CN116349265A - 用于使得能够开放关于加密通信的信息的技术 - Google Patents
用于使得能够开放关于加密通信的信息的技术 Download PDFInfo
- Publication number
- CN116349265A CN116349265A CN202180071282.2A CN202180071282A CN116349265A CN 116349265 A CN116349265 A CN 116349265A CN 202180071282 A CN202180071282 A CN 202180071282A CN 116349265 A CN116349265 A CN 116349265A
- Authority
- CN
- China
- Prior art keywords
- network node
- application
- application server
- mobile communication
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 181
- 238000000034 method Methods 0.000 title claims abstract description 146
- 238000010295 mobile communication Methods 0.000 claims abstract description 118
- 230000015654 memory Effects 0.000 claims description 26
- 230000000153 supplemental effect Effects 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 230000003213 activating effect Effects 0.000 claims description 2
- 230000006870 function Effects 0.000 description 35
- 230000007246 mechanism Effects 0.000 description 13
- 238000007726 management method Methods 0.000 description 8
- 230000011664 signaling Effects 0.000 description 6
- 230000032258 transport Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 239000000203 mixture Substances 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000010791 quenching Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000009046 primary transport Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
公开了一种用于使得能够开放关于移动通信系统中的用户设备(UE)与应用服务器之间的加密通信的信息的技术。该技术的方法实现方式由UE执行,并且包括建立(S302)与移动通信系统的网络节点的通信信道,该通信信道被建立为UE与应用服务器之间的应用层通信信道的一部分,其中网络节点在UE与应用服务器之间的通信中充当应用层代理,以及通过通信信道向网络节点发送(S304)加密业务,以进一步递送到应用服务器,其中通信信道用于在UE与网络节点之间交换与加密业务相关的补充信息。
Description
技术领域
本公开总体上涉及移动通信系统。具体而言,提出了一种用于使得能够开放关于移动通信系统中的用户设备(UE)与应用服务器之间的加密通信的信息的技术。该技术可以在方法、计算机程序、装置和系统中具体实施。
背景技术
诸如第四代(4G)或第五代(5G)移动通信系统的现代移动通信系统基于控制和用户平面分离(CUPS)架构,其中用户平面节点和控制平面节点彼此分离,其中用户平面通常专用于携带用户业务,而控制平面专用于携带网络中的控制信令。
图1示出了5G网络的示例性架构,其中用户平面携带在数据网络(DN)中运行的应用服务器与UE之间交换的业务,其中作为无线电接入网(RAN)的基站运行的下一代NodeB(gNB)以及作为网络的网关节点运行的用户平面功能(UPF)代表了用户平面节点。另一方面,图1中所示的其他节点代表网络的控制平面节点,包括接入和移动性管理功能(AMF)、会话管理功能(SMF)、认证服务器功能(AUSF)、网络切片选择功能(NSSF)、网络开放功能(NEF)、NF储存库功能(NRF)、策略控制功能(PCF)、统一数据储存库(UDR)和应用功能(AF),其中,AMF负责例如认证、授权和移动性管理,SMF负责例如会话管理以及UPF选择和控制,AUSF存储UE的认证数据,NSSF负责网络切片选择,NEF开放5G网络的网络功能(NF)的服务和能力,NRF提供对NF服务发现功能的支持,PCF负责策略控制以支持服务质量(QoS)管理,UDR例如可由PCF用来存储策略相关数据,以及AF例如向PCF提供关于分组流的信息。
PCF通常支持统一的策略框架来管理网络行为,并且更具体地,向策略和计费执行功能(PCEF)(诸如SMF/UPF,它们可以根据所提供的PCC规则来一起执行策略和计费决策)提供策略和计费控制(PCC)规则。因此,SMF从PCF接收PCC规则,并且相应地配置UPF。UPF支持基于从SMF接收的规则来处理用户平面业务并相应地应用不同的执行动作(例如,关于QoS、计费等)。为此,UPF支持深度分组检查(DPI)功能,以监测在DN的应用服务器与UE之间交换的业务。
通过NEF,网络支持允许在内容提供商与移动通信系统的网络运营商之间开放服务和信息的开放框架,其中内容提供商提供DN中的应用服务器以及用于在UE上执行的对应应用客户端(例如,YouTube应用服务器和安装在UE上的对应的YouTube app)。NEF可以包括分组流描述功能(PFDF),该功能处理与应用标识符相关联的分组流描述(PFD),并且将它们传送到SMF,后者进而向UPF发送PFD,使得UPF能够在执行DPI时执行准确的基于分组流的应用检测。NEF与应用服务器之间的Nnef接口允许应用服务器访问由NEF开放的NF的服务和能力。仅作为示例,开放框架可以用于帮助网络运营商对用户的应用数据业务进行分类,这可以通过Nnef北向PFD管理应用编程接口(API)来完成,内容提供商可经由该API向网络运营商发送应用的要被应用的数据业务分类规则(例如,以PFD的形式)。
如今,普遍趋势是增加业务加密的使用。在这种趋势下,将开放信息与对应用户的数据业务相互联系将变得越来越困难。例如,这将适用于使用快速用户数据报协议(UDP)互联网连接(QUIC)协议进行通信的应用。QUIC是基于UDP的流复用安全传输协议,支持被完整性保护的报头和被加密的有效载荷。QUIC在将来可能是成为移动通信系统的用户平面中的主要传输协议的潜在候选者,并且今天主要在超文本传输协议(HTTP)或超文本传输协议安全(HTTPS)上运行的许多应用可能被期望迁移到QUIC。然而,加密阻止了当前的开放机制对业务进行检测和分类,并且对于加密业务,诸如上述对用户的应用数据业务的分类之类的用例可能不再可能。应当理解,相同的问题不仅适用于使用QUIC协议的通信,还可能发生在诸如HTTPS、加密的传输层安全性(TLS)报头(如服务器名称指示(SNI))、HTTPS域名系统(DNS)(DoH)等其他加密技术的情况下。
发明内容
因此,需要一种技术,该技术即使应用业务被加密的情况下也允许网络运营商和内容提供商支持开放机制。
根据第一方面,提供了一种用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息的方法。该方法由UE执行,并且包括:建立与移动通信系统的网络节点的通信信道,该通信信道被建立为UE与应用服务器之间的应用层通信信道的一部分,其中网络节点在UE与应用服务器之间的通信中充当应用层代理;以及通过通信信道向网络节点发送加密业务,以进一步递送到应用服务器,其中通信信道用于在UE与网络节点之间交换与加密业务相关的补充信息。
补充信息可以包括从UE传送到网络节点的应用标识符,该应用标识符指示在UE上发起加密业务的应用。应用标识符可将被网络节点使用来对加密业务进行分类,可选地用于执行为UE与应用服务器之间的通信定义的策略规则。加密业务可以作为多个应用会话中的一个应用会话的一部分进行传送,其中该多个应用会话中的每一个应用会话的加密业务可以通过通信信道来发送,其中该多个应用会话中的每一个应用会话的加密业务可以通过由移动通信系统为UE建立的同一数据会话来发送。
加密业务可以对应于在UE与应用服务器之间交换的基于QUIC协议的业务。补充信息可以包括指示与应用标识符相关联的一个或多个QUIC连接的信息。应用标识符可以连同加密业务一起被从UE传送到网络节点,其中在将加密业务传送到应用服务器之前,应用标识符可将由网络节点移除。通信信道可以是加密通信信道和认证通信信道中的至少一个。
该方法还可以包括接收指示充当应用层代理的网络节点的网络地址,其中建立与网络节点的通信信道可以是使用网络地址来执行的。网络地址可以由移动通信系统的控制平面节点提供,可选地作为在移动通信系统中为UE执行的数据会话建立过程的一部分来提供。此外,网络地址可以从DNS服务获得。充当应用层代理的网络节点的完全合格域名(FQDN)可以作为服务级别协议(SLA)的一部分被预先提供。
根据第二方面,提供了一种用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息的方法。该方法由移动通信系统的网络节点执行,并且包括:基于UE的请求建立与UE的通信信道,该通信信道被建立为UE与应用服务器之间的应用层通信信道的一部分,其中网络节点在UE与应用服务器之间的通信中充当应用层代理;以及通过通信信道从UE接收加密业务,以进一步递送到应用服务器,其中通信信道用于在UE与网络节点之间交换与加密业务相关的补充信息。
根据第二方面的方法可以从与根据第一方面的方法有关的上述网络节点的角度来定义方法。如在第一方面的方法中,补充信息可以包括从UE传送到网络节点的应用标识符,该应用标识符指示在UE上发起加密业务的应用。网络节点可以使用应用标识符来对加密业务进行分类,可选地用于执行为UE与应用服务器之间的通信定义的策略规则。加密业务可以作为多个应用会话中的一个应用会话的一部分进行传送,其中该多个应用会话中的每一个应用会话的加密业务可以通过通信信道来发送,其中该多个应用会话中的每一个应用会话的加密业务可以通过由移动通信系统为UE建立的同一数据会话来发送。
加密业务可以对应于在UE与应用服务器之间交换的基于QUIC协议的业务。补充信息可以包括指示与应用标识符相关联的一个或多个QUIC连接的信息。应用标识符可以连同加密业务一起被从UE传送到网络节点,其中在将加密业务传送到应用服务器之前,网络节点可以移除应用标识符。通信信道可以是加密通信信道和认证通信信道中的至少一个。
该方法还可以包括:在建立通信信道之前,向移动通信系统的控制平面节点发送能力指示,以在选择充当UE与应用服务器之间的通信的应用层代理的网络节点时使用,该能力指示表明网络节点支持充当应用层代理。该方法还可以包括:在建立通信信道之前,从移动通信系统的控制平面节点接收充当应用层代理的指令,并且根据该指令来激活充当应用层代理。该方法还可以包括:在建立通信信道之前,向移动通信网络的控制平面节点提供指示充当应用层代理的网络节点的网络地址。可以将以下至少一项作为在移动通信系统中为UE执行的数据会话建立过程的一部分来执行:发送能力指示、接收充当应用层代理的指令、以及提供网络地址。
根据第三方面,提供了一种用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息的方法。该移动通信系统包括网络节点,该网络节点被配置为当将通信信道建立为UE与应用服务器之间的应用层通信信道的一部分时,在UE与应用服务器之间的通信中充当应用层代理,该通信信道用于将加密业务从UE传送到网络节点以进一步递送到应用服务器,并且该通信信道用于在UE与网络节点之间交换与加密业务相关的补充信息。该方法由移动通信系统的第一控制平面节点执行,并且包括:从网络节点接收能力指示,以在选择充当UE与应用服务器之间的通信的应用层代理的网络节点时使用,该能力指示表明网络节点支持充当应用层代理。
根据第三方面的方法可以从与根据第一方面和第二方面的方法中的至少一个有关的上述控制平面节点的角度来定义方法。第一控制平面节点可以是负责网络节点选择的控制平面节点,其中该方法还可以包括:可选地从第二控制平面节点接收对以下要求的指示:处理UE与应用服务器之间的通信的网络节点要支持充当应用层代理;基于能力指示选择该网络节点用于UE与应用服务器之间的通信;以及指示该网络节点充当应用层代理。该方法还可以包括:从网络节点接收指示充当应用层代理的该网络节点的网络地址,并且可选地经由移动通信系统的一个或多个其他控制平面节点向UE提供该网络地址。可以将以下至少一项作为在移动通信系统中为UE执行的数据会话建立过程的一部分来执行:接收对要求的指示、以及提供网络地址。
根据第四方面,提供了一种用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息的方法。该移动通信系统包括网络节点,该网络节点被配置为当将通信信道建立为UE与应用服务器之间的应用层通信信道的一部分时,在UE与应用服务器之间的通信中充当应用层代理,该通信信道用于将加密业务从UE传送到网络节点以进一步递送到应用服务器,并且该通信信道用于在UE与网络节点之间交换与加密业务相关的补充信息。该方法由移动通信系统的第二控制平面节点执行,并且包括:可选地向第一控制平面节点提供对以下要求的指示:处理UE与应用服务器之间的通信的网络节点要支持充当应用层代理。
根据第四方面的方法可以从与根据第一方面和第二方面的方法中的至少一个有关的上述控制平面节点的角度来定义方法。第二控制平面节点可以是负责策略控制的控制平面节点,其中对要求的指示可以被以策略规则的形式提供给第一控制平面节点。该要求可以是从移动通信系统的存储订户数据的数据储存库获得的,其中该要求可以是以订户策略数据的形式从数据储存库获得的。该要求可以最初由应用服务器设置,并且被经由移动通信系统的开放接口传送到移动通信系统。可以将提供对要求的指示作为在移动通信系统中为UE执行的数据会话建立过程的一部分来执行。
根据第五方面,提供了一种计算机程序产品。该计算机程序产品包括程序代码部分,用于当在一个或多个计算设备(例如,处理器或分布式处理器组)上执行该计算机程序产品时,执行第一、第二、第三和第四方面中的至少一个方面的方法。计算机程序产品可以存储在计算机可读记录介质上,诸如半导体存储器、DVD、CD-ROM等。
根据第六方面,提供了一种UE,用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息。该UE包括至少一个处理器和至少一个存储器,其中该至少一个存储器包含能够由该至少一个处理器执行的指令,使得该UE可操作来执行本文中关于第一方面给出的任何方法步骤。
根据第七方面,提供了一种计算单元,该计算单元被配置为实现移动通信系统的网络节点,用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息。该计算单元包括至少一个处理器和至少一个存储器,其中该至少一个存储器包含能够由该至少一个处理器执行的指令,使得该网络节点可操作来执行本文关于第二方面给出的任何方法步骤。
根据第八方面,提供了一种计算单元,该计算单元被配置为实现移动通信系统的第一控制平面节点,用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息。该计算单元包括至少一个处理器和至少一个存储器,其中该至少一个存储器包含能够由该至少一个处理器执行的指令,使得该第一控制平面节点可操作来执行本文关于第三方面提出的任何方法步骤。
根据第九方面,提供了一种计算单元,该计算单元被配置为实现移动通信系统的第二控制平面节点,用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息。该计算单元包括至少一个处理器和至少一个存储器,其中该至少一个存储器包含能够由该至少一个处理器执行的指令,使得该第二控制平面节点可操作来执行本文关于第四方面提出的任何方法步骤。
根据第十方面,提供了一种系统,该系统包括根据第六方面的UE和根据第七方面的计算单元,可选地包括根据第八方面的计算单元,以及进一步可选地包括根据第九方面的计算单元。
附图说明
下面参考附图描述了本文给出的技术的实现方式,其中:
图1示出了5G系统的通用3GPP参考架构的概述;
图2a至图2d示出了根据本公开的移动通信系统的UE、被配置为实现网络节点的计算单元、被配置为实现第一控制平面节点的计算单元和被配置为实现第二控制平面节点的计算单元的示例性组成;
图3示出了根据本公开的可以由UE执行的方法;
图4示出了根据本公开的可以由网络节点执行的方法;
图5示出了根据本公开的可以由第一控制平面节点执行的方法;
图6示出了根据本公开的可以由第二控制平面节点执行的方法;
图7a至图7c示出了根据本公开的移动通信系统的实体之间的示例性交互的信令图;
图8示出了对现有UPF能力报告的示例性扩展,其中指示支持由UPF充当QUIC代理;
图9a和图9b示出了PFCP协议的示例性扩展,其中指示了将由UPF应用的QUIC代理指令;以及
图10示出了PFCP协议的示例性扩展,其中指示了成功激活UPF作为QUIC代理和对应的QUIC代理IP地址。
具体实施方式
在以下描述中,出于解释而非限制的目的,阐述了具体细节,以便提供对本公开的透彻理解。对于本领域技术人员来说,很明显,本公开可以在脱离这些具体细节的其他实施例中实施。
本领域的技术人员将进一步理解,可以使用单独的硬件电路、使用结合编程微处理器或通用计算机运行的软件、使用一个或多个专用集成电路(ASIC)和/或使用一个或多个数字信号处理器(DSP)来实现下面解释的步骤、服务和功能。还应当理解,当根据方法描述本公开时,其也可以在一个或多个处理器和耦合到该一个或多个处理器的一个或多个存储器中实现,其中该一个或多个存储器编码有一个或多个程序,该一个或多个程序在由该一个或多个处理器执行时执行本文公开的步骤、服务和功能。
图2a示意性地示出了UE 200的示例性组成,用于使得能够开放关于移动通信系统中的UE 200与应用服务器之间的加密通信的信息。UE 200包括至少一个处理器202和至少一个存储器204,其中该至少一个存储器204包含能够由该至少一个处理器202执行的指令,使得UE 200可操作来执行下面参考“UE”描述的方法步骤。
图2b示意性地示出了计算单元210的示例性组成,该计算单元被配置为实现移动通信系统的网络节点,用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息。计算单元210包括至少一个处理器212和至少一个存储器214,其中该至少一个存储器214包含能够由该至少一个处理器212执行的指令,使得网络节点可操作来执行下面参考“网络节点”描述的方法步骤。
图2c示意性地示出了计算单元220的示例性组成,该计算单元被配置为实现移动通信系统的第一控制平面节点,用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息。计算单元220包括至少一个处理器222和至少一个存储器224,其中该至少一个存储器224包含能够由该至少一个处理器222执行的指令,使得第一控制平面节点可操作来执行下面参考“第一控制平面节点”描述的方法步骤。
图2d示意性地示出了计算单元230的示例性组成,该计算单元被配置为实现移动通信系统的第二控制平面节点,用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息。计算单元230包括至少一个处理器232和至少一个存储器234,其中该至少一个存储器234包含能够由该至少一个处理器232执行的指令,使得第二控制平面节点可操作来执行下面参考“第二控制平面节点”描述的方法步骤。
应当理解,计算单元210、计算单元220和计算单元230中的每一个都可以在物理计算单元或虚拟化计算单元(诸如例如虚拟机)上实现。还将理解,计算单元210、计算单元220和计算单元230中的每一个不一定在独立的计算单元上实现,而是也可以作为驻留在多个分布式计算单元上的组件(以软件和/或硬件实现)来实现,诸如例如在云计算环境中。
图3示出了可以由UE 200执行的方法。该方法专用于使得能够开放关于移动通信系统中的UE(例如,UE 200)与应用服务器之间的加密通信的信息。在步骤S302中,UE可以与移动通信系统的网络节点(例如,在计算单元210上实现的网络节点)建立通信信道,该通信信道被建立为UE与应用服务器之间的应用层通信信道的一部分,其中网络节点在UE与应用服务器之间的通信中充当应用层代理。在步骤S304中,UE可以通过通信信道向网络节点发送加密业务,以进一步递送到应用服务器,其中通信信道用于在UE与网络节点之间交换与加密业务相关的补充信息。
通过将通信信道建立为UE与应用服务器之间的应用层通信信道的一部分,并且在UE与应用服务器之间的通信中使用网络节点作为应用层代理,网络节点可以在UE与应用服务器之间的通信中形成中间端点。UE与应用服务器之间的应用层通信信道因此可以被分成多个部分,其中在UE与网络节点之间建立的通信信道可以形成整个应用层通信信道的以UE和网络节点作为端点的第一部分,并且其中在网络节点与应用服务器之间建立的另一通信信道可以形成整个应用层通信信道的以网络节点和应用服务器作为端点的第二部分。如本领域技术人员将理解,应用层可以是通信协议栈的传输层和网络层之上的层。可以使用在将要与应用服务器通信的UE上运行的应用客户端来建立通信信道。
网络节点可以充当代理,即,充当中间实体,该中间实体在客户端与服务器(即,在当前情况下是UE/应用客户端和应用服务器)之间传递请求和响应,并且可以可选地修改请求或响应以提供一些附加的服务(普通代理的典型服务,不一定与本文给出的技术相关,可以包括媒体类型转换、协议简化、匿名过滤等)。与所谓的“透明代理”相比,后一种代理类型通常被称为“非透明代理”,所谓的“透明代理”通常不超出代理认证和识别所需来修改请求或响应。
作为UE与应用服务器之间的通信中的中间端点,网络节点可以在业务被转发到作为最终目的地的应用服务器之前,对从UE接收的加密业务进行解密(当然,应当理解,这同样适用于另一通信方向)。因此,网络节点可以访问加密业务的明文,并且可以使用明文(例如,在执行分组检查时)向移动通信系统的网络运营商(或者更一般地,向网络)开放(或者“提供”)与加密业务相关的信息。因此,在UE与网络节点之间建立的通信信道可以用于在UE与网络节点之间交换与加密业务相关的补充信息(即,要开放的信息)。例如,补充信息可以要是从内容提供商提供给网络运营商的信息,或者可以是要从网络运营商提供给内容提供商的信息。向网络运营商(或者更一般地,向网络)提供信息可以涉及向移动通信系统的另一个网络实体提供信息。向内容提供商提供信息可以涉及向由内容提供商提供的应用服务器提供信息,或者向由内容提供商提供的运行在UE上的应用客户端提供信息。仅作为示例,应用服务器可以是YouTube应用服务器,应用客户端可以是安装在UE上的YouTube app,YouTube是内容提供商。
在补充信息将从内容提供商提供给网络运营商的一个变型中,补充信息可以包括从UE传送到网络节点的应用标识符,其中应用标识符指示在UE上发起加密业务的应用。在这种情况下,应用标识符可以由内容提供商(同样,其是提供在UE上运行的应用(诸如YouTube app)的内容提供商)提供,并且可以作为与加密业务相关的补充信息通过通信信道传送到网络节点,从而使得网络节点能够将从内容提供商提供的应用标识符开放给网络运营商(或者更一般地,开放给网络),并且允许网络运营商对应用业务进行分类,即使业务是加密的。应用标识符本身可以被网络节点用来对加密业务进行分类,可选地用于执行为UE与应用服务器之间的通信定义的策略规则。
在另一变型中,补充信息将从网络运营商提供给内容提供商,补充信息可以包括由网络运营商(或者更一般地,由网络)确定的信息,诸如用户的剩余配额。这样确定的信息可以从网络节点传送到UE(或者,更具体地,传送到应用客户端,诸如在UE上运行的YouTubeapp),从而向内容提供商通知所确定的信息,并且使得UE能够例如向应用客户端的用户通知他的剩余配额。应当理解,这仅仅是示例性的用例,并且可以通过类似的方式使用所提出的技术来一般性地在内容提供商与网络运营商之间交换与加密业务相关的信息,从而允许网络运营商和内容提供商都支持开放机制,即使应用业务通常是加密的。
例如,移动通信系统可以是4G网络或5G网络,但是应当理解,本文给出的技术的原理同样可以用于其他类型的移动通信系统。如上面参考图1所解释的,可以在连接到移动通信系统的DN中提供应用服务器。网络节点可以是移动通信系统的任何网络节点,特别是移动通信系统的核心网络(CN)的网络节点。在一种变型中,网络节点可以是移动通信系统的网关节点,诸如例如5G网络的UPF或4G网络的分组数据网络(PDN)网关用户平面功能(PGW-U)或业务检测功能用户平面功能(TDF-U)。在这种情况下,如上所述,在业务被转发到应用服务器之前,网关节点可以应用分组检查(例如,DPI)技术来从加密业务(的明文)中提取要开放的补充信息。然而,应当理解,也可以采用根据本文给出的技术充当应用层代理的其他类型的网络节点,诸如例如服务链架构中的外部服务功能(SF)或移动通信系统的AF。
实际上,一旦移动通信系统已经为UE建立了数据会话,诸如5G网络的情况下的协议数据单元(PDU)会话(该数据会话对应于移动通信网络在UE与应用服务器之间建立的逻辑连接),充当应用层代理的网络节点可以用于处理同一数据会话上的多个应用会话。因此,加密业务可被作为多个应用会话的一部分来传送,其中该多个应用会话中的每一个应用会话的业务可以通过通信信道来发送,其中该多个应用会话中的每一个应用会话的加密业务可以通过移动通信系统为UE建立的同一数据会话来发送。在一种变型中,加密业务可以对应于在UE与应用服务器之间交换的基于QUIC协议的业务,在这种情况下,网络节点可以在用户的所建立的数据会话(例如,PDU会话)期间使用QUIC作为传输协议来处理任何应用会话。在这种情况下,应用层代理可以是QUIC代理,即使用QUIC协议接收来自UE的加密业务并且将其转发给应用服务器的代理。它也可以基于任何类似的协议,或任何构建在QUIC上的协议,如当前由IETF开发的MASQUE(基于QUIC加密的多路复用应用基层)。如果补充信息包括从UE传送到网络节点的应用标识符,如上所述,则补充信息还可以包括指示与应用标识符相关联的一个或多个QUIC连接的信息。以这种方式,通信信道也可以用于交换例如关于应用标识符与哪些QUIC连接相关联的信息。
虽然应当理解,可以通过通信信道将应用标识符与加密业务分开地从UE传送到网络节点,但是在一个变型中,应用标识符可以与加密业务一起发送。在这种情况下,网络节点可以在将业务传递给应用服务器之前从业务中移除应用标识符。在这种情况下,网络节点可以充当“非透明”应用层代理,提供超出仅仅向应用服务器转发业务的附加服务。应用标识符可以是可从加密业务中移除的,因为在网络节点对其进行处理(开放)之后,在去往应用服务器的进一步路径中可能不再需要该标识符。因此,可以将应用标识符连同加密业务一起从UE传送到网络节点,其中在将加密业务传送到应用服务器之前,网络节点可以移除应用标识符。对于网络运营商与内容提供商之间的安全开放,可以采用加密和/或认证,诸如例如通过使用QUIC协议。因此,通信信道可以是加密通信信道和认证通信信道中的至少一个。
为了能够在应用层(即,UE上运行的应用客户端与充当应用层代理的网络节点之间)建立与网络节点的通信信道,网络节点可能需要知道网络节点的网络地址(例如,互联网协议(IP)地址)。因此,可以向UE通知到达网络节点所需的网络地址,因此,由UE执行的方法还可以包括接收指示充当应用层代理的网络节点的网络地址,其中可以使用该网络地址来执行与网络节点建立通信信道。
为了向UE通知网络地址,可以想到各种发现机制。在一种变型中,网络地址可以由移动通信系统的控制平面节点提供给UE,可选地作为在移动通信系统中为UE执行的数据会话建立过程的一部分来提供。例如,在5G网络中,这种数据会话建立过程可以对应于PDU会话建立过程,作为该过程的一部分,网络地址可以被提供给UE。网络节点因此可以经由非接入层(NAS)信令从控制平面节点接收网络地址。例如,可以从5G网络的SMF接收网络地址,可选地经由AMF。为了避免通过NAS信令影响UE调制解调器,其他发现机制可以在UE应用层操作,诸如基于DNS的发现或者通过作为SLA协议的一部分预先提供给UE的FQDN。在一个这样的变型中,因此可以从DNS服务获得网络地址。此外,例如,充当应用层代理的网络节点的FQDN可以作为SLA的一部分来预先提供。
图4示出了可以由在计算单元210上实现的网络节点执行的方法。该方法专用于使得能够开放关于移动通信系统中的UE(例如,UE 200)与应用服务器之间的加密通信的信息。图4的方法可以从上面关于图3描述的网络节点的角度来定义方法,因此,上面描述的UE和网络节点的各方面也可以适用于下面描述的UE和网络节点,反之亦然。因此在下文中省略了不必要的重复。
在步骤S402中,网络节点可以基于UE的请求建立与UE的通信信道,该通信信道被建立为UE与应用服务器之间的应用层通信信道的一部分,其中网络节点在UE与应用服务器之间的通信中充当应用层代理。在步骤S404中,网络节点可以通过通信信道从UE接收加密业务,以进一步递送到应用服务器,其中通信信道用于在UE和网络节点之间交换与加密业务相关的补充信息。
如上关于图3所述,补充信息可以包括从UE传送到网络节点的应用标识符,其中应用标识符指示在UE上发起加密业务的应用。网络节点可以使用应用标识符来对加密业务进行分类,可选地用于执行为UE与应用服务器之间的通信定义的策略规则。加密业务可被作为多个应用会话中的一个应用会话的一部分来传送,其中该多个应用会话中的每一个应用会话的加密业务可被通过通信信道来发送,其中该多个应用会话中的每一个应用会话的加密业务可被通过移动通信系统为UE建立的同一数据会话来发送。加密业务可以对应于在UE与应用服务器之间交换的基于QUIC协议的业务。补充信息可以包括指示与应用标识符相关联的一个或多个QUIC连接的信息。可以将应用标识符连同加密业务一起从UE传送到网络节点,其中在将加密业务传送到应用服务器之前,网络节点可以移除应用标识符。通信信道可以是加密通信信道和认证通信信道中的至少一个。
如所阐述的,可以采用发现机制来通知UE要用于到达充当应用层代理的网络节点的网络地址。为了支持这种发现机制,能够充当应用层代理的网络节点可以将这种能力传达给移动通信系统的控制平面节点,该控制平面节点负责选择充当用于UE与应用服务器之间的通信的应用层代理的网络节点(这种控制平面节点在下文中被表示为“第一控制平面节点”)。因此由UE执行的方法还可以包括在建立通信信道之前向移动通信系统的第一控制平面节点发送能力指示,以在选择充当UE与应用服务器之间的通信的应用层代理的网络节点时使用,该能力指示表明网络节点支持充当应用层代理。例如,如果充当应用层代理的网络节点是移动通信系统的网关节点,诸如例如5G网络的UPF或4G网络的PGW-U或TDF-U,则该网关节点可以向第一控制平面节点(诸如例如5G网络的SMF或4G网络的PDN网关控制功能(PGW-C)或业务检测功能控制平面功能(TDF-C))通知该网关节点充当应用层代理的能力。第一控制平面节点然后可以在为UE与应用服务器之间的通信选择网关节点时考虑该信息。在做出选择后,第一控制平面节点可以指示所选择的网络节点相应地充当应用层代理。因此由网络节点执行的方法还可以包括在建立通信信道之前,从移动通信系统的第一控制平面节点接收充当应用层代理的指令,并且根据该指令来激活充当应用层代理。
类似于能力指示,网络节点也可以向第一控制平面节点通知可在其处到达充当应用层代理的网络节点的网络地址。因此由网络节点执行的方法还可以包括在建立通信信道之前,向移动通信网络的控制平面节点提供指示充当应用层代理的网络节点的网络地址。可以将以下至少一项作为在移动通信系统中为UE执行的数据会话建立过程的一部分(诸如例如作为在5G网络中为UE执行的PDU会话建立过程的一部分)来执行:发送能力指示、接收充当应用层代理的指令、以及提供网络地址。
图5示出了可以由在计算单元220上实现的第一控制平面单元执行的方法。该方法专用于使得能够开放关于移动通信系统中的UE(例如,UE 200)与应用服务器之间的加密通信的信息。该移动通信系统包括网络节点(例如,在计算单元210上实现的网络节点),该网络节点被配置为当通信信道被建立为UE与应用服务器之间的应用层通信信道的一部分时,在UE与应用服务器之间的通信中充当应用层代理,该通信信道用于将加密业务从UE传送到网络节点,以进一步传送到应用服务器,并且该通信信道用于在UE和网络节点之间交换与加密业务相关的补充信息。图5的方法可以从上面关于图3和图4描述的第一控制平面节点的角度定义方法,因此,上面描述的UE、网络节点和第一控制平面节点的各方面也可以适用于下面描述的UE、网络节点和第一控制平面节点,反之亦然。因此在下文中省略了不必要的重复。
在步骤S502中,第一控制平面节点可以从网络节点接收能力指示,以在选择充当用于UE与应用服务器之间的通信的应用层代理的网络节点时使用,该能力指示表明网络节点支持充当应用层代理。
如所阐述的,第一控制平面节点可以是负责网络节点(充当应用层代理)选择的控制平面节点。虽然会理解第一控制平面节点可以自己对选择做出决定,但是在其他变型中,对选择的决定可以由移动通信系统的另一控制平面节点(诸如负责策略控制的控制平面节点(这种控制平面节点在下文中被表示为“第二控制平面节点”))来指示。例如,第二控制平面节点可以是5G网络的PCF或4G网络的策略控制规则功能(PCRF)。因此由第一控制平面节点执行的方法还可以包括:可选地从第二控制平面节点接收对以下要求的指示:处理UE与应用服务器之间的通信的网络节点要支持充当应用层代理;基于能力指示选择该网络节点用于UE与应用服务器之间的通信;以及指示该网络节点充当应用层代理,如上所述。同样,由第一控制平面节点执行的方法还可以包括从网络节点接收指示充当应用层代理的网络节点的网络地址,以及可选地经由移动通信系统的一个或多个其他控制平面节点向UE提供该网络地址,以便向UE通知可以在哪个网络地址到达充当应用层代理的网络节点,如上所述。可以将以下至少一项作为在移动通信系统中为UE执行的数据会话建立过程的一部分(诸如例如作为在5G网络中为UE执行的PDU会话建立过程的一部分)来执行:接收对要求的指示、以及提供网络地址。
图6示出了可以由在计算单元230上实现的第二控制平面节点执行的方法。该方法专用于使得能够开放关于移动通信系统中的UE(例如,UE 200)与应用服务器之间的加密通信的信息。该移动通信系统包括网络节点(例如,在计算单元210上实现的网络节点),该网络节点被配置为当通信信道被建立为UE与应用服务器之间的应用层通信信道的一部分时,在UE与应用服务器之间的通信中充当应用层代理,该通信信道用于将加密业务从UE传送到网络节点,以进一步传送到应用服务器,并且该通信信道用于在UE与网络节点之间交换与加密业务相关的补充信息。图6的方法可以从上面关于图3至图5描述的第二控制平面功能的角度定义方法,因此,上面描述的UE、网络节点、第一控制平面功能和第二控制平面功能的各方面可以适用于下面描述的UE、网络节点、第一控制平面功能和第二控制平面功能,反之亦然。因此在下文中省略了不必要的重复。
在步骤S602中,第二控制平面功能可以可选地向第一控制平面节点(例如,在计算单元220上实现的第一控制平面功能)提供对以下要求的指示:处理UE与应用服务器之间的通信的网络节点要支持充当应用层代理。
如所阐述的,第二控制平面节点可以是负责策略控制的控制平面节点,并且对要求的指示可被以策略规则的形式提供给第一控制平面节点。虽然会理解第二控制平面节点可以自己建立要求,但是在其他变型中,该要求可以从移动通信系统的数据储存库(诸如5G网络的UDR)获得,其中该要求可以是以订户策略数据的形式从数据储存库获得的。该要求可以最初由应用服务器设置,并被经由移动通信系统的开放接口传送到移动通信系统。例如,在5G网络中,提供应用服务器的内容提供商可以通过Nnef接口来经由现有的开放机制传达要求,其中该要求可以作为订户数据存储在数据存储库中以供以后使用。
一旦从数据储存库接收到订户策略数据,第二控制平面节点可以如上所述以策略规则的形式(例如,以PCC规则的形式)向第一控制平面节点提供对要求的指示。当第一控制平面节点然后指示网络节点充当应用层代理时,第一控制平面节点可以向网络节点传达对应的执行规则,例如,定义如何开放加密业务的某些信息。例如,这些规则可以以分组检测规则(PDR)、转发动作规则(FAR)、QoS增强规则(QER)和/或使用报告规则(URR)的形式来提供,以便(例如,由网络节点)执行。
在下文中,将参考图7至图10,这些图以更具说明性的方式举例说明了本文呈现的技术。在这些附图中,图7a至图7c示出了根据本公开的移动通信系统的实体之间的示例性交互的信令图,并且图8至图10示出了可以用于实现该示例性交互的示例性协议扩展。所示示例涉及在5G网络中执行的用例,该5G网络包括UE 700、AMF 702、UPF 704、SMF 706、PCF708、UDR 710和应用服务器712。应当理解,也可以在其他类型的移动通信网络中(诸如例如在4G网络中)执行等效的交互。在示例用例中,QUIC协议用于应用层业务的传输,因此UPF704通常充当QUIC代理。应当理解,这种情况仅仅是示例性的,并且在移动通信系统中使用其他传输协议或其他代理节点通常是可以想象的。同样,虽然示例用例中的应用层业务大致对应于YouTube业务,但是应当理解,可以使用任何其他种类的应用层业务,诸如例如任何种类的基于HTTP/3或MASQUE的业务。
在该过程的步骤1和2中,可以执行分组转发控制协议(PFCP)关联过程,其中报告UPF 704与SMF 706之间的UPF能力的现有机制可以被扩展用于报告新的能力指示,允许SMF706知道哪些UPF支持该能力,并从而影响UPF选择。图8示出了对现有UPF能力报告的示例性协议扩展,其中在表格末尾处以粗体的新特征“QUICU”来表示UPF支持充当QUIC代理。
此后,UE 700可以触发PDU会话建立。在步骤3中,UE 700可以向AMF 702发送PDU会话建立请求,AMF 702继而可以选择SMF 706来管理UE的PDU会话,并且可以相应地在步骤4中触发Nsmf_PDU_Session_Create_Request消息(注意:这仅表示PDU会话建立过程中的简化信令序列,其中省略了不必要的细节)。在步骤5中,SMF 706可以触发Npcf_SMPolicyControl_CreateRequest消息,以从PCF 708检索用于UE的PDU会话的会话管理策略。在步骤6和7中,PCF 708然后可以获得所请求的策略数据,PCF 708可以通过使用Nudr_Query_Request从UDR 710检索策略数据来实现这一点,其中对应的Nudr_Query_Response可以包括所请求的订户策略数据。该数据可以指示对该PDU会话使用QUIC代理功能的要求(例如,由对应的标志指示)。PCF 708然后可以在步骤8中基于订户策略数据生成策略和计费控制(PCC)规则(在所呈现的示例中是用于QUIC视频应用的PCC规则)并且可以在步骤9中使用Npcf_SMPolicyControl_CreateResponse消息将所生成的PCC规则连同QUIC代理要求指示一起传递给SMF 706。例如,所生成的PCC规则可以指示对应的appId=YouTube(例如,从订户策略数据获得的)以及针对QoS和计费所要求的执行动作。
然后,在步骤10,SMF 706可以选择UPF 704作为支持QUIC代理功能的网关节点。在步骤11中,SMF 706可以触发PFCP_Session_Establishment_Request消息,该消息包括将由UPF执行的PDR、FAR、QER和/或URR规则(在所示的示例中,定义了PDR,该PDR具有appId=YouTube的应用类型的分组检测信息(PDI))以及新的QUIC代理信元(IE),该新的QUIC代理信元指示UPF 704充当该PDU会话的QUIC代理。图9a和图9b示出了PFCP协议的示例性扩展,其中在表格的末尾处以粗体新属性的形式表示了要由UPF应用的QUIC代理指令。在步骤12中,UPF 704然后可以存储接收到的PDR/FAR/URR/QER,并且用PFCP_Session_Establishment_Response消息来响应SMF 706。此时,UPF 704可以为该会话激活QUIC代理功能,并且在成功的情况下,UPF 704可以将充当QUIC代理的UPF 704的IP地址包括在PFCP_Session_Establishment_Response消息中,以向SMF 706通知可以在其处到达QUIC代理的网络地址。图10示出了PFCP协议的示例性扩展,其中,在表格的末尾处再次以粗体新属性的形式指示了对应的信息。
在步骤13中,SMF 706可以通过向AMF 702发送Nsmf_PDU_Session_Create_Response消息来响应步骤4的Nsmf_PDU_Session_Create_Request消息,继而AMF 702可以通过向UE 700发送PDU会话建立响应(PDU Session Establishment Response)来应答步骤3的PDU会话建立请求(PDU Session Establishment Request)。在这两个消息中,可以包括QUIC代理IP地址,以最终向UE 200通知可以在哪个网络地址到达充当QUIC代理的UPF 704。
在步骤15中,UE 700可以存储QUIC代理IP地址,该地址可被用于在该UE的PDU会话期间处理使用QUIC作为传输协议的任何应用会话。在步骤16中,UE 700的用户随后可以打开应用,诸如YouTube客户端应用(即,采用QUIC的应用),并且UE 700(更具体地,客户端app)可以与充当QUIC代理的UPF 704建立要被用于开放的通信信道。由于为该UE的PDU会话激活了QUIC代理功能,并且应用使用了QUIC传输协议,因此客户端应用(YouTube)可以在客户端应用与QUIC代理(由在之前步骤中发现的QUIC代理IP地址所标识)之间建立用于开放的已加密和认证的通信信道。在步骤17中,然后应用业务可以被启动,且因此YouTube业务可以通过充当QUIC代理的UPF 704。在所示示例中,指示YouTube是发起加密业务的应用的应用标识符可被与加密业务一起发送(例如,appId=YouTube)。如上所述,作为通信信道的端点,QUIC代理可以访问加密业务的明文,因此可以开放应用标识符。也可以开放关于应用标识符与哪些QUIC连接相关联的附加信息。使用该信息,即使当实际应用业务被加密时,以及此外当IP地址信息过于粗略或不稳定以致于例如可能发生网络地址转换(NAT)的问题时,也可以使得在网络中实现对正确应用策略的准确分类和映射。在步骤18中,充当QUIC代理的UPF 704因此可以检索应用标识符,将业务分类为YouTube业务,并且相应地应用对应的执行动作(例如,FAR、QER、URR)。此时,UPF 704还可以从业务中移除被开放的应用标识符(appId),使得在步骤19中去往应用服务器712的业务可以不再包括应用标识符,因为在去往应用服务器712的进一步的路上,可能不再需要应用标识符。
应当理解,上述过程可能受到某些前提条件的限制。例如,应用标识符(例如,appId=YouTube)和对应的策略(QoS、计费等)可以在UDR 710处作为例如订户策略简档的一部分以每个订户为基础来预先提供。替代地,例如,也可以在全局基础上为任何订户预先提供该信息。用于通过QUIC代理实现开放的策略同样可以在UDR 710处作为订户策略简档的一部分以每个订户为基础来预先提供,或者可以在全局基础上为任何订户预先提供。虽然在图7a至图7c的序列图中,用于QUIC代理的发现机制被作为PDU会话建立过程的一部分来执行,但是应当理解,可以采用替代的发现机制,诸如基于DNS的发现,其使用作为网络运营商和内容提供商之间的SLA协议的一部分(例如,在UE应用层)预先提供的QUIC代理FQDN。在又一个替代方案中,可以想到的是,策略不是作为SLA的一部分预先提供的,而是经由Nnef北向接口从内容提供商动态地传送到网络运营商,诸如使用NnefAPI来建立具有所需QoS的应用服务器会话,或者使用NnefAPI来在会话建立时或会话期间改变可计费方。如上所述,还可以想到为内容提供商扩展现有的Nnef北向接口,以向网络运营商指示需要通过QUIC代理的开放(例如,基于每个应用)。
如从上文变得显而易见的,本公开提供了一种用于使得能够开放关于移动通信系统中的UE与应用服务器之间的加密通信的信息的技术。通过应用层代理的开放机制可以在应用层实现,其中应用客户端和/或应用服务器可以经由应用层代理与网络运营商交换开放信息。所提出的技术尤其可以使网络运营商和内容提供商能够在支持CUPS架构的网络环境中支持开放机制,即使应用业务被加密。所提出的技术可以涉及网络的不同接口处(诸如在网络的N1、N4、Nsmf、Npcf和Nudr接口处(参见图1))的协议扩展,如图8至图10的协议扩展所示例性示出的。借助于客户端(和/或服务器)应用和代理之间的已加密和认证的通信信道,该技术可以用于传送应用标识符和关于应用标识符与哪个(例如,QUIC)连接相关联的信息,因此不仅可以允许应用会话与其对应的IP流之间100%准确的映射,而且允许到在移动通信系统的CN中执行的正确应用策略的100%准确的分类和映射,即使当业务被加密并且IP地址信息太粗糙和不稳定时(例如,使得NAT或内容传递网络(CDN)不会出现问题)。与使用诸如SNI或与特定应用相关联的特定IP范围之类的公开可见的信息相比,所开放的信息可能仅对向路径的其余部分隐藏的被显式配置的网络实体可用,从而也确保了最终用户的隐私。所呈现的技术通常可以是可扩展的,即,代理与客户端之间的通信信道可以用新的标准或专有过程来扩展,使得现有的和未来的(例如,3GPP)开放接口可以被映射在例如通信信道之上。此外,用户可以总是有选择退出由代理提供的任何服务的可能性,或者如果认为代理没有好处,则完全退出使用代理。
相信从前面的描述中将会完全理解本文给出的技术的优点,并且显而易见的是,在不脱离本发明的范围或者不牺牲其所有有利效果的情况下,可以对其示例性方面的形式、构造和布置进行各种改变。因为本文提出的技术可以以多种方式变化,所以应该认识到,本发明应该仅由所附权利要求的范围来限制。
Claims (40)
1.一种用于使得能够开放关于移动通信系统中的用户设备UE(200;700)与应用服务器(712)之间的加密通信的信息的方法,所述方法由所述UE(200;700)执行,并且包括:
建立(S302)与所述移动通信系统的网络节点(704)的通信信道,所述通信信道被建立为所述UE(200;700)与所述应用服务器(712)之间的应用层通信信道的一部分,其中所述网络节点(704)在所述UE(200;700)与所述应用服务器(712)之间的所述通信中充当应用层代理;以及
通过所述通信信道向所述网络节点(704)发送(S304)加密业务,以进一步递送到所述应用服务器(712),其中所述通信信道用于在所述UE(200;700)与所述网络节点(704)之间交换与所述加密业务相关的补充信息。
2.根据权利要求1所述的方法,其中,所述补充信息包括从所述UE(200;700)传送到所述网络节点(704)的应用标识符,所述应用标识符指示在所述UE(200;700)上发起所述加密业务的应用。
3.根据权利要求2所述的方法,其中,所述应用标识符将被所述网络节点(704)使用来对所述加密业务进行分类,可选地用于执行为所述UE(200;700)与所述应用服务器(712)之间的所述通信定义的策略规则。
4.根据权利要求1至3中任一项所述的方法,其中,所述加密业务被作为多个应用会话中的一个应用会话的一部分进行传送,其中所述多个应用会话中的每一个应用会话的加密业务被通过所述通信信道来发送,其中所述多个应用会话中的每一个应用会话的加密业务被通过由所述移动通信系统为所述UE(200;700)建立的同一数据会话来发送。
5.根据权利要求1至4中任一项所述的方法,其中,所述加密业务对应于在所述UE(200;700)与所述应用服务器(712)之间交换的基于快速用户数据报协议UDP互联网连接QUIC协议的业务。
6.根据权利要求5所述的方法,其中,所述补充信息包括指示与所述应用标识符相关联的一个或多个QUIC连接的信息。
7.根据权利要求1至6中任一项所述的方法,其中,所述应用标识符连同所述加密业务一起被从所述UE(200;700)传送到所述网络节点(704),其中在将所述加密业务传送到所述应用服务器(712)之前,所述应用标识符将由所述网络节点(704)移除。
8.根据权利要求1至7中任一项所述的方法,其中,所述通信信道是加密通信信道和认证通信信道中的至少一个。
9.根据权利要求1至8中任一项所述的方法,还包括:
接收指示充当应用层代理的所述网络节点(704)的网络地址,其中建立与所述网络节点(704)的通信信道是使用所述网络地址来执行的。
10.根据权利要求9的方法,其中,所述网络地址由所述移动通信系统的控制平面节点(706)提供,可选地作为在所述移动通信系统中为所述UE(200;700)执行的数据会话建立过程的一部分来提供。
11.根据权利要求9所述的方法,其中,所述网络地址是从域名系统DNS服务获得的。
12.根据权利要求11所述的方法,其中,充当应用层代理的所述网络节点的完全合格域名FQDN作为服务等级协议SLA的一部分被预先提供。
13.一种用于使得能够开放关于移动通信系统中的用户设备UE(200;700)与应用服务器(712)之间的加密通信的信息的方法,所述方法由所述移动通信系统的网络节点(704)执行,并且包括:
基于所述UE(200;700)的请求,建立(S402)与所述UE(200;700)的通信信道,所述通信信道被建立为所述UE(200;700)与所述应用服务器(712)之间的应用层通信信道的一部分,其中所述网络节点(704)在所述UE(200;700)与所述应用服务器(712)之间的所述通信中充当应用层代理;以及
通过所述通信信道从所述UE(200;700)接收(S404)加密业务,以进一步递送到所述应用服务器(712),其中所述通信信道用于在所述UE(200;700)与所述网络节点(704)之间交换与所述加密业务相关的补充信息。
14.根据权利要求13所述的方法,其中,所述补充信息包括从所述UE(200;700)传送到所述网络节点(704)的应用标识符,所述应用标识符指示在所述UE(200;700)上发起所述加密业务的应用。
15.根据权利要求14所述的方法,其中,所述应用标识符被所述网络节点(704)使用来对所述加密业务进行分类,可选地用于执行为所述UE(200;700)与所述应用服务器(712)之间的所述通信定义的策略规则。
16.根据权利要求13至15中任一项所述的方法,其中,所述加密业务被作为多个应用会话中的一个应用会话的一部分进行传送,其中所述多个应用会话中的每一个应用会话的加密业务被通过所述通信信道来发送,其中所述多个应用会话中的每一个应用会话的加密业务被通过由所述移动通信系统为所述UE(200;700)建立的同一数据会话来发送。
17.根据权利要求13至16中任一项所述的方法,其中,所述加密业务对应于在所述UE(200;700)与所述应用服务器(712)之间交换的基于快速用户数据报协议UDP互联网连接QUIC协议的业务。
18.根据权利要求17的方法,其中,所述补充信息包括指示与所述应用标识符相关联的一个或多个QUIC连接的信息。
19.根据权利要求13至18中任一项所述的方法,其中,所述应用标识符连同所述加密业务一起被从所述UE(200;700)传送到所述网络节点(704),其中在将所述加密业务传送到所述应用服务器(712)之前,所述应用标识符由所述网络节点(704)移除。
20.根据权利要求13至19中任一项所述的方法,其中,所述通信信道是加密通信信道和认证通信信道中的至少一个。
21.根据权利要求13至20中任一项所述的方法,还包括:
在建立所述通信信道之前,向所述移动通信系统的控制平面节点(706)发送能力指示,以在选择充当所述UE(200;700)与所述应用服务器(712)之间的所述通信的应用层代理的网络节点(704)时使用,所述能力指示表明所述网络节点(704)支持充当应用层代理。
22.根据权利要求13至21中任一项所述的方法,还包括:
在建立所述通信信道之前,从所述移动通信系统的控制平面节点(706)接收充当应用层代理的指令;以及
根据所述指令来激活充当应用层代理。
23.根据权利要求13至22中任一项所述的方法,还包括:
在建立所述通信信道之前,向所述移动通信网络的控制平面节点(706)提供指示充当应用层代理的所述网络节点(704)的网络地址。
24.根据权利要求21至23中任一项所述的方法,其中,将以下至少一项作为在所述移动通信系统中为所述UE(200;700)执行的数据会话建立过程的一部分来执行:发送所述能力指示、接收充当应用层代理的所述指令、以及提供所述网络地址。
25.一种用于使得能够开放关于移动通信系统中的用户设备UE(200;700)与应用服务器(712)之间的加密通信的信息的方法,所述移动通信系统包括网络节点(704),所述网络节点(704)被配置为当将通信信道建立为所述UE(200;700)与所述应用服务器(704)之间的应用层通信信道的一部分时,在所述UE(200;700)与所述应用服务器(712)之间的所述通信中充当应用层代理,所述通信信道用于将加密业务从所述UE(200;700)传送到所述网络节点(704)以进一步递送到所述应用服务器(712),并且所述通信信道用于在所述UE(200;700)与所述网络节点(704)之间交换与所述加密业务相关的补充信息,所述方法由所述移动通信系统的第一控制平面节点(706)执行,并且包括:
从所述网络节点(704)接收(S502)能力指示,以在选择充当所述UE(200;700)与所述应用服务器(712)之间的所述通信的应用层代理的网络节点(704)时使用,所述能力指示表明所述网络节点(704)支持充当应用层代理。
26.根据权利要求25所述的方法,其中,所述第一控制平面节点(706)是负责网络节点(704)选择的控制平面节点,并且其中所述方法还包括:
可选地从第二控制平面节点(708)接收对以下要求的指示:处理所述UE(200;700)与所述应用服务器(712)之间的所述通信的网络节点(704)要支持充当应用层代理;
基于所述能力指示选择所述网络节点(704)用于所述UE(200;700)与所述应用服务器(712)之间的所述通信;以及
指示所述网络节点(704)充当应用层代理。
27.根据权利要求25或26所述的方法,还包括:
从所述网络节点(704)接收指示充当应用层代理的所述网络节点(704)的网络地址;以及
可选地经由所述移动通信系统的一个或多个其他控制平面节点(702)向所述UE(200;700)提供所述网络地址。
28.根据权利要求26或27所述的方法,其中,将以下至少一项作为在所述移动通信系统中为所述UE(200;700)执行的数据会话建立过程的一部分来执行:接收对所述要求的指示、以及提供所述网络地址。
29.一种用于使得能够开放关于移动通信系统中的用户设备UE(200;700)与应用服务器(712)之间的加密通信的信息的方法,所述移动通信系统包括网络节点(704),所述网络节点(704)被配置为当将通信信道建立为所述UE(200;700)与所述应用服务器(712)之间的应用层通信信道的一部分时,在所述UE(200;700)与所述应用服务器(712)之间的所述通信中充当应用层代理,所述通信信道用于将加密业务从所述UE(200;700)传送到所述网络节点(704)以进一步递送到所述应用服务器(712),并且所述通信信道用于在所述UE(200;700)与所述网络节点(704)之间交换与所述加密业务相关的补充信息,所述方法由所述移动通信系统的第二控制平面节点(708)执行,并且包括:
可选地向第一控制平面节点(706)提供(S602)对以下要求的指示:处理所述UE(200;700)与所述应用服务器(712)之间的所述通信的网络节点(704)要支持充当应用层代理。
30.根据权利要求29的方法,其中,所述第二控制平面节点(708)是负责策略控制的控制平面节点,并且其中对所述要求的指示被以策略规则的形式提供给所述第一控制平面节点(706)。
31.根据权利要求29或30的方法,其中,所述要求是从所述移动通信系统的存储订户数据的数据储存库(710)获得的,并且其中所述要求是以订户策略数据的形式从所述数据储存库(710)获得的。
32.根据权利要求29或30所述的方法,其中,所述要求最初由所述应用服务器(712)设置,并被经由所述移动通信系统的开放接口传送到所述移动通信系统。
33.根据权利要求29至32中任一项所述的方法,其中,将提供对所述要求的指示作为在所述移动通信系统中为所述UE(200;700)执行的数据会话建立过程的一部分来执行。
34.一种计算机程序产品,包括程序代码部分,用于当在一个或多个计算设备上执行所述计算机程序产品时,执行根据权利要求1至33中任一项所述的方法。
35.根据权利要求34所述的计算机程序产品,所述计算机程序产品存储在计算机可读记录介质上。
36.一种用户设备UE(200;700),用于使得能够开放关于移动通信系统中的所述UE(200;700)与应用服务器(712)之间的加密通信的信息,所述UE(200;700)包括至少一个处理器(202)和至少一个存储器(204),所述至少一个存储器(204)包含能够由所述至少一个处理器(202)执行的指令,使得所述UE(200;700)能够操作来执行根据权利要求1至12中任一项的方法。
37.一种计算单元(210),被配置为实现移动通信系统的网络节点(704),用于使得能够开放关于移动通信系统中的用户设备UE(200;700)与应用服务器(712)之间的加密通信的信息,所述计算单元(210)包括至少一个处理器(212)和至少一个存储器(214),所述至少一个存储器(214)包含能够由所述至少一个处理器(212)执行的指令,使得所述网络节点(704)能够操作来执行根据权利要求13至24中任一项所述的方法。
38.一种计算单元(220),被配置为实现移动通信系统的第一控制平面节点(706),用于使得能够开放关于移动通信系统中的用户设备UE(200;700)与应用服务器(712)之间的加密通信的信息,所述计算单元(220)包括至少一个处理器(222)和至少一个存储器(224),所述至少一个存储器(224)包含能够由所述至少一个处理器(222)执行的指令,使得所述第一控制平面节点(706)能够操作来执行根据权利要求25至28中任一项所述的方法。
39.一种计算单元(230),被配置为实现移动通信系统的第二控制平面节点(708),用于使得能够开放关于移动通信系统中的用户设备UE(200;700)与应用服务器(712)之间的加密通信的信息,所述计算单元(230)包括至少一个处理器(232)和至少一个存储器(234),所述至少一个存储器(234)包含能够由所述至少一个处理器(232)执行的指令,使得所述第二控制平面节点(708)能够操作来执行根据权利要求29至33中任一项所述的方法。
40.一种系统,包括根据权利要求36所述的UE(200)和根据权利要求37所述的计算单元(210),可选地包括根据权利要求38所述的计算单元(220),以及进一步可选地包括根据权利要求39所述的计算单元(230)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP20382915 | 2020-10-20 | ||
| EP20382915.5 | 2020-10-20 | ||
| PCT/EP2021/052367 WO2022083897A1 (en) | 2020-10-20 | 2021-02-02 | Technique for enabling exposure of information related to encrypted communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116349265A true CN116349265A (zh) | 2023-06-27 |
Family
ID=73030049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180071282.2A Pending CN116349265A (zh) | 2020-10-20 | 2021-02-02 | 用于使得能够开放关于加密通信的信息的技术 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20230388786A1 (zh) |
| EP (1) | EP4233335A1 (zh) |
| CN (1) | CN116349265A (zh) |
| WO (1) | WO2022083897A1 (zh) |
| ZA (1) | ZA202304213B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230269217A1 (en) * | 2022-02-23 | 2023-08-24 | Cisco Technology, Inc. | Binding flows to unique addresses or ports |
| WO2024026877A1 (en) * | 2022-08-05 | 2024-02-08 | Zte Corporation | Policy enhancement for quick user datagram protocol international connection application |
-
2021
- 2021-02-02 CN CN202180071282.2A patent/CN116349265A/zh active Pending
- 2021-02-02 WO PCT/EP2021/052367 patent/WO2022083897A1/en unknown
- 2021-02-02 EP EP21702271.4A patent/EP4233335A1/en active Pending
- 2021-02-02 US US18/032,863 patent/US20230388786A1/en active Pending
-
2023
- 2023-04-06 ZA ZA2023/04213A patent/ZA202304213B/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| US20230388786A1 (en) | 2023-11-30 |
| ZA202304213B (en) | 2023-11-29 |
| WO2022083897A1 (en) | 2022-04-28 |
| EP4233335A1 (en) | 2023-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9967348B2 (en) | Methods and apparatus for providing session policy during a registration of a device | |
| US10855851B2 (en) | Charging control with SMF | |
| US10999447B2 (en) | Charging control in roaming scenario | |
| JP5636113B2 (ja) | ネットワークアドレス検索の適応を用いるデータトラフィックの区別された処理 | |
| CN113169937B (zh) | 用户数据业务处理的方法、装置、网络节点及介质 | |
| US11240199B2 (en) | Service provision in scenarios with network address translation | |
| CN116349265A (zh) | 用于使得能够开放关于加密通信的信息的技术 | |
| US20240147272A1 (en) | Technique for Collecting Analytics Data | |
| EP3970446A1 (en) | Over-the-top management in a communication network | |
| US20230155891A1 (en) | User Plane Based Exposure | |
| US20220201040A1 (en) | Over-the-top management in a communication network | |
| CN116530054A (zh) | 用于去激活电信网络中的服务器名称指示sni加密的方法和节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |