【技术实现步骤摘要】
【国外来华专利技术】一种加密数据流的识别方法、设备、存储介质及系统
本专利技术实施例涉及网络安全
,尤其涉及一种加密数据流的识别方法、设备、可读存储介质及系统。
技术介绍
超文本传输协议(HTTP,HyperText Transfer Protocol)2.0版本出现之后,所有的HTTP层及HTTP层以上的应用层数据流均能够通过安全传输层协议(TLS,Transport Layer Security Protocol)协议进行加密,而运营商所提供的网络设备无法对加密数据流进行识别。针对该问题,目前通常采用TLS层的某些明文标识在TLS协议的握手过程中对应用的加密数据流进行识别。但是,由于明文标识容易被破解,具有不安全的隐患,并且后续的TLS协议中不再支持明文标识。基于此,当前相关技术中并没有提出不依赖于明文标识对加密数据流进行识别的方案和机制。
技术实现思路
为解决上述技术问题,本专利技术实施例期望提供一种加密数据流的识别方法、设备、可读存储介质及系统;能够不依赖于明文标识就可以对加密数据流进行识别,提升了识别的安全性。
【技术保护点】
一种加密数据流的识别方法,所述方法应用于核心网设备,所述方法包括:/n接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;/n基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;/n当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。/n
【技术特征摘要】
【国外来华专利技术】一种加密数据流的识别方法,所述方法应用于核心网设备,所述方法包括:
接收用户设备UE发送的承载有鉴权数据的数据包;其中,所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识;
基于所述第一鉴权参数和第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果;其中,所述第二鉴权参数为预存的所述应用标识对应的鉴权参数;
当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系;其中,所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。
根据权利要求1所述的方法,其中,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:
在应用层会话建立的TLS握手过程中,所述核心网设备的用户面接收所述UE发送的首次TLS握手请求;其中,所述鉴权数据承载于所述首次TLS握手请求中的明文字段。
根据权利要求2所述的方法,其中,在接收用户设备UE发送的承载有鉴权数据的数据包后,所述方法还包括:
所述核心网设备的用户面从所述首次TLS握手请求中的明文字段检测到所述鉴权数据后,将所述鉴权数据传输至所述核心网设备的控制面。
根据权利要求1所述的方法,其中,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:
在完成TLS握手后,所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求;其中,所述鉴权数据承载于所述鉴权请求中的GTP-U
扩展字段。
根据权利要求4所述的方法,其中,在接收用户设备UE发送的承载有鉴权数据的数据包后,所述方法还包括:所述核心网设备的用户面从鉴权请求中的GTP-U扩展字段检测到所述鉴权数据后,将所述鉴权数据传输至所述核心网设备的控制面。
根据权利要求2至4任一项所述的方法,其中,所述第一鉴权参数包括随机数RAND;所述第二鉴权参数包括公共密钥Ka。
根据权利要求2至4任一项所述的方法,其中,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果,包括:
所述核心网设备的控制面基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果。
根据权利要求2至4任一项所述的方法,其中,当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系,包括:
当所述第二鉴权结果与所述第一鉴权结果比对一致时,所述核心网设备的控制面将比对结果传输至所述核心网用户面;
所述核心网设备的用户面建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系。
根据权利要求1所述的方法,其中,所述接收用户设备UE发送的承载有鉴权数据的数据包,包括:
在完成TLS握手后,所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息;其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组;其中,所述第一鉴权参数包括:随机数RAND和公共密钥Ka;所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端
口号和协议类型。
根据权利要求9所述的方法,其中,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果,包括:
所述核心网设备的控制面根据所述第一鉴权参数中的RAND以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。
根据权利要求9或10所述的方法,其中,当所述第二鉴权结果与所述第一鉴权结果比对一致时,则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系,包括:
当所述第二鉴权结果与所述第一鉴权结果比对一致时,所述核心网设备的控制面根据所述OTT服务器的IP三元组以及所述UE的IP地址和端口号生成所述IP五元组,并将生成的IP五元组和所述应用标识传输至所述核心网设备的用户面;
所述核心网设备的用户面建立所述生成的IP五元组和所述应用标识之间的关联关系。
根据权利要求1所述的方法,其中,所述基于所述第一鉴权参数和所述第二鉴权参数,按照设定的鉴权算法获得第二鉴权结果后,所述方法还包括:
所述核心网设备的控制面通过所述核心网设备的用户面将所述第二鉴权结果与所述第一鉴权结果的比对结果发送至所述UE。
一种加密数据流的识别方法,所述方法应用于用户设备UE,所述方法包括:
发送承载有鉴权数据的数据包;其中,所述鉴权数据用于所述核心网设备进行鉴权,且所述鉴权数据包括:第一鉴权参数、第一鉴权结果以及应用标识。
根据权利要求13所述的方法,其中,所述发送承载有鉴权数据的数据包,包括:
在应用层会话建立的TLS握手过程中,将所述鉴权数据承载于首次TLS握手请求中的明文字段;
将所述承载有所述鉴权数据的首次TLS握手请求通过核心网设备的用户面透传至所述核心网设备的控制面。
根据权利要求13所述的方法,其中,所述发送承载有鉴权数据的数据包,包括:
在完成TLS握手后,将所述鉴权数据承载于扩展的PDCP字段的鉴权请求发送至基站,并通过基站将PDCP扩展字段中的鉴权数据转换成GTP-U扩展字段后,将所述鉴权请求继续发送至所述核心网设备用户面。
根据权利要求13所述的方法,其中,所述发送承载有鉴权数据的数据包,包括:
在完成TLS握手后,向核心网设备的控制面发送非接入层会话管理NAS-SM消息;其中,所述NAS-SM消息的扩展字段中包括:第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的IP三元组;其中,所述第一鉴权参数包括:随机数RAND和公共密钥Ka;所述NAS-SM消息的IP三元组包括OTT服务器的IP地址、端口号和协议类型。
根据权...
【专利技术属性】
技术研发人员:唐海,
申请(专利权)人:OPPO广东移动通信有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。