CN104410965A - 实现移动网络Iub接口RRC信令解密的系统及方法 - Google Patents

Abstract

本发明涉及一种实现移动网络Iub接口RRC信令解密的系统及方法，其中包括核心网信令采集模块；Iu口信令解码模块；核心网密钥存储和维护模块，用以根据关键信息建立用户标识和密钥信息的映射关系；核心网密钥查询服务模块；Iub口RRC信令采集模块；Iub口RRC信令解码模块；Iub口密钥查询模块；Iub口RRC信令解密模块，用以根据对应密钥对RRC信令进行解密并将解密后的信令发送至解码模块。采用该种结构的实现移动网络Iub接口RRC信令解密的系统及方法，实现精确地从核心网侧查询到解密密钥，高效精确地进行密钥获取，完全适合加密密钥随机切换的场景，实时对RRC信令进行解密和解码，具有更广泛的应用范围。

Description

实现移动网络Iub接口RRC信令解密的系统及方法

技术领域

本发明涉及移动网络领域，尤其涉及移动网络Iub接口信令解析领域，具体是指一种实现移动网络Iub接口RRC信令解密的系统及方法。

背景技术

近年来，随着移动通信的快速发展，移动网络不断演进，应用种类不断齐全(从最初的简单流量，如语音通话到更多数据内容，如数据、语音、视频、位置等)，用户越来越关注实际的体验。上述变化给移动网络运营商带来了新的挑战，在保证基础设施及管理成本最低的情况下提供高质量的无线宽带用户体验成为了运营商面临的新课题。

移动无线网络，究其实质在于为上层的用户应用数据提供传输服务，这种传输依赖于网络能够提供与应用相匹配的、具有QoS(Quality of Service，服务质量)保障的传输通道。传输通道能否及时、正常的建立直接影响到上层用户体验，所以监测网络中通道建立、释放、修改等跟通道相关的操作能否及时、正常进行就成为了首先需要监测的内容。而针对通道的这些操作在移动无线网络中是通过信令交互实现的，所以这就需要对信令交互进行监测。对信令的监测是多环节的，包括核心网，如Iu口(Iu接口负责核心网(CN)和RNC之间的信令交互)和Gn口(同一PLMN中SGSN与SGSN间以及SGSN与GGSN间的接口为Gn接口)，接入网，如Iub口(Iub接口是RNC和Node B之间的逻辑接口)。

特别地，接入网对数据传输通道的建立和保障以及用户体验有最直接的影响。因此，实时监测WCDMA的Iub接口的RRC(Radio Resource Control，无线资源控制)信令对评估用户感知以及网络状态具有重要意义。WCDMA的Iub接口的RRC信令通常都是被加密过的，如果不能获取解密密钥就无法对RRC信令进行解密和解码，也就无法获取接入网的网络状况，无法实时监测用户体验。因此通常对Iub口的RRC信令解码存在以下困难：1、RRC信令通常被加密；2、在Iub口无法获得加密密钥；3、RRC信令的加密密钥是随机的、实时可变的。

发明内容

本发明的目的是克服了上述现有技术的缺点，提供了一种能够实现精确地从核心网侧查询到解密密钥、高效精确地进行密钥获取、完全适合加密密钥随机切换的场景、实时对RRC信令进行解密和解码、具有更广泛应用范围的实现移动网络Iub接口RRC信令解密的系统及方法。

为了实现上述目的，本发明的实现移动网络Iub接口RRC信令解密的系统及方法具有如下构成：

该实现移动网络Iub接口RRC信令解密的系统，其主要特点是，所述的系统包括：

核心网信令采集模块，用以在核心网侧对Iu-cs接口和Iu-ps接口进行信令采集；

Iu口信令解码模块，用以对所述的Iu-cs接口和Iu-ps接口采集的关键信令进行解码得到关键信息；

核心网密钥存储和维护模块，用以根据所述的关键信息建立用户标识和密钥信息的映射关系；

核心网密钥查询服务模块，用以对外提供实时监听的服务端口以提供Iub接口的密钥查询；

Iub口RRC信令采集模块，用以对Iub接口的RRC信令进行采集；

Iub口RRC信令解码模块，用以对所述的RRC信令实时解码；

Iub口密钥查询模块，用以根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥；

Iub口RRC信令解密模块，用以根据所述的对应密钥对所述的RRC信令进行解密并将解密后的RRC信令发送至所述的Iub口RRC信令解码模块。

较佳地，所述的移动网络为WCDMA网络。

较佳地，所述的关键信息包括用户标识和密钥。

本发明还涉及一种基于所述的系统实现移动网络Iub接口RRC信令解密的方法，其特征在于，所述的方法包括以下步骤：

(1)所述的核心网信令采集模块在核心网侧对Iu-cs接口和Iu-ps接口进行信令采集；

(2)所述的Iu口信令解码模块对所述的Iu-cs接口和Iu-ps接口采集的关键信令进行解码得到关键信息；

(3)所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并进行存储；

(4)所述的Iub口RRC信令采集模块对Iub接口的RRC信令进行采集；

(5)所述的Iub口RRC信令解码模块对所述的RRC信令实时解码得到用户标识；

(6)所述的Iub口密钥查询模块根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥；

(7)所述的Iub口RRC信令解密模块根据所述的对应密钥对所述的RRC信令进行解密；

(8)所述的Iub口RRC信令解码模块根据解密后的后续RRC信令对所述的RRC信令进行解码。

较佳地，所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并进行存储，具体为：

所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并以哈希表形式进行存储。

更佳地，所述的Iub口密钥查询模块根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥，包括以下步骤：

(6-1)所述的Iub口密钥查询模块封装密钥查询请求并发送至所述的核心网密钥查询模块；

(6-2)所述的核心网密钥查询模块提取密钥查询请求中所述的Iub口RRC信令解码模块解码得到的用户标识和时间并在所述的哈希表中进行对应密钥查询；

(6-3)所述的核心网密钥查询模块将查询到的对应密钥发送至所述的Iub口密钥查询模块。

较佳地，所述的Iub口RRC信令解码模块对所述的RRC信令实时解码得到用户标识，具体为：

所述的Iub口RRC信令解码模块对RRC连接请求信令和RRC连接安装信令进行解码得到用户标识。

更佳地，所述的Iub口RRC信令解码模块根据解密后的后续RRC信令对所述的RRC信令进行解码，包括以下步骤：

(8-1)所述的Iub口RRC信令解码模块判断是否所有的RRC信令均已解码完毕，如果是，则结束退出，否则继续步骤(8-2)；

(8-2)所述的Iub口RRC信令解码模块解码下一RRC信令；

(8-3)所述的Iub口RRC信令解码模块判断是否解码到密钥更改命令，如果是，则继续步骤(8-4)，否则继续步骤(6)。

采用了该发明中的实现移动网络Iub接口RRC信令解密的系统及方法，具有如下有益效果：

通过本发明提出了一种实现WCDMA及其他移动网络的Iub接口的RRC信令解密的方案和系统，这种方法利用从核心网侧加密信令中解析出来的加密密钥信息，来解密Iub接口的RRC信令；针对加密密钥的随机性和实时性，本系统能够实时维护当前有效密钥，提供远程接口供实时查询，几乎实时的响应；本系统能够实时精确地获取RRC信令的加密密钥，Iub口的RRC信令解码可以做到实时切换解密密钥；极大地提高了解密的效率和成功率，具有更广泛的应用范围。

附图说明

图1为本发明的实现移动网络Iub接口RRC信令解密的系统的结构示意图。

图2为本发明的实现移动网络Iub接口RRC信令解密的系统应用于移动网络中的示意图。

具体实施方式

为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。

本发明中涉及接入网侧和核心网侧，接入网侧包括接入网信令采集器(Iub口RRC信令采集模块)、Iub信令解码器(Iub口RRC信令解码模块)、解密器(Iub口RRC信令解密模块)，密钥查询模块(Iub口密钥查询模块)，核心网侧包括核心网信令采集器(核心网信令采集模块)、Iu口信令解码器(Iu口信令解码模块)、密钥存储维护模块(核心网密钥存储和维护模块)、密钥查询服务模块(核心网密钥查询服务模块)等。

本发明的技术方案为：1、通过采集WCDMA网络核心网侧Iu-cs接口和Iu-ps接口的信令，分析关键信令，实时建立和维护用户标识与加密密钥的映射关系。2、在WCDMA的Iub侧对RRC信令的解码过程中，根据解析的用户标识(如lai+tmsi或rai+ptmsi)实时远程地向核心网侧查询密钥。Iub侧根据返回的密钥对RRC信令进行解密和解码，并进一步输出分析结果。

为了实现上述目的，本发明的实现移动网络Iub接口RRC信令解密的系统包括：

核心网信令采集模块，用以在核心网侧对Iu-cs接口和Iu-ps接口进行信令采集；

Iu口信令解码模块，用以对所述的Iu-cs接口和Iu-ps接口采集的关键信令进行解码得到关键信息，关键信息至少需要包括用户标识和密钥信息；

核心网密钥存储和维护模块，用以根据所述的关键信息建立用户标识和密钥信息的映射关系；

核心网密钥查询服务模块，用以对外提供实时监听的服务端口以提供Iub接口的密钥查询；

Iub口RRC信令采集模块，用以对Iub接口的RRC信令进行采集；

Iub口RRC信令解码模块，用以对所述的RRC信令实时解码；

Iub口密钥查询模块，用以根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥；

Iub口RRC信令解密模块，用以根据所述的对应密钥对所述的RRC信令进行解密并将解密后的RRC信令发送至所述的Iub口RRC信令解码模块。

在一种较佳的实施方式中，所述的移动网络为WCDMA网络，所述的移动网络还可以为其他需要进行Iub接口RRC信令解密的移动网络。

本发明的实现移动网络Iub接口RRC信令解密的方法包括以下步骤：

(1)所述的核心网信令采集模块在核心网侧对Iu-cs接口和Iu-ps接口进行信令采集；

(2)所述的Iu口信令解码模块对所述的Iu-cs接口和Iu-ps接口采集的关键信令进行解码得到关键信息；

(3)所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并进行存储；

(4)所述的Iub口RRC信令采集模块对Iub接口的RRC信令进行采集；

(5)所述的Iub口RRC信令解码模块对所述的RRC信令实时解码得到用户标识；

(6)所述的Iub口密钥查询模块根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥；

(7)所述的Iub口RRC信令解密模块根据所述的对应密钥对所述的RRC信令进行解密；

(8)所述的Iub口RRC信令解码模块根据解密后的后续RRC信令对所述的RRC信令进行解码。

在一种较佳的实施方式中，所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并进行存储，具体为：

所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并以哈希表形式进行存储。哈希表中需要存储用户标识各个时间的所对应的密钥。

在一种更佳的实施方式中，当映射关系以哈希表形式存储时，所述的Iub口密钥查询模块根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥，包括以下步骤：

(6-1)所述的Iub口密钥查询模块封装密钥查询请求并发送至所述的核心网密钥查询模块；

(6-2)所述的核心网密钥查询模块提取密钥查询请求中所述的Iub口RRC信令解码模块解码得到的用户标识和时间并在所述的哈希表中进行对应密钥查询；

(6-3)所述的核心网密钥查询模块将查询到的对应密钥发送至所述的Iub口密钥查询模块。

在一种较佳的实施方式中，所述的Iub口RRC信令解码模块对所述的RRC信令实时解码得到用户标识，具体为：

由于RRC连接请求信令和RRC连接安装信令一般不加密，因此所述的Iub口RRC信令解码模块可以对RRC连接请求信令和RRC连接安装信令进行解码得到用户标识。

在一种较佳的实施方式中，所述的Iub口RRC信令解码模块根据解密后的后续RRC信令对所述的RRC信令进行解码，包括以下步骤：

(8-1)所述的Iub口RRC信令解码模块判断是否所有的RRC信令均已解码完毕，如果是，则结束退出，否则继续步骤(8-2)；

(8-2)所述的Iub口RRC信令解码模块解码下一RRC信令；

(8-3)所述的Iub口RRC信令解码模块判断是否解码到密钥更改命令，如果是，则继续步骤(8-4)，否则继续步骤(6)，重新至核心网密钥查询模块中查询当前时刻的密钥。

下面以一具体实施例来进行进一步介绍，该系统主要包括核心网信令采集模块、Iu口信令解码模块、密钥存储和维护模块、密钥查询服务模块、Iub口RRC信令采集模块、Iub口RRC信令解码模块、Iub口RRC信令解密模块、Iub口密钥查询模块等。如图1所示。

核心网信令采集模块：由于WCDMA的Iub口无法获得RRC信令的加密密钥，故必须在核心网侧Iu口部署信令采集服务器，对Iu-cs接口和Iu-ps接口进行信令采集，Iu-ps是指分组域的Iu接口，Iu-cs指电路域的接口。

Iu口信令解码模块：对一些关键信令进行解码，在解码的过程中对用户的信令进行关联，将每个用户的信令串接起来。从一些关键信令中可以获取关键信息，如从AttachRequest,ServiceRequest信令中分析出用户标识，如果是cs域，用户标识为lai+tmsi，如果是ps域，用户标识为rai+p-tmsi；从SecurityModeCommand信令中获取encryption key,encryptionalgorithm等。

核心网密钥存储和维护模块：从Iu口解码器中可知用户的用户标识和加密信息，建立用户标识与密钥信息的映射关系encry_hash_table，这里以哈希表形式存储，每个哈希节点里面都存储一个链表encry_info_list，维护当前用户在不同时刻的密钥。第一步：建立key。如果是cs域，则key为lai+tmsi；如果是ps域，则key为rai+ptmsi。第二步：新建密钥信息节点encry_info_node，将当前时间、encryption key,encryption algorithm等信息填充进节点中。第三步：使用第一步生成的key来查询哈希表，如果节点不存在，则新建节点，插入encry_hash_table，将新建密钥信息节点encry_info_node挂到链表encry_info_list中；如果哈希节点已经存在，直接新建密钥信息节点encry_info_node挂到链表encry_info_list中。

核心网密钥查询服务模块：对外提供服务端口，实时监听服务端口，等待Iub口的密钥查询。收到密钥查询消息后，提取参数用户标识(lai+tmsi或rai+ptmsi)和时间，根据用户标识查询哈希表encry_hash_table节点，然后根据时间进一步查找用户当前时刻的密钥信息。将密钥封装在响应消息中，发送给密钥查询者。

Iub口RRC信令采集模块，在接入网Iub口部署信令采集器，实时采集Iub口信令。

Iub口RRC信令解码模块：对所有RRC信令实时解码。RRC Connect Request和RRCConnect Setup不会被加密，因此可以被解析，从中可以解析到用户标识，如果RRC连接建立在CS域，则用户标识为lai+tmsi，如果建立在PS域，则用户标识为rai+ptmsi。当解码到SecurityModeCommand命令时(意味后面的RRC信令要被加密)，通过远程查询接口(参数用户标识(lai+tmsi或rai+ptmsi)，time)向核心网密钥查询服务模块发送密钥查询消息。等待核心网返回密钥后，对后续RRC信令进行解密和解码，当再次解码到SecurityModeCommand命令时(意味加密密钥被更改)，需要重新通过远程查询接口向核心网密钥查询服务模块查询密钥。

Iub口RRC信令解密模块：根据信令的加密密钥，对RRC信令进行解密，并将解密后的信令发送给RRC解码模块。

Iub口密钥查询模块：主要用于封装密钥查询消息和解析响应消息，查询消息的参数包括用户标识和时间；响应消息包括用户标识、时间、密钥信息等。

本发明在赛特斯移动网络端到端服务保障系统中得到了很好的应用。

如图2所示，从联通WCDMA网络的Gn口、Iu口和Iub口分别采集数据和信令。对Gn口数据进行DPI(Deep Packet Inspection，深度包检测)分析，分析用户上网的KPI(KeyPerformance Indicator，关键业绩指标)指标；对Iu口进行信令解析，分析用户信令的异常情况，如Attach、PDP连接建立的成功率和时延等；分析Iub口信令，获取接入网的网络状况。

通过对核心网和接入网反馈的网络状况进行关联分析，可以高效准确地定位用户上网故障；收集更多的端到端系统中与用户体验相关的指标，更好地评估真实的用户体验。

采用了该发明中的实现移动网络Iub接口RRC信令解密的系统及方法，具有如下有益效果：

通过本发明提出了一种实现WCDMA及其他移动网络的Iub接口的RRC信令解密的方案和系统，这种方法利用从核心网侧加密信令中解析出来的加密密钥信息，来解密Iub接口的RRC信令；针对加密密钥的随机性和实时性，本系统能够实时维护当前有效密钥，提供远程接口供实时查询，几乎实时的响应；本系统能够实时精确地获取RRC信令的加密密钥，Iub口的RRC信令解码可以做到实时切换解密密钥；极大地提高了解密的效率和成功率，具有更广泛的应用范围。

在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。

Claims (8)

1.一种实现移动网络Iub接口RRC信令解密的系统，其特征在于，所述的系统包括：

核心网信令采集模块，用以在核心网侧对Iu-cs接口和Iu-ps接口进行信令采集；

Iu口信令解码模块，用以对所述的Iu-cs接口和Iu-ps接口采集的关键信令进行解码得到关键信息；

核心网密钥存储和维护模块，用以根据所述的关键信息建立用户标识和密钥信息的映射关系；

核心网密钥查询服务模块，用以对外提供实时监听的服务端口以提供Iub接口的密钥查询；

Iub口RRC信令采集模块，用以对Iub接口的RRC信令进行采集；

Iub口RRC信令解码模块，用以对所述的RRC信令实时解码；

Iub口密钥查询模块，用以根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥；

Iub口RRC信令解密模块，用以根据所述的对应密钥对所述的RRC信令进行解密并将解密后的RRC信令发送至所述的Iub口RRC信令解码模块。

2.根据权利要求1所述的实现移动网络Iub接口RRC信令解密的系统，其特征在于，所述的移动网络为WCDMA网络。

3.根据权利要求1所述的实现移动网络Iub接口RRC信令解密的系统，其特征在于，所述的关键信息包括用户标识和密钥。

4.一种基于权利要求1至3中任一项所述的系统实现移动网络Iub接口RRC信令解密的方法，其特征在于，所述的方法包括以下步骤：

(1)所述的核心网信令采集模块在核心网侧对Iu-cs接口和Iu-ps接口进行信令采集；

(2)所述的Iu口信令解码模块对所述的Iu-cs接口和Iu-ps接口采集的关键信令进行解码得到关键信息；

(3)所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并进行存储；

(4)所述的Iub口RRC信令采集模块对Iub接口的RRC信令进行采集；

(5)所述的Iub口RRC信令解码模块对所述的RRC信令实时解码得到用户标识；

(6)所述的Iub口密钥查询模块根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥；

(7)所述的Iub口RRC信令解密模块根据所述的对应密钥对所述的RRC信令进行解密；

(8)所述的Iub口RRC信令解码模块根据解密后的后续RRC信令对所述的RRC信令进行解码。

5.根据权利要求4所述的实现移动网络Iub接口RRC信令解密的方法，其特征在于，所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并进行存储，具体为：

所述的核心网密钥存储和维护模块根据所述的关键信息建立用户标识和密钥信息的映射关系并以哈希表形式进行存储。

6.根据权利要求5所述的实现移动网络Iub接口RRC信令解密的方法，其特征在于，所述的Iub口密钥查询模块根据所述的Iub口RRC信令解码模块解码得到的用户标识和时间在所述的核心网密钥查询服务模块查询得到对应密钥，包括以下步骤：

(6-1)所述的Iub口密钥查询模块封装密钥查询请求并发送至所述的核心网密钥查询模块；

(6-2)所述的核心网密钥查询模块提取密钥查询请求中所述的Iub口RRC信令解码模块解码得到的用户标识和时间并在所述的哈希表中进行对应密钥查询；

(6-3)所述的核心网密钥查询模块将查询到的对应密钥发送至所述的Iub口密钥查询模块。

7.根据权利要求4所述的实现移动网络Iub接口RRC信令解密的方法，其特征在于，所述的Iub口RRC信令解码模块对所述的RRC信令实时解码得到用户标识，具体为：

所述的Iub口RRC信令解码模块对RRC连接请求信令和RRC连接安装信令进行解码得到用户标识。

8.根据权利要求7所述的实现移动网络Iub接口RRC信令解密的方法，其特征在于，所述的Iub口RRC信令解码模块根据解密后的后续RRC信令对所述的RRC信令进行解码，包括以下步骤：

(8-1)所述的Iub口RRC信令解码模块判断是否所有的RRC信令均已解码完毕，如果是，则结束退出，否则继续步骤(8-2)；

(8-2)所述的Iub口RRC信令解码模块解码下一RRC信令；

(8-3)所述的Iub口RRC信令解码模块判断是否解码到密钥更改命令，如果是，则继续步骤(8-4)，否则继续步骤(6)。