CN113169937B - 用户数据业务处理的方法、装置、网络节点及介质 - Google Patents
用户数据业务处理的方法、装置、网络节点及介质 Download PDFInfo
- Publication number
- CN113169937B CN113169937B CN201980084956.5A CN201980084956A CN113169937B CN 113169937 B CN113169937 B CN 113169937B CN 201980084956 A CN201980084956 A CN 201980084956A CN 113169937 B CN113169937 B CN 113169937B
- Authority
- CN
- China
- Prior art keywords
- application
- network node
- information identifying
- server
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/10—Flow control between communication endpoints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种用于用户数据业务处理(UPF)的网络节点接收(52,112)用于应用的业务,其中业务要被发送到与应用相关联的逻辑服务器,其中逻辑服务器驻留在网络服务器(10.4)上,并且其中应用具有对应的应用功能(AF)。当检测到(53,113)接收的业务包括加密的服务器名称指示使得相关联的逻辑服务器无法被识别时,网络节点向对应的应用功能请求(55,115)识别应用的信息。响应于接收到(62,117)识别所述应用的信息,网络节点随后基于识别的应用来处理业务(63,118)。
Description
技术领域
这涉及用户数据业务的处理,特别涉及当业务包括加密的服务器名称指示使得应用无法被识别时要被发送到包括应用功能的网络服务器的业务的处理。
背景技术
在移动网络中,业务加密正在显著增长,并且同时,加密机制在复杂性方面也正在增加。例如为了保护用户的隐私,建议对业务进行加密。
网络提供商使用业务过滤器来检测业务并且应用诸如计费、服务质量等的对应的管理或执行动作。
过顶(OTT)内容提供商向网络运营商传达信息,使得网络运营商能够适当地区分内容提供商的业务并且对内容提供商的业务进行分类。这个信息被包含在标准化分组流描述(PFD)中。这是使得能够检测应用业务的信息集合,包括:PFD id;3元组(包括协议、服务器端IP地址和端口号);或者例如主机名称的要被匹配的URL的重要部分;或者域名匹配标准(指传输层安全(TLS)协议,具体指TLS客户端问候服务器名称指示(TLS ClientHelloServerNameIndication))。
TLS协议指定被称为服务器名称指示(SNI)的扩展。对于内容服务器来说在单个IP地址后面托管多个源是常见的。引入过SNI扩展以便将应用流路由到正确的服务器而不必解密整个流。SNI扩展在客户端问候(Client Hello)消息中被客户端发送并且包含客户端正在试图连接到的服务器的域名的明文字符串。由于以明文发送SNI字段,因此SNI字段通常被路径上的网络元件使用以便对流进行分类。
在TLS协议TLS 1.3中,建议对服务器名称指示(SNI)扩展进行加密。
另外,传输控制协议(TCP)的基于用户数据报协议(UDP)的替换是QUIC,QUIC是基于UDP的、流复用的、加密的传输协议。QUIC依赖于TLS 1.3,因此基于QUIC的应用也将具有加密的服务器名称指示(SNI)扩展。
在TLS SNI被加密或者被模糊的情况下,对于TLS(1.3以及更高版本)和/或基于QUIC的应用,利用如由3GPP定义的当前的PFD将会严重限制区分业务的能力。如果业务区分是不可能的或者被严重限制,则这将会导致对这些应用的现有的网络运营商用例(诸如赞助的数据、QoS、业务优化等)的影响。
发明内容
根据本发明的方面,提供了一种用于用户数据业务处理的网络节点的操作的方法。所述方法包括:接收用于应用的业务,其中业务要被发送到与应用相关联的逻辑服务器,其中逻辑服务器驻留在网络服务器上,并且其中应用具有对应的应用功能(AF);检测到接收的业务包括加密的服务器名称指示使得相关联的逻辑服务器无法被识别;向对应的应用功能请求识别应用的信息;接收识别所述应用的信息;以及基于识别的应用来处理业务。
根据本发明的方面,提供了一种用于用户数据业务处理的网络节点,所述网络节点被配置为根据先前的方面进行操作。
根据本发明的方面,提供了一种计算机程序,所述计算机程序包括用于促使处理器执行用于用户数据业务处理的网络节点的操作的方法的步骤的指令。
根据本发明的方面,提供了一种包括应用功能的网络服务器的操作的方法。所述方法包括:从用于用户数据业务处理的网络节点接收对识别与业务有关的应用的信息的请求;确定识别应用的信息;以及将识别所述应用的信息发送到用于用户数据业务处理的网络节点。
根据本发明的方面,提供了一种网络服务器,所述网络服务器被配置为根据先前的方面进行操作。
根据本发明的方面,提供了一种计算机程序,所述计算机程序包括用于促使处理器执行网络服务器的操作的方法的步骤的指令。
根据本发明的方面,提供了一种用于会话管理的网络节点的操作的方法。所述方法包括:从用于用户数据业务处理的网络节点接收包括对识别与业务有关的应用的信息的请求的消息,其中业务包括加密的服务器名称指示使得与应用相关联的逻辑服务器无法被识别;将所述请求发送到包括与应用对应的应用功能(AF)的网络服务器;接收识别所述应用的所述信息;以及将识别所述应用的所述信息转发到用于用户数据业务处理的网络节点。
根据本发明的方面,提供了一种用于会话管理的网络节点,所述网络节点被配置为根据先前的方面进行操作。
根据本发明的方面,提供了一种计算机程序,所述计算机程序包括用于促使处理器执行用于会话管理的网络节点的操作的方法的步骤的指令。
根据本发明的方面,提供了一种用于网络开放的网络节点的操作的方法。所述方法包括:从用于会话管理的网络节点接收包括对识别与业务有关的应用的信息的请求的消息,其中业务包括加密的服务器名称指示使得与应用相关联的逻辑服务器无法被识别;将所述请求发送到包括与应用对应的应用功能(AF)的网络服务器;接收识别所述应用的所述信息;以及将识别所述应用的所述信息转发到用于会话管理的网络节点。
根据本发明的方面,提供了一种用于网络开放的网络节点,所述网络节点被配置为根据先前的方面进行操作。
根据本发明的方面,提供了一种计算机程序,所述计算机程序包括用于促使处理器执行用于网络开放的网络节点的操作的方法的步骤的指令。
这具有以下优势:即使当服务器名称指示被加密时,网络节点也能够以适当的方式处理业务。
附图说明
图1是网络体系结构的示意性框图;
图2(a)至图2(d)包括示出了图1的网络体系结构中的网络节点的框图;
图3是说明根据公开的第一方法的信号流图;
图4说明了在一个实施例中的图3的方法中的步骤;
图5说明了在另一实施例中的图3的方法中的步骤;
图6是说明根据公开的第二方法的信号流图;
图7是说明第一方法的流程图;
图8是说明第二方法的流程图;
图9是说明第三方法的流程图;以及
图10是说明第四方法的流程图。
具体实施方式
图1说明了如在3GPP TS 23.501v15.3.0中定义的所谓的5G移动通信网络体系结构。
这个体系结构在控制平面中具有基于服务的接口,意味着借助于服务来完成网络功能的交互。5G控制平面中的网络功能提供由5G控制平面中的其他网络功能消费的服务。
为了理解本公开的目的,最相关的功能元件为下列:
PCF(策略控制功能)支持统一的策略框架以管理网络行为。它还实现前端(PCFFE)以访问与统一数据存储(UDR)中的策略决定相关的订阅信息。PCF向策略和计费执行功能(PCEF)(根据PCC来执行策略和计费决定的SMF/UPF)提供PCC(策略和计费控制)。
SMF(会话管理功能)负责会话建立、修改和释放,包括UPF实体的选择和控制。SMF可向UPF提供与例如从NEF获取的分类信息有关的信息以用于用户IP数据的服务分类。SMF使用PFCP过程在N4参考点上与UPF交互。
UPF(用户平面功能)处理用户数据业务并且可选地包括深度分组检查(DPI)功能性,深度分组检查(DPI)功能性包括检查和分析所谓的IP 5元组之外的IP数据分组的内容。IP 5元组由IP数据分组的标题元素组成,包括:IP源地址、IP目的地地址、源传输地址、目的地传输地址以及IP上的协议(例如TCP、UDP)。因此,简而言之,DPI技术由检查和分析由IP数据分组传递的应用层信息组成。由于DPI分析,可以获取服务分类信息,所述服务分类信息由(即,在DPI处理之后)正在根据配置的规则树被分类使得它们被指派给某个服务会话的IP分组组成。
NEF(网络开放功能)在与外部应用功能(AF)交换的信息和与(一个或多个)内部网络功能交换的信息之间转换。它是用于应用服务提供商(ASP)的运营商网络入口点。这是创建服务提供商和网络运营商之间的交互关系的独特方式。
未在图1中示出的UDR(统一数据存储)通过UDM(统一数据管理,其是5G体系结构中的HSS的演进)提供订阅数据的存储和检索、通过PCF提供策略数据的存储和检索、以及通过NEF提供用于开放的结构化数据和应用数据(包括用于应用检测的分组流描述(PFD)、用于多个UE的应用请求信息)的存储和检索。
NEF北向(Nnef)接口驻留在NEF和AF之间。它指定允许AF访问由3GPP网络实体提供的并且由NEF安全地开放的服务和能力的RESTful API。因此,Nnef参考点支持下列过程:
用于监测的过程
用于设备触发的过程
用于背景数据传送的资源管理的过程
用于CP参数提供的过程
用于PFD管理的过程
用于对业务路由选择的应用影响的过程。
本文中的进一步描述涉及其中在图1所示的5G网络体系结构中执行方法的实施例。然而,相同的机制可以应用于其他网络体系结构。例如,可以通过如下动作而在4G网络体系结构中执行本文中描述的机制:
·用充当用于网络开放的网络节点的服务能力开放功能(SCEF)替换NEF,
·用充当包括应用功能的网络服务器的服务能力服务器/应用服务器(SCS/AS)替换AF,
·用充当用于会话管理的网络节点的分组数据网络网关控制平面功能(PGW-C)或用于控制平面的业务检测功能(TDF-C)替换SMF,
·用充当用于用户数据业务处理的网络节点的分组数据网络网关用户平面功能(PGW-U)或用于用户平面的业务检测功能(TDF-U)替换UPF。
在移动网络中,业务加密正在显著增长,并且同时,加密机制在复杂性方面也正在增加。主要为了保护用户的隐私,常常例如由过顶(OTT)内容提供商以及由诸如互联网工程任务组(IETF)的组织建议加密以加密业务。
网络运营商使用业务过滤器(可以或者本地配置业务过滤器或者通过Nnef接口从内容提供商或应用功能接收业务过滤器)来检测业务并且应用诸如计费、服务质量监测等的对应的管理和/或执行动作。
TLS协议指定被称为服务器名称指示(SNI)的扩展。对于内容服务器来说在单个IP地址后面托管多个源是常见的。引入过SNI扩展以便将应用流路由到正确的服务器而不必解密整个流。SNI扩展在客户端问候消息中被客户端发送并且可包含客户端正在试图连接到的服务器的域名的明文字符串。如果以明文发送SNI字段,则SNI字段可被路径上的网络元件使用以便对流进行分类。
然而,备选的可能性是例如在使用TLS 1.3(以及更高版本)或依赖于TLS 1.3的QUIC时对服务器名称指示(SNI)扩展进行加密。
如果TLS SNI被加密或者被模糊,如由3GPP定义的当前的PFD将不会允许网络运营商区分业务。
图2(a)是网络节点10.1的示意性框图,更具体地,是例如图1的体系结构中的UPF(用户平面功能)网络节点的、用于用户数据业务处理的网络节点的示意性框图。
网络节点10.1包括通信模块20.1以及数据处理和控制单元30.1。
通信模块20.1被配置用于使用任何所需的通信协议来例如与图1所示的体系结构的其他节点通信。
数据处理和控制单元30.1包括处理器32.1和存储器34.1。存储器34.1被配置用于根据需要存储工作数据并且还用于存储程序指令,以及处理器32.1被配置用于基于存储在存储器34.1中的程序指令而执行数据处理和逻辑操作。更具体地,处理器32.1可以被编程为执行本文中描述的方法。尽管被示为相应的单个单元,但是处理器32.1和存储器34.1可以被实现为多个单元,每个单元执行要求的功能性的相应部分。
图2(b)是网络节点10.2的示意性框图,更具体地,是例如图1的体系结构中的SMF(会话管理功能)网络节点的、用于会话管理的网络节点的示意性框图。
网络节点10.2包括通信模块20.2以及数据处理和控制单元30.2。
通信模块20.2被配置用于使用任何所需的通信协议来例如与图1所示的体系结构的其他节点通信。
数据处理和控制单元30.2包括处理器32.2和存储器34.2。存储器34.2被配置用于根据需要存储工作数据并且还用于存储程序指令,以及处理器32.2被配置用于基于存储在存储器34.2中的程序指令而执行数据处理和逻辑操作。更具体地,处理器32.2可以被编程为执行本文中描述的方法。尽管示出为相应的单个单元,但是处理器32.2和存储器34.2可以被实现为多个单元,每个单元执行要求的功能性的相应部分。
图2(c)是网络节点10.3的示意性框图,更具体地,是例如图1的体系结构中的NEF(网络开放功能)网络节点的、用于网络开放的网络节点的示意性框图。
网络节点10.3包括通信模块20.3以及数据处理和控制单元30.3。
通信模块20.3被配置用于使用任何所需的通信协议来例如与图1所示的体系结构的其他节点通信。
数据处理和控制单元30.3包括处理器32.3和存储器34.3。存储器34.3被配置用于根据需要存储工作数据并且还用于存储程序指令,以及处理器32.3被配置用于基于存储在存储器34.3中的程序指令而执行数据处理和逻辑操作。更具体地,处理器32.3可以被编程为执行本文中描述的方法。尽管示出为相应的单个单元,但是处理器32.3和存储器34.3可以被实现为多个单元,每个单元执行要求的功能性的相应部分。
图2(d)是例如包括图1的体系结构中的AF(应用功能)的网络服务器的网络节点10.4的示意性框图。
网络节点10.4包括通信模块20.4以及数据处理和控制单元30.4。
通信模块20.4被配置用于使用任何所需的通信协议来例如与图1所示的体系结构的其他节点通信。
数据处理和控制单元30.4包括处理器32.4和存储器34.4。存储器34.4被配置用于根据需要存储工作数据并且还用于存储程序指令,以及处理器32.4被配置用于基于存储在存储器34.4中的程序指令而执行数据处理和逻辑操作。更具体地,处理器32.4可以被编程为执行本文中描述的方法。尽管示出为相应的单个单元,但是处理器32.4和存储器34.4可以被实现为多个单元,每个单元执行要求的功能性的相应部分。
本文中描述了方法,其中网络运营商使用加密的SNI从内容提供商获取识别用于某个用户的应用会话的应用标识符的信息,允许网络运营商根据需要区分业务。特别地,网络运营商能够区分使用TLS 1.3和更高版本的应用(特别是当SNI被加密或者被模糊时)并且因此能够适当地处理业务。
描述了两个详细的实施例,即控制平面解决方案和用户平面解决方案。
图3是说明在控制平面解决方案中发送的消息的信令图。这与当前的3GPP 5GC体系结构一致并且基于通过允许UPF(通过SMF和NEF)向AF报告检测到的加密的SNI(ESNI)和流信息(5元组)来扩展3GPP Naf、Nnef和N4接口,使得AF能够确定目标应用(App-Id)或明文SNI并且将其发送回到UPF,从而允许UPF对业务进行分类。
图3示出的消息序列假设UE以常规方式如通常在步骤50处示出的那样触发协议数据单元(PDU)会话建立。
如在步骤51处示出的,用户基于例如TLS 1.3或以上版本或者还依赖于TLS 1.3的QUIC的协议来启动应用(例如YouTube)。即例如TLS 1.3的协议支持SNI扩展的加密。
TLS协议指定被称为服务器名称指示(SNI)的扩展。对于内容服务器来说在单个IP地址后面托管多个源是常见的。因此,虽然网络服务器具有单个IP地址,但是多个逻辑服务器可驻留在网络服务器上,其中每个应用在分立的逻辑服务器上被托管,具有它自己的SNI。为了能够将应用流路由到正确的逻辑服务器而不必解密整个流,一种可能性是知道SNI并且能够将这个映射到应用ID。另一种可能性是将SNI用作应用标识符。更进一步的可能性是具有识别应用的其他信息。还可以使用SNI或识别应用的其他信息来对流进行分类。
在这个实施例中,当UE在步骤52处发送TLS客户端问候(或QUIC CHLO)消息时,例如如在IETF互联网草案“Encrypted Server Name Indication for TLS 1.3;draft-ietf-tls-esni-01”(Rescorla等人,2018年9月)中描述的,假设SNI被加密(模糊)。这意味着现有的域名PFD规则对于检测应用业务是无效的。
在步骤53处,UPF检测到与包括加密的SNI扩展的TLS客户端问候对应的入局分组。UPF然后提取并且存储加密的SNI字符串和流信息(即包括UE IP地址和AF IP地址两者的5元组)两者。加密的SNI字符串应当提供了包括AF的网络服务器可以成功解密SNI值的充分信息。需要被提供给网络服务器的最少信息是对用于加密SNI值和实际密文的公钥的引用。通常,在托管应用的网络服务器上提供服务于相关应用的AF。网络服务器因此是用于业务的端点并且将可以使用相关的公钥。
在步骤54处,UPF将(未修改的)原始分组转发到它的原目的地,即包括内容提供商的应用功能(AF)的网络服务器。
在步骤55处,UPF朝向SMF触发分组转发控制协议(PFCP)会话报告请求消息以报告新类型的事件(也就是,ESNI事件)。这个消息包括加密的SNI字符串和流信息(即包括UE IP地址和AF IP地址两者的5元组)。
作为响应,在步骤56处,SMF朝向NEF触发包括加密的SNI字符串和流信息(即包括UE IP地址和AF IP地址两者的5元组)的NnefHTTP GET消息。
在步骤57处,NEF检索AF IP地址,以供与AF通信之用。在步骤58处,NEF使用检索到的AF IP地址来朝向AF触发包括加密的SNI字符串和流信息(即包括消息正在被发送到的AFIP地址和UE IP地址两者的5元组)的NafHTTP GET消息。
在步骤59处,AF接收Naf HTTP GET,并且基于接收的信息,AF确定识别相关应用的信息。在这个说明的实施例中,在托管应用的网络服务器上提供AF。网络服务器是用于业务流的端点之一,并且因此AF应当可以使用允许它解密加密的SNI的密钥(例如,可能在会话建立期间已经获取了密钥)。
此时,存在有两种可能性。或者AF是源服务器,或者AF不是源服务器。
图4是说明共享模式拓扑的示意图,其中提供商是用于其域名系统(DNS)记录指向它的所有域的源服务器70并且诸如图4所示的客户端72的客户端形成直接到那个提供商的TLS连接。
在这种可能性中,AF能够确定相关应用的应用标识符APP-Id(例如APP-Id=YouTube)。
图5是说明分离模式拓扑的示意图,其中提供商不是用于专用域的源服务器。相反,用于专用域的DNS记录指向提供商,使得诸如图5所示的客户端80的客户端能够连接到提供商的面向客户端的服务器82,但是服务器82只是将连接中继回到后端服务器84,后端服务器84是真正的源服务器。
在这种可能性中,AF不是源服务器,并且因此AF没有足够的信息来直接确定应用标识符(APP-Id)。在这种情况下,AF能够确定明文SNI(例如youtube.com),因为AF具有如上面提到的ESNI密钥,并且这可以用作识别相关应用的信息。
因此,在步骤59处,如果AF是源服务器,则AF能够确定应用标识符。然而,如果AF不是源服务器,则AF没有足够的信息来直接确定应用标识符,但是能够确定明文SNI以用作识别相关应用的信息。
然后,在步骤60处,AF利用包括或者APP-Id或者明文SNI的Naf 200OK消息来应答在步骤58中接收的Naf HTTP GET消息。作为备选,例如因为内部AF策略或者因为AF没能解析SNI字符串,如果AF不能确定识别相关应用的信息,则AF可以返回错误响应。
在步骤61处,NEF利用包括或者APP-Id或者明文SNI的Nnef 200OK消息来应答在步骤56中接收的NnefHTTP GET消息。
在步骤62处,SMF利用包括或者APP-Id或者明文SNI的PFCP会话报告响应消息来应答在步骤55中接收的PFCP会话报告请求消息。
另外,在这里可以注意到,当SMF在步骤61处接收到Nnef200 OK消息并且这个消息包括APP-ID时,SMF可安装例如更新的QoS增强规则(QER)和/或使用情况报告规则(URR)的用于所述业务的后续处理的规则。这个的优势是它将节省一跳,因为当UPF通知SMF检测到特定APP-ID的业务时,SMF通常只能采取诸如安装更新的QER/URR的合适的动作。
此后,在步骤63处,UPF基于接收的识别应用的信息(即应用标识符(例如APP-Id=YouTube)或明文SNI(例如youtube.com))来对匹配这个流(如通过检查5元组所确定的)的所有分组进行分类。
然后,可以基于识别的应用、例如根据诸如确保有保证的服务质量(QoS)、执行适当的业务优化以及允许赞助的数据的现有的用例来处理业务,据此在来自赞助者服务提供商的数据没有对他们的服务计划中的数据额度不利的情况下客户能够流式传输来自赞助者服务提供商的数据。
因此,图3是示出上面提到的控制平面解决方案的信令图。
图6是说明备选的用户平面解决方案的信令图。这是更简单的解决方案,但是假设UPF支持与AF的基于服务的体系结构(SBA)接口。在这种情况下,如下面更详细地描述的,UPF将直接向AF报告检测到的ESNI(加密的SNI)和流信息(5元组),使得AF能够确定识别目标应用的信息,所述信息可以是如上所述的应用标识符(App-Id)或明文SNI,并且AF能够将所述信息发送回到UPF,从而允许UPF对业务进行分类。
图6所示的消息序列假设UE以常规方式如通常在步骤110处示出的那样触发协议数据单元(PDU)会话建立。
如步骤111处所示,用户基于例如TLS 1.3或以上版本或者还依赖于TLS 1.3的QUIC的协议来启动应用(例如YouTube)。即例如TLS 1.3的协议支持SNI扩展的加密。
因此,当UE在步骤112处发送TLS客户端问候(或QUIC CHLO)消息时,例如如在IETF互联网草案“Encrypted Server Name Indication for TLS 1.3;draft-ietf-tls-esni-01”(Rescorla等人,2018年9月)中描述的,假设SNI被加密(模糊)。这意味着现有的域名PFD规则对于检测应用业务是无效的。
在步骤113处,UPF检测到与包括加密的SNI扩展的TLS客户端问候对应的入局分组。UPF然后提取并且存储加密的SNI字符串和流信息(即包括UE IP地址和AF IP地址两者的5元组)两者。加密的SNI字符串应当提供了包括AF的网络服务器可以成功解密SNI值的充分信息。需要被提供给网络服务器的最少信息是对用于加密SNI值和实际密文的公钥的引用。通常,在托管应用的网络服务器上提供服务于相关应用的AF。网络服务器因此是用于业务的端点并且将可以使用相关的公钥。
在步骤114处,UPF将(未修改的)原始分组转发到它的原目的地,即包括内容提供商的应用功能(AF)的网络服务器。
在步骤115处,UPF检索AF IP地址并且使用AF IP地址来朝向AF触发包括加密的SNI字符串和流信息(即包括消息正在被发送到的AF IP地址和UE IP地址两者的5元组)的NafHTTP GET消息。如上面提到的,这假设UPF支持朝向AF的SBA接口。
在步骤116处,AF接收NafHTTP GET并且基于接收的信息,AF确定识别相关应用的信息。在这个说明的实施例中,在托管应用的网络服务器上提供AF。网络服务器是用于业务流的端点之一,并且因此AF应当可以使用允许它解密加密的SNI的密钥(例如,可能在会话建立期间已经获取了密钥)。
如以上参考图4和图5所描述的,或者AF是源服务器,或者AF不是源服务器。如果AF是源服务器,则AF能够确定应用标识符。然而,如果AF不是源服务器,则AF没有足够的信息来直接确定应用标识符,但是,由于AF是用于业务流的端点之一,所以AF应当已经获取了允许它解密加密的SNI并且因此确定明文SNI以用作识别相关应用的信息的密钥。
然后,在步骤117处,AF利用包括或者APP-Id或者明文SNI的Naf 200OK消息来应答在步骤116中接收的Naf HTTP GET消息。作为备选,例如因为内部AF策略或者因为AF没能解析SNI字符串,如果AF不能确定识别相关应用的信息,则AF可以返回错误响应。
此后,如步骤118处所示,UPF基于接收的识别应用的信息(即应用标识符(例如APP-Id=YouTube)或明文SNI(例如youtube.com))来对匹配这个流(如通过检查5元组所确定的)的所有分组进行分类。
然后,可以基于识别的应用、例如根据诸如确保有保证的服务质量(QoS)、执行适当的业务优化以及允许赞助的数据的现有的用例来处理业务,据此在来自赞助者服务提供商的数据没有对他们的服务计划中的数据额度不利的情况下客户能够流式传输来自赞助者服务提供商的数据。
在图3和图6所示的实施例中,假设在包括与应用相关联的逻辑服务器的同一网络服务器上提供与应用对应的应用功能(AF)。然而,情况未必如此。
在一些实施例中,在不同节点(例如不同网络服务器)上提供与应用对应的应用功能(AF)。因此,在这种情况下,AF并不是UE-服务器交互中的端点之一。在这样的实施例中,可以将对识别应用的信息的请求发送到AF,但是是在与关联于应用的逻辑服务器驻留在其上的网络服务器不同的网络服务器上提供这个。
在这样的实施例中,即使业务流的目的地IP地址没有识别在其上提供AF的网络服务器,也可以将对识别应用的信息的请求发送到正确的AF。例如,对于一些应用,内容提供商可能已经将信息提供给了网络运营商,允许网络运营商从业务流的目的地IP地址识别正确的AF。作为另一示例,可存在有目的地IP地址的前缀和对信息的请求应当被发送到的AF的IP地址之间的映射。例如,如果TLS握手利用加密的SNI以形式A.B.C.D来指示目的地IP地址,则可向网络运营商提供映射,所述映射声明具有加密的SNI和朝向具有前缀A.B.x.x的IP地址的所有流应当触发对已知IP地址处的特定AF的请求。作为另外的示例,如果网络运营商不具有IP地址的前缀和AF之间的这样的映射,则仍然可将对信息的请求发送到在TLS握手中获取的IP地址。由于由相同内容提供商提供由目的地IP地址指示的网络服务器和相关的AF,发送到在TLS握手中获取的IP地址的这个请求可能会返回重定向到处理这些请求的适合的服务器。
图3和图6还说明了具有单个流(例如一个TCP和一个TLS连接)的应用的情形。然而,相同的解决方案也谋求具有多个流(例如多个TCP和多个TLS连接)的应用。
图7是概括地说明了如本文中公开的用于用户数据业务处理的网络节点的操作的方法的流程图。
方法包括在步骤150处接收用于应用的业务,其中业务要被发送到与应用相关联的逻辑服务器,其中逻辑服务器驻留在网络服务器上,并且其中应用具有对应的应用功能。在步骤151处,网络节点检测到接收的业务包括加密的服务器名称指示使得相关联的逻辑服务器无法被识别。在步骤152处,网络节点向对应的应用功能请求识别应用的信息。在步骤153处,网络节点接收识别所述应用的信息并且此后,如步骤154处所示,网络节点基于识别的应用来处理业务。
图8是概括地说明了如本文中公开的包括应用功能的网络服务器的操作的方法的流程图。
方法包括在步骤160处从用于用户数据业务处理的网络节点接收对识别与业务有关的应用的信息的请求。在步骤161处,网络服务器确定识别应用的信息。在步骤162处,它将识别所述应用的信息发送到用于用户数据业务处理的网络节点。
图9是概括地说明了如本文中公开的用于会话管理的网络节点的操作的方法的流程图。
方法包括在步骤170处从用于用户数据业务处理的网络节点接收包括对识别与业务有关的应用的信息的请求的消息,其中业务包括加密的服务器名称指示使得与应用相关联的逻辑服务器无法被识别。在步骤171处,用于用户数据业务处理的网络节点将所述请求发送到包括与应用对应的应用功能的网络服务器。在步骤172处,它接收识别所述应用的所述信息,以及在步骤173处,它将识别所述应用的所述信息转发到用于用户数据业务处理的网络节点。
图10是概括地说明了如本文中公开的用于网络开放的网络节点的操作的方法的流程图。
方法包括在步骤180处从用于会话管理的网络节点接收包括对识别与业务有关的应用的信息的请求的消息,其中业务包括加密的服务器名称指示使得与应用相关联的逻辑服务器无法被识别。在步骤181处,用于网络开放的网络节点将所述请求发送到包括与应用对应的应用功能的网络服务器。在步骤182处,它接收识别所述应用的所述信息,以及在步骤183处,它将识别所述应用的所述信息转发到用于会话管理的网络节点。
因此,描述了即使当服务器名称指示被加密时也允许网络节点以适当的方式处理业务的系统。
应当注意的是,上面提到的实施例说明了而不是限制了发明,并且在没有背离所附的权利要求的范围的情况下,本领域技术人员将能够设计许多备选的实施例。词语“包括”并不排除除了权利要求中列示的那些之外的元件或步骤的存在,不定冠词“a”或“an”并不排除多个,并且单个特征或其他单元可以实现权利要求中记载的若干个单元的功能。权利要求中的任何附图标记不应被解释为限制它们的范围。
缩写词
缩写词 解释
AF 应用功能
CHLO 客户端问候
ESNI 加密的服务器名称指示
IE 信息元素
MNO 移动网络运营商
NEF 网络开放功能
NR 下一代无线电/新空口
OTT 过顶
PCF 策略控制功能
PCRF 策略控制规则功能
PFD 分组流描述
PGW 分组网关
PGW-C PDN 网关控制平面功能
PGW-U PDN 网关用户平面功能
SBA 基于服务的体系结构
SCEF 服务能力开放功能
SCS/AS 服务能力服务器/应用服务器
SMF 会话管理功能
SNI 服务器名称指示
TLS 传输层安全
UE 用户设备
UPF 用户平面功能。
Claims (51)
1.一种用于用户数据业务处理(UPF)的网络节点的操作的方法,所述方法包括:
接收(52,112)用于应用的业务,其中所述业务要被发送到与所述应用相关联的逻辑服务器,其中所述逻辑服务器驻留在网络服务器(10.4)上,并且其中所述应用具有对应的应用功能(AF);
检测到(53,113)接收的业务包括加密的服务器名称指示使得相关联的逻辑服务器无法被识别;
向所述对应的应用功能请求(55,115)识别所述应用的信息;
接收(62,117)识别所述应用的信息;以及
基于识别的应用来处理所述业务(63,118)。
2.根据权利要求1所述的方法,其中向所述对应的应用功能请求识别所述应用的信息包括把所述加密的服务器名称指示通知所述应用功能。
3.根据权利要求2所述的方法,其中向所述对应的应用功能请求识别所述应用的信息进一步包括把流信息通知所述应用功能。
4.根据权利要求3所述的方法,其中所述流信息包括与所述业务有关的用户设备的地址。
5.根据权利要求1至4中的任一项所述的方法,其中向所述对应的应用功能请求识别所述应用的信息和接收识别所述应用的信息当中的至少一个包括通过用于会话管理(SMF)的网络节点和用于网络开放(NEF)的网络节点来与所述网络服务器通信。
6.根据权利要求1至4中的任一项所述的方法,其中向所述对应的应用功能请求识别所述应用的信息和接收识别所述应用的信息当中的至少一个包括直接与所述网络服务器通信。
7.根据权利要求1至4中的任一项所述的方法,其中接收的识别所述应用的信息包括应用标识符。
8.根据权利要求1至4中的任一项所述的方法,其中接收的识别所述应用的信息包括与所述应用相关联的所述逻辑服务器的未加密的服务器名称指示。
9.根据权利要求1至4中的任一项所述的方法,其中所述业务用于IETFTLS1.3应用。
10.根据权利要求1至4中的任一项所述的方法,其中所述业务用于QUIC应用。
11.根据权利要求1至4中的任一项所述的方法,其中所述用于用户数据业务处理的网络节点是用户平面功能节点。
12.一种用于用户数据业务处理的网络节点,所述网络节点被配置为根据权利要求1至11中的任一项进行操作。
13.根据权利要求12所述的网络节点,包括:
通信模块(20.1)
处理器(32.1);以及
用于存储用于促使所述处理器执行根据权利要求1至11中的任一项所述的步骤的程序指令和数据的存储器(34.1)。
14.一种用于用户数据业务处理(UPF)的网络节点的操作的装置,包括用于执行根据权利要求1至11中的任一项所述的方法的步骤的部件。
15.一种计算机可读介质,其上存储有指令,所述指令在被执行时促使处理器执行根据权利要求1至11中的任一项所述的方法的步骤。
16.一种网络服务器的操作的方法,所述网络服务器包括与应用对应的应用功能,所述方法包括:
从用于用户数据业务处理的网络节点接收(58,115)对识别与业务有关的所述应用的信息的请求;
确定(59,116)识别所述应用的信息;以及
将识别所述应用的所述信息发送(60,117)到所述用于用户数据业务处理的网络节点。
17.根据权利要求16所述的方法,其中对识别所述应用的信息的所述请求包括加密的服务器名称指示。
18.根据权利要求16或17所述的方法,其中接收对识别所述应用的信息的所述请求和发送识别所述应用的所述信息当中的至少一个包括通过会话管理功能和网络开放功能与所述用于用户数据业务处理的网络节点通信。
19.根据权利要求16或17所述的方法,其中接收对识别所述应用的信息的所述请求和发送识别所述应用的所述信息当中的至少一个包括直接与所述用于用户数据业务处理的网络节点通信。
20.根据权利要求16或17所述的方法,其中被发送到所述用于用户数据业务的网络节点的、识别所述应用的所述信息包括应用标识符。
21.根据权利要求16或17所述的方法,其中被发送到所述用于用户数据业务的网络节点的、识别所述应用的所述信息包括与所述应用相关联的逻辑服务器的未加密的服务器名称指示。
22.根据权利要求16或17所述的方法,其中所述业务用于IETFTLS1.3应用。
23.根据权利要求16或17所述的方法,其中所述业务用于QUIC应用。
24.根据权利要求16或17所述的方法,其中所述用于用户数据业务处理的网络节点是用户平面功能节点。
25.一种网络服务器,所述网络服务器被配置为根据权利要求16至24中的任一项进行操作。
26.根据权利要求25所述的网络服务器,包括:
通信模块(20.4)
处理器(32.4);以及
用于存储用于促使所述处理器执行根据权利要求16至24中的任一项所述的步骤的程序指令和数据的存储器(34.4)。
27.一种用于网络服务器的操作的装置,所述网络服务器包括与应用对应的应用功能,所述装置包括用于执行根据权利要求16至24中的任一项所述的方法的步骤的部件。
28.一种计算机可读介质,其上存储有指令,所述指令在被执行时促使处理器执行根据权利要求16至24中的任一项所述的方法的步骤。
29.一种用于会话管理(SMF)的网络节点的操作的方法,所述方法包括:
从用于用户数据业务处理(UPF)的网络节点接收(55)包括对识别与业务有关的应用的信息的请求的消息,其中所述业务包括加密的服务器名称指示使得与所述应用相关联的逻辑服务器无法被识别;
将所述请求发送(56)到包括与所述应用对应的应用功能(AF)的网络服务器;
接收(61)识别所述应用的所述信息;以及
将识别所述应用的所述信息转发(62)到所述用于用户数据业务处理(UPF)的网络节点。
30.根据权利要求29所述的方法,进一步包括安装用于所述业务的后续处理的规则。
31.根据权利要求30所述的方法,其中用于所述业务的后续处理的所述规则包括QoS增强规则(QER)。
32.根据权利要求30或31所述的方法,其中用于所述业务的后续处理的所述规则包括使用情况报告规则(URR)。
33.根据权利要求29至31中的任一项所述的方法,其中接收的识别所述应用的信息包括应用标识符。
34.根据权利要求29至31中的任一项所述的方法,其中接收的识别所述应用的信息包括与所述应用相关联的所述逻辑服务器的未加密的服务器名称指示。
35.根据权利要求29至31中的任一项所述的方法,其中所述业务用于IETFTLS1.3应用。
36.根据权利要求29至31中的任一项所述的方法,其中所述业务用于QUIC应用。
37.根据权利要求29至31中的任一项所述的方法,其中所述用于会话管理的网络节点是会话管理功能节点。
38.一种网络节点,所述网络节点被配置为根据权利要求29至37中的任一项进行操作。
39.根据权利要求38所述的网络节点,包括:
通信模块(20.2)
处理器(32.2);以及
用于存储用于促使所述处理器执行根据权利要求29至37中的任一项所述的步骤的程序指令和数据的存储器(34.2)。
40.一种用于会话管理(SMF)的网络节点的操作的装置,包括用于执行根据权利要求29至37中的任一项所述的方法的步骤的部件。
41.一种计算机可读介质,其上存储有指令,所述指令在被执行时促使处理器执行根据权利要求29至37中的任一项所述的方法的步骤。
42.一种用于网络开放(NEF)的网络节点的操作的方法,所述方法包括:
从用于会话管理(SMF)的网络节点接收(56)包括对识别与业务有关的应用的信息的请求的消息,其中所述业务包括加密的服务器名称指示使得与所述应用相关联的逻辑服务器无法被识别;
将所述请求发送(58)到包括与所述应用对应的应用功能(AF)的网络服务器;
接收(60)识别所述应用的所述信息;以及
将识别所述应用的所述信息转发(61)到所述用于会话管理(SMF)的网络节点。
43.根据权利要求42所述的方法,其中接收的识别所述应用的信息包括应用标识符。
44.根据权利要求42所述的方法,其中接收的识别所述应用的信息包括与所述应用相关联的所述逻辑服务器的未加密的服务器名称指示。
45.根据权利要求42至44中的任一项所述的方法,其中所述业务用于IETFTLS1.3应用。
46.根据权利要求42至44中的任一项所述的方法,其中所述业务用于QUIC应用。
47.根据权利要求42至44中的任一项所述的方法,其中所述用于会话管理的网络节点是会话管理功能节点。
48.一种网络节点,所述网络节点被配置为根据权利要求42至47中的任一项进行操作。
49.根据权利要求48所述的网络节点,包括:
通信模块(20.3)
处理器(32.3);以及
用于存储用于促使所述处理器执行根据权利要求42至47中的任一项所述的步骤的程序指令和数据的存储器(34.3)。
50.一种用于网络开放(NEF)的网络节点的操作的装置,包括用于执行根据权利要求42至47中的任一项所述的方法的步骤的部件。
51.一种计算机可读介质,其上存储有指令,所述指令在被执行时促使处理器执行根据权利要求42至47中的任一项所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18382985.2 | 2018-12-21 | ||
| EP18382985 | 2018-12-21 | ||
| PCT/EP2019/085487 WO2020127148A1 (en) | 2018-12-21 | 2019-12-17 | User data traffic handling |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113169937A CN113169937A (zh) | 2021-07-23 |
| CN113169937B true CN113169937B (zh) | 2023-04-28 |
Family
ID=65013517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980084956.5A Active CN113169937B (zh) | 2018-12-21 | 2019-12-17 | 用户数据业务处理的方法、装置、网络节点及介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US12022327B2 (zh) |
| EP (1) | EP3900280B1 (zh) |
| CN (1) | CN113169937B (zh) |
| WO (1) | WO2020127148A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022008103A1 (en) * | 2020-07-09 | 2022-01-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Handling of routing rules for a 5g rg |
| US10924456B1 (en) | 2020-07-14 | 2021-02-16 | Centripetal Networks, Inc. | Methods and systems for efficient encrypted SNI filtering for cybersecurity applications |
| WO2022058038A1 (en) * | 2020-09-15 | 2022-03-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Mechanism for traffic detection in case of encrypted traffic |
| US11444914B2 (en) | 2020-12-23 | 2022-09-13 | Cisco Technology, Inc. | Quality of service (QoS) policy selection and flow creation based on domain name system (DNS) application metadata |
| US20240205960A1 (en) * | 2021-05-13 | 2024-06-20 | Sony Group Corporation | Information processing device, information processing method, and communication system |
| CN116074026A (zh) * | 2021-10-29 | 2023-05-05 | 中兴通讯股份有限公司 | Sni域名的提取方法、电子设备、计算机可读存储介质 |
| US20230198938A1 (en) * | 2021-12-18 | 2023-06-22 | Microsoft Technology Licensing, Llc | Using entity name mapping for routing network traffic having encrypted server name identification (sni) headers |
| CN114826692B (zh) * | 2022-04-07 | 2023-11-07 | 中国联合网络通信集团有限公司 | 信息登录系统、方法、电子设备及存储介质 |
| CN115188148A (zh) * | 2022-07-11 | 2022-10-14 | 卡奥斯工业智能研究院(青岛)有限公司 | 基于5g的安防监控系统、方法、电子设备及存储介质 |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU6097000A (en) * | 1999-07-15 | 2001-02-05 | Frank W Sudia | Certificate revocation notification systems |
| US7305478B2 (en) * | 2000-06-08 | 2007-12-04 | Symbol Technologies, Inc. | Bar code symbol ticketing for authorizing access in a wireless local area communications network |
| US20020095487A1 (en) * | 2001-01-18 | 2002-07-18 | Robert Day | System for registering, locating, and identifying network equipment |
| US7818792B2 (en) * | 2002-02-04 | 2010-10-19 | General Instrument Corporation | Method and system for providing third party authentication of authorization |
| JP4597488B2 (ja) * | 2003-03-31 | 2010-12-15 | 株式会社日立製作所 | プログラム配置方法及びその実施システム並びにその処理プログラム |
| US7257557B2 (en) * | 2003-07-22 | 2007-08-14 | Online Testing Services, Inc. | Multi-modal testing methodology |
| US8316110B1 (en) * | 2003-12-18 | 2012-11-20 | Symantec Operating Corporation | System and method for clustering standalone server applications and extending cluster functionality |
| TW200527870A (en) * | 2004-01-14 | 2005-08-16 | Nec Corp | Encrypted communication method, encrypted communication system, node device and program |
| JP4520840B2 (ja) | 2004-12-02 | 2010-08-11 | 株式会社日立製作所 | 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体 |
| JP4381317B2 (ja) * | 2005-01-31 | 2009-12-09 | 株式会社東芝 | コンテンツ再生装置、コンテンツ再生方法及びプログラム |
| JP4387962B2 (ja) * | 2005-02-18 | 2009-12-24 | 株式会社東芝 | コンテンツ再生装置、コンテンツ再生方法及びプログラム |
| US7890669B2 (en) * | 2005-11-25 | 2011-02-15 | Hitachi, Ltd. | Computer system for sharing I/O device |
| JP4277873B2 (ja) * | 2006-05-23 | 2009-06-10 | 日本電気株式会社 | トランザクション処理装置、トランザクション処理方法 |
| KR20080016399A (ko) * | 2006-08-17 | 2008-02-21 | 엘지전자 주식회사 | 교통정보를 제공하는 방법 및 이를 이용하는 방법 및 장치 |
| US9154385B1 (en) * | 2009-03-10 | 2015-10-06 | Hewlett-Packard Development Company, L.P. | Logical server management interface displaying real-server technologies |
| US8271639B2 (en) * | 2010-02-02 | 2012-09-18 | International Business Machines Corporation | Discovering physical server location by correlating external and internal server information |
| US8645550B2 (en) * | 2010-02-18 | 2014-02-04 | Microsoft Corporation | Database virtualization |
| JP5602572B2 (ja) * | 2010-10-06 | 2014-10-08 | 富士通株式会社 | ストレージ装置、データ複写方法およびストレージシステム |
| US9521032B1 (en) * | 2013-03-14 | 2016-12-13 | Amazon Technologies, Inc. | Server for authentication, authorization, and accounting |
| US9396330B2 (en) * | 2013-05-15 | 2016-07-19 | Citrix Systems, Inc. | Systems and methods for reducing denial of service attacks against dynamically generated next secure records |
| US9419942B1 (en) * | 2013-06-05 | 2016-08-16 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
| US9137217B1 (en) * | 2014-05-16 | 2015-09-15 | Iboss, Inc. | Manage encrypted network traffic using DNS responses |
| US10616180B2 (en) * | 2014-06-20 | 2020-04-07 | Zscaler, Inc. | Clientless connection setup for cloud-based virtual private access systems and methods |
| US10560314B2 (en) * | 2014-09-16 | 2020-02-11 | CloudGenix, Inc. | Methods and systems for application session modeling and prediction of granular bandwidth requirements |
| US9942034B2 (en) | 2015-02-13 | 2018-04-10 | Visa International Service Association | Confidential communication management |
| US9768952B1 (en) * | 2015-09-22 | 2017-09-19 | Seagate Technology Llc | Removable circuit for unlocking self-encrypting data storage devices |
| GB201517091D0 (en) * | 2015-09-28 | 2015-11-11 | Nicoventures Holdings Ltd | Policy notification system and method for electronic vapour provision systems |
| US10361800B2 (en) * | 2015-11-18 | 2019-07-23 | PB, Inc | Radiobeacon data sharing by forwarding low energy transmissions to a cloud host |
| US9742813B2 (en) * | 2015-11-24 | 2017-08-22 | Adobe Systems Incorporated | Detecting potential legal decryption of historical data |
| US10601869B2 (en) * | 2016-02-15 | 2020-03-24 | Netscout Systems Texas, Llc | System and method to estimate quality of experience for consumption of encrypted media network traffic |
| US10158651B1 (en) | 2016-04-20 | 2018-12-18 | Wells Fargo Bank, N.A. | Verifying secure transactions through distributed nodes |
| US10305693B2 (en) * | 2016-11-03 | 2019-05-28 | International Business Machines Corporation | Anonymous secure socket layer certificate verification in a trusted group |
| US10084712B1 (en) * | 2017-03-23 | 2018-09-25 | Verizon Patent And Licensing Inc. | Real-time traffic analysis over mobile networks |
| US9813303B1 (en) * | 2017-03-30 | 2017-11-07 | IP Company 8, LLC | Enabling cross-realm authentication between tenant and cloud service provider |
| CN108737341B (zh) | 2017-04-19 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 业务处理方法、终端及服务器 |
| US10819749B2 (en) * | 2017-04-21 | 2020-10-27 | Netskope, Inc. | Reducing error in security enforcement by a network security system (NSS) |
| EP3614621B1 (en) * | 2017-05-09 | 2021-04-28 | Huawei Technologies Co., Ltd. | Data packet checking method and device |
| JP7076949B2 (ja) * | 2017-05-11 | 2022-05-30 | キヤノン株式会社 | サーバー、サーバーの制御方法、及びプログラム |
| US20180330368A1 (en) * | 2017-05-11 | 2018-11-15 | Circle Media Labs Inc. | Secure authenticated passwordless communications between networked devices |
| AU2018275877B2 (en) * | 2017-06-02 | 2022-06-16 | Thinkspan, LLC | Universal data scaffold based data management platform |
| US10834136B2 (en) * | 2017-06-15 | 2020-11-10 | Palo Alto Networks, Inc. | Access point name and application identity based security enforcement in service provider networks |
| CN107580324B (zh) * | 2017-09-22 | 2020-05-08 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信系统imsi隐私保护的方法 |
-
2019
- 2019-12-17 WO PCT/EP2019/085487 patent/WO2020127148A1/en unknown
- 2019-12-17 CN CN201980084956.5A patent/CN113169937B/zh active Active
- 2019-12-17 US US17/416,608 patent/US12022327B2/en active Active
- 2019-12-17 EP EP19817773.5A patent/EP3900280B1/en active Active
Non-Patent Citations (3)
| Title |
|---|
| Xiao Luo.The Realization of the RADIUS Security Authentication.《 2008 4th International Conference on Wireless Communications, Networking and Mobile Computing》.2008,全文. * |
| Yukun Ma ; Lifang Wu ; Xiaofeng Gu ; Jiaoyu He ; Zhou Yang.A Secure Face-Verification Scheme Based on Homomorphic Encryption and Deep Neural Networks.《IEEE Access》.2017,全文. * |
| 徐永强,马建峰.基于SSL的安全数据通道的理论与实践.电子科技.2004,(第06期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| US12022327B2 (en) | 2024-06-25 |
| CN113169937A (zh) | 2021-07-23 |
| US20220086691A1 (en) | 2022-03-17 |
| EP3900280A1 (en) | 2021-10-27 |
| WO2020127148A1 (en) | 2020-06-25 |
| EP3900280B1 (en) | 2024-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113169937B (zh) | 用户数据业务处理的方法、装置、网络节点及介质 | |
| US8504630B2 (en) | Methods, systems, and computer readable media for diameter application loop prevention | |
| US10243862B2 (en) | Systems and methods for sampling packets in a network flow | |
| US10574763B2 (en) | Session-identifer based TWAMP data session provisioning in computer networks | |
| Alani | Guide to OSI and TCP/IP models | |
| JP5298203B2 (ja) | Nat経由のデータセッションのポリシー及び課金制御のための制御セッションのトークンベースの相関 | |
| DK2241058T3 (en) | A method for configuring the ACLS on a network device on the basis of the flow information | |
| RU2407196C2 (ru) | Способ и устройство для поддержки службы прозрачного прокси-сервера в шлюзе беспроводного доступа и система, снабженная таким шлюзом | |
| US20050289244A1 (en) | Method for service chaining in a communication network | |
| US8958282B2 (en) | 1-for-N redundancy in private IP session border control networks | |
| US8130767B2 (en) | Method and apparatus for aggregating network traffic flows | |
| EP3756317B1 (en) | Method, device and computer program product for interfacing communication networks | |
| US20230388786A1 (en) | Technique for Enabling Exposure of Information Related to Encrypted Communication | |
| US20140016513A1 (en) | Methods and apparatus for determining a language | |
| WO2008097105A1 (en) | Methods, systems and apparatus for monitoring and/or generating communications in a communications network | |
| US11240140B2 (en) | Method and system for interfacing communication networks | |
| US11799779B1 (en) | Session-based packet capture | |
| US20240147272A1 (en) | Technique for Collecting Analytics Data | |
| US11706187B2 (en) | Method and device for processing a request for anonymisation of a source IP address, method and device for requesting anonymisation of a source IP address | |
| US20180241844A1 (en) | Control Signalling in SDN Architecture Networks | |
| KR100676712B1 (ko) | Mpls vpn에서 네트워크 모니터링을 위한 가입자 네트워크 식별 및 트래픽 분류방법 | |
| US20230155891A1 (en) | User Plane Based Exposure | |
| CN116530054A (zh) | 用于去激活电信网络中的服务器名称指示sni加密的方法和节点 | |
| EP4295516A1 (en) | Pfcp extension for responding to user plane requests | |
| Ginoza | Request for Comments Summary RFC Numbers 3400-3499 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |