Open5GS项目中UPF崩溃问题的分析与修复

问题背景

在Open5GS v2.7.2版本中，当两个移动终端进行多次通话时（最多16次），用户平面功能(UPF)会出现崩溃现象。这个问题主要与QoS流的建立数量和URR(Usage Reporting Rule)处理机制有关。

根本原因分析

数组越界访问问题

在UPF模块的URR处理逻辑中存在一个关键的数组越界问题：

1. 在src/upf/context.c文件中，URR访问使用了urr->id作为数组索引，而该数组的大小为16
2. 但在lib/pfcp/context.c中，urr->id的取值范围是1-16（OGS_MAX_NUM_OF_URR定义为16）
3. 这导致当urr->id为16时，数组访问越界

QoS流标识符溢出问题

另一个相关问题是QoS流标识符(QFI)的处理：

1. SMF模块在添加QoS流时，会分配递增的QFI值
2. 当QFI值超过15时，在构建PDU会话修改命令时会出现溢出
3. 这是因为NAS消息中的QFI字段被定义为4位无符号整数(0-15)
4. 溢出导致gNB拒绝NAS消息

解决方案

URR处理修复

针对URR数组越界问题，修复方案是：

1. 将URR访问索引调整为urr->id - 1
2. 在所有URR访问点添加索引范围检查
3. 确保URR ID始终在有效范围内(1-16)

QFI处理优化

对于QFI溢出问题，采取了以下改进：

1. 将NAS消息中的QFI字段从4位扩展到6位
2. 这允许更大的QFI取值范围(0-63)
3. 同时保持与现有设备的兼容性

实现细节

在实际代码修改中，主要涉及以下关键点：

1. 在URR访问处添加断言检查：

ogs_assert(urr->id > 0 && urr->id <= OGS_MAX_NUM_OF_URR);
urr_acc = &sess->urr_acc[urr->id-1];

2. 修改NAS消息结构定义，扩展QFI字段大小

3. 确保所有URR相关操作都进行正确的索引调整

测试验证

修复后进行了全面测试：

1. 多次通话测试（超过16次）
2. VoNR功能测试
3. 文件下载场景测试
4. 各种QoS流组合测试

所有测试场景均稳定运行，未再出现UPF崩溃现象。

经验总结

这个案例展示了几个重要的开发经验：

1. 数组索引处理必须谨慎，特别是当索引来源于外部输入时
2. 协议字段的大小限制需要在设计初期充分考虑
3. 边界条件测试（如最大次数操作）非常重要
4. 类似问题往往会在多个地方出现，修复时需要全面检查

通过这次问题的分析和修复，Open5GS的稳定性和可靠性得到了进一步提升，特别是在处理多次会话建立和复杂QoS场景时表现更加稳健。