CN106792676B - 一种lte系统内部nas消息的解密方法及装置 - Google Patents
一种lte系统内部nas消息的解密方法及装置 Download PDFInfo
- Publication number
- CN106792676B CN106792676B CN201710072553.1A CN201710072553A CN106792676B CN 106792676 B CN106792676 B CN 106792676B CN 201710072553 A CN201710072553 A CN 201710072553A CN 106792676 B CN106792676 B CN 106792676B
- Authority
- CN
- China
- Prior art keywords
- imsi
- key
- guti
- interfaces
- parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种LTE系统内部NAS消息的解密方法及装置,解决了现有的当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成的解密失败的技术问题。本发明的LTE系统内部NAS消息的解密方法包括:从LTE系统内部S10接口采集密钥,建立IMSI‑密钥对应关系;将S1‑MME接口和S10接口关联,建立GUTI‑IMSI对应关系;通过S10接口采集的密钥以及通过建立的IMSI‑密钥对应关系与GUTI‑IMSI对应关系确定GUTI‑IMSI‑密钥对应关系对S1‑MME接口的NAS消息进行解密。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种LTE系统内部NAS消息的解密方法及装置。
背景技术
LTE(Long Term Evolution,长期演进)是由3GPP(The 3rd GenerationPartnership Project,第三代合作伙伴计划)组织制定的UMTS(Universal MobileTelecommunications System,通用移动通信系统)技术标准的长期演进。LTE系统引入了OFDM(Orthogonal Frequency Division Multiplexing,正交频分复用)和MIMO(Multi-Input&Multi-Output,多输入多输出)等关键技术,显著增加了频谱效率和数据传输速率(20M带宽2X2MIMO在64QAM情况下,理论下行最大传输速率为201Mbps,除去信令开销后大概为150Mbps,但根据实际组网以及终端能力限制,一般认为下行峰值速率为100Mbps,上行为50Mbps),并支持多种带宽分配:1.4MHz,3MHz,5MHz,10MHz,15MHz和20MHz等,且支持全球主流2G/3G频段和一些新增频段,因而频谱分配更加灵活,系统容量和覆盖也显著提升。LTE系统网络架构更加扁平化简单化,减少了网络节点和系统复杂度,从而减小了系统时延,也降低了网络部署和维护成本。LTE系统支持与其他3GPP系统互操作。根据双工方式不同LTE系统分为FDD-LTE(Frequency Division Duplexing)和TDD-LTE(Time DivisionDuplexing),二者技术的主要区别在于空口的物理层上(像帧结构、时分设计、同步等)。FDD系统空口上下行采用成对的频段接收和发送数据,而TDD系统上下行则使用相同的频段在不同的时隙上传输,较FDD双工方式,TDD有着较高的频谱利用率。
目前,大致有以下技术方案可以实现LTE系统内部NAS消息的解密:
只监测S6a接口,从该接口采集密钥,建立‘IMSI-密钥’的对应关系表;监测S1-MME接口的Attach Accept、TAU Accept、GUTI Reallocation Command消息,捕获到新分配的GUTI,建立新GUTI和旧GUTI的对应关系,同时监测鉴权过程,和S6a接口关联后,建立‘GUTI-IMSI’的对应关系;当后续的过程需要解密时,首先根据GUTI查找到IMSI,再根据IMSI查找到密钥,调用相应的解密函数进行解密。
然而,当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成解密失败的技术问题。
发明内容
本发明实施例提供了一种LTE系统内部NAS消息的解密方法及装置,解决了现有的当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成的解密失败的技术问题。
本发明实施例提供的一种LTE系统内部NAS消息的解密方法,包括:
从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;
将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;
通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
优选地,通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密之前还包括:
通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系。
优选地,从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系具体包括:
从S10接口的Identification Response、Context Response、ForwardRelocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系。
优选地,将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系具体包括:
从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联,并建立GUTI-IMSI对应关系。
优选地,从S10接口的Identification Response、Context Response、ForwardRelocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系具体包括:
从S10接口的Identification Response消息里面提取IMSI参数,以及包含有密钥的MM Context参数;
从S10接口的Context Response消息里面提取IMSI参数,以及包含有密钥的MMContext参数;
从S10接口的Forward Relocation Request消息里面提取IMSI参数,以及包含有密钥的MM Context参数。
本发明实施例提供的一种LTE系统内部NAS消息的解密装置,包括:
采集单元,用于从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;
关联单元,用于将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;
解密单元,用于通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
优选地,LTE系统内部NAS消息的解密装置还包括:
确定单元,用于通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系。
优选地,采集单元,具体用于从S10接口的Identification Response、ContextResponse、Forward Relocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系。
优选地,关联单元,具体从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联,并建立GUTI-IMSI对应关系。
优选地,采集单元包括:
第一采集子单元,用于从S10接口的Identification Response消息里面提取IMSI参数,以及包含有密钥的MM Context参数;
第二采集子单元,用于通从S10接口的Context Response消息里面提取IMSI参数,以及包含有密钥的MM Context参数;
第三采集子单元,用于从S10接口的Forward Relocation Request消息里面提取IMSI参数,以及包含有密钥的MM Context参数。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例提供的一种LTE系统内部NAS消息的解密方法及装置,其中,LTE系统内部NAS消息的解密方法包括:从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。本实施例中,通过从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密,解决了现有的当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成的解密失败的技术问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种LTE系统内部NAS消息的解密方法的一个实施例的流程示意图;
图2为本发明实施例提供的一种LTE系统内部NAS消息的解密方法的另一个实施例的流程示意图;
图3为本发明实施例提供的一种LTE系统内部NAS消息的解密装置的一个实施例的结构示意图;
图4为本发明实施例提供的一种LTE系统内部NAS消息的解密装置的另一个实施例的结构示意图;
图5(a)为Identification过程流程示意图;
图5(b)为Context过程流程示意图;
图5(c)为Forward Relocation过程流程示意图;
图5(d)为MM Context参数包含的加密相关的参数示意图;
图5(e)为密钥数据结构示意图。
具体实施方式
本发明实施例提供了一种LTE系统内部NAS消息的解密方法及装置,解决了现有的当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成的解密失败的技术问题。
IMSI:International Mobile Subscriber Identification Number,国际移动用户识别码,永久且唯一标识一个用户;
GUTI:Globally Unique Temporary UE Identity,全球唯一临时UE标识,在某段时间内唯一标识一个用户;
UE:User Equipment,用户设备;
TEID:Tunnel Endpoint Identifier,隧道端点标识;
Attach:附着过程;
TAU:Tracking Area Update,跟踪区更新过程;
Service Request过程:业务请求过程,包含很多消息;
Service Request消息:是EMM消息,不是指一个过程;
MCC:Mobile Country Code,移动国家码,表示国家,如中国、美国;
MNC:Mobile Network Code,移动网络码,表示运营商,如中国移动;
MMEGI:MME Group ID,MME组标识;
MMEC:MME Code,MME编码,识别MME组内的一个MME;
S-TMSI:S-Temporary Mobile Subscriber Identity,临时移动用户标识,可以标识一个MME内的用户,GUTI参数的一部分。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,本发明实施例提供的一种LTE系统内部NAS消息的解密方法的一个实施例包括:
101、从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;
本实施例中,当需要对NAS消息解密时,首先需要从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系。
102、将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;
当从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系之后,需要将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系。
103、通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
当将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系之后,需要通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
本实施例中,通过从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密,解决了现有的当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成的解密失败的技术问题。
上面是对LTE系统内部NAS消息的解密方法的过程进行的描述,下面将对具体过程进行详细的描述,请参阅图2,本发明实施例提供的一种LTE系统内部NAS消息的解密方法的另一个实施例包括:
201、从LTE系统S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系;
本实施例中,当需要对NAS消息解密时,首先需要从LTE系统S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系。
前述的从LTE系统S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系具体如下:
从S10接口的Identification Response消息里面提取IMSI参数,以及包含有密钥的MM Context参数;
从S10接口的Context Response消息里面提取IMSI参数,以及包含有密钥的MMContext参数;
从S10接口的Forward Relocation Request消息里面提取IMSI参数,以及包含有密钥的MM Context参数。
202、从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联,并建立GUTI-IMSI对应关系;
当从LTE系统S10接口的Identification Response、Context Response、ForwardRelocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系之后,需要从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联,并建立GUTI-IMSI对应关系。
203、通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系;
当从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联,并建立GUTI-IMSI对应关系之后,需要通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系。
204、通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
当通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系之后,需要通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
下面以一具体应用场景进行描述,如图5所示,应用例包括:
在移动通信系统中,出于保密的原因,往往会启动NAS消息的加密过程,对信令消息进行加密。通过S10接口采集密钥,可以处理UE在MME之间移动时,在MME之间传递密钥的情况,解决一部分的解密问题,是对处理S6a接口密钥的方法的一个补充。利用S10接口进行解密的过程一般分为3个步骤:
第一步:从S10接口采集密钥,建立‘IMSI-密钥’对应表
在S10接口上有3个过程会传递密钥:Identification过程、Context过程、ForwardRelocation过程,从中提取出密钥,流程如下:
(1)Identification过程流程
UE的attach过程,会触发S10接口的Identification过程,在IdentificationResponse消息里面,会有IMSI,以及MM Context参数,其中包含密钥,消息流程如图5(a)所示;
(2)Context过程
UE的TAU过程,会触发S10接口的Context过程,在Context Response消息里面,会有IMSI,以及MM Context参数,其中包含密钥,消息流程如5(b)所示;
(3)Forward Relocation过程
UE的跨MME的切换过程,会触发S10接口的Forward Relocation过程,在ForwardRelocation Request消息里面,会有IMSI,以及MM Context参数,其中包含密钥,消息流程如图5(c)所示;
从上述3个过程中提取出IMSI、密钥,建立‘IMSI-密钥’对应关系表。上面流程中的MM Context参数,包含了很多的信息,如图5(d);
图5(d)中阴影背景的是加密相关的参数,尤其是Kasme参数,是正在使用的密钥,需要保存到相关数据结构中;authentication Quadruplet中包含了多个密钥,是后续要使用的密钥,数据结构如图5(e)。
第二步:S1-MME和S10关联,建立GUTI-IMSI对应关系
从S1-MME接口的流程中提取GUTI参数,利用关联算法将S1-MME和S10接口关联,建立GUTI-IMSI的对应关系;
第三步:NAS消息解密
经过第一步、第二步的处理之后,建立了‘GUTI-IMSI-密钥’的对应关系,若本次流程中,或者后续的通信过程中,接收到该UE的加密后的信令流程,那么就可以根据流程中的GUTI参数,利用上述对应关系,找到IMSI,进而找到密钥,调用解密函数,对加密的NAS消息包进行解密处理。
本技术的关键点是从S10接口采集MME间传递的密钥,对NAS消息进行解密,是对S6a传统方法的一个完善。
从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联的方法;
从S10接口的Identification Response、Context Response、ForwardRelocation Request消息中提取IMSI、密钥等安全性参数;
利用S10的密钥对S1-MME接口的NAS消息进行解密。
现有的仅用S6a接口的密钥对NAS消息进行解密的方法,并不能处理监测范围外的MME向监测范围内的MME移动时,在MME间传递密钥的这种场景,存在着缺陷。本申请提案中的利用S10接口的密钥对NAS消息进行解密的技术,弥补了仅利用S6a接口的密钥进行NAS解密的不足,是对现有方案的一个强有力的补充。本发明不受监测范围的限制。只要监测当前MME的周边接口,即使监测不到原MME所在的网络中HSS分配的密钥,对NAS解密也没有影响,因为密钥会在2个MME间传递。
本实施例中,通过从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密,解决了现有的当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成的解密失败的技术问题。
请参阅图3,本发明实施例提供的一种LTE系统内部NAS消息的解密装置的一个实施例包括:
采集单元301,用于从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;
关联单元302,用于将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;
解密单元303,用于通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
本实施例中,通过采集单元301从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;关联单元302将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;解密单元303通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密,解决了现有的当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成的解密失败的技术问题。
上面是对LTE系统内部NAS消息的解密装置的各单元进行详细的描述,下面将对子单元进行描述,请参阅图4,本发明实施例提供的一种LTE系统内部NAS消息的解密装置的另一个实施例包括:
采集单元401,用于从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系,采集单元401,具体用于从S10接口的Identification Response、Context Response、ForwardRelocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系;
采集单元401包括:
第一采集子单元4011,用于从S10接口的Identification Response消息里面提取IMSI参数,以及包含有密钥的MM Context参数;
第二采集子单元4012,用于通从S10接口的Context Response消息里面提取IMSI参数,以及包含有密钥的MM Context参数;
第三采集子单元4013,用于从S10接口的Forward Relocation Request消息里面提取IMSI参数,以及包含有密钥的MM Context参数。
关联单元402,用于将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系,关联单元402,具体从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联,并建立GUTI-IMSI对应关系;
确定单元403,用于通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系
解密单元404,用于通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
本实施例中,通过采集单元401从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;关联单元402将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;解密单元404通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密,解决了现有的当一个UE从监测范围外的MME移动到监测范围内的MME时,密钥会在两个MME之间的S10接口上传递,但是并不会出现在S6a接口上,因此仅采集S6a接口,不能获得这种场景下的密钥,造成的解密失败的技术问题。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,LTE系统内部NAS消息的解密服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种LTE系统内部NAS(非接入层,Non-access stratum)消息的解密方法,其特征在于,包括:
从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;
将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;
通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
2.根据权利要求1所述的LTE系统内部NAS消息的解密方法,其特征在于,通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密之前还包括:
通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系。
3.根据权利要求1所述的LTE系统内部NAS消息的解密方法,其特征在于,从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系具体包括:
从LTE系统S10接口的Identification Response、Context Response、ForwardRelocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系。
4.根据权利要求1所述的LTE系统内部NAS消息的解密方法,其特征在于,将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系具体包括:
从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联,并建立GUTI-IMSI对应关系。
5.根据权利要求3所述的LTE系统内部NAS消息的解密方法,其特征在于,从S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系具体包括:
从S10接口的Identification Response消息里面提取IMSI参数,以及包含有密钥的MMContext参数;
从S10接口的Context Response消息里面提取IMSI参数,以及包含有密钥的MMContext参数;
从S10接口的Forward Relocation Request消息里面提取IMSI参数,以及包含有密钥的MM Context参数。
6.一种LTE系统内部NAS消息的解密装置,其特征在于,包括:
采集单元,用于从LTE系统内部S10接口采集密钥,建立IMSI-密钥对应关系;
关联单元,用于将S1-MME接口和S10接口关联,建立GUTI-IMSI对应关系;
解密单元,用于通过S10接口采集的密钥以及通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系对S1-MME接口的NAS消息进行解密。
7.根据权利要求6所述的LTE系统内部NAS消息的解密装置,其特征在于,LTE系统内部NAS消息的解密装置还包括:
确定单元,用于通过建立的IMSI-密钥对应关系与GUTI-IMSI对应关系确定GUTI-IMSI-密钥对应关系。
8.根据权利要求6所述的LTE系统内部NAS消息的解密装置,其特征在于,采集单元,具体用于从S10接口的Identification Response、Context Response、Forward RelocationRequest消息中提取IMSI参数和密钥,建立IMSI-密钥对应关系。
9.根据权利要求6所述的LTE系统内部NAS消息的解密装置,其特征在于,关联单元,具体从S1-MME接口的Attach Request、TAU Request消息中提取GUTI参数,从S10接口的Identification Request、Context Request中提取GUTI参数,利用GUTI参数将S10和S1-MME接口关联,并建立GUTI-IMSI对应关系。
10.根据权利要求8所述的LTE系统内部NAS消息的解密装置,其特征在于,采集单元包括:
第一采集子单元,用于从S10接口的Identification Response消息里面提取IMSI参数,以及包含有密钥的MM Context参数;
第二采集子单元,用于通从S10接口的Context Response消息里面提取IMSI参数,以及包含有密钥的MM Context参数;
第三采集子单元,用于从S10接口的Forward Relocation Request消息里面提取IMSI参数,以及包含有密钥的MM Context参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710072553.1A CN106792676B (zh) | 2017-02-10 | 2017-02-10 | 一种lte系统内部nas消息的解密方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710072553.1A CN106792676B (zh) | 2017-02-10 | 2017-02-10 | 一种lte系统内部nas消息的解密方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106792676A CN106792676A (zh) | 2017-05-31 |
| CN106792676B true CN106792676B (zh) | 2018-03-20 |
Family
ID=58955758
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710072553.1A Active CN106792676B (zh) | 2017-02-10 | 2017-02-10 | 一种lte系统内部nas消息的解密方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106792676B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110121168B (zh) * | 2018-02-06 | 2021-09-21 | 华为技术有限公司 | 安全协商方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2139260A1 (en) * | 2007-05-15 | 2009-12-30 | Huawei Technologies Co., Ltd. | Method for performing security negotiation during handoff between different wireless access technology and device thereof |
| CN101860862A (zh) * | 2010-05-17 | 2010-10-13 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
| CN102056157A (zh) * | 2009-11-04 | 2011-05-11 | 大唐移动通信设备有限公司 | 一种确定密钥和密文的方法、系统及装置 |
| CN104244247A (zh) * | 2013-06-07 | 2014-12-24 | 华为技术有限公司 | 非接入层、接入层安全算法处理方法及设备 |
-
2017
- 2017-02-10 CN CN201710072553.1A patent/CN106792676B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2139260A1 (en) * | 2007-05-15 | 2009-12-30 | Huawei Technologies Co., Ltd. | Method for performing security negotiation during handoff between different wireless access technology and device thereof |
| CN102056157A (zh) * | 2009-11-04 | 2011-05-11 | 大唐移动通信设备有限公司 | 一种确定密钥和密文的方法、系统及装置 |
| CN101860862A (zh) * | 2010-05-17 | 2010-10-13 | 中兴通讯股份有限公司 | 终端移动到增强utran时建立增强密钥的方法及系统 |
| CN104244247A (zh) * | 2013-06-07 | 2014-12-24 | 华为技术有限公司 | 非接入层、接入层安全算法处理方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106792676A (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3751886B1 (en) | Communication method and device under centralized unit-distributed unit architecture | |
| EP3567797B1 (en) | Data security processing method and apparatus | |
| CN106941670A (zh) | 一种lte系统内部信令面和用户面的关联方法及装置 | |
| EP3886527B1 (en) | Signalling in dual connectivity mobile communication networks | |
| EP4429296A2 (en) | Method and apparatus for managing user plane operation in wireless communication system | |
| CN102026324B (zh) | 一种聚合小区的重配置方法、设备和系统 | |
| CN104685911B (zh) | 网络辅助的邻近服务发现管理 | |
| CN1633762B (zh) | 用于再定位srns的方法 | |
| CN109479230A (zh) | 用于执行NB-IoT终端的移动性处理的方法及其装置 | |
| US10271360B2 (en) | Communication method, user equipment, and base station | |
| CN108307407B (zh) | 一种通信方法及装置 | |
| CN107820291A (zh) | 网络切片控制方法及相关设备 | |
| CN108616910B (zh) | 实体配置方法、装置及系统、cu-u | |
| EP3793263B1 (en) | Communication method and apparatus | |
| KR20190127846A (ko) | 사용자 정보 관리를 위한 방법 및 시스템 | |
| CN102244895A (zh) | 一种增强移动性的分流方法及装置 | |
| CN103609154A (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| CN104159240A (zh) | 基于终端的通信方法和终端 | |
| CN105517066A (zh) | 一种lte s1-mme接口的海量数据用户识别的方法 | |
| CN106792676B (zh) | 一种lte系统内部nas消息的解密方法及装置 | |
| TWI718281B (zh) | 用於終端設備間建立關聯的方法和設備 | |
| CN103281692A (zh) | 一种ac间的快速漫游方法和设备 | |
| EP3850904B1 (en) | Adding and modifying conditional configurations at a user device | |
| CN104936171B (zh) | 安全算法的确定方法及装置 | |
| CN103237303B (zh) | 基于用户支持加密的3g网络监测系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 218, 2nd Floor, Building A, No. 119 West Fourth Ring North Road, Haidian District, Beijing, 100000 Patentee after: HAOHAN DATA TECHNOLOGY CO.,LTD. Address before: 100142 No. 14, No. 45, North dewa Road, Haidian District, Beijing, 102 Patentee before: HAOHAN DATA TECHNOLOGY CO.,LTD. |
|
| CP02 | Change in the address of a patent holder |