流中獲取用戶終端標(biāo)識，根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的帶寬控制參數(shù)，將所述帶寬控制參數(shù)降低至預(yù)置的數(shù)值；第一傳輸控制單元2031,用于從所述數(shù)據(jù)流校驗(yàn)單元校驗(yàn)的數(shù)據(jù)流中獲取用戶終端標(biāo)識，根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的傳輸控制協(xié)議TCP連接限制參數(shù)，對所述TCP連接限制參數(shù)進(jìn)行修改；第二傳輸控制單元2032，用于從所述數(shù)據(jù)流校驗(yàn)單元校驗(yàn)的數(shù)據(jù)流中獲取用戶終端標(biāo)識，根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的網(wǎng)間控制報文協(xié)議(ICMP,InternetControlMessagesProtocol)報文限制參數(shù)，對所述ICMP報文限制參數(shù)進(jìn)行修改；訪問地址控制單元2034,用于從所述數(shù)據(jù)流校驗(yàn)單元校驗(yàn)的數(shù)據(jù)流中獲取用戶終端標(biāo)識，根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的訪問地址列表，將所述訪問地址列表中的地址修改為預(yù)置的安全地址。本發(fā)明實(shí)施例中的數(shù)據(jù)通訊控制裝置還可以進(jìn)一步包括通知單元204,用于獲取所述報文滿足的攔截條件的類型，根據(jù)所述攔截條件的類型查詢對應(yīng)的處理方式，向所述用戶終端發(fā)送所述攔截條件的類型以及對應(yīng)的處理方式。本發(fā)明實(shí)施例中的數(shù)據(jù)通訊控制裝置還可以進(jìn)一步包括恢復(fù)單元205,用于在對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制的同時啟動計時器，判斷在預(yù)置的時間周期內(nèi)收到的所述用戶終端發(fā)送的數(shù)據(jù)流是否包含滿足預(yù)置的攔截條件的報文，若不包含，則停止對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。上述描述的數(shù)據(jù)通訊控制裝置可以被置于SGSN或GGSN或RNC或其他核心網(wǎng)網(wǎng)元中，也可以獨(dú)立地作為一個裝置存在于核心網(wǎng)中。為便于理解，下面以一個詳細(xì)的實(shí)施例對本發(fā)明實(shí)施例中的數(shù)據(jù)通訊控制過程進(jìn)行詳細(xì)描述，請參閱圖3，一并參閱圖2，下述實(shí)施例中，數(shù)據(jù)通訊控制裝置集成于SGSN中實(shí)現(xiàn)，本發(fā)明實(shí)施例中數(shù)據(jù)通訊控制方法實(shí)施例流程包括301、核心網(wǎng)網(wǎng)元4秦收用戶終端發(fā)送的數(shù)據(jù)流；本實(shí)施例中，數(shù)據(jù)通訊控制裝置的數(shù)據(jù)流接收單元201接收用戶終端發(fā)送的數(shù)據(jù)流，該數(shù)據(jù)流中包含有若干個報文。302、獲取數(shù)據(jù)流中的報文信息；數(shù)據(jù)流接收單元201獲取到了用戶終端發(fā)送的數(shù)據(jù)流后，從該數(shù)據(jù)流中獲取該數(shù)據(jù)流所包含的報文的報文信息，報文信息中包含了該報文的傳輸端口，傳輸協(xié)議等參數(shù)。303、判斷獲取到的報文信息是否與預(yù)置的報文特征匹配，若匹配，則執(zhí)行步驟304,若不匹配，則重復(fù)才丸行步驟301;本實(shí)施例中，數(shù)據(jù)流接收單元201獲取到報文信息之后，將這些報文信息發(fā)送至數(shù)據(jù)流校驗(yàn)單元202,則數(shù)據(jù)流校驗(yàn)單元202判斷這些報文信息是否滿足某些特征，從而判斷該報文是否為惡意報文，具體的實(shí)現(xiàn)手段可以是判斷該報文的傳輸端口是否為某一個特定的端口，或者是該報文的傳輸協(xié)議是否為否特定的傳輸協(xié)議，假設(shè)某報文的傳輸協(xié)議為傳輸控制協(xié)議(TCP,TransportControlProtocol),且傳輸端口為4444,則可認(rèn)為該報文屬于"沖擊波病毒，，報文。若判斷該報文為惡意報文，則執(zhí)行步驟304，若判斷該報文不是惡意報文，則重復(fù)執(zhí)行步驟301,繼續(xù)監(jiān)控流程。本實(shí)施例中，若判斷該報文為惡意報文，則從該用戶終端發(fā)送的數(shù)據(jù)流中刪除該報文。304、判斷是否需要刪除該用戶終端的上下文，若需要，則執(zhí)行步驟311,若不需要，則執(zhí)行步驟305;本實(shí)施例中，數(shù)據(jù)通訊控制裝置根據(jù)預(yù)置的規(guī)則判斷是否需要刪除SGSN上保存的該用戶終端的上下文，若需要刪除，則執(zhí)行步驟311,若不需要刪除，則執(zhí)行步驟305。預(yù)置的規(guī)則可以從配置數(shù)據(jù)庫中獲取得到，在配置數(shù)據(jù)庫中保存有數(shù)據(jù)通訊控制配置數(shù)據(jù)，可以理解的是，該配置數(shù)據(jù)庫可以集成在核心網(wǎng)網(wǎng)元中，也可以獨(dú)立存在，具體如下表所示表1<table>tableseeoriginaldocumentpage11</column></row><table><table>tableseeoriginaldocumentpage12</column></row><table>其中，"染毒用戶會話處理"即是本步驟中的規(guī)則，若該參數(shù)的數(shù)值為"去活，，，則需要刪除該用戶終端在SGSN上的上下文，同時為了進(jìn)一步提高全網(wǎng)的安全性，還可以通知其他相鄰的核心網(wǎng)網(wǎng)元(例如其他的SGSN或GGSN或RNC)刪除該用戶終端的上下文，若該參數(shù)的數(shù)值為"降速"，則不刪除上下文，直接執(zhí)行步驟305。需要說明的是，是否需要刪除該用戶終端的上下文可以由當(dāng)前通訊系統(tǒng)的整體安全性要求決定，若通訊系統(tǒng)對安全性要求非常嚴(yán)格，則可能需要刪除該用戶終端在SGSN上的上下文，從而使該用戶終端無法再參與通訊，或者是無法再向外發(fā)送數(shù)據(jù)?？梢岳斫獾氖牵趯?shí)際應(yīng)用中，可以不執(zhí)行步驟304,而直接執(zhí)行步驟305,即始終不刪除該用戶終端的上下文。305、調(diào)整該用戶終端的帶寬；本實(shí)施例中，當(dāng)數(shù)據(jù)通訊控制裝置決定不刪除用戶終端上下文時，數(shù)據(jù)流校驗(yàn)單元202通知流量控制單元203中的帶寬控制單元2033進(jìn)行帶寬控制，則帶寬控制單元2033從該用戶終端發(fā)送的數(shù)據(jù)流中獲取用戶終端標(biāo)識，并根據(jù)該用戶終端標(biāo)識在配置數(shù)據(jù)庫中查詢對應(yīng)的帶寬控制參數(shù)(如表l所示)，修改帶寬控制參數(shù)，按照預(yù)置的規(guī)則對該參數(shù)進(jìn)行限制，例如原先某用戶終端的帶寬控制參數(shù)為10Mbps，當(dāng)該用戶終端發(fā)送惡意報文之后，將該用戶終端的帶寬控制參數(shù)降低至lMbps，若再次發(fā)送惡意報文，則會進(jìn)一步降低，具體降低的幅度可以由實(shí)際情況決定，此處不做限定，需要說明的是，在實(shí)際應(yīng)用過程中，為了使得用戶保留基本的業(yè)務(wù)體驗(yàn)，可以只對發(fā)送惡意報文的用戶降低一次帶寬。306、通知其他網(wǎng)元調(diào)整該用戶終端的帶寬；本實(shí)施例中，帶寬控制單元2033對用戶終端的帶寬控制參數(shù)進(jìn)行修改之后，向自身SGSN相鄰的其他網(wǎng)元，例如其他的SGSN或GGSN或RNC發(fā)送帶寬調(diào)整請求，該請求中攜帶用戶終端的標(biāo)識，其他的網(wǎng)元在接收到該帶寬調(diào)整請求后，根據(jù)該用戶終端的標(biāo)識查詢到對應(yīng)的帶寬控制參數(shù)，并根據(jù)'自身策略對帶寬控制參數(shù)進(jìn)行調(diào)整，具體的調(diào)整方式與上述描述的調(diào)整方式類似。307、限制該用戶終端的TCP連接次數(shù)和/或ICMP報文數(shù)目；本實(shí)施例中，當(dāng)數(shù)據(jù)通訊控制裝置決定不刪除用戶終端上下文時，數(shù)據(jù)流校驗(yàn)單元202通知流量控制單元203中的第一傳輸控制單元2031和/或第二傳輸控制單元2032進(jìn)行傳輸控制。具體的控制方式為第一傳輸控制單元2031從該用戶終端發(fā)送的數(shù)據(jù)流中獲取用戶終端標(biāo)識，并根據(jù)該用戶終端標(biāo)識在配置數(shù)據(jù)庫中查詢對應(yīng)的TCP連接限制參數(shù)(如表1所示)，并對該參數(shù)進(jìn)行修改；第二傳輸控制單元2032從該用戶終端發(fā)送的數(shù)據(jù)流中獲取用戶終端標(biāo)識，并根據(jù)該用戶終端標(biāo)識在配置數(shù)據(jù)庫中查詢對應(yīng)的ICMP報文限制參數(shù)(如表1所示)，并對該參數(shù)進(jìn)行修改。例如原先該用戶終端的TCP連接限制參數(shù)為1000,則表示SGSN在單位時間內(nèi)(可以為預(yù)置數(shù)值，例如1分鐘)最多可以接受該用戶終端發(fā)起的1000次TCP連接請求，該用戶終端發(fā)送惡意報文后，可以將TCP連接限制參數(shù)修改為100,則表示SGSN在單位時間內(nèi)最多只接受該用戶終端發(fā)起的100次TCP連接請求；例如原先該用戶終端的ICMP報文限制參數(shù)為1000,則表示SGSN在單位時間內(nèi)(可以為預(yù)置數(shù)值，例如1分鐘)最多可以接收該用戶終端發(fā)送的1000個ICMP報文，該用戶終端發(fā)送惡意報文后，可以將ICMP報文限制參數(shù)修改為100,則表示SGSN在單位時間內(nèi)最多只接收該用戶終端發(fā)送的100個ICMP報文。在修改了TCP連接限制參數(shù)和/或ICMP報文限制參數(shù)之后，當(dāng)SGSN接收到所述用戶終端發(fā)送的數(shù)據(jù)流時，判斷所述用戶終端預(yù)置的時間周期內(nèi)發(fā)起的TCP連接的數(shù)目是否達(dá)到所述修改后的TCP連接限制參數(shù)，若是，則拒絕該時間周期內(nèi)該用戶終端再次發(fā)起的TCP連接；當(dāng)SGSN接收到所述用戶終端發(fā)送的數(shù)據(jù)流時，判斷所述用戶終端預(yù)置的時間周期內(nèi)發(fā)送的ICMP報文的數(shù)目—是否達(dá)到所述修改后的ICMP報文限制參數(shù)，若是，則丟棄該時間周期內(nèi)該用戶終端再次發(fā)送的ICMP報文。308、設(shè)置該用戶終端的訪問地址范圍；本實(shí)施例中，數(shù)據(jù)通訊控制裝置在用戶終端發(fā)送過惡意報文之后，還可以通過訪問地址控制單元2034對該用戶終端的訪問地址進(jìn)行限制，即《又允許該用戶終端訪問一些特定的地址，具體的實(shí)現(xiàn)方式可以為從接收到的數(shù)據(jù)流中獲取用戶終端的標(biāo)識，并在配置數(shù)據(jù)庫中查詢該用戶終端對應(yīng)的訪問地址列表，如表l中所示的參數(shù)"訪問地址列表"，并對該參數(shù)進(jìn)行修改，將該參數(shù)的參數(shù)值修改為預(yù)置的安全地址，使得用戶終端只能夠訪問該參數(shù)中包含的地址，需要說明的是，這些地址可以認(rèn)為是安全性比較高的地址，即安全防范力度比較強(qiáng)，可以允許發(fā)送過惡意報文的用戶終端訪問，且這種訪問并不會對該地址對應(yīng)的網(wǎng)元造成很大的影響。修改了訪問地址列表之后，當(dāng)SGSN接收到所述用戶終端發(fā)送的報文時，獲取所述報文的目的地址，判斷所述目的地址是否被包含于所述修改后的訪問地址列表中，若不是，則丟棄所述報文?？梢岳斫獾氖?，步驟305、步驟307及步驟308在具體實(shí)現(xiàn)過程中可以都執(zhí)行，也可以執(zhí)行其中的任意一個步驟或其組合，若都需要執(zhí)行，可以不區(qū)分步驟305、步驟307及步驟308的執(zhí)行順序。309、判斷在預(yù)置周期內(nèi)該用戶終端發(fā)送的數(shù)據(jù)流是否包含滿足攔截條件的報文，若是，則執(zhí)行步驟304,若否，則執(zhí)行步驟310。本實(shí)施例中，當(dāng)確定某個用戶終端發(fā)送的數(shù)據(jù)流中的報文滿足預(yù)置的報文特征匹配之后，即滿足攔截條件之后，需要對其進(jìn)行流量控制，同時啟動計時器，并在某一個恢復(fù)周期內(nèi)判斷該用戶終端是否還繼續(xù)發(fā)送惡意報文，若是，則執(zhí)行步驟304，重復(fù)上述流程，若否，則執(zhí)行步驟310。具體的恢復(fù)周期的長短可以由具體情況進(jìn)行確定，若對系統(tǒng)安全要求比較嚴(yán)格，則可能需要設(shè)置比較長的恢復(fù)周期。310、停止對該用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制，并結(jié)束流程；當(dāng)預(yù)置周期內(nèi)，該用戶終端不再發(fā)送惡意報文之后，可以停止對該用戶纟冬端的流量控制，則恢復(fù)單元205停止對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。具體的過程可以是取消前述各種對數(shù)據(jù)流的流量限制。311、禁止該用戶終端通訊。若數(shù)據(jù)流校驗(yàn)單元202判斷用戶終端發(fā)送的數(shù)據(jù)流中包含惡意報文，且表l中的"染毒用戶會話處理，，參數(shù)的數(shù)值為"去活"，則刪除該用戶終端在SGSN上的上下文，即禁止該用戶終端進(jìn)行通訊，或禁止其向外發(fā)送數(shù)據(jù)，為進(jìn)一步提高全網(wǎng)的安全性，還可以向其他相鄰的核心網(wǎng)網(wǎng)元(例如其他的SGSN或GGSN或RNC)發(fā)送去激活請求，該請求中攜帶有需要去激活的用戶終端的標(biāo)識，接收到該去激活請求的核心網(wǎng)網(wǎng)元刪除自身存儲的該用戶終端的上下文。上述實(shí)施例中，數(shù)據(jù)通訊控制裝置還需要向用戶終端以及管理員發(fā)送威脅警告，該威脅警告中包含有具體的惡意報文的類型以及對該類型的惡意報文的處理方式，具體為數(shù)據(jù)通訊控制裝置獲取報文滿足的攔截條件的類型；根據(jù)該攔截條件的類型查詢對應(yīng)的處理方式；向用戶終端發(fā)送攔截條件的類型(即惡意報文的類型)以及對應(yīng)的處理方式。獲取惡意報文類型以及對該類型的惡意報文的處理方式可以在判斷報文與預(yù)置的報文特征匹配之后，即滿足攔截條件之后，惡意報文類型和對應(yīng)的處理方式均預(yù)先置于數(shù)據(jù)通訊控制裝置中，具體發(fā)送威脅警告的步驟可以在上述步驟303判斷為"是"之后。需要i充明的是，上述實(shí)施例中，步驟305,306,307以及308并沒有固定的執(zhí)行順序。本發(fā)明實(shí)施例中，在判斷用戶終端發(fā)送的數(shù)據(jù)流中包含有惡意報文時，則對該用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制，而不是直接丟棄該用戶終端發(fā)送的數(shù)據(jù)流，所以本發(fā)明實(shí)施例可以使得該用戶終端仍然能夠使用部分網(wǎng)絡(luò)，因此提高了用戶體驗(yàn)。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成，所述的程序可以存儲于一種計算機(jī)可讀存儲介質(zhì)中，該程序在執(zhí)行時，包括如下步驟接收用戶終端發(fā)送的數(shù)據(jù)流；判斷所述數(shù)據(jù)流中的報文是否滿足預(yù)置的拄截條件，若滿足，則對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。上述提到的存儲介質(zhì)可以是只讀存儲器，磁盤或光盤等。以上對本發(fā)明所提供的一種數(shù)據(jù)通訊控制方法以及數(shù)據(jù)通訊控制裝置進(jìn)行了詳細(xì)介紹，對于本領(lǐng)域的一般技術(shù)人員，依據(jù)本發(fā)明實(shí)施例的思想，在具體實(shí)施方式及應(yīng)用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。權(quán)利要求1、一種數(shù)據(jù)通訊控制方法，其特征在于，包括接收用戶終端發(fā)送的數(shù)據(jù)流；判斷所述數(shù)據(jù)流中的報文是否滿足預(yù)置的攔截條件，若滿足，則對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。2、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制的步驟包括從接收到的數(shù)據(jù)流中獲取用戶終端標(biāo)識；根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的帶寬控制參數(shù)；將所述帶寬控制參數(shù)降低至預(yù)置的數(shù)值。3、根據(jù)權(quán)利要求2所述的方法，其特征在于，所述將所述帶寬控制參數(shù)降低至預(yù)置的數(shù)值的步驟之后包括向核心網(wǎng)內(nèi)的核心網(wǎng)網(wǎng)元發(fā)送帶寬調(diào)整請求，所述請求中包含需要進(jìn)行帶寬調(diào)整的用戶終端的用戶終端標(biāo)識，所述帶寬調(diào)整請求用于指示核心網(wǎng)內(nèi)的核心網(wǎng)網(wǎng)元對所述用戶終端的帶寬控制參數(shù)進(jìn)行修改。4、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制的步驟包括從接收到的數(shù)據(jù)流中獲取用戶終端標(biāo)識；根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的傳輸控制協(xié)議TCP連接限制參數(shù)；對所述TCP連接限制參數(shù)進(jìn)行修改；當(dāng)接收到所述用戶終端發(fā)送的數(shù)據(jù)流時，判斷所述用戶終端預(yù)置的時間周期內(nèi)發(fā)起的TCP連接的數(shù)目是否達(dá)到所述修改后的TCP連接限制參數(shù)，若是，則拒絕該時間周期內(nèi)該用戶終端再次發(fā)起的TCP連4妻。5、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制的步驟包括從接收到的數(shù)據(jù)流中獲取用戶終端標(biāo)識；根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的網(wǎng)間控制報文協(xié)議ICMP報文限制參數(shù)；對所述ICMP報文限制參數(shù)進(jìn)行修改；當(dāng)接收到所述用戶終端發(fā)送的數(shù)據(jù)流時，判斷所述用戶終端預(yù)置的時間周期內(nèi)發(fā)送的ICMP報文的數(shù)目是否達(dá)到所述修改后的ICMP報文限制參數(shù)，若是，則丟棄該時間周期內(nèi)該用戶終端再次發(fā)送的ICMP報文。6、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制的步驟包括從接收到的數(shù)據(jù)流中獲取用戶終端標(biāo)識；沖艮據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的訪問地址列表；將所述訪問地址列表中的地址修改為預(yù)置的安全地址；當(dāng)接收到所述用戶終端發(fā)送的報文時，獲取所述報文的目的地址，判斷所述報文。7、根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的方法，其特征在于，所述判斷所述數(shù)據(jù)流中的報文是否滿足預(yù)置的攔截條件的步驟包括獲取所述數(shù)據(jù)流中的報文的報文信息；判斷所述報文信息是否與預(yù)置的報文特征匹配，若匹配，則確定所述報文滿足預(yù)置的攔截條件。8、根據(jù)權(quán)利要求7所述的方法，其特征在于，所述確定所述報文滿足預(yù)置的攔截條件的步驟之后包括從所述數(shù)據(jù)流中刪除所述報文。9、根據(jù)權(quán)利要求7所述的方法，其特征在于，所述確定所述報文滿足預(yù)置的攔截條件的步驟之后包括獲取所述數(shù)據(jù)流的發(fā)送方標(biāo)識；刪除所述發(fā)送方標(biāo)識對應(yīng)的用戶終端的上下文；向核心網(wǎng)網(wǎng)元發(fā)送去激活請求，所述請求中包含需要去激活的用戶終端的標(biāo)識，所述去激活請求用于指示所述核心網(wǎng)網(wǎng)元刪除所述用戶終端標(biāo)識對應(yīng)的用戶終端的上下文。10、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述確定所述報文滿足預(yù)置的攔截條件的步驟之后包括獲取所述報文滿足的攔截條件的類型；根據(jù)所述攔截條件的類型查詢對應(yīng)的處理方式；向所述用戶終端發(fā)送所述攔截條件的類型以及對應(yīng)的處理方式。11、根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制的同時啟動計時器，判斷在預(yù)置的時間周期內(nèi)收到的所述用戶終端發(fā)送的數(shù)據(jù)流是否包含滿足預(yù)置的攔截條件的報文，若不包含，則停止對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。12、一種數(shù)據(jù)通訊控制裝置，其特征在于，包括數(shù)據(jù)流接收單元，用于接收用戶終端發(fā)送的數(shù)據(jù)流；數(shù)據(jù)流校驗(yàn)單元，用于判斷所述數(shù)據(jù)流中的報文是否滿足預(yù)置的攔截條件；流量控制單元，用于當(dāng)所述數(shù)據(jù)流中的報文滿足預(yù)置的攔截條件時對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。13、根據(jù)權(quán)利要求12所述的數(shù)據(jù)通訊控制裝置，其特征在于，所述流量控制單元包括下列單元中的至少一個帶寬控制單元，用于從所述數(shù)據(jù)流校驗(yàn)單元校驗(yàn)的數(shù)據(jù)流中獲取用戶終端標(biāo)識，根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的帶寬控制參數(shù)，將所述帶寬控制參數(shù)降低至預(yù)置的數(shù)值；第一傳輸控制單元，用于從所述數(shù)據(jù)流校驗(yàn)單元校驗(yàn)的數(shù)據(jù)流中獲取用戶終端標(biāo)識，根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的傳輸控制協(xié)議TCP連接限制參數(shù)，對所述TCP連接限制參數(shù)進(jìn)行修改；第二傳輸控制單元，用于從所述數(shù)據(jù)流校驗(yàn)單元校驗(yàn)的數(shù)據(jù)流中獲取用戶終端標(biāo)識，根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的ICMP報文限制參數(shù)，對所述ICMP報文限制參數(shù)進(jìn)行修改；—訪問地址控制單元，用于從所述數(shù)據(jù)流校驗(yàn)單元校驗(yàn)的數(shù)據(jù)流中獲取用戶終端標(biāo)識，根據(jù)所述用戶終端標(biāo)識查詢對應(yīng)的訪問地址列表，將所述訪問地址列表中的地址修改為預(yù)置的安全地址。14、根據(jù)權(quán)利要求12所述的數(shù)據(jù)通訊控制裝置，其特征在于，所述數(shù)據(jù)通訊控制裝置還包括通知單元，用于獲取所述報文滿足的攔截條件的類型，根據(jù)所述攔截條件的類型查詢對應(yīng)的處理方式，向所述用戶終端發(fā)送所述攔截條件的類型以及對應(yīng)的處理方式。15、根據(jù)權(quán)利要求12至14中任一項(xiàng)所述的數(shù)據(jù)通訊控制裝置，其特征在于，所述lt據(jù)通訊控制裝置還包括恢復(fù)單元，用于在對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制的同時啟動計時器，判斷在預(yù)置的時間周期內(nèi)收到的所述用戶終端發(fā)送的數(shù)據(jù)流是否包含滿足預(yù)置的攔截條件的報文，若不包含，則停止對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。全文摘要本發(fā)明公開了一種數(shù)據(jù)通訊控制方法以及數(shù)據(jù)通訊控制裝置，用于提高用戶體驗(yàn)。本發(fā)明方法包括接收用戶終端發(fā)送的數(shù)據(jù)流；判斷所述數(shù)據(jù)流中的報文是否滿足預(yù)置的攔截條件，若滿足，則對所述用戶終端發(fā)送的數(shù)據(jù)流進(jìn)行流量控制。本發(fā)明還提供一種數(shù)據(jù)通訊控制裝置。本發(fā)明可以有效地提高用戶體驗(yàn)。文檔編號H04L29/06GK101197836SQ20071030193公開日2008年6月11日申請日期2007年12月20日優(yōu)先權(quán)日2007年12月20日發(fā)明者代志剛,綱何,吳宇翔,吳海翔,曾冬東,楊光磊,毛國鋒,克鄭,閻自凱申請人:華為技術(shù)有限公司