CN110771116B - 一种加密数据流的识别方法、设备、存储介质及系统 - Google Patents

一种加密数据流的识别方法、设备、存储介质及系统 Download PDF

Info

Publication number
CN110771116B
CN110771116B CN201880038900.1A CN201880038900A CN110771116B CN 110771116 B CN110771116 B CN 110771116B CN 201880038900 A CN201880038900 A CN 201880038900A CN 110771116 B CN110771116 B CN 110771116B
Authority
CN
China
Prior art keywords
authentication
core network
application identifier
network device
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880038900.1A
Other languages
English (en)
Other versions
CN110771116A (zh
Inventor
唐海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Oppo Mobile Telecommunications Corp Ltd
Original Assignee
Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Oppo Mobile Telecommunications Corp Ltd filed Critical Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority claimed from PCT/CN2018/085510 external-priority patent/WO2019076025A1/zh
Publication of CN110771116A publication Critical patent/CN110771116A/zh
Application granted granted Critical
Publication of CN110771116B publication Critical patent/CN110771116B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/30Connection release
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Abstract

本发明实施例提供了一种加密数据流的识别方法、设备、可读存储介质及系统;该方法可以应用于核心网设备,所述方法包括:接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

Description

一种加密数据流的识别方法、设备、存储介质及系统
相关申请的交叉引用
本申请基于国际申请号为PCT/CN2017/106349、国际申请日为2017年10月16日的PCT国际申请以及国际申请号PCT/CN2018/081774、国际申请日为2018年04月03日的PCT国际申请提出,并要求上述两件PCT国际申请的优先权,上述两件PCT国际申请的全部内容在此引入本申请作为参考。
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种加密数据流的识别方法、设备、可读存储介质及系统。
背景技术
超文本传输协议(HTTP,HyperText Transfer Protocol)2.0版本出现之后,所有的HTTP层及HTTP层以上的应用层数据流均能够通过安全传输层协议(TLS,TransportLayer Security Protocol)进行加密,而运营商所提供的网络设备无法对加密数据流进行识别。
针对该问题,目前通常采用TLS层的某些明文标识在TLS协议的握手过程中对应用的加密数据流进行识别。但是,由于明文标识容易被破解,具有不安全的隐患,并且后续的TLS协议中不再支持明文标识。基于此,当前相关技术中并没有提出不依赖于明文标识对加密数据流进行识别的方案和机制。
发明内容
为解决上述技术问题,本发明实施例期望提供一种加密数据流的识别方法、设备、可读存储介质及系统;能够不依赖于明文标识就可以对加密数据流进行识别,提升了识别的安全性。
本发明实施例的技术方案可以如下实现:
第一方面,本发明实施例提供了一种加密数据流的识别方法,所述方法应用于核心网设备,所述方法包括:
接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;
基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
第二方面,本发明实施例提供了一种加密数据流的识别方法,所述方法应用于用户设备UE,所述方法包括:
发送承载有鉴权数据的数据包;其中,所述鉴权数据用于核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识。
第三方面,本发明实施例提供了一种核心网设备,包括:第一接收部分、鉴权部分和建立部分;其中,
所述第一接收部分,配置为接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;
所述鉴权部分,配置为基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
所述建立部分,配置为当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
第四方面,本发明实施例提供了一种用户设备UE,其中,所述UE包括:第二发送部分,配置为发送承载有鉴权数据的数据包;其中,所述鉴权数据用于核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识。
第五方面,本发明实施例提供了一种核心网设备,其中,第一网络接口,第一存储器和第一处理器;其中,
所述第一网络接口,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
所述第一存储器,用于存储能够在所述第一处理器上运行的计算机程序;
所述第一处理器,用于在运行所述计算机程序时,执行第一方面中所述方法的步骤。
第六方面,本发明实施例提供了一种用户设备UE,其中,所述UE包括:第二网络接口、第二存储器和第二处理器;
其中,所述第二网络接口,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
所述第二存储器,用于存储能够在第二处理器上运行的计算机程序;
所述第二处理器,用于在运行所述计算机程序时,执行第二方面所述方法的步骤。
第七方面,本发明实施例提供了一种计算机可读介质,所述计算机可读介质存储有接入链路的管理程序,所述接入链路的管理程序被至少一个处理器执行时实现第一方面或第二方面所述的方法的步骤。
第八方面,本发明实施例提供了一种加密流量的识别系统,包括核心网设备以及用户设备,其中,
所述用户设备,配置为发送承载有鉴权数据的数据包;其中,所述鉴权数据用于所述核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识;
所述核心网设备,配置为接收用户设备UE发送的承载有鉴权数据的数据包;
基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
本发明实施例提供了一种加密数据流的识别方法、设备、可读存储介质及系统;核心网设备在UE与越顶OTT服务器进行TLS握手过程中或握手完成后与UE进行鉴权,从而建立用于对加密数据流进行识别的关联关系,以实现对加密数据流的检测和统计,无需依赖明文标识,更无需进行复杂的IP地址配置和维护,提高了安全性并减少了配置和维护所需的计算资源。
附图说明
图1为本发明实施例提供的一种加密数据流的识别方法流程示意图;
图2为本发明实施例提供的另一种加密数据流的识别方法流程示意图;
图3为本发明实施例提供的一种网络架构示意图;
图4为本发明实施例提供的一种加密数据流的识别方法的具体示例流程示意图;
图5为本发明实施例提供的另一种加密数据流的识别方法的具体示例流程示意图;
图6A为本发明实施例提供的又一种加密数据流的识别方法的具体示例流程示意图;
图6B为本发明实施例提供的再一种加密数据流的识别方法的具体示例流程示意图;
图7A为本发明实施例提供的一种核心网设备的组成示意图;
图7B为本发明实施例提供的另一种核心网设备的组成示意图;
图7C为本发明实施例提供的又一种核心网设备的组成示意图;
图8为本发明实施例提供的一种核心网设备的具体硬件结构示意图;
图9为本发明实施例提供的一种用户设备的组成示意图;
图10为本发明实施例提供的另一种用户设备的组成示意图;
图11为本发明实施例提供的一种用户设备的具体硬件结构示意图;
图12为本发明实施例提供的另一种核心网设备的组成示意图;
图13为本发明实施例提供的另一种核心网设备的具体硬件结构示意图;
图14为本发明实施例提供的另一种UE的组成示意图;
图15为本发明实施例提供的另一种UE的具体硬件结构示意图;
图16A为本发明实施例提供的再一种加密数据流的识别方法示意图;
图16B为本发明实施例提供的再一种加密数据流的识别方法示意图;
图17A为本发明实施例提供的再一种核心网设备的组成示意图;
图17B为本发明实施例提供的再一种用户设备的组成示意图;
图18A为本发明实施例提供的再一种核心网设备的硬件结构示意图;
图18B为本发明实施例提供的再一种用户设备的硬件结构示意图;
图19为本发明实施例提供的一种加密流量的识别系统组成示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
目前,在第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)的业务和系统方面工作组2(SA2,Service and System Aspects Working Group)中定义了应用级别数据,用于对应用的流量进行识别。基于此,第三方越顶OTT(Over The Top)服务商可以主动向运营商网络发起针对应用流量的识别规则进行安装或更新或删除的操作,从而使运营商网络具备识别业务的能力。但是,仍然没有针对业务的加密数据流进行识别的相关机制。
基于上述内容,提出以下实施例。
实施例一
参见图1,其示出了本发明实施例提供的一种加密数据流的识别方法,该方法可以应用于核心网设备中,可以理解地,本实施例所述的核心网设备,包括用户面和控制面两个部分;因此,本实施例所述的核心网设备既可以是包括用户面和控制面两个部分的单一实体设备,也可以是由用户面和控制面两个实体形成的核心网中的逻辑网元设备,本实施例对此不做具体限定,图1所示的方法可以包括:
S101:接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;
S102:基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;
其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;可以理解地,第二鉴权参数可以由OTT服务器生成,并预先配置在核心网设备中;而第一鉴权参数也可以由OTT服务器生成,预先配置在UE中;而设定的鉴权算法可以静态地预先配置在UE和核心网设备中。
S103:当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;
其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。并且,所述数据包的特征信息可以包括以下至少一项或多项:网络协议IP源地址、IP源端口号、IP目的地址、IP目的端口号、媒体接入控制(MAC,Media Access Control)源地址、IP源端口号、MAC目的地址、MAC目的端口号、协议类型以及虚拟局域网(VLAN,Virtual Local Area Network)标签。
通过图1所示的技术方案,核心网设备能够通过上述关联关系针对应用标识所表示的应用程序的加密数据流进行识别,从而进一步地实现对加密数据流的检测和统计,无需依赖明文标识,更无需进行复杂的IP地址配置和维护,提高了安全性并减少了配置和维护所需的计算资源。
可以理解地,基于所述数据包的特征信息可能包含层3特征,即IP源地址、IP源端口号、IP目的地址、IP目的端口号、IP源端口号;也可能包含层2特征,即媒体接入控制(MAC,Media Access Control)源地址、MAC目的地址、MAC目的端口号、协议类型以及虚拟局域网(VLAN,Virtual Local Area Network)标签;上述关联关系不仅是数据包层3特征与应用标识之间的关联关系,而且也可以是层2特征与应用标识之间的关联关系,由此可知,当数据包通过非IP数据包传输时,仍然可以通过该关联关系针对应用标识所表示的应用程序的加密数据流进行识别。
对于图1所示的技术方案,在第一种可能的实现方式中,图1所示的技术方案可以在UE与OTT服务器建立TLS握手过程中进行实施,因此,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:
在应用层会话建立的TLS握手过程中,所述核心网设备的用户面接收所述UE发送的首次TLS握手请求;其中,所述鉴权数据承载于所述首次TLS握手请求中的明文字段。
具体来说,对于上述实现方式,UE可以在首次TLS握手请求中新增加一个明文字段,并将鉴权数据加入该新增的明文字段。
相应于上述实现方式,在接收用户设备UE发送的承载有鉴权数据的数据包后,所述方法还包括:
所述核心网设备的用户面从所述首次TLS握手请求中的明文字段检测到所述鉴权数据后,将所述鉴权数据传输至所述核心网设备的控制面。
需要说明的是,核心网设备的控制面在获取到所述鉴权数据后,就能够按照鉴权数据来执行图1所示方案中的S102,并且将所述第二鉴权结果与所述第一鉴权结果进行比对后向核心网设备用户面发送比对结果,从而核心网设备用户面根据比对结果确定是否执行S103,可以理解地,当所述第二鉴权结果与所述第一鉴权结果比对不一致时,则忽略该比对结果。
对于图1所示的技术方案,在第二种可能的实现方式中,图1所示的技术方案可以在UE与OTT服务器之间完成TLS握手后进行实施,因此,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:在完成TLS握手后,所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求;其中,所述鉴权数据承载于所述鉴权请求中的通用无线分组业务隧道协议用户面(GTP-U,General Packet Radio Service Tunnelling Protocol User Plane)扩展字段。
具体来说,对于上述实现方式,鉴权请求是在完成了应用层TLS握手后,由UE主动发起的。UE可以将鉴权数据承载于扩展的分组数据汇聚协议(PDCP,Packet DataConvergence Protocol)字段中发送给基站侧,而基站侧则可以将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段,继续发送给核心网设备用户面。
相应于上述实现方式,在接收用户设备UE发送的承载有鉴权数据的数据包后,所述方法还包括:
所述核心网设备的用户面从鉴权请求中的GTP-U扩展字段检测到所述鉴权数据后,将所述鉴权数据传输至所述核心网设备的控制面。
同理于上述实现方式,需要说明的是,核心网设备的控制面在获取到所述鉴权数据后,就能够按照鉴权数据来执行图1所示方案中的S102,并且将所述第二鉴权结果与所述第一鉴权结果进行比对后向核心网设备用户面发送比对结果,从而核心网设备用户面根据比对结果确定是否执行S103,可以理解地,当所述第二鉴权结果与所述第一鉴权结果比对不一致时,则忽略该比对结果。
针对上述两种实现方式,在一示例中,所述第一鉴权参数包括随机数,所述第二鉴权参数包括公共密钥Ka;或者,所述第一鉴权参数包括公共密钥Ka,所述第二鉴权参数包括随机数。
对于随机数,需要说明的是,该随机数可以是基于预设的随机数生成策略所生成的随机数;除此之外,该随机数还可以是随着当前时间和/或UE当前所在地点相应变更的数,从而实现每个随机数之间都是不同的。举例来说,通常UE当前所在的地点与UE的IP地址之间具有相关性,不同UE之间,其IP地址也相应不同。因此,随机数可以由当前时间戳与UE的IP地址组成得到,从而能够实现当UE、时间以及地点中至少一项不同时,其对应的随机数也是不同。也就实现了每个随机数之间都是不同的效果。
可以理解地,在本发明实施例中,后续关于随机数的具体生成过程可以按照上述说明实现,不再赘述。
针对上述两种实现方式,在一示例中,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果,包括:
所述核心网设备的控制面基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果。
针对上述两种实现方式,在一示例中,当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系,包括:
当所述第二鉴权结果与所述第一鉴权结果比对一致时,所述核心网设备的控制面将比对结果传输至所述核心网用户面;
所述核心网设备的用户面建立所述数据包的特征信息与所述应用标识之间的关联关系。
对于图1所示的技术方案,在第三种可能的实现方式中,图1所示的技术方案可以在UE与OTT服务器之间完成TLS握手后进行实施,但与第二种实现方式不同的地方在于,鉴权请求由UE直接向核心网设备的控制面发送,因此,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:
在完成TLS握手后,所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息;
其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的特征信息;其中,所述第一鉴权参数包括:随机数和公共密钥Ka;所述NAS-SM消息的特征信息包括至少一项或多项:OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址。需要说明的是,Ka为可选的鉴权参数,Ka也可以由核心网设备通过应用标识在核心网数据库中查找,所述核心网数据库中的应用标识与Ka的对应关系可以由第三方服务器预先配置到该数据库中。
相应于上述实现方式,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果,包括:
所述核心网设备的控制面根据所述第一鉴权参数中的随机数以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。
相应于上述实现方式,当第二鉴权结果与第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系,包括:
当所述第二鉴权结果与所述第一鉴权结果比对一致时,所述核心网设备的控制面根据所述OTT服务器的特征信息以及所述UE的特征信息生成所述数据包的特征信息,并将生成的所述数据包的特征信息和所述应用标识传输至所述核心网设备的用户面;具体来说,OTT服务器的特征信息包括OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址;UE的特征信息包括:UE的IP地址、端口和MAC地址。
所述核心网设备的用户面建立所述生成的所述数据包的特征信息和所述应用标识之间的关联关系。
对于图1所示的技术方案,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果后,所述方法还包括:
所述核心网设备的控制面通过所述核心网设备的用户面将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。
可以理解地,UE在接收到比对结果之后,就能够获知核心网设备是否完成了关联关系的建立,从而决定是否继续进行与核心网设备之间的鉴权。
此外,对于图1所示的技术方案,数据包的特征信息与所述应用标识之间的关联关系建立完成之后,可以针对其设置生命周期,具体来说,图1所示的技术方案还可以包括:接收所述UE发送的有效时间信息;其中,所述有效时间信息用于指示所述关联关系进行加密数据流识别的有效时长。可以理解地,上述有效时长可以作为该关联关系的生命周期。因此,优选来说,所述方法还可以包括:当所述有效时长计时完毕后,若加密数据流传输未完成,释放所述关联关系。
另外,该关联关系还可以通过UE的指示进行释放,基于此,可以无需考虑生命周期即有效时长,优选来说,所述方法还包括:
在有效时长内或有效时长结束,接收所述UE发送的释放指示消息;
基于所述释放指示消息释放所述关联关系。
需要说明的是,上述有效时间消息以及释放指示消息均可以通过NAS消息进行发送。
本实施例提供了一种应用于核心网设备的加密数据流的识别方法,能够在UE与OTT服务器进行TLS握手过程中或握手完成后与UE进行鉴权,从而建立用于对加密数据流进行识别的关联关系,以实现对加密数据流的检测和统计,无需依赖明文标识,更无需进行复杂的IP地址配置和维护,提高了安全性并减少了配置和维护所需的计算资源。
实施例二
基于前述实施例相同的发明构思,参见图2,其示出了本发明实施例提供的一种加密数据流的识别方法,该方法可以应用于UE中,图2所示的方法可以包括:
S201:发送承载有鉴权数据的数据包;其中,所述鉴权数据用于所述核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识。
可以理解地,当UE将鉴权数据发送至核心网设备之后,核心网设备就能够按照前述实施例的技术方案进行鉴权,从而建立用于对加密数据流进行识别的关联关系,以实现对加密数据流的检测和统计,无需依赖明文标识,更无需进行复杂的IP地址配置和维护,提高了安全性并减少了配置和维护所需的计算资源。
对于图2所示的技术方案,在第一种可能的实现方式中,图2所示的技术方案可以在UE与OTT服务器建立TLS握手过程中进行实施,因此,所述发送承载有鉴权数据的数据包,包括:
在应用层会话建立的TLS握手过程中,将所述鉴权数据承载于首次TLS握手请求中的明文字段;
将所述承载有所述鉴权数据的首次TLS握手请求通过核心网设备的用户面透传至所述核心网设备的控制面。
对于图2所示的技术方案,在第二种可能的实现方式中,图2所示的技术方案可以在UE与OTT服务器之间完成TLS握手后进行实施,因此,所述发送承载有鉴权数据的数据包,包括:
在完成TLS握手后,将所述鉴权数据承载于扩展的PDCP字段的鉴权请求发送至基站,并通过基站将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段后,将所述鉴权请求继续发送至所述核心网设备用户面。
对于图2所示的技术方案,在第三种可能的实现方式中,图2所示的技术方案可以在UE与OTT服务器之间完成TLS握手后进行实施,但与第二种实现方式不同的地方在于,鉴权请求由UE直接向核心网设备的控制面发送,因此,所述发送承载有鉴权数据的数据包,包括:
在完成TLS握手后,向核心网设备的控制面发送非接入层会话管理NAS-SM消息;其中,NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及NAS-SM消息的特征信息;其中,所述第一鉴权参数包括:随机数和公共密钥Ka;所述NAS-SM消息的特征信息包括所OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址。
此外,对于图2所示的技术方案,当核心网设备建立数据包的特征信息与应用标识之间的关联关系之后,还可以通过UE来确定该关联关系的生命周期,基于此,在一示例中,所述方法还包括:
向所述核心网设备发送有效时间消息;其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系进行加密数据流识别的有效时长。
在一示例中,所述方法还包括:向所述核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
需要说明的是,上述有效时间消息以及释放指示消息均可以通过NAS消息进行发送。
对于图2所示的技术方案,当核心网设备鉴权完毕后,所述方法还包括:接收核心网设备的控制面回复的鉴权结果。可以理解地,UE在接收到比对结果之后,就能够获知核心网设备是否完成了关联关系的建立,从而决定是否继续进行与核心网设备之间的鉴权。
实施例三
基于前述实施例相同的发明构思,本实施例通过以下具体示例对前述两个实施例的技术方案进行详细地阐述。
针对具体示例需要说明的是,具体示例引入了针对应用程序的参数组,举例来说,可以包括:公共秘钥Ka、随机数、令牌Token、应用标识Application ID。其中,Ka和随机数结合预先设定的鉴权算法来生成Token,若以鉴权算法为HASH算法为例,则可以得到Token=HASH(Ka,随机数);因此,公共秘钥Ka、随机数为鉴权参数,Token可以为鉴权结果,应用标识Application ID用来表示对应的应用程序。需要说明的是,Ka为可选的鉴权参数,Ka也可以由核心网设备通过应用标识在核心网数据库中查找,所述核心网数据库中的应用标识与Ka的对应关系可以由第三方服务器预先配置到该数据库中。
此外,还可以通过Ka(可选)、随机数以及应用标识结合预先设定的鉴权算法来生成鉴权结果Token,仍然以HASN算法为例,则可以得到鉴权结果Token=HASH(Ka,随机数,应用标识);此时,公共秘钥Ka(可选)、随机数以及应用标识为鉴权参数。
需要指出的是,Ka和随机数由OTT服务器生成,鉴权算法通过OTT服务器静态配置在核心网设备和UE上。本实施例的具体示例可以应用于如图3所示的非典型的网络架构中,在该网络架构中,UE通过基站接入核心网,或可以直接与核心网设备相连接,核心网设备中包括用户面和控制面两个部分,UE通过核心网设备连接数据网络(DN,Data Network),实现与OTT服务器之间的信息交互。基于上述网络架构,提出以下具体示例。
具体示例一
参见图4,其示出了本发明实施例提供的一种加密数据流的识别方法的具体示例流程,该流程可以包括:
S40A:OTT服务器将鉴权算法预先配置在UE以及核心网设备中;
S40B:OTT服务器动态生成或更新Ka和随机数,并发往UE和核心网设备;
可以理解地,UE和核心网设备各自在接收到Ka和随机数后,可以按照S40A中配置的鉴权算法进行计算,分别得到各自的鉴权结果Token。
S401:UE在首次TLS握手请求中新增明文字段,并将自身的随机数和Token,以及应用标识作为鉴权数据加入到新增的明文字段中;
S402:UE将首次TLS握手请求发送至核心网设备的用户面;
S403:用户面在检测到首次TLS握手请求中包括UE发送的鉴权数据时,将鉴权数据透传给核心网设备的控制面;
S404:控制面根据自身的Ka以及UE的随机数按照配置的鉴权算法进行计算,并将计算结果与UE的Token进行比较;若两者一致,比较结果为鉴权成功;否则,比较结果为鉴权失败。
S405:控制面将比较结果发送至用户面;
S406:若鉴权成功,用户面建立首次TLS握手请求的特征信息与所述应用标识之间的关联关系。
可以理解地,该关联关系能够使得核心网设备识别后续该应用标识对表示的应用程序的加密数据流,并根据识别结果对加密数据流的流量进行统计。
在本实施例中,根据一种实现方式,如虚线箭头所示,S407:控制面将比较结果通过用户面发送至UE;从而使得UE在接收到比较结果之后,就能够获知核心网设备是否完成了关联关系的建立,从而决定是否需要继续进行与核心网设备之间的鉴权。
具体示例二
参见图5,其示出了本发明实施例提供的一种加密数据流的识别方法的具体示例流程,该流程实施于UE与OTT服务器之间完成TLS握手后,该流程可以包括:
S50A:TLS握手完成后,HTTP内容全部加密;
S50B:OTT服务器将向UE发送应用标识,随机数和Ka;
可以理解地,OTT向UE发送上述信息时,运营商网络对此不可见。
S501:UE根据随机数与Ka按照预先设置的鉴权算法计算出Token,并将自身的随机数、Token以及应用标识作为鉴权数据承载于扩展的PDCP字段的鉴权请求。
S502:UE将鉴权请求发送至基站;
S503:基站将鉴权数据转换成GTP-U扩展字段后,将所述鉴权请求继续发送至所述核心网设备用户面;
S504:用户面在检测到鉴权请求中包括鉴权数据后,将鉴权数据透传至核心网设备的控制面;
S505:控制面根据自身的Ka以及UE的随机数按照配置的鉴权算法进行计算,并将计算结果与UE的Token进行比较;若两者一致,比较结果为鉴权成功;否则,比较结果为鉴权失败。
S506:控制面将比较结果发送至用户面;
S507:若鉴权成功,用户面建立鉴权请求的特征信息与所述应用标识之间的关联关系。
可以理解地,该关联关系能够使得核心网设备识别后续该应用标识对表示的应用程序的加密数据流,并根据识别结果对加密数据流的流量进行统计。
在本实施例中,根据一种实现方式,如虚线箭头所示,S508:控制面将比较结果通过用户面发送至UE;从而使得UE在接收到比较结果之后,就能够获知核心网设备是否完成了关联关系的建立,从而决定是否需要继续进行与核心网设备之间的鉴权。
具体示例三
参见图6A,其示出了本发明实施例提供的一种加密数据流的识别方法的具体示例流程,该流程实施于UE与OTT服务器之间完成TLS握手后,该流程可以包括:
S60A:TLS握手完成后,HTTP内容全部加密;
S60B:OTT服务器将向UE发送应用标识,随机数和Ka;
可以理解地,OTT向UE发送上述信息时,运营商网络对此不可见。
S601:UE根据随机数与Ka按照预先设置的鉴权算法计算出Token,并将自身的随机数、Ka、Token、应用标识和OTT服务器的特征信息作为鉴权数据承载于NAS-SM消息的扩展字段中。
可以理解地,OTT服务器的IP三元组可以包括OTT服务器的IP地址、端口号和协议类型。
S602:UE向核心网设备的控制面发送NAS-SM消息,从而向控制面请求会话修改;
S603:控制面根据自身的Ka以及UE的随机数按照配置的鉴权算法进行计算,并将计算结果与UE的Token进行比较;若两者一致,比较结果为鉴权成功;否则,比较结果为鉴权失败;
S604:若鉴权成功,控制面根据所述OTT服务器的特征信息以及所述UE的特征信息生成数据包的特征信息;
S605:控制面将生成的数据包的特征信息和所述应用标识传输至所述核心网设备的用户面;
S606:用户面建立生成的数据包的特征信息和所述应用标识之间的关联关系。
S607:用户面建立完成后,通知控制面更新完成。
S608:控制面通过NAS消息向UE回复比较结果。
具体示例四
基于前述具体示例完成关联关系建立之后,还可以在加密数据传输过程中为该关联关系建立生命周期,基于此,参见图6B所示的加密数据流的传输方法,可以应用于UE与OTT服务器之间即将或正在传输加密数据流的过程,该方法可以包括:
S61:UE通过NAS消息向核心网设备发送有效时间消息;
其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系进行加密数据流识别的有效时长。
可以理解地,上述有效时长表征了关联关系的生命周期,基于此,该方法还可以包括S62:在加密数据流传输过程中,核心网设备基于关联关系设置数据流过滤器;
在该步骤中,数据流过滤器可以认为是关联关系的具体体现,因此,关联关系的生命周期与数据流过滤器的生命周期相同,在一实现方式中,参见图6B中虚线框所示,
S63A:在有效时间消息所指示的有效时长结束后,释放数据流过滤器。
此外,关联关系的生命周期除了上述有效时长以外,还可以通过UE的指示进行确定,因此,在一实现方式中,参见图6B中点划线框所示,
S63B:加密数据流传输结束后,UE通过NAS消息向核心网设备释放指示消息;
S64B:核心网设备基于所述释放指示消息释放所述数据流过滤器。
可以理解地,当核心网设备基于UE发送的释放指示消息针对数据流过滤器进行释放时,可以无需考虑有效时长的限制;而且,在另一种具体实现过程中,即使有效时长结束,但是加密数据流传输还未终止的情况下,核心网设备同样不释放该数据流过滤器,直至加密数据流传输完毕才释放。
基于上述具体示例四,本发明实施例提供了一种应用于核心网设备的加密数据流的传输方法,所述方法包括:
在建立完成数据包的特征信息与应用标识之间的关联关系后,接收用户设备UE发送的有效时间消息;其中,所述有效时间信息用于指示所述关联关系进行加密数据流识别的有效时长;
在所述有效时长内,基于所述关联关系与所述UE进行加密数据流传输;
接收所述UE发送的释放指示消息;
基于所述释放指示消息释放所述关联关系。
在上述方案中,所述方法还包括:
在所述有效时长计时完毕后,释放所述关联关系;或者,
在所述有效时长计时完毕后,继续与所述UE进行加密数据流传输,直至所述加密数据流传输结束后释放所述关联关系。
此外,基于上述具体示例四,本发明实施例还提供了一种应用于UE的加密数据流的传输方法,所述方法应用于用户设备UE,所述方法包括:
向核心网设备发送有效时间消息;其中,有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系进行加密数据流识别的有效时长;
在所述有效时长内,基于关联关系与核心网设备进行加密数据流传输;
向核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
实施例四
基于前述实施例相同的发明构思,参见图7A,其示出了本发明实施例提供的一种核心网设备70的组成,可以包括:第一接收部分701、鉴权部分702和建立部分703;其中,
所述第一接收部分701,配置为接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;
所述鉴权部分702,配置为基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
所述建立部分703,配置为当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
在一种可能的实现方式中,所述第一接收部分701,配置为在应用层会话建立的TLS握手过程中,接收所述UE发送的首次TLS握手请求;其中,所述鉴权数据承载于所述首次TLS握手请求中的明文字段。
在一种可能的实现方式中,所述第一接收部分701,配置为:在完成TLS握手后,所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求;其中,所述鉴权数据承载于所述鉴权请求中的GTP-U扩展字段。
可以理解地,在上述两个实现方式中,第一接收部分701可以为核心网设备70的用户面,相应地,鉴权部分为核心网设备70的控制面,建立部分为核心网设备70的用户面。
在一种可能的实现方式中,所述第一接收部分701,配置为在完成TLS握手后,所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息;其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的特征信息;其中,所述第一鉴权参数包括:随机数和公共密钥Ka;所述NAS-SM消息的特征信息包括OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址。
在上述实现方式中,所述鉴权部分702,配置为根据所述第一鉴权参数中的随机数以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。
在上述实现方式中,所述建立部分703,配置为:
当所述第二鉴权结果与所述第一鉴权结果比对一致时,根据所述OTT服务器的特征信息以及所述UE的特征信息生成所述数据包的特征信息,并建立所述生成的数据包的特征信息和所述应用标识之间的关联关系。具体来说,OTT服务器的特征信息包括OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址;UE的特征信息包括:UE的IP地址、端口和MAC地址。
可以理解地,在上述实现方式中,第一接收部分701和鉴权部分702可以为核心网设备70的控制面,相应地,建立部分703为核心网设备70的用户面。
在一种可能的实现方式中,参见图7B,所述核心网设备70还包括第一发送部分704,配置为将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。需要说明的是,第一发送部分704为核心网设备70的控制面。
在上述方案中,所述第一接收部分701,还配置为接收所述UE发送的有效时间信息;其中,所述有效时间信息用于指示所述关联关系进行加密数据流识别的有效时长。
在上述方案中,参见图7C,所述核心网设备70还包括控制部分705,配置为当所述有效时长计时完毕后,若加密数据流传输未完成,释放所述关联关系。
在上述方案中,所述第一接收部分701,还配置为加密数据流传输完毕后,接收所述UE发送的释放指示消息;
所述控制部分705,还配置为基于释放指示消息释放所述关联关系。
可以理解地,在本实施例中,“部分”可以是部分电路、部分处理器、部分程序或软件等等,当然也可以是单元,还可以是模块或非模块化的。
另外,在本实施例中的各组成部分可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或processor(处理器)执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
因此,本实施例提供了一种计算机可读介质,该计算机可读介质存储有加密数据流的识别程序,所述加密数据流的识别程序被至少一个处理器执行时实现上述实施例一所述的方法的步骤。
基于上述核心网设备70以及计算机可读介质,参见图8,其示出了本发明实施例提供的核心网设备70的具体硬件结构,可以包括:第一网络接口801、第一存储器802和第一处理器803;各个组件通过总线系统804耦合在一起。可理解,总线系统804用于实现这些组件之间的连接通信。总线系统804除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图8中将各种总线都标为总线系统804。其中,第一网络接口801,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
第一存储器802,用于存储能够在第一处理器803上运行的计算机程序;
第一处理器803,用于在运行所述计算机程序时,执行:
接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;
基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
可以理解,本发明实施例中的第一存储器802可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本文描述的系统和方法的第一存储器802旨在包括但不限于这些和任意其它适合类型的存储器。
而第一处理器803可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过第一处理器803中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第一处理器803可以是通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于第一存储器802,第一处理器803读取第一存储器802中的信息,结合其硬件完成上述方法的步骤。
可以理解的是,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(ApplicationSpecific Integrated Circuits,ASIC)、数字信号处理器(Digital Signal Processing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(Programmable LogicDevice,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文所述功能的模块(例如过程、函数等)来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
具体来说,核心网设备70中的第一处理器803还配置为运行所述计算机程序时,执行前述实施例一中所述的方法步骤,这里不再进行赘述。
实施例五
基于前述实施例相同的发明构思,参见图9,其示出了本发明实施例提供的一种用户设备90的组成,可以包括:第二发送部分901,配置为发送承载有鉴权数据的数据包;其中,所述鉴权数据用于所述核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识。
在上述方案中,所述第二发送部分901,配置为:在应用层会话建立的TLS握手过程中,将鉴权数据承载于首次TLS握手请求中的明文字段;
将所述承载有所述鉴权数据的首次TLS握手请求通过核心网设备的用户面透传至所述核心网设备的控制面。
在上述方案中,所述第二发送部分901,配置为:在完成TLS握手后,将所述鉴权数据承载于扩展的PDCP字段的鉴权请求发送至基站,并通过基站将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段后,将所述鉴权请求继续发送至所述核心网设备用户面。
在上述方案中,所述第二发送部分901,配置为:在完成TLS握手后,向核心网设备的控制面发送非接入层会话管理NAS-SM消息;其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的特征信息;其中,所述第一鉴权参数包括:随机数和公共密钥Ka;所述NAS-SM消息的特征信息包括OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址。
在上述方案中,参见图10,所述UE 90还包括第二接收部分902,配置为接收核心网设备的控制面回复的鉴权结果。
在上述方案中,所述第二发送部分901,还配置为向所述核心网设备发送有效时间消息;其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系进行加密数据流识别的有效时长。
在上述方案中,所述第二发送部分901,还配置为向所述核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
此外,本实施例还提供了一种计算机可读介质,该计算机可读介质存储有加密数据流的识别程序,所述加密数据流的识别程序被至少一个处理器执行时实现上述实施例二所述的方法的步骤。针对计算机可读介质的具体阐述,参见实施例四中的说明,在此不再赘述。
基于上述UE 90的组成以及计算机可读介质,参见图11,其示出了本发明实施例提供的UE 90的具体硬件结构,可以包括:第二网络接口1101、第二存储器1102和第二处理器1103;各个组件通过总线系统1104耦合在一起。可理解,总线系统1104用于实现这些组件之间的连接通信。总线系统1104除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为总线系统1104。其中,
其中,所述第二网络接口1101,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
第二存储器1102,用于存储能在第二处理器1103上运行的计算机程序;
第二处理器1103,用于在运行所述计算机程序时,执行:
发送承载有鉴权数据的数据包;其中,鉴权数据用于核心网设备进行鉴权,且鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识。
可以理解地,本实施例中UE 90的具体硬件结构中的组成部分,与实施例四中的相应部分类似,在此不做赘述。
具体来说,UE 90中的第二处理器1103,还配置为运行所述计算机程序时,执行前述实施例二中所述的方法步骤,这里不再进行赘述。
实施例六
基于前述实施例相同的发明构思,参见图12,其示出了本发明实施例提供的另一种核心网设备120,包括:消息接收部分1201、第一传输部分1202和控制部分1203;其中,所述消息接收部分1201,配置为在建立完成数据包的特征信息与应用标识之间的关联关系后,接收用户设备UE发送的有效时间消息;其中,所述有效时间信息用于指示所述关联关系进行加密数据流识别的有效时长;
所述第一传输部分1202,配置为在所述有效时长内,基于所述关联关系与所述UE进行加密数据流传输;
所述消息接收部分1201,还配置为在所述加密数据流传输结束后,接收所述UE发送的释放指示消息;
所述控制部分1203,配置为基于释放指示消息释放所述关联关系。
在上述方案中,所述控制部分1203,还配置为在所述有效时长计时完毕后,释放所述关联关系;或者,
在所述有效时长计时完毕后,继续与所述UE进行加密数据流传输,直至所述加密数据流传输结束后所述第一接收部分接收所述释放指示消息,并基于所述释放指示消息释放所述关联关系。
此外,本实施例还提供了一种计算机可读介质,该计算机可读介质存储有加密数据流的传输程序,所述加密数据流的传输程序被至少一个处理器执行时实现上述实施例三中具体示例四所述的方法的步骤。针对计算机可读介质的具体阐述,参见实施例四中的说明,在此不再赘述。
基于上述核心网设备120的组成以及计算机可读介质,参见图13,其示出了本发明实施例提供的核心网设备120的具体硬件结构,可以包括:第三网络接口1301、第三存储器1302和第三处理器1303;各个组件通过总线系统1304耦合在一起。可理解,总线系统1304用于实现这些组件之间的连接通信。总线系统1304除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图13中将各种总线都标为总线系统1304。其中,
其中,所述第三网络接口1301,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
第三存储器1302,用于存储能在第三处理器1303上运行的计算机程序;
第三处理器1303,用于在运行所述计算机程序时,执行:
在建立完成数据包的特征信息与应用标识之间的关联关系后,接收用户设备UE发送的有效时间消息;其中,所述有效时间信息用于指示所述关联关系进行加密数据流识别的有效时长;
在所述有效时长内,基于关联关系与所述UE进行加密数据流传输;
在所述加密数据流传输结束后,接收所述UE发送的释放指示消息;
基于所述释放指示消息释放所述关联关系。
可以理解地,本实施例中核心网设备120的具体硬件结构中的组成部分,与实施例四中的相应部分类似,在此不做赘述。
具体来说,核心网设备120中的第三处理器1303,还配置为运行所述计算机程序时,执行前述实施例三中具体示例四所述的方法步骤,这里不再进行赘述。
实施例七
基于前述实施例相同的发明构思,参见图14,其示出了本发明实施例提供的另一种UE140的组成,包括:消息发送部分1401和第二传输部分1402,其中,所述消息发送部分1401,配置为向核心网设备发送有效时间消息;其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系进行加密数据流识别的有效时长;
所述第二传输部分1402,配置为在所述有效时长内,基于所述关联关系与所述核心网设备进行加密数据流传输;
所述消息发送部分1401,还配置为向所述核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
此外,本实施例还提供了一种计算机可读介质,该计算机可读介质存储有加密数据流的传输程序,所述加密数据流的传输程序被至少一个处理器执行时实现上述实施例三中具体示例四所述的方法的步骤。针对计算机可读介质的具体阐述,参见实施例四中的说明,在此不再赘述。
基于上述UE140的组成以及计算机可读介质,参见图15,其示出了本发明实施例提供的UE 140的具体硬件结构,可以包括:第四网络接口1501、第四存储器1502和第四处理器1503;各个组件通过总线系统1504耦合在一起。可理解,总线系统1504用于实现这些组件之间的连接通信。总线系统1504除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图15中将各种总线都标为总线系统1504。其中,
其中,所述第四网络接口1501,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
第四存储器1502,用于存储能在第四处理器1503上运行的计算机程序;
第四处理器1503,用于在运行所述计算机程序时,执行:
向核心网设备发送有效时间消息;其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系进行加密数据流识别的有效时长;
在所述有效时长内,基于所述关联关系与所述核心网设备进行加密数据流传输;
向所述核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
可以理解地,本实施例中UE 140的具体硬件结构中的组成部分,与实施例四中的相应部分类似,在此不做赘述。
实施例八
基于前述实施例相同的发明构思,参见图16A,其示出了本发明实施例提供的一种加密数据流的识别方法,该方法可以应用于核心网设备,需要说明的是,该核心网设备可以包括控制面,如会话管理功能SMF,以及用户面,如用户面功能UPF;所述方法包括:
S1601A:接收用户设备UE发送的业务描述信息;
其中,所述业务描述信息包括应用标识和/或数据流描述信息;所述数据流描述信息包括以下至少一种:IP源地址、IP源端口号、IP目的地址、IP目的端口号、MAC源地址、MAC源端口号、MAC目的地址、MAC目的端口号、协议类型和VLAN标签;
可以理解地,由于数据流描述信息不仅可以包括层3特征,还可以包括层2特征与应用标识之间的关联关系,由此可知,当UE通过非IP数据包传输时,仍然可以通过UE应用程序的加密数据流进行识别。
S1602A:根据建立的数据包的特征信息与应用标识之间的关联关系对所述UE传输的加密数据流进行识别。
对于图16A所示的技术方案,在一种可能的实现方式中,所述接收用户设备UE发送的业务描述信息,包括:
所述核心网设备的控制面接收所述UE发送的包含有所述业务描述信息的控制面非接入层NAS消息。
对于图16A所示的技术方案,在一种可能的实现方式中,所述接收用户设备UE发送的业务描述信息,包括:所述核心网设备的用户面接收包含有所述业务描述信息的用户面数据包。
在上述实现方式中,所述用户面数据包的PDCP包头和/或GTP-U包头中包括所述业务描述信息;或者,所述用户面数据包的IPV4或IPV6包头中包括所述业务描述信息;或者,所述用户面数据包的用于隧道封装的包头中包括所述业务描述信息。
对于图16A所示的技术方案,基于上述两种实现方式,在根据建立的数据包的特征信息与应用标识之间的关联关系对所述UE传输的加密数据流进行识别之前,所述方法还包括:确定业务描述信息为可信。
具体来说,所述确定所述业务描述信息为可信,包括:
接收所述UE发送的鉴权信息;其中,所述鉴权信息包括鉴权参数与第一鉴权结果;根据所述鉴权参数获取第二鉴权结果;当所述第一鉴权结果与所述第二鉴权结果相同时,确定所述业务描述信息为可信。
需要说明的是,所述鉴权信息中的鉴权参数可以包括前述实施例所述的随机数和公共密钥Ka;或者,可以包括随机数、公共密钥Ka以及应用标识Application ID。上述鉴权参数可以结合预设的鉴权算法生成鉴权结果Token,以HASH算法为例,可以得到鉴权结果Token=HASH(Ka,随机数)或者,鉴权结果Token=HASH(Ka,随机数,应用标识)。
在上述鉴权参数中,Ka为可选的鉴权参数,Ka也可以由核心网设备通过应用标识在核心网数据库中查找,所述核心网数据库中的应用标识与Ka的对应关系可以由第三方服务器预先配置到该数据库中。
当核心网设备计算得到的第二鉴权结果Token2与第一鉴权结果Token1相同时,则可以说明UE发送的业务描述信息可信。
详细来说,若根据上述鉴权过程确定所述UE发送的承载由业务描述信息的NAS消息可信,那么该可信状态可以适用于所述UE后续发送的NAS消息。举例来说,当鉴权参数中不包括应用标识Application ID,且鉴权通过时,核心网设备可以认为所述UE后续发送的所有NAS消息中包含的业务描述消息均为可信状态;当鉴权参数中包括应用标识Application ID,鉴权通过时,核心网设备可以认为所述UE后续发送的NAS消息中包含的与该应用标识Application ID对应的业务描述信息为可信状态。
还需要说明的是,在具体实现过程中,UE可以将鉴权信息与业务描述信息承载于相同的NAS消息或用户面数据包中向核心网设备发送,从而核心网设备能够在接收到所述业务描述信息的同时,也能够接收到鉴权信息。
可以理解地,除了本实施例所述的鉴权方式以外,还可以通过其他鉴权方式来确定UE发送的业务描述信息可信,本实施例对此不做赘述。
对于图16A所示的技术方案,在一种可能的实现方式中,根据建立的数据包的特征信息与应用标识之间的关联关系对所述UE传输的加密数据流进行识别,包括:核心网设备的控制面根据所述业务描述信息与所述核心网设备的用户面交互建立用于检测所述UE的加密数据流的过滤器filter。
需要说明的是,结合前述实施例所述,通过上述鉴权方式确定业务描述信息为可信后,核心网设备的控制面可以将鉴权结果发送至核心网设备的用户面,从而用户面可以建立应用标识与数据包特征信息之间的关联关系,并且基于该关联关系建立用于检测所述UE的加密数据流的过滤器filter。
在过滤器建立完成后,核心网设备就可以不再针对所述UE发送的数据进行鉴权,而直接利用该过滤器进行加密数据流的识别。参考前述实施例,不针对UE发送的数据进行鉴权可以有对应的生命周期,具体可以参照前述实施例中所述的有效时间消息,本实施例对此不做赘述。
相应于图16A所述的技术方案,参见图16B,其示出了本发明实施例提供的一种应用于UE的加密数据流识别方法,可以包括:
S1601B:向核心网设备发送业务描述信息;
其中,所述业务描述信息包括应用标识和/或数据流描述信息;所述数据流描述信息包括以下至少一种:IP源地址、IP源端口号、IP目的地址、IP目的端口号、MAC源地址、MAC源端口号、MAC目的地址、MAC目的端口号、协议类型和VLAN标签。
针对图16B所示的技术方案,在一种可能的实现方式中,所述向核心网设备发送业务描述信息,包括:
将业务描述信息承载于控制面非接入层NAS消息向核心网设备发送。
针对图16B所示的技术方案,在一种可能的实现方式中,所述向核心网设备发送业务描述信息,包括:
将所述业务描述信息承载于用户面数据包;
将承载有所述业务描述信息的用户面数据包向所述核心网设备发送。
在上述实现方式中,将所述业务描述信息承载于用户面数据包,包括:
在所述用户面数据包的PDCP包头和/或GTP-U包头中增加所述业务描述信息;或者,在所述用户面数据包的IPV4或IPV6包头中增加所述业务描述信息;或者,在所述用户面数据包的用于隧道封装的包头中增加所述业务描述信息。
针对图16B所示的技术方案,在一种可能的实现方式中,所述方法还包括:向所述核心网设备发送鉴权信息;其中,所述鉴权信息包括鉴权参数与第一鉴权结果。
可以理解地,UE可以将鉴权信息与业务描述信息承载于相同的NAS消息或用户面数据包中向核心网设备发送,从而核心网设备能够在接收到所述业务描述信息的同时,也能够接收到鉴权信息。
具体鉴权信息可以参照图16A所示技术方案中的说明,在此不再赘述。核心网设备在接收到鉴权信息后可以按照图16A所示技术方案中的说明进行鉴权,并且鉴权成功给后确定UE发送的业务描述信息可信。
基于图16A所示的技术方案,参见图17A,其示出了本发明实施例提供的又一种核心网设备170的组成,包括信息接收部分1701A和识别部分1702A;其中,
所述信息接收部分1701A,配置为接收用户设备UE发送的业务描述信息;其中,所述业务描述信息包括应用标识和/或数据流描述信息;所述数据流描述信息包括以下至少一种:IP源地址、IP源端口号、IP目的地址、IP目的端口号、MAC源地址、MAC源端口号、MAC目的地址、MAC目的端口号、协议类型和VLAN标签;
所述识别部分1702A,配置为根据建立的数据包的特征信息与应用标识之间的关联关系对所述UE传输的加密数据流进行识别。
在上述方案中,所述信息接收部分1701A,配置为:
所述核心网设备的控制面接收所述UE发送的包含有所述业务描述信息的控制面非接入层NAS消息。
在上述方案中,所述信息接收部分1701A,配置为:
所述核心网设备的用户面接收包含有业务描述信息的用户面数据包。
在上述方案中,所述用户面数据包的PDCP包头和/或GTP-U包头中包括所述业务描述信息;或者,所述用户面数据包的IPV4或IPV6包头中包括业务描述信息;或者,所述用户面数据包的用于隧道封装的包头中包括所述业务描述信息。
在上述方案中,参见图17A,所述核心网设备170还可以包括确定部分1703A,配置为:确定所述业务描述信息是否可信,并在确定所述业务描述信息为可信后触发所述识别部分1702A。
具体来说,所述确定部分1703A,配置为:
接收所述UE发送的鉴权信息;其中,所述鉴权信息包括鉴权参数与第一鉴权结果;
根据所述鉴权参数获取第二鉴权结果;
当第一鉴权结果与第二鉴权结果相同时,确定业务描述信息为可信。
在上述方案中,所述识别部分1702A,配置为:
在确定所述业务描述信息为可信后,所述核心网设备的控制面根据所述业务描述信息与所述核心网设备的用户面交互建立用于检测所述UE的加密数据流的过滤器filter。
此外,本实施例还提供了一种计算机可读介质,该计算机可读介质存储有加密数据流的识别程序,所述加密数据流的识别程序被至少一个处理器执行时实现上述图16A所述的方法的步骤。针对计算机可读介质的具体阐述,参见实施例四中的说明,在此不再赘述。
基于上述核心网设备170以及计算机可读介质,参见图17B,其示出了本发明实施例提供的核心网设备170的具体硬件结构,可以包括:第五网络接口1701B、第五存储器1702B和第五处理器1703B;各个组件通过总线系统1704B耦合在一起。可理解,总线系统1704B用于实现这些组件之间的连接通信。总线系统1704B除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图17B中将各种总线都标为总线系统1704B。其中,
其中,所述第五网络接口1701B,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
第五存储器1702B,用于存储能够在第五处理器1703B上运行的计算机程序;
第五处理器1703B,用于在运行所述计算机程序时,执行上述图16A所述的方法的步骤。
基于图16B所示的技术方案,参见图18A,其示出了本发明实施例提供的一种UE180的组成,包括:信息发送部分1801A,配置为向核心网设备发送业务描述信息;其中,所述业务描述信息包括应用标识和/或数据流描述信息;所述数据流描述信息包括以下至少一种:IP源地址、IP源端口号、IP目的地址、IP目的端口号、MAC源地址、MAC源端口号、MAC目的地址、MAC目的端口号、协议类型和VLAN标签。
在上述方案中,所述信息发送部分1801A,配置为:将所述业务描述信息承载于控制面非接入层NAS消息向所述核心网设备发送。
在上述方案中,所述信息发送部分1801A,配置为:将所述业务描述信息承载于用户面数据包;将承载有所述业务描述信息的用户面数据包向所述核心网设备发送。
在上述方案中,所述信息发送部分1801A,配置为:在所述用户面数据包的PDCP包头和/或GTP-U包头中增加所述业务描述信息;或者,在所述用户面数据包的IPV4或IPV6包头中增加所述业务描述信息;或者,在所述用户面数据包的用于隧道封装的包头中增加所述业务描述信息。
在上述方案中,所述信息发送部分1801A,还配置为:向所述核心网设备发送鉴权信息;其中,所述鉴权信息包括鉴权参数与第一鉴权结果。
此外,本实施例还提供了一种计算机可读介质,该计算机可读介质存储有加密数据流的识别程序,所述加密数据流的识别程序被至少一个处理器执行时实现上述图16B所述的方法的步骤。针对计算机可读介质的具体阐述,参见实施例四中的说明,在此不再赘述。
基于上述UE180以及计算机可读介质,参见图18B,其示出了本发明实施例提供的UE180的具体硬件结构,可以包括:第六网络接口1801B、第六存储器1802B和第六处理器1803B;各个组件通过总线系统1804B耦合在一起。可理解,总线系统1804B用于实现这些组件之间的连接通信。总线系统1804B除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图18B中将各种总线都标为总线系统1804B。其中,
所述第六网络接口1801B,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
第六存储器1802B,用于存储能在第六处理器1803B上运行的计算机程序;
第六处理器1803B,用于在运行所述计算机程序时,执行上述图16B所述的方法的步骤。
实施例九
基于前述实施例相同的发明构思,参见图19、其示出了本发明实施例提供的一种加密流量的识别系统190组成,包括核心网设备1901以及用户设备1902,其中,
所述核心网设备1901,优选为前述任一实施例中所述的核心网设备;而用户设备1902则可以优选为前述任一实施例中所述的用户设备。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
工业实用性
本实施例中,核心网设备在UE与OTT服务器进行TLS握手过程中或握手完成后与UE进行鉴权,从而建立用于对加密数据流进行识别的关联关系,以实现对加密数据流的检测和统计,无需依赖明文标识,更无需进行复杂的IP地址配置和维护,提高了安全性并减少了配置和维护所需的计算资源。

Claims (50)

1.一种加密数据流的识别方法,所述方法应用于核心网设备,所述方法包括:
接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;
基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别;所述数据包的特征信息可以包括以下至少一项或多项:网络协议IP源地址、IP源端口号、IP目的地址、IP目的端口号、媒体接入控制MAC源地址、MAC目的地址、MAC目的端口号、协议类型以及虚拟局域网VLAN标签。
2.根据权利要求1所述的方法,其中,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:
在应用层会话建立的安全传输层协议TLS握手过程中,所述核心网设备的用户面接收所述UE发送的首次TLS握手请求;其中,所述鉴权数据承载于所述首次TLS握手请求中的明文字段。
3.根据权利要求2所述的方法,其中,在接收用户设备UE发送的承载有鉴权数据的数据包后,所述方法还包括:
所述核心网设备的用户面从所述首次TLS握手请求中的明文字段检测到所述鉴权数据后,将所述鉴权数据传输至所述核心网设备的控制面。
4.根据权利要求1所述的方法,其中,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:
在完成TLS握手后,所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求;其中,所述鉴权数据承载于所述鉴权请求中的通用无线分组业务隧道协议用户面GTP-U扩展字段。
5.根据权利要求4所述的方法,其中,在接收用户设备UE发送的承载有鉴权数据的数据包后,所述方法还包括:所述核心网设备的用户面从鉴权请求中的GTP-U扩展字段检测到所述鉴权数据后,将所述鉴权数据传输至所述核心网设备的控制面。
6.根据权利要求2至4任一项所述的方法,其中,所述第一鉴权参数包括随机数;所述第二鉴权参数包括公共密钥Ka。
7.根据权利要求2至4任一项所述的方法,其中,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果,包括:
所述核心网设备的控制面基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果。
8.根据权利要求2至4任一项所述的方法,其中,当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系,包括:
当所述第二鉴权结果与所述第一鉴权结果比对一致时,所述核心网设备的控制面将比对结果传输至所述核心网设备的用户面;
所述核心网设备的用户面建立所述数据包的特征信息与所述应用标识之间的关联关系。
9.根据权利要求1所述的方法,其中,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:
在完成TLS握手后,所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息;其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的特征信息;其中,所述第一鉴权参数包括:随机数和公共密钥Ka;所述NAS-SM消息的特征信息包括越顶OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址。
10.根据权利要求9所述的方法,其中,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果,包括:
所述核心网设备的控制面根据所述第一鉴权参数中的随机数以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。
11.根据权利要求9或10所述的方法,其中,当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系,包括:
当所述第二鉴权结果与所述第一鉴权结果比对一致时,所述核心网设备的控制面根据所述OTT服务器的特征信息以及所述UE的特征信息生成所述数据包的特征信息,并将生成的数据包的特征信息和所述应用标识传输至所述核心网设备的用户面;其中,所述UE的特征信息包括:UE的IP地址、端口号和MAC地址;
所述核心网设备的用户面建立所述数据包的特征信息和所述应用标识之间的关联关系。
12.根据权利要求1所述的方法,其中,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果后,所述方法还包括:
所述核心网设备的控制面通过所述核心网设备的用户面将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。
13.根据权利要求1-5、9-10、12任一项所述的方法,其中,所述方法还包括:
接收所述UE发送的有效时间信息;其中,所述有效时间信息用于指示所述关联关系进行加密数据流识别的有效时长。
14.根据权利要求13所述的方法,其中,所述方法还包括:
当所述有效时长计时完毕后,若加密数据流传输未完成,释放所述关联关系。
15.根据权利要求14所述的方法,其中,所述方法还包括:
在所述有效时长内或所述有效时长结束,接收所述UE发送的释放指示消息;
基于所述释放指示消息释放所述关联关系。
16.一种加密数据流的传输方法,所述方法应用于核心网设备,所述方法包括:
在建立完成数据包的特征信息与应用标识之间的关联关系后,接收用户设备UE发送的有效时间消息;其中,所述有效时间信息用于指示所述关联关系对所述应用标识对应的加密数据流进行识别的有效时长;
在所述有效时长内,基于所述关联关系与所述UE进行加密数据流传输;
接收所述UE发送的释放指示消息;
基于所述释放指示消息释放所述关联关系。
17.根据权利要求16所述的方法,其中,所述方法还包括:
在所述有效时长计时完毕后,释放所述关联关系;或者,
在所述有效时长计时完毕后,继续与所述UE进行加密数据流传输,直至所述加密数据流传输结束后释放所述关联关系。
18.一种加密数据流的识别方法,所述方法应用于用户设备UE,所述方法包括:
发送承载有鉴权数据的数据包;其中,所述鉴权数据用于核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识,以使得所述核心网设备基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果,其中所述第二鉴权参数为预存的所述应用标识对应的鉴权参数,并使得所述核心网设备在所述第二鉴权结果与所述第一鉴权结果比对一致时建立所述数据包的特征信息与所述应用标识之间的关联关系,其中所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别,所述数据包的特征信息可以包括以下至少一项或多项:网络协议IP源地址、IP源端口号、IP目的地址、IP目的端口号、媒体接入控制MAC源地址、MAC目的地址、MAC目的端口号、协议类型以及虚拟局域网VLAN标签。
19.根据权利要求18所述的方法,其中,所述发送承载有鉴权数据的数据包,包括:
在应用层会话建立的安全传输层协议TLS握手过程中,将所述鉴权数据承载于首次TLS握手请求中的明文字段;
将所述承载有所述鉴权数据的首次TLS握手请求通过核心网设备的用户面透传至所述核心网设备的控制面。
20.根据权利要求18所述的方法,其中,所述发送承载有鉴权数据的数据包,包括:
在完成TLS握手后,将所述鉴权数据承载于扩展的分组数据汇聚协议PDCP字段的鉴权请求发送至基站,并通过基站将PDCP扩展字段中的鉴权数据转换成通用无线分组业务隧道协议用户面GTP-U扩展字段后,将所述鉴权请求继续发送至所述核心网设备的用户面。
21.根据权利要求18所述的方法,其中,所述发送承载有鉴权数据的数据包,包括:
在完成TLS握手后,向核心网设备的控制面发送非接入层会话管理NAS-SM消息;其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的特征信息;其中,所述第一鉴权参数包括:随机数和公共密钥Ka;所述NAS-SM消息的特征信息包括越顶OTT服务器的网络协议IP地址、端口号、协议类型和OTT服务器的媒体接入控制MAC地址。
22.根据权利要求18所述的方法,其中,所述方法还包括:
接收核心网设备的控制面回复的鉴权结果。
23.根据权利要求18至22任一项所述的方法,其中,所述方法还包括:
向所述核心网设备发送有效时间消息;其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系进行加密数据流识别的有效时长。
24.根据权利要求23所述的方法,其中,所述方法还包括:
向所述核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
25.一种加密数据流的传输方法,所述方法应用于用户设备UE,所述方法包括:
向核心网设备发送有效时间消息;其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系对所述应用标识对应的加密数据流进行识别的有效时长;
在所述有效时长内,基于所述关联关系与所述核心网设备进行加密数据流传输;
向所述核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
26.一种核心网设备,包括:第一接收部分、鉴权部分和建立部分;其中,
所述第一接收部分,配置为接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;
所述鉴权部分,配置为基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
所述建立部分,配置为当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别;所述数据包的特征信息可以包括以下至少一项或多项:网络协议IP源地址、IP源端口号、IP目的地址、IP目的端口号、媒体接入控制MAC源地址、MAC目的地址、MAC目的端口号、协议类型以及虚拟局域网VLAN标签。
27.根据权利要求26所述的核心网设备,其中,所述第一接收部分,配置为在应用层会话建立的安全传输层协议TLS握手过程中,接收所述UE发送的首次TLS握手请求;其中,所述鉴权数据承载于所述首次TLS握手请求中的明文字段。
28.根据权利要求26所述的核心网设备,其中,所述第一接收部分,配置为:在完成TLS握手后,所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求;其中,所述鉴权数据承载于所述鉴权请求中的通用无线分组业务隧道协议用户面GTP-U扩展字段。
29.根据权利要求26所述的核心网设备,其中,所述第一接收部分,配置为在完成TLS握手后,所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息;其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的特征信息;其中,所述第一鉴权参数包括:随机数和公共密钥Ka;所述NAS-SM消息的特征信息包括越顶OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址。
30.根据权利要求29所述的核心网设备,其中,所述鉴权部分,配置为根据所述第一鉴权参数中的随机数以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。
31.根据权利要求29或30所述的核心网设备,其中,所述建立部分,配置为:
当所述第二鉴权结果与所述第一鉴权结果比对一致时,根据所述OTT服务器的特征信息以及所述UE的特征信息生成所述数据包的特征信息,并建立所述生成的数据包的特征信息和所述应用标识之间的关联关系;其中,UE的特征信息包括:UE的IP地址、端口号和MAC地址。
32.根据权利要求26所述的核心网设备,其中,所述核心网设备还包括第一发送部分,配置为将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。
33.根据权利要求26至30、32任一项所述的核心网设备,其中,所述第一接收部分,还配置为接收所述UE发送的有效时间信息;其中,所述有效时间信息用于指示所述关联关系进行加密数据流识别的有效时长。
34.根据权利要求33所述的核心网设备,其中,所述核心网设备还包括控制部分,配置为当所述有效时长计时完毕后,若加密数据流传输未完成,释放所述关联关系。
35.根据权利要求34所述的核心网设备,其中,所述第一接收部分,还配置为加密数据流传输完毕后,接收所述UE发送的释放指示消息;
所述控制部分,还配置为基于所述释放指示消息释放所述关联关系。
36.一种核心网设备,包括:消息接收部分、第一传输部分和控制部分;其中,所述消息接收部分,配置为在建立完成数据包的特征信息与应用标识之间的关联关系后,接收用户设备UE发送的有效时间消息;其中,所述有效时间信息用于指示所述关联关系对所述应用标识对应的加密数据流进行识别的有效时长;
所述第一传输部分,配置为在所述有效时长内,基于所述关联关系与所述UE进行加密数据流传输;
所述消息接收部分,还配置为接收所述UE发送的释放指示消息;
所述控制部分,配置为基于所述释放指示消息释放所述关联关系。
37.根据权利要求36所述的核心网设备,其中,所述控制部分,还配置为在所述有效时长计时完毕后,释放所述关联关系;或者,
在所述有效时长计时完毕后,继续与所述UE进行加密数据流传输,直至所述加密数据流传输结束后释放所述关联关系。
38.一种用户设备UE,其中,所述UE包括:第二发送部分,配置为发送承载有鉴权数据的数据包;其中,所述鉴权数据用于核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识,以使得所述核心网设备基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果,其中所述第二鉴权参数为预存的所述应用标识对应的鉴权参数,并使得所述核心网设备在所述第二鉴权结果与所述第一鉴权结果比对一致时建立所述数据包的特征信息与所述应用标识之间的关联关系,其中所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别,所述数据包的特征信息可以包括以下至少一项或多项:网络协议IP源地址、IP源端口号、IP目的地址、IP目的端口号、媒体接入控制MAC源地址、MAC目的地址、MAC目的端口号、协议类型以及虚拟局域网VLAN标签。
39.根据权利要求38所述的UE,其中,所述第二发送部分,配置为:在应用层会话建立的安全传输层协议TLS握手过程中,将所述鉴权数据承载于首次TLS握手请求中的明文字段;
将所述承载有所述鉴权数据的首次TLS握手请求通过核心网设备的用户面透传至所述核心网设备的控制面。
40.根据权利要求38所述的UE,其中,所述第二发送部分,配置为:在完成TLS握手后,将所述鉴权数据承载于扩展的分组数据汇聚协议PDCP字段的鉴权请求发送至基站,并通过基站将PDCP扩展字段中的鉴权数据转换成通用无线分组业务隧道协议用户面GTP-U扩展字段后,将所述鉴权请求继续发送至所述核心网设备的用户面。
41.根据权利要求38所述的UE,其中,所述第二发送部分,配置为:在完成TLS握手后,向核心网设备的控制面发送非接入层会话管理NAS-SM消息;其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的特征消息;其中,所述第一鉴权参数包括:随机数和公共密钥Ka;所述NAS-SM消息的特征信息包括越顶OTT服务器的IP地址、端口号、协议类型和OTT服务器的媒体接入控制MAC地址。
42.根据权利要求38所述的UE,其中,所述UE还包括第二接收部分,配置为接收核心网设备的控制面回复的鉴权结果。
43.根据权利要求38至42任一项所述的UE,其中,所述第二发送部分,还配置为向所述核心网设备发送有效时间消息;其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系进行加密数据流识别的有效时长。
44.根据权利要求43所述的UE,其中,所述第二发送部分,还配置为向所述核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
45.一种UE,所述UE包括:消息发送部分和第二传输部分,其中,所述消息发送部分,配置为向核心网设备发送有效时间消息;其中,所述有效时间信息用于指示数据包的特征信息与应用标识之间的关联关系对所述应用标识对应的加密数据流进行识别的有效时长;
所述第二传输部分,配置为在所述有效时长内,基于所述关联关系与所述核心网设备进行加密数据流传输;
所述消息发送部分,还配置为向所述核心网设备发送释放指示消息;其中,所述释放指示消息用于释放所述关联关系。
46.一种核心网设备,其中,第一网络接口,第一存储器和第一处理器;其中,
所述第一网络接口,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
所述第一存储器,用于存储能够在所述第一处理器上运行的计算机程序;
所述第一处理器,用于在运行所述计算机程序时,执行权利要求1至15任一项或者权利要求16至17任一项所述方法的步骤。
47.一种用户设备UE,其中,所述UE包括:第二网络接口、第二存储器和第二处理器;
其中,所述第二网络接口,用于在与其他外部网元之间进行收发信息过程中,信号的接收和发送;
所述第二存储器,用于存储能够在第二处理器上运行的计算机程序;
所述第二处理器,用于在运行所述计算机程序时,执行权利要求18至24任一项或者权利要求25所述方法的步骤。
48.一种计算机可读介质,所述计算机可读介质存储有加密数据流的识别程序,所述加密数据流的识别程序被至少一个处理器执行时实现权利要求1至15任一项或者权利要求18至24任一项所述的方法的步骤。
49.一种计算机可读介质,所述计算机可读介质存储有加密数据流的传输程序,所述加密数据流的传输程序被至少一个处理器执行时实现权利要求16至17任一项或者权利要求25所述的方法的步骤。
50.一种加密流量的识别系统,包括核心网设备以及用户设备,其中,
所述用户设备,配置为发送承载有鉴权数据的数据包;其中,所述鉴权数据用于所述核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识;
所述核心网设备,配置为接收用户设备UE发送的承载有鉴权数据的数据包;
基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的特征信息与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
CN201880038900.1A 2017-10-16 2018-05-03 一种加密数据流的识别方法、设备、存储介质及系统 Active CN110771116B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
PCT/CN2017/106349 WO2019075608A1 (zh) 2017-10-16 2017-10-16 一种加密数据流的识别方法、设备、存储介质及系统
CNPCT/CN2017/106349 2017-10-16
PCT/CN2018/081774 WO2019076000A1 (zh) 2017-10-16 2018-04-03 一种加密数据流的识别方法、设备、存储介质及系统
CNPCT/CN2018/081774 2018-04-03
PCT/CN2018/085510 WO2019076025A1 (zh) 2017-10-16 2018-05-03 一种加密数据流的识别方法、设备、存储介质及系统

Publications (2)

Publication Number Publication Date
CN110771116A CN110771116A (zh) 2020-02-07
CN110771116B true CN110771116B (zh) 2021-02-26

Family

ID=66173068

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201780091924.9A Active CN110741613B (zh) 2017-10-16 2017-10-16 一种加密数据流的识别方法、设备、存储介质及系统
CN201880038900.1A Active CN110771116B (zh) 2017-10-16 2018-05-03 一种加密数据流的识别方法、设备、存储介质及系统

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201780091924.9A Active CN110741613B (zh) 2017-10-16 2017-10-16 一种加密数据流的识别方法、设备、存储介质及系统

Country Status (4)

Country Link
US (1) US11418951B2 (zh)
EP (1) EP3668043A4 (zh)
CN (2) CN110741613B (zh)
WO (2) WO2019075608A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111971986B (zh) * 2018-04-05 2024-03-26 瑞典爱立信有限公司 配置无线电资源
CN113193932B (zh) * 2019-09-27 2022-08-23 腾讯科技(深圳)有限公司 网络节点执行的方法以及相应的网络节点
CN112671661A (zh) * 2020-12-24 2021-04-16 广州市网优优信息技术开发有限公司 物联网数据传输方法及系统
CN113674455B (zh) * 2021-08-13 2023-08-04 京东科技信息技术有限公司 智能门锁远程控制方法、装置、系统、设备及存储介质
WO2023094373A1 (en) * 2021-11-26 2023-06-01 Abb Schweiz Ag Method for device commissioning in a network system and network system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714952A (zh) * 2009-12-22 2010-05-26 北京邮电大学 一种接入网的流量识别方法和装置
CN102137022A (zh) * 2011-04-01 2011-07-27 华为技术有限公司 提供用于识别数据包的信息的方法、爬虫引擎及网络系统
US20160262021A1 (en) * 2015-03-06 2016-09-08 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6948060B1 (en) * 2000-08-11 2005-09-20 Intel Corporation Method and apparatus for monitoring encrypted communication in a network
US8239669B2 (en) * 2004-03-17 2012-08-07 Telecommunication Systems, Inc. Reach-back communications terminal with selectable networking options
US7778194B1 (en) 2004-08-13 2010-08-17 Packeteer, Inc. Examination of connection handshake to enhance classification of encrypted network traffic
US7562211B2 (en) * 2005-10-27 2009-07-14 Microsoft Corporation Inspecting encrypted communications with end-to-end integrity
US8875236B2 (en) * 2007-06-11 2014-10-28 Nokia Corporation Security in communication networks
CN101668016B (zh) * 2009-09-30 2012-10-03 华为技术有限公司 鉴权方法及装置
US9049684B2 (en) * 2010-05-13 2015-06-02 Nec Corporation Gateway device, base station, mobile management server, and communication method
CN102111263A (zh) * 2011-02-21 2011-06-29 山东中孚信息产业股份有限公司 一种数据流加密的方法
CN103428643A (zh) * 2012-05-17 2013-12-04 大唐移动通信设备有限公司 一种动态重组方法及装置
EP2675203B1 (en) * 2012-06-11 2019-11-27 BlackBerry Limited Enabling multiple authentication applications
CN103596166B (zh) * 2012-08-13 2016-08-03 电信科学技术研究院 一种标识映射方法与设备及策略控制方法与系统
EP3005640B1 (en) * 2013-05-29 2018-07-11 Telefonaktiebolaget LM Ericsson (publ) Gateway, client device and methods for facilitating communcation between a client device and an application server
CN103414709A (zh) * 2013-08-02 2013-11-27 杭州华三通信技术有限公司 用户身份绑定、协助绑定的方法及装置
GB2586549B (en) * 2013-09-13 2021-05-26 Vodafone Ip Licensing Ltd Communicating with a machine to machine device
EP2890073A1 (en) * 2013-12-31 2015-07-01 Gemalto SA System and method for securing machine-to-machine communications
CN105099930B (zh) * 2014-05-21 2019-07-09 新华三技术有限公司 加密数据流流量控制方法及装置
CN104038389A (zh) * 2014-06-19 2014-09-10 高长喜 多重应用协议识别方法和装置
CN105592449B (zh) * 2014-10-20 2018-10-09 中国电信股份有限公司 业务识别方法和系统
KR101663401B1 (ko) * 2015-01-05 2016-10-06 주식회사 퓨쳐시스템 Ssl로 암호화된 패킷을 커널에서 분석하는 장치 및 방법
US10498652B2 (en) * 2015-04-13 2019-12-03 Nicira, Inc. Method and system of application-aware routing with crowdsourcing
CN107317674B (zh) * 2016-04-27 2021-08-31 华为技术有限公司 密钥分发、认证方法,装置及系统
CN105915396A (zh) * 2016-06-20 2016-08-31 中国联合网络通信集团有限公司 家庭网络流量识别系统和方法
CN106209775B (zh) * 2016-06-24 2019-05-24 深圳信息职业技术学院 一种ssl加密网络流的应用类型识别方法与装置
US10530811B2 (en) * 2016-08-11 2020-01-07 Vm-Robot, Inc. Routing systems and methods
US10715510B2 (en) * 2017-01-16 2020-07-14 Citrix Systems, Inc. Secure device notifications from remote applications
US10397186B2 (en) * 2017-10-06 2019-08-27 Stealthpath, Inc. Methods for internet communication security
US10630642B2 (en) * 2017-10-06 2020-04-21 Stealthpath, Inc. Methods for internet communication security
US10367811B2 (en) * 2017-10-06 2019-07-30 Stealthpath, Inc. Methods for internet communication security

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714952A (zh) * 2009-12-22 2010-05-26 北京邮电大学 一种接入网的流量识别方法和装置
CN102137022A (zh) * 2011-04-01 2011-07-27 华为技术有限公司 提供用于识别数据包的信息的方法、爬虫引擎及网络系统
US20160262021A1 (en) * 2015-03-06 2016-09-08 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials

Also Published As

Publication number Publication date
EP3668043A1 (en) 2020-06-17
US11418951B2 (en) 2022-08-16
US20200245136A1 (en) 2020-07-30
EP3668043A4 (en) 2020-10-07
WO2019075608A1 (zh) 2019-04-25
CN110741613A (zh) 2020-01-31
CN110771116A (zh) 2020-02-07
WO2019076000A1 (zh) 2019-04-25
CN110741613B (zh) 2021-01-12

Similar Documents

Publication Publication Date Title
CN110771116B (zh) 一种加密数据流的识别方法、设备、存储介质及系统
US11910191B2 (en) Efficient policy enforcement using network tokens for services—user-plane approach
KR102246671B1 (ko) 제5세대 코어 네트워크에 대한 비-3gpp 액세스를 위한 사용자 평면 모델
US20220060350A1 (en) Connecting to a Home Area Network Via a Mobile Communication Network
CN110800331A (zh) 网络验证方法、相关设备及系统
EP3213488A1 (en) End-to-end service layer authentication
EP2309686A1 (en) Data packet processing method and apparatus thereof
US10484869B2 (en) Generic bootstrapping architecture protocol
WO2022160658A1 (zh) 注册方法及装置、认证方法及装置、路由指示确定方法及装置、实体、终端
CN109040059B (zh) 受保护的tcp通信方法、通信装置及存储介质
CN110474922B (zh) 一种通信方法、pc系统及接入控制路由器
WO2008009232A1 (fr) Procédé, système et dispositif pour déterminer la clé ip mobile et notifier le type ip mobile
CN112087412B (zh) 一种基于唯一令牌的服务访问处理方法及装置
WO2024001654A1 (zh) 验证方法、终端设备、网络设备及介质
EP3552367B1 (en) Method and intermediate network node for managing tcp segment
CN104737571B (zh) 保护在通信网络中发送的有效载荷
WO2022089130A1 (zh) 一种异常终端控制方法及装置
EP2471247B1 (en) Method and network nodes for generating cryptographically generated addresses in mobile IP networks
WO2019076025A1 (zh) 一种加密数据流的识别方法、设备、存储介质及系统
CN116633698B (zh) 数据传输方法、装置、计算机设备、存储介质和程序产品
EP2494760A1 (en) Method for providing security associations for encrypted packet data
US8605901B1 (en) System and method for provisioning a home agent in a network environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant