一种网络架构及分流策略配置方法与流程

1.本发明涉及移动通信技术领域，尤其涉及一种网络架构及分流策略配置方法。


背景技术：

2.随着移动通信网络的不断发展，越来越多的通信连接需要在网络边缘侧分析、处理与储存；同时，随着终端能力的不断提升以及流量资费的进一步下调，大流量业务将会对用户月均流量消费额(discharge of usage，dou)产生直接拉动效应；预计在第五代移动通信技术(5th generation mobile networks，5g)规模商用期，单用户平均流量带宽将达到第四代移动通信技术(4th generation mobile networks，4g)网络的5至10倍，对回传网络产生巨大的压力。然而，当前的网络架构和移动技术对网络优化并不充分，基站到核心网之间往往距离数百千米，途径多重汇聚、转发设备，再加上不可预知的拥塞和抖动，难以保障一些对时延、可靠性要求较高的行业客户场景。因此，边缘计算技术应运而生。
3.边缘计算是5g的重要功能，其通过将业务的应用功能(application function，af)网元部署于网络边缘，实现业务的尽早分流。具体地，边缘计算是一种在物理上靠近数据源头进行数据处理的方法，是一种分布式计算架构。边缘计算作为5g原生功能将有助于实现应用本地化、内容分布化和计算边缘化。
4.当业务应用部署于网络边缘时，5g核心网需要支持业务分流的功能，在业务面的传输路径上增加具有上行分类器(uplink classifier，ul cl)功能的用户平面功能(user plane function，upf)节点网元，同时通过会话管理功能(session management function，smf)网元，配置ul cl的分流策略。当终端用户访问业务时，如果符合分流策略，则业务报文由ul cl分流给部署于边缘的业务应用af。
5.根据3gpp协议，分流策略的配置有两种方式：第一种是静态配置的方式，直接配置给smf网元或者策略控制功能(policy control function，pcf)网元，如果配置给pcf，则在会话分组数据协议(packet data protocol，pdp)建立的时候，由pcf将策略传递给smf；第二种是动态配置的方法，af通过能力开放接口，向网络能力开放功能(network exposure function，nef)网元发送请求，由nef将分流策略传递给pcf。
6.上述第一种方式不需要af增加额外功能，当af实现的功能不经常发生变化时，可以采用该方法配置分流策略，分流策略由运营商通过网管配置给smf或者pcf。而当af实现的功能经常发生变化时，比如内容缓存类应用，需要经常修改分流策略，采用静态配置的方法难于实现，需要af动态与核心网进行交互，将策略通过能力开放接口配置给smf，因此需要采用上述第二种方式。
7.以上两种分流策略的配置方式，af可以使用nef开放的网络能力接口，配置分流策略。此时需要af与nef建立传输通道，而af可以是非运营商开发的应用，虽然在协议上能力开放接口支持认证和传输层加密传输的功能，但是af能够直接访问核心网的控制面，会带来潜在的安全问题。特别是当af部署在网络边缘时，不仅存在安全问题，而且需要规划af和控制面的传输通道，增加了传输组网的复杂性和维护成本。


技术实现要素：

8.本发明实施例提供一种网络架构及分流策略配置方法，以解决现有技术中，af的分流策略配置方式，存在潜在的安全问题，且增加了传输组网的复杂性和维护成本问题。
9.一方面，本发明实施例提供了一种网络架构，所述网络架构包括：
10.会话管理功能smf网元、策略控制功能pcf网元、至少两个第一用户平面功能upf网元以及，第二upf网元；
11.其中，第一upf网元通过第一接口与应用功能af通信连接，通过第二接口与所述smf网元通信连接；
12.其中，所述第一upf网元用于通过第一接口接收af的分流策略请求，将所述分流策略请求通过所述第二接口发送至所述smf网元；
13.所述smf网元用于将所述分流策略请求转发给所述pcf网元；所述分流策略请求中携带有所述af的标识号af-id、访问令牌以及分流信息；
14.所述pcf网元用于接收所述分流策略请求，将所述访问令牌携带在验证请求中，将所述验证请求发送至与所述af-id对应的运营支持系统oss，并接收所述oss针对所述验证请求的验证结果；
15.若所述验证结果为验证通过，将所述分流信息携带在分流策略配置响应中；
16.通过所述smf网元将所述分流策略配置响应发送给所述af。
17.另一方面，本发明实施例还提供了一种分流策略配置方法，应用于上述网络架构，所述方法包括：
18.控制第一用户平面功能upf网元通过第一接口接收af的分流策略请求，并将所述分流策略请求通过第二接口发送至会话管理功能smf网元；
19.控制所述smf网元将所述分流策略请求转发给策略控制功能pcf网元；其中，所述分流策略请求中携带有所述af的标识号af-id、访问令牌以及分流信息；
20.控制所述pcf网元接收所述分流策略请求，将所述访问令牌携带在验证请求中，将所述验证请求发送至与所述af-id对应的运营支持系统oss，并接收所述oss针对所述验证请求的验证结果；
21.若所述验证结果为验证通过，控制所述pcf网元将所述分流信息携带在分流策略配置响应中；
22.通过所述smf网元将所述分流策略配置响应发送给所述af。
23.又一方面，本发明实施例还提供一种电子设备，该电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上所述的分流策略配置方法中的步骤。
24.再一方面，本发明实施例还提供一种可读存储介质，该可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的分流策略配置方法中的步骤。
25.在本发明实施例中通过在第一upf网元与af之间设置第一接口，第一upf网元与smf网元之间设定第二接口；通过第一接口接收边缘af的分流策略配置请求，经过smf网元、pcf网元转发至oss系统，实现对af的分流策略配置；配置过程中，af通过第一接口c1向smf网元传输分流策略请求，不能访问核心网的控制面；作为非运营商应用，避免af带来潜在的安全问题，提升了网络的安全性；且本发明实施例提供的网络架构组网简单，维护成本较
text transfer protocol，http)和restful(representational state transfer)。第一接口用于af的身份认证以及接收af的分流策略请求；可选地，af的身份认证方法可采用oauth2.0协议；
42.具体地，所述第一upf网元用于通过第一接口接收af的分流策略请求，将所述分流策略请求通过所述第二接口发送至所述smf网元；这样，af通过第一接口c1向smf网元传输分流策略请求，不与nef建立传输通道，不能访问核心网的控制面；作为非运营商应用，避免带来潜在的安全问题。
43.所述smf网元用于将所述分流策略请求转发给所述pcf网元；所述分流策略请求中携带有所述af的标识号af-id、访问令牌以及分流信息；其中，访问令牌为所述af在预先进行身份认证时，pcf网元为所述af生成的；分流信息中包括访问所述af对应的业务应用的网际互连协议(internet protocol，ip)地址，这样，对于部署于网络边缘的af，通过对访问该af的终端业务数据，尽早依据所述分流信息分流至该ip地址，减小传输时延，提高网络运营效率，提高业务分发以及传送能力，改善终端用户体验，满足行业用户在数字化变革过程中对业务实时、智能、数据聚合与互操作、安全与隐私保护等方面的关键需求。
44.所述pcf网元用于接收所述分流策略请求，将所述访问令牌携带在验证请求中，将所述验证请求发送至与所述af-id对应的运营支持系统(operation support systems，oss)，由oss系统对所述分流策略请求进行验证，验证所述访问令牌与预先记载的所述af-id的访问令牌是否一致，若一致验证通过，否则验证不通过，然后oss将验证结果反馈给所述pcf网元；所述pcf网元接收所述oss针对所述验证请求的验证结果。
45.若所述验证结果为验证通过，将所述分流信息携带在分流策略配置响应中；分流策略配置响应中还包括配置请求的执行结果、失败原因等；
46.通过所述smf网元将所述分流策略配置响应发送给所述afaf，在第二upf网元侧保存每个af的配置信息，完成对所述af的分流策略配置。
47.作为第一示例，分流策略配置中包含业务报文的目的ip地址和端口，或者资源描述符url，如以下表1所示，包括4项参数：
48.表1：
[0049][0050]
作为第二示例，如图2所示，分流策略配置的过程主要包括以下步骤：
[0051]
1.af向upf(第一upf)发送分流策略请求；
[0052]
2.upf转发分流策略请求至smf；
[0053]
3.smf转发分流策略请求至pcf；
[0054]
4.pcf转发分流策略请求至oss；
[0055]
5.oss对分流策略请求的访问令牌进行验证；
[0056]
6.oss向pcf反馈验证结果；
[0057]
7.若验证结果为通过，pcf生成所述af的分流策略配置响应；
[0058]
8.pcf转发分流策略配置响应至smf；
[0059]
9.smf转发分流策略配置响应至upf；
[0060]
10.upf转发分流策略配置响应至af，至此，af完成了分流策略配置。
[0061]
本发明上述实施例中，通过在第一upf网元与af之间设置第一接口，第一upf网元与smf网元之间设定第二接口；通过第一接口接收边缘af的分流策略配置请求，经过smf网元转发至pcf网元，实现对af的分流策略配置；配置过程中，af通过第一接口c1向smf网元传输分流策略请求，不能访问核心网的控制面；作为非运营商应用，避免af带来潜在的安全问题，提升了网络的安全性；且本发明实施例提供的网络架构组网简单，维护成本较低，与现有标准的核心网网元兼容，不改动现有3gpp协议中网元和接口的功能；本发明实施例解决了现有技术中，af的分流策略配置方式，存在潜在的安全问题，且增加了传输组网的复杂性和维护成本问题。
[0062]
可选地，本发明实施例中，在af请求分流策略配置之前，需要对af进行身份认证；具体地，所述方法还包括：
[0063]
控制所述第一upf网元通过第一接口接收af的身份认证请求，并将所述身份认证请求依次通过所述smf网元、所述pcf网元转发给所述oss；
[0064]
所述身份认证请求中携带有所述af-id以及所述af的身份令牌；oss系统对所述身份令牌进行验证，验证所述身份令牌与预先记载的所述af-id的身份令牌是否一致，若一致oss根据所述身份令牌生成的所述访问令牌，然后oss将访问令牌反馈给所述pcf网元；
[0065]
控制所述pcf网元接收所述oss根据所述身份令牌生成的所述访问令牌，并将所述访问令牌依次通过所述smf网元、第一upf网元发送给所述af。
[0066]
作为第三示例，如图3所示，分流策略配置的过程主要包括以下步骤：
[0067]
1.af向upf(第一upf)发送身份认证请求；
[0068]
2.upf转发身份认证请求至smf；
[0069]
3.smf转发身份认证请求至pcf；
[0070]
4.pcf转发身份认证请求至oss；
[0071]
5.oss验证身份令牌；
[0072]
6.若验证结果为通过，oss生成所述af的访问令牌，并发送至pcf；
[0073]
7.pcf转发访问令牌至smf；
[0074]
8.smf转发访问令牌至upf；
[0075]
9.upf转发访问令牌至af，至此，af得到了访问令牌。
[0076]
可选地，本发明实施例中，所述分流信息中携带有所述af的网际互连协议ip地址和端口；
[0077]
如图1中upf0所示，第二upf网元为分流的分支点，第二upf网元用于接收终端的业务数据，
[0078]
所述第二upf网元用于接收终端的业务数据，获取所述业务数据中携带的目标af的目标标识号；
[0079]
根据所述pcf网元预先配置的分流策略信息，确定所述目标标识号对应的目标分流信息；
[0080]
根据所述目标分流信息将所述业务数据分流至与所述目标af相连的第一upf网元，这样，对于部署于网络边缘的af，通过对访问该af的终端业务数据，尽早依据所述分流信息分流至该ip地址，减小传输时延，提高网络运营效率，提高业务分发以及传送能力，改善终端用户体验。
[0081]
可选地，本发明实施例中，在smf增加消息中继功能，将从第二接口n4上收到的af身份认证消息和分流策略请求消息，通过smf与pcf之间的服务化接口发送给pcf。
[0082]
可选地，本发明实施例中，所述第一upf网元将所述分流策略请求封装在报文转发控制协议(packet forwarding control protocol，pfcp)消息中，通过所述第二接口发送至所述smf网元；其中，第二接口为点到点接口，用于控制业务面会话相关的建立、修改和释放；第二接口使用pfcf协议。为支持分流策略管理消息的透明传输，需要扩展pfcp报文，增加分流策略管理消息传输过程。
[0083]
可选地，作为第四示例，pfcp的消息格式如图4所示，其中，消息类型100-255目前保留，为支持分流策略传输，可从保留的消息类型中分配新的类型，如以下表2所示：
[0084]
表2：
[0085][0086]
依据上述表2，upf以及smf将分流策略管理消息封装在pfcf的消息体中传输。
[0087]
可选地，本发明实施例中，所述smf网元通过第三接口(npcf接口)与所述pcf网元通信连接；所述smf网元将所述分流策略请求封装在超文本传输协议http消息中，通过所述第三接口转发给所述pcf网元。
[0088]
smf与pcf之间的接口npcf为服务化接口，用于smf请求和订阅会话相关的策略，为支持分流策略管理消息的传输，需要扩展npcf接口的功能，如以下表3所示：
[0089]
表3：
[0090][0091]
smf通过npcf_ulclpolicy服务，将收到的af分流策略管理请求发送给pcf，并在服务的响应消息中，接收pcf对分流策略的执行结果，将执行结果通过upf，发给af。
[0092]
npcf_ulclpolicy服务提供分流策略管理消息的透明传输功能，npcf_ulclpolicy_create使用http post方法，将收到的策略管理消息封装在http的消息体中，传递给pcf。pcf解析执行之后，将执行结果作为http post的响应，发送给smf。
[0093]
本发明上述实施例中，通过在第一upf网元与af之间设置第一接口，第一upf网元与smf网元之间设定第二接口；通过第一接口接收边缘af的分流策略配置请求，经过smf网元、pcf网元转发至oss系统，实现对af的分流策略配置；配置过程中，af通过第一接口c1向smf网元传输分流策略请求，不能访问核心网的控制面；作为非运营商应用，避免af带来潜在的安全问题，提升了网络的安全性；且本发明实施例提供的网络架构组网简单，维护成本较低，与现有标准的核心网网元兼容，不改动现有3gpp协议中网元和接口的功能。
[0094]
以上介绍了本发明实施例中提供的网络架构，下面将结合附图介绍本发明实施例中提供的分流策略配置方法。
[0095]
参见图5，本发明实施例提供了一种分流策略配置方法，应用于上述网络架构，所述方法包括：
[0096]
步骤501，控制第一用户平面功能upf网元通过第一接口接收af的分流策略请求，并将所述分流策略请求通过第二接口发送至会话管理功能smf网元。
[0097]
参见图1，控制通过第一upf网元通过第一接口接收af的分流策略请求，将所述分流策略请求通过所述第二接口发送至所述smf网元；这样，af通过第一接口c1向smf网元传输分流策略请求，不与nef建立传输通道，不能访问核心网的控制面；作为非运营商应用，避免带来潜在的安全问题。
[0098]
步骤502，控制所述smf网元将所述分流策略请求转发给策略控制功能pcf网元；其中，所述分流策略请求中携带有所述af的标识号af-id、访问令牌以及分流信息。
[0099]
其中，访问令牌为所述af在预先进行身份认证时，pcf网元为所述af生成的；分流信息中包括访问所述af对应的业务应用的ip地址，这样，对于部署于网络边缘的af，通过对访问该af的终端业务数据，尽早依据所述分流信息分流至该ip地址，减小传输时延，提高网络运营效率，提高业务分发以及传送能力，改善终端用户体验，满足行业用户在数字化变革过程中对业务实时、智能、数据聚合与互操作、安全与隐私保护等方面的关键需求。
[0100]
步骤503，控制所述pcf网元接收所述分流策略请求，将所述访问令牌携带在验证请求中，将所述验证请求发送至与所述af-id对应的运营支持系统oss，并接收所述oss针对所述验证请求的验证结果。
[0101]
由oss系统对所述分流策略请求进行验证，验证所述访问令牌与预先记载的所述af-id的访问令牌是否一致，若一致验证通过，否则验证不通过，然后oss将验证结果反馈给所述pcf网元；所述pcf网元接收所述oss针对所述验证请求的验证结果。
[0102]
步骤504，若所述验证结果为验证通过，控制所述pcf网元将所述分流信息携带在分流策略配置响应中。
[0103]
分流策略配置响应中包括用于配置所述分流信息的执行结果等。
[0104]
步骤505，通过所述smf网元将所述分流策略配置响应发送给所述第二upf网元af。
[0105]
可选地，本发明实施例中，所述分流信息中携带有所述af的网际互连协议ip地址和端口；
[0106]
所述网络架构还包括：第二upf网元；
[0107]
所述方法还包括：
[0108]
控制所述第二upf网元接收终端的业务数据；获取所述业务数据中携带的目标af的目标标识号；
[0109]
根据所述pcf网元预先配置的分流策略信息，确定所述目标标识号对应的目标分流信息；
[0110]
根据所述目标分流信息将所述业务数据分流至与所述目标af相连的第一upf网元。
[0111]
可选地，本发明实施例中，所述通过所述smf网元将所述分流策略配置响应发送给所述af，包括：
[0112]
向所述smf网元发送携带有所述分流策略配置响应的会话策略变更通知；
[0113]
控制所述smf网元接收所述会话策略变更通知，并将所述分流策略配置响应发送给所述af。
[0114]
本发明上述实施例中，通过第一接口接收边缘af的分流策略配置请求，经过smf网元、pcf网元转发至oss系统，实现对af的分流策略配置；配置过程中，af通过第一接口c1向smf网元传输分流策略请求，不能访问核心网的控制面；作为非运营商应用，避免af带来潜在的安全问题，提升了网络的安全性；且本发明实施例提供的网络架构组网简单，维护成本较低，与现有标准的核心网网元兼容，不改动现有3gpp协议中网元和接口的功能；本发明实施例解决了现有技术中，af的分流策略配置方式，存在潜在的安全问题，且增加了传输组网的复杂性和维护成本问题。另一方面，本发明实施例还提供了一种电子设备，包括存储器、处理器、总线以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述分流策略配置方法中的步骤。
[0115]
举个例子如下，图6示出了一种电子设备的实体结构示意图。
[0116]
如图6所示，该电子设备可以包括：处理器(processor)610、通信接口(communications interface)620、存储器(memory)630和通信总线640，其中，处理器610，通信接口620，存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令，以执行如下方法：
[0117]
控制第一用户平面功能upf网元通过第一接口接收af的分流策略请求，并将所述分流策略请求通过第二接口发送至会话管理功能smf网元；
[0118]
控制所述smf网元将所述分流策略请求转发给策略控制功能pcf网元；其中，所述分流策略请求中携带有所述af的标识号af-id、访问令牌以及分流信息；
[0119]
控制所述pcf网元接收所述分流策略请求，将所述访问令牌携带在验证请求中，将所述验证请求发送至与所述af-id对应的运营支持系统oss，并接收所述oss针对所述验证
请求的验证结果；
[0120]
若所述验证结果为验证通过，控制所述pcf网元将所述分流信息携带在分流策略配置响应中；
[0121]
通过所述smf网元将所述分流策略配置响应发送给所述af。
[0122]
此外，上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0123]
再一方面，本发明实施例还提供了一种可读存储介质，所述可读存储介质可以为计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的分流策略配置方法，例如包括：
[0124]
控制第一用户平面功能upf网元通过第一接口接收af的分流策略请求，并将所述分流策略请求通过第二接口发送至会话管理功能smf网元；
[0125]
控制所述smf网元将所述分流策略请求转发给策略控制功能pcf网元；其中，所述分流策略请求中携带有所述af的标识号af-id、访问令牌以及分流信息；
[0126]
控制所述pcf网元接收所述分流策略请求，将所述访问令牌携带在验证请求中，将所述验证请求发送至与所述af-id对应的运营支持系统oss，并接收所述oss针对所述验证请求的验证结果；
[0127]
若所述验证结果为验证通过，控制所述pcf网元将所述分流信息携带在分流策略配置响应中；
[0128]
通过所述smf网元将所述分流策略配置响应发送给所述af。
[0129]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0130]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0131]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；
而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。