【技术实现步骤摘要】
【国外来华专利技术】用于去激活电信网络中的服务器名称指示SNI加密的方法和节点
[0001]本专利技术涉及电信领域,并且更具体地,涉及用于去激活电信网络中的服务器名称指示SNI加密的方法。
技术介绍
[0002]业务加密在移动网络中显著增长,并且同时,加密机制的复杂性也在增长。电信网络提供商使用业务过滤器来检测业务并应用对应的管理/实施动作,比如计费、服务质量QoS等,业务过滤器例如可以是本地配置的或者通过Nnef接口从内容提供商/AF接收的。
[0003]根据现有技术,内容提供商能传递给网络运营商使得网络运营商能够适当地对内容提供商的业务进行区分和分类的信息是包含在标准化分组流描述(即PFD)中的信息。这是使得能够检测应用业务的一组信息,包括:PFD id;3元组,包括协议、服务器侧IP地址和端口号;或者要匹配的统一资源定位符URL的部分,例如主机名;或者域名匹配标准,其指的是TLS协议,特别是指例如TLS客户端问候服务器名称指示(TLS ClientHello ServerName Indication)。
[0004]TLS协议规定了称为服务器名称指示SNI的扩展。常见的是,内容服务器托管单个因特网协议IP地址后面的多个源。为了将应用流路由到正确的服务器,而不必对整个流解密,引入了SNI扩展。
[0005]SNI扩展由客户端(即用户设备UE)在客户端问候消息中发送,并且包含客户端正试图连接到的服务器的域名的明文字符串。由于SNI字段是以明文发送的,因此它通常由路径上的(on
‑
path)网 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于去激活电信网络中的服务器名称指示SNI加密的方法,其中,所述电信网络包括域名系统DNS服务器,所述方法包括以下步骤:
‑
由所述DNS服务器从用户设备UE接收DNS查询,所述DNS查询包括要转换成因特网协议IP地址的域名;
‑
由所述DNS服务器确定要对于与所述域名关联的后续业务去激活SNI加密;
‑
由所述DNS服务器将所述DNS查询转发到外部DNS服务器,其中,所述DNS查询包括所述域名和对去激活SNI加密的请求;
‑
由所述DNS服务器从所述外部DNS服务器接收DNS应答,其中,所述DNS应答包括所述转换的IP地址,并且其中,所述DNS应答不含用于对SNI加密的加密密钥;
‑
由所述DNS服务器将包括所述转换的IP地址的所述DNS应答转发到所述UE,其中,所述DNS应答不含加密密钥,使得所述UE不能够在所述后续业务中对所述SNI加密。2.如权利要求1的方法,其中,所述确定步骤进一步包括:
‑
由所述DNS服务器向策略和计费功能实体传送用户同意请求,用于查询所述UE是否已经提供了对去激活所述SNI加密的同意;
‑
由所述DNS服务器从所述策略和计费功能实体接收用户同意响应,所述用户同意响应包括所述UE已经提供了对去激活所述SNI加密的所述同意的指示。3.如权利要求2所述的方法,其中,所述接收的DNS查询和所述传送的用户同意请求包括所述UE的IP地址,用于使所述策略和计费功能实体能够确定所述UE是否已经提供了所述用户同意。4.如前述权利要求中任一项所述的方法,其中,转发所述DNS查询的所述步骤包括:
‑
由所述DNS服务器将所述DNS查询转发到外部DNS服务器,其中,所述DNS查询包括用于标识所述电信网络的运营商的运营商识别码,从而使所述外部DNS服务器能够确定是否可以对于所述运营商去激活服务器名称指示SNI加密。5.如前述权利要求中任一项所述的方法,其中,所述DNS应答不含加密密钥,所述加密密钥是对应于所述域名的公共密钥和对应于所述域名的已加密服务器名称指示ESNI密钥中的任一个。6.一种用于支持去激活电信网络中的服务器名称指示SNI加密的方法,其中,所述电信网络包括域名系统DNS服务器以及策略和计费功能实体,所述方法包括以下步骤:
‑
由所述策略和计费功能实体从所述DNS服务器接收用户同意请求,用于询问所述UE是否已经提供了对去激活所述SNI加密的同意;
‑
由所述策略和计费功能实体确定所述UE已经提供了对去激活所述SNI加密的所述同意;
‑
由所述策略和计费功能实体向所述DNS服务器传送用户同意响应,所述用户同意响应包括所述UE已经提供了对去激活所述SNI加密的所述同意的指示。7.如权利要求6所述的方法,其中,所述接收的用户同意请求包括所述UE的IP地址,其中,所述确定步骤包括:
‑
基于所述接收的所述UE的IP地址,确定所述UE已经提供了所述同意。8.如权利要求7所述的方法,其中,所述方法包括以下初始步骤:
‑
由所述策略和计费功能实体向统一数据储存库UDR传送用于检索所述UE的策略数据
的查询请求消息;
‑
由所述策略和计费功能实体从所述统一数据储存库UDR接收查询响应消息,其中,所述查询响应消息包括所述UE已经提供了对去激活所述SNI加密的所述同意的所述指示;
‑
由所述策略和计费功能实体存储所述接收的所述UE已经提供了对去激活所述SNI加密的所述同意的指示。9.一种用于由因特网协议IP通信系统中的外部域名系统DNS服务器支持去激活电信网络中的服务器名称指示SNI加密的方法,其中,所述外部DNS服务器被布置成与电信网络中的DNS服务器通信,其中,所述方法包括以下步骤:
‑<...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。