专利名称:一种策略控制方法
技术领域:
本发明涉及3GPP ( 3rd Generation Partnership Project,第三代合作伙伴计 划)演进的分组系统(EPS: Evolved Packet System),特别涉及该系统中的 一种策略控制方法。
背景技术:
3GPP演进的分组系统即EPS由演进的UTRAN (E-UTRAN, Evolved Universal Terrestrial Radio Access Network,演进的通用陆地无线4妻入网络)、 MME(移动管理单元,Mobility Management Entity) 、 S-GW(服务网关,Serving Gateway) 、 PDN GW(P-GW, Packet Data Network Gate Way,分组数据网络网 关)、HSS (归属用户服务器,Home Subscriber Server) 、 3GPPAAA服务器 (3GPP认证授权计费服务器),PCRF (Policy and Charging Rules Function, 策略和计费规则功能),及其他支撑节点组成。其中MME负责移动性管理、 非接入层信令的处理、用户的移动管理上下文的管理等控制面相关工作; S-GW是与E-UTRAN相连的接入网关设备,在E-UTRAN和PDN GW之间 转发数据,并且负责对寻呼等待数据进行緩存。P-GW则是3GPP演进的分组 系统(EPS, Evolved Packet System)与PDN (Packet Data Network,分组凄史 据网络)网络的边界网关,负责PDN的接入、在EPS与PDN间转发数据等 功能。PCRF是策略和计费规则功能实体,它通过Rx接口与运营商IP (网络 协议)业务网络接口,获取业务信息,另一边它通过S7/S7a/S7c与网络中的 网关设备相连,负责发起IP承载的建立,保证业务数据的QoS (服务质量), 并进行计费控制。EPS支持与非3GPP网络的互通。与非3GPP网络的互通通过S2a/b/c接 口实现,P-GW作为3GPP与非3GPP网络间的锚点。其中非3GPP系统被分 为可信任非3GPP IP接入和不可信任非3GPP IP接入。可信任非3GPP IP接入可直接通过S2a与P-GW接口;不可信任非3GPP IP接入需经过ePDG (Evolved Packet Data Gateway,演进的分组数据网关)与P-GW相连,ePDG 与P-GW间的接口为S2b。同时,S2c是UE (用户设备)和P-GW之间的接 口 ,采用DSMIPv6 (Dual Stack MIPv6,双栈移动因特网协议版本6 )协议提 供用户面相关的控制和移动性管理。同时EPS系统支持多PDN接入,即UE 可以通过多个P-GW或者一个P-GW同时接入到多个PDN。MIPv6 (Mobile IPv6,移动IPv6 )通过对移动节点(MobileNode, MN) 的IPv6转交地址CoA与IPv6家乡地址HoA的绑定支持MN在网络中移动时 会话的可达性和连续性。但是由于IPv6还没有得到广泛的部署,今后很长的 一段时间内,IPv4的网络还将大量存在。IPv6的MN往往会移动到不支持IPv6 的网络上,因此必须对MIPv6进行扩展。DSMIPv6便是一种有效的解决方案, 它是一种基于客户端(Client-based)的MIP (移动IP)协议,要求移动节点 MN和家乡代理Home Agent都需要支持DSMIPv6。支持DSMIPv6的MN通 过其IPv4/IPv6转交地址和IPv4/IPv6家乡地址的绑定支持在IPv4或IPv6网络 上的移动性。在传统的3GPP网络中,策略和计费执行功能(PCEF, Policy and charging enforcement function)仅存在于P-GW中,PCRF只要与P-GW接口即可完成 所有功能的控制,PCRF与P-GW间通过S7接口 (见图1 )交换信息。当P-GW 与S-GW间的接口基于PMIPv6 (Proxy Mobile IPv6,代理移动IPv6 )时,PCEF 功能中的策略执行功能部分也存在于S-GW中,称为网关控制功能(GWCF, Gateway Control Function),比如,承载的绑定功能等,S-GW与PCRF之间 通过S7c接口 (见图l)交换信息。当通过可信任非3GPP接入系统接入时, 可信任非3GPP接入网关中也驻留GWCF。可信任非3GPP接入网关与PCRF 之间通过S7a接口 (见图1)交换信息。当UE漫游时,S9接口作为归属地 PCRF和拜访地PCRF的接口 。同时为UE提供业务的AF(Application Function, 应用功能)通过Rxl妾口向PCRF发送用于生成PCC (Policy and Charging Control,策略计费控制)策略的业务信息。我们考虑当UE通过可信任非3GPP IP接入网,采用DSMIPv6 (即S2c 接口 )接入EPS的场景。图2为上述场景下,UE接入EPS的初始附着流程。通过该流程,UE建立了 一个到PDN的IP连接。同时在UE和P-GW之间建 立了一个DSMIPv6隧道,可信任非3GPP接入网关在该隧道上。DSMIPv6 可以根据安全策略分别建立用于对控制面和用户面的安全联盟。在EPS系统 中,采用 IKEv2/IPSec ( Internet Key Exchange version 2/Internet Protocol Security,因特网密钥交换版本2/因特网协议安全)协议对DSMIPv6的控制面 和用户面进行安全保护。其中IKEv2/IPSec采用的加密认证协议为ESP (Encapsulating Security Payload,封装安全载荷),力口密方式为隧道才莫式。并 且在EPS系统中,IKEv2/IPSec对DSMIPv6控制面的保护是必须的,而对其 用户面的保护是可选的。若不对用户面数据进行加密认证,则数据包中UE 的转交地址CoA、通信对端的地址,业务的源和目的地端口号以及上层协议 类型(IP五元组),对可信任非3GPP接入网关都是可见的。可信任非3GPP接 入网关可以根据基于IP五元组的业务数据流过滤器对用户面数据进行策略控 制。若对用户面的数据包采用了 ESP协议的隧道模式进行加密认证,那么数 据包中只有UE的转交地址CoA和通信对端的地址对于可信任非3GPP接入 网关是可见的,即在可信任非3GPP接入网关上的GWCF只能根据CoA和通 信对端的地址对IP包进行过滤和策略控制。若PCRF按照IP五元组下发策略 控制规则必然导致经过可信任非3GPP接入网关的加密数据报文无法匹配到 正确的策略控制规则。此外,当UE请求新的业务的时候,PCRF按照下发基于IP五元组的策 略控制规则,可信任非3GPP接入网关会根据该策略控制规则将在可信任非 3GPP接入系统中新建无线承载。但是在数据包过滤检测的时候又只能根据 CoA和通信对端的地址,因此新建的承载将永远不会使用,这会造成无线资 源的浪费。发明内容本发明要解决的技术问题是提供一种策略控制方法,解决现有技术中当 用户面数据包进行加密认证时,可信任非3GPP接入网关的加密数据报文无法匹配到正确的策略控制规则及由此导致的无线资源浪费的问题。为了解决上述技术问题,本发明提供了一种策略控制方法,用户设备UE通过可信任非第三代合作伙伴3GPP接入系统接入,其特征在于,所述用户 设备建立到分组数据网络的会话时,如果用户面数据加密,分组数据网络网 关P-GW向策略和计费规则功能PCRF发送用户面数据加密的指示,所述 PCRF根据该指示决定策略控制规则的下发。进一步地,上述方法还可具有以下特点,所述PCRF决定策略控制规则 的下发包括不下发策略控制规则或制定特殊的策略控制规则并发送至可信任 非3GPP接入网关,所述特殊的策略控制规则的过滤器只包含对可信任非 3GPP接入网关可见的用户面数据。进一步地,上述方法还可具有以下特点,所述对可信任非3GPP接入网 关可见的用户面数据为所述用户设备的转交地址CoA和通信对端的地址,所 述过滤器只包含所述用户设备的转交地址CoA和通信对端的地址。进一步地,上述方法还可具有以下特点,若PCRF不下发策略控制规则 至可信任非3GPP接入网关,那么PCRF也不下发策略控制规则至P-GW。若 PCRF下发特殊策略控制规则至可信任非3GPP接入网关,那么PCRF也下发 特殊的策略控制规则至P-GW。进一步地,上述方法还可具有以下特点,下发给可信任非3GPP接入网 关的策略控制规则为服务质量规则,下发给P-GW的策略控制规则为策略计 费控制规则。进一步地,上述方法还可具有以下特点,若PCRF不下发策略控制规则 至可信任非3GPP接入网关和P-GW, PCRF可以进一步向可信任非3GPP接 入网关和P-GW发送不启动动态PCC指示。进一步地,上述方法还可具有以下特点,若可信任非3GPP4妄入网关和 P-GW没有获得策略控制规则或收到不启动动态PCC指示,使用本地预先配 置的策略计费规则。进一步地,上述方法还可具有以下特点,用户面数据不加密时,所述P -GW向PCRF发送用户面数据不加密的指示或不发送用户面加密指示,所述PCRF制定的策略控制规则的过滤器为IP五元组。进一步地,上述方法还可具有以下特点,所述IP五元组包括用户设备的 转交地址CoA和通信对端的地址,业务的源端口号,目的地端口号和上层协 议的类型。进一步地,上述方法还可具有以下特点,所述P-GW在发送给的PCRF 因特网协议连接接入网IP-CAN会话建立指示请求消息或IP-CAN会话修改请 求消息中携带用户面是否加密的指示。进一步地,上述方法还可具有以下特点,用户面数据加密认证所釆用的 加密认证协议为封装安全载荷,加密方式为隧道方式。采用本发明所述的方法,通过向PCRF发送用户面数据是否加密的指示, PCRF根据该指示进行策略规则的下发,解决了现有技术中当用户面数据包进 行力口密认证时,可信任非3GPP接入网关的加密数据报文无法匹配到正确的 策略控制规则及无线资源浪费的问题。
图1是现有EPS系统的非漫游架构图;图2是现有通过可信任非3GPP IP接入系统,采用DSMIPv6协议接入的 附着流程图;图3是本发明实施例1通过可信任非3GPP IP接入系统,采用DSMIPv6 协议接入的附着流程图;图4是本发明实施例2非漫游情况下,UE从3GPP接入切换到可信任非 3GPPIP接入的流程图。
具体实施方式
本发明的主要思路是PCRF根据DSMIPv6隧道中的用户面数据包是否进 加密认证,进行策略规则的下发,当UE建立到PDN的IP-CAN会话时,P-GW 在向PCRF发送IP-CAN (IP-Connectivity Access Network, IP连接接入网) 会话建立请求时或IP-CAN会话修改请求时通知PCRF是否对UE和P-GW之间的DSMIPv6隧道中的用户面数据包进行加密认证,PCRF根据该通知决定 是否下发策略控制规则或下发不同的策略控制规则。下面结合附图对发明的方法进一步作详细介绍。实施例一本实施例描述的是当UE在非漫游情况下,通过可信任非3GPPIP接入, 采用DSMIPv6协议接入时的附着流程。其中DSMlPv6用户面数据进行加密 认证。在P-GW向PCRF发送IP-CAN会话建立指示请求消息中携带用户面 加密认证指示,PCRF根据该指示制定QoS规则,规则中的过滤器属性为UE 的转交地址CoA和通信对端的地址,不考虑源、目的地端口号及上层协议类 型。本实施例的流程图如图3所示,各步骤描述如下302、 UE初始特定的层2 4妄入并执行认证过程;304、认证成功后建立UE和可信任非3GPP接入系统的层3连接,接入 网为UE分配本地IP地址作为DSMIPv6的转交地址CoA;306、可信任非3GPP接入网关向PCRF发送"网关控制会话建立"请求, 消息中携带网络接入标识NAI和转交地址CoA;308、 PCRF返回网关控制会话建立确认消息;310、 UE根据APN获得要接入的P-GW的IP地址,并建立UE和P-GW 的安全联盟,UE获得家乡地址HoA;312、 UE向P-GW发送"绑定更新"请求,消息中携带HoA和CoA;314、 P-GW向PCRF发送"IP-CAN会话建立指示"消息,消息中携带 用户面加密指示,通知PCRF DSMIPv6隧道中的用户面数据包将被加密。同 时携带HoA, CoA, APN和NAI用于与可信任非3GPP接入网关注册进行关 联。PCRF根据用户面加密指示,制定的PCC规则的业务数据流过滤器中只 考虑CoA及通信对端的地址,源、目的地端口号及上层协议类型都不考虑;316、 PCRF返回IP-CAN会话建立确认,消息中携带PCC规则;318、 P-GW返回绑定确认;320、 PCRF向可信任非3GPP接入网关发送网关控制和QoS规则提供消息;消息中携带的QoS规则的业务数据流过滤器中只考虑CoA及通信对端的 地址,源、目的地端口号及上层协议类型都不考虑;322、可信任非3GPP接入网关更新QoS规则并返回网关控制和QoS规 则提供确认消息。若DSMIPv6的用户面数据不进行加密认证,则P-GW在向PCRF发送的 "IP-CAN会话建立指示"消息中不携带用户面加密认证指示或者携带用户面 不加密认证指示,PCRF根据网络策略等分别向P-GW和可信任非3GPP接入 网关下发PCC规则和QoS规则。上述规则中的过滤器中包括CoA,通信对 端的地址,源、目的地端口及上层协议类型。实施例二本实施例描述的是当UE在非漫游情况下,从3GPP接入切换到可信任非 3GPP IP接入的流程。其中通过可信任非3GPP IP接入,采用DSMIPv6协议, 并对用户面数据进行加密认证。在P-GW向PCRF发送IP-CAN会话修改请 求消息中携带用户面加密认证指示,PCRF根据该指示制定QoS规则,规则 中的过滤器属性为UE的转交地址CoA和通信对端的地址,不考虑源、目的 地端口号及上层协议类型。本实施例的流程图如图4所示,各步骤描述如下402、 UE使用3GPP系统;404、 UE发现可信任非3GPP接入系统并决定发起切换,即切换到可信 任非3GPP接入系统;406、 UE初始特定的层2接入并执行i人证过程;408、认证成功后建立UE和可信任非3GPP接入系统的层3连接,接入 网为UE分配本地IP地址作为DSMIPv6的转交地址CoA;410、可信任非3GPP接入网关向PCRF发送"网关控制会话建立"请求, 消息中携带网络接入标识NAI和转交地址CoA用于在PCRF注册;412、 PCRF返回网关控制会话建立确认消息;414、 UE通过MIPv6的自动配置过程,找到要接入的P-GW的IP地址;416、 UE和P-GW之间建立安全联盟,UE获得家乡地址HoA;418、 UE向P-GW发送"绑定更新"请求,消息中携带HoA和CoA,用 于在P-GW中进行绑定;420、 P-GW向PCRF发送"IP-CAN会话修改"请求消息,消息中携带 用户面加密指示,通知PCRF DSMIPv6隧道中的用户面数据包将^皮加密。同 时携带HoA, CoA, APN和NAI用于与可信任非3GPP接入网关注册进行关 联。PCRF根据用户面加密指示,制定的PCC规则的业务数据流过滤器中只 考虑CoA及通信对端的地址,源、目的地端口号及上层协议类型都不考虑;;422 、 PCRF返回IP-CAN会话建立确认;424、 P-GW返回绑定确:〖人;426、 PCRF向可信任非3GPP接入网关发送网关控制和QoS规则提供消 息,消息中携带的QoS规则的业务数据流过滤器中只考虑转交地址CoA及通 信对端的地址,源、目的地端口号及上层协议类型都不考虑;428、可信任非3GPP接入网关更新QoS规则,并返回网关控制和QoS 规则提供确认消息。若DSMIPv6的用户面数据不进行力口密认证,则P-GW在向PCRF发送的 "IP-CAN会话修改"消息中不携带用户面加密认证指示,或者携带用户面不 加密认证指示,PCRF根据网络策略等分别向P-GW和可信任非3GPP接入网 关下发PCC规则和QoS规则。上述规则中的过滤器中包括CoA,通信对端 的地址,源、目的地端口号及上层协议类型。根据本发明的基本原理,上述实施例还可以进行多种变换,例如(一)PCRF收到用户面加密指示后,也可以不向P-GW下发上述特殊 PCC规则,同时不向可信任非3GPP接入网关下发上述特殊的QoS规则。进一步地,PCRF还可以分别向P-GW和可信任非3GPP接入网关发送不启动动 态PCC指示。P-GW和可信任非3GPP接入网关没有收到PCC规则和QoS 规则或接收到不启动动态PCC指示后,使用本地预先配置的策略计费规则。(二 )当P-GW取消了 UE和P-GW之间的用户面加密后,P-GW可以向 PCRF发送携带有用户面不加密认证指示的"IP-CAN会话修改"消息,PCRF 根据该指示,分别向P-GW和可信任非3GPP接入网关下发PCC规则和QoS 规则。上述规则中的过滤器中包括CoA,通信对端的地址,源、目的地端口 号及上层协议类型,重新启动动态PCC。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的 情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形, 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种策略控制方法,用户设备UE通过可信任非第三代合作伙伴3GPP接入系统接入,其特征在于,所述用户设备建立到分组数据网络的会话时,如果用户面数据加密,分组数据网络网关P-GW向策略和计费规则功能PCRF发送用户面数据加密的指示,所述PCRF根据该指示决定策略控制规则的下发。
2. 如权利要求l所述的方法,其特征在于,PCRF决定策略控制规则的 下发包括不下发策略控制规则至可信任非3GPP接入网关或制定特殊的策略 控制规则并发送至可信任非3GPP接入网关,所述特殊的策略控制规则的过 滤器只包含对可信任非3GPP接入网关可见的用户面数据。
3. 如权利要求2所述的方法,其特征在于,所述对可信任非3GPP接入 网关可见的用户面数据为所述用户设备的转交地址CoA和通信对端的地址, 所述过滤器只包含所述用户设备的转交地址CoA和通信对端的地址。
4. 如权利要求2所述的方法,其特征在于,若PCRF不下发策略控制规 则至可信任非3GPP接入网关,PCRF不下发策略控制规则至P-GW;若PCRF 下发特殊策略控制规则至可信任非3GPP接入网关,PCRF下发特殊的策略控 制规则至P-GW。
5. 如权利要求2或4所述的方法,其特征在于,下发给可信任非3GPP 接入网关的策略控制规则为服务质量规则,下发给P-GW的策略控制规则为 策略计费控制规则。
6. 如权利要求4所述的方法,其特征在于,若PCRF不下发策略控制规 则至可信任非3GPP接入网关和P-GW, PCRF向可信任非3GPP接入网关和 P-GW发送不启动动态策略计费控制PCC指示。
7. 如权利要求6所述的方法,其特征在于,若可信任非3GPP接入网关 和P-GW没有获得策略控制规则或收到不启动动态PCC指示,使用本地预先 配置的策略计费规则。
8、 如权利要求l所述的方法,其特征在于,用户面数据不加密时,所述P-GW向PCRF发送用户面数据不加密的指示或不发送用户面加密指示,所 述PCRF制定的策略控制规则的过滤器为IP五元组。
9、 如权利要求8所述的方法,其特征在于,所述IP五元组包括用户设 备的转交地址CoA和通信对端的地址,业务的源端口号,目的地端口号和上 层协议的类型。
10、 如权利要求1或2或9所述的方法,其特征在于,所述P-GW在发 送给的PCRF因特网协议连接接入网IP-CAN会话建立指示请求消息或 IP-CAN会话修改请求消息中携带用户面是否加密的指示。
11、 如权利要求IO任一所述的方法,其特征在于,用户面数据加密认证 所采用的加密认证协议为封装安全载荷,加密方式为隧道方式。
全文摘要
本发明提供了一种策略控制方法,用户设备UE通过可信任非第三代合作伙伴3GPP接入系统接入,用户设备建立到分组数据网络的会话时,如果用户面数据加密,分组数据网络网关P-GW向策略和计费规则功能PCRF发送用户面数据加密的指示,PCRF制定策略控制规则并发送至可信任非3GPP接入网关,策略控制规则的过滤器只包含对可信任非3GPP接入网关可见的用户面数据。
文档编号H04L12/56GK101335675SQ20081011080
公开日2008年12月31日 申请日期2008年6月10日 优先权日2008年1月9日
发明者周晓云, 宗在峰, 通 芮 申请人:中兴通讯股份有限公司