CN102769848B - 使用实时lte监视的演进分组系统非接入层解密 - Google Patents

Abstract

本发明涉及使用实时LTE监视的演进分组系统非接入层解密。监视系统与LTE网络中的接口相耦合，并且被动捕捉来自网络接口的分组。在第一接口上捕捉与认证和密钥协商过程关联的第一数据分组。在第二接口上捕捉与认证和密钥协商过程关联的第二数据分组。基于相同参数，将第一数据分组中的各个数据分组关联到第二数据分组中的各个数据分组。创建包含来自所关联的第一数据分组和第二数据分组的信息的认证矢量表，其中表中的条目包含多个安全上下文的认证数据。识别加密密钥，以解密用户的附加分组。在无线电接入技术间切换时，加密密钥也可以通过用户设备识别。

Description

使用实时LTE监视的演进分组系统非接入层解密

技术领域

一般而言，实施例涉及监视LTE网络上的数据分组，且更具体而言，涉及解密(decipher)捕捉的数据分组。

背景技术

在长期演进(LTE)网络中，用户设备(UE)与增强型节点B(eNodeB)实体进行通信。eNodeB被移动性管理实体(MME)所控制。当UE附接到LTE，UE和相关的MME经历认证和密钥协商(AKA)过程，这使UE和网络相互认证。AKA过程被用来协商用于加密UE和网络之间的业务的密钥。当AKA过程完成后，UE和网络之间交换的大多数消息业务将被加密。除非接收方拥有和发送方用来加密消息的密钥一样的密钥，加密的业务是不能够被读取的。

发明内容

网络操作人员可以利用捕捉和分析来自网络接口的分组数据单元(PDU)的监视设备监视LTE网络。这些PDU可能被关联起来以创建基于每个用户的会话记录。但是，如果PDU是加密的则它们就不能够被关联。监视设备必须拥有正确的密钥以解密PDU。UE附接到网络并和网络建立加密密钥。在UE附接时或后续UE活动期间，监视系统必须要捕捉到加密密钥或者用来生成加密密钥的信息，否则它就不能解密和UE相关联的消息。

这里描述和公开的监视系统的实施例捕捉并关联来自多个网络接口的数据。

附图说明

因此一般地描述了本发明，现在将参考附图，其中：

图1是示出了LTE网络的元件的方框图；

图2示出了演进分组系统(EPS)中交换的消息，作为认证和密钥协商过程的一部分；以及

图3是流程图，示出了EPS NAS中解密分组数据单元的过程；

图4是示出了UE从3G网络到LTE网络的切换的方框图；

图5示出了附接过程，其在新的密钥被分配和使用的认证过程之后初始利用已经可用的密钥来加密NAS业务。

图6示出了在RAT间切换到eUTRAN期间交换的消息；以及

图7示出了从UTRAN到eUTRAN的空闲模式移动性期间交换的消息。

具体实施方式

现在将参考附图，在下文中更加完整地描述本发明。但是，本发明可以具体化为许多不同的形式，且不应理解为限于在此提出的实施例。相反地，提供这些实施例使得本公开将全面和完整，以及将向本领域技术人员完全地表达本发明的范围。本领域技术人员能够使用本发明的各种实施例。

图1是方框图，示出了长期演进(LTE)网络100的元件以及某些LTE元件之间的关系。LTE网络的元件已为那些本领域技术人员所熟知。将理解的是，为简化起见，只有一小部分LTE网络100在图1中示出。LTE网络100包含两个主要部分——演进UMTS陆地无线电接入网络(eUTRAN)101以及全IP演进分组核心(EPC)102。eUTRAN 101和EPC 102一起被称作演进分组系统(EPS)。

eUTRAN 101利用多个增强型节点B(eNodeB)基站103为LTE网络100提供空中接口。eNodeB 103与用户设备(UE)104对接，且主控PHYsical(PHY)、媒体接入控制(MAC)、无线电链路控制(RLC)和分组数据会聚协议(PDCP)层。eNodeB 103也主控与无线电资源管理的控制平面对应的无线电资源控制(RRC)功能。eNodeB 103执行无线电资源管理、用户的加密/解密、控制Uu接口上的平面数据以及其他功能。eNodeB 103包含收发机组件，其通过空中接口Uu与用户设备(UE)104通信。

eNodeB 103可以通过S1-MME互联106被耦合到EPC中的一个或多个移动性管理实体(MME)105。但是对于特定UE连接，有时仅有一个MME处理它。MME 105控制LTE接入网络，并负责UE 104跟踪和寻呼过程。MME 105负责为UE 104生成和分配临时标识，且是承载激活/去激活过程的一部分。MME105也负责通过与归属订户服务(HSS)107交互来认证UE 104。MME105通过S6a接口108被链接到HSS 107。MME 105是非接入层(Non-Access Stratum，NAS)信令的加密/完整性保护的端点，并且处理安全密钥管理。

当UE 104尝试连接到LTE网络100时，eNodeB 103就通过S1-MME互联106建立跟MME105的S1应用部分(S1AP)会话。S1AP会话提供eUTRAN 101和EPC 102间的信令服务。S1AP会话的NAS信令传输功能在eNodeB和MME对等体间传输NAS信令相关的信息。对等体交换的特定S1AP消息允许在MME105和eNodeB 103二者处为该S1AP会话建立“UE上下文”。MME利用加密确保NAS信令消息的机密性，并且为eNodeB提供安全材料以加密Uu接口上的用户数据和信令。

EPS NAS实现提供完整性保护和NAS信令消息的加密的安全特征。这里描述和公开的网络监视系统的实施例提供了一种实时解密EPS NAS信令消息的方案。EPS NAS解密和其他网络(例如3G网络)上执行的解密不同。EPS NAS使用新的密钥分级结构，且需要新的派生密钥(key derivation)来从K_ASME(接入安全管理实体密钥)推导K_NASenc，即EPS NAS解密中使用的基本密钥。使用密钥缓存以使UE 104附接到网络100时不必每次都重新协商解密密钥。当UE104附接到eNodeB 103时，UE 104参考将要与索引(index)一起使用的密钥K_ASME，即密钥集标识符(称为K_SIASME或eKSI)。eKSI(eUTRAN密钥集标识符)索引是一个3比特索引，其对应于特定密钥(它可以是KSI_ASME或者KSI_SGSN，这取决于上下文是本地的(native)还是映射的)。eKSI在AKA过程期间被UE接收到，并且可以在下一次附接事件中被重复使用来参考运行中的密钥。预期到来自相同UE 104的后继新连接，MME 105可能一次从HSS 107预取一个或多个K_ASME密钥。

为了解密，EPS建立的安全上下文状态需要被跟踪。所述状态可以是部分/全部、当前/非当前。在LTE网络100中，有两种EPS安全上下文，本地安全上下文和映射安全上下文。当在EPS域中所有安全参数都被获取后，则安全上下文被称作本地安全上下文。当安全参数通过映射另一域中的安全材料获得，则安全上下文被称作映射安全上下文。映射安全上下文被用来处理RAT(无线电接入技术)间移动性，如eUTRAN 101与UTRAN(通用陆地无线电接入网络)或者GERAN(GSM EDGE无线电接入网络)间的切换。安全上下文映射使HSS107所需的信令最小。

在eNodeB 103和UE 104间的Uu接口上，需要加密和解密所有的用户平面分组并为控制平面分组提供机密性(可选的)和完整性保护。这是靠UE 104和eNodeB 103完成。除了Uu上的这个安全机制，在UE 104和MME 105之间的地方，可以存在特定用于NAS信令的重叠安全机密性保护(可选的)。所以一旦eNodeB 103解密Uu接口上的分组/消息，在S1-U接口上中继用户平面分组并在S1-MME接口上中继加密的NAS消息。对于NAS信令的安全机密性保护，需要获得S1-MME接口106上的密码保护的安全密钥。EPS利用认证和密钥协商(AKA)过程为NAS加密密钥产生这类密钥材料。

安全架构(包括安全特征和安全机制)以及EPS中运行的安全过程(包括EPC和eUTRAN)在第三代合作伙伴项目(3GPP)制定的技术规范中阐明。一个感兴趣的技术规范名为″Digital cellular telecommunications system(Phase 2+)；Universal MobileTelecommunications System(UMTS)；LTE；3GPP System Architecture Evolution(SAE)；Security architecture(3GPP TS 33.401 version 9.5.0Release 9)″(2010年10月)，且其通过引用整体结合于此。另一个感兴趣的技术规范名为″Universal MobileTelecommunications System(UMTS)；LTE；3G security；Security architecture(3GPPTS33.102version 9.3.0Release 9)″(2010年10月)，且其通过引用整体结合于此。

EPS NAS安全上下文包括具有相关联密钥集标识符eKSI的K_ASME、UE 104安全能力、完整性和加密的选择的安全算法以及上行链路和下行链路NASCOUNT(计数)值。单独对的NAS COUNT值用于每个EPS NAS安全上下文。本地和映射EPS安全上下文之间的区别依然适用于EPS NAS安全上下文。

图2示出了EPS中交换的消息，作为AKA过程的一部分。UE 104、eNodeB103、MME 105和HSS 107被相互连接，且标注为如图1所示。MME 105通过S1-MME 106和S6a 108接口被分别耦合到eNodeB 103和HSS 107。AKA过程通常由经过eNodeB 103从UE 104到MME 105的NAS消息201来触发。MME105自身也可以在任何时刻触发AKA过程。NAS消息201可能是例如附接请求(Attach Request)或者服务请求消息。当UE 104上电或者变为活跃(active)状态时，可能发生初始连接请求。NAS消息201包含UE 104的用户标识(其在AKA过程中使用)。接收到来自UE 104的连接请求后，MME 105用S6a接口108上的消息202向HSS 107请求认证信息。HSS 107在消息203中通过一个或多个认证矢量(AV)来响应，每个认证矢量包括随机询问参数(random challenge parameter，RAND)、期望结果参数(XRES)、认证令牌(AUTN)和K_ASME基本密钥。K_ASME密钥在HSS/AUC中根据CK、IK值来计算。又利用RAND参数来计算CK和IK值，该RAND参数如CK＝f3_K(RAND)和IK＝f4_K(RAND)，其中f3和f4是密钥生成函数。所以K_ASME值对应特定的RAND值。每个认证矢量适用于UE 104和MME 105间的一个AKA过程。当MME初始化AKA过程时，它从有序数组中选择下一个认证矢量。

利用认证矢量，MME 105通过发送含有RAND和AUTN参数的认证请求消息204进行针对UE 104的AKA过程。认证请求消息204也包含UE 104和MME 105用来识别K_ASME的KSI_ASME和进一步从K_ASME推导的其他密钥。使用密钥推导函数(KDF)、使用CK、IK和服务网络的标识符(SNid)来推导K_ASME。利用RAND和共享密值K，UE 104通过验证来自MME 105的AUTN参数来认证网络。UE 104随后在消息205中生成和发送响应(RES)值。MME 105对照XRES期望值检查RES值来认证UE 104。AKA过程的结果是，UE 104和MME105共享K_ASME密钥并且他们互相认证。

监视系统109可以被耦合到EPC 102，以被动监视和采集来自LTE网络中的一个或多个接口的数据。监视系统109可能从EPC接口(包括S1-MME 106和S6a 108接口)采集用户平面和控制平面数据。在一个实施例中，监视系统109可以包含一个或多个处理器，该处理器运行一个或多个采集、关联和分析来自网络100的协议数据单元(PDU)的软件应用。监视系统109可以集成协议分析器、会话分析器和/或业务分析器功能，其通过表征网络100上的链路、节点、应用和服务器的IP业务提供OSI(开放系统互连)第2层到第7层故障诊断。例如，这项功能提供自来自Tektronix公司的GeoProbe G10平台(包括Iris Analyzer Toolset应用和SpIprobes)。

监视系统109经由分组捕捉装置(如高速、高密度探头，其被优化以便处理高带宽IP业务)可以耦合到网络接口。监控系统109被动地捕捉来自接口的消息业务而不中断网络的运行。服务提供商或者网络运营商可以经由用户接口站110来访问来自监视系统109的数据。监视系统109可以还包含内部或外部存储器111以存储捕捉的数据分组、用户会话数据、呼叫记录配置信息和软件应用指令。监视系统109可以捕捉和关联网络接口上的分组相关联的特定数据会话。在一个实例中，相关的分组可以利用五元组(tuple)关联机制被关联起来。五元组关联过程使用IP关联密钥，其包括5部分——服务器IP地址、客户端IP地址、源端口、目的地端口和第7层协议(HTTP、DNS、GTPv2或S1AP)。对于网络100上的特定流、会话或者呼叫，相关的分组可以组合成记录。

监视系统探头可以包括被动探头，其利用光学或电子分路器(splitter)接入连接或接口以镜像出(mirror)流动在网络设备间的数据而不影响主要数据链路。捕捉的数据可以被过滤，整理和/或传送到监视系统中的数据获取处理器、功能或电路，其分析捕捉的数据的内容，如识别单个消息和消息中的参数。

在替代实例中，例如，监视系统109可是驻留在EPC节点上(例如在MME103上)的活跃组件(如软件代理)，且它捕捉传入或传出节点的数据分组。

S1-MME接口106上的业务可以是未加密的，且能够被监视系统109使用以关联相关业务来创建会话记录。但是S1-MME上的业务通常都加密。如果没有适当的加密密钥来解密消息，则业务就不能够被监视系统110所使用。

图3是流程图，示出了在监视系统中执行EPS NAS解密的过程。在步骤301中，监视系统就与认证过程相关联的业务监视MME和HSS间的S6a接口。S6a接口上交换的参数是不加密的。认证过程的目的是向MME提供一个或多个认证矢量，如RAND、AUTN、XRES和K_ASME，以认证UE并提供安全材料。每个认证矢量都可以被用来认证UE。如果MME得到不止一个认证矢量，过量的矢量被用在该UE的后续AKA过程期间。IMSI(国际移动用户标识)是UE的永久标识，且它被包含在S6a“认证信息请求”消息当中，而如果成功的话，在S6a“认证信息响应”消息中认证矢量是强制性的。IMSI、RAND、AUTN和K_ASME参数可以从S6a上的认证过程被提取。

在步骤302中，监视系统通过S1-MME接口监视NAS认证和密钥协商(AKA)过程。AKA过程的目的是使MME认证UE并在K_ASEE密钥上与UE相互协商一致而不必在S 1-MME接口上实际传输密钥。当EPS认证成功执行后EPS安全上下文在UE中和网络中被建立。

认证请求消息载送RAND、AUTN和eKSI。所以这些值能从认证过程消息中被提取出来。来自UE的认证响应消息载送MME用来确定认证是否成功的RES。如果UE发送的RES值不正确(即RES和XRES不相等)，则MME发回认证拒绝(Authentication Reject)消息给UE。

假设UE使用S1AP初始UE消息中的IMSI进行初始附接。监视系统可能提取IMSI并可随后将IMSI和RAND、AUTN和eKSI参数关联。还假设认证请求消息在UE第一次附接到网络时将是不加密的。

eKSI是NAS密钥集标识符。eKSI的值为0-7，且被用来识别未来事务中推导出的K_ASME密钥。这实现了缓存安全上下文的能力。例如，假设UE被认证且安全NAS连接已建立。当UE过渡到EMM-空闲状态且按服务请求过程随后恢复回到EMM-连接状态时，UE将包含eKSI。如果对于UE先前捕捉了eKSI和认证参数，则监视系统可以把eKSI映射到缓存的安全上下文并可开始解密捕捉的NAS消息。如果MME发起AKA过程，则将用新eKSI建立新安全上下文。

在步骤303中，监视系统在S6a和S1-MME上的认证过程之间进行关联。例如，监视系统利用例如IMSI来关联从S1-MME和S6a接口上的认证过程捕捉的数据。步骤304中，监视系统创建数据结构，在此称作EPS AuthVector。AuthVector数据结构包含eKSI、RAND、AUTN、算法类型和K_ASME参数。算法类型能根据从MME发送到UE的安全模式命令消息而识别出来。如果预取的矢量被检测且捕捉到，则它们会被存储在AuthVector数据结构中，且不包含eKSI(因为其尚未被分配)。AuthVector数据是每一用户级别下来自认证过程的S6a和S1-MME支路的数据的组合。

步骤305中，监视系统监视S1-MME接口上的NAS安全模式过程。NAS安全模式控制过程的目的是使用EPS安全上下文，且利用相应的NAS密钥和安全算法初始化UE和MME之间的NAS信令安全。MME向UE发送未加密的安全模式命令消息。监视系统捕捉此消息，且提取算法类型和eKSI参数。eKSI值随后被用来确定安全上下文是本地的还是映射的，并检索与该上下文相关联的K_ASME(本地安全上下文)或K’_ASME(映射安全上下文)。监视系统识别合适的AuthVector数据结构，且利用其中的信息解密针对该安全上下文或特定NAS信道而捕捉的消息。

安全模式过程完成之后，该UE的所有的PDU将被加密。在步骤306中，监视系统用来自AuthVector数据结构的信息来解密PDU。当NAS PDU被捕捉时，监视系统利用头(header)信息来识别与PDU关联的AuthVector数据结构。因该操作必须对每个PDU执行，监视系统可以使用快速密钥访问缓存来提解密PDU中的高效率。

监视系统提供下列参数给解密算法：K_NASenc、NAS COUNT、Bearer(承载)、Direction(方向)，和Algorithm Type(算法类型)。

K_NASenc，其从K_ASME推导，且和EPS AuthVector数据结构一起存储。

NAS COUNT对，其中每个值都是32位COUNT参数。NAS COUNT格式如表1所示。

8位	16位	8位
			填充(Padding)(0x00)	溢出数(ON)	序号(SN)

表1

NAS COUNT在每一方向(上行链路和下行链路)上都被监视系统保持。AKA成功运行后，NAS COUNT在每个安全模式命令消息上在两个方向都被重置。SN被从每条NAS消息中提取出来。ON被监视系统保持，其从“0”开始且每次SN回转(wrap around)就增量“1”。

Bearer，是5位承载标识符，其对于NAS总设置为“0”。

传输的方向(Direction)，其对于上行链路指示为“0”，而对于下行链路指示为“1”。消息的方向可以用S1AP消息类型来分配。所有UE相关的S1AP信令消息都是单向的。使用这个事实，上行链路或下行链路方向可以被分配给每个PDU。监视系统可以解密从每个方向中的业务捕捉的PDU。

Algorithm Type，其存储在EPS AuthVector数据结构中。EPS NAS采用公开可用的SNOW3G和AES算法。

UE被分配IMSI和GUTI(全球唯一临时标识)。为了建立订户记录和跟踪S1AP呼叫，监视系统使用eNodeB-UE标识符和S1AP信令中存在的IMSI/GUTI信息。当S1AP呼叫被释放后，eNodeB-UE ID被删除，但IMSI/GUTI被保持在数据库中。当UE再一次附接到网络时，建立具有新eNodeB-UE ID的新S1AP会话。新会话利用IMSI/GUTI可以被关联回相同的订户记录。

当UE重新附接到网络，它可能不执行和MME的新AKA过程。相反，UE能够发送其以前使用的eKSI以使用以前建立的参数来继续对分组加密。利用S1AP呼叫跟踪方法识别订户记录，如通过使用IMSI/GUTI索引化该记录，UE的AuthVector就能被监视系统检索到。这使监视系统能继续解密该UE的分组。

即使当UE不执行和MME的AKA过程，本发明的实施例仍允许监视系统解密PDU。例如，当UE首次附接时，密钥和认证数据能被监视系统从S6a接口上捕捉到。该信息可以被用来解密相应的S1-MME接口的PDU。如果UE断开且此后第二次附接，MME和UE不需要再执行AKA过程或者在S1-MME或S6a接口上交换密钥信息。UE和MME都采用密钥缓存来跟踪它们以前使用的密钥。这些密钥能在UE再次附接时被使用。相应地，监视信号将不会看到S1-MME或S6a接口上的AKA过程或者相关数据。相反，UE和MME可以立即开始交换加密的数据。监视系统能够使用IMSI/GUTI信息为UE来识别已存在的订户记录。另外，UE将在服务请求消息中(或可选地，在附接请求/TAU请求消息中)传送eKSI值。MME可以使用eKSI值来回顾参考已存在的K_ASME并可立即发送加密的数据。存储在订户记录中的密钥信息可以被用来解密第二次附接的业务。

上述算法假设，未加密的认证请求被监视到。一旦监视系统发现未加密认证请求消息，它拥有足够数据生成解密来自UE的消息中的剩余消息所需的密钥。但是，在某些例子里，所有的认证请求消息可能是加密的。监视系统仍然将能够为UE识别安全密钥。监视系统捕捉S1-MME接口上初始上下文设置(Initial Context Setup)消息中发送的K_eNB参数。监视系统也能够从S6a接口获得K_ASME。监视系统能从K_ASME推导K_eNB。相应地，当监视系统生成K_ASME时，它也能生成对应的K_eNB并把它存储在AuthVector或订户记录中。当在“初始上下文设置”或“UE上下文修改”消息中捕捉到K_eNB时，监视系统能识别解密需要的相关K_ASME。

当利用AKA过程基于和HSS交换的数据生成密钥时，安全上下文被称为“本地的”。当密钥是MME从其他网络(如3G或2G网络)接收到的时，则安全上下文被称为“映射的”。图4是描述UE 401从3G网络402切换到LTE网络100的方框图。UE 401初始与3G RNC 403通信，并被切换到eNodeB 103。3G网络的SGSN 404被耦合到3G RNC 403和LTE网络中的MME 105。作为切换过程的一部分，SGSN404和MME 105通过S3接口405交换与UE 401相关的信息，包括CK、IK和IMSI参数。切换后的UE 401拥有映射安全上下文。LTE网络100为映射安全上下文创建K’_ASME以用于加密/解密UE 401的业务。在一个实例中，监视系统109也可能被耦合到S3接口405，并可捕捉与切换UE401相关的PDU，如CK、IK和IMSI数据。这些捕捉的数据允许监视系统109为UE 401推导出密钥，使得其他捕捉的业务也能被解密。相似的概念也能应用于从UTRAN/GERAN到eUTRAN的空闲模式移动性的情况。

在某些实例中，MME 105可能预取用于本地安全上下文的密钥。MME 105从HSS 107检索将要被使用的下一个密钥的数据。这允许MME 105在UE下一次附接时直接执行AKA过程而无需等待从HSS 107获取密钥数据。结果是，这种情形中，密钥数据在认证过程开始前将通过S6a接口传送。监视探头109将从S6a捕捉预取的密钥数据并存储预取的密钥的K_ASME直到它被MME 105需要。当相同的UE重新附接且MME 105开始AKA过程时，监视系统109将已经拥有将要被使用的安全密钥。监视系统109能够使用K_ASME来解密与UE相关的PDU。

当UE连接到LTE网络时，eNodeB创建流控制传输协议(SCTP)传输会话到MME。S1应用协议(S1AP)被eNodeB用来与MME通信。S1AP的一个主要功能是UE上下文管理功能，它支持S1上的用户单独信令。EPS NAS信令在S1AP顶部被透明地从UE载送到MME而无需eNodeB的解释。

当UE进行与MME的初始附接过程时，UE发送它的永久订户标识(IMSI)。MME识别出UE并利用IMSI验证需要提供的服务。一旦MME已完成该初始验证，它给UE分配临时标识(GUTI)。从那一点起，UE针对后续服务请求(包括附接)发送GUTI——不是IMSI——给MME。LTE主要采用这个机制作为安全特征来避免IMSI值从消息中捕捉。

这就对监视系统提出挑战，当UE执行初始附接时，监视系统可能并未在服务中。UE可能在几天甚至几月内不再发送IMSI给MME。因此，如果监视系统仅仅依赖于检测S1AP信令中IMSI的存在，识别每个到UE的S1AP信令会话的成功率将很小，这就严重破坏了监视系统的价值。

这里公开的监视系统的实施例提供了一种方案，该方案中即使IMSI在S1AP信令里不存在，所有UE相关的S1AP信令仍然能够通过IMSI被识别出。监视系统通过关联S1AP/NAS认证过程和S6a直径认证过程(Diameter Authentication Procedure)能够将IMSI关联到S1AP信令。

S1AP认证过程经常被MME执行以认证UE。但是，在它能进行这个过程前，MME必须在S6a认证中为UE从HSS取得EPS认证矢量。S6a认证过程中取得的EPS认证矢量的三个参数(RAND、AUTN和XRES)还被S1AP/NAS认证过程中的消息所载送。RAND+AUTN参数由MME发送给UE，且然后UE以XRES响应回MME。相应地，利用EPS认证矢量的这三个参数(RAND、AUTN和XRES)，将能够关联S1AP认证过程和S6a认证过程。

在S6a认证请求中，IMSI是强制性参数，其必需由MME发送给HSS以请求EPS认证矢量。因为IMSI在S6a认证过程中是强制性的，且S6A认证过程能和S1AP认证过程关联，所以IMSI也能被关联到UE的S1AP信令连接。临时标识，GUTI(其已由MME分配)，在此过程中也能被映射给IMSI。使用该GUTI参数的UE的任何后续附接可以被直接映射以识别UE的IMSI。从S1AP信令过程中跟踪GUTI的变化，例如S1AP GUTI重定位消息、S1AP跟踪区域更新(TAU)消息和S 1AP附接消息。这允许监视系统保持GUTI-IMSI映射为当前的。具有这个永久订户跟踪机制允许监视系统应用通过IMSI进行跟踪。这些应用中的一些是呼叫追踪器、呼叫数据记录、与S11、S6a接口的多协议关联。

当NAS认证过程在S1-MME被加密时，使用K_eNB密钥的关联算法能把S6a接口上监视的K_ASME与S1AP上下文和与IMSI绑定。当NAS认证过程未被加密时，上述一般算法可用于其他情形。

图5示出了首先使用已经可用的密钥加密NAS业务的附接过程。AKA过程后，新K_ASME被分配和使用。附接请求消息501经由eNodeB 52被从UE 51发送到MME 53。此外，与标识请求和响应相关的可选的NAS过程502在附接请求消息501之后也可能发生。MME 54可以决定在消息503和504中从HSS 54(S6a接口)检索新的EPS认证矢量集。前述的3GPPTS 33.401规范建议一次只获取一个EPS认证矢量。认证信息请求503和认证信息响应504消息是不加密的。

MME 53初始化S1AP/NAS上的新的AKA过程505、506，以改变正在使用的密钥。AKA消息505和506是加密的。因此，不可能的是，将绑定在S1AP/NAS消息505和S6a消息504之间的RAND值的标准算法应用于识别AKA过程之后将要被使用的K_ASME密钥。

MME 53发送未加密的安全模式命令消息507到UE 51。UE 51通过安全模式完成消息508来响应回，该安全模式完成消息508使用新EPS安全上下文来加密。MME 53随后发送S1AP初始上下文设置请求消息509给eNodeB 52以创建S1AP上下文。S1AP上下文设置请求消息509包含K_eNB密钥，该K_eNB密钥今后将用于推导出将在无线电水平下应用的相关Uu接口安全密钥。上下文设置经由响应消息510完成，且NAS附接过程由消息511完成。在另一种消息流情形中，当存在UE上下文修改时，在K_eNB分配中涉及S1APUE上下文修改请求消息。

图5中概述的过程引起的问题是如果NAS认证过程被加密，如何识别将要被使用的K_ASME。K_eNB关联算法能用来解决这个问题。网络监视系统能监视S6a接口以从认证过程消息503和504获得K_ASME和IMSI。S6a接口上监视的K_ASME密钥能被相关IMSI存储和索引化。MME预取的K_ASME密钥也能以这种方式被存储和索引化。

K_eNB密钥是利用KDF函数计算得到的，该函数具有新的K_ASME和NAS上行链路计数作为输入。在图5所示的例子中，在AKA成功运行后，UE51将NAS上行链路计数设定为起始值(＝0)。UE 51也包括NAS安全模式完成消息508中的NAS上行链路计数的序号部分。这确保了，溢出参数也被重置为0。

K_eNB关联算法从S6a接口上识别出的每一个K_ASME推导K_eNB，并利用K_eNB值本身对其进行索引化。例如，K_eNB和K_ASME密钥可以被存储在上述AuthVector或者订户记录中。关联算法利用K_ASME计算出的K_eNB值可能被命名为“K^alg _eNB”。算法利用KDF函数处理监视的K_ASME值和NAS上行链路计数值以得到K^alg _eNB候选。

一旦监视系统检测到S1AP初始上下文设置请求消息509(或者替代实施例中的UE上下文修改请求消息)，监视系统就检索消息509中包括的K_eNB值，并逆向查找存储的K_eNB值以识别使用中的K_ASME。监视系统确定是否任何K^alg _eNB候选(即，从S6a接口上的K_ASME计算的K_eNB值)与S1AP级别下监视到的K_eNB相等。如果发现匹配，则与K^alg _eNB对应的K_ASME将被采用。从这个K_ASME，监视系统可以推导出NAS解密的NAS_enc密钥。

在一个实施例中，加密的NAS PDU被监视系统缓存或存储，直到初始上下文设置请求消息509(或者UE上下文修改请求消息)被检测到。一旦K_ASME被识别，缓存器中存储的PDU就能够被解密。

监视系统计算和索引化每个被检测的K_ASME的K^alg _eNB值所需要的处理负载可能是禁止性的。为限制处理负载，监视系统可能使用优化的K_eNB关联算法。优化算法的概念和前面描述的核心算法类似；但是，该过程限于与尚未确定密钥的那些IMSI对应的K_ASME值，而不是处理和索引化每个K_ASME和K^alg _eNB。

优化的算法如下操作。监视系统除了监视S1-MME和S6a接口之外，还从S11接口(即，GTPv2-C协议)捕捉数据。相关S11-S6a-S1AP支路被绑定在一起。这种绑定的一个结果是将IMSI和特定的S1AP连接关联的能力，条件是清晰文本中S1AP和/或捎带回的NAS只具有临时标识符(如GUTI或者S-TMSI)而不具有UE的IMSI。S6a认证过程被监视，且K_ASME的值存储在监视系统存储器中并且被IMSI索引化。

当S1AP初始上下文设置请求消息(或者UE上下文修改请求消息)被检测时，所涉及IMSI是已知的(通过S11绑定)，且这样监视系统能确定是否基于IMSI针对该UE已识别出K_ASME。如果K_ASME已经可用于该IMSI，则算法可以跳过关联过程中的剩余步骤。否则，如果对于IMSI而言K_ASME是未知的，则优化的算法通过IMSI的查找来检索存储的K_ASME密钥，且然后从检索到的K_ASME密钥推导出K^alg _eNB值。最后，监视系统尝试匹配S1AP初始上下文设置请求消息(或者UE上下文修改请求消息)中监视的K_eNB值和计算得到的K^alg _eNB值。如果找到匹配，则监视系统识别出将采用的K_ASME。

为了建立S11和S1AP绑定，监视系统使用下列过程。对于S11监视，创建会话过程的会话信息被捕捉，包括IMSI、MSISDN、CP隧道TEID的发送者和接收者、S1-UTEID的发送者和接收者参数。S1-US-GWF-TEID参数(用于S-GW侧的S1-U的隧道ID的识别)存在于S11 GTPv2-C创建会话响应消息中和S1AP初始上下文设置请求消息上。监视系统利用S1-US-GWF-TEID参数把来自GTPv2-C的IMSI绑定到S1-MME UE上下文。

类似地，通过把S1-U eNodeB F-TEID参数(其用于eNodeB侧的S1-U的隧道ID的识别)从S11 GTPv2-C修改承载请求消息绑定到S1AP初始上下文设置响应，也提供了IMSI映射。

NAS加密/解密所需的安全参数是EPS NAS安全上下文的一部分。这些参数包括：

K_ASME密钥；

K_NASint密钥和K_NASenc密钥；

eKSI索引；

UE安全能力，如支持完整性和加密的算法的类型；

上行链路(UL)和下行链路(DL)NAS_COUNT值；以及

认证摘要和EPS询问值，如RAND。

这些安全参数可以通过两种不同的方法获得。它们可以在EPS环境中被检索到，如通过S6a查询HSS或者在MME间移动性的情况下从另一MME来获取它们。这是本地安全上下文，其安全参数是一起形成EPS认证矢量的K_ASME密钥、RAND、AUTN和XRES。替代地，在RAT间移动性的情况下这些参数可以映射自UTRAN/GERAN安全参数。这是映射安全上下文。

针对基本NAS解密情形以上描述了本地EPS NAS安全上下文。在映射安全上下文中，获取安全参数的过程与本地上下文不同，这是因为信息是映射自UTRAN/GERAN安全材料。采用这种映射使HSS所需的信令最小化。

在映射上下文中，索引化密钥的概念仍然和本地上下文中使用的一样。映射情况下使用的索引为KSI_SGSN，它指的是映射自UTRAN/GERAN的特定密钥。

UE和网络能够同时存储本地安全上下文和映射安全上下文，但是同一时间仅两者之一是活跃的。这意味着监视系统必须保持特定UE的本地和映射安全上下文信息二者。当UE状态过渡到EMM-DEREGISTERED状态时，如果存在非当前本地EPS安全上下文和当前映射安全上下文，则非当前本地EPS安全上下文被标记为当前的而映射安全上下文则被删除。

从UTRAN/GERAN网络到eUTRAN的切换或空闲模式移动性可能影响监视系统解密LTE网络上的数据的能力。为监视从UTRAN/GERAN移动到eUTRAN的UE的业务，监视系统必须使用来自映射EPS安全上下文的数据。处理来自UTRAN/GERAN的UE的MME通过GTPv2-C消息从SGSN得到CK和IK值。随后，MME从这些子密钥中利用KDF推导函数和一或两个随机数作输入推导新K’_ASME。所需随机数的数量取决于UE是否因为空闲模式移动性或切换而移动。所述随机数通过UE和MME之间的初始NAS消息被传送。计算K’_ASME的公式示出于等式1中。

K’_ASME＝HMAC-SHA-256(CK||IK，S) 等式1

“S”参数必须在到eUTRAN的切换或空闲模式移动性期间获得。在切换情况下，S的值被定义为：

S＝FC||PO||LO 等式2

其中

FC＝0x18；

PO＝NONCE_MME；

LO＝两个八位字节编码的NONCE_MME参数的长度＝0x00 0x04；以及

||＝位级联运算符。

图6示出了在到eUTRAN的RAT间切换期间交换的消息。源RNC发送RANAP重定位要求(RANAP Relocation Required)消息601到源SGSN 62。一旦其识别出目标MME 63，SGSN 62就发送GTPv2-C前向重定位请求(GTPv2-C Forward Relocation Request)消息602到MME63。消息602包含当前安全材料CK、IK和KSI，它们在UTRAN环境中可用。MME 63选择NONCE_MME并发送S1AP HO请求消息603到目标eNB 64以建立UE上下文。消息603包含NONCE_MME且还包含算法类型以及索引KSI_SGSN。

UE也需要NONCE_MME值和其他参数。目标到源透明容器(Transparent Container)被创建以载送这些参数和其他参数。容器被包含在S1AP HO请求确认消息604、GTPv2-C前向重定位响应消息605和RANAP重定位命令消息606中。UTRAN RNC随后将此信息提供给UE。一旦切换完成，S1AP HO通知消息607被发送到目标MME 63，它又交换前向重定位完成消息608，609以关闭与源SGSN 62的过程。SGSN 62随后释放Iu接口上的资源。

用来计算解密消息所需的K’_ASME密钥所需要的参数可以通过监视系统从GTPv2-C前向重定位请求消息602和S1AP切换请求消息604中获得。GTPv2-C消息包含子密钥CK、IK和索引KSI。S1AP消息也包含索引，以及将要应用的NAS算法和NONCE_MME。索引用来参考映射上下文，而参数NONCE_MME、CK、IK可用被用来获得新的密钥。监视系统可以计算解密相关UE的业务所需要的K’_ASME密钥。

图7示出了在从UTRAN到eUTRAN的空闲模式移动性期间交换的消息，其中UE尚不含有任何当前或本地EPS安全上下文。所述情形描述空闲模式中映射安全上下文的使用。

UE 71发送TAU请求消息701到新MME 72。UE 71先前连接到UTRANSGSN 73。TAU请求消息701包括旧的P-TMSI签名以用信号表明它是RAT间情形。该消息也包括值为“无可用密钥(no key available)”的KSI_ASME，KSI_SGSN，UE的安全能力(其可以是支持的算法列表)和NONCE_UE(用来计算新密钥)。

MME 72利用GTPv2-C上下文请求消息702询问旧的SGSN 73以检索MM上下文。旧SGSN 73的响应703包含映射安全上下文参数CK、IK和KSI。这些参数对应于TAU请求701中存在的KSI_SGSN值。

MME 72随后发送安全模式命令消息704到UE 71。消息704包含下列参数：KSI值(它被标记为“映射的(mapped)”KSI＝KSI_SGSN)、选择的算法、TAU请求中发送的NONCE_UE，以及MME选择的NONCE_MME。NONCE参数是哈希函数的输入值，用于获得在接口上并非不受阻碍地转移的新K’_ASME。NONCE_UE是UE 71选择的32位随机数值并通过NAS跟踪区域请求消息701转移给MME72。NONCE_MME是MME 72选择的32位随机数值并通过NAS安全模式命令消息704转移到UE71上。

安全模式控制和跟踪区域更新(TAU)过程在消息705-708中完成。

在从UTRAN到eUTRAN的空闲模式移动性期间，用于解密消息的参数在下列消息中找到。TAU请求消息701也可以包含旧P-TMSI签名，旧GUTI，KSI_SGSN，UE网络能力和NONCE_UE。GTPv2-C上下文请求消息702也包括旧P-TMSI签名，P-TMSI和RAI。GTPv2-C上下文响应消息703包括CK、IK和KSI。NAS安全模式命令消息704包括KSI、安全能力、重播NONCE_UE和NONCE_MME。

需要NONCE和CK、IK参数来计算新密钥K’_ASME。在空闲模式移动性情形下，用于K’_ASME计算的S值示出于等式3中。

S＝FC||PO||LO||P1||L1 等式3

其中：

FC＝0x19；

PO＝NONCE_UE；

LO＝两个八位字节编码的NONCE_UE参数的长度＝0x00 0x04；

P1＝NONCE_MME；

L1＝两个八位字节编码的NONCE_MME参数的长度＝0x00 0x04；以及

||＝位级联运算符。

NAS跟踪区域请求消息701、NAS安全模式命令消息704和GTPv2-C上下文响应载送为空闲模式移动性生成K’_ASME所需的信息。

监视系统捕捉和识别用于映射安全上下文的数据，以监视和支持MME和UTRAN/GERAN SGSN之间的接口。

受益于前面的描述及相关联附图中提供的教导，本发明所属领域技术人员将想到本发明的许多改进和其他实例。因此，应当理解，本发明不限于所公开的特定实施例。尽管在这里采用特定术语，但是它们只是在一般性的和描述性的意义上使用，且并不出于限制目的。

Claims (8)

1.一种对捕捉的数据分组解密的方法，包括：

通过监视探头捕捉来自在移动性管理实体和归属订户服务节点之间的第一网络接口、以及来自在移动性管理实体和eNodeB节点之间的第二网络接口的数据分组；以及

识别与所述第一网络接口上的认证和密钥协商过程相关联的第一数据分组；

识别与所述第二网络接口上的所述认证和密钥协商过程相关联的第二数据分组；

关联与相同参数相关联的所述第二数据分组中的各个数据分组和所述第一数据分组中的各个数据分组；以及

创建包括来自所关联的第一数据分组和第二数据分组的信息的认证矢量表，其中表中的条目包括多个安全上下文的认证数据，

还包括：

从第二网络接口捕捉安全模式过程数据分组；

从安全模式数据分组中提取算法类型和安全密钥索引；以及

将所述算法类型和所述安全密钥索引附加到所述认证矢量表。

2.根据权利要求1所述的方法，还包括：

在所述监视探头上的存储器中存储所述认证矢量表。

3.根据权利要求1所述的方法，

其中当通过所述监视探头捕捉时所有NAS认证请求消息都被加密。

4.根据权利要求1所述的方法，还包括：

通过所述监视探头捕捉来自网络接口的加密数据分组；

识别所述加密数据分组的安全上下文；

把所述加密数据分组的所述安全上下文关联到所述认证数据表中的条目；以及

利用存储在所述认证数据表条目中的加密密钥解密所述加密数据分组。

5.根据权利要求1所述的方法，其中所述第一网络接口是S6a接口，且所述第二网络接口是S1-MME接口。

6.根据权利要求1所述的方法，还包括：

捕捉来自S3接口的KSI以及CK和IK子密钥。

7.根据权利要求1所述的方法，还包括：

从S1AP HO请求或者S1AP TAU请求中提取算法类型和安全密钥索引。

8.根据权利要求1所述的方法，还包括：

从CK和IK子密钥以及一个或者两个随机数作为输入推导K’_ASME值；以及

将所述算法类型和所述安全密钥索引附加到所述认证矢量表。