导出QoS规则的终端设备、网络节点及其中的方法与流程

本公开涉及通信，并且更具体地，涉及一种用于导出服务质量(qos)规则的终端设备、网络节点及其中的方法。

背景技术：

1、根据互联网工程任务组(ietf)标准，互联网协议(ip)安全(ipsec)保护分组可以使用封装安全有效载荷(esp)/ip(如请求注释(rfc)4304中所定义的ipsec esp分组的ip封装，其通过引用整体并入本文)或esp/用户数据报协议(udp)/ip(如rfc 3948中所定义的ipsec esp分组的udp封装，其通过引用整体并入本文)进行封装：

2、a)ipsec esp分组的ip封装(或被称为esp/ip封装)：ipsec保护分组使用esp/ip进行封装，如图1右半部分处的示例所示。

3、b)ipsec esp分组的udp封装(或被称为esp/udp/ip封装)：ipsec保护分组使用esp/udp/ip进行封装。如图1的左半部分处的示例所示，它由以下各项来标识：

4、-udp源端口号和/或udp目的地端口号为4500(十进制)

5、-数据八位字节字段以如ietf rfc 3948中所指定的udp封装esp报头格式进行编码。

6、根据ietf标准，如果在ipsec客户端(即，用户设备(ue))和ipsec服务器(即，企业服务器)之间存在网络地址转换器(nater)，则ipsec保护分组必须使用esp/udp/ip进行封装。即使在ipsec客户端和ipsec服务器之间没有nater，ipsec保护分组也可以使用esp/udp/ip进行封装。换言之，如果检测到nater，则仅使用esp/udp/ip封装；或者如果没有检测到nater，则要使用哪种封装取决于实现方式。

7、根据rfc 7296(其全部内容通过引用并入本文)，ipsec安全关联(sa)通常成对(上行链路(ul)和下行链路(dl))存在。每个ipsec sa存在esp安全参数索引(spi)。esp spi用于一对ipsec sa之间的匹配。根据rfc 4301，要确保两个启用ipsec的系统之间的典型双向通信的安全，需要一对sa(每个方向一个)。然而，对于单向通信，反向可能没有对应的ipsecsa。

8、对于每对ipsec sa，反向的ipsec sa可以使用不同的封装，如下表1所示。

9、表1——dl和ul封装

10、

11、在第五代(5g)系统中，ue支持基于dl ip分组来导出反射qos规则，使得可以通过用户平面来动态地且快速地生成或更新ul qos规则。所导出的qos规则包含qos流标识符(qfi)、用于ul方向的分组过滤器、以及80(十进制)的优先级值。

12、图2示出了反射qos规则的过程。如图所示，在步骤1处，用户平面功能(upf)接收去往ue的dl分组，并且需要在ue处生成或更新反射qos规则。upf将反射qos指示符(rqi)设置为1，并且在步骤2处，经由接入网络(an)将dl分组与qfi和rqi一起发送给ue。在步骤3处，ue检查所接收到的dl分组，并且如果rqi被设置为1(在这种情况下为是)，则ue基于dl分组来导出反射qos规则(生成新规则或更新现有规则)。具体地，所导出的反射qos规则可以包含被设置为dl分组中的qfi的qfi、从dl分组中导出的用于ul方向的分组过滤器(参考第三代合作伙伴计划(3gpp)技术规范(ts)23.501，v16.7.0中的第5.7.5节，其全部内容通过引用并入本文)、以及80(十进制)的优先级值。

13、对于ip协议数据单元(pdu)会话类型，分组过滤器集应支持至少基于以下各种的任意组合的分组过滤器：

14、-源/目的地ip地址或ip版本6(ipv6)前缀，

15、-源/目的地端口号(不包括在具有esp/ip封装的ipsec保护分组中)，

16、-ip/下一报头类型之上的协议的协议标识符(id)，

17、-服务类型(tos)(ip版本4(ipv4))/业务类别(ipv6)和掩码，

18、-流标签(ipv6)，

19、-spi，或

20、-分组过滤器方向。

技术实现思路

1、3gpp规范(例如，ts23.501和ts24.501，v17.1.0，其全部内容通过引用并入本文)仅涵盖表1中的选项4。对于选项1至3中的任一选项，用于导出反射qos规则的现有机制都不起作用，因此无法对不同的ipsec sa应用差异化的qos控制。

2、本公开的一个目的在于提供一种用于导出反射qos规则的终端设备、网络节点及其中的方法。

3、根据本公开的第一方面，提供了一种终端设备中的方法。该方法包括：接收dl分组，该dl分组受ipsec保护。该方法还包括：基于dl分组，针对每个ipsec sa导出用于ul方向的反射qos规则。

4、在实施例中，dl分组可以具有esp/udp/ip封装或esp/ip封装。

5、在实施例中，导出反射qos规则的操作可以包括：当对应于与dl分组中的spi相关联的dl ipsec sa的ul ipsec sa使用esp/udp/ip封装时，进行以下操作：基于与ul ipsecsa相关联的spi来导出用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器。

6、在实施例中，该方法还可以包括：基于与ul ipsec sa相关联的spi来导出用于具有esp/ip封装的ul ipsec保护分组的分组过滤器。

7、在实施例中，导出反射qos规则的操作可以包括：当对应于与dl分组中的spi相关联的dl ipsec sa的ul ipsec sa使用esp/ip封装时，进行以下操作：基于与ul ipsec sa相关联的spi来导出用于具有esp/ip封装的ul ipsec保护分组的分组过滤器。

8、在实施例中，该方法还可以包括：基于与ul ipsec sa相关联的spi来导出用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器。

9、在实施例中，用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器可以包含被设置为与ul ipsec sa相关联的spi的spi类型组件。

10、在实施例中，用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器还可以包含：单个本地端口类型组件，被设置为ul ipsec sa的源端口字段的值；以及单个远程端口类型组件，被设置为ul ipsec sa的目的地端口字段的值。

11、在实施例中，用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器还可以包含：ip远程地址组件，被设置为dl分组的源地址字段的值；ip本地地址组件，被设置为dl分组的目的地地址字段的值；以及协议标识符或下一报头类型组件，被设置为udp的值。

12、在实施例中，当dl分组具有esp/udp/ip封装时，用于具有esp/udp/ip封装的ulipsec保护分组的分组过滤器还可以包含：单个本地端口类型组件，被设置为dl分组的目的地端口字段的值；以及单个远程端口类型组件，被设置为dl分组的源端口字段的值。

13、在实施例中，用于具有esp/udp/ip封装的ul ipsec保护分组的分组过滤器还可以包含：ip远程地址组件，被设置为dl分组的源地址字段的值；ip本地地址组件，被设置为dl分组的目的地地址字段的值；以及协议标识符或下一报头类型组件，被设置为dl分组的协议标识符字段或最后一个下一报头字段的值。

14、在实施例中，用于具有esp/ip封装的ul ipsec保护分组的分组过滤器可以包含被设置为与ul ipsec sa相关联的spi的spi类型组件。

15、在实施例中，用于具有esp/ip封装的ul ipsec保护分组的分组过滤器还可以包含：ip远程地址组件，被设置为dl分组的源地址字段的值；ip本地地址组件，被设置为dl分组的目的地地址字段的值；以及协议标识符或下一报头类型组件，被设置为esp的值。

16、在实施例中，当dl分组具有esp/ip封装时，用于具有esp/ip封装的ul ipsec保护分组的分组过滤器还可以包含：ip远程地址组件，被设置为dl分组的源地址字段的值；ip本地地址组件，被设置为dl分组的目的地地址字段的值；以及协议标识符或下一报头类型组件，被设置为dl分组的协议标识符字段或最后一个下一报头字段的值。

17、在实施例中，dl分组可以是具有被设置为udp或esp的协议标识符的ipv4分组，或dl分组可以是具有被设置为udp或esp的最后一个下一报头的ipv6分组。

18、在实施例中，dl分组可以包含被设置为1的rqi。

19、在实施例中，该方法还可以包括：针对受ipsec保护并具有esp/udp/ip封装的ul报文，进行以下操作：当用于ul方向的反射qos规则具有与ul分组的ip报头组件相匹配的ip报头组件以及与ul分组的spi组件相匹配的spi组件时，将ul分组与用于ul方向的该反射qos规则相关联，或者当用于ul方向的反射qos规则没有与ul分组的ip报头组件相匹配的ip报头组件以及与ul分组的spi组件相匹配的spi组件时，将ul分组与用于ul方向的如下反射qos规则相关联：该反射qos规则具有与ul分组的ip报头组件相匹配的ip报头组件但是没有spi组件。

20、在实施例中，该方法还可以包括：针对受互联网密钥交换(ike)保护并具有esp/udp/ip封装的ul报文，进行以下操作：将ul分组与用于ul方向的如下反射qos规则相关联：该反射qos规则具有与ul分组的ip报头组件相匹配的ip报头组件但是没有spi组件。

21、根据本公开的第二方面，提供了一种终端设备。终端设备包括通信接口、处理器和存储器。该存储器包含可由处理器执行的指令，由此终端设备可操作以执行根据上述第一方面所述的方法。

22、根据本公开的第三方面，提供了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序指令。当计算机程序指令由终端设备中的处理器执行时，使终端设备执行根据上述第一方面的方法。

23、根据本公开的第四方面，提供了一种网络节点中的方法。该方法包括：接收去往终端设备的dl分组，该dl分组受ipsec保护并具有esp/udp/ip封装。该方法还包括：激活在终端设备处基于dl分组针对每个ipsec sa导出用于ul方向的反射qos规则。

24、在实施例中，dl分组可以是具有被设置为udp的协议标识符的ipv4分组，或dl分组可以是具有被设置为udp的最后一个下一报头的ipv6分组。

25、在实施例中，导出可以包括基于与ul ipsec sa相关联的spi来导出分组过滤器，该ul ipsec sa对应于与dl分组中的spi相关联的dl ipsec sa。

26、在实施例中，激活的操作可以包括将dl分组中的rqi设置为1。

27、在实施例中，网络节点可以实现upf。

28、根据本公开的第五方面，提供了一种网络节点。网络节点包括通信接口、处理器和存储器。该存储器包含可由处理器执行的指令，由此网络节点可操作以执行根据上述第四方面所述的方法。

29、根据本公开的第六方面，提供了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序指令。该计算机程序指令当由网络节点中的处理器执行时，使网络节点执行根据上述第四方面所述的方法。

30、通过本公开的实施例，在接收到受ipsec保护的dl分组时，可以基于dl分组针对每个ipsec sa导出用于ul方向的反射qos规则，这允许对不同的ipsec sa应用差异化的qos控制，而不管哪种封装选项用于dl/ul。