專利名稱:使用實時lte監(jiān)視的演進分組系統(tǒng)非接入層解密的制作方法
技術(shù)領(lǐng)域:
一般而言,實施例涉及監(jiān)視LTE網(wǎng)絡(luò)上的數(shù)據(jù)分組,且更具體而言,涉及解密(decipher)捕捉的數(shù)據(jù)分組。
背景技術(shù):
在長期演進(LTE)網(wǎng)絡(luò)中,用戶設(shè)備(UE)與增強型節(jié)點B(eNodeB)實體進行通信。eNodeB被移動性管理實體(MME)所控制。當UE附接到LTE,UE和相關(guān)的MME經(jīng)歷認證和密鑰協(xié)商(AKA)過程,這使UE和網(wǎng)絡(luò)相互認證。AKA過程被用來協(xié)商用于加密UE和網(wǎng)絡(luò)之間的業(yè)務(wù)的密鑰。當AKA過程完成后,UE和網(wǎng)絡(luò)之間交換的大多數(shù)消息業(yè)務(wù)將被加密。除非接收方擁有和發(fā)送方用來加密消息的密鑰一樣的密鑰,加密的業(yè)務(wù)是不能夠被讀取的。
發(fā)明內(nèi)容
網(wǎng)絡(luò)操作人員可以利用捕捉和分析來自網(wǎng)絡(luò)接口的分組數(shù)據(jù)單元(PDU)的監(jiān)視設(shè)備監(jiān)視LTE網(wǎng)絡(luò)。這些PDU可能被關(guān)聯(lián)起來以創(chuàng)建基于每個用戶的會話記錄。但是,如果PDU是加密的則它們就不能夠被關(guān)聯(lián)。監(jiān)視設(shè)備必須擁有正確的密鑰以解密rou。UE附接到網(wǎng)絡(luò)并和網(wǎng)絡(luò)建立加密密鑰。在UE附接時或后續(xù)UE活動期間,監(jiān)視系統(tǒng)必須要捕捉到加密密鑰或者用來生成加密密鑰的信息,否則它就不能解密和UE相關(guān)聯(lián)的消息。這里描述和公開的監(jiān)視系統(tǒng)的實施例捕捉并關(guān)聯(lián)來自多個網(wǎng)絡(luò)接口的數(shù)據(jù)。
因此一般地描述了本發(fā)明,現(xiàn)在將參考附圖,其中圖I是示出了 LTE網(wǎng)絡(luò)的元件的方框圖;圖2示出了演進分組系統(tǒng)(EPS)中交換的消息,作為認證和密鑰協(xié)商過程的一部分;以及圖3是流程圖,示出了 EPS NAS中解密分組數(shù)據(jù)單元的過程;圖4是示出了 UE從3G網(wǎng)絡(luò)到LTE網(wǎng)絡(luò)的切換的方框圖;圖5示出了附接過程,其在新的密鑰被分配和使用的認證過程之后初始利用已經(jīng)可用的密鑰來加密NAS業(yè)務(wù)。圖6示出了在RAT間切換到eUTRAN期間交換的消息;以及圖7示出了從UTRAN到eUTRAN的空閑模式移動性期間交換的消息。
具體實施例方式現(xiàn)在將參考附圖,在下文中更加完整地描述本發(fā)明。但是,本發(fā)明可以具體化為許多不同的形式,且不應(yīng)理解為限于在此提出的實施例。相反地,提供這些實施例使得本公開將全面和完整,以及將向本領(lǐng)域技術(shù)人員完全地表達本發(fā)明的范圍。本領(lǐng)域技術(shù)人員能夠使用本發(fā)明的各種實施例。圖I是方框圖,示出了長期演進(LTE)網(wǎng)絡(luò)100的元件以及某些LTE元件之間的關(guān)系。LTE網(wǎng)絡(luò)的元件已為那些本領(lǐng)域技術(shù)人員所熟知。將理解的是,為簡化起見,只有一小部分LTE網(wǎng)絡(luò)100在圖I中示出。LTE網(wǎng)絡(luò)100包含兩個主要部分——演進UMTS陸地無線電接入網(wǎng)絡(luò)(eUTRAN) 101以及全IP演進分組核心(EPC) 102。eUTRAN 101和EPC 102 —起被稱作演進分組系統(tǒng)(EPS)。eUTRAN 101利用多個增強型節(jié)點B (eNodeB)基站103為LTE網(wǎng)絡(luò)100提供空中接口。eNodeB 103與用戶設(shè)備(UE) 104對接,且主控PHYsical (PHY)、媒體接入控制(MAC)、無線電鏈路控制(RLC)和分組數(shù)據(jù)會聚協(xié)議(I3DCP)層。eNodeB 103也主控與無線電資源管理的控制平面對應(yīng)的無線電資源控制(RRC)功能。eNodeB 103執(zhí)行無線電資源管理、用戶的加密/解密、控制Uu接口上的平面數(shù)據(jù)以及其他功能。eNodeB 103包含收發(fā)機組件,其通過空中接口 Uu與用戶設(shè)備(UE) 104通信。 eNodeB 103可以通過Sl-MME互聯(lián)106被耦合到EPC中的一個或多個移動性管理實體(MME) 105。但是對于特定UE連接,有時僅有一個MME處理它。MME 105控制LTE接入網(wǎng)絡(luò),并負責UE 104跟蹤和尋呼過程。MME 105負責為UE 104生成和分配臨時標識,且是承載激活/去激活過程的一部分。MME105也負責通過與歸屬訂戶服務(wù)(HSS) 107交互來認證UE 104。MME 105 通過 S6a 接口 108 被鏈接到 HSS 107。MME 105 是非接入層(Non-AccessStratum, NAS)信令的加密/完整性保護的端點,并且處理安全密鑰管理。當UE 104嘗試連接到LTE網(wǎng)絡(luò)100時,eNodeB 103就通過S1-MME互聯(lián)106建立跟MME 105的SI應(yīng)用部分(SlAP)會話。SlAP會話提供eUTRAN 101和EPC 102間的信令服務(wù)。SlAP會話的NAS信令傳輸功能在eNodeB和MME對等體間傳輸NAS信令相關(guān)的信息。對等體交換的特定SlAP消息允許在MME105和eNodeB 103 二者處為該SlAP會話建立“UE上下文”。MME利用加密確保NAS信令消息的機密性,并且為eNodeB提供安全材料以加密Uu接口上的用戶數(shù)據(jù)和信令。EPS NAS實現(xiàn)提供完整性保護和NAS信令消息的加密的安全特征。這里描述和公開的網(wǎng)絡(luò)監(jiān)視系統(tǒng)的實施例提供了一種實時解密EPS NAS信令消息的方案。EPS NAS解密和其他網(wǎng)絡(luò)(例如3G網(wǎng)絡(luò))上執(zhí)行的解密不同。EPS NAS使用新的密鑰分級結(jié)構(gòu),且需要新的派生密鑰(key derivation)來從Kasme (接入安全管理實體密鑰)推導(dǎo)KNASen。,即EPS NAS解密中使用的基本密鑰。使用密鑰緩存以使UE 104附接到網(wǎng)絡(luò)100時不必每次都重新協(xié)商解密密鑰。當UE104附接到eNodeB 103時,UE 104參考將要與索引(index) —起使用的密鑰Kasme,即密鑰集標識符(稱為Ksiasme或eKSI)。eKSI (eUTRAN密鑰集標識符)索引是一個3比特索引,其對應(yīng)于特定密鑰(它可以是KSIasme或者KSIscbn,這取決于上下文是本地的(native)還是映射的)。eKSI在AKA過程期間被UE接收到,并且可以在下一次附接事件中被重復(fù)使用來參考運行中的密鑰。預(yù)期到來自相同UE 104的后繼新連接,MME 105可能一次從HSS 107預(yù)取一個或多個Kasme密鑰。為了解密,EPS建立的安全上下文狀態(tài)需要被跟蹤。所述狀態(tài)可以是部分/全部、當前/非當前。在LTE網(wǎng)絡(luò)100中,有兩種EPS安全上下文,本地安全上下文和映射安全上下文。當在EPS域中所有安全參數(shù)都被獲取后,則安全上下文被稱作本地安全上下文。當安全參數(shù)通過映射另一域中的安全材料獲得,則安全上下文被稱作映射安全上下文。映射安全上下文被用來處理RAT (無線電接入技術(shù))間移動性,如eUTRAN 101與UTRAN(通用陸地無線電接入網(wǎng)絡(luò))或者GERAN(GSM EDGE無線電接入網(wǎng)絡(luò))間的切換。安全上下文映射使HSS107所需的信令最小。在eNodeB 103和UE 104間的Uu接口上,需要加密和解密所有的用戶平面分組并為控制平面分組提供機密性(可選的)和完整性保護。這是靠UE 104和eNodeB 103完成。除了 Uu上的這個安全機制,在UE 104和MME 105之間的地方,可以存在特定用于NAS信令的重疊安全機密性保護(可選的)。所以一旦eNodeB 103解密Uu接口上的分組/消息,在Sl-U接口上中繼用戶平面分組并在Sl-MME接口上中繼加密的NAS消息。對于NAS信令的安全機密性保護,需要獲得Sl-MME接口 106上的密碼保護的安全密鑰。EPS利用認證和密鑰協(xié)商(AKA)過程為NAS加密密鑰產(chǎn)生這類密鑰材料。安全架構(gòu)(包括安全特征和安全機制)以及EPS中運行的安全過程(包括EPC和eUTRAN)在第三代合作伙伴項目(3GPP)制定的技術(shù)規(guī)范中闡明。一個感興趣的技術(shù)規(guī)范名為"Digital cellular telecommunications system (Phase 2+) !Universal MobileTelecommunications System(UMTS) ;LTE ;3GPP System Architecture Evolution (SAE); Security architecture(3GPP TS 33.401 version 9. 5. ORelease 9) " (2010 年 10月),且其通過引用整體結(jié)合于此。另一個感興趣的技術(shù)規(guī)范名為"Universal MobileTelecommunications System (UMTS) ;LTE ;3G security ;Security architecture(3GPPTS33. 102version 9. 3. ORelease 9)" (2010年10月),且其通過引用整體結(jié)合于此。EPS NAS安全上下文包括具有相關(guān)聯(lián)密鑰集標識符eKSI的Kasme、UE 104安全能力、完整性和加密的選擇的安全算法以及上行鏈路和下行鏈路NASC0UNT (計數(shù))值。單獨對的NAS COUNT值用于每個EPS NAS安全上下文。本地和映射EPS安全上下文之間的區(qū)別依然適用于EPS NAS安全上下文。圖2示出了 EPS中交換的消息,作為AKA過程的一部分。UE 104、eNodeB103、MME105和HSS 107被相互連接,且標注為如圖I所示。MME 105通過Sl-MME 106和S6a 108接口被分別耦合到eNodeB 103和HSS 107。AKA過程通常由經(jīng)過eNodeB 103從UE 104到MME 105的NAS消息201來觸發(fā)。MME105自身也可以在任何時刻觸發(fā)AKA過程。NAS消息201可能是例如附接請求(Attach Request)或者服務(wù)請求消息。當UE 104上電或者變?yōu)榛钴S(active)狀態(tài)時,可能發(fā)生初始連接請求。NAS消息201包含UE 104的用戶標識(其在AKA過程中使用)。接收到來自UE 104的連接請求后,MME 105用S6a接口 108上的消息202向HSS 107請求認證信息。HSS 107在消息203中通過一個或多個認證矢量(AV)來響應(yīng),每個認證矢量包括隨機詢問參數(shù)(random challenge parameter,RAND)、期望結(jié)果參數(shù)(XRES)、認證令牌(AUTN)和Kasme基本密鑰。Kasme密鑰在HSS/AUC中根據(jù)CK、IK值來計算。又利用RAND參數(shù)來計算CK和IK值,該RAND參數(shù)如CK = f3K (RAND)和IK = f4K(RAND),其中f3和f4是密鑰生成函數(shù)。所以Kasme值對應(yīng)特定的RAND值。每個認證矢量適用于UE104和MME 105間的一個AKA過程。當MME初始化AKA過程時,它從有序數(shù)組中選擇下一個認證矢量。利用認證矢量,MME 105通過發(fā)送含有RAND和AUTN參數(shù)的認證請求消息204進行針對UE 104的AKA過程。認證請求消息204也包含UE 104和MME 105用來識別Kassie的KSI■和進一步從Kasme推導(dǎo)的其他密鑰。使用密鑰推導(dǎo)函數(shù)(KDF)、使用CK、IK和服務(wù)網(wǎng)絡(luò)的標識符(SN id)來推導(dǎo)Kasme。利用RAND和共享密值K,UE 104通過驗證來自MME 105的AUTN參數(shù)來認證網(wǎng)絡(luò)。UE 104隨后在消息205中生成和發(fā)送響應(yīng)(RES)值。MME 105對照XRES期望值檢查RES值來認證UE 104。AKA過程的結(jié)果是,UE 104和MME105共享Kasme密鑰并且他們互相認證。監(jiān)視系統(tǒng)109可以被耦合到EPC 102,以被動監(jiān)視和采集來自LTE網(wǎng)絡(luò)中的一個或多個接口的數(shù)據(jù)。監(jiān)視系統(tǒng)109可能從EPC接口(包括Sl-MME 106和S6a 108接口)采集用戶平面和控制平面數(shù)據(jù)。在一個實施例中,監(jiān)視系統(tǒng)109可以包含一個或多個處理器,該處理器運行一個或多個采集、關(guān)聯(lián)和分析來自網(wǎng)絡(luò)100的協(xié)議數(shù)據(jù)單元(rou)的軟件應(yīng)用。監(jiān)視系統(tǒng)109可以集成協(xié)議分析器、會話分析器和/或業(yè)務(wù)分析器功能,其通過表征網(wǎng)絡(luò)100上的鏈路、節(jié)點、應(yīng)用和服務(wù)器的IP業(yè)務(wù)提供OSI (開放系統(tǒng)互連)第2層到第7層故障診斷。例如,這項功能提供自來自Tektronix公司的GeoProbe GlO平臺(包括IrisAnalyzer Toolset 應(yīng)用和 SpIprobes)。監(jiān)視系統(tǒng)109經(jīng)由分組捕捉裝置(如高速、高密度探頭,其被優(yōu)化以便處理高帶寬 IP業(yè)務(wù))可以耦合到網(wǎng)絡(luò)接口。監(jiān)控系統(tǒng)109被動地捕捉來自接口的消息業(yè)務(wù)而不中斷網(wǎng)絡(luò)的運行。服務(wù)提供商或者網(wǎng)絡(luò)運營商可以經(jīng)由用戶接口站110來訪問來自監(jiān)視系統(tǒng)109的數(shù)據(jù)。監(jiān)視系統(tǒng)109可以還包含內(nèi)部或外部存儲器111以存儲捕捉的數(shù)據(jù)分組、用戶會話數(shù)據(jù)、呼叫記錄配置信息和軟件應(yīng)用指令。監(jiān)視系統(tǒng)109可以捕捉和關(guān)聯(lián)網(wǎng)絡(luò)接口上的分組相關(guān)聯(lián)的特定數(shù)據(jù)會話。在一個實例中,相關(guān)的分組可以利用五元組(tuple)關(guān)聯(lián)機制被關(guān)聯(lián)起來。五元組關(guān)聯(lián)過程使用IP關(guān)聯(lián)密鑰,其包括5部分——服務(wù)器IP地址、客戶端IP地址、源端口、目的地端口和第7層協(xié)議(HTTP、DNS、GTPv2或S1AP)。對于網(wǎng)絡(luò)100上的特定流、會話或者呼叫,相關(guān)的分組可以組合成記錄。監(jiān)視系統(tǒng)探頭可以包括被動探頭,其利用光學(xué)或電子分路器(splitter)接入連接或接口以鏡像出(miiror)流動在網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)而不影響主要數(shù)據(jù)鏈路。捕捉的數(shù)據(jù)可以被過濾,整理和/或傳送到監(jiān)視系統(tǒng)中的數(shù)據(jù)獲取處理器、功能或電路,其分析捕捉的數(shù)據(jù)的內(nèi)容,如識別單個消息和消息中的參數(shù)。在替代實例中,例如,監(jiān)視系統(tǒng)109可是駐留在EPC節(jié)點上(例如在MME103上)的活躍組件(如軟件代理),且它捕捉傳入或傳出節(jié)點的數(shù)據(jù)分組。Sl-MME接口 106上的業(yè)務(wù)可以是未加密的,且能夠被監(jiān)視系統(tǒng)109使用以關(guān)聯(lián)相關(guān)業(yè)務(wù)來創(chuàng)建會話記錄。但是Sl-MME上的業(yè)務(wù)通常都加密。如果沒有適當?shù)募用苊荑€來解密消息,則業(yè)務(wù)就不能夠被監(jiān)視系統(tǒng)110所使用。圖3是流程圖,示出了在監(jiān)視系統(tǒng)中執(zhí)行EPS NAS解密的過程。在步驟301中,監(jiān)視系統(tǒng)就與認證過程相關(guān)聯(lián)的業(yè)務(wù)監(jiān)視MME和HSS間的S6a接口。S6a接口上交換的參數(shù)是不加密的。認證過程的目的是向MME提供一個或多個認證矢量,如RAND、AUTN、XRES和Kasme,以認證UE并提供安全材料。每個認證矢量都可以被用來認證UE。如果MME得到不止一個認證矢量,過量的矢量被用在該UE的后續(xù)AKA過程期間。MSI (國際移動用戶標識)是UE的永久標識,且它被包含在S6a “認證信息請求”消息當中,而如果成功的話,在S6a “認證信息響應(yīng)”消息中認證矢量是強制性的。頂SI、RAND, AUTN和Kasme參數(shù)可以從S6a上的認證過程被提取。 在步驟302中,監(jiān)視系統(tǒng)通過Sl-MME接口監(jiān)視NAS認證和密鑰協(xié)商(AKA)過程。AKA過程的目的是使MME認證UE并在Kasee密鑰上與UE相互協(xié)商一致而不必在S I-MME接口上實際傳輸密鑰。當EPS認證成功執(zhí)行后EPS安全上下文在UE中和網(wǎng)絡(luò)中被建立。認證請求消息載送RAND、AUTN和eKSI。所以這些值能從認證過程消息中被提取出來。來自UE的認證響應(yīng)消息載送MME用來確定認證是否成功的RES。如果UE發(fā)送的RES值不正確(即RES和XRES不相等),則MME發(fā)回認證拒絕(Authentication Reject)消息給UE。假設(shè)UE使用SlAP初始UE消息中的MSI進行初始附接。監(jiān)視系統(tǒng)可能提取MSI并可隨后將頂SI和RAND、AUTN和eKSI參數(shù)關(guān)聯(lián)。還假設(shè)認證請求消息在UE第一次附接到網(wǎng)絡(luò)時將是不加密的。eKSI是NAS密鑰集標識符。eKSI的值為0_7,且被用來識別未來事務(wù)中推導(dǎo)出的Kasme密鑰。這實現(xiàn)了緩存安全上下文的能力。例如,假設(shè)UE被認證且安全NAS連接已建立。當UE過渡到EMM-空閑狀態(tài)且按服務(wù)請求過程隨后恢復(fù)回到EMM-連接狀態(tài)時,UE將包含eKSI。如果對于UE先前捕捉了 eKSI和認證參數(shù),則監(jiān)視系統(tǒng)可以把eKSI映射到緩存的安 全上下文并可開始解密捕捉的NAS消息。如果MME發(fā)起AKA過程,則將用新eKSI建立新安全上下文。在步驟303中,監(jiān)視系統(tǒng)在S6a和Sl-MME上的認證過程之間進行關(guān)聯(lián)。例如,監(jiān)視系統(tǒng)利用例如頂SI來關(guān)聯(lián)從Sl-MME和S6a接口上的認證過程捕捉的數(shù)據(jù)。步驟304中,監(jiān)視系統(tǒng)創(chuàng)建數(shù)據(jù)結(jié)構(gòu),在此稱作EPS AuthVector。AuthVector數(shù)據(jù)結(jié)構(gòu)包含eKSI、RAND、AUTN、算法類型和Kasme參數(shù)。算法類型能根據(jù)從MME發(fā)送到UE的安全模式命令消息而識別出來。如果預(yù)取的矢量被檢測且捕捉到,則它們會被存儲在AuthVector數(shù)據(jù)結(jié)構(gòu)中,且不包含eKSI (因為其尚未被分配)。AuthVector數(shù)據(jù)是每一用戶級別下來自認證過程的S6a和Sl-MME支路的數(shù)據(jù)的組合。步驟305中,監(jiān)視系統(tǒng)監(jiān)視Sl-MME接口上的NAS安全模式過程。NAS安全模式控制過程的目的是使用EPS安全上下文,且利用相應(yīng)的NAS密鑰和安全算法初始化UE和MME之間的NAS信令安全。MME向UE發(fā)送未加密的安全模式命令消息。監(jiān)視系統(tǒng)捕捉此消息,且提取算法類型和eKSI參數(shù)。eKSI值隨后被用來確定安全上下文是本地的還是映射的,并檢索與該上下文相關(guān)聯(lián)的Kasme (本地安全上下文)或K’ ASME(映射安全上下文)。監(jiān)視系統(tǒng)識別合適的AuthVector數(shù)據(jù)結(jié)構(gòu),且利用其中的信息解密針對該安全上下文或特定NAS信道而捕捉的消息。安全模式過程完成之后,該UE的所有的PDU將被加密。在步驟306中,監(jiān)視系統(tǒng)用來自AuthVector數(shù)據(jù)結(jié)構(gòu)的信息來解密TOU。當NAS PDU被捕捉時,監(jiān)視系統(tǒng)利用頭(header)信息來識別與PDU關(guān)聯(lián)的AuthVector數(shù)據(jù)結(jié)構(gòu)。因該操作必須對每個PDU執(zhí)行,監(jiān)視系統(tǒng)可以使用快速密鑰訪問緩存來提解密rou中的高效率。監(jiān)視系統(tǒng)提供下列參數(shù)給解密算法KNASen。、NAS COUNT、Bearer (承載)、Direction (方向),和 Algorithm Type (算法類型)。KNASenc,其從K臟推導(dǎo),且和EPS AuthVector數(shù)據(jù)結(jié)構(gòu)一起存儲。NAS COUNT對,其中每個值都是32位COUNT參數(shù)。NAS COUNT格式如表I所示。
權(quán)利要求
1.一種對捕捉的數(shù)據(jù)分組解密的方法,包括 通過監(jiān)視探頭捕捉來自在移動性管理實體和歸屬訂戶服務(wù)節(jié)點之間的第一網(wǎng)絡(luò)接口、以及來自在移動性管理實體和eNodeB節(jié)點之間的第二網(wǎng)絡(luò)接口的數(shù)據(jù)分組;以及識別與所述第一接口上的認證和密鑰協(xié)商過程相關(guān)聯(lián)的第一數(shù)據(jù)分組; 識別與所述第二接口上的所述認證和密鑰協(xié)商過程相關(guān)聯(lián)的第二數(shù)據(jù)分組; 關(guān)聯(lián)與相同參數(shù)相關(guān)聯(lián)的所述第二數(shù)據(jù)分組中的各個數(shù)據(jù)分組和所述第一數(shù)據(jù)分組中的各個數(shù)據(jù)分組;以及 創(chuàng)建包含來自所關(guān)聯(lián)的第一數(shù)據(jù)分組和第二數(shù)據(jù)分組的信息的認證矢量表,其中表中的條目包含多個安全上下文的認證數(shù)據(jù)。
2.根據(jù)權(quán)利要求I所述的方法,還包括 在所述監(jiān)視探頭上的存儲器中存儲所述認證矢量表。
3.根據(jù)權(quán)利要求I所述的方法,還包括 從第二接口捕捉安全模式過程數(shù)據(jù)分組; 從安全模式數(shù)據(jù)分組中提取算法類型和安全密鑰索引;以及 將所述算法類型和所述安全密鑰索引附加到所述認證矢量表。
4.根據(jù)權(quán)利要求I所述的方法,還包括 通過所述監(jiān)視系統(tǒng)捕捉來自網(wǎng)絡(luò)接口的加密數(shù)據(jù)分組; 識別所述加密數(shù)據(jù)分組的安全上下文; 把所述加密數(shù)據(jù)分組的所述安全上下文關(guān)聯(lián)到所述認證數(shù)據(jù)表中的條目;以及 利用存儲在所述認證數(shù)據(jù)表條目中的加密密鑰解密所述加密數(shù)據(jù)分組。
5.根據(jù)權(quán)利要求I所述的方法,其中所述第一接口是S6a接口,且所述第二接口是Sl-MME 接口。
6.根據(jù)權(quán)利要求I所述的方法,其中當通過所述監(jiān)視系統(tǒng)捕捉時所有NAS認證請求消息都被加密。
7.根據(jù)權(quán)利要求I所述的方法,還包括 捕捉來自S3接口的KSI以及CK和IK子密鑰。
8.根據(jù)權(quán)利要求I所述的方法,還包括 從SlAP HO請求或者SlAP TAU請求中提取算法類型和安全密鑰索引。
9.根據(jù)權(quán)利要求I所述的方法,還包括 從CK和IK子密鑰以及一個或者兩個隨機數(shù)作為輸入推導(dǎo)K’ ASME值;以及 將所述算法類型和所述安全密鑰索引附加到所述認證矢量表。
10.一種對LTE網(wǎng)絡(luò)中的數(shù)據(jù)解密的方法,包括 在與S6a接口耦合的監(jiān)視系統(tǒng)處捕捉認證響應(yīng)消息; 在認證信息響應(yīng)消息中識別安全密鑰(Kasme); 從每一個所述安全密鑰中生成計算出的eNodeB密鑰(KalgdJ ; 在所述監(jiān)視系統(tǒng)處的存儲器中存儲每一個計算出的eNodeB密鑰以及相關(guān)的安全密鑰; 從Sl-MME接口捕捉上下文請求消息,所述上下文請求消息與特定用戶設(shè)備上下文相關(guān);在所述上下文請求消息中識別分配的eNodeB密鑰(KeNB_assign); 比較所述分配的eNodeB密鑰和存儲在所述存儲器中的所述計算出的eNodeB密鑰; 識別與所述分配的eNodeB密鑰相對應(yīng)的匹配的計算出的eNodeB密鑰;以及 使用與所述匹配的計算出的eNodeB關(guān)聯(lián)的安全密鑰解密來自所述上下文的消息業(yè)務(wù)。
11.根據(jù)權(quán)利要求10所述的方法,還包括 從與所述匹配的計算出的eNodeB相關(guān)聯(lián)的所述安全密鑰中推導(dǎo)NAS解密密鑰(KNASenc)。
12.根據(jù)權(quán)利要求10所述的方法,其中所述上下文請求消息是SlAP初始上下文設(shè)置請求消息。
13.根據(jù)權(quán)利要求10所述的方法,其中所述上下文請求消息是SlAPUE上下文修改請求消息。
14.根據(jù)權(quán)利要求10所述的方法,還包括 從Sl-MME接口捕捉安全模式完成消息; 在每個所述安全模式完成消息中識別上行鏈路計數(shù)參數(shù);以及 從所述安全密鑰和對應(yīng)的上行鏈路計數(shù)參數(shù)生成所述計算出的eNodeB密鑰(KalgdJ。
15.一種識別切換期間的解密數(shù)據(jù)的方法,包括 在監(jiān)視系統(tǒng)探頭處捕捉S3接口上的GTP-V2前向重定位請求消息; 從GTP-V2前向重定位消息中提取CK,IK和KSI參數(shù); 在所述監(jiān)視系統(tǒng)探頭處捕捉Sl-MME接口上的切換請求消息; 從所述切換請求消息中提取KSI、算法和隨機數(shù)參數(shù);以及 利用CK、IK和隨機數(shù)參數(shù)在所述監(jiān)視系統(tǒng)處計算K’ ASME參數(shù)。
16.一種識別空閑模式移動性期間的解密數(shù)據(jù)的方法,包括 在監(jiān)視系統(tǒng)探頭處捕捉S3接口上的GTP-V2上下文響應(yīng)消息; 從所述GTP-V2上下文響應(yīng)消息提取CK、IK和KSI參數(shù); 在所述監(jiān)視系統(tǒng)探頭處捕捉Sl-MME接口上的安全模式命令消息; 從所述安全模式命令消息中提取KSI和隨機數(shù)參數(shù);以及 在所述監(jiān)視系統(tǒng)處利用CK、IK和隨機數(shù)參數(shù)計算K’ ASME參數(shù)。
17.一種將用戶設(shè)備標識符關(guān)聯(lián)到捕捉的消息的方法,包括 通過與LTE網(wǎng)絡(luò)中的接口耦合的監(jiān)視探頭捕捉HSS發(fā)送的S6a認證過程消息; 通過所述監(jiān)視探頭捕捉MME和UE之間交換的SlAP認證過程消息; 在所述捕捉的消息中提取認證矢量; 在所述S6a認證過程消息中提取UE標識符; 基于所述認證矢量識別與SlAP認證過程消息對應(yīng)的S6a認證過程消息;以及創(chuàng)建在所述監(jiān)視系統(tǒng)上的存儲器裝置中存儲的記錄,所述記錄包含來自相應(yīng)的S6a和SlAP消息以及所述UE識別符的認證矢量。
18.根據(jù)權(quán)利要求17所述的方法,其中所述UE標識符是IMSI。
19.根據(jù)權(quán)利要求17所述的方法,其中所述認證矢量包含從RAND、AUTN和XRES參數(shù)中選擇的一個或多個參數(shù)。
20.根據(jù)權(quán)利要求17所述的方法,還包括從所述SlAP認證過程消息中提?、荰I參數(shù);以及將所述GUTI添加到所述記錄。
全文摘要
本發(fā)明涉及使用實時LTE監(jiān)視的演進分組系統(tǒng)非接入層解密。監(jiān)視系統(tǒng)與LTE網(wǎng)絡(luò)中的接口相耦合,并且被動捕捉來自網(wǎng)絡(luò)接口的分組。在第一接口上捕捉與認證和密鑰協(xié)商過程關(guān)聯(lián)的第一數(shù)據(jù)分組。在第二接口上捕捉與認證和密鑰協(xié)商過程關(guān)聯(lián)的第二數(shù)據(jù)分組?;谙嗤瑓?shù),將第一數(shù)據(jù)分組中的各個數(shù)據(jù)分組關(guān)聯(lián)到第二數(shù)據(jù)分組中的各個數(shù)據(jù)分組。創(chuàng)建包含來自所關(guān)聯(lián)的第一數(shù)據(jù)分組和第二數(shù)據(jù)分組的信息的認證矢量表,其中表中的條目包含多個安全上下文的認證數(shù)據(jù)。識別加密密鑰,以解密用戶的附加分組。在無線電接入技術(shù)間切換時,加密密鑰也可以通過用戶設(shè)備識別。
文檔編號H04W12/02GK102769848SQ20111046316
公開日2012年11月7日 申請日期2011年12月21日 優(yōu)先權(quán)日2010年12月21日
發(fā)明者A·博瓦, V·賈納基拉曼 申請人:特克特朗尼克公司