CN116633585A - 报文处理方法、up设备及cp设备 - Google Patents

Abstract

本申请提供了一种报文处理方法、UP设备及CP设备，属于通信技术领域在CU分离的BNG进行接入认证的场景下避免CP设备受到攻击。该方法中，UP设备在接收到报文时，对报文中的信息与具有固定IP地址的用户的信息进行匹配，在匹配成功的情况下，UP设备将报文上送至CP设备。由于将检查报文是否来自于具有固定IP地址的用户的任务从CP设备下沉至UP设备，避免了CP设备检查这类报文带来的资源开销，减轻了CP设备的负载。尤其是，如果恶意IP报文流发起网络攻击，由于CP设备无需为恶意IP报文流执行检查是否来自于具有固定IP地址的用户的任务，因此降低了CP设备受到恶意IP报文流攻击的风险。

Description

报文处理方法、UP设备及CP设备

技术领域

本申请涉及通信技术领域，特别涉及一种报文处理方法、UP设备及CP设备。

背景技术

宽带网络网关(Broadband Network Gateway，BNG)是面向宽带网络的接入网关，当终端接入网络时，BNG负责进行认证和互联网协议(Internet Protocol，IP)地址分配，以便将终端接入至宽带网络。BNG的功能分为控制面和转发面。控制面用于提供接入管理、会话管理、认证、授权和计费(Authentication、Authorization、Accounting，AAA)、地址分配、业务策略控制等服务。转发面用于实现终转发处理，包括将接入协议报文上送控制面，将控制面发送给终端的控制报文转发给终端等等。

BNG可以采用控制面和用户面分离(Control Plane and User PlaneDisaggregated，CU分离)的架构。采用CU分离的架构时，BNG的控制面和转发面会分离来部署在不同的设备上。具体地，CU分离的BNG包括为控制平面(Control Plane，CP)设备和用户平面(User Plane，UP)设备。CP设备主要承担控制面功能，UP设备主要承担转发面功能。

在具有固定IP地址的用户接入的场景下，会在CP设备上预先配置和保存这类具有固定IP地址的用户的信息。当IP报文流触发接入时，UP设备会接收到报文，将报文上送至CP设备。CP设备接收到报文时，会将报文中的信息和预先保存的用户的信息进行匹配，如果匹配成功，则CP设备对报文进行认证处理。

CU分离的BNG采用以上方式进行接入认证时，CP设备被恶意IP报文流攻击的风险很大，影响了CP设备的网络安全。

发明内容

本申请实施例提供了一种报文处理方法、UP设备及CP设备，能够提高CP设备的网络安全。所述技术方案如下：

第一方面，提供了一种报文处理方法，应用于控制平面CP和用户平面UP分离的通信系统包括的UP设备，在该方法中，UP设备接收报文；UP设备对该报文包括的第一信息与第一类用户的信息进行匹配。其中第一类用户具有固定的互联网协议IP地址；若第一信息与第一类用户的信息满足第一匹配条件，UP设备向通信系统包括的CP设备发送该报文。

以上提供了一种CU分离的BNG进行接入认证的场景下避免CP设备受到攻击的方法，通过UP设备在接收到报文时，对报文中的信息与具有固定IP地址的用户的信息进行匹配，在匹配成功的情况下，UP设备将报文上送至CP设备。由于将检查报文是否来自于具有固定IP地址的用户的任务从CP设备下沉至UP设备，避免了CP设备检查这类报文带来的资源开销，减轻了CP设备的负载。尤其是，如果恶意IP报文流发起网络攻击，由于CP设备无需为恶意IP报文流执行检查是否来自于具有固定IP地址的用户的任务，因此降低了CP设备受到恶意IP报文流攻击的风险，提高了CP设备的网络安全。

可选地，该第一类用户包括静态用户。

通过这种可选方式，在静态用户接入的场景下，UP设备通过在接收到报文时，对报文中的信息与静态用户的信息进行匹配，在匹配成功的情况下，UP设备将报文上送至CP设备。由于将检查报文是否来自于静态用户的任务从CP设备下沉至UP设备，避免了CP设备检查这类报文带来的资源开销，减轻了CP设备的负载。尤其是，如果恶意IP报文流发起网络攻击，由于CP设备无需为恶意IP报文流执行检查是否来自于静态用户的任务，因此降低了CP设备受到恶意IP报文流攻击的风险，提高了CP设备的网络安全。

可选地，该第一类用户包括异常下线用户。

通过这种可选方式，在异常下线用户接入的场景下，UP设备通过在接收到报文时，对报文中的信息与异常下线用户的信息进行匹配，在匹配成功的情况下，UP设备将报文上送至CP设备。由于将检查报文是否来自于异常下线用户的任务从CP设备下沉至UP设备，避免了CP设备检查这类报文带来的资源开销，减轻了CP设备的负载。尤其是，如果恶意IP报文流发起网络攻击，由于CP设备无需为恶意IP报文流执行检查是否来自于异常下线用户的任务，因此降低了CP设备受到恶意IP报文流攻击的风险，提高了CP设备的网络安全。

可选地，该UP设备对该报文包括的第一信息与第一类用户的信息进行匹配之前，该方法还包括：该UP设备对该报文包括的第二信息与第二类用户的信息进行匹配，该第二类用户已通过认证；该UP设备确定该第二信息与该第二类用户的信息不满足第二匹配条件。

可选地，该若该第一信息与该第一类用户的信息满足第一匹配条件，该UP设备向该通信系统包括的CP设备发送该报文，包括：若该第一信息与包检测信息PDI中的该第一类用户的信息满足第一匹配条件，该UP设备按照该PDI对应的包动作PA，向该通信系统包括的CP设备发送该报文，该PA用于指示重定向至该CP设备。

通过这种可选方式，CP通过复用PFCP中处理PFCP会话的机制，将第一类用户的信息作为PDI中的匹配域，将重定向的动作作为命中PDI时执行的PA，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，便于沿用PFCP中的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

可选地，该UP设备接收报文之前，该方法还包括：该UP设备从该CP设备接收第一策略，该第一策略用于指示在该报文包括的第一信息与该第一类用户的信息满足该第一匹配条件的情况下将该报文重定向至该CP设备。

可选地，该UP设备从该CP设备接收第一策略，包括：UP设备从该CP设备接收第一包转发控制协议PFCP消息，该第一PFCP消息携带的包检测规则PDR为该第一策略，该第一PFCP消息为PFCP会话建立请求。

通过这种可选方式，CP通过复用了PFCP会话建立请求这种PFCP会话消息，并复用了PFCP中通过PFCP会话下发PDR的机制，以将具有固定IP地址的用户的信息以及重定向的动作下发给UP，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，便于沿用PFCP中的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

可选地，该UP设备从该CP设备接收第一策略，包括：该UP设备从该CP设备接收第一包转发控制协议PFCP消息，该第一PFCP消息携带的包检测规则PDR为该第一策略，该第一PFCP消息为包括第一消息类型的PFCP会话消息，该第一消息类型用于指示为该第一类用户创建PFCP会话。

通过这种可选方式，通过扩展了一种新消息类型的PCFP消息，CP使用新消息类型的PCFP消息向UP下发具有固定IP地址的用户的信息以及重定向的动作，使得认证通过后，CP为具有固定IP地址的用户以及其他用户可以统一使用PFCP会话建立请求来下发会话，因此降低了CP对正常终端接入处理的复杂性。

可选地，该第一PFCP消息包括接口索引，该接口索引用于标识该UP设备上的接入接口，该接入接口为该第一类用户的终端接入的接口。

通过这种可选方式，CP通过将具有固定IP地址的用户的接入接口以接口索引的形式通知给UP，使得UP能够利用终端接入的接口与CP预先下发的接口索引是否匹配来进行接入认证，由于终端接入的接口代表着终端的位置，使得接入认证的过程考虑了位置的因素，因此有助于提高认证的安全性。

可选地，该接口索引携带在具有第一信息元素IE类型的IE中，该第一IE类型用于标识IE包括该接口索引。

通过这种可选方式，通过扩展了一种新类型的IE来携带接口索引，从而复用PFCP消息中IE的格式向UP下发接口索引，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，降低方案实施的复杂度和配置的复杂度。

可选地，该UP设备向该通信系统包括的CP设备发送该报文，包括：该UP设备向该报文添加通用无线分组业务隧道协议用户面部分GTP-U头，发送添加有该GTP-U头的该报文；或者，该UP设备向该报文添加虚拟扩展局域网Vxlan头，发送添加有该Vxlan头的该报文。

通过这种可选方式，UP通过使用GTP-U隧道或Vxlan隧道承载需要重定向至CP的报文，隧道头的开销较小，扩展性较好。尤其是，在使用Vxlan-GPE隧道承载需要重定向至CP的报文时，Vxlan头和CU扩展头的开销仅需14字节，报文封装格式简洁，减小了CU之间传输报文占用的带宽以及性能开销。

可选地，该UP设备接收报文之前，该方法还包括：该UP设备从该CP设备接收重定向参数，该重定向参数包括GTP-U隧道信息或Vxlan隧道信息中的至少一项。

通过这种可选方式，CP通过将重定向参数下发给UP，使得UP能够依据CP下发的重定向参数封装隧道头以将报文重定向至CP，从而避免人工配置重定向参数的繁琐操作，降低方案实施的复杂度和配置的复杂度。

可选地，该重定向参数携带在具有第二IE类型的IE中，该第二IE类型用于标识IE包括该重定向参数。

通过扩展了一种新类型的IE来携带重定向参数，从而复用PFCP消息中IE的格式向UP下发重定向参数，降低方案实施的复杂度和配置的复杂度。

可选地，该Vxlan隧道信息携带在具有第三IE类型的IE中，该第三IE类型用于标识IE包括该Vxlan隧道信息。

通过扩展了一种新类型的IE来携带Vxlan隧道信息，从而复用PFCP消息中IE的格式向UP下发Vxlan隧道信息，降低方案实施的复杂度和配置的复杂度。

可选地，该UP设备向该通信系统包括的CP设备发送该报文之后，该方法还包括：该UP设备从该CP设备接收删除请求；该UP设备响应于该删除请求，删除该第一类用户的信息。

可选地，该删除请求为第二PFCP消息；在静态用户的配置被删除或者异常下线用户租期超时等场景下，CP通过指示UP清除具有固定IP地址的用户信息，从而在用户信息无效时及时释放用户信息在UP上占用的存储空间。

可选地，该第二PFCP消息为PFCP会话删除请求。

CP通过复用了PFCP会话删除请求这种PFCP会话消息，并复用了PFCP中删除PFCP会话的机制，以清除UP上的具有固定IP地址的用户的信息，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，便于沿用PFCP中的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

可选地，该第二PFCP消息包括第二消息类型的PFCP会话消息，该第二消息类型用于指示删除该第一类用户的PFCP会话。

通过扩展了一种新消息类型的PCFP消息，CP使用新消息类型的PCFP消息指示UP删除用户信息，降低了CP对正常终端接入处理的复杂性。

可选地，该UP设备对该报文包括的第一信息与第一类用户的信息进行匹配之后，该方法还包括：若该第一信息与该第一类用户的信息不满足该第一匹配条件，该UP设备丢弃该报文。

UP通过在报文中的信息与具有固定IP地址的用户的信息匹配失败的情况下丢弃报文，使得匹配失败的报文不会传输至CP，从而避免CP对这类报文进行接入处理造成的性能开销以及处理资源浪费。尤其是，在报文是用于进行网络攻击的恶意报文的情况下，由于恶意报文与第具有固定IP地址的用户的信息不匹配，UP会丢弃恶意报文，使得恶意报文的传输在UP处被阻断，而不会经过UP到达CP，因此避免CP对恶意报文执行接入处理的动作，从而降低了CP受到网络攻击的风险。

第二方面，提供了一种报文处理方法，应用于控制平面CP和用户平面UP分离的通信系统包括的CP设备，在该方法中，该CP设备向该通信系统包括的用户平面UP设备发送第一策略，该第一策略用于指示在报文包括的第一信息与第一类用户的信息满足第一匹配条件的情况下将该报文重定向至该CP设备，该第一类用户具有固定的互联网协议IP地址；该CP设备从该UP设备接收该报文；该CP设备根据该报文进行接入处理。

可选地，该第一类用户包括静态用户或异常下线用户中的至少一项，该静态用户是指具有固定的IP地址的用户，该异常下线用户是指在该通信系统分配的IP地址的租期内由于该通信系统出现故障而异常下线的用户。

可选地，该发送第一策略，包括：发送第一包转发控制协议PFCP消息，该第一PFCP消息携带有该第一策略；

其中，该第一PFCP消息为PFCP会话建立请求；或者，该第一PFCP消息为包括第一消息类型的PFCP会话消息，该第一消息类型用于指示为该第一类用户创建PFCP会话。

可选地，该报文添加有通用无线分组业务隧道协议用户面部分GTP-U头或虚拟扩展局域网Vxlan头，该CP设备从该UP设备接收该报文之前，该方法还包括：

该CP设备向该UP设备发送重定向参数，该重定向参数包括GTP-U隧道信息或Vxlan隧道信息中的至少一项。

可选地，该CP设备根据该报文进行接入处理之后，该方法包括：该CP设备检测到该第一类用户的配置信息被删除或该第一类用户的租期超时；该CP设备向该UP设备发送删除请求，该删除请求用于指示删除该第一类用户的信息。

可选地，该删除请求为第二PFCP消息；该第二PFCP消息为PFCP会话删除请求；或者，该第二PFCP消息包括第二消息类型的PFCP会话消息，该第二消息类型用于指示删除该第一类用户的PFCP会话。

可选地，该第一PFCP消息包括接口索引，该接口索引用于标识该UP设备上的接入接口，该接入接口为该第一类静态用户的终端接入的接口或该异常下线用户的终端接入的接口。

可选地，该接口索引携带在具有第一信息元素IE类型的分组IE中，该第一IE类型用于标识IE包括该接口索引。

可选地，该重定向参数携带在具有第二IE类型的分组IE中，该第二IE类型用于标识IE包括该重定向参数。

可选地，该Vxlan隧道信息携带在具有第三IE类型的嵌入式IE中，该第三IE类型用于标识IE包括该Vxlan隧道信息。

第三方面，提供了一种UP设备，该UP设备位于UP和CP分离的通信系统中，该UP设备包括：

接收模块，用于接收报文；

匹配模块，用于对该报文包括的第一信息与第一类用户的信息进行匹配，该第一类用户具有固定的互联网协议IP地址；

发送模块，用于若该第一信息与该第一类用户的信息满足第一匹配条件，向控制平面CP设备发送该报文。

可选地，该第一类用户包括静态用户或异常下线用户中的至少一项。

可选地，该匹配模块，还用于对该报文包括的第二信息与第二类用户的信息进行匹配，该第二类用户已通过认证；

该UP设备还包括：确定模块，用于确定该第二信息与该第二类用户的信息不满足第二匹配条件。

可选地，该发送模块，用于若该第一信息与包检测信息PDI中的该第一类用户的信息满足第一匹配条件，按照该PDI对应的包动作PA，向该CP设备发送该报文，该PA用于指示重定向至该CP设备。

可选地，该接收模块，还用于从该CP设备接收第一策略，该第一策略用于指示在该报文包括的第一信息与该第一类用户的信息满足该第一匹配条件的情况下将该报文重定向至该CP设备。

可选地，该接收模块，用于从该CP设备接收第一包转发控制协议PFCP消息，该第一PFCP消息携带的包检测规则PDR为该第一策略；其中，该第一PFCP消息为PFCP会话建立请求；或者，该第一PFCP消息为包括第一消息类型的PFCP会话消息，该第一消息类型用于指示为该第一类用户创建PFCP会话。

可选地，该第一PFCP消息包括接口索引，该接口索引用于标识该UP设备上的接入接口，该接入接口为该第一类用户的终端接入的接口。

可选地，该接口索引携带在具有第一信息元素IE类型的IE中，该第一IE类型用于标识IE包括该接口索引。

可选地，该发送模块，用于向该报文添加通用无线分组业务隧道协议用户面部分GTP-U头，发送添加有该GTP-U头的该报文；或者，向该报文添加虚拟扩展局域网Vxlan头，发送添加有该Vxlan头的该报文。

可选地，该接收模块，还用于从该CP设备接收重定向参数，该重定向参数包括GTP-U隧道信息或Vxlan隧道信息中的至少一项。

可选地，该重定向参数携带在具有第二IE类型的IE中，该第二IE类型用于标识IE包括该重定向参数。

可选地，该Vxlan隧道信息携带在具有第三IE类型的IE中，该第三IE类型用于标识IE包括该Vxlan隧道信息。

可选地，该接收模块，还用于从该CP设备接收删除请求；该UP设备还包括：删除模块，用于响应于该删除请求，删除该第一类用户的信息。

可选地，该删除请求为第二PFCP消息；

该第二PFCP消息为PFCP会话删除请求，或者，该第二PFCP消息包括第二消息类型的PFCP会话消息，该第二消息类型用于指示删除该第一类用户的PFCP会话。

可选地，该UP设备还包括：丢弃模块，用于若该第一信息与该第一类用户的信息不满足该第一匹配条件，丢弃该报文。

第四方面，提供了一种CP设备，所述CP设备位于CP和UP分离的通信系统中，该CP设备包括：

发送模块，用于向用户平面UP设备发送第一策略，该第一策略用于指示在报文包括的第一信息与第一类用户的信息满足第一匹配条件的情况下将该报文重定向至该CP设备，该第一类用户具有固定的互联网协议IP地址；

接收模块，用于从该UP设备接收该报文；

处理模块，用于根据该报文进行接入处理。

可选地，该第一类用户包括静态用户或异常下线用户中的至少一项，该静态用户是指具有固定的IP地址的用户，该异常下线用户是指在该通信系统分配的IP地址的租期内由于该通信系统出现故障而异常下线的用户。

可选地，该发送模块，用于发送第一包转发控制协议PFCP消息，该第一PFCP消息携带有该第一策略；其中，该第一PFCP消息为PFCP会话建立请求；或者，该第一PFCP消息为包括第一消息类型的PFCP会话消息，该第一消息类型用于指示为该第一类用户创建PFCP会话。

可选地，该报文添加有通用无线分组业务隧道协议用户面部分GTP-U头或虚拟扩展局域网Vxlan头，该发送模块，还用于向该UP设备发送重定向参数，该重定向参数包括GTP-U隧道信息或Vxlan隧道信息中的至少一项。

可选地，该CP设备包括：检测模块，用于检测到该第一类用户的配置信息被删除或该第一类用户的租期超时；

该发送模块，还用于向该UP设备发送删除请求，该删除请求用于指示删除该第一类用户的信息。

可选地，该删除请求为第二PFCP消息；

该第二PFCP消息为PFCP会话删除请求；或者，

该第二PFCP消息包括第二消息类型的PFCP会话消息，该第二消息类型用于指示删除该第一类用户的PFCP会话。

可选地，该第一PFCP消息包括接口索引，该接口索引用于标识该UP设备上的接入接口，该接入接口为该第一类静态用户的终端接入的接口或该异常下线用户的终端接入的接口。

可选地，该接口索引携带在具有第一信息元素IE类型的分组IE中，该第一IE类型用于标识IE包括该接口索引。

可选地，该重定向参数携带在具有第二IE类型的分组IE中，该第二IE类型用于标识IE包括该重定向参数。

可选地，该Vxlan隧道信息携带在具有第三IE类型的嵌入式IE中，该第三IE类型用于标识IE包括该Vxlan隧道信息。

第五方面，提供了一种UP设备，该UP设备包括处理器和通信接口，该处理器用于执行指令，使得该UP设备执行上述第一方面或第一方面任一种可选方式所提供的报文处理方法，该通信接口用于接收或发送报文。第五方面提供的UP设备的具体细节可参见上述第一方面或第一方面任一种可选方式，此处不再赘述。

第六方面，提供了一种CP设备，该CP设备包括处理器和通信接口，该处理器用于执行指令，使得该CP设备执行上述第二方面或第二方面任一种可选方式所提供的报文处理方法，该通信接口用于接收或发送报文。第六方面提供的CP设备的具体细节可参见上述第二方面或第二方面任一种可选方式，此处不再赘述。

第七方面，提供了一种计算机可读存储介质，该存储介质中存储有至少一条指令，该指令由处理器读取以使UP设备执行上述第一方面或第一方面任一种可选方式所提供的报文处理方法。

第八方面，提供了一种计算机可读存储介质，该存储介质中存储有至少一条指令，该指令由处理器读取以使CP设备执行上述第二方面或第二方面任一种可选方式所提供的报文处理方法。

第九方面，提供了一种计算机程序，该计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。UP设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该UP设备执行上述第一方面或第一方面任一种可选方式所提供的报文处理方法。

第十方面，提供了一种计算机程序，该计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。CP设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该CP设备执行上述第二方面或第二方面任一种可选方式所提供的报文处理方法。

第十一方面，提供了一种芯片，当该芯片在UP设备上运行时，使得UP设备执行上述第一方面或第一方面任一种可选方式所提供的报文处理方法。

第十二方面，提供了一种芯片，当该芯片在CP设备上运行时，使得CP设备执行上述第二方面或第二方面任一种可选方式所提供的报文处理方法。

第十三方面，提供了一种通信系统，该通信系统包括UP设备以及CP设备，该UP设备为上述第三方面、第三方面任一种可选方式或第五方面所提供的UP设备，该CP设备为上述第四方面、第四方面任一种可选方式或第六方面所提供的CP设备。

第十四方面，本申请提供了一种UP设备，该UP设备包括：主控板和接口板。可选地，还包括交换网板。主控板包括：第一处理器和第一存储器。接口板包括：第二处理器、第二存储器和接口卡。主控板和接口板耦合。

第一存储器可以用于存储程序代码，第一处理器用于调用第一存储器中的程序代码执行如下操作：对该报文包括的第一信息与第一类用户的信息进行匹配，该第一类用户具有固定的IP地址。

第二存储器可以用于存储程序代码，第二处理器用于调用第二存储器中的程序代码，触发接口卡执行如下操作：接收报文。若该第一信息与该第一类用户的信息满足第一匹配条件，向CP设备发送该报文。

在一种可能的实现方式中，主控板和接口板之间建立进程间通信协议(inter-process communication，IPC)通道，主控板和接口板之间通过IPC通道进行通信。

附图说明

图1是本申请实施例提供的一种BNG在网络中的位置的示意图；

图2是本申请实施例提供的一种BNG处理的协议栈的示意图；

图3是本申请实施例提供的一种包含BNG的系统架构图；

图4是本申请实施例提供的一种BNG接入AN设备的示意图；

图5是本申请实施例提供的一种BNG中功能模块的架构图；

图6是本申请实施例提供的一种CU分离的BNG中功能模块的架构图；

图7是本申请实施例提供的一种CU分离的BNG中功能模块的架构图；

图8是本申请实施例提供的一种控制报文重定向接口的示意图；

图9是本申请实施例提供的一种状态控制接口的示意图；

图10是本申请实施例提供的一种静态用户接入的场景示意图；

图11是本申请实施例提供的一种静态用户接入BNG的方法100的流程图；

图12是本申请实施例提供的一种IPoE异常下线用户接入的场景示意图；

图13是本申请实施例提供的一种IPoE终端通过DHCP协议接入和续租的流程图；

图14是本申请实施例提供的一种IPoE异常下线终端接入BNG的方法200的流程图；

图15是本申请实施例提供的一种PFCP在协议栈的位置的示意图；

图16是本申请实施例提供的一种CPF和UPF之间建立多个PFCP联盟的示意图；

图17是本申请实施例提供的一种PFCP联盟与PFCP会话的示意图；

图18是本申请实施例提供的一种UPF处理报文的流程的示意图；

图19是本申请实施例提供的一种PFCP会话的示意图；

图20是本申请实施例提供的一种PDR的示意图；

图21是本申请实施例提供的一种UPF基于PFCP进行会话处理的示意图；

图22是本申请实施例提供的一种网络系统300的架构图；

图23是本申请实施例提供的一种UPF和CPF的功能模块的架构图；

图24是本申请实施例提供的一种报文处理方法400的流程图；

图25是本申请实施例提供的一种报文处理方法500的流程图；

图26是本申请实施例提供的一种报文处理方法600的流程图；

图27是本申请实施例提供的一种报文处理方法700的流程图；

图28是本申请实施例提供的一种UP设备800的结构示意图；

图29是本申请实施例提供的一种CP设备810的结构示意图；

图30是本申请实施例提供的一种设备900的结构示意图；

图31是本申请实施例提供的一种设备1000的结构示意图；

图32是本申请实施例提供的一种通信系统1100的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

本申请实施例中术语“CU分离的BNG”泛指控制面和转发面位于不同设备上的BNG。可选地，控制面所在设备与转发面所在设备分布在不同的地点。控制面所在设备与转发面所在设备之间的数量关系例如是一一对应的关系或者是一对多的关系，即，一个控制面所在设备可以用于控制一个转发面所在设备，也可以同时控制多个转发面所在设备。

本申请实施例中“CU分离”可以具有不同的名称。例如，不同标准、同一标准的不同版本、不同厂商、不同应用场景对“CU分离”可以具有不同的称呼。例如，术语CU分离”有时也可以被称为“控制和转发分离”、“转控分离”、“控制面和用户面分离”、“控制和用户分离”等。

本申请实施例中“CU分离的BNG”可以具有不同的名称。例如，不同标准、同一标准的不同版本、不同厂商、不同应用场景对“CU分离的BNG”可以具有不同的称呼。例如，术语“CU分离的BNG”有时也可以被称为“分离的BNG系统(Disaggregated BNG，DBNG)”，相应地，CU分离的BNG中的CP设备可以被称为DBNG-CP，CU分离的BNG中的UP设备可以被称为DBNG-UP。又如，术语“CU分离的BNG”有时也可以被称为“虚拟宽带网络网关(Virtual BNG，vBNG)控制面和用户面分离的系统(Control Plane and User Plane Disaggregated System，CU系统)”，即“vBNG CU系统”，相应地，CU分离的BNG中的CP设备可以被称为vBNG-CP，CU分离的BNG中的UP设备可以被称为vBNG-UP。又如，术语“CU分离的BNG”有时也可以被称为“虚拟宽带远程接入服务器(virtual Broadband Remote Access Server，vBRAS)CU系统”，即“vBRAS CU系统”，相应地，CU分离的BNG中的CP设备可以被称为vBRAS-CP，CU分离的BNG中的UP设备可以被称为vBRAS-UP。本文中“DBNG”、“vBNG CU系统”和“vBRAS CU系统”可互换使用。

本申请实施例中“CP”可以具有不同的名称。例如，不同标准、同一标准的不同版本、不同厂商、不同应用场景对“CP”可以具有不同的称呼。例如，术语“CP”有时也可以被称为“CP功能(CP Function，CPF)”或“CP面”。本文中“CP”、“CPF”和“CP面”可互换使用。术语“CP设备”是指实现了CP功能的任意设备。

本申请实施例中“UP”可以具有不同的名称。例如，不同标准、同一标准的不同版本、不同厂商、不同应用场景对“UP”可以具有不同的称呼。例如，术语“UP”有时也可以被称为“UP功能(UP Function，UPF)”或“UP面”。本文中“UP”、“UPF”和“UP面”可互换使用。术语“UP设备”是指实现了UP功能的任意设备。

下面对BNG进行介绍。

BNG用于承担将用户设备接入宽带网络的功能，是网络中的关键设备。参见附图1，附图1是对BNG在网络中的位置的举例说明，附图1中的BB网关Network Gateway是对BNG的举例说明。

BNG处理的协议栈包括而不限于以太网承载IP协议(Internet Protocol OverEthernet，IPoE)、以太网承载点到点协议(Point-to-Point Protocol over Ethernet，PPPoE)、802.1ad协议、以太网协议和一些802.3物理层(some 802.3Phy)协议。例如，参见附图2，附图2是对BNG处理的接入侧协议栈的举例说明。其中，附图2中的a、b、c表示三种并列的形式。换句话说，BNG可以采用a、b、c中任一项所示的协议栈对应的形式封装报文。

BNG主要负责认证以及互联网协议(Internet Protocol，IP)地址分配。认证过程基于远程用户拨号认证服务(Remote Authentication Dial In User Service，Radius)实现。具体地，BNG作为Radius客户端(Radius client)，会和Radius服务器(Radius Server)交互完成终端的认证。例如，参见附图3，附图3中的宽带远程接入服务器(BroadbandRemote Access Server，BARS)是对BNG的举例说明。BARS的功能与BNG的功能基本相同。附图3中互联网协议第四版(Internet Protocol version 4，IPv4)用户1的终端、IPv4用户2的终端和IPv4用户3的终端与数字用户线路接入复用器(Digital Subscriber LineAccess Multiplexer，DSLAM)或者光线路终端(optical line terminal，OLT)网络连接。DSLAM/OLT与BARS连接。BARS与NGN服务器、Radius服务器、动态主机配置协议(DynamicHost Configuration Protocol，DHCP)服务器和交互式网络电视(IPTV)服务器网络连接。BARS用于为IPv4用户1的终端、IPv4用户2的终端和IPv4用户3的终端分别分配IP地址，并对IPv4用户1的终端、IPv4用户2的终端和IPv4用户3的终端分别进行认证。

BNG包括多个物理端口，不同的物理端口可以接入不同的接入节点(access node，AN)设备。其中，AN设备接入BNG的方式包括而不限于AN设备与BNG直连、AN设备通过汇聚设备与BNG连接等方式。例如，参见附图4，附图4是对BNG提供多个物理端口来接入不同的AN设备的举例说明。其中，一个终端会被标识上唯一的虚拟局域网(Virtual LAN，VLAN)标签(VLAN Tag)，终端从BNG的固定物理端口接入。终端接入BNG的物理端口信息、VLAN标签就相当于终端的位置。

参见附图5，附图5是对BNG内部的功能模块的举例说明。附图5中上方的虚框是BNG的控制面。BNG的控制面提供接入管理、会话管理、认证、授权、计费(Authentication、Authorization、Accounting，AAA)、地址分配、业务策略控制等功能。附图5中下方的虚框是BNG的转发面。BNG的转发面用于实现终端的转发处理，包括：将接入协议报文上送控制面，将控制面发送给终端的控制报文转发给终端，将终端上行数据报文做绑定检查(认证通过后，在转发面会生成对应的绑定表)并进行IP转发，服务质量(Quality of Service，QoS)处理、统计等。

在2019年，宽带论坛(Boardband Forum，BBF)开展了虚拟宽带网关控制设备(Virtual Broadband Network Gateway，vBNG)CU系统的架构、协议相关的定义工作。参见附图6，附图6示出了BBF TR-384中定义的CU分离架构的BNG。在CU分离架构的BNG中，将控制面(CPF)从物理BNG中解构出来，部署到数据中心，物理BNG保留转发面功能仍旧部署在原来的位置上。可选地，CU分离的BNG包括多个UPF，例如，附图6所示的CU分离的BNG包括UPF1、UPF2和UPF3这三个UPF。可选地，CU分离架构的BNG中的多个UPF分布在不同的地点。可选地，在CU分离架构的BNG中的多个UPF基于分布式架构协同分担转发任务。

参见附图7，附图7示出了BBF TR-459中定义的vBNG CU系统中控制平面(ControlPlane，简称CP，也称控制面)和用户平面(User Plane，简称UP，也称转发面或用户面)之间的三种接口。CPF与UPF之间的三种接口包括管理接口(Management interface，Mi)、控制报文重定向接口(Control Packet Redirection interface，CPRi)、状态控制接口(StateControl interface，SCi)。

管理接口采用基于XML的网络配置协议(Netconf)/yang(一种数据建模语言)协议通信。

控制报文重定向接口用于完成协议报文在客户前置设备(Customer PremiseEquipment，CPE)和CPF之间的转发。控制报文重定向接口采用GPRS隧道协议用户面部分(GPRS tunneling protocol(GTP)user plane，GTP-u)隧道。参见附图8，附图8是对控制报文重定向接口的功能的举例说明。

状态控制接口采用3GPP TS 29.244中定义的包转发控制协议(PacketForwarding Control Protocol，PFCP)通信。状态控制接口主要实现UPF上报节点信息上报给CPF、CPF完成终端接入后，将转发控制行为下发给UPF执行、UPF完成统计，上报给CPF的功能。参见附图9，附图9是状态控制接口的功能的举例说明。

以上对CU分离的BNG进行了介绍，本申请实施例提供的报文处理方法能够应用在CU分离的BNG对静态用户或异常下线用户进行接入认证的场景。下面通过场景A和场景B，对这两种场景举例说明。

场景A、静态用户接入的场景。

静态用户是具有固定IP地址的用户。静态用户也称专线用户。固定IP地址也称静态IP地址。具体地，BNG上会预先配置静态用户的IP地址。当静态用户的IPoE终端要接入网络时，IPoE终端会通过预先配置的IP地址，向BNG发送地址解析协议(Address ResolutionProtocol，ARP)报文、IPv4数据报文、邻居发现(Neighbor Discovery，ND)报文或互联网协议第六版(Internet Protocol version 6，IPv6)数据报文，BNG接收到报文后，会基于报文中的源IP地址对终端进行认证接入。

例如，参见附图10，附图10示出了静态用户接入的场景。BNG上预先配置了四个静态用户的表项，每个表项保存了一个静态用户的IP地址和静态用户接入的位置信息。其中，位置信息通过IPoE终端在BNG上接入的插槽(slot)ID、卡(card)ID和端口(也称光口或物理口，port)ID表示。静态用户的表项的内容通过“IP地址/接口类型/slot/card/port”的格式表示。例如，附图10所示的四个表项分别包含125.1.3.2g1/0/0、2012:1234::01g1/0/0、123.1.1.2g2/0/0和2003::01g2/0/0。在125.1.3.2g1/0/0这个字符串中，125.1.3.2表示静态用户1的IPv4地址是125.1.3.2，g表示静态用户1接入的接口类型是千兆以太网(GigaEthernet，GE)，1/0/0表示静态用户1接入的slot ID是1、card ID是0，port ID是0。在2012:1234::01g1/0/0这个字符串中，2012:1234::01表示静态用户1的IPv6地址是125.1.3.2，g表示静态用户1接入的接口类型是GE，1/0/0表示静态用户1接入的slot ID是1、card ID是0，port ID是0。123.1.1.2g2/0/0和2003::01g2/0/0的含义与此同理。附图5中的视频点播服务器和企业网关均是对静态用户的IPoE终端的举例说明。其中，视频点播服务器拥有固定的IP地址125.1.3.2/30和2012:1234::1。视频点播服务器可通过125.1.3.2/30和2012:1234::1中的任一个IP地址触发接入。企业网关拥有固定的IP地址123.1.1.2/30和2003::01。企业网关可通过123.1.1.2/30和2003::01中的任一个IP地址触发接入。

参见附图11，附图11示出了静态用户接入BNG的方法100的流程图。由于静态用户的IPoE终端接入时没有认证协议交互部分，所以通常采用以下S101至S150进行接入认证。

S101、静态用户的IPoE终端发送ARP报文、IPv4数据报文、ND报文或IPv6数据报文。

S110、BNG从入接口接收ARP报文、IPv4数据报文、ND报文或IPv6数据报文，提取报文中的源IP地址。BNG根据源IP地址判断是否已经认证通过。如果没有认证通过，执行以下S120。如果已经认证通过，执行以下S150。

S120、BNG根据报文与本地的静态用户列表匹配。若匹配成功，执行以下S130，再进入认证。若匹配失败，执行以下S140。

S130、BNG进行接入处理。具体地，静态用户的认证采用绑定认证，也就是用终端接入的位置信息(BNG会用IP+Port+VLAN标签来标识终端的位置)，BNG将位置信息填充到Radius认证请求报文中，后台的Radius服务器识别出位置信息进行认证和授权。

S140、BNG丢弃ARP报文、IPv4数据报文、ND报文或IPv6数据报文。

S150、BNG对IPv4数据报文或IPv6数据报文进行转发，或，BNG基于协议对ARP报文或ND报文进行处理。

从以上流程可以看出，如果假冒的攻击流进入BNG，BNG需要进行静态用户列表匹配。

场景B、IPoE异常下线用户接入的场景。

异常下线用户(终端)是指IPoE动态获取IP地址的用户，因BNG的链路故障或硬件故障，BNG会中断受影响的IPoE用户的服务，而此时用户并不感知上述故障，在IP地址租期内继续持有IP地址。

场景B也称长租期用户快速恢复上线的场景。例如，参见附图12，附图12示出了IPoE异常下线用户接入的场景。附图12中的IPTV的机顶盒是对IPoE终端的举例说明。具体地，IPTV的机顶盒通过IPoE方式(即基于DHCP协议的方式)接入BNG。由于DHCP协议没有认证过程，因此这类终端也是采用绑定认证的方式接入，具体流程与场景A的静态用户接入流程相同。当BNG检查不到终端或者发生接口故障时，BNG会记录在线IPoE终端异常下线列表。当故障恢复后，BNG会接收IPoE终端的IP流，并匹配IPoE终端异常下线列表，启动快速恢复过程，避免IPoE终端要等待租期超时才能接入造成的时延。

参见附图13，附图13示出了IPoE终端通过DHCP协议接入和续租的流程图。IPoE终端通过DHCP协议获得IP地址和租期。其中，租期默认为三天，租期在部署可以配置地更小，比如，租期可以为2个小时。终端通过DHCP续租确定自己可以继续持有IP地址。其中，DHCP续租的流程可以在租用时间达到1/2租期时触发。

参见附图14，附图14示出了IPoE异常下线终端接入BNG方法200的流程图。方法200包括以下S201至S250。IPoE异常终端接入过程和静态用户接入过程相同，区别在于查的表不同。具体地，以上S220中查的表是静态用户列表，以下S220查的表是异IPoE异常下线终端列表。

S201、IPoE异常下线终端的IPoE终端发送ARP报文、IPv4数据报文、ND报文或IPv6数据报文。

S210、BNG从入接口接收ARP报文、IPv4数据报文、ND报文或IPv6数据报文，提取报文中的源IP地址。BNG根据源IP地址判断是否已经认证通过。如果没有认证通过，执行以下S220。如果已经认证通过，执行以下S250。

S220、BNG根据报文与本地的IPoE异常下线终端列表匹配。若匹配成功，执行以下S230，再进入认证。若匹配失败，执行以下S240。

S230、BNG进行接入处理。具体地，IPoE异常下线终端的认证采用绑定认证，也就是用终端接入的位置信息(BNG会用IP+Port+VLAN标签来标识终端的位置)，BNG将位置信息填充到Radius认证请求报文中，后台的Radius服务器识别出位置信息进行认证和授权。

S240、BNG丢弃ARP报文、IPv4数据报文、ND报文或IPv6数据报文。

S250、BNG对IPv4数据报文或IPv6数据报文进行转发，或，BNG基于协议对ARP报文或ND报文进行处理。

由于本申请实施例涉及PFCP的应用，为了便于理解，下面先对本申请实施例涉及的PFCP中的术语相关概念进行介绍。

(1)PFCP

PFCP是一种控制面与用户面之间的通信协议。参见图15，图15是对PFCP在协议栈的位置的举例说明。PFCP承载在用户数据报协议(User Datagram Protocol，UDP)之上，IP层可以是Ipv4或者是Ipv6。PFCP中，把UP称作UPF，把CP称作CPF。PFCP定义在第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)TS 29.244规范中。

(2)PFCP消息中的UDP端口号

PFCP中的请求消息(Request message)中UDP目的端口(UDP Destination port)号是8805，UDP源端口(UDP Source port)号由PFCP消息的发送端本地分配。PFCP中响应消息(Response message)中UDP目的端口号就是请求消息中的源端口号。PFCP中响应消息的UDP源端口号则是对应请求消息的目的端口号。

(3)PFCP联盟(PFCP Association)

当CPF与UPF之间建立一个连接(用一对目的IP和源IP表达)，那么这个连接就称为PFCP联盟(内部通过节点区别)。理论上在一对CPF/UPF之间可以建立多个PFCP联盟，各个PFCP联盟之间承载的控制信息相互独立。参见附图16，附图16是对CPF和UPF之间建立多个PFCP联盟的举例说明。附图16中，CPF与两个UPF共建立了三个PFCP联盟。其中，CPF与UPF(A)建立了PFCP Association 1和PFCP Association 2这两个PFCP联盟。CPF与UPF(B)建立了PFCP Association 3这个PFCP联盟。

(4)PFCP会话(PFCP session)

当终端上线后，CPF向UPF下发控制数据，每个终端的信息称为PFCP会话。参见附图17，每个PFCP联盟对应一部分PFCP会话的控制信息。附图17中每个PFCP联盟对应一部分子会话(Sub-Session)的控制信息，那么发送PFCP会话的response message消息时，需要找对应的PFCP会话的请求消息的IP头(IP Header)交换目的IP、源IP封装响应消息的IP头。其中，数据为网络序。

(5)PFCP消息

参见下表1，表1是对PFCP消息格式(PFCP Message Format)的举例说明。PFCP消息包括PFCP消息头(PFCP message header)和信息元素(Information Element，IE)这两个部分。其中，1个PFCP Message至少包括一个PFCP消息头(PFCP message header)，可选地还包括IE。1个PFCP Message中IE的数量可以是1个，也可以是多个。

表1

参见下表2，表2是对一个UDP报文中携带多个PFCP消息的举例说明。其中，UDP报文中前面的PFCP消息头中的FO(Follow ON)标识为1。最后一个PFCP消息头r的FO标识为0。

表2

(6)PFCP消息头

参见下表3，表3是对PFCP消息头的通用格式的举例说明。消息头是变长的结构，前4个字节是固定格式，通过Flag字段标识是否携带额外的信息。如表3所示，消息头要求是4字节对齐格式，成员为网络序。

表3

参见下表4，表4是对PFCP消息头中每个字段的含义的举例说明。

表4

其中，PFCP消息头从第5字节开始，填充的内容和第1字节中的Flag顺序相关，从bit1→bit8的顺序出现，对应bit位为1时填充。参见下表5，表5是PFCP节点消息(Nodemessage)的消息头格式的举例说明。

表5

参见下表6，表6是对PFCP会话消息头的格式的举例说明。其中，Flag S＝1。SEID是从第5个字节开始的。其中，在消息头中的SEID是远程对等节点的SEID(remote peer’sSEID)，也就是指示的是接收方的SEID。

表6

(7)PFCP消息中的IE

IE可以理解为属性。IE具有TLV的封装格式。不同IE之间可以具有嵌套的关系。在不同的上下文中，会对IE是否必选进行约定，例如，IE的分类如下表7所示。

表7

IE是否出现在此业务流程的分类	解释
		Mandatory(M)	必选项
Conditional(C)	满足某种条件就需要携带
		Conditional-Optional(CO)	满足某种条件可以选择携带
Optional(O)	可选择携带

按照嵌套方式的不同，IE分为分组IE(grouped IE)和嵌入式IE(embedded IE)。嵌入式IE是最小单元的属性。一个分组IE可以包含多个嵌入式IE。参见下表8和表9，表8示出了IE的格式，表9示出了IE中每个字段的含义。

表8

表9

消息类型的定义如下表10所示。

表10

/>

/>

在PFCP中，多个PFCP消息可以进行捆绑(PFCP messages bundling)。具体地，在一个UDP报文中，可以携带多个PFCP消息，每个消息头的SN是独立的，这种捆绑的消息如果在传输中丢弃，需要重传的时候，并不一定需要按照上一次的捆绑顺序重传。

(8)PFCP的转发模型

PFCP基于第五代移动通信技术(5th generation mobile networks或5thgeneration wireless systems、5th-Generation，5G)业务定义了一套抽象的UPF的模型，基于此模型定义了C/U之间的节点消息、会话消息和一系列的IE。例如，参见图18，图18是对UPF处理报文的流程的举例说明。UPF处理报文的流程是通过流匹配的方式进行转发，类似访问控制列表(Access Control Lists，ACL)的原理。参见附图18，报文进入系统后，匹配报文检测规则(Packet Detection Rule，PDR)的规则表，命中后再按照固定的动作(action)执行。UPF处理报文的过程主要涉及PFCP会话以及PDR这两个概念。参见附图19，附图19是对PFCP会话(PFCP Session)的举例说明。SMF通过N4接口的PFCP会话下发流处理策略(PacketDetection Rule，也称包检测规则PDR)，UPF执行PDR而实现处理报文的功能。

(9)PDR

PDR用于定义如何匹配报文。每个PDR包含一组“MAR+FAR+QER+URR”。附图18中的MAR表示多访问规则(Multi-Access Rule，一种报文匹配的规则)，MAR类似查转发信息库(Forward Information dataBase，FIB)、ACL的过程。PDR中的信息包括入接口(IncomingInterface)、本地的全量隧道端点标识(Local Full Qualified TEID，Local-F-TEID，个对应到隧道终结方式的接入形式，隧道ID)、网络实例(Network Instance，即VRF实例)，用户设备(User Equipment，UE)IP(终端的IP地址)、终端媒体访问控制(Media AccessControl，Client MAC)地址。

见附图20，附图20是对PDR的举例说明。PDR是流检测信息(Packet DetectionInformation，PDI)和包动作(Packet Action，PA，也称流动作)的组合，当用户报文匹配上PDI中的匹配域(如UE IP地址)，则成功命中该PDR，UPF会执行PDR中的PA。

参见附图21，附图21是对UPF基于PFCP进行会话处理的举例说明。用户面上下行报文进入UPF后，UPF根据匹配上的PDR查找到该报文所属的PFCP会话，在PFCP会话中选择成功匹配的优先级最高的PDR，并执行该PDR的流动作，完成对报文的处理。

PA用于指示UPF对报文执行的处理动作。PA包括转发动作规则(ForwardingAction Rule，FAR)、QoS实施规则(QoS Enforcement Rule，QER)和资源使用报告(UsageReporting Rule，URR)。

FAR对应于UPF执行的动作。动作包括而不限于丢弃、转发、缓存、通知CPF(Notifythe CPF，NOCP)、DUPL(Duplication)和IPMA (IP Multicast Accept)等。例如，转发动作是GTP加解封装。

其中，NOCP标志第1个下行流到达，并缓存。DUPL表示复制报文，应用在合法监听、镜像(Mirror)等场景。IPMA表示加入或离开组播组。FAR是一种转发动作，包括封装方式。FAR类似查转发信息库(Forwarding Information Base，FIB)、ACL之后的行为定义。

资源使用报告(Usage Reporting Rule，URR)用于执行统计上报类动作，例如离线计费上报。URR对应在某个会话上。UPF的资源使用率达到阈值，可以上报CPF，比如：流量配额、某个周期完毕、发生了某种事件。

QER表示服务质量(Quality of Service，QoS)的处理规则,用于进行带宽保证和优先级调度。例如承诺接入速率(Committed Access Rate，Car，通常称作“限速”)或者队列(Queue)处理，镜像(Mirror)、合法监听(Lawful interception，LW)。

参见附图22和附图23，下面介绍本申请实施例提供的系统架构。

参见附图22，本申请实施例提供了一种网络系统300。网络系统300包括：UPF301、CPF302、核心网303、RG304和AN305。UPF301是对下述方法实施例中UP设备的举例说明，CPF302是对下述方法实施例中CP设备的举例说明。UPF301、CPF302、核心网303、RG304和AN305中的不同网元之间通过无线网络或有线网络相连。

附图22中的(1)、(2)和(3)的含义如下。

(1)是指CPF把配置的静态用户表和IPoE异常下线用户表下发给UPF。例如，CPF302中的静态用户管理模块3021获得配置的静态用户表，IPoE异常终端管理模块3022记录IPoE异常下线用户表，CPF302将静态用户表和IPoE异常下线用户表通过状态控制接口下发至UPF中的IP流过滤模块3011。

(2)是指当IP数据流触发接入过程中，会由UPF检查静态用户表和IPoE异常下线用户表。具体地，UPF部署IP流过滤模块3011。当UPF接收到ARP、IPv4数据报文、ND报文或IPv6数据报文时，检查本地的认证绑定表失败后，会先在IP流过滤模块3011进行匹配，匹配成功后，才上送CPF。此外，在IP流过滤模块3011提供上送CPF限速控制。

(3)是指CPF处理IP流触发接入。

具体地，参见附图23，UPF包括IP流过滤模块3011、PFCP模块3012和PFCP会话管理模块3013。

IP流过滤模块3011用于执行IP数据流的过滤。

PFCP模块3012用于接收CPF下发PFCP数据，解析出Session内容后分发给PFCP会话管理模块3013。

PFCP会话管理模块3013用于解析报文，通知IP流过滤模块添加会话、删除会话、更新会话。

CPF包括静态用户管理模块3021、IPoE异常终端管理模块3022、PFCP会话管理模块3023和PFCP模块3024、接入管理模块3024、UPF节点管理模块3025、AAA模块3026。

静态用户管理模块3021用于处理静态用户配置。

IPoE异常终端管理模块3022用于处理IPoE终端的异常下线，生成记录，并通知PFCP会话管理模块3023将其下发给UPF。

PFCP会话管理模块3023用于接收业务层模块通知，向UPF下发静态会话、异常会话列表。

PFCP模块3024用于将会话信息封装为PFCP的格式，发送给对方。

以下通过方法400、方法500、方法600和方法700，示例性介绍基于上文介绍的CU分离的通信系统处理的方法流程，该通信系统可以实现上述BNG的功能。

方法400、方法500、方法600或方法700中的BNG是对通信系统的举例说明。可选地，方法400、方法500、方法600或方法700不是应用在BNG上，而是应用在BNG之外的其他具有CU分离架构的通信系统中，例如应用在CU分离的服务网关(Serving Gateway，S-GW)，又如应用在CU分离的分组数据网网关(PDN GateWay，PGW)，又如应用在包括移动性管理功能(Access and Mobility Management Function，AMF)网元、会话管理功能(SessionManagement Function，SMF)网元和AN网元的通信系统中，其中AMF或CPF相当于BNG中的CPF，UPF相当于BNG中的UPF。又如应用在WT-456固定、移动融合的通信系统中的接入网关功能(accessgatewayfunction,AGF)网元中。

下面的方法400、方法500、方法600和方法700是基于同一个构思产生的发明，均关于如何将安全策略从CPF前置至UPF执行。方法400侧重于介绍UPF执行安全策略的流程，方法500侧重于介绍包含报文触发接入、数据转发、离线处理和清除处理等多个阶段的整体流程，方法600和方法700侧重于介绍如何利用PFCP实现方法500。

参见图24，附图24是本申请实施例提供的一种报文处理方法400的流程图。方法400例如由UPF中的IP流过滤模块执行。方法400包括S410至S460。

S410、提取源IP地址、MAC地址、VLAN标签、接口等信息。

S420、判断是否认证通过。如果未认证通过，执行以下S430。如果认证通过，执行以下S460。

S430、判断是否匹配静态用户表或异常下线用户表是否成功。如果匹配成功，则执行以下S440。如果匹配失败，则执行以下S450。

S440、通过隧道重定向报文到CPF。

S450、丢弃报文。

S460、转发IP数据报文，或基于ARP、ND协议等协议处理。

从以上流程可以看出，在S420匹配成功后，才将报文发送至CPF，从而减轻了CPF负担，降低了CPF被攻击的风险。

参见附图25，附图25是本申请实施例提供的一种报文处理方法500的流程图。方法500包括S501至S522。

在一些实施例中，方法500由附图1所示系统架构中的BNG执行，或由具有附图3、附图6、附图7、附图8、附图9、附图22、附图23中任一项所示的CU分离的BNG执行，或由附图10所示静态用户接入场景中的BNG执行，或由附图12所示异常下线用户接入场景中的BNG执行。

可选的，方法500由通用中央处理器(central processing unit，CPU)处理，也可以由CPU和/网络处理器(network processer，NP)共同处理，也可以不用CPU或NP，而使用其他适合用于报文转发的处理器，方法500不做限制。

S501、CP设备向BNG包括的UP设备发送第一策略。

术语“策略”是指包含规则(rule)和动作(action)标识的信息。策略能够指明设备在报文中的信息满足规则的情况下，对报文执行动作标识对应的动作。动作包括而不限于重定向、转发、丢弃、QoS控制、统计上报等。例如，在采用PFCP实现时，策略是PDR，规则是PDI，动作标识是PA。CP设备通过向UP设备下发策略，UP设备在接收到报文时，会按照CP设备预先下发的策略，对报文执行相应的动作。

第一策略用于指示在报文包括的第一信息与第一类用户的信息满足第一匹配条件的情况下将报文重定向至CP设备。第一策略中的匹配规则包括第一类用户的信息。第一策略中的动作标识用于标识重定向的动作。可选地，第一策略中的动作标识包括CP设备的标识。例如，第一策略包括“Key＝IP+MAC+VLAN+接口，action＝to CPF”。

第一类用户是指具有固定的互联网协议IP地址的用户。第一类用户的信息包括而不限于IP地址、MAC地址、VLAN标签、接口索引、端口号中的至少一项。在一些实施例中，第一类用户的信息以表的形式保存和传输。例如，第一策略包括用户表。用户表包括第一类用户的信息。例如，用户表的每个表项(或称每个条目)包括一个第一类用户的信息。

在一些实施例中，第一类用户包括静态用户或异常下线用户中的至少一项。用户表包括静态用户表或异常用户表中的至少一项。静态用户表也称静态用户列表。静态用户表包括静态用户的信息。例如，静态用户表中的每个表项包括一个静态用户的信息。异常用户表也称异常用户列表或异常下线用户列表。异常用户表包括异常下线用户的信息。例如，异常用户表中的每个表项包括一个异常下线用户的信息。静态用户以及异常下线用户的解释还请参考上文的介绍。

应理解，本实施例对静态用户表和异常用户表是分离为不同的表还是合并为同一个表不做限定。在一些实施例中，静态用户表和异常用户表是两个单独的表。在一些实施例中，静态用户表和异常用户表属于同一个表。例如，用户表包括两个属性，两个属性分别对应于静态用户和异常下线用户。在一些实施例中，用户表包括用户信息与动作之间的对应关系，通过用户信息对应的动作来标识用户是否已通过认证。例如，如果用户信息对应的动作是“To CPF”，标识用户尚未通过认证；如果用户信息对应的动作是“To CPF”之外的其他动作，标识用户已经通过认证。在另一些实施例中，通过用户表中的其他属性标识用户是否通过认证。

例如，静态用户对应于用户表的第一属性，该第一属性的属性值是静态用户的信息。异常下线用户对应于用户表的第二属性，第二属性的属性值是异常下线用户的信息。

CP设备如何获得第一策略包括多种方式。例如，由控制器或网管人员在CP设备上预先配置第一策略。又如，CP设备对第一类用户的信息与重定向信息进行组合，得到第一策略。例如，CP设备上配置静态用户表，对静态用户表与重定向信息进行组合，得到第一策略。例如，CP设备生成异常用户表，对异常用户表与重定向信息进行组合，得到第一策略。其中，CP设备如何生成异常用户表还请参考附图12和附图13对应的介绍。

CP设备通过将重定的策略下发给UP设备，使得UP设备能够通过与CP设备的通信获得策略，因此在报文接入过程中，若报文匹配上具有固定IP地址的用户的信息，UP设备就会执行重定向报文的动作，

免去了人工配置策略的繁琐操作，降低了配置的复杂度。

S502、UP设备从CP设备接收第一策略，保存第一策略。

由于CP设备将第一类用户的信息下发至UP设备，并指示UP设备对报文中的信息与第一类用户的信息进行匹配，从而将检查报文是否来自于IP地址固定的用户的任务从CP设备下沉至UP设备，从而降低了CP设备受到攻击的风险。

在一些实施例中，CP设备还向UP设备发送重定向参数。重定向参数包括GTP-U隧道信息或虚拟扩展局域网(Virtual Extensible Local Area Network，Vxlan)隧道信息中的至少一项。在一些实施例中，Vxlan隧道信息用于标识Vxlan隧道通过IPv4协议承载。Vxlan隧道信息包括CP设备的IPv4地址。在另一些实施例中，Vxlan隧道信息用于标识Vxlan隧道通过IPv6协议承载。Vxlan隧道信息包括CP设备的IPv6地址。

应理解，本实施例并不限定重定向参数和第一策略是一起发送还是分开发送。在一些实施例中，CP设备将重定向参数和第一策略封装在同一个控制报文中，向UP设备发送该控制报文；UP设备接收控制报文，从该控制报文获得重定向参数和第一策略。在另一些实施例中，CP设备将重定向参数和第一策略分别封装在两个控制报文中，一个控制报文包括第一策略，另一个控制报文包括重定向参数；CP设备向UP设备发送两个控制报文；UP设备接收两个控制报文，从携带重定向参数的控制报文获得重定向参数，从携带第一策略的控制报文获得第一策略。此外，在重定向参数和第一策略分开发送的情况下，对发送重定向参数和第一策略的时序不做限定。例如，CP设备先发送重定向参数再发送第一策略；又如，CP设备先发送第一策略再发送重定向参数。

CP设备通过将重定向参数下发给UP设备，使得UP设备能够依据CP设备下发的重定向参数封装隧道头以将报文重定向至CP设备，从而避免人工配置重定向参数的繁琐操作，降低方案实施的复杂度和配置的复杂度。

在一些实施例中，CP设备还向UP设备发送接口索引。CP设备通过将具有固定IP地址的用户的接入接口以接口索引的形式通知给UP设备，使得UP设备能够利用终端接入的接口与CP设备预先下发的接口索引是否匹配来进行接入认证，由于终端接入的接口代表着终端的位置，使得接入认证的过程考虑了位置的因素，因此有助于提高认证的安全性。

S503、UP设备接收报文。

例如，报文是数据报文。例如，报文包括而不限于IPv4数据报文、IPv6数据报文、ARP报文或ND报文中的至少一项。报文也称IP数据包。

S504、UP设备对报文包括的第二信息与第二类用户的信息进行匹配。

第二信息是UP设备检测是否已通过认证时根据报文获得的信息。例如，第二信息包括而不限于IP地址、MAC地址、VLAN标签、接口索引、端口号中的至少一项。例如，第二信息包括的IP地址是源IP地址。例如，第二信息包括的源IP地址包括源IPv6地址或源IPv4地址中的至少一项。例如，第二信息包括的源IPv6地址是IPv6基本头中SA字段承载的地址。

第二类用户是指已通过认证的用户，例如是已通过绑定认证的用户。

UP设备如何获得第二类用户的信息包括多种方式。在一些实施例中，CP设备向UP设备发送第二类用户的信息。UP设备接收第二类用户的信息，在本地保存第二类用户的信息。当接收到报文时，UP设备查询保存的第二类用户的信息。

在一些实施例中，第二类用户的信息以表的形式保存和传输。例如，CP设备向UP设备发送认证绑定表，认证绑定表包括第二类用户的信息。例如，认证绑定表的每个表项(或称每个条目)包括一个第二类用户的信息。UP设备接收并保存认证绑定表。当接收到报文时，UP设备查询认证绑定表，对报文包括的第二信息与认证绑定表中的表项进行匹配。若报文包括的第二信息与认证绑定表中每个表项中的信息均不满足第二匹配条件，则执行以下S505。

S505、UP设备确定第二信息与第二类用户的信息不满足第二匹配条件。

第二匹配条件用于检测报文是否来自于已通过认证的用户的终端。UP设备判断报文包括的第二信息与第二类用户的信息进行匹配。在不同的判断结果下，UP设备执行的动作会有所差异，以下通过情况a至情况b举例说明。

情况a、若报文包括的第二信息与第二类用户的信息不满足第二匹配条件，指示报文并非来自于已通过认证的用户的终端，这种情况可称为检查认证绑定表失败，则UP设备执行以下S506。

可选地，第二匹配条件包括报文中的源IP地址与第一类用户的IP地址相同，且报文中的端口号与第一类用户对应的端口号相同，且报文中的VLAN标签与第一类用户对应的VLAN标签相同。

情况b、若报文包括的第二信息与第二类用户的信息满足第二匹配条件，指示报文来自于已通过认证的用户的终端，这种情况可称为检查认证绑定表成功，那么，在报文是数据报文的情况下，UP设备会转发数据报文；在报文是ARP报文的情况下，UP设备会基于ARP协议对ARP报文进行处理；在报文是ND报文的情况下，UP设备会基于ND协议对ND报文进行处理。

不满足第二匹配条件包括多种情况。在一些实施例中，不满足第二匹配条件包括而不限于以下情况(A)、情况(B)或者情况(C)。

情况(A)报文中的源IP地址与第一类用户的IP地址不同。

情况(B)报文中的端口号与第一类用户对应的端口号不同。

情况(C)报文中的VLAN标签与第一类用户对应的VLAN标签不同。

S506、UP设备根据第一策略，对报文包括的第一信息与第一类用户的信息进行匹配。

由于CP设备预先向UP设备下发了第一策略，UP设备会根据第一策略执行S506和S507。具体地，UP设备根据第一策略携带的第一类用户信息，执行对报文包括的第一信息与第一类用户的信息进行匹配的步骤。在第一信息与第一类用户的信息满足第一匹配条件的情况下，UP设备会执行向BNG包括的CP设备发送报文的步骤。

第一信息是UP设备在检测报文是否来自具有固定IP地址的用户时从报文中提取的信息。例如，第一信息包括而不限于IP地址、MAC地址、VLAN标签、接口索引、端口号中的至少一项。例如，第一信息包括的IP地址是源IP地址。例如，第一信息包括的源IP地址包括源IPv6地址或源IPv4地址中的至少一项。例如，第一信息包括的源IPv6地址是IPv6基本头中SA字段承载的地址。

其中，接口索引用于标识UP设备上的接入接口(Access Interface)。接入接口为第一类用户的终端接入的接口。VLAN标签例如是外层VLAN标签或者内层VLAN标签。

应理解，本实施例对第一信息和第二信息是否相同并不限定。在一些实施例中，第二信息和第一信息相同。在另一些实施例中，第二信息和第一信息不同。在另一些实施例中，第二信息和第一信息部分相同部分不同。

UP设备如何获得第一类用户的信息包括多种方式。在一些实施例中，CP设备向UP设备发送第一类用户的信息。UP设备接收第一类用户的信息，在本地保存第一类用户的信息。当接收到报文时，UP设备查询保存的第一类用户的信息。

应理解，本实施例对用户表和认证绑定表是分离为不同的表还是合并为同一个表不做限定。在一些实施例中，用户表和认证绑定表是两个单独的表。在一些实施例中，用户表和认证绑定表属于同一个表。例如，用户表包括两个属性，两个属性分别对应于具有固定IP地址的用户和已通过认证用户。例如，具有固定IP地址的用户对应于用户表的第一属性，该第一属性的属性值是具有固定IP地址的用户的信息。已通过认证用户对应于用户表的第二属性，第二属性的属性值是已通过认证用户的信息。

S507、若第一信息与第一类用户的信息满足第一匹配条件，UP设备向BNG包括的CP设备发送报文。

UP设备向CP设备发送报文也可以称为UP设备将报文重定向至CP设备。

第一匹配条件用于检测报文是否来自于第一类用户的终端。例如，第一匹配条件用于检测报文是否来自于静态用户的终端。又如，第一匹配条件用于检测报文是否来自于异常下线用户的终端。应理解，本实施例对第一匹配条件和第二匹配条件是否相同并不限定。在一些实施例中，第二匹配条件和第一匹配条件相同。在另一些实施例中，第二匹配条件和第一匹配条件不同。在另一些实施例中，第二匹配条件和第一匹配条件部分相同部分不同。例如，第二匹配条件是IP地址、端口号和VLAN标签这三者均要匹配。第一匹配条件是IP地址要匹配，不限定端口号和VLAN标签是否匹配。

UP设备判断报文包括的第一信息与第一类用户的信息是否满足第一匹配条件。在不同的判断结果下，UP设备执行的动作会有所差异，以下通过情况a至情况b举例说明。

情况a、若报文包括的第一信息与第一类用户的信息满足第一匹配条件，指示报文来自于第一类用户的终端，这种情况可称为匹配成功，UP设备会执行S507，从而将报文上送至CP设备。

满足第一匹配条件包括多种情况。在一些实施例中，满足第一匹配条件是指至少匹配IP地址，可选地还匹配端口号或VLAN标签。例如，第一匹配条件包括而不限于以下条件(1)至条件(4)中的任一项。可选地，使用条件(1)至条件(3)进行匹配的方式称为模糊匹配的方式。使用以下条件(4)进行匹配的方式称为严格匹配的方式。

条件(1)报文中的源IP地址与第一类用户的IP地址相同。

条件(2)报文中的源IP地址与第一类用户的IP地址相同，且报文中的端口号与第一类用户对应的端口号相同。

条件(3)报文中的源IP地址与第一类用户的IP地址相同，且报文中的VLAN标签与第一类用户对应的VLAN标签相同。

条件(4)报文中的源IP地址与第一类用户的IP地址相同，且报文中的端口号与第一类用户对应的端口号相同，且报文中的VLAN标签与第一类用户对应的VLAN标签相同。

在一些实施例中，第一匹配条件根据配置操作确定。换句话说，使用报文中的哪些信息与第一类用户的哪些信息进行匹配由控制器或网管人员的配置操作确定。例如，若预先配置了启用端口号或VLAN标签匹配，则UP设备使用端口号或VLAN标签匹配；若预先配置了不启用端口号或VLAN标签匹配，则UP设备不使用端口号或VLAN标签匹配。

在一些实施例中，在不同的场景下满足的第一匹配条件有所区别。例如，在静态用户的场景下，满足第一匹配条件是上述条件(1)至条件(3)中的任一项。例如，在异常下线用户的场景下，满足第一匹配条件是上述条件(4)。

在静态用户接入的场景下，UP设备通过在接收到报文时，对报文中的信息与静态用户的信息进行匹配，在匹配成功的情况下，UP设备将报文上送至CP设备。由于将检查报文是否来自于静态用户的任务从CP设备下沉至UP设备，避免了CP设备检查这类报文带来的资源开销，减轻了CP设备的负载。尤其是，如果恶意IP报文流发起网络攻击，由于CP设备无需为恶意IP报文流执行检查是否来自于静态用户的任务，因此降低了CP设备受到恶意IP报文流攻击的风险，提高了CP设备的网络安全。

在异常下线用户接入的场景下，UP设备通过在接收到报文时，对报文中的信息与异常下线用户的信息进行匹配，在匹配成功的情况下，UP设备将报文上送至CP设备。由于将检查报文是否来自于异常下线用户的任务从CP设备下沉至UP设备，避免了CP设备检查这类报文带来的资源开销，减轻了CP设备的负载。尤其是，如果恶意IP报文流发起网络攻击，由于CP设备无需为恶意IP报文流执行检查是否来自于异常下线用户的任务，因此降低了CP设备受到恶意IP报文流攻击的风险，提高了CP设备的网络安全。

情况b、若报文包括的第一信息与第一类用户的信息不满足第一匹配条件，指示报文并非来自于第一类用户的终端，这种情况可称为匹配失败，UP设备会丢弃报文，而不会将报文发送至CP设备，从而避免CP设备对这类报文进行接入处理造成的性能开销以及处理资源浪费。尤其是，在报文是用于进行网络攻击的恶意报文的情况下，由于恶意报文包括的信息与第一类用户的信息不匹配，UP设备会丢弃恶意报文，使得恶意报文的传输在UP设备处被阻断，而不会经过UP设备到达CP设备，因此避免CP设备对恶意报文执行接入处理的动作，从而降低了CP设备受到网络攻击的风险。

UP设备如何将报文重定向至CP设备包括多种方式。在一些实施例中，UP设备和CP设备建立了隧道。隧道的起点是UP设备，隧道的终点是CP设备。UP设备将报文封装为该隧道对应的格式，向CP设备发送封装后的报文，使得报文通过隧道传输至CP设备。

在使用隧道的情况下，UP设备如何封装报文具有多种实现方式。例如，UP设备向报文添加隧道头，得到封装后的报文。其中，封装后的报文包含隧道头以及UP设备从终端接收的报文。隧道头位于外层，UP设备从终端接收的报文位于内层。隧道头中的源地址字段携带UP设备的IP地址，隧道头中的目的地址字段携带CP设备的IP地址。由于报文的外层封装了目的地址为CP设备的隧道头，使得报文会被沿途经过的中间节点路由转发至CP设备，因此报文能够从原始的目的节点重定向至CP设备。可选地，UP设备不仅添加隧道头，还添加扩展头。在这种方式下，封装后的报文包含隧道头、扩展头以及UP设备从终端接收的报文。

UP设备通过哪种类型的隧道将报文重定向至CP设备包括多种方式。例如，UP设备通过GTP-U隧道或Vxlan隧道，将报文重定向至CP设备。以下，通过方式I对如何通过GTP-U隧道发送报文举例说明，通过方式II对如何通过Vxlan隧道发送报文举例说明。

方式I、UP设备向报文添加GTP-U头，发送添加有GTP-U头的报文。

GTP-U头是对隧道类型为GTP-U隧道的情况下隧道头的举例说明。在一些实施例中，UP设备不仅添加GTP-U头，还添加网络服务报头(network service header，NSH)，发送添加有GTP-U头和NSH的报文。

在一些实施例中，方式I是利用CP设备预先下发的重定向参数实现的。具体地，CP设备向UP设备下发的重定向参数包括GTP-U隧道信息，UP设备根据该GTP-U隧道信息，生成GTP-U头，向报文添加GTP-U头。在另一些实施例中，UP设备使用的GTP-U隧道信息不是CP设备下发的，而是预先在UP设备上预先配置的，本实施例对UP设备如何获得GTP-U隧道信息并不做限定。

方式II、UP设备向报文添加Vxlan头，发送添加有Vxlan头的报文。

Vxlan头是对隧道类型为Vxlan隧道的情况下隧道头的举例说明。在一些实施例中，UP设备不仅添加Vxlan头，还添加CU扩展头，发送添加有Vxlan头和CU扩展头的报文。

其中，Vxlan头包括而不限于标准的Vxlan头、基于Vxlan协议扩展的覆盖(Overlay)头等。例如，Vxlan头是指基于Vxlan通用协议(Vxlan Generic ProtocolEncapsulation，Vxlan-GPE)头、通用网络虚拟化封装(Generic Network VirtualizationEncapsulation，GENEVE)头等。在使用Vxlan-GPE的情况下，CP设备向报文添加Vxlan头和CU扩展头，报头开销相对较小，从而节省了报文传输占用的网络资源以及设备的性能开销。

在一些实施例中，方式I是利用CP设备预先下发的重定向参数实现的。具体地，CP设备向UP设备下发的重定向参数包括Vxlan隧道信息，UP设备根据该Vxlan隧道信息，生成Vxlan头，向报文添加Vxlan头。在另一些实施例中，UP设备使用的Vxlan隧道信息不是CP设备下发的，而是预先在UP设备上预先配置的，本实施例对UP设备如何获得Vxlan隧道信息并不做限定。

在一些实施例中，UP设备在将报文重定向至CP设备时进行限速控制。例如，UP设备上预先设定发送报文的速率阈值，监控发送报文的速率是否大于速率阈值，若发送报文的速率大于速率阈值，则通过队列等方式缓存待发送的报文，从而将发送报文的速率控制在小于或等于速率阈值。

S508、CP设备从UP设备接收报文。

S509、CP设备根据报文进行接入处理。

例如，CP设备生成认证请求，认证请求包括用户的信息，用户的信息例如包括用户名和密码，此外还可以包括第一信息或第二信息。CP设备向认证服务器发送认证请求。认证服务器接收认证请求，对认证请求携带的用户的信息进行认证；认证服务器根据认证结果生成认证响应，向CP设备发送认证响应。CP设备从认证服务器接收认证响应。

在认证结果为通过认证的情况下，认证服务器发送的认证响应表示通过认证。CP设备根据认证响应会允许用户接入网络，执行以下S510，从而指示UP设备为用户转发报文。此外，CP设备会将第二信息作为第二类用户的信息保存。例如，CP设备将第二信息保存至认证绑定表中。

在认证结果为通过认证的情况下，认证服务器发送的认证响应表示未通过认证。CP设备根据认证响应会拒绝用户接入网络。

S510、CP设备向UP设备发送第二策略。

第二策略用于指示在报文包括的第一信息与第一类用户的信息满足第一匹配条件的情况下转发报文。或者，第二策略用于指示在报文包括的第二信息与第二类用户的信息满足第二匹配条件的情况下转发报文。第二策略中的匹配规则包括第一类用户的信息或第二类用户的信息。第二策略中的动作标识用于标识转发的动作。例如，第二策略包括“Key＝IP+MAC+VLAN+接口，action＝forward”。

S511、UP设备从CP设备接收第二策略，保存第二策略。

S512、UP设备接收报文。

S513、UP设备根据第二策略，转发报文。

S514、CP设备检测到第一类用户的终端处于离线状态。

例如，CP设备检测到UP设备出现接口故障或单板故障，CP设备对通过该接口或该单板接入的终端进行离线处理。

S515、CP设备向UP设备发送第三策略。

第三策略用于指示在报文包括的第一信息与第一类用户的信息满足第一匹配条件的情况下将报文重定向至CP设备。或者，第三策略用于指示在报文包括的第二信息与第二类用户的信息满足第二匹配条件的情况下将报文重定向至CP设备。第三策略中的匹配规则包括第一类用户的信息或第二类用户的信息。第三策略中的动作标识用于标识重定向的动作。例如，第三策略包括“Key＝IP+MAC+VLAN+接口，action＝to CPF”。

S516、UP设备从CP设备接收第三策略，保存第三策略。

S517、UP设备接收报文。

S518、UP设备根据第三策略，向CP设备发送报文。

S519、CP设备检测到第一类用户的配置信息被删除或第一类用户的租期超时。

S520、CP设备向UP设备发送删除请求，删除请求用于指示删除第一类用户的信息。

CP设备发送删除请求包括多种场景。在一些实施例中，CP设备检测到第一类用户的配置信息被删除，在配置信息被删除的触发下，CP设备生成删除请求，向UP设备发送删除请求，该删除请求用于指示清除配置信息被删除的用户的信息。例如，控制器或者网管人员删除了CP设备上静态用户的配置信息，CP设备为该静态用户生成删除请求。在另一些实施例中，CP设备启动定时器，判断记录的时长是否超过第一类用户的租期；如果CP设备检测到第一类用户的租期超时，在租期超时被删除的触发下，CP设备会生成删除请求，向UP设备发送删除请求，该删除请求用于指示清除租期超时的用户的信息。其中，租期超时也称老化。

S521、UP设备从CP设备接收删除请求；

S522、UP设备响应于删除请求，删除第一类用户的信息。

例如，UP设备删除静态用户表，从而完成清除静态用户的动作。例如，UP设备删除异常用户表，从而完成清除IPoE异常下线用户的动作。在静态用户的配置被删除或者异常下线用户租期超时等场景下，CPF通过指示UPF清除具有固定IP地址的用户信息，从而在用户信息无效时及时释放用户信息在UPF上占用的存储空间。

本实施例提供了一种CU分离的BNG进行接入认证的场景下避免CP设备受到攻击的方法，通过UP设备在接收到报文时，对报文中的信息与具有固定IP地址的用户的信息进行匹配，在匹配成功的情况下，UP设备将报文上送至CP设备。由于将检查报文是否来自于具有固定IP地址的用户的任务从CP设备下沉至UP设备，避免了CP设备检查这类报文带来的资源开销，减轻了CP设备的负载。尤其是，如果恶意IP报文流发起网络攻击，由于CP设备无需为恶意IP报文流执行检查是否来自于具有固定IP地址的用户的任务，因此降低了CP设备受到恶意IP报文流攻击的风险，提高了CP设备的网络安全。

以下通过方法600和方法700，对采用PFCP来实现方法500举例说明。换句话说，方法600和方法700描述的方法流程关于如何基于PFCP将安全策略前置在UP设备上执行。应理解，方法600和方法700与方法500同理的步骤还请参见方法500，在方法600和方法700中不做赘述。此外，方法600和方法700中关于PFCP的实现细节还请参考上文对PFCP的介绍。

以下方法600和方法700的表述方式采用了PFCP中的一些术语。例如，以下方法600和方法700中将CP设备称为CPF，将UP设备称为UPF，将策略称为PDA，将策略中的规则称为PDI，将策略中标识的动作称为PA。

以下方法600中，会复用PCFP协议中的消息以传递CP设备与UP设备交互的信息。复用的消息例如是PFCP中的节点消息或会话消息(Session消息)。以下方法600中，通过复用下表11所示的会话消息，向UPF下发静态用户表或IPoE异常下线用户表。

表11

参见附图26，附图26是本申请实施例提供的一种报文处理方法600的流程图。附图26所示的方法关于如何复用PFCP中的会话消息向UPF下发静态用户表或IPoE异常下线用户表。可选地，每个PFCP会话对应一个静态用户或IPoE异常下线用户。

示例性地，方法600包括S600至S690。方法600涉及四个阶段。阶段一为认证通过前的流程，阶段一包括S610至S630。阶段二为认证通过的流程。阶段二包括S640至S650。阶段三为终端离线的流程。阶段三包括S660至S670。阶段四为删除静态用户配置或IPoE异常用户老化(租期内没上线)的流程。阶段四包括S680至S690。

在一些实施例中，通过对PFCP中状态控制接口以及控制报文重定向接口进行扩展以传输方法600涉及的信令。具体地，方法600中CPF与UPF交互的各种报文是通过状态控制接口以及控制报文重定向接口传输的。S610中PFCP会话建立请求通过状态控制接口从CPF下发至UPF，S620中PFCP会话建立应答通过状态控制接口从UPF上送至CPF；S630中触发接入的报文通过控制报文重定向接口从UPF上送至CPF；S640中PFCP会话编辑请求通过状态控制接口从CPF下发至UPF，S650中PFCP会话编辑应答通过状态控制接口从UPF上送至CPF；S660中PFCP会话编辑请求通过状态控制接口从CPF下发至UPF，S670中PFCP会话编辑应答通过状态控制接口从UPF上送至CPF；S680中PFCP会话删除请求通过状态控制接口从CPF下发至UPF，S690中PFCP会话删除应答通过状态控制接口从UPF上送至CPF。

S600、在CPF上配置静态用户表；或者，由CPF产生IPoE异常下线用户表。

S610、CPF向UPF发送PFCP会话建立请求。

具体地，CPF会生成PFCP会话建立请求，向UPF发送PFCP会话建立请求，从而通知UPF创建会话消息，以便UPF匹配该会话消息的IP流之后将报文重定向到CPF。其中，PFCP会话建立请求携带PDR，PDR为上述方法500涉及的第一策略。PFCP会话建立请求中的PDR包括PDI和PA。PDI包括静态用户表和异常用户表。

CPF通过复用了PFCP会话建立请求这种PFCP会话消息，并复用了PFCP中通过PFCP会话下发PDR的机制，以将具有固定IP地址的用户的信息以及重定向的动作下发给UPF，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，便于沿用PFCP中的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

S620、UPF接收PFCP会话建立请求，生成PFCP会话建立应答，向CPF发送PFCP会话建立应答。

此外，UPF创建至少一个PFCP会话。具体地，UPF保存有会话表。UPF从CPF接收第一类用户的信息后，将第一类用户的信息中每个用户的信息保存至该用户对应的PFCP会话中。例如，UPF将静态用户表中每个静态用户的信息保存至会话表中静态用户对应的PFCP会话中。例如，UPF将异常下线用户表中每个异常下线用户的信息保存至会话表中异常下线用户对应的PFCP会话中。

S630、UP设备接收报文，根据PDA，对报文包括的第一信息与第一类用户的信息进行匹配。若第一信息与PDI中的第一类用户的信息满足第一匹配条件，UP设备按照PDI对应的包动作PA，向BNG包括的CP设备发送报文。

在转发阶段，当UPF接收到报文时，UPF会从报文中提取参数，使用报文的参数与会话消息表中保存的静态用户表和异常用户表进行匹配，当匹配成功时，UPF将报文通过GTP-U或者Vxlan隧道重定向到CPF。其中，UPF使用的报文的参数包括IPv4地址或IPv6地址,可选地还包括VLAN标签或接入接口对应的接口索引。PA用于指示重定向至CP设备。

CPF通过复用PFCP中处理PFCP会话的机制，将第一类用户的信息作为PDI中的匹配域，将重定向的动作作为命中PDI时执行的PA，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，便于沿用PFCP中的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

S640、CPF完成终端的认证，CPF向UPF发送PFCP会话编辑请求。

CPF接收到报文后，会对报文进行接入处理。例如，CPF向AAA服务器发送认证请求，AAA服务器接收认证请求，进行认证，向CPF返回认证Accept。CPF接收到认证Accept后，确定通过认证，则CPF会生成PFCP会话编辑请求，向UPF发送PFCP会话编辑请求。其中，PFCP会话编辑请求携带PDR，PDR为上述方法500涉及的第二策略。具体地，PFCP会话编辑请求中的PDR包括PDI和PA。

PFCP会话编辑请求携带的PDI包括静态用户表和异常用户表。UPF在转发阶段，会从报文中提取参数，使用报文的参数与PDI中的静态用户表和异常用户表匹配。UPF使用的报文的参数包括IPv4地址、IPv6地址、VLAN标签和接入接口对应的接口索引。PA用于指示转发报文。CPF通过向UPF发送PFCP会话编辑请求，从而将静态用户表和异常用户表下发至UPF。PFCP会话编辑请求包括“Key＝IP+MAC+VLAN+接口，action＝forward”。CPF通过PFCP会话编辑请求编辑会话，指示UPF匹配该会话的IP流之后进行转发。

S650、UPF接收PFCP会话编辑请求，生成PFCP会话编辑应答，向CPF发送PFCP会话编辑应答。此外，UPF会更新会话表中的会话。

S660、当检测到UPF的接口故障或单板故障，CPF对终端进行离线处理。CPF生成PFCP会话编辑请求，向UPF发送PFCP会话编辑请求。

其中，PFCP会话编辑请求携带PDR，PDR为上述方法500涉及的第三策略。例如，PFCP会话编辑请求包括静态用户表和异常用户表。PFCP会话编辑请求包括“Key＝IP+MAC+VLAN+接口，action＝to CPF”。

S670、UPF接收PFCP会话编辑请求，生成PFCP会话编辑应答，向CPF发送PFCP会话编辑应答。

通过上述S660和S670，CPF通过PFCP会话编辑消息编辑会话，指示UPF匹配该会话的IP流之后做转发将报文重定向到CPF。

S680、CPF检测到静态用户配置的被删除或IPoE异常用户老化(租期内没上线)，CPF生成PFCP会话删除请求，向UPF发送PFCP会话删除请求。

S690、UPF接收PFCP会话删除请求，生成PFCP会话删除应答，向CPF发送PFCP会话删除应答。并且，UPF会更新会话。

PFCP会话删除请求是对上述方法500中删除请求的举例说明。CPF通过复用了PFCP会话删除请求这种PFCP会话消息，并复用了PFCP中删除PFCP会话的机制，以清除UPF上的具有固定IP地址的用户的信息，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，便于沿用PFCP中的通信机制实施方案，从而降低方案实施的复杂度和配置的复杂度。

通过执行S680和S690，CPF通过PFCP会话删除请求消息编辑会话，指示UPF匹配该会话的IP流之后做转发将报文重定向到CPF。

以下，对上述方法600中PFCP会话建立请求携带的IE进行介绍。

参见下表12，表12示出了方法600涉及IE的表格中使用的标识符的含义。

表12

IE是否出现在方法600的分类	解释
		Mandatory(M)	必选项
Conditional(C)	满足某种条件就需要携带
		Conditional-Optional(CO)	满足某种条件可以选择携带
Optional(O)	可选择携带

参见下表13，表13对方法600涉及的几种类型IE进行了举例说明。

表13

参见下表14，表14是对Create PDR IE的举例说明。

表14

参见下表15，表15是对PDI IE的举例说明。

表15

参见下表16，表16是对Create Traffic Endpoint IE的举例说明。

表16

参见下表17，表17是对Create FAR IE的内容的举例说明。

表17

参见下表18，表18是对PFCP会话建立应答中携带的IE的举例说明。

表18

IE	P	条件/注释	IE类型
				Node ID	M	UPF的设备号	Node ID
Cause	M	处理的结果	Cause

参见下表19，表19是对PFCP会话编辑请求中携带的IE的举例说明。

表19

此外，Modify PDR IE的内容与Create PDR IE相同。Modify FAR IE的内容与Create FAR IE相同。PFCP会话删除请求不携带特殊IE，复用消息头中的会话ID，指示UPF删除对应的会话。

在一些实施例中，通过扩展新类型的IE携带接口索引。例如，携带接口索引的IE称为接口索引(interface index，If-index)IE。接口索引IE的IE类型是扩展的新的IE类型。以接口索引IE的IE类型记为第一IE类型为例，CPF将接口索引携带在具有第一IE类型的IE中，CPF向UPF发送具有第一IE类型的IE，从而下发接口索引。在一些实施例中，该具有第一IE类型的IE是Embedded IE。

接口索引IE可通过PFCP消息传输。例如，CPF将具有第一IE类型的IE携带在第一PFCP消息，CPF发送的第一PFCP消息包括该具有第一IE类型的IE。其中，第一PFCP消息为PFCP会话建立请求；或者第一PFCP消息为PFCP静态会话建立请求。第一IE类型用于标识IE包括接口索引。在一些实施例中，第一IE类型的值大于32768。具体地，PFCP规定，将32768至65535这段IE类型的值作为厂家扩展部分，可以从32768至65535中选择一个值，作为第一IE类型的值。示例性地，接口索引IE如以下表20所示。其中，表20中第1至第2个字节中的NN十进制是大于32768的值。表20中第5至第6个字节中的2100是对十进制格式的厂家号的举例说明。表20中第7至第10个字节中的接口索引(interface index)会编码为32位无符号整数(Unsigned32 binary integer value)。

表20

通过扩展了一种新类型的IE来携带接口索引，从而复用PFCP消息中IE的格式向UPF下发接口索引，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，降低方案实施的复杂度和配置的复杂度。

在一些实施例中，通过扩展新类型的IE携带重定向参数。例如，携带重定向参数的IE称为重定向参数IE(Redirect Parameters IE)。重定向参数IE的IE类型是扩展的新的IE类型。以重定向参数IE的IE类型记为第二IE类型为例，CPF将重定向参数携带在具有第二IE类型的IE中，CPF向UPF发送具有第二IE类型的IE，从而下发重定向参数。在一些实施例中，该具有第二IE类型的IE是分组IE(grouped IE)。

通过扩展了一种新类型的IE来携带重定向参数，从而复用PFCP消息中IE的格式向UPF下发重定向参数，降低方案实施的复杂度和配置的复杂度。

重定向参数IE可通过PFCP消息传输。例如，CPF将具有第二IE类型的IE携带在第一PFCP消息，CPF发送的第一PFCP消息包括该具有第二IE类型的IE。其中，携带重定向参数IE的第一PFCP消息例如为PFCP会话建立请求；又如，携带重定向参数IE的第一PFCP消息为PFCP静态会话建立请求。第二IE类型用于标识IE包括重定向参数。在一些实施例中，第二IE类型的值大于32768。

在一些实施例中，重定向参数IE包括至少一个IE。重定向参数IE包括的不同IE具有不同的IE类型。重定向参数IE包括的每个IE用于携带一种隧道类型的信息。例如，重定向参数IE包括的一个IE用于携带Vxlan隧道信息，重定向参数IE包括的另外一个IE用于携带GTP-U隧道信息。示例性地，重定向参数IE如表21所示。其中，表21中第1至第2个字节中的NN十进制是大于32768的值。表21中第5至第6个字节中的2100是对十进制格式的厂家号的举例说明。

表21

在一些实施例中，通过扩展新类型的IE携带Vxlan隧道信息。例如，携带Vxlan隧道信息的IE称为Vxlan信息IE(Vxlan Info IE)。Vxlan信息IE的IE类型是扩展的新的IE类型。以Vxlan信息IE的IE类型记为第三IE类型为例，CPF将Vxlan隧道信息携带在具有第三IE类型的IE中，CPF向UPF发送具有第三IE类型的IE，从而下发Vxlan隧道信息。在一些实施例中，该具有第三IE类型的IE是Embedded IE。其中，第三IE类型用于标识IE包括Vxlan隧道信息。例如，Vxlan信息IE如以下表22所示。

表22

其中，Vxlan信息IE的第5个字节中BitV4的取值为1时，标识Vxlan隧道over在IPv4上，此时第m至第(m+3)字节携带CPF终结Vxlan隧道的IPv4地址。Vxlan信息IE的第5个字节中BitV6的取值为1时，标识Vxlan隧道over在IPv6上，此时第p至第(p+15)字节携带CPF终结Vxlan隧道的IPv6地址。Vxlan信息IE的第5个字节中第5个比特至第8个比特是对齐字段，设置为0。BitV4和BitV6这两个比特位中只有1个比特位是置位为1的。

通过扩展了一种新类型的IE来携带Vxlan隧道信息，从而复用PFCP消息中IE的格式向UPF下发Vxlan隧道信息，降低方案实施的复杂度和配置的复杂度。

本实施例提供了一种CU分离的BNG进行接入认证的场景下基于PFCP避免CP设备受到攻击的方法，在减轻CPF负担并降低CPF被攻击的风险的基础上，通过复用PFCP中的会话消息下发静态用户以及异常下线用户的信息，复用会话处理模型和PDR的机制来执行重定向的策略，从而沿用PFCP提供的各种通信机制实施UPF上执行安全策略的方案，使得UPF上执行安全策略的方案与PFCP架构更平滑地融合起来，并且降低方案实施的复杂度和配置的复杂度。

在以上方法600中，由于复用已有的PFCP会话消息，会增加正常终端接入处理的复杂性。一方面，认证通过后，CPF向UPF下发会话需要检查是否是静态用户或者IPoE异常下线用户。如果是静态用户或者IPoE异常下线用户，则消息码是PFCP会话编辑。如果不是静态用户，也不是IPoE异常下线用户，消息码是PFCP会话建立。另一方面，在进行下线处理时，CPF向UPF下发会话也需要区分消息码。

有鉴于此，可以考虑单独扩充静态会话(Static-Session)消息，以便简化正常的业务处理，具体参见下述方法700。

以下方法700中，利用PCFP协议扩展了新的消息以传递CPF与UPF交互的信息。扩展的消息例如是PFCP中的节点消息或会话消息。例如，参见下表23，在PFCP中预留的会话级消息的类型值范围(如58-99)中，申请新的消息类型值，CPF使用新的消息类型的PFCP消息向UPF下发静态用户表或IPoE异常下线用户表。

表23

以上表23中，58、59、60和61是扩展的新的消息类型的举例说明。

参见附图27，附图27是本申请实施例提供的一种报文处理方法700的流程图。附图27所示的方法关于如何扩展PFCP的新的会话消息向UPF下发静态用户表或IPoE异常下线用户表。可选地，每个PFCP静态会话(PFCP Static-Session)对应一个配置的静态用户。每个PFCP会话对应一个上线后的静态用户。此外，PFCP静态会话和PFCP会话2个会话采用相同的会话ID标识。例如，PFCP静态会话和PFCP会话2个会话的会话ID都是1。例如，PFCP静态会话建立请求携带的优先级(Precedence)值小于PFCP会话建立中携带的优先级值。这样，UPF在匹配相同流时，会根据优先级值，优先执行PFCP会话建立指示的动作。

示例性地，方法700包括S700至S790。方法700涉及四个阶段。阶段一为认证通过前的流程，阶段一包括S710至S730。阶段二为认证通过的流程。阶段二包括S740至S750。阶段三为终端离线的流程。阶段三包括S760至S770。阶段四为删除静态用户配置或IPoE异常用户老化(租期内没上线)的流程。阶段四包括S780至S790。

应理解，方法700侧重描述与方法600的区别之处，方法700与方法600同理的步骤还请参见方法600，在方法700中不做赘述。

通过对PFCP中状态控制接口以及控制报文重定向接口进行扩展以传输方法500涉及的信令。换句话说，方法500中CPF与UPF交互的各种报文是通过状态控制接口以及控制报文重定向接口传输的。例如，在以下方法700中，S710中PFCP静态会话建立请求通过状态控制接口从CPF下发至UPF，S720中PFCP静态会话建立应答通过状态控制接口从UPF上送至CPF；S730中触发接入的报文通过控制报文重定向接口从UPF上送至CPF；S740中PFCP会话建立请求通过状态控制接口从CPF下发至UPF，S750中PFCP会话建立应答通过状态控制接口从UPF上送至CPF；S760中PFCP会话删除请求通过状态控制接口从CPF下发至UPF，S770中PFCP会话删除应答通过状态控制接口从UPF上送至CPF；S780中PFCP静态会话删除请求通过状态控制接口从CPF下发至UPF，S790中PFCP静态会话Deletion Response通过状态控制接口从UPF上送至CPF。

S700、在CPF上配置静态用户表；或者，由CPF产生IPoE异常下线用户表。

S710、CPF向UPF发送PFCP静态会话建立请求。

具体地，CPF会生成PFCP静态会话建立请求，向UPF发送PFCP静态会话建立请求，从而通知UPF创建会话，以便UPF匹配该会话的IP流之后将报文重定向到CPF。

其中，PFCP静态会话建立请求是一种PFCP会话消息。PFCP静态会话建立请求的消息类型用于指示为第一类用户创建PFCP会话。例如，参见上表23，PFCP静态会话建立请求的消息类型的类型值是58，58是PFCP中预留的会话级消息类型值，可以使用58标识为静态用户创建PFCP会话。PFCP静态会话建立请求携带PDR，PDR为上述方法500涉及的第一策略。PFCP静态会话建立请求中的PDR包括PDI和PA。PDI包括第一类用户的信息，以使UPF将第一类用户的信息作为识别报文流的参数，依据第一类用户的信息执行第一策略。PDI包括IPv4地址或IPv6地址。可选地，PDI还包括VLAN标签或接入接口对应的接口索引。PA用于指示重定向至CPF。

通过扩展了一种新消息类型的PCFP消息，CPF使用新消息类型的PCFP消息向UPF下发具有固定IP地址的用户的信息以及重定向的动作，使得认证通过后，CPF为具有固定IP地址的用户以及其他用户可以统一使用PFCP会话建立请求来下发会话，因此降低了CPF对正常终端接入处理的复杂性。

在一些实施例中，CPF将第一类用户的会话的会话ID以及第一类用户的优先级携带在PFCP静态会话建立请求中，发送至UPF。PFCP静态会话建立请求包括第一类用户的会话的会话ID以及优先级。UPF从PFCP静态会话建立请求获得第一类用户的会话的会话ID以及优先级，创建具有该会话ID以及该优先级的会话。例如，PFCP静态会话建立请求包括ID＝1且优先级＝1，则UPF创建ID为1且优先级＝1的会话。

S720、UPF接收PFCP静态会话建立请求，生成PFCP静态会话建立应答，向CPF发送PFCP静态会话建立应答。

此外，UPF创建至少一个PFCP会话。

S730、UP设备接收报文，根据PDA，对报文包括的第一信息与第一类用户的信息进行匹配。若第一信息与PDI中的第一类用户的信息满足第一匹配条件，则UP设备按照PDI对应的包动作PA，向BNG包括的CP设备发送报文。

具体地，UPF接收到报文时，使用源IP、接口等信息匹配Session(ID＝1,优先级＝1)表，若匹配PDR成功，将报文通过GTP-U或者Vxlan隧道重定向到CPF。

S740、CPF完成终端的认证，CPF生成PFCP会话建立请求，向UPF发送PFCP会话建立请求。

其中，PFCP会话建立请求携带PDR，PDR为上述方法500涉及的第二策略。具体地，PFCP会话建立请求中的PDR包括PDI和PA。PDI包括静态用户表和异常用户表。UPF在转发阶段，会从报文中提取参数，使用报文的参数与PDI中的静态用户表和异常用户表匹配。UPF使用的报文的参数包括IPv4地址、IPv6地址、VLAN标签和接入接口对应的接口索引。PA用于指示转发报文。CPF通过向UPF发送PFCP会话建立请求，从而将静态用户表和异常用户表下发至UPF。PFCP会话建立请求包括“Key＝IP+MAC+VLAN+接口，action＝forward”。CPF通过PFCP会话建立请求指示UPF匹配该会话的IP流之后进行转发。

在一些实施例中，CPF将第一类用户的会话的会话ID以及第一类用户的优先级携带在PFCP会话建立请求中，发送至UPF。PFCP会话建立请求包括第一类用户的会话的会话ID以及优先级。PFCP会话建立请求中的优先级大于PFCP静态会话建立请求中的优先级。PFCP会话建立请求中的会话ID和PFCP静态会话建立请求中的会话ID相同。UPF从PFCP会话建立请求获得第一类用户的会话的会话ID以及优先级，创建具有该会话ID以及该优先级的会话。例如，PFCP会话建立请求包括ID＝1且优先级＝2，则UPF创建ID为1且优先级＝2的Session。

S750、UPF接收FCPF会话建立请求，生成PFCP会话建立应答，向CPF发送PFCP会话建立应答。此外，UPF会在会话表中添加会话。

S760、当检测到UPF的接口故障或单板故障，CPF对终端进行离线处理。CPF生成PFCP会话删除请求，向UPF发送PFCP会话删除请求。

S770、UPF接收PFCP会话删除请求，生成PFCP静态会话删除应答，向CPF发送PFCP会话删除应答。

在一些实施例中，PFCP会话删除请求包括会话ID，从而指示UPF删除会话ID对应的PFCP会话。例如PFCP会话删除请求包括ID＝1，UPF根据PFCP会话删除请求，会删除会话ID为1的PFCP会话。

S780、CPF检测到静态用户配置的被删除或IPoE异常用户老化(租期内没上线)，CPF生成PFCP静态会话删除请求，向UPF发送PFCP静态会话删除请求。

PFCP静态会话删除请求是一种PFCP会话消息。PFCP静态会话删除请求的消息类型用于指示删除第一类用户的PFCP会话。例如，参见上表23，PFCP静态会话建立请求的消息类型的类型值是60，60是PFCP中预留的会话级消息类型值，可以使用60标识删除静态用户的FCPF会话。

S790、UPF接收PFCP静态会话删除请求，生成PFCP静态会话删除应答，向CPF发送PFCP静态会话删除应答。并且，UPF会删除静态会话。

以下，对上述方法700中PFCP静态会话建立请求携带的IE进行介绍。

参见下表24，表24示出了方法700涉及IE的表格中使用的标识符的含义。

表24

IE是否出现在方法700的分类	解释
		Mandatory(M)	必选项
Conditional(C)	满足某种条件就需要携带
		Conditional-Optional(CO)	满足某种条件可以选择携带
Optional(O)	可选择携带

参见下表25，表25对方法700涉及的几种类型IE进行了举例说明。

表25

参见下表26，表26对PFCP静态会话建立应答涉及的几种类型IE进行了举例说明。

表26

IE	P	条件/注释	IE类型
				Node ID	M	UPF的设备号	Node ID
Cause	M	处理的结果	Cause

此外，PFCP静态会话删除请求复用消息头中的会话ID，指示UPF删除对应的会话。PFCP静态会话删除应答消息中携带的IE例如下表27所示。

表27

IE	P	条件/注释	IE类型
				Node ID	M	UPF的设备号	Node ID
Cause	M	处理的结果	Cause

此外，方法700中扩展的grouped IE和Embedded IE与方法600相同，还请参考上述方法600。

本实施例提供了一种CU分离的BNG进行接入认证的场景下基于PFCP避免CP设备受到攻击的方法，在减轻CPF负担并降低CPF被攻击的风险的基础上，通过在PFCP中扩展了新类型的会话消息下发静态用户以及异常下线用户的信息，并复用会话处理模型和PDR的机制来执行重定向的策略，不仅能令UPF上执行安全策略的方案与PFCP架构更平滑地融合，还能避免认证通过后CPF向UPF下发会话以及CPF进行下线处理时，由于CPF需要区分具有固定IP的用户与其他用户而导致CPF处理复杂的问题，因此简化了CPF正常的业务处理过程。

方法600和方法700涉及的PFCP会话建立请求或PFCP静态会话建立请求是对CPF下发第一策略时采用的PFCP消息的举例说明。在另一些实施例中，CPF将第一策略携带在PFCP会话建立请求或PFCP静态会话建立请求之外的其他PFCP消息中，通过向UPF发送其他PFCP消息来下发第一策略，本实施例对下发第一策略时使用的PFCP消息的类型不做限定。

方法600和方法700涉及的PFCP会话删除请求或PFCP静态会话删除请求是对CPF指示UPF删除具有固定IP地址的用户的信息时采用的PFCP消息的举例说明。在另一些实施例中，CPF将第一策略携带在PFCP会话删除请求或PFCP静态会话删除请求之外的其他PFCP消息中，通过向UPF发送其他PFCP消息，来指示UPF删除具有固定IP地址的用户的信息，本实施例对删除具有固定IP地址的用户的信息时使用的PFCP消息的类型不做限定。

方法600和方法700描述的采用PFCP来实现方法500是一种可选方式。在另一些实施例中，采用PFCP之外的其他C/U之间的通信协议实现方法500。C/U之间的通信协议可以称为控制用户面分离(Control User Plane Separation，CUPS)接口协议或SCi协议。

以上介绍了本申请实施例的方法400、方法500、方法600和方法700，以下介绍本申请实施例的UP设备和CP设备。

以下介绍的UP设备和CP设备分别具有上述方法400、方法500、方法600和方法700中UPF或CPF的任意功能。以下介绍的UP设备对应于UPF，以下介绍的CP设备对应于CPF。

附图28是本申请实施例提供的一种UP设备800的结构示意图，该UP设备800位于UP和CP分离的通信系统中，如附图28所示，UP设备800包括：接收模块801，用于接收报文；

匹配模块802，用于对该报文包括的第一信息与第一类用户的信息进行匹配，该第一类用户具有固定的互联网协议IP地址；

发送模块803，用于若该第一信息与该第一类用户的信息满足第一匹配条件，向控制平面CP设备发送该报文。

可选地，该第一类用户包括静态用户或异常下线用户中的至少一项。

可选地，该匹配模块802，还用于对该报文包括的第二信息与第二类用户的信息进行匹配，该第二类用户已通过认证；

该UP设备还包括：确定模块，用于确定该第二信息与该第二类用户的信息不满足第二匹配条件。

可选地，该发送模块803，用于若该第一信息与包检测信息PDI中的该第一类用户的信息满足第一匹配条件，按照该PDI对应的包动作PA，向该CP设备发送该报文，该PA用于指示重定向至该CP设备。

可选地，该接收模块801，还用于从该CP设备接收第一策略，该第一策略用于指示在该报文包括的第一信息与该第一类用户的信息满足该第一匹配条件的情况下将该报文重定向至该CP设备。

可选地，该接收模块801，用于从该CP设备接收第一包转发控制协议PFCP消息，该第一PFCP消息携带的包检测规则PDR为该第一策略；其中，该第一PFCP消息为PFCP会话建立请求；或者，该第一PFCP消息为包括第一消息类型的PFCP会话消息，该第一消息类型用于指示为该第一类用户创建PFCP会话。

可选地，该第一PFCP消息包括接口索引，该接口索引用于标识该UP设备上的接入接口，该接入接口为该第一类用户的终端接入的接口。

可选地，该接口索引携带在具有第一信息元素IE类型的IE中，该第一IE类型用于标识IE包括该接口索引。

可选地，该发送模块803，用于向该报文添加通用无线分组业务隧道协议用户面部分GTP-U头，发送添加有该GTP-U头的该报文；或者，向该报文添加虚拟扩展局域网Vxlan头，发送添加有该Vxlan头的该报文。

可选地，该接收模块801，还用于从该CP设备接收重定向参数，该重定向参数包括GTP-U隧道信息或Vxlan隧道信息中的至少一项。

可选地，该重定向参数携带在具有第二IE类型的IE中，该第二IE类型用于标识IE包括该重定向参数。

可选地，该Vxlan隧道信息携带在具有第三IE类型的IE中，该第三IE类型用于标识IE包括该Vxlan隧道信息。

可选地，该接收模块801，还用于从该CP设备接收删除请求；该UP设备还包括：删除模块，用于响应于该删除请求，删除该第一类用户的信息。

可选地，该删除请求为第二PFCP消息；

该第二PFCP消息为PFCP会话删除请求；或者，

该第二PFCP消息包括第二消息类型的PFCP会话消息，该第二消息类型用于指示删除该第一类用户的PFCP会话。

可选地，该UP设备还包括：丢弃模块，用于若该第一信息与该第一类用户的信息不满足该第一匹配条件，丢弃该报文。

应理解，UP设备800对应于上述方法实施例中的UPF(UP设备)，UP设备800中的各模块和上述其他操作和/或功能分别为了实现方法400、方法500、方法600和方法700中的UPF(UP设备)所实施的各种步骤和方法，具体细节可参见上述方法400、方法500、方法600和方法700，为了简洁，在此不再赘述。

应理解，UP设备800在处理报文时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将UP设备800的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的UP设备800与上述方法400、方法500、方法600和方法700属于同一构思，其具体实现过程详见方法400、方法500、方法600和方法700，这里不再赘述。

附图29是本申请实施例提供的一种CP设备810的结构示意图，CP设备810位于CP和UP分离的通信系统中，如附图29所示，CP设备810包括：发送模块811，用于向用户平面UP设备发送第一策略，该第一策略用于指示在报文包括的第一信息与第一类用户的信息满足第一匹配条件的情况下将该报文重定向至该CP设备，该第一类用户具有固定的互联网协议IP地址；

接收模块812，用于从该UP设备接收该报文；

处理模块813，用于根据该报文进行接入处理。

可选地，该第一类用户包括静态用户或异常下线用户中的至少一项，该静态用户是指具有固定的IP地址的用户，该异常下线用户是指在该通信系统分配的IP地址的租期内由于该通信系统出现故障而异常下线的用户。

可选地，该发送模块811，用于发送第一包转发控制协议PFCP消息，该第一PFCP消息携带有该第一策略；其中，该第一PFCP消息为PFCP会话建立请求；或者，该第一PFCP消息为包括第一消息类型的PFCP会话消息，该第一消息类型用于指示为该第一类用户创建PFCP会话。

可选地，该报文添加有通用无线分组业务隧道协议用户面部分GTP-U头或虚拟扩展局域网Vxlan头，该发送模块811，还用于向该UP设备发送重定向参数，该重定向参数包括GTP-U隧道信息或Vxlan隧道信息中的至少一项。

可选地，该CP设备包括：检测模块，用于检测到该第一类用户的配置信息被删除或该第一类用户的租期超时；

该发送模块811，还用于向该UP设备发送删除请求，该删除请求用于指示删除该第一类用户的信息。

可选地，该删除请求为第二PFCP消息；

该第二PFCP消息为PFCP会话删除请求；或者，

该第二PFCP消息包括第二消息类型的PFCP会话消息，该第二消息类型用于指示删除该第一类用户的PFCP会话。

可选地，该第一PFCP消息包括接口索引，该接口索引用于标识该UP设备上的接入接口，该接入接口为该第一类静态用户的终端接入的接口或该异常下线用户的终端接入的接口。

可选地，该接口索引携带在具有第一信息元素IE类型的分组IE中，该第一IE类型用于标识IE包括该接口索引。

可选地，该重定向参数携带在具有第二IE类型的分组IE中，该第二IE类型用于标识IE包括该重定向参数。

可选地，该Vxlan隧道信息携带在具有第三IE类型的嵌入式IE中，该第三IE类型用于标识IE包括该Vxlan隧道信息。

应理解，CP设备810对应于上述方法实施例中的CPF(CP设备)，CP设备810中的各模块和上述其他操作和/或功能分别为了实现方法400、方法500、方法600和方法700中的CPF(CP设备)所实施的各种步骤和方法，具体细节可参见上述方法400、方法500、方法600和方法700，为了简洁，在此不再赘述。

应理解，CP设备810在处理报文时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将CP设备810的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的CP设备810与上述方法400、方法500、方法600和方法700属于同一构思，其具体实现过程详见方法400、方法500、方法600和方法700，这里不再赘述。

下面对UP设备或CP设备的硬件结构进行介绍。

以下介绍的设备900或设备1000对应于上述方法400、方法500、方法600和方法700中的UPF(UP设备)或CPF(CP设备)。设备900或设备1000中的各硬件、模块和上述其他操作和/或功能分别为了实现方法实施例中UPF(UP设备)或CPF(CP设备)所实施的各种步骤和方法，关于设备900或设备1000如何处理报文的详细流程，具体细节可参见上述方法400、方法500、方法600和方法700，为了简洁，在此不再赘述。其中，方法400、方法500、方法600和方法700的各步骤通过设备900或设备1000处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤，为避免重复，这里不再详细描述。

设备900对应于上述UP设备800或CP设备810，UP设备800或CP设备810中的每个功能模块采用设备900的软件实现。换句话说，UP设备800或CP设备810包括的功能模块为设备900的处理器读取存储器中存储的程序代码后生成的。

设备1000对应于上述UP设备800，UP设备800中的每个功能模块采用设备1000的软件实现。换句话说，UP设备800包括的功能模块为设备1000的处理器读取存储器中存储的程序代码后生成的。

参见附图30，附图30示出了本申请一个示例性实施例提供的设备900的结构示意图。可选地，该设备900配置为UPF(UP设备)或CPF(CP设备)。换句话说，上述方法400、方法500、方法600和方法700中的UPF(UP设备)或CPF(CP设备)可选地通过设备900实现。

该设备900例如是网络设备，比如说设备900是交换机、路由器等。或者，该设备900例如是计算设备，比如说设备900是主机、服务器或个人计算机等。该设备900可以由一般性的总线体系结构来实现。

设备900包括至少一个处理器901、通信总线902、存储器903以及至少一个通信接口904。

处理器901例如是通用中央处理器(central processing unit，CPU)、网络处理器(network processer，NP)、图形处理器(Graphics Processing Unit，GPU)、神经网络处理器(neural-network processing units，NPU)、数据处理单元(Data Processing Unit，DPU)、微处理器或者一个或多个用于实现本申请方案的集成电路。例如，处理器901包括专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。PLD例如是复杂可编程逻辑器件(complexprogrammable logic device，CPLD)、现场可编程逻辑门阵列(field-programmable gatearray，FPGA)、通用阵列逻辑(generic array logic，GAL)或其任意组合。

通信总线902用于在上述组件之间传送信息。通信总线902可以分为地址总线、数据总线、控制总线等。为便于表示，附图30中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器903例如是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其它类型的静态存储设备，又如是随机存取存储器(random access memory，RAM)或者可存储信息和指令的其它类型的动态存储设备，又如是电可擦可编程只读存储器(electrically erasable programmable read-only Memory，EEPROM)、只读光盘(compactdisc read-only memory，CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备，或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器903例如是独立存在，并通过通信总线902与处理器901相连接。存储器903也可以和处理器901集成在一起。

通信接口904使用任何收发器一类的装置，用于与其它设备或通信网络通信。通信接口904包括有线通信接口，还可以包括无线通信接口。其中，有线通信接口例如可以为以太网接口。以太网接口可以是光接口，电接口或其组合。无线通信接口可以为无线局域网(wireless local area networks，WLAN)接口，蜂窝网络通信接口或其组合等。

在具体实现中，作为一种实施例，处理器901可以包括一个或多个CPU，如附图30中所示的CPU0和CPU1。

在具体实现中，作为一种实施例，设备900可以包括多个处理器，如附图30中所示的处理器901和处理器905。这些处理器中的每一个可以是一个单核处理器(single-CPU)，也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，设备900还可以包括输出设备和输入设备。输出设备和处理器901通信，可以以多种方式来显示信息。例如，输出设备可以是液晶显示器(liquid crystal display，LCD)、发光二级管(light emitting diode，LED)显示设备、阴极射线管(cathode ray tube，CRT)显示设备或投影仪(projector)等。输入设备和处理器901通信，可以以多种方式接收用户的输入。例如，输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。

在一些实施例中，存储器903用于存储执行本申请方案的程序代码910，处理器901可以执行存储器903中存储的程序代码910。也即是，设备900可以通过处理器901以及存储器903中的程序代码910，来实现方法实施例提供的报文处理方法。

本申请实施例的设备900可对应于上述各个方法实施例中的UPF(UP设备)或CPF(CP设备)，并且，该设备900中的处理器901、通信接口904等可以实现上述各个方法实施例中的UPF(UP设备)或CPF(CP设备)所具有的功能和/或所实施的各种步骤和方法。为了简洁，在此不再赘述。

在UP设备(UPF)采用设备900实现的情况下，在一些实施例中，附图28所示的UP设备800中的接收模块801、发送模块803相当于设备900中的通信接口904；UP设备800中的匹配模块802可以相当于设备900中的处理器901。

在CP设备(CPF)采用设备900实现的情况下，在一些实施例中，附图29所示的CP设备810中的发送模块811、接收模块812相当于设备900中的通信接口904；CP设备810中的处理模块813可以相当于设备900中的处理器901。

参见附图31，附图31示出了本申请一个示例性实施例提供的设备1000的结构示意图，可选地，该设备1000配置为UPF(UP设备)。换句话说，上述方法400、方法500、方法600和方法700中的UPF(UP设备)可选地通过设备1000实现。

该设备1000例如是网络设备，比如说设备1000是交换机、路由器等。设备1000包括：主控板1010和接口板1030。

主控板也称为主处理单元(main processing unit，MPU)或路由处理卡(routeprocessor card)，主控板1010用于对设备1000中各个组件的控制和管理，包括路由计算、设备管理、设备维护、协议处理功能。主控板1010包括：中央处理器1011和存储器1012。

接口板1030也称为线路接口单元卡(line processing unit，LPU)、线卡(linecard)或业务板。接口板1030用于提供各种业务接口并实现数据包的转发。业务接口包括而不限于以太网接口、POS(Packet over SONET/SDH)接口等，以太网接口例如是灵活以太网业务接口(Flexible Ethernet Clients，FlexE Clients)。接口板1030包括：中央处理器1031、网络处理器1032、转发表项存储器1034和物理接口卡(ph10sical interface card，PIC)1033。

接口板1030上的中央处理器1031用于对接口板1030进行控制管理并与主控板1010上的中央处理器1011进行通信。

网络处理器1032用于实现报文的转发处理。网络处理器1032的形态可以是转发芯片。具体而言，网络处理器1032用于基于转发表项存储器1034保存的转发表转发接收到的报文，如果报文的目的地址为设备1000的地址，则将该报文上送至CPU(如中央处理器1011)处理；如果报文的目的地址不是设备1000的地址，则根据该目的地址从转发表中查找到该目的地址对应的下一跳和出接口，将该报文转发到该目的地址对应的出接口。其中，上行报文的处理包括：报文入接口的处理，转发表查找；下行报文的处理：转发表查找等等。

物理接口卡1033用于实现物理层的对接功能，原始的流量由此进入接口板1030，以及处理后的报文从该物理接口卡1033发出。物理接口卡1033也称为子卡，可安装在接口板1030上，负责将光电信号转换为报文并对报文进行合法性检查后转发给网络处理器1032处理。在一些实施例中，中央处理器也可执行网络处理器1032的功能，比如基于通用CPU实现软件转发，从而物理接口卡1033中不需要网络处理器1032。

可选地，设备1000包括多个接口板，例如设备1000还包括接口板1040，接口板1040包括：中央处理器1041、网络处理器1042、转发表项存储器1044和物理接口卡1043。

可选地，设备1000还包括交换网板1020。交换网板1020也可以称为交换网板单元(switch fabric unit，SFU)。在网络设备有多个接口板1030的情况下，交换网板1020用于完成各接口板之间的数据交换。例如，接口板1030和接口板1040之间可以通过交换网板1020通信。

主控板1010和接口板1030耦合。例如。主控板1010、接口板1030和接口板1040，以及交换网板1020之间通过系统总线与系统背板相连实现互通。在一种可能的实现方式中，主控板1010和接口板1030之间建立进程间通信协议(inter-process communication，IPC)通道，主控板1010和接口板1030之间通过IPC通道进行通信。

在逻辑上，设备1000包括控制面和转发面，控制面包括主控板1010和中央处理器1031，转发面包括执行转发的各个组件，比如转发表项存储器1034、物理接口卡1033和网络处理器1032。控制面执行路由器、生成转发表、处理信令和协议报文、配置与维护设备的状态等功能，控制面将生成的转发表下发给转发面，在转发面，网络处理器1032基于控制面下发的转发表对物理接口卡1033收到的报文查表转发。控制面下发的转发表可以保存在转发表项存储器1034中。在有些实施例中，控制面和转发面可以完全分离，不在同一设备上。

下面结合设备1000对方法400、方法500、方法600和方法700简要说明。

UP设备通过物理接口卡1033接收报文，确定该报文的目的IP地址为设备1000的地址，则将报文上送至中央处理器1031进行处理。该中央处理器1031访问转发表项存储器1034，得到转发表项存储器1034上保存的第一类用户的信息。中央处理器1031对该报文包括的第一信息与第一类用户的信息进行匹配。该中央处理器1031确定该第一信息与该第一类用户的信息满足第一匹配条件，物理接口卡1033向CP设备发送该报文。

在UP设备(UPF)采用设备1000实现的情况下，在一些实施例中，附图28所示的UP设备800中的接收模块801、发送模块803相当于设备1000中的物理接口卡1033；UP设备800中的匹配模块802相当于网络处理器1032、中央处理器1031或中央处理器1011。

应理解，本申请实施例中接口板1040上的操作与接口板1030的操作一致，为了简洁，不再赘述。应理解，本实施例的设备1000可对应于上述各个方法实施例中的UP设备(UPF)，该设备1000中的主控板1010、接口板1030和/或1040可以实现上述各个方法实施例中的UP设备(UPF)所具有的功能和/或所实施的各种步骤，为了简洁，在此不再赘述。

值得说明的是，主控板可能有一块或多块，有多块的时候可以包括主用主控板和备用主控板。接口板可能有一块或多块，网络设备的数据处理能力越强，提供的接口板越多。接口板上的物理接口卡也可以有一块或多块。交换网板可能没有，也可能有一块或多块，有多块的时候可以共同实现负荷分担冗余备份。在集中式转发架构下，网络设备可以不需要交换网板，接口板承担整个系统的业务数据的处理功能。在分布式转发架构下，网络设备可以有至少一块交换网板，通过交换网板实现多块接口板之间的数据交换，提供大容量的数据交换和处理能力。所以，分布式架构的网络设备的数据接入和处理能力要大于集中式架构的设备。可选地，网络设备的形态也可以是只有一块板卡，即没有交换网板，接口板和主控板的功能集成在该一块板卡上，此时接口板上的中央处理器和主控板上的中央处理器在该一块板卡上可以合并为一个中央处理器，执行两者叠加后的功能，这种形态设备的数据交换和处理能力较低(例如，低端交换机或路由器等网络设备)。具体采用哪种架构，取决于具体的组网部署场景，此处不做任何限定。

参见附图32，本申请实施例提供了一种通信系统1100，该通信系统1100包括：UP设备1101和CP设备1102。可选的，UP设备1101为如附图28所示的UP设备800、附图30所示的设备900或附图31所示的设备1000，CP设备为如附图29该的CP设备810或附图30所示的设备900。

本领域普通技术人员可以意识到，结合本文中所公开的实施例中描述的各方法步骤和模块，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各实施例的步骤及组成。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、设备和模块的具体工作过程，可以参见前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、设备和方法，可以通过其它的方式实现。例如，以上所描述的设备实施例仅仅是示意性的，例如，该模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、设备或模块的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

该作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以是两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

该集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例中方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请中术语“第一”“第二”等字样用于对作用和功能基本相同的相同项或相似项进行区分，应理解，“第一”、“第二”之间不具有逻辑或时序上的依赖关系，也不对数量和执行顺序进行限定。还应理解，尽管以下描述使用术语第一、第二等来描述各种元素，但这些元素不应受术语的限制。这些术语只是用于将一元素与另一元素区别分开。例如，在不脱离各种所述示例的范围的情况下，第一信息可以被称为第二信息，并且类似地，第二信息可以被称为第一信息。第一信息和第二信息都可以是信息，并且在某些情况下，可以是单独且不同的信息。

本申请中术语“至少一个”的含义是指一个或多个，本申请中术语“多个”的含义是指两个或两个以上。本文中术语“系统”和“网络”经常可互换使用。

还应理解，术语“若”可被解释为意指“当...时”(“when”或“upon”)或“响应于确定”或“响应于检测到”。类似地，根据上下文，短语“若确定...”或“若检测到[所陈述的条件或事件]”可被解释为意指“在确定...时”或“响应于确定...”或“在检测到[所陈述的条件或事件]时”或“响应于检测到[所陈述的条件或事件]”。

以上描述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机程序指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例中的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机程序指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如，数字视频光盘(digitalvideo disc，DVD)、或者半导体介质(例如固态硬盘)等。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上描述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (20)

1.一种报文处理方法，其特征在于，应用于控制平面CP和用户平面UP分离的通信系统中的UP设备，所述方法包括：

所述UP设备从所述通信系统中的CP设备接收第一策略，所述第一策略包括第一类用户的信息；

所述UP设备接收报文；

所述UP设备对所述报文包括的第一信息与所述第一类用户的信息进行匹配；

若所述第一信息与所述第一类用户的信息满足第一匹配条件，所述UP设备向所述CP设备发送所述第一报文。

2.根据权利要求1所述的方法，其特征在于，所述第一类用户包括静态用户或异常下线用户中的至少一项。

3.根据权利要求1或2所述的方法，其特征在于，所述UP设备对所述第一报文包括的第一信息与所述第一类用户的信息进行匹配之前，所述方法还包括：

所述UP设备对所述第一报文包括的第二信息与第二类用户的信息进行匹配，所述第二类用户已通过认证；

所述UP设备确定所述第二信息与所述第二类用户的信息不满足第二匹配条件。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述若所述第一信息与所述第一类用户的信息满足所述第一匹配条件，所述UP设备向所述CP设备发送所述第一报文，包括：

若所述第一信息与包检测信息PDI中的所述第一类用户的信息满足所述第一匹配条件，所述UP设备按照所述PDI对应的包动作PA，向所述CP设备发送所述第一报文，所述PA用于指示重定向至所述CP设备。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述UP设备从所述CP设备接收第一策略，包括：

所述UP设备从所述CP设备接收第一包转发控制协议PFCP消息，所述第一PFCP消息携带的包检测规则PDR为所述第一策略；

其中，所述第一PFCP消息为PFCP会话建立请求；或者，所述第一PFCP消息为包括第一消息类型的PFCP会话消息，所述第一消息类型用于指示为所述第一类用户创建PFCP会话。

6.根据权利要求5所述的方法，其特征在于，所述第一PFCP消息包括接口索引，所述接口索引用于标识所述UP设备上的接入接口，所述接入接口为所述第一类用户的终端接入的接口。

7.根据权利要求6所述的方法，其特征在于，所述接口索引携带在具有第一信息元素IE类型的IE中，所述第一IE类型用于标识IE包括所述接口索引。

8.根据权利要求1-7任一项所述的方法，其特征在于，所述UP设备向所述CP设备发送所述第一报文，包括：

所述UP设备向所述第一报文添加通用无线分组业务隧道协议用户面部分GTP-U头，发送添加有所述GTP-U头的所述第一报文；或者，

所述UP设备向所述第一报文添加虚拟扩展局域网Vxlan头，发送添加有所述Vxlan头的所述第一报文。

9.根据权利要求1-8任一项所述的方法，其特征在于，所述UP设备接收第一报文之前，所述方法还包括：

所述UP设备从所述CP设备接收重定向参数，所述重定向参数包括GTP-U隧道信息或Vxlan隧道信息中的至少一项。

10.根据权利要求9所述的方法，其特征在于，所述重定向参数携带在具有第二IE类型的IE中，所述第二IE类型用于标识IE包括所述重定向参数。

11.根据权利要求10所述的方法，其特征在于，所述Vxlan隧道信息携带在具有第三IE类型的IE中，所述第三IE类型用于标识IE包括所述Vxlan隧道信息。

12.根据权利要求1-11任一项所述的方法，其特征在于，所述UP设备向所述CP设备发送所述报文之后，所述方法还包括：

所述UP设备从所述CP设备接收删除请求；

所述UP设备响应于所述删除请求，删除所述第一类用户的信息。

13.根据权利要求1-12任一项所述的方法，其特征在于，所述UP设备对所述第一报文包括的第一信息与所述第一类用户的信息进行匹配之后，所述方法还包括：

若所述第一信息与所述第一类用户的信息不满足所述第一匹配条件，所述UP设备丢弃所述第一报文。

14.一种报文处理方法，其特征在于，应用于控制平面CP和用户平面UP分离的通信系统中的CP设备，所述方法包括：

所述CP设备向所述通信系统中的UP设备发送第一策略，所述第一策略用于指示在所述UP设备接收到的报文包括的信息与第一类用户的信息满足第一匹配条件的情况下将所述报文重定向至所述CP设备；

所述CP设备从所述UP设备接收所述报文；

所述CP设备根据所述报文进行接入处理。

15.根据权利要求14所述的方法，其特征在于，所述第一类用户包括静态用户或异常下线用户中的至少一项，所述静态用户是指具有固定的IP地址的用户，所述异常下线用户是指在所述通信系统分配的IP地址的租期内由于所述通信系统出现故障而异常下线的用户。

16.根据权利要求14或15所述的方法，其特征在于，所述发送第一策略，包括：

发送第一包转发控制协议PFCP消息，所述第一PFCP消息携带有所述第一策略；

其中，所述第一PFCP消息为PFCP会话建立请求，或者，所述第一PFCP消息为包括第一消息类型的PFCP会话消息，所述第一消息类型用于指示为所述第一类用户创建PFCP会话。

17.根据权利要求14-16任一项所述的方法，其特征在于，所述CP设备根据所述报文进行接入处理之后，所述方法包括：

所述CP设备检测到所述第一类用户的配置信息被删除或所述第一类用户的租期超时；

所述CP设备向所述UP设备发送删除请求，所述删除请求用于指示删除所述第一类用户的信息。

18.一种网络设备，其特征在于，所述网络设备用于执行如权利要求1-17任一项所述的方法。

19.一种通信系统，其特征在于，所述通信系统包括分离的用户平面UP设备和控制平面CP设备，其中，所述UP设备用于执行如权利要求1-13任一项所述的方法，所述CP设备用于执行如权利要求14-17任一项所述的方法。

20.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令，所述指令由处理器读取以使计算机设备执行如权利要求1至权利要求17中任一项所述的方法。