本公开涉及通信,并且更具体地,涉及一种用于导出服务质量(qos)规则的终端设备、网络节点及其中的方法。
背景技术:
1、根据互联网工程任务组(ietf)标准,互联网协议(ip)安全(ipsec)保护分组可以使用封装安全有效载荷(esp)/ip(如请求注释(rfc)4304中所定义的ipsec esp分组的ip封装,其通过引用整体并入本文)或esp/用户数据报协议(udp)/ip(如rfc 3948中所定义的ipsec esp分组的udp封装,其通过引用整体并入本文)进行封装:
2、a)ipsec esp分组的ip封装(或被称为esp/ip封装):ipsec保护分组使用esp/ip进行封装,如图1右半部分处的示例所示。
3、b)ipsec esp分组的udp封装(或被称为esp/udp/ip封装):ipsec保护分组使用esp/udp/ip进行封装。如图1的左半部分处的示例所示,它由以下各项来标识:
4、-udp源端口号和/或udp目的地端口号为4500(十进制)
5、-数据八位字节字段以如ietf rfc 3948中所指定的udp封装esp报头格式进行编码。
6、根据ietf标准,如果在ipsec客户端(即,用户设备(ue))和ipsec服务器(即,企业服务器)之间存在网络地址转换器(nater),则ipsec保护分组必须使用esp/udp/ip进行封装。即使在ipsec客户端和ipsec服务器之间没有nater,ipsec保护分组也可以使用esp/udp/ip进行封装。换言之,如果检测到nater,则仅使用esp/udp/ip封装;或者如果没有检测到nater,则要使用哪种封装取决于实现方式。
7、根据rfc 7296(其全部内容通过引用并入本文),ipsec安全关联(sa)通常成对(上行链路(ul)和下行链路(dl))存在。每个ipsec sa存在esp安全参数索引(spi)。esp spi用于一对ipsec sa之间的匹配。根据rfc 4301,要确保两个启用ipsec的系统之间的典型双向通信的安全,需要一对sa(每个方向一个)。然而,对于单向通信,反向可能没有对应的ipsecsa。
8、对于每对ipsec sa,反向的ipsec sa可以使用不同的封装,如下表1所示。
9、表1——dl和ul封装
10、
11、在第五代(5g)系统中,ue支持基于dl ip分组来导出反射qos规则,使得可以通过用户平面来动态地且快速地生成或更新ul qos规则。所导出的qos规则包含qos流标识符(qfi)、用于ul方向的分组过滤器、以及80(十进制)的优先级值。
12、图2示出了反射qos规则的过程。如图所示,在步骤1处,用户平面功能(upf)接收去往ue的dl分组,并且需要在ue处生成或更新反射qos规则。upf将反射qos指示符(rqi)设置为1,并且在步骤2处,经由接入网络(an)将dl分组与qfi和rqi一起发送给ue。在步骤3处,ue检查所接收到的dl分组,并且如果rqi被设置为1(在这种情况下为是),则ue基于dl分组来导出反射qos规则(生成新规则或更新现有规则)。具体地,所导出的反射qos规则可以包含被设置为dl分组中的qfi的qfi、从dl分组中导出的用于ul方向的分组过滤器(参考第三代合作伙伴计划(3gpp)技术规范(ts)23.501,v16.7.0中的第5.7.5节,其全部内容通过引用并入本文)、以及80(十进制)的优先级值。
13、对于ip协议数据单元(pdu)会话类型,分组过滤器集应支持至少基于以下各种的任意组合的分组过滤器:
14、-源/目的地ip地址或ip版本6(ipv6)前缀,
15、-源/目的地端口号(不包括在具有esp/ip封装的ipsec保护分组中),
16、-ip/下一报头类型之上的协议的协议标识符(id),
17、-服务类型(tos)(ip版本4(ipv4))/业务类别(ipv6)和掩码,
18、-流标签(ipv6),
19、-spi,或
20、-分组过滤器方向。
技术实现思路
1、3gpp规范(例如,ts23.501和ts24.501,v17.1.0,其全部内容通过引用并入本文)仅涵盖表1中的选项4。对于选项1至3中的任一选项,用于导出反射qos规则的现有机制都不起作用,因此无法对不同的ipsec sa应用差异化的qos控制。
2、本公开的一个目的在于提供一种用于导出反射qos规则的终端设备、网络节点及其中的方法。
3、根据本公开的第一方面,提供了一种终端设备中的方法。该方法包括:接收dl分组,该dl分组受ipsec保护。该方法还包括:基于dl分组,针对每个ipsec sa导出用于ul方向的反射qos规则。
4、在实施例中,dl分组可以具有esp/udp/ip封装或esp/ip封装。
5、在实施例中,导出反射qos规则的操作可以包括:当对应于与dl分组中的spi相关联的dl ipsec sa的ul ipsec sa使用esp/udp/ip封装时,进行以下操作:基于与ul ipsecsa相关联的spi来导出用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器。
6、在实施例中,该方法还可以包括:基于与ul ipsec sa相关联的spi来导出用于具有esp/ip封装的ul ipsec保护分组的分组过滤器。
7、在实施例中,导出反射qos规则的操作可以包括:当对应于与dl分组中的spi相关联的dl ipsec sa的ul ipsec sa使用esp/ip封装时,进行以下操作:基于与ul ipsec sa相关联的spi来导出用于具有esp/ip封装的ul ipsec保护分组的分组过滤器。
8、在实施例中,该方法还可以包括:基于与ul ipsec sa相关联的spi来导出用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器。
9、在实施例中,用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器可以包含被设置为与ul ipsec sa相关联的spi的spi类型组件。
10、在实施例中,用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器还可以包含:单个本地端口类型组件,被设置为ul ipsec sa的源端口字段的值;以及单个远程端口类型组件,被设置为ul ipsec sa的目的地端口字段的值。
11、在实施例中,用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器还可以包含:ip远程地址组件,被设置为dl分组的源地址字段的值;ip本地地址组件,被设置为dl分组的目的地地址字段的值;以及协议标识符或下一报头类型组件,被设置为udp的值。
12、在实施例中,当dl分组具有esp/udp/ip封装时,用于具有esp/udp/ip封装的ulipsec保护分组的分组过滤器还可以包含:单个本地端口类型组件,被设置为dl分组的目的地端口字段的值;以及单个远程端口类型组件,被设置为dl分组的源端口字段的值。
13、在实施例中,用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器还可以包含:ip远程地址组件,被设置为dl分组的源地址字段的值;ip本地地址组件,被设置为dl分组的目的地地址字段的值;以及协议标识符或下一报头类型组件,被设置为dl分组的协议标识符字段或最后一个下一报头字段的值。
14、在实施例中,用于具有esp/ip封装的ul ipsec保护分组的分组过滤器可以包含被设置为与ul ipsec sa相关联的spi的spi类型组件。
15、在实施例中,用于具有esp/ip封装的ul ipsec保护分组的分组过滤器还可以包含:ip远程地址组件,被设置为dl分组的源地址字段的值;ip本地地址组件,被设置为dl分组的目的地地址字段的值;以及协议标识符或下一报头类型组件,被设置为esp的值。
16、在实施例中,当dl分组具有esp/ip封装时,用于具有esp/ip封装的ul ipsec保护分组的分组过滤器还可以包含:ip远程地址组件,被设置为dl分组的源地址字段的值;ip本地地址组件,被设置为dl分组的目的地地址字段的值;以及协议标识符或下一报头类型组件,被设置为dl分组的协议标识符字段或最后一个下一报头字段的值。
17、在实施例中,dl分组可以是具有被设置为udp或esp的协议标识符的ipv4分组,或dl分组可以是具有被设置为udp或esp的最后一个下一报头的ipv6分组。
18、在实施例中,dl分组可以包含被设置为1的rqi。
19、在实施例中,该方法还可以包括:针对受ipsec保护并具有esp/udp/ip封装的ul报文,进行以下操作:当用于ul方向的反射qos规则具有与ul分组的ip报头组件相匹配的ip报头组件以及与ul分组的spi组件相匹配的spi组件时,将ul分组与用于ul方向的该反射qos规则相关联,或者当用于ul方向的反射qos规则没有与ul分组的ip报头组件相匹配的ip报头组件以及与ul分组的spi组件相匹配的spi组件时,将ul分组与用于ul方向的如下反射qos规则相关联:该反射qos规则具有与ul分组的ip报头组件相匹配的ip报头组件但是没有spi组件。
20、在实施例中,该方法还可以包括:针对受互联网密钥交换(ike)保护并具有esp/udp/ip封装的ul报文,进行以下操作:将ul分组与用于ul方向的如下反射qos规则相关联:该反射qos规则具有与ul分组的ip报头组件相匹配的ip报头组件但是没有spi组件。
21、根据本公开的第二方面,提供了一种终端设备。终端设备包括通信接口、处理器和存储器。该存储器包含可由处理器执行的指令,由此终端设备可操作以执行根据上述第一方面所述的方法。
22、根据本公开的第三方面,提供了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序指令。当计算机程序指令由终端设备中的处理器执行时,使终端设备执行根据上述第一方面的方法。
23、根据本公开的第四方面,提供了一种网络节点中的方法。该方法包括:接收去往终端设备的dl分组,该dl分组受ipsec保护并具有esp/udp/ip封装。该方法还包括:激活在终端设备处基于dl分组针对每个ipsec sa导出用于ul方向的反射qos规则。
24、在实施例中,dl分组可以是具有被设置为udp的协议标识符的ipv4分组,或dl分组可以是具有被设置为udp的最后一个下一报头的ipv6分组。
25、在实施例中,导出可以包括基于与ul ipsec sa相关联的spi来导出分组过滤器,该ul ipsec sa对应于与dl分组中的spi相关联的dl ipsec sa。
26、在实施例中,激活的操作可以包括将dl分组中的rqi设置为1。
27、在实施例中,网络节点可以实现upf。
28、根据本公开的第五方面,提供了一种网络节点。网络节点包括通信接口、处理器和存储器。该存储器包含可由处理器执行的指令,由此网络节点可操作以执行根据上述第四方面所述的方法。
29、根据本公开的第六方面,提供了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序指令。该计算机程序指令当由网络节点中的处理器执行时,使网络节点执行根据上述第四方面所述的方法。
30、通过本公开的实施例,在接收到受ipsec保护的dl分组时,可以基于dl分组针对每个ipsec sa导出用于ul方向的反射qos规则,这允许对不同的ipsec sa应用差异化的qos控制,而不管哪种封装选项用于dl/ul。