WO2012094919A1 - 一种策略控制方法及系统 - Google Patents

Abstract

一种策略控制方法和系统，该方法包括：3GPP网络设备将外部IP包头信息发送给宽带接入论坛（BBF）接入网设备；所述BBF接入网设备将与所述外部IP包头信息匹配的数据包按照所述数据包的差分服务代码点（DSCP）进行转发。上述技术方案使得未经接纳控制业务数据流不会抢占其他经过接纳控制的业务数据流的资源。

Description

一种策略控制方法及系统

技术领域

本发明涉及 3GPP和宽带论坛（BBF, Broadband Forum )互连互通中的 策略控制技术， 尤指一种策略控制方法及系统。 背景技术

图 1为第三代合作伙伴计划 （3GPP, 3rd Generation Partnership Project ) 演进的分组系统（EPS, Evolved Packet System )组成架构示意图， 在图 1所 示的非漫游场景的 EPS网络架构中， 包括演进的通用移动通信系统陆地无线 接入网 ( E-UTRAN, Evolved Universal Terrestrial Radio Access Network )、 移 动管理单元（ MME, Mobility Management Entity )、服务网关（ S-GW, Serving Gateway )、 分组数据网络网关 ( P-GW, Packet Data Network Gateway, 也称 为 PDN GW)、 归属用户服务器（HSS, Home Subscriber Server ) 、 策略和计 费规则功能（PCRF, Policy and Charging Rules Function ) 实体及其他支撑节 点。

其中， PCRF是策略和计费控制（PCC )的核心， 负责 PCC规则的制定。 PCRF提供了基于业务数据流的网络控制规则，这些网络控制包括业务数据流 的检测、 门控（ Gating Control ) 、 服务质量（QoS, Quality of Service )控制 以及基于数据流的计费规则等。 PCRF将其制定的 PCC规则发送给策略与计 费执行功能（PCEF )执行， 同时， PCRF还需要保证这些规则和用户的签约 信息一致。 PCRF制定 PCC规则的依据包括： 从应用功能（AF, Application Function )获取与业务相关的信息；从用户签约数据库（ SPR, Subscription Profile Repository )获取用户 PCC签约信息； 从 PCEF获取与承载相关网络的信息。

EPS支持与非 3GPP系统的互通， EPS与非 3GPP系统的互通通过 S2a/b/c 接口实现， P-GW作为 3GPP与非 3GPP系统间的锚点。 如图 1所示， 其中非 3GPP系统被分为可信任非 3GPP IP接入和不可信任非 3GPP IP接入。可信任 非 3GPP IP接入可直接通过 S2a接口与 P-GW连接； 不可信任非 3GPP IP接 入需经过演进的分组数据网关（ ePDG, Evolved Packet Data Gateway )与 P-GW 相连， ePDG与 P-GW间的接口为 S2b接口，并且 UE和 ePDG之间釆用 Internet 协议安全性（IPSec )对信令和数据进行加密保护。 S2c接口提供了用户设备 ( UE, User Equipment )与 P-GW之间的用户面相关的控制和移动性支持， 其支持的移动性管理协议为支持双栈的移动 IPv6 ( DSMIPv6 , Mobile IPv6 support for dual stack Hosts and Routers ) 。

目前， 艮多运营商关注固网移动融合（ FMC , Fixed Mobile Convergence ) , 并针对 3GPP和宽带论坛（BBF, Broadband Forum )互连互通进行研究。 对 于用户通过 BBF接入移动核心网的场景， 需要对数据的整个传输路径（数据 会经过固网和移动网传输）上的 QoS进行保证。 目前通过 PCRF与 BBF接入 中的宽带策略控制架构（ BPCF , Broadband Policy Control Framework )进行交 互， 实现 QoS保障。 BPCF为 BBF接入中的策略控制架构， 对 PCRF的资源 请求消息， BPCF根据 BBF接入的网络策略、 签约信息等进行资源接纳控制 或者将资源请求消息转发给 BBF接入网的其他网元（如宽带网络网关（ BNG, Broadband Network Gateway ) , 再由其他网元执行资源接纳控制 （即委托其 他网元执行资源接纳控制） 。 比如： 当 UE通过无线局域网 （WLAN )接入 3GPP核心网时， 为了保证通过一个 WLAN接入线路接入的所有 UE访问业 务的总带宽需求不超过该线路的带宽 （如签约带宽或该线路支持的最大物理 代理 ) , PCRF在进行 QoS授权时需要与 BPCF交互， 以便 BBF接入网执行 资源的接纳控制。

目前 3GPP和 BBF互联互通的研究主要包括两个方面： 3GPP UE通过

BBF的 WLAN接入 EPC的场景和 3GPP UE通过家用基站（ H(e)NB )接入 3GPP 核心网的场景， 其中 H(e)NB将 BBF接入网作为路由路径 ( Backhaul )连接 到 3GPP核心网。

图 2为 3GPP UE通过 WLAN接入 3GPP核心网的架构示意图， 如图 2 所示， BBF接入网作为不可信任的非 3GPP接入。 基于图 2所示的架构， 目 前有三种发起策略互通会话 (即 S9* )建立的方法。

方法 1： 当 UE接入 BBF接入网后， 宽带接入服务器 ( BRAS , Broadband Remote Access Server ) /宽带网络网关 （ BNG, Broadband Network Gateway ) 将执行基于 3GPP的接入认证，同时由 BBF的 BPCF主动发起 S9*会话与 3GPP 的 PCRF进行交互。从而， PCRF在进行 QoS授权时能够与 BPCF交互， BPCF 执行资源的接纳控制或委托其他网元执行资源接纳控制。

方法 2: 当 UE接入 BBF接入网时， 并不执行基于 3GPP的接入认证。

UE与 ePDG交互建立 IPSec隧道后 , ePDG将 UE的本地地址 ( BBF接入网 为 UE分配的地址 )发送给 P-GW, P-GW再发送给 PCRF, PCRF根据 UE的 本地地址确定 BPCF后，反向发起 S9*会话建立与 BPCF进行交互。从而， PCRF 在进行 QoS授权时能够与 BPCF交互， BPCF执行资源的接纳控制或委托其 他网元执行资源接纳控制。

方法 3: 当 UE接入 BBF接入网时， 并不执行基于 3GPP的接入认证。

UE与 ePDG交互建立 IPSec隧道后 , ePDG将 UE的本地地址 ( BBF接入网 为 UE分配的地址 )直接发送给 PCRF, PCRF根据 UE的本地地址确定 BPCF 后， 反向发起 S9*会话建立与 BPCF进行交互。 从而， PCRF在进行 QoS授权 时能够与 BPCF交互， BPCF执行资源的接纳控制或委托其他网元执行资源接 纳控制。

当 UE进行业务访问需要网络为其分配资源时， PCRF首先将制定的 PCC 规则的 QoS信息发送给 BPCF,以便 BBF接入网执行接纳控制。然后， PCRF 将 BBF接入网接受的 PCC规则发送给 PCEF。 PCEF根据 PCC规则对相应的 数据流的 IP 包的头部 （称为内部包头） 进行差分服务代码点 （DSCP, Differentiated Services Code Point ) 的标记， 当该业务数据流 IP包到达 ePDG 时， ePDG将对 IP包进行 IPSec封装， 并在封装时根据 IP包的头部 （即内部 包头 ) 的 DSCP对 IPSec的 IP包的头部 （称为外部包头 )进行标记。 这样， BBF接入网就可以根据 IPSec的 IP包头部的 DSCP进行数据包转发了。

然而上述方案的前提是 3GPP网络支持与 BBF的互通， 若当 PCRF不支 持与 BBF的互通时 (包括 3GPP网络没有部署 PCC的场景）， PCRF不会与 BPCF进行交互请求接纳控制。 这样会导致 PCRF向 PCEF下发的 PCC规则 是根据 PCRF 自身决策的结果。 PCEF根据 PCRF下发的 PCC规则或 PCEF 本地配置的策略（对 3GPP网络没有部署 PCC的场景 )对业务数据流的 IP包 头部进行 DSCP标记。 当这些业务数据流到达 ePDG时， ePDG根据内部包头 的 DSCP标记拷贝 IPSec外部包头的 DSCP。 若这些数据到达 BBF接入网， BBF接入网并不会区分这些业务数据流是否是经过 BBF接入网接纳控制的， 而只是根据 DSCP进行调度。 从而， 这些未经接纳控制业务数据流会抢占其 他经过接纳控制的业务数据流的资源，导致目前整个 FMC策略控制机制的失 败。

UE釆用 DSMIPv6协议通过不可信任非 BBF接入网接入 3GPP, 目前有 两种发起策略互通会话 (即 S9* )建立的方法。

方法 1： 当 UE接入 BBF接入网后， BRAS/BNG将执行基于 3GPP的接 入认证， 同时由 BBF的 BPCF主动发起 S9*会话与 3GPP的 PCRF进行交互。 从而， PCRF在进行 QoS授权时能够与 BPCF交互， BPCF执行资源的接纳控 制或委托其他网元执行资源接纳控制。

方法 2: 当 UE接入 BBF接入网时， 并不执行基于 3GPP的接入认证。 UE与 ePDG交互建立 IPSec隧道后 , ePDG将 UE的本地地址 ( BBF接入网 为 UE分配的地址 )直接发送给 PCRF, PCRF根据 UE的本地地址确定 BPCF 后， 反向发起 S9*会话建立与 BPCF进行交互。 从而， PCRF在进行 QoS授权 时能够与 BPCF交互， BPCF执行资源的接纳控制或委托其他网元执行资源接 纳控制。

当 UE进行业务访问需要网络为其分配资源时， PCRF首先将制定的 PCC 规则的 QoS信息发送给 BPCF,以便 BBF接入网执行接纳控制。然后， PCRF 将 BBF接入网接受的 PCC规则发送给 PCEF。 PCEF根据 PCC规则对相应的 数据流的 IP包的头部（称为内部包头 )进行 DSCP的标记， 当该业务数据流 IP包到达 ePDG时， ePDG将对 IP包进行 IPSec封装， 并在封装时根据 IP包 的头部 （即内部包头） 的 DSCP对 IPSec的 IP包的头部 （称为外部包头）进 行标记。 这样， BBF接入网就可以根据 IPSec的 IP包的头部的 DSCP进行数 据包转发了。

同样， 上述方案的前提是 3GPP网络支持与 BBF的互通， 若当 PCRF不 支持与 BBF的互通时（包括 3GPP网络没有部署 PCC的场景 ) , PCRF不会 与 BPCF进行交互请求接纳控制。 未经接纳控制业务数据流会抢占其他经过 接纳控制的业务数据流的资源， 导致目前整个 FMC策略控制机制的失败。

UE釆用 DSMIPv6协议通过可信任非 BBF接入网接入 3GPP, 现有技术 中也有两种发起策略互通会话 (即 S9* )建立的方法。

方法 1： 当 UE接入 BBF接入网后， BRAS/BNG将执行基于 3GPP的接 入认证， 同时由 BBF的 BPCF主动发起 S9*会话与 3GPP的 PCRF进行交互。 从而， PCRF在进行 QoS授权时能够与 BPCF交互， BPCF执行资源的接纳控 制或委托其他网元执行资源接纳控制。

方法 2: 当 UE接入 BBF接入网时， 并不执行基于 3GPP的接入认证。 UE与 P-GW交互建立 IPSec安全联盟后， P-GW将 UE的本地地址（ BBF接 入网为 UE分配的地址 )直接发送给 PCRF, PCRF根据 UE的本地地址确定 BPCF后，反向发起 S9*会话建立与 BPCF进行交互。从而， PCRF在进行 QoS 授权时能够与 BPCF交互， BPCF执行资源的接纳控制或委托其他网元执行资 源接纳控制。

当 UE进行业务访问需要网络为其分配资源时， PCRF首先将制定的 PCC 规则的 QoS信息发送给 BPCF,以便 BBF接入网执行接纳控制。然后， PCRF 将 BBF接入网接受的 PCC规则发送给 PCEF。 PCEF根据 PCC规则对相应的 数据流的 IP包的头部进行 DSCP的标记。 该业务数据流 IP包到达 BBF接入 网， BBF接入网就可以根据 IP包头部的 DSCP进行数据包转发了。

同样， 上述方案的前提是 3GPP网络支持与 BBF的互通， 若当 PCRF不 支持与 BBF的互通时（包括 3GPP网络没有部署 PCC的场景 ) , PCRF不会 与 BPCF进行交互请求接纳控制。 未经接纳控制业务数据流会抢占其他经过 接纳控制的业务数据流的资源， 导致目前整个 FMC策略控制机制的失败。

图 3、 图 4、 图 5均是 3GPP UE通过 H(e)NB接入 3GPP核心网的架构示 意图， 其中 H(e)NB将 BBF接入网作为 Backhaul连接到 3GPP核心网。 在图 3的架构中， PCRF直接与 BPCF接口， 当 PCRF进行 QoS授权时， PCRF首 先与 BPCF交互， BBF接入网的进行接纳控制成功后， PCRF将 PCC规则和 QoS规则 （如果需要 )分别发送给 PCEF和 BBERF (如果存在 ) , PCEF和 BBERF根据 PCC规则和 QoS规则对业务数据流的下行数据进行 DSCP标记 , 当业务数据流到达安全网关（ SeGW, Security Gateway )时， SeGW将对 IP包 进行 IPSec封装， 并在封装时根据 IP包（即内部包头） 的 DSCP对 IPSec的 IP包的头部（称为外部包头）进行标记。 这样， BBF接入网就可以根据 IPSec 的 IP包头部的 DSCP进行数据包转发了。 对于上行数据， 则由 H(e)NB对 IP 包进行 IPSec封装， 并在封装时根据 IP包（即内部包头） 的 DSCP对 IPSec 的 IP包的头部（称为外部包头）进行标记。 在图 4和图 5的架构中， 引入了 家庭基站策略功能（H(e)NB PF, H(e)NB Policy Function ) 的功能实体， 当 H(e)NB GW (图 4 )或 H(e)NB (图 5 ) 从 3GPP核心网接收到承载建立或修 改请求（这些承载的建立或修改是 PCEF或 BBERF根据 PCRF的 PCC规则 或 QoS规则进行承载绑定后发起的， 或 P-GW或 S-GW根据本地策略进行承 载绑定后发起的 )时， H(e)NB GW或 H(e)NB通过 H(e)NB PF向 BBF接入网 请求接纳控制。 当接收到 BBF接入网接纳控制成功响应后， H(e)NB GW可以 继续完成承载的建立或修改流程。此后 PCEF和 BBERF根据 PCC规则和 QoS 进行 DSCP标记， 当业务数据流的下行数据到达 SeGW时， SeGW将对 IP包 进行 IPSec封装， 并在封装时根据 IP包（即内部包头） 的 DSCP对 IPSec的 IP包的头部 （称为外部包头 )进行标记。 对于上行数据， 则由 H(e)NB对 IP 包进行 IPSec封装， 并在封装时根据 IP包（即内部包头） 的 DSCP对 IPSec 的 IP包的头部（称为外部包头）进行标记。这样， BBF接入网就可以根据 IPSec 的 IP包头部的 DSCP进行数据包转发了。

然而三个架构方案的前提也是 3GPP 网络支持与 BBF的互通（图 3 为 PCRF与 BPCF互通， 图 4和图 5为 H(e)NB PF与 BPCF互通） ， 对于图 3 , 若当 PCRF不支持与 BBF的互通时， PCRF不会与 BPCF进行交互请求接纳 控制。 这样会导致 PCRF向 PCEF下发的 PCC规则是根据 PCRF自身决策的 结果。 PCEF根据 PCRF下发的 PCC规则对业务数据流下行的 IP包头部进行 DSCP标记。 当这些业务数据流到达 SeGW时， SeGW根据内部包头的 DSCP 标记拷贝 IP Sec外部包头的 DSCP。 若这些数据到达 BBF接入网， BBF接入 网并不会区分这些业务数据流是否是经过 BBF接入网接纳控制的， 而只是根 据 DSCP进行调度。对于上行数据流，同样 H(e)NB对上行数据 IP包进行 IPSec 封装， 并在封装时才艮据 IP包（即内部包头）的 DSCP对 IPSec的 IP包的头部 (称为外部包头）进行标记。 从而， 这些未经接纳控制业务数据流会抢占其 他经过接纳控制的业务数据流的资源，导致目前整个 FMC策略控制机制的失 败。 如果我们考虑 3GPP UE和 BBF的固网设备永存的场景， 那么那些未经 接纳控制的固网设备的业务数据流也可能抢占经过接纳控制的 3GPP UE的业 务数据流的资源。 发明内容

本发明要解决的技术问题是提供一种策略控制方法及系统 , 能够使得未 经 BBF接入网接纳控制的业务数据流不抢占已经过 BBF接入网接纳控制的业 务数据流的资源。

一种策略控制方法， 包括：

3GPP网络设备将外部 IP包头信息发送给宽带接入论坛（BBF )接入网 设备；

所述 BBF接入网设备将与所述外部 IP包头信息匹配的数据包按照所述 数据包的差分服务代码点 （DSCP )进行转发。

该方法还包括， 所述 BBF接入网设备将与所述外部 IP包头信息不匹配 的数据包按照本地策略进行转发。

其中， 3GPP网络将外部 IP包头信息发送给 BBF接入网设备的步骤包括：

3GPP 网络的演进的分组数据网关 （ ePDG ) 通过分组数据网络网关 ( P-GW )将所述外部 IP包头信息发送给策略和计费规则功能（PCRF ) ， 所 述 PCRF将所述外部 IP包头信息发送给所述 BBF接入网的宽带策略控制架构 ( BPCF ) , 所述 BPCF将所述外部 IP包头信息发送给所述 BBF接入网设备； 或者，

所述 ePDG直接将所述外部 IP包头信息发送给所述 PCRF, 所述 PCRF 将所述外部 IP包头信息发送给所述 BPCF, 所述 BPCF将所述外部 IP包头信 息发送给所述 BBF接入网设备； 或者，

所述 P-GW将所述外部 IP包头信息发送给所述 PCRF, 所述 PCRF将所 述外部 IP包头信息发送给所述 BPCF, 所述 BPCF将所述外部 IP包头信息 发送给所述 BBF接入网设备。

其中，所述 PCRF将所述外部 IP包头信息发送给所述 BPCF的步骤包括： 所述 PCRF在进行服务质量授权时， 将所述外部 IP包头信息发送给所述 BPCF; 或者，

所述 PCRF在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包 头信息发送给所述 BPCF。

其中， 3GPP网络将外部 IP包头信息发送给 BBF接入网设备的步骤包括：

3GPP网络的安全网关（ SeGW )将所述外部 IP包头信息发送给所述 BBF 接入网的家庭基站策略功能（H(e)NB PF ), 所述 H(e)NB PF将所述外部 IP包 头信息发送给 BPCF, 所述 BPCF将所述外部 IP包头信息发送给所述 BBF接 入网设备； 或者，

所述 SeGW将所述外部 IP包头信息发送给 PCRF, 所述 PCRF将所述外 部 IP包头信息发送给所述 BPCF, 所述 BPCF将所述外部 IP包头信息发送给 所述 BBF接入网设备。

其中，所述 H(e)NB PF将所述外部 IP包头信息发送给 BPCF的步骤包括： 所述 H(e)NB PF在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包头信息发送给所述 BPCF;

所述 PCRF将所述外部 IP包头信息发送给所述 BPCF的步骤包括： 所述 PCRF在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包 头信息发送给所述 BPCF。

其中， 所述外部 IP包头信息至少包括用户终端 （UE ) 的本地 IP地址。 其中， 若所述 UE和 ePDG之间， 或所述 UE和所述 P-GW之间检测到

NA(P)T, 则所述外部 IP包头信息包括 UE的本地 IP地址和 UDP源端口号。

其中， 所述 UDP源端口号为 IPSec UDP源端口号； 或， DSMIP绑定更 新信令 UDP源端口号。

其中， 所述外部 IP包头信息为包含相应信息的包过滤器。

其中， 所述 IP包头信息至少包括家用基站（H(e)NB ) 的本地 IP地址。 其中， 若 H(e)NB和所述安全网关 SeGW之间检测到 ΝΑ(Ρ)Τ , 则所述 IP 包头信息包括所述家用基站（ H(e)NB ) 的本地 IP地址和 UDP源端口号。 其中， 所述 UDP源端口号为 IPSec UDP源端口号。

其中， 所述外部 IP包头信息为包含相应信息的包过滤器。

一种策略控制系统， 包括： 3GPP网络设备和宽带接入论坛（BBF )接入 网设备， 其中：

所述 3GPP网络设置成：将外部 IP包头信息发送给所述 BBF接入网设备； 所述 BBF接入网设备设置成： 将与所述外部 IP包头信息匹配的数据包 按照所述数据包的差分服务代码点 （DSCP )进行转发。

其中， 所述 BBF接入网设备还设置成： 将与所述外部 IP包头信息不匹 配的数据包按照本地策略进行转发。

该系统还包括： BBF接入网的宽带策略控制架构 （BPCF ) , 其中： 所述 3GPP网络包括分组数据网络网关（P-GW )、 演进的分组数据网关 ( ePDG )和策略和计费规则功能（PCRF ) ， 其中：

所述 ePDG设置成： 通过所述 P-GW将所述外部 IP包头信息发送给所述 PCRF; 或者， 直接将所述外部 IP包头信息发送给所述 PCRF;

所述 P-GW设置成： 协助所述 ePDG将所述外部 IP包头信息发送给所述

PCRF; 或者， 自身将所述外部 IP包头信息发送给所述 PCRF;

所述 PCRF设置成： 将所述外部 IP包头信息发送给所述 BPCF;

所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备。 其中， 所述 PCRF设置成按照以下方式将所述外部 IP包头信息发送给所 述 BPCF:

在进行服务质量授权时， 将所述外部 IP包头信息发送给所述 BPCF; 或 者，

在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包头信息发送 给所述 BPCF。

该系统还包括 BPCF, 其中：

所述 3GPP网络设备包括安全网关（ SeGW )和家庭基站策略功能（ H(e)NB PF ), 或者包括（SeGW )和 PCRF, 其中： 所述 SeGW设置成： 将所述外部 IP包头信息发送给所述 H(e)NB PF; 所述 H(e)NB PF设置成： 将所述外部 IP包头信息发送给所述 BPCF; 所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备； 或者，

所述 3GPP网络设备包括所述 SeGW和所述 PCRF , 其中：

所述 SeGW设置成： 将所述外部 IP包头信息发送给所述 PCRF;

所述 PCRF设置成： 将所述外部 IP包头信息发送给所述 BPCF;

所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备。 其中， 所述 H(e)NB PF或者所述 PCRF设置成按照以下方式将所述外部 IP包头信息发送给所述 BPCF:

在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包头信息发送 给所述 BPCF。

其中， 所述外部 IP包头信息至少包括用户终端 （UE ) 的本地 IP地址。 其中， 若所述 UE和 ePDG之间， 或所述 UE和所述 P-GW之间检测到 NA(P)T, 则所述外部 IP包头信息包括 UE的本地 IP地址和 UDP源端口号。

其中， 所述 UDP源端口号为 IPSec UDP源端口号； 或， DSMIP绑定更 新信令 UDP源端口号。

其中， 所述外部 IP包头信息为包含相应信息的包过滤器。

其中， 所述 IP包头信息至少包括家用基站（H(e)NB ) 的本地 IP地址。 其中， 若 H(e)NB和所述安全网关 SeGW之间检测到 NA(P)T, 则所述 IP 包头信息包括所述家用基站（ H(e)NB ) 的本地 IP地址和 UDP源端口号。

其中， 所述 UDP源端口号为 IPSec UDP源端口号。

其中， 所述外部 IP包头信息为包含相应信息的包过滤器。

一种宽带接入论坛 ( BBF )接入网系统 , 包括 BBF接入网设备 , 其中： 所述 BBF接入网设备设置成： 接收 3GPP网络发送的外部 IP包头信息， 将与所述外部 IP 包头信息匹配的数据包按照所述数据包的差分服务代码点 ( DSCP )进行转发。

其中， 所述 BBF接入网设备还设置成： 将与所述外部 IP包头信息不匹 配的数据包按照本地策略进行转发。

该系统还包括： 宽带策略控制架构 （BPCF ) , 其中：

所述 BPCF设置成： 接收 3GPP网络的演进的分组数据网关 （ePDG )通 过分组数据网络网关 （P-GW )发送给策略和计费规则功能（PCRF ) , 进而 由所述 PCRF发送来的所述外部 IP包头信息； 或者， 接收所述 ePDG直接发 送给所述 PCRF, 进而由所述 PCRF发送来的所述外部 IP包头信息； 或者， 接收所述 P-GW发送给所述 PCRF, 进而由所述 PCRF发送来的所述外部 IP 包头信息， 将所述外部 IP包头信息发送给所述 BBF接入网设备； 或者， 接收 3GPP网络的安全网关 （SeGW )经过 BBF接入网的家庭基站策略 功能（ H(e)NB PF )发送来的所述外部 IP包头信息； 或者， 接收所述 SeGW通 过所述 PCRF发送来的所述外部 IP包头信息，将所述外部 IP包头信息发送给 所述 BBF接入网设备。

其中， 所述 BPCF还设置成： 接收所述 PCRF在进行服务质量授权时发 送来的所述外部 IP包头信息； 或者，

接收所述 PCRF在向所述 BPCF发起策略互通会话建立时发送来的所述 外部 IP包头信息； 或者，

接收所述 H(e)NB PF或者所述 PCRF在向所述 BPCF发起策略互通会话 建立时发送来的所述外部 IP包头信息。

上述技术方案中， BBF接入网保存外部 IP包头， 当数据到达 BBF接入 网时， BBF接入网设备首先根据保存的外部 IP包头进行过滤， 只有当匹配到 了外部 IP包头的业务数据流才根据 DSCP进行数据转发； 对于匹配不到的业 务数据流， BBF接入网设备根据本地策略进行处理（如重新标记较低优先级 的 DSCP ) 。 从而， 那些未经接纳控制业务数据流不会抢占其他经过接纳控 制的业务数据流的资源。 附图概述

图 1为 EPS组成架构示意图；

图 2为 UE通过 WLAN接入网接入 3GPP核心网的架构示意图； 图 3为 UE通过 H(e)NB接入 3GPP核心网的架构示意图一；

图 4为 UE通过 H(e)NB接入 3GPP核心网的架构示意图二；

图 5为 UE通过 H(e)NB接入 3GPP核心网的架构示意图三；

图 6为本发明实施例一的 S9*会话流程图之一；

图 7为本发明实施例二的 S9*会话流程图之二；

图 8为本发明实施例三的 S9*会话流程图之三；

图 9为本发明的实施例四， 图 3所示架构下， UE附着到 EPS过程中，

BBF接入网设备获得外部 IP包头的流程图；

图 10为本发明的实施例五， 图 4的架构下， H(e)NB上电后， BBF接入 网设备获得外部 IP包头的流程图；

图 11为本发明的实施例六， 图 5的架构下， H(e)NB上电后， BBF接入 网设备获得外部 IP包头的流程图。 本发明的较佳实施方式

本发明提供了一种策略控制方法， 包括：

3GPP网络将外部 IP包头发送给 BBF接入网设备；

所述 BBF接入网设备将与所述外部 IP包头匹配的数据包按照所述数据 包的差分服务代码点 （DSCP )进行转发， 将与所述外部 IP 包头不匹配的数 据包按照本地策略进行转发。

其中， 所述外部 IP包头为 IPSec隧道外部 IP包头。 所述 IPSec隧道为用 户设备与 ePDG之间、 用户设备与 P-GW之间或家庭基站与安全网关之间的 IPSec隧道。

其中， 3GPP网络将外部 IP包头发送给 BBF接入网设备的步骤包括： ( 1 )演进的分组数据网关 （ePDG )将所述外部 IP包头发送给 P-GW, 所述 P-GW将所述外部 IP包头发送给 PCRF; 或者， 所述 ePDG直接将所述 外部 IP包头发送给所述 PCRF; 或者， 所述 P-GW将所述外部 IP包头发送给 PCRF;

所述 PCRF将所述外部 IP包头发送给 BPCF; 所述 PCRF是在进行服务 质量授权时， 将所述外部 IP包头发送给所述 BPCF的； 或者， 所述 PCRF是 在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP 包头发送给所述 BPCF的。 或者，

( 2 )安全网关 （SeGW )将所述外部 IP 包头发送给家庭基站策略功能 ( HeNB PF )或 PCRF;

所述 HeNB PF或 PCRF将所述外部 IP包头发送给 BPCF; 所述 HeNB PF 或 PCRF是在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包头发 送给所述 BPCF。

所述 BPCF将所述外部 IP包头发送给所述 BBF接入网设备；

实施例一

图 6为本发明实施例的 UE通过不可信任 BBF接入网接入 3GPP核心网、 非漫游场景下， 由 BPCF发起 S9*会话的流程图。 图 6中 ePDG与 P-GW之间 釆用 ΡΜΙΡνό协议。

步骤 601 : UE接入 BBF接入系统后， 执行基于 3 GPP的接入认证， UE 提供 IMSI (用于接入认证 ) ；

步骤 602： UE从 BBF接入网获得本地 IP地址。 该地址可能由家庭网关 ( Residential Gateway, RG )或 BNG分配；

步骤 603： 受到步骤 601或步骤 602的触发， BPCF被通知 UE接入 BBF 接入网；

步骤 604: BPCF向 PCRF发送网关控制会话建立消息， 携带用户标识； 步骤 605: PCRF向 BPCF返回网关控制会话建立确认消息。 PCRF可能 需要和 SPR交互获取用户的签约用户策略决策； 步骤 606: UE选择 ePDG后， 发起 IKEv2隧道建立过程， 并釆用扩展认 证协议 ( Extensible Authentication Protocl, EAP )进行认证。 若 UE和 ePDG存 在 NA(P)T (如 RG上存在 NA(P)T ) ， 那么 IKEv2信令将执行 NAT穿越； 步骤 607: ePDG选择 P-GW后， 向 P-GW发送代理绑定更新消息， 在代 理绑定更新消息中携带有用户标识、 PDN标识以及外部 IP 包头信息。 对于 S2b场景， 所有的业务数据流都将被 UE和 ePDG之间的 IPSec隧道封装。 因 此， 此时的外部 IP包头信息可以是 UE和 ePDG之间建立的 IPSec隧道外部 IP包头信息。 为了唯一标识这个 IPSec隧道， IPSec隧道外部 IP包头信息中 至少包括 ePDG接收到的 UE发送的 IKEv2信令的源地址（即 IPSec的源地址， 针对 UE的上行方向来说 )。 IPSec隧道外部 IP包头信息还可能包括 ePDG接 收到的 UE发送的 IKEv2信令的 UDP源端口号（即 IPSec的源端口号， 针对 UE的上行方向来说， 也称 UDP源端口号， 下同） ， ePDG的地址、 ePDG接 收端口号 （即目的 UDP端口号， 针对 UE上行方向来说）和协议类型等。

由于 IKEv2信令可能经过了 NA(P)T穿越， 因此， ePDG接收到的源地址 和源端口号可能与 UE发送时的源地址和源端口号不同。 若没有经过 NA(P)T 穿越， 则源地址即为 UE在接入 BBF接入网时获得的本地地址。

对于 UE和 ePDG之间不存在 NA(P)T的场景， ePDG接收到的 UE发送 的 IKEv2信令的源地址即为 BBF接入网分配的本地 IP地址， 且该地址可以 唯一标识该 UE被该 IPSec隧道封装的业务数据流， 因此外部 IP包头信息至 少包含本地 IP地址。

对于 UE和 ePDG之间存在（ 1:1 ) NAT的场景， ePDG接收到的 UE发 送的 IKEv2信令的源地址为经过 NAT后的公网 IP地址，不过由于是 1:1 NAT, 该地址仍然可以唯一标识该 UE被该 IPSec隧道封装的业务数据流，因此外部 IP包头信息至少包含 ePDG接收到的 UE发送的 IKEv2信令的源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAT位于 RG, 该地址就是 RG的地 址） 。

对于 UE和 ePDG之间（ N:l ) NAT (即 NAPT ) ,业务数据流在穿越 NAT 时需要进行 UDP封装， NAPT会为该 IPSec隧道分配 UDP源端口号 （针对 UE的上行方向来说） 。 因此为了唯一标识该 UE被该 IPSec隧道封装的业务 数据流， 外部 IP包头信息至少包含 ePDG接收到的 UE发送的 IKEv2信令的 源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAT位于 RG, 该地址 就是 RG的地址 )和 ePDG接收到的 UE发送的 IKEv2信令的源端口号 （即 IPSecUDP源端口号） 。

为方便描述， UE被 NAT的 IP地址也称为本地 IP地址。 所以外部 IP包 头信息至少包括 UE的本地 IP地址。 若 UE和 ePDG之间检测到 ΝΑ(Ρ)Τ , 则 外部 IP包头信息还可能包括 IPSecUDP源端口号。外部 IP包头信息还可以包 括 ePDG的地址、 IPSec目的 UDP端口号 （针对 UE的上行方向来说 ) 以及 协议类型等信息。

当然， 外部 IP包头信息可以是包过滤器（ packet filter ) , 该过滤器中至 少包含 UE的本地 IP地址。 若 UE和 ePDG之间检测到 ΝΑ(Ρ)Τ , 则该过滤器 还可能包含 IPSecUDP源端口号。 该过滤器还可以包含 ePDG的地址、 IPSec 目的 UDP端口号 （针对 UE的上行方向来说） 以及协议类型等信息。

步骤 608: P-GW为 UE分配 IP地址， 位于 P-GW的 PCEF向 PCRF发送

IP-CAN会话建立指示消息，在 IP-CAN会话建立指示消息中携带有用户标识、 PDN标识、 为 UE分配的 IP地址以及外部 IP包头信息。

步骤 609: PCRF根据用户标识和 PDN标识判断， 若没有相关的用户签 约数据， 则 H-PCRF将与 SPR进行交互获取签约数据。 PCRF根据签约数据、 网络策略和接入网属性等制定 PCC规则， 向 PCEF返回确认消息， 携带 PCC 规则；

步骤 610: P-GW向 AAA Server发送更新 P-GW IP地址消息 , 将 P-GW 的地址发送给 AAA Server, AAA Server进一步与 HSS交互并将 P-GW的地 址保存到 HSS中。

步骤 611 : P-GW向 ePDG返回代理绑定确认消息， 在代理绑定确认消息 中携带有为 UE分配的 IP地址；

步骤 612: 代理绑定更新成功， UE和 ePDG之间建立 IPSec隧道； 步骤 613: ePDG向 UE发送最后一条 IKEv2信令， 其中携带有 UE的 IP 地址；

步骤 614: PCRF向 BPCF提供外部 IP包头信息；

步骤 615: BPCF向 BBF接入网设备 (例如 BNG/BRAS )提供外部 IP包 头信息；

步骤 616: BBF接入网设备 ( BNG/BRAS )保存外部 IP包头后， 返回确 认消息；

步骤 617: BPCF向 PCRF返回确认消息。

步骤 614在 609后即可执行。

通过上述流程， PCRF 与 BPCF 之间建立会话， 并且 BBF 接入网

( BNG/BRAS )获得外部 IP包头信息。 当 UE进行业务访问需要网络为其分 配资源时， PCRF首先将制定的 PCC规则的 QoS信息发送给 BPCF,以便 BBF 接入网执行接纳控制。 然后， PCRF将 BBF接入网接受的 PCC规则发送给 PCEF。 PCEF根据 PCC规则对相应的数据流下行数据的 IP包的头部 （称为 内部包头）进行 DSCP的标记， 当该业务数据流 IP包到达 ePDG时， ePDG 将对 IP包进行 IPSec封装， 并进行 DSCP拷贝。 当这些数据到达 BBF接入网 时， BBF接入网设备首先根据保存的外部 IP包头进行过滤， 只有当匹配到了 外部 IP包头信息的业务数据流才根据 DSCP进行数据转发； 对于匹配不到的 业务数据流， BBF接入网设备根据本地策略进行处理（如重新标记较低优先 级的 DSCP ) 。 对于业务数据流的上行数据， 由 UE进行 IPSec封装并进行 DSCP拷贝， 当数据到达 BBF接入网时， BBF接入网设备首先根据保存的外 部 IP包头信息进行过滤， 只有当匹配到了外部 IP包头信息的业务数据流才 根据 DSCP进行数据转发； 对于匹配不到的业务数据流， BBF接入网设备根 据本地策略进行处理（如重新标记较低优先级的 DSCP ) 。 从而， 那些未经 接纳控制业务数据流不会抢占其他经过接纳控制的业务数据流的资源。

实施例二

图 7为本发明 UE通过不可信任 BBF接入网接入 3GPP核心网的、 非漫 游场景下，由 P-GW触发 PCRF发起 S9*会话的流程图。图 7中 ePDG与 P-GW 之间釆用 ΡΜΙΡνό协议。

步骤 701： UE接入 BBF接入系统后 , BBF接入系统为 UE分配本地 IP 地址。 UE发起 IKEv2隧道建立过程， 并釆用 EAP进行认证。 ePDG与 AAA Server交互 （ AAA Server进一步与 HSS交互 ) 以完成 EAP认证。

步骤 702: ePDG选择 P-GW后， 向 P-GW发送代理绑定更新消息， 在代 理绑定更新消息中携带有用户标识、 PDN标识以及外部 IP 包头信息。 对于 S2b场景， 所有的业务数据流都将被 UE和 ePDG之间的 IPSec隧道封装。 因 此， 此时的外部 IP包头信息可以是 UE和 ePDG之间建立的 IPSec隧道外部 IP包头信息。 为了唯一标识这个 IPSec隧道， IPSec隧道外部 IP包头信息中 至少包括 ePDG接收到的 UE发送的 IKEv2信令的源地址（即 IPSec的源地址， 针对 UE的上行方向来说 )。 IPSec隧道外部 IP包头信息还可能包括 ePDG接 收到的 UE发送的 IKEv2信令的源端口号（即 IPSec的源端口号，针对 UE的 上行方向来说）， 以及 ePDG的地址、 ePDG接收的 UDP端口号（即目的 UDP 端口号， 针对 UE上行方向来说）和协议类型等。

由于 IKEv2信令可能经过了 NAT穿越， 因此， ePDG接收到的源地址和 源端口号可能与 UE发送时的源地址和源端口号不同。若没有经过 NAT穿越， 则源地址即为 UE在接入 BBF接入网时获得的本地地址。

对于 UE和 ePDG之间不存在 NAT的场景， ePDG接收到的 UE发送的 IKEv2信令的源地址即为 BBF接入网分配的本地 IP地址 ,且该地址可以唯一 标识该 UE被该 IPSec隧道封装的业务数据流， 因此外部 IP包头信息至少包 含本地 IP地址

对于 UE和 ePDG之间存在（ 1:1 ) NAT的场景， ePDG接收到的 UE发 送的 IKEv2信令的源地址为经过 NAT后的公网 IP地址，不过由于是 1:1 NAT, 该地址仍然可以唯一标识该 UE被该 IPSec隧道封装的业务数据流，因此外部 IP包头信息至少包含 ePDG接收到的 UE发送的 IKEv2信令的源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAT位于 RG, 该地址就是 RG的地 址） 。

对于 UE和 ePDG之间（ N:l )NAT(即 NAPT ) ,业务数据流在穿越 NAPT 时需要进行 UDP封装， NAPT会为该 IPSec隧道分配 UDP源端口号 （针对 UE的上行方向来说 ) 。 因此为了唯一标识该 UE被该 IPSec隧道封装的业务 数据流， 外部 IP包头信息至少包含 ePDG接收到的 UE发送的 IKEv2信令的 源地址（即经 BBF接入网 NAPT后的公网 IP地址， 若 NAPT位于 RG, 该地 址就是 RG的地址 )和 ePDG接收到的 UE发送的 IKEv2信令的源端口号（即 IPSecUDP源端口号） 。

为方便描述， UE被 NAT的 IP地址也称为本地 IP地址。 所以外部 IP包 头信息至少包括 UE的本地 IP地址。 若 UE和 ePDG之间检测到 ΝΑ(Ρ)Τ , 则 外部 IP包头信息还可能包括 IPSecUDP源端口号。外部 IP包头信息还可以包 括 ePDG的地址、 IPSec目的 UDP端口号 （针对 UE的上行方向来说 ) 以及 协议类型等信息。

当然， 在具体实现时， 外部 IP包头信息可以是包过滤器（packet filter ) , 该过滤器中至少包含 UE的本地 IP地址。若 UE和 ePDG之间检测到 ΝΑ(Ρ)Τ , 则该过滤器还可能包含 IPSecUDP源端口号。 该过滤器还可以包含 ePDG的 地址、 IPSec目的 UDP端口号 （针对 UE的上行方向来说 ) 以及协议类型等 信息。

步骤 703: P-GW为 UE分配 IP地址， 位于 P-GW的 PCEF向 PCRF发送 IP-CAN会话建立指示消息，在 IP-CAN会话建立指示消息中携带有用户标识、 PDN标识、 为 UE分配的 IP地址以及外部 IP包头信息。

步骤 704: PCRF根据用户标识和 PDN标识判断， 若没有相关的用户签 约数据， 则 PCRF将与 SPR进行交互获取签约数据。 PCRF根据签约数据， 网络策略， 接入网属性等制定 PCC规则。 PCRF向 PCEF返回确认消息， 携 带 PCC规则；

步骤 705: P-GW向 AAA Server发送更新 P-GW IP地址消息， 将 P-GW 的地址发送给 AAA Server, AAA Server进一步与 HSS交互并将 P-GW的地 址保存到 HSS中。

步骤 706: P-GW向 ePDG返回代理绑定确认消息， 在代理绑定确认消息 中携带有为 UE分配的 IP地址； 步骤 707: 代理绑定更新成功 , UE和 ePDG之间建立 IPSec隧道。

步骤 708、 ePDG向 UE发送最后一条 IKEv2信令， 其中携带有 UE的 IP 地址。

步骤 709: PCRF根据外部 IP包头信息确定 UE当前接入的 BBF接入网 的 BPCF, 并向 BPCF发送 PCRF发起网关控制会话建立消息， 在该网关控制 会话建立消息中携带有外部 IP包头信息。

步骤 709在步骤 703后即可执行；

步骤 710: BPCF向 BBF接入网设备 (例如 BNG/BRAS )提供外部 IP包 头；

步骤 711 : BBF接入网设备保存外部 IP包头后， 返回确认消息； 步骤 712: BPCF向 PCRF返回确认消息。

通过上述流程， PCRF与 BPCF之间建立的会话， 并且 BBF接入网设备 ( BNG/BRAS )获得外部 IP包头信息。 当 UE进行业务访问需要网络为其分 配资源时， PCRF首先将制定的 PCC规则的 QoS信息发送给 BPCF, 以便 BBF接入网执行接纳控制。 然后， PCRF将 BBF接入网接受的 PCC规则发送 给 PCEF。 PCEF根据 PCC规则对相应的数据流的下行 IP包的头部 （称为内 部包头）进行 DSCP的标记， 当该业务数据流 IP包到达 ePDG时， ePDG将 对 IP包进行 IPSec封装，并进行 DSCP拷贝。当这些数据到达 BBF接入网时， BBF接入网设备首先根据保存的外部 IP包头信息进行过滤，只有当匹配到了 外部 IP包头信息的业务数据流才根据 DSCP进行数据转发； 对于匹配不到的 业务数据流， BBF接入网设备根据本地策略进行处理（如重新标记较低优先 级的 DSCP ) 。 对于业务数据流的上行数据， 由 UE进行 IPSec封装并进行 DSCP拷贝， 当数据到达 BBF接入网时， BBF接入网设备首先根据保存的外 部 IP包头信息进行过滤， 只有当匹配到了外部 IP包头信息的业务数据流才 根据 DSCP进行数据转发； 对于匹配不到的业务数据流， BBF接入网设备根 据本地策略进行处理（如重新标记较低优先级的 DSCP ) 。 从而， 那些未经 接纳控制业务数据流不会抢占其他经过接纳控制的业务数据流的资源。 本实施例同样适用于漫游场景 （包括家乡路由和本地疏导） 。 对于 ePDG与 P-GW之间釆用 GTP协议的场景， 流程类似。 ePDG将在 创建会话请求消息中携带外部 IP包头信息。

实施例三

图 8为本发明 UE通过不可信任 BBF接入网接入 3GPP核心网的、 非漫 游场景下，由 P-GW触发 PCRF发起 S9*会话的流程图。图 8中 ePDG与 P-GW 之间釆用 ΡΜΙΡνό协议。

步骤 801： UE接入 BBF接入系统后， BBF接入系统为 UE分配本地 IP 地址。 UE发起 IKEv2隧道建立过程， 并釆用 EAP进行认证。 ePDG与 AAA Server交互 （ AAA Server进一步与 HSS交互 ) 以完成 EAP认证。

步骤 802: ePDG向 PCRF发送网关控制会话建立消息， 携带外部 IP包 头信息。 对于 S2b场景， 所有的业务数据流都将被 UE和 ePDG之间的 IPSec 隧道封装。因此，此时的外部 IP包头信息可以是 UE和 ePDG之间建立的 IPSec 隧道外部 IP包头信息。 为了唯一标识这个 IPSec隧道， IPSec隧道外部 IP包 头信息中至少包括 ePDG接收到的 UE发送的 IKEv2信令的源地址（即 IPSec 的源地址， 针对 UE的上行方向来说） 。 IPSec隧道外部 IP包头信息还可能 包括 ePDG接收到的 UE发送的 IKEv2信令的源端口号（即 IPSec的源端口号， 针对 UE上行方向来说） ， 以及 ePDG的地址、 ePDG接收 UDP端口号 （即 目的 UDP端口号， 针对 UE上行方向来说）和协议类型等。

由于 IKEv2信令可能经过了 NAT穿越， 因此， ePDG接收到的源地址和 源端口号可能与 UE发送时的源地址和源端口号不同。若没有经过 NAT穿越， 则源地址即为 UE在接入 BBF接入网时获得的本地地址。

对于 UE和 ePDG之间不存在 NAT的场景， ePDG接收到的 UE发送的 IKEv2信令的源地址即为 BBF接入网分配的本地 IP地址 ,且该地址可以唯一 标识该 UE被该 IPSec隧道封装的业务数据流， 因此外部 IP包头信息至少包 含本地 IP地址

对于 UE和 ePDG之间存在（ 1:1 ) NAT的场景， ePDG接收到的 UE发 送的 IKEv2信令的源地址为经过 NAT后的公网 IP地址，不过由于是 1 :1 NAT, 该地址仍然可以唯一标识该 UE被该 IPSec隧道封装的业务数据流，因此外部 IP包头信息至少包含 ePDG接收到的 UE发送的 IKEv2信令的源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAT位于 RG, 该地址就是 RG的地 址） 。

对于 UE和 ePDG之间（ N:l )NAT(即 NAPT ) ,业务数据流在穿越 NAPT 时需要进行 UDP封装， NAPT会为该 IPSec隧道分配 UDP源端口号 （针对 UE的上行方向来说 ) 。 因此为了唯一标识该 UE被该 IPSec隧道封装的业务 数据流， 外部 IP包头信息至少包含 ePDG接收到的 UE发送的 IKEv2信令的 源地址（即经 BBF接入网 NAPT后的公网 IP地址， 若 NAPT位于 RG, 该地 址就是 RG的地址 )和 ePDG接收到的 UE发送的 IKEv2信令的源端口号（即 IPSecUDP源端口号） 。

为方便描述， UE被 NAT的 IP地址也称为本地 IP地址。 所以外部 IP包 头信息至少包括 UE的本地 IP地址。 若 UE和 ePDG之间检测到 ΝΑ(Ρ)Τ , 则 外部 IP包头信息还可能包括 IPSecUDP源端口号。外部 IP包头信息还可以包 括 ePDG的地址、 IPSec目的 UDP端口号 （针对 UE的上行方向来说 ) 以及 协议类型等信息。

当然， 在具体实现时， 外部 IP包头信息可以是包过滤器（packet filter ) , 该过滤器中至少包含 UE的本地 IP地址。若 UE和 ePDG之间检测到 ΝΑ(Ρ)Τ , 则该过滤器还可能包含 IPSecUDP源端口号。 该过滤器还可以包含 ePDG的 地址、 IPSec目的 UDP端口号 （针对 UE的上行方向来说） 以及协议类型等 信息。

步骤 803： PCRF向 ePDG返回确认消息；

步骤 804: ePDG选择 P-GW后， 向 P-GW发送代理绑定更新消息， 在代 理绑定更新消息中携带有用户标识和 PDN标识以及外部 IP包头信息；

步骤 805: P-GW为 UE分配 IP地址， 位于 P-GW的 PCEF向 PCRF发送 IP-CAN会话建立指示消息，在 IP-CAN会话建立指示消息中携带有用户标识、 PDN标识、 为 UE分配的 IP地址；

步骤 806: PCRF根据用户标识和 PDN标识判断， 若没有相关的用户签 约数据， 则 H-PCRF将与 SPR进行交互获取签约信息。 PCRF根据签约数据， 网络策略， 接入网属性等制定 PCC规则。 PCRF向 PCEF返回确认消息， 携 带 PCC规则；

步骤 807: P-GW向 AAA Server发送更新 P-GW IP地址消息， 将 P-GW 的地址发送给 AAA Server, AAA Server进一步与 HSS交互并将 P-GW的地 址保存到 HSS中。

步骤 808: P-GW向 ePDG返回代理绑定确认消息， 在代理绑定确认消息 中携带有为 UE分配的 IP地址；

步骤 809: 代理绑定更新成功， UE和 ePDG之间建立 IPSec隧道。

步骤 810、 ePDG向 UE发送最后一条 IKEv2信令， 其中携带有 UE的 IP 地址。

步骤 811 : PCRF根据外部 IP包头信息确定 UE当前接入的 BBF接入网 的 BPCF, 并向 BPCF发送 PCRF发起的网关控制会话建立消息， 在 PCRF发 起的网关控制会话建立消息中携带有外部 IP包头信息。

步骤 811只要在步骤 802后即可执行；

步骤 812: BPCF向 BBF接入网设备 (例如 BNG/BRAS )提供外部 IP包 头；

步骤 813: BBF接入网设备保存外部 IP包头后， 返回确认消息； 步骤 814: BPCF向 PCRF返回确认消息。

通过上述流程， PCRF 与 BPCF 之间建立的会话， 并且 BBF接入网 ( BNG/BRAS )获得外部 IP包头信息。 当 UE进行业务访问是需要网络为其 分配资源时， PCRF首先将制定的 PCC规则的 QoS信息发送给 BPCF, 以便 BBF接入网执行接纳控制。 然后， PCRF将 BBF接入网接受的 PCC规则发 送给 PCEF。 PCEF根据 PCC规则对相应的数据流的下行数据的 IP包的头部 (称为内部包头）进行 DSCP的标记， 当该业务数据流 IP包到达 ePDG时， ePDG将对 IP包进行 IPSec封装， 并进行 DSCP拷贝。 当这些数据到达 BBF 接入网时， BBF接入网设备首先根据保存的外部 IP包头信息进行过滤， 只有 当匹配到了外部 IP包头信息的业务数据流才根据 DSCP进行数据转发； 对于 匹配不到的业务数据流， BBF接入网设备根据本地策略进行处理（如重新标 记较低优先级的 DSCP )。 对于业务数据流的上行数据， 由 UE进行 IPSec封 装并进行 DSCP拷贝， 当数据到达 BBF接入网时， BBF接入网设备首先根据 保存的外部 IP包头信息进行过滤， 只有当匹配到了外部 IP包头信息的业务 数据流才根据 DSCP进行数据转发； 对于匹配不到的业务数据流， BBF接入 网设备根据本地策略进行处理（如重新标记较低优先级的 DSCP ) 。 从而， 那些未经接纳控制业务数据流不会抢占其他经过接纳控制的业务数据流的资 源。

本实施例同样适用于漫游场景 （包括家乡路由和本地疏导） 。

对于 ePDG与 P-GW之间釆用 GTP协议的场景， 流程类似。 ePDG将在 创建会话请求消息中携带外部 IP包头信息。

对于 UE通过可信任 BBF接入网接入 3GPP核心网， 并且 UE釆用

DSMIPv6接入的场景，

( 1 ) 当 UE与 P-GW之间建立 IPSec隧道对用户面数据封装时， P-GW 将外部 IP包头信息（即 IPSec隧道的外部 IP包头信息 )发送给 PCRF, PCRF 发送给 BPCF, BPCF再发送给 BBF接入网设备。 BBF接入网设备根据外部 IP包头信息对数据包进行匹配， 并进一步执行根据 DSCP数据包转发。 相关 流程和思想与以上实施例类似， 不再赘述。 其中上述外部 IP包头信息至少包 含 UE的本地 IP地址。 若 UE和 ePDG之间检测到 NA(P)T, 则还可能包含 IPSecUDP源端口号（针对 UE的上行方向来说 )。 当然还可以包括 P-GW的 地址、 IPSec目的 UDP端口号 （针对 UE的上行方向来说） 以及协议类型等 信息。

( 2 )当 UE与 P-GW之间不釆用 IPSec隧道对用户面数据封装时， P-GW 将外部 IP包头信息 （即 DSMIPv6隧道的外部 IP包头信息）发送给 PCRF, PCRF发送给 BPCF , BPCF再发送给 BBF接入网设备。 BBF接入网设备根据 外部 IP包头信息对数据包进行匹配， 并进一步执行根据 DSCP数据包转发。 相关流程和思想与以上实施例类似， 不再赘述。 其中上述外部 IP包头信息至 少包含 UE的本地 IP地址。 若 UE和 ePDG之间检测到 ΝΑ(Ρ)Τ , 则还可能包 含 DSMIPv6绑定更新信令的 UDP源端口号 （针对 UE的上行方向来说， 该 端口号是 UE执行绑定更新时， 信绑定更新信令穿越 NAPT时， NAPT分配 的 UDP端口号） 。 当然还可以包括 P-GW的地址、 DSMIPv6绑定更新信令 的目的 UDP端口号 （针对 UE的上行方向来说） 以及协议类型等信息。

同样， 对于 UE通过不可信任 BBF接入网接入 3GPP核心网， 并且 UE 釆用 DSMIPv6接入的场景。

( 1 ) UE与 ePDG之间建立 IPSec隧道， UE和 P-GW之间的所有的业务 数据流都将被该 IPSec隧道封装。 ePDG将外部 IP包头信息（ IPSec隧道的外 部 IP包头信息）发送给 PCRF, PCRF发送给 BPCF, BPCF再发送给 BBF接 入网设备。 BBF接入网设备根据外部 IP包头信息对数据包进行匹配， 并进一 步执行根据 DSCP数据包转发。 相关流程和思想与以上实施例类似， 不再赘 述。 其中上述外部 IP包头信息至少包含 UE的本地 IP地址。 若 UE和 ePDG 之间检测到 ΝΑ(Ρ)Τ , 则还可以包含 IPSecUDP源端口号 （针对 UE的上行方 向来说） 。 还可以包括 ePDG的地址、 IPSec目的 UDP端口号 （针对 UE的 上行方向来说） 以及协议类型等信息。

上述针对 DSMIPv6场景中的外部 IP包头部信息， 也可以通过包过滤器 形式实现。

实施例四

图 9为图 3所示架构下， UE附着到 EPS过程中， BBF接入网设备获得 外部 IP包头的流程。

步骤 901： HeNB上电后， 获得 BBF接入网分配的用户终端设备 ( CPE, Customer Premises Equipment ) IP地址（即本地 IP地址） ， HeNB用 CPE IP 地址与 SeGW进行 IKEv2信令交互， 建立 IPSec隧道。在这个过程中， SeGW 为 HeNB分配 HeNB IP地址 , 用于 HeNB与其他 3GPP网元交互； SeGW获 得外部 IP包头信息。 对于 HeNB场景， 该 HeNB的所有业务数据流都将被 HeNB和 SeGW之间的 IPSec隧道封装。 因此， 此时的外部 IP包头信息可以 是 HeNB和 SeGW之间建立的 IPSec隧道外部 IP包头信息。 为了唯一标识这 个 IPSec隧道， IPSec隧道外部 IP包头信息中至少包括 SeGW接收到的 HeNB 发送的 IKEv2信令的源地址（即 IPSec的源地址， 针对 HeNB的上行方向来 说） 。 IPSec隧道外部 IP包头信息还可能包括 SeGW接收到的 HeNB发送的 IKEv2信令的源端口号 （即 IPSec的源端口号， 针对 HeNB上行方向来说） ， 以及 SeGW的地址、 SeGW的接收 UDP端口号 （即目的 UDP端口号， 针对 HeNB上行方向来说）和协议类型等；

由于 IKEv2信令可能经过了 NAT穿越， 因此， SeGW接收到的源地址和 源端口号可能与 HeNB发送时的源地址和源端口号不同。若没有经过 NA(P)T 穿越， 则源地址即为 HeNB在接入 BBF接入网时获得的本地 IP地址。

对于 HeNB和 SeGW之间不存在 NAT的场景， SeGW接收到的 HeNB发 送的 IKEv2信令的源地址即为 BBF接入网分配的本地 IP地址， 且该地址可 以唯一标识该 HeNB被该 IPSec隧道封装的业务数据流， 因此外部 IP包头信 息至少包含本地 IP地址

对于 HeNB和 SeGW之间存在（ 1:1 )NAT的场景， SeGW接收到的 HeNB 发送的 IKEv2信令的源地址为经过 NAT后的公网 IP地址， 不过由于是 1:1 NAT, 该地址仍然可以唯一标识该 HeNB被该 IPSec隧道封装的业务数据流， 因此外部 IP包头信息至少包含 SeGW接收到的 HeNB发送的 IKEv2信令的源 地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAT位于 RG, 该地址就 是 RG的地址） 。

对于 HeNB和 SeGW之间 （ N: l ) NAT (即 NAPT ) , 业务数据流在穿越 NAPT时需要进行 UDP封装， NAPT会为该 IPSec隧道分配 UDP源端口号（针 对 HeNB的上行方向来说 )。 因此为了唯一标识该 UE被该 IPSec隧道封装的 业务数据流，外部 IP包头信息至少包含 SeGW接收到的 HeNB发送的 IKEv2 信令的源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAPT位于 RG, 该地址就是 RG的地址 )和 SeGW接收到的 HeNB发送的 IKEv2信令的源端 口号 （即 IPSecUDP源端口号） 。

为方便描述， HeNB被 NAT的 IP地址也称为本地 IP地址。 所以外部 IP 包头信息至少包括 HeNB 的本地 IP地址。 若 HeNB和 SeGW之间检测到 NA(P)T, 则外部 IP包头信息还可能包括 IPSecUDP源端口号。 外部 IP包头 信息还可以包括 SeGW的地址、 IPSec目的 UDP端口号（针对 HeNB的上行 方向来说） 以及协议类型等信息。

当然， 在具体实现时， 外部 IP包头信息可以是包过滤器（ packet filter ) , 该包过滤器中至少包含 HeNB的本地 IP地址。若 HeNB和 SeGW之间检测到 NA(P)T, 则该包过滤器还可能包含 IPSecUDP源端口号。 该过滤器还可以包 含 SeGW的地址、 IPSec目的 UDP端口号（针对 HeNB的上行方向来说 ) 以 及协议类型等信息。

步骤 902: UE向 HeNB发送附着请求消息， 携带用户标识；

步骤 903: HeNB向 MME发送附着请求消息， 携带用户标识。 在该消息 经过 SeGW时， SeGW将步骤 901中获得的外部 IP包头信息加入该消息中携 带给 MME;

步骤 904: MME向 HSS发送位置更新请求， 携带用户标识；

步骤 905: HSS向 MME返回位置更新应答， 返回用户签约信息； 步骤 906: MME向 S-GW发送创建会话请求， 携带用户标识， PDN标识 和外部 IP包头信息；

步骤 907: S-GW向 P-GW发送创建会话请求， 携带用户标识， PDN标 识和外部 IP包头信息；

步骤 908: P-GW向 PCRF发送 IP-CAN会话建立指示， 携带用户标识，

PDN标识和外部 IP包头信息；

步骤 909: PCRF根据外部 IP包头确定 UE 当前接入的 BBF接入网的 BPCF, 并向 BPCF发送 PCRF发起网关控制会话建立消息， 在该网关控制会 话建立消息中携带有外部 IP包头信息；

步骤 910: BPCF向 BBF接入网设备 (例如 BNG/BRAS )提供外部 IP包 头信息；

步骤 911 : BBF接入网设备保存外部 IP包头信息后， 向 BPCF返回确认 消息； 步骤 912: BPCF向 PCRF返回应答消息；

步骤 913: PCRF向 PCEF返回 IP-CAN会话建立确认；

步骤 914: PCEF位于的网关 P-GW向 S-GW返回创建会话应答； 步骤 915: S-GW向 MME返回创建会话应答；

步骤 916: MME、 HeNB和 UE进行交互， 建立无线承载；

步骤 917: MME与 S-GW交互， 更新承载。

通过上述流程， PCRF 与 BPCF 之间建立会话， 并且 BBF 接入网 ( BNG/BRAS )获得外部 IP包头信息。 当 UE进行业务访问需要网络为其分 配资源时， PCRF首先将制定的 PCC规则的 QoS信息发送给 BPCF,以便 BBF 接入网执行接纳控制。 然后， PCRF将 BBF接入网接受的 PCC规则发送给 PCEF。 PCEF根据 PCC规则对相应的数据流的下行数据的 IP包的头部 （称 为内部包头）进行 DSCP的标记，当该业务数据流 IP包到达 SeGW时， SeGW 将对 IP包进行 IPSec封装， 并进行 DSCP拷贝。 当这些数据到达 BBF接入网 时， BBF接入网设备首先根据保存的外部 IP包头信息进行过滤， 只有当匹配 到了外部 IP包头信息的业务数据流才根据 DSCP进行数据转发； 对于匹配不 到的业务数据流， BBF接入网设备根据本地策略进行处理（如重新标记较低 优先级的 DSCP ) 。 对于业务数据流的上行数据， 由 HeNB进行 IPSec封装 并进行 DSCP拷贝， 当数据到达 BBF接入网时， BBF接入网设备首先根据保 存的外部 IP包头信息进行过滤， 只有当匹配到了外部 IP包头信息的业务数 据流才根据 DSCP进行数据转发； 对于匹配不到的业务数据流， BBF接入网 设备根据本地策略进行处理（如重新标记较低优先级的 DSCP ) 。 从而， 那 些未经接纳控制业务数据流不会抢占其他经过接纳控制的业务数据流的资 源。

对于 HNB附着接入 UMTS系统过程， BBF接入网设备获得外部 IP包头 信息的流程与此类似。 此时的外部 IP包头信息可以是 HNB和 SeGW之间建 立的 IPSec隧道外部 IP包头信息。 为了唯一标识这个 IPSec隧道， IPSec隧道 外部 IP包头信息中至少包括 SeGW接收到的 HNB发送的 IKEv2信令的源地 址（即 IPSec的源地址， 针对 HNB的上行方向来说 ) 。 IPSec隧道外部 IP包 头信息还可能包括 SeGW接收到的 HNB发送的 IKEv2信令的源端口号 （即 IPSec的源端口号， 针对 HNB上行方向来说 ) , 如果 HNB和 SeGW之间检 测到 NA(P)T。 当然， 还可能包含 SeGW的地址、 SeGW的接收 UDP端口号 (即目的 UDP端口号， 针对 HNB上行方向来说）和协议类型等； 同样， 该 外部 IP包头信息可以釆用包过滤器形式实现。

在其他是实施例中， 在步骤 901中， SeGW将外部 IP包头部信息发送给 HeNB, 在步骤 902中， HeNB将外部 IP包头部信息发送给 MME, 其他步骤 不变。

实施例五

图 10为图 4的架构下， H(e)NB上电后， BBF接入网设备获得外部 IP包 头的流程。

步骤 1001： H(e)NB上电后， 获得 BBF接入网分配的 CPE IP地址（即本 地 IP地址）, H(e)NB用 CPE IP地址与 SeGW进行 IKEv2信令交互，建立 IPSec 隧道。 在这个过程中， SeGW为 H(e)NB分配 H(e)NB IP地址， 用于 H(e)NB 与其他 3GPP网元交互；

步骤 1002: SeGW向 H(e)NB PF通知 CEP IP地址和 H(e)NB IP地址的关 联关系， 携带外部 IP包头信息。 对于 H(e)NB场景， 该 H(e)NB的所有业务 数据流都将被 H(e)NB和 SeGW之间的 IPSec隧道封装。 因此， 此时的外部 IP包头信息可以是 H(e)NB和 SeGW之间建立的 IPSec隧道外部 IP包头信息。 为了唯一标识这个 IPSec隧道， IPSec隧道外部 IP包头信息中至少包括 SeGW 接收到的 H(e)NB发送的 IKEv2信令的源地址（即 IPSec的源地址，针对 H(e)NB 的上行方向来说） 。 IPSec隧道外部 IP包头信息还可能包括 SeGW接收到的 HeNB发送的 IKEv2信令的源端口号（即 IPSec的源端口号， 针对 H(e)NB上 行方向来说）， 以及 SeGW的地址、 SeGW的接收 UDP端口号（即目的 UDP 端口号， 针对 H(e)NB上行方向来说）和协议类型等； ；

由于 IKEv2信令可能经过了 NA(P)T穿越， 因此， SeGW接收到的源地 址和源端口号可能与 H(e)NB发送时的源地址和源端口号不同。 若没有经过 NAT穿越， 则源地址即为 H(e)NB在接入 BBF接入网时获得的 CPE IP地址。

对于 H(e)NB和 SeGW之间不存在 NAT的场景， SeGW接收到的 H(e)NB 发送的 IKEv2信令的源地址即为 BBF接入网分配的本地 IP地址， 且该地址 可以唯一标识该 H(e)NB被该 IPSec隧道封装的业务数据流， 因此外部 IP包 头信息至少包含本地 IP地址

对于 H(e)NB和 SeGW之间存在（ 1:1 ) NAT的场景， SeGW接收到的 H(e)NB发送的 IKEv2信令的源地址为经过 NAT后的公网 IP地址， 不过由于 是 1:1 NAT, 该地址仍然可以唯一标识该 H(e)NB被该 IPSec隧道封装的业务 数据流，因此外部 IP包头信息至少包含 SeGW接收到的 H(e)NB发送的 IKEv2 信令的源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAT位于 RG, 该地址就是 RG的地址） 。

对于 H(e)NB和 SeGW之间 （ N:l ) NAT (即 NAPT ) , 业务数据流在穿 越 NAPT时需要进行 UDP封装， NAPT会为该 IPSec隧道分配 UDP源端口号 (针对 H(e)NB的上行方向来说 )。 因此为了唯一标识该 UE被该 IPSec隧道 封装的业务数据流， 外部 IP包头信息至少包含 SeGW接收到的 H(e)NB发送 的 IKEv2信令的源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAPT 位于 RG, 该地址就是 RG的地址 )和 SeGW接收到的 H(e)NB发送的 IKEv2 信令的源端口号 （即 IPSecUDP源端口号） 。

为方便描述， H(e)NB被 NAT的 IP地址也称为本地 IP地址。 所以外部

IP包头信息至少包括 H(e)NB的本地 IP地址。 若 H(e)NB和 SeGW之间检测 到 NA(P)T, 则外部 IP包头信息还可能包括 IPSecUDP源端口号。 外部 IP包 头信息还可以包括 SeGW的地址、 IPSec目的 UDP端口号 （针对 H(e)NB的 上行方向来说） 以及协议类型等信息。

当然， 在具体实现时， 外部 IP包头信息可以是包过滤器（ packet filter ) , 该包过滤器中至少包含 H(e)NB的本地 IP地址。 若 H(e)NB和 SeGW之间检 测到 NA(P)T, 则该包过滤器还可能包含 IPSecUDP源端口号。 该过滤器还可 以包含 SeGW的地址、 IPSec目的 UDP端口号 （针对 H(e)NB的上行方向来 说） 以及协议类型等信息。 步骤 1003: H(e)NB PF保存关联关系后， 返回接受消息；

步骤 1004: H(e)NB与 H(e)NB GW或 MME建立 S1或 Iuh连接； 步骤 1005: H(e)NB GW或 MME与 H(e)NB PF建立 T2会话， 其中携带 CSG ID以及 H(e)NB IP地址；

步骤 1006: H(e)NB PF根据 H(e)NB IP地址将 T2会话与步骤 1002进行 关联， 从而获得该 H(e)NB的 CPE IP地址， H(e)NB PF根据 CPE IP地址确定 H(e)NB接入的 BBF接入网的 BPCF。 H(e)NB PF向 BPCF建立 S9*会话， 携 带 CPE IP地址和外部 IP包头信息；

步骤 1007: BPCF向 BBF接入网设备 (例如 BNG/BRAS )提供外部 IP 包头信息；

步骤 1008: BBF接入网设备保存外部 IP包头信息后， 向 BPCF返回确认 消息；

步骤 1009: BPCF向 H(e)NB PF返回应答消息；

步骤 1010: H(e)NB PF向 H(e)NB GW或 MME返回应答消息。

通过上述流程， H(e)NB PF与 BPCF之间建立会话， 并且 BBF接入网

( BNG/BRAS )获得外部 IP包头信息。 当 UE进行业务访问需要网络为其分 配资源时， PCRF首先将制定的 PCC规则的 QoS信息发送给 BPCF,以便 BBF 接入网执行接纳控制。 然后， PCRF将 BBF接入网接受的 PCC规则发送给 PCEF。 PCEF根据 PCC规则对相应的数据流的下行数据的 IP包的头部 （称 为内部包头）进行 DSCP的标记，当该业务数据流 IP包到达 SeGW时， SeGW 将对 IP包进行 IPSec封装， 并进行 DSCP拷贝。 当这些数据到达 BBF接入网 时， BBF接入网设备首先根据保存的外部 IP包头信息进行过滤， 只有当匹配 到了外部 IP包头信息的业务数据流才根据 DSCP进行数据转发； 对于匹配不 到的业务数据流， BBF接入网设备根据本地策略进行处理（如重新标记较低 优先级的 DSCP )。 对于业务数据流的上行数据， 由 H(e)NB进行 IPSec封装 并进行 DSCP拷贝， 当数据到达 BBF接入网时， BBF接入网设备首先根据保 存的外部 IP包头进行过滤， 只有当匹配到了外部 IP包头信息的业务数据流 才根据 DSCP进行数据转发； 对于匹配不到的业务数据流， BBF接入网设备 根据本地策略进行处理（如重新标记较低优先级的 DSCP ) 。 从而， 那些未 经接纳控制业务数据流不会抢占其他经过接纳控制的业务数据流的资源。

在其他实施例中， 若 SeGW与 H(e)NB PF的接口不存在， 则在步骤 1001 中， SeGW将外部 IP包头部信息发送给 H(e)NB, 步骤 1002、 步骤 1003不执 行， 在步骤 1004中， H(e)NB将外部 IP包头部信息发送给 H(e)NB PF, 其他 步骤不变。

实施例六

图 11为图 5的架构下， H(e)NB上电后， BBF接入网设备获得外部 IP包 头的流程。

步骤 1101 : H(e)NB上电后，获得 BBF接入网分配的用户终端设备 CPE IP 地址（即本地 IP地址 ) , H(e)NB用 CPE IP地址与 SeGW进行 IKEv2信令交 互， 建立 IPSec隧道。在这个过程中， SeGW为 H(e)NB分配 H(e)NB IP地址， 用于 H(e)NB与其他 3GPP网元交互；

步骤 1102： SeGW向 H(e)NB PF通知 CEP IP地址和 H(e)NB IP地址的关 联关系， 携带外部 IP包头信息。 对于 H(e)NB场景， 该 H(e)NB的所有业务 数据流都将被 H(e)NB和 SeGW之间的 IPSec隧道封装。 因此， 此时的外部 IP包头信息可以是 H(e)NB和 SeGW之间建立的 IPSec隧道外部 IP包头信息。 为了唯一标识这个 IPSec隧道， IPSec隧道外部 IP包头信息中至少包括 SeGW 接收到的 H(e)NB发送的 IKEv2信令的源地址（即 IPSec的源地址，针对 H(e)NB 的上行方向来说） 。 IPSec隧道外部 IP包头信息还可能包括 SeGW接收到的 HeNB发送的 IKEv2信令的源端口号（即 IPSec的源端口号， 针对 H ( e)NB上 行方向来说）， 以及 SeGW的地址、 SeGW的接收 UDP端口号（即目的 UDP 端口号， 针对 H(e)NB上行方向来说）和协议类型等；

由于 IKEv2信令可能经过了 NAT穿越， 因此， SeGW接收到的源地址和 源端口号可能与 UE发送时的源地址和源端口号不同。若没有经过 NAT穿越， 则源地址即为 UE在接入 BBF接入网时获得的 CPE IP地址；

对于 H(e)NB和 SeGW之间不存在 NAT的场景， SeGW接收到的 H(e)NB 发送的 IKEv2信令的源地址即为 BBF接入网分配的本地 IP地址， 且该地址 可以唯一标识该 H(e)NB被该 IPSec隧道封装的业务数据流， 因此外部 IP包 头信息至少包含本地 IP地址

对于 H(e)NB和 SeGW之间存在（ 1:1 ) NAT的场景， SeGW接收到的 H(e)NB发送的 IKEv2信令的源地址为经过 NAT后的公网 IP地址， 不过由于 是 1:1 NAT, 该地址仍然可以唯一标识该 H(e)NB被该 IPSec隧道封装的业务 数据流，因此外部 IP包头信息至少包含 SeGW接收到的 H(e)NB发送的 IKEv2 信令的源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAT位于 RG, 该地址就是 RG的地址） 。

对于 H(e)NB和 SeGW之间 （ N:l ) NAT (即 NAPT ) , 业务数据流在穿 越 NAPT时需要进行 UDP封装， NAPT会为该 IPSec隧道分配 UDP源端口号 (针对 H(e)NB的上行方向来说 )。 因此为了唯一标识该 UE被该 IPSec隧道 封装的业务数据流， 外部 IP包头信息至少包含 SeGW接收到的 H(e)NB发送 的 IKEv2信令的源地址（即经 BBF接入网 NAT后的公网 IP地址， 若 NAPT 位于 RG, 该地址就是 RG的地址 )和 SeGW接收到的 H(e)NB发送的 IKEv2 信令的源端口号 （即 IPSecUDP源端口号） 。

为方便描述， H(e)NB被 NAT的 IP地址也称为本地 IP地址。 所以外部 IP包头信息至少包括 H(e)NB的本地 IP地址。 若 H(e)NB和 SeGW之间检测 到 NA(P)T, 则外部 IP包头信息还可能包括 IPSecUDP源端口号。 外部 IP包 头信息还可以包括 SeGW的地址、 IPSec目的 UDP端口号 （针对 H(e)NB的 上行方向来说） 以及协议类型等信息。

当然， 在具体实现时， 外部 IP包头信息可以是包过滤器（packet filter ) , 该包过滤器中至少包含 H(e)NB的本地 IP地址。 若 H(e)NB和 SeGW之间检 测到 NA(P)T, 则该包过滤器还可能包含 IPSecUDP源端口号。 该过滤器还可 以包含 SeGW的地址、 IPSec目的 UDP端口号 （针对 H(e)NB的上行方向来 说） 以及协议类型等信息。

步骤 1103: H(e)NB PF保存关联关系后， 返回接受消息；

步骤 1104: H(e)NB与 H(e)NB GW或 MME建立 S1或 Iuh连接； 步骤 1105: H(e)NB与 H(e)NB PF建立 T2会话， 其中携带 CSG ID以及 H(e)NB IP地址；

步骤 1106: H(e)NB PF根据 H(e)NB IP地址将 T2会话与步骤 1102进行 关联， 从而获得该 H(e)NB的 CPE IP地址， H(e)NB PF根据 CPE IP地址确定 H(e)NB接入的 BBF接入网的 BPCF。 H(e)NB PF向 BPCF建立 S9*会话， 携 带 CPE IP地址和外部 IP包头信息；

步骤 1107: BPCF向 BBF接入网设备 (例如 BNG/BRAS )提供外部 IP 包头信息；

步骤 1108: BBF接入网设备保存外部 IP包头信息后， 返回确认消息给 BPCF;

步骤 1109: BPCF返回应答消息给 H(e)NB PF;

步骤 1110: H(e)NB PF向 H(e)NB返回应答消息。

通过上述流程 , H(e)NB PF与 BPCF之间建立了会话 , 并且 BBF接入网 ( BNG/BRAS )获得外部 IP包头信息。 当 UE进行业务访问需要网络为其分 配资源时， PCRF首先将制定的 PCC规则的 QoS信息发送给 BPCF, 以便 BBF接入网执行接纳控制。 然后， PCRF将 BBF接入网接受的 PCC规则发 送给 PCEF。 PCEF根据 PCC规则对相应的数据流的下行数据的 IP包的头部 (称为内部包头 )进行 DSCP的标记， 当该业务数据流 IP包到达 SeGW时， SeGW将对 IP包进行 IPSec封装， 并进行 DSCP拷贝。 当这些数据到达 BBF 接入网时， BBF接入网设备首先根据保存的外部 IP包头信息进行过滤， 只有 当匹配到了外部 IP包头信息的业务数据流才根据 DSCP进行数据转发； 对于 匹配不到的业务数据流， BBF接入网设备根据本地策略进行处理（如重新标 记较低优先级的 DSCP )。 对于业务数据流的上行数据， 由 UE进行 IPSec封 装并进行 DSCP拷贝， 当数据到达 BBF接入网时， BBF接入网设备首先根据 保存的外部 IP包头信息进行过滤， 只有当匹配到了外部 IP包头信息的业务 数据流才根据 DSCP进行数据转发； 对于匹配不到的业务数据流， BBF接入 网设备根据本地策略进行处理（如重新标记较低优先级的 DSCP ) 。 从而， 那些未经接纳控制业务数据流不会抢占其他经过接纳控制的业务数据流的资 源。 在其他实施例中， 若 SeGW与 H(e)NB PF的接口不存在， 则在步骤 1101 中， SeGW将外部 IP包头部信息发送给 H(e)NB, 步骤 1102、 步骤 1103不执 行， 在步骤 1104中， H(e)NB将外部 IP包头部信息发送给 H(e)NB PF, 其他 步骤不变。

对于以上所有实施例， 当 BBF接入网设备按照外部 IP包头信息进行 IP 包匹配时， 若匹配不到， 只有当网络出现拥塞时， 才按照本地策略进行数据 转发， 如果当前资源充足， 仍然按照 DSCP进行调度。

本发明还提供一种策略控制系统， 包括： 3GPP网络设备和宽带接入论坛

( BBF )接入网设备， 其中：

所述 3GPP网络设备设置成：将外部 IP包头信息发送给所述 BBF接入网 设备；

所述 BBF接入网设备设置成： 将与所述外部 IP包头信息匹配的数据包 按照所述数据包的差分服务代码点 （DSCP )进行转发。

其中， 所述 BBF接入网设备还设置成： 将与所述外部 IP包头信息不匹 配的数据包按照本地策略进行转发。

其中， 所述系统还包括宽带策略控制架构 （BPCF ) , 所述 3GPP网络设 备包括演进的分组数据网关 （ePDG )和策略和计费规则功能（PCRF ) , 其 中：

所述 ePDG设置成： 将所述外部 IP 包头信息发送给分组数据网络网关 ( P-GW ) , 由所述 P-GW将所述外部 IP包头信息发送给策略和计费规则功 能（ PCRF );或者，所述 ePDG直接将所述外部 IP包头信息发送给所述 PCRF; 所述 PCRF设置成： 将所述外部 IP包头信息发送给所述 BPCF;

所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备。 或者， 所述 3GPP网络设备包括 P-GW和 PCRF:

所述 P-GW设置成： 将所述外部 IP包头信息发送给所述 PCRF; 所述 PCRF设置成： 将所述外部 IP包头信息发送给所述 BPCF;

所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备。 所述 PCRF设置成按照以下方式将所述外部 IP 包头信息发送给所述 BPCF: 在进行服务质量授权时， 将所述外部 IP包头信息发送给所述 BPCF; 或者， 在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包头信息发 送给所述 BPCF。

其中， 所述系统还包括宽带策略控制架构 （BPCF ) , 所述 3GPP网络设 备包括安全网关和家庭基站策略功能， 或者包括安全网关和 PCRF, 其中： 所述安全网关设置成：将所述外部 IP包头信息发送给家庭基站策略功能； 所述家庭基站策略功能设置成： 将所述外部 IP包头信息发送给 BPCF; 所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备； 或者，

所述安全网关设置成： 将所述外部 IP包头信息发送给 PCRF;

所述 PCRF设置成： 将所述外部 IP包头信息发送给 BPCF;

所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备。 其中， 所述家庭基站策略功能或 PCRF设置成按照以下方式将所述外部 IP包头信息发送给所述 BPCF:在向所述 BPCF发起策略互通会话建立时，将 所述外部 IP包头信息发送给所述 BPCF。

其中， 所述外部 IP包头信息为 IPSec隧道外部 IP包头信息。 所述 IPSec 隧道为用户设备和 ePDG、 用户设备和 P-GW或家庭基站与安全网关之间的 IPSec隧道。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保护 范围， 凡在本发明的精神和原则之内所作的任何修改、 等同替换和改进等， 均应包含在本发明的保护范围之内。

工业实用性 上述技术方案中， BBF接入网保存外部 IP包头， 当数据到达 BBF接入 网时， BBF接入网设备首先根据保存的外部 IP包头进行过滤， 只有当匹配到 了外部 IP包头的业务数据流才根据 DSCP进行数据转发； 对于匹配不到的业 务数据流， BBF接入网设备根据本地策略进行处理（如重新标记较低优先级 的 DSCP ) 。 从而， 那些未经接纳控制业务数据流不会抢占其他经过接纳控 制的业务数据流的资源。 因此， 本发明具有很强的工业实用性。

Claims

权 利 要 求 书

1、 一种策略控制方法， 包括：

3GPP网络设备将外部 IP包头信息发送给宽带接入论坛（BBF )接入网 设备；

所述 BBF接入网设备将与所述外部 IP包头信息匹配的数据包按照所述 数据包的差分服务代码点 （DSCP )进行转发。

2、 如权利要求 1所述的策略控制方法， 该方法还包括， 所述 BBF接入 网设备将与所述外部 IP包头信息不匹配的数据包按照本地策略进行转发。

3、 如权利要求 1所述的策略控制方法， 其中， 3GPP网络将外部 IP包头 信息发送给 BBF接入网设备的步骤包括：

3GPP 网络的演进的分组数据网关 （ ePDG ) 通过分组数据网络网关 ( P-GW )将所述外部 IP包头信息发送给策略和计费规则功能（PCRF ) ， 所 述 PCRF将所述外部 IP包头信息发送给所述 BBF接入网的宽带策略控制架构 ( BPCF ) , 所述 BPCF将所述外部 IP包头信息发送给所述 BBF接入网设备； 或者，

所述 ePDG直接将所述外部 IP包头信息发送给所述 PCRF, 所述 PCRF 将所述外部 IP包头信息发送给所述 BPCF, 所述 BPCF将所述外部 IP包头信 息发送给所述 BBF接入网设备； 或者，

所述 P-GW将所述外部 IP包头信息发送给所述 PCRF, 所述 PCRF将所 述外部 IP包头信息发送给所述 BPCF, 所述 BPCF将所述外部 IP包头信息 发送给所述 BBF接入网设备。

4、 如权利要求 3所述的策略控制方法， 其中， 所述 PCRF将所述外部 IP 包头信息发送给所述 BPCF的步骤包括：

所述 PCRF在进行服务质量授权时， 将所述外部 IP包头信息发送给所述 BPCF; 或者，

所述 PCRF在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包 头信息发送给所述 BPCF。

5、 如权利要求 1所述的策略控制方法， 其中， 3GPP网络将外部 IP包头 信息发送给 BBF接入网设备的步骤包括：

3GPP网络的安全网关（ SeGW )将所述外部 IP包头信息发送给所述 BBF 接入网的家庭基站策略功能（H(e)NB PF ), 所述 H(e)NB PF将所述外部 IP包 头信息发送给 BPCF, 所述 BPCF将所述外部 IP包头信息发送给所述 BBF接 入网设备； 或者，

所述 SeGW将所述外部 IP包头信息发送给 PCRF, 所述 PCRF将所述外 部 IP包头信息发送给所述 BPCF, 所述 BPCF将所述外部 IP包头信息发送给 所述 BBF接入网设备。

6、 如权利要求 5所述的策略控制方法， 其中， 所述 H(e)NB PF将所述外 部 IP包头信息发送给 BPCF的步骤包括：

所述 H(e)NB PF在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包头信息发送给所述 BPCF;

所述 PCRF将所述外部 IP包头信息发送给所述 BPCF的步骤包括： 所述 PCRF在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包 头信息发送给所述 BPCF。

7、 如权利要求 1-4 中任一项所述的策略控制方法， 其中， 所述外部 IP 包头信息至少包括用户终端 （UE ) 的本地 IP地址。

8、 如权利要求 3或 4所述的策略控制方法， 其中， 若所述 UE和 ePDG 之间，或所述 UE和所述 P-GW之间检测到 NA(P)T,则所述外部 IP包头信息 包括 UE的本地 IP地址和 UDP源端口号。

9、如权利要求 8所述的策略控制方法，其中，所述 UDP源端口号为 IPSec UDP源端口号； 或， DSMIP绑定更新信令 UDP源端口号。

10、 如权利要求 7或 8所述的策略控制方法， 其中， 所述外部 IP包头信 息为包含相应信息的包过滤器。

11、 如权利要求 1、 2、 5或 6所述的策略控制方法， 其中， 所述 IP包头 信息至少包括家用基站（H(e)NB ) 的本地 IP地址。

12、如权利要求 5或 6所述的策略控制方法， 其中， 若 H(e)NB和所述安 全网关 SeGW之间检测到 NA(P)T, 则所述 IP 包头信息包括所述家用基站 ( H(e)NB ) 的本地 IP地址和 UDP源端口号。

13、 如权利要求 12所述的策略控制方法， 其中， 所述 UDP源端口号为 IPSec UDP源端口号。

14、 如权利要求 11或 12所述的策略控制方法， 其中， 所述外部 IP包头 信息为包含相应信息的包过滤器。

15、 一种策略控制系统， 包括： 3GPP网络设备和宽带接入论坛（BBF ) 接入网设备， 其中：

所述 3GPP网络设置成：将外部 IP包头信息发送给所述 BBF接入网设备； 所述 BBF接入网设备设置成： 将与所述外部 IP包头信息匹配的数据包 按照所述数据包的差分服务代码点 （DSCP )进行转发。

16、 如权利要求 15所述的策略控制系统， 其中， 所述 BBF接入网设备 还设置成：将与所述外部 IP包头信息不匹配的数据包按照本地策略进行转发。

17、 如权利要求 15所述的策略控制系统， 该系统还包括： BBF接入网的 宽带策略控制架构 （BPCF ) ， 其中：

所述 3GPP网络包括分组数据网络网关（P-GW )、 演进的分组数据网关 ( ePDG )和策略和计费规则功能（PCRF ) ， 其中：

所述 ePDG设置成： 通过所述 P-GW将所述外部 IP包头信息发送给所述 PCRF; 或者， 直接将所述外部 IP包头信息发送给所述 PCRF;

所述 P-GW设置成： 协助所述 ePDG将所述外部 IP包头信息发送给所述

PCRF; 或者， 自身将所述外部 IP包头信息发送给所述 PCRF;

所述 PCRF设置成： 将所述外部 IP包头信息发送给所述 BPCF;

所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备。

18、 如权利要求 17所述的策略控制系统， 其中， 所述 PCRF设置成按照 以下方式将所述外部 IP包头信息发送给所述 BPCF:

在进行服务质量授权时， 将所述外部 IP包头信息发送给所述 BPCF; 或 者， 在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包头信息发送 给所述 BPCF。

19、 如权利要求 15所述的策略控制系统， 该系统还包括 BPCF , 其中： 所述 3GPP网络设备包括安全网关（ SeGW )和家庭基站策略功能（ H(e)NB PF ), 或者包括（SeGW )和 PCRF, 其中：

所述 SeGW设置成： 将所述外部 IP包头信息发送给所述 H(e)NB PF; 所述 H(e)NB PF设置成： 将所述外部 IP包头信息发送给所述 BPCF; 所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备； 或者，

所述 3GPP网络设备包括所述 SeGW和所述 PCRF , 其中：

所述 SeGW设置成： 将所述外部 IP包头信息发送给所述 PCRF;

所述 PCRF设置成： 将所述外部 IP包头信息发送给所述 BPCF;

所述 BPCF设置成：将所述外部 IP包头信息发送给所述 BBF接入网设备。

20、 如权利要求 19所述的策略控制系统， 其中， 所述 H(e)NB PF或者所 述 PCRF设置成按照以下方式将所述外部 IP包头信息发送给所述 BPCF: 在向所述 BPCF发起策略互通会话建立时， 将所述外部 IP包头信息发送 给所述 BPCF。

21、 如权利要求 15-18 中任一项所述的策略控制系统， 其中， 所述外部 IP包头信息至少包括用户终端 （ UE ) 的本地 IP地址。

22、如权利要求 17或 18所述的策略控制系统，其中，若所述 UE和 ePDG 之间，或所述 UE和所述 P-GW之间检测到 NA(P)T,则所述外部 IP包头信息 包括 UE的本地 IP地址和 UDP源端口号。

23、 如权利要求 22所述的策略控制系统， 其中， 所述 UDP源端口号为 IPSec UDP源端口号； 或， DSMIP绑定更新信令 UDP源端口号。

24、 如权利要求 21或 22所述的策略控制系统， 其中， 所述外部 IP包头 信息为包含相应信息的包过滤器。

25、 如权利要求 15、 16、 19或 20所述的策略控制系统， 其中， 所述 IP 包头信息至少包括家用基站（H(e)NB ) 的本地 IP地址。

26、如权利要求 19或 20所述的策略控制系统， 其中， 若 H(e)NB和所述 安全网关 SeGW之间检测到 NA(P)T, 则所述 IP包头信息包括所述家用基站 ( H(e)NB ) 的本地 IP地址和 UDP源端口号。

27、 如权利要求 26所述的策略控制系统， 其中， 所述 UDP源端口号为

IPSec UDP源端口号。

28、 如权利要求 25或 26所述的策略控制系统， 其中， 所述外部 IP包头 信息为包含相应信息的包过滤器。

29、 一种宽带接入论坛 ( BBF )接入网系统 , 包括 BBF接入网设备 , 其 中：

所述 BBF接入网设备设置成： 接收 3GPP网络发送的外部 IP包头信息， 将与所述外部 IP 包头信息匹配的数据包按照所述数据包的差分服务代码点 ( DSCP )进行转发。

30、 如权利要求 29所述的 BBF接入网系统， 其中， 所述 BBF接入网设 备还设置成： 将与所述外部 IP包头信息不匹配的数据包按照本地策略进行转 发。

31、 如权利要求 29所述的 BBF接入网系统， 该系统还包括： 宽带策略 控制架构 （BPCF ) ， 其中：

所述 BPCF设置成： 接收 3GPP网络的演进的分组数据网关 （ePDG )通 过分组数据网络网关 （P-GW )发送给策略和计费规则功能（PCRF ) , 进而 由所述 PCRF发送来的所述外部 IP包头信息； 或者， 接收所述 ePDG直接发 送给所述 PCRF, 进而由所述 PCRF发送来的所述外部 IP包头信息； 或者， 接收所述 P-GW发送给所述 PCRF, 进而由所述 PCRF发送来的所述外部 IP 包头信息， 将所述外部 IP包头信息发送给所述 BBF接入网设备； 或者， 接收 3GPP网络的安全网关 （ SeGW )经过 BBF接入网的家庭基站策略 功能（ H(e)NB PF )发送来的所述外部 IP包头信息； 或者， 接收所述 SeGW通 过所述 PCRF发送来的所述外部 IP包头信息，将所述外部 IP包头信息发送给 所述 BBF接入网设备。

32、 如权利要求 31所述的 BBF接入网系统， 其中， 所述 BPCF还设置 成： 接收所述 PCRF在进行服务质量授权时发送来的所述外部 IP包头信息； 或者，

接收所述 PCRF在向所述 BPCF发起策略互通会话建立时发送来的所述 外部 IP包头信息； 或者，

接收所述 H(e)NB PF或者所述 PCRF在向所述 BPCF发起策略互通会话 建立时发送来的所述外部 IP包头信息。