加密流量检测方法、网元、终端、系统、介质及设备与流程

1.本公开涉及通信技术领域，尤其涉及一种加密流量检测方法、upf网元、用户终端、加密流量检测系统、计算机可读存储介质及电子设备。


背景技术：

2.upf(user plane function，用户面功能)作为5gc用户面网元，主要支持ue业务数据的路由和转发、数据和业务识别、动作和策略执行等。upf网元通过接收来自控制面的pdr(包检测规则)来完成数据包的检测和分类。
3.目前在5g网络层加密之外，终端与应用服务器之间还进行流量加密，由于加密后的流量可以避免被检测到，使得网络设备无法对正常信息对应的加密流量以及网络攻击和仿冒软件对应的加密流量进行快速区分。
4.综上所述，如何通过upf网元提高终端与应用服务器之间的网络安全性以及避免网络攻击是本领域亟需解决的技术问题。
5.需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

6.本公开的目的在于提供一种加密流量检测方法、upf网元、用户终端、加密流量检测系统、计算机可读存储介质及电子设备，以至少解决相关技术中，用户终端和应用服务器之间网络安全性较差的技术问题。
7.本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
8.本公开的技术方案如下：
9.根据本公开的一个方面，提供一种加密流量检测方法，应用于用户面功能upf网元，该方法包括：接收用户终端发送的应用服务的加密流量，其中加密流量包括第一哈希值和会话服务标签，第一哈希值是用户终端根据自己的互联网协议ip地址信息和第一验证码信息执行哈希运算的结果，会话服务标签是由会话管理功能smf网元基于用户终端的ip地址信息、应用服务的应用服务信息和策略与计费控制pcc规则分配的；根据会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；以及根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
10.在本公开的一些实施例中，第一哈希值和会话服务标签被用户终端一起封装为加密流量的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。
11.在本公开的一些实施例中，根据会话服务标签获取相关联的第二验证码信息之前包括：接收smf网元发送的pcc规则、会话服务标签和相关联的第二验证码信息，第二验证码信息是由smf网元对会话服务标签使用密钥派生处理得到的；将pcc规则与会话服务标签以及第二验证码信息建立关联；以及向smf网元发送表征关联完成的第一响应消息。
12.根据本公开的一个方面，提供一种加密流量检测方法，应用于用户终端，该方法包括：获取应用服务的会话服务标签和第一验证码信息，其中所述会话服务标签是由会话管理功能smf网元基于所述用户终端的互联网协议ip地址信息、所述应用服务的应用服务信息和策略与计费控制pcc规则分配的；根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值；根据会话服务标签和第一哈希值得到应用服务的加密流量；以及将加密流量发送至用户面功能upf网元以使upf网元根据会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；以及根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
13.在本公开的一些实施例中，根据会话服务标签和第一哈希值得到应用服务的加密流量包括：将第一哈希值和会话服务标签一起封装为加密流量的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。
14.在本公开的一些实施例中，获取应用服务的会话服务标签和第一验证码信息包括：接收smf网元发送的应用服务的应用服务信息和对应的会话服务标签；对会话服务标签进行密钥派生处理得到第一验证码信息；将应用服务信息与会话服务标签以及第一验证码信息建立关联；以及向smf网元发送表征关联完成的第二响应消息。
15.根据本公开的一个方面，提供一种加密流量检测方法，该方法包括：应用功能af网元向策略控制功能pcf网元发送策略提供请求，策略提供请求包括为用户终端的互联网协议ip地址信息提供的应用服务的应用服务信息；pcf网元响应于策略提供请求根据用户终端的ip地址信息、应用服务信息生成对应的策略与计费控制pcc规则，并将ip地址信息、应用服务信息以及对应的pcc规则发送至smf网元；smf网元基于用户终端的ip地址信息、应用服务信息和pcc规则分配唯一的会话服务标签；对会话服务标签使用密钥派生处理得到第二验证码信息；并向用户终端发送与应用服务信息对应的会话服务标签；用户终端对会话服务标签进行密钥派生处理得到第一验证码信息；将应用服务与会话服务标签以及第一验证码信息建立关联后，向smf网元发送第一响应消息；smf网元响应于接收到用户终端发送的第一响应消息，向用户面功能管理upf网元发送pcc规则、会话服务标签和相关联的第二验证码信息；upf网元将pcc规则与会话服务标签以及第二验证码信息建立关联后，向smf网元发送第二响应消息；smf网元响应于接收到用户终端发送的第二响应消息，向pcf网元和af网元分别发送策略提供响应消息，策略提供响应消息表征pcc规则已经关联完成；用户终端根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值；根据会话服务标签和第一哈希值得到应用服务的加密流量；将加密流量发送至用户面功能upf网元以检测加密流量关联的pcc规则；upf网元接收用户终端发送的加密流量；根据会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
16.在本公开的一些实施例中，第一哈希值和会话服务标签被用户终端一起封装为加密流量的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。
17.根据本公开的一个方面，提供一种用户面功能upf网元，该upf网元包括：加密流量接收模块，用于接收用户终端发送的应用服务的加密流量，其中加密流量包括第一哈希值和会话服务标签，第一哈希值是用户终端根据自己的互联网协议ip地址信息和第一验证码信息执行哈希运算的结果，会话服务标签是由会话管理功能smf网元基于用户终端的ip地
址信息、应用服务的应用服务信息和策略与计费控制pcc规则分配的；第二验证码获取模块，用于根据会话服务标签获取相关联的第二验证码信息；第一哈希运算模块，用于基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；以及检测模块，用于根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
18.根据本公开的一个方面，提供一种用户终端，该用户终端包括：第一验证码获取模块，用于获取应用服务的会话服务标签和第一验证码信息，其中会话服务标签是由会话管理功能smf网元基于用户终端的互联网协议ip地址信息、应用服务的应用服务信息和策略与计费控制pcc规则分配的；第二哈希运算模块，用于根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值；加密流量生成模块，用于根据会话服务标签和第一哈希值得到应用服务的加密流量；以及加密流量发送模块，用于将加密流量发送至用户面功能upf网元以使upf网元根据会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；以及根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
19.根据本公开的一个方面，提供一种加密流量检测系统，该系统包括：应用功能af网元，用于向策略控制功能pcf网元发送策略提供请求，策略提供请求包括为用户终端的互联网协议ip地址信息提供的应用服务的应用服务信息；pcf网元，用于响应于策略提供请求根据用户终端的ip地址信息述应用服务信息生成对应的策略与计费控制pcc规则，并将ip地址信息、应用服务信息以及对应的pcc规则发送至smf网元；smf网元，用于基于用户终端的ip地址信息、应用服务信息和pcc规则分配唯一的会话服务标签；对会话服务标签使用密钥派生处理得到第二验证码信息；并向用户终端发送与应用服务信息对应的会话服务标签；用户终端，用于对会话服务标签进行密钥派生处理得到第一验证码信息；将应用服务与会话服务标签以及第一验证码信息建立关联后，向smf网元发送第一响应消息；smf网元，还用于响应于接收到用户终端发送的第一响应消息，向用户面功能管理upf网元发送pcc规则、会话服务标签和相关联的第二验证码信息；upf网元，还用于将pcc规则与会话服务标签以及第二验证码信息建立关联后，向smf网元发送第二响应消息；smf网元，还用于响应于接收到用户终端发送的第二响应消息，smf网元向pcf网元和af分别发送策略提供响应消息，策略提供响应消息表征pcc规则已经关联完成；用户终端，还用于根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值；根据会话服务标签和第一哈希值得到应用服务的加密流量；将加密流量发送至用户面功能upf网元以检测加密流量关联的pcc规则；以及upf网元，还用于接收用户终端发送的加密流量；根据会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
20.根据本公开的再一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的加密流量检测方法。
21.根据本公开的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的加密流量检测方法。
22.本公开提出一种upf识别用户终端发送的加密流量的技术方案，扩大了流量检测的范围，提高流量识别的准确率。
23.进一步地，为用户终端的应用服务关联唯一会话服务标签、验证码信息，以使得upf网元可以识别应用加密流量的具体信息从而检测加密流量是否合法、安全性较高、且实现难度较低，有效防止仿冒ue、篡改路径等网络攻击、盗用流量的事件。
24.更进一步地，将pcc规则与加密流量关联，以验证用户终端的加密流量与pcc规则关联的合法性，从而精确执行加密流量的pcc规则。
25.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
26.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
27.图1示出本公开实施例应用的无线通信系统的结构示意图。
28.图2示出本公开实施例中一种由upf网元执行的加密流量检测方法的流程图。
29.图3示出本公开实施例中一种由upf网元执行的加密流量检测方法中pcc规则关联方法的流程图。
30.图4示出本公开实施例中一种由用户终端执行的加密流量检测方法的流程图。
31.图5示出本公开实施例中一种由用户终端执行的加密流量检测方法中获取应用服务的会话服务标签和第一验证码信息的方法流程图。
32.图6示出本公开实施例中又一种加密流量检测方法的流程图。
33.图7示出本公开实施例中一种加密流量检测方法的信令交互流程图。
34.图8示出本公开实施例中一种用户面功能upf网元的示意图。
35.图9示出本公开实施例中一种用户终端的示意图。
36.图10示出本公开实施例中一种加密流量检测系统的结构示意图。
37.图11示出本公开实施例中一种加密流量检测方法的计算机设备的结构框图。
具体实施方式
38.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
39.此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
40.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者
隐含地包括一个或者更多个该特征。在本公开的描述中，“多个”的含义是至少两个，例如两个、三个等，除非另有明确具体的限定。
41.针对上述相关技术中存在的技术问题，本公开实施例提供了一种加密流量检测方法，以用于至少解决上述技术问题中的一个或全部。
42.需要指出的是，本技术实施例中涉及的名词或术语可以相互参考，不再赘述。
43.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行地描述。
44.图1示出本公开实施例中一种通信系统的结构示意图。如图1所示，该通信系统包括：ue 120、无线接入网110(radio access network，ran/an)和核心网。进一步，该通信系统还可以包括数据网络130(data network，dn)，dn 130可以是指为用户提供数据传输服务的服务网络，如ip多媒体业务(ip multi-media service，ims)、因特网(internet)等。
45.另外，该接入网用于实现无线接入有关的功能，该接入网可以包括第三代合作伙伴计划(3rd generation partnership project，3gpp)接入网和non-3gpp的接入网。接入网设备可以是指为ue 120提供接入服务的网络设备110a，网络设备110a可以是用于与移动设备通信的设备，网络设备可以是wlan中的接入点(access point，ap)，gsm或cdma中的基站(base transceiver station，bts)，也可以是wcdma中的基站(nodeb，nb)，还可以是lte中的演进型基站(evolutional node b，enb或enodeb)，或者中继站或接入点，或者车载设备、可穿戴设备以及nr网络中的网络设备(gnb)或者未来演进的plmn网络中的网络设备等。
46.其中，ue用户终端120可以是手机、游戏主机、平板电脑、电子书阅读器、智能眼镜、mp4(movingpicture experts group audio layer iv，动态影像专家压缩标准音频层面4)播放器、智能家居设备、ar(augmented reality，增强现实)设备、vr(virtual reality，虚拟现实)设备等移动终端，或者，用户终端120也可以是个人计算机(personal computer，pc)，比如膝上型便携计算机和台式计算机等等。
47.再者，该核心网可以包括以下逻辑网元：会话管理功能(session management function，smf)网元140a、接入与移动性管理功能(access and mobility management function，amf网元)网元140b、认证服务器功能(authentication server function，ausf)网元140c、用户面功能(user plane function，upf)网元140d、应用功能(application function，af)网元140e、统一数据管理(unified data management，udm)网元140f、策略控制功能(policy control function，pcf)网元140g、网络存储功能(network repository function，nrf)网元140h、网络开放功能(network exposure function，nef)网元140i和网络切片选择功能(network slice selection function，nssf网元)网元140j等。下面分别对不同的核心网网元的功能进行介绍说明，具体如下所示。
48.smf网元140a：核心网控制面网元，主要负责移动网络中的会话管理，比如，会话建立、修改、释放；具体功能如为用户分配ip地址、选择提供报文转发功能的upf等。
49.amf网元140b：核心网控制面网元，主要负责移动网络中的移动性管理，比如，用户位置更新、用户注册网络、用户切换等。
50.ausf网元140c：核心网控制面网元，由运营商提供的控制面网元，用于执行认证，比如，用于执行3gpp网络对其签约用户的认证。
51.upf网元140d：核心网用户面网元，用于负责ue中用户数据的转发和接收，可以从dn接收用户数据，通过接入网设备传输给ue；upf网元还可以通过接入网设备从ue接收用户
数据，转发到dn。
52.af网元140e：主要支持与3gpp核心网交互来提供服务，例如影响数据路由决策，策略控制功能或者向网络侧提供第三方的一些服务。
53.udm网元140f：核心网控制面网元，用于存储用户签约数据，生成认证信任状，用户标识处理(比如，存储和管理用户永久身份等)，接入授权控制和签约数据管理等。
54.pcf网元140g：核心网控制面网元，主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。
55.nrf网元140h：核心网控制面网元，用于支持服务发现功能，还可用于维护可用网络功能网元的信息以及各自支持的服务等。
56.nef网元140i：核心网控制面网元，主要用于负责移动网络能力的对外开放。
57.nssf网元140j：核心网控制面网元，主要用于5g的切片业务，比如，负责目标网络切片实例(network slice instance，nsi)的选择。可选的，nssf网元也可以替换为网络切片特定的认证和授权功能(network slice specific authentication and authorization function，nssaaf)网元。
58.可选的，为了实现对切片进行与认证和授权相关的功能，可以引入网络切片特定认证和授权功能(network slice-specific authentication and authorization function，nssaaf)网元。
59.在图1所示的通信系统中，ue可以通过n1接口与amf网元140b通信，r(an)设备可以通过n2接口与amf网元140b通信，r(an)设备可以通过n3接口与upf网元140d通信，upf网元140d可以通过n4接口与dn 130通信。另外，核心网中的网元可以通过服务化接口进行通信，比如，该服务化接口可以包括：nnssf接口、nnef接口、nnrf接口、npcf接口、nudm接口、naf接口、nausf接口、namf接口和nnsm接口等。可以理解的是，在上述图1所示的通信系统中，各网元的功能以及接口仅为示例性的，各个网元在应用于本技术的实施例中时，并非全部功能都是必需的。
60.进一步的，在本技术中，该通信系统还可以包括：认证、授权和计费(authentication authorization and accounting，aaa)服务器，aaa服务器(server)也可以称为aaa-s。aaa-s可以通过支持aaa-s与amf网元140b通信的中间网元与amf网元140b进行通信，该中间网元可以是ausf网元140c、nef网元140i、nssaaf网元或者其他用于认证和授权流程的网元，等。可选的，该通信系统还可以包括：认证、授权和计费代理(authentication authorization and accounting proxy，aaa-p)。当aaa-s与amf网元140b通信时，aaa-s可以先与aaa-p通信，由aaa-p将aaa-s的通信信息通过ausf网元140c、nef网元140i或nssaaf网元等中间网元发送给amf网元140b；类似的，amf网元140b通过ausf网元140c、nef网元140i或nssaaf网元等中间网元将通信信息发送给aaa-p，由aaa-p发送给aaa-s。
61.图2示出本公开实施例中一种由upf网元执行的加密流量检测方法的流程图。本公开实施例提供的方法可以应用于图1所示的无线通信系统中的upf网元。在下面的举例说明中，以upf 140d为执行主体进行示例说明。
62.如图2所示，方法200可以包括以下步骤：
63.在步骤s210中，接收用户终端发送的应用服务的加密流量，其中加密流量包括第
一哈希值和会话服务标签，第一哈希值是用户终端根据自己的互联网协议ip地址信息和第一验证码信息执行哈希运算的结果，会话服务标签是由会话管理功能smf网元基于用户终端的ip地址信息、应用服务的应用服务信息和策略与计费控制pcc规则分配的。
64.其中，验证码信息为字符串形式，在本公开的一些实施例中，第一验证码信息根据预设规则生成。例如，预设规则可以是对会话服务标签进行密钥派生处理。
65.在本公开的一些实施例中，ip地址信息可以包括ip地址的五元组信息，即源ip地址、源端口、目的ip地址、目的端口和传输层协议组成的集合，例如192.168.1.1 10000tcp 121.14.88.76 80就构成了一个五元组，表示一个ip地址为192.168.1.1的终端通过端口10000，利用tcp协议，和ip地址为121.14.88.76，端口为80的终端进行连接。在一些实施例中，第一哈希值可以是ip五元组和第一验证码执行哈希运算的结果。
66.在本公开的一些实施例中，应用服务信息是应用服务id，也称appid。
67.在本公开的一些实施例中，会话服务标签是smf网元根据用户终端的ip五元组、应用服务id以及pcc规则分配的唯一标识。
68.在步骤s220中，根据会话服务标签获取相关联的第二验证码信息。
69.其中，第二验证码信息是upf网元本地存储的验证码信息。
70.在步骤s230中，基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值。
71.在本公开的一些实施例中，第二哈希值是ip五元组和第二验证码执行哈希运算的结果。
72.在步骤s240中，根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
73.在本公开的一些实施例中，若第一哈希值和第二哈希值一致，则验证成功，upf可以继续执行与该加密流量相关联的pcc规则，相应地，也对下行链路的加密流量执行pcc规则；若不一致，则验证不成功，则表征该加密流量与pcc的关联关系不合法，从而使upf网元可以识别出用户终端发送的非法流量，从而不转发该非法流量，扩大了流量检测的范围，提高流量识别的准确率。
74.本公开方法为用户终端的应用服务关联唯一会话服务标签、验证码信息，以使得upf网元可以识别应用加密流量的具体信息从而检测加密流量是否合法、安全性较高、且实现难度较低，有效防止仿冒ue、篡改路径等网络攻击、盗用流量的事件。
75.进一步地，将pcc规则与加密流量关联，以验证用户终端的加密流量与pcc规则关联的合法性，从而精确执行加密流量的pcc规则。
76.在本公开的一些实施例中，第一哈希值和会话服务标签被用户终端一起封装为加密流量的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。
77.通过将信息封装在pdcp与ip层之间的扩展头，从而既不需要改变ip层报文的长度，又不影响加密数据的有效载荷，还降低了ip层的报文开销。
78.图3示出本公开实施例中一种由upf网元执行的加密流量检测方法中pcc规则关联方法的流程图。本公开实施例提供的方法可以应用于图1所示的无线通信系统中的upf网元。在下面的举例说明中，以upf 140d为执行主体进行示例说明。
79.如图3所示，方法300可以包括以下步骤：
80.在步骤s310中，接收smf网元发送的pcc规则、会话服务标签和相关联的第二验证
码信息，第二验证码信息是由smf网元对会话服务标签使用密钥派生处理得到的。
81.其中，会话服务标签是smf网元根据用户终端的ip地址信息、应用服务信息以及pcc规则分配的唯一标识。在一些实施例中，会话服务标签是smf网元根据用户终端的ip五元组信息、应用服务id以及pcc规则分配的唯一标识。
82.其中，第二验证码信息是smf网元对会话服务标签和预设中间密钥进行密钥派生处理的结果，例如，可以使用3gpp中任意一种中间密钥与会话服务标签通过密钥派生函数kdf获得。例如中间密钥可以是k
amf
、k
seaf
等；以中间密钥k
amf
为例，第二验证码信息xauc＝kdf(k
amf
，会话服务标签)。
83.在步骤s320中，将pcc规则与会话服务标签以及第二验证码信息建立关联。
84.在步骤s330中，向smf网元发送表征关联完成的第一响应消息。
85.通过关联加密流量的pcc规则、会话服务标签以及派生的验证码信息，使得upf可以识别加密流量的其他关联信息验证该加密流量和pcc规则的关联关系从而验证加密流量。
86.进一步地，通过建立不同的关联关系，可以满足不同用户对应用服务的自定制流量需求，适应于多种业务场景，提高客户的使用感受度。
87.图4示出本公开实施例中一种由用户终端执行的加密流量检测方法的流程图。本公开实施例提供的方法可以应用于图1所示的无线通信系统中的用户终端ue网元。在下面的举例说明中，以ue 120为执行主体进行示例说明。
88.如图4所示，方法400可以包括以下步骤：
89.在步骤s410中，获取应用服务的会话服务标签和第一验证码信息，其中会话服务标签是由会话管理功能smf网元基于用户终端的互联网协议ip地址信息、应用服务的应用服务信息和策略与计费控制pcc规则分配的。
90.在本公开的一些实施例中，由用户终端从smf网元获取应用服务的会话服务标签和第一验证码信息。其中，验证码信息为字符串形式，在本公开的一些实施例中，第一验证码信息根据预设规则生成。例如，预设规则可以是对会话服务标签和预设中间密钥进行密钥派生处理。
91.在本公开的一些实施例中，会话服务标签是smf网元根据用户终端的ip地址信息包括的ip五元组、应用服务信息包括的应用服务id以及pcc规则分配的唯一标识。
92.在步骤s420中，根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值。
93.在本公开的一些实施例中，第一哈希值可以是ip五元组和第一验证码执行哈希运算的结果。
94.在步骤s430中，根据会话服务标签和第一哈希值得到应用服务的加密流量。
95.在本公开的一些实施例中，将会话服务标签和第一哈希值添加到加密数据包中作为加密流量。
96.在步骤s440中，将加密流量发送至用户面功能upf网元以使upf网元根据会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；以及根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
97.在本公开的一些实施例中，upf网元根据加密流量中携带的会话服务标签和第一
哈希值检测加密流量的方法可以参照图2中的方法200，在此不再赘述。
98.本公开方法实现了在用户终端和应用服务器之间识别非法流量的功能，扩大了流量检测范围，提高流量识别的准确率；进一步，可以识别加密流量的具体信息从而检测加密流量是否合法、安全性较高、且实现难度较低；更进一步地，通过建立加密流量与pcc规则的关联关系，从而实现精确执行加密流量的pcc规则。
99.在本公开的一些实施例中，用户终端根据会话服务标签和第一哈希值得到应用服务的加密流量包括：将第一哈希值和会话服务标签一起封装为加密流量的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。
100.本公开通过用户终端将信息封装在加密流量的pdcp与ip层之间的扩展头中发送给upf网元，从而既不需要改变ip层报文的长度，从而又不影响加密数据的有效载荷，还降低了ip层的报文开销。
101.图5示出本公开实施例中一种由用户终端执行的加密流量检测方法中获取应用服务的会话服务标签和第一验证码信息的方法流程图。本公开实施例提供的方法可以应用于图1所示的无线通信系统中的用户终端ue网元。在下面的举例说明中，以ue 120为执行主体进行示例说明。
102.如图5所示，方法500可以包括以下步骤：
103.在步骤s510中，接收smf网元发送的应用服务的应用服务信息和对应的会话服务标签。
104.其中，应用服务信息包括应用服务id，也称appid。在本公开的一些实施例中，会话服务标签是smf网元基于用户终端的ip地址信息、应用服务id和pcc规则分配的唯一标识。
105.在步骤s520中，对会话服务标签进行密钥派生处理得到第一验证码信息。
106.其中，第一验证码信息是用户终端对会话服务标签和预设中间密钥进行密钥派生处理的结果，例如，以中间密钥k
amf
为例，第一验证码信息auc＝kdf(k
amf
，会话服务标签)。
107.在步骤s530中，将应用服务与会话服务标签以及第一验证码信息建立关联。
108.在步骤s540中，向smf网元发送表征关联完成的第二响应消息。
109.本公开方法通过用户终端侧关联存储应用服务和会话服务标签以及第一验证码信息，从而在向upf网元发送加密流量时，可以携带相关联的其他信息以使upf网元可以通过识别应用服务的关联信息验证该加密流量的合法性。进一步地，可以满足不同用户对应用服务的自定制流量需求，适应于多种业务场景，提高客户的使用感受度。
110.图6示出本公开实施例中又一种加密流量检测方法的流程图。如图6所示，所述方法600可以包括以下步骤：
111.在步骤s610中，应用功能af网元向策略控制功能pcf网元发送策略提供请求，策略提供请求包括为用户终端的互联网协议ip地址信息提供的应用服务的应用服务信息。
112.其中，af网元可以包括应用服务器，策略提供请求包括af网元按照sla(service-level agreement，服务等级协议)为用户终端创建的一些与特定应用相关的策略。
113.其中，应用服务信息包括应用服务id，即appid。
114.其中，ip地址信息包括ip地址五元组。
115.在步骤s620中，pcf网元响应于策略提供请求根据用户终端的ip地址信息、应用服务信息生成对应的pcc规则，并将ip地址信息、应用服务信息以及对应的pcc规则发送至smf
网元。
116.在步骤s630中，smf网元基于用户终端的ip地址信息、应用服务信息和pcc规则分配唯一的会话服务标签；对会话服务标签使用密钥派生处理得到第二验证码信息；并向用户终端发送与应用服务对应的会话服务标签。
117.在本公开的一些实施例中，对会话服务标签使用密钥派生处理得到第二验证码信息可以是根据会话服务标签与预设中间密钥使用密钥派生函数得到的，以预设中间密钥为k
amf
为例，第二验证码信息xauc可以表示为xauc＝kdf(k
amf
，会话服务标签)。
118.在步骤s640中，用户终端对会话服务标签进行密钥派生处理得到第一验证码信息；将应用服务与会话服务标签以及第一验证码信息建立关联后，向smf网元发送第一响应消息。
119.在本公开的一些实施例中，以预设中间密钥为k
amf
为例，第一验证码信息auc可以表示为auc＝kdf(k
amf
，会话服务标签)。
120.在步骤s650中，smf网元响应于接收到用户终端发送的第一响应消息，向用户面功能管理upf网元发送pcc规则、会话服务标签和相关联的第二验证码信息。
121.在步骤s660中，upf网元完成将pcc规则与会话服务标签以及第二验证码信息建立关联后向smf网元发送第二响应消息。
122.在步骤s670中，smf网元响应于接收到用户终端发送的第二响应消息，向pcf网元和af网元分别发送策略提供响应消息，策略提供响应消息表征pcc规则已经关联完成。
123.在步骤s680中，用户终端根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值；根据会话服务标签和第一哈希值得到应用服务的加密流量；将加密流量发送至用户面功能upf网元以检测加密流量关联的pcc规则。
124.在本公开的一些实施例中，根据ip五元组和第一验证码信息得到第一哈希值。例如，第一验证码信息为xauc，则第一哈希值可以表示为hash(ip地址五元组||xauc)，然后将该哈希结果和服务标签一起作为扩展头封装。
125.在步骤s690中，upf网元接收用户终端发送的加密流量；根据会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
126.在本公开的一些实施例中，根据ip五元组和第二验证码信息得到第二哈希值。例如，第二验证码信息为auc，则第二哈希值可以表示为hash(ip地址五元组||auc)。
127.在本公开的一些实施例中，若第一哈希值与第二哈希值一致，则upf网元将该加密流量转发至af网元以为用户终端提供应用服务，并对该加密流量执行pcc规则中qos(quality of service，服务质量)和计费等规则，相应地，对于发送给用户终端的下行链路的加密流量，也可以执行与会话服务标签对应的pcc规则中的qos和计费等规则；若第一哈希值与第二哈希值不一致，则upf网元不对该加密流量进行转发。
128.一方面，本公开实施例的方法实现了upf网元识别用户终端和af网元之间的非法流量，扩了流量检测范围，提高流量识别的准确率。
129.又一方面，本公开实施例的方法还通过smf网元为用户终端的应用服务关联唯一会话服务标签、验证码信息，以使得upf网元可以识别加密流量的具体信息从而检测加密流量是否合法、安全性较高、且实现难度较低，有效防止仿冒ue、篡改路径等网络攻击、盗用流
量的事件。
130.再一方面，本公开实施例的方法将pcc规则与加密流量关联，以验证用户终端的加密流量与pcc规则关联的合法性，从而精确执行加密流量的pcc规则。
131.在本公开的一些实施例中，第一哈希值和会话服务标签被用户终端一起封装为加密流量的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。通过将信息封装在pdcp与ip层之间的扩展头，从而既不需要改变ip层报文的长度，又不影响加密数据的有效载荷，还降低了ip层的报文开销。
132.在本公开的一些实施例中，可以通过发起发送协议数据单元(pdu)会话修改请求消息以生成会话服务标签从而建立加密流量的会话服务标签、验证码与pcc规则的映射关系。例如pdu会话修改请求可以包括上述用户终端的ip地址信息、应用服务信息、pcc规则信息等建立关联的对象。例如图7示出的本公开实施例中一种加密流量检测方法的信令交互流程图。如图7所示，加密流量检测方法包括如下步骤：
133.在步骤s702中，af网元700f通过nef网元700e向核心网的pcf网元700d发起策略提供请求，其中策略提供请求包括用户终端的ip地址信息和应用服务的应用服务id。
134.在步骤s704中，由pcf网元700d响应于策略提供请求根据用户终端的ip地址信息、应用服务信息生成对应的pcc规则，并向smf网元700b发起pdu会话策略修改请求。
135.在步骤s706中，smf网元700b基于用户终端的ip地址信息、应用服务信息和pcc规则分配唯一的会话服务标签。
136.在步骤s708中，smf网元700b对会话服务标签使用密钥派生处理得到第二验证码信息。
137.其中，smf根据会话服务标签与预设中间密钥使用密钥派生函数生成检验加密流量的第二验证码。
138.在步骤s710中，smf网元700b向用户终端700a发起pdu会话修改请求，其中该pdu会话修改请求包括应用服务id和对应的会话服务标签。
139.在步骤s712中，由用户终端700a根据会话服务标签和预设中间密钥使用密钥派生函数生成与该应用服务id对应的第一验证码。
140.在步骤s714中，由用户终端700a将应用服务与会话服务标签以及第一验证码信息建立关联后，向smf网元700b发起pdu会话修改响应。
141.在步骤s716中，由smf网元700b通过n4报文向upf网元700c发送pcc规则中的qos执行规则、会话服务标签和第二验证码信息。
142.在步骤s718中，upf网元700c完成将qos规则与会话服务标签以及第二验证码信息建立关联后向smf网元发送n4会话修改响应。
143.在步骤s720中，smf网元700b向pcf网元700d返回pdu会话策略修改响应。
144.在步骤s722中，smf网元700b通过nef网元向af网元700f返回策略提供响应。
145.在本公开的一些实施例中，upf网元700c对用户终端的应用服务的加密流量检测过程可以包括以下步骤：
146.在步骤s724中，用户终端700a根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值。
147.在步骤s726中，用户终端700a将第一哈希值和会话服务标签一起封装为加密流量
的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。
148.在步骤s728中，将加密流量发送至用户面功能upf网元以检测加密流量关联的pcc规则。
149.在步骤s730中，upf网元700c根据会话服务标签获取相关联的第二验证码信息；基于用户终端700a的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
150.在步骤s732中，upf网元700c对验证通过的加密流量执行对应的pcc规则中的qos和计费等规则。
151.在步骤s734中，upf网元700c还对验证通过的加密流量执行转发至af网元700f以为用户终端提供应用服务数据。
152.需要注意的是，上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。
153.图8示出本公开实施例中一种用户面功能upf网元的示意图。如图8所示，该upf网元包括以下模块：
154.加密流量接收模块810，用于接收用户终端发送的应用服务的加密流量，其中加密流量包括第一哈希值和会话服务标签，第一哈希值是用户终端根据自己的互联网协议ip地址信息和第一验证码信息执行哈希运算的结果，会话服务标签是由会话管理功能smf网元基于用户终端的ip地址信息、应用服务的应用服务信息和策略与计费控制pcc规则分配的。
155.第二验证码获取模块820，用于根据会话服务标签获取相关联的第二验证码信息。
156.第一哈希运算模块830，用于基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值。
157.检测模块840，用于根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
158.在本公开的一些实施例中，第一哈希值和会话服务标签被用户终端一起封装为加密流量的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。
159.在本公开的一些实施例中，根据会话服务标签获取相关联的第二验证码信息之前包括：接收smf网元发送的pcc规则、会话服务标签和相关联的第二验证码信息，第二验证码信息是由smf网元对会话服务标签使用密钥派生处理得到的；将pcc规则与会话服务标签以及第二验证码信息建立关联；以及向smf网元发送表征关联完成的第一响应消息。
160.图9示出本公开实施例中一种用户终端的示意图。如图9所示，该用户终端包括以下模块：
161.第一验证码获取模块910，用于获取应用服务的会话服务标签和第一验证码信息，其中会话服务标签是由会话管理功能smf网元基于用户终端的互联网协议ip地址信息、应用服务的应用服务信息和策略与计费控制pcc规则分配的。
162.第二哈希运算模块920，用于根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值。
163.加密流量生成模块930，用于根据会话服务标签和第一哈希值得到应用服务的加密流量。
164.加密流量发送模块940，将加密流量发送至用户面功能upf网元以使upf网元根据
会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；以及根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
165.在本公开的一些实施例中，加密流量生成模块930，还用于将第一哈希值和会话服务标签一起封装为加密流量的分组数据汇聚协议pdcp层与互联网协议ip层之间的扩展头。
166.在本公开的一些实施例中，第一验证码获取模块910，还用于接收smf网元发送的应用服务的应用服务信息和对应的会话服务标签；对会话服务标签进行密钥派生处理得到第一验证码信息；将应用服务信息与会话服务标签以及第一验证码信息建立关联；以及向smf网元发送表征关联完成的第二响应消息。
167.图10示出本公开实施例中一种加密流量检测系统的结构示意图。如图10所示，该系统包括：
168.应用功能af网元1010，用于向策略控制功能pcf网元发送策略提供请求，策略提供请求包括为用户终端的互联网协议ip地址信息提供的应用服务的应用服务信息。
169.pcf网元1020，用于响应于策略提供请求根据用户终端的ip地址信息、应用服务信息生成对应的策略与计费控制pcc规则，并将ip地址信息、应用服务信息以及对应的pcc规则发送至smf网元。
170.smf网元1030，用于基于用户终端的ip地址信息、应用服务信息和pcc规则分配唯一的会话服务标签；对会话服务标签使用密钥派生处理得到第二验证码信息；并向用户终端发送与应用服务信息对应的会话服务标签；
171.用户终端1050，用于对所述会话服务标签进行密钥派生处理得到所述第一验证码信息；将所述应用服务与所述会话服务标签以及第一验证码信息建立关联后，向所述smf网元发送第一响应消息；
172.smf网元1030，还用于响应于接收到用户终端发送的第一响应消息，向用户面功能管理upf网元发送pcc规则、会话服务标签和相关联的第二验证码信息。
173.upf网元1060，还用于将pcc规则与会话服务标签以及第二验证码信息建立关联后，向smf网元发送第二响应消息。
174.smf网元1030，还用于响应于接收到用户终端发送的第二响应消息，smf网元向pcf网元和af分别发送策略提供响应消息，策略提供响应消息表征pcc规则已经关联完成。
175.用户终端1050，还用于根据ip地址信息和第一验证码信息执行哈希运算得到第一哈希值；根据会话服务标签和第一哈希值得到应用服务的加密流量；将加密流量发送至用户面功能upf网元以检测加密流量关联的所述pcc规则。
176.upf网元1060，还用于接收用户终端发送的加密流量；根据会话服务标签获取相关联的第二验证码信息；基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；根据第一哈希值和第二哈希值检测加密流量关联的pcc规则。
177.关于上述实施例中的密钥生成装置800、900、1000，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
178.所属技术领域的技术人员能够理解，本公开的各个方面可以实现为系统、方法或程序产品。因此，本公开的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统
称为“电路”、“模块”或“系统”。
179.下面参照图11来描述根据本公开的这种实施方式的电子设备1100。图1显示的电子设备1100仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
180.如图11所示，电子设备1100以通用计算设备的形式表现。电子设备1100的组件可以包括但不限于：上述至少一个处理单元1110、上述至少一个存储单元1120、连接不同系统组件(包括存储单元1120和处理单元1110)的总线1130。
181.其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元1110执行，使得所述处理单元1110执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如，所述处理单元1110可以执行如图2中所示的步骤s210，接收用户终端发送的应用服务的加密流量，其中加密流量包括第一哈希值和会话服务标签，第一哈希值是用户终端根据自己的互联网协议ip地址信息和第一验证码信息执行哈希运算的结果，会话服务标签是由会话管理功能smf网元基于用户终端的ip地址信息、应用服务的应用服务信息和策略与计费控制pcc规则分配的；步骤s220，根据会话服务标签获取相关联的第二验证码信息；步骤s230，基于用户终端的ip地址信息和第二验证码信息执行哈希运算得到第二哈希值；以及步骤s240，根据第一哈希值和第二哈希值检测所述加密流量关联的所述pcc规则。
182.存储单元1120可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)1121和/或高速缓存存储单元1122，还可以进一步包括只读存储单元(rom)1123。
183.存储单元1120还可以包括具有一组(至少一个)程序模块7205的程序/实用工具1124，这样的程序模块1125包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
184.总线1130可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
185.电子设备1100也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备1100交互的设备通信，和/或与使得该电子设备1100能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口1150进行。并且，电子设备1100还可以通过网络适配器1160与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器1160通过总线1130与电子设备1100的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备1100使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
186.在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本公开的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
187.根据本公开的实施方式的用于实现上述方法的程序产品，其可以采用便携式紧凑
盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本公开的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
188.所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
189.计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
190.可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
191.可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
192.根据本公开的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述实施例的各种可选实现方式中提供的方法。
193.应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
194.此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
195.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失
性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
196.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。