[发明专利]一种加密数据流的识别方法、设备、存储介质及系统

权利要求书

1.一种加密数据流的识别方法，所述方法应用于核心网设备，所述方法包括：

接收用户设备UE发送的承载有鉴权数据的数据包；其中，所述鉴权数据包括第一鉴权参数、第一鉴权结果以及应用标识；

基于所述第一鉴权参数和第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果；其中，所述第二鉴权参数为预存的所述应用标识对应的鉴权参数；

当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的特征信息与所述应用标识之间的关联关系；其中，所述关联关系用于后续对所述UE发送的与所述应用标识对应的加密数据流进行识别；所述数据包的特征信息可以包括以下至少一项或多项：网络协议IP源地址、IP源端口号、IP目的地址、IP目的端口号、媒体接入控制MAC源地址、MAC目的地址、MAC目的端口号、协议类型以及虚拟局域网VLAN标签。

2.根据权利要求1所述的方法，其中，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在应用层会话建立的安全传输层协议TLS握手过程中，所述核心网设备的用户面接收所述UE发送的首次TLS握手请求；其中，所述鉴权数据承载于所述首次TLS握手请求中的明文字段。

3.根据权利要求2所述的方法，其中，在接收用户设备UE发送的承载有鉴权数据的数据包后，所述方法还包括：

所述核心网设备的用户面从所述首次TLS握手请求中的明文字段检测到所述鉴权数据后，将所述鉴权数据传输至所述核心网设备的控制面。

4.根据权利要求1所述的方法，其中，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在完成TLS握手后，所述核心网设备的用户面接收所述UE通过基站发送的鉴权请求；其中，所述鉴权数据承载于所述鉴权请求中的通用无线分组业务隧道协议用户面GTP-U扩展字段。

5.根据权利要求4所述的方法，其中，在接收用户设备UE发送的承载有鉴权数据的数据包后，所述方法还包括：所述核心网设备的用户面从鉴权请求中的GTP-U扩展字段检测到所述鉴权数据后，将所述鉴权数据传输至所述核心网设备的控制面。

6.根据权利要求2至4任一项所述的方法，其中，所述第一鉴权参数包括随机数；所述第二鉴权参数包括公共密钥Ka。

7.根据权利要求2至4任一项所述的方法，其中，所述基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果，包括：

所述核心网设备的控制面基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果。

8.根据权利要求2至4任一项所述的方法，其中，当所述第二鉴权结果与所述第一鉴权结果比对一致时，则建立所述数据包的特征信息与所述应用标识之间的关联关系，包括：

当所述第二鉴权结果与所述第一鉴权结果比对一致时，所述核心网设备的控制面将比对结果传输至所述核心网设备的用户面；

所述核心网设备的用户面建立所述数据包的特征信息与所述应用标识之间的关联关系。

9.根据权利要求1所述的方法，其中，所述接收用户设备UE发送的承载有鉴权数据的数据包，包括：

在完成TLS握手后，所述核心网设备的控制面接收所述UE发送的非接入层会话管理NAS-SM消息；其中，所述NAS-SM消息的扩展字段中包括：第一鉴权参数、第一鉴权结果、应用标识以及所述NAS-SM消息的特征信息；其中，所述第一鉴权参数包括：随机数和公共密钥Ka；所述NAS-SM消息的特征信息包括越顶OTT服务器的IP地址、端口号、协议类型和OTT服务器的MAC地址。

10.根据权利要求9所述的方法，其中，所述基于所述第一鉴权参数和所述第二鉴权参数，按照设定的鉴权算法获得第二鉴权结果，包括：

所述核心网设备的控制面根据所述第一鉴权参数中的随机数以及所述第二鉴权参数中的公共密钥按照设定的鉴权算法获得第二鉴权结果。