控制终端与网络连接的方法及装置与流程

本申请涉及移动通信技术领域，尤其涉及控制终端与网络连接的方法及装置。

背景技术：

在一些业务场景中，有些终端通常实现简单，安全防护差，容易被攻击者攻击，成为攻击者控制的设备。一种攻击的示例是，攻击者可以利用病毒软件快速控制大量的终端，形成自己控制的僵尸网络。当规模达到一定数值，攻击者可以控制这些终端对某个服务器同时发起大量连接，使服务器不堪重负而宕机，造成分布式拒绝服务(distributeddenialofservice,ddos)攻击。

目前，一种控制终端攻击的方法是，网络侧检测到某个终端在访问某个网络之间互连的协议(internetprotocol，ip)地址时存在异常，比如该终端短时间内大量访问该ip地址，疑似攻击行为，则生成控制策略并下发给用户面网元，后续用户面网元在接收到该终端的上行数据包时，根据控制策略对上行数据包进行匹配，若匹配成功，则丢弃该上行数据包，从而阻止该终端访问上述ip地址。

上述方法存在的问题是：当发生ddos时，出现异常行为的终端的数量多达数万级别，因而造成用户面流量开销非常大。

技术实现要素：

本申请提供控制终端与网络连接的方法及装置，用以减少出现异常行为的终端造成的用户面流量开销。

第一方面，本申请提供一种控制终端与网络连接的方法，包括：终端接收包过滤器；然后，终端丢弃与所述包过滤器匹配的上行数据包。基于该方案，可实现近源阻断连接(即从终端上阻断连接)，以减少终端到用户面网元的流量交互。相较于图背景技术方案，该实施例是由终端实施流量控制，减少向用户面网元发送的上行数据包，从而可以减轻用户面网元的负担。

在一种可能的实现方式中，终端接收包过滤器和指示信息，指示信息用于指示丢弃与所述包过滤器匹配的上行数据包；则终端根据所述指示信息，为所述包过滤器分配特定qfi；然后终端确定所述上行数据包与所述包过滤器匹配，则为所述上行数据包标记上述特定qfi；之后，终端丢弃与所述特定qfi对应的所述上行数据包。基于该方案，为上行数据包标记特定的qfi，后续将会丢弃与该特定qfi对应的上行数据包，实现在终端上控制上行数据包的发送。

在一种可能的实现方式中，上述指示信息为特定5qi，上述特定qfi为所述特定5qi或者上述特定qfi是根据所述特定5qi生成的。

在一种可能的实现方式中，所述终端根据所述指示信息，为所述包过滤器分配特定qfi之后，还可以根据所述包过滤器和所述特定qfi，更新所述终端的qos规则；在更新后的qos规则中的包过滤器对应的qfi都是所述特定qfi的情况下，所述终端向接入网设备发送通知信息，所述通知信息用于通知释放pdu会话。由于所有的包过滤器都与该特定qfi对应，因此所有的上行数据包都将会被丢弃，因此终端可以直接释放该pdu会话。

在一种可能的实现方式中，所述终端根据所述指示信息，为所述包过滤器分配特定qfi之后，终端还可以启动定时器；在所述定时器超时后，所述终端发起pdu会话修改流程，请求为所述特定qfi指示的服务质量qos流分配接入网资源，所述分配的接入网资源用于传输所述qos流的数据包。如此，可以实现控制在一定时长内，限制上行数据包的发送。

在又一种可能的实现方式中，所述终端接收包过滤器，具体包括：终端从移动性管理网元接收非接入层nas消息，所述nas消息包括所述包过滤器。基于该方案，是通过nas消息将包过滤器发送至终端的。

在又一种可能的实现方式中，所述终端接收包过滤器，具体包括：终端从接入网设备接收广播消息，所述广播消息包括组标识和所述包过滤器。终端丢弃与所述包过滤器匹配的上行数据包，具体包括：终端确定终端所属的组标识与广播消息的组标识匹配，则丢弃与所述包过滤器匹配的所述上行数据包。基于该方案，网络侧可以按组控制一组或多组终端的上行数据包的发送，可以减少网络侧的信令开销。

第二方面，本申请提供一种控制终端与网络连接的方法，包括：策略控制网元生成包过滤器；策略控制网元向终端发送包过滤器，用于指示所述终端丢弃与所述包过滤器匹配的上行数据包。基于该方案，可实现近源阻断连接(即从终端上阻断连接)，以减少终端到用户面网元的流量交互。相较于图背景技术方案，该实施例是由终端实施流量控制，减少向用户面网元发送的上行数据包，从而可以减轻用户面网元的负担。

在一种可能的实现方式中，所述策略控制网元向终端发送包过滤器之前，可以从安全检测网元接收控制策略和所述组标识。策略控制网元生成包过滤器，具体包括：策略控制网元根据所述控制策略，生成所述包过滤器。策略控制网元向终端发送包过滤器，具体包括：策略控制网元向终端发送包过滤器和组标识，用于指示所述终端在所述组标识与所述终端所属的组标识匹配时丢弃与所述包过滤器匹配的上行数据包。基于该方案，网络侧可以按组控制一组或多组终端的上行数据包的发送，可以减少网络侧的信令开销。

第三方面，本申请提供一种控制终端与网络连接的方法，包括：接入网设备接收包过滤器和组标识；接入网设备向终端发送广播消息，所述广播消息包括所述包过滤器和所述组标识，所述广播消息用于指示终端在所述组标识与所述终端所属的组标识匹配时丢弃与所述包过滤器匹配的上行数据包。基于该方案，可以按组控制一组或多组终端的上行数据包的发送，可以减少网络侧的信令开销。

在一种可能的实现方式中，接入网设备可以从策略控制网元接收所述包过滤器和所述组标识。

第四方面，本申请提供一种装置，该装置可以是终端、策略控制网元、接入网设备，也可以是芯片。该装置具有实现上述第一方面、或者第二方面、或者第三方面中任意一个方面的各实施例的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第五方面，提供了一种装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该装置执行如上述第一方面或第一方面中任一所述的控制终端与网络连接的方法、或者以使该装置执行如上述第二方面或第二方面中任一所述的控制终端与网络连接的方法、或者以使该装置执行如上述第三方面或第三方面中任一所述的控制终端与网络连接的方法。

第六方面，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第七方面，本申请还提供一种包括指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

附图说明

图1为本申请提供的一种可能的网络参考架构示意图；

图2为现有技术中的控制终端与网络连接的方法示意图；

图3为本申请提供的一种控制终端与网络连接的方法示意图；

图4为本申请提供的又一种控制终端与网络连接的方法示意图；

图5为本申请提供的又一种控制终端与网络连接的方法示意图；

图6为本申请提供的又一种控制终端与网络连接的方法示意图；

图7为本申请提供的一种装置示意图；

图8为本申请提供的一种装置示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中，在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图1所示，为本申请适用的一种可能的网络参考架构示意图。该网络参考架构包括接入网设备和核心网网元。其中，接入网设备可以通过有线或无线的方式与终端通信。终端可以通过非接入层(nonaccessstratum，nas)消息与核心网网元通信，例如通过n1接口。

其中，核心网网元包括可以包括移动性管理网元、会话管理网元、策略控制网元、用户面网元、安全检测网元中的部分或全部网元。

本申请中，终端是一种具有无线收发功能的设备，终端可以部署在陆地上，包括室内或室外、手持或车载；也可以部署在水面上(如轮船等)；还可以部署在空中(例如飞机、气球和卫星上等)。所述终端可以是手机(mobilephone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtualreality，vr)终端、增强现实(augmentedreality，ar)终端、工业控制(industrialcontrol)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remotemedical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smarthome)中的无线终端，以及还可以包括用户设备(userequipment，ue)等。终端还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiationprotocol，sip)电话、无线本地环路(wirelesslocalloop，wll)站、个人数字助理(personaldigitalassistant，pda)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来第五代(the5thgeneration，5g)网络中的终端设备或者未来演进的公用陆地移动通信网络(publiclandmobilenetwork，plmn)中的终端设备等。终端有时也可以称为终端设备、用户设备(userequipment，ue)、接入终端设备、车载终端、工业控制终端、ue单元、ue站、移动站、移动台、远方站、远程终端设备、移动设备、无线通信设备、ue代理或ue装置等。终端也可以是固定的或者移动的。本申请实施例对此并不限定。

接入网设备，也可以称为无线接入网(radioaccessnetwork，ran)设备，是一种为终端提供无线通信功能的设备。接入网设备例如包括但不限于：5g中的下一代基站(gnodeb，gnb)、演进型节点b(evolvednodeb，enb)、无线网络控制器(radionetworkcontroller，rnc)、节点b(nodeb，nb)、基站控制器(basestationcontroller，bsc)、基站收发台(basetransceiverstation，bts)、家庭基站(例如，homeevolvednodeb，或homenodeb，hnb)、基带单元(basebandunit，bbu)、传输点(transmittingandreceivingpoint，trp)、发射点(transmittingpoint，tp)、移动交换中心等。接入网设备还可以是云无线接入网络(cloudradioaccessnetwork，cran)场景下的无线控制器、集中单元(centralizedunit，cu)，和/或分布单元(distributedunit,du)，或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5g网络中的网络设备或者未来演进的plmn网络中的网络设备等。终端可以与不同技术的多个接入网设备进行通信，例如，终端可以与支持长期演进(longtermevolution，lte)网络的接入网设备通信，也可以与支持5g网络的接入网设备通信，还可以支持与lte网络的接入网设备以及5g网络的接入网设备的双连接。本申请实施例并不限定。

用户面网元，主要负责对用户报文进行处理，如转发、计费、合法监听等。在5g网络中，用户面网元可以是用户面功能(userplanefunction，upf)网元，在未来通信如第6代(6thgeneration，6g)网络中，用户面网元仍可以是upf网元，或有其它的名称，本申请不做限定。

会话管理网元，主要用于移动网络中的会话管理，如会话创建、修改、释放。具体功能比如包括为用户分配ip地址、选择提供报文转发功能的用户面网元。在5g网络中，会话管理网元可以是会话管理功能(sessionmanagementfunction，smf)网元，在未来通信如6g网络中，会话管理网元仍可以是smf网元，或有其它的名称，本申请不做限定。

移动性管理网元，主要用于移动网络中的终端的注册、移动性管理、跟踪区更新流程。移动性管理网元终结了nas消息、完成注册管理、连接管理以及可达性管理、分配跟踪区域列表(trackarealist，talist)以及移动性管理等，并且透明路由会话管理(sessionmanagement，sm)消息到会话管理网元。在5g网络中，移动性管理网元可以是接入与移动性管理功能(accessandmobilitymanagementfunction，amf)网元，在未来通信如6g网络中，移动性管理网元仍可以是amf网元，或者有其它名称，本申请对此不作限定。

策略控制网元，其包含用户签约信息管理功能，策略控制功能，计费策略控制功能，服务质量(qualityofservice，qos)控制等。在5g网络中，策略控制网元可以是策略控制功能(policycontrolfunction，pcf)网元，在未来通信如6g网络中，策略控制网元仍可以是pcf网元，或有其它的名称，本申请不做限定。

本申请中的安全检测网元，具备安全功能，可以对终端的流量数据进行分析，发现其中的恶意流量，即发现其中存在异常行为的终端。在具体实现中，在5g中，安全检测网元可以称为安全检测功能(securitydetectionfunction，sedf)网元，或者有其他名称。在具体实现中，安全检测网元可以是单独的网元，或集成于网络数据分析功能(networkdataanalysisfunction，nwdaf)实体中、或集成于操作、管理和维护(operation,administrationandmaintenance，oam)实体中、或集成于应用功能(applicationfunction，af)实体中。其中，oam实体也可以称为网络管理系统，用于提供一组网络管理功能，包括故障监测，故障申告，故障定位，以及故障修复等。nwdaf实体，用于提供大数据分析服务，该实体可以从第三代合作伙伴计划(3rdgenerationpartnershipproject，3gpp)网络收集数据，并进行大数据分析，从而提供更佳的策略。af实体，用于提供应用服务，这种应用服务可以是第三方提供的，也可以是运营商提供的。

可以理解的是,上述功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能，或者是平台(例如,云平台)上实例化的虚拟化功能。

为方便说明，本申请后续，以终端为ue，接入网设备为基站，用户面网元为upf网元，会话管理网元称为smf网元，移动性管理网元为amf网元，策略控制网元为pcf网元，安全检测网元为sedf网元为例进行说明。进一步地，将upf网元简称为upf，会话管理网元简称为smf，amf网元简称为amf，pcf网元简称为pcf，sedf网元简称为sedf。即本申请后续所描述的upf均可替换为用户面网元，smf均可替换为会话管理网元，amf均可替换为移动性管理网元，sedf均可替换为安全检测网元，ue均可替换为终端，基站均可替换为接入网设备。这里做统一说明，后续不再赘述。

5g主要面向三大业务场景，增强移动宽带(enhancedmobilebroadband,embb)，增强型机器类通信(enhancedmachinetypecommunication,emtc)和极高可靠极低时延通信(ultra-reliableandlow-latencycommunication,urllc)。其中，emtc主要面向物联网(internetofthings,iot)设备，这类设备通常实现简单，安全防护差，容易被攻击者攻击，成为攻击者控制的设备。

一种攻击的示例是，攻击者可以利用病毒软件快速控制大量的iot设备，形成自己控制的僵尸网络。当规模达到一定数值，攻击者可以控制这些设备对某个服务器同时发起大量连接，使服务器不堪重负而宕机，造成ddos攻击。

因此，当服务器遭受ddos攻击时，需要对发起攻击的终端进行控制，以限制该终端对目标服务的访问，但不中断终端与其他服务器的正常连接。

如图2所示，为现有技术中的一种控制终端与网络连接的方法流程示意图。该方法包括以下步骤：

步骤201，当sedf检测到安全事件时，sedf向pcf发送修改请求消息。

sedf检测到安全事件，sedf检测到某个ue或某些ue在访问某个ip地址或某些ip地址时存在异常，比如短时间内频繁访问某个ip地址，疑似攻击行为，从而确定存在安全事件。

该修改请求消息包括ue标识(ueid)和控制策略，ue标识用于指示ue的身份信息，控制策略用于限制ue对目的ip地址或目的媒体接入控制(mediumaccesscontrol，mac)地址的数据连接。控制策略包括目的ip地址或目的mac地址，可选的，控制策略还可以包括源ip地址或源mac地址。

步骤202，pcf生成包过滤器(packetfilter)。

pcf根据接收到的控制策略生成包过滤器。比如，生成的包过滤器可以包括ip包过滤器和mac包过滤器。ip包过滤器包括目的ip地址，该目的ip地址来自控制策略，可选的，pcf还可以在ip包过滤器中增加源ip地址、源端口号、目的端口号、协议类型中的部分或全部信息。mac包过滤器包括目的mac地址，该目的mac地址来自控制策略，可选的，pcf还可以在mac包过滤器中增加源mac地址、源端口号、目的端口号、协议类型中的部分或全部信息。

步骤203，pcf向smf发送修改请求消息，该消息中包括ue标识和包过滤器。

步骤204，smf向upf发送通知消息，该消息中包括ue标识和包过滤器。

步骤205，upf存储ue的标识和包过滤器。

步骤206，ue向upf发送上行数据包。

步骤207，upf丢弃与存储的ue标识和包过滤器匹配的上行数据包。

作为示例，upf通过步骤204接收到的ue标识和包过滤器分别为：(ueid1、packetfilter1、packetfilter2)、(ueid2、packetfilter3、packetfilter4)、(ueid3、packetfilter5)。其中，ueid1用于标识ue1,ueid2用于标识ue2，ueid3用于标识ue3。

比如，当upf从ue1接收到上行数据包1，若upf使用packetfilter1或packetfilter2对该上行数据包1匹配成功，则upf将会丢弃该上行数据包1。再比如，当upf从ue2接收到上行数据包2，若upf使用packetfilter3或packetfilter4对该上行数据包2匹配成功，则upf将会丢弃该上行数据包2。

该现有技术中，ue向upf发送上行数据包，由upf根据接收到的ue标识和包过滤器实施对上行数据包的流量控制，该方法存在的主要缺陷是：当发生ddos攻击时，出现异常行为的ue数量多达数万级别，则将造成信令和用户面流量(即upf上的流量)开销大，即浪费了ue和基站之间的空口资源以及基站到upf之间的链路资源。

为解决上述问题，本申请提供一种控制ue与网络连接的方法。如图3所示，为本申请提供的一种控制ue与网络连接的方法，该方法包括以下步骤：

步骤301，ue接收包过滤器。

这里的包过滤器可以与图2所示的实施例中的包过滤器相同。

步骤302，ue丢弃与包过滤器匹配的上行数据包。

基于该实施例，可实现近源阻断连接(即从ue上阻断连接)，以减少ue到upf的流量交互。相较于图2所示的背景技术方案，本申请实施例是由ue实施流量控制，减少向upf发送的上行数据包，从而可以减少upf的负担。

下面结合具体应用场景，对图3所示的实施例进行具体说明。

实现方法一，ue从网络侧接收包过滤器和指示信息，该指示信息用于指示丢弃与包过滤器匹配的上行数据包；ue根据所述指示信息，为该包过滤器分配特定qos流标识(qosflowidentity，qfi)。ue在生成上行数据包后，若确定该上行数据包与上述包过滤器匹配，则为该上行数据包标记上述特定qfi。后续ue将会丢弃标记了上述特定qfi的上行数据包。

基于该实现方法，ue将会为与上述包过滤器匹配的上行数据包标记一个特定qfi，后续ue将会丢弃与该特定qfi对应的上行数据包。

下面结合附图，给出该实现方法的一种具体实施例。

如图4所示，为本申请提供的一种控制ue与网络连接的方法，该方法可以在协议数据单元(protocoldataunti，pdu)会话修改流程中，实施对单个ue的控制。

该方法包括以下步骤：

步骤401，当sedf检测到安全事件时，sedf向pcf发送会话修改请求消息。

sedf检测到安全事件，例如，sedf检测到某个ue或某些ue在访问某个ip地址或某些ip地址时存在异常，比如短时间内频繁访问某个ip地址，疑似攻击行为，从而确定存在安全事件。

该会话修改请求消息包括ue标识(ueid)和控制策略，ue标识用于指示ue的身份信息，控制策略用于限制ue对目的ip地址或目的mac地址的数据连接。控制策略包括目的ip地址或目的mac地址，可选的，控制策略还可以包括源ip地址或源mac地址。步骤402，pcf生成包过滤器(packetfilter)和指示信息。

pcf根据接收到的控制策略生成包过滤器的具体实现方法，可以参考图2实施例的步骤202中的相关描述。

pcf还生成指示信息，该指示信息用于指示丢弃与该包过滤器匹配的数据包。该指示信息最终是需要发送至ue的，用于指示ue丢弃与该包过滤器匹配的上行数据包。作为一种实现方式，该指示信息可以是1比特的信息。作为又一种实现方式，该指示信息可以是特定5gqos指示符(5gqosindicator，5qi)，该特定5qi可以由ue和网络侧事先约定。

步骤403，pcf发起向smf发送会话策略关联修改消息，该消息中包括ue标识、包过滤器和指示信息。

步骤404，smf向amf发送通知消息，该通知消息中包括ue标识、包过滤器和指示信息。

例如该通知消息可以是namf_communication_n1n2messagetransfer消息。

步骤405，amf收到通知消息后，向smf消息发送确认(ack)消息。

步骤406，amf向基站下发n2会话请求消息，该消息中包括ue标识、包过滤器和指示信息。

步骤407，基站和ue发起信令交换，基站向ue发送资源修改请求消息，该消息包括包过滤器和指示信息。

由于基站从amf接收到指示信息，则基站选择不发起无线资源控制(radioresourcecontrol，rrc)连接重配置(connectionreconfiguration)流程，而是向ue发送资源修改请求消息。

步骤408，ue根据包过滤器和指示信息，更新qos规则(qosrule)。

一个ue中可以包括一个或多个qos规则，一个qos规则包括：一个qfi、一个包过滤器集(packetfilterset)和该包过滤器集对应的优先值信息。其中，qfi用于标识qos流，一个包过滤器集包括一个或多个包过滤器，优先值信息用于指示使用包过滤器集的优先级，或者理解为指示使用qos规则的优先级。

ue使用存储的qos规则决定用户面上行流量和qos流之间的映射。ue通过qos规则中的包过滤器，去匹配上行pdu(即上行数据包)，若一个上行pdu与一个qos规则中的包过滤器匹配，则使用该qos规则中的qfi标记该上行pdu，并且，标记了相同qfi的上行pdu组成一个qos流，然后ue使用该qos流对应的接入网资源发送该qos流。或者理解为，ue根据qos规则匹配用户面上行流量，若匹配上，则使用该qos规则中的qfi标记该用户面上行流量，得到qos流，因此用户面上行流量经过不同qos规则匹配之后，映射为多个qos流，不同qos流的qfi不同。

ue根据接收到的packetfilter和指示信息更新存储的qos规则的方法可以是：ue根据接收到的packetfilter和指示信息重新生成一个qos规则，该qos规则包括特定qfi、接收到的packetfilter以及优先级信息。其中，特定qfi可以是预先约定的qfi，也可以是根据指示信息生成的qfi，该优先级信息一般设置为高优先级，比如将该优先级信息设置为优先级1。进一步的，还可以从当前存储的qos规则中删除上述接收到的packetfilter。下面分两种情形，并结合具体示例分别进行说明。

作为示例，ue上存储的更新前的qos规则包括以下信息：

qosrule1：qfi1，packetfilterset1(包括packetfilter1、packetfilter2)，优先级1；

qosrule2：qfi2，packetfilterset2(包括packetfilter3、packetfilter4)，优先级2；

qosrule3：qfi3，packetfilterset3(packetfilter5)，优先级3。

其中，优先级1大于优先级2，优先级2大于优先级3。

在一个示例中，ue接收到的包过滤器为packetfilter1和packetfilter4，则ue根据packetfilter1、packetfilter4和指示信息重新生成一个qosrule4，该qosrule4包括：qfi4，packetfilterset4(包括packetfilter1和packetfilter4)，优先级1。并且，删除rule1的packetfilterset1中的packetfilter1，以及删除qosrule2的packetfilterset2中的packetfilter4。该qfi4是特定qfi，比如当ue从基站接收到的指示信息是特定5qi时，则该qfi4可以是该特定5qi，或者该qfi4是根据该特定5qi生成的。

因此，更新后的qos规则为：

qosrule1：qfi1，packetfilterset1(包括packetfilter2)，优先级1；

qosrule2：qfi2，packetfilterset2(包括packetfilter3)，优先级2；

qosrule3：qfi3，packetfilterset3(packetfilter5)，优先级3；

qosrule4：qfi4，packetfilterset4(包括packetfilter1、packetfilter4)，优先级1。

步骤409，当ue需要发送上行数据包时，根据更新后的qos规则对上行数据包进行匹配，若上行数据包与更新后的qos规则中的上述包过滤器匹配，则ue丢弃该上行数据包。

比如，ue的某个应用产生上行数据，生成多个上行数据包，当需要发送上行数据包时，对于每个上行数据包均需要使用ue上的qos规则进行匹配，然后为上行数据包分配相应的qfi。

下面以ue上存储的qos规则为上述示例中的更新后的qos规则为例，举例进行说明。

比如，ue产生的上行数据包1-上行数据包100与qosrule1的packetfilter2匹配，则ue为上行数据包1-上行数据包100标记qfi1；ue产生的上行数据包101-上行数据包300与qosrule1的packetfilter3匹配，则ue为上行数据包101-上行数据包300标记qfi2；ue产生的上行数据包301-上行数据包500与qosrule4的packetfilter1匹配，则ue为上行数据包301-上行数据包500标记qfi4。

ue在发送上行数据包时，对于标记了qfi1、qfi2、qfi3的上行数据包，ue为这些上行数据包分配接入网资源，通过分配的接入网资源，发送这些上行数据包。因此，ue会发送上述上行数据包1-上行数据包100，及发送上行数据包101-上行数据包300。

对于标记了特定qfi，如上述qfi4的上行数据包，ue将不会为这些上行数据包分配接入网资源，因此ue将会丢弃这些上行数据包。因此，ue会丢弃上述上行数据包301-上行数据包500。

可选地，ue上也可以在更新qos规则之后，开启定时器。在定时器超时之后，ue重新发起pdu会话修改流程，请求为qos规则中的特定qfi指示的qos流分配接入网资源，该分配的接入网资源用于传输该qos流的数据包。即，对于该特定qfi指示的qos流，在定时器超时之前网络侧不会为该qos流分配接入网资源，因此ue将会丢弃该qos流的上行数据包。而在定时器超时后，ue将会请求网络侧会为qos流分配接入网资源，用于传输该qos流的上行数据包。

步骤410，ue向基站发送确认消息。

在一个示例中，若上述步骤408中，ue更新后的qos规则中所有qosrule中的qfi都是特定qfi，则意味着ue上的所有上行数据包都将会被丢弃。比如，ue上存储的更新前的qos规则包括以下信息：

qosrule1：qfi1，packetfilterset1(包括packetfilter1、packetfilter2)，优先级1；

qosrule2：qfi2，packetfilterset2(包括packetfilter3、packetfilter4)，优先级2；

qosrule3：qfi3，packetfilterset3(包括packetfilter5)，优先级3。

ue在上述步骤407从网络侧接收到的包过滤器为packetfilter1、packetfilter2、packetfilter3、packetfilter4和packetfilter5，则ue上更新后的qos规则为：

qosrule:qfi4、packetfilterset(包括packetfilter1、packetfilter2、packetfilter3、packetfilter4和packetfilter5)，优先级1。

由于ue上所有的packetfilter都对应同一个qfi，且该qfi是特定qfi，则ue上的所有上行数据包都将会被丢弃，即不发送至upf。因此，ue可以请求网络侧释放pdu会话。比如，ue可以在发送给基站的确认消息中携带通知信息，该通知信息用于通知释放pdu会话。

步骤411，基站根据指示信息，释放pdu会话。

该步骤为可选步骤。若ue发送的确认消息中包括通知信息，则基站发起pdu会话释放流程，以释放pdu会话。

本实施例基于pdu会话修改流程，将包过滤器和指示信息从网络侧下发到ue侧，实施对ue侧的连接控制，实现近源阻断连接(即从ue上阻断连接)，以减少ue到upf的流量交互。相较于图2所示的背景技术方案，本申请实施例是由ue实施流量控制，减少向upf发送的上行数据包，从而可以减轻upf的负担，节省了ue和基站之间的空口资源以及基站到upf之间的链路资源。

实现方法二，ue从amf接收nas消息，该nas消息包括上述包过滤器。

基于该实现方法，ue可以通过nas消息接收包过滤器，然后ue将会直接丢弃与该包过滤器匹配的上行数据包。

下面结合附图，给出该实现方法的一种具体实施例。

如图5所示，为本申请提供的又一种控制ue与网络连接的方法，该方法可以实现对单个ue的控制。该实施例中，网络侧通过nas消息向ue发送包过滤器，在ue侧建立数据包黑名单以丢弃数据包。

该方法包括以下步骤：

步骤501，当sedf检测到安全事件时，sedf向pcf发送修改请求消息。

该步骤与图4所示的实施例的步骤401相同，可参考前述描述。

步骤502，pcf生成包过滤器(packetfilter)。

该步骤与图4所示的实施例的步骤402中pcf生成包过滤器的方法相同，可参考前述描述。

步骤503，pcf向smf发送修改请求消息，该消息中包括ue标识和包过滤器。

步骤504，smf向amf发送通知消息，该消息中包括ue标识和包过滤器。

步骤505，amf向ue发送nas消息，该消息中包括包过滤器。

可以理解为，该nas消息用于指示ue将与该包过滤器匹配的上行数据包丢弃。可选的，该nas消息中还可以包括指示信息，所述指示信息用于指示ue将与所述包过滤器匹配的上行数据包丢弃。

步骤506，ue丢弃与该包过滤器匹配的上行数据包。

例如，作为一种实现方式，ue可以将通过步骤505中nas消息接收到的包过滤器记为pf1。ue将原有的用于qosrules映射的包过滤器集记为pf2。当ue需要使用包过滤器对上行数据包进行匹配时，首先使用pf1中的包过滤器进行匹配，若匹配成功，则ue丢弃该上行数据包；若匹配不成功，则ue再使用pf2对该上行数据包进行匹配，若匹配成功，则为该上行数据包标记相应的qfi，即映射至相应的qos流，然后使用qos流对应的无线接入资源传输正常的上行pdu，即将正常的qos流通过上行pdu会话发送至upf。

步骤507，如果在规定时间内，ue的上行数据包均与pf1匹配后被丢弃，则ue可以发起从连接(connected)态转变为空闲(idle)态的接入网络释放(anrelease)的流程。

该步骤507为可选步骤。

作为一种可替代的实现方式，图5所示的实施例中，pcf也可以直接向amf发送ue标识和包过滤器，然后amf可以经由基站通过无线资源控制(radioresourcecontrol，rrc)消息向ue发送包过滤器。

上述实施例，利用nas消息，将包过滤器从网络侧下发到ue侧，实施对ue侧的连接控制，实现近源阻断连接(即从ue上阻断连接)，以减少ue到upf的流量交互，节省ue和基站之间的空口资源以及基站到upf之间的链路资源。相较于图2所示的背景技术方案，本申请实施例是由ue实施流量控制，减少向upf发送的上行数据包，从而可以减轻upf的负担。

实现方法三，ue从基站接收广播消息，该广播消息包括组标识和包过滤器。ue若确定ue的组标识与该广播消息的组标识匹配，则丢弃与该包过滤器匹配的上行数据包。

基于该实现方法，可以实现按组控制ue丢弃上行数据包。

下面结合附图，给出该实现方法的一种具体实施例。

如图6所示，为本申请提供的又一种控制ue与网络连接的方法，该方法可以实现对一组或多组ue的控制。该实施例中，网络侧通过广播向ue发送包过滤器，在ue侧建立数据包黑名单以丢弃数据包。

该方法包括以下步骤：

步骤601，当sedf检测到安全事件时，sedf向pcf发送修改请求消息。

sedf检测到安全事件，例如，sedf检测到某个ue或某些ue在访问某个ip地址或某些ip地址时存在异常，比如短时间内频繁访问某个ip地址，疑似攻击行为，从而确定存在安全事件。

sedf检测到属于同一个群组的多个终端存在异常行为时，可以向pcf发送会话修改请求消息。该会话修改请求消息包括组标识(groupid)和控制策略，组标识用于指示ue所属的组信息，控制策略用于限制ue对目的ip或目的mac地址的数据连接。控制策略包括目的ip地址或目的mac地址，可选的，控制策略还可以包括源ip地址或源mac地址。

一种可能的实现方式是，sedf检测到属于同一个群组的多个终端存在异常行为，且该群组中存在异常行为的终端数量或者存在异行为的终端与群组中所有终端的比值大于预设阈值(即该群组中有足够数量的终端存在异常行为)的情况下，sedf可以向pcf发送包含该群组的组标识和控制策略的会话修改请求消息。

该修改请求消息中的组标识可以是一个，也可以是多个。

在一种实现方式中，sedf可以将检测到的存在异常行为的所有的组信息均发送至pcf，由pcf根据这些组信息实施对与该组信息匹配的终端的接入控制。在又一种实现方式中，sedf也可以是只将获取到的所有组信息中的部分组信息发送至pcf，比如获取到100个组信息，则可以按照预设的比例如30％，将该100个组信息中包括的ue最多的前30％的组信息发送至pcf，或者，可以按照预设的固定数量如50，将该100个组信息中包括的ue最多的前50个组信息发送至pcf，由pcf根据这些组信息实施对与该组信息匹配的终端的接入控制。

步骤602，pcf生成包过滤器(packetfilter)。

该步骤与图4所示的实施例的步骤402中pcf生成包过滤器的方法相同，可参考前述描述。

步骤603，pcf向smf发送修改请求消息，该消息中包括组标识和包过滤器。

pcf将从sedf接收到的组标识以及自己生成的包过滤器，通过修改请求消息发送至smf。

步骤604，smf向amf发送通知消息，该消息中包括组标识和包过滤器。

smf将从pcf接收到的组标识和包过滤器，通过通知消息发送至amf。

步骤605，amf向基站发送广播请求消息，该消息中包括组标识和包过滤器。

amf将从smf接收到的组标识和包过滤器，通过广播请求消息发送至基站。该广播请求消息用于请求基站发送广播消息。

步骤606，基站发送广播消息，该消息包括组标识和包过滤器。

基站将从amf接收到的组标识和包过滤器，通过广播消息进行广播。

步骤607，ue接收到广播信息，若ue属于组标识所标识的组，则该ue丢弃与该包过滤器匹配的上行数据包。

ue在接收到广播消息后，获取其中的组标识和包过滤器，然后先根据自身存储的组标识，判断是否与广播消息中的组标识匹配(即判断是否相同)，若匹配，则ue可以将从广播消息获取到的上述包过滤器记为pf1。ue将原有的用于qosrules映射的包过滤器集记为pf2。当ue需要使用包过滤器对上行数据包进行匹配时，首先使用pf1中的包过滤器进行匹配，若匹配成功，则ue丢弃该上行数据包，若匹配不成功，则ue再使用pf2对该上行数据包进行匹配，若匹配成功，则为该上行数据包标记相应的qfi，即映射至相应的qos流，然后使用qos流对应的无线接入资源传输正常的上行pdu，即将正常的qos流发送至upf。

步骤608，如果在规定时间内，ue的上行数据包均与pf1匹配后被丢弃，则ue可以发起从连接(connected)态转变为空闲(idle)态的接入网络释放(anrelease)的流程。

该步骤608为可选步骤。

上述实施例，利用广播消息，将组标识和包过滤器发送到ue，通过组控制的方式实施对一组或多组ue的连接控制，实现近源阻断连接(即从ue上阻断连接)，以减少ue到upf的流量交互。相较于图2所示的背景技术方案，本申请实施例是由ue实施流量控制，减少向upf发送的上行数据包，从而可以减轻upf的负担，并且，由于是组控制，因而可以简化信令交互，减少过载下的信令交互数量。

上述主要从各个网元之间交互的角度对本申请提供的方案进行了介绍。可以理解的是，上述实现中各网元为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

图7示出了本发明实施例中所涉及的装置的可能的示例性框图，该装置700可以以软件的形式存在，也可以以硬件的形式存在，还可以以软件和硬件的形式存在，本申请实施例不做限定。装置700可以包括：处理单元702和通信单元703。作为一种实现方式，该通信单元703可以包括接收单元和/或发送单元。处理单元702用于对装置700进行控制管理。通信单元703用于支持装置700与其他网络实体的通信。装置700还可以包括存储单元701，用于存储装置700的程序代码和数据。

其中，处理单元702可以是处理器或控制器，例如可以是通用中央处理器(centralprocessingunit，cpu)，通用处理器，数字信号处理(digitalsignalprocessing，dsp)，专用集成电路(applicationspecificintegratedcircuits，asic)，现场可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明实施例公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，dsp和微处理器的组合等等。通信单元703可以是通信接口、收发器或收发电路等，其中，该通信接口是统称，在具体实现中，该通信接口可以包括多个接口。存储单元701可以是存储器。

在第一种应用中，该装置700可以为上述任一实施例中的接入网设备，还可以为接入网设备中的芯片。例如，当装置700为接入网设备时，该处理单元702例如可以是处理器，该通信单元例如可以是收发器，该收发器包括射频电路，可选地，该存储单元例如可以是存储器。例如，当装置700为接入网设备中的芯片时，该处理单元702例如可以是处理器，该通信单元例如可以是输入/输出接口、管脚或电路等。该处理单元702可执行存储单元存储的计算机执行指令，可选地，该存储单元为该芯片内的存储单元，如寄存器、缓存等，该存储单元还可以是该接入网设备内的位于该芯片外部的存储单元，如只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)等。

具体地，当通信单元703包括发送单元和接收单元时：接收单元，用于接收包过滤器和组标识；发送单元，用于向终端发送广播消息，所述广播消息包括所述包过滤器和所述组标识，所述广播消息用于指示终端在所述组标识与所述终端所属的组标识匹配时丢弃与所述包过滤器匹配的上行数据包。

在一种可能的实现方式中，接收单元，具体用于从策略控制网元接收所述包过滤器和所述组标识。

在第二种应用中，该装置700可以为上述任一实施例中的终端，还可以为终端中的芯片。例如，装置700可以为终端时，该处理单元702例如可以是处理器，该通信单元例如可以是收发器，该收发器包括射频电路，可选地，该存储单元例如可以是存储器。例如，装置700可以为终端中的芯片时，该处理单元702例如可以是处理器，该通信单元例如可以是输入/输出接口、管脚或电路等。可选地，该存储单元为该芯片内的存储单元，如寄存器、缓存等，该存储单元还可以是该终端内的位于该芯片外部的存储单元，如rom或可存储静态信息和指令的其他类型的静态存储设备，ram等。

具体地，当通信单元703包括发送单元和接收单元时，接收单元，用于接收包过滤器；处理单元，用于丢弃与所述包过滤器匹配的上行数据包。

在一种可能的实现方式中，接收单元，具体用于接收包过滤器和指示信息，所述指示信息用于指示丢弃与所述包过滤器匹配的上行数据包；处理单元，还用于根据所述指示信息，为所述包过滤器分配特定qfi；处理单元，用于丢弃与所述包过滤器匹配的上行数据包，具体包括：确定所述上行数据包与所述包过滤器匹配，则为所述上行数据包标记所述特定qfi；丢弃与所述特定qfi对应的所述上行数据包。

在一种可能的实现方式中，所述指示信息为特定5qi，所述特定qfi为所述特定5qi或者所述特定qfi是根据所述特定5qi生成的。

在一种可能的实现方式中，处理单元，还用于在根据所述指示信息，为所述包过滤器分配特定qfi之后，根据所述包过滤器和所述特定qfi，更新所述终端的qos规则；发送单元，用于在更新后的qos规则中的包过滤器对应的qfi都是所述特定qfi的情况下，向接入网设备发送通知信息，所述通知信息用于通知释放协议数据单元pdu会话。

在一种可能的实现方式中，处理单元，还用于在根据所述指示信息，为所述包过滤器分配特定qfi之后，启动定时器；在所述定时器超时后，发起pdu会话修改流程，请求为所述特定qfi指示的服务质量qos流分配接入网资源，所述分配的接入网资源用于传输所述qos流的数据包。

在一种可能的实现方式中，接收单元，具体用于从移动性管理网元接收nas消息，所述nas消息包括所述包过滤器。

在一种可能的实现方式中，接收单元，具体用于从接入网设备接收广播消息，所述广播消息包括组标识和所述包过滤器；所述处理单元，用于丢弃与所述包过滤器匹配的上行数据包，具体包括：确定所述终端所属的组标识与所述广播消息的组标识匹配，则丢弃与所述包过滤器匹配的所述上行数据包。

在第三种应用中，该装置700可以为上述任一实施例中的策略控制网元，还可以为策略控制网元中的芯片。例如，装置700可以为策略控制网元时，该处理单元702例如可以是处理器，该通信单元例如可以是收发器，该收发器包括射频电路，可选地，该存储单元例如可以是存储器。例如，装置700可以为策略控制网元中的芯片时，该处理单元702例如可以是处理器，该通信单元例如可以是输入/输出接口、管脚或电路等。可选地，该存储单元为该芯片内的存储单元，如寄存器、缓存等，该存储单元还可以是该策略控制网元内的位于该芯片外部的存储单元，如rom或可存储静态信息和指令的其他类型的静态存储设备，ram等。

具体地，当通信单元703包括发送单元和接收单元时：处理单元，用于生成包过滤器；发送单元，用于向终端发送包过滤器，用于指示所述终端丢弃与所述包过滤器匹配的上行数据包。

在一种可能的实现方式中，接收单元，用于在所述发送单元向终端发送包过滤器之前，从安全检测网元接收控制策略和所述组标识；所述处理单元，具体用于根据所述控制策略，生成所述包过滤器；所述发送单元，具体用于向所述终端发送包过滤器和组标识，用于指示所述终端在所述组标识与所述终端所属的组标识匹配时丢弃与所述包过滤器匹配的上行数据包。

图7所示的装置为终端、或为接入网设备、或为策略控制网元时，所用于执行的控制终端与网络连接的方法的具体有益效果，可参考前述方法实施例中的相关描述，这里不再赘述。

参阅图8所示，为本申请提供的一种装置示意图，该装置可以是上述终端、接入网设备、或策略控制网元。该装置800包括：处理器802、通信接口803、存储器801。可选的，装置800还可以包括总线804。其中，通信接口803、处理器802以及存储器801可以通过通信线路804相互连接；通信线路804可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。所述通信线路804可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器802可以是一个cpu，微处理器，asic，或一个或多个用于控制本申请方案程序执行的集成电路。

通信接口803，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radioaccessnetwork，ran)，无线局域网(wirelesslocalareanetworks，wlan)，有线接入网等。

存储器801可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyer服务器ableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路804与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器801用于存储执行本申请方案的计算机执行指令，并由处理器802来控制执行。处理器802用于执行存储器801中存储的计算机执行指令，从而实现本申请上述实施例提供的控制终端与网络连接的方法。

可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

本领域普通技术人员可以理解：本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围，也表示先后顺序。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“至少一个”是指一个或者多个。至少两个是指两个或者多个。“至少一个”、“任意一个”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个、种)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solidstatedisk，ssd))等。

本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器，数字信号处理器，专用集成电路(asic)，现场可编程门阵列(fpga)或其它可编程逻辑装置，离散门或晶体管逻辑，离散硬件部件，或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器，可选地，该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现，例如数字信号处理器和微处理器，多个微处理器，一个或多个微处理器联合一个数字信号处理器核，或任何其它类似的配置来实现。

本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动磁盘、cd-rom或本领域中其它任意形式的存储媒介中。示例性地，存储媒介可以与处理器连接，以使得处理器可以从存储媒介中读取信息，并可以向存储媒介存写信息。可选地，存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于asic中，asic可以设置于终端中。可选地，处理器和存储媒介也可以设置于终端中的不同的部件中。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包括这些改动和变型在内。