WO2019075608A1

WO2019075608A1 - 一种加密数据流的识别方法、设备、存储介质及系统

Info

Publication number: WO2019075608A1
Application number: PCT/CN2017/106349
Authority: WO
Inventors: 唐海
Original assignee: Oppo广东移动通信有限公司
Priority date: 2017-10-16
Filing date: 2017-10-16
Publication date: 2019-04-25
Also published as: WO2019076000A1; CN110771116A; EP3668043A4; US11418951B2; CN110741613A; CN110771116B; CN110741613B; EP3668043A1; US20200245136A1

Abstract

本发明实施例提供了一种加密数据流的识别方法、设备、可读存储介质及系统；该方法可以应用于核心网设备，所述方法包括：接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

Description

一种加密数据流的识别方法、设备、存储介质及系统

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种加密数据流的识别方法、设备、可读存储介质及系统。

背景技术

超文本传输协议(HTTP，HyperText Transfer Protocol)2.0版本出现之后，所有的HTTP层及HTTP层以上的应用层数据流均能够通过安全传输层协议(TLS，Transport Layer Security Protocol)协议进行加密，而运营商所提供的网络设备无法对加密数据流进行识别。

针对该问题，目前通常采用TLS层的某些明文标识在TLS协议的握手过程中对应用的加密数据流进行识别。但是，由于明文标识容易被破解，具有不安全的隐患，并且后续的TLS协议中不再支持明文标识。基于此，当前相关技术中并没有提出不依赖于明文标识对加密数据流进行识别的方案和机制。

发明内容

为解决上述技术问题，本发明实施例期望提供一种加密数据流的识别方法、设备、可读存储介质及系统；能够不依赖于明文标识就可以对加密数据流进行识别，提升了识别的安全性。

本发明实施例的技术方案可以如下实现：

第一方面，本发明实施例提供了一种加密数据流的识别方法，所述方法应用于核心网设备，所述方法包括：

接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

第二方面，本发明实施例提供了一种加密数据流的识别方法，所述方法应用于用户设备UE，所述方法包括：

发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识。

第三方面，本发明实施例提供了一种核心网设备，包括：第一接收部分、鉴权部分和建立部分；其中，

所述第一接收部分，配置为接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

所述鉴权部分，配置为基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

所述建立部分，配置为当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

第四方面，本发明实施例提供了一种用户设备UE，其中，所述UE包括：第二发送部分，配置为发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识。

第五方面，本发明实施例提供了一种核心网设备，其中，第一网络接口，第一存储器和第一处理器；其中，

所述第一网络接口，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

所述第一存储器，用于存储能够在所述第一处理器上运行的计算机程序；

所述第一处理器，用于在运行所述计算机程序时，执行第一方面中所述方法的步骤。

第六方面，本发明实施例提供了一种用户设备UE，其中，所述UE包括：第二网络接口、第二存储器和第二处理器；

其中，所述第二网络接口，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

所述第二存储器，用于存储能够在第二处理器上运行的计算机程序；

所述第二处理器，用于在运行所述计算机程序时，执行第二方面所述方法的步骤。

第七方面，本发明实施例提供了一种计算机可读介质，所述计算机可读介质存储有接入链路的管理程序，所述接入链路的管理程序被至少一个处理器执行时实现第一方面或第二方面所述的方法的步骤。

第八方面，本发明实施例提供了一种加密流量的识别系统，包括核心网设备以及用户设备，其中，

所述用户设备，配置为发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识；

所述核心网设备，配置为接收用户设备UE发送的承载有鉴权数据的数据包；

本发明实施例提供了一种加密数据流的识别方法、设备、可读存储介质及系统；核心网设备在UE与OTT服务器进行TLS握手过程中或握手完成后与UE进行鉴权，从而建立用于对加密数据流进行识别的关联关系，以实现对加密数据流的检测和统计，无需依赖明文标识，更无需进行复杂的IP地址配置和维护，提高了安全性并减少了配置和维护所需的计算资源。

附图说明

图1为本发明实施例提供的一种加密数据流的识别方法流程示意图；

图2为本发明实施例提供的另一种加密数据流的识别方法流程示意图；

图3为本发明实施例提供的一种网络架构示意图；

图4为本发明实施例提供的一种加密数据流的识别方法的具体示例流程示意图；

图5为本发明实施例提供的另一种加密数据流的识别方法的具体示例流程示意图；

图6为本发明实施例提供的又一种加密数据流的识别方法的具体示例流程示意图；

图7A为本发明实施例提供的一种核心网设备的组成示意图；

图7B为本发明实施例提供的另一种核心网设备的组成示意图；

图8为本发明实施例提供的一种核心网设备的具体硬件结构示意图；

图9为本发明实施例提供的一种用户设备的组成示意图；

图10为本发明实施例提供的另一种用户设备的组成示意图；

图11为本发明实施例提供的一种用户设备的具体硬件结构示意图；

图12为本发明实施例提供的一种加密流量的识别系统组成示意图。

具体实施方式

为了能够更加详尽地了解本发明实施例的特点与技术内容，下面结合附图对本发明实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本发明实施例。

目前，在第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)的业务和系统方面工作组2(SA2，Service and System Aspects Working Group)中定义了应用级别数据，用于对应用的流量进行识别。基于此，第三方OTT(Over The Top)服务商可以主动向运营商网络发起针对应用流量的识别规则进行安装或更新或删除的操作，从而使运营商网络具备识别业务的能力。但是，仍然没有针对业务的加密数据流进行识别的相关机制

基于上述内容，提出以下实施例。

实施例一

参见图1，其示出了本发明实施例提供的一种加密数据流的识别方法，该方法可以应用于核心网设备中，可以理解地，本实施例所述的核心网设备，包括用户面和控制面两个部分；因此，本实施例所述的核心网设备既可以是包括用户面和控制面两个部分的单一实体设备，也可以是由用户面和控制面两个实体形成的核心网中的逻辑网元设备，本实施例对此不做具体限定，图1所示的方法可以包括：

S101：接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

S102：基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；

其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；可以理解地，第二鉴权参数可以由OTT服务器生成，并预先配置在核心网设备中；而第一鉴权参数也可以由OTT服务器生成，预先配置在UE中；而设定的鉴权算法可以静态地预先配置在UE和核心网设备中。

S103：当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；

其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

通过图1所示的技术方案，核心网设备能够通过上述关联关系针对应用标识所表示的应用程序的加密数据流进行识别，从而进一步地实现对加密数据流的检测和统计，无需依赖明文标识，更无需进行复杂的IP地址配置和维护，提高了安全性并减少了配置和维护所需的计算资源。

对于图1所示的技术方案，在第一种可能的实现方式中，图1所示的技术方案可以在UE与OTT服务器建立TLS握手过程中进行实施，因此，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在应用层会话建立的TLS握手过程中，所述核心网设备的用户面接收所述UE发送的首次TLS握手请求；其中，所述鉴权数据承载于所述首次TLS握手请求中的明文字段。

具体来说，对于上述实现方式，UE可以在首次TLS握手请求中新增加一个明文字段，并将鉴权数据加入该新增的明文字段。

相应于上述实现方式，在接收用户设备UE发送的承载有鉴权数据的数据包后，所述方法还包括：

所述核心网设备的用户面从所述首次TLS握手请求中的明文字段检测到所述鉴权数据后，将所述鉴权数据传输至所述核心网设备的控制面。

需要说明的是，核心网设备的控制面在获取到所述鉴权数据后，就能够按照鉴权数据来执行图1所示方案中的S102，并且将所述第二鉴权结果与所述第一鉴权结果进行比对后向核心网设备用户面发送比对结果，从而核心网设备用户面根据比对结果确定是否执行S103，可以理解地，当所述第二鉴权结果与所述第一鉴权结果比对不一致时，则忽略该比对结果。

对于图1所示的技术方案，在第二种可能的实现方式中，图1所示的技术方案可以在UE与OTT服务器之间完成TLS握手后进行实施，因此，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在完成TLS握手后，所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求；其中，所述鉴权数据承载于所述鉴权请求中的GTP-U扩展字段。

具体来说，对于上述实现方式，鉴权请求是在完成了应用层TLS握手后，由UE主动发起的。UE可以将鉴权数据承载于扩展的PDCP字段中发送给基站侧，而基站侧则可以将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段，继续发送给核心网设备用户面。

所述核心网设备的用户面从鉴权请求中的GTP-U扩展字段检测到所述鉴权数据后，将所述鉴权数据传输至所述核心网设备的控制面。

同理于上述实现方式，需要说明的是，核心网设备的控制面在获取到所述鉴权数据后，就能够按照鉴权数据来执行图1所示方案中的S102，并且将所述第二鉴权结果与所述第一鉴权结果进行比对后向核心网设备用户面发送比对结果，从而核心网设备用户面根据比对结果确定是否执行S103，可以理解地，当所述第二鉴权结果与所述第一鉴权结果比对不一致时，则忽略该比对结果。

针对上述两种实现方式，优选地，所述第一鉴权参数包括随机数RAND，所述第二鉴权参数包括公共密钥Ka；或者，所述第一鉴权参数包括公共密钥Ka，所述第二鉴权参数包括随机数RAND。

针对上述两种实现方式，优选地，所述基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果，包括：

所述核心网设备的控制面基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果。

针对上述两种实现方式，优选地，当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系，包括：

当所述第二鉴权结果与所述第一鉴权结果比对一致时，所述核心网设备的控制面将比对结果传输至所述核心网用户面；

所述核心网设备的用户面建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系。

对于图1所示的技术方案，在第三种可能的实现方式中，图1所示的技术方案可以在UE与OTT服务器之间完成TLS握手后进行实施，但与第二种实现方式不同的地方在于，鉴权请求由UE直接向核心网设备的控制面发送，因此，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在完成TLS握手后，所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息；

其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组；其中，所述第一鉴权参数包括：随机数RAND和公共密钥Ka；所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端口号和协议类型。

相应于上述实现方式，所述基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果，包括：

所述核心网设备的控制面根据所述第一鉴权参数中的RAND以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。

相应于上述实现方式，当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系，包括：

当所述第二鉴权结果与所述第一鉴权结果比对一致时，所述核心网设备的控制面根据所述OTT服务器的IP三元组以及所述UE的IP地址和端口号生成所述IP五元组，并将生成的IP五元组和所述应用标识传输至所述核心网设备的用户面；

所述核心网设备的用户面建立所述生成的IP五元组和所述应用标识之间的关联关系。

对于图1所示的技术方案，所述基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果后，所述方法还包括：

所述核心网设备的控制面通过所述核心网设备的用户面将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。

可以理解地，UE在接收到比对结果之后，就能够获知核心网设备是否完成了关联关系的建立，从而决定是否继续进行与核心网设备之间的鉴权。

本实施例提供了一种应用于核心网设备的加密数据流的识别方法，能够在UE与OTT服务器进行TLS握手过程中或握手完成后与UE进行鉴权，从而建立用于对加密数据流进行识别的关联关系，以实现对加密数据流的检测和统计，无需依赖明文标识，更无需进行复杂的IP地址配置和维护，提高了安全性并减少了配置和维护所需的计算资源。

实施例二

基于前述实施例相同的发明构思，参见图2，其示出了本发明实施例提供的一种加密数据流的识别方法，该方法可以应用于UE中，图2所示的方法可以包括：

S201：发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识。

可以理解地，当UE将鉴权数据发送至核心网设备之后，核心网设备就能够按照前述实施例的技术方案进行鉴权，从而建立用于对加密数据流进行识别的关联关系，以实现对加密数据流的检测和统计，无需依赖明文标识，更无需进行复杂的IP地址配置和维护，提高了安全性并减少了配置和维护所需的计算资源。

对于图2所示的技术方案，在第一种可能的实现方式中，图2所示的技术方案可以在UE与OTT服务器建立TLS握手过程中进行实施，因此，所述发送承载有鉴权数据的数据包，包括：

在应用层会话建立的TLS握手过程中，将所述鉴权数据承载于首次TLS握手请求中的明文字段；

将所述承载有所述鉴权数据的首次TLS握手请求通过核心网设备的用户面透传至所述核心网设备的控制面。

对于图2所示的技术方案，在第二种可能的实现方式中，图2所示的技术方案可以在UE与OTT服务器之间完成TLS握手后进行实施，因此，所述发送承载有鉴权数据的数据包，包括：

在完成TLS握手后，将所述鉴权数据承载于扩展的PDCP字段的鉴权请求发送至基站，并通过基站将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段后，将所述鉴权请求继续发送至所述核心网设备用户面。

对于图2所示的技术方案，在第三种可能的实现方式中，图2所示的技术方案可以在UE与OTT服务器之间完成TLS握手后进行实施，但与第二种实现方式不同的地方在于，鉴权请求由UE直接向核心网设备的控制面发送，因此，所述发送承载有鉴权数据的数据包，包括：

在完成TLS握手后，向核心网设备的控制面发送非接入层会话管理 NAS-SM消息；其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组；其中，所述第一鉴权参数包括：随机数RAND和公共密钥Ka；所述NAS-SM消息的IP三元组包括所OTT服务器的IP地址、端口号和协议类型。

对于图2所示的技术方案，当核心网设备鉴权完毕后，所述方法还包括：接收核心网设备的控制面回复的鉴权结果。可以理解地，UE在接收到比对结果之后，就能够获知核心网设备是否完成了关联关系的建立，从而决定是否继续进行与核心网设备之间的鉴权。

实施例三

基于前述实施例相同的发明构思，本实施例通过以下具体示例对前述两个实施例的技术方案进行详细地阐述。

针对具体示例需要说明的是，具体示例引入了针对应用程序的参数组，举例来说，可以包括：公共秘钥Ka、随机数RAND、令牌Token、应用标识Application ID。其中，Ka和RAND结合预先设定的鉴权算法来生成Token，若以鉴权算法为HASH算法为例，则可以得到Token＝HASH(Ka，RAND)；因此，公共秘钥Ka、随机数RAND为鉴权参数，Token可以为鉴权结果，应用标识Application ID用来表示对应的应用程序。需要指出的是，Ka和RAND由OTT服务器生成，鉴权算法通过OTT服务器静态配置在核心网设备和UE上。综上，本实施例的具体示例可以应用于如图3所示的非典型的网络架构中，在该网络架构中，UE通过基站接入核心网，或者可以直接与核心网设备相连接，核心网设备中包括用户面和控制面两个部分，UE通过核心网设备连接数据网络(DN，Data Network)，实现与OTT服务器之间的信息交互。基于上述网络架构，提出以下具体示例。

具体示例一

参见图4，其示出了本发明实施例提供的一种加密数据流的识别方法的具体示例流程，该流程可以包括：

S40A：OTT服务器将鉴权算法预先配置在UE以及核心网设备中；

S40B：OTT服务器动态生成或更新Ka和RAND，并发往UE和核心网设备；

可以理解地，UE和核心网设备各自在接收到Ka和RAND后，可以按照S40A中配置的鉴权算法进行计算，分别得到各自的鉴权结果Token。

S401：UE在首次TLS握手请求中新增明文字段，并将自身的RAND和Token，以及应用标识作为鉴权数据加入到新增的明文字段中；

S402：UE将首次TLS握手请求发送至核心网设备的用户面；

S403：用户面在检测到首次TLS握手请求中包括UE发送的鉴权数据时，将鉴权数据透传给核心网设备的控制面；

S404：控制面根据自身的Ka以及UE的RAND按照配置的鉴权算法进行计算，并将计算结果与UE的Token进行比较；若两者一致，比较结果为鉴权成功；否则，比较结果为鉴权失败。

S405：控制面将比较结果发送至用户面；

S406：若鉴权成功，用户面建立首次TLS握手请求的网络协议IP五元组与所述应用标识之间的关联关系。

可以理解地，该关联关系能够使得核心网设备识别后续该应用标识对表示的应用程序的加密数据流，并根据识别结果对加密数据流的流量进行统计。

可选地，在本实施例中，如虚线箭头所示，S407：控制面将比较结果通过用户面发送至UE；从而使得UE在接收到比较结果之后，就能够获知核心网设备是否完成了关联关系的建立，从而决定是否需要继续进行与核心网设备之间的鉴权。

具体示例二

参见图5，其示出了本发明实施例提供的一种加密数据流的识别方法的具体示例流程，该流程实施于UE与OTT服务器之间完成TLS握手后，该流程可以包括：

S50A：TLS握手完成后，HTTP内容全部加密；

S50B：OTT服务器将向UE发送应用标识，RAND和Ka；

可以理解地，OTT向UE发送上述信息时，运营商网络对此不可见。

S501：UE根据RAND与Ka按照预先设置的鉴权算法计算出Token，并将自身的RAND、Token以及应用标识作为鉴权数据承载于扩展的PDCP字段的鉴权请求。

S502：UE将鉴权请求发送至基站；

S503：基站将鉴权数据转换成GTP-U扩展字段后，将所述鉴权请求继续发送至所述核心网设备用户面；

S504：用户面在检测到鉴权请求中包括鉴权数据后，将鉴权数据透传至核心网设备的控制面；

S505：控制面根据自身的Ka以及UE的RAND按照配置的鉴权算法进行计算，并将计算结果与UE的Token进行比较；若两者一致，比较结果为鉴权成功；否则，比较结果为鉴权失败。

S506：控制面将比较结果发送至用户面；

S507：若鉴权成功，用户面建立鉴权请求的网络协议IP五元组与所述应用标识之间的关联关系。

可选地，在本实施例中，如虚线箭头所示，S508：控制面将比较结果通过用户面发送至UE；从而使得UE在接收到比较结果之后，就能够获知核心网设备是否完成了关联关系的建立，从而决定是否需要继续进行与核心网设备之间的鉴权。

具体示例三

参见图6，其示出了本发明实施例提供的一种加密数据流的识别方法的具体示例流程，该流程实施于UE与OTT服务器之间完成TLS握手后，该流程可以包括：

S60A：TLS握手完成后，HTTP内容全部加密；

S60B：OTT服务器将向UE发送应用标识，RAND和Ka；

S601：UE根据RAND与Ka按照预先设置的鉴权算法计算出Token，并将自身的RAND、Ka、Token、应用标识和OTT服务器的IP三元组作为鉴权数据承载于NAS-SM消息的扩展字段中。

可以理解地，OTT服务器的IP三元组可以包括OTT服务器的IP地址、端口号和协议类型。

S602：UE向核心网设备的控制面发送NAS-SM消息，从而向控制面请求会话修改；

S603：控制面根据自身的自身的Ka以及UE的RAND按照配置的鉴权算法进行计算，并将计算结果与UE的Token进行比较；若两者一致，比较结果为鉴权成功；否则，比较结果为鉴权失败；

S604：若鉴权成功，控制面根据所述OTT服务器的IP三元组以及所述UE的IP地址和端口号生成所述IP五元组；

S605：控制面将生成的IP五元组和所述应用标识传输至所述核心网设备的用户面；

S606：用户面建立生成的IP五元组和所述应用标识之间的关联关系。

S607：用户面建立完成后，通知控制面更新完成。

S608：控制面通过NAS消息向UE回复比较结果。

实施例四

基于前述实施例相同的发明构思，参见图7A，其示出了本发明实施例提供的一种核心网设备70的组成，可以包括：第一接收部分701、鉴权部分702和建立部分703；其中，

所述第一接收部分701，配置为接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

所述鉴权部分702，配置为基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

所述建立部分703，配置为当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

在一种可能的实现方式中，所述第一接收部分701，配置为在应用层会话建立的TLS握手过程中，接收所述UE发送的首次TLS握手请求；其中，所述鉴权数据承载于所述首次TLS握手请求中的明文字段。

在一种可能的实现方式中，所述第一接收部分701，配置为：在完成TLS握手后，所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求；其中，所述鉴权数据承载于所述鉴权请求中的GTP-U扩展字段。

可以理解地，在上述两个实现方式中，第一接收部分701可以为核心网设备70的用户面，相应地，鉴权部分为核心网设备70的控制面，建立部分为核心网设备70的用户面。

在一种可能的实现方式中，所述第一接收部分701，配置为在完成TLS握手后，所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息；其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组；其中，所述第一鉴权参数包括：随机数RAND和公共密钥Ka；所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端口号和协议类型。

在上述实现方式中，所述鉴权部分702，配置为根据所述第一鉴权参数中的RAND以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。

在上述实现方式中，所述建立部分703，配置为：

当所述第二鉴权结果与所述第一鉴权结果比对一致时，根据所述OTT服务器的IP三元组以及所述UE的IP地址和端口号生成所述IP五元组，并建立所述生成的IP五元组和所述应用标识之间的关联关系。

可以理解地，在上述实现方式中，第一接收部分701和鉴权部分702可以为核心网设备70的控制面，相应地，建立部分703为核心网设备70的用户面。

在一种可能的实现方式中，参见图7B，所述核心网设备70还包括第一发送部分704，配置为将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。需要说明的是，第一发送部分704为核心网设备70的控制面。

可以理解地，在本实施例中，“部分”可以是部分电路、部分处理器、部分程序或软件等等，当然也可以是单元，还可以是模块也可以是非模块化的。

另外，在本实施例中的各组成部分可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时，可以存储在一个计算机可读取存储介质中，基于这样的理解，本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或processor(处理器)执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

因此，本实施例提供了一种计算机可读介质，该计算机可读介质存储有加密数据流的识别程序，所述加密数据流的识别程序被至少一个处理器执行时实现上述实施例一所述的方法的步骤。

基于上述核心网设备70以及计算机可读介质，参见图8，其示出了本发明实施例提供的核心网设备70的具体硬件结构，可以包括：第一网络接口801、第一存储器802和第一处理器803；各个组件通过总线系统804耦合在一起。可理解，总线系统804用于实现这些组件之间的连接通信。总线系统804除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图8中将各种总线都标为总线系统804。其中，第一网络接口801，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

第一存储器802，用于存储能够在第一处理器803上运行的计算机程序；

第一处理器803，用于在运行所述计算机程序时，执行：

基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

可以理解，本发明实施例中的第一存储器802可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)。本文描述的系统和方法的第一存储器802旨在包括但不限于这些和任意其它适合类型的存储器。

而第一处理器803可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过第一处理器803中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第一处理器803可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于第一存储器802，第一处理器803读取第一存储器802中的信息，结合其硬件完成上述方法的步骤。

可以理解的是，本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits，ASIC)、数字信号处理器(Digital Signal Processing，DSP)、数字信号处理设备(DSP Device，DSPD)、可编程逻辑设备(Programmable Logic Device，PLD)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。

对于软件实现，可通过执行本文所述功能的模块(例如过程、函数等)来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。

具体来说，核心网设备70中的第一处理器803还配置为运行所述计算机程序时，执行前述实施例一中所述的方法步骤，这里不再进行赘述。

实施例五

基于前述实施例相同的发明构思，参见图9，其示出了本发明实施例提供的一种用户设备90的组成，可以包括：第二发送部分901，配置为发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识。

在上述方案中，所述第二发送部分901，配置为：在应用层会话建立的TLS握手过程中，将所述鉴权数据承载于首次TLS握手请求中的明文字段；

在上述方案中，所述第二发送部分901，配置为：在完成TLS握手后，将所述鉴权数据承载于扩展的PDCP字段的鉴权请求发送至基站，并通过基站将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段后，将所述鉴权请求继续发送至所述核心网设备用户面。

在上述方案中，所述第二发送部分901，配置为：在完成TLS握手后，向核心网设备的控制面发送非接入层会话管理NAS-SM消息；其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组；其中，所述第一鉴权参数包括：随机数RAND和公共密钥Ka；所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端口号和协议类型。

在上述方案中，参见图10，所述UE 90还包括第二接收部分902，配置为接收核心网设备的控制面回复的鉴权结果。

此外，本实施例还提供了一种计算机可读介质，该计算机可读介质存储有加密数据流的识别程序，所述加密数据流的识别程序被至少一个处理器执行时实现上述实施例二所述的方法的步骤。针对计算机可读介质的具体阐述，参见实施例四中的说明，在此不再赘述。

基于上述UE 90的组成以及计算机可读介质，参见图11，其示出了本发明实施例提供的UE 90的具体硬件结构，可以包括：第二网络接口1101、第二存储器1102和第二处理器1103；各个组件通过总线系统1104耦合在一起。可理解，总线系统1104用于实现这些组件之间的连接通信。总线系统1104除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图11中将各种总线都标为总线系统1104。其中，

其中，所述第二网络接口1101，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

第二存储器1102，用于存储能够在第二处理器1103上运行的计算机程序；

第二处理器1103，用于在运行所述计算机程序时，执行：

可以理解地，本实施例中UE 90的具体硬件结构中的组成部分，与实施例四中的相应部分类似，在此不做赘述。

具体来说，UE 90中的第二处理器1103，还配置为运行所述计算机程序时，执行前述实施例二中所述的方法步骤，这里不再进行赘述。

实施例六

基于前述实施例相同的发明构思，参见图12、其示出了本发明实施例提供的一种加密流量的识别系统120组成，包括核心网设备70以及用户设备90，其中，

所述用户设备90，配置为发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备70进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识；

所述核心网设备70，配置为接收用户设备UE90发送的承载有鉴权数据的数据包；

当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE 90发送的与所述应用标识对应的加密数据流进行识别。

具体实现过程中，本实施例中的核心网设备70可以优选为前述任一实施例中所述的核心网设备70；而用户设备90则可以优选为前述任一实施例中所述的用户设备90。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

工业实用性

本实施例中，核心网设备在UE与OTT服务器进行TLS握手过程中或握手完成后与UE进行鉴权，从而建立用于对加密数据流进行识别的关联关系，以实现对加密数据流的检测和统计，无需依赖明文标识，更无需进行复杂的IP地址配置和维护，提高了安全性并减少了配置和维护所需的计算资源。

Claims

一种加密数据流的识别方法，所述方法应用于核心网设备，所述方法包括：

接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
根据权利要求1所述的方法，其中，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在应用层会话建立的TLS握手过程中，所述核心网设备的用户面接收所述UE发送的首次TLS握手请求；其中，所述鉴权数据承载于所述首次TLS握手请求中的明文字段。
根据权利要求2所述的方法，其中，在接收用户设备UE发送的承载有鉴权数据的数据包后，所述方法还包括：

所述核心网设备的用户面从所述首次TLS握手请求中的明文字段检测到所述鉴权数据后，将所述鉴权数据传输至所述核心网设备的控制面。
根据权利要求1所述的方法，其中，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在完成TLS握手后，所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求；其中，所述鉴权数据承载于所述鉴权请求中的GTP-U 扩展字段。
根据权利要求4所述的方法，其中，在接收用户设备UE发送的承载有鉴权数据的数据包后，所述方法还包括：所述核心网设备的用户面从鉴权请求中的GTP-U扩展字段检测到所述鉴权数据后，将所述鉴权数据传输至所述核心网设备的控制面。
根据权利要求2至4任一项所述的方法，其中，所述第一鉴权参数包括随机数RAND；所述第二鉴权参数包括公共密钥Ka。
根据权利要求2至4任一项所述的方法，其中，所述基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果，包括：

所述核心网设备的控制面基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果。
根据权利要求2至4任一项所述的方法，其中，当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系，包括：

当所述第二鉴权结果与所述第一鉴权结果比对一致时，所述核心网设备的控制面将比对结果传输至所述核心网用户面；

所述核心网设备的用户面建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系。
根据权利要求1所述的方法，其中，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在完成TLS握手后，所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息；其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组；其中，所述第一鉴权参数包括：随机数RAND和公共密钥Ka；所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端口号和协议类型。
根据权利要求9所述的方法，其中，所述基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果，包括：

所述核心网设备的控制面根据所述第一鉴权参数中的RAND以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。
根据权利要求9或10所述的方法，其中，当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系，包括：

当所述第二鉴权结果与所述第一鉴权结果比对一致时，所述核心网设备的控制面根据所述OTT服务器的IP三元组以及所述UE的IP地址和端口号生成所述IP五元组，并将生成的IP五元组和所述应用标识传输至所述核心网设备的用户面；

所述核心网设备的用户面建立所述生成的IP五元组和所述应用标识之间的关联关系。
根据权利要求1所述的方法，其中，所述基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果后，所述方法还包括：

所述核心网设备的控制面通过所述核心网设备的用户面将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。
一种加密数据流的识别方法，所述方法应用于用户设备UE，所述方法包括：

发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识。
根据权利要求13所述的方法，其中，所述发送承载有鉴权数据的数据包，包括：

在应用层会话建立的TLS握手过程中，将所述鉴权数据承载于首次TLS握手请求中的明文字段；

将所述承载有所述鉴权数据的首次TLS握手请求通过核心网设备的用户面透传至所述核心网设备的控制面。
根据权利要求13所述的方法，其中，所述发送承载有鉴权数据的数据包，包括：

在完成TLS握手后，将所述鉴权数据承载于扩展的PDCP字段的鉴权请求发送至基站，并通过基站将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段后，将所述鉴权请求继续发送至所述核心网设备用户面。
根据权利要求13所述的方法，其中，所述发送承载有鉴权数据的数据包，包括：

在完成TLS握手后，向核心网设备的控制面发送非接入层会话管理NAS-SM消息；其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组；其中，所述第一鉴权参数包括：随机数RAND和公共密钥Ka；所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端口号和协议类型。
根据权利要求13所述的方法，其中，所述方法还包括：

接收核心网设备的控制面回复的鉴权结果。
一种核心网设备，包括：第一接收部分、鉴权部分和建立部分；其中，

所述第一接收部分，配置为接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

所述鉴权部分，配置为基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

所述建立部分，配置为当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
根据权利要求18所述的核心网设备，其中，所述第一接收部分，配置为在应用层会话建立的TLS握手过程中，接收所述UE发送的首次TLS握手请求；其中，所述鉴权数据承载于所述首次TLS握手请求中的明文字段。
根据权利要求18所述的核心网设备，其中，所述第一接收部分，配置为：在完成TLS握手后，所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求；其中，所述鉴权数据承载于所述鉴权请求中的GTP-U扩展字段。
根据权利要求18所述的核心网设备，其中，所述第一接收部分，配置为在完成TLS握手后，所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息；其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组；其中，所述第一鉴权参数包括：随机数RAND和公共密钥Ka；所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端口号和协议类型。
根据权利要求21所述的核心网设备，其中，所述鉴权部分，配置为根据所述第一鉴权参数中的RAND以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。
根据权利要求21或22所述的核心网设备，其中，所述建立部分，配置为：

当所述第二鉴权结果与所述第一鉴权结果比对一致时，根据所述OTT服务器的IP三元组以及所述UE的IP地址和端口号生成所述IP五元组，并建立所述生成的IP五元组和所述应用标识之间的关联关系。
根据权利要求18所述的核心网设备，其中，所述核心网设备还包括第一发送部分，配置为将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。
一种用户设备UE，其中，所述UE包括：第二发送部分，配置为发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识。
根据权利要求25所述的UE，其中，所述第二发送部分，配置为：在应用层会话建立的TLS握手过程中，将所述鉴权数据承载于首次TLS握手请求中的明文字段；

将所述承载有所述鉴权数据的首次TLS握手请求通过核心网设备的用户面透传至所述核心网设备的控制面。
根据权利要求25所述的UE，其中，所述第二发送部分，配置为：在完成TLS握手后，将所述鉴权数据承载于扩展的PDCP字段的鉴权请求发送至基站，并通过基站将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段后，将所述鉴权请求继续发送至所述核心网设备用户面。
根据权利要求25所述的UE，其中，所述第二发送部分，配置为：在完成TLS握手后，向核心网设备的控制面发送非接入层会话管理NAS-SM消息；其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组；其中，所述第一鉴权参数包括：随机数RAND和公共密钥Ka；所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端口号和协议类型。
根据权利要求25所述的UE，其中，所述UE还包括第二接收部分，配置为接收核心网设备的控制面回复的鉴权结果。
一种核心网设备，其中，第一网络接口，第一存储器和第一处理器；其中，

所述第一网络接口，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

所述第一存储器，用于存储能够在所述第一处理器上运行的计算机程序；

所述第一处理器，用于在运行所述计算机程序时，执行权利要求1至12任一项所述方法的步骤。
一种用户设备UE，其中，所述UE包括：第二网络接口、第二存储器和第二处理器；

其中，所述第二网络接口，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

所述第二存储器，用于存储能够在第二处理器上运行的计算机程序；

所述第二处理器，用于在运行所述计算机程序时，执行权利要求13至17任一项所述方法的步骤。
一种计算机可读介质，所述计算机可读介质存储有接入链路的管理程序，所述接入链路的管理程序被至少一个处理器执行时实现权利要求1至12中任一项或权利要求13至17中任一项所述的方法的步骤。
一种加密流量的识别系统，包括核心网设备以及用户设备，其中，

所述用户设备，配置为发送承载有鉴权数据的数据包；其中，所述鉴权数据用于所述核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识；

所述核心网设备，配置为接收用户设备UE发送的承载有鉴权数据的数据包；

基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。