CN109120572A - Sip信令解密方法、装置、系统及计算机可读存储介质 - Google Patents
Sip信令解密方法、装置、系统及计算机可读存储介质 Download PDFInfo
- Publication number
- CN109120572A CN109120572A CN201710481729.9A CN201710481729A CN109120572A CN 109120572 A CN109120572 A CN 109120572A CN 201710481729 A CN201710481729 A CN 201710481729A CN 109120572 A CN109120572 A CN 109120572A
- Authority
- CN
- China
- Prior art keywords
- signaling
- key
- decryption
- user
- sip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种SIP信令解密方法、装置、系统及计算机可读存储介质,属于通信技术领域,该方法包括:获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;根据所述关联接口信令获取待选解密密钥;通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表,通过获取关联接口的信息,获取解密密钥,对SIP信令进行解密,可对SIP信令随时进行解密,适用性强,处理效率高,解密成功率高。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种SIP信令解密方法、装置、系统及计算机可读存储介质。
背景技术
LTE网络已经在各国运营商进行部署和实验,让人们生活步入4G(the 4thGeneration communication system)时代,LTE网络演进的多媒体业务实现方案是IP多媒体子系统(IMS,IP Multimedia Subsystem),即4G的UE(User Equipment,用户终端)通过LTE接入到IMS中,实现语音、短信等媒体业务,即VOLTE(Voice over LTE)网络。如图1所示,一个示例的VOLTE网络的一次呼叫相关的信令图,包括UE(用户终端,手机)、P-CSCF(ProxyCSCF)、S-CSCF(Serving CSCF)、I-CSCF(Interrogating CSCF)、PCRF(Policy andCharging Rules Function)、HSS(Home Subscriber Server)等网络组成,他们交互信令可以实现一次手机之间的语音通话功能。
VOLTE网络信令检测系统是为维护、监控VOLTE网络质量,需要采集到其中SIP信令(Session Initiation Protocol,会话创建协议),进行处理和会话、呼叫分析,获得VOLTE的SIP信令指标和语音媒体指标,通过指标的对比,实现对网络异常的发现、网络优化建议,最终提高VOLTE网络的整体质量。如图2所示,在VOLTE网络上部署VOLTE网络信令监测系统,该系统的信令采集器在不影响两两网元的信令交互的前提下,从VOLTE网络的两两网元之间连接线路上进行复制采集信令输出;信令采集器采集到多路信令,然后输出给网络信令监测系统进行信令分析。
IMS系统为实现接入安全,允许在UE(User Equipment)与P-CSCF(Proxy CSCF)之间Gm接口进行SIP(Session Initiation Protocol,会话初始协议)信令加密,提供IPsecESP(IPsec Encapsulating Security Payload,IPsec封装安全负载)机制实现。IMS的鉴权认证AKA(Authentication and Key Agreement,鉴权和密钥协商)机制会在UE注册流程中,在UE和P-CSCF之间进行安全机制协商、交换IPSec ESP有关参数、并建立双向SA安全联盟(SecurityAssociation,SA),后续经过SA的SIP信令都是进行加密的,即最终在UE和P-CSCF之间使用SA隧道(IPSec加密隧道)传输SIP信令。但现有的加密方法不够完善,普通的SIP信令解密方法必须从初始注册流程开始才能解密、而且必须全流程信令持续跟踪分析、中间某次注册处理异常就导致后续都无法解密,导致一些场景无法进行信令解密后分析的问题。
发明内容
有鉴于此,本发明的目的在于提供一种SIP信令解密方法、装置、系统及计算机可读存储介质,通过获取关联接口的信息,获取解密密钥,对SIP信令进行解密,可对SIP信令随时进行解密,适用性强,处理效率高,解密成功率高。
本发明解决上述技术问题所采用的技术方案如下:
根据本发明的一个方面,提供的一种SIP信令解密方法,包括:
获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;
根据所述关联接口信令获取待选解密密钥;
通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表。
可选地,所述根据所述关联接口信令获取待选解密密钥包括:
获取所述关联接口信令中的用户加密信息、解密密钥信息和用户地址信息,建立用户地址密钥表;
从所述Gm接口密文信令的接口数据报文中获取所述Gm接口密文信令的用户空口地址;
根据所述用户空口地址查询所述用户地址密钥表,获取待选解密密钥;
根据所述待选解密密钥选择对应的待选加密算法。
可选地,所述根据所述用户空口地址查询所述用户地址密钥表,获取待选解密密钥包括:
根据所述用户空口地址查询所述用户地址信息,获取用户标识;
根据所述用户标识查询所述解密密钥信息,获取解密密钥和完整性密钥。
可选地,所述通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表之后还包括:
根据所述解密信息表对所述Gm接口密文信令进行解密,形成明文SIP信令,并发送给上层SIP信令检测分析系统。
作为本发明的另一方面,提供的一种SIP信令解密装置,包括:
数据接入模块,用于获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;
密钥获取模块,用于根据所述关联接口信令获取待选解密密钥;
解密模块,用于通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表。
可选地,所述密钥获取模块包括:
接口协议识别单元,获取所述关联接口信令中的用户加密信息、解密密钥信息和用户地址信息,建立用户地址密钥表;
用户地址信息获取单元,用于从所述Gm接口密文信令的接口数据报文中获取所述Gm接口密文信令的用户空口地址;
密钥获取单元,用于根据所述用户空口地址查询所述用户地址密钥表,获取待选解密密钥;
加密算法选择单元,用于根据所述待选解密密钥选择对应的待选加密算法。
可选地,所述密钥获取单元包括:
用户标识获取单元,用于根据所述用户空口地址查询所述用户地址信息,获取用户标识;
查询单元,用于根据所述用户标识查询所述解密密钥信息,获取解密密钥和完整性密钥。
可选地,SIP信令解密装置还包括:
解密上传模块,用于根据所述解密信息表对所述Gm接口密文信令进行解密,形成明文SIP信令,并发送给上层SIP信令检测分析系统。
根据本发明的再一个方面,提供的一种SIP信令解密系统,包括存储器、处理器和至少一个被存储在所述存储器中并被配置为由所述处理器执行的应用程序,所述应用程序被配置为用于执行以上所述的SIP信令解密方法。
根据本发明的再一个方面,提供的一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以上所述的SIP信令解密方法。
本发明实施例的一种SIP信令解密方法、装置、系统及计算机可读存储介质,该方法包括:获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;根据所述关联接口信令获取待选解密密钥;通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表,通过获取关联接口的信息,获取解密密钥,对SIP信令进行解密,可对SIP信令随时进行解密,适用性强,处理效率高,解密成功率高。
附图说明
图1为本发明实施例一提供的一种SIP信令解密方法流程图;
图2为本发明实施例一提供的VOLTE网络的网元结构图;
图3为图1中步骤S20的方法流程图;
图4为本发明实施例一提供的另一种SIP信令解密方法流程图;
图5为本发明实施例一提供的一种SIP信令解密方法的信令流程图;
图6为本发明实施例二提供的一种SIP信令解密装置示范性结构框图;
图7为图6中密钥获取模块的示范性结构框图;
图8为本发明实施例二提供的另一种SIP信令解密装置示范性结构框图;
图9为本发明实施例二提供的VOLTE网络SIP信令解密装置架构图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一
如图1所示,在本实施例中,一种SIP信令解密方法,包括:
S10、获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;
S20、根据所述关联接口信令获取待选解密密钥;
S30、通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表。
在本实施例中,通过获取关联接口的信息,获取解密密钥,对SIP信令进行解密,可对SIP信令随时进行解密,适用性强,处理效率高,解密成功率高。
在本实施例中,本方法适用于VOLTE网络,如图2所示,为VOLTE网络的网元结构,从图2可知,所述Gm接口是指终端UE与代理网元P-CSCF之间的接口,现有的基于VOLTE网络的SIP加密信令的解密方法不够完善,导致一些场景无法进行信令解密后分析的问题,比如:1、如果信令监测系统没有采集到用户初始注册,那么该用户后续流程都无法解密,即使用户多次刷新注册;2、如果信令监测系统采集了初始注册,但后续某次刷新注册流程采集不全、或者处理错误,那么该用户后续流程都无法解密,即使用户多次刷新注册;3、如果信令监测系统自身异常,例如重启,丢失了解密信息,那么无法继续解密;4、如果信令监测系统一开始就采集到密文信令,那么无法获取到解密信息。在VoLTE网络中,终端可能一天才初始注册一次,后续都是刷新注册;或者几天才一次初始注册。遇到上面几种场景时候,普通的信令监测系统一天或者几天无法分析该用户信令;而本方案可以在遇到上面场景时也可以对已加密通道中的密文SIP进行强制解密,实现加密SIP信令解密为明文,实现对用户SIP信令的分析、输出分析结果。
在本实施例中,本方法即适用于采集到用户初始注册信息时的解密,也适用于系统未获取解密密钥的情况;当遇到Gm口无解密密钥时候,继续跟踪Gm接口密文信令和关联接口信令,此时,关联接口信令的获取时机可以是VOLTE用户进行新的一次刷新注册流程时候,一般用户会半小时触发一次刷新注册流程,这样就使得本方法可以随时进行解密,而不像现有技术中只有通过用户初始注册才能进行解密。
在本实施例中,关联接口信令中包括新注册流程中携带的用户加密信息、解密密钥信息、用户的空口地址信息。
如图3所示,在本实施例中,所述步骤S20包括:
S21、获取所述关联接口信令中的用户加密信息、解密密钥信息和用户地址信息,建立用户地址密钥表;
S22、从所述Gm接口密文信令的接口数据报文中获取所述Gm接口密文信令的用户空口地址;
S23、根据所述用户空口地址查询所述用户地址密钥表,获取待选解密密钥;
S24、根据所述待选解密密钥选择对应的待选加密算法。
在本实施例中,关联接口信令包括:Mw接口SIP信令或者Cx接口Diameter信令,获取其中用户注册鉴权的加密信息,形成用户加密信息表;Mw接口SIP信令或者Rx接口Diameter信令中用户地址信息,形成用户地址信息表。
在本实施例中,所述用户地址信息表示为{IMPU、IMPI、UEIP、UEPORT},其中,IMPU为IP多媒体公共标识,IMPI为IP多媒体私有标识,UEIP为用户终端的IP;UEPORT为用户终端的端口;
其中,用户加密信息表如表1所示:
| IMPU | IMPI | 加密密钥信息 |
| SIP:123@zte.com.cn | 123@zte.com.cn | <CK,IK,…,RAND,AUTN,XRES> |
表1
用户地址信息表如表2所示:
| IMPU | IMPI | 用户地址 | 用户端口 |
| SIP:123@zte.com.cn | 123@zte.com.cn | UEIP | UEPORT |
表2
在本实施例中,所示待选加密算法为与待选解密密钥相对应的加密算法,比如,VOLTE公用的加密算法有SIP Digest鉴权算法、AKA鉴权算法、CAVE-based AKA鉴权算法等;逐个使用解密密钥CK+加密算法组合进行加密破解尝试,即使用解密密钥CK+加密算法对当前Gm口SIP加密数据报文进行解密;如果某对解密密钥CK+加密算法组合解密的结果是有效SIP明文,那么说解密成功,该对解密密钥CK+加密算法组合是该用户的解密密钥和加密算法。通过加密破解尝试模块创建SA(Security Association,安全联盟)解密表,保存该对解密密钥CK+加密算法组合、UEIP、IMPU、IMPI、SA加密通道相关信息。
其中,SA解密表如表3所示:
| IMPU | IMPI | 用户IP | SA-IN | SA-OUT | CK | IK |
| SIP:123@zte.com.cn | 123@zte.com.cn | UEIP | SA-IN | SA-OUT | CK | IK |
表3
在本实施例中,所述步骤S23包括:
根据所述用户空口地址查询所述用户地址信息,获取用户标识;
根据所述用户标识查询所述解密密钥信息,获取解密密钥和完整性密钥。
其中,用户标识表示为{IMPU、IMPI}。
如图4所示,在本实施例中,所述步骤S30之后还包括:
S40、根据所述解密信息表对所述Gm接口密文信令进行解密,形成明文SIP信令,并发送给上层SIP信令检测分析系统。
在本实施例中,如图5所示为一次SIP信令解密方法的信令流程图,信令流程如下:
用户终端访问网络,终端已附着到LTE网络的EPS(Evolved Package System,演进分组系统)系统,触发S1-MME、S11、S6a等接口信令。UE已经注册到IMS系统,协商了Gm解密通道,后续Gm接口都在加密通道中传输。
该UE发起一次加密通道内的SIP刷新注册流程。(SM1)Register消息,UE向P-CSCF发送加密注册请求消息,Security-Client字段中准备重新协商的加密参数、即携带SA参数的UE端参数,包括UE的端口、安全索引SPI(Security Parameter Index)、支持算法等;
信令解密系统采集UE与P-CSCF之间Gm接口加密SIP信令,本加密SIP消息和后续加密SIP消息都由协议识别模块分析,获取信息加密包信息{UEIP、UEPORT、NetIP、NetPORT、SPI_Index}(NetIP,网络侧IP;NetPORT,网络侧端口;SPI_Index,Security ParameterIndex,SA安全索引)。
P-CSCF向PCRF(Policy and Charging Rules Function,策略与计费规则功能单元)通过Rx接口交互承载资源信息,发送(RM1)AAR(Authorize/Authenticate-Request)、接收(RM2)AAA(Authorize/Authenticate-Answer)消息实现承载资源的预留、申请等处理。该AAR、AAA消息中携带用户地址信息{IMPU、IMPI、UEIP、UEPORT}。
信令增强型解密系统采集Rx接口信令,获取用户地址信息{IMPU、IMPI、UEIP、UEPORT}。
(SM2)、(SM3)Register消息,P-CSCF、I-CSCF、S-CSCF在Mw接口传递注册消息到S-SCSCF。注册信息中Contact字段、P-Access-Network-Info字段、From字段、Proxy-Authenticate字段等字段中携带用户地址信息{IMPU、IMPI、UEIP、UEPORT}。其他的SIP信令在Mw接口也可以携带用户地址信息。
信令增强型解密系统采集Mw接口信令,获取用户地址信息{IMPU、IMPI、UEIP、UEPORT}。
(CM1)S-CSCF向HSS的Cx接口发送接收MAR(Multimedia-Auth-Requet)、MAA(Multimedia-Auth-Answer)消息,申请鉴权向量五元组<RAND,AUTN,XRES,CK,IK>,其中RAND是认证挑战,XRES是期望用户返回的对RAND的认证响应结果,AUTN是认证令牌,IK是完整密钥,CK是加密密钥。
信令增强型解密系统采集Cx接口信令,获取用户加密密钥信息{IMPU、IMPI、CK、IK、RAND、AUTN、XRES},可以有多对加密密钥信息。
(SM4)、(SM5)401Unauthorized响应,Mx接口明文SIP响应带认证挑战信息,携带RAND、AUTN、CK、IK。P-CSCF收到401消息,保存CK、IK,然后删除CK、IK,插入Security-Server字段,携带重新协商的加密信息,即里面带SA参数P-CSCF端参数,包括UE的端口、安全索引SPI、支持算法等。
信令增强型解密系统采集Mw接口信令,获取用户加密密钥信息{IMPU、IMPI、CK、IK}。
(SM6)401Unauthorized响应,UE收到P-CSCF发送本消息,提取RAND、AUTN,使用ISIM(IP Multimedia Service Identity Module,IP多媒体服务身份模块)卡中长期密钥认证AUTN正确、并计算RAND的响应值RES、CK、IK。至此,UE与P-CSCF之间新的安全联盟SA参数重新协商完成,后续的SIP信令都可以通过新协商的SA通道进行加密并使用IPSec传输。
(SM7)(SM8)、(SM9)Register消息,UE向P-CSCF发送带鉴权响应的注册消息,里面携带RES值,里面携带Security-Client、Security-Verify字段带SA参数。注册消息经过I-CSCF到S-CSCF。S-CSCF校验UE注册消息中XRES成功,认为UE通过注册成功。S-CSCF发送(SM10)、(SM11)、(SM12)200OK注册成功响应给UE,本次UE注册流程完成。UE后续可以发起SIP其他业务(SM13)、(SM14)等,使用新协商的安全联盟进行SIP信令加密传输。
(SM13)、(SM14)加密SIP信令,UE通Gm接口发送给P-CSCF。
实施例二
如图6所示,在本实施例中,一种SIP信令解密装置,包括:
数据接入模块10,用于获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;
密钥获取模块20,用于根据所述关联接口信令获取待选解密密钥;
解密模块30,用于通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表。
在本实施例中,通过获取关联接口的信息,获取解密密钥,对SIP信令进行解密,可对SIP信令随时进行解密,适用性强,处理效率高,解密成功率高。
在本实施例中,本装置适用于VOLTE网络,如图2所示,为VOLTE网络的网元结构,从图2可知,所述Gm接口是指终端UE与代理网元P-CSCF之间的接口,现有的基于VOLTE网络的SIP加密信令的解密方法不够完善,导致一些场景无法进行信令解密后分析的问题,比如:1、如果信令监测系统没有采集到用户初始注册,那么该用户后续流程都无法解密,即使用户多次刷新注册;2、如果信令监测系统采集了初始注册,但后续某次刷新注册流程采集不全、或者处理错误,那么该用户后续流程都无法解密,即使用户多次刷新注册;3、如果信令监测系统自身异常,例如重启,丢失了解密信息,那么无法继续解密;4、如果信令监测系统一开始就采集到密文信令,那么无法获取到解密信息。在VoLTE网络中,终端可能一天才初始注册一次,后续都是刷新注册;或者几天才一次初始注册。遇到上面几种场景时候,普通的信令监测系统一天或者几天无法分析该用户信令;而本方案可以在遇到上面场景时也可以对已加密通道中的密文SIP进行强制解密,实现加密SIP信令解密为明文,实现对用户SIP信令的分析、输出分析结果。
在本实施例中,本装置即适用于采集到用户初始注册信息时的解密,也适用于系统未获取解密密钥的情况;当遇到Gm口无解密密钥时候,继续跟踪Gm接口密文信令和关联接口信令,此时,关联接口信令的获取时机可以是VOLTE用户进行新的一次刷新注册流程时候,一般用户会半小时触发一次刷新注册流程,这样就使得本装置可以随时进行解密,而不像现有技术中只有通过用户初始注册才能进行解密。
在本实施例中,关联接口信令中包括新注册流程中携带的用户加密信息、解密密钥信息、用户的空口地址信息。
如图7所示,在本实施例中,所述密钥获取模块包括:
接口协议识别单元21,获取所述关联接口信令中的用户加密信息、解密密钥信息和用户地址信息,建立用户地址密钥表;
用户地址信息获取单元22,用于从所述Gm接口密文信令的接口数据报文中获取所述Gm接口密文信令的用户空口地址;
密钥获取单元23,用于根据所述用户空口地址查询所述用户地址密钥表,获取待选解密密钥;
加密算法选择单元24,用于根据所述待选解密密钥选择对应的待选加密算法。
在本实施例中,关联接口信令包括:Mw接口SIP信令或者Cx接口Diameter信令,获取其中用户注册鉴权的加密信息,形成用户加密信息表;Mw接口SIP信令或者Rx接口Diameter信令中用户地址信息,形成用户地址信息表。
在本实施例中,所述用户地址信息表示为{IMPU、IMPI、UEIP、UEPORT},其中,IMPU为IP多媒体公共标识,IMPI为IP多媒体私有标识,UEIP为用户终端的IP;UEPORT为用户终端的端口;
其中,用户加密信息表如表1所示:
| IMPU | IMPI | 加密密钥信息 |
| SIP:123@zte.com.cn | 123@zte.com.cn | <CK,IK,…,RAND,AUTN,XRES> |
表1
用户地址信息表如表2所示:
| IMPU | IMPI | 用户地址 | 用户端口 |
| SIP:123@zte.com.cn | 123@zte.com.cn | UEIP | UEPORT |
表2
在本实施例中,所示待选加密算法为与待选解密密钥相对应的加密算法,比如,VOLTE公用的加密算法有SIP Digest鉴权算法、AKA鉴权算法、CAVE-based AKA鉴权算法等;逐个使用解密密钥CK+加密算法组合进行加密破解尝试,即使用解密密钥CK+加密算法对当前Gm口SIP加密数据报文进行解密;如果某对解密密钥CK+加密算法组合解密的结果是有效SIP明文,那么说解密成功,该对解密密钥CK+加密算法组合是该用户的解密密钥和加密算法。通过加密破解尝试模块创建SA(Security Association,安全联盟)解密表,保存该对解密密钥CK+加密算法组合、UEIP、IMPU、IMPI、SA加密通道相关信息。
其中,SA解密表如表3所示:
| IMPU | IMPI | 用户IP | SA-IN | SA-OUT | CK | IK |
| SIP:123@zte.com.cn | 123@zte.com.cn | UEIP | SA-IN | SA-OUT | CK | IK |
表3
在本实施例中,所述密钥获取单元包括:
用户标识获取单元,用于根据所述用户空口地址查询所述用户地址信息,获取用户标识;
查询单元,用于根据所述用户标识查询所述解密密钥信息,获取解密密钥和完整性密钥。
其中,用户标识表示为{IMPU、IMPI}。
如图8所示,在本实施例中,SIP信令解密装置还包括:
解密上传模块40,用于根据所述解密信息表对所述Gm接口密文信令进行解密,形成明文SIP信令,并发送给上层SIP信令检测分析系统。
在本实施例中,如图9所示为VOLTE网络SIP信令解密装置架构图。
数据接入模块,用于获取网络上的数据报文。
接口协议识别单元,用于识别数据报文的接口类型、协议类型、协议层次,并把数据报文传递给各处理模块。
密钥获取单元,接收Mw口SIP注册报文,解析报文获取Gm接口加密的密钥信息{IMPU、IMPI、IK、CK};或者接收Cx接口DIAMETER鉴权注册报文,解析报文获取Gm接口加密的密钥信息{IMPU、IMPI、IK、CK、RAND、AUTN、XRES}。把获得加密密钥信息传递给加密破解尝试模块。
用户地址获取单元,接收Mx口SIP数据报文,在报文字段中可以获取用户在Gm接口的用户地址信息{IMPU、IMPI、UEIP、UEPORT}。或者接收Rx口DIAMETER数据报文,在报文字段中可以获取用户在Gm接口的用户地址信息{IMPU、IMPI、UEIP、UEPORT}。把获得用户地址信息传递给加密破解尝试模块。
解密模块,在遇到普通的明文初始注册场景,可以接收Gm接口明文SIP注册信令,按照普通解密方法获取到Gm口加密协商的安全联盟SA表,关联获取加密信息{IMPU、IMPI、IK、CK、RAND、AUTN、XRES},就可以获取普通流程的本次解密密钥{IMPU、IMPI、IK、CK、和解密算法},形成完整的加密安全联盟SA信息,如图6SIP协商的加密安全联盟表。
面对Gm接口加密SIP信令,接收加密密钥获取模块传递加密密钥信息创建用户解密信息表;接收用户地址信息获取模块传递用户地址创建用户地址信息表;接收Gm接口加密SIP信息,解析获取UEIP、UEPORT、加密ESP索引等信息,使用UEIP查询用户地址信息表获取该信令归属用户标识{IMPU、IMPI};使用用户标识{IMPU、IMPI}查询用户解密信息表,获取解密密钥和完整性密钥{IK、CK}当前的解密信息是不完整的,缺少加密算法;可以从局方获取到本网络支持的N种加密算法,特别是优先支持的加密算法。逐个使用解密密钥CK+加密算法组合进行加密破解尝试,即使用解密密钥CK+加密算法对当前Gm口SIP加密数据报文进行解密;如果某对解密密钥CK+加密算法组合解密的结果是有效SIP明文,那么说解密成功,该对解密密钥CK+加密算法组合是该用户的解密密钥和加密算法。加密破解尝试模块,创建SA解密表,如图9,保存该对解密密钥CK+加密算法组合、UEIP、IMPU、IMPI、SA加密通道相关信息。并对该用户反向Gm加密数据报文(相同UEIP的报文)进行解密,完善SA加密通道信息。最终,加密破解尝试模块,创建SA解密表,并提供加密信令解密模块进行SA参数查询,获取解密算法和密钥CK。
解密上传模块,接收Gm口SIP加密数据报文,查询SA解密表进行解密、形成明文SIP信令,并发送给上层SIP信令监测分析系统。
实施例三
在本实施例中,一种SIP信令解密系统,包括存储器、处理器和至少一个被存储在所述存储器中并被配置为由所述处理器执行的应用程序,所述应用程序被配置为用于执行实施例一所述的SIP信令解密方法。
实施例四
本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述SIP信令解密方法实施例中任一所述的方法实施例。
需要说明的是,上述装置、系统实和计算机可读存储介质实施例与方法实施例属于同一构思,其具体实现过程详见方法实施例,且方法实施例中的技术特征在装置实施例中均对应适用,这里不再赘述。
本发明实施例的一种SIP信令解密方法、装置、系统及计算机可读存储介质,该方法包括:获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;根据所述关联接口信令获取待选解密密钥;通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表,通过获取关联接口的信息,获取解密密钥,对SIP信令进行解密,可对SIP信令随时进行解密,适用性强,处理效率高,解密成功率高。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件来实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上参照附图说明了本发明的优选实施例,并非因此局限本发明的权利范围。本领域技术人员不脱离本发明的范围和实质内所作的任何修改、等同替换和改进,均应在本发明的权利范围之内。
Claims (10)
1.一种SIP信令解密方法,其特征在于,包括:
获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;
根据所述关联接口信令获取待选解密密钥;
通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表。
2.根据权利要求1所述的一种SIP信令解密方法,其特征在于,所述根据所述关联接口信令获取待选解密密钥包括:
获取所述关联接口信令中的用户加密信息、解密密钥信息和用户地址信息,建立用户地址密钥表;
从所述Gm接口密文信令的接口数据报文中获取所述Gm接口密文信令的用户空口地址;
根据所述用户空口地址查询所述用户地址密钥表,获取待选解密密钥;
根据所述待选解密密钥选择对应的待选加密算法。
3.根据权利要求2所述的一种SIP信令解密方法,其特征在于,所述根据所述用户空口地址查询所述用户地址密钥表,获取待选解密密钥包括:
根据所述用户空口地址查询所述用户地址信息,获取用户标识;
根据所述用户标识查询所述解密密钥信息,获取解密密钥和完整性密钥。
4.根据权利要求1所述的一种SIP信令解密方法,其特征在于,所述通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表之后还包括:
根据所述解密信息表对所述Gm接口密文信令进行解密,形成明文SIP信令,并发送给上层SIP信令检测分析系统。
5.一种SIP信令解密装置,其特征在于,包括:
数据接入模块,用于获取终端和代理网元之间的Gm接口密文信令,采集关联接口信令;
密钥获取模块,用于根据所述关联接口信令获取待选解密密钥;
解密模块,用于通过所述待选解密密钥对所述Gm接口密文信令进行解密,并创建解密信息表。
6.根据权利要求5所述的一种SIP信令解密装置,其特征在于,所述密钥获取模块包括:
接口协议识别单元,获取所述关联接口信令中的用户加密信息、解密密钥信息和用户地址信息,建立用户地址密钥表;
用户地址信息获取单元,用于从所述Gm接口密文信令的接口数据报文中获取所述Gm接口密文信令的用户空口地址;
密钥获取单元,用于根据所述用户空口地址查询所述用户地址密钥表,获取待选解密密钥;
加密算法选择单元,用于根据所述待选解密密钥选择对应的待选加密算法。
7.根据权利要求2所述的一种SIP信令解密装置,其特征在于,所述密钥获取单元包括:
用户标识获取单元,用于根据所述用户空口地址查询所述用户地址信息,获取用户标识;
查询单元,用于根据所述用户标识查询所述解密密钥信息,获取解密密钥和完整性密钥。
8.根据权利要求5所述的一种SIP信令解密装置,其特征在于,还包括:
解密上传模块,用于根据所述解密信息表对所述Gm接口密文信令进行解密,形成明文SIP信令,并发送给上层SIP信令检测分析系统。
9.一种SIP信令解密系统,包括存储器、处理器和至少一个被存储在所述存储器中并被配置为由所述处理器执行的应用程序,其特征在于,所述应用程序被配置为用于执行权利要求1-4任一项所述的SIP信令解密方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该程序被处理器执行时实现如权利要求1至4中任一所述的SIP信令解密方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710481729.9A CN109120572A (zh) | 2017-06-22 | 2017-06-22 | Sip信令解密方法、装置、系统及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710481729.9A CN109120572A (zh) | 2017-06-22 | 2017-06-22 | Sip信令解密方法、装置、系统及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109120572A true CN109120572A (zh) | 2019-01-01 |
Family
ID=64732765
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710481729.9A Pending CN109120572A (zh) | 2017-06-22 | 2017-06-22 | Sip信令解密方法、装置、系统及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109120572A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111901103A (zh) * | 2020-07-06 | 2020-11-06 | 珠海世纪鼎利科技股份有限公司 | 安卓终端sip密钥获取方法、装置及设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050190740A1 (en) * | 2004-02-27 | 2005-09-01 | Wen Zhao | Methods and apparatus for facilitating concurrent push-to-talk over cellular (PoC) group communication sessions |
| CN102300210A (zh) * | 2011-09-01 | 2011-12-28 | 重庆中天重邮通信技术有限公司 | Lte非接入层密文解密方法及其信令监测装置 |
| CN102438241A (zh) * | 2011-12-30 | 2012-05-02 | 北京中创信测科技股份有限公司 | 一种lte协议监测分析中对nas信令解密装置及方法 |
| CN104038934A (zh) * | 2014-06-30 | 2014-09-10 | 武汉虹信技术服务有限责任公司 | Lte核心网实时信令监测的非接入层解密方法 |
| CN104640107A (zh) * | 2014-12-09 | 2015-05-20 | 北京电旗通讯技术股份有限公司 | 一种多接口配合解密lte中s1-mme接口nas层密文识别方法 |
| CN105491567A (zh) * | 2014-09-18 | 2016-04-13 | 中兴通讯股份有限公司 | Sip信令解密参数的获取方法及装置 |
| CN105704755A (zh) * | 2014-11-24 | 2016-06-22 | 中兴通讯股份有限公司 | 一种信令监控方法及系统 |
| CN105979513A (zh) * | 2016-07-20 | 2016-09-28 | 深圳市博瑞得科技有限公司 | 一种VoLTE网络SGI接口的解密方法及系统 |
| CN106792712A (zh) * | 2017-02-26 | 2017-05-31 | 上海交通大学 | 针对VoLTE设备的SIP协议的自动监测框架系统 |
-
2017
- 2017-06-22 CN CN201710481729.9A patent/CN109120572A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050190740A1 (en) * | 2004-02-27 | 2005-09-01 | Wen Zhao | Methods and apparatus for facilitating concurrent push-to-talk over cellular (PoC) group communication sessions |
| CN102300210A (zh) * | 2011-09-01 | 2011-12-28 | 重庆中天重邮通信技术有限公司 | Lte非接入层密文解密方法及其信令监测装置 |
| CN102438241A (zh) * | 2011-12-30 | 2012-05-02 | 北京中创信测科技股份有限公司 | 一种lte协议监测分析中对nas信令解密装置及方法 |
| CN104038934A (zh) * | 2014-06-30 | 2014-09-10 | 武汉虹信技术服务有限责任公司 | Lte核心网实时信令监测的非接入层解密方法 |
| CN105491567A (zh) * | 2014-09-18 | 2016-04-13 | 中兴通讯股份有限公司 | Sip信令解密参数的获取方法及装置 |
| CN105704755A (zh) * | 2014-11-24 | 2016-06-22 | 中兴通讯股份有限公司 | 一种信令监控方法及系统 |
| CN104640107A (zh) * | 2014-12-09 | 2015-05-20 | 北京电旗通讯技术股份有限公司 | 一种多接口配合解密lte中s1-mme接口nas层密文识别方法 |
| CN105979513A (zh) * | 2016-07-20 | 2016-09-28 | 深圳市博瑞得科技有限公司 | 一种VoLTE网络SGI接口的解密方法及系统 |
| CN106792712A (zh) * | 2017-02-26 | 2017-05-31 | 上海交通大学 | 针对VoLTE设备的SIP协议的自动监测框架系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111901103A (zh) * | 2020-07-06 | 2020-11-06 | 珠海世纪鼎利科技股份有限公司 | 安卓终端sip密钥获取方法、装置及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9871656B2 (en) | Encrypted communication method and apparatus | |
| KR100976635B1 (ko) | Ims 네트워크에서 미디어 보안을 제공하는 방법 및 미디어 보안을 제공하는 ims 네트워크 | |
| CN101635823B (zh) | 一种终端对视频会议数据进行加密的方法及系统 | |
| WO2012068922A1 (zh) | Ims多媒体通信方法和系统、终端及ims核心网 | |
| EP3197235B1 (en) | Method and device for acquiring sip signaling decryption parameters | |
| CN100561909C (zh) | 一种基于tls的ip多媒体子系统接入安全保护方法 | |
| CN107172099B (zh) | 一种MMtel应用服务器中密钥可配置系统及方法 | |
| CN106878305A (zh) | 基于sip协议实现终端注册的方法 | |
| US9526005B2 (en) | GSM A3/A8 authentication in an IMS network | |
| CN109120572A (zh) | Sip信令解密方法、装置、系统及计算机可读存储介质 | |
| US11089561B2 (en) | Signal plane protection within a communications network | |
| CN109788467B (zh) | Rcs协议测试方法、测试平台和计算机可读存储介质 | |
| Chen et al. | An efficient end-to-end security mechanism for IP multimedia subsystem | |
| CN100372329C (zh) | 一种注册方法、代理装置与注册系统 | |
| US11218515B2 (en) | Media protection within the core network of an IMS network | |
| CN102571721A (zh) | 接入设备鉴别方法 | |
| Deebak et al. | How to exploit 5G networks for IoT e-health security and privacy challenges | |
| CN112953718B (zh) | Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体 | |
| JP4980813B2 (ja) | 認証処理装置、認証処理方法及び認証処理システム | |
| CN107979836A (zh) | 一种应用于VoLTE的加密通话方法及装置 | |
| Radier et al. | A vehicle gateway to manage IP multimedia subsystem autonomous mobility | |
| CN108712410A (zh) | 秘钥可配的p-cscf服务器、会话系统及方法 | |
| Sher et al. | Enhanced SIP Security for Air Interface (Gm) between IMS Core and Client |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190101 |