CN105491567B - Sip信令解密参数的获取方法及装置 - Google Patents

Abstract

本发明公开了一种SIP信令解密参数的获取方法，所述SIP信令解密参数的获取方法包括以下步骤：获取Gm接口的鉴权信息和Cx接口的鉴权信息；根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数。本发明还公开了一种SIP信令解密参数的获取装置。本发明实现在降低运营商的运营成本的同时，对SIP‑VOIP业务的监测，满足运营商的运营要求，提高了运营商网络的运营效果。

Description

SIP信令解密参数的获取方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及SIP信令解密参数的获取方法及装置。

背景技术

随着移动通信技术的不断发展，各国运营商已经在进行LTE(Long TermEvolution，长期演进)网络/4G网络的部署和实验，4G网络逐渐进入人们的日常生活中。LTE网络演进的多媒体业务实现方案为创建一个IMS(IP Multimedia Subsystem，IP多媒体子系统)，即：4G的UE(user，equipment，用户终端)通过EPS(Evolved Packet System，演进分组系统)接入到IMS中，

实现语音、短信等媒体业务。IMS系统为实现接入安全，在UE与P-CSCF(Proxy CallSession Control Function，代理呼叫会话控制功能)之间的Gm接口可以选择进行SIP信令加密，通过提供IPsec(Internet Protocol Security，网络协议安全)的ESP机制实现IMS系统的鉴权认证，进而实现IMS系统的接入安全。

IMS的鉴权认证AKA(Authentication And Key Agreement，认证和密钥协商协议)机制在UE注册流程中，通过UE和P-CSCF之间进行安全机制协商、交换IPSec ESP相关参数、并建立SA(Security Association，双向安全联盟)，使得后续经过SA的SIP信令都是加密的，即最终在UE和P-CSCF之间使用SA隧道(IPSec加密隧道)传输SIP信令，所述SIP(SessionInitiation Protocol，会话初始协议)信令为加密的SIP信令。

SIP信令加密保证了IMS系统的接入安全，但SIP信令加密会导致LTE网络信令监测系统无法解密SIP信令，进而导致无法实现对SIP-VOIP(基于SIP协议的IP网络电话)的业务监测。

目前，解决上述EPS信令监测系统无法实现对加密SIP-VOIP的业务监测的方式为：直接在IMS系统中部署信令采集系统，里面的SIP信令是不加密的；但IMS系统一般都是独立系统，与EPS系统独立，网络运营商一般不会开放IMS系统；在IMS系统部署信令采集系统，等同于另外设置一套监测系统，提高运营商的运营成本，同时由于另外设置的检测系统不属于EPS系统信令监测系统，无法与EPS的无线、核心网等其他信令进行关联、获取整体指标；无法在EPS的信令监测系统实现SIP-VOIP业务监测，进而无法满足运营商的运营要求。

因此，现有对SIP信令进行解密的方式增加了运营商的运营成本，且无法满足运营商的运营要求，降低了运营商网络的运营效果。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于解决现有对SIP信令进行解密的方式增加了运营商的运营成本，且无法满足运营商的运营要求，降低了运营商网络的运营效果的问题。

为实现上述目的，本发明提供的一种SIP信令解密参数的获取方法，所述SIP信令解密参数的获取方法包括以下步骤：

获取Gm接口的鉴权信息和Cx接口的鉴权信息；

根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数。

优选地，所述获取Gm接口的鉴权信息的步骤包括：

获取用户端发送的SIP注册请求及基于所述注册请求的响应信令，所述注册请求、所述注册请求的响应信令为明文SIP信令，所述注册请求携带接入SIP加密参数；

根据所述注册请求和基于所述注册请求的响应信令进行SIP解码得到所述注册流程中的Gm接口的鉴权信息。

优选地，所述获取Cx接口的鉴权信息的步骤包括：

获取网元发送的Cx接口鉴权请求及基于所述鉴权请求的响应信令；

根据所述鉴权请求和基于所述鉴权请求的响应信令进行DIAMETER解码得到Cx接口的鉴权信息。

优选地，根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表的步骤之后，还包括：

当获取到SA加密通道的SIP信令时，确定所述SIP信令的IP信息和端口信息；

按照所获取的IP信息和端口信息查询所述SA解密表得到SA的解密算法和密钥；

通过所得到的解密算法和密钥对所述SIP信令解密得到与所述加密的SIP信令对应的明文SIP信令；

对解密后的明文SIP信令进行解码，得到所述SIP信令对应的会话数据。

优选地，所述根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表的步骤之后，还包括：

获取用户端通过SA加密通道发送的SIP注册信息更新请求及基于所述更新请求的响应信令，所述更新请求、更新请求的响应信令指示更新所述接入SIP加密参数；

根据所述SA解密表对所述更新请求和更新请求的响应信令进行解密，得到解密后的所述更新请求和更新请求的响应信令；

根据解密后的所述更新请求和更新请求的响应信令，获取更新注册流程中的Gm接口、Cx接口的鉴权信息，生成更新的SA解密表。

此外，为实现上述目的，本发明还提供一种SIP信令解密参数的获取装置，所述SIP信令解密参数的获取装置包括：

获取模块，用于获取Gm接口的鉴权信息和Cx接口的鉴权信息；

生成模块，用于根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数。

优选地，所述获取模块包括获取单元和解码单元，

所述获取单元，用于获取用户端发送的SIP注册请求及基于所述注册请求的响应信令，所述注册请求、所述注册请求的响应信令为明文SIP信令，所述注册请求携带接入SIP加密指令；

所述解码单元，用于根据所述注册请求和基于所述注册请求的响应信令进行SIP解码得到所述注册流程中的Gm接口的鉴权信息。

优选地，所述获取单元，还用于获取网元发送的Cx接口鉴权请求及基于所述鉴权请求的响应信令；

所述解码单元，还用于根据所述鉴权请求和基于所述鉴权请求的响应信令进行DIAMETER解码得到Cx接口的鉴权信息。

优选地，所述SIP信令解密参数的获取装置还包括解密模块，

所述获取单元，还用于当获取到加密通道的SIP信令时，确定所述SIP信令的IP信息和端口信息；

所述解密模块，用于按照所获取的IP信息和端口信息查询所述SAP解密表得到SA的解密算法和密钥；通过所得到的解密算法和密钥对所述SIP信令解密得到与所述加密的SIP信令对应的明文SIP信令；

所述解码单元，用于对解密后的明文SIP信令进行解码，得到所述SIP信令对应的会话数据。

优选地，所述获取单元，还用于获取用户端通过SA加密通道发送的SIP注册信息更新请求及基于所述更新请求的响应信令，所述更新请求、更新请求的响应信令指示更新所述接入SIP加密参数；

所述解密模块，还用于根据所述SA解密表对所述更新请求和更新请求的响应信令进行解密，得到解密后的所述更新请求和更新请求的响应信令；

所述生成模块，还用于根据解密后的所述更新请求和更新请求的响应信令，获取更新注册流程中的Gm接口、Cx接口的鉴权信息，生成更新的SA解密表。

本发明通过获取Cx接口的鉴权信息和Gm接口的鉴权信息；根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数，以通过所述SA解密表对SIP信令进行解密。不需要单独再部署一套信令监测系统，在降低运营商的运营成本的同时，实现对SIP-VOIP业务的监测，满足运营商的运营要求，提高了运营商网络的运营效果。

附图说明

图1为LTE核心网信令监测系统对SIP-VOIP的监测分析框架；

图2为本发明SIP信令解密参数的获取方法的第一实施例的流程示意图；

图3为本发明SIP信令解密参数的获取方法的第二实施例的流程示意图；

图4为本发明SIP信令解密参数的获取装置的较佳实施例的功能模块示意图；

图5为图4中获取模块的细化功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明实施例中，先介绍下LTE网络UE的附着和UE发起SIP-VOIP业务。参考图1，为LTE核心网信令监测系统对SIP-VOIP的监测分析框架。UE附着到LTE网络的EPS系统，在S1-MME、S11、S6a、S5等接口可以采集到UE的附着信令，获取UE用户信息的IMSI(International Mobile Subscriber Identity，国际移动用户识别码)、MSISDN(用户号码)、UERIP(用户IP)、APN(Access Point Name，接入点名称)等信息；在UE附着后，UE可以发起数据业务、SIP-VOIP等业务，在S1-U接口、S5可以采集到这些业务的信令。UE发起SIP-VOIP业务，SIP信令是通过EPS系统S1-U、S5口到IMS系统的，UE与IMS系统中P-CSCF的Gm接口信令是在S1-U接口中传递，LTE的信令监测系统在S1-U口可以采集到SIP-VOIP信令，并与用户信息、其他接口信息关联，形成完整的用户信令指标数据。UE执行SIP-VOIP业务，会先向IMS系统进行SIP注册，在注册流程中UE与IMS会进行AKA鉴权认证，可以选择进行接入SIP信令加密。在选择接入SIP信令加密情况下，注册初始请求和对注册初始请求的响应是明文不加密的，其中UE与P-CSCF会协商建立安全联盟SA(即安全IP通道)，SA包括UE向P-CSCF发送信令的SA-IN，P-CSCF向UE发送信令的SA-OUT。协商好SA后，UE与P-CSCF后续SIP信令都会加密通过SA-IN、SA-OUT加密通道传递，信令监测系统在S1-U接口采集到是SIP加密信令。SA-IN、SA-OUT的加密参数是在明文不加密的初始注册请求和响应消息中携带；加密密钥只在IMS系统中P-CSCF(Proxy Call Session Control Function，代理呼叫会话控制功能)、I-CSCF(Interrogating Call Session Control Function，询问呼叫会话控制功能)、S-CSCF(Serving-Call Session Control Function，服务呼叫会话控制功能)之间传递；在S-CSCF与HSS(Home Subscriber Server，家庭用户服务器)的Cx接口传递鉴权向量，里面也包括加密密钥；在EPS系统中也包括HSS网元，也可以采集HSS网元的接口信令。

基于上述LTE网络架构，本发明提供一种SIP信令解密参数的获取方法。

参照图2，图2为本发明SIP信令解密参数的获取方法的第一实施例的流程示意图。

在一实施例中，所述SIP信令解密参数的获取方法包括：

步骤S10，获取Cx接口的鉴权信息和Gm接口的鉴权信息；

执行本发明SIP信令解密参数的获取方法的主体可以是信令监测系统，也可以是信令控制设备，在本实施例中优选为信令监测系统。优选地，本发明实施例适用于网络会话中SIP信令的解密参数获取，并利用获取的解密参数进行网络会话中SIP信令的解密。

在本实施例，UE端用户若需要通过UE进行SIP-VOIP进行会话业务时，则需要先进行SIP-VOIP业务的注册，若需要对会话过程进行加密，则需要在注册过程中指示要求接入加密。获取Gm接口的鉴权信息的过程包括：获取用户端发送的SIP注册请求及基于所述注册请求的响应信令，所述注册请求、所述注册请求的响应信令为明文SIP信令，所述注册请求携带接入SIP加密参数；根据所述注册请求和基于所述注册请求的响应信令进行SIP解码得到所述注册流程中的用户端信息及Gm接口的鉴权信息。

具体的，UE向P-CSCF发起初始明文注册请求Register(注册)消息，里面携带Security-Client(安全-客户端)字段，里面携带SA的参数，包括SA-IN和SA-OUT的UE端参数。监测系统采集Gm接口注册消息参数，包括IMPU、IMPI、SA-IN、SA-OUT。IMS系统中的P-CSCF、I-CSCF、S-CSCF进行信息交互，传递注册消息给S-CSCF，S-CSCF向HSS通过Cx接口和MAR、MAA消息申请鉴权向量五元组<RAND,AUTN,XRES,CK,IK>，其中CK是加密密钥，RAND是认证挑战，用于对用户认证，XRES是期望用户返回的对RAND的认证响应结果，AUTN是认证令牌是用于UE对核心网认证，IK是完整密钥。获取Cx接口的鉴权信息的过程包括：获取网元发送的Cx接口鉴权请求及基于所述鉴权请求的响应信令；根据所述鉴权请求和基于所述鉴权请求的响应信令进行DIAMETER解码得到Cx接口的鉴权信息。监测系统获取Cx接口MAR、MAA消息，获取Cx接口鉴权五元组对：{IMPU、IMPI、鉴权五元组<RAND、AUTN、XRES、CK、IK>}，参照表3。

S-CSCF向P-CSCF发送明文注册响应401信息带认证挑战信息，携带RAND、AUTN、CK、IK。P-CSCF保存CK、IK，然后删除CK、IK，插入Security-Server字段，里面带SA参数，包括SA-IN和SA-OUT的P-CSCF端参数，向UE发送明文注册响应401消息。至此，P-CSCF端两个单向SA所涉及的参数都已经具备。

表1

IMPU	IMPI	鉴权参数	SA-IN	SA-OUT
					SIP:123@zte.com.cn	123@zte.com.cn	<RAND,AUTN>	SA-IN	SA-0UT

表2

IMPU	IMPI	鉴权向量
			SIP:123@zte.com.cn	123@zte.com.cn	<RAND,AUTN，XRES,CK,IK>

表3

步骤S20，根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数。

在获取到Cx接口的鉴权信息和Gm接口的鉴权信息后，根据所获取到的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数。所述SA解密表包括IPMU、IMPI、安全联盟的SA-IN、SA-OUT、CK、IK。在生成SA解密表后，在UE发出的SIP加密信令均可以通过所述SA解密表进行解密，实现SIP信令分析。在实施例中，只需要采集HSS的Cx接口的鉴权信息就可以实现SIP信令的解密，不需要单独在IMS系统内再部署一套信令监测系统，降低了运营商的运营成本的同时，也实现了SIP-VOIP业务的监测。

具体的，信令监测系统采集Gm接口注册响应中的参数，获取Gm接口鉴权使用参数对：{IMPU、IMPI、鉴权参数<RAND、AUTN>、安全联盟参数SA-IN、SA-OUT}，参照表2。监测系统使用IMPU、IMPI、鉴权参数<RAND、AUTN>关联鉴权五元组对和鉴权使用参数对，获得用户SA解密表：{IMPU、IMPI、安全联盟SA-IN、SA-OUT、CK、IK}，参照表1。

UE收到注册响应401消息，提取RAND、AUTN，依据AUTN可以计算出MAC和SQN，RAND和存在ISIM卡中的长期密钥计算出XMAC、RES、IK、CK。XMAC与MAC相同，证明核心网通过认证。RES将在下一个注册请求中把RES返回IMS网络。IK、CK将用于SIP加密和完整保护。至此，UE端两个单向SA所涉及参数已经具备。在UE和P-CSCF间两个单向的安全联盟(SA-IN、SA-OUT)已经建立；UE与P-CSCF后续SIP信令都通过安全联盟(SA-IN、SA-OUT)的IP、PORT进行传递，使用SA中的加密算法和密钥CK进行加密，UE本次注册完成。

具体的，UE向P-CSCF通过加密SA-IN通道发送加密的注册请求(带挑战应答，RES值等)。P-CSCF对SA-IN通道的IP和端口收到IPsec加密数据包，使用加密算法和密钥CK进行解密，还原为明文注册请求(带挑战应答)，发送给S-CSCF。S-CSCF比较注册请求中的挑战应答RES与鉴权向量中XRES相同，认为UE通过认证。S-CSCF向P-CSCF发送注册成功响应200OK。P-CSCF通过加密SA-OUT通道向UE发送加密的注册成功响应200OK。UE对SA-OUT通道的IP和端口收到IPSec数据包，使用加密算法和密钥CK进行解密，还原为明文注册成功响应200OK，UE完成注册。

注册过程中生成SA解密表包括：接收用户端发送的SIP注册请求和对应注册响应信令，获取所述请求对应的用户端信息，并获取Gm接口信令和Cx接口信令；根据所获取的Gm接口信令和Cx接口信令生成SA加密参数；按照所生成的SA加密参数和所获取的用户端信息创建与用户端的加密通信信道的对应SA解密表，参照表1，使用SA解密表就可以对通过所述加密通信信道的SIP加密信令解密为明文SIP信令。

在注册完成后，获取SIP-VOIP业务的SIP信令的SA解密表，参考表1为SA-IN和SA-OUT参数。参考表2，Gm接口的鉴权信息，包括IMPU、IPMI、鉴权参数RAND和AUTN，安全联盟参数SA-IN和SA-OUT。参考表3，Cx接口的鉴权信息包括IMPU、IMPI、鉴权向量(RAND、AUTN、XRES、CK、IK)。

后续，在需要更新SA解密表时：获取用户端通过SA加密通道发送的SIP注册信息更新请求及基于所述更新请求的响应信令，所述更新请求、更新请求的响应信令指示更新所述接入SIP加密参数；根据所述SA解密表对所述更新请求和更新请求的响应信令进行解密，得到解密后的所述更新请求和更新请求的响应信令；根据解密后的所述更新请求和更新请求的响应信令，获取更新注册流程中的Gm接口、Cx接口的鉴权信息，生成更新的SA解密表。

具体的，UE向P-CSCF通过加密SA-IN通道发送加密的注册请求，里面携带要求更新的接入SIP加密参数。P-CSCF对SA-IN通道中收到IPSec数据包，使用加密算法和密钥CK进行解密，还原为明文注册请求(带挑战响应)，发送给S-CSCF。S-CSCF完成Cx接口鉴权请求和响应交互操作后，向P-CSCF发送注册成功响应200OK。P-CSCF通过加密SA-OUT通达向UE发送加密注册成功响应200OK，里面携带更新的接入SIP加密参数。

采集到加密的更新注册请求和更新注册响应。对加密更新注册请求使用请求目的IP和端口查询SA解密表SA-IN记录，获取解密算法和密钥进行更新注册请求和更新注册响应解密，获取明文更新注册请求；对加密更新注册响应，使用响应的目的IP和端口查询SA解密表的SA-OUT记录，，获取解密算法和密钥进行解密，获取明文更新注册响应。解码解密后的更新注册请求和更新注册响应，获取Gm接口的鉴权信息。解码鉴权请求和鉴权响应，获取Cx接口的鉴权信息。根据解码后的所述更新请求和更新请求的响应信令，获取更新注册流程中的Gm接口、Cx接口的鉴权信息并生成更新的SA解密表。

本实施例通过获取Cx接口的鉴权信息和Gm接口的鉴权信息；根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数，以通过所述SA解密表对SIP信令进行解密。不需要单独再部署一套信令监测系统，在降低运营商的运营成本的同时，实现对SIP-VOIP业务的监测，满足运营商的运营要求，提高了运营商网络的运营效果。

参照图3，图3为本发明SIP信令解密参数的获取方法的第二实施例的流程示意图。基于上述SIP信令解密参数的获取方法的第一实施例，所述步骤S20之后，还包括：

步骤S30，当获取到SA加密通道的SIP信令时，确定所述SIP信令的IP信息和端口信息；

步骤S40，按照所获取的IP信息和端口信息查询所述SAP解密表得到SA的解密算法和密钥；

步骤S50，通过所得到的解密算法和密钥对所述SIP信令解密得到与所述加密的SIP信令对应的明文SIP信令；

步骤S60，对解密后的明文SIP信令进行解码，得到所述SIP信令对应的会话数据。

所述SIP信令可以是UE发往核心网的SIP信令，也可以是核心网向UE发送的SIP信令。UE发往核心网的SIP加密信令，使用目的地址、端口查询SA解密表中入向SA记录；核心网发送UE的SIP加密信令，使用目的地址、端口查询SA解密表中出向SA记录。在获取到SA加密通道的SIP信令时，获取所述SIP信令的IP信息和端口信息。按照所获取的IP信息和端口信息查询所述SAP解密表得到SA的解密算法和密钥；通过所得到的解密算法和密钥对所述SIP信令解密得到与所述加密的SIP信令对应的明文SIP信令。

对解密后的明文SIP信令进行解码，得到所述SIP信令对应的会话数据。可以把解密的明文SIP信令传递给需要的信令分析系统使用，例如4G网络信令监测系统。本发明实施例通过根据生成的SA解密表对加密SIP信令进行解密，不需要单独再部署一套信令监测系统，在降低运营商的运营成本的同时，实现对SIP-VOIP业务的监测，满足运营商的运营要求，提高了运营商网络的运营效果。

在本发明其他实施例中，为了能节省系统开销，提高系统性能。在接收到SIP信令时，判断接收到的SIP信令是否为加密的SIP信令；在所接收到的SIP信令为加密的SIP信令时，获取所述SIP信令的IP信息和端口信息；在所接收到的SIP信令不为加密的SIP信令时，直接对所述SIP信令进行解码。

本发明进一步提供一种SIP信令解密参数的获取装置。

参照图4，图4为本发明SIP信令解密参数的获取装置的较佳实施例的功能模块示意图。

在一实施例中，所述SIP信令解密参数的获取装置包括：获取模块10、生成模块20及解密模块30。

所述获取模块10，用于获取Cx接口的鉴权信息和Gm接口的鉴权信息；

优选地，本发明实施例适用于网络会话中SIP信令的解密参数获取，并利用获取的解密参数进行网络会话中SIP信令的解密。

在本实施例，UE端用户若需要通过UE进行SIP-VOIP进行会话业务时，则需要先进行SIP-VOIP业务的注册，若需要对会话过程进行加密，则需要在注册过程中指示要求接入加密。

参考图5，所述获取模块10包括获取单元11和解码单元12，其中，

所述获取单元11，用于获取用户端发送的SIP注册请求及基于所述注册请求的响应信令，所述注册请求、所述注册请求的响应信令为明文SIP信令，所述注册请求携带接入SIP加密参数；

所述解码单元12，用于根据所述注册请求和基于所述注册请求的响应信令进行SIP解码得到所述注册流程中的用户端信息及Gm接口的鉴权信息。

具体的，UE向P-CSCF发起初始明文注册请求Register(注册)消息，里面携带Security-Client(安全-客户端)字段，里面携带SA的参数，包括SA-IN和SA-OUT的UE端参数。监测系统采集Gm接口注册消息参数，包括IMPU、IMPI、SA-IN、SA-OUT。IMS系统中的P-CSCF、I-CSCF、S-CSCF进行信息交互，传递注册消息给S-CSCF，S-CSCF向HSS通过Cx接口和MAR、MAA消息申请鉴权向量五元组<RAND,AUTN,XRES,CK,IK>，其中CK是加密密钥，RAND是认证挑战，用于对用户认证，XRES是期望用户返回的对RAND的认证响应结果，AUTN是认证令牌是用于UE对核心网认证，IK是完整密钥。

所述获取单元11，还用于获取网元发送的Cx接口鉴权请求及基于所述鉴权请求的响应信令；

所述解码单元12，还用于根据所述鉴权请求和基于所述鉴权请求的响应信令进行DIAMETER解码得到Cx接口的鉴权信息。

监测系统获取Cx接口MAR、MAA消息，获取Cx接口鉴权五元组对：{IMPU、IMPI、鉴权五元组<RAND、AUTN、XRES、CK、IK>}，参照表3。

S-CSCF向P-CSCF发送明文注册响应401信息带认证挑战信息，携带RAND、AUTN、CK、IK。P-CSCF保存CK、IK，然后删除CK、IK，插入Security-Server字段，里面带SA参数，包括SA-IN和SA-OUT的P-CSCF端参数，向UE发送明文注册响应401消息。至此，P-CSCF端两个单向SA所涉及的参数都已经具备。

所述生成模块20，用于根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数。

在获取到Cx接口的鉴权信息和Gm接口的鉴权信息后，根据所获取到的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数。所述SA解密表包括IPMU、IMPI、安全联盟的SA-IN、SA-OUT、CK、IK。在生成SA解密表后，在UE发出的SIP加密信令均可以通过所述SA解密表进行解密，实现SIP信令分析。在实施例中，只需要采集HSS的Cx接口的鉴权信息就可以实现SIP信令的解密，不需要单独在IMS系统内再部署一套信令监测系统，降低了运营商的运营成本的同时，也实现了SIP-VOIP业务的监测。

具体的，信令监测系统采集Gm接口注册响应中的参数，获取Gm接口鉴权使用参数对：{IMPU、IMPI、鉴权参数<RAND、AUTN>、安全联盟参数SA-IN、SA-OUT}，参照表2。监测系统使用IMPU、IMPI、鉴权参数<RAND、AUTN>关联鉴权五元组对和鉴权使用参数对，获得用户SA解密表：{IMPU、IMPI、安全联盟SA-IN、SA-OUT、CK、IK}，参照表1。

UE收到注册响应401消息，提取RAND、AUTN，依据AUTN可以计算出MAC和SQN，RAND和存在ISIM卡中的长期密钥计算出XMAC、RES、IK、CK。XMAC与MAC相同，证明核心网通过认证。RES将在下一个注册请求中把RES返回IMS网络。IK、CK将用于SIP加密和完整保护。至此，UE端两个单向SA所涉及参数已经具备。在UE和P-CSCF间两个单向的安全联盟(SA-IN、SA-OUT)已经建立；UE与P-CSCF后续SIP信令都通过安全联盟(SA-IN、SA-OUT)的IP、PORT进行传递，使用SA中的加密算法和密钥CK进行加密，UE本次注册完成。

具体的，UE向P-CSCF通过加密SA-IN通道发送加密的注册请求(带挑战应答，RES值等)。P-CSCF对SA-IN通道的IP和端口收到IPsec加密数据包，使用加密算法和密钥CK进行解密，还原为明文注册请求(带挑战应答)，发送给S-CSCF。S-CSCF比较注册请求中的挑战应答RES与鉴权向量中XRES相同，认为UE通过认证。S-CSCF向P-CSCF发送注册成功响应200OK。P-CSCF通过加密SA-OUT通道向UE发送加密的注册成功响应200OK。UE对SA-OUT通道的IP和端口收到IPSec数据包，使用加密算法和密钥CK进行解密，还原为明文注册成功响应200OK，UE完成注册。

注册过程中生成SA解密表包括：接收用户端发送的SIP注册请求和对应注册响应信令，获取所述请求对应的用户端信息，并获取Gm接口信令和Cx接口信令；根据所获取的Gm接口信令和Cx接口信令生成SA加密参数；按照所生成的SA加密参数和所获取的用户端信息创建与用户端的加密通信信道的对应SA解密表，参照表1，使用SA解密表就可以对通过所述加密通信信道的SIP加密信令解密为明文SIP信令。

后续，UE再次发起刷新注册流程，如果在刷新注册流程要求重新协商SA加密参数，本系统需要更新SA解密表：

所述获取单元11，还用于获取用户端通过SA加密通道发送的SIP注册信息更新请求及基于所述更新请求的响应信令，所述更新请求、更新请求的响应信令指示更新所述接入SIP加密参数；

所述解密模块30，用于根据所述SA解密表对所述更新请求和更新请求的响应信令进行解密，得到解密后的所述更新请求和更新请求的响应信令；

所述生成模块20，还用于根据解密后的所述更新请求和更新请求的响应信令，获取更新注册流程中的Gm接口、Cx接口的鉴权信息并生成更新的SA解密表。

具体的，UE向P-CSCF通过加密SA-IN通道发送加密的注册请求，里面携带要求更新的接入SIP加密参数。P-CSCF对SA-IN通道中收到IPSec数据包，使用加密算法和密钥CK进行解密，还原为明文注册请求(带挑战响应)，发送给S-CSCF。S-CSCF完成Cx接口鉴权请求和响应交互操作后，向P-CSCF发送注册成功响应200OK。P-CSCF通过加密SA-OUT通达向UE发送加密注册成功响应200OK，里面携带更新的接入SIP加密参数。

所述获取单元11，采集到加密的更新注册请求和更新注册响应。

所述解密模块30，对加密更新注册请求使用请求目的IP和端口查询SA解密表SA-IN记录，获取解密算法和密钥进行解密，获取明文更新注册请求；对加密更新注册响应，使用响应的目的IP和端口查询SA解密表的SA-OUT记录，，获取解密算法和密钥进行更新注册请求和更新注册响应解密，获取明文更新注册响应。

所述解码单元12，解码解密后的更新注册请求和更新注册响应，获取Gm接口的鉴权信息。解码鉴权请求和鉴权响应，获取Cx接口的鉴权信息。

所述生成模块20，还用于根据解码后的所述更新请求和更新请求的响应信令，获取更新注册流程中的Gm接口、Cx接口的鉴权信息并生成更新的SA解密表。

在注册完成后，获取的SIP-VOIP业务的SIP信令的更新后SA解密表，参考表1为SA-IN和SA-OUT参数。参考表2，Gm接口的鉴权信息，包括IMPU、IPMI、鉴权参数RAND和AUTN，安全联盟参数SA-IN和SA-OUT。参考表3，Cx接口的鉴权信息包括IMPU、IMPI、鉴权向量(RAND、AUTN、XRES、CK、IK)。

本实施例通过获取Cx接口的鉴权信息和Gm接口的鉴权信息；根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数，以通过所述SA解密表对SIP信令进行解密。不需要单独再部署一套信令监测系统，在降低运营商的运营成本的同时，实现对SIP-VOIP业务的监测，满足运营商的运营要求，提高了运营商网络的运营效果。

进一步地，所述获取单元11，还用于当获取到SA加密通道的SIP信令时，确定所述SIP信令的IP信息和端口信息；

所述解密模块30，还用于按照所获取的IP信息和端口信息查询所述SAP解密表得到SA的解密算法和密钥；通过所得到的解密算法和密钥对所述SIP信令解密得到与所述加密的SIP信令对应的明文SIP信令；

所述解码单元12，还用于对解密后的明文SIP信令进行解码，得到所述SIP信令对应的会话数据。

所述SIP信令可以是UE发往核心网的SIP信令，也可以是核心网向UE发送的SIP信令。UE发往核心网的SIP加密信令，使用目的地址、端口查询SA解密表中入向SA记录；核心网发送UE的SIP加密信令，使用目的地址、端口查询SA解密表中出向SA记录。在获取到SA加密通道的SIP信令时，获取所述SIP信令的IP信息和端口信息。按照所获取的IP信息和端口信息查询所述SAP解密表得到SA的解密算法和密钥；通过所得到的解密算法和密钥对所述SIP信令解密得到与所述加密的SIP信令对应的明文SIP信令。

对解密后的明文SIP信令进行解码，得到所述SIP信令对应的会话数据。可以把解密的明文SIP信令传递给需要的信令分析系统使用，例如4G网络信令监测系统。本发明实施例通过根据生成的SA解密表对加密SIP信令进行解密，不需要单独再部署一套信令监测系统，在降低运营商的运营成本的同时，实现对SIP-VOIP业务的监测，满足运营商的运营要求，提高了运营商网络的运营效果。

在本发明其他实施例中，为了能节省系统开销，提高系统性能。在接收到SIP信令时，解码单元12判断接收到的SIP信令是否为加密的SIP信令；在所接收到的SIP信令为加密的SIP信令时，获取所述SIP信令的IP信息和端口信息；在所接收到的SIP信令不为加密的SIP信令时，直接对所述SIP信令进行解码。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (8)

1.一种SIP信令解密参数的获取方法，其特征在于，所述SIP信令解密参数的获取方法包括以下步骤：

获取Gm接口的鉴权信息和Cx接口的鉴权信息，所述Gm接口的鉴权信息包括IMPU、IPMI、鉴权参数RAND和AUTN、安全联盟参数SA-IN和SA-OUT，所述Cx接口的鉴权信息包括IMPU、IMPI、鉴权向量RAND、AUTN、XRES、CK、IK；

根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数；

获取用户端通过SA加密通道发送的SIP注册信息更新请求及基于所述更新请求的响应信令，所述更新请求、更新请求的响应信令指示更新所述接入SIP加密参数；

根据所述SA解密表对所述更新请求和更新请求的响应信令进行解密，得到解密后的所述更新请求和更新请求的响应信令；

根据解密后的所述更新请求和更新请求的响应信令，获取更新注册流程中的Gm接口、Cx接口的鉴权信息，生成更新的SA解密表。

2.如权利要求1所述的SIP信令解密参数的获取方法，其特征在于，所述获取Gm接口的鉴权信息的步骤包括：

获取用户端发送的SIP注册请求及基于所述注册请求的响应信令，所述注册请求、所述注册请求的响应信令为明文SIP信令，所述注册请求携带接入SIP加密参数；

根据所述注册请求和基于所述注册请求的响应信令进行SIP解码得到所述注册流程中的Gm接口的鉴权信息。

3.如权利要求2所述的SIP信令解密参数的获取方法，其特征在于，所述获取Cx接口的鉴权信息的步骤包括：

获取网元发送的Cx接口鉴权请求及基于所述鉴权请求的响应信令；

根据所述鉴权请求和基于所述鉴权请求的响应信令进行DIAMETER解码得到Cx接口的鉴权信息。

4.如权利要求3所述的SIP信令解密参数的获取方法，其特征在于，根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表的步骤之后，还包括：

当获取到SA加密通道的SIP信令时，确定所述SIP信令的IP信息和端口信息；

按照所获取的IP信息和端口信息查询所述SA解密表得到SA的解密算法和密钥；

通过所得到的解密算法和密钥对所述SIP信令解密得到与所述加密的SIP信令对应的明文SIP信令；

对解密后的明文SIP信令进行解码，得到所述SIP信令对应的会话数据。

5.一种SIP信令解密参数的获取装置，其特征在于，所述SIP信令解密参数的获取装置包括：

获取模块，用于获取Gm接口的鉴权信息和Cx接口的鉴权信息，所述Gm接口的鉴权信息包括IMPU、IPMI、鉴权参数RAND和AUTN、安全联盟参数SA-IN和SA-OUT，所述Cx接口的鉴权信息包括IMPU、IMPI、鉴权向量RAND、AUTN、XRES、CK、IK；

生成模块，用于根据获取的Cx接口的鉴权信息和Gm接口的鉴权信息生成SA解密表，所述SA解密表包括SIP信令解密参数；

所述获取单元，还用于获取用户端通过SA加密通道发送的SIP注册信息更新请求及基于所述更新请求的响应信令，所述更新请求、更新请求的响应信令指示更新所述接入SIP加密参数；

解密模块，用于根据所述SA解密表对所述更新请求和更新请求的响应信令进行解密，得到解密后的所述更新请求和更新请求的响应信令；

所述生成模块，还用于根据解密后的所述更新请求和更新请求的响应信令，获取更新注册流程中的Gm接口、Cx接口的鉴权信息，生成更新的SA解密表。

6.如权利要求5所述的SIP信令解密参数的获取装置，其特征在于，所述获取模块包括获取单元和解码单元，

所述获取单元，用于获取用户端发送的SIP注册请求及基于所述注册请求的响应信令，所述注册请求、所述注册请求的响应信令为明文SIP信令，所述注册请求携带接入SIP加密参数；

所述解码单元，用于根据所述注册请求和基于所述注册请求的响应信令进行SIP解码得到所述注册流程中的Gm接口的鉴权信息。

7.如权利要求6所述的SIP信令解密参数的获取装置，其特征在于，所述获取单元，还用于获取网元发送的Cx接口鉴权请求及基于所述鉴权请求的响应信令；

所述解码单元，还用于根据所述鉴权请求和基于所述鉴权请求的响应信令进行DIAMETER解码得到Cx接口的鉴权信息。

8.如权利要求7所述的SIP信令解密参数的获取装置，其特征在于，所述获取单元，还用于当获取到加密通道的SIP信令时，确定所述SIP信令的IP信息和端口信息；

所述解密模块，用于按照所获取的IP信息和端口信息查询所述SAP解密表得到SA的解密算法和密钥；通过所得到的解密算法和密钥对所述SIP信令解密得到与所述加密的SIP信令对应的明文SIP信令；

所述解码单元，用于对解密后的明文SIP信令进行解码，得到所述SIP信令对应的会话数据。

Images