[发明专利]一种加密数据流的识别方法、设备、存储介质及系统

说明书

本发明实施例提供了一种加密数据流的识别方法、设备、可读存储介质及系统；该方法可以应用于核心网设备，所述方法包括：接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种加密数据流的识别方法、设备、可读存储介质及系统。

背景技术

超文本传输协议(HTTP，HyperText Transfer Protocol)2.0版本出现之后，所有的HTTP层及HTTP层以上的应用层数据流均能够通过安全传输层协议(TLS，TransportLayer Security Protocol)进行加密，而运营商所提供的网络设备无法对加密数据流进行识别。

针对该问题，目前通常采用TLS层的某些明文标识在TLS协议的握手过程中对应用的加密数据流进行识别。但是，由于明文标识容易被破解，具有不安全的隐患，并且后续的TLS协议中不再支持明文标识。基于此，当前相关技术中并没有提出不依赖于明文标识对加密数据流进行识别的方案和机制。

发明内容

为解决上述技术问题，本发明实施例期望提供一种加密数据流的识别方法、设备、可读存储介质及系统；能够不依赖于明文标识就可以对加密数据流进行识别，提升了识别的安全性。

本发明实施例的技术方案可以如下实现：

第一方面，本发明实施例提供了一种加密数据流的识别方法，所述方法应用于核心网设备，所述方法包括：

接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

第二方面，本发明实施例提供了一种加密数据流的识别方法，所述方法应用于用户设备UE，所述方法包括：

发送承载有鉴权数据的数据包；其中，所述鉴权数据用于核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识。

第三方面，本发明实施例提供了一种核心网设备，包括：第一接收部分、鉴权部分和建立部分；其中，

所述第一接收部分，配置为接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

所述鉴权部分，配置为基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

所述建立部分，配置为当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的网络协议IP五元组与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别。

第四方面，本发明实施例提供了一种用户设备UE，其中，所述UE包括：第二发送部分，配置为发送承载有鉴权数据的数据包；其中，所述鉴权数据用于核心网设备进行鉴权，且所述鉴权数据包括：第一鉴权参数、第一鉴权结果以及应用标识。