CN113839909A - 数据报文处理的方法、装置和系统 - Google Patents
数据报文处理的方法、装置和系统 Download PDFInfo
- Publication number
- CN113839909A CN113839909A CN202010583058.9A CN202010583058A CN113839909A CN 113839909 A CN113839909 A CN 113839909A CN 202010583058 A CN202010583058 A CN 202010583058A CN 113839909 A CN113839909 A CN 113839909A
- Authority
- CN
- China
- Prior art keywords
- information
- address
- network element
- network
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Abstract
本申请提供一种数据报文处理的方法,该方法包括:获取用于标识第一网络的用户面网元的第一信息;接收发往第二网络的第一通信连接的数据报文;其中,该第一通信连接为该用户面网元和第二网络的该第二网络之间的通信连接;使用该第一信息对该数据报文的源地址信息进行检测;根据检测结果对该数据报文进行处理。该方法能够能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
Description
技术领域
本申请涉及通信技术,尤其是数据报文处理的方法、装置和系统。
背景技术
第三代合作伙伴计划(3rd generation partnership project,3GPP)标准组发布了第五代移动通信技术(fifth-generation,5G)网络架构。5G网络支持跨运营商网络漫游,即用户当前在拜访地,由拜访地的运营商网络提供网络接入服务。用户的数据传输路径会经过拜访地运营商网络和归属地运营商网络的设备。跨运营商网络漫游架构如图1所示。在该漫游架构中,拜访地运营商运营的网络可以称为VPLMN(visited Public Land MobileNetwork),归属地运营商运营的网络可以称为HPLMN(home Public Land MobileNetwork)。终端设备建立与数据网络(Data Network,DN,例如internet)之间的数据连接,该数据连接称为协议数据单元会话(Protocol Data UnitSession,PDU Session)。数据报文在PDU会话中的传输路径包括终端设备UE(User Equipment),无线接入网RAN(RadioAccess Network),VPLMN的VPLMN UPF(User Plane Function),HPLMN的HPLMN UPF,以及DN。数据传输分为上行数据传输和下行数据传输。上行数据,是UE发到DN方向的数据;下行数据是DN发到UE方向的数据。
当数据报文经过UPF的时候,UPF会进行报文检测。UPF根据报文检测的结果匹配报文转发规则,并根据转发规则进行转发。在上述跨运营商网络漫游场景中,有时数据报文处理性能和吞吐量会受影响。该问题同样会出现在其他的跨通信网络的场景中。
发明内容
本申请的实施例提供一种数据报文处理的方法、装置和系统,用于保障在跨通信网络场景下数据报文的处理能力和吞吐量。
为了实现以上目的,本申请实施例提供以下方案。
第一方面,本申请实施例提供一种数据报文处理的方法。该方法包括:
获取第一信息,该第一信息用于标识第一网络的用户面网元;接收发往第二网络的第一通信连接的数据报文;其中,该第一通信连接为该用户面网元和该第二网络之间的通信连接;使用该第一信息对该数据报文的源地址信息进行检测;根据检测结果对该数据报文进行处理。
通过第一方面提供的数据报文处理的方法,根据获取的第一信息检测接收到的数据报文中携带的来源信息,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
作为一种可能的实现方式,该方法还包括:该根据检测结果,对该数据报文进行处理,包括:若该源地址信息与该第一信息匹配成功,放行该数据报文。
通过该可能的实现方式提供的数据报文处理的方法,根据获取的第一信息检测接收到的数据报文中携带的来源信息,在匹配成功时放行该数据报文,避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
作为一种可能的实现方式,该方法还包括:该根据检测结果,对该数据报文进行处理,包括:若该源地址信息与该第一信息匹配失败,拦截该数据报文。
通过该可能的实现方式提供的数据报文处理的方法,根据获取的第一信息检测接收到的数据报文中携带的来源信息,在匹配失败时拦截该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
作为一种可能的实现方式,该方法还包括:该源地址信息为源IP地址;该第一信息为该用户面网元的IP地址或者IP地址范围。
作为一种可能的实现方式,该方法还包括:该源地址信息为源隧道端点标识;该第一信息为该用户面网元的隧道端点标识。
作为一种可能的实现方式,该方法还包括:接收第二信息,该第二信息来自该第一网络,该第二信息用于指示该第一信息;该获取第一信息包括:根据该第二信息获取该第一信息。
作为一种可能的实现方式,该方法还包括:接收该第一信息,该第一信息来自该第一网络。
通过该可能的实现方式提供的数据报文处理的方法,根据从第二网络的控制面网元接收的第二信息获取的第一信息检测接收到的数据报文中携带的来源信息,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的发送接口地址的索引或者发送接口地址范围的索引。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的标识。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的接收接口地址。
作为一种可能的实现方式,该方法还包括:该第二信息为:指示将该用户面网元的接收接口地址作为该用户面网元的发送接口地址的信息。
第二方面,本申请实施例提供一种数据报文处理的方法。该方法包括:
获取第一信息,该第一信息用于标识第一网络的用户面网元;发送该第一信息,以使能检测网元使用该第一信息对发往第二网络的第一通信连接的数据报文的源地址信息进行检测;其中,该第一通信连接为该用户面网元和该第二网络之间的通信连接。
通过第二方面提供的数据报文处理的方法,向检测网元发送获取的第一信息,使能根据该第一信息检测接收到的数据报文中携带的来源信息,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
作为一种可能的实现方式,该方法还包括:该源地址信息为源IP地址;该第一信息为该用户面网元的IP地址或者IP地址范围。
作为一种可能的实现方式,该方法还包括:该源地址信息为源隧道端点标识;该第一信息为该用户面网元的隧道端点标识。
作为一种可能的实现方式,该方法还包括:接收第二信息,该第二信息用于指示该第一信息;该获取第一信息,包括:根据该第二信息获取该第一信息。
通过该可能的实现方式提供的数据报文处理的方法,向检测网元发送根据接收的第二信息获取的第一信息,使能根据该第一信息检测接收到的数据报文中携带的来源信息,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
作为一种可能的实现方式,该方法还包括:接收该第一信息。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的发送接口地址的索引或者发送接口地址范围的索引。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的标识。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的接收接口地址。
作为一种可能的实现方式,该方法还包括:该第二信息为:指示将该用户面网元的接收接口地址作为该用户面网元的发送接口地址的信息。
作为一种可能的实现方式,该方法还包括:发送漫游指示;该接收该第一信息,包括:接收响应于该漫游指示的该第一信息。
作为一种可能的实现方式,该方法还包括:接收漫游指示;该发送该第一信息包括:响应于该漫游指示,发送该第一信息。
作为一种可能的实现方式,该方法还包括:发送漫游指示;该接收该第二信息,包括:接收响应于该漫游指示的该第二信息。
第三方面,本申请实施例提供一种数据报文处理的方法。该方法包括:
获取第二信息;发送该第二信息;该第二信息用于指示第一信息,其中该第一信息用于标识第一网络的用户面网元;其中该第一信息使能检测网元使用该第一信息对发往第二网络的数据报文的源地址信息进行检测;其中,该第一通信连接为该用户面网元和该第二网络之间的通信连接。
通过第三方面提供的数据报文处理的方法,向检测网元发送获取的第二信息,使能根据该第二信息获取的第一信息检测接收到的数据报文中携带的来源信息,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
作为一种可能的实现方式,该方法还包括:该源地址信息为源IP地址;该第一信息为该用户面网元的IP地址或者IP地址范围。
作为一种可能的实现方式,该方法还包括:该源地址信息为源隧道端点标识;该第一信息为该用户面网元的隧道端点标识。
作为一种可能的实现方式,该获取第二信息包括:接收该第二信息。
作为一种可能的实现方式,该方法还包括:发送漫游指示;该接收该第二信息,包括:接收响应于该漫游指示的该第二信息。
作为一种可能的实现方式,该方法还包括:接收漫游指示;该发送该第二信息包括:响应于该漫游指示,发送该第二信息。
通过该可能的实现方式提供的数据报文处理的方法,在漫游指示所指示的两个网络互通的场景下接收第二信息,以使能检测网元根据该第二信息获取的第一信息检测接收到的数据报文中携带的来源信息,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了第二用户面网元在跨通信网络场景下数据报文的处理能力和吞吐量。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的发送接口地址的索引或者发送接口地址范围的索引。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的标识。
作为一种可能的实现方式,该方法还包括:该第二信息为:该用户面网元的接收接口地址。
作为一种可能的实现方式,该方法还包括:该第二信息为:指示将该用户面网元的接收接口地址作为该用户面网元的发送接口地址的信息。
第四方面,本申请实施例提供一种通信装置,包括处理器,该处理器用于从存储器读取并运行指令,以实现如前该第一方面或任一可能的实现方式中的方法。
第五方面,本申请实施例提供一种通信装置,其特征在于,包括处理器,该处理器用于从存储器读取并运行指令,以实现如前该第二方面或任一可能的实现方式中的方法。
第六方面,本申请实施例提供一种通信装置,其特征在于,包括处理器,该处理器用于从存储器读取并运行指令,以实现如前该第三方面或任一可能的实现方式中的方法。
第七方面,本申请实施例提供一种程序产品,其特征在于,包括指令,当该指令在通信装置上运行时,以使该通信装置实现如前该第一方面或任一可能的实现方式中的方法,或该第二方面或任一可能的实现方式中的方法,或第三方面或任一可能的实现方式中的方法。
第八方面,本申请实施例提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行如前第一方面或任一可能的实现方式中的方法,或该第二方面或任一可能的实现方式中的方法,或第三方面或任一可能的实现方式中的方法。
第九方面,一种通信系统,其特征在于,包括如第四方面-第六方面任一通信装置。
通过以上各个方面,本申请实施例根据获取的第一信息检测接收到的数据报文中携带的来源信息,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了在跨通信网络场景下数据报文的处理能力和吞吐量。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍。
图1为一种跨网络漫游架构图;
图2是本申请实施例提供的一种跨网络通信架构示意图;
图3为本申请实施例提供的一种跨网络通信协议栈的示意图;
图4为本申请实施例提供的一种数据报文处理方法的示意性流程图;
图5是本申请实施例提供的vIPUPS获取第一信息的方法的示意性流程图;
图6是本申请实施例提供的一种数据报文处理方法的示意性流程图;
图7是本申请实施例提供的hIPUPS获取第一信息的方法的示意性流程图;
图8是本申请实施例提供的一种数据报文处理方法的示意性流程图;
图9是本申请实施例提供的检测网元获取第一信息的方法的示意性流程图;
图10是本申请实施例提供的一种通信装置的示意图;
图11是本申请实施例提供的另一种通信装置的示意图。
具体实施方式
下面将结合本申请中的附图,对本申请的实施例进行描述。
3GPP标准组制定了下一代移动通信网络架构(Next Generation System),称为5G网络架构。5G网络支持跨网络漫游,即用户当前在拜访地,由拜访地的网络提供接入服务;用户的数据传输路径会经过拜访地网络VPLMN和归属地网络HPLMN的设备。漫游架构如图1所示。图1中,UE通过(R)AN(包括RAN和非3GPP接入网)接入核心网。核心网包括用户面功能实体(User Plane Function,UPF)、接入和移动性管理功能实体(Access and MobilityManagement Function,AMF)与会话管理功能实体(Session Management Function,SMF)。其中AMF主要负责用户接入时的注册认证、及用户的移动性管理。SMF主要负责用户发起业务时网络侧建立相应的会话连接,为用户提供具体服务,向UPF下发数据报文转发策略、QoS控制策略等。UPF主要负责分组数据报文的转发、服务质量(Quality of Service,QoS)控制、计费信息统计等。在VPLMN中,AMF称为vAMF,SMF称为vSMF,UPF称为vUPF。在HPLMN中,AMF称为hAMF,SMF称为hSMF,UPF称为hUPF。
在跨运营商网络的漫游场景下,终端设备从VPLMN接入,并请求建立PDU会话,用于访问HPLMN的业务。vUPF和hUPF之间会为该PDU会话建立通信连接,用于传递用户面数据。
该通信连接采用N9接口协议栈。N9接口协议栈主要涉及通用分组无线服务传输协议(General Packet Radio Service(GPRS)Tunnelling Protocol,GTP)和IP协议层。在GTP协议层,会为该通信连接分配vUPF的TEID,并将该vUPF的TEID通知给hUPF。hUPF通过该通信连接向vUPF发送该PDU会话的数据报文时,会将上述vUPF的TEID封装在该数据报文的GTP协议头中。同样,在GTP协议层会为该通信连接分配hUPF的TEID,并将该hUPF的TEID通知给vUPF。vUPF通过该通信连接向hUPF发送该PDU会话的数据报文时,会将上述hUPF的TEID封装在该数据报文的GTP协议头中。在IP协议层,会为该通信连接分配vUPF的接收接口IP地址和发送接口IP地址,并将该vUPF的接收接口IP地址通知给hUPF。同样,在IP协议层会为该通信连接分配hUPF的接收接口IP地址和发送接口IP地址,并将该hUPF的接收接口IP地址通知给hUPF。hUPF通过该通信连接向vUPF发送该PDU会话的数据报文时,会将该数据报文的IP协议头中的源IP地址设置为hUPF的发送接口IP地址,并将目的IP地址设置为vUPF的接收接口IP地址。同样,vUPF通过该通信连接向hUPF发送该PDU会话的数据报文时,会将该数据报文的IP协议头中的源IP地址设置为vUPF的发送接口IP地址,并将目的IP地址设置为hUPF的接收接口IP地址。
在本申请实施例中,数据报文的源IP地址指IETF定义的IP头格式(HeaderFormat)中的源地址(Source Address),数据报文的IP协议头中的目的IP地址指IETF定义的IP头格式中的目的地址(Destination Address)。其中IPv4头格式可以参考RFC791,IPv6头格式可以参考RFC2460。
当vUPF接收到数据报文时,可以通过数据报文中的TEID和目的IP地址确定该数据报文是否是通过上述通信连接发往该vUPF的数据报文,通过上述通信连接发往该vUPF的数据报文也可以称为发往该vUPF的该通信连接的数据报文。当hUPF接收到数据报文时,可以通过数据报文中的TEID和目的IP地址确定该数据报文是否是通过上述通信连接发往该hUPF的数据报文。如果确定收到的数据报文是通过上述通信连接发往hUPF或者vUPF的数据报文,hUPF或者vUPF会根据报文处理规则,对该数据报文进行相应的报文处理。例如,根据报文转发规则,将该数据报文转发给下一跳网元。
如图1所示,vUPF和hUPF之间的通信连接经过的传输路径上,可能存在一跳或者多跳转发设备。这些转发设备容易受到攻击,例如攻击者伪造出大量的无用报文,该无用报文的TEID为vUPF或者hUPF的TEID,目的IP地址为vUPF或者hUPF的接收接口IP地址,并发往这些转发设备,这些转发设备会将这些大量的无用报文发送给vUPF或者hUPF。vUPF或者hUPF收到这些无用报文后,会根据无用报文中的TEID和目的IP地址判断出这些无用报文是通过上述通信连接发送给自己的数据报文,并根据报文处理规则,对这些无用报文进行与正常数据报文相同的报文处理。大量的无用报文会造成正常数据报文处理性能和吞吐量的降低。
为了降低无用报文对跨网络通信的影响,本申请实施例对跨网络通信的架构进行了改进,增加了一种用于对数据报文的源地址信息进行检测的功能。
图2是本申请实施例提供的一种跨网络通信架构的示意图。如图2所示,该架构包括第一网络和第二网络。为了便于说明,图2以第一网络为VPLMN、第二网络为HPLMN进行举例。VPLMN包括(RAN)、AMF、vSMF、vUPF和拜访地IP用户面安全(visited IP User PlaneSecurity,vIPUPS)。HPLMN包括AUSF、UDM、hPCF、hSMF和hUPF。为了实现UE的跨网络通信,第一网络和第二网络之间建立有通信连接#1。该通信连接#1可以称为第一网络与hUPF之间建立的连接,也可以称为vUPF与第二网络之间建立的连接,或者也可以称为vUPF与hUPF之间建立的连接。该通信连接#1可以是PDU会话。与HPLMN、VPLMN、(RAN)、AMF、vSMF、vUPF、AUSF、UDM、hPCF、hSMF和hUPF相关的说明可以参考图1的相关说明。
vUPF和hUPF之间设置有IPUPS。IPUPS是一种用于对数据报文所携带的源地址信息进行检测的网元。IPUPS可以作为独立的网元进行独立部署,或者现有网元集成IPUPS的功能来实现IPUPS的集成部署。例如在UPF上集成IPUPS的功能。当IPUPS作为独立的网元进行部署时,IPUPS与SMF之间可以有接口传递控制面信令。当IPUPS集成在其它网元上部署时,例如在UPF上集成IPUPS功能,则SMF可以支持独立的接口以传递与IPUPS之间的控制面信令,或者,SMF与UPF之间的接口增强以传递SMF与IPUPS之间的控制面信令。为了减少无用报文对于vUPF的冲击,可以在VPLMN中部署IPUPS(可称为vIPUPS),或者vUPF可以集成vIPUPS的功能。vIPUPS用于对通过通信连接#1发往vUPF的数据报文进行检测。为了减少无用报文对于hUPF的冲击,可以在HPLMN中部署IPUPS(可称为hIPUPS),或者hUPF可以集成hIPUPS的功能。hIPUPS用于对通过通信连接#1发往hUPF的数据报文进行检测。在实际组网中,可以根据不同的需求,同时部署vIPUPS和hIPUPS,或者在vIPUPS和hIPUPS中择一部署。在同时部署vIPUPS和hIPUPS的网络中,vIPUPS和hIPUPS可以合设成一个独立网元进行部署。本申请实施例中,以在VPLMN中部署独立的vIPUPS,在HPLMN中部署独立的hIPUPS为例进行说明。
图2的通信连接#1可以与图1的通信连接类似,是会话粒度的,即一个通信连接对应一个会话(例如PDU会话),不同的会话对应不同的通信连接。通过一个通信连接传输的数据报文属于同一个会话。作为一种替代,通信连接#1可以是用户粒度的,即一个通信连接对应一个UE,不同的UE对应不同的通信连接。通过同一个通信连接传输的数据报文属于同一个UE,同一个通信连接能够传输一个UE的不同会话或者不同数据流的数据报文。作为另一种替代,通信连接#1可以是业务流粒度的,即一个通信连接对应一个业务流(例如QoSflow),不同的业务流对应不同的通信连接。通过一个通信连接传输的数据报文属于同一个业务流。作为另一种替代,通信连接#1可以是设备粒度的,即两个网元之间存在一个通信连接,两个网元之间所传递的数据报文都通过该通信连接进行传输。本申请实施例中以通信连接#1是会话粒度为例进行说明。
图2的通信连接#1可以采用图1的N9协议栈。作为一种替换,通信连接#1可以采用通用路由封装(Generic Routing Encapsulation,GRE)协议。作为另一种替换,通信连接#1可以采用IPv6的分段路由(Segment Routing over IPv6,SRv6)协议、或者IP安全(Internet Protocol Security,IPSec)协议。作为另一种替换,通信连接#1可以采用媒体接入控制(Media Access Control,MAC)协议、或者以太网协议。本申请实施例中以通信连接采用N9协议栈为例进行说明。
在图2中,为通信连接#1分配的vUPF的接收接口IP地址为vIP#1,分配的vUPF的隧道接收端点标识为vTEID#1,vUPF的隧道发送端点标识为vTEID#2,并将vIP#1和vTEID#1通知给hUPF,以使hUPF可以通过通信连接#1向vUPF发送数据报文;同样,为通信连接#1分配的hUPF的接收接口IP地址为hIP#1,分配的hUPF的隧道接收端点标识为hTEID#1,hUPF的隧道发送端点标识为hTEID#2,并将hIP#1和hTEID#1通知给vUPF,以使vUPF可以通过通信连接#1向hUPF发送数据报文。另外,为通信连接#1分配的vUPF的发送接口IP地址为vIP#2,分配的hUPF的发送接口IP地址为hIP#2。
在图2中,vIP#1、vTEID#1、以及vIP#2中的部分或者全部可以是vUPF或者是vSMF分配的。hIP#1、hTEID#1、以及hIP#2中的部分或者全部可以是hUPF或者hSMF分配的。
在该通信连接上传输的数据报文称为该通信连接的数据报文。该通信连接的数据报文可以分为上行数据报文和下行数据报文。上行数据报文由指从vUPF经由该通信连接发送到hUPF的数据报文,即发往hUPF的该通信连接的报文。下行数据报文时指由hUPF经由该通信连接发送到vUPF的数据报文,即发往vUPF的该通信连接数据报文。在本申请实施例中,目的地址为通信连接对端网元地址的数据报文称为该通信连接的数据报文。例如,目的地址为vIP#1的数据报文,可选的,目标隧道接收端点标识为vTEID#1的数据报文为该通信连接#1的数据报文;目的地址为hIP#1的数据报文,可选的,目标隧道接收端点标识为hTEID#1的数据报文为该通信连接#1的数据报文。
图3是本申请实施例提供的一种跨网络通信协议栈的示意图。其中,DN中的应用服务器的协议栈包括应用层,协议数据单元(Protocol Data Unit,PDU)层。其中PDU层可以为IP层或以太(Ethernet)层。IP层可以是IPv4或IPv6。对等的,UE的协议栈包括应用层、PDU层和(R)AN协议层((R)AN Protocol Layers)。其中PDU层与应用服务器中的PDU层相同。(R)AN协议层用于与(R)AN之间交互,以承载PDU层的通信。vUPF与hUPF之间交互的协议栈包括GTP用户面(GTP Userplane,GTP-U)层、用户数据报协议/因特网协议(User DatagramProtocol/Internet Protocol,UDP/IP)层、二层(L2)和一层(L1)。
当DN中应用服务器生成一个应用层的数据包后,使用PDU层进行封装。以PDU层为IP层为例,应用服务器将该应用层数据包进行IP封装。在该IP封装中,目的IP地址为UE与该应用服务器联系的IP地址,即相应PDU Session的IP地址;源IP地址为应用服务器的IP地址。
当hUPF的PDU层接收到该IP封装的下行数据包后,hUPF中PDU层以下的协议层将对该数据包进行封装。例如,在GTP-U层的封装中,将携带GTP隧道的端点标识。其中,目标GTP隧道端点标识为vUPF的vTEID#1。在UDP/IP层的封装中,将携带UDP/IP层的端口号/地址信息。其中,在UDP/IP层的IP层的封装中,该数据包的目的IP地址为vUPF的接收接口IP地址vIP#1,源IP地址为hUPF的发送接口IP地址hIP#2。
当vUPF接收到封装后的数据报文后,根据UDP/IP层的IP层的目的地址和GTP-U层的GTP目的隧道端点标识识别该数据报文为通信连接#1的数据报文,vUPF根据转发规则对数据报文进行处理和转发。具体的,vUPF可以解除数据报文的UDP/IP层的封装和GTP-U层的封装,得到PDU层封装的数据包,再根据转发规则对该PDU层封装的数据包进行GTP-U和UDP/IP层的封装,再向(R)AN转发。
当UE生成一个应用层的数据包后,使用PDU层进行封装。以PDU层为IP层为例,UE将该应用层数据包进行IP封装。在该IP封装中,源IP地址为UE与该应用服务器联系的IP地址,即相应PDU Session的IP地址;目的IP地址为应用服务器的IP地址。进行PDU层封装后的数据包再进行(R)AN协议层封装,再讲经过(R)AN协议层封装后的数据包发送给(R)AN。
当(R)AN接收到该上行数据包时,(R)AN将解除该上行数据包的(R)AN协议层封装。(R)AN再对该数据包进行UDP/IP和GTP-U封装,再将封装后的数据包发送给vUPF。vUPF接收到上行数据包后,vUPF将解除该上行数据包的PDU层以下的封装,得到PDU数据包。再根据转发规则对该PDU数据包进行PDU层以下的封装,然后将封装后的数据报文发送给hUPF。例如,在GTP-U层的封装中,将携带GTP隧道的端点标识。其中,目标GTP隧道端点标识为hUPF的hTEID#1。在UDP/IP层的IP层封装中,目的IP地址为hUPF的接收接口IP地址hIP#1,源IP地址为vUPF的发送接口IP地址vIP#2。
当hUPF接收到封装后的数据报文后,根据UDP/IP层的IP层的目的地址和GTP-U层的GTP目的隧道端点标识识别该数据报文为通信连接#1的数据报文,hUPF根据转发规则对数据报文进行处理和转发。具体的,hUPF可以解除数据报文的UDP/IP层的封装和GTP-U层的封装,得到PDU层封装的数据包,再根据转发规则对该PDU层封装的数据包向DN转发。
在本申请实施例中,源隧道端点标识指发送端的发送隧道端点标识,目的隧道端点标识指接收端的接收隧道端点标识。
以下结合图2所示的架构,对本申请实施例提供的一种数据报文处理方法进行介绍。图4以对通过PDU Session发往vUPF的数据报文进行检测为例进行说明。如图4所示,该方法包括:
S401:UE发起建立PDU Session。
通过S401,UE获得为该PDU Session分配的IP地址。可选的,vIPUPS可以在建立PDUSession的过程中获取第一信息。该第一信息用于标识hUPF。
示例性的,第一信息为hUPF的IP地址(例如10.160.170.92)或者IP地址范围(例如10.160.170.90-10.160.170.95);或者,
示例性的,第一信息为hUPF的隧道端点标识。
示例性的,hUPF的IP地址或者IP地址范围可以为hUPF的发送接口IP地址或者发送接口IP地址的范围。
可选的,通过S401,hUPF可以获得vUPF为该通信连接#1分配的GTP-U隧道端点标识vTEID#1和接收接口地址vIP#1。
S402:hUPF通过PDU Session向vUPF发送数据报文#1。
hUPF接收到从DN发往UE的下行数报包,该下行数据包携带的目的IP地址为S401中UE获得的IP地址。
hUPF根据该目的IP地址识别出该下行数据包为S401中建立的PDU Session的数据包。如图3的描述,hUPF的PDU层接收到该下行数据包并根据目的IP地址识别出相关的PDUSession。hUPF中PDU层以下的协议层将对该数据包进行封装。封装后的数据报文以下称为数据报文#1。
在封装过程中,hUPF添加的源地址信息用以表明数据报文#1的发送者身份,即是由hUPF发送的。其中,数据报文#1的源地址为hUPF的发送接口地址hIP#2,目的地址为S401中获得的vUPF的接收接口地址vIP#1。
示例性的,在GTP-U层的封装中,目的GTP隧道端点标识为S401中获得的vUPF为该PDU Session分配的端点标识vTEID#1。源GTP隧道端点标识为hUPF为该PDU Session分配的端点标识hTEID#2。
示例性的,在UDP/IP层的IP层的封装中,目的IP地址为接收该PDU Session的数据包的vUPF的接收接口IP地址。源IP地址为发送该PDU Session的数据包的hUPF的发送接口IP地址。
S403:攻击者构造仿冒PDU Session的数据报文的数据报文#2,并向vUPF发送数据报文#2。
由于数据报文#2仿冒为PDU Session的数据报文,数据报文#2具有PDU层以下的协议层封装。其中,在UDP/IP的IP层的封装中携带的目的地址信息为vUPF的接收接口地址#1。仿冒为PDU Session的数据报文在本申请中有时也称为伪造成第一通信连接的数据报文,或者攻击数据包。
由于数据报文#2是攻击者发出的,因此攻击者在数据报文#2的封装中携带的源地址信息可以表明攻击者的身份。
示例性的,攻击者生成一个攻击数据包,攻击者进而对该攻击数据包进行封装。
示例性的,攻击者在GTP-U层的封装中,目的GTP隧道端点标识为vUPF为该PDUSession分配的端点标识vTEID#1。源GTP隧道端点标识为攻击者的GTP隧道端点标识。
示例性的,在UDP/IP层的IP层的封装中,目的IP地址为接收该PDU Session的数据包的vUPF的接收接口IP地址vIP#1。源IP地址为攻击者发送该数据报文#2的发送接口IP地址。
S404:vIPUPS使用S401中接收到的第一信息对数据报文#1的源地址信息进行检测。
示例性的,vIPUPS可以根据数据报文#1的GTP-U层中携带的GTP隧道目的端点标识和UDP/IP层的IP层中携带的目的IP地址获知,该数据报文#1为PDU Session的数据报文。
vIPUPS使用第一信息与数据报文#1的封装中的源地址信息进行检测。作为一种检测的可能的方式,vIPUPS匹配第一信息与数据报文#1的封装中的源地址信息。当源地址信息与第一信息相同或在第一信息所示的范围中时,数据报文#1的源地址信息匹配第一信息成功。
示例性的,第一信息为hUPF的发送接口IP地址。vIPUPS将第一信息与数据报文#1的UDP/IP层的IP层封装中的源IP地址进行匹配。第一信息所示的IP地址与源IP地址相同,数据报文#1的源IP地址匹配第一信息成功。
示例性的,第一信息为hUPF的发送接口IP地址范围。vIPUPS将第一信息与数据报文#1的UDP/IP层的IP层封装中的源IP地址进行匹配。源IP地址在第一信息所示的IP地址范围中,数据报文#1的源IP地址匹配第一信息成功。
示例性的,第一信息为hUPF的隧道端点标识。vIPUPS将第一信息与数据报文#1的GTP-U层封装中的源GTP隧道端点标识进行匹配。第一信息所示的隧道端点标识与源GTP隧道端点标识相同,数据报文#1的源GTP隧道端点标识匹配第一信息成功。
S405:vIPUPS使用S401中接收到的第一信息对数据报文#2的源地址信息进行检测。
vIPUPS可以根据数据报文#2的GTP-U层中携带的GTP隧道目的端点标识和UDP/IP层的IP层中携带的目的IP地址获知,该数据报文#2为通信连接#1的数据报文。
vIPUPS使用第一信息与数据报文#2的封装中的源地址信息进行检测。作为一种检测的可能的方式,vIPUPS匹配第一信息与数据报文#2的封装中的源地址信息。当源地址信息与第一信息不相同且不在第一信息所示的范围中时,数据报文#2的源地址信息匹配第一信息失败。
示例性的,第一信息为hUPF的发送接口IP地址。vIPUPS将第一信息与数据报文#2的UDP/IP层的IP层封装中的源IP地址进行匹配。第一信息所示的IP地址与源IP地址不相同,数据报文#2的源IP地址匹配第一信息失败。
示例性的,第一信息为hUPF的发送接口IP地址范围。vIPUPS将第一信息与数据报文#2的UDP/IP层的IP层封装中的源IP地址进行匹配。源IP地址不在第一信息所示的IP地址范围中,数据报文#2的源IP地址匹配第一信息失败。
示例性的,第一信息为hUPF的隧道端点标识。vIPUPS将第一信息与数据报文#2的GTP-U层封装中的源GTP隧道端点标识进行匹配。第一信息所示的隧道端点标识与源GTP隧道端点标识不相同,数据报文#2的源GTP隧道端点标识匹配第一信息失败。
S406:vIPUPS放行数据报文#1。
vIPUPS继续转发数据报文#1。
示例性的,vIPUPS将数据报文#1转发至下一跳节点。
在一种可能的实施方式中,vIPUPS独立部署或者vIPUPS与vUPF合设部署,vIPUPS将数据报文#1向vUPF转发。
在另一种可能的实施方式中,vUPF集成vIPUPS的功能,即vUPF支持vIPUPS功能,此时vIPUPS就是vUPF本身,则vIPUPS将数据报文#1向(R)AN转发。
S407:vIPUPS拦截数据报文#2。
在一种可能的实施方式中,vIPUPS可以丢弃数据报文#2。
在另一种可能的实施方式中,vIPUPS可以拒绝数据报文#2。
在另一种可能的实施方式中,vIPUPS可以向控制面网元上报数据报文#2不匹配第一信息的事件报告。
示例性的,vIPUPS可以向vSMF或网管功能上报数据报文#2不匹配第一信息的信息。
vIPUPS获取第一信息有以下几种方式:
在一种可能的方式中,vIPUPS可以根据运营商配置获取第一信息。
在另一种可能的实施方式中,vIPUPS从vSMF接收第一信息。
在另一种可能的实施方式中,vIPUPS从vSMF接收第二信息。该第二信息用于指示该第一信息。
示例性的,vIPUPS可以根据本地配置,使用该第二信息获取第一信息。
示例性的,vIPUPS可以向其他网元进行查询,使用该第二信息获取第一信息。其中,其他网元可以为vSMF或者VPLMN的网管网元。
示例性的,第二信息可以为hUPF的IP地址的索引或者IP地址范围的索引;或者,
示例性的,第二信息可以为hUPF的标识;或者,
示例性的,第二信息可以为hUPF的第二IP地址或者第二IP地址范围;或者,
示例性的,第二信息可以为指示将hUPF的第二IP地址或第二IP地址范围作为第一信息的信息。vIPUPS还获取hUPF的第二IP地址或第二IP地址范围。
示例性的,hUPF的第二IP地址或者第二IP地址范围,可以为hUPF的接收接口IP地址或者接收接口IP地址范围。vIPUPS根据hUPF的接收接口IP地址或者接收接口IP地址范围可以获得hUPF的发送接口IP地址或者发送接口IP地址范围。
作为vIPUPS从vSMF接收第一信息的一种可能的方式,vSMF获取第一信息,并向vIPUPS发送第一信息。
作为vSMF获取第一信息的一种可能的方式,vSMF从hSMF接收第一信息。
作为vSMF获取第一信息的另一种可能的方式,vSMF从hSMF接收第二信息。vSMF根据第二信息获取第一信息。
作为vSMF从hSMF接收第一信息的一种可能的方式,hSMF获取第一信息。
作为hSMF获取第一信息的一种可能的方式,hSMF生成第一信息。
作为hSMF获取第一信息的另一种可能的方式,hSMF从hUPF接收第一信息。
作为hSMF获取第一信息的另一种可能的方式,hSMF从hUPF接收第二信息。hSMF根据第二信息获取第一信息。
作为vIPUPS从vSMF接收第二信息的一种可能的方式,vSMF获取第二信息,并向vIPUPS发送第二信息。
作为vSMF获取第二信息的一种可能的方式,hSMF获取第二信息,并向vSMF发送第二信息。
作为hSMF获取第二信息的一种可能的方式,hSMF生成第二信息。
作为hSMF获取第二信息的另一种可能的方式,hSMF从hUPF接收第二信息。
通过S401-S407,vIPUPS根据获取到的第一信息对接收到的数据报文中携带的源地址信息进行检测,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了vUPF在跨通信网络场景下数据报文的处理能力和吞吐量。
作为S401中vIPUPS获取第一信息的一种可选的实施方式,vIPUPS可以利用PDUSession建立流程来获取。作为一种示例,如图5所示,PDU Session建立流程包括:
S501:UE向vSMF请求建立PDU Session。
示例性的,UE向vSMF发送第一PDU会话建立请求消息。该第一PDU会话建立请求消息用于请求建立PDU Session。
S502:vSMF向hSMF请求建立PDU Session。
示例性的,vSMF向hSMF发送第二PDU会话建立请求消息。该第二PDU会话建立请求消息用于向HPLMN请求建立PDU Session。
S503:hSMF获取用于指示hUPF的信息。
该用于指示hUPF的信息可以是第一信息或第二信息。其中第一信息和第二信息可以参见S401的描述。
在一种可能的实施方式中,hSMF获取第一信息。
作为hSMF获取第一信息的一种可能的实施方式,hSMF生成第一信息。
作为hSMF获取第一信息的另一种可能的实施方式,hSMF从hUPF获取第一信息。
作为hSMF从hUPF获取第一信息的一种可能的实施方式,hSMF向hUPF发送请求消息。该请求消息用于向hUPF获取第一信息。响应于该请求消息,hUPF向hSMF发送第一信息。
作为该请求消息的一种实现方式,该请求消息中携带漫游指示。该漫游指示用于指示当前为两个网络互通场景。响应于该漫游指示,hUPF向hSMF发送第一信息。
作为hSMF获取第一信息的另一种可能的实施方式,hSMF从hUPF获取第二信息,hSMF根据该第二信息获取第一信息。
作为hSMF从hUPF获取第二信息的一种可能的实施方式,hSMF向hUPF发送请求消息。该请求消息用于向hUPF获取第二信息。响应于该请求消息,vUPF向vSMF发送第二信息。
作为该请求消息的一种实现方式,可选的,该请求消息中携带漫游指示。该漫游指示用于指示当前为两个网络互通场景。响应于该漫游指示,hUPF向hSMF发送第二信息。
在另一种可能的实施方式中,hSMF获取第二信息。
作为hSMF获取第二信息的一种可能的实施方式,hSMF生成第二信息。
作为hSMF获取第二信息的另一种可能的实施方式,hSMF从hUPF获取第二信息。
作为hSMF从hUPF获取第二信息的一种可能的实施方式,hSMF向hUPF发送请求消息。该请求消息用于向hUPF获取第二信息。响应于该请求消息,hUPF向hSMF发送第二信息。
作为该请求消息的一种实现方式,可选的,该请求消息中携带漫游指示。该漫游指示用于指示当前为两个网络互通场景。响应于该漫游指示,hUPF向hSMF发送第二信息。
示例性的,该请求消息可以为N4建立请求消息。
示例性的,该响应消息可以为N4会话建立响应消息。
S504:hSMF向vSMF发送用于指示hUPF的信息。
示例性的,hSMF向SMF发送第二PDU会话建立响应消息。该第二PDU会话建立响应消息用于向vSMF发送用于指示hUPF的信息。
该用于指示hUPF的信息可以是上述第一信息或第二信息。
在一种可能的实施方式中,该第二PDU会话建立响应消息中携带第一信息。该第一信息为在S503中获得的第一信息。
在另一种可能的实施方式中,该第二PDU会话建立响应消息中携带第二信息。该第二信息为在S503中获得的第二信息。
S505:vSMF向vIPUPS发送用于指示hUPF的信息。
示例性的,vSMF向vIPUPS发送请求消息。该请求消息用于向vIPUPS发送用于指示hUPF的信息。
该用于指示hUPF的信息包括第一信息或第二信息。
在一种可能的实施方式中,该请求消息中携带第一信息。该第一信息为在S505中获得的第一信息。该第一信息可以参考S401中的描述。
在另一种可能的实施方式中,该请求消息中携带第二信息。该第二信息为在S505中获得的第二信息。该第二信息可以参考S401中的描述。
示例性地,第二信息可以为hUPF的发送接口地址的索引或者发送接口地址范围的索引,vIPUPS根据该索引获取第一信息;或者,
第二信息可以为hUPF的标识,vIPUPS根据该标识获取第一信息;或者,
第二信息可以为hUPF的接收接口地址,vIPUPS将接收接口地址作为第一信息;或者,
第二信息可以为指示将hUPF的接收接口地址作为第一信息的信息,vIPUPS获取hUPF的接收接口地址,并将接收接口地址作为第一信息。
示例性的,该请求消息为N4会话修改消息。该N4会话修改消息用于向vIPUPS发送hUPF的标识信息。
示例性的,第一信息携带在数据报文检测规则(Packet Detection Rule,PDR)中。PDR用于指示vIPUPS对接收到的数据报文进行检测,并根据检测的结果对数据报文进行处理。
示例性的,第二信息携带在数据报文检测规则(Packet Detection Rule,PDR)中。
示例性的,PDR用于S404中vIPUPS对数据报文#1的检测和S405中vIPUPS对数据报文#2的检测。
通过S501-S506,vIPUPS获取到第一信息,该第一信息用于对接收到的数据报文中携带的源地址信息进行检测,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了vUPF在跨通信网络场景下数据报文的处理能力和吞吐量。
以下结合图2所示的架构,对本申请实施例提供的一种数据报文处理方法进行介绍。图6以对通过PDU Session发往hUPF的数据报文进行检测为例进行说明。如图6所示,该方法包括:
S601:UE发起建立PDU Session。
通过S601,vUPF可以获得hUPF为该PDU Session分配的端点标识hTEID#1和接收接口地址hIP#1。
通过S601,UE获得为该PDU Session分配的IP地址。vUPF为该PDU Session分配上行GTP-U隧道端点标识,用于接收UE向DN发送的上行数据包。vUPF为该PDU Session分配下行GTP-U隧道端点标识,用于接收DN向UE发送的下行数据包。可选的,hIPUPS可以在建立PDUSession的过程中获取第一信息。该第一信息用于标识vUPF。
示例性的,第一信息为vUPF的IP地址(例如10.160.170.83)或者IP地址范围(例如10.160.170.80-10.160.170.85);或者,
示例性的,第一信息为vUPF的隧道端点标识。
示例性的,vUPF的IP地址或者IP地址范围可以为vUPF的发送接口IP地址或者发送接口IP地址的范围。
S602:vUPF通过PDU Session向hUPF发送数据报文#1。
vUPF接收到从UE发往DN的上行数报包,该上行数据包携带的GTP-U层封装的GTP隧道目的端点标识为S601中vUPF分配的上行GTP隧道端点标识。
vUPF根据该数据包中的GTP隧道目的端点标识识别出该上行数据包为S601中建立的PDU Session的数据包。如图3的描述,vUPF将解除该上行数据包的PDU层以下的封装,得到PDU数据包,再对该PDU数据包进行PDU层以下的封装,封装后的数据报文以下称为数据报文#1。
在封装过程中,vUPF添加的源地址信息用以表明数据报文#1的发送者身份,即是由vUPF发送的。其中,数据报文#1的源地址为vUPF的发送接口地址#1,目的地址为S601中获得的hUPF的接收接口地址#1。
示例性的,在GTP-U层的封装中,目的GTP隧道端点标识为hUPF为该PDU Session分配的端点标识hTEID#1。源GTP隧道端点标识为S601中获得的vUPF的GTP隧道发送端点标识vTEID#2。
示例性的,在UDP/IP层的IP层的封装中,目的IP地址为接收该PDU Session的数据包的hUPF的接收接口IP地址hIP#1。源IP地址为发送该PDU Session的数据包的vUPF的发送接口IP地址vIP#2。
S603:攻击者构造仿冒PDU Session的数据报文的数据报文#2,并向hUPF发送数据报文#2。
由于数据报文#2仿冒为PDU Session的数据报文,数据报文#2具有PDU层以下的协议层封装。其中,在UDP/IP的IP层的封装中携带的目的地址信息为hUPF的接收接口地址hIP#1。仿冒为PDU Session的数据报文在本申请中有时也称为伪造成第一通信连接的数据报文,或者攻击数据包。
由于数据报文#2是攻击者发出的,因此攻击者在数据报文#2的封装中携带的源地址信息可以表明攻击者的身份。
示例性的,攻击者生成一个攻击数据包,攻击者进而对该攻击数据包进行封装。
示例性的,攻击者在GTP-U层的封装中,目的GTP隧道端点标识为hUPF为该PDUSession分配的端点标识hTEID#1。源GTP隧道端点标识为攻击者的GTP隧道发送端点标识。
示例性的,在UDP/IP层的IP层的封装中,目的IP地址为接收该PDU Session的数据包的hUPF的接收接口IP地址hIP#1。源IP地址为攻击者发送该数据报文#2的发送接口IP地址。
S604:hIPUPS使用S601中接收到的第一信息对数据报文#1的源地址信息进行检测。
示例性的,hIPUPS可以根据数据报文#1的GTP-U层中携带的GTP隧道目的端点标识和UDP/IP层的IP层中携带的目的IP地址获知,该数据报文#1为PDU Session的数据报文。
hIPUPS使用第一信息与数据报文#1的封装中的源地址信息进行检测。作为一种检测的可能的方式,hIPUPS匹配第一信息与数据报文#1的封装中的源地址信息。当源地址信息与第一信息相同或在第一信息所示的范围中时,数据报文#1的源地址信息匹配第一信息成功。
示例性的,第一信息为vUPF的发送接口IP地址。hIPUPS将第一信息与数据报文#1的UDP/IP层的IP层封装中的源IP地址进行匹配。第一信息所示的IP地址与源IP地址相同,数据报文#1的源IP地址匹配第一信息成功。
示例性的,第一信息为vUPF的发送接口IP地址范围。hIPUPS将第一信息与数据报文#1的UDP/IP层的IP层封装中的源IP地址进行匹配。源IP地址在第一信息所示的IP地址范围中,数据报文#1的源IP地址匹配第一信息成功。
示例性的,第一信息为vUPF的隧道端点标识。hIPUPS将第一信息与数据报文#1的GTP-U层封装中的源GTP隧道端点标识进行匹配。第一信息所示的隧道端点标识与源GTP隧道端点标识相同,数据报文#1的源GTP隧道端点标识匹配第一信息成功。
S605:hIPUPS使用S601中接收到的第一信息对数据报文#2的源地址信息进行检测。
hIPUPS可以根据数据报文#2的GTP-U层中携带的GTP隧道目的端点标识和UDP/IP层的IP层中携带的目的IP地址获知,该数据报文#2为通信连接#1的数据报文。
hIPUPS使用第一信息与数据报文#2的封装中的源地址信息进行检测。作为一种检测的可能的方式,hIPUPS匹配第一信息与数据报文#2的封装中的源地址信息。当源地址信息与第一信息不相同且不在第一信息所示的范围中时,数据报文#2的源地址信息匹配第一信息失败。
示例性的,第一信息为vUPF的发送接口IP地址。hIPUPS将第一信息与数据报文#2的UDP/IP层的IP层封装中的源IP地址进行匹配。第一信息所示的IP地址与源IP地址不相同,数据报文#2的源IP地址匹配第一信息失败。
示例性的,第一信息为vUPF的发送接口IP地址范围。hIPUPS将第一信息与数据报文#2的UDP/IP层的IP层封装中的源IP地址进行匹配。源IP地址不在第一信息所示的IP地址范围中,数据报文#2的源IP地址匹配第一信息失败。
示例性的,第一信息为vUPF的隧道端点标识。hIPUPS将第一信息与数据报文#2的GTP-U层封装中的源GTP隧道端点标识进行匹配。第一信息所示的隧道端点标识与源GTP隧道端点标识不相同,数据报文#2的源GTP隧道端点标识匹配第一信息失败。
S606:hIPUPS放行数据报文#1。
hIPUPS继续转发数据报文#1。
示例性的,hIPUPS将数据报文#1转发至下一跳节点。
在一种可能的实施方式中,hIPUPS独立部署或者hIPUPS与hUPF合设部署,hIPUPS将数据报文#1向hUPF转发。
在另一种可能的实施方式中,hUPF集成hIPUPS的功能,即hUPF支持hIPUPS功能,此时hIPUPS就是hUPF本身,则hIPUPS将数据报文#1向DN转发。
S607:hIPUPS拦截数据报文#2。
在一种可能的实施方式中,hIPUPS可以丢弃数据报文#2。
在另一种可能的实施方式中,hIPUPS可以拒绝数据报文#2。
在另一种可能的实施方式中,hIPUPS可以向控制面网元上报数据报文#2不匹配第一信息的事件报告。
示例性的,hIPUPS可以向hSMF或网管功能上报数据报文#2不匹配第一信息的信息。
hIPUPS获取第一信息有以下几种方式:
在一种可能的方式中,hIPUPS可以根据运营商配置获取第一信息。
在另一种可能的实施方式中,hIPUPS从hSMF接收第一信息。
在另一种可能的实施方式中,hIPUPS从hSMF接收第二信息。该第二信息用于指示该第一信息。
示例性的,hIPUPS可以根据本地配置,使用该第二信息获取第一信息。
示例性的,hIPUPS可以向其他网元进行查询,使用该第二信息获取第一信息。其中,其他网元可以为hSMF或者HPLMN的网管网元。
示例性的,第二信息可以为vUPF的IP地址的索引或者IP地址范围的索引;或者,
示例性的,第二信息可以为vUPF的标识;或者,
示例性的,第二信息可以为vUPF的第二IP地址或者第二IP地址范围;或者,
示例性的,第二信息可以为指示将vUPF的第二IP地址或第二IP地址范围作为第一信息的信息。hIPUPS还获取vUPF的第二IP地址或第二IP地址范围。
示例性的,vUPF的第二IP地址或者第二IP地址范围,可以为vUPF的接收接口IP地址或者接收接口IP地址范围。hIPUPS根据vUPF的接收接口IP地址或者接收接口IP地址范围可以获得vUPF的发送接口IP地址或者发送接口IP地址范围。
作为hIPUPS从hSMF接收第一信息的一种可能的方式,hSMF获取第一信息,并向hIPUPS发送第一信息。
作为hSMF获取第一信息的一种可能的方式,hSMF从vSMF接收第一信息。
作为hSMF获取第一信息的另一种可能的方式,hSMF从vSMF接收第二信息。hSMF根据第二信息获取第一信息。
作为hSMF从vSMF接收第一信息的一种可能的方式,vSMF获取第一信息。
作为vSMF获取第一信息的一种可能的方式,vSMF生成第一信息。
作为vSMF获取第一信息的另一种可能的方式,vSMF从vUPF接收第一信息。
作为vSMF获取第一信息的另一种可能的方式,vSMF从vUPF接收第二信息。vSMF根据第二信息获取第一信息。
作为hIPUPS从hSMF接收第二信息的一种可能的方式,hSMF获取第二信息,并向hIPUPS发送第二信息。
作为hSMF获取第二信息的一种可能的方式,vSMF获取第二信息,并向hSMF发送第二信息。
作为vSMF获取第二信息的一种可能的方式,vSMF生成第二信息。
作为vSMF获取第二信息的另一种可能的方式,vSMF从vUPF接收第二信息。
通过S601-S607,hIPUPS根据获取到的第一信息对接收到的数据报文中携带的源地址信息进行检测,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了hUPF在跨通信网络场景下数据报文的处理能力和吞吐量。
作为S601中hIPUPS获取第一信息的一种可选的实施方式,hIPUPS可以利用PDUSession建立流程来获取。作为一种示例,如图7所示,PDU Session建立流程包括:
S701:UE向vSMF请求建立PDU Session。
示例性的,UE向vSMF发送第一PDU会话建立请求消息。该第一PDU会话建立请求消息用于请求建立PDU Session。
S702:vSMF获取用于指示vUPF的信息。
该用于指示vUPF的信息可以是第一信息或第二信息。其中第一信息和第二信息可以参见S601的描述。
在一种可能的实施方式中,vSMF获取第一信息。
作为vSMF获取第一信息的一种可能的实施方式,vSMF生成第一信息。
作为vSMF获取第一信息的另一种可能的实施方式,vSMF从vUPF获取第一信息。
作为vSMF从vUPF获取第一信息的一种可能的实施方式,vSMF向vUPF发送请求消息。该请求消息用于向vUPF获取第一信息。响应于该请求消息,vUPF向vSMF发送第一信息。
作为该请求消息的一种实现方式,该请求消息中携带漫游指示。该漫游指示用于指示当前为两个网络互通场景。响应于该漫游指示,vUPF向vSMF发送第一信息。
作为vSMF获取第一信息的另一种可能的实施方式,vSMF从vUPF获取第二信息,vSMF根据该第二信息获取第一信息。
作为vSMF从vUPF获取第二信息的一种可能的实施方式,vSMF向vUPF发送请求消息。该请求消息用于向vUPF获取第二信息。响应于该请求消息,vUPF向vSMF发送第二信息。
作为该请求消息的一种实现方式,可选的,该请求消息中携带漫游指示。该漫游指示用于指示当前为两个网络互通场景。响应于该漫游指示,vUPF向vSMF发送第二信息。
在另一种可能的实施方式中,vSMF获取第二信息。
作为vSMF获取第二信息的一种可能的实施方式,vSMF生成第二信息。
作为vSMF获取第二信息的另一种可能的实施方式,vSMF从vUPF获取第二信息。
作为vSMF从vUPF获取第二信息的一种可能的实施方式,vSMF向vUPF发送请求消息。该请求消息用于向vUPF获取第二信息。响应于该请求消息,vUPF向vSMF发送第二信息。
作为该请求消息的一种实现方式,可选的,该请求消息中携带漫游指示。该漫游指示用于指示当前为两个网络互通场景。响应于该漫游指示,vUPF向vSMF发送第二信息。
示例性的,该请求消息可以为N4建立请求消息。
示例性的,该响应消息可以为N4会话建立响应消息。
S703:vSMF向hSMF发送用于指示vUPF的信息。
示例性的,vSMF向hSMF发送第二PDU会话建立请求消息。该第二PDU会话建立请求消息用于向hSMF发送用于指示vUPF的信息。
该用于指示vUPF的信息可以是上述第一信息或第二信息。
在一种可能的实施方式中,该第二PDU会话建立请求消息中携带第一信息。该第一信息为在S702中获得的第一信息。
在另一种可能的实施方式中,该第二PDU会话建立响应消息中携带第二信息。该第二信息为在S702中获得的第二信息。
S704:hSMF向hIPUPS发送用于指示vUPF的信息。
示例性的,hSMF向hIPUPS发送请求消息。该请求消息用于向hIPUPS发送用于指示vUPF的信息。
该用于指示vUPF的信息可以是上述第一信息或第二信息。
在一种可能的实施方式中,该请求消息中携带第一信息。该第一信息为在S703中获得的第一信息。
在另一种可能的实施方式中,该请求消息中携带第二信息。该第二信息为在S703中获得的第二信息。
示例性地,第二信息可以为vUPF的发送接口地址的索引或者发送接口地址范围的索引,hIPUPS根据该索引获取第一信息;或者,
第二信息可以为vUPF的标识,hIPUPS根据该标识获取第一信息;或者,
第二信息可以为vUPF的接收接口地址,hIPUPS将接收接口地址作为第一信息;或者,
第二信息可以为指示将vUPF的接收接口地址作为第一信息的信息,hIPUPS获取vUPF的接收接口地址,并将接收接口地址作为第一信息。
示例性的,该请求消息为N4会话修改消息。该N4会话修改消息用于向hIPUPS发送vUPF的标识信息。
示例性的,第一信息携带在数据报文检测规则(Packet Detection Rule,PDR)中。PDR用于指示hIPUPS对接收到的数据报文进行检测,并根据检测的结果对数据报文进行处理。
示例性的,第二信息携带在数据报文检测规则(Packet Detection Rule,PDR)中。
示例性的,PDR用于S604中hIPUPS对数据报文#1的检测和S605中hIPUPS对数据报文#2的检测。
通过S701-S704,hIPUPS获取到第一信息,该第一信息用于对接收到的数据报文中携带的源地址信息进行检测,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了hUPF在跨通信网络场景下数据报文的处理能力和吞吐量。
以下结合图2所示的架构,对本申请实施例提供的一种数据报文处理方法进行介绍。图8以对通过通信连接#1发往第二网络的第二用户面网元的数据报文进行检测为例进行说明。如图8所示,该方法包括:
S801:终端设备发起建立通信连接#1。
通过S801,终端设备获得IP地址,该IP地址为网络为该通信连接所分配的IP地址。可选的,检测网元可以在通信连接建立的过程中获取第一信息。该第一信息用于标识第一网络的第一用户面网元。S801可以参考S401或S601的描述。
示例性的,通信连接#1可以为S401或S601中的PDU Session。
示例性的,终端设备可以为S401或S601中的UE。
示例性的,检测网元可以为S401中的vIPUPS或S601中的hIPUPS。
S802:第一网络的第一用户面网元通过通信连接#1向第二网络的第二用户面网元发送数据报文#1。
S802可以参考S402或S602的描述。
示例性的,第一网络的第一用户面网元可以为S401中的hUPF或S601中的vUPF。
示例性的,第二网络的第二用户面网元可以为S401中的vUPF或S601中的hUPF。
S803:攻击者构造仿冒通信连接#1的数据报文的数据报文#2,并向第二网络的第二用户面网元发送数据报文#2。
S803可以参考S403或S603的描述。
示例性的,第二网络的第二用户面网元可以为S403中的vUPF或S603中的hUPF。S804:检测网元使用S801中接收到的第一信息对数据报文#1的源地址信息进行检测。
S804:检测网元使用S801中接收到的第一信息对数据报文#1的源地址信息进行检测。
S804可以参考S404或S604的描述。
示例性的,示例性的,检测网元可以为S404中的vIPUPS或S604中的hIPUPS。
S805:检测网元使用S801中接收到的第一信息对数据报文#2的源地址信息进行检测。
S805可以参考S405或S605的描述。
示例性的,示例性的,检测网元可以为S405中的vIPUPS或S605中的hIPUPS。
S806:检测网元放行数据报文#1。
S806可以参考S406或S606的描述。
示例性的,示例性的,检测网元可以为S406中的vIPUPS或S606中的hIPUPS。
S807:检测网元拦截数据报文#2。
S807可以参考S407或S607的描述。
示例性的,示例性的,检测网元可以为S407中的vIPUPS或S607中的hIPUPS。
示例性的,在S801-S807中,第一网络可以是HPLMN,第二网络可以是HPLMN。
示例性的,在S801-S807中,第一网络可以是VPLMN,第二网络可以是VPLMN。
示例性的,在S801-S807中,该通信连接可以使用GTP协议封装,还可以使用通用路由封装(Generic Routing Encapsulation,GRE)协议,也可以使用其他协议,例如基于IP的协议,有IPv6的分段路由(Segment Routing over IPv6,SRv6)协议,IP安全(InternetProtocol Security,IPSec)协议等,也可以使用物理层协议如媒体接入控制(MediaAccess Control,MAC)协议,也可以使用以太网协议等,本申请实施例不作限制。
示例性的,在S801-S807中,该通信连接还可以是设备粒度,也可以是用户粒度,也可以是业务流粒度,本申请实施例不作限制。
示例性的,在S801-S807中,该第一信息还可以是第一网络第一用户面网元的发送接口的MAC地址,或发送接口的UDP端口号,或发送接口的TCP端口号。相应的,该数据报文中携带的源地址信息可以是发送接口的MAC地址,或发送接口的UDP端口号,或发送接口的TCP端口号。
检测网元获取第一信息有以下几种方式:
在一种可能的方式中,检测网元可以根据运营商配置获取第一信息。
在另一种可能的实施方式中,检测网元从第二网络的控制面网元接收第一信息。
在另一种可能的实施方式中,检测网元从第二网络的控制面网元接收第二信息。该第二信息用于指示该第一信息。
示例性的,检测网元可以根据本地配置,使用该第二信息获取第一信息。
示例性的,检测网元可以向其他网元进行查询,使用该第二信息获取第一信息。其中,其他网元可以为第二网络的控制面网元或者第二网络的网管网元。
作为检测网元从第二网络的控制面网元接收第一信息的一种可能的方式,第二网络的控制面网元获取第一信息,并向检测网元发送第一信息。
作为第二网络的控制面网元获取第一信息的一种可能的方式,第二网络的控制面网元从第一网络的控制面网元接收第一信息。
作为第二网络的控制面网元获取第一信息的另一种可能的方式,第二网络的控制面网元从第一网络的控制面网元接收第二信息。第二网络的控制面网元根据第二信息获取第一信息。
作为第二网络的控制面网元从第一网络的控制面网元接收第一信息的一种可能的方式,第一网络的控制面网元获取第一信息。
作为第一网络的控制面网元获取第一信息的一种可能的方式,第一网络的控制面网元生成第一信息。
作为第一网络的控制面网元获取第一信息的另一种可能的方式,第一网络的控制面网元从第一网络的第一用户面网元接收第一信息。
作为第一网络的控制面网元获取第一信息的另一种可能的方式,第一网络的控制面网元从第一网络的第一用户面网元接收第二信息。第一网络的控制面网元根据第二信息获取第一信息。
作为检测网元从第二网络的控制面网元接收第二信息的一种可能的方式,第二网络的控制面网元获取第二信息,并向检测网元发送第二信息。
作为第二网络的控制面网元获取第二信息的一种可能的方式,第一网络的控制面网元获取第二信息,并向第二网络的控制面网元发送第二信息。
作为第一网络的控制面网元获取第二信息的一种可能的方式,第一网络的控制面网元生成第二信息。
作为第一网络的控制面网元获取第二信息的另一种可能的方式,第一网络的控制面网元从第一网络的第一用户面网元接收第二信息。
通过S801-S807,检测网元根据获取到的第一信息对接收到的数据报文中携带的源地址信息进行检测,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了第二网络的第二网元在跨通信网络场景下数据报文的处理能力和吞吐量。
作为S801中检测网元获取第一信息的一种可选的实施方式,可以参考图9。作为一种示例,如图9所示,S801中检测网元获取第一信息包括:
S901:第一网络的控制面网元获取用于指示第一网络的第一用户面网元的信息。
用于指示第一网络的第一用户面网元的信息可以是第一信息或第二信息。
S901可以参考S503或S702的描述。
示例性的,第一网络的控制面网元可以为S503中的hSMF或S702中的vSMF。
示例性的,第一网络的第一用户面网元可以为S503中的hUPF或S702中的vUPF。
S902:第一网络的控制面网元向第二网络的控制面网元发送用于指示第一网络的第一用户面网元的信息。
用于指示第一网络的第一用户面网元的信息可以是上述第一信息或第二信息。
S902可以参考S504或S703的描述。
示例性的,第一网络的控制面网元可以为S503中的hSMF或S702中的vSMF。
示例性的,第二网络的控制面网元可以为S503中的vSMF或S702中的hSMF。
S903:第二网络的控制面网元向检测网元发送用于指示第一网络的第一用户面网元的信息。
S903可以参考S505或S704的描述。
用于指示第一网络的第一用户面网元的信息可以是上述第一信息或第二信息。
示例性的,第二网络的控制面网元可以为S505中的vSMF或S704中的hSMF。
示例性的,第一网络的第一用户面网元可以为S505中的hUPF或S704中的vUPF。
示例性的,在S901-S903中,第一网络可以是HPLMN,第二网络可以是HPLMN。
示例性的,在S901-S903中,第一网络可以是VPLMN,第二网络可以是VPLMN。
通过S901-S903,检测网元获取到第一信息,该第一信息用于对接收到的数据报文中携带的源地址信息进行检测,并根据检测结果处理该数据报文,能够识别出伪造成第一通信连接数据报文,从而避免伪造成第一通信连接的数据报文对网络的冲击,保障了第二网络的第二用户面网元在跨通信网络场景下数据报文的处理能力和吞吐量。
图10是为本申请实施例提供的通信装置1000的示意性框图。
通信装置包括处理模块1001和收发模块1002。处理模块1001用于实现通信装置对数据的处理。收发模块1002用于实现通信装置与其他单元或者网元的内容交互。应理解,本申请实施例中的处理模块1001可以由处理器或处理器相关电路组件(或者,称为处理电路)实现,收发模块1002可以由收发器或收发器相关电路组件实现。
示例性地,通信装置1000可以是通信装置设备,也可以是应用于通信装置设备中的芯片或者其他具有上述通信装置设备功能的组合器件、部件等。
示例性的,通信装置1000可以为图4和图5中的vIPUPS,或者图6和图7中的hIPUPS,或者图8和图9中的检测网元。
处理模块1001可以用于执行图4和图5所示的实施例中由vIPUPS所执行的,或者图6和图7所示的实施例中由hIPUPS所执行的,或者图8和图9中由检测网元所执行的数据处理操作。例如S404、S405、S406和S407,S604、S605、S606和S607,S804、S805、S806和S807,和/或用于支持本文所描述的技术的其它过程。
收发模块1002可以用于执行图4和图5所示的实施例中由vIPUPS所执行的,或者图6和图7所示的实施例中由hIPUPS所执行的,或者图8和图9中由检测网元所执行的收发操作。例如S402、S403、S505、S602、S603、S704、S802、S803、S906,和/或用于支持本文所描述的技术的其它过程。
示例性的,通信装置1000可以为图4和图5中的vIPUPS和vUPF,或者图6和图7中的hIPUPS和hUPF,或者图8和图9中的检测网元和第二网络的第二用户面网元。
处理模块1001可以用于执行图4和图5所示的实施例中由vIPUPS和vUPF所执行的,或者图6和图7所示的实施例中由hIPUPS和hUPF所执行的,或者图8和图9中由检测网元和第二网络的第二用户面网元所执行的数据处理操作。例如S404、S405、S406和S407,S604、S605、S606和S607,S804、S805、S806和S807,和/或用于支持本文所描述的技术的其它过程。
收发模块1002可以用于执行图4和图5所示的实施例中由vIPUPS和vUPF所执行的,或者图6和图7所示的实施例中由hIPUPS和hUPF所执行的,或者图8和图9中由检测网元和第二网络的第二用户面网元所执行的收发操作。例如S402、S403、S505、S602、S603、S704、S802、S803、S903,和/或用于支持本文所描述的技术的其它过程。
示例性的,通信装置1000例如为图4和图5中的vSMF,或者图6和图7中的hSMF,或者图8和图9中的第二网络的控制面网元。
处理模块1001可以用于执行图4和图5所示的实施例中由vSMF所执行的,或者图6和图7中的hSMF所执行的,或者图8和图9中的第二网络的控制面网元所执行的数据处理操作。例如S401、S601,和/或用于支持本文所描述的技术的其它过程。
收发模块1002可以用于执行图4和图5所示的实施例中由vSMF所执行的,或者图6和图7中的hSMF所执行的,或者图8和图9中的第二网络的控制面网元所执行的收发操作。例如S401中PDU Session的建立所需的收发操作,例如接收UE发送的PDU Session建立请求和向UE发送IP地址,S501、S502、S504和S505,S601中PDU Session的建立所需的收发操作,S703、S704,S801中PDU Session的建立所需的收发操作,S901、S902,和/或用于支持本文所描述的技术的其它过程。。
示例性的,通信装置1000例如为图4和图5中的hSMF,或者图6和图7中的vSMF,或者图8和图9中的第一网络的控制面网元。
处理模块1001可以用于执行图4和图5所示的实施例中由hSMF所执行的,或者图6和图7中的vSMF所执行的,或者图8和图9中的第一网络的控制面网元所执行的数据处理操作,例如S401中PDU Session的建立,S503,S601中PDU Session的建立,S702,S801中PDUSession的建立,和/或用于支持本文所描述的技术的其它过程。
收发模块1002可以用于执行图4和图5所示的实施例中由hSMF所执行的,或者图6和图7中的vSMF所执行的,或者图8和图9中的第一网络的控制面网元所执行的收发操作。例如S401中PDU Session的建立所需的收发操作,S502,S504,S505,S601中PDU Session的建立所需的收发操作,S701、S702、S703,S801中PDU Session的建立所需的收发操作,S901、S902,和/或用于支持本文所描述的技术的其它过程。
示例性的,通信装置1000例如为图4和图5中的hUPF,或者图6和图7中的vUPF,或者图8和图9中的第一网络的第一用户面网元。
处理模块1001可以用于执行图4和图5所示的实施例中由hUPF所执行的,或者图6和图7中的vUPF所执行的,或者图8和图9中的第一网络的第一用户面网元所执行的数据处理操作,例如S401中PDU Session的建立,S402中封装数据报文#1,S601中PDU Session的建立,S602中封装数据报文#1,S801中通信连接的建立,S802中封装数据报文#1,和/或用于支持本文所描述的技术的其它过程。
收发模块1002可以用于执行图4和图5所示的实施例中由hUPF所执行的,或者图6和图7中的vUPF所执行的,或者图8和图9中的第一网络的第一用户面网元所执行的收发操作。例如S401中PDU Session的建立所需的收发操作,S402,S503,S602,S802,S901和/或用于支持本文所描述的技术的其它过程。
本申请实施例还提供一种通信装置,参考图11所示,包括:处理器1101、通信接口1102、存储器1103。其中,处理器1101、通信接口1102以及存储器1103可以通过总线1104相互连接;总线1104可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。上述总线1104可以分为地址总线、数据总线和控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。处理器1101可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logicdevice,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。存储器1103可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electricallyEPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。
图11所示的通信装置可以为图4和图5中的vIPUPS,或者图6和图7中的hIPUPS,或者图8和图9中的检测网元,用以完成相应功能。
示例性的,处理器1101用于实现通信装置的数据处理操作。例如S404、S405、S406和S407,S604、S605、S606和S607,S804、S805、S806和S807,和/或用于支持本文所描述的技术的其它过程。
示例性的,通信接口1102用于实现通信装置的收发操作。例如S402、S403、S505、S602、S603、S704、S802、S803、S1106,和/或用于支持本文所描述的技术的其它过程。
图11所示的通信装置可以为图4和图5中的vSMF,或者图6和图7中的hSMF,或者图8和图9中的第二网络的控制面网元,用以完成相应功能。
示例性的,处理器1101用于实现通信装置的数据处理操作。例如S401、S601,和/或用于支持本文所描述的技术的其它过程。
示例性的,通信接口1102用于实现通信装置的收发操作。例如S401中PDU Session的建立所需的收发操作,例如接收UE发送的PDU Session建立请求和向UE发送IP地址,S501、S502、S504和S505,S601中PDU Session的建立所需的收发操作,S703、S704,S801中PDU Session的建立所需的收发操作,S901、S902,和/或用于支持本文所描述的技术的其它过程。
图11所示的通信装置可以为图4和图5中的hSMF,或者图6和图7中的vSMF,或者图8和图9中的第一网络的控制面网元,用以完成相应功能。
示例性的,处理器1101用于实现通信装置的数据处理操作。例如S401中PDUSession的建立,S503,S601中PDU Session的建立,S702,S801中PDU Session的建立,和/或用于支持本文所描述的技术的其它过程。
示例性的,通信接口1102用于实现通信装置的收发操作。例如S401中PDU Session的建立所需的收发操作,S502,S504,S505,S601中PDU Session的建立所需的收发操作,S701、S702、S703,S801中PDU Session的建立所需的收发操作,S901、S902,和/或用于支持本文所描述的技术的其它过程。
图11所示的通信装置可以为图4和图5中的hUPF,或者图6和图7中的vUPF,或者图8和图9中的第一网络的第一用户面网元,用以完成相应功能。
示例性的,处理器1101用于实现通信装置的数据处理操作。例如S401中PDUSession的建立,S402中封装数据报文#1,S601中PDU Session的建立,S602中封装数据报文#1,S801中通信连接的建立,S802中封装数据报文#1,和/或用于支持本文所描述的技术的其它过程。
示例性的,通信接口1102用于实现通信装置的收发操作。例如S401中PDU Session的建立所需的收发操作,S402,S503,S602,S802,S901,和/或用于支持本文所描述的技术的其它过程。
本申请实施例还提供一种通信系统,其包括前述的vIPUPS和vSMF中,或者检测网元和第二网络的控制面网元中的一个或多个。
本申请实施例还提供一种通信系统,其包括前述的hSMF和hUPF中,或者第一网络的控制面网元和第一网络的第一用户面网元中的一个或多个。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4-图5中的vIPUPS和图6-图7中的hIPUPS,或者图8和图9中的检测网元执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4-图5中的vSMF和图6-图7中的hSMF,或者图8和图9中的第二网络的控制面网元执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4-图5中的hSMF和图6-图7中的vSMF,或者图8和图9中的第一网络的控制面网元执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4-图5中的hUPF和图6-图7中的vUPF,或者图8和图9中的第一网络的第一用户面网元执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4-图5中的vIPUPS和图6-图7中的hIPUPS,或者图8和图9中的检测网元执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4-图5中的vSMF和图6-图7中的hSMF,或者图8和图9中的第二网络的控制面网元执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4-图5中的hSMF和图6-图7中的vSMF,或者图8和图9中的第一网络的控制面网元执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4-图5中的hUPF和图6-图7中的vUPF,或者图8和图9中的第一网络的第一用户面网元执行的各个步骤。
本申请还提供一种芯片,包括处理器。该处理器用于读取并运行存储器中存储的计算机程序,以执行本申请提供的用于数据报文处理的方法中由vIPUPS或hIPUPS或检测网元执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是该芯片上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。
本申请还提供一种芯片,包括处理器。该处理器用于读取并运行存储器中存储的计算机程序,以执行本申请提供的用于数据报文处理的方法中由vSMF或hSMF或第二网络的控制面网元执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是该芯片上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。
本申请还提供一种芯片,包括处理器。该处理器用于读取并运行存储器中存储的计算机程序,以执行本申请提供的用于数据报文处理的方法中由hSMF或vSMF或第一网络的控制面网元执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是该芯片上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。
本申请还提供一种芯片,包括处理器。该处理器用于读取并运行存储器中存储的计算机程序,以执行本申请提供的用于数据报文处理的方法中由hUPF或vUPF或第一网络的第一用户面网元执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是该芯片上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。
上述的芯片也可以替换为芯片系统,这里不再赘述。
本申请中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
另外,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系;本申请中术语“至少一个”,可以表示“一个”和“两个或两个以上”,例如,A、B和C中至少一个,可以表示:单独存在A,单独存在B,单独存在C、同时存在A和B,同时存在A和C,同时存在C和B,同时存在A和B和C,这七种情况。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (25)
1.一种数据报文处理的方法,其特征在于,包括:
获取第一信息,所述第一信息用于标识第一网络的用户面网元;
接收发往第二网络的第一通信连接的数据报文;其中,所述第一通信连接为所述用户面网元和所述第二网络之间的通信连接;
使用所述第一信息对所述数据报文的源地址信息进行检测;
根据检测结果对所述数据报文进行处理。
2.根据权利要求1所述的方法,其中,所述根据检测结果,对所述数据报文进行处理,包括:
若所述源地址信息与所述第一信息匹配成功,放行所述数据报文。
3.根据权利要求1所述的方法,其中,所述根据检测结果,对所述数据报文进行处理,包括:
若所述源地址信息与所述第一信息匹配失败,拦截所述数据报文。
4.根据权利要求1-3任一所述的方法,其中,所述源地址信息为源IP地址;
所述第一信息为所述用户面网元的IP地址或者IP地址范围。
5.根据权利要求1-3任一所述的方法,其中,所述源地址信息为源隧道端点标识;
所述第一信息为所述用户面网元的隧道端点标识。
6.根据权利要求1-3任一所述的方法,其中,所述方法还包括:
接收第二信息,所述第二信息来自所述第一网络,所述第二信息用于指示所述第一信息;
所述获取第一信息包括:
根据所述第二信息获取所述第一信息。
7.根据权利要求1-3任一所述的方法,其中,所述获取第一信息,包括:
接收所述第一信息,所述第一信息来自所述第一网络。
8.一种数据报文处理的方法,其特征在于,包括:
获取第一信息,所述第一信息用于标识第一网络的用户面网元;
发送所述第一信息,以使能检测网元使用所述第一信息对发往第二网络的第一通信连接的数据报文的源地址信息进行检测;其中,所述第一通信连接为所述用户面网元和所述第二网络之间的通信连接。
9.根据权利要求8所述的方法,其中,所述源地址信息为源IP地址;
所述第一信息为所述用户面网元的IP地址或者IP地址范围。
10.根据权利要求8所述的方法,其中,所述源地址信息为源隧道端点标识;
所述第一信息为所述用户面网元的隧道端点标识。
11.根据权利要求8-10任一所述的方法,其中,所述方法还包括:
接收第二信息,所述第二信息用于指示所述第一信息;
所述获取第一信息,包括:
根据所述第二信息获取所述第一信息。
12.根据权利要求8-10任一所述的方法,其中,所述获取第一信息包括:
接收所述第一信息。
13.根据权利要求12所述的方法,其中,所述方法还包括:
发送漫游指示;
所述接收所述第一信息,包括:
接收响应于所述漫游指示的所述第一信息。
14.根据权利要求8-10任一所述的方法,其中,所述方法还包括:
接收漫游指示;
所述发送所述第一信息包括:
响应于所述漫游指示,发送所述第一信息。
15.一种数据报文处理的方法,其特征在于,包括:
获取第二信息,所述第二信息用于指示第一信息,所述第一信息用于标识第一网络的用户面网元;
发送所述第二信息;其中,所述第一信息使能检测网元使用所述第一信息对发往第二网络的第一通信连接的数据报文的源地址信息进行检测;其中,所述第一通信连接为所述用户面网元和所述第二网络之间的通信连接。
16.根据权利要求15所述的方法,其中所述源地址信息为源IP地址;
所述第一信息为所述用户面网元的IP地址或者IP地址范围。
17.根据权利要求15所述的方法,其中,所述源地址信息为源隧道端点标识;
所述第一信息为所述用户面网元的隧道端点标识。
18.根据权利要求15-17任一所述的方法,其中,所述获取第二信息,包括:
接收所述第二信息。
19.根据权利要求18所述的方法,其中,所述方法还包括:
发送漫游指示;
所述接收所述第二信息包括:
接收响应于所述漫游指示的所述第二信息。
20.根据权利要求15-17任一所述的方法,其中,所述方法还包括:
接收漫游指示;
所述发送所述第二信息包括:
响应于所述漫游指示,发送所述第二信息。
21.一种通信装置,其特征在于,包括处理器;
所述处理器用于从存储器中读取并运行程序,以实现如权利要求1-7任一所述的方法。
22.一种通信装置,其特征在于,包括处理器;
所述处理器用于从存储器中读取并运行程序,以实现如权利要求8-14任一所述的方法。
23.一种通信装置,其特征在于,包括处理器;
所述处理器用于从存储器中读取并运行程序,以用于实现如权利要求15-20任一所述的方法。
24.一种通信系统,其特征在于,包括如权利要求21-23任一所述的通信装置。
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行如权利要求1-20任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010583058.9A CN113839909B (zh) | 2020-06-23 | 2020-06-23 | 数据报文处理的方法、装置和系统 |
| PCT/CN2021/099519 WO2021259076A1 (zh) | 2020-06-23 | 2021-06-10 | 数据报文处理的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010583058.9A CN113839909B (zh) | 2020-06-23 | 2020-06-23 | 数据报文处理的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113839909A true CN113839909A (zh) | 2021-12-24 |
| CN113839909B CN113839909B (zh) | 2023-05-05 |
Family
ID=78964376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010583058.9A Active CN113839909B (zh) | 2020-06-23 | 2020-06-23 | 数据报文处理的方法、装置和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113839909B (zh) |
| WO (1) | WO2021259076A1 (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190306251A1 (en) * | 2018-03-30 | 2019-10-03 | Peyman TALEBI FARD | Data Transmission over User Plane for Cellular IoT |
| CN110417840A (zh) * | 2018-04-28 | 2019-11-05 | 华为技术有限公司 | 一种信息处理方法及装置 |
| CN110876159A (zh) * | 2018-08-30 | 2020-03-10 | 华为技术有限公司 | 一种提高时延确定性的方法及装置 |
| CN111031080A (zh) * | 2018-10-09 | 2020-04-17 | 华为技术有限公司 | 报文传输方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567891B (zh) * | 2009-05-31 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 源地址验证方法、装置及系统 |
| WO2019017835A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| CN110167003B (zh) * | 2018-01-12 | 2023-10-20 | 华为技术有限公司 | 会话管理方法、设备及系统 |
| US10511669B2 (en) * | 2018-04-26 | 2019-12-17 | Verizon Patent And Licensing Inc. | Programmable user plane function |
-
2020
- 2020-06-23 CN CN202010583058.9A patent/CN113839909B/zh active Active
-
2021
- 2021-06-10 WO PCT/CN2021/099519 patent/WO2021259076A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190306251A1 (en) * | 2018-03-30 | 2019-10-03 | Peyman TALEBI FARD | Data Transmission over User Plane for Cellular IoT |
| CN110417840A (zh) * | 2018-04-28 | 2019-11-05 | 华为技术有限公司 | 一种信息处理方法及装置 |
| CN110876159A (zh) * | 2018-08-30 | 2020-03-10 | 华为技术有限公司 | 一种提高时延确定性的方法及装置 |
| CN111031080A (zh) * | 2018-10-09 | 2020-04-17 | 华为技术有限公司 | 报文传输方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| NOKIA: "Discussion paper on N9 firewall for inter-PLMN GTP-U filtering", 《3GPP》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113839909B (zh) | 2023-05-05 |
| WO2021259076A1 (zh) | 2021-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100750370B1 (ko) | 어드레스 획득 | |
| US9307442B2 (en) | Header size reduction of data packets | |
| US11233856B2 (en) | Selecting an address of a device | |
| EP1956755A1 (en) | Network controlled overhead reduction of data packets by route optimization procedure | |
| US8060088B2 (en) | Method, network element and communication system for optimized selection of an agent entity as well as modules of the network element | |
| US20160212778A1 (en) | Method and System for Data Flow Management of User Equipment in a Tunneling Packet Data Network | |
| EP2900004B1 (en) | Method and mobile telecommunications network including a SAVi platform | |
| CN110830356A (zh) | 传输报文的方法和装置 | |
| US20220046484A1 (en) | Method and Functions for Handling a UE's Access to a DN | |
| EP2197161B1 (en) | Method and apparatus for controlling multicast ip packets in access network | |
| CN110166978B (zh) | 通信方法、第一终端设备和第二终端设备 | |
| US20100299446A1 (en) | Method and apparatus for controlling service data flows transmitted in a tunnel | |
| EP2887742B1 (en) | Telecommunications networks | |
| KR20230050335A (ko) | 서비스 품질 흐름과의 전송 식별자의 연관 | |
| EP1947819A1 (en) | Header reduction of data packets by route optimization procedure | |
| EP2020783A1 (en) | Mobile communication control system | |
| CN109152096B (zh) | Eps架构的报文传输方法及计算机可读存储介质 | |
| CN113839909B (zh) | 数据报文处理的方法、装置和系统 | |
| US20100054217A1 (en) | Registration of multiple care-of-addresses | |
| JPWO2008155888A1 (ja) | プレフィックス情報確認装置及び通信装置 | |
| EP1051010A1 (en) | Mobile IP supporting quality of service for foreign network with foreign agent and plurality of mobile nodes | |
| CN110663261A (zh) | 通信设备及通信方法 | |
| JP5155899B2 (ja) | モバイルipネットワークにおける非ipネットワークを介した経路制御方法及びシステム | |
| WO2016019985A1 (en) | Method computer program product and apparatus for traffic flow differentiation | |
| CN115996482A (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |