CN113691547B - 一种5g upf网元的https头增强方法 - Google Patents
一种5g upf网元的https头增强方法 Download PDFInfo
- Publication number
- CN113691547B CN113691547B CN202110992036.2A CN202110992036A CN113691547B CN 113691547 B CN113691547 B CN 113691547B CN 202110992036 A CN202110992036 A CN 202110992036A CN 113691547 B CN113691547 B CN 113691547B
- Authority
- CN
- China
- Prior art keywords
- message
- service
- https
- upf
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000003780 insertion Methods 0.000 claims abstract description 35
- 230000037431 insertion Effects 0.000 claims abstract description 35
- 238000012937 correction Methods 0.000 claims description 10
- 238000004891 communication Methods 0.000 abstract description 11
- 230000002708 enhancing effect Effects 0.000 abstract description 3
- 238000012546 transfer Methods 0.000 description 33
- 238000010586 diagram Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种5G UPF网元的HTTPS头增强方法,包括:UPF对自有业务/第三方合作业务报文进行用户特征值信息***;收到的报文,通过TCP Session连接通信。通过本发明在实现了:对UPF的HTTPS头增强***规则的可配置;对出自有业务/第三方合作业务HTTPS业务首包Client Hello报文的识别;实现了将用户特征信息***到自有业务/第三方合作业务Client Hello报文的Extension字段中;保证了用户与HTTPS Server原有的TCP Session不断连正常通信。
Description
技术领域
本发明属于信息通信技术领域,特别涉及一种5G UPF网元的HTTPS头增强方法。
背景技术
在移动互联网时代,传统电信运营商在语音、短信等传统业务面临OTT(Over TheTop,指互联网公司越过电信运营商,发展基于开放互联网的各种视频及数据服务业务)的冲击,数据业务增长和增收不成比例,电信运营商在产业链中逐渐被边缘化。为了避免移动网络彻底沦为管道,电信运营商积极研究如何将传统的移动网络与移动互联网以及物联网进行深度的业务融合,进而提升移动通信网络的价值。
在这样的行业背景下,自有业务/第三方合作业务的开拓和发展对运营商有着十分重要的现实意义。UPF作为5G核心网的用户面网元,承载着所有用户的业务流量,如何在UPF中提供HTTP/HTTPS头增强功能很大程度上决定了运营商自有业务/第三方合作业务的发展前景。
同时,因为HTTP协议是明文传输的,不具有安全保障,例如:传输的内容会被嗅探或篡改。所以,自1999年以来,基于SSL/TTLS协议的HTTPS协议就成为了互联网Web***通信协议的主流。
所谓5G的HTTPS头增强技术是要求UPF首先有识别自有业务/第三方合作业务的能力;然后可以将终端特征信息,如:手机号、UE ID、UE IP、RAT等标准增强头字段***到client hello报文拓展部分Extension中,用于HTTPS服务端(自有业务/第三方合作业务)进行终端客户识别以提供不同的增值服务。
实际上对HTTPS协议进行头增强并不容易,因为HTTPS的初衷就是为了保障通信的安全性。头增强此类通过网络中间件设备对其的数据报文头部内容进行修改的行为,违背了通信协议安全四要素中的“数据完整性”要求。但虽说如此,正如上文所言,HTTP/HTTPS头增强在“数据管道”业务增强的场景中仍然有着庞大的市场需求。
目前,行业中支持HTTPS头增强功能的网络中间件设备主要采用的是“中间人代理”的模式。我们称之为传统模式。所谓“代理”即:将网络中间件设备作为客户端发起的HTTPS请求的代理者,将客户端的HTTPS请求终结在网络中间件设备上,再由网络中间件设备***扩展信息后发起新的HTTPS请求;当网络中间件设备得到了真实的HTTPS服务器的响应后,再重组响应报文发送给客户端。如图5所示UPF作为HTTPS代理流程示意图。
可见,传统模式存在着两个主要问题:
由于网络中间件设备会维护一个状态表,会严重影响了设备的数据报文处理性能以及处理容量的扩展性。例如:当状态表记录超过一定数量时,性能就会急剧下降。这种计算资源的浪费就会导致了此类网络中间设备造价成本居高不下的问题。
由于网络中间件设备是基于嗅探HTTPS请求中的TTLS Client Hello和ServerHello中的加密套件等明文参数来维护状态表的。这方式在TTLS 1.3版本中就行不通了,因为TTLS 1.3版本会加密整个Hello握手流程,导致网络中间件设备无法嗅探到任何有效信息来维护状态表。
由于以上原因,很大程度上限制了运营商开发自有业务/第三方合作业务的广度和速度。
发明内容
针对相关技术中的上述技术问题,本发明提出一种5G UPF网元的HTTPS头增强方法,能够克服现有技术的上述不足。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种5G UPF网元的HTTPS头增强方法,该方法包括:
UPF对自有业务/第三方合作业务报文进行用户特征值信息***;
收到的报文,通过TCP Session连接通信。
进一步的,所述UPF对自有业务/第三方合作业务报文进行用户特征值信息***,包括:
UPF通过N4接口模块接收到了SMF下发的HTTPS头增强***规则,N4接口模块解析HTTPS头增强***规则并转化成UPF内部HTTPS头增强规则数据结构存储于UPF;
通过HTTPS头增强策略配置/下发模块下发HTTPS头增强***规则到UPF,N4接口模块解析HTTPS头增强***规则,并转化成UPF内部HTTPS头增强规则数据结构,将UPF内部HTTPS头增强规则数据结构存储于UPF,其中,下发的HTTPS头增强规则中包括标识自有业务/第三方合作业务的域名、用户特征值信息、业务识别和***用户特征值信息;
其中,当有用户数据包GTPU报文流入到UPF时,自有业务/第三方合作业务识别模块判断该报文是否为TCP报文;
经过自有业务/第三方合作业务识别模块识别出头增强的Cllient Hello报文后,***终端用户特征信息模块对Client Hello报文逐步解析,获取Client Hello报文总长度、TLS报文长度和Extension长度;
结合SMF及下发的HTTPS头增强***规则和在Client Hello报文的拓展字段中***用户特征信息,修正Extension长度、TTLS报文长度和报文总长,重新计算TCP校验和、IP校验和,其中,在解析Client Hello报文时,记录源端口号、Sequence Number和用户特征信息。
进一步的,所述收到的报文,通过TCP Session连接通信,包括:
当UPF收到HTTPS Server回复的报文时,TCP Session修正模块会解析报文是否为TCP报文,其中,若是,则解析该报文目的端口号及AcknowledgmentNumber,同***终端用户特征信息模块收集的源端口号及Sequence Number进行比较,确定是否为同一自有业务/第三方合作业务的TCP Session流,若是,则减少报文的用户特征值信息的字节数。
进一步的,所述收到的报文,通过TCP Session连接通信,还包括:
当UPF收到同一终端用户的数据包GTPU报文时,TCP Session修正模块会解析GTPU报文判断用户数据包是否为TCP报文,若是,则解析报文源端口号及Sequence Number,同***终端用户特征信息模块收集的源端口号及Sequence Number进行比较,确定是否为同一自有业务/第三方合作业务的TCP Session流,若是,则增加用户特征值信息的字节数。
进一步的,所述当有用户数据包GTPU报文流入到UPF时,自有业务/第三方合作业务识别模块判断该报文是否为TCP报文,包括:若是TCP报文,则解析TCP Playload是否为HTTPS业务首包Client Hello报文。
进一步的,所述若是TCP报文,则解析TCP Playload是否为HTTPS业务首包ClientHello报文,包括:
若是HTTPS业务首包Client Hello报文,则解析Client Hello的拓展字段Extension,获取到业务的SNI,并和HTTPS头增强规则中域名比较,判断出报文是否为自有业务/第三方合作业务。
本发明的有益效果:通过本发明在实现了:
1.对UPF的HTTPS头增强***规则的可配置;
2.UPF通过HTTPS头增强***规则可以识别出自有业务/第三方合作业务HTTPS业务首包Client Hello报文;
3.UPF通过HTTPS头增强***规则,实现了将用户特征信息***到自有业务/第三方合作业务Client Hello报文的Extension字段中;
4.UPF可以通过修正同一自有业务/第三方合作业务的Sequence Number,AcknowledgmentNumber对应关系,保证了用户与HTTPS Server原有的TCP Session不断连正常通信。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为UPF的部署架构图;
图2为本发明的UPF HTTPS头增强功能模块图;
图3为本发明UPF HTTPS头增强时,报文各字段变化示意图;
图4为UPF作为HTTPS代理流程示意图;
图5为本发明UPF实现用户特征信息***Client Hello流程图;
图6为本发明UPF实现TCP Session修正流程图一;
图7为本发明UPF实现TCP Session修正流程图二。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地说明,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一种低成本且性能无损耗的5G UPF(用户面功能)网元的HTTPS(超文本传送协议)头增强实现方案,下面详述对自有业务/第三方合作业务实现HTTPS头增强过程,实际分为两个部分:1、UPF(用户面功能)对自有业务/第三方合作业务首个报文Client Hello(客户端发起TTLS握手报文)完成用户特征值信息***;2、UPF(用户面功能)保证该自有业务/第三方合作业务可以通过原有TCP Session(TCP会话)连接完成正常通信。
如图1-7所示,一种5G UPF(用户面功能)网元的HTTPS(超文本传送协议)头增强方法,该方法包括:
UPF(用户面功能)对自有业务/第三方合作业务报文进行用户特征值信息***;
收到的报文,通过TCP Session(TCP会话)连接通信,其中,此处的TCP Session指原TCP Session。
在本发明的一些实施例中,所述UPF(用户面功能)对自有业务/第三方合作业务报文进行用户特征值信息***,包括:
UPF(用户面功能)通过N4(5G SMF与UPF之间通信接口)接口模块接收到了SMF(会话管理功能)下发的HTTPS(超文本传送协议)头增强***规则,N4(5G SMF与UPF之间通信接口)接口模块解析HTTPS(超文本传送协议)头增强***规则并转化成UPF(用户面功能)内部HTTPS(超文本传送协议)头增强规则数据结构存储于UPF(用户面功能);
通过HTTPS(超文本传送协议)头增强策略配置/下发模块下发HTTPS(超文本传送协议)头增强***规则到UPF(用户面功能),N4(5G SMF与UPF之间通信接口)接口模块解析HTTPS(超文本传送协议)头增强***规则,并转化成UPF(用户面功能)内部HTTPS(超文本传送协议)头增强规则数据结构,将UPF(用户面功能)内部HTTPS(超文本传送协议)头增强规则数据结构存储于UPF(用户面功能),其中,下发的HTTPS(超文本传送协议)头增强规则中包括标识自有业务/第三方合作业务的域名、用户特征值信息、业务识别和***用户特征值信息;
其中,当有用户数据包GTPU(用户平面通用分组无线业务隧道协议)报文流入到UPF(用户面功能)时,自有业务/第三方合作业务识别模块判断该报文是否为TCP报文;
经过自有业务/第三方合作业务识别模块识别出头增强的Cllient Hello(客户端发起TTLS握手报文)报文后,***终端用户特征信息模块对Client Hello(客户端发起TTLS握手报文)报文逐步解析,获取Client Hello(客户端发起TTLS握手报文)报文总长度、TTLS(安全传输层协议)报文长度和Extension(TTLS拓展字段)长度;
结合SMF(会话管理功能)及下发的HTTPS(超文本传送协议)头增强***规则和在Client Hello(客户端发起TTLS握手报文)报文的拓展字段中***用户特征信息,修正Extension(TTLS拓展字段)长度、TTLS(安全传输层协议)报文长度和报文总长,重新计算TCP校验和、IP校验和,其中,在解析Client Hello(客户端发起TTLS握手报文)报文时,记录源端口号、Sequence Number(TCP序列号)和用户特征信息。
在本发明的一些实施例中,所述收到的报文,通过TCP Session(TCP会话)连接通信,包括:
当UPF(用户面功能)收到HTTPS Server(HTTPS服务端)回复的报文时,TCPSession(TCP会话)修正模块会解析报文是否为TCP报文,其中,若是,则解析该报文目的端口号及Acknowledgment Number(TCP确认序列号),同***终端用户特征信息模块收集的源端口号及Sequence Number(TCP序列号)进行比较,确定是否为同一自有业务/第三方合作业务的TCP Session(TCP会话)流,若是,则减少报文的用户特征值信息的字节数。
在本发明的一些实施例中,所述收到的报文,通过TCP Session(TCP会话)连接通信,还包括:
当UPF收到同一终端用户的数据包GTPU(用户平面通用分组无线业务隧道协议)报文时,TCP Session(TCP会话)修正模块会解析GTPU(用户平面通用分组无线业务隧道协议)报文判断用户数据包是否为TCP报文,若是,则解析报文源端口号及Sequence Number(TCP序列号),同***终端用户特征信息模块收集的源端口号及Sequence Number(TCP序列号)进行比较,确定是否为同一自有业务/第三方合作业务的TCP Session(TCP会话)流,若是,则增加用户特征值信息的字节数。
在本发明的一些实施例中,所述当有用户数据包GTPU(用户平面通用分组无线业务隧道协议)报文流入到UPF(用户面功能)时,自有业务/第三方合作业务识别模块判断该报文是否为TCP报文,包括:若是TCP报文,则解析TCP Playload(TCP载荷)是否为HTTPS业务首包Client Hello(客户端发起TTLS握手报文)报文。
在本发明的一些实施例中,所述若是TCP报文,则解析TCP Playload(TCP载荷)是否为HTTPS(超文本传送协议)业务首包Client Hello(客户端发起TTLS握手报文)报文,包括:
若是HTTPS(超文本传送协议)业务首包Client Hello(客户端发起TTLS握手报文)报文,则解析Client Hello的拓展字段Extension(TTLS拓展字段),获取到业务的SNI(服务器名标识),并和HTTPS(超文本传送协议)头增强规则中域名比较,判断出报文是否为自有业务/第三方合作业务。
本发明为一种低成本且性能无损耗的5G UPF(用户面功能)网元的HTTPS(超文本传送协议)头增强实现方案,主要解决了传统网络中间件的“HTTPS(超文本传送协议)连接代理人”实现方式导致的资源消耗较高,性能损耗大的弊端,所述5G UPF(用户面功能)网元的HTTPS(超文本传送协议)头增强实现方案包括:
N4(5G SMF与UPF之间通信接口)接口模块,本模块用于接收SMF(会话管理功能)下发的控制信令,其中就包括有HTTPS(超文本传送协议)头增强***规则,同时有解析HTTPS(超文本传送协议)头增强***规则能力,并将解析后的规则转化成UPF(用户面功能)内部数据形式存储在UPF(用户面功能)中;
HTTPS(超文本传送协议)头增强策略配置/下发模块,用于提供RESTful API(通用定义接口),可通过API(应用程序接口)下发HTTPS(超文本传送协议)头增强策略到UPF(用户面功能),该模块解析下发的HTTPS头增强策略后,转化成UPF(用户面功能)内部数据结构存储于UPF(用户面功能),并和SMF(会话管理功能)下发的HTTPS(超文本传送协议)头增强策略相结合控制HTTPS(超文本传送协议)头增强中用户特征值的***,当SMF(会话管理功能)下发的HTTPS(超文本传送协议)头增强策略和通过本模块下发的策略冲突时,以SMF(会话管理功能)下发的为准;
自有业务/第三方合作业务识别模块,用于识别出媒体面中的自有业务/第三方合作业务,该模块会识别出TTLS(安全传输层协议)握手时的首包Client Hello(客户端发起TTLS握手报文)报文,并解析得到Extension(TTLS拓展字段)中的SNI(服务器名标识),然后通过和HTTPS(超文本传送协议)头增强***规则中的域名进行比较,识别出该业务是否为自有业务/第三方合作业务;
***终端用户特征信息模块,用于对自有业务/第三方合作业务实现终端用户特征信息的***,对自有业务/第三方合作业务的Client Hello(客户端发起TTLS握手报文)报文,进行解析,并将终端用户特征信息***Extension(TTLS拓展字段)字段中;
TCP Session(TCP会话)修正模块,该模块主要保证终端用户和HTTPS(超文本传送协议)服务端原有的TCP Session(TCP会话)不断,可正常交互。通过终端Session(TCP会话),以及从***终端用户特征信息模块收集到的源端口号,比对是否为***过用户特征信息拓展的TCP Session(TCP会话),若是,则通过记录的***了多少字节的用户特征信息,来修正TCP Session(TCP会话)。
***终端用户特征信息模块,具体用于:
该模块完成对Client Hello(客户端发起TTLS握手报文)报文的逐步解析,获取到该Client Hello(客户端发起TTLS握手报文)报文总长度,TTLS(安全传输层协议)报文长度,Extension(TTLS拓展字段)长度,结合HTTPS(超文本传送协议)头增强***规则,在Client Hello(客户端发起TTLS握手报文)报文的拓展字段中***用户特征信息,并依次修正Extension(TTLS拓展字段)长度,TTLS报文长度,报文总长,最后依次重新计算TCP校验和,IP校验和,完成Client Hello(客户端发起TTLS握手报文)报文的用户特征信息***;同时在解析Client Hello报文时,会记录下源端口号,Sequence Number(TCP序列号)以及共***了多少字节的用户特征信息,同时还可依照HTTPS(超文本传送协议)头增强***规则要求的加密算法和加密密钥完成对任意指定的***信息进行加密。
TCP Session(TCP会话)修正模块,具体用于:
修正客户端和服务端请求交互过程中的报文的TCP Session(TCP会话)参数,继而维持原有TCP Session(TCP会话)的正常状态,在同一个TCP Session(TCP会话)流中各个段的Sequence Number(TCP序列号)和AcknowledgmentNumber(TCP确认序列号)是相互对应的,当UPF在Client Hello报文中***了用户特征信息后,相当于改变了TCP Playload(TCP载荷)大小,那么在服务端回复客户端的Acknowledgment Numbers(TCP确认序列号)将会大于正常的Acknowledgment Number(TCP确认序列号),导致TCP Session(TCP会话)通讯异常,因此,需要UPF具有修正Sequence Number和AcknowledgmentNumber(TCP确认序列号)的能力,即对于服务端回复报文的Acknowledgment Number减小***的用户特征值字节数,对于客户端请求报文(除Client Hello外)的Sequence Number增加***的用户特征值字节数。
通过本发明在实现了:对UPF(用户面功能)的HTTPS(超文本传送协议)头增强***规则的可配置;UPF通过HTTPS(超文本传送协议)头增强***规则可以识别出自有业务/第三方合作业务HTTPS(超文本传送协议)业务首包Client Hello(客户端发起TTLS握手报文)报文;UPF通过HTTPS(超文本传送协议)头增强***规则,实现了将用户特征信息***到自有业务/第三方合作业务Client Hello(客户端发起TTLS握手报文)报文的Extension(TTLS拓展字段)字段中;UPF可以通过修正同一自有业务/第三方合作业务的Sequence Number(TCP序列号),Acknowledgment Number(TCP确认序列号)对应关系,保证了用户与HTTPSServer(HTTPS服务段)原有的TCP Session(TCP会话)不断连正常通信。
本发明中上面括号内的内容为前边英文单词或英文字母的解释。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (1)
1.一种5G UPF网元的HTTPS头增强方法,其特征在于,包括:
UPF对自有业务/第三方合作业务报文进行用户特征值信息***;
收到的报文,通过TCP Session连接通信;其中,
所述UPF对自有业务/第三方合作业务报文进行用户特征值信息***,包括:
UPF通过N4接口模块接收到了SMF下发的HTTPS头增强***规则,N4接口模块解析HTTPS头增强***规则并转化成UPF内部HTTPS头增强规则数据结构存储于UPF;
通过HTTPS头增强策略配置/下发模块下发HTTPS头增强***规则到UPF,N4接口模块解析HTTPS头增强***规则,并转化成UPF内部HTTPS头增强规则数据结构,将UPF内部HTTPS头增强规则数据结构存储于UPF,其中,下发的HTTPS头增强规则中包括标识自有业务/第三方合作业务的域名、用户特征值信息、业务识别和***用户特征值信息;
其中,当有用户数据包GTPU报文流入到UPF时,自有业务/第三方合作业务识别模块判断该报文是否为TCP报文;
经过自有业务/第三方合作业务识别模块识别出头增强的Cllient Hello报文后,***终端用户特征信息模块对Client Hello报文逐步解析,获取Client Hello报文总长度、TLS报文长度和Extension长度;
结合SMF及下发的HTTPS头增强***规则和在Client Hel lo报文的拓展字段中***用户特征信息,修正Extension长度、TTLS报文长度和报文总长,重新计算TCP校验和、IP校验和,其中,在解析Client Hel lo报文时,记录源端口号、Sequence Number和用户特征信息;
所述收到的报文,通过TCP Session连接通信,包括:
当UPF收到HTTPS Server回复的报文时,TCP Session修正模块会解析报文是否为TCP报文,其中,若是,则解析该报文目的端口号及AcknowledgmentNumber,同***终端用户特征信息模块收集的源端口号及Sequence Number进行比较,确定是否为同一自有业务/第三方合作业务的TCP Session流,若是,则减少报文的用户特征值信息的字节数;
所述收到的报文,通过TCP Session连接通信,还包括:
当UPF收到同一终端用户的数据包GTPU报文时,TCP Session修正模块会解析GTPU报文判断用户数据包是否为TCP报文,若是,则解析报文源端口号及Sequence Number,同***终端用户特征信息模块收集的源端口号及Sequence Number进行比较,确定是否为同一自有业务/第三方合作业务的TCP Session流,若是,则增加用户特征值信息的字节数;
所述当有用户数据包GTPU报文流入到UPF时,自有业务/第三方合作业务识别模块判断该报文是否为TCP报文,包括:若是TCP报文,则解析TCP Playload是否为HTTPS业务首包Client Hel lo报文;
所述若是TCP报文,则解析TCP Playload是否为HTTPS业务首包Client Hello报文,包括:
若是HTTPS业务首包Client Hello报文,则解析Client Hel lo的拓展字段Extension,获取到业务的SNI,并和HTTPS头增强规则中域名比较,判断出报文是否为自有业务/第三方合作业务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110992036.2A CN113691547B (zh) | 2021-08-27 | 2021-08-27 | 一种5g upf网元的https头增强方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110992036.2A CN113691547B (zh) | 2021-08-27 | 2021-08-27 | 一种5g upf网元的https头增强方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113691547A CN113691547A (zh) | 2021-11-23 |
| CN113691547B true CN113691547B (zh) | 2023-11-03 |
Family
ID=78583422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110992036.2A Active CN113691547B (zh) | 2021-08-27 | 2021-08-27 | 一种5g upf网元的https头增强方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113691547B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826692B (zh) * | 2022-04-07 | 2023-11-07 | 中国联合网络通信集团有限公司 | 信息登录***、方法、电子设备及存储介质 |
| CN115499825B (zh) * | 2022-08-18 | 2023-09-01 | 广州爱浦路网络技术有限公司 | 基于二次鉴权的5g报文头增强方法、设备和存储介质 |
| CN116647867B (zh) * | 2022-09-29 | 2024-07-05 | 天翼数字生活科技有限公司 | 核心网头增强配置的测试方法和*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102547609A (zh) * | 2010-12-29 | 2012-07-04 | ***通信集团公司 | 向业务平台传送用户信息的方法及装置 |
| CN110858834A (zh) * | 2018-08-23 | 2020-03-03 | 中国电信股份有限公司 | 用户信息传输方法、装置、***和计算机可读存储介质 |
| CN112020057A (zh) * | 2019-05-30 | 2020-12-01 | 中国电信股份有限公司 | 识别报文的方法及*** |
-
2021
- 2021-08-27 CN CN202110992036.2A patent/CN113691547B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102547609A (zh) * | 2010-12-29 | 2012-07-04 | ***通信集团公司 | 向业务平台传送用户信息的方法及装置 |
| CN110858834A (zh) * | 2018-08-23 | 2020-03-03 | 中国电信股份有限公司 | 用户信息传输方法、装置、***和计算机可读存储介质 |
| CN112020057A (zh) * | 2019-05-30 | 2020-12-01 | 中国电信股份有限公司 | 识别报文的方法及*** |
Non-Patent Citations (2)
| Title |
|---|
| "23787030clean";ZTE;《3GPP tsgsaWG2_Arch》;20180501;正文 * |
| C4204116 "Solution for Header Enrichment for HTTPS";ZTE;《3GPP tsgctwg4_protocollars_ex-cn4》;20200820;正文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113691547A (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113691547B (zh) | 一种5g upf网元的https头增强方法 | |
| Alghamdi et al. | Security analysis of the constrained application protocol in the Internet of Things | |
| US9118717B2 (en) | Delayed network protocol proxy for packet inspection in a network | |
| US7849495B1 (en) | Method and apparatus for passing security configuration information between a client and a security policy server | |
| US20200274812A1 (en) | Traffic analysis method, common service traffic attribution method, and corresponding computer system | |
| CN1937541B (zh) | 一种网络性能测试方法 | |
| US8412160B2 (en) | Method for discarding all segments corresponding to the same packet in a buffer | |
| WO2016082371A1 (zh) | 一种基于ssh协议的会话解析方法及*** | |
| US9271188B2 (en) | Dynamic in-band service control mechanism in mobile network | |
| CN104348811A (zh) | 分布式拒绝服务攻击检测方法及装置 | |
| CN105024971A (zh) | 一种通信协议转换方法及装置 | |
| CN104184646B (zh) | Vpn网络数据交互方法和***及其网络数据交互设备 | |
| US10142229B2 (en) | Concealed datagram-based tunnel for real-time communications | |
| WO2016086755A1 (zh) | 一种报文处理的方法和透明代理服务器 | |
| WO2022143989A1 (zh) | 基于srv6协议的sid压缩方法和装置 | |
| CA2950453A1 (en) | Proxy node for transferring packets between a server and a client using port sharding | |
| WO2006097031A1 (fr) | Procede de transmission de message dans le reseau du protocole internet mobile | |
| CN114401097A (zh) | 一种基于ssl证书指纹的https业务流量识别的方法 | |
| CN106063217B (zh) | 一种实现业务优化的方法及*** | |
| CN103916489B (zh) | 一种单域名多ip的域名解析方法及*** | |
| CN101895522A (zh) | 主机标识标签获取方法及*** | |
| CN115361455B (zh) | 一种数据传输存储方法、装置以及计算机设备 | |
| Cheng et al. | Securing robust header compression (rohc) | |
| WO2009109128A1 (zh) | 一种完全头部信息报文配置的方法和装置 | |
| WO2017067224A1 (zh) | 一种报文处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 2 / F, building C, building 9, Huzhou multimedia Industrial Park, 999 Wuxing Avenue, Huzhou City, Zhejiang Province, 313000 Patentee after: Zhejiang Jiuzhou Future Information Technology Co.,Ltd. Country or region after: China Address before: 2 / F, building C, building 9, Huzhou multimedia Industrial Park, 999 Wuxing Avenue, Huzhou City, Zhejiang Province, 313000 Patentee before: Zhejiang Jiuzhou cloud Mdt InfoTech Ltd. Country or region before: China |