WO2018001042A1

WO2018001042A1 - 报文传输方法、装置及系统

Info

Publication number: WO2018001042A1
Application number: PCT/CN2017/087102
Authority: WO
Inventors: 尤建洁; 魏含宇
Original assignee: 华为技术有限公司
Priority date: 2016-06-28
Filing date: 2017-06-02
Publication date: 2018-01-04
Also published as: EP3468120A4; US20190149513A1; EP3468120A1; CN107547478A; CN107547478B

Abstract

本发明公开了一种报文传输方法、装置及系统，属于安全领域。所述方法应用于内容提供商的服务器中，所述方法包括：接收用户端发送的应用请求；获取所述应用请求所请求的原始数据的加密数据；生成包括所述加密数据的第一报文；并为第一报文添加索引信息得到第二报文，将第二报文发送至运营商网络中的网关；网关确定与索引信息对应的传输参数，根据传输参数将加密数据发送给用户端。在报文中添加运营商网络中的网关能识别的索引信息使得只需要根据索引信息确定传输参数，能够在数据普遍加密的情况下，不改变现有的加密方式和现有的业务流程，使网络运营商依托于内容感知的业务能够正常使用，并且不降低业务的安全性和隐私性。

Description

报文传输方法、装置及系统

本申请要求于2016年6月28日提交中国专利局、申请号为201610485497.X、发明名称为“报文传输方法、装置及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及安全领域，特别涉及一种报文传输方法、装置及系统。

背景技术

随着人们对网络访问安全、隐私保护问题的广泛重视，内容提供商对传输到网络上的数据流的进行加密成为越来越普遍的现象。然而，数据流被加密后，数据流中传输的应用内容也被加密，网络运营商无法获取该应用内容，从而无法识别数据流中的业务类型，进而无法处理一些依托于内容感知的业务，例如，加速，流量管理，过滤等。

为了解决网络运营商无法处理依托于内容感知的业务的问题，现有技术在用户端和内容提供商的服务器之间部署一个网络运营商的中间代理系统，当用户端向该服务器发送服务请求时，用户端发送的请求消息被中间代理系统截获，中间代理系统代替该服务器和该用户端建立连接，中间代理系统再代替该用户端和该服务器建立连接。在用户访问的整个过程中，用户端和中间代理系统之间的数据流、中间代理系统和该服务器之间的数据流均为加密的数据流，且中间代理系统拥有相应的密钥可以对加密的数据流进行解密，因此，中间代理系统可以获取数据流中的应用内容，根据应用内容处理依托于内容感知的业务。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：中间代理系统一般需要在授信模式或合作模式下才能够对加密的数据流进行解密，也即需要内容提供商将自己的密钥分享给网络运营商的中间代理系统，中间代理系统才能够依据密钥对加密的数据流进行解密，以获取数据流中的应用内容，进而处理依托于内容感知的业务。然而，网络业务提供商一般不愿意将密钥提供给中间代理系统。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种报文传输方法、装置及系统。所述技术方案如下：

本发明第一方面提供了一种报文传输方法，应用于内容提供商的服务器中，所述方法包括：接收用户端发送的应用请求；获取所述应用请求所请求的原始数据的加密数据；生成包括所述加密数据的第一报文；为所述第一报文添加索引信息，得到第二报文；向网络运营商的网关发送第二报文，所述索引信息用于指示所述网关确定所述索引信息对应的传输参数，根据所述传输参数向所述用户端发送所述加密数据，传输参数包括资源类型、优先级、时延、丢包率、服务类型中的至少一个。

本发明中，服务器获取与用户端发送的应用请求对应的加密数据，生成包括加密数据的第一报文，并为第一报文添加索引信息，得到第二报文，将第二报文发送至网络运营商的网关，利用网关确定与索引信息对应的传输参数，使网关根据传输参数发送第一报文。即，本发明在传输加密数据时，在报文中添加运营商网络中的网关能识别的索引信息，使得只需要根据索引信息确定传输参数，能够在数据普遍加密的情况下，不改变现有的加密方式和现有的业务流程，使网络运营商依托于内容感知的业务能够正常使用，并且不降低业务的安全性和隐私性。

结合第一方面，在第一方面的第一种可能的实施方式中，所述网关包括策略和计费执行功能PCEF和策略和计费规则功能PCRF；

所述获取所述应用请求所请求的原始数据的加密数据之前，所述方法还包括：获取所述应用请求中的第一五元组，所述第一五元组的源因特网协议IP地址为所述用户端的IP地址，目的IP地址为所述服务器的IP地址，源端口号为所述用户端的端口号，目的端口号为所述服务器的端口号；将所述第一五元组中的源IP地址和目的IP地址互换，并将所述第一五元组中的源端口号和目的端口号互换，得到第二五元组；根据五元组映射表查找所述第二五元组对应的所述索引信息，所述五元组映射表的每个表项包括一个五元组与对应的索引信息；向所述PCRF发送所述第二五元组和所述索引信息，所述PCRF用于生成包括所述第二五元组和所述索引信息的检测策略，所述检测策略用于指示所述PCEF根据所述第二五元组确定待验证的报文，验证所述待验证的报文中的五元组和所述待验证的报文中的索引信息是否满足预定关系，所述预定关系用于指示允许以所述索引信息对应的传输参数传输数据。

结合所述第一方面的第一种可能的实施方式，在该第一方面的第二种可能的实施方式中，所述为所述第一报文添加索引信息，包括：根据所述五元组映射表查找所述第二五元组对应的索引信息，为所述第一报文添加所述索引信息。

结合所述第一方面的第一种或第二种可能的实施方式，在该第一方面的第三种可能的实施方式中，述向所述PCRF发送所述第二五元组和所述索引信息之前，所述方法还包括：通过所述PCRF与所述网关建立互信关系。

本发明第二方面提供了一种报文传输方法，应用于运营商网络中，所述方法包括：

网关接收内容提供商的服务器发送的包括了索引信息的第二报文，所述第二报文通过为第一报文添加所述索引信息得到，所述第一报文包括根据用户端发送的应用请求所请求的原始数据生成的加密数据；

所述网关确定所述索引信息对应的传输参数，所述传输参数包括资源类型、优先级、时延、丢包率、服务类型中的至少一个；

所述网关根据所述传输参数向所述用户端发送所述加密数据。

本发明中，网关接收包括了索引信息的第二报文，该第二报文通过为第一报文添加所述索引信息得到，该第一报文包括根据用户端发送的应用请求所请求的原始数据生成的加密数据；该网关确定与该索引信息对应的传输参数，并根据传输参数发送第一报文。即，本发明在传输加密数据时，在报文中添加运营商网络中的网关能识别的索引信息，使得网关只需要根据索引信息确定传输参数，能够在数据普遍加密的情况下，不改变现有的加密方式和现有的业务流程，使网络运营商依托于内容感知的业务能够正常使用，并且不降低业务的安全性和隐私性。

结合第二方面，在第二方面的第一种可能的实施方式中，所述网关确定所述索引信息对应的传输参数，包括：所述网关根据预先存储的传输参数映射表确定与所述第二报文中的索引信息对应的传输参数，所述传输参数映射表的每个表项包括一条索引信息与对应的至少一个传输参数。

结合第二方面的第一种实现方式，在第二方面的第二种可能的实施方式中，所述网关包括策略和计费规则功能PCRF和策略和计费执行功能PCEF；

所述网关接收内容提供商的服务器发送的包括了索引信息的第二报文之前，所述方法还包括：所述PCRF接收所述服务器发送的第二五元组和所述索引信息，所述索引信息是所述服务器根据五元组映射表查找到的与所述第二五元组对应的索引信息；所述第二五元组是所述服务器通过将所述应用请求中的第一五元组中的源IP地址和目的IP地址互换，并将所述第一五元组中的源端口号和目的端口号互换得到的；所述PCRF生成包括所述第二五元组和所述索引信息的检测策略，并向所述PCEF发送检测策略；所述PCEF接收所述检测策略；

所述网关根据预先存储的传输参数映射表确定与所述第二报文中的索引信息对应的传输参数，包括：所述PCEF根据所述检测策略验证所述第二报文，在验证通过后，根据所述传输参数映射表确定与所述索引信息对应的所述传输参数。

结合第二方面的第二种实现方式，在第二方面的第三种可能的实施方式中，所述PCEF根据所述检测策略对验证所述第二报文，包括：

所述PCEF检测所述第二报文中的五元组与所述检测策略中的所述第二五元组是否相同且所述第二报文中的索引信息与所述检测策略中的所述索引信息是否相同；

若所述第二报文中的五元组和所述检测策略中的所述第二五元组相同且所述第二报文中的索引信息与所述检测策略中的所述索引信息相同，则所述PCEF检测所述第二报文中的五元组与所述第二报文中的索引信息是否满足预定关系，所述预定关系用于指示允许以所述索引信息对应的传输参数传输数据；

若所述第二报文中的五元组与所述第二报文中的索引信息满足所述预定关系，则确定对所述第二报文的验证通过。

结合第二方面的第二种或第三种实现方式，在第二方面的第三种可能的实施方式中，所述PCRF接收所述服务器发送的所述第二五元组和所述索引信息之前，所述方法还包括：所述网关通过所述PCRF与所述服务器建立互信关系。

第三方面，提供了一种报文传输装置，用于内容提供商的服务器中，该装置包括至少一个单元，该至少一个单元用于实现上述第一方面或第一方面的至少一种实现中所提供的报文传输方法。

第四方面，提供了一种报文传输装置，用于运营商网络中网关，该装置包括至少一个单元，该至少一个单元用于实现上述第二方面或第二方面的至少一种实现中所提供的报文传输方法。

第五方面，提供了一种内容提供商的服务器，该服务器包括：处理器、以及与处理相连的收发器和存储器；

该收发器被配置为由处理器控制以实现与其他实体通信，该存储器用于存储程序指令。该处理器用于调用所述程序指令实现上述第一方面或第一方面的至少一种实现方式中所提供的报文传输方法。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍。

图1是本发明实施例提供的一种报文传输系统的结构示意图；

图2是本发明实施例提供的一种报文传输系统的结构示意图；

图3是本发明实施例提供的一种内容提供商的服务器的结构示意图；

图4是本发明实施例提供的一种报文传输方法的方法流程图；

图5是本发明实施例提供的另一种报文传输方法的方法流程图；

图6是本发明实施例提供的一种报文传输装置的框图；

图7是本发明实施例提供的另一种报文传输装置的框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

在本文提及的“模块”是指存储在存储器中的能够实现某些功能的程序或指令；在本文中提及的“单元”是指按照逻辑划分的功能性结构，该“单元”可以由纯硬件实现，或者，软硬件的结合实现。

请参考图1，其示出了本发明提供的一个示例性报文传输系统的结构示意图，该报文传输系统包括内容提供商的服务器110、运营商网络120和用户端130。其中，运营商网络即由网络运营商管理、运营的网络。

服务器110用于接收用户端130发送的超文本传输协议(Hypertext Transfer Protocol，HTTP)1.1/HTTP2以及其他业务定义的各种应用请求，并响应用户端130发送的应用请求，通过网络运营商提供的网络设备，即运营商网络120中的网关121，为用户端130提供加密或非加密的数据。其中，用户端130为一般的用户终端或任何进行网络访问的客户端，比如：用户手机上安装的某个视频软件的客户端。

服务器110接收到用户端130发送的应用请求后，获取应用请求所请求的原始数据的加密数据，生成包括该加密数据的第一报文，为该第一报文添加索引信息，得到第二报文。

需要说明的是，在该服务器110获取应用请求所请求的原始数据的加密数据之前，还需要以信令形式向运营商网络120中的网关121发送控制信息，以使该网关121能够处理第二报文。

可选的，请参考图2，运营商网络120中的网关121可以包括策略管理系统。策略管理系统是策略控制和计费(Policy and Control and Charging，PCC)系统。策略管理系统用于验证该第二报文，根据该第二报文中的索引信息对应的传输参数传输该第二报文中的加密数据。

可选的，网关121包括策略和计费规则功能(Policy and Charging Rules Function，PCRF)1211和策略和计费规则执行功能(Policy and Charging Enforcement Function，PCEF)1212。其中，PCRF1211和PCEF1212可以位于同一硬件设备上，也可以位于不同的硬件设备上。

本发明中，运营商网络120中还可以包括传输设备(图中未示出)，其中传输设备可以是路由设备、中间设备以及转换设备中的任意一种。

在一个实施方式中，该服务器110在接收到用户端130发送的应用请求后，根据该应用请求中的第一五元组得到第二五元组。确定该第二五元组对应的索引信息，并向PCRF1211发送该第二五元组及对应的索引信息，PCRF1211接收到该第二五元组及对应的索引信息后向PCEF1212发送包括该第二五元组和对应索引信息的检测策略。然后，该服务器110获取该应用请求所请求的原始数据的加密数据，生成包括加密数据的第一报文，为该第一报文添加索引信息，得到第二报文，再将该第二报文发送至PCEF1212，PCEF1212根据接收到的检测策略对该第二报文中的五元组和索引信息进行验证，当验证通过时，PCEF1212确定满足预定关系的索引信息对应的传输参数；根据该传输参数向用户端130发送该加密数据。在该服务器110向PCRF1211发送第二五元组和索引信息之前，该服务器110和PCRF1211建立互信关系。

请参考图3，其示出了本发明一实施例提供的该服务器110的结构示意图。该该服务器110包括：收发器311、处理器312、存储器313。

处理器312与收发器311、存储器313相连。

收发器311可以由一个或多个输入输出端口组成，被配置为由处理器控制以实现与其他实体通信，例如用于接收用户端发送的应用请求，向运营商网络中的网关发送包括了索引信息的第二报文，索引信息用于指示该第二报文中的加密数据的传输参数。

处理器312包括一个或一个以上处理核心。处理器312通过运行软件程序以及模块，从而执行各种功能应用以及数据处理，比如：获取应用请求所请求的原始数据的加密数据，生成包括加密数据的第一报文，为该第一报文添加索引信息以得到第二报文。

存储器313中存储有五元组映射表，以及用于响应用户端发送的应用请求的原始数据和数据加密策略，该五元组映射表的每个表项包括一个五元组与对应的索引信息。

存储器313还用于存储系统程序及程序指令。存储器313可存储操作系统31以及至少一个功能所需的程序指令32。程序指令32可以包括获取模块321、生成模块322、添加模块323等。其中，获取模块321，用于获取与应用请求对应的加密数据。生成模块322，用于生成包括加密数据的第一报文。添加模块323，用于为所述第一报文添加索引信息以得到第二报文。

存储器313可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(static random access memory，SRAM)，动态随机存取存储器(dynamic random access memory，DRAM)，电可擦除可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)，可擦除可编程只读存储器(erasable programmable read-only memory，EPROM)，可编程只读存储器(programmable read-only memory，PROM)，只读存储器(read-only memory，ROM)，磁存储器，快闪存储器，磁盘或光盘。

本领域技术人员可以理解，图3中所示出的该服务器110结构并不构成对该服务器110的限定，本发明中的服务器可以包括比图示更多或更少的部件或组合某些部件，或者不同的部件布置。

请参考图4，其示出了本发明一个实施例提供的报文传输方法的流程图。本实施例以该方法应用于如图1所示的报文传输系统中来举例说明。该方法包括以下步骤：

步骤401，服务器接收用户端发送的应用请求。

用户在用户端上执行获取数据的操作，用户端向服务器发送用于获取数据的应用请求。比如：用户使用手机上的某内容提供商的客户端观看某一视频，当用户点击该视频的播放控件时，手机上的客户端向该内容提供商的服务器发送获取该视频的应用请求，该服务器接收客户端发送的应用请求。

步骤402，服务器获取应用请求所请求的原始数据的加密数据。

服务器获取应用请求所请求的原始数据，并根据预定的数据加密策略对原始数据加密，得到加密数据。

比如：应用请求是该内容提供商提供的xx视频的请求时，应用请求所请求的原始数据为该xx视频的视频资源，服务器对该视频资源进行加密，得到加密数据。

步骤403，服务器生成包括加密数据的第一报文。

该服务器从应用请求中获取第一五元组，其中，应用请求中的第一五元组包括源互联网协议(Internet Protocol，IP)地址(即用户端的IP地址)、源端口号(即用户端的端口号)、用户端的目的IP地址(即该服务器的IP地址)和目的端口(即该服务器的端口号)以及传输层的协议号，利用第一五元组生成主体为加密数据的第一报文。具体来说，服务器将第一五元组中的源IP地址和目的IP地址互换，源端口号和目的端口号互换，得到第二五元组，根据第二五元组生成第一报文。

步骤404，服务器为该第一报文添加索引信息，得到第二报文。

索引信息是用于指示运营商网络中的网关确定索引信息对应的传输参数的信息，也即索引信息用于确定加密数据对应的传输参数。

服务器确定用于传输加密数据的传输参数，再根据传输参数确定索引信息，为该第一报文添加确定的索引信息，得到第二报文。

步骤405，服务器向运营商网络中的网关发送第二报文。

服务器向网络运营商的网关发送该第二报文，网关具有识别索引信息的能力。

步骤406，运营商网络中的网关接收服务器发送的包括了索引信息的第二报文。

网关接收到的第二报文不仅包括索引信息，还包括用户端发送的应用请求所请求的原始数据的加密数据。

步骤407，网关确定该索引信息对应的传输参数。

该网关根据传输参数映射表确定第二报文中的索引信息对应的传输参数。其中，传输参数映射表的每个表项包括一条索引信息及对应的至少一个传输参数。

步骤408，网关根据传输参数向用户端发送加密数据。

在一个实施方式中，网关根据传输参数向用户端直接发送该第二报文，当用户端接收到该第二报文后，根据该第二报文得到加密数据，然后解析该加密数据得到对应于应用请求的原始数据。

在另一个实施方式中，网关将第二报文中的索引信息删除，得到第一报文，根据传输参数向用户端发送第一报文。当用户端接收到该第一报文后，根据该第一报文得到该加密数据，然后解析加密数据得到对应于该应用请求的原始数据。

其中，上述步骤401至405可单独实现成为该服务器侧的实施例，步骤406至408可单独实现成为运营商网络侧的实施例。

综上所述，本发明实施例提供的报文传输方法，通过获取与用户端发送的应用请求对应的加密数据，生成包括加密数据的第一报文，并为该第一报文添加索引信息得到第二报文，将该第二报文发送至运营商网络中的网关，该网关确定与该索引信息对应的传输参数，根据该传输参数将该加密数据发送给用户端。本发明实施例使得网络运营商不需要使用密钥来解密加密数据来获取内容提供商传输的内容，只需要根据索引信息就能确定传输参数，能够在数据普遍加密的情况下，不改变现有的加密方式和现有的业务流程，使网络运营商依托于内容感知的业务能够正常使用，并且不降低业务的安全性和隐私性。

请参考图5，其示出了本发明另一实施例提供的报文传输方法的流程图。本实施例以该方法应用于如图2所示的网关120，此时该网关包括PCEF和PCRF。该方法包括以下步骤：

步骤501，服务器通过运营商网络中的网关中的PCRF与网关建立互信关系。

相应地，PCRF和服务器建立互信关系。

服务器向PCRF提供诸如IP地址、证书、介质访问控制(media access control，MAC)地址之类能够表明身份的身份标识，实现与PCRF建立互信关系；或者，该服务器和PCRF利用网络协议安全性(Internet Protocol Security，IPsec)应用中的隧道模式建立互信关系，本实施例不对服务器与PCRF建立互信关系的方式作限定。

步骤502，服务器接收用户端发送的应用请求。

本步骤的具体实现可以参考图4中的步骤401。

步骤503，服务器获取应用请求中的第一五元组。

第一五元组的源IP地址为用户端的IP地址，目的IP地址为服务器的IP地址，源端口号为用户端的端口号，目的端口号为服务器的端口号。

步骤504，服务器将第一五元组中的源IP地址和目的IP地址互换，并将第一五元组中的源端口号和目的端口号互换，得到第二五元组。

步骤505，服务器根据五元组映射表查找第二五元组对应的索引信息。

其中，五元组映射表的每个表项包括一个五元组与一条索引信息的对应关系。

表一示意性地示出了五元组和索引信息之间的对应关系：

表一

比如，服务器获取到应用请求中的第一五元组后，将第一五元组的源IP地址和目的IP地址互换，将第一五元组中的源端口号和目的端口号互换后，得到第二五元组为表一中的五元组3，则确定对应的索引信息为索引信息3。

其中，五元组映射表可以由内容提供商和网络运营商共同协商得到，本实施例不限定该对应关系的获取方式。

步骤506，服务器向PCRF发送第二五元组和第二五元组对应的索引信息。

其中，PCRF用于生成包括第二五元组和索引信息的检测策略；检测策略用于指示PCEF根据第二五元组和索引信息确定待验证的报文，验证待验证的报文中的五元组和待验证的报文中的索引信息是否满足预定关系；预定关系用于指示允许以一条索引信息对应的传输参数传输数据。

步骤507，运营商网络中的PCRF接收该服务器发送的第二五元组和索引信息。

步骤508，运营商网络中的PCRF向PCEF发送检测策略。

检测策略包括PCRF接收到的第二五元组和索引信息。

步骤509，PCEF接收PCRF发送的检测策略。

需要说明的是，服务器可以不向该策略管理系统发送第二五元组和索引信息，当服务器不向策略管理系统中的PCRF发送第二五元组和索引信息时，PCRF不向PCEF发送检测策略，即不执行步骤506至509。

步骤510，服务器获取应用请求所请求的原始数据的加密数据。

服务器获取应用请求所请求的原始数据，并根据预定的数据加密策略对原始数据加密，得到应用请求所请求的原始数据的加密数据。

比如：应用请求是内容提供商客户端发送的xx视频的请求时，应用请求所请求的原始数据为该xx视频的视频资源，服务器对该视频资源进行加密，得到加密数据。

步骤511，服务器生成包括加密数据的第一报文。

本步骤的具体实现可以参考图4中的步骤403。

步骤512，服务器根据五元组映射表查找第一报文中的第二五元组对应的索引信息，为第一报文添加该索引信息，得到第二报文。

可选的，索引信息是服务质量标度值(Quality of Service Class Identifier，QCI)。本发明实施例中以索引信息是QCI为例，进行详细说明。此时，五元组映射表的每个表项包括一个五元组和对应的一个QCI的值，比如五元组1对应QCI1，QCI1表示QCI的值为1。

需要说明的是，为第一报文添加索引信息的方式取决于内容提供商和网络运营商之间的协商，比如：在新增加的一个TCP Option字段中添加索引信息，或者，在增强的安全传输层协议(Transport Layer Security，TLS)字段中添加索引信息，本发明实施例对索引信息的添加方式不作限定。

步骤513，服务器向PCEF发送添加了索引信息的第二报文。

索引信息用于指示PCEF确定索引信息对应的传输参数，根据传输参数发送加密数据。其中，传输参数包括资源类型、优先级、时延、丢包率、服务类型中的至少一个。

可选的，索引信息和传输参数之间的对应关系可以由内容提供商和网络运营商共同协商得到，本实施例不限定该对应关系的获取方式。

以索引信息是QCI为例，如表二所示，其示例性的示出了QCI与传输参数之间的传输参数映射表：

表二

从表二可以看出QCI共有13个值，每个QCI的值对应4个传输参数，分别是资源类型，优先级、时延、丢包率。其中资源类型包括：保证比特率(Guaranteed Bit Rat，GBR)和Non-GBR，GBR类型的数据的实时性要求高。

步骤514，运营商网络中的PCEF接收服务器发送的包括了索引信息的第二报文。

第二报文通过为第一报文添加索引信息得到，该第一报文包括根据用户端发送的应用请求所请求的原始数据生成的加密数据。

步骤515，运营商网络中的PCEF根据检测策略对该第二报文进行验证。

PCEF检测第二报文中的五元组与检测策略中的五元组是否相同，以及检测第二报文中的索引信息与检测策略中的索引信息是否相同。若第二报文中的五元组和检测策略中的五元组相同，且第二报文中的索引信息与检测策略中的索引信息相同，则PCEF进一步检测第二报文中的五元组与第二报文中的索引信息是否满足预定关系。若检测结果为第二报文中的五元组与第二报文中的索引信息满足预定关系，则确定对第二报文的验证通过。其中，预定关系用于指示允许以索引信息对应的传输参数传输数据。

当PCEF检测到第二报文中的索引信息与第二报文中的五元组满足预定关系，也即验证通过时，执行步骤516；当PCEF检测到第二报文中的索引信息与第二报文中的五元组不满足预定关系时，可以将索引信息修改为满足预定关系的索引信息继续传输第二报文，或者，丢弃该第二报文。比如：预定关系中五元组1对应QCI1，PCEF检测到第二报文中的五元组为五元组1，而索引信息为QCI2，则PCEF将QCI2修改为QCI1后继续传输第二报文，或者丢弃第二报文。

需要说明的是，当服务器不向策略管理系统中的PCRF发送五元组和索引信息时，也即不执行步骤506至509时，不执行步骤515，直接执行步骤516。

步骤516，运营商网络中的PCEF确定索引信息对应的传输参数。

具体地，PCEF根据预先存储的五元组映射表确定与第二报文中的索引信息对应的传输参数。

假设PCEF接收到第二报文后，获取第二报文中的索引信息为QCI3，从表二可知，传输参数为资源类型为GBR，优先级为3，时延为50ms，丢包率为10^-3。

步骤517，运营商网络中的网关根据传输参数向用户端发送加密数据。

运营商网络中的PCEF将确定的传输参数发送至传输设备，传输设备根据传输参数向用户端发送加密数据。

由传输设备根据传输参数、第二报文中的五元组向用户端发送报文中的加密数据。比如：传输参数为资源类型为GBR，优先级为3，时延为50ms，丢包率为10^-3，则为报文中的加密数据分配满足资源类型为GBR，优先级为3，时延为50ms，丢包率为10^-3的流量，并根据分配的流量传输该加密数据。

在一个实施方式中，传输设备根据传输参数向用户端发送第二报文，当用户端接收到第二报文后，根据第二报文得到加密数据，对加密数据进行解析，获取到对应于应用请求的原始数据。

在另一个实施方式中，传输设备将第二报文中的索引信息删除，得到第一报文，根据传输参数向用户端发送第一报文，当用户端接收到第一报文后，根据第一报文得到加密数据，然后解析加密数据得到对应于应用请求的原始数据。

其中，上述步骤501至506和步骤510至513可单独实现成为服务器侧的实施例，步骤507至509和514至517可单独实现成为运营商网络侧的实施例。

综上所述，本发明实施例提供的报文传输方法，通过获取与用户端发送的应用请求对应的加密数据，生成包括加密数据的第一报文，并为第一报文添加索引信息得到第二报文，将第二报文发送至运营商网络中的网关，网关确定与索引信息对应的传输参数，根据传输参数将加密数据发送给用户端。本发明实施例使得网络运营商不需要使用密钥来解密加密数据来获取内容提供商传输的内容，只需要根据索引信息就能确定传输参数，能够在数据普遍加密的情况下，不改变现有的加密方式和现有的业务流程，，使网络运营商依托于内容感知的业务能够正常使用，并且不降低业务的安全性和隐私性。

另外，本发明还通过服务器向网络运营商中的PCRF发送索引信息和五元组，PCRF向PCEF下发包括索引信息和五元组的检测策略，PCEF根据检测策略检测接收的报文中的索引信息与该报文中的五元组是否满足预定关系，当报文中的索引信息与报文中的五元组满足预定关系时，PCEF才确定索引信息对应的传输参数，能够有效地避免PCEF使用网络运营商不允许使用的传输参数传输报文中的加密数据的问题。

请参考图6，其示出了本发明一个实施例提供的报文传输装置的框图。该报文传输装置可以通过软件、硬件或者两者的结合实现成为服务器的全部或者一部分。该报文传输装置包括：

接收单元610，用于实现步骤401和502的功能。

获取单元620，用于实现步骤402、503、504、505和510的功能。

生成单元630，用于实现步骤403和511的功能。

添加单元640，用于实现步骤404和512的功能。

发送单元650，用于实现步骤405、506和513的功能。

此外，所述报文传输装置还可以包括建立单元，用于实现上述步骤501的功能。

相关细节可结合参考图4和图5所述的方法实施例。

需要说明的是，上述接收单元610和发送单元650可以通过内容提供商的服务器中的收发器来实现，上述获取单元620、生成单元630和添加单元640可以通过服务器中的处理器执行存储器中的程序指令来实现。

请参考图7，其示出了本发明另一个实施例提供的报文传输装置的框图。该报文传输装置可以通过软件、硬件或者两者的结合实现成为运营商网络的全部或者一部分。该报文传输装置可以是运营商网络中的网关，该装置包括：

接收单元710，用于实现步骤406的功能。

发送单元720，用于实现骤408和517的功能。

确定单元730，用于实现步骤407的功能。

相关细节可结合参考图4所述的方法实施例。

此外，所述网关还包括策略和计费规则功能PCRF和策略和计费执行功能PCEF，所述PCRF用于实现步骤501、507和508的功能。所述PCEF用于实现步骤514至516的功能。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。

本领域普通技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，可以仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

一种报文传输方法，其特征在于，应用于内容提供商的服务器中，所述方法包括：

接收用户端发送的应用请求；

获取所述应用请求所请求的原始数据的加密数据；

生成包括所述加密数据的第一报文；

为所述第一报文添加索引信息，得到第二报文；

向运营商网络中的网关发送所述第二报文，所述索引信息用于指示所述网关确定所述索引信息对应的传输参数，根据所述传输参数向所述用户端发送所述加密数据，所述传输参数包括资源类型、优先级、时延、丢包率、服务类型中的至少一个。
根据权利要求1所述的方法，其特征在于，所述网关包括策略和计费执行功能PCEF和策略和计费规则功能PCRF；

所述获取所述应用请求所请求的原始数据的加密数据之前，所述方法还包括：

获取所述应用请求中的第一五元组，所述第一五元组的源因特网协议IP地址为所述用户端的IP地址，目的IP地址为所述服务器的IP地址，源端口号为所述用户端的端口号，目的端口号为所述服务器的端口号；

将所述第一五元组中的源IP地址和目的IP地址互换，并将所述第一五元组中的源端口号和目的端口号互换，得到第二五元组；

根据五元组映射表查找所述第二五元组对应的所述索引信息，所述五元组映射表的每个表项包括一个五元组与对应的索引信息；

向所述PCRF发送所述第二五元组和所述索引信息，所述PCRF用于生成包括所述第二五元组和所述索引信息的检测策略，所述检测策略用于指示所述PCEF根据所述第二五元组确定待验证的报文，验证所述待验证的报文中的五元组和所述待验证的报文中的索引信息是否满足预定关系，所述预定关系用于指示允许以所述索引信息对应的传输参数传输数据。
根据权利要求2所述的方法，其特征在于，所述为所述第一报文添加索引信息，包括：

根据所述五元组映射表查找所述第二五元组对应的索引信息，为所述第一报文添加所述索引信息。
根据权利要求2或3所述的方法，其特征在于，所述向所述PCRF发送所述第二五元组和所述索引信息之前，所述方法还包括：

通过所述PCRF与所述网关建立互信关系。
一种报文传输方法，其特征在于，应用于运营商网络中，所述方法包括：

网关接收内容提供商的服务器发送的包括了索引信息的第二报文，所述第二报文通过为第一报文添加所述索引信息得到，所述第一报文包括根据用户端发送的应用请求所请求的原始数据生成的加密数据；

所述网关确定所述索引信息对应的传输参数，所述传输参数包括资源类型、优先级、时延、丢包率、服务类型中的至少一个；

所述网关根据所述传输参数向所述用户端发送所述加密数据。
根据权利要求5所述的方法，其特征在于，所述网关确定所述索引信息对应的传输参数，包括：

所述网关根据预先存储的传输参数映射表确定与所述第二报文中的索引信息对应的传输参数，所述传输参数映射表的每个表项包括一条索引信息与对应的至少一个传输参数。
根据权利要求6所述的方法，其特征在于，所述网关包括策略和计费规则功能PCRF和策略和计费执行功能PCEF；

所述网关接收内容提供商的服务器发送的包括了索引信息的第二报文之前，所述方法还包括：

所述PCRF接收所述服务器发送的第二五元组和所述索引信息，所述索引信息是所述服务器根据五元组映射表查找到的与所述第二五元组对应的索引信息；所述第二五元组是所述服务器通过将所述应用请求中的第一五元组中的源IP地址和目的IP地址互换，并将所述第一五元组中的源端口号和目的端口号互换得到的；

所述PCRF生成包括所述第二五元组和所述索引信息的检测策略，并向所述PCEF发送检测策略；所述PCEF接收所述检测策略；

所述网关根据预先存储的传输参数映射表确定与所述第二报文中的索引信息对应的传输参数，包括：

所述PCEF根据所述检测策略验证所述第二报文，在验证通过后，根据所述传输参数映射表确定与所述索引信息对应的所述传输参数。
根据权利要求7所述的方法，其特征在于，所述PCEF根据所述检测策略对验证所述第二报文，包括：

所述PCEF检测所述第二报文中的五元组与所述检测策略中的所述第二五元组是否相同且所述第二报文中的索引信息与所述检测策略中的所述索引信息是否相同；

若所述第二报文中的五元组和所述检测策略中的所述第二五元组相同且所述第二报文中的索引信息与所述检测策略中的所述索引信息相同，则所述PCEF检测所述第二报文中的五元组与所述第二报文中的索引信息是否满足预定关系，所述预定关系用于指示允许以所述索引信息对应的传输参数传输数据；

若所述第二报文中的五元组与所述第二报文中的索引信息满足所述预定关系，则确定对所述第二报文的验证通过。
根据权利要求7或8所述的方法，其特征在于，所述PCRF接收所述服务器发送的所述第二五元组和所述索引信息之前，所述方法还包括：

所述网关通过所述PCRF与所述服务器建立互信关系。
一种报文传输装置，其特征在于，应用于内容提供商的服务器中，所述装置包括：

接收单元，用于接收用户端发送的应用请求；

获取单元，用于获取所述接收单元接收到的所述应用请求所请求的原始数据的加密数据；

生成单元，用于生成包括所述获取单元获取到的所述加密数据的第一报文；

添加单元，用于为所述生成单元生成的所述第一报文中添加索引信息，得到第二报文；

发送单元，用于向运营商网络中的网关发送所述第二报文，所述索引信息用于指示所述网关确定所述索引信息对应的传输参数，根据所述传输参数向所述用户端发送所述加密数据，所述传输参数包括资源类型、优先级、时延、丢包率、服务类型中的至少一个。
根据权利要求10所述的装置，其特征在于，所述网关包括策略和计费执行功能PCEF和策略和计费规则功能PCRF；

所述获取单元，还用于获取所述应用请求中的第一五元组，所述第一五元组的源因特网协议IP地址为所述用户端的IP地址，目的IP地址为所述服务器的IP地址，源端口号为所述用户端的端口号，目的端口号为所述服务器的端口号；将所述第一五元组中的源IP地址和目的IP地址互换，并将所述第一五元组中的源端口号和目的端口号互换，得到第二五元组；根据五元组映射表查找所述第二五元组对应的所述索引信息，所述五元组映射表的每个表项包括一个五元组与对应的索引信息；

所述发送单元，还用于向所述PCRF发送所述第二五元组和所述索引信息，所述PCRF用于生成包括所述第二五元组和所述索引信息的检测策略，所述检测策略用于指示所述PCEF根据所述第二五元组确定待验证的报文，验证所述待验证的报文中的五元组和所述待验证的报文中的索引信息是否满足预定关系，所述预定关系用于指示允许以所述索引信息对应的传输参数传输数据。
根据权利要求11所述的装置，其特征在于，所述添加单元，还用于：

根据所述五元组映射表查找所述第一报文中的五元组对应的索引信息，为所述第一报文添加所述索引信息中，所述五元组映射表的每个表项包括一个五元组与对应的索引信息。
根据权利要求11或12所述的装置，其特征在于，所述装置还包括：

建立单元，用于通过所述PCRF与所述网关建立互信关系。
一种报文传输装置，其特征在于，所述装置为运营商网络中的网关，所述装置包括：

接收单元，用于接收内容提供商的服务器发送的包括了索引信息的第二报文，所述第二报文通过为第一报文添加所述索引信息得到，所述第一报文包括根据用户端发送的应用请求所请求的原始数据生成的加密数据；

确定单元，用于确定所述索引信息对应的传输参数，所述传输参数包括资源类型、优先级、时延、丢包率、服务类型中的至少一个；

发送单元，用于根据所述传输参数向所述用户端发送所述加密数据。
根据权利要求14所述的装置，其特征在于，

所述确定单元，具体用于根据预先存储的传输参数映射表确定与所述第二报文中的索引信息对应的传输参数，所述传输参数映射表的每个表项包括一条索引信息与对应的至少一个传输参数。
根据权利要求15所述的装置，其特征在于，所述网关还包括策略和计费规则功能PCRF和策略和计费执行功能PCEF；

所述PCRF用于接收所述服务器发送的第二五元组和所述索引信息，所述索引信息是所述服务器根据五元组映射表查找到的与所述第二五元组对应的索引信息；所述第二五元组是所述服务器通过将所述应用请求中的第一五元组中的源IP地址和目的IP地址互换，并将所述第一五元组中的源端口号和目的端口号互换得到的；

所述PCRF还用于生成包括所述第二五元组和所述索引信息的检测策略，并向所述PCEF发送所述检测策略；

所述PCEF用于接收所述检测策略；根据所述检测策略验证所述第二报文，在验证通过后，根据所述传输参数映射表确定与所述索引信息对应的所述传输参数。
根据权利要求16所述的装置，其特征在于，

在验证所述第二报文时，所述PCEF具体用于检测所述第二报文中的五元组与所述检测策略中的所述第二五元组是否相同且所述第二报文中的索引信息与所述检测策略中的所述索引信息是否相同；若所述第二报文中的五元组和所述检测策略中的所述第二五元组相同且所述第二报文中的索引信息与所述检测策略中的所述索引信息相同，则检测所述报文中的五元组与所述报文中的索引信息是否满足预定关系，所述预定关系用于指示允许以所述索引信息对应的传输参数传输数据；若所述第二报文中的五元组与所述第二报文中的索引信息满足所述预定关系，则确定对所述报文的验证通过。
根据权利要求15或16所述的装置，其特征在于，所述所述PCRF还用于使所述网关与所述内容提供商的服务器建立互信关系。