CN112822674A - 一种nas消息的解密方法和装置 - Google Patents

Abstract

本发明公开一种NAS消息的解密方法，包括：在用户终端首次通过NGAP接口进行注册时，在所述NGAP接口监听注册会话过程中的第一NAS消息；根据监听到的第一NAS消息，获取鉴权信息和加密算法指示信息；所述鉴权信息包括：鉴权向量组和ABBA参数，所述鉴权向量组包括RAND、AUTH和RES；根据所述鉴权向量组查询对应的用户第一身份信息，对查找到的用户第一身份信息和所述ABBA参数进行哈希运算得到第一密钥，所述用户第一身份信息包括：SUPI和Kseaf；对所述第一密钥和所述加密算法指示信息进行哈希运算得到第二密钥；使用所述第二密钥对通过NGAP接口传输的业务会话中的第二NAS消息进行解密。

Description

一种NAS消息的解密方法和装置

技术领域

本发明涉及移动通信技术，尤其涉及一种NAS消息的解密方法和装置。

背景技术

随着5G网络建设进程的加快，在SA组网(独立组网，Stand Alone)初期以及后续网络优化、维护过程中亟需对5G网络进行全方位的消息监测，而NGAP(NG ApplicationProtocol)接口作为5G网络中接入网(NG-RAN)与核心网中的AMF(接入和移动管理功能，Access and Mobility Management Function)交互的接口，更是需要重点监测。为了更安全的传递消息，承载于NGAP协议之上的NAS(非接入层，Non-Access Stratum)消息支持以加密形式传送。

在建设5G消息监测系统的过程中，必须支持对NAS消息的解密，才能准确、完备的监测网络中的流程以及问题。5G网络中的NAS消息加密过程与3G、LTE网络有所不同，因此，针对NAS消息的解密需要一套新的解密方法。

发明内容

本公开提供一种NAS消息的解密方法和装置，以至少解决现有技术中存在的以上技术问题。

本发明第一方面提供一种NAS消息的解密方法，包括：

在用户终端首次通过NGAP接口进行注册时，在所述NGAP接口监听注册会话过程中的第一NAS消息；

根据监听到的第一NAS消息，获取鉴权信息和加密算法指示信息；所述鉴权信息包括：鉴权向量组和ABBA参数，所述鉴权向量组包括RAND、AUTH和RES；

根据所述鉴权向量组查询对应的用户第一身份信息，对查找到的用户第一身份信息和所述ABBA参数进行哈希运算得到第一密钥，所述用户第一身份信息包括：SUPI和Kseaf；

对所述第一密钥和所述加密算法指示信息进行哈希运算得到第二密钥；

使用所述第二密钥对通过NGAP接口传输的业务会话中的第二NAS消息进行解密。

该方法还包括：创建鉴权向量组和用户第一身份信息的映射关系，包括：

在N12接口监听所述用户终端对应的认证过程中的认证消息；

从监听到的所述认证消息中获取所述鉴权向量组和所述用户第一身份信息；

建立所述鉴权向量组和所述用户第一身份信息的映射关系。

根据所述鉴权向量组查询不到对应的用户第一身份信息时，该方法还包括：

确认所述注册会话是否结束；

若所述注册会话未结束，则针对监听到的所述注册会话中的下一个第一NAS消息，获取鉴权信息和加密算法指示信息。

所述获取鉴权信息和加密算法指示信息包括：

当监听到的第一NAS消息处于鉴权流程时，获取鉴权信息；

当监听到的第一NAS消息处于安全模式流程时，获取加密算法指示信息；

当监听到的第一NAS消息即不属于所述鉴权过程也不属于安全状态过程时，获取所述注册会话中已获取的鉴权信息和加密算法指示信息。

所述得到第二密钥之后，在所述注册会话结束之前，该方法还包括：

使用所述第二密钥对所述安全模式过程之后、所述注册会话结束之前的第三NAS消息进行解密，所述第三NAS消息包括：注册请求成功消息和数据通道建立过程中的NAS消息。

所述得到第二密钥之后，该方法还包括：

建立所述SUPI和所述第二密钥的映射关系；

建立所述用户第二身份信息和所述SUPI的映射关系，包括：所述使用第二密钥对所述注册请求成功消息进行解密，从中提取所述用户第二身份信息，所述用户第二身份信息为GUTI；将获取的用户第二身份信息与所述SUPI建立映射关系。

所述使用所述第二密钥对通过NGAP接口传输的业务会话中的第二NAS消息进行解密，包括：

业务会话建立后，获取所述用户第二身份信息；

基于所述用户第二身份信息查询对应的SUPI；

根据所述SUPI查询对应的第二密钥，使用所述第二密钥对通过NGAP接口接收的业务会话中的第二NAS消息进行解密。

在所述业务会话中，所述获取用户第二身份信息时，该方法还包括：

确认当前获取到的用户第二身份信息是否为最新的用户第二身份信息，若是，则将所述用户第二身份信息和所述SUPI的映射关系中用户第二身份信息替换为最新的用户第二身份信息。

本发明另一方面还提供一种NAS消息的解密装置，包括：

主线程监听模块，在用户终端首次通过NGAP接口进行注册时，在所述NGAP接口监听注册会话过程中的第一NAS消息；

主线程处理模块，用于根据监听到的第一NAS消息，获取鉴权信息和加密算法指示信息；所述鉴权信息包括：鉴权向量组和ABBA参数，所述鉴权向量组包括RAND、AUTH和RES；

主线程查询模块，用于根据所述鉴权信息查询对应的用户第一身份信息，所述用户第一身份信息包括：SUPI和Kseaf；

主线程计算模块，用于对查找到的用户第一身份信息和所述ABBA参数进行哈希运算得到第一密钥，所述用户第一身份信息包括：SUPI和Kseaf；对所述第一密钥和所述加密算法指示信息进行哈希运算得到所述NAS消息的第二密钥；

解密模块，用于使用所述第二密钥对通过NGAP传输的业务会话中的第二NAS消息进行解密。

该装置还包括：

辅线程监听模块，用于在N12接口监听所述用户终端对应的认证过程中的认证消息；

辅线程处理模块，用于从监听到的所述认证消息中获取所述鉴权向量组和所述用户第一身份信息，并建立所述鉴权向量组和所述用户第一身份信息的映射关系。

上述方案中，利用N12接口收集到的鉴权向量组、用户第一身份信息(SUCI、SUPI、Kseaf)，结合NGAP接口的鉴权过程、安全模式过程中获得的加密算法指示信息，进行密钥推演得到密钥，对于业务过程中的NAS消息的解密成功率能够大大提高；另外，当查找不到用于密钥生成的用户第一身份信息时，可以针对下一个NAS消息重新获取鉴权向量组和加密算法指示信息，重新查找第一身份信息，实现了无阻塞的密钥推演，提高了系统的性能。

附图说明

图1示出了一实施例所示的NAS消息的解密方法流程图；

图2示出了另一实施例所示的NAS消息的解密方法流程示意图；

图3示出了一实施例所示的无阻塞NAS消息的解密过程示意图；

图4示出了一实施例所示的NAS消息的解密过程示意图；

图5示出了一实施例所示的NAS消息的解密装置结构示意图。

具体实施方式

为使本发明的目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在建设5G消息监测系统的过程中，必须支持对NAS消息的解密，才能准确、完备的监测网络中的流程以及问题。5G网络中的NAS消息加密过程与3G、LTE网络有所不同，因此，针对NAS消息的解密需要一套新的解密方法。

而且，现有的一些其他场景下的解密流程中，推演密钥所需的信息分布在不同的接口，由于数据采集装置无法做到多接口之间的消息时序完全同步，因此，会造成接口间的消息是乱序的，如此无法正确解密；而通过阻塞的方式等待密钥信息到来，然后再进行密钥推演和解密，会产生严重的性能问题。

在消息体量越来越大的5G时代需要一套高效的NAS消息的解密方案来应对大流量下的消息监测分析效率。

为了提高NAS消息的解密效率，提高系统性能，如图1所示，本发明一实施例提供了一种NAS消息的解密方法，包括：

步骤101，用户终端首次通过NGAP接口进行注册时，在所述NGAP接口监听注册会话中的第一NAS消息。

在本发明实施例中，可以对NGAP接口实现的注册过程进行监听，当监听到NAS消息(即第一NAS消息)时，执行本发明实施例的处理流程。

触发用户终端通过NGAP接口进行注册的情形有多种，例如，用户终端开机，用户终端从一个小区切换到另一个小区等。

在用户终端通过NGAP接口向网络侧进行注册时，用户终端需要和网络侧建立会话(为了描述方便简称为注册会话)，该注册会话的过程如下：本次注册会话开始→注册请求消息→鉴权过程→安全模式过程→注册请求成功消息→数据通道建立过程→本次注册会话结束。其中，数据通道用于用户终端和网络侧执行相应的业务流程，例如语音业务、短信业务、视频业务等等。

上述注册会话过程中，注册请求消息(NAS消息)、鉴权过程和安全模式过程中的NAS消息未加密，可以从中获取用于秘钥推演的信息。为了描述方便，将注册请求消息、鉴权过程和安全模式过程中的NAS消息称为第一NAS消息。第一NAS消息均能够从NGAP接口监听到。

步骤102，根据监听到的第一NAS消息，获取鉴权信息和加密算法指示信息；所述鉴权信息包括：鉴权向量组和ABBA参数，所述鉴权向量组包括RAND、AUTH和RES。

当监听到的第一NAS消息属于鉴权流程时，从该第一NAS消息中获取鉴权信息。在该实施例中，通过对鉴权流程中的NAS消息进行解析，提取到鉴权流程中使用的鉴权信息，包括：鉴权向量组和ABBA(架构之间反向竞标，Anti-Bidding down BetweenArchitectures)参数。其中，鉴权向量组(Authentication Vector)包括：RAND(随机数，RANDom number)、AUTH(认证令牌，AUthentication TokeN)和RES(响应值，RESponse)。

当监听到的第一NAS消息属于安全模式流程时，获取加密算法指示信息。在该实施例中，通过对安全模式流程中的NAS消息进行解析，提取加密算法指示信息，这里的加密算法指示信息用于指示加密算法的类型，例如：加密算法的类型包括5G-EA1、5G-EA2和5G-EA3，可以用1指示5G-EA1、用2指示5G-EA2、用3指示5G-EA3，则，加密算法指示信息为1、2或3。当然，加密算法类型的表征方式不限于此。

在生成密钥之前，若监听到的第一NAS消息即不属于所述鉴权过程也不属于安全状态过程，则可以获取所述会话过程中已获取的鉴权信息和加密算法指示信息，用于生成密钥。

由于注册过程包括多个阶段，那么除了鉴权阶段和安全模式阶段的NAS消息以外，通过其他阶段的NAS消息无法获取到鉴权信息和加密算法指示信息，因此，监听到这些阶段的第一NAS消息时，可以使用该注册会话过程中已经获取到的鉴权信息和加密算法指示信息即可。

步骤103，根据所述鉴权向量组查询对应的用户第一身份信息，对查找到的用户第一身份信息和所述ABBA参数进行哈希运算得到第一密钥，所述用户第一身份信息包括：SUPI和Kseaf。

这里的第一密钥是一个中间状态的密钥，根据该密钥可以推演出最终的密钥。

用户第一身份信息除了SUPI(用户永久标识符，Subscription PermanentIdentifier)和Kseaf(对应SEAF AMF实体的密钥)，还可以包括SUCI(用户隐藏标识符，Subscription Concealed Identifier)。其中，SEAF为安全锚定功能(SEcurity AnchorFunction)，AMF为接入及移动性管理功能(Access and Mobility Management Function)。

步骤104，对所述第一密钥和所述加密算法指示信息进行哈希运算得到第二密钥。

上述步骤201-204的过程为NAS消息密钥的推演过程。该过程中推演出的密钥用于对后续的NAS消息进行解密。

本发明实施例中，生成第二密钥之后，注册会话还未结束，那么在该注册会话中，安全模式过程之后到注册会话还结束之间的NAS消息都可以直接使用第二密钥进行解密，例如，安全模式过程之后的注册请求成功消息以及数据通道建立过程中的NAS消息。

在注册会话结束之后，用户终端会发起业务流程，建立相应的业务会话，本发明实施例中，将业务会话中的NAS消息称为第二NAS消息，对于第二NAS消息的解密如步骤105。

步骤105，使用所述第二密钥对通过NGAP接口传输的业务会话中的第二NAS消息进行解密。

该步骤的实现将通过后续的实施例详细说明。

在上述的过程中，需要根据所述鉴权向量组查询对应的用户第一身份信息，在本发明的实施例中，需要创建鉴权向量组和用户第一身份信息的映射关系，该映射关系的创建基于N12接口协议完成，该映射关系的创建过程如图2所示，包括：

步骤201，在N12接口监听用户终端对应的认证过程中的认证消息。

步骤202，从监听到的所述认证消息中获取所述鉴权向量组和所述用户第一身份信息。

步骤203，建立所述鉴权向量组和所述用户第一身份信息的映射关系。

上述注册会话中的鉴权阶段需要执行认证流程、即Nausf_UE Authentication，该认证基于N12接口支持的协议完成。本发明实施例中，可以对基于N12接口的认证过程进行监听，鉴权向量组和用户的第一身份信息可以从认证过程中的认证消息中获取。鉴权向量组和所述用户第一身份信息的映射关系可以采用key-value的形式存储，其中，鉴权向量组为key，第一身份信息为value。

在本发明实施例中，图1所示的密钥推演过程(101-104)和图2所示的鉴权向量组和用户的第一身份信息的映射关系的创建过程(201-203)为两个独立的过程，通过不同的线程实现。

在具体实现时，设备采用DPDK(数据平面开发套件，Data Plane DevelopmentKit)作为网卡驱动，网卡接收到的数据后，将数据发送给报文分发模块，由报文分发模块按照不同接口的数据特征将数据分为NGAP接口数据和N12接口数据分发到主线程和辅助线程，通过主线程完成密钥的推演，通过辅线程完成鉴权向量组和用户的第一身份信息的映射关系的创建。

利用N12接口收集到的鉴权向量组、用户第一身份信息(SUCI、SUPI、Kseaf)，结合NGAP接口的鉴权过程、安全模式过程中获得的加密算法指示信息，进行密钥推演得到密钥，对于NAS消息的解密成功率能够达到98％以上。

通过上述的图1和图2所示的流程可知，推演密钥所需的信息来自不同的接口、即NGAP接口和N12接口，由于两种接口的消息无法做到完全同步，因此，步骤103中根据所述鉴权向量组查询对应的用户第一身份信息时，可能查到不到，那么为了防止消息阻塞(即针对当前的NAS消息查找不到用户第一身份信息后仍然循环查找)的情况发生，如图3所示，本发明一实施例提供了一种无阻塞的密钥推演方法，包括：

步骤101-105的实现过程和图1相同，此处不再赘述。

其中，步骤103中，根据所述鉴权向量组查询对应的用户第一身份信息，当查找到时生成第一密钥；当查找不到时，执行步骤301，判断所述注册会话是否结束，如果是，则本次密钥推演失败，流程结束；如果否，则对于监听到的下一个第一NAS消息，继续执行步骤102，获取鉴权信息和加密算法指示信息：根据步骤102的记载，如果下一个第一NAS消息也处于鉴权流程和安全模式流程，那么重新获取鉴权信息和加密算法指示信息，如果第一NAS消息不处于鉴权流程和安全模式流程，那么使用该注册会话过程中已经获取到的鉴权流程和安全模式流程。

如此，对于当前的第一NAS消息，如果无法查找到用户第一身份信息，则不再针对该第一NAS消息不断的去查找用户第一身份信息，而是针对下一个第一NAS消息获取鉴权信息和加密算法指示信息，查找用户第一身份信息，用于密钥推演。

如此，当查找不到用于密钥生成的用户第一身份信息时，可以针对下一个NAS消息重新获取鉴权向量组和加密算法指示信息，重新查找第一身份信息，或者，终止密钥推演流程，实现了无阻塞的密钥推演，提高了系统的性能。

为了实现对业务流程中第二NAS消息的解密，在用户终端在通过NGAP接口进行注册的过程中还需要创建两个映射关系，如图4所示：

步骤410，创建SUPI和第二密钥的映射关系。

在一个实施例中，可以采用key-value的形式来保存用户第一身份信息和第二密钥的映射关系，key为用户第一身份信息(较佳地，为SUPI)，value为第二密钥。

需要指出的是，在步骤104生成第二密钥之后，即可创建SUPI和第二密钥的映射关系，这里，SUPI为步骤103中根据鉴权向量组查询到的。

步骤411，创建SUPI和用户第二身份信息的映射关系。

其中，用户第一身份信息采用SUPI，为用户的永久标识，用户第二身份信息采用GUTI(全局唯一的临时标识，Globally Unique Temporary Identifier)，为用户的临时标识。在一个实施例中，可以采用key-value的形式来保存用户第一身份信息和用户第二身份的映射关系，key为GUTI，value为SUPI。其中，GUTI从注册接受(Registration Accept)消息中获取。

这里，GUTI从注册请求成功消息中获取。具体的：在安全模式过程结束之后，即可完成第二密钥的生成。生成第二密钥之后，即可对后续的NAS消息进行解密，首先，安全模式过程结束之后即可获取到注册请求成功消息，其为NAS消息，那么使用第二密钥对注册请求成功消息进行解密后，即可提取其中携带的GUTI。获取到GUTI之后，创建GUTI和SUPI的映射关系。SUPI为步骤103中根据鉴权向量组查询到的。

在注册请求成功消息之后，即为数据通道建立过程，在该过程中存在多个NAS消息，由于注册会话还未结束，那么直接使用第二密钥进行解密即可。

在数据通道建立完成之后，注册会话结束。接下来，用户终端可根据需要开启业务流程，启动相应的业务会话。本发明上述实施例中步骤105，对于业务会话中的第二NAS消息的解密过程如图4所示，包括：

在业务会话中：

步骤420，获取用户第二身份信息，所述用户第二身份信息为GUTI。

通常，通过业务请求消息即可获取到GUTI。

步骤421，基于所述用户第二身份信息查询对应的SUPI。

根据获取到的GUTI查询GUTI和SUPI的映射关系，得到对应的SUPI。

步骤422，根据所述SUPI查询对应的第二密钥，使用所述第二密钥对通过NGAP接口接收的业务会话中的第二NAS消息进行解密。

根据SUPI查询SUPI和第二密钥的映射关系，得到第二密钥，使用第二密钥对业务会话中的第二NAS消息进行解密。

需要指出的是，在注册会话结束时，该用户终端具有一个GUTI，即注册请求成功消息中的GUTI，在注册会话结束之后的第一个业务会话建立时，用户终端仍然会适使用该GUTI。而在业务会话过程中，可能会由于用户终端的位置发生变化导致网络侧为该用户终端分配新的GUTI，那么在该业务会话过程中一旦再次获取到GUTI时，需要判断当前获取到的GUTI是否为最新的GUTI，即将当前获取到的GUTI与该业务会话中已获取到的GUTI进行比较，若不一致，则认为当前获取到的GUTI为最新的GUTI，此时，需要将GUTI和SUPI的映射关系中的GUTI替换为最新的GUTI；否则，仍然使用原有的GUTI进行查询获取第二密码。

在图4所示的流程中，根据SUPI不变GUTI可变的特性，形成两个映射关系：即用户第一身份信息(SUPI)和第二密钥的映射关系、GUTI到SUPI的映射关系，那么，在用户终端的移动过程中，通过对上述两个映射关系的更新，可以确保不会因为用户终端的位置信息变化造成的解密失败。

为了实现上述的解密方法，如图5所示，本发明实施例还提供了一种解密装置，包括：

主线程监听模块11，在用户终端首次通过NGAP接口进行注册时，在所述NGAP接口监听注册会话过程中的第一NAS消息；

主线程处理模块12，用于根据监听到的第一NAS消息，获取鉴权信息和加密算法指示信息；所述鉴权信息包括：鉴权向量组和ABBA参数，所述鉴权向量组包括RAND、AUTH和RES；

主线程查询模块13，用于根据所述鉴权信息查询对应的用户第一身份信息，所述用户第一身份信息包括：SUPI和Kseaf；

主线程计算模块14，用于对查找到的用户第一身份信息和所述ABBA参数进行哈希运算得到第一密钥，所述用户第一身份信息包括：SUPI和Kseaf；对所述第一密钥和所述加密算法指示信息进行哈希运算得到所述NAS消息的第二密钥；

解密模块21，用于使用所述第二密钥对通过NGAP接口传输的业务会话中的第二NAS消息进行解密。

该装置还包括：

辅线程监听模块31，用于在N12接口监听所述用户终端对应的认证过程中的认证消息；

辅线程处理模块32，用于从监听到的所述认证消息中获取所述鉴权向量组和所述用户第一身份信息，并建立所述鉴权向量组和所述用户第一身份信息的映射关系。

该装置还包括：

主线程分析模块15，用于在所述主线程查询模块13根据所述鉴权向量组查询不到对应的用户第一身份信息时，确认所述注册会话是否结束，若所述注册会话未结束，则通知所述主线程处理模块12针对所述主线程监听模块监听到的所述注册会话中的下一个第一NAS消息，获取鉴权信息和加密算法指示信息。

主线程处理模块12，还用于当监听到的第一NAS消息处于鉴权流程时，获取鉴权信息；当监听到的第一NAS消息处于安全模式流程时，获取加密算法指示信息；当监听到的第一NAS消息即不属于所述鉴权过程也不属于安全状态过程时，获取所述注册会话中已获取的鉴权信息和加密算法指示信息。

所述解密模块21，在所述得到第二密钥之后，在所述注册会话结束之前，还用于使用所述第二密钥对所述安全模式过程之后、所述注册会话结束之前的第三NAS消息进行解密，所述第三NAS消息包括：注册请求成功消息和数据通道建立过程中的NAS消息。

所述主线程处理模块12，在得到第二密钥之后，还用于建立所述SUPI和所述第二密钥的映射关系；

还用于建立所述用户第二身份信息和所述SUPI的映射关系，包括：在所述解密模块21使用第二密钥对所述注册请求成功消息进行解密后，所述主线程处理模块12从所述注册请求成功消息中提取所述用户第二身份信息，所述用户第二身份信息为GUTI；将获取的用户第二身份信息与所述SUPI建立映射关系。

所述使用所述第二密钥对通过NGAP接口传输的业务会话中的第二NAS消息进行解密时，所述解密模块21，还用于在业务会话建立后，获取所述用户第二身份信息；基于所述用户第二身份信息查询对应的SUPI；根据所述SUPI查询对应的第二密钥，使用所述第二密钥对通过NGAP接口接收的业务会话中的第二NAS消息进行解密。

在所述业务会话中，所述获取用户第二身份信息时，所述解密模块21还用于：确认当前获取到的用户第二身份信息是否为最新的用户第二身份信息，若是，则将所述用户第二身份信息和所述SUPI的映射关系中用户第二身份信息替换为最新的用户第二身份信息。

示例性地，本公开还提供了一种电子设备，包括：

处理器；

用于存储所述处理器可执行指令的存储器；

所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现上述的NAS消息解密方法。

示例性地，本发明还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述的NAS消息解密方法。

除了上述方法和设备以外，本申请的实施例还可以是计算机程序产品，其包括计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的方法中的步骤。

所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本申请实施例操作的程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如Java、C++等，还包括常规的过程式程序设计语言，诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。

此外，本申请的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的方法中的步骤。

所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

以上结合具体实施例描述了本申请的基本原理，但是，需要指出的是，在本申请中提及的优点、优势、效果等仅是示例而非限制，不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外，上述公开的具体细节仅是为了示例的作用和便于理解的作用，而非限制，上述细节并不限制本申请为必须采用上述具体的细节来实现。

本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“如但不限于”，且可与其互换使用。

还需要指出的是，在本申请的装置、设备和方法中，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。

提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此，本申请不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。

为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

Claims (10)

1.一种NAS消息的解密方法，包括：

在用户终端首次通过NGAP接口进行注册时，在所述NGAP接口监听注册会话过程中的第一NAS消息；

根据监听到的第一NAS消息，获取鉴权信息和加密算法指示信息；所述鉴权信息包括：鉴权向量组和ABBA参数，所述鉴权向量组包括RAND、AUTH和RES；

根据所述鉴权向量组查询对应的用户第一身份信息，对查找到的用户第一身份信息和所述ABBA参数进行哈希运算得到第一密钥，所述用户第一身份信息包括：SUPI和Kseaf；

对所述第一密钥和所述加密算法指示信息进行哈希运算得到第二密钥；

使用所述第二密钥对通过NGAP接口传输的业务会话中的第二NAS消息进行解密。

2.根据权利要求1所述的方法，该方法还包括：创建鉴权向量组和用户第一身份信息的映射关系，包括：

在N12接口监听所述用户终端对应的认证过程中的认证消息；

从监听到的所述认证消息中获取所述鉴权向量组和所述用户第一身份信息；

建立所述鉴权向量组和所述用户第一身份信息的映射关系。

3.根据权利要求1所述的方法，根据所述鉴权向量组查询不到对应的用户第一身份信息时，该方法还包括：

确认所述注册会话是否结束；

若所述注册会话未结束，则针对监听到的所述注册会话中的下一个第一NAS消息，获取鉴权信息和加密算法指示信息。

4.根据权利要求1或3所述的方法，所述获取鉴权信息和加密算法指示信息包括：

当监听到的第一NAS消息处于鉴权流程时，获取鉴权信息；

当监听到的第一NAS消息处于安全模式流程时，获取加密算法指示信息；

当监听到的第一NAS消息即不属于所述鉴权过程也不属于安全状态过程时，获取所述注册会话中已获取的鉴权信息和加密算法指示信息。

5.根据权利要求1所述的方法，所述得到第二密钥之后，在所述注册会话结束之前，该方法还包括：

使用所述第二密钥对所述安全模式过程之后、所述注册会话结束之前的第三NAS消息进行解密，所述第三NAS消息包括：注册请求成功消息和数据通道建立过程中的NAS消息。

6.根据权利要求5所述的方法，所述得到第二密钥之后，该方法还包括：

建立所述SUPI和所述第二密钥的映射关系；

建立所述用户第二身份信息和所述SUPI的映射关系，包括：所述使用第二密钥对所述注册请求成功消息进行解密，从中提取所述用户第二身份信息，所述用户第二身份信息为GUTI；将获取的用户第二身份信息与所述SUPI建立映射关系。

7.根据权利要求6所述的方法，所述使用所述第二密钥对通过NGAP接口传输的业务会话中的第二NAS消息进行解密，包括：

业务会话建立后，获取所述用户第二身份信息；

基于所述用户第二身份信息查询对应的SUPI；

根据所述SUPI查询对应的第二密钥，使用所述第二密钥对通过NGAP接口接收的业务会话中的第二NAS消息进行解密。

8.根据权利要求7所述的方法，在所述业务会话中，所述获取用户第二身份信息时，该方法还包括：

确认当前获取到的用户第二身份信息是否为最新的用户第二身份信息，若是，则将所述用户第二身份信息和所述SUPI的映射关系中用户第二身份信息替换为最新的用户第二身份信息。

9.一种NAS消息的解密装置，包括：

主线程监听模块，在用户终端首次通过NGAP接口进行注册时，在所述NGAP接口监听注册会话过程中的第一NAS消息；

主线程处理模块，用于根据监听到的第一NAS消息，获取鉴权信息和加密算法指示信息；所述鉴权信息包括：鉴权向量组和ABBA参数，所述鉴权向量组包括RAND、AUTH和RES；

主线程查询模块，用于根据所述鉴权信息查询对应的用户第一身份信息，所述用户第一身份信息包括：SUPI和Kseaf；

主线程计算模块，用于对查找到的用户第一身份信息和所述ABBA参数进行哈希运算得到第一密钥，所述用户第一身份信息包括：SUPI和Kseaf；对所述第一密钥和所述加密算法指示信息进行哈希运算得到所述NAS消息的第二密钥；

解密模块，用于使用所述第二密钥对通过NGAP传输的业务会话中的第二NAS消息进行解密。

10.根据权利要求9所述的装置，该装置还包括：

辅线程监听模块，用于在N12接口监听所述用户终端对应的认证过程中的认证消息；

辅线程处理模块，用于从监听到的所述认证消息中获取所述鉴权向量组和所述用户第一身份信息，并建立所述鉴权向量组和所述用户第一身份信息的映射关系。

Images