CN115699831A - 用于保护敏感用户面流量的方法和装置 - Google Patents

Abstract

本文公开了一种用于将支持高于4G系统的数据传输速率的5G通信系统与IoT技术融合的通信技术及其系统。本文的实施例公开了一种保护用户设备(UE)(100)中的敏感用户面流量的方法，该方法包括：由UE(100)向网络(200)传输第一NAS消息，该第一NAS消息包括指示UE(100)支持用于域名系统(DNS)的安全通道的指示符；响应于传输第一NAS消息，由UE(100)从网络(200)接收包括DNS服务器安全信息的第二NAS消息；UE(100)基于DNS服务器安全信息通过安全通道向网络(200)传输DNS。

Description

用于保护敏感用户面流量的方法和装置

技术领域

本公开涉及无线通信保护，更具体地，涉及用于保护用户面流量的方法和装置。

背景技术

为了满足自4G通信系统上市以来无线数据流量痛点的需求，一直在努力开发增强型5G通信系统或准5G通信系统。由于这些原因，将5G通信系统或准5G通信系统称为超4G网络通信系统或后LTE系统。

对于更高的数据传输速率，5G通信系统被认为是在超高频率频带(mmWave(毫米波))上实现的，例如，诸如60GHz。为了减轻超高频率频带的路径损耗并增加无线电波的覆盖范围，5G通信系统考虑了以下技术：波束成形、大规模多输入多输出(MIMO)、全维MIMO(FD-MIMO)、阵列天线、模拟波束成形和大规模天线。

5G通信系统还正在开发各种技术以具有增强的网络，诸如演进或高级小小区、云无线电接入网络(云RAN)、超密集网络、装置对装置(D2D)通信、无线回程、移动网络、协作通信、协同多点(CoMP)和干扰消除。还有其他各种正在开发中的方案用于5G系统，包括例如混合FSK(频移键控)和QAM(正交调幅)调制(FQAM)和滑动窗口叠加编码(SWSC)的高级编码调制(ACM)方案，以及滤波器组多载波(FBMC)、非正交多址接入(NOMA)和稀疏码多址接入(SCMA)的高级接入方案。

互联网正在从人类创造和消费信息的以人为中心的连接网络演进到在事物或其他分布式组件之间传递和处理信息物联网(IoT)网络。另一种新兴技术是万物互联(IoE)，它是大数据处理技术和通过例如与云服务器连接的IoT技术结合。要实现IoT，需要诸如传感技术、有线/无线通信和网络基础设施、服务接口技术和安全技术等技术元素。最近正在进行对象间连接技术的研究，诸如传感器网络、机器对机器(M2M)或机器类型通信(MTC)。

在IoT环境中可以提供收集和分析相互连接的事物所生成的数据以为人类生活创造新的价值的智能互联网技术(IT)服务。通过现有信息技术(IT)技术和各种行业的转换或融合，IoT可以有各种应用，诸如智能家居、智能建筑、智能城市、智能汽车或联网汽车、智能电网、医疗保健或智能家电行业，或最先进的医疗服务。

因此，5G通信系统正在努力应用于IoT网络。例如，传感器网络、机器对机器(M2M)、机器类型通信(MTC)或其他5G技术通过诸如波束成形、多输入多输出(MIMO)和阵列天线方案等方案来实现。作为大数据处理技术的云无线电接入网络(RAN)的上述应用，可以说是5G与IoT技术融合的示例。

一般而言，在无线通信网络中，对于长期演进数据无线携带(LTE DRB)(用户面)(UP)和/或考虑用户设备(UE)能力或基于UE上请求的应用/服务，只启用加密而不启用完整性保护，从而降低计算功率。缺乏完整性保护会引发安全攻击，例如用户设备(UE)与演进节点B/下一代无线电接入技术网络节点B(eNB/gNB)之间的中间人(Man in the Middle，MitM)操纵加密文本。对加密的文本的操纵是严重的威胁，特别是对于导致重定向攻击的信令消息。例如，域名系统(domain name system，DNS)查询消息的重定向。此外，可以通过操纵来自UE的DNS请求消息的DNS服务器互联网协议(IP)地址来执行攻击，从而在攻击者的控制下使DNS请求重定向到恶意DNS服务器而不是预期目的地。因此，需要对用户面上的信令消息进行完整性保护。

3GPP系统在分组数据汇聚协议(PDCP)层支持UP IP(PDCP位于无线电协议栈中)，然而，已经认同的是，在PDCP层的整个分组数据单元(PDU)会话上应用UP IP仅用于保护DNS流量是浪费资源。如5G系统允许在每个分组数据单元(PDU)会话的基础上启用和禁用用户面的完整性保护和/或机密性保护。对PDU会话内数据流量的所有类型()应用保护是无效的；因为并非所有数据流量类型都需要保护。因此，为了避免这样的浪费情况(避免在PDCP层使用UP IP)，要考虑保护DNS流量的其他方法。

因此有必要经由不同的信道为DNS分组提供完整性保护以避免重定向攻击。

发明内容

技术问题

本文实施例的主要目的是提供一种用于使用携带新信息元素(IE)/容器的非接入层NAS消息在注册过程期间通过网络系统来配置UE中的DNS凭证的方法。

本文实施例的另一目的是提供一种用于使用携带新信息元素(IE)/容器的NAS消息在服务请求过程期间通过网络系统来配置UE中的DNS凭证的方法。

本文实施例的另一目的是提供一种用于使用携带新信息元素(IE)/容器的NAS消息在协议数据单元(PDU)会话建立过程期间通过网络系统来配置UE中的DNS凭证的方法。

本文实施例的另一目的是向网络系统通知使用由网络系统提供的DNS配置参数UE支持DNS消息的安全交换。

本文实施例的另一目的是提供一种用于基于UP IP上的网络安全策略配置UE路由选择策略(URSP)以携带用于特殊流量的用户面互联网协议(UP IP)的特殊DNN的方法和装置。

解决方案

相应地，本文实施例提供了一种保护UE中敏感用户面流量的方法。方法包括由UE向网络传输第一NAS消息，该第一NAS消息包括指示UE支持用于数据网络系统(datanetwork system，DNS)的安全通道的指示符；响应于传输第一NAS消息，由UE从网络实体接收包括DNS服务器安全信息的第二NAS消息；基于DNS服务器安全信息，向网络传输基于安全信道的DNS。

在一个实施例中，第一NAS消息包括协议数据单元(PDU)会话建立请求消息、注册请求消息、和服务请求消息之一。

在一个实施例中，第二NAS消息包括PDU会话建立接受消息、注册接受消息、和服务接受消息之一。

在一个实施例中，安全通道包括基于数据包传输层安全性(DTLS)的DNS、基于传输层安全性的DNS(TLS)、和基于超文本传输协议安全(HTTPS)的DNS之一。

在另一实施例中，指示符被包括在第一NAS消息中的协议配置选项中。

在又一实施例中，DNS服务器安全信息被包括在第二NAS消息中的协议配置选项中。

在一个实施例中，DNS服务器安全信息包括以下中的至少一个：安全机制信息、服务端口信息、认证域名信息、用户公钥信息(information on subject public key，SPKI)、根证书信息、原始公钥和根证书信息。

相应地，本文实施例提供了一种网络方法。方法包括由网络从UE接收第一NAS消息，该第一NAS消息包括指示UE支持用于域名系统(DNS)的安全通道的指示符；响应于传输第一NAS消息，从网络向UE传输包括DNS服务器安全信息的第二NAS消息；基于DNS服务器安全信息，由网络从UE接收基于安全通道的DNS。

相应地，本文实施例提供了网络。网络包括存储器、处理器、收发器，并且其中处理器被配置为由网络从UE接收第一NAS消息，该第一NAS消息包括指示UE支持用于域名系统(DNS)的安全通道的指示符；响应于传输第一NAS消息，从网络向UE传输包括DNS服务器安全信息的第二NAS消息；基于DNS服务器安全信息，由网络从UE接收基于安全通道的DNS。

相应地，本文实施例提供了UE。UE包括存储器、处理器、收发器，并且其中处理器被配置为由UE向网络传输第一NAS消息，该第一NAS消息包括指示UE支持用于域名系统(DNS)的安全通道的指示符；响应于传输第一NAS消息，由UE从网络接收包括DNS服务器安全信息的第二NAS消息；基于DNS服务器安全信息，由UE向网络传输基于安全信道的DNS。

当结合以下描述和附图考虑时，将更好地领会和理解本文实施例的这些和其他方面。然而，应该理解的是，以下描述虽然指示了优选的实施例及其众多具体细节，但以说明而非限制的方式给出。在不脱离本实施例的精神的情况下，可以在本文实施例的范围内进行许多变化和修改，并且本文实施例包括所有这些修改。

附图说明

该方法和装置附图中示出，附图中附图标记表示各个图中的对应部分。通过以下参照附图的描述，将更好地理解本文实施例，附图中：

图1A示出了根据如本文所公开的实施例的用于保护用户面(UP)流量的UE的框图；

图1B示出了根据如本文所公开的实施例的用户面安全实体的框图；

图2示出了根据如本文所公开的实施例的用于保护用户面(UP)流量的网络系统的框图；

图3A是示出了根据如本文所公开的实施例的从UE角度保护用户面流量的方法的流程图；

图3B是示出了根据如本文所公开的实施例的从网络系统角度保护用户面流量的方法的流程图；

图4是示出了根据如本文所公开的实施例的用于存储DNS配置参数的容器的示例的示意图；

图5是示出了根据如本文所公开的实施例的使用IP分组过滤器集从应用到适当建立的PDU会话的数据分组的建立和路由的示例的示意图；

图6是示出了根据如本文所公开的实施例的UE配置更新过程的序列图。

具体实施方式

本文实施例及其各种特征和有利细节将参照附图中所示并在以下描述中详述的非限制性实施例得到更充分的解释。省略了对众所周知的组件和处理技术的描述，以免不必要地混淆本文实施例。此外，本文中描述的各种实施例不一定是相互排斥的，因为一些实施例可以与一个或多个其他实施例组合以形成新的实施例。如本文所用，术语“或”是指非排他性的或，除非另有说明。本文中使用的示例仅旨在便于理解本文实施例可以实施的方式，并进一步使本领域技术人员能够实践本文实施例。相应地，不应将示例解释为限制本文实施例的范围。

正如本领域的传统，实施例可以按照执行所描述的一个或多个功能的块来描述和说明。这些块在本文中可称为管理器、单元、模块、硬件组件等，由模拟和/或数字电路物理实现，诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬接线电路等，并且可以可选地由固件驱动。例如，电路可以体现在一个或多个半导体芯片中，或者体现在诸如印刷电路板等的基板支撑物上。构成块的电路可以由专用硬件或由处理器(例如，一个或多个编程的微处理器和相关联的电路)或由执行块的某些功能的专用硬件与执行块的其他功能的处理器的组合来实现。在不脱离本公开的范围的情况下，实施例的每个块可以物理地分离成两个或更多个相互作用且离散的块。同样，实施例的块可以物理地组合成更复杂的块而不脱离本公开的范围。

附图用于帮助容易地理解各种技术特征，并且应该理解，本文中提出的实施例不受附图的限制。照此，本公开应当解释为扩展到除了在附图中特别列出的那些之外的任何改变、等同和替代物。尽管在本文中可以使用术语第一、第二等来描述各种元素，但是这些元素不应受这些术语的限制。这些术语通常仅用于区分一个元素与另一个元素。

相应地，本文实施例提供了一种用于由网络系统在UE中配置DNS服务器或DNS服务信息或DNS凭证的方法和装置。本方法在应用层提供对UP流量(DNS消息)的保护。通过在应用层对DNS消息交换应用保护而不是在PDCP层应用保护，将通过不保护PDU会话的所有数据流量来减少资源消耗。

在一个实施例中，如果从网络系统接收到DNS配置参数，则UE确定其支持DNS消息的安全交换的能力。UE随后通过包括DNS服务器安全信息指示符的非接入层(NAS)消息来向网络系统通知关于DNS消息能力的安全交换。网络系统如果想要强制使用基于安全通道的DNS，则响应NAS消息向UE发送DNS服务器安全信息(DNS配置参数)。然后用DNS配置参数配置UE。DNS消息现在受到保护并与网络系统交换。

与现有的方法和系统不同，所提出的方法在应用层上提供DNS消息保护。

现在参考附图，更具体地参考图1A至图6，示出了优选的实施例，其中相似的附图标记在所有附图中一致地表示相应的特征。

图1A示出了根据如本文所公开的实施例的用于保护敏感用户面流量的UE(100)的框图。例如，UE(100)可以是但不限于社交机器人、智能手表、蜂窝电话、智能电话、个人数字助理(PDA)、平板电脑、膝上型电脑、音乐播放器、视频播放器、物联网(IoT)装置、智能音箱、人工智能(AI)装置等。

在一个实施例中，UE(100)包括存储器(110)、处理器(120)、通信器(130)、UP安全实体(140)和收发器(150)。

存储器(110)存储要由处理器(120)执行的指令。存储器(110)可以包括非易失性存储元件。这样的非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存、或电可编程存储器(EPROM)或电可擦可编程(EEPROM)存储器的形式。此外，在一些示例中，存储器110可以认为是非暂时性存储介质。术语“非暂时性”可以指示存储介质不体现在载波或传播信号中。然而，术语“非暂时性”不应解释为存储器(110)是不可移动的。在一些示例中，存储器(110)可以被配置为存储比存储器更大量的信息。在某些示例中，非暂时性存储介质可以存储可以随时间改变的数据(例如，在随机存取存储器(RAM)或高速缓存中)。存储器(110)可以是内部存储单元或者它可以是UE(100)的外部存储单元、云存储或任何其他类型的外部存储。

在一个实施例中，处理器(120)与存储器(110)、通信器(130)和UP安全实体(140)通信。处理器(120)被配置为执行存储在存储器(110)中的指令并执行各种处理。处理器可以包括一个或多个处理器，可以是诸如中央处理单元(CPU)、应用处理器(AP)等的通用处理器，诸如图形处理单元(GPU)、视觉处理单元(VPU)的仅图形处理单元，和/或诸如神经处理单元(NPU)的人工智能(AI)专用处理器。

在一个实施例中，通信器(130)被配置用于在内部硬件组件之间进行内部通信以及经由一个或多个网络与外部装置进行通信。通信器(130)包括特定于实现有线或无线通信的标准的电子电路。

UP安全实体(140)负责通过向域名系统(DNS)分组提供完整性保护来保护空中交换的DNS分组以避免重定向攻击。UP安全实体(140)使用从网络实体接收的DNS安全凭证来保护DNS分组。

UP安全实体(140)被配置为，如果接收到DNS配置参数，则确定UE(100)支持与DNS服务器安全交换DNS消息。此外，UE(100)在包括DNS服务器安全信息指示符的NAS消息中向网络系统通知UE(100)支持DNS消息的安全交换。如果网络想要强制使用基于安全通道的DNS(例如如果SMF想要禁用PDCP层中的完整性保护并在应用层启用DNS安全性(DTLS/TLS/HTTPS))，则UE(100)响应于NAS消息，接收DNS配置参数。通过使用从网络接收到的DNS配置参数配置UE(100)来保护DNS消息。最后，受保护的DNS分组与网络系统进行交换。

UP安全实体(140)由处理电路实现，诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬接线电路等，并且可以可选地由固件驱动。例如，电路可以体现在一个或多个半导体芯片中，或者体现在诸如印刷电路板等的基板支撑物上。

尽管图1A示出了UE(100)的各种硬件组件，但是应当理解，其他实施例不限于此。在其他实施例中，UE(100)可以包括更少或更多数量的组件。此外，组件的标签或名称仅用于说明目的，并不限制本发明的范围。可以将一个或多个组件组合在一起以执行相同或基本相似的功能以保护用户面流量。

图1B示出了根据本公开实施例的用于保护用户面流量的UP安全实体(140)的框图。

在一个实施例中，UP安全实体(140)包括协议数据单元(PDU)会话管理实体(144)、UE能力确定器(142)和DNS凭证引擎(146)。

在一个实施例中，UE能力确定器(142)由处理电路实现，诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬接线电路等，并且可以可选地由固件驱动。例如，电路可以体现在一个或多个半导体芯片中，或者体现在诸如印刷电路板等的基板支撑物上。

在一个实施例中，UE能力确定器(142)在NAS过程期间在NAS消息中确定UE(100)支持安全交换DNS消息，其中DNS消息使用由网络提供的DNS配置参数来交换。在一个实施例中，NAS过程可以是UE(100)的注册过程。在另一实施例中，NAS过程可以是分组数据网络(PDN)连接过程。在另一实施例中，NAS过程可以是附着过程。在又一实施例中，NAS过程可以是服务请求过程。在又一实施例中，NAS过程可以是协议数据单元(PDU)建立过程。在另一实施例中，UE(100)可以在UE配置更新过程期间通知网络系统。

此外，UE能力确定器(142)向PDU会话管理实体(144)通知UE(100)支持DNS消息的安全交换(例如支持基于数据包传输层安全性(DTLS)的DNS和/或基于传输层安全性(TLS)的DNS和/或基于超文本传输协议安全(HTTPS)的DNS)。

在一个实施例中，PDU会话管理实体(144)由处理电路实现，诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬接线电路等，并且可以可选地由固件驱动。例如，电路可以体现在一个或多个半导体芯片中，或者体现在诸如印刷电路板等的基板支撑物上。

在一个实施例中，在PDU建立过程期间，UE(100)发送PDU会话建立请求以连接到网络系统。PDU会话建立请求包括“安全DNS配置参数请求(DNS服务器安全信息指示符)”作为扩展的协议配置选项(Protocol Configuration Option，PCO)信息元素(IE)的一部分。安全DNS配置参数请求向网络系统指示UE(100)能够实现安全DNS交换功能，并且愿意接受相应的DNS服务器配置参数。

此外，PDU会话建立请求还向网络系统通知关于由UE(100)支持的安全通道。在一个实施例中，安全通道可以是基于数据包传输层安全性(DTLS)的DNS。在另一实施例中，安全通道可以是基于传输层安全性的DNS(TLS)。在又一实施例中，安全通道可以是基于超文本传输协议安全(HTTPS)的DNS。

在一个实施例中，如果网络系统接受PDU会话建立请求，则网络系统向UE(100)发送PDU会话建立接受消息。PDU会话建立接受消息含有扩展的PCO信息元素，该信息元素包括被称为“安全DNS配置参数”的容器，该容器包含DNS服务器安全信息中提到的信息。

将容器“安全DNS配置参数”发送到DNS凭证单元(146)。

在另一实施例中，UE(100)在附着过程期间在对网络系统的附着请求消息中向网络系统通知其安全DNS消息交换的能力。UE(100)包括“安全DNS配置参数请求”作为PCO(协议配置选项)的一部分。安全DNS配置参数请求向网络指示UE能够交换基于诸如传输层安全性(TLS)的安全通道DNS，并愿意接受相应的DNS服务器配置参数。

UE(100)响应于附着请求从网络系统接收“附着完成”消息。附着完成消息包含PCO(协议配置选项)，其包括容器“安全DNS配置参数”，该容器包括DNS服务器安全信息中提到的信息。

在另一实施例中，UE(100)在PDN连接过程期间在对网络系统的PDN连接请求中向网络系统通知其安全DNS消息交换的能力。UE(100)在PDN连接请求中包括“安全DNS配置参数请求”作为PCO(协议配置选项)的一部分。安全DNS配置参数请求向网络指示UE能够交换基于诸如传输层安全性(TLS)的安全通道的DNS，并愿意接受相应的DNS服务器配置参数。

UE(100)响应于附着请求从网络系统接收“PDN连接接受”消息。PDN连接接受消息包括PCO(协议配置选项)，其包含容器“安全DNS配置参数”，该容器包括DNS服务器安全信息中提到的信息。

在另一实施例中，UE(100)在注册过程期间在对网络系统的UE注册请求中向网络系统通知其安全DNS消息交换的能力。UE(100)在注册请求消息中包括“安全DNS配置参数请求”作为PCO(协议配置选项)的一部分。安全DNS配置参数请求向网络系统指示UE能够交换基于诸如传输层安全性(TLS)的安全通道的DNS，并愿意接受相应的DNS服务器配置参数。

响应于来自网络系统(200)的注册请求，UE(100)接收容器中的DNS配置参数。

在上述实施例中，UE(100)从网络系统(200)接收指示特定DNS配置是仅在5GS上有效还是仅在演进分组系统(EPS)上有效或者在EPS或5GS两者中都有效的附加参数。如果UE(100)接收到默认DNS配置仅在5GS上有效的指示，则UE(100)仅在UE(100)接入5GS时使用默认DNS配置。在这种情况下，网络(200)或UE(100)在从5GS到EPS的移动期间隐式(不发送任何会话管理消息)或显式(发起PDU会话释放过程)释放相关的PDU会话。

在另一实施例中，如果UE(100)接收到默认DNS配置仅在EPS上有效的指示，则UE(100)仅在UE(100)接入EPS时使用默认DNS配置。在这种情况下，网络(200)或UE(100)在从EPS到5GS的移动期间隐式(不发送任何会话管理消息)或显式(发起协议数据单元(PDU)会话释放过程)释放相关的PDN连接。

在又一实施例中，如果UE接收到默认DNS配置对5GS和EPS有效的指示，则UE(100)在接入5GS和EPS两者时使用默认DNS配置。在5GS或EPS之间移动期间，相关的PDU会话在EPS和5GS两者中继续。

在一个实施例中，DNS凭证单元(146)由处理电路实现，诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬接线电路等，并且可以选择由固件驱动。例如，电路可以体现在一个或多个半导体芯片中，或者体现在诸如印刷电路板等的基板支撑物上。

DNS凭证单元(146)根据容器确定关于DNS服务器安全信息的信息，安全DNS配置参数。容器包括以下中的至少一个：DNS安全机制信息、DNS安全凭证、DNS服务端口信息、安全配置文件以及支持的服务器证书类型。DNS安全机制信息确定是它基于HTTPS的DNS还是基于TLS的DNS还是基于DTLS的DNS。DNS安全凭证包括用于服务器证书验证的证书颁发机构的根证书或服务器的公钥，以建立无需认证、用户公钥信息(SPKI)和认证域名的TLS会话。DNS服务端口信息指示服务端口可是53或853或<管理员定义的端口>。安全配置文件信息可以指示严格隐私配置文件或机会隐私配置文件。支持的服务器证书类型可以是RawPublicKey(原始公钥)和/或X.509和/或OpenPGP。

在一个实施例中，默认情况下，基于TLS的DNS支持的服务器在端口853上侦听并接受传输控制协议(TCP)连接，除非它通过网络与UE(100)通信以使用除853以外的其他端口用于基于TLS的DNS。

一旦DNS凭证单元(146)确定了DNS配置参数，UE(100)就被配置有DNS配置参数，并且保护DNS消息并通过PDU会话与DNS服务器交换。

图2是根据本公开实施例的与UE(100)通信以提供UP流量保护的网络系统(200)的框图。网络(200)可以是例如但不限于演进节点B(eNB)、下一代无线电接入技术网络节点B(gNB)、接入和移动性管理功能(AMF)、会话管理功能(SMF)、移动性管理实体(MME)、用户面功能(UPF)(203)、域名系统(DNS)服务器，以及应用服务器、数据网络或第五代网络。

如图2所示，网络(200)包括存储器(210)、处理器(220)、通信器(230)、PDU会话管理实体(240)、DNS凭证单元(250)和收发器(260)。

存储器(210)存储要由处理器(220)执行的指令。存储器(210)可以包括非易失性存储元件。这样的非易失性存储元件的示例可以包括磁性硬盘、光盘、软盘、闪存、或电可编程存储器(EPROM)或电可擦可编程(EEPROM)存储器的形式。此外，在一些示例中，存储器(210)可以认为是非暂时性存储介质。术语“非暂时性”可以指示存储介质不体现在载波或传播信号中。然而，术语“非暂时性”不应解释为存储器(210)是不可移动的。在一些示例中，存储器(210)可以被配置为存储比存储器更大量的信息。在某些示例中，非暂时性存储介质可以存储可以随时间改变的数据(例如，在随机存取存储器(RAM)或高速缓存中)。存储器(210)可以是内部存储单元或者它可以是网络系统(200)的外部存储单元、云存储或任何其他类型的外部存储。

在一个实施例中，处理器(220)与存储器(210)、通信器(230)、DNS凭证单元(250)和PDU会话管理实体(240)通信。处理器(220)被配置为执行存储在存储器(210)中的指令并执行各种进程。处理器可以包括一个或多个处理器，可以是诸如中央处理单元(CPU)、应用处理器(AP)等的通用处理器，诸如图形处理单元(GPU)、视觉处理单元(VPU)的仅图形处理单元，和/或诸如神经处理单元(NPU)的人工智能(AI)专用处理器。

在一个实施例中，通信器(230)被配置用于在内部硬件组件之间进行内部通信以及经由一个或多个网络与外部装置进行通信。通信器(230)包括特定于实现有线或无线通信的标准的电子电路。

PDU会话管理实体(240)由处理电路实现，诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬接线电路等，以及可选地可以由固件驱动。例如，电路可以体现在一个或多个半导体芯片中，或者体现在诸如印刷电路板等的基板支撑物上。

在一个实施例中，PDU会话管理实体(240)从UE(100)接收“PDU会话建立请求”以便连接到网络系统(200)。PDU会话建立请求包括“安全DNS配置参数请求”作为扩展的协议配置选项(PCO)的一部分。这指示UE(100)实现安全DNS功能，并且愿意接受相应的DNS服务器配置参数以保护在网络(200)与UE(100)之间交换的DNS消息。

PDU会话管理实体(240)接受从UE(100)接收的PDU会话建立请求，并向UE(100)发送“PDU会话建立接受”消息。该消息包括PCO(协议配置选项)，其包括名为“安全DNS配置参数”的容器。该容器包括DNS服务器安全信息中提到的信息并且由DNS凭证单元(250)负责。作为一个说明性的示例，容器在图4中详细解释。

在一个实施例中，网络系统(200)响应于来自UE(100)的附着请求向UE(100)发送“附着完成”消息。附着完成消息包含PCO(协议配置选项)，其包括容器“安全DNS配置参数”，该容器包括DNS服务器安全信息中提到的信息。

在一个实施例中，网络系统(200)响应于PDN连接请求向UE(100)发送“PDN连接接受”消息。PDN连接接受消息包含PCO(协议配置选项)，其包括容器“安全DNS配置参数”，该容器包括DNS服务器安全信息中提到的信息。

在另一实施例中，网络系统(200)响应于来自UE(100)的注册请求，以容器格式发送DNS配置参数。

在一个实施例中，在UE(100)配置更新过程期间，网络系统(200)可以使用UE(100)配置更新过程来更新UE(100)中的DNS配置。当网络系统(200)系统确定UE(100)需要配置“安全DNS配置参数”时，它在给UE(100)的UE(100)配置更新命令消息中包括容器“安全DNS配置参数”。

在另一实施例中，网络系统(200)通知UE(100)关于新的DNS配置。网络系统(200)决定更改默认DNS配置，然后发起移动性管理(例如，网络发起的服务请求过程或全球唯一临时ID(GUTI)重定位过程)或网络发起的会话管理过程，并在NAS消息中发送这些过程期间新的DNS配置(例如，在网络发起的服务请求过程期间或在PDU会话修改命令中或在PDU会话释放命令或5GSM状态中的服务接受)。当UE(100)接收到新配置时，UE(100)通过发送NAS消息确认接收新的默认DNS配置。UE(100)开始使用新的DNS配置。

在上述实施例中，网络系统(200)可以向UE(100)发送附加参数，指示默认DNS配置是仅在5GS上有效，还是仅在演进分组系统(EPS)上有效，或者在EPS或5GS两者中都有效。

DNS安全凭证单元(250)由处理电路实现，诸如逻辑门、集成电路、微处理器、微控制器、存储器电路、无源电子组件、有源电子组件、光学组件、硬接线电路等，以及可选地由固件驱动。例如，电路可以体现在一个或多个半导体芯片中，或者体现在诸如印刷电路板等的基板支撑物上。

DNS安全凭证单元(204)将DNS配置参数以容器的形式发送给UE(100)。

上述多个模块/组件中的至少一个可以通过人工智能(AI)模型来实现。与AI相关联的功能可以通过存储器110和处理器120执行。一个或多个处理器根据存储在非易失性存储器和易失性存储器中的预定义操作规则或AI模型来控制输入数据的处理。通过训练或学习提供预定义的操作规则或人工智能模型。

这里，通过学习提供意味着，通过将学习进程应用于多个学习数据，来制定期望特性的预定义操作规则或AI模型。学习可以在执行根据实施例的AI的装置本身中执行，和/或可以通过单独的服务器/系统来实现。

AI模型可以由多个神经网络层组成。每层具有多个权重值，并通过前一层的计算和多个权重的运算来执行层运算。神经网络的示例包括但不限于卷积神经网络(CNN)、深度神经网络(DNN)、递归神经网络(RNN)、受限玻尔兹曼机(RBM)、深度置信网络(DBN)、双向递归深度神经网络(BRDNN)、生成对抗网络(GAN)和深度Q网络。

学习算法是一种使用多个学习数据来训练预定目标装置(例如机器人)以使、允许或控制目标装置做出确定或预测的方法。学习算法的示例包括但不限于监督学习、无监督学习、半监督学习或强化学习。

虽然图2示出了网络系统(200)的各种硬件组件，应当理解，其他实施例不限于此。在其他实施例中，网络系统(200)可以包括更少或更多数量的组件。此外，组件的标签或名称仅用于说明目的，并不限制本发明的范围。一个或多个组件可以组合在一起以执行相同或基本相似的功能来管理应用启动。

图3A是示出了根据如本文所公开的实施例的从UE(100)角度保护UP流量的方法的流程图。

在302a，如果从网络系统(200)接收到DNS配置参数，则UE(100)确定UE(100)能够安全交换DNS消息/分组。

在304a，UE(100)在NAS过程中向网络系统(200)通知关于UE(100)安全交换DNS分组/消息的能力。在一个实施例中，UE(100)通过发送第一非接入层(NAS)消息来通知网络系统(200)。此外，UE(100)发起PDU会话建立请求。UE(100)向网络系统(200)发送PDU会话建立请求。PDU会话建立请求包括“安全DNS配置参数请求(DNS服务器安全信息指示符)”作为协议配置选项(PCO)IE的一部分。安全DNS配置参数请求向网络系统指示UE(100)能够实现安全DNS交换功能，并且愿意接受相应的DNS服务器配置参数。在一个实施例中，UE(100)中的PDU会话管理实体(144)发起PDU会话。

在306a，如果PDU会话建立请求被网络系统(200)接受，则UE(100)从网络系统(200)接收PDU会话建立接受消息。在一个实施例中，接受消息是响应于第一NAS消息的第二NAS消息。PDU会话建立接受消息包含PCO，该PCO包括被称为“安全DNS配置参数”的容器，该容器包括DNS服务器安全信息中提到的信息。

在308a，UE(100)被配置有用于保护DNS消息的DNS配置参数，并且与网络中的DNS服务器建立安全通道。

在310a，受保护的DNS分组/消息基于已建立的安全通道与网络系统(200)中的DNS服务器共享。

流程图中的各种动作、行为、块、步骤等可以按照呈现的顺序、以不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过等一些动作、行为、块、步骤等。

图3B是示出了根据如本文所公开的实施例的从网络系统角度保护UP流量的方法的流程图。

在302b，网络系统(200)从UE(100)接收专用PDU会话建立请求。PDU会话建立请求包括“安全DNS配置参数请求”作为协议配置选项(PCO)的一部分。网络系统(200)确定UE(100)能够安全交换DNS消息/分组并且愿意接受相应的DNS服务器配置参数。

在304b，网络系统(200)响应于PDU会话建立请求向UE(100)发送PDU会话建立接受消息。PDU会话建立接受消息包含PCO，该PCO包括被称为“安全DNS配置参数”的容器，该容器包括DNS服务器安全信息中提到的信息。

在306b，如果由UE发起，网络中的DNS服务器建立安全通道。在308b，专用PDU会话被建立并且DNS分组被保护。

在310b，受保护的DNS分组/消息与UE(100)交换。

流程图中的各种动作、行为、块、步骤等可以按照呈现的顺序、以不同的顺序或同时执行。此外，在一些实施例中，在不脱离本发明的范围的情况下，可以省略、添加、修改、跳过等一些动作、行为、块、步骤等。

图4是示出了根据如本文所公开的实施例的包括DNS安全凭证的容器安全DNS配置参数的示例的示意图。

正如所见，容器包括关于不同安全机制的信息。402表示基于HTTP通道的DNS。404表示基于TLS通道的DNS。406表示基于DTLS通道的DNS。另外408表示DNS安全端口等。容器标识符内容字段包括以下参数中的一个：安全协议类型、端口号、认证域名、SPKI pin集、根证书、原始公钥。当需要发送一个以上参数时，则使用具有指示DNS服务器安全信息的容器标识符的多个容器，每个容器包含一个参数。长度为两个八位位组的DNS服务器安全信息的容器标识符内容的第一八位位组包括类型，并且长度为两个八位位组的DNS服务器安全信息的容器标识符内容字段的第一八位位组之外的所有八位位组都包括值部分。如果长度为两个八位位组的DNS服务器安全信息包括安全协议类型，则类型设置为0x00，如果安全协议类型为TLS，则值部分设置为0x00，如果安全协议类型为DTLS，则设置为0x01。如果长度为两个八位位组的DNS服务器安全信息包括端口号，则类型设置为0x01，内容的值部分设置为临时端口。如果长度为两个八位位组的DNS服务器安全信息包括认证域名，则类型设置为0x02，值部分设置认证域名。如果长度为两个八位位组的DNS服务器安全信息包括SPKI pin集，则类型设置为0x03，值部分设置为SPKI pin集(SPKI pin集应按照X 690.3中规定的DER编码)。如果长度为两个八位位组的DNS服务器安全信息包括根证书，则类型设置为0x04，值部分设置为根证书(根证书按照X 690中规定的DER编码)。如果长度为两个八位位组的DNS服务器安全信息包括原始公钥，则类型设置为0x05，值部分设置为原始公钥(原始公钥应按照X 690.3中规定的DER编码)。

此外，容器包括DNS安全凭证、DNS服务端口信息、安全配置文件和支持的服务器证书类型。DNS安全机制信息确定它是基于HTTP的DNS还是基于TLS的DNS还是基于DTLS的DNS。DNS安全凭证包括用于服务器证书验证的证书颁发机构的根证书或服务器的公钥，以建立无需认证的TLS会话、用户公钥信息(SPKI)和认证域名。DNS服务端口信息指示服务端口可是53或853或<管理员定义的端口>。安全配置文件信息可以指示严格隐私配置文件或机会隐私配置文件。支持的服务器证书类型可以是RawPublicKey和/或X.509和/或OpenPGP。

图5是示出了根据如本文所公开的实施例的使用IP分组过滤器集从应用到适当建立的PDU会话的数据分组的建立和路由的示例的示意图。

参照图5示例，UE(500)连接到服务网络。其中服务网络可以是AMF或SMF或URSP。服务网络知道，对于某些DNN或应用，网络策略不是为PDU会话激活加密和/或完整性保护。这样的网络策略可以基于按照DNN本地配置的订阅的UP安全策略和/或用户面安全策略，SMF中的单网络切片选择辅助(S-NSSAI)和/或用于DRB的完整性保护的每个UE的最大支持数据速率和/或DNS服务器不支持安全通道。

在此，服务网络为UE(500)配置UE路由选择策略(URSP)规则，以便需要建立两个PDU会话(DNN1和DNN2)。在一个PDU会话中，基于来自服务网络的用户面安全策略来激活或去激活安全性，及其他PDU会话(例如DNN2)具有完整性保护和加密/不加密(来自SMF的用户面安全策略指示UP完整性保护是“必需的”，对于PDU会话上的所有流量应应用UP完整性保护)，并带有关于哪些应用数据应通过为DNN(DNN2，特殊DNN)建立的PDU会话的过滤器信息。

PCF(H-PCF和/或V-PCF)触发技术规范23.502中规定的UE(500)配置更新过程，向UE(500)发送UE(500)策略容器，包括UE接入选择和PDU会话选择相关的策略信息。策略容器包括URSP规则，以指示对于特定应用或特定DNN或特定S-NSSAI，除了正常的PDU会话(其安全性(加密和/或完整性保护)可不激活(基于用户面安全策略))，需要建立专用PDU会话(附加/特殊DNN)。专用PDU会话应激活PDU会话保护以保护(加密和/或完整性保护)敏感用户面流量(例如DNS、ICMP、SIP等)，即来自SMF的用户面安全策略，指示UP完整性保护是“必需的”，对于PDU会话上的所有流量都应采用UP完整性保护。UE(500)中的应用(可能不知道DNN)，每当请求PDU会话时，UE(500)使用URSP并识别出，对于请求(eMBB切片中的DNN类型IPv4)，它与两个DNN匹配并且UE(500)通过包括DNN1和DNN2(依次)向网络发起两个建立PDU会话的请求。

一旦建立了PDU会话(基于用户面安全强制信息，NG-RAN为PDU会话提供用户面安全策略，并且NG-RAN基于收到的策略配置PDU会话的DRB的安全性)，IP分组过滤器集负责识别适当的PDU会话并路由应用分组，以便应用适当配置的安全机制。IP分组过滤器集使用至少任意10个组合来识别适当的PDU会话。对于IP PDU会话类型，分组过滤器集支持分组过滤器应基于：——源/目标IP地址或IPv6前缀；源/目标端口号；IP/下一个报头类型之上的协议的协议ID；服务类型(TOS)(IPv4)/流量类别(IPv6)和掩码；流标签(IPv6)；安全参数索引；分组过滤器方向。为了说明的目的，在图5中，PDU会话#1、#2、#3属于S-NSSAI-1，PDU会话#4属于S-NSSAI-2，PDU会话#5和#6属于S-NSSAI-3。

在一个实施例中，提供了一种避免DNS服务器查询的中间人攻击的方法。由于一致且重复的中间人攻击很困难，因此确保UE不会最终对已修改的DNS消息采取行动的替代方法是触发背靠背(back to back)重复的DNS查询。这样的重复的次数可以基于实现。每个响应都会被保存，在尝试结束后，应用可以选择重复次数最多的响应。例如，可以将UE/应用配置为在连接到10个PDN/DNN后第一次触发5次DNS查询尝试。可以为所有5次尝试保存响应中接收到的服务器地址。重复次数最多的服务器地址可以看作是从DNS服务器接收到的正确地址。这确保即使有几个DNS响应受到攻击，UE也能够忽略它们并使用来自实际DNS服务器的未更改的响应15的内容。

可以将重新尝试限制为仅在PDN/PDU会话建立后第一次发出的DNS查询。连续DNS查询的间隔和尝试次数可以由实现来决定。

在一个实施例中，网络(例如gNB/eNB/PGW/UPF)可以从用户面流量(可用于特定协议，如DNS、ICMP、SIP)上的UE识别不适当的TTL值(例如在网络共享(tethering)的情况下，除了64/128/255和63/127/254之外)并丢弃怀疑其为操纵的分组5的分组(因为EPS/5GS是从UE接收分组的第一跳)。

在一个实施例中，UE(500)(可以基于配置)总是向主DNS服务器和辅DNS服务器发送针对相同查询的2个DNS请求。这样攻击者猜测可能会出错。

在一个实施例中，UE(500)不使用标准配置的TTL值，而是使用范围(例如64到255之间)之间的随机值。从而不可能对目标IP地址进行任何操作并使用TTL进行补偿。

在一个实施例中，运营商网络(例如，PGW或UPF)中的网关功能可以重写和随机化下行链路IP分组中的IP-Identification(IP-标识)字段，如果它们没有分段的话。这样，就不可能对目标IP地址进行任何操作并使用IP-Identification(标识)字段进行补偿。

在一个实施例中，运营商网络(例如，PGW或UPF)中的网关功能可以计算和重写下行链路DNS分组的UDP校验和。这样，对目标IP地址的任何操作都会使UDP校验和失效，并且接收UE(500)将弃掉分组，从而使攻击无效。

图6是示出了根据如本文所公开的实施例的UE配置的更新过程的序列的序列图。

如图6所示，UE(600)经过无线接入网络(RAN)(602)与策略控制功能PCF(606)以及接入和移动性管理功能(AMF)(604)进行通信，PCF决定更新UE策略。

在0处，PCF(608)决定更改UE(600)策略。在1处，PCF(608)向AMF(604)发送“Namfcommunication_N1N2 message transfer(Namf通信_N1N2消息传输)”。在2处，网络触发服务请求。在3处，UE策略传递给UE(600)、AMF(604)和RAN(602)。在4处，UE策略的传递结果与AMF(604)和RAN(602)共享。在5处，“Namf communication_N1message notify(Namf通信_N1消息通知)”与PCF(608)共享。

具体实施例的上述描述将如此充分地揭示本文中实施例的一般性质，以致其他人可以通过应用当前知识，在不背离一般概念的情况下，容易地修改和/或适应这些具体实施例的各种应用，并且因此，这样的适应和修改应该并且旨在于所公开的实施例的等同的含义和范围内领会。应当理解，本文中使用的措辞或术语是为了描述而不是限制的目的。因此，尽管已经根据优选的实施例描述了本文中的实施例，但是本领域技术人员将认识到，可以在如本文中描述的实施例的精神和范围内通过修改来实践本文中的实施例。

Claims (15)

1.一种用户设备(UE)的方法，所述方法包括：

向网络传输第一NAS消息，所述第一NAS消息包括指示所述UE支持用于域名系统(DNS)的安全通道的指示符；

响应于传输所述第一NAS消息，从所述网络接收包括DNS服务器安全信息的第二NAS消息；

基于所述DNS服务器安全信息，向所述网络传输基于所述安全通道的所述DNS。

2.根据权利要求1所述的方法，其中，所述第一NAS消息包括协议数据单元(PDU)会话建立请求消息、注册请求消息、和服务请求消息之一。

3.根据权利要求1所述的方法，其中，所述第二NAS消息包括PDU会话建立接受消息、注册接受消息、和服务接受消息之一。

4.根据权利要求1所述的方法，其中，所述安全通道包括基于数据包传输层安全性(DTLS)的DNS、基于传输层安全性(TLS)的DNS、和基于超文本传输协议安全(HTTPS)的DNS之一。

5.根据权利要求2所述的方法，其中，所述指示符被包括在所述第一NAS消息中的协议配置选项中。

6.根据权利要求3所述的方法，其中，所述DNS服务器安全信息被包括在所述第二NAS消息中的协议配置选项中。

7.根据权利要求1所述的方法，其中，所述DNS服务器安全信息包括以下中的至少一个：安全机制信息、服务端口信息、认证域名信息、用户公钥信息(SPKI)、根证书信息、原始公钥信息。

8.一种网络的方法，所述方法包括：

从用户设备(UE)接收第一NAS消息，所述第一NAS消息包括指示所述UE支持用于域名系统(DNS)的安全通道的指示符；

响应于传输所述第一NAS消息，向UE传输包括DNS服务器安全信息的第二NAS消息；

基于所述DNS服务器安全信息，从所述UE接收基于所述安全通道的所述DNS。

9.根据权利要求8所述的方法，其中，所述第一NAS消息包括协议数据单元(PDU)会话建立请求消息、注册请求消息、和服务请求消息之一，并且

其中，所述第二NAS消息包括PDU会话建立接受消息、注册接受消息、和服务接受消息之一。

10.根据权利要求8所述的方法，其中，所述安全通道包括数据包传输层安全性(DTLS)、传输层安全性(TLS)、和超文本传输协议安全(HTTPS)之一。

11.根据权利要求9所述的方法，其中，所述指示符被包括在所述第一NAS消息中的协议配置选项中。

12.根据权利要求9所述的方法，其中，所述DNS服务器安全信息被包括在所述第二NAS消息中的协议配置选项中。

13.根据权利要求8所述的方法，其中，所述DNS服务器安全信息包括以下中的至少一个：安全机制信息、服务端口信息、认证域名信息、用户公钥信息(SPKI)、根证书信息、原始公钥信息。

14.一种用户设备(UE)，所述UE包括：

收发器；以及

处理器，被配置为执行根据权利要求1至7中任一项所述的方法。

15.一种网络，所述网络包括：

收发器；以及

处理器，被配置为执行根据权利要求8至13中任一项所述的方法。

Images