用于使得能够开放关于加密通信的信息的技术的制作方法

本公开总体上涉及移动通信系统。具体而言，提出了一种用于使得能够开放关于移动通信系统中的用户设备(ue)与应用服务器之间的加密通信的信息的技术。该技术可以在方法、计算机程序、装置和系统中具体实施。

背景技术：

1、诸如第四代(4g)或第五代(5g)移动通信系统的现代移动通信系统基于控制和用户平面分离(cups)架构，其中用户平面节点和控制平面节点彼此分离，其中用户平面通常专用于携带用户业务，而控制平面专用于携带网络中的控制信令。

2、图1示出了5g网络的示例性架构，其中用户平面携带在数据网络(dn)中运行的应用服务器与ue之间交换的业务，其中作为无线电接入网(ran)的基站运行的下一代nodeb(gnb)以及作为网络的网关节点运行的用户平面功能(upf)代表了用户平面节点。另一方面，图1中所示的其他节点代表网络的控制平面节点，包括接入和移动性管理功能(amf)、会话管理功能(smf)、认证服务器功能(ausf)、网络切片选择功能(nssf)、网络开放功能(nef)、nf储存库功能(nrf)、策略控制功能(pcf)、统一数据储存库(udr)和应用功能(af)，其中，amf负责例如认证、授权和移动性管理，smf负责例如会话管理以及upf选择和控制，ausf存储ue的认证数据，nssf负责网络切片选择，nef开放5g网络的网络功能(nf)的服务和能力，nrf提供对nf服务发现功能的支持，pcf负责策略控制以支持服务质量(qos)管理，udr例如可由pcf用来存储策略相关数据，以及af例如向pcf提供关于分组流的信息。

3、pcf通常支持统一的策略框架来管理网络行为，并且更具体地，向策略和计费执行功能(pcef)(诸如smf/upf，它们可以根据所提供的pcc规则来一起执行策略和计费决策)提供策略和计费控制(pcc)规则。因此，smf从pcf接收pcc规则，并且相应地配置upf。upf支持基于从smf接收的规则来处理用户平面业务并相应地应用不同的执行动作(例如，关于qos、计费等)。为此，upf支持深度分组检查(dpi)功能，以监测在dn的应用服务器与ue之间交换的业务。

4、通过nef，网络支持允许在内容提供商与移动通信系统的网络运营商之间开放服务和信息的开放框架，其中内容提供商提供dn中的应用服务器以及用于在ue上执行的对应应用客户端(例如，youtube应用服务器和安装在ue上的对应的youtube app)。nef可以包括分组流描述功能(pfdf)，该功能处理与应用标识符相关联的分组流描述(pfd)，并且将它们传送到smf，后者进而向upf发送pfd，使得upf能够在执行dpi时执行准确的基于分组流的应用检测。nef与应用服务器之间的nnef接口允许应用服务器访问由nef开放的nf的服务和能力。仅作为示例，开放框架可以用于帮助网络运营商对用户的应用数据业务进行分类，这可以通过nnef北向pfd管理应用编程接口(api)来完成，内容提供商可经由该api向网络运营商发送应用的要被应用的数据业务分类规则(例如，以pfd的形式)。

5、如今，普遍趋势是增加业务加密的使用。在这种趋势下，将开放信息与对应用户的数据业务相互联系将变得越来越困难。例如，这将适用于使用快速用户数据报协议(udp)互联网连接(quic)协议进行通信的应用。quic是基于udp的流复用安全传输协议，支持被完整性保护的报头和被加密的有效载荷。quic在将来可能是成为移动通信系统的用户平面中的主要传输协议的潜在候选者，并且今天主要在超文本传输协议(http)或超文本传输协议安全(https)上运行的许多应用可能被期望迁移到quic。然而，加密阻止了当前的开放机制对业务进行检测和分类，并且对于加密业务，诸如上述对用户的应用数据业务的分类之类的用例可能不再可能。应当理解，相同的问题不仅适用于使用quic协议的通信，还可能发生在诸如https、加密的传输层安全性(tls)报头(如服务器名称指示(sni))、https域名系统(dns)(doh)等其他加密技术的情况下。

技术实现思路

1、因此，需要一种技术，该技术即使应用业务被加密的情况下也允许网络运营商和内容提供商支持开放机制。

2、根据第一方面，提供了一种用于使得能够开放关于移动通信系统中的ue与应用服务器之间的加密通信的信息的方法。该方法由ue执行，并且包括：建立与移动通信系统的网络节点的通信信道，该通信信道被建立为ue与应用服务器之间的应用层通信信道的一部分，其中网络节点在ue与应用服务器之间的通信中充当应用层代理；以及通过通信信道向网络节点发送加密业务，以进一步递送到应用服务器，其中通信信道用于在ue与网络节点之间交换与加密业务相关的补充信息。

3、补充信息可以包括从ue传送到网络节点的应用标识符，该应用标识符指示在ue上发起加密业务的应用。应用标识符可将被网络节点使用来对加密业务进行分类，可选地用于执行为ue与应用服务器之间的通信定义的策略规则。加密业务可以作为多个应用会话中的一个应用会话的一部分进行传送，其中该多个应用会话中的每一个应用会话的加密业务可以通过通信信道来发送，其中该多个应用会话中的每一个应用会话的加密业务可以通过由移动通信系统为ue建立的同一数据会话来发送。

4、加密业务可以对应于在ue与应用服务器之间交换的基于quic协议的业务。补充信息可以包括指示与应用标识符相关联的一个或多个quic连接的信息。应用标识符可以连同加密业务一起被从ue传送到网络节点，其中在将加密业务传送到应用服务器之前，应用标识符可将由网络节点移除。通信信道可以是加密通信信道和认证通信信道中的至少一个。

5、该方法还可以包括接收指示充当应用层代理的网络节点的网络地址，其中建立与网络节点的通信信道可以是使用网络地址来执行的。网络地址可以由移动通信系统的控制平面节点提供，可选地作为在移动通信系统中为ue执行的数据会话建立过程的一部分来提供。此外，网络地址可以从dns服务获得。充当应用层代理的网络节点的完全合格域名(fqdn)可以作为服务级别协议(sla)的一部分被预先提供。

6、根据第二方面，提供了一种用于使得能够开放关于移动通信系统中的ue与应用服务器之间的加密通信的信息的方法。该方法由移动通信系统的网络节点执行，并且包括：基于ue的请求建立与ue的通信信道，该通信信道被建立为ue与应用服务器之间的应用层通信信道的一部分，其中网络节点在ue与应用服务器之间的通信中充当应用层代理；以及通过通信信道从ue接收加密业务，以进一步递送到应用服务器，其中通信信道用于在ue与网络节点之间交换与加密业务相关的补充信息。

7、根据第二方面的方法可以从与根据第一方面的方法有关的上述网络节点的角度来定义方法。如在第一方面的方法中，补充信息可以包括从ue传送到网络节点的应用标识符，该应用标识符指示在ue上发起加密业务的应用。网络节点可以使用应用标识符来对加密业务进行分类，可选地用于执行为ue与应用服务器之间的通信定义的策略规则。加密业务可以作为多个应用会话中的一个应用会话的一部分进行传送，其中该多个应用会话中的每一个应用会话的加密业务可以通过通信信道来发送，其中该多个应用会话中的每一个应用会话的加密业务可以通过由移动通信系统为ue建立的同一数据会话来发送。

8、加密业务可以对应于在ue与应用服务器之间交换的基于quic协议的业务。补充信息可以包括指示与应用标识符相关联的一个或多个quic连接的信息。应用标识符可以连同加密业务一起被从ue传送到网络节点，其中在将加密业务传送到应用服务器之前，网络节点可以移除应用标识符。通信信道可以是加密通信信道和认证通信信道中的至少一个。

9、该方法还可以包括：在建立通信信道之前，向移动通信系统的控制平面节点发送能力指示，以在选择充当ue与应用服务器之间的通信的应用层代理的网络节点时使用，该能力指示表明网络节点支持充当应用层代理。该方法还可以包括：在建立通信信道之前，从移动通信系统的控制平面节点接收充当应用层代理的指令，并且根据该指令来激活充当应用层代理。该方法还可以包括：在建立通信信道之前，向移动通信网络的控制平面节点提供指示充当应用层代理的网络节点的网络地址。可以将以下至少一项作为在移动通信系统中为ue执行的数据会话建立过程的一部分来执行：发送能力指示、接收充当应用层代理的指令、以及提供网络地址。

10、根据第三方面，提供了一种用于使得能够开放关于移动通信系统中的ue与应用服务器之间的加密通信的信息的方法。该移动通信系统包括网络节点，该网络节点被配置为当将通信信道建立为ue与应用服务器之间的应用层通信信道的一部分时，在ue与应用服务器之间的通信中充当应用层代理，该通信信道用于将加密业务从ue传送到网络节点以进一步递送到应用服务器，并且该通信信道用于在ue与网络节点之间交换与加密业务相关的补充信息。该方法由移动通信系统的第一控制平面节点执行，并且包括：从网络节点接收能力指示，以在选择充当ue与应用服务器之间的通信的应用层代理的网络节点时使用，该能力指示表明网络节点支持充当应用层代理。

11、根据第三方面的方法可以从与根据第一方面和第二方面的方法中的至少一个有关的上述控制平面节点的角度来定义方法。第一控制平面节点可以是负责网络节点选择的控制平面节点，其中该方法还可以包括：可选地从第二控制平面节点接收对以下要求的指示：处理ue与应用服务器之间的通信的网络节点要支持充当应用层代理；基于能力指示选择该网络节点用于ue与应用服务器之间的通信；以及指示该网络节点充当应用层代理。该方法还可以包括：从网络节点接收指示充当应用层代理的该网络节点的网络地址，并且可选地经由移动通信系统的一个或多个其他控制平面节点向ue提供该网络地址。可以将以下至少一项作为在移动通信系统中为ue执行的数据会话建立过程的一部分来执行：接收对要求的指示、以及提供网络地址。

12、根据第四方面，提供了一种用于使得能够开放关于移动通信系统中的ue与应用服务器之间的加密通信的信息的方法。该移动通信系统包括网络节点，该网络节点被配置为当将通信信道建立为ue与应用服务器之间的应用层通信信道的一部分时，在ue与应用服务器之间的通信中充当应用层代理，该通信信道用于将加密业务从ue传送到网络节点以进一步递送到应用服务器，并且该通信信道用于在ue与网络节点之间交换与加密业务相关的补充信息。该方法由移动通信系统的第二控制平面节点执行，并且包括：可选地向第一控制平面节点提供对以下要求的指示：处理ue与应用服务器之间的通信的网络节点要支持充当应用层代理。

13、根据第四方面的方法可以从与根据第一方面和第二方面的方法中的至少一个有关的上述控制平面节点的角度来定义方法。第二控制平面节点可以是负责策略控制的控制平面节点，其中对要求的指示可以被以策略规则的形式提供给第一控制平面节点。该要求可以是从移动通信系统的存储订户数据的数据储存库获得的，其中该要求可以是以订户策略数据的形式从数据储存库获得的。该要求可以最初由应用服务器设置，并且被经由移动通信系统的开放接口传送到移动通信系统。可以将提供对要求的指示作为在移动通信系统中为ue执行的数据会话建立过程的一部分来执行。

14、根据第五方面，提供了一种计算机程序产品。该计算机程序产品包括程序代码部分，用于当在一个或多个计算设备(例如，处理器或分布式处理器组)上执行该计算机程序产品时，执行第一、第二、第三和第四方面中的至少一个方面的方法。计算机程序产品可以存储在计算机可读记录介质上，诸如半导体存储器、dvd、cd-rom等。

15、根据第六方面，提供了一种ue，用于使得能够开放关于移动通信系统中的ue与应用服务器之间的加密通信的信息。该ue包括至少一个处理器和至少一个存储器，其中该至少一个存储器包含能够由该至少一个处理器执行的指令，使得该ue可操作来执行本文中关于第一方面给出的任何方法步骤。

16、根据第七方面，提供了一种计算单元，该计算单元被配置为实现移动通信系统的网络节点，用于使得能够开放关于移动通信系统中的ue与应用服务器之间的加密通信的信息。该计算单元包括至少一个处理器和至少一个存储器，其中该至少一个存储器包含能够由该至少一个处理器执行的指令，使得该网络节点可操作来执行本文关于第二方面给出的任何方法步骤。

17、根据第八方面，提供了一种计算单元，该计算单元被配置为实现移动通信系统的第一控制平面节点，用于使得能够开放关于移动通信系统中的ue与应用服务器之间的加密通信的信息。该计算单元包括至少一个处理器和至少一个存储器，其中该至少一个存储器包含能够由该至少一个处理器执行的指令，使得该第一控制平面节点可操作来执行本文关于第三方面提出的任何方法步骤。

18、根据第九方面，提供了一种计算单元，该计算单元被配置为实现移动通信系统的第二控制平面节点，用于使得能够开放关于移动通信系统中的ue与应用服务器之间的加密通信的信息。该计算单元包括至少一个处理器和至少一个存储器，其中该至少一个存储器包含能够由该至少一个处理器执行的指令，使得该第二控制平面节点可操作来执行本文关于第四方面提出的任何方法步骤。

19、根据第十方面，提供了一种系统，该系统包括根据第六方面的ue和根据第七方面的计算单元，可选地包括根据第八方面的计算单元，以及进一步可选地包括根据第九方面的计算单元。