本发明专利技术涉及使用实时LTE监视的演进分组系统非接入层解密。监视系统与LTE网络中的接口相耦合,并且被动捕捉来自网络接口的分组。在第一接口上捕捉与认证和密钥协商过程关联的第一数据分组。在第二接口上捕捉与认证和密钥协商过程关联的第二数据分组。基于相同参数,将第一数据分组中的各个数据分组关联到第二数据分组中的各个数据分组。创建包含来自所关联的第一数据分组和第二数据分组的信息的认证矢量表,其中表中的条目包含多个安全上下文的认证数据。识别加密密钥,以解密用户的附加分组。在无线电接入技术间切换时,加密密钥也可以通过用户设备识别。
【技术实现步骤摘要】
使用实时LTE监视的演进分组系统非接入层解密
一般而言,实施例涉及监视LTE网络上的数据分组,且更具体而言,涉及解密(decipher)捕捉的数据分组。
技术介绍
在长期演进(LTE)网络中,用户设备(UE)与增强型节点B(eNodeB)实体进行通信。eNodeB被移动性管理实体(MME)所控制。当UE附接到LTE,UE和相关的MME经历认证和密钥协商(AKA)过程,这使UE和网络相互认证。AKA过程被用来协商用于加密UE和网络之间的业务的密钥。当AKA过程完成后,UE和网络之间交换的大多数消息业务将被加密。除非接收方拥有和发送方用来加密消息的密钥一样的密钥,加密的业务是不能够被读取的。
技术实现思路
网络操作人员可以利用捕捉和分析来自网络接口的分组数据单元(PDU)的监视设备监视LTE网络。这些PDU可能被关联起来以创建基于每个用户的会话记录。但是,如果PDU是加密的则它们就不能够被关联。监视设备必须拥有正确的密钥以解密PDU。UE附接到网络并和网络建立加密密钥。在UE附接时或后续UE活动期间,监视系统必须要捕捉到加密密钥或者用来生成加密密钥的信息,否则它就不能解密和UE相关联的消息。这里描述和公开的监视系统的实施例捕捉并关联来自多个网络接口的数据。附图说明因此一般地描述了本专利技术,现在将参考附图,其中:图1是示出了LTE网络的元件的方框图;图2示出了演进分组系统(EPS)中交换的消息,作为认证和密钥协商过程的一部分;以及图3是流程图,示出了EPSNAS中解密分组数据单元的过程;图4是示出了UE从3G网络到LTE网络的切换的方框图;图5示出了附接过程,其在新的密钥被分配和使用的认证过程之后初始利用已经可用的密钥来加密NAS业务。图6示出了在RAT间切换到eUTRAN期间交换的消息;以及图7示出了从UTRAN到eUTRAN的空闲模式移动性期间交换的消息。具体实施方式现在将参考附图,在下文中更加完整地描述本专利技术。但是,本专利技术可以具体化为许多不同的形式,且不应理解为限于在此提出的实施例。相反地,提供这些实施例使得本公开将全面和完整,以及将向本领域技术人员完全地表达本专利技术的范围。本领域技术人员能够使用本专利技术的各种实施例。图1是方框图,示出了长期演进(LTE)网络100的元件以及某些LTE元件之间的关系。LTE网络的元件已为那些本领域技术人员所熟知。将理解的是,为简化起见,只有一小部分LTE网络100在图1中示出。LTE网络100包含两个主要部分——演进UMTS陆地无线电接入网络(eUTRAN)101以及全IP演进分组核心(EPC)102。eUTRAN101和EPC102一起被称作演进分组系统(EPS)。eUTRAN101利用多个增强型节点B(eNodeB)基站103为LTE网络100提供空中接口。eNodeB103与用户设备(UE)104对接,且主控PHYsical(PHY)、媒体接入控制(MAC)、无线电链路控制(RLC)和分组数据会聚协议(PDCP)层。eNodeB103也主控与无线电资源管理的控制平面对应的无线电资源控制(RRC)功能。eNodeB103执行无线电资源管理、用户的加密/解密、控制Uu接口上的平面数据以及其他功能。eNodeB103包含收发机组件,其通过空中接口Uu与用户设备(UE)104通信。eNodeB103可以通过S1-MME互联106被耦合到EPC中的一个或多个移动性管理实体(MME)105。但是对于特定UE连接,有时仅有一个MME处理它。MME105控制LTE接入网络,并负责UE104跟踪和寻呼过程。MME105负责为UE104生成和分配临时标识,且是承载激活/去激活过程的一部分。MME105也负责通过与归属订户服务(HSS)107交互来认证UE104。MME105通过S6a接口108被链接到HSS107。MME105是非接入层(Non-AccessStratum,NAS)信令的加密/完整性保护的端点,并且处理安全密钥管理。当UE104尝试连接到LTE网络100时,eNodeB103就通过S1-MME互联106建立跟MME105的S1应用部分(S1AP)会话。S1AP会话提供eUTRAN101和EPC102间的信令服务。S1AP会话的NAS信令传输功能在eNodeB和MME对等体间传输NAS信令相关的信息。对等体交换的特定S1AP消息允许在MME105和eNodeB103二者处为该S1AP会话建立“UE上下文”。MME利用加密确保NAS信令消息的机密性,并且为eNodeB提供安全材料以加密Uu接口上的用户数据和信令。EPSNAS实现提供完整性保护和NAS信令消息的加密的安全特征。这里描述和公开的网络监视系统的实施例提供了一种实时解密EPSNAS信令消息的方案。EPSNAS解密和其他网络(例如3G网络)上执行的解密不同。EPSNAS使用新的密钥分级结构,且需要新的派生密钥(keyderivation)来从KASME(接入安全管理实体密钥)推导KNASenc,即EPSNAS解密中使用的基本密钥。使用密钥缓存以使UE104附接到网络100时不必每次都重新协商解密密钥。当UE104附接到eNodeB103时,UE104参考将要与索引(index)一起使用的密钥KASME,即密钥集标识符(称为KSIASME或eKSI)。eKSI(eUTRAN密钥集标识符)索引是一个3比特索引,其对应于特定密钥(它可以是KSIASME或者KSISGSN,这取决于上下文是本地的(native)还是映射的)。eKSI在AKA过程期间被UE接收到,并且可以在下一次附接事件中被重复使用来参考运行中的密钥。预期到来自相同UE104的后继新连接,MME105可能一次从HSS107预取一个或多个KASME密钥。为了解密,EPS建立的安全上下文状态需要被跟踪。所述状态可以是部分/全部、当前/非当前。在LTE网络100中,有两种EPS安全上下文,本地安全上下文和映射安全上下文。当在EPS域中所有安全参数都被获取后,则安全上下文被称作本地安全上下文。当安全参数通过映射另一域中的安全材料获得,则安全上下文被称作映射安全上下文。映射安全上下文被用来处理RAT(无线电接入技术)间移动性,如eUTRAN101与UTRAN(通用陆地无线电接入网络)或者GERAN(GSMEDGE无线电接入网络)间的切换。安全上下文映射使HSS107所需的信令最小。在eNodeB103和UE104间的Uu接口上,需要加密和解密所有的用户平面分组并为控制平面分组提供机密性(可选的)和完整性保护。这是靠UE104和eNodeB103完成。除了Uu上的这个安全机制,在UE104和MME105之间的地方,可以存在特定用于NAS信令的重叠安全机密性保护(可选的)。所以一旦eNodeB103解密Uu接口上的分组/消息,在S1-U接口上中继用户平面分组并在S1-MME接口上中继加密的NAS消息。对于NAS信令的安全机密性保护,需要获得S1-MME接口106上的密码保护的安全密钥。EPS利用认证和密钥协商(AKA)过程为NAS加密密钥产生这类密钥材料。安全架构(包括安全特征和安全机制)以及EPS中运行的安全过程(包括EPC和eUTRAN)在第三代合作伙伴项目(3本文档来自技高网...
【技术保护点】
一种对捕捉的数据分组解密的方法,包括:通过监视探头捕捉来自在移动性管理实体和归属订户服务节点之间的第一网络接口、以及来自在移动性管理实体和eNodeB节点之间的第二网络接口的数据分组;以及识别与所述第一接口上的认证和密钥协商过程相关联的第一数据分组;识别与所述第二接口上的所述认证和密钥协商过程相关联的第二数据分组;关联与相同参数相关联的所述第二数据分组中的各个数据分组和所述第一数据分组中的各个数据分组;以及创建包含来自所关联的第一数据分组和第二数据分组的信息的认证矢量表,其中表中的条目包含多个安全上下文的认证数据。
【技术特征摘要】
2010.12.21 US 12/9746361.一种对捕捉的数据分组解密的方法,包括:通过监视探头捕捉来自在移动性管理实体和归属订户服务节点之间的第一网络接口、以及来自在移动性管理实体和eNodeB节点之间的第二网络接口的数据分组;以及识别与所述第一网络接口上的认证和密钥协商过程相关联的第一数据分组;识别与所述第二网络接口上的所述认证和密钥协商过程相关联的第二数据分组;关联与相同参数相关联的所述第二数据分组中的各个数据分组和所述第一数据分组中的各个数据分组;以及创建包括来自所关联的第一数据分组和第二数据分组的信息的认证矢量表,其中表中的条目包括多个安全上下文的认证数据,还包括:从第二网络接口捕捉安全模式过程数据分组;从安全模式数据分组中提取算法类型和安全密钥索引;以及将所述算法类型和所述安全密钥索引附加到所述认证矢量表。2.根据权利要求1所述的方法,还包括:在所述监视探头...
【专利技术属性】
技术研发人员:V·贾纳基拉曼,A·博瓦,
申请(专利权)人:特克特朗尼克公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。