用于去激活电信网络中的服务器名称指示SNI加密的方法和节点技术

一种用于去激活电信网络中的服务器名称指示SNI加密的方法，其中所述电信网络包括域名系统DNS服务器，所述方法包括以下步骤：由所述DNS服务器从用户设备UE接收DNS查询，所述DNS查询包括要转换成因特网协议IP地址的域名；由所述DNS服务器确定要对于与所述域名关联的后续业务去激活SNI加密；由所述DNS服务器将所述DNS查询转发到外部DNS服务器，其中所述DNS查询包括所述域名和对去激活SNI加密的请求；由所述DNS服务器从所述外部DNS服务器接收DNS应答，其中所述DNS应答包括所述转换的IP地址，并且其中所述DNS应答不含用于对SNI加密的加密密钥；以及由所述DNS服务器将包括所述转换的IP地址的所述DNS应答转发到所述UE，其中所述DNS应答不含加密密钥，使得所述UE不能够在所述后续业务中对所述SNI加密。在所述后续业务中对所述SNI加密。在所述后续业务中对所述SNI加密。

【技术实现步骤摘要】
【国外来华专利技术】用于去激活电信网络中的服务器名称指示SNI加密的方法和节点


[0001]本专利技术涉及电信领域，并且更具体地，涉及用于去激活电信网络中的服务器名称指示SNI加密的方法。

技术介绍

[0002]业务加密在移动网络中显著增长，并且同时，加密机制的复杂性也在增长。电信网络提供商使用业务过滤器来检测业务并应用对应的管理/实施动作，比如计费、服务质量QoS等，业务过滤器例如可以是本地配置的或者通过Nnef接口从内容提供商/AF接收的。
[0003]根据现有技术，内容提供商能传递给网络运营商使得网络运营商能够适当地对内容提供商的业务进行区分和分类的信息是包含在标准化分组流描述(即PFD)中的信息。这是使得能够检测应用业务的一组信息，包括：PFD id；3元组，包括协议、服务器侧IP地址和端口号；或者要匹配的统一资源定位符URL的部分，例如主机名；或者域名匹配标准，其指的是TLS协议，特别是指例如TLS客户端问候服务器名称指示(TLS ClientHello ServerName Indication)。
[0004]TLS协议规定了称为服务器名称指示SNI的扩展。常见的是，内容服务器托管单个因特网协议IP地址后面的多个源。为了将应用流路由到正确的服务器，而不必对整个流解密，引入了SNI扩展。
[0005]SNI扩展由客户端(即用户设备UE)在客户端问候消息中发送，并且包含客户端正试图连接到的服务器的域名的明文字符串。由于SNI字段是以明文发送的，因此它通常由路径上的(on
‑
path)网络元件使用以便对流进行分类。
[0006]在IETF，对于TLS 1.3，提议对服务器名称指示SNI扩展进行加密。快速UDP因特网连接QUIC是一种基于UDP的流多路复用加密传输协议。QUIC基本上是基于UDP的、对TCP的替代。QUIC当前处于IETF的标准化之下，并且依赖于TLS 1.3，因此基于QUIC的应用也可以对服务器名称指示SNI扩展进行加密。
[0007]由于TLS 1.3提议对TLS SNI进行加密/使之模糊不清(obfuscate)，利用如3GPP所定义的当前PFD规则，将更难区分基于TLS(1.3和更高版本)和/或QUIC的应用的业务，这是因为SNI通常由路径上的网络元件使用，以便在当今对流进行分类。仅有的备选机制是IP地址列表，但这有许多缺点：它可能很难保持更新，意味着暴露OTT拓扑和交换多得多的信息：IP地址列表可能巨大。
[0008]由于在上述场景中将不可能进行业务区分，因此这可能导致对现有网络运营商业务管理使用情况的相关影响，例如用于基于TLS(1.3及更高版本)和/或QUIC的应用的赞助数据、QoS、业务优化等。

技术实现思路

[0009]实现使电信网络中的节点能够利用在源自用户设备UE的消息中存在的SNI的方法
将是有利的。
[0010]在本公开的第一方面，给出了用于去激活电信网络中的服务器名称指示SNI加密的方法，其中，所述电信网络包括域名系统DNS服务器，所述方法包括以下步骤：
[0011]‑
由所述DNS服务器从用户设备UE接收DNS查询，所述DNS查询包括要转换成因特网协议IP地址的域名；
[0012]‑
由所述DNS服务器确定对于与所述域名关联的后续业务将去激活SNI加密；
[0013]‑
由所述DNS服务器将所述DNS查询转发到外部DNS服务器，其中，所述DNS查询包括所述域名和对去激活SNI加密的请求；
[0014]‑
由所述DNS服务器从所述外部DNS服务器接收DNS应答，其中，所述DNS应答包括所述转换的IP地址，并且其中，所述DNS应答不含(free from)用于对SNI加密的加密密钥；
[0015]‑
由所述DNS服务器将包括所述转换的IP地址的所述DNS应答转发到所述UE，其中，所述DNS应答不含加密密钥，使得所述UE不能够在所述后续业务中对所述SNI加密。
[0016]上面的优点在于，由于DNS应答不提供任何加密密钥，所以后续的业务、即应用特定业务不能被加密。
[0017]更特别地，后续业务可以包括UE向包含在DNS应答中的IP地址发送客户端问候消息，其中服务器名称指示SNI没有被加密，这是因为UE尚未接收到用于这么做的加密密钥。
[0018]这允许电信网络的网络实体/节点实际上将SNI用于对流进行分类，因为它没有被加密。更特别地，这允许网络实体/节点适当地对内容提供商的业务进行区分和分类。
[0019]要注意，根据本公开，与域名关联的内容提供商可具有与电信网络运营商的准备就绪的(inplace)服务级别SLA协定。SLA协定可以规定，对于例如内容提供商应用的某个集合，在该特定电信网络中可以去激活SNI加密。
[0020]如上文所公开的，确定步骤可能然后需要DNS服务器验证SLA协定是准备就绪的，并且以使得SNI可以不被加密的方式来批准某个应用(即域名)的业务。
[0021]根据上文，本公开可以针对如下概念，即每当特定UE打开某个应用时，它可以朝向网络运营商的DNS服务器触发DNS查询，所述DNS查询包括对应的域或FQDN。然后，DNS服务器可以检查是否存在SLA协定来对于该应用/域去激活SNI加密。如果是，则网络运营商的DNS服务器向DNS层级中的下一个/外部DNS服务器指示请求去激活SNI加密。该请求然后由外部DNS服务器以适当的方式处理。
[0022]在示例中，确定步骤进一步包括：
[0023]‑
由所述DNS服务器向策略和计费功能实体传送用户同意请求，用于查询所述UE是否已经提供了对去激活所述SNI加密的同意；
[0024]‑
由所述DNS服务器从所述策略和计费功能实体接收用户同意响应，所述用户同意响应包括所述UE已经提供了对去激活所述SNI加密的所述同意的指示。
[0025]专利技术人已经发现，在内容提供商和电信网络运营商之间具有准备就绪的协定来确定SNI是否可以不被加密可能是不足够的。本示例描述了如下方法，其中DNS服务器请求UE本身是否也已提供了其对去激活SNI加密的同意。这样的请求被发送到策略和计费功能实体。
[0026]上述示例的优点在于，通过允许来自用户的显式同意，它允许网络运营商遵守用户的隐私要求。
[0027]要注意，所呈现的方法可以在任何电信网络中、例如4G或5G电信网络中可操作。这样，策略和计费功能实体可以是4G网络实体、比如策略和计费规则功能PCRF或者可以是5G网络实体、比如策略计费功能，策略和计费规则功能PCRF是被实时指派用于确定多媒体网络中的策略规则的软件节点，策略计费功能经由定义的策略规则掌管控制平面功能，并经由策略实施掌管用户平面功能。
[0028]这里，所接收的DNS查询和所述传送的用户同意请求可以包括所述UE的IP地址，用于使所述策略和计费功能实体能够确定所述UE是否已经提供了所述用户同意本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于去激活电信网络中的服务器名称指示SNI加密的方法，其中，所述电信网络包括域名系统DNS服务器，所述方法包括以下步骤：
‑
由所述DNS服务器从用户设备UE接收DNS查询，所述DNS查询包括要转换成因特网协议IP地址的域名；
‑
由所述DNS服务器确定要对于与所述域名关联的后续业务去激活SNI加密；
‑
由所述DNS服务器将所述DNS查询转发到外部DNS服务器，其中，所述DNS查询包括所述域名和对去激活SNI加密的请求；
‑
由所述DNS服务器从所述外部DNS服务器接收DNS应答，其中，所述DNS应答包括所述转换的IP地址，并且其中，所述DNS应答不含用于对SNI加密的加密密钥；
‑
由所述DNS服务器将包括所述转换的IP地址的所述DNS应答转发到所述UE，其中，所述DNS应答不含加密密钥，使得所述UE不能够在所述后续业务中对所述SNI加密。2.如权利要求1的方法，其中，所述确定步骤进一步包括：
‑
由所述DNS服务器向策略和计费功能实体传送用户同意请求，用于查询所述UE是否已经提供了对去激活所述SNI加密的同意；
‑
由所述DNS服务器从所述策略和计费功能实体接收用户同意响应，所述用户同意响应包括所述UE已经提供了对去激活所述SNI加密的所述同意的指示。3.如权利要求2所述的方法，其中，所述接收的DNS查询和所述传送的用户同意请求包括所述UE的IP地址，用于使所述策略和计费功能实体能够确定所述UE是否已经提供了所述用户同意。4.如前述权利要求中任一项所述的方法，其中，转发所述DNS查询的所述步骤包括：
‑
由所述DNS服务器将所述DNS查询转发到外部DNS服务器，其中，所述DNS查询包括用于标识所述电信网络的运营商的运营商识别码，从而使所述外部DNS服务器能够确定是否可以对于所述运营商去激活服务器名称指示SNI加密。5.如前述权利要求中任一项所述的方法，其中，所述DNS应答不含加密密钥，所述加密密钥是对应于所述域名的公共密钥和对应于所述域名的已加密服务器名称指示ESNI密钥中的任一个。6.一种用于支持去激活电信网络中的服务器名称指示SNI加密的方法，其中，所述电信网络包括域名系统DNS服务器以及策略和计费功能实体，所述方法包括以下步骤：
‑
由所述策略和计费功能实体从所述DNS服务器接收用户同意请求，用于询问所述UE是否已经提供了对去激活所述SNI加密的同意；
‑
由所述策略和计费功能实体确定所述UE已经提供了对去激活所述SNI加密的所述同意；
‑
由所述策略和计费功能实体向所述DNS服务器传送用户同意响应，所述用户同意响应包括所述UE已经提供了对去激活所述SNI加密的所述同意的指示。7.如权利要求6所述的方法，其中，所述接收的用户同意请求包括所述UE的IP地址，其中，所述确定步骤包括：
‑
基于所述接收的所述UE的IP地址，确定所述UE已经提供了所述同意。8.如权利要求7所述的方法，其中，所述方法包括以下初始步骤：
‑
由所述策略和计费功能实体向统一数据储存库UDR传送用于检索所述UE的策略数据
的查询请求消息；
‑
由所述策略和计费功能实体从所述统一数据储存库UDR接收查询响应消息，其中，所述查询响应消息包括所述UE已经提供了对去激活所述SNI加密的所述同意的所述指示；
‑
由所述策略和计费功能实体存储所述接收的所述UE已经提供了对去激活所述SNI加密的所述同意的指示。9.一种用于由因特网协议IP通信系统中的外部域名系统DNS服务器支持去激活电信网络中的服务器名称指示SNI加密的方法，其中，所述外部DNS服务器被布置成与电信网络中的DNS服务器通信，其中，所述方法包括以下步骤：
‑<...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：