CN117083893A - 用于处置通信网络中的已加密业务的第一节点、第二节点、第三节点及其执行的方法 - Google Patents
用于处置通信网络中的已加密业务的第一节点、第二节点、第三节点及其执行的方法 Download PDFInfo
- Publication number
- CN117083893A CN117083893A CN202180095835.8A CN202180095835A CN117083893A CN 117083893 A CN117083893 A CN 117083893A CN 202180095835 A CN202180095835 A CN 202180095835A CN 117083893 A CN117083893 A CN 117083893A
- Authority
- CN
- China
- Prior art keywords
- node
- keys
- traffic
- indications
- endpoints
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 230
- 238000000034 method Methods 0.000 title claims abstract description 128
- 230000000977 initiatory effect Effects 0.000 claims description 62
- 238000004590 computer program Methods 0.000 claims description 47
- 230000005540 biological transmission Effects 0.000 claims description 32
- 238000012545 processing Methods 0.000 abstract description 16
- 230000009471 action Effects 0.000 description 78
- 238000007726 management method Methods 0.000 description 34
- 230000006870 function Effects 0.000 description 33
- 238000010586 diagram Methods 0.000 description 16
- 230000004044 response Effects 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 12
- 230000004048 modification Effects 0.000 description 10
- 238000012986 modification Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 230000001413 cellular effect Effects 0.000 description 9
- 238000001514 detection method Methods 0.000 description 8
- 230000011664 signaling Effects 0.000 description 8
- 230000008901 benefit Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 239000000969 carrier Substances 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 101150119040 Nsmf gene Proteins 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000699662 Cricetomys gambianus Species 0.000 description 1
- 244000042038 Tropaeolum tuberosum Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/24—Interfaces between hierarchically similar devices between backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种计算机实现的方法,所述方法由第一节点(111)执行。该方法用于处理通信***(100)中的已加密业务。第一节点(111)从第二节点(112)接收(304)一个或多个密钥以使得第三节点(113)能够解密业务。业务在两个或多个端点(130,120)之间被路由,并且在端点(130,120)之间被加密。第一节点(111)还接收(304)一个或多个指示。一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密业务的相应协议。第一节点(111)还发起(305)向第三节点(113)发送一个或多个密钥和一个或多个指示,从而使得能够解密业务。所述第一节点(111)和所述第三节点(113)不同于所述两个或更多个端点(130、120)中的任何端点。
Description
技术领域
本公开一般涉及用于处置通信网络中的已加密业务的第一节点及其执行的方法。本公开一般还涉及用于处置通信网络中的已加密业务的第二节点及其执行的方法。本公开一般还涉及一种用于处置通信网络中的已加密业务的装置及其执行的方法。本公开一般还涉及计算机程序和计算机可读存储介质,其上存储有用于执行这些方法的计算机程序。
背景技术
通信网络中的计算机***可以包括一个或多个网络节点。节点可以包括一个或多个处理器(其连同计算机程序代码可以执行不同功能和动作)、存储器、接收端口和发送端口。节点可以是例如服务器。节点可以完全在云上执行其功能。
标准化组织3GPP当前正在规定称为NR或5G-UTRA的新空口以及第五代(5G)分组核心网络(其可以被称为5G核心网络,缩写为5GC)的过程中。
包括5G接入网络(AN)、5G核心网络和UE的3GPP***可以被称为5G***。
图1是描绘如3GPP定义的5GC架构的特定示例的示意图,其可以用作本公开的参考。应用功能(AF)1可以通过网络暴露功能(NEF)2与3GPP核心网络交互。NEF可以支持不同的功能性,具体地,在本文档的上下文中,NEF可以充当外部AF可进入运营商网络的进入点。网络存储库功能(NRF)3可以支持注册和发现过程。会话管理功能(SMF)4可以支持不同的功能性,例如会话建立、修改和释放以及策略相关的功能性(诸如朝向策略控制功能的接口的终止、计费数据收集、计费接口的支持以及在用户平面功能(UPF)5处计费数据收集的控制和协调)。具体地,对于本文的上下文,SMF 4可以从PCF 7接收策略和计费控制(PCC)规则,并且可以根据如下的分组流控制协议(PFCP)协议,通过N4参考点6相应地配置UPF 5。SMF 4可以通过建立、修改或删除PFCP会话以及通过按PFCP会话预配置(provision)(例如添加、修改或删除)分组检测规则(PDR)、转发动作规则(FAR)、和/或使用报告规则(URR)来控制UPF 5中的分组处理,由此PFCP会话可以对应于单独分组数据单元(PDU)会话或未绑定到任何PDU会话的独立PFCP会话。每个PDR可以包含分组检测信息(PDI),分组检测信息规定输入分组可以与之匹配的业务过滤器或签名。每个PDR可以与以下规则相关联,这些规则提供了应用于与PDI匹配的分组的指令集。根据第一规则,可包含与分组处理相关的指令的一个FAR可以在向或不向控制平面(CP)功能通知下行链路(DL)分组到达的情况下,具体地转发、重定向、复制、丢弃或缓冲分组。根据第二规则,零个、一个或多个QER,其可以包含与业务的服务质量(QoS)实施相关的指令。根据第三规则,零个、一个或多个URR,其可以包含与业务测量和报告相关的指令。UPF 5可以支持基于从SMF 4接收的规则来处置用户平面业务(具体地,对于本文档的上下文,例如通过PDR的分组查验)以及不同的实施动作,诸如业务导向(traffic steering)、QoS、计费/报告(例如通过FAR、QER和URR)。策略控制功能(PCF)7可以理解为支持统一的策略框架来管控网络的行为。PCF 7可以向策略和计费实施功能(PCEF)提供策略和计费控制(PCC)规则。PCF 7可以通过AMF 9向用户设备(UE)8提供策略规则。AMF9可以管理UE 8的接入。例如,当UE 8可以通过不同的接入网络连接时,以及UE 8的移动性方面。具体地,AMF 9可用于将UE规则从PCF 7转发到UE 8。UE 8可以理解为一种类型的装置。通信网络内的装置可以是用户设备(UE),例如,站(STA)、无线装置、移动终端、无线终端、终端和/或移动站(MS)。使得用户设备能够在蜂窝通信网络或无线通信网络(有时也称为蜂窝无线电***、蜂窝***或蜂窝网络)中进行无线通信。通信可以例如在两个用户设备之间、在用户设备和普通电话之间、和/或在用户设备和服务器之间经由无线电接入网络(RAN)10以及可能经由包括在通信网络内的一个或多个核心网络来执行。装置还可以被称为具有无线能力的移动电话、蜂窝电话、膝上型计算机或平板计算机,仅举一些另外的示例。本上下文中的装置可以是例如便携式的、口袋可存储的、手持的、包括计算机的或车载的移动装置,使得其能够经由RAN 10与另一实体(诸如另一终端或服务器)传递语音和/或数据。图1中还描绘了网络切片选择功能(NSSF)11、统一数据管理(UDM)12、认证服务器功能(AUSF)13和数据网络(DN)14。NSSF 11、NEF 2、NRF 3、PCF 7、UDM 12、AF 1、AUSF 13、AMF 9和SMF 4中的每个都可以具有可以通过其访问它们的接口,如图中所描绘,接口可以分别是:Nnssf 15、Nnef 16、Nnrf 17、Npcf 18、Nudm 19、Naf 20、Nausf 21、Namf 22、Nsmf 23。UE 8、RAN 10和UPF 5中的每个都可以具有可以通过其访问它们的接口,如图中所描绘,接口可以分别是:N1 24、N2 25和N4 6。RAN 10可以具有与UPF 5的接口N3 26。UPF 5可以具有与DN 14的接口N6 27。
通信网络可以覆盖可以被划分为小区区域的地理区域,每个小区区域由另一种类型的节点、RAN 10中的网络节点、无线电网络节点或传输点(TP)(例如,诸如基站(BS)的接入节点)服务,基站(BS)例如是无线电基站(RBS),其有时可以被称为例如演进节点B(“eNB”)、“eNodeB”、“NodeB”、“B节点”或基站收发信台(BTS),这取决于所使用的技术和术语。基站基于传输功率并且因此也基于小区大小可以是不同的类别,诸如例如广域基站、中程基站、局域基站和家庭基站。小区是由基站站点处的基站提供无线电覆盖的地理区域。位于基站站点上的一个基站可以服务于一个或若干小区。此外,每个基站可以支持一种或若干种通信技术。电信网络还可以是非蜂窝***,包括可以利用服务波束来服务于接收节点(诸如用户设备)的网络节点。
业务加密与网络管理
业务加密在移动网络中显著增长,并且同时,加密机制的复杂性也在增长。当今的大多数应用不基于HTTP明文,而是它们可以基于超文本传输协议安全(HTTPS)(例如,使用传输层安全性(TLS))。另外,业务的相当大的部分现在可以基于快速用户数据报协议互联网连接(QUIC)传输。在未来,可以预见,大多数应用将基于QUIC传输。
对称加密
对称密钥算法可以被理解为用于密码学的、可以将相同的密码密钥用于加密明文和解密密文两者的算法。密钥可以是相同的,或者可以在两个密钥之间进行简单变换。实践中,密钥可以被理解为表示两方或更多方之间的共享秘密,其可以用于维持私有信息链接。
对称密钥算法可能要求消息的发送方和接收方都具有相同的秘密密钥。所有早期的密码***都要求一种机制来以某种方式通过物理安全信道接收该秘密密钥的副本。
几乎所有现代密码***仍然可以在内部使用对称密钥算法来加密大量消息,但是它们可以通过使用Diffie-Hellman密钥交换或某一其它公钥协议以安全地对每个会话的新的秘密密钥达成协议,从而消除对物理安全信道的需要,这可以被称为前向保密(forward secret)。
TLS
TLS(其可以被理解为安全套接字层(SSL)的后继者)可以被理解为用于加密网络上的通信的协议。TLS可以使用非对称加密和对称加密两者。在TLS握手期间,客户端和服务器可以商定用于对称加密的新密钥,称为“秘密密钥”。每个新的通信会话可以以新的TLS握手开始并使用新的秘密密钥。
TLS握手本身可以将非对称加密用于安全性,而双方都可以生成秘密密钥,并且为了认证给定网站的源服务器的身份。
QUIC
QUIC可以被理解为基于UDP的流复用加密传输协议。QUIC可以被理解为基本上是传输控制协议(TCP)的基于UDP的替换。QUIC现在处于IETF标准化的最终步骤下,并且可以依赖于TLS1.3。
虽然加密为通信网络中的通信提供了安全性,但是利用现有方法的已加密通信可能阻碍通信网络中的应用预配置服务。
发明内容
关于移动网络中的业务加密存在两个冲突的方面。一个方面是应用可能需要隐私和安全性,因此它们可能越来越多地使用已加密业务。预计在几年后,实践中所有互联网业务都将被加密。另一方面是应用可能向运营商要求可能需要业务可见性的业务管理动作。这样的业务管理动作可以是例如:业务重定向(例如,基于HTTP的重定向),以便例如在订户的配额可能到期时通知用户;内容富集(例如,HTTP内容富集),其中网络运营商可以向内容提供商(例如,应用服务器)添加信息(例如,无线电接入技术(RAT)类型、国际移动订户标识码(IMSI)、移动站国际订户目录号码(MSISDN));以及家长控制(例如,以便阻止到被禁止站点的业务)。
当前不可能同时满足这两个需求,因为为了应用上述业务管理动作中的任何动作,运营商可能被理解为需要查验业务,因为业务由应用加密,所以这是不可能的。
本文的实施例的目的是改进通信***中已加密业务的处置。
根据本文实施例的第一方面,该目的通过由第一节点执行的计算机实现的方法来实现。该方法用于处置通信***中的已加密业务。第一节点在通信***中操作。第一节点直接或间接地从在通信***中操作的第二节点接收:i)一个或多个密钥和一个或多个指示。一个或多个密钥用于使得能够由在通信***中操作的第三节点解密已加密业务。业务经由通信***在两个或更多个端点之间路由。业务在两个或更多个端点之间被加密。一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。第一节点然后发起向第三节点发送一个或多个密钥和一个或多个指示,从而使得能够解密已加密业务。第一节点和第三节点不同于两个或更多个端点中的任何端点
根据本文实施例的第二方面,该目的通过由第三节点执行的计算机实现的方法来实现。该方法用于处置通信***中的已加密业务。第三节点在通信***中操作。第三节点从在通信***中操作的第一节点接收一个或多个密钥,以使得能够解密经由通信***在两个或更多个端点之间路由的业务。业务在两个或更多个端点之间被加密。第三节点还接收一个或多个指示,所述一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议。所述第三节点还接收一个或多个第二指示,所述一个或多个第二指示指示所述两个或更多个端点之间的会话,利用所述一个或多个密钥的解密适用于所述会话。第三节点还根据相应协议、利用所接收的一个或多个密钥解密所指示会话的业务,以对业务执行管理操作。第一节点和第三节点不同于两个或更多个端点中的任何端点。
根据本文实施例的第三方面,该目的通过由第二节点执行的计算机实现的方法来实现。该方法用于处置通信***中的已加密业务。第二节点在通信***中操作。第二节点发起向在通信***中操作的第一节点提供一个或多个密钥和一个或多个指示。一个或多个密钥使得能够解密经由通信***在两个或更多个端点之间路由的业务。业务在两个或更多个端点之间被加密。第一节点不同于两个或更多个端点中的任何端点,并且一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。
根据本文实施例的第四方面,该目的通过一种由通信***执行的计算机实现的方法来实现。该方法用于处置通信***中的已加密业务。该方法包括:发起由在通信***中操作的第二节点向在通信***中操作的第一节点提供一个或多个密钥和一个或多个指示。一个或多个密钥使得能够解密经由通信***在两个或更多个端点之间路由的业务。业务在两个或更多个端点之间被加密。第一节点不同于两个或更多个端点中的任何端点。一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。该方法还包括由第一节点直接或间接地从第二节点接收:一个或多个密钥以及一个或多个指示。所述方法还包括发起由所述第一节点向在所述通信***中操作的所述第三节点发送所述一个或多个密钥和所述一个或多个指示,从而使得能够解密所述已加密业务。第一节点和第三节点不同于两个或更多个端点中的任何端点。该方法还包括由第三节点从第一节点接收:a)一个或多个密钥,b)一个或多个指示,以及c)指示两个或更多个端点之间的会话的一个或多个第二指示,利用一个或多个密钥的解密适用于该会话。该方法还包括由第三节点根据相应协议、利用所接收的一个或多个密钥解密所指示会话的业务,以对业务执行管理操作。
根据本文实施例的第五方面,该目的通过用于处置通信***中的已加密业务的第一节点来实现。第一节点被配置为在通信***中操作。第一节点还被配置为直接或间接地从被配置为在通信***中操作的第二节点接收一个或多个密钥和一个或多个指示。一个或多个密钥被配置为使得能够由被配置为在通信***中操作的第三节点解密已加密业务。业务被配置为经由通信***在两个或更多个端点之间路由。业务被配置为在两个或更多个端点之间被加密。一个或多个指示被配置为指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。第一节点还被配置为发起向第三节点发送一个或多个密钥和一个或多个指示,从而使得能够解密已加密业务。第一节点和第三节点被配置为不同于两个或更多个端点中的任何端点。
根据本文实施例的第六方面,该目的由第三节点实现,用于处置通信***中的已加密业务。第三节点被配置为在通信***中操作。第三节点还被配置为从被配置为在通信网络中操作的第一节点接收一个或多个密钥、一个或多个指示以及一个或多个第二指示。一个或多个密钥被配置为使得能够解密被配置为经由通信***在两个或更多个端点之间路由的业务。业务被配置为在两个或更多个端点之间被加密。一个或多个指示被配置为指示被配置为与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。一个或多个第二指示被配置为指示两个或更多个端点之间的会话,利用一个或多个密钥的解密被配置为适用于所述会话。所述第三节点还被配置为根据所述相应协议利用一个或多个密钥解密被配置为要被指示的会话的业务,以对业务执行管理操作,所述一个或多个密钥被配置为要被接收。第一节点和第三节点被配置为不同于两个或更多个端点中的任何端点。
根据本文实施例的第七方面,该目的由第二节点实现,用于处置通信***中的已加密业务。第二节点被配置为在通信***中操作。第二节点还被配置为发起向被配置为在通信***中操作的第一节点提供一个或多个密钥和一个或多个指示。一个或多个密钥被配置为使得能够解密被配置为经由通信***在两个或更多个端点之间路由的业务。业务被配置为在两个或更多个端点之间被加密。第一节点被配置为不同于两个或更多个端点中的任何端点。一个或多个指示被配置为指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。
根据本文实施例的第八方面,该目的由通信***来实现,用于处置通信***中的已加密业务。通信***被配置为发起由被配置为在通信***中操作的第二节点向被配置为在通信***中操作的第一节点提供一个或多个密钥和一个或多个指示。一个或多个密钥被配置为使得能够解密被配置为经由通信***在两个或更多个端点之间路由的业务。业务被配置为在两个或更多个端点之间被加密。第一节点被配置为不同于两个或更多个端点中的任何端点,并且一个或多个指示被配置为指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。所述通信***被配置为由所述第一节点直接或间接地从所述第二节点接收所述一个或多个密钥以及所述一个或多个指示。通信***还被配置为发起由第一节点向第三节点发送一个或多个密钥和一个或多个指示,从而被配置为使得能够解密已加密业务。第一节点和第三节点被配置为不同于两个或更多个端点中的任何端点。所述通信***被配置为由所述第三节点从所述第一节点接收所述一个或多个密钥、所述一个或多个指示、以及所述一个或多个第二指示,并且所述一个或多个第二指示被配置为指示所述两个或更多个端点之间的会话,利用所述一个或多个密钥的解密被配置为适用于所述会话。所述通信***还被配置为:由所述第三节点根据相应协议利用一个或多个密钥解密被配置为要被指示的会话的业务,以对业务执行管理操作,所述一个或多个密钥被配置为要被接收。
根据本文实施例的第九方面,该目的通过一种包括指令的计算机程序来实现,所述指令当在至少一个处理器上执行时使所述至少一个处理器执行由第一节点执行的方法。
根据本文实施例的第十方面,该目的通过一种其上存储有计算机程序的计算机可读存储介质来实现,所述计算机程序包括指令,所述指令当在至少一个处理器上执行时使所述至少一个处理器执行由第一节点执行的方法。
根据本文实施例的第十一方面,该目的通过一种包括指令的计算机程序来实现,所述指令当在至少一个处理器上执行时使所述至少一个处理器执行由第三节点执行的方法。
根据本文实施例的第十二方面,该目的通过一种其上存储有计算机程序的计算机可读存储介质来实现,所述计算机程序包括指令,所述指令当在至少一个处理器上执行时使所述至少一个处理器执行由第三节点执行的方法。
根据本文实施例的第十三方面,该目的通过一种包括指令的计算机程序来实现,所述指令当在至少一个处理器上执行时使所述至少一个处理器执行由第二节点执行的方法。
根据本文实施例的第十四方面,该目的通过一种其上存储有计算机程序的计算机可读存储介质来实现,所述计算机程序包括指令,所述指令当在至少一个处理器上执行时使所述至少一个处理器执行由第二节点执行的方法。
通过第一节点从第二节点接收一个或多个密钥和一个或多个指示,可以使得第一节点能够发起向第三节点发送一个或多个密钥和一个或多个指示,从而使得能够解密已加密业务。因此,可以通过如下方式来使得第一节点111能够提供隐私和安全性:使得能够使用已加密业务,而同时使得能够执行可能要求业务可见性的业务管理动作。
通过接收一个或多个密钥,可以使得第三节点能够解密至少两个端点之间的业务,从而使得第三节点能够执行在通信***中的操作过程期间可能必要的业务管理动作,例如,业务的重定向。
通过解密至少两个端点之间的业务,使得第三节点能够通过如下方式来在通信***中提供隐私和安全性:使得第三节点能够使用已加密业务,而同时使得第三节点能够执行可能要求业务可见性的业务管理动作。
附图说明
根据以下描述,参考附图更详细地描述本文的实施例的示例。
图1是示出5G网络架构的非限制性示例的示意图。
图2是示出根据本文实施例的通信网络的非限制性示例的示意图。
图3是描绘根据本文实施例的第一节点中的方法的实施例的流程图。
图4是描绘根据本文实施例的第三节点中的方法的实施例的流程图。
图5是描绘根据本文实施例的第二节点中的方法的实施例的流程图。
图6是描绘根据本文实施例的通信***中的方法的实施例的流程图。
图7是描绘根据本文实施例、在通信***中的节点之间的信令的非限制性示例的示意图。
图8是描绘图7的延续的示意图。
图9是描绘图8的延续的示意图。
图10是描绘图9的延续的示意图。
图11是描绘图10的延续的示意图。
图12是描绘图11的延续的示意图。
图13是描绘根据本文实施例、在通信***中的节点之间的信令的另一非限制性示例的示意图。
图14是描绘图13的延续的示意图。
图15是示出根据本文实施例的第一节点的两个非限制性示例a)和b)的示意框图。
图16是示出根据本文实施例的第三节点的两个非限制性示例a)和b)的示意框图。
图17是示出根据本文实施例的第二节点的两个非限制性示例a)和b)的示意框图。
图18是示出根据本文实施例的通信***的两个非限制性示例a)和b)的示意性框图。
具体实施方式
本公开的某些方面及其实施例解决了现有方法所标识的这些挑战中的一个或多个,并提供了对所讨论的挑战的解决方案。当应用可以使用对称业务加密时,即,当传送器和接收器可以使用相同的秘密密钥来加密和解密业务时,本文的实施例可以被理解为具体解决该问题。
因此,本文的实施例可以被理解为一般涉及5G网络中具有对称业务加密的业务管理。进一步具体地,本文的实施例可以涉及一种机制,该机制可以基于暴露策略框架的扩展,具体地由内容提供商(例如,AF)向网络运营商(例如,NEF)暴露一个或多个秘密密钥(例如,针对某个应用和某个订户)。基于网络运营商和内容提供商之间的服务级别协议(SLA)的这种协作解决方案可以允许网络运营商检测某个应用的订户业务,并以简单且有效的方式应用对应的业务管理动作,例如,重定向、内容富集、家长控制等,特别是当业务可以借助于对称加密来加密时。
现在将在下文中参考附图更全面地描述实施例,在附图中示出了示例。在该部分中,本文的实施例通过示例性实施例来说明。应当注意,这些实施例不是相互排斥的。不言而喻,可以认为来自一个实施例或示例的组件存在于另一个实施例或示例中,并且对于本领域技术人员来说,如何在其它示例性实施例中使用那些组件将是显而易见的。没有描述所有可能的组合以简化描述。
图2分别在图片(panel)“a”和“b”中描绘了通信***100的两个非限制性示例,其中可以实现本文的实施例。在一些示例实现(诸如在图2a的非限制性示例中描绘的实现)中,通信***100可以是计算机网络。在其它示例实现(诸如在图2b的非限制性示例中描绘的实现)中,通信***100可以在电信***中实现,该电信***有时也称为电信网络、蜂窝无线电***、蜂窝网络或无线通信***。在一些示例中,电信***可以包括网络节点,所述网络节点可以利用服务波束来服务于接收节点,诸如无线装置。
在一些示例中,电信***可以例如是诸如5G***的网络或支持类似功能性的较新***。电信***还可以支持其它技术,诸如长期演进(LTE)网络(例如LTE频分双工(FDD)、LTE时分双工(TDD)、LTE半双工频分双工(HD-FDD)、在未许可频带中操作的LTE)、宽带码分多址(WCDMA)、通用陆地无线电接入(UTRA)TDD、全球移动通信***(GSM)网络、GSM/增强型数据速率GSM演进(EDGE)无线电接入网络(GERAN)网络、超移动宽带(UMB)、EDGE网络、包括无线电接入技术(RAT)(诸如例如多标准无线电(MSR)基站、多RAT基站等)的任何组合的网络、任何第三代合作伙伴计划(3GPP)蜂窝网络、(一个或多个)无线局域网(WLAN)或(一个或多个)WiFi网络、全球微波接入互操作性、基于IEEE 802.15.4的低功率短程网络(诸如低功率无线个域网(6LowPAN)上的IPv6,Zigbee、Z-Wave、低功耗蓝牙(BLE))或任何蜂窝网络或***。电信***可以例如支持低功率广域网(LPWAN)。LPWAN技术可以包括远程物理层协议(LoRa)、Haystack、SigFox、LTE-M和窄带IoT(NB-IoT)。
尽管在本公开中使用了来自长期演进(LTE)/5G的术语来例示本文的实施例,但是这不应被视为将本文的实施例的范围仅限制于前述***。支持类似或等效功能性的其它无线***也可以受益于利用本公开内涵盖的想法。在未来的电信网络中,例如在第六代(6G)中,鉴于未来技术中可能的术语变化,可能需要重新解释本文使用的术语。
通信***100可以包括多个节点,在图2中描绘了其中的第一节点111、第二节点112和第三节点113。第一节点111、第二节点112和第三节点113中的任何节点都可以分别被理解为第一计算机***、第二计算机***和第三计算机***。在一些示例中,第一节点111、第二节点112和第三节点113中的任何节点都可以在云中被实现为例如主机计算机中的独立服务器。在一些示例中,第一节点111、第二节点112和第三节点113中的任何节点都可以是分布式节点或分布式服务器,其中它们各自的功能中的一些功能例如由客户端管理器在本地实现,并且其功能中的一些功能例如由服务器管理器在云中实现。然而,在其它示例中,第一节点111、第二节点112和第三节点113中的任何节点也都可以被实现为服务器场中的处理资源。
在一些实施例中,第一节点111、第二节点112和第三节点113中的任何节点都可以是独立且分离的节点。在其它实施例中,第一节点111、第二节点112和第三节点113中的任何节点都可以位于同一位置或者是同一节点。为了简化附图,图2中未描绘所有可能的组合。
可以理解,通信***100可以包括比图2中表示的节点更多的节点。在一些示例中,通信***100可以包括第四节点114、第五节点115、第六节点116、第七节点117、第八节点118和/或第九节点119中的一个或多个。第四节点114、第五节点115、第六节点116、第七节点117、第八节点118和/或第九节点119中的任何节点都可以被理解为具有与上面针对第一节点111、第二节点112或第三节点113提供的描述等效的描述。
在本文的实施例的一些示例中,第一节点111可以是具有管理或控制策略的能力的节点(诸如5G中的PCF),或者能够在通信***100中执行类似功能的节点。第二节点112可以是具有向通信***100的用户提供内容的能力的节点(诸如5G中的AF),或者是能够在通信***100中执行类似功能的节点或数据库。第三节点113可以是具有如下能力的节点:支持基于一个或多个规则(诸如例如分组查验(例如通过PDR))和不同的实施动作(诸如业务导向、QoS、计费/报告(例如通过FAR、QER和URR))来处置用户平面业务。第三节点113可以是例如5G中的UPF,或者能够在通信***100中执行类似功能的节点。
在通信***100可以包括更多节点的示例中,第四节点114可以是AMF或能够执行等效功能的节点,第五节点115可以是SMF或能够执行等效功能的节点,第六节点116可以是UDR或能够执行等效功能的节点,第七节点117可以是NRF或能够执行等效功能的节点,第八节点118可以是NEF或能够执行等效功能的节点,和/或第九节点119可以是充值服务器或能够执行等效功能的节点。
通信***100还可以包括至少两个端点120、130,即至少一个第一端点120和至少一个第二端点130,可以在它们之间交换已加密通信。
第一端点可以是例如应用服务器。
第二端点130可以是例如装置。该装置还可以被称为例如用户设备(UE)、无线装置、移动终端、无线终端和/或移动站、移动电话、蜂窝电话或具有无线能力的膝上型计算机或客户驻地设备(CPE),仅举一些另外的示例。本上下文中的装置可以是例如便携式、口袋可存储、手持式、计算机包括的或车载的移动装置,使得其能够经由RAN与另一实体传递语音和/或数据,另一实体诸如是服务器、膝上型计算机、个人数字助理(PDA)或平板计算机(有时称为具有无线能力的平板计算机或简称为平板计算机)、机器到机器(M2M)装置、配备有无线接口的装置(诸如打印机或文件存储装置)、调制解调器、膝上型嵌入式设备(LEE)、膝上型安装设备(LME)、USB加密狗、CPE或能够通过通信***100中的无线电链路通信的任何其它无线电网络单元。该装置可以是无线的,即,可以使得其能够在通信***100中进行无线通信,并且在一些特定示例中,可能够支持波束成形传输。可以例如在两个装置之间、在装置与无线电网络节点之间和/或在装置与服务器之间执行通信。通信可以例如经由分别包括在通信***100内的可能的一个或多个核心网络以及RAN来执行。在一些特定实施例中,该装置可以是IoT装置,例如,NB IoT装置。
通信***100可以包括一个或多个无线电网络节点,在图2b中描绘了其中的无线电网络节点140。无线电网络节点140通常可以是基站或传输点(TP)或能够在通信***100中服务于无线装置或机器类型节点的任何其它网络单元。无线电网络节点140可以是例如5GgNB、4G eNB或备选5G无线电接入技术(例如固定无线电接入技术或WiFi)中的无线电网络节点。无线电网络节点140基于传输功率并且因此也基于覆盖大小可以是例如广域基站、中程基站、局域基站和家庭基站。无线电网络节点140可以是固定中继节点(staitonaryrelay node)或移动中继节点。无线电网络节点140可以支持一种或若干种通信技术,并且其名称可以取决于所使用的技术和术语。无线电网络节点140可以直接连接到一个或多个网络和/或一个或多个核心网络。
通信***100覆盖可以被划分为小区区域的地理区域,其中可以由无线电网络节点服务于每个小区区域,不过一个无线电网络节点可以服务于一个或若干个小区。
第一节点111可以通过第一链路151(例如,无线电链路或有线链路)与第二节点112通信。第一节点111可以通过第二链路152(例如,无线电链路或有线链路)与第三节点113通信。第三节点113可以通过第三链路153(例如,无线电链路或有线链路)与第二端点130通信。一个或多个第一端点120中的任何端点都可以通过相应的第四链路154(例如,无线电链路或有线链路)与第二节点112通信。无线网络节点140可以通过第五链路155(例如,无线电链路)与第二端点130通信。第一链路151、第二链路152、第三链路153、第四链路154和第五链路155中的任何链路都可以是直接链路,或者它可以经由通信***100中的一个或多个计算机***或一个或多个核心网络行进,或者它可以经由可选的中间网络行进。中间网络可以是如下项中的一个或如下项中多于一项的组合:公共网络、私有网络或托管网络;中间网络(如果有的话)可以是图2中未示出的骨干网络或互联网。
通常,本文中“第一”、“第二”、“第三”、“第四”和/或“第五”的使用可以被理解为指代不同元件或实体的任意方式,并且可以被理解为不赋予这些形容词修饰的名词累积或时间顺序字符。
现在将参考图3中描绘的流程图描述由第一节点111执行的计算机实现的方法的实施例。该方法可以被理解为用于处置通信***100中的已加密业务。第一节点111在通信***100中操作。
该方法可以包括下面描述的动作。在一些实施例中,可以执行所有动作。在一些实施例中,可以执行其中一些动作。在图3中,用虚线框指示可选动作。在适用的情况下,可以组合一个或多个实施例。没有描述所有可能的组合以简化描述。应当注意,本文的示例不是相互排斥的。不言而喻,可以认为来自一个示例或实施例的组件存在于另一个示例或实施例中,并且对于本领域技术人员来说,可如何在其它示例或实施例中使用这些组件将是显而易见的。
在图3中,用虚线框表示可选动作。
动作301
在通信***100的操作过程期间,第二端点130(例如,装置)可以发起应用(诸如例如,example.com)的使用。为了做到这一点,装置可以联系第四节点114,并且触发数据会话(例如,协议数据单元(PDU)会话)的建立。
作为数据会话建立的一部分,第四节点114(例如AMF)可能需要找出什么规则可以应用于第二端点130的用户以管理其在通信***100中的数据会话。然后,第四节点114可以或直接或间接地(例如,经由第五节点115)联系第一节点111,以获得关于哪些规则可以应用于第二端点130的信息。如前所述,第一节点111可以是具有管理或控制策略的能力的节点,诸如5G中的PCF。然后,第一节点111还可以尝试找出哪些规则可以应用于第二端点130并且联系第六节点116(例如,UDR)以检索用于第二端点130的PDU会话的策略数据。
在该动作301中,第一节点111可以接收第一指示。第一指示可以指示第二节点112可以具有提供一个或多个密钥以解密业务的能力。一个或多个密钥要使得能够由在通信***100中操作的第三节点113解密已加密业务。业务经由通信***100在两个或更多个端点130、120之间路由。业务在两个或更多个端点130、120之间被加密。第二节点112可以是具有如下能力的节点:向通信***100的用户提供内容,所述节点诸如是5G中的AF。
该动作301中的接收不需要是直接从第二节点112接收,而是经由在通信***100中操作的一个或多个其它节点。例如,第一指示可以是可以从第六节点116接收的Nudr_Query响应消息。
在一些实施例中,第一节点111可以是PCF,第二节点112可以是AF,并且第三节点113可以是UPF或在通信***100中操作的另一节点。
在一些实施例中,在该动作301中接收第一指示还可以包括接收一个或多个第二指示,所述一个或多个第二指示指示两个或更多个端点130、120之间的会话,利用一个或多个密钥的解密可适用于该会话。会话可以是PDU会话。例如,业务可以包括多个流。一个或多个第二指示可以针对所述多个流中的每个流指示一个或多个密钥中可以使得能够进行解密的相应密钥。
一个或多个第二指示可以指示以下两个选项中的至少一个选项。根据第一选项,一个或多个第二指示可以指示第二节点112可以针对其支持所述能力的一个或多个应用。例如,一个应用可以由App-ID指示,多个应用可以被指示为第二节点112可能能够向其提供事件的应用列表,例如App-ID列表,应用列表包括例如相应应用(例如App-ID(诸如example.com))的标识符。
根据第二选项,一个或多个第二指示可以指示两个或更多个端点130、120中的至少一个端点。这种指示的示例可以是第二节点112能够向其提供事件的用户的指示,例如作为用户列表,用户的指示可以包括例如UE-ID或UE-ID列表、UE-Group-ID或UE-Group-ID列表、AnyUE。包括该参数可以是可选的。默认情况下,它可以被设置为AnyUE。
在其中第一指示可以是Nudr_Query响应消息的特定非限制性示例中,第一指示可以包括指示第二端点130的用户的订户简档。订户简档可以具体地包括对能力的支持。该能力可以被指示为第二节点112的新事件,例如,针对某个应用AF Event-ID=SecretKey,其可以由应用标识符、App-ID(诸如example.com)来标识。
在一些实施例中,可以针对由第一节点111指示的两个或更多个端点130中的至少一个端点接收第一指示。例如,可以响应于由第一节点111发送的查询(例如,Nudr_Query请求)从第六节点116接收第一指示,第一节点111可能已经识别出第二端点130的用户,例如通过包括其UE-ID。
通过在该动作301中接收第一指示,可以使得第一节点111能够知道在第一节点111可以检测到业务可能需要被解密的情况下,例如,通过检测到已经满足一个或多个标准来执行诸如重定向业务的某个业务管理动作,第一节点111可以向第二节点112请求解密业务可能需要的一个或多个密钥。
动作302
在一些实施例中,在该动作302中,第一节点111可以确定解密业务的需要。
确定可以被理解为例如计算、决定或检测。
第一节点111可以通过控制(例如,当由在通信***100中操作的另一节点提示时)用于为第二端点130建立的会话的一个或多个策略来确定解密业务的需要。一个或多个策略可以包括前面提到的用于应用一个或多个规则的一个或多个标准,并且第一节点111可以控制在建立的会话可能正在运行时是否已经满足一个或多个标准。例如,第一节点111可以从例如第五节点115接收消息,第五节点115可以向第一节点111报告已经接收到特定量的业务,并且第一节点111然后可以通过将所接收的(例如,累积的)量与阈值(例如,每月1GB)进行比较来检测第二端点130已经用完用于特定应用(例如,App-ID=example.com)的配额。
因此,该动作302中的确定可以基于策略或规则,例如PCC规则。例如,策略或规则可以确立:如果对于某个应用(例如App-ID=example.com)可能超过对应于第二端点130的某个配额,则可能需要执行实施策略或规则的某个动作,诸如将第二端点130和第一端点120之间的业务重定向到另一节点以替换第一端点120,诸如重定向到第九节点119(充值服务器)。根据策略或规则,实施动作可要求解密业务,这可以导致第一节点111确定解密所述业务的需要。
第一节点111可以基于从在通信***100中操作的另一节点接收的请求来执行该动作302。例如,第一节点111可能已经基于Npcf_SMPolicyControl_Create请求消息监测一个或多个标准,以检索针对第二端点130建立的会话(例如,PDU会话)的会话管理(SM)策略,可能已经从第五节点115(例如,SMF)接收会话管理(SM)策略。
通过在该动作302中确定解密业务的需要,然后可以提示第一节点111发起获取一个或多个密钥,使得第一节点111可以接收它们并最终将它们发送到第三节点113,可使得第三节点113能够解密至少两个端点120、130之间的业务。
动作303
在该动作303中,第一节点111可以发起从第二节点112获取一个或多个密钥。在该动作303中发起获取可以基于在动作302中确定需要解密。也就是说,第一节点111可以在其可能已经确定解密业务的需要时发起获取,并且可以例如以其它方式抑制获取一个或多个密钥。
该动作303中获取的发起可以基于所接收的第一指示。也就是说,第一节点111可以在其可以知道第二节点112可以具有提供一个或多个密钥以解密业务的能力时发起获取,并且可以例如以其它方式抑制获取一个或多个密钥。
发起可以被理解为触发、启动或获取。
第一节点111发起获取可以被理解为意味着第一节点111可以执行可以最终导致从第二节点112获取一个或多个密钥的动作。也就是说,获取可以经由第一节点111和第二节点112之间的一个或多个节点来实现。例如,第一节点111可以针对事件的指示(例如,Event-ID=SecretKey)以及针对所涉及应用的指示(例如,针对App-ID=example.com)触发NEF/AF发现过程。根据该示例,第一节点111可以通过第八节点118(例如,NEF)相对于所指示的服务(即,Naf_EventExposure服务)的Event-ID=SecretKey来触发AF发现。为了做到这一点,第一节点111可以首先向第七节点117触发Nnrf_NFDiscovery消息(例如,NRF),以便知道第八节点118的地址,这可以有助于从第二节点112获取用于感兴趣的应用的一个或多个密钥。这可以通过在消息中包括以下参数来实现:网络功能的指示(例如nfType=NEF),服务的指示(例如nfService=Naf_EventExposure),以及所请求的信息的指示,例如nefInfo(Event-Id=SecretKey,App-ID=example.com)。一旦第七节点117可以向第一节点111返回NEF实例,则第一节点111可以通过向第八节点118发送Nnef请求消息来触发通过第八节点118对用于Naf_EventExposure服务的Event-ID=SecretKey的请求。请求消息可以包括以下参数中的一个或多个:所请求的服务的指示(例如Naf_EventExposure服务),所请求的事件的指示(例如Event-ID=SecretKey),请求所涉及的第二端点130的用户的指示(例如UE-ID),以及应用的指示(例如App-ID=example.com)。
通过在该动作303中发起获取一个或多个密钥,然后可以使得第一节点111能够在接收到一个或多个密钥之后将一个或多个密钥转发到第三节点113,从而使第三节点113能够解密业务并执行管理动作,一旦可以使得第三节点113能够访问业务,第三节点113就可能需要执行该管理动作。
动作304
在该动作304中,第一节点111直接或间接地从在通信***100中操作的第二节点112接收一个或多个密钥,以使得能够由在通信***100中操作的第三节点113解密已加密业务。如前所述,业务经由通信***100在两个或更多个端点130、120之间路由。业务在两个或更多个端点130、120之间被加密。作为示例,可以接收一个或多个密钥来作为参数“SecretKey”。针对所涉及应用内的已加密流(例如,由App-ID指示)以及与作为装置的第二端点130相对应的UE-ID,该SecretKey参数可以标识一个或多个秘密密钥中可能已经用于对称加密的每个秘密密钥,即,用于业务加密和解密两者的秘密密钥。
可以接收到多于一个密钥,因为如前所解释,在一些实施例中,业务可以包括多个流,并且对于多个流中的每个流,可以存在一个或多个密钥中可以使得能够解密相应流的相应密钥。可以理解,每个流的每个密钥还可能需要相应协议与一个或多个密钥一起使用,以使得能够解密例如每个相应流中的已加密业务。
第一节点111间接地从第二节点112接收一个或多个密钥可以被理解为意味着一个或多个密钥可以经由在通信***100中操作的一个或多个其它节点(诸如例如第八节点118(例如NEF))接收。第八节点118可以是可能已经由第七节点117指示的节点,如动作303中所述。
第一节点111还接收一个或多个指示,其在本文中可以被称为一个或多个其它指示。即,除了第一指示和一个或多个第二指示之外的一个或多个指示。一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。作为示例,可以接收一个或多个指示中的一个来作为另一参数“EncryptionProtocolInfo”。该EncryptionProtocolInfo参数可以包括与已加密流相关的信息(例如5元组),以及用于例如由App-ID指示的相关应用并且用于例如由UE-ID指示的第二端点130的加密协议。相应协议可以是例如TLS1.3、QUIC加密等。
可以接收一个或多个密钥和一个或多个指示中的至少一个指示(例如EncryptionProtocolInfo),来例如作为一个或多个指示(例如列表(诸如“(秘密密钥,EncryptionProtocolInfo)列表”))中的另一指示。换句话说,可以一起获得一个或多个密钥和一个或多个指示作为组合指示、按流获得要使用的协议和密钥列表,例如作为“(秘密密钥,EncryptionProtocolInfo)列表”参数。该组合指示在本文中可以被称为“第四指示”。
可以理解,响应于第一节点111已经在动作303中发起对一个或多个密钥的获取,第一节点111可以在该动作304中接收一个或多个密钥和一个或多个指示。
通过第一节点111在该动作304中接收一个或多个密钥和一个或多个指示,然后可以使得第一节点111能够将它们发送到第三节点113,从而使得能够由第三节点113解密已加密业务。
动作305
在该动作305中,第一节点111发起向第三节点113发送一个或多个密钥和一个或多个指示,从而使得能够解密已加密业务。第一节点111和第三节点113不同于两个或更多个端点130、120中的任何端点。
第一节点111发起发送可以被理解为意味着第一节点111可以执行可以最终导致一个或多个密钥和一个或多个指示最终到达第三节点113的动作。也就是说,发送可以经由第一节点111和第二节点112之间的一个或多个节点来实现。
在一些实施例中,发起305发送一个或多个密钥和一个或多个指示还可以包括发起发送305指示两个或更多个端点130、120之间的会话的一个或多个第二指示,利用一个或多个密钥的解密可适用于该会话。
例如,在该动作305中,在可能需要针对App-ID=example.com重定向的示例中,第一节点111可以触发到第五节点115(例如,SMF)的Npcf_SMPolicyControl_Update请求消息,该消息包括具有以下参数的PCC规则:App-ID=example.com,实施动作=重定向,秘密密钥和EncryptionProtocolInfo。
在一些实施例中,可以应用以下选项中的至少一个。根据第一选项,业务可以属于两个或更多个端点130、120之间建立的会话,并且一个或多个密钥可以被发送并且在建立的会话期间有效。
根据一些实施例,业务可以包括多个流,并且一个或多个指示还可以针对多个流中的每个流指示一个或多个密钥中可以使得能够进行解密的相应密钥。在一些示例中,可以例如经由“SecretKey”参数从相应密钥中隐式地获得一个或多个指示中指示流与该流的相应密钥之间的对应关系的指示。
通过第一节点111在该动作305中发起向第三节点113发送一个或多个密钥和一个或多个指示,并且使得能够解密已加密业务,然后可以通过如下方式使得第一节点111能够提供隐私和安全性:使得能够使用已加密业务,而同时使得能够执行可能要求业务可见性的业务管理动作。
现在将参考图4中描绘的流程图描述由第三节点113执行的计算机实现的方法的实施例。该方法可以被理解为用于处置通信***100中的已加密业务。第三节点113在通信***100中操作。
该方法包括以下动作。在适用的情况下,可以组合一个或多个实施例。没有描述所有可能的组合以简化描述。应当注意,本文的示例不是相互排斥的。不言而喻,可以认为来自一个示例或实施例的组件存在于另一个示例或实施例中,并且对于本领域技术人员来说,可如何在其它示例中使用这些组件将是显而易见的。
以下内容中的一些内容的详细描述对应于上面提供的、与针对第一节点111描述的动作相关的相同参考,并且因此这里将不再重复以简化描述。例如,第一节点111可以是PCF,第二节点112可以是AF,并且第三节点113可以是UPF。
动作401
在该动作401中,第三节点113从在通信***100中操作的第一节点111接收一个或多个密钥,以使得能够解密经由通信***100在两个或更多个端点130、120之间路由的业务。业务在两个或更多个端点130、120之间被加密。第三节点113还接收一个或多个指示,所述一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。第三节点113还接收一个或多个第二指示,所述一个或多个第二指示指示两个或更多个端点130、120之间的会话,利用一个或多个密钥的解密适用于该会话。
该动作401中的接收可以是间接的。例如,可以经由第五节点115(例如,SMF)从第一节点111接收一个或多个密钥和一个或多个指示。
该接收可以是例如在PFCP会话修改请求中。
在一些实施例中,可以应用以下选项中的至少一个。根据第一选项,业务属于在两个或更多个端点130、120之间建立的会话,并且一个或多个密钥可以被接收并且在建立的会话期间有效。
根据第二选项,业务可以包括多个流,并且一个或多个指示还可以针对多个流中的每个流指示一个或多个密钥中可以使得能够进行解密的相应密钥。
一个或多个第二指示可以指示以下两个选项中的至少一个选项。根据第一选项,一个或多个第二指示可以指示一个或多个应用,利用一个或多个密钥的解密可适用于所述一个或多个应用。例如,一个应用可以由App-ID指示,多个应用可以被指示为第二节点112可能够向其提供事件的应用列表(例如App-ID列表),所述应用列表包括例如相应应用(例如App-ID(诸如example.com))的标识符。
根据第二选项,一个或多个第二指示可以指示两个或更多个端点130、120中的至少一个端点。这种指示的示例可以是第二节点112能够向其提供事件的用户的指示(例如作为用户列表),用户的指示可以包括例如UE-ID或UE-ID列表、UE-Group-ID或UE-Group-ID列表、AnyUE。包括该参数可以是可选的。默认情况下,它可以被设置为AnyUE。
在特定示例中,可以在PFCP会话修改请求消息中接收一个或多个密钥和一个或多个指示,该PFCP会话修改请求消息包括以下参数:可能涉及的策略检测规则的指示(例如PDR)、所涉及应用的指示(例如App-ID=example.com)、所涉及FAR的指示(例如重定向动作)、第一指示(例如作为秘密密钥)以及相应协议的指示(例如EncryptionProtocolInfo)。
通过在该动作401中接收一个或多个密钥,可以使得第三节点113能够解密至少两个端点120、130之间的业务,从而使得能够执行可能需要的业务管理动作,例如业务的重定向。
动作402
在该动作402中,第三节点113根据相应协议利用所接收的一个或多个密钥解密所指示会话的业务,以对业务执行管理操作。第一节点111和第三节点113不同于两个或更多个端点130、120中的任何端点。
对业务的管理操作可以是业务的重定向、HTTP报头富集(HTTP headerenrichment)等。
通过解密至少两个端点120、130之间的业务,使得第三节点113能够在通信***100中通过如下方式来提供隐私和安全性:使得能够使用已加密业务,而同时使得能够执行可能要求业务可见性的业务管理动作。
现在将参考图5中描绘的流程图描述由第二节点112执行的计算机实现的方法的实施例。该方法可以被理解为用于处置通信***100中的已加密业务。第二节点112在通信***100中操作。
该方法可以包括以下动作中的一个或多个。本文包括若干实施例。在一些实施例中,该方法可以包括一个动作。在其它实施例中,该方法可以包括两个或更多个动作。在适用的情况下,可以组合一个或多个实施例。没有描述所有可能的组合以简化描述。应当注意,本文的示例不是相互排斥的。不言而喻,可以认为来自一个示例的组件存在于另一示例中,并且对于本领域技术人员来说,如何在其它示例中使用这些组件将是显而易见的。在图5中,用虚线描绘了可选动作。
以下内容中的一些内容的详细描述对应于上面提供的与针对第一节点111描述的动作相关的相同参考,并且因此这里将不再重复以简化描述。例如,第一节点111可以是PCF,并且第二节点112可以是AF。
动作501
在该动作501中,第二节点112可以发起向第一节点111发送第一指示。第一指示可以指示第二节点112具有提供一个或多个密钥以解密业务的能力。
第二节点112可以发起向第一节点111发送第一指示可以被理解为意味着第二节点112可以经由一个或多个其它节点(诸如例如,第八节点118(例如,网络运营商的NEF))、即不是直接地向第一节点111发送第一指示。换句话说,第二节点112可以通过向第一节点111发送第一指示来发起向第一节点111发送第一指示,第一指示最终可以由第一节点111接收。
在一些实施例中,在该动作501中发起第一指示的发送还可以包括发起发送一个或多个第二指示,所述一个或多个第二指示指示两个或更多个端点130、120之间的会话,利用一个或多个密钥的解密可适用于该会话。
一个或多个第二指示可以指示以下两个选项中的至少一个选项。根据第一选项,一个或多个第二指示可以指示第二节点112可以对其支持解密的一个或多个应用。根据第二选项,一个或多个第二指示可以指示两个或更多个端点130、120中的至少一个端点。
在特定的非限制性示例中,根据该动作501,第二节点112(内容提供商)可以通过作为Naf_EventExposure服务的一部分发送第一指示来触发到第八节点118中的加载(onboarding)过程,第一指示指示对先前描述的新事件(其可以被指示为Event-ID=SecretKey)的支持。第二节点112可以通过发送加载请求消息来触发加载过程。除了对第二节点112支持的事件的指示(例如,可以指示第二节点112支持的事件的Event-ID=SecretKey)之外,加载请求消息还可以包括一个或多个第二指示。一个或多个第二指示可以被指示为以下参数中的一个或多个:a)内容提供商(即第二节点112,例如AF)的指示;该指示可以是例如AF-ID,b)由第二节点112支持的服务的指示,例如Service=Naf_EventExposure,c)第二节点112可以向其提供事件的应用的指示;该指示可以作为列表来提供,例如App-ID的列表,其可以利用这些应用的相应标识符(例如App-ID(诸如example.com))来标识各个应用;以及d)第二节点112可能够向其提供事件的用户的指示;该指示可以作为列表来提供,例如用户列表,其可以利用用户的相应标识符来标识各个用户,例如,例如UE-ID或UE-ID列表、UE-Group-ID或UE-Group-ID列表、AnyUE。该参数可以被理解为是可选的。默认情况下,它可以被设置为AnyUE。
通过在该动作501中发起发送第一指示,第二节点112可以通告其能够向通信***100中的另一节点(诸如第一节点111)提供一个或多个密钥的能力,从而最终使得能够解密一个或多个端点120、130之间的业务。该动作501的具体益处可以被理解为对应于已经针对动作305描述的那些益处。
动作502
在该动作502中,第二节点112可以接收用于向第一节点111提供一个或多个密钥的第三指示。第二节点112还可以接收要使得能够对其解密的、两个或更多个端点130、120之间的会话的一个或多个第二指示。
可以从通信***100中不同于第一节点111的另一节点(例如,从第八节点118,NEF)接收第三指示。
例如,第三指示可以是从第八节点118接收的Naf请求消息或者可以包括在从第八节点118接收的Naf请求消息中,从而触发对Naf_EventExposure服务的Event-ID=SecretKey的请求。请求消息可以包括以下参数中的一个或多个:Naf_EventExposureservice,Event-ID=SecretKey,UE-ID和App-ID=example.com。
在一些实施例中,所接收的第三指示可以基于所发送的第一指示。也就是说,向第一节点111提供一个或多个密钥的请求可以基于第二节点112先前已经在动作501中通告其可能够提供一个或多个密钥。
动作503
在该动作503中,第二节点112发起向在通信***100中操作的第一节点111提供一个或多个密钥和一个或多个指示。一个或多个密钥使得能够解密经由通信***100在两个或更多个端点130、120之间路由的业务。业务在两个或更多个端点130、120之间被加密。第一节点111不同于两个或更多个端点130、120中的任何端点。一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。
第二节点112可以发起向第一节点111提供一个或多个密钥和一个或多个指示可以被理解为意味着第二节点112可以经由一个或多个其它节点(诸如例如,第八节点118(例如,网络运营商的NEF))、即不直接向第一节点111发送一个或多个密钥和一个或多个指示。换句话说,第二节点112可以通过向第一节点111发送一个或多个密钥和一个或多个指示来发起向第一节点111发送一个或多个密钥和一个或多个指示。
在一些实施例中,在该动作503中发起提供可以基于所接收的第三指示和一个或多个第二指示。
在一些实施例中,可以应用以下项中的至少一项。在一些实施例中,业务可以属于两个或更多个端点130、120之间建立的会话,并且一个或多个密钥可以被发送并且在建立的会话期间有效。在一些实施例中,业务可以包括多个流,并且一个或多个指示还可以针对多个流中的每个流指示一个或多个密钥中可以使得能够进行解密的相应密钥。
如前所述,可以一起获得一个或多个密钥和一个或多个指示来作为组合指示、获得要按流使用的协议和密钥列表(例如作为“(秘密密钥,EncryptionProtocolInfo)列表”参数,在本文中也称为“第四指示”)。在特定示例中,一个或多个密钥可以各自由“SecretKey”参数指示,例如,针对App-ID内的已加密流和UE-ID,“SecretKey”参数可以标识用于对称加密的秘密密钥,即,用于业务加密和解密两者的秘密密钥。一个或多个指示可以是一个或多个“EncryptionProtocolInfo”,一个或多个“EncryptionProtocolInfo”可以各自包括与已加密流相关的信息(例如5元组),以及用于App-ID和用于UE-ID的加密协议(例如,TLS1.3、QUIC加密等)。
在一些示例中,可以例如经由“SecretKey”参数从相应密钥中隐式地获得一个或多个指示中指示流与该流的相应密钥之间的对应关系的指示。
该动作503的优点可以被理解为对应于针对动作304描述的那些优点。
现在将参考图6中描绘的流程图描述由通信***100执行的计算机实现的方法的实施例。该方法可以被理解为用于处置通信***100中的已加密业务。
该方法可以包括下面描述的动作。在一些实施例中,可以执行其中一些动作。在一些实施例中,可以执行所有动作。在图6中,用虚线框指示可选动作。在适用的情况下,可以组合一个或多个实施例。没有描述所有可能的组合以简化描述。应当注意,本文的示例不是相互排斥的。不言而喻,可以认为来自一个示例的组件存在于另一示例中,并且对于本领域技术人员来说,可如何在其它示例中使用这些组件将是显而易见的。
图6中描绘的动作的详细描述可以被理解为对应于在描述由第一节点111、第二节点112和第三节点113中的每个节点执行的动作时已经提供的动作,并且因此这里将不再重复。前面已经描述的细节和/或实施例中的任何方面都可以被理解为同样适用于下面的描述。
动作601
对应于动作501的该动作601包括由第二节点112向第一节点111发起601第一指示。第一指示可以指示第二节点112可以具有提供一个或多个密钥以解密业务的能力。
动作602
对应于动作301的该动作602包括由第一节点111接收第一指示,第一指示指示第二节点112可以具有提供一个或多个密钥以解密业务的能力。
动作603
在一些实施例中,对应于动作302的该动作603包括由第一节点111确定解密业务的需要。
动作604
在一些实施例中,对应于动作303的该动作604可以包括由第一节点111发起从第二节点112获取一个或多个密钥。在该动作604、303中发起获取可以基于所确定的解密需要。
在获取的该动作604、303中的发起可以基于所接收的第一指示。
动作605
在一些实施例中,在对应于动作502的该动作605中可以包括由第二节点112接收a)向第一节点111提供一个或多个密钥的第三指示,以及b)要使得能够对其解密的、两个或更多个端点130、120之间的会话的一个或多个第二指示。所接收的第三指示可以基于发送的第一指示。
动作606
对应于动作503的该动作606包括:发起由在通信***100中操作的第二节点112向在通信***100中操作的第一节点111提供一个或多个密钥和一个或多个指示。一个或多个密钥使得能够解密经由通信***100在两个或更多个端点130、120之间路由的业务。业务在两个或更多个端点130、120之间被加密。第一节点111不同于两个或更多个端点130、120中的任何端点。一个或多个指示指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。
发起606、503提供可以基于所接收的第三指示和一个或多个第二指示。
动作607
在一些实施例中,该方法在对应于动作304的该动作607中包括:由第一节点111直接或间接地从第二节点112接收:i)一个或多个密钥,以及ii)一个或多个指示。
动作608
对应于动作305的该动作608包括:发起由第一节点111向在通信***100中操作的第三节点113发送一个或多个密钥和一个或多个指示,从而使得能够解密已加密业务。第一节点111和第三节点113不同于两个或更多个端点130、120中的任何端点。
动作609
在一些实施例中,该方法可以在对应于动作401的该动作609中包括:由第三节点113从第一节点111接收:a)一个或多个密钥,b)一个或多个指示,以及c)指示两个或更多个端点130、120之间的会话的一个或多个第二指示,利用一个或多个密钥的解密适用于该会话。
动作610
对应于动作402的该动作610包括由第三节点113根据相应协议利用所接收的一个或多个密钥解密所指示会话的业务,以对业务执行管理操作。
本文描述的方法可以被理解为基于暴露策略框架的扩展,具体地由内容提供商(即,第二节点112(例如,AF))经由例如第八节点118(例如,NEF)向网络运营商暴露例如用于特定应用和特定订户的秘密密钥。可以基于网络运营商和内容提供商之间的SLA协议的这种协作解决方案可以被理解为允许网络运营商检测特定应用的订户业务,并以简单且有效的方式应用对应的业务管理动作,诸如重定向、内容富集、家长控制等,特别是当业务可以借助于对称加密进行加密时。现在将在接下来的两个图中利用业务管理动作的两个特定非限制性示例进一步详细描述刚刚描述为由第一节点111、第二节点112和第三节点113实现的方法。下面示出了两种不同的使用情况:图7-12中描绘的HTTP重定向,以及图13-14中描绘的HTTP报头富集。可以理解,这些仅仅是两个示例使用情况,因为所提出的方法可以被理解为允许支持其它业务管理动作,并且还可以允许检测加密的应用业务。
图7是描绘本文实施例的第一非限制性示例的信令图,所述信令图示出HTTP重定向使用情况。特别地,图7中所示的序列图示出了当某个应用(例如,example.com)的配额已经被消耗时并且当应用基于HTTPS/TLS或QUIC传输时触发的业务重定向的示例。下面详细描述该示例的步骤。在该非限制性示例中,第一节点111是PCF,第二节点112是AF,第三节点113是UPF,第一端点120是应用服务器(App服务器),并且第二端点130是UE。在该示例中,在步骤1中,根据动作501,第二节点112(内容提供商)通过发送加载请求消息、通过作为Naf_EventExposure服务的一部分发送第一指示来触发到第八节点118(这里是网络运营商的NEF)中的加载过程,第一指示指示对新事件(被指示为Event-ID=SecretKey)的支持。这里的加载请求消息包括以下参数:a)AF-ID,其标识内容提供商,即第二节点112,例如AF,b)Service=Naf_EventExposure,其指示第二节点112支持的服务,c)Event-ID=SecretKey,其指示第二节点112支持的事件,d)App-ID列表,其确定第二节点112可以向其提供事件的App-ID,例如example.com,以及e)用户列表,其指示第二节点112可能够向其提供事件的用户列表,例如UE-ID或UE-ID列表、UE-Group-ID或UE-Group-ID列表、AnyUE。该参数是可选的。默认情况下,它可以被设置为AnyUE。在步骤2处,第八节点118确认来自第二节点112的加载请求。在步骤3和4处,第八节点118代表第二节点112在第七节点117(即NRF)中作为Naf_EventExposure服务的一部分注册Event-ID=SecretKey。为了做到这一点,第八节点118向第七节点117触发包括以下参数的Nnrf_NFRegister消息:nfType=NEF,以及nfService=Naf_EventExposure,nefInfo(Event-ID=SecretKey,App-ID列表(example.com))。在第二节点112被信任的情况下,第二节点112可以直接在第七节点117中作为Naf_EventExposure服务的一部分注册Event-ID=SecretKey。在步骤5处,第七节点117确认来自第八节点118的Nnrf_NFRegister消息。在步骤6和7处,第八节点118在第六节点116(例如UDR)中存储对新事件(即Event-ID=SecretKey)的支持,用于上面指示的(一个或多个)App-ID和(一个或多个)用户。这可以存储为应用数据(例如,用于(一个或多个)App-ID)或者存储为订户简档的一部分(例如,用于(一个或多个)UE-ID)。为了做到这一点,提出第八节点118触发包括以下参数的Nudr_Store请求消息:App-ID列表,Naf_EventExposure,Event-ID=SecretKey,用户列表(例如UE-ID、UE-Group-ID、AnyUE)。在步骤8处,第六节点116确认来自第八节点118的Nnrf_NFRegister消息。
图8是图7中描绘的过程的延续。在步骤9处,第二端点130(UE)借助于向第四节点114(例如AMF)发送PDU会话建立请求来触发PDU会话建立。可以注意到,图9中的序列图未包括PDU会话建立过程中涉及的所有信令消息。在随后的步骤中描述用于本文实施例的示例的相关信令消息。在步骤10处,第四节点114选择第五节点115(例如,SMF)来管理PDU会话,并触发Nsmf PDU会话创建消息。在步骤11处,第五节点115选择第一节点111作为PCF,并且触发Npcf_SMPolicyControl_Create请求消息以检索用于用户PDU会话的会话管理(SM)策略。在步骤12处,第一节点111触发Nudr_Query请求消息以检索用于该第二端点130(即,例如UE的用户)的PDU会话的策略数据。在步骤13处,第六节点116(UDR)利用Nudr_Query响应消息进行应答,Nudr_Query响应消息包括订户简档,并且具体地包括第一指示,第一指示指示针对App-ID example.com对AF Event-ID=SecretKey的支持。消息由第一节点111根据动作301接收。在步骤14处,第一节点111存储针对App-ID example.com对AF Event-ID=SecretKey的支持。在这些步骤之后,可以继续为第二端点130的用户建立PDU会话。在步骤15和16处,第二端点130可以通过TLS或QUIC启动应用,这里是example.com。
图9是图8中描绘的过程的延续。在步骤17和18处,第三节点113(例如,UPF)通过将上行链路(UL)分组检测规则(PDR)与PDI App-ID=example.com匹配来检测应用业务,并存储应用的累积量。在步骤19至21处,当达到使用报告规则(URR)阈值(例如,周期性阈值或量阈值)时,第三节点113在PFCP会话报告请求消息中触发包括应用的量的URR报告。第五节点115利用PFCP会话报告响应消息进行应答。在步骤22和23处,第五节点115在Npcf_SMPolicyControl_Update请求消息中向第一节点111报告应用量。第一节点111利用Npcf_SMPolicyControl_Update响应消息应答第五节点115。
图10是图9中描绘的过程的延续。在步骤24处,与动作302一致,第一节点111检测到用户已经用完App-ID=example.com的配额,并且针对App-ID=example.com触发用于Event-ID=SecretKey的NEF/AF发现过程。在步骤25处,根据动作303,第一节点111通过第八节点118相对于用于Naf_EventExposure服务的Event-ID=SecretKey触发AF发现。为了做到这一点,第一节点111通过包括以下参数来向第七节点117触发Nnrf_NFDiscovery消息:nfType=NEF,nfService=Naf_EventExposure和nefInfo(Event-Id=SecretKey,App-ID=example.com)。在步骤26处,第七节点117将NEF实例返回到第一节点111。在步骤27处,第一节点111通过发送朝向第八节点118并且包括以下参数的Nnef请求消息来触发通过第八节点118对Naf_EventExposure服务的Event-ID=SecretKey的请求:Naf_EventExposure服务,Event-ID=SecretKey,UE-ID,以及App-ID=example.com。在步骤28处,第八节点118通过向第二节点112发送Naf请求消息来触发对Naf_EventExposure服务的Event-ID=SecretKey的请求,第二节点112根据动作502接收Naf请求消息。请求消息包括以下参数(这些参数与上述步骤27中的参数相同):Naf_EventExposure服务,Event-ID=SecretKey,UE-ID和App-ID=example.com。在步骤29和30处,第二节点112接受请求,并且根据动作503,返回以下参数:一个或多个密钥和一个或多个指示(在该示例中作为(秘密密钥,EncryptionProtocolInfo)列表)。一个或多个密钥可以各自由“SecretKey”参数指示,例如,针对App-ID内的已加密流和UE-ID,“SecretKey”参数标识用于对称加密的秘密密钥,即,用于业务加密和解密两者的秘密密钥。一个或多个指示中的指示(在该示例中为“EncryptionProtocolInfo”)可以各自包括与已加密流相关的信息(例如5元组)以及用于App-ID和UE-ID的加密协议(例如,TLS1.3、QUIC加密等)。在步骤31处,第八节点118在上述步骤30中将信息转发到第一节点111,第一节点111根据动作304接收该信息。
图11是图10中描绘的过程的延续。在步骤32和33处,第一节点111触发用于App-ID=example.com的重定向,并且包括一个或多个秘密密钥和相关联的EncryptionProtocolInfo。为了做到这一点,第一节点111根据动作305触发到第五节点115的Npcf_SMPolicyControl_Update请求消息,该消息包括具有以下参数的PCC规则:App-ID=example.com,实施动作=重定向,(秘密密钥,EncryptionProtocolInfo)列表。在步骤34处,第五节点115利用Npcf_SMPolicyControl_Update响应消息向第一节点111应答。在步骤35处,第五节点115朝向第三节点113触发PFCP会话修改请求消息,该PFCP会话修改请求消息包括以下参数:PDR(例如App-ID=example.com),FAR(例如重定向动作)、(秘密密钥,EncryptionProtocolInfo)列表,第三节点113与动作401一致地接收PFCP会话修改请求消息。在步骤36处,第三节点113利用PFCP会话修改响应消息向第五节点115应答。在步骤37处,由第二端点130的用户运行的应用(例如,example.com)触发朝向第一端点120(即,应用服务器)的HTTP(S)GET请求。在步骤38和39处,第三节点113通过将PDR与PDI App-ID=example.com匹配来检测应用业务,并且与动作402一致,基于EncryptionProtocolInfo使用对应于已加密流的秘密密钥(例如,其指示5元组以及SecretKey应用于哪个协议)来解密用于App-ID=example内的该流的业务。然后,第三节点113通过利用包括充值服务器统一资源标识符(URI)作为参数的HTTP(S)302消息向第二端点130应答来触发朝向第九节点119(例如充值服务器)的重定向。在步骤40处,第二端点130触发朝向第九节点119的新连接,并向第九节点119发送HTTP(S)GET请求。
图12是图11中描绘的过程的延续。在步骤41和42处,第九节点119第九节点119生成朝向第二端点130的HTTP(S)200OK消息,其包括指示用户超出配额的通知消息和续费指示。
图13是描绘本文实施例的第二非限制性示例的信令图,所述信令图示出HTTP报头富集使用情况。特别地,图13中所示的序列图示出了当应用基于HTTPS/TLS或QUIC传输时,内容提供商请求网络运营商为某个订户和应用(例如,example.com)应用HTTP报头富集的示例。下面详细描述该示例的步骤。在该非限制性示例中,第一节点111是PCF,第二节点112是AF,第三节点113是UPF,第一端点120是应用服务器(App服务器),并且第二端点130是UE。在该示例中,在步骤1中,第二端点130起动应用,例如example.com,无论是基于HTTP/TLS还是基于QUIC的应用。在应用客户端和应用服务器之间执行TLS握手。如何例如通过第一端点120(例如,应用服务器(App服务器))向第二节点112通知这一点在本公开的范围之外,因为主要焦点是内容提供商和网络运营商之间的交互。在步骤2处,第二节点112向第八节点(例如,网络运营商的NEF)触发对该订户和应用(即,example.com)应用HTTP报头富集的请求。根据本文实施例,如动作503中所述,提出扩展Nnef北向接口,使得第二节点112可以在HTTP(S)POST消息中触发Nnef_HeaderEnrichment请求,Nnef_HeaderEnrichment请求包括以下参数:a)应用的指示,例如,标识第二节点112的标识符,诸如AF-ID,b)来自第二节点112的请求所应用于的应用的指示,例如,诸如(例如,example.com的)App-ID等标识符,c)指示第二节点112请求所应用于的用户的指示,例如,诸如UE-ID的标识符。d)第二节点112的令人感兴趣的、标识第二节点112参数(诸如EnrichmentParameter)的指示,使得可以请求移动网络运营商(MNO)利用那些参数(例如,无线电接入技术(RAT)类型、MSISDN、IMSI等)触发报头富集,e)一个或多个密钥和一个或多个指示(例如作为(秘密密钥,EncryptionProtocolInfo)列表)。针对App-ID内的已加密流和UE-ID,SecretKey可以标识用于对称加密的秘密密钥,即,用于业务加密和解密两者的秘密密钥。EncryptionProtocolInfo可包括与已加密流相关的信息(例如5元组),以及用于App-ID和UE-ID的加密协议(例如,TLS1.3、QUIC加密等)。在步骤3处,第八节点118(例如,NEF)确认来自第二节点112的请求。在步骤4处,第八节点118例如基于现有的3GPP过程寻找例如针对UE-ID处置用于第二端点130的会话的第一节点111。在步骤5处,第八节点118将上述步骤2中的第二节点112请求(包括相同的参数)朝向发现的第一节点111实例转发,第一节点111与动作304一致接收第二节点112请求。在步骤6处,第一节点111确认来自第八节点118的请求。在步骤7处,第一节点111生成用于App-ID=example.com的PCC规则,该PCC规则请求具有EnrichmentParameter的报头富集,并且还包括(一个或多个)参数SecretKey和对应的EncryptionProtocolInfo。在步骤8处,第一节点111通过根据动作305触发Npcf_SMPolicyControl_Update请求消息来朝向第五节点115发送在上述步骤中生成的PCC规则,Npcf_SMPolicyControl_Update请求消息包括以下参数:i)App-ID,例如,example.com,其指示PCC规则应用于哪个业务,ii)报头富集,其将报头富集指示为PCC规则实施动作,iii)EnrichmentParameter,其标识要富集的参数,例如,RAT类型、MSISDN、IMSI等,iv)一个或多个密钥和一个或多个指示(作为(秘密密钥,EncryptionProtocolInfo)列表),其中SecretKey可以被理解为针对在App-ID内的已加密流和UE-ID标识用于对称加密的秘密密钥,即,用于业务加密和解密两者的秘密密钥。EncryptionProtocolInfo可以被理解为包括与已加密流相关的信息(例如5元组),以及用于App-ID和UE-ID的加密协议(例如,TLS1.3、QUIC加密等)。在步骤9处,第五节点115用Npcf_SMPolicyControl_Update响应消息向第一节点111应答。
图14是图13中描绘的过程的延续。在步骤10处,第五节点115朝向第三节点113触发PFCP会话修改请求消息,该PFCP会话修改请求消息包括以下参数:PDR,例如,App-ID=example.com;以及FAR,指示利用EnrichmentParameter、(SecretKey,EncryptionProtocolInfo)列表的HeaderEnrichment动作。第三节点113根据动作401接收一个或多个密钥、一个或多个指示和一个或多个第二指示。在步骤11处,第三节点113利用PCP会话修改响应消息向第五节点115应答。在步骤12处,用户在第二端点130中的应用(例如,example.com)触发朝向第三节点113的HTTP(S)GET请求。在步骤13和14处,根据动作402,第三节点113基于EncryptionProtocolInfo使用与已加密流相对应的SecretKey(例如,其指示5元组以及SecretKey应用于哪个协议)来解密用于App-ID=example.com内的该流的业务,并利用EnrichmentParameter(例如,RAT类型、IMSI、MSISDN)触发朝向第一端点120的报头富集。在步骤15处,第一端点120从HTTP报头中提取参数,例如RAT类型、IMSI、MSISDN,并应用对应的逻辑。
本文描述的实施例可以被理解为不仅适用于5G网络架构,而且相同的机制仅通过以下方式就可应用于例如4G:用服务能力服务器/应用服务器(SCS/AS)替换AF,用服务能力暴露功能(SCEF)替换NEF,用策略和计费规则功能(PCRF)替换PCF,用分组网关控制平面(PGW-C)或业务检测功能控制平面(TDF-C)替换SMF,以及用分组网关用户平面(PGW-U)或业务检测功能用户平面(TDF-U)替换UPF。
作为前述内容的简化示例概述,本文的实施例可以被理解为涉及一种机制,该机制可以使得能够解决现有方法的先前描述的问题,并且可以被理解为基于暴露策略框架的扩展,特别是由内容提供商(例如,AF)向网络运营商(例如,NEF)暴露(例如,针对某个应用和某个订户)用于加密和解密应用业务的一个或多个秘密密钥。可以基于网络运营商和内容提供商之间的SLA协议的这种协作解决方案可以允许网络运营商检测某个应用的订户业务,并且当使用对称加密对业务进行加密时以简单且有效的方式应用对应的业务管理动作,诸如重定向、内容富集、家长控制等。可以通过使用AF与NEF之间的加密信道以安全的方式完成一个或多个秘密密钥在内容提供商与网络运营商之间的交换,例如,Nnef北向接口可以在其协议栈中包括TLS。
作为本文实施例的特定示例的概述,内容提供商(例如,AF)可以触发到网络运营商的NEF中的加载过程,该加载过程作为Naf_EventExposure服务的一部分指示对新事件(例如,Event-ID=SecretKey)的支持,其包括以下参数:指示AF可以向其提供新事件的App-ID的App-ID列表,以及指示AF可以向其提供事件的用户的用户列表(例如,UE-ID或UE-ID列表、UE-Group-ID或UE-Group-ID列表、AnyUE)。该参数可以是可选的,因为默认情况下,它可以被设置为AnyUE。在加载过程之后,AF或代表AF的NEF可以在NRF中注册上述事件,从而允许由任何潜在消费者发现。NEF可以针对上面指示的(一个或多个)App-ID和(一个或多个)用户在UDR中存储对新事件(例如Event-ID=SecretKey)的支持。这可以被存储为应用数据(用于(一个或多个)App-ID)或者作为订户简档的一部分(例如,用于(一个或多个)UE-ID)。AF可以作为Naf_EventExposure服务的一部分来实现新事件(例如Event-ID=SecretKey),Naf_EventExposure服务可以允许来自消费者的请求/响应和预订/通知操作(例如通过NEF的PCF)。输入参数可以是Event-ID=SecretKey、可以标识(一个或多个)UE的UE-ID列表、可以标识(一个或多个)应用(例如,example.com)的App-ID列表。输出参数可以是:a)Event-ID=SecretKey,b)结果,内容提供商(即,AF)可以通过该结果向网络运营商(即,NEF)指示它接受/拒绝请求,c)一个或多个秘密密钥和一个或多个指示,其可以例如作为((一个或多个)秘密密钥,EncryptionProtocolInfo)列表提供。关于一个或多个秘密密钥,针对所请求/预订的App-ID和UE-ID每个已加密流可以存在一个秘密密钥;如果AF接受请求,则它/它们可以包括在响应消息中。在预订操作的情况下,通常当用户可以打开应用时,秘密密钥可以包括在通知消息中。一个或多个指示中的指示(例如EncryptionProtocolInfo)可以包括与已加密流相关的信息(例如5元组),以及用于App-ID的加密协议(例如,TLS1.3、QUIC加密等)。对于某个订户的PDU会话,每当网络运营商可能需要应用业务管理操作时,例如,PCF可能检测到用户已经用完了某个应用的配额,并且可能需要被重定向。然后,PCF可以运行以下逻辑。PCF可以针对某个应用作为Naf_EventExposure服务的一部分来触发相对于Event-ID=SecretKey的AF/NEF发现。结果,PCF可以获得AF/NEF实例。一旦可能已经获得了AF/NEF实例,PCF就可以通过包括UE-ID或UE-ID列表、App-ID或App-ID列表来作为Naf_EventExposure服务的一部分触发对Event-ID=SecretKey的请求/响应或预订/通知操作。基于对Event-ID=SecretKey的上述请求/预订,作为Naf_EventExposure服务的一部分,AF可以应用以下逻辑。AF可以接受/拒绝请求。在AF接受请求的情况下,AF可以返回一个或多个秘密密钥(例如,App-ID内的每个已加密流一个秘密密钥)以及加密协议信息(例如,App-ID内的每个已加密流)。
在预订操作的情况下,AF可以例如通过NEF通知PCF,包括一个或多个秘密密钥(例如,App-ID内的每个已加密流一个秘密密钥)和加密协议信息(例如,按App-ID内的已加密流)。PCF可以例如通过SMF将一个或多个秘密密钥和加密协议信息转发到UPF,因此UPF可以解密App-ID的业务并执行对应的业务管理动作,例如重定向、内容富集、内容过滤等。
本文的实施例的一个优点是它们可以允许通信网络运营商的运营商以简单且有效的方式支持订户业务的业务管理动作,例如,重定向、内容富集、家长控制。
本文的实施例还可以允许通信网络的运营商检测来自应用的业务,特别是当业务借助于对称加密被加密时。
图15分别在图片a)和b)中描绘了如下布置的两个不同示例:第一节点111可以包括所述布置以执行上面关于图3、图6和/或图7-14描述的方法动作。在一些实施例中,第一节点111可以包括图15a中描绘的以下布置。第一节点111可以被理解为用于处置通信***100中的已加密业务。第一节点111被配置为在通信***100中操作。
本文包括若干实施例。不言而喻,可以认为来自一个实施例的组件存在于另一个实施例中,并且对于本领域技术人员来说,可如何在其它示例性实施例中使用这些组件将是显而易见的。在图15中,可选框由虚线指示。以下内容中一些内容的详细描述对应于上面提供的与针对第一节点111描述的动作相关的相同参考,并且因此这里将不再重复。例如,第一节点111可以被配置为PCF,第二节点112可以被配置为AF,第三节点113可以被配置为UPF,或者被配置为在通信***100中操作的另一节点。
第一节点111例如借助于第一节点111内被配置为执行如下操作的接收单元1501而被配置为执行如下操作:直接或间接地从第二节点112接收一个或多个密钥,第二节点112被配置为在通信***100中操作,所述一个或多个密钥被配置为使得能够由第三节点113解密已加密业务,第三节点113被配置为在通信***100中操作。业务被配置为经由通信***100在两个或更多个端点130、120之间被路由。业务被配置为在两个或更多个端点130、120之间被加密。第一节点111还被配置为接收一个或多个指示。一个或多个指示被配置为指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。
第一节点111还例如借助于第一节点111内被配置为执行如下操作的发起单元1502而被配置为执行如下操作:发起向第三节点113发送一个或多个密钥和一个或多个指示,从而使得能够解密已加密业务。第一节点111和第三节点113被配置为不同于两个或更多个端点130、120中的任何端点。
在一些实施例中,可以应用以下项中的至少一项:a)业务可以被配置为属于两个或更多个端点130、120之间建立的会话,并且一个或多个密钥可以被配置为被发送并且在建立的会话期间有效,以及b)业务可以被配置为包括多个流。一个或多个指示还可以被配置为针对多个流中的每个流指示一个或多个密钥中可以被配置为使得能够进行解密的相应密钥。
在一些实施例中,第一节点111可以例如借助于第一节点111内被配置为执行如下操作的确定单元1503而被配置为执行如下操作:确定解密业务的需要。
第一节点111还可以例如借助于还被配置为执行如下操作的发起单元1502而被配置为执行如下操作:发起从第二节点112获取一个或多个密钥。发起获取可被配置为基于解密需要,所述解密需要被配置为要被确定。
第一节点111还可以例如借助于还被配置为执行如下操作的接收单元1501被配置为执行如下操作:接收第一指示,该第一指示被配置为指示第二节点112具有提供一个或多个密钥以解密业务的能力。发起获取可以被配置为基于被配置为要被接收的第一指示。
在一些实施例中,第一指示的接收还可以被配置为包括接收一个或多个第二指示,所述一个或多个第二指示被配置为指示两个或更多个端点130、120之间的会话,利用一个或多个密钥的解密可以被配置为适用于所述会话。
在一些实施例中,一个或多个第二指示可以被配置为指示以下各项中的至少一项:a)第二节点112可以被配置为针对其支持所述能力的一个或多个应用,以及发起发送一个或多个密钥和一个或多个指示还可以被配置为包括发起发送一个或多个第二指示,以及b)两个或更多个端点130、120中的至少一个端点。
在一些实施例中,第一指示可以被配置为针对两个或更多个端点130中被配置为由第一节点111指示的至少一个端点被接收。
本文的实施例可以通过一个或多个处理器(诸如图15中描绘的第一节点111中的处理器1505)连同用于执行本文的实施例的功能和动作的计算机程序代码来实现。上述程序代码还可以被提供为计算机程序产品,例如以数据载体的形式,所述数据载体携载在被加载到第一节点111中时用于执行本文的实施例的计算机程序代码。一种这样的载体可以是CD ROM盘的形式。然而,诸如记忆棒的其它数据载体也是可行的。此外,计算机程序代码可以被提供为服务器上的纯程序代码并下载到第一节点111。
第一节点111还可以包括存储器1506,存储器1506包括一个或多个存储器单元。存储器1506被布置为用于存储所获得的信息,存储数据、配置、调度和应用等,以在第一节点111中执行时执行本文的方法。
在一些实施例中,第一节点111可以通过接收端口1507从例如第二节点112、第三节点113、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119和/或至少两个端点120、130中的任何端点接收信息。在一些示例中,接收端口1507可以例如连接到第一节点111中的一个或多个天线。在其它实施例中,第一节点111可以通过接收端口1507从通信***100中的其它结构接收信息。由于接收端口1507可以与处理器1505通信,因此接收端口1507然后可以将所接收的信息发送到处理器1505。接收端口1507还可以被配置为接收其它信息。
第一节点111中的处理器1505还可以被配置为通过发送端口1508向例如第二节点112、第三节点113、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构传送或发送信息,发送端口1508可以与处理器1505和存储器1506通信。
本领域技术人员还将领会,上述单元1501-1503中的任何单元可以指模拟电路和数字电路的组合,和/或配置有例如存储在存储器中的软件和/或固件的一个或多个处理器,所述软件和/或固件当由诸如处理器1505的一个或多个处理器执行时如上所述地执行。这些处理器中的一个或多个处理器以及其它数字硬件可以包括在单个专用集成电路(ASIC)中,或者若干处理器和各种数字硬件可以分布在若干分离的组件之间,无论是单独封装还是组装成片上***(SoC)。
上述单元1501-1503中的任何单元可以是第一节点111的处理器1505,或者是在这样的处理器上运行的应用。
因此,根据本文针对第一节点111描述的实施例的方法可以分别借助于包括指令(即,软件代码部分)的计算机程序1509产品来实现,所述指令当在至少一个处理器1505上执行时使至少一个处理器1505执行本文描述的、如由第一节点111执行的动作。计算机程序1509产品可以存储在计算机可读存储介质1510上。其上存储有计算机程序1509的计算机可读存储介质1510可以包括指令,该指令当在至少一个处理器1505上执行时使至少一个处理器1505执行本文描述的、如由第一节点111执行的动作。在一些实施例中,计算机可读存储介质1510可以是非暂时性计算机可读存储介质(诸如CD ROM盘、记忆棒)或存储在云空间中。在其它实施例中,计算机程序1509产品可以存储在包含计算机程序的载体上,其中载体是电子信号、光信号、无线电信号或计算机可读存储介质1510之一,如上所述。
第一节点111可以包括接口单元,以促进第一节点111与其它节点或装置(例如,第二节点112、第三节点113、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构)之间的通信。在一些特定示例中,接口可以例如包括被配置为根据合适的标准通过空中接口传送和接收无线电信号的收发器。
在其它实施例中,第一节点111可以包括图15b中描绘的以下布置。第一节点111可以包括处理电路1505(例如,第一节点111中诸如处理器1505的一个或多个处理器)和存储器1506。第一节点111还可以包括无线电电路1511,其可以包括例如接收端口1507和发送端口1508。处理电路1505可以被配置为或可操作以按照与关于图15a描述的方式类似的方式执行根据图3、图6和/或图7-14的方法动作。无线电电路1511可以被配置为至少建立和维持与第二节点112、第三节点113、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构的无线连接。
因此,本文的实施例还涉及可操作以处置通信***100中的已加密业务的第一节点111,第一节点111可操作以在通信***100中操作。第一节点111可以包括处理电路1505和存储器1506,所述存储器1506包含可由所述处理电路1505执行的指令,由此第一节点111还可操作以执行本文关于第一节点111描述的动作,例如在图3、图6和/或图7-14中。
图16分别在图片a)和b)中描绘了第三节点113可以包括的布置的两个不同示例,所述布置用于执行上面关于图4、图6和/或图7-14描述的方法动作。在一些实施例中,第三节点113可以包括图16a中描绘的以下布置。第三节点113可以被理解为用于处置通信***100中的已加密业务。第三节点113可以被配置为在通信***100中操作。
本文包括若干实施例。不言而喻,可以认为来自一个实施例的组件存在于另一个实施例中,并且对于本领域技术人员来说,可如何在其它示例性实施例中使用这些组件将是显而易见的。在图16中,可选框由虚线指示。以下内容中的一些内容的详细描述对应于上面提供的与针对第三节点113描述的动作相关的相同参考,并且因此这里将不再重复。例如,第一节点111可以被配置为PCF,并且第三节点113可以被配置为UPF。
第三节点113例如借助于第三节点113内被配置为执行如下操作的接收单元1601而被配置为执行如下操作:从被配置为在通信***100中操作的第一节点111接收如下项:a)一个或多个密钥,其被配置为使得能够解密被配置为经由通信***100在两个或更多个端点130、120之间路由的业务;业务被配置为在两个或更多个端点130、120之间被加密,b)一个或多个指示,其被配置为指示被配置为与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议,以及c)一个或多个第二指示,其被配置为指示两个或更多个端点130、120之间的会话,利用一个或多个密钥的解密被配置为适用于所述会话。
第三节点113还例如借助于第三节点113内被配置为执行如下操作的解密单元1602而被配置为执行如下操作:根据相应协议利用被配置为要被接收的一个或多个密钥解密被配置为要被指示的会话的业务,以对业务执行管理操作。第一节点111和第三节点113被配置为不同于两个或更多个端点130、120中的任何端点。
在一些实施例中,可以应用以下项中的至少一项:a)业务可以被配置为属于会话,被配置为在两个或更多个端点130、120之间建立,并且一个或多个密钥可以被配置为在建立的会话期间被接收并有效,以及b)业务可以被配置为包括多个流。一个或多个指示还可以被配置为针对多个流中的每个流指示一个或多个密钥中可以被配置为使得能够进行解密的相应密钥。
在一些实施例中,一个或多个第二指示可以被配置为指示以下项中的至少一项:a)一个或多个应用,利用一个或多个密钥的解密可以被配置为适用于所述一个或多个应用,以及b)两个或更多个端点130、120中的至少一个端点。
本文的实施例可以通过一个或多个处理器(诸如图16中描绘的第三节点113中的处理器1603)连同用于执行本文的实施例的功能和动作的计算机程序代码来实现。上述程序代码还可以被提供为计算机程序产品,例如以数据载体的形式,所述数据载体携载在被加载到第三节点113中时用于执行本文的实施例的计算机程序代码。一种这样的载体可以是CD ROM盘的形式。然而,诸如记忆棒的其它数据载体也是可行的。此外,计算机程序代码可以被提供为服务器上的纯程序代码并下载到第三节点113。
第三节点113还可以包括存储器1604,存储器1604包括一个或多个存储器单元。存储器1604被布置为用于存储所获得的信息,存储数据、配置、调度和应用等,以在第三节点113中执行时执行本文的方法。
在一些实施例中,第三节点113可以通过接收端口1605从例如第一节点111、第二节点112、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119和/或至少两个端点120、130中的任何端点接收信息。在一些示例中,接收端口1605可以例如连接到第三节点113中的一个或多个天线。在其它实施例中,第三节点113可以通过接收端口1605从通信***100中的其它结构接收信息。由于接收端口1605可以与处理器1603通信,因此接收端口1605然后可以将所接收的信息发送到处理器1603。接收端口1605还可以被配置为接收其它信息。
第三节点113中的处理器1603还可以被配置为通过发送端口1606向例如第一节点111、第二节点112、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构传送或发送信息,发送端口1606可以与处理器1603和存储器1604通信。
本领域技术人员还将领会,上述单元1601-1602可以指模拟电路和数字电路的组合,和/或配置有(例如存储在存储器中的)软件和/或固件的一个或多个处理器,所述软件和/或固件在由诸如处理器1603的一个或多个处理器执行时如上所述地执行。这些处理器中的一个或多个以及其它数字硬件可以包括在单个专用集成电路(ASIC)中,或者若干处理器和各种数字硬件可以分布在若干分离的组件之间,无论是单独封装还是组装成片上***(SoC)。
上述单元1601-1602可以是第三节点113的处理器1603,或者是在这样的处理器上运行的应用。
因此,根据本文针对第三节点113描述的实施例的方法可以分别借助于计算机程序1607产品来实现,该计算机程序1607产品包括指令,即软件代码部分,所述指令当在至少一个处理器1603上执行时使至少一个处理器1603执行本文描述的、如由第三节点113执行的动作。计算机程序1607产品可以存储在计算机可读存储介质1608上。其上存储有计算机程序1607的计算机可读存储介质1608可以包括指令,所述指令当在至少一个处理器1603上执行时使至少一个处理器1603执行本文描述的、如由第三节点113执行的动作。在一些实施例中,计算机可读存储介质1608可以是非暂时性计算机可读存储介质(诸如CD ROM盘、记忆棒)或存储在云空间中。在其它实施例中,计算机程序1607产品可以存储在包含计算机程序的载体上,其中载体是电子信号、光信号、无线电信号或计算机可读存储介质1608之一,如上所述。
第三节点113可以包括接口单元,以促进第三节点113与其它节点或装置(例如,第一节点111、第二节点112、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构)之间的通信。在一些特定示例中,接口可以例如包括被配置为根据合适的标准通过空中接口传送和接收无线电信号的收发器。
在其它实施例中,第三节点113可以包括图16b中描绘的以下布置。第三节点113可以包括处理电路1603(例如,第三节点113中诸如处理器1603的一个或多个处理器)和存储器1604。第三节点113还可以包括无线电电路1609,其可以包括例如接收端口1605和发送端口1606。处理电路1603可以被配置为或可操作以按照与关于图16a描述的方式类似的方式执行根据图4、图6和/或图7-14的方法动作。无线电电路1609可以被配置为至少建立和维持与第一节点111、第二节点112、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构的无线连接。
因此,本文的实施例还涉及可操作以处置通信***100中的已加密业务的第三节点113,第三节点113可操作以在通信***100中操作。第三节点113可以包括处理电路1603和存储器1604,所述存储器1604包含可由所述处理电路1603执行的指令,由此第三节点113还可操作以执行本文关于第三节点113描述的动作,例如在图4、图6和/或图7-14中。
图17分别在图片a)和b)中描绘了第二节点112可以包括的布置的两个不同示例,所述布置用于执行上面关于图5、图6和/或图7-14描述的方法动作。在一些实施例中,第二节点112可以包括图17a中描绘的以下布置。第二节点112可以被理解为用于处置通信***100中的已加密业务。第二节点112可以被配置为在通信***100中操作。
本文包括若干实施例。不言而喻,可以认为来自一个实施例的组件存在于另一个实施例中,并且对于本领域技术人员来说,可如何在其它示例性实施例中使用这些组件将是显而易见的。在图17中,可选框由虚线指示。以下内容中一些内容的详细描述对应于上面提供的、与针对第二节点112描述的动作相关的相同参考,因此这里将不再重复。例如,第一节点111可以被配置为PCF,并且第二节点112可以被配置为AF。
第二节点112例如借助于第二节点112内被配置为执行如下操作的发起单元1701而被配置为执行如下操作:发起向第一节点111提供一个或多个密钥和一个或多个指示,第一节点111被配置为在通信***100中操作。一个或多个密钥被配置为使得能够解密被配置为经由通信***100在两个或更多个端点130、120之间路由的业务。业务被配置为在两个或更多个端点130、120之间被加密。第一节点111被配置为不同于两个或更多个端点130、120中的任何端点。一个或多个指示被配置为指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。
在一些实施例中,可以应用以下项中的至少一项:a)业务可以被配置为属于两个或更多个端点130、120之间建立的会话,并且一个或多个密钥可以被配置为被发送并且在建立的会话期间有效,以及b)业务可以被配置为包括多个流。一个或多个指示可以被配置为针对多个流中的每个流进一步指示一个或多个密钥中可以被配置为使得能够进行解密的相应密钥。
第二节点112还可以例如借助于第二节点112内被配置为接收如下项的接收单元1702而被配置为接收如下项:a)第三指示,其被配置为向第一节点111提供一个或多个密钥,以及b)可以被配置为使得能够对其解密的、两个或更多个端点130、120之间的会话的一个或多个第二指示,并且发起提供可以被配置为基于被配置为要被接收的第三指示和一个或多个第二指示。
第二节点112可以例如借助于第二节点112内被配置为执行如下操作的发起单元1701而被配置为执行如下操作:发起向第一节点111发送第一指示。第一指示可以被配置为指示第二节点112可以被配置为具有提供一个或多个密钥以解密业务的能力。被配置为要被接收的第三指示可以被配置为基于被配置为要被发送的第一指示。
在一些实施例中,发起第一指示的发送还可以被配置为包括发送一个或多个第二指示,所述一个或多个第二指示被配置为指示两个或更多个端点130、120之间的会话,利用一个或多个密钥的解密可以被配置为适用于该会话。
在一些实施例中,一个或多个第二指示可以被配置为指示以下项中的至少一项:a)第二节点112可以被配置为针对其支持所述能力的一个或多个应用,以及b)两个或更多个端点130、120中的至少一个端点。
本文的实施例可以通过一个或多个处理器(诸如图17中描绘的第二节点112中的处理器1703)连同用于执行本文的实施例的功能和动作的计算机程序代码来实现。上述程序代码还可以被提供为计算机程序产品,例如以数据载体的形式,所述数据载体携载在被加载到第二节点112中时用于执行本文的实施例的计算机程序代码。一种这样的载体可以是CD ROM盘的形式。然而,诸如记忆棒的其它数据载体也是可行的。此外,计算机程序代码可以被提供为服务器上的纯程序代码并下载到第二节点112。
第二节点112还可以包括存储器1704,该存储器1704包括一个或多个存储器单元。存储器1704被布置为用于存储所获得的信息,存储数据、配置、调度和应用等,以在第二节点112中执行时执行本文的方法。
在一些实施例中,第二节点112可以通过接收端口1705从例如第一节点111、第三节点113、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119和/或至少两个端点120、130中的任何端点接收信息。在一些示例中,接收端口1705可以例如连接到第二节点112中的一个或多个天线。在其它实施例中,第二节点112可以通过接收端口1705从通信***100中的其它结构接收信息。由于接收端口1705可以与处理器1703通信,因此接收端口1705然后可以将所接收的信息发送到处理器1703。接收端口1705还可以被配置为接收其它信息。
第二节点112中的处理器1703还可以被配置为通过发送端口1706向例如第一节点111、第三节点113、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构传送或发送信息,发送端口1706可以与处理器1703和存储器1704通信。
本领域技术人员还将领会,上述单元1701-1702可以指模拟电路和数字电路的组合,和/或配置有(例如存储在存储器中的)软件和/或固件的一个或多个处理器,该软件和/或固件在由诸如处理器1703的一个或多个处理器执行时如上所述地执行。这些处理器中的一个或多个以及其它数字硬件可以包括在单个专用集成电路(ASIC)中,或者若干处理器和各种数字硬件可以分布在若干分离的组件之间,无论是单独封装还是组装成片上***(SoC)。
上述单元1701-1702可以是第二节点112的处理器1703,或者是在这种处理器上运行的应用。
因此,根据本文针对第二节点112描述的实施例的方法可以分别借助于计算机程序1707产品来实现,计算机程序1707产品包括指令,即软件代码部分,指令当在至少一个处理器1703上执行时,使至少一个处理器1703执行本文描述的、如由第二节点112执行的动作。计算机程序1707产品可以存储在计算机可读存储介质1708上。其上存储有计算机程序1707的计算机可读存储介质1708可以包括指令,所述指令当在至少一个处理器1703上执行时使至少一个处理器1703执行本文描述的、如由第二节点112执行的动作。在一些实施例中,计算机可读存储介质1708可以是非暂时性计算机可读存储介质(诸如CD ROM盘、记忆棒)或存储在云空间中。在其它实施例中,计算机程序1707产品可以存储在包含计算机程序的载体上,其中载体是电子信号、光信号、无线电信号或计算机可读存储介质1708之一,如上所述。
第二节点112可以包括接口单元,以促进第二节点112与其它节点或装置(例如,第一节点111、第三节点113、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构)之间的通信。在一些特定示例中,接口可以例如包括被配置为根据合适的标准通过空中接口传送和接收无线电信号的收发器。
在其它实施例中,第二节点112可以包括图17b中描绘的以下布置。第二节点112可以包括处理电路1703(例如,第二节点112中诸如处理器1703的一个或多个处理器)和存储器1704。第二节点112还可以包括无线电电路1709,无线电电路1709可以包括例如接收端口1705和发送端口1706。处理电路1703可以被配置为或可操作以与关于图17a描述的方式类似的方式执行根据图5、图6和/或图7-14的方法动作。无线电电路1709可以被配置为至少建立和维持与第一节点111、第三节点113、第四节点114、第五节点115、第六节点116、第七节点117、第八节点118、第九节点119、至少两个端点120、130中的任何端点和/或通信***100中的其它结构的无线连接。
因此,本文的实施例还涉及可操作以处置通信***100中的已加密业务的第二节点112,第二节点112可操作以在通信***100中操作。第二节点112可以包括处理电路1703和存储器1704,所述存储器1704包含可由所述处理电路1703执行的指令,由此第二节点112还可操作以执行本文关于第二节点112描述的动作,例如在图5、图6和/或图7-14中。
图18分别在图片a)和b)中描绘了通信***100可以包括的布置的两个不同示例,所述布置用于执行上面关于图6描述的方法动作。图片a)中描绘的布置对应于关于图15、图16和图17中的图片a)针对第一节点111、第三节点113和第二节点112中的每个分别描述的布置。图片b)中描绘的布置对应于关于图15、图16和图17中的图片b)分别针对第一节点111、第三节点113和第二节点112中的每个描述的布置。通信***100可以用于处置通信***100中的已加密业务。
通信***100例如借助于第二节点112内被配置为执行如下操作的发起单元1701而被配置为执行如下操作:发起由第二节点112向第一节点111提供一个或多个密钥和一个或多个指示,第二节点112被配置为在通信***100中操作,第一节点111被配置为在通信***100中操作。一个或多个密钥被配置为使得能够解密被配置为经由通信***100在两个或更多个端点130、120之间路由的业务。业务被配置为在两个或更多个端点130、120之间被加密。第一节点111被配置为不同于两个或更多个端点130、120中的任何端点。一个或多个指示被配置为指示要与一个或多个密钥一起使用以使得能够解密已加密业务的相应协议。
通信***100例如借助于第一节点111内被配置为执行如下操作的接收单元1501而被配置为执行如下操作:由第一节点111直接或间接地从第二节点112接收一个或多个密钥以及一个或多个指示。
通信***100例如借助于第一节点111内被配置为执行如下操作的发起单元1502而被配置为执行如下操作:发起由第一节点111向第三节点113发送一个或多个密钥和一个或多个指示,从而被配置为使得能够解密已加密业务。第一节点111和第三节点113被配置为不同于两个或更多个端点130、120中的任何端点。
通信***100例如借助于第一节点111内被配置为执行如下操作的接收单元1601而被配置为执行如下操作:由第三节点113从第一节点111接收一个或多个密钥、一个或多个指示、以及一个或多个第二指示,所述一个或多个第二指示被配置为指示两个或更多个端点130、120之间的会话,利用一个或多个密钥的解密被配置为适用于所述会话。
通信***100例如借助于第三节点113内被配置为执行如下操作的解密单元1602而被配置为执行如下操作:由第三节点113根据相应协议解密如下会话的业务以对业务执行管理操作:所述会话被配置为利用被配置为要被接收的一个或多个密钥来指示。
在一些实施例中,通信***100还可以例如借助于第一节点111内被配置为执行如下操作的确定单元1503而被配置为执行如下操作:由第一节点111确定解密业务的需要。
在一些实施例中,通信***100还可以例如借助于第一节点111内被配置为执行如下操作的发起单元1502而被配置为执行如下操作:由第一节点111发起从第二节点112获取一个或多个密钥。发起获取可被配置为基于被配置为要被确定的解密需要。
在一些实施例中,通信***100还可以例如借助于第一节点111内被配置为执行如下操作的接收单元1501而被配置为执行如下操作:由第一节点111接收第一指示,该第一指示被配置为指示第二节点112被配置为具有提供一个或多个密钥以解密业务的能力,并且其中,发起获取可以被配置为基于被配置为要被接收的第一指示。
在一些这样的实施例中,通信***100还可以例如借助于被配置为执行如下操作的接收单元1702而被配置为执行如下操作:由第二节点112接收如下项a):向第一节点111提供一个或多个密钥的第三指示,以及b)可以被配置为使得能够对其解密的、两个或更多个端点130、120之间的会话的一个或多个第二指示。发起提供可以被配置为基于被配置为要被接收的第三指示和一个或多个第二指示。
在一些实施例中,通信***100还可以例如借助于第二节点112内被配置为执行如下操作的发起单元1701而被配置为执行如下操作:发起由第二节点112向第一节点111发送第一指示。第一指示可以被配置为指示第二节点112可以被配置为具有提供一个或多个密钥以解密业务的能力,并且被配置为要被接收的第三指示可以被配置为基于被配置为要被发送的第一指示。
关于图18针对第一节点111、第三节点113和第二节点112描述的其余配置可以被理解为分别对应于图15、图16和图17中描述的那些配置,并且要例如借助于图15、图16和图17中描述的对应单元和布置来执行,这里将不再重复。
当使用词语“包括”时,其应被解释为非限制性的,即意味着“至少由......组成”。
本文的实施例不限于上述优选实施例。可以使用各种备选方案、修改方案和等效方案。因此,上述实施例不应被视为限制本发明的范围。
一般来说,除非在使用术语的上下文中明确给出和/或暗含不同的含义,否则本文中所使用的所有术语都要根据它们在相关技术领域中的普通含义来解释。除非另外明确地指出,否则所有对一/某一/该元件、设备、组件、部件、步骤等的提及都要显式地解释为指该元件、设备、组件、部件、步骤等的至少一个实例。除非将某一步骤显式地描述为在另一步骤之后或之前和/或在暗示某一步骤必须在另一步骤之后或之前的情况下,否则本文公开的任何方法的步骤不一定按所公开的确切顺序执行。在任何适当的情况下,本文公开的实施例中的任一实施例的任何特征都可应用于任何其它实施例。同样地,这些实施例中的任何实施例的任何优点都可适用于任何其它实施例,反之亦然。所附实施例的其它目的、特征和优点将从以下描述中显而易见。
如本文所使用的,表达“......中的至少一个”,随后由逗号分离的可选项(alternative)列表,并且其中最后的可选项前面是“和”术语,可以被理解为意味着可以仅应用可选项列表中的一个可选项,可以应用可选项列表中多于一个可选项,或者可以应用可选项列表中所有可选项。该表达可以被理解为等同于表达“......中的至少一个”,随后是由逗号分离的可选项列表,并且其中最后的可选项前面是“或”术语。
术语处理器和电路中的任何术语在本文中都可以被理解为硬件组件。
如本文所使用的,表达“在一些实施例中”已经用于指示所述的实施例的特征可以与本文公开的任何其它实施例或示例组合。
如本文所使用的,表达“在一些示例中”已经用于指示所述的示例的特征可以与本文公开的任何其它实施例或示例组合。
+
参考:
3GPP TS29.522v16.5.0(2020年9月):5G System;Network Exposure FunctionNorthbound APIs;Stage 3。
Claims (54)
1.一种由第一节点(111)执行的、用于处置通信***(100)中的已加密业务的计算机实现的方法,所述第一节点(111)在所述通信***(100)中操作,所述方法包括:
-直接或间接地从在所述通信***(100)中操作的第二节点(112)接收(304):
o一个或多个密钥,所述一个或多个密钥用于使得能够由在所述通信***(100)中操作的第三节点(113)解密已加密业务,所述业务经由所述通信***(100)在两个或更多个端点(130、120)之间路由,所述业务在所述两个或更多个端点(130、120)之间被加密,以及
o一个或多个指示,所述一个或多个指示指示要与所述一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议,以及
-发起(305)向所述第三节点(113)发送所述一个或多个密钥和所述一个或多个指示,从而使得能够解密所述已加密业务,所述第一节点(111)和所述第三节点(113)不同于所述两个或更多个端点(130、120)中的任何端点。
2.根据权利要求1所述的方法,其中,以下项中的至少一项:
a.所述业务属于所述两个或更多个端点(130、120)之间建立的会话,并且其中,所述一个或多个密钥被发送并且在建立的会话期间有效,
b.所述业务包括多个流,并且所述一个或多个指示还针对所述多个流中的每个流指示所述一个或多个密钥中使得能够进行解密的相应密钥。
3.根据权利要求1-2中任一项所述的方法,所述方法还包括:
-确定(302)解密所述业务的需要,以及
-发起(303)从所述第二节点(112)获取所述一个或多个密钥,其中,所述发起获取(303)基于所确定的解密需要。
4.根据权利要求1-3中任一项所述的方法,所述方法还包括:
-接收(301)第一指示,所述第一指示指示所述第二节点(112)具有提供所述一个或多个密钥以解密所述业务的能力,并且其中,所述发起(303)所述获取基于所接收的第一指示。
5.根据权利要求4所述的方法,其中,接收(301)所述第一指示还包括:接收一个或多个第二指示,所述一个或多个第二指示指示所述两个或更多个端点(130、120)之间的会话,利用所述一个或多个密钥的解密适用于所述会话。
6.根据权利要求5所述的方法,其中,所述一个或多个第二指示指示以下项中的至少一项:
a.所述第二节点(112)针对其支持所述能力的一个或多个应用,并且其中,所述发起(305)发送所述一个或多个密钥和所述一个或多个指示还包括发起发送(305)所述一个或多个第二指示,以及
b.所述两个或更多个端点(130、120)中的至少一个。
7.根据权利要求4至6中任一项所述的方法,其中,针对由所述第一节点(111)指示的所述两个或更多个端点(130)中的至少一个端点接收所述第一指示。
8.根据权利要求1至7中任一项所述的方法,其中,所述第一节点(111)是策略计费功能PCF,所述第二节点(112)是应用功能AF,并且所述第三节点113是用户平面功能UPF或在所述通信***(100)中操作的另一节点。
9.一种计算机程序(909),包括指令,所述指令当在至少一个处理器(905)上执行时使所述至少一个处理器(905)执行根据权利要求1至8中任一项所述的方法。
10.一种计算机可读存储介质(910),其上存储有计算机程序(909),所述计算机程序(909)包括指令,所述指令当在至少一个处理器(905)上执行时使所述至少一个处理器(905)执行根据权利要求1至8中任一项所述的方法。
11.一种由第三节点(113)执行的、用于处置通信***(100)中的已加密业务的计算机实现的方法,所述第三节点(113)在所述通信***(100)中操作,所述方法包括:
-从在所述通信***(100)中操作的第一节点(111)接收(401):
a)一个或多个密钥,用于使得能够解密经由所述通信***(100)在两个或更多个端点(130、120)之间路由的业务,所述业务在所述两个或更多个端点(130、120)之间被加密,
b)一个或多个指示,所述一个或多个指示指示要与所述一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议,以及
c)一个或多个第二指示,所述一个或多个第二指示指示所述两个或更多个端点(130、120)之间的会话,利用所述一个或多个密钥的解密适用于所述会话,以及
-根据所述相应协议,利用所接收的一个或多个密钥来解密(402)所指示会话的业务,以对所述业务执行管理操作,所述第一节点(111)和所述第三节点(113)不同于所述两个或更多个端点(130、120)中的任何端点。
12.根据权利要求11所述的方法,其中,以下项中的至少一项:
a.所述业务属于在所述两个或更多个端点(130、120)之间建立的会话,并且其中,所述一个或多个密钥被接收并且在建立的会话期间有效,以及
a.所述业务包括多个流,并且所述一个或多个指示还针对所述多个流中的每个流指示所述一个或多个密钥中使得能够进行解密的相应密钥。
13.根据权利要求11-12中任一项所述的方法,其中,所述一个或多个第二指示指示以下项中的至少一项:
a.一个或多个应用,利用所述一个或多个密钥的解密适用于所述一个或多个应用,以及
b.所述两个或更多个端点(130、120)中的至少一个。
14.根据权利要求11至13中任一项所述的方法,其中,所述第一节点(111)是策略计费功能PCF,并且所述第三节点(113)是用户平面功能UPF。
15.一种计算机程序(909),包括指令,所述指令当在至少一个处理器(905)上执行时使所述至少一个处理器(905)执行根据权利要求11至14中任一项所述的方法。
16.一种计算机可读存储介质(910),其上存储有计算机程序(909),所述计算机程序(909)包括指令,所述指令当在至少一个处理器(905)上执行时使所述至少一个处理器(905)执行根据权利要求11至14中任一项所述的方法。
17.一种由第二节点(112)执行的、用于处置通信***(100)中的已加密业务的计算机实现的方法,所述第二节点(112)在所述通信***(100)中操作,所述方法包括:
-发起(503)向在所述通信***(100)中操作的第一节点(111)提供一个或多个密钥和一个或多个指示,所述一个或多个密钥使得能够解密经由所述通信***(100)在两个或更多个端点(130、120)之间路由的业务,所述业务在所述两个或更多个端点(130、120)之间被加密,所述第一节点(111)不同于所述两个或更多个端点(130、120)中的任何端点,并且所述一个或多个指示指示要与所述一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议。
18.根据权利要求17所述的方法,其中,以下项中的至少一项:
a.所述业务属于所述两个或更多个端点(130、120)之间建立的会话,并且其中,所述一个或多个密钥被发送并且在所建立的会话期间有效,以及
b.所述业务包括多个流,并且所述一个或多个指示还针对所述多个流中的每个流指示所述一个或多个密钥中使得能够进行解密的相应密钥。
19.根据权利要求17至18中任一项所述的方法,所述方法还包括:
-接收(502)a)向所述第一节点(111)提供所述一个或多个密钥的第三指示,以及b)要使得能够对其解密的、所述两个或更多个端点(130、120)之间的会话的一个或多个第二指示,并且其中,所述发起(503)提供基于所接收的第三指示和一个或多个第二指示。
20.根据权利要求19所述的方法,所述方法还包括:
-发起(501)向所述第一节点(111)发送第一指示,所述第一指示指示所述第二节点(112)具有提供所述一个或多个密钥以解密所述业务的能力,并且其中,所接收的第三指示基于所发送的第一指示。
21.根据权利要求20所述的方法,其中,所述发起(501)所述第一指示的发送还包括发起发送所述一个或多个第二指示,所述一个或多个第二指示指示所述两个或更多个端点(130、120)之间的会话,利用所述一个或多个密钥的解密适用于所述会话。
22.根据权利要求21所述的方法,其中,所述一个或多个第二指示指示以下项中的至少一项:
a.所述第二节点(112)针对其支持所述能力的一个或多个应用,以及
b.所述两个或更多个端点(130、120)中的至少一个。
23.根据权利要求17至22中任一项所述的方法,其中,所述第一节点(111)是策略计费功能PCF,并且所述第二节点(112)是应用功能AF。
24.一种计算机程序(1106),包括指令,所述指令当在至少一个处理器(1102)上执行时使所述至少一个处理器(1102)执行根据权利要求17至23中任一项所述的方法。
25.一种计算机可读存储介质(1107),其上存储有计算机程序(1106),所述计算机程序(1106)包括指令,所述指令当在至少一个处理器(1102)上执行时使所述至少一个处理器(1102)执行根据权利要求17至23中任一项所述的方法。
26.一种由通信***(100)执行的、用于处置所述通信***(100)中的已加密业务的计算机实现的方法,所述方法包括:
-发起(606、503)由在所述通信***(100)中操作的第二节点(112)向在所述通信***(100)中操作的第一节点(111)提供一个或多个密钥和一个或多个指示,所述一个或多个密钥使得能够解密经由所述通信***(100)在两个或更多个端点(130、120)之间路由的业务,所述业务在所述两个或更多个端点(130、120)之间被加密,所述第一节点(111)不同于所述两个或更多个端点(130、120)中的任何端点,并且所述一个或多个指示指示要与所述一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议,
-由所述第一节点(111)直接或间接地从第二节点(112)接收(607、304):
o所述一个或多个密钥,以及
o一个或多个指示,
-发起(608、305)由所述第一节点(111)向在所述通信***(100)中操作的第三节点(113)发送所述一个或多个密钥和所述一个或多个指示,从而使得能够解密所述已加密业务,所述第一节点(111)和所述第三节点(113)不同于所述两个或更多个端点(130、120)中的任何端点,
-由所述第三节点(113)从所述第一节点(111)接收(609、401):
a)所述一个或多个密钥,
b)所述一个或多个指示,以及
c)一个或多个第二指示,所述一个或多个第二指示指示所述两个或更多个端点(130、120)之间的会话,利用所述一个或多个密钥的解密适用于所述会话,以及
-由所述第三节点(113)根据所述相应协议利用所接收的一个或多个密钥解密(610,402)所指示会话的业务,以对所述业务执行管理操作。
27.根据权利要求26至27中任一项所述的方法,所述方法还包括:
-由所述第一节点(111)确定(603、302)解密所述业务的需要,以及
-由所述第一节点(111)发起(604、303)从所述第二节点(112)获取所述一个或多个密钥,其中,所述发起获取(303)基于所确定的解密需要。
28.根据权利要求26至17中任一项所述的方法,所述方法还包括:
-由所述第一节点(111)接收(602、301)第一指示,所述第一指示指示所述第二节点(112)具有提供所述一个或多个密钥以解密所述业务的能力,并且其中,发起(303)所述获取基于所接收的第一指示。
29.根据权利要求17至18中任一项所述的方法,所述方法还包括:
-由所述第二节点(112)接收(605、502)a)向所述第一节点(111)提供所述一个或多个密钥的第三指示,以及b)要使得能够对其解密的、所述两个或更多个端点(130、120)之间的会话的一个或多个第二指示,并且其中,所述发起(503)提供基于所接收的第三指示和一个或多个第二指示。
30.根据权利要求29所述的方法,所述方法还包括:
-发起(601,501)由所述第二节点(112)向所述第一节点(111)发送第一指示,所述第一指示指示所述第二节点(112)具有提供所述一个或多个密钥以解密所述业务的能力,并且其中,所接收的第三指示基于所发送的第一指示。
31.第一节点(111),用于处置通信***(100)中的已加密业务,所述第一节点(111)被配置为在所述通信***(100)中操作,所述第一节点(111)还被配置为:
-从被配置为在所述通信***(100)中操作的第二节点(112)直接或间接地接收:
o一个或多个密钥,被配置为使得能够由被配置为在所述通信***(100)中操作的第三节点(113)解密已加密业务,所述业务被配置为经由所述通信***(100)在两个或更多个端点(130、120)之间路由,所述业务被配置为在所述两个或更多个端点(130、120)之间被加密,以及
o一个或多个指示,所述一个或多个指示被配置为指示要与所述一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议,以及
-发起将所述一个或多个密钥和所述一个或多个指示发送到所述第三节点(113),从而使得能够解密所述已加密业务,所述第一节点(111)和所述第三节点(113)被配置为不同于所述两个或更多个端点(130、120)中的任何端点。
32.根据权利要求31所述的第一节点(111),其中,以下项中的至少一项:
a.所述业务被配置为属于所述两个或更多个端点(130、120)之间建立的会话,并且其中,所述一个或多个密钥被配置为被发送并且在建立的会话期间有效,
b.所述业务被配置为包括多个流,并且一个或多个指示还被配置为针对所述多个流中的每个流指示所述一个或多个密钥中被配置为使得能够进行解密的相应密钥。
33.根据权利要求31至32中任一项所述的第一节点(111),所述第一节点(111)还被配置为:
-确定解密所述业务的需要,以及
-发起从所述第二节点(112)获取所述一个或多个密钥,其中,所述发起获取被配置为基于被配置为要被确定的解密需要。
34.根据权利要求31至33中任一项所述的第一节点(111),所述第一节点(111)还被配置为:
-接收第一指示,所述第一指示被配置为指示所述第二节点(112)具有提供所述一个或多个密钥以解密所述业务的能力,并且其中,发起所述获取被配置为基于被配置为要被接收的所述第一指示。
35.根据权利要求34所述的第一节点(111),其中,所述接收所述第一指示还被配置为包括:接收一个或多个第二指示,所述一个或多个第二指示被配置为指示所述两个或更多个端点(130、120)之间的会话,利用所述一个或多个密钥的解密被配置为适用于所述会话。
36.根据权利要求35所述的第一节点(111),其中,所述一个或多个第二指示被配置为指示以下项中的至少一项:
a.一个或多个应用,所述第二节点(112)被配置为针对其支持所述能力,并且其中,所述发起发送所述一个或多个密钥和所述一个或多个指示还被配置为包括发起发送所述一个或多个第二指示,以及
b.所述两个或更多个端点(130、120)中的至少一个。
37.根据权利要求34至36中任一项所述的第一节点(111),其中,所述第一指示被配置为要针对所述两个或更多个端点(130)中被配置为要由所述第一节点(111)指示的至少一个端点被接收。
38.根据权利要求31至37中任一项所述的第一节点(111),其中,所述第一节点(111)被配置为策略计费功能PCF,所述第二节点(112)被配置为应用功能AF,并且所述第三节点113被配置为用户平面功能UPF或被配置为在所述通信***(100)中操作的另一节点。
39.用于处置通信***(100)中的已加密业务的第三节点(113),所述第三节点(113)被配置为在所述通信***(100)中操作,所述第三节点(113)还被配置为:
-从被配置为在所述通信***(100)中操作的第一节点(111)接收:
a)一个或多个密钥,被配置为使得能够解密被配置为经由所述通信***(100)在两个或更多个端点(130、120)之间路由的业务,所述业务被配置为在所述两个或更多个端点(130、120)之间被加密,
b)一个或多个指示,所述一个或多个指示被配置为指示被配置为与所述一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议,以及
c)一个或多个第二指示,所述一个或多个第二指示被配置为指示所述两个或更多个端点(130、120)之间的会话,利用所述一个或多个密钥的解密被配置为适用于所述会话,以及
-根据所述相应协议利用被配置为要被接收的所述一个或多个密钥解密被配置为要被指示的会话的业务,以对所述业务执行管理操作,所述第一节点(111)和所述第三节点(113)被配置为不同于所述两个或更多个端点(130、120)中的任何端点。
40.根据权利要求39所述的第三节点(113),其中,以下项中的至少一项:
a.所述业务被配置为属于如下会话:所述会话被配置为在所述两个或更多个端点(130、120)之间建立,并且其中,所述一个或多个密钥被配置为被接收并且在建立的会话期间有效,以及
b.所述业务被配置为包括多个流,并且所述一个或多个指示被配置为针对所述多个流中的每个流进一步指示所述一个或多个密钥中被配置为使得能够进行解密的相应密钥。
41.根据权利要求39至40中任一项所述的第三节点(113),其中,所述一个或多个第二指示被配置为指示以下项中的至少一项:
a.一个或多个应用,利用所述一个或多个密钥的解密被配置为适用于所述一个或多个应用,以及
b.所述两个或更多个端点(130、120)中的至少一个。
42.根据权利要求39至41中任一项所述的第三节点(113),其中,所述第一节点(111)被配置为策略计费功能PCF,并且所述第三节点(113)被配置为用户平面功能UPF。
43.用于处置通信***(100)中的已加密业务的第二节点(112),所述第二节点(112)被配置为在所述通信***(100)中操作,所述第二节点(112)还被配置为:
-发起向被配置为在所述通信***(100)中操作的第一节点(111)提供一个或多个密钥和一个或多个指示,所述一个或多个密钥被配置为使得能够解密被配置为经由所述通信***(100)在两个或更多个端点(130、120)之间路由的业务,所述业务被配置为在所述两个或更多个端点(130、120)之间加密,所述第一节点(111)被配置为不同于所述两个或更多个端点(130、120)中的任何端点,并且所述一个或多个指示被配置为指示要与所述一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议。
44.根据权利要求43所述的第二节点(112),其中,以下项中的至少一项:
a.所述业务被配置为属于所述两个或更多个端点(130,120)之间建立的会话,并且其中,所述一个或多个密钥被配置为被发送并且在建立的会话期间有效,以及
b.所述业务被配置为包括多个流,并且所述一个或多个指示被配置为针对所述多个流中的每个流进一步指示所述一个或多个密钥中被配置为使得能够进行解密的相应密钥。
45.根据权利要求43至44中任一项所述的第二节点(112),所述第二节点(112)还被配置为:
-接收a)被配置为向所述第一节点(111)提供所述一个或多个密钥的第三指示,以及b)被配置为要使得能够对其进行解密的、所述两个或更多个端点(130、120)之间的会话的一个或多个第二指示,并且其中,所述发起提供被配置为基于被配置为要被接收的所述第三指示和一个或多个第二指示。
46.根据权利要求45所述的第二节点(112),所述第二节点(112)还被配置为:
-发起向所述第一节点(111)发送第一指示,所述第一指示被配置为指示所述第二节点(112)被配置为具有提供所述一个或多个密钥以解密所述业务的能力,并且其中,被配置为要被接收的所述第三指示被配置为基于被配置为要被发送的所述第一指示。
47.根据权利要求46所述的第二节点(112),其中,所述发起所述第一指示的发送还被配置为包括:发送所述一个或多个第二指示,所述一个或多个第二指示被配置为指示所述两个或更多个端点(130、120)之间的会话,利用所述一个或多个密钥的解密被配置为适用于所述会话。
48.根据权利要求47所述的第二节点(112),其中,所述一个或多个第二指示被配置为指示以下项中的至少一项:
a.所述第二节点(112)被配置为针对其支持所述能力的一个或多个应用,以及
b.所述两个或更多个端点(130、120)中的至少一个。
49.根据权利要求43至47中任一项所述的第二节点(112),其中,所述第一节点(111)被配置为策略计费功能PCF,并且所述第二节点(112)被配置为应用功能AF。
50.用于处置通信***(100)中的已加密业务的通信***(100),所述通信***(100)被配置为:
-发起由被配置为在所述通信***(100)中操作的第二节点(112)向被配置为在所述通信***(100)中操作的第一节点(111)提供一个或多个密钥和一个或多个指示,所述一个或多个密钥被配置为使得能够解密被配置为经由所述通信***(100)在两个或更多个端点(130、120)之间路由的业务,所述业务被配置为在所述两个或更多个端点(130、120)之间加密,所述第一节点(111)被配置为不同于所述两个或更多个端点(130、120)中的任何端点,并且所述一个或多个指示被配置为指示要与所述一个或多个密钥一起使用以使得能够解密所述已加密业务的相应协议,
-由所述第一节点(111)直接或间接地从第二节点(112)接收:
o所述一个或多个密钥,以及
o一个或多个指示,
-发起由所述第一节点(111)向所述第三节点(113)发送所述一个或多个密钥和所述一个或多个指示,从而被配置为使得能够解密所述已加密业务,所述第一节点(111)和所述第三节点(113)被配置为不同于所述两个或更多个端点(130、120)中的任何端点,
-由所述第三节点(113)从所述第一节点(111)接收:
a)所述一个或多个密钥,
b)所述一个或多个指示,以及
c)一个或多个第二指示,所述一个或多个第二指示被配置为指示所述两个或更多个端点(130、120)之间的会话,利用所述一个或多个密钥的解密被配置为适用于所述会话,以及
-由所述第三节点(113)根据相应协议利用被配置为要被接收的所述一个或多个密钥解密被配置为要被指示的会话的业务,以对所述业务执行管理操作。
51.根据权利要求26至27中任一项所述的通信***(100),所述通信***(100)还被配置为:
-由所述第一节点(111)确定解密所述业务的需要,以及
-由所述第一节点(111)发起从所述第二节点(112)获取所述一个或多个密钥,其中,所述发起获取(303)被配置为基于被配置为要被确定的解密需要。
52.根据权利要求26至17中任一项所述的通信***(100),所述通信***(100)还被配置为:
-由所述第一节点(111)接收第一指示,所述第一指示被配置为指示所述第二节点(112)被配置为具有提供所述一个或多个密钥以解密所述业务的能力,并且其中,所述发起所述获取被配置为基于被配置为要被接收的所述第一指示。
53.根据权利要求17至18中任一项所述的通信***(100),所述通信***(100)还被配置为:
-由所述第二节点(112)接收a)被配置为向所述第一节点(111)提供所述一个或多个密钥的第三指示,以及b)被配置为要使得能够对其解密的、所述两个或更多个端点(130、120)之间的会话的一个或多个第二指示,并且其中,所述发起提供被配置为基于被配置为要被接收的所述第三指示和一个或多个第二指示。
54.根据权利要求29所述的通信***(100),所述通信***(100)还被配置为:
-发起由所述第二节点(112)向所述第一节点(111)发送第一指示,所述第一指示被配置为指示所述第二节点(112)被配置为具有提供所述一个或多个密钥以解密所述业务的能力,并且其中,被配置为要被接收的所述第三指示被配置为基于被配置为要被发送的所述第一指示。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP21382024 | 2021-01-15 | ||
| EP21382024.4 | 2021-01-15 | ||
| PCT/EP2021/053040 WO2022152405A1 (en) | 2021-01-15 | 2021-02-09 | First node, second node, third node and methods performed thereby, for handling encrypted traffic in a communications network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117083893A true CN117083893A (zh) | 2023-11-17 |
Family
ID=74205777
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180095835.8A Pending CN117083893A (zh) | 2021-01-15 | 2021-02-09 | 用于处置通信网络中的已加密业务的第一节点、第二节点、第三节点及其执行的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240073680A1 (zh) |
| EP (1) | EP4278636A1 (zh) |
| CN (1) | CN117083893A (zh) |
| WO (1) | WO2022152405A1 (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3570178B1 (en) * | 2002-01-08 | 2020-05-27 | Seven Networks, LLC | Secure transport for mobile communication network |
| US7590844B1 (en) * | 2002-04-26 | 2009-09-15 | Mcafee, Inc. | Decryption system and method for network analyzers and security programs |
| US11070363B1 (en) * | 2018-12-21 | 2021-07-20 | Mcafee, Llc | Sharing cryptographic session keys among a cluster of network security platforms monitoring network traffic flows |
-
2021
- 2021-02-09 US US18/271,969 patent/US20240073680A1/en active Pending
- 2021-02-09 WO PCT/EP2021/053040 patent/WO2022152405A1/en active Application Filing
- 2021-02-09 CN CN202180095835.8A patent/CN117083893A/zh active Pending
- 2021-02-09 EP EP21703046.9A patent/EP4278636A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4278636A1 (en) | 2023-11-22 |
| US20240073680A1 (en) | 2024-02-29 |
| WO2022152405A1 (en) | 2022-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11690005B2 (en) | Network slice for visited network | |
| US11683087B2 (en) | Cloud based access solution for enterprise deployment | |
| US11689920B2 (en) | System and method for security protection of NAS messages | |
| WO2020029938A1 (zh) | 安全会话方法和装置 | |
| EP3847782A1 (en) | Automated roaming service level agreements between network operators via security edge protection proxies in a communication system environment | |
| US20210266369A1 (en) | Connectionless service and other services for devices using microservices in 5g or other next generation communication systems | |
| CN112105061B (zh) | 管理背景数据传输策略的方法、装置和*** | |
| US20210219137A1 (en) | Security management between edge proxy and internetwork exchange node in a communication system | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| EP3777464B1 (en) | Methods, apparatuses, system and computer program for accessing a service outside a mobile communications network in a multipath connection | |
| US20230379293A1 (en) | Methods for Handling Usage of a Domain Name Service and Corresponding Devices | |
| US20240073680A1 (en) | First Node, Second Node, Third Node and Methods Performed Thereby, for Handling Encrypted Traffic in a Communications Network | |
| US11902823B1 (en) | Methods and systems to support wireless local area network (WLAN) quality of service (QoS) | |
| US20240146702A1 (en) | Traffic management with asymmetric traffic encryption in 5g networks | |
| CN117616818A (zh) | 用于处置由装置对动作的执行的第一核心网络节点、第二节点和第三节点、通信***以及由此被执行的方法 | |
| WO2023083446A1 (en) | First node, device, endpoint, second node, communications system and methods performed thereby for handling information in the communications system | |
| WO2023134876A1 (en) | Communications system, first endpoint device and methods performed thereby for handling security | |
| WO2023224915A1 (en) | Security for distributed non-access stratum protocol in a mobile system | |
| WO2022173666A1 (en) | Connection between sim-less device and cellular network | |
| CN115706973A (zh) | 一种安全通信的方法及通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |