CN110999256B - 通信方法、终端设备和核心网络设备 - Google Patents
通信方法、终端设备和核心网络设备 Download PDFInfo
- Publication number
- CN110999256B CN110999256B CN201980003697.9A CN201980003697A CN110999256B CN 110999256 B CN110999256 B CN 110999256B CN 201980003697 A CN201980003697 A CN 201980003697A CN 110999256 B CN110999256 B CN 110999256B
- Authority
- CN
- China
- Prior art keywords
- core network
- terminal device
- information
- network device
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/24—Negotiation of communication capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
通信方法包括:终端设备向核心网络设备发送第一信息,该第一信息指示该终端设备支持的一种或多种加密流量检测方法;终端设备从核心网络设备接收第二信息,该第二信息指示核心网络设备基于第一信息确定的在与终端设备的通信中要使用的加密流量检测方法;以及终端设备根据要使用的加密流量检测方法执行处理。
Description
相关申请的交叉引用
本申请基于并要求2018年5月23日提交的序列号为62/675,274的名称为“UE与网络之间的流量检测方法协商机制”美国临时专利申请的优先权,其全部内容通过引用的方式并入本文。
技术领域
本申请实施例大体上涉及通信领域,尤其涉及一种通信方法、终端设备和核心网络设备。
背景技术
在网络通信中,HTTP(超文本传输协议)+TLS(传输层安全性)正在成为一种趋势,这意味着越来越多的HTTP流量将被加密。当前,在运营商网络中,通常使用SNI(服务器名称指示)来标识加密流量属于哪种业务,然后将流量的IP元组与网络中安装的过滤器相关联,以进行进一步的流量检测。
但是,问题在于SNI是纯文本,即使将来的TLS协议中将对SNI进行加密,该纯文本也可以被任何攻击者伪造。因此,SNI无法再用于标识业务的流量。
为了解决上述问题,提出了多种加密流量检测方法,每种方法各有优缺点。用户设备或核心网络设备可以支持这些方法中的一种或多种,因此,有可能在用户设备和核心网络设备之间发生所使用的加密流量检测方法不匹配的情况。
发明内容
本申请的实施例提供了一种通信方法和设备,该通信方法和设备使得能够在终端设备与核心网络设备之间就加密流量检测方法的使用进行协商,从而避免使用的不匹配。
在第一方面,提供了一种通信方法,包括:
终端设备向核心网络设备发送指示该终端设备支持的一种或多种加密流量检测方法的第一信息;
终端设备从核心网络设备接收指示核心网络设备基于第一信息确定的在与终端设备的通信中要使用的加密流量检测方法的第二信息;以及
终端设备根据要使用的加密流量检测方法执行处理。
可以看出,在本申请实施例的第一方面中,通过向核心网络设备发送关于终端设备所支持的方法的信息,核心网络设备基于该信息确定要使用的方法,以及向终端设备通知确定的要使用的方法,可以实现终端设备与核心网络设备之间加密流量检测方法的使用的协商,由此可以避免方法使用的不匹配。
结合第一方面,在第一方面的第一种可能的实现方式中,终端设备向核心网络设备发送指示该终端设备支持的一种或多种加密流量检测方法的第一信息,包括:
终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中;
终端设备向核心网络设备发送包括第一信息的上行信令消息。
在本申请的一个实施例中,终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中包括:
在以下过程中的至少一个过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中:
终端设备的注册过程;
终端设备的附着过程(attach procedure);
PDU会话建立过程;
PDU会话修改过程(PDU session modification)。
在本申请的另一个实施例中,在终端设备的注册过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的注册过程的注册请求。
在本申请的另一个实施例中,在终端设备的附着过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的附着过程的附着请求。
在本申请的另一实施例中,在PDU会话建立过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话建立过程的PDU会话建立请求。
在本申请的另一个实施例中,在PDU会话修改过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话修改过程的PDU会话修改请求。
结合第一方面或以上任何一种可能的实现方式,在第一方面的第二种可能的实现方式中,终端设备从核心网络设备接收指示在与终端设备的通信中要使用的加密流量检测方法的第二信息,包括:
终端设备从核心网络设备接收包括第二信息的下行信令消息。
在本申请的一个实施例中,终端设备从核心网络设备接收包括第二信息的下行信令消息,包括:
在以下过程中的至少一个过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
在本申请的另一个实施例中,在终端设备的注册过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的注册过程的注册响应。
在本申请的另一个实施例中,在终端设备的附着过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的附着过程的附着响应。
在本申请的另一个实施例中,在PDU会话建立过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话建立过程的PDU会话建立响应。
在本申请的另一个实施例中,在PDU会话修改过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话修改过程的PDU会话修改响应。
结合第一方面或上述任何一种可能的实现方式,在第一方面的第三种可能的实现方式中,第一信息指示以下至少之一:
终端设备是否支持用户设备辅助的加密流量检测方法;
终端设备支持的用户设备辅助的加密流量检测方法的类型;
终端设备支持的用户设备辅助加密流量检测方法的子类型。
结合第一方面或以上任何一种可能的实现方式,在第一方面的第四种可能的实现方式中,第一信息指示终端设备确定的一种或多种方法的优先级。
结合第一方面或以上任何一种可能的实现方式,在第一方面的第五种可能的实现方式中,核心网络设备从第一信息指示的一种或多种方法中选择要使用的加密流量检测方法。
在第二方面,提供了一种通信方法,包括:
核心网络设备从终端设备接收指示终端设备支持的一种或多种加密流量检测方法的第一信息;
核心网络设备基于第一信息,确定在与终端设备的通信中要使用的加密流量检测方法;
核心网络设备向终端设备发送指示要使用的加密流量检测方法的第二信息。
可以看出,在本申请实施例的第二方面,通过向核心网络设备发送关于终端设备所支持的方法的信息,核心网络设备基于该信息确定要使用的方法,并向终端设备通知确定的要使用的方法,可以实现对终端设备与核心网络设备之间加密流量检测方法的使用的协商,由此可以避免方法使用的不匹配。
结合第二方面,在第二方面的第一种可能的实现方式中,核心网络设备从终端设备接收指示终端设备支持的一种或多种加密流量检测方法的第一信息,包括:
核心网络设备接收从终端设备发送的包括第一信息的上行信令消息。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第二种可能的实现方式中,核心网络设备接收从终端设备发送的包括第一信息的上行信令消息包括:
在以下过程中的至少一个过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第三种可能的实现方式中,在终端设备的注册过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的注册过程的注册请求。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第四种可能的实现方式中,在终端设备的附着过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的附着过程的附着请求。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第五种可能的实现方式中,在PDU会话建立过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话建立过程的PDU会话建立请求。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第六种可能的实现方式中,在PDU会话修改过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话修改过程的PDU会话修改请求。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第七种可能的实现方式中,核心网络设备向终端设备发送指示要使用的加密流量检测方法的第二信息,包括:
核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中;
核心网络设备向终端设备发送包括第二信息的下行信令消息。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第八种可能的实现方式中,核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中包括:
在以下过程中的至少一个过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第九种可能的实现方式中,在终端设备的注册过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的注册过程的注册响应。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第十种可能的实现方式中,在终端设备的附着过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的附着过程的附着响应。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第十一种可能的实现方式中,在PDU会话建立过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话建立过程的PDU会话建立响应。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第十二种可能的实现方式中,在PDU会话修改过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话修改过程的PDU会话修改响应。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第十三种可能的实现方式中,第一信息指示以下至少之一:
终端设备是否支持用户设备辅助的加密流量检测方法;
终端设备支持的用户设备辅助的加密流量检测方法的类型;
终端设备支持的用户设备辅助加密流量检测方法的子类型。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第十四种可能的实现方式中,第一信息指示终端设备确定的一种或多种加密流量检测方法的优先级。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第十五种可能的实现方式中,核心网络设备基于第一信息,确定在与终端设备的通信中要使用的加密流量检测方法,包括:
核心网络设备将第一信息中指示的一种或多种方法与核心网络设备支持的一种或多种方法进行比较;
核心网络设备从第一信息中指示的一种或多种方法中选择与核心网络设备支持的一种或多种方法中的一种相匹配的至少一种作为要使用的加密流量检测方法。
结合第二方面或以上任何一种可能的实现方式,在第二方面的第十六种可能的实现方式中,所述方法还包括:
核心网络设备根据要使用的加密流量检测方法进行处理。
在第三方面,提供了一种通信方法,包括:
核心网络设备向终端设备发送指示一种或多种加密流量检测方法的第一信息,该一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法;
核心网络设备从终端设备接收指示终端设备基于第一信息确定的在与终端设备的通信中使用的加密流量检测方法的第二信息;
核心网络设备根据要使用的加密流量检测方法执行处理。
可以看出,在本申请实施例的第三方面,通过向终端设备发送关于要使用的加密流量检测方法的候选方法的信息,终端设备基于该信息来确定要使用的方法,并向核心网络设备通知确定的要使用的方法,可以实现对终端设备与核心网络设备之间加密流量检测方法的使用的协商,由此可以避免方法使用的不匹配。
结合第三方面,在第三方面的第一种可能的实现方式中,核心网络设备向终端设备发送指示一种或多种加密流量检测方法的第一信息,包括:
核心网络设备将第一信息包括在要发送给终端设备的下行信令消息中;
核心网络设备向终端设备发送包括第一信息的下行信令消息。
结合第三方面或以上任何一种可能的实现,在第三方面的第二种可能的实现方式中,核心网络设备将第一信息包括在要发送给终端设备的下行信令消息中包括:
核心网络设备将第一信息包括在用户设备配置更新过程期间要发送到终端设备的用户设备配置更新请求中,
其中,核心网络设备从终端设备接收指示在与终端设备的通信中要使用的加密流量检测方法的第二信息包括:
核心网络设备从终端设备接收针对用户设备配置更新请求的确认消息,该确认消息包括第二信息。
结合第三方面或以上任何一种可能的实现方式,在第三方面的第三种可能的实现方式中,第一信息指示核心网络设备确定的一种或多种加密流量检测方法的优先级。
结合第三方面或以上任何一种可能的实现方式,在第三方面的第四种可能的实现方式中,终端设备从第一信息指示的一种或多种加密流量检测方法中选择要使用的加密流量检测方法。
在第四方面,提供了一种通信方法,包括:
终端设备从核心网络设备接收指示一种或多种加密流量检测方法的第一信息,所述一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法;
终端设备基于第一信息,确定在与终端设备的通信中要使用的加密流量检测方法;
终端设备向核心网络设备发送指示要使用的加密流量检测方法的第二信息。
可以看出,在本申请实施例的第四方面,通过向终端设备发送关于要使用的加密流量检测方法的候选方法的信息,终端设备基于该信息来确定要使用的方法,并向核心网络设备通知确定的要使用的方法,可以实现对终端设备与核心网络设备之间加密流量检测方法的使用的协商,由此可以避免方法使用的不匹配。
结合第四方面,在第四方面的第一种可能的实现方式中,终端设备从核心网络设备接收指示一种或多种加密流量检测方法的第一信息,包括:
终端设备接收从核心网络设备发送的包括第一信息的下行信令消息。
结合第四方面,在第四方面的第二种可能的实现方式中,终端设备从核心网络设备接收指示一种或多种加密流量检测方法的第一信息包括:
在用户设备配置更新过程期间终端设备接收从核心网络设备发送的包括第一信息的用户设备配置更新请求。
结合第四方面,在第四方面的第三种可能的实现方式中,终端设备基于第一信息,确定在与终端设备的通信中要使用的加密流量检测方法,包括:终端设备将第一信息中指示的一种或多种加密流量检测方法与终端设备支持的一种或多种加密流量检测方法进行比较;
终端设备从第一信息中指示的一种或多种加密流量检测方法中选择与终端设备支持的一种或多种加密流量检测方法中的一种相匹配的至少一种,作为要使用的加密流量检测方法。
结合第四方面,在第四方面的第四种可能的实现方式中,终端设备向核心网络设备发送第二信息,该第二信息指示加密流量检测方法,包括:
终端设备将第二信息包括在要发送给核心网络设备的上行信令消息中;
终端设备向核心网络设备发送上行信令消息。
结合第四方面,在第四方面的第五种可能的实现方式中,终端设备将第二信息包括在要发送给核心网络设备的上行信令消息中包括:
终端设备将第二信息包括在用户设备配置更新过程期间针对用户设备配置更新请求的确认消息中。
结合第四方面,在第四方面的第六种可能的实现方式中,第一信息指示第一信息中指示的一种或多种加密流量检测方法的优先级。
在第五方面,提供了一种终端设备,包括用于执行第一方面或其可能的实施方式或第四方面或其可能的实施方式中的方法的单元。
在第六方面,提供了一种核心网络设备,包括用于执行第二方面或其可能的实施方式或第三方面或其可能的实施方式中的方法的单元。
在第七方面,提供了一种包括处理器和收发器的终端设备,其中,该处理器被配置为基于收发器执行第一方面或其可能的实现方式的方法,或者基于收发器执行第四方面或其可能的实现方式的方法。
在第八方面,提供了一种包括处理器和收发器的核心网络设备,其中,该处理器被配置为基于收发器执行第二方面或其可能的实现方式的方法,或者基于收发器执行第三方面或其可能的实现方式的方法。
在第九方面,提供了一种用于存储程序代码的计算机可读介质,其中,该程序代码包括用于执行第一、第二、第三或第四方面或其可能的实现方式的任何一个中的方法的指令。
在第十方面,提供了一种包括处理器和存储器的片上***(system on chip),其中,该处理器被配置为执行存储器中的代码并在执行代码时实现第一、第二、第三或第四方面或其可能的实现方式的任何一个中的方法。
通过考虑以下详细描述、附图和权利要求,可以阐述本申请的附加特征、优点和实施例,或者可以使本申请的附加特征、优点和实施例显而易见。此外,应当理解,以上概述和以下详细描述都是示例性的,并且旨在提供进一步的解释,而不限制所要求保护的申请的范围。然而,详细描述和特定示例仅指示本申请的示例性实施例。
附图说明
下面将简要介绍用于描述实施例或现有技术的附图,以便更清楚地说明本申请实施例的技术方法。显而易见地,以下描述中的附图仅用于本申请的一些实施例,本领域普通技术人员在不付出创造性劳动前提下,也可以基于这些附图获得其他附图。
图1是根据本申请实施例的通信***的示意图。
图2是根据本申请实施例的通信方法200的示意性流程图。
图3是根据本申请实施例的注册/附着过程的示意图。
图4是根据本申请实施例的PDU会话建立/修改过程的示意图。
图5是根据本申请实施例的通信方法500的示意图。
图6是根据本申请实施例的终端设备600的示意性框图。
图7是根据本申请实施例的核心网络设备700的示意性框图。
图8是根据本申请另一实施例的终端设备800的示意性框图。
图9是根据本申请另一实施例的核心网络设备900的示意性框图。
图10是根据本申请实施例的终端设备1000的示意性框图。
图11是根据本申请实施例的核心网络设备1100的示意性框图。
图12是根据本申请实施例的片上***1200的示意性框图。
具体实施方式
下面结合本申请实施例的附图,对本申请实施例的技术方法进行说明。
本申请的实施例可以应用于各种通信***中,诸如全球移动通讯(Global Systemof Mobile communication,GSM)***、码分多址(Code Division Multiple Access,CDMA)***、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)***、通用分组无线业务(General Packet Radio Service,GPRS)、长期演进(Long Term Evolution,LTE)***、LTE频分双工(FDD)***、LTE时分双工(Time Division Duplex,TDD)、通用移动通信***(Universal Mobile Telecommunication System,UMTS)、全球微波接入互通性(WiMAX)通信***,5G***,未来演进的PLMN(公共陆地移动网络)等。
图1示出了在本申请实施例中应用的无线通信***100。无线通信***100可以包括一个或多个终端设备120、核心网络130和位于核心网络130中的一个或多个核心网络设备110。在图1中示出了三个终端设备120作为在本申请实施例中使用的终端设备的示例,并且在图1中示出了两个核心网络设备110作为在本申请实施例中使用的核心网络设备的示例。一个或多个终端设备120中的每一个能够例如通过接入网络来访问核心网络130,并且能够与一个或多个核心网络设备110通信。
作为示例,核心网络设备100可以是如上所述的无线通信***的核心网络中的通信设备,其启用或支持核心网络的某些功能。例如,核心网络设备100可以是5G***中核心网络的功能实体,例如AMF(访问和移动性管理功能)或PCF(策略控制功能)。
终端设备120可以是移动的或静止的。作为示例,终端设备120可以是接入终端、UE(用户设备)、用户单元、用户站、移动无线站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、SIP(会话启动协议)电话、WLL(无线本地环路)站、PDA(个人数字处理)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的终端设备或者未来演进的陆上公用移动通信网(Public Land MobileNetwork,PLMN)网络中的终端设备等。可选地,5G***或网络也可以称为NR(New Radio,新空口)***或网络。
应当理解,无线通信***100还可以包括其他网络实体,诸如网络控制器、移动性管理实体等。本申请的实施例对此没有任何限制。
应当理解,本文中的术语“***”和“网络”是可互换的。本文中的术语“和/或”仅描述关联对象之间的关联关系,并指示可能存在三种关系。例如,A和/或B可以指示存在三种情况:A单独存在,A和B同时存在,以及B单独存在。另外,本文中的字符“/”通常表示关联对象之间存在“或”的关系。
在本申请中,术语“发送/被发送”是指从一方直接发送到另一方,或在两者之间间接发送,例如通过第三方转发。类似地,本申请中的术语“接收/被接收”是指直接从一方接收,或者间接地从一方接收,例如通过第三方转发。
如上所述,提出了多种加密流量检测方法,其可以分为以下三种类型。
类型I:基于UE(用户设备)辅助的控制面的方法
当出现特定的应用程序数据时,UE将报告网络(例如核心网络)的应用程序ID和相应的过滤器信息,以检测接下来的流量。在第三方和UE之间需要协调。为了实现它,引入了一些新功能,例如ETRF(加密流量报告)、ETDF(加密流量检测功能)和ETD(加密流量检测)。
类型II:基于UE辅助的用户面的方法
当出现特定的应用程序数据时,UE将在第一用户面包(user plane packet)中添加令牌/AppKey。可以在某些部分中添加令牌,例如,通过使用新的TCP Option(选项)在TCP头中添加、通过使用新的TLS扩展类型在TLS头中添加、在新的IPv6扩展头中添加、或者在PDCP和IP层之间的扩展头中添加。为了实现应用程序ID传输和令牌导出(Tokenderivation),引入了嵌入在UE中的ETDF(加密流量检测功能)和第三方功能。第三方功能将向网络和UE提供要检测的应用程序ID列表以及与令牌有关的材料。UE可以基于令牌相关的材料来导出令牌,并将其添加到用户面包中以供网络检测。
第三类:基于网络的方法
第三方将把应用程序ID以及包括IP元组、SNI等的加密流量的相应特性通知网络,然后网络将相应地安装过滤器以执行加密流量检测。
从体系结构的角度来看,这些方法的每种类型都有其优缺点,如下所示。
对于类型I:基于UE辅助的控制面的方法
优点:
这种方法对用户面没有影响。影响仅集中在NAS(非访问层)信令和/或规则分发上。对于UE实现方式而言,利用NAS消息的扩展很容易实现。对于网络侧的实现方式,由于只需要增强控制面NF(网络功能),因此易于实现。它也仅适用于为ETD功能部署几个控制面实体(例如,SMF)。在这种情况下,可以利用UE报告特定的S-NSSAI(单个网络切片选择辅助信息)和/或DNN(数据网络名称)来选择支持的SMF。为了与其他WG(工作组)进行协调,不需要任何其他WG或SDO(标准组织)来扩展当前协议,因此可以将影响限制在SA2内(业务和***方面,工作组#2)。它不需要OTT(Over The Top)服务器来支持Rx触发。
缺点:
当发生加密流量时,在正确安装过滤器之前,可能会丢失前几个包。此外,它需要附加的信令。
对于类型II:基于UE辅助的用户面的方法。
优点:
它不会丢失任何加密包。它不需要OTT服务器来支持Rx触发。
缺点:
对于UE实现方式,需要扩展用户面包,但是这对于产品设计而言是困难的。对于网络侧的实现方式,它需要在所有UPF(用户面功能)上部署功能(feature),否则将限制路由路径。对于UPF而言,这是一个相对较大的挑战,因为UPF必须检测仅添加在第一包或前几个包中的令牌。此外,它需要UPF在安装过滤器之前先将首先检测到的包计数到临时容量中然后将该临时容量关联到应用程序ID的容量中。对于与其他WG进行的协调,可能需要CT4(核心网络技术4)和/或RAN2(无线电接入网络2)来扩展现有的用户面协议。如果重用其他SDO(例如,IETF(Internet Engineering Task Force,因特网工程任务组))中限定的自由空间(free space),则应确保该自由空间未用于其他目的,并且该空间足够大。
对于类型III:基于网络侧的方法
优点:
它不会影响UE,也不会大量重复使用现有功能。
缺点:
对于网络侧的实现方式,需要每个OTT服务器连接到MNO(移动网络运营商)的PCF(策略控制功能)。对于网络侧的实现方式来说,这种方法非常不灵活且昂贵,导致TTM(上市时间)非常长。对于漫游情况非常困难,例如在LBO(本地疏导)情况下,很难支持出站漫游。随着业务量的增加,接口容量所需的网络信令数量可能会一次又一次地扩展。
如以上所分析的,每种方法都有其自身的优缺点,UE或网络都可以支持这些方法中的一组。因此,在本发明实施例中,建议引入一种针对加密流量检测方法的协商,以避免UE与网络之间的不匹配。
图2是根据本申请实施例的终端设备与核心网络设备之间进行协商的通信方法200的示意性流程图。终端设备和核心网络设备可以是以上参考图1描述的那些设备。如图2所示,从终端设备的角度来看,方法200包括以下内容。
S210,终端设备将第一信息发送给核心网络设备,该第一信息指示终端设备支持的一种或多种加密流量检测方法。
在本申请的一个实施例中,终端设备可以向核心网络设备发送包括第一信息的上行信令消息。例如,终端设备将第一信息包括在要发送到核心网络设备的上行信令消息中,然后将上行信令消息发送到核心网络设备。具体地,终端设备确定终端设备自身支持的加密流量检测方法,并生成第一信息。在示例中,终端设备生成指示其支持的所有方法的第一信息。在另一示例中,终端设备生成指示该终端设备支持的一种或多种方法的第一信息。
在本申请的一个实施例中,第一信息指示以下至少之一:
(1)终端设备是否支持用户设备辅助的加密流量检测方法;
(2)终端设备支持的用户设备辅助的加密流量检测方法的类型;
(3)终端设备支持的用户设备辅助加密流量检测方法的子类型。
首先,确定第(1)项,例如,确定终端设备是否支持如上所述的类型I和类型II方法的任一种。如果终端设备支持类型I和II方法中的任何一种,则确定第(2)项,以便确定终端设备支持的方法的类型,例如,类型I或类型II或两者。然后,确定支持的方法的子类型(第(3)项)。例如,支持的方法的子类型可以是以下任意一种:具有OTT层提供检测规则的基于控制面的类型、具有核心网提供检测规则的基于控制面的类型、令牌可以添加到特定层以进行流量检测的基于用户面的类型。可以看出,第(1)至(3)项的级别逐渐降低。在本申请的一个实施例中,如果终端设备可以支持具有特定级别的所有方法,则终端设备不需要在第一信息中报告有关较低级别的信息。例如,如果终端设备支持所有基于控制面的方法而不支持其他类型,则其仅在第一信息中报告终端设备支持基于控制面的方法(级别2)。
在本申请的一个实施例中,第一信息还指示终端设备支持的一种或多种方法的优先级。优先级可以由终端设备确定,并代表终端设备使用各个方法的偏好顺序。
上行信令消息可以是从终端设备到核心网络设备的任何信令消息,其可以是诸如图1所示的核心网络130之类的网络中的网络功能实体。在本申请的一些实施例中,在以下过程中的至少一个过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中(例如包括在作为NAS消息的第一上行信令消息中):终端设备的注册过程;终端设备的附着过程;PDU会话建立过程;或者PDU会话修改过程。
例如,在终端设备的注册或附着过程期间,终端设备首先向核心网络设备发送注册或附着请求。在这种情况下,终端设备可以在注册或附着请求中包括第一信息,并且将包括第一信息的注册或附着请求发送给核心网络设备。类似地,在PDU会话建立或修改过程期间,终端设备可以将第一信息包括在PDU会话建立或修改请求中,并且将包括第一信息的PDU会话建立或修改请求发送给核心网络设备。
S230,终端设备从核心网络设备接收第二信息,该第二信息指示在与终端设备的通信中要使用的加密流量检测方法。
核心网络设备可以基于第一信息来确定要使用的加密流量检测方法(S220)。例如,核心网络设备从第一信息中指示的一种或多种方法中选择要使用的加密流量检测方法。在一个示例中,要使用的方法是一种方法。在另一个示例中,要使用的方法是两种或更多种方法,例如多种方法按照优先级排列的列表。稍后将在通信方法中从核心网络设备的角度描述确定要使用的方法的细节。
在本申请的一个实施例中,终端设备从核心网络设备接收第二信息,该第二信息包括在从核心网络设备发送到终端设备的下行信令消息中。下行信令消息可以是从核心网络设备发送到终端设备的任何信令消息,特别是作为对包括第一信息的上行链路消息的响应的下行信令消息。例如,在以下过程中的至少一个过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息:终端设备的注册过程;终端设备的附着过程;PDU会话建立过程;或者PDU会话修改过程。
图3到图4分别示出了如在上述四个过程期间的通信方法的四个示例。图3示出了终端设备的注册或附着过程,图4示出了由终端设备发起的PDU会话建立或修改过程。应当注意的是,图3和图4中的每一个仅示出了与根据本申请的终端设备与核心网络设备之间协商的实施例有关的过程的一些步骤,而不是完整的注册/附着过程或完整的PDU会话建立/修改过程。
如图3所示,第一信息被包括在注册或附着请求中,并且从终端设备被发送到核心网络设备(S310)。该注册可以指终端设备的初始注册或由于位置更新引起的注册。如从例如3GPP(第三代合作伙伴计划)中所知,当终端设备通过注册或附着请求而向核心网络注册或附着时,从核心网络侧向终端设备发送注册或附着响应。在本申请的一些实施例中,终端设备通过接收从核心网络设备发送的包括第二信息的注册或附着响应来接收第二信息(S320)。这样,在终端设备与核心网络侧之间的注册/附着过程期间实现了关于加密流量检测方法的使用的协商。
类似地,如图4所示,第一信息被包括在PDU会话建立或修改请求中,并且从终端设备被发送到核心网络设备(S410)。类似地,在PDU会话建立/修改过程期间,针对PDU会话建立/修改请求的PDU会话建立/修改响应从核心网络侧发送到终端设备。在本申请的一些实施例中,终端设备通过接收从核心网络设备发送的包括第二信息的PDU会话建立/修改响应来接收第二信息(S420)。这样,在终端设备与核心网络侧之间的PDU会话建立/修改过程期间实现了关于加密流量检测方法的使用的协商。
S240,终端设备根据要使用的加密流量检测方法执行处理。
回到图2。终端设备在接收到指示要在终端设备与核心网络侧之间的通信中使用的加密流量检测方法的第二信息之后,根据确定要使用的方法来执行处理。例如,如果要使用的方法是基于控制面的方法,则终端设备将应用程序ID(application ID)和相应的过滤器信息报告给网络侧。又例如,如果要使用的方法是基于用户面的方法,则终端设备将令牌/AppKey添加到到核心网络侧的第一用户面包中。相应地,核心网络侧根据要使用的方法进行加密流量检测。
如上所述,第二信息可以指示要使用的多于一种的方法。特别地,第二信息还指示要使用的这些方法的优先级,其可以由核心网络设备确定并且代表核心网络设备的偏好。在这种情况下,终端设备在接收到第二信息之后,可以从第二信息中指示的这些方法中选择一种作为要使用的最终方法,并且如上所述,根据要使用的最终方法进行处理。在一个示例中,终端设备可以可选地选择要使用的最终方法。在另一示例中,终端设备可以基于第二信息中指示的方法的优先级和/或终端设备支持的方法的优先级来选择最终方法。例如,终端设备可以选择具有最高优先级的方法。
在本申请的一个实施例中,如果终端设备不支持任何UE辅助的加密流量检测方法,则将在第一信息中指明,或者不报告有关终端设备支持的方法的任何信息。例如在上述那些过程期间,如果核心网络设备接收到指示终端设备不支持任何UE辅助方法的第一信息或没有关于终端设备支持的方法的信息,则核心网络设备确定终端设备不支持任何UE辅助方法,可以使用基于网络侧的方法(类型III)来检测加密流量。类似地,如果终端设备没有从核心网络设备接收到指示要使用的方法的第二信息,或者没有接收到指示确定要使用基于网络侧的方法的第二信息,则终端设备将不会将任何UE辅助的加密流量检测方法应用于与核心网络的通信。
以上描述是从终端设备的角度进行的。下面将参考图2从核心网络侧的角度对根据本申请的通信方法的实施例进行描述。在这种情况下,该通信方法包括以下步骤。
S210,核心网络设备从终端设备接收指示该终端设备支持的一种或多种加密流量检测方法的第一信息。
如以上从终端设备的角度所描述的,核心网络设备的该接收步骤对应于终端设备在S210的发送步骤。如上所述,第一信息可以被包括在从终端设备发送到核心网络设备的上行信令消息中。例如,在以下过程中的至少一个过程期间,核心网络设备从终端设备接收包括第一信息的第一上行信令消息:终端设备的注册过程;终端设备的附着过程;PDU(协议数据单元)会话建立过程;或者PDU会话修改过程。更具体地,核心网络设备在注册/附着过程期间从终端设备接收包括第一信息的注册/附着请求,或者在PDU会话建立/修改过程期间从终端设备接收包括第一信息的PDU会话建立/修改请求。
在S220,核心网络设备基于第一信息确定在与终端设备的通信中要使用的加密流量检测方法。
在本申请的一个实施例中,核心网络设备接收并获取第一信息后,将第一信息中指示的一种或多种方法与核心网络设备支持的一种或多种方法进行比较,并从第一信息中指示的方法中选择与核心网络设备支持的方法之一相匹配的一种方法,作为要使用的加密流量检测方法。在示例中,关于核心网络设备支持的方法的信息被存储在例如UDM(统一数据管理)实体中,该实体对于不同的终端设备可以相同或不同。在这种情况下,核心网络设备在接收到第一信息后,将在UDM中存储的对应信息中指示的方法与第一信息中指示的那些进行比较,并确定终端设备和核心网络设备均支持的方法。如果匹配的方法仅是一种方法,则核心网络设备将该种方法确定为要使用的方法。如果匹配的方法是多于一种的方法,则核心网络设备还从这些匹配的方法中选择一种方法。例如,核心网络设备可以基于这些匹配的方法的优先级从匹配方法中选择一种。例如,核心网络设备从这些匹配方法中选择优先级最高的一种。优先级可以指由终端设备支持的方法的优先级,如上所述,该优先级可以在第一信息中指示。此外,优先级可以指那些由核心网络设备支持的方法的优先级。例如,有关核心网络设备支持的方法的信息可以指示这些方法的优先级,这些优先级可以由核心网络设备确定,并表示核心网络设备对使用各个方法的偏好。可替代地,核心网络设备可以基于终端设备和核心网络设备各自的两个优先级,从匹配的方法中选择要使用的方法。
替代地,核心网络设备选择要使用的多于一种的方法,并且在第二信息中将它们返回给终端设备。特别地,第二信息指示要使用的这些方法的优先级。如上所述,终端可以从这些方法中选择一种作为要使用的最终方法。
在本申请的一个实施例中,如果比较结果表明第一信息中指示的方法中没有一个与核心网络设备支持的那些匹配,则核心网络设备不将任何方法确定为要使用的方法。
在S230,核心网络设备将指示要使用的加密流量检测方法的第二信息发送到终端设备。
核心网络设备的该发送步骤对应于如上从终端设备的角度描述的终端设备在S230的接收步骤。核心网络设备可以将第二信息包括在要发送到终端设备的下行信令消息中,并且将下行信令消息发送到终端设备。
如在从终端设备的角度的描述中所提到的,下行信令消息可以是从核心网络设备发送到终端设备的信令消息中的任何一种,特别是下行信令消息作为对包括第一信息的上行消息的响应。例如,在以下过程中的至少一个过程期间核心网络设备发送包括第二信息的下行信令消息:终端设备的注册过程;终端设备的附着过程;PDU会话建立过程;或者PDU会话修改过程。参照图3到图4,作为示例,核心网络设备可以在注册/附着过程期间将第二信息包括在注册/附着响应中,或者在PDU会话建立/修改过程期间将第二信息包括在PDU会话建立/修改响应中。
另外,核心网络设备可以在S240根据要使用的方法来执行处理。如上所述,例如,核心网络侧根据要使用的方法执行加密流量检测。
对于从核心网络设备角度描述的该方法的其他相关细节,请参见从终端设备的角度进行的描述,为简洁起见,在此不再赘述。
应当注意,术语“核心网络设备”可以指核心网络中的一个或多个通信设备,并且由核心网络设备执行的每个步骤可以单独地或组合地由与核心网络设备相对应的一个或多个通信设备中的一个或多个执行。例如,在5G网络中,本申请中提到的核心网络设备可以对应一个或多个网络功能实体。作为示例,核心网络设备可以指代AMF实体,在这种情况下,AMF实体可以执行S210-S230中的每个步骤,以实现上述通信方法的实施例。作为另一个示例,核心网络设备可以同时指代AMF实体和PCF实体,在这种情况下,PCF实体可以确定要在S220要使用的方法,并将第二信息发送给AMF实体,然后AMF实体例如通过将第二信息包括在下行信令消息中并且将下行信令消息发送到终端设备来将第二信息转发到终端设备。
从以上描述中可以看出,通过向核心网络设备发送关于终端设备所支持的方法的信息、核心网络设备基于该信息确定要使用的方法、以及向终端设备通知确定的要使用的方法,可以实现对终端设备与核心网络设备之间的加密流量检测方法的使用的协商,由此可以避免方法使用的不匹配。
图5是根据本申请另一实施例的用于终端设备与核心网络设备之间协商的通信方法500的示意性流程图。终端设备和核心网络设备可以是以上描述的那些设备。
下面将从终端设备的角度对通信方法500进行描述。
在S510,核心网络设备将指示一种或多种加密流量检测方法的第一信息发送给终端设备,该一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法。
在本申请的一个实施例中,核心网络设备可以向终端设备发送包括第一信息的下行信令消息。例如,核心网络设备将第一信息包括在要发送到终端设备的下行信令消息中,然后将下行信令消息发送到核心网络设备。具体地,核心网络设备确定核心网络设备自身支持的加密流量检测方法,并生成第一信息。在示例中,关于核心网络设备支持的方法的信息被存储在例如UDM(统一数据管理)实体中,该实体对于不同的终端设备可以相同或不同。在一个示例中,核心网络设备生成指示所有支持的方法的第一信息。即,其支持的所有方法都由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法。在另一个示例中,核心网络设备生成指示其支持的一种或多种方法的第一信息。即,核心网络设备将一种或某些受支持的方法确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法。
在本申请的一个实施例中,第一信息指示以下至少之一:
(1)核心网络设备是否支持用户设备辅助的加密流量检测方法;
(2)核心网络设备支持的用户设备辅助的加密流量检测方法的类型;
(3)核心网络设备支持的用户设备辅助加密流量检测方法的子类型。
首先,确定第(1)项,例如,核心网络设备是否支持如上所述的类型I和类型II的方法的任一种。如果核心网络设备支持类型I和II方法中的任何一种,则确定第(2)项,以便确定核心网络设备支持的方法的类型,例如,类型I或类型II或两者。然后,确定支持的方法的子类型(第(3)项)。例如,支持的方法的子类型可以是以下任意一种:具有OTT层提供检测规则的基于控制面的类型、具有核心网提供检测规则的基于控制面的类型、令牌可以添加到特定层以进行流量检测的基于用户面的类型。可以看出,第(1)至(3)项的级别逐渐降低。在本申请的一个实施例中,如果核心网络设备可以支持具有特定级别的所有方法,则核心网络设备不需要在第一信息中报告有关较低级别的信息。例如,如果核心网络设备支持所有基于控制面的方法而不支持其他类型,则其仅在第一信息中报告核心网络设备支持基于控制面的方法(级别2)。
在本申请的一个实施例中,第一信息还指示核心网络设备支持的一种或多种方法的优先级。优先级可以由核心网络设备确定,并代表核心网络设备使用各个方法的偏好顺序。
下行信令消息可以是从核心网络设备到终端设备的任何信令消息。例如,核心网络设备将第一信息包括在要在UCU过程期间发送给终端设备的UCU(UE配置更新)请求中。
在S530,核心网络设备从终端设备接收第二信息,该第二信息指示由终端设备基于第一信息确定的在与终端设备的通信中要使用的加密流量检测方法。
终端设备可以基于第一信息来确定要使用的加密流量检测方法(S220)。例如,终端设备从第一信息中指示的候选方法中选择要使用的加密流量检测的方法。在一个示例中,要使用的方法是一种方法。在另一个示例中,要使用的方法是两种或更多种方法,例如按照优先级排序的多种方法的列表。稍后将在通信方法中从终端设备的角度描述确定要使用的方法的细节。
在本申请的一个实施例中,核心网络设备从终端设备接收第二信息,该第二信息包括在从终端设备向核心网络设备发送的上行信令消息中。上行信令消息可以是从终端设备发送到核心网络设备的任何信令消息,特别是作为对包括第一信息的下行链路消息的响应的上行信令消息。如上所述,核心网络设备可以将第一信息包括在UCU(UE配置更新)请求中,并且在UCU过程期间将其发送到终端设备。在这种情况下,核心网络设备在UCU过程期间从终端设备接收对UCU请求的确认消息,该确认消息包括第二信息。这样,通过在核心网络设备与终端设备之间传递第一和第二信息,就可以在UCU过程期间实现对加密流量检测方法的使用的协商。
在S540,核心网络设备根据要使用的加密流量检测方法执行处理。
在接收到指示要在终端设备与核心网络侧之间的通信中使用的加密流量检测方法的第二信息之后,核心网络设备根据确定要使用的方法来执行处理。例如,核心网络设备根据要使用的方法执行加密流量检测。相应地,终端设备还根据要使用的方法执行处理。例如,如果要使用的方法是基于控制面的方法,则终端设备将应用程序ID和相应的过滤器信息报告给网络侧。又例如,如果要使用的方法是基于用户面的方法,则终端设备将令牌/AppKey添加到到核心网络侧的第一用户面包中。
如上所述,第二信息可以指示要使用的多于一种的方法。例如,第二信息中指示的要使用的方法是要使用的一种或多种方法的按照优先级排序的列表。这些要使用的方法的优先级可以由终端设备确定,并代表终端设备的偏好。在这种情况下,核心网络设备在接收到第二信息之后,可以从第二信息中指示的这些方法中选择一种作为要使用的最终方法,并且如上所述,根据要使用的最终方法进行处理。在一个示例中,核心网络设备可以可选地选择要使用的最终方法。在另一示例中,核心网络设备可以基于第二信息中指示的方法的优先级和/或核心网络设备支持的方法的优先级来选择最终方法。例如,核心网络设备可以选择具有最高优先级的方法。
在本申请的一个实施例中,如果核心网络设备不支持任何UE辅助的加密流量检测方法,则将在第一信息中指明,或者不报告有关核心网络设备支持的方法的任何信息。例如在UCU过程中,如果终端设备接收到指示核心网络设备不支持任何UE辅助方法的第一信息或没有关于核心网络设备支持的方法的信息,则终端设备确定核心网络设备不支持任何UE辅助方法,并且可以使用基于网络侧的方法(类型III)来检测加密流量。类似地,如果核心网络设备没有从终端设备接收到指示要使用的方法的第二信息,则核心网络设备将不会将任何UE辅助的加密流量检测方法应用于与终端设备的通信。
以上描述是从核心网络设备的角度进行的。下面将参考图5从终端设备侧的角度对根据本申请的通信方法的实施例进行描述。在这种情况下,该通信方法包括以下步骤。
在S510,终端设备从核心网络设备接收指示一种或多种加密流量检测方法的第一信息,该一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法。
终端设备的该接收步骤对应于如以上从核心网络设备的角度所描述的核心网络设备在S510的发送步骤。如上所述,第一信息可以被包括在从核心网络设备发送到终端设备的下行信令消息中。例如,终端设备在UCU过程期间接收包括第一信息的UCU请求。
在S520,终端设备基于第一信息确定在与终端设备的通信中要使用的加密流量检测方法。
在本申请的一个实施例中,终端设备接收并获取第一信息后,将第一信息中指示的一种或多种方法与终端设备支持的一种或多种方法进行比较,并从第一信息中指示的方法中选择与终端设备支持的方法之一相匹配的一种方法,作为要使用的加密流量检测方法。在本申请的一个实施例中,终端设备接收并获取第一信息后,将终端设备支持的方法与第一信息中指示的那些进行比较,并确定终端设备和核心网络设备均支持的方法。如果匹配的方法仅是一种方法,则终端设备将该种方法确定为要使用的方法。如果匹配的方法是多于一种的方法,则终端设备还从这些匹配的方法中选择一种。例如,终端设备可以基于这些匹配的方法的优先级从匹配方法中选择一种。例如,终端设备从这些匹配方法中选择优先级最高的一种。优先级可以指由核心网络设备支持的方法的优先级,如上所述,该优先级可以在第一信息中指示。此外,优先级可以指那些由终端设备支持的方法的优先级。例如,有关终端设备支持的方法的信息可以指示这些方法的优先级,这些优先级可以由终端设备确定,并表示终端设备对使用各个方法的偏好。可替代地,终端设备可以基于终端设备和核心网络设备各自的两个优先级,从匹配的方法中选择要使用的方法。
替代地,终端设备选择要使用的多于一种的方法,并且在第二信息中将它们返回给核心网络设备。特别地,第二信息指示要使用的这些方法的优先级。如上所述,核心网络设备可以从这些方法中选择一种作为要使用的最终方法。
在本申请的一个实施例中,如果比较结果表明第一信息中指示的方法中没有一个与终端设备支持的那些匹配,则终端设备不将任何方法确定为要使用的方法。
在S530,终端设备将指示要使用的加密流量检测方法的第二信息发送到核心网络设备。
终端设备的该发送步骤对应于如上从核心网络设备的角度所述的核心网络设备在S530的接收步骤。终端设备可以将第二信息包括在要发送到核心网络设备的上行信令消息中,并且将上行信令消息发送到核心网络设备。
如在从核心网络设备的角度的描述中所提到的,上行信令消息可以是从终端设备发送到核心网络设备的信令消息中的任何一种,特别是作为对包括第一信息的下行链路消息的响应的上行信令消息。如所提及的,核心网络设备可以在UCU过程期间将第一信息包括在UCU请求中。相应地,终端设备将第二信息包括在针对UCU请求的确认消息中,并在UCU过程期间将确认消息发送给核心网络设备。
附加地,在S540,终端设备可以根据要使用的方法来执行处理。例如,如上所述,如果要使用的方法是基于控制面的方法,则终端设备将应用程序ID和相应的过滤器信息报告给网络侧,或者如果要使用的方法是基于用户面的方法,则终端设备将令牌/AppKey添加到到核心网络侧的第一用户面包中。
对于从终端设备的角度描述的该方法的其他相关细节,请参见从核心网络设备的角度出发的描述,为简洁起见,在此不再赘述。
应当注意,术语“核心网络设备”可以指核心网络中的一个或多个通信设备,并且由核心网络设备执行的每个步骤可以单独地或组合地由与核心网络设备相对应的一个或多个通信设备中的一个或多个执行。例如,在5G网络中,本申请中提到的核心网络设备可以对应一个或多个网络功能实体。作为示例,核心网络设备可以指代AMF实体,在这种情况下,AMF实体可以执行S510和S530中的每个,以实现上述通信方法的实施例。作为另一个示例,核心网络设备可以同时指代AMF实体和PCF实体,在这种情况下,PCF实体可以确定要使用的方法的候选方法,并将第一信息发送给AMF实体,然后AMF实体例如通过将第一信息包括在下行信令消息中并且将下行信令消息发送到终端设备来将第一信息转发到终端设备。
从上面的描述可以看出,通过向终端设备发送关于要使用的加密流量检测方法的候选方法的信息、终端设备基于该信息来确定要使用的方法、并向核心网络设备通知确定的要使用的方法,可以实现对终端设备与核心网络设备之间的加密流量检测方法的使用的协商,由此可以避免方法使用的不匹配。
图6是根据本申请的实施例的终端设备600的示意性框图。如图6所示,终端设备600包括:发送单元610,被配置为向核心网络设备发送指示该终端设备支持的一种或多种加密流量检测方法的第一信息。
接收单元620,被配置为从核心网络设备接收第二信息,该第二信息指示核心网络设备基于第一信息确定的在与终端设备的通信中要使用的加密流量检测方法;
处理单元630,被配置为使终端设备执行要使用的加密流量检测方法。
在一示例中,发送单元610,被配置为:
将第一信息包括在要发送给核心网络设备的上行信令消息中;
向核心网络设备发送包括第一信息的上行信令消息。
在一示例中,发送单元610,被配置为:
在以下过程中的至少一个过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
在一个示例中,在终端设备的注册过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的注册过程的注册请求。
在一个示例中,在终端设备的附着过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的附着过程的附着请求。
在一个示例中,在PDU会话建立过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话建立过程的PDU会话建立请求。
在一个示例中,在PDU会话修改过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话修改过程的PDU会话修改请求。
在一示例中,接收单元620,被配置为:
从核心网络设备接收包括第二信息的下行信令消息。
在一个示例中,接收单元620被配置为:
在以下过程中的至少一个过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
在一个示例中,在终端设备的注册过程期间从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的注册过程的注册响应。
在一个示例中,在终端设备的附着过程期间从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的附着过程的附着响应。
在一个示例中,在PDU会话建立过程期间从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话建立过程的PDU会话建立响应。
在一个示例中,在PDU会话修改过程期间从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话修改过程的PDU会话修改响应。
应当理解,终端设备600可以对应于方法200的实施例中的终端设备,并且可以实现该终端设备的对应功能,为简洁起见,在此不再赘述。
图7是根据本申请实施例的核心网络设备700的示意性框图。如图7所示,核心网络设备700包括:
接收单元710,被配置为从终端设备接收指示终端设备支持的一种或多种加密流量检测方法的第一信息;
处理单元720,被配置为基于第一信息来确定在与终端设备的通信中要使用的加密流量检测方法;
发送单元730,被配置为向终端设备发送指示要使用的加密流量检测方法的第二信息。
在一示例中,接收单元710被配置为:
接收从终端设备发送的包括第一信息的上行信令消息。
在一示例中,接收单元710被配置为:
在以下过程中的至少一个过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
在一个示例中,在终端设备的注册过程期间接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的注册过程的注册请求。
在一个示例中,在终端设备的附着过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的附着过程的附着请求。
在一个示例中,在PDU会话建立过程期间接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话建立过程的PDU会话建立请求。
在一个示例中,在PDU会话修改过程期间接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话修改过程的PDU会话修改请求。
在一示例中,发送单元730被配置为:
将第二信息包括在要发送给终端设备的下行信令消息中;
向终端设备发送包括第二信息的下行信令消息。
在一示例中,发送单元730被配置为:
在以下过程中的至少一个过程期间,将第二信息包括在要发送给终端设备的下行信令消息中:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
在一个示例中,在终端设备的注册过程期间将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的注册过程的注册响应。
在一个示例中,在终端设备的附着过程期间将第二信息包括在要从核心网络设备发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的附着过程的附着响应。
在一个示例中,在PDU会话建立过程期间将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话建立过程的PDU会话建立响应。
在一个示例中,在PDU会话修改过程期间将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话修改过程的PDU会话修改响应。
在一示例中,处理单元720被配置为:
将第一信息中指示的一种或多种方法与核心网络设备支持的一种或多种方法进行匹配;
从第一信息中指示的一种或多种方法中选择与核心网络设备支持的一种或多种方法中的一种相匹配的至少一种方法作为要使用的加密流量检测方法。
在一示例中,处理单元720还被配置为:
使核心网络设备能够执行要使用的加密流量检测方法。
应当理解,核心网络设备700可以对应于在方法200的实施例中的核心网络设备,并且可以实现该核心网络设备的对应功能,为简洁起见,在此不再赘述。
图8是根据本申请的另一实施例的终端设备800的示意性框图。如图8所示,终端设备800包括:
接收单元810,被配置为从核心网络设备接收指示一种或多种加密流量检测方法的第一信息,该一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法;
处理单元820,被配置为基于第一信息,确定在与终端设备的通信中使用的加密流量检测方法;
发送单元830,被配置为向核心网络设备发送指示要使用的加密流量检测方法的第二信息。
在一示例中,接收单元810被配置为:
接收从核心网络设备发送的包括第一信息的下行信令消息。
在一示例中,接收单元810被配置为:
在用户设备配置更新过程中,接收从核心网络设备发送的包括第一信息的用户设备配置更新请求。
在一个示例中,处理单元820被配置为:将第一信息中指示的一种或多种加密流量检测方法与终端设备支持的一种或多种加密流量检测方法进行匹配;
从第一信息中指示的一种或多种加密流量检测方法中选择与终端设备支持的一种或多种加密流量检测方法中的一种相匹配的至少一种方法作为要使用的加密流量检测方法。
在一示例中,发送单元830被配置为:
将第二信息包括在要发送给核心网络设备的上行信令消息中;
向核心网络设备发送上行信令消息。
在一示例中,发送单元830被配置为:
将第二信息包括在用户设备配置更新过程期间针对用户设备配置更新请求的确认消息中。
应当理解,终端设备800可以对应于方法500的实施例中的终端设备,并且可以实现该终端设备的相应功能,为简洁起见,在此不再赘述。
图9是根据本申请的另一实施例的核心网络设备900的示意性框图。如图9所示,核心网络设备900包括:
发送单元910,被配置为将指示一种或多种加密流量检测方法的第一信息发送给终端设备,该一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法;
接收单元920,被配置为从终端设备接收第二信息,该第二信息指示终端设备基于第一信息确定的在与终端设备的通信中使用的加密流量检测方法;
处理单元930,被配置为使核心网络设备执行要使用的加密流量检测方法。
在一示例中,发送单元910被配置为:
将第一信息包括在要发送给终端设备的下行信令消息中;
向终端设备发送包括第一信息的下行信令消息。
在一示例中,发送单元910被配置为:
将第一信息包括在用户设备配置更新过程期间要发送到终端设备的用户设备配置更新请求中,
其中接收单元920被配置为:
从终端设备接收针对用户设备配置更新请求的确认消息,该确认消息包括第二信息。
应当理解,核心网络设备900可以对应于方法500的实施例中的核心网络设备,并且可以实现该核心网络设备的相应功能,为简洁起见,在此不再赘述。
图10是根据本申请的实施例的终端设备1000的示意性框图。如图10所示,终端设备1000包括收发器1010和处理器1020,其中,处理器1020被配置为基于收发器1010执行通信方法200的实施例中的任何一个或通信方法500的实施例中的任何一个。
应当理解,终端设备1000可以对应于方法200或500的实施例中的终端设备,并且可以实现该终端设备的相应功能,为简洁起见,在此不再赘述。
图11是根据本申请的实施例的核心网络设备1100的示意性框图。如图11中所示,核心网络设备1100包括收发器1110和处理器1120,其中,处理器1120被配置为基于收发器1110执行通信方法200的实施例中的任何一个或通信方法500的实施例中的任何一个。
应当理解,核心网络设备1100可以对应于方法200或500的实施例中的核心网络设备,并且可以实现该核心网络设备的相应功能,为简洁起见,在此不再赘述。
图12是根据本申请的实施例的片上***(SoC)的示意性结构图。Soc1200包括处理器1210和存储器1220,其中,处理器1210和存储器1220经由总线1230连接,并且处理器1210被配置为执行存储器1220中的代码。在示例中,Soc 1200还可以包括输入接口1240和输出接口1250,如图12所示。
在一个示例中,当执行代码时,处理器1210实现在由终端设备实现的方法实施例中通信方法200或500的实施例中的任意一个,为简洁起见,在此不再赘述。
在一个示例中,当执行代码时,处理器1210实现在由核心网络设备实现的方法实施例中通信方法200或500的实施例中的任意一个,为简洁起见,在此不再赘述。
本领域普通技术人员可以意识到,结合本文所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本领域技术人员可以清楚地理解,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本公开所提供的几个实施例中,应该理解到,所公开的***、装置和方法可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性、机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
如果功能单元以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现。该计算机软件产品存储在一个存储介质中,包括若干指令用以指示计算机装置(可以是个人计算机、服务器、或者网络装置等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:诸如U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等可以存储程序代码的任何介质。
前面的描述仅是本申请的具体实施例,并不意图限制本申请的保护范围。本领域技术人员在本申请所公开技术的范围内所想到的任何等同修改或替换,都将落入本申请的保护范围内。因此,本申请的保护范围应以权利要求所限定的保护范围为准。
Claims (94)
1.一种通信方法,包括:
终端设备向核心网络设备发送指示终端设备支持的一种或多种加密流量检测方法的第一信息;
终端设备从核心网络设备接收指示核心网络设备基于第一信息确定的在与终端设备的通信中要使用的加密流量检测方法的第二信息;以及
终端设备根据要使用的加密流量检测方法执行处理;
其中所述第一信息指示以下至少之一:
终端设备是否支持用户设备辅助的加密流量检测方法;
终端设备支持的用户设备辅助的加密流量检测方法的类型;
终端设备支持的用户设备辅助加密流量检测方法的子类型。
2.根据权利要求1所述的方法,其中,终端设备向核心网络设备发送指示终端设备支持的一种或多种加密流量检测方法的第一信息,包括:
终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中;
终端设备向核心网络设备发送包括第一信息的上行信令消息。
3.根据权利要求2所述的方法,其中,所述终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中包括:
在以下过程中的至少一个过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
4.根据权利要求2或3所述的方法,其中,在终端设备的注册过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的注册过程的注册请求。
5.根据权利要求2或3所述的方法,其中,在终端设备的附着过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的附着过程的附着请求。
6.根据权利要求2或3所述的方法,其中,在PDU会话建立过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话建立过程的PDU会话建立请求。
7.根据权利要求2或3所述的方法,其中,在PDU会话修改过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话修改过程的PDU会话修改请求。
8.根据权利要求1所述的方法,其中,所述终端设备从核心网络设备接收指示在与终端设备的通信中要使用的加密流量检测方法的第二信息,包括:
终端设备从核心网络设备接收包括第二信息的下行信令消息。
9.根据权利要求8所述的方法,其中,所述终端设备从核心网络设备接收包括第二信息的下行信令消息,包括:
在以下过程中的至少一个过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
10.根据权利要求8或9所述的方法,其中,在终端设备的注册过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的注册过程的注册响应。
11.根据权利要求8或9所述的方法,其中,在终端设备的附着过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的附着过程的附着响应。
12.根据权利要求8或9所述的方法,其中,在PDU会话建立过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话建立过程的PDU会话建立响应。
13.根据权利要求8或9所述的方法,其中,在PDU会话修改过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话修改过程的PDU会话修改响应。
14.根据权利要求1至3中的任一项所述的方法,其中,所述第一信息指示终端设备确定的所述一种或多种方法的优先级。
15.根据权利要求1至3中的任一项所述的方法,其中,所述核心网络设备从第一信息指示的所述一种或多种方法中选择要使用的加密流量检测方法。
16.根据权利要求1至3中任一项所述的方法,其中,在所述第二信息中指示的要使用的加密流量检测方法包括多种加密流量检测方法。
17.根据权利要求1至3中的任一项所述的方法,其中,在所述第二信息中指示的要使用的加密流量检测方法包括多种加密流量检测方法的情况下,终端设备根据要使用的加密流量检测方法执行处理包括:
终端设备基于所述多种加密流量检测方法的优先级从所述多种加密流量检测方法中选择一种作为最终要使用的加密流量检测方法。
18.一种通信方法,包括:
核心网络设备从终端设备接收指示终端设备支持的一种或多种加密流量检测方法的第一信息;
核心网络设备基于第一信息,确定在与终端设备的通信中要使用的加密流量检测方法;
核心网络设备向终端设备发送指示要使用的加密流量检测方法的第二信息;
其中所述第一信息指示以下至少之一:
终端设备是否支持用户设备辅助的加密流量检测方法;
终端设备支持的用户设备辅助的加密流量检测方法的类型;
终端设备支持的用户设备辅助加密流量检测方法的子类型。
19.根据权利要求18所述的方法,其中,所述核心网络设备从终端设备接收指示终端设备支持的一种或多种加密流量检测方法的第一信息,包括:
核心网络设备接收从终端设备发送的包括第一信息的上行信令消息。
20.根据权利要求19所述的方法,其中,所述核心网络设备接收从终端设备发送的包括第一信息的上行信令消息包括:
在以下过程中的至少一个过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
21.根据权利要求19或20所述的方法,其中,在终端设备的注册过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的注册过程的注册请求。
22.根据权利要求19或20所述的方法,其中,在终端设备的附着过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的附着过程的附着请求。
23.根据权利要求19或20所述的方法,其中,在PDU会话建立过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话建立过程的PDU会话建立请求。
24.根据权利要求19或20所述的方法,其中,在PDU会话修改过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话修改过程的PDU会话修改请求。
25.根据权利要求18所述的方法,其中,所述核心网络设备向终端设备发送指示要使用的加密流量检测方法的第二信息,包括:
核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中;
核心网络设备向终端设备发送包括第二信息的下行信令消息。
26.根据权利要求25所述的方法,其中,核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中包括:
在以下过程中的至少一个过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
27.根据权利要求25或26所述的方法,其中,在终端设备的注册过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的注册过程的注册响应。
28.根据权利要求25或26所述的方法,其中,在终端设备的附着过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的附着过程的附着响应。
29.根据权利要求25或26所述的方法,其中,在PDU会话建立过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话建立过程的PDU会话建立响应。
30.根据权利要求25或26所述的方法,其中,在PDU会话修改过程期间核心网络设备将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话修改过程的PDU会话修改响应。
31.根据权利要求18至20中的任一项所述的方法,其中,所述第一信息指示终端设备确定的所述一种或多种加密流量检测方法的优先级。
32.根据权利要求18至20中任一项所述的方法,其中,所述核心网络设备基于第一信息,确定在与终端设备的通信中要使用的加密流量检测方法,包括:
核心网络设备将第一信息中指示的所述一种或多种方法与核心网络设备支持的一种或多种方法进行比较;
核心网络设备从第一信息中指示的所述一种或多种方法中选择与核心网络设备支持的所述一种或多种方法中的一种相匹配的至少一种方法作为要使用的加密流量检测方法。
33.根据权利要求18至20中的任一项所述的方法,还包括:
核心网络设备根据要使用的加密流量检测方法进行处理。
34.一种通信方法,包括:
核心网络设备向终端设备发送指示一种或多种加密流量检测方法的第一信息,所述一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法;
核心网络设备从终端设备接收指示终端设备基于第一信息确定的在与终端设备的通信中使用的加密流量检测方法的第二信息;
核心网络设备根据要使用的加密流量检测方法执行处理;
所述第一信息指示以下至少之一:
核心网络设备是否支持用户设备辅助的加密流量检测方法;
核心网络设备支持的用户设备辅助的加密流量检测方法的类型;
核心网络设备支持的用户设备辅助加密流量检测方法的子类型。
35.根据权利要求34所述的方法,其中,核心网络设备向终端设备发送指示一种或多种加密流量检测方法的第一信息,包括:
核心网络设备将第一信息包括在要发送给终端设备的下行信令消息中;
核心网络设备向终端设备发送包括第一信息的下行信令消息。
36.根据权利要求35所述的方法,其中,所述核心网络设备将第一信息包括在要发送给终端设备的下行信令消息中包括:
核心网络设备将第一信息包括在用户设备配置更新过程期间要发送到终端设备的用户设备配置更新请求中;
其中,核心网络设备从终端设备接收指示在与终端设备的通信中要使用的加密流量检测方法的第二信息包括:
核心网络设备从终端设备接收针对用户设备配置更新请求的确认消息,所述确认消息包括第二信息。
37.根据权利要求34至36中任一项所述的方法,其中,所述第一信息指示由核心网络设备确定的所述一种或多种加密流量检测方法的优先级。
38.根据权利要求34至36中任一项所述的方法,其中,所述终端设备从所述第一信息中指示的所述一种或多种加密流量检测方法中选择要使用的加密流量检测方法。
39.根据权利要求34至36中任一项所述的方法,其中,在所述第二信息中指示的要使用的加密流量检测方法包括多种加密流量检测方法。
40.根据权利要求34至36中任一项所述的方法,其中,在所述第二信息中指示的要使用的加密流量检测方法包括多种加密流量检测方法的情况下,核心网络设备根据要使用的加密流量检测方法执行处理包括:
核心网络设备基于所述多种加密流量检测方法的优先级从所述多种加密流量检测方法中选择一种方法作为最终要使用的加密流量检测方法。
41.一种通信方法,包括:
终端设备从核心网络设备接收指示一种或多种加密流量检测方法的第一信息,所述一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法;
终端设备基于第一信息,确定在与终端设备的通信中要使用的加密流量检测方法;
终端设备向核心网络设备发送指示要使用的加密流量检测方法的第二信息;
其中,所述第一信息指示以下至少之一:
核心网络设备是否支持用户设备辅助的加密流量检测方法;
核心网络设备支持的用户设备辅助的加密流量检测方法的类型;
核心网络设备支持的用户设备辅助加密流量检测方法的子类型。
42.根据权利要求41所述的方法,其中,所述终端设备从核心网络设备接收指示一种或多种加密流量检测方法的第一信息,包括:
终端设备接收从核心网络设备发送的包括第一信息的下行信令消息。
43.根据权利要求41或42所述的方法,其中,所述终端设备从核心网络设备接收指示一种或多种加密流量检测方法的第一信息包括:
在用户设备配置更新过程期间终端设备接收从核心网络设备发送的包括第一信息的用户设备配置更新请求。
44.根据权利要求41所述的方法,其中,所述终端设备基于第一信息,确定在与终端设备的通信中要使用的加密流量检测方法,包括:
终端设备将第一信息中指示的所述一种或多种加密流量检测方法与终端设备支持的一种或多种加密流量检测方法进行比较;
终端设备从第一信息中指示的所述一种或多种加密流量检测方法中选择与终端设备支持的所述一种或多种加密流量检测方法中的一种相匹配的至少一种方法,作为要使用的加密流量检测方法。
45.根据权利要求41所述的方法,其中,所述终端设备向核心网络设备发送指示要使用的加密流量检测方法的第二信息,包括:
终端设备将第二信息包括在要发送给核心网络设备的上行信令消息中;
终端设备向核心网络设备发送上行信令消息。
46.根据权利要求45所述的方法,其中,所述终端设备将第二信息包括在要发送给核心网络设备的上行信令消息中包括:
终端设备将第二信息包括在用户设备配置更新过程期间针对用户设备配置更新请求的确认消息中。
47.根据权利要求41所述的方法,其中,所述第一信息指示在第一信息中指示的所述一种或多种加密流量检测方法的优先级。
48.一种终端设备,包括:
发送单元,被配置为向核心网络设备发送指示终端设备支持的一种或多种加密流量检测方法的第一信息;
接收单元,被配置为从核心网络设备接收第二信息,第二信息指示核心网络设备基于第一信息确定的在与终端设备的通信中要使用的加密流量检测方法;
处理单元,被配置为使终端设备执行要使用的加密流量检测方法;
所述第一信息指示以下至少之一:
终端设备是否支持用户设备辅助的加密流量检测方法;
终端设备支持的用户设备辅助的加密流量检测方法的类型;
终端设备支持的用户设备辅助加密流量检测方法的子类型。
49.根据权利要求48所述的终端设备,其中,所述发送单元被配置为:
将第一信息包括在要发送给核心网络设备的上行信令消息中;
向核心网络设备发送包括第一信息的上行信令消息。
50.根据权利要求48或49所述的终端设备,其中,所述发送单元被配置为:
在以下过程中的至少一个过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
51.根据权利要求50所述的终端设备,其中,在终端设备的注册过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的注册过程的注册请求。
52.根据权利要求50所述的终端设备,其中,在终端设备的附着过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的附着过程的附着请求。
53.根据权利要求50所述的终端设备,其中,在PDU会话建立过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话建立过程的PDU会话建立请求。
54.根据权利要求50所述的终端设备,其中,在PDU会话修改过程期间终端设备将第一信息包括在要发送给核心网络设备的上行信令消息中的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话修改过程的PDU会话修改请求。
55.根据权利要求48所述的终端设备,其中,所述接收单元被配置为:
从核心网络设备接收包括第二信息的下行信令消息。
56.根据权利要求48或55所述的终端设备,其中,所述接收单元被配置为:
在以下过程中的至少一个过程期间终端设备从核心网络设备接收包括第二信息的下行信令消息:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
57.根据权利要求56所述的终端设备,其中,在终端设备的注册过程期间从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为从核心网络设备发送到终端设备的注册过程的注册响应。
58.根据权利要求56所述的终端设备,其中,在终端设备的附着过程期间从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为从核心网络设备发送到终端设备的附着过程的附着响应。
59.根据权利要求56所述的终端设备,其中,在PDU会话建立过程期间从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为从核心网络设备发送到终端设备的PDU会话建立过程的PDU会话建立响应。
60.根据权利要求56所述的终端设备,其中,在PDU会话修改过程期间从核心网络设备接收包括第二信息的下行信令消息的情况下,下行信令消息为从核心网络设备发送到终端设备的PDU会话修改过程的PDU会话修改响应。
61.根据权利要求48至49中的任一项所述的终端设备,其中,所述第一信息指示由终端设备确定的所述一种或多种方法的优先级。
62.根据权利要求48至49中的任一项所述的终端设备,其中,所述核心网络设备从第一信息指示的所述一种或多种方法中选择要使用的加密流量检测方法。
63.一种核心网络设备,包括:
接收单元,被配置为从终端设备接收指示终端设备支持的一种或多种加密流量检测方法的第一信息;
处理单元,被配置为基于第一信息来确定在与终端设备的通信中要使用的加密流量检测方法;
发送单元,被配置为向终端设备发送指示要使用的加密流量检测方法的第二信息;
其中,所述第一信息指示以下至少之一:
终端设备是否支持用户设备辅助的加密流量检测方法;
终端设备支持的用户设备辅助的加密流量检测方法的类型;
终端设备支持的用户设备辅助加密流量检测方法的子类型。
64.根据权利要求63所述的核心网络设备,其中,所述接收单元被配置为:
接收从终端设备发送的包括第一信息的上行信令消息。
65.根据权利要求63或64所述的核心网络设备,其中,所述接收单元被配置为:
在以下过程中的至少一个过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
66.根据权利要求65所述的核心网络设备,其中,在终端设备的注册过程期间接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为从终端设备发送到核心网络设备的注册过程的注册请求。
67.根据权利要求65所述的核心网络设备,其中,在终端设备的附着过程期间核心网络设备接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为从终端设备发送到核心网络设备的附着过程的附着请求。
68.根据权利要求65所述的核心网络设备,其中,在PDU会话建立过程期间接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为要从终端设备发送到核心网络设备的PDU会话建立过程的PDU会话建立请求。
69.根据权利要求65所述的核心网络设备,其中,在PDU会话修改过程期间接收从终端设备发送的包括第一信息的上行信令消息的情况下,上行信令消息为从终端设备发送到核心网络设备的PDU会话修改过程的PDU会话修改请求。
70.根据权利要求63所述的核心网络设备,其中,所述发送单元被配置为:
将第二信息包括在要发送给终端设备的下行信令消息中;
向终端设备发送包括第二信息的下行信令消息。
71.根据权利要求63或70所述的核心网络设备,其中,所述发送单元被配置为:
在以下过程中的至少一个过程期间,将第二信息包括在要发送给终端设备的下行信令消息中:
终端设备的注册过程;
终端设备的附着过程;
PDU会话建立过程;
PDU会话修改过程。
72.根据权利要求71所述的核心网络设备,其中,在终端设备的注册过程期间将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的注册过程的注册响应。
73.根据权利要求71所述的核心网络设备,其中,在终端设备的附着过程期间将第二信息包括在要从核心网络设备发送到终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的附着过程的附着响应。
74.根据权利要求71所述的核心网络设备,其中,在PDU会话建立过程期间将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话建立过程的PDU会话建立响应。
75.根据权利要求71所述的核心网络设备,其中,在PDU会话修改过程期间将第二信息包括在要发送给终端设备的下行信令消息中的情况下,下行信令消息为要从核心网络设备发送到终端设备的PDU会话修改过程的PDU会话修改响应。
76.根据权利要求63至64中的任一项所述的核心网络设备,其中,所述第一信息指示由终端设备确定的所述一种或多种加密流量检测方法的优先级。
77.根据权利要求63至64中任一项所述的核心网络设备,其中,所述处理单元被配置为:
将第一信息中指示的所述一种或多种方法与核心网络设备支持的一种或多种方法进行匹配;
从第一信息中指示的所述一种或多种方法中选择与核心网络设备支持的所述一种或多种方法中的一种相匹配的至少一种方法作为要使用的加密流量检测方法。
78.根据权利要求63至64中的任一项所述的核心网络设备,其中,所述处理单元还被配置为:
使核心网络设备能够执行要使用的加密流量检测方法。
79.一种核心网络设备,包括:
发送单元,被配置为将指示一种或多种加密流量检测方法的第一信息发送给终端设备,所述一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法;
接收单元,被配置为从终端设备接收第二信息,第二信息指示终端设备基于第一信息确定的在与终端设备的通信中使用的加密流量检测方法;
处理单元,被配置为使核心网络设备执行要使用的加密流量检测方法;
所述第一信息指示以下至少之一:
核心网络设备是否支持用户设备辅助的加密流量检测方法;
核心网络设备支持的用户设备辅助的加密流量检测方法的类型;
核心网络设备支持的用户设备辅助加密流量检测方法的子类型。
80.根据权利要求79所述的核心网络设备,其中,所述发送单元被配置为:
将第一信息包括在要发送给终端设备的下行信令消息中;
向终端设备发送包括第一信息的下行信令消息。
81.根据权利要求79或80所述的核心网络设备,其中,所述发送单元被配置为:
将第一信息包括在用户设备配置更新过程期间要发送到终端设备的用户设备配置更新请求中;
其中接收单元被配置为:
从终端设备接收针对用户设备配置更新请求的确认消息,所述确认消息包括第二信息。
82.根据权利要求79或80所述的核心网络设备,其中,所述第一信息指示由核心网络设备确定的所述一种或多种加密流量检测方法的优先级。
83.根据权利要求79或80所述的核心网络设备,其中,所述终端设备从第一信息中指示的所述一种或多种加密流量检测方法中选择要使用的加密流量检测方法。
84.一种终端设备,包括:
接收单元,被配置为从核心网络设备接收指示一种或多种加密流量检测方法的第一信息,所述一种或多种加密流量检测方法由核心网络设备确定为在与终端设备的通信中要使用的加密流量检测方法的候选方法;
处理单元,被配置为基于第一信息,确定在与终端设备的通信中使用的加密流量检测方法;
发送单元,被配置为向核心网络设备发送指示要使用的加密流量检测方法的第二信息;
其中,所述第一信息指示以下至少之一:
核心网络设备是否支持用户设备辅助的加密流量检测方法;
核心网络设备支持的用户设备辅助的加密流量检测方法的类型;
核心网络设备支持的用户设备辅助加密流量检测方法的子类型。
85.根据权利要求84所述的终端设备,其中,所述接收单元被配置为:
接收从核心网络设备发送的包括第一信息的下行信令消息。
86.根据权利要求84或85所述的终端设备,其中,所述接收单元被配置为:
在用户设备配置更新过程期间,接收从核心网络设备发送的包括第一信息的用户设备配置更新请求。
87.根据权利要求84所述的终端设备,其中,所述处理单元被配置为:
将第一信息中指示的所述一种或多种加密流量检测方法与终端设备支持的一种或多种加密流量检测方法进行匹配;
从第一信息中指示的所述一种或多种加密流量检测方法中选择与终端设备支持的所述一种或多种加密流量检测方法中的一种相匹配的至少一种方法作为要使用的加密流量检测方法。
88.根据权利要求84所述的终端设备,其中,所述发送单元被配置为:
将第二信息包括在要发送给核心网络设备的上行信令消息中;
向核心网络设备发送上行信令消息。
89.根据权利要求84或88所述的终端设备,其中,所述发送单元被配置为:
将第二信息包括在用户设备配置更新过程期间针对用户设备配置更新请求的确认消息中。
90.根据权利要求84或85所述的终端设备,其中,所述第一信息指示在第一信息中指示的所述一种或多种加密流量检测方法的优先级。
91.一种终端设备,包括收发器和处理器,其中,所述处理器被配置为基于收发器执行权利要求1-17中任一项所述的通信方法或权利要求41-47中任一项所述的通信方法。
92.一种核心网络设备,包括收发器和处理器,其中,所述处理器被配置为基于收发器执行权利要求18-33中任一项所述的通信方法或权利要求34-40中任一项所述的通信方法。
93.一种包括处理器和存储器的片上***,其中,所述处理器被配置为执行存储器中的代码并实现权利要求1至47中任一项所述的通信方法。
94.一种计算机可读存储介质,存储有程序代码,当所述程序代码被处理器执行时,使得所述处理器实现根据权利要求1至47中任一项所述的通信方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862675274P | 2018-05-23 | 2018-05-23 | |
US62/675,274 | 2018-05-23 | ||
PCT/CN2019/087839 WO2019223697A1 (en) | 2018-05-23 | 2019-05-21 | Communication method, terminal device and core network device |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110999256A CN110999256A (zh) | 2020-04-10 |
CN110999256B true CN110999256B (zh) | 2021-12-03 |
Family
ID=68617116
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980003697.9A Active CN110999256B (zh) | 2018-05-23 | 2019-05-21 | 通信方法、终端设备和核心网络设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN110999256B (zh) |
WO (1) | WO2019223697A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116016284B (zh) * | 2022-12-09 | 2024-05-28 | 中国联合网络通信集团有限公司 | 数据分析方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506488A (zh) * | 2014-11-25 | 2015-04-08 | 深圳市金印达科技有限公司 | 一种自动识别通信协议的多用户加密***及其通信方法 |
CN104660589A (zh) * | 2015-01-20 | 2015-05-27 | 中兴通讯股份有限公司 | 一种对信息进行加密控制、解析信息的方法、***和终端 |
CN105406993A (zh) * | 2015-10-28 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种加密流的识别方法及装置 |
CN107547564A (zh) * | 2017-09-28 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1549011A1 (fr) * | 2003-12-26 | 2005-06-29 | Orange France | Procédé et système de communication entre un terminal et au moins un équipment communicant |
US7730519B2 (en) * | 2004-09-17 | 2010-06-01 | At&T Intellectual Property I, L.P. | Detection of encrypted packet streams using feedback probing |
US9497682B2 (en) * | 2013-06-07 | 2016-11-15 | Intel Corporation | Central processing unit and methods for supporting coordinated multipoint transmission in an LTE network |
EP3111613B1 (en) * | 2014-02-28 | 2018-04-11 | British Telecommunications public limited company | Malicious encrypted traffic inhibitor |
WO2015128609A1 (en) * | 2014-02-28 | 2015-09-03 | British Telecommunications Public Limited Company | Profiling for malicious encrypted network traffic identification |
CN105721242B (zh) * | 2016-01-26 | 2018-10-12 | 国家信息技术安全研究中心 | 一种基于信息熵的加密流量识别方法 |
US10601869B2 (en) * | 2016-02-15 | 2020-03-24 | Netscout Systems Texas, Llc | System and method to estimate quality of experience for consumption of encrypted media network traffic |
KR102164823B1 (ko) * | 2016-02-18 | 2020-10-13 | 한국전자통신연구원 | 통합 코어 망 서비스 이용방법과 이를 위한 통합 제어장치 및 그 시스템 |
US11444850B2 (en) * | 2016-05-02 | 2022-09-13 | Huawei Technologies Co., Ltd. | Method and apparatus for communication network quality of service capability exposure |
CN107360159B (zh) * | 2017-07-11 | 2019-12-03 | 中国科学院信息工程研究所 | 一种识别异常加密流量的方法及装置 |
-
2019
- 2019-05-21 WO PCT/CN2019/087839 patent/WO2019223697A1/en active Application Filing
- 2019-05-21 CN CN201980003697.9A patent/CN110999256B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104506488A (zh) * | 2014-11-25 | 2015-04-08 | 深圳市金印达科技有限公司 | 一种自动识别通信协议的多用户加密***及其通信方法 |
CN104660589A (zh) * | 2015-01-20 | 2015-05-27 | 中兴通讯股份有限公司 | 一种对信息进行加密控制、解析信息的方法、***和终端 |
CN105406993A (zh) * | 2015-10-28 | 2016-03-16 | 中国人民解放军信息工程大学 | 一种加密流的识别方法及装置 |
CN107547564A (zh) * | 2017-09-28 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种报文处理的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110999256A (zh) | 2020-04-10 |
WO2019223697A1 (en) | 2019-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2017436351B2 (en) | Data transmission method, terminal device, and network device | |
EP3668134B1 (en) | Wireless communication method, network device, and terminal device | |
CN113286291A (zh) | 多接入场景中的连接处理方法和装置 | |
EP3076710A1 (en) | Offload method, user equipment, base station and access point | |
CN109246696B (zh) | 密钥处理方法以及相关装置 | |
EP3780743A1 (en) | Method and device for establishing transmission path | |
CN110710187B (zh) | 用于流量检测的方法和设备以及计算机可读存储介质 | |
CN111491394B (zh) | 用户面安全保护的方法和装置 | |
CN111641946B (zh) | 处理数据的方法、网络设备和计算机存储介质 | |
CN110999256B (zh) | 通信方法、终端设备和核心网络设备 | |
WO2019090770A1 (zh) | 切换过程中确定核心网类型的方法、终端设备、接入网设备和核心网设备 | |
CN108702303B (zh) | 一种为无线承载进行安全配置方法和设备 | |
US20200036715A1 (en) | Mobile terminal, network node server, method and computer program | |
EP3522670B1 (en) | Communication method, security node network element, and terminal | |
CN111034316B (zh) | 用于传输数据的方法、终端设备和会话管理功能smf设备 | |
JP6732794B2 (ja) | モバイル無線通信ネットワーク及び通信ネットワークデバイスへのモバイル端末の接続を確立するための方法 | |
WO2019153252A1 (zh) | 无线通信的方法、网络设备和终端设备 | |
WO2018058538A1 (zh) | 传输信息的方法、网络设备和终端设备 | |
WO2024065857A1 (en) | Method and apparatus for providing a security mechanism for a steering of roaming procedure | |
WO2019028795A1 (zh) | 确定业务路径的方法和设备 | |
EP4156741A1 (en) | Slice service verification method and apparatus | |
CN106664195B (zh) | 一种数据处理方法、装置及*** | |
CN110771195A (zh) | 业务接入的方法和设备 | |
WO2019061037A1 (zh) | 用于数据处理的方法和终端设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |