JP5088790B2 - 暗号化キー転送方法、暗号化キー供給システム及び暗号化メッセージ解読方法 - Google Patents
暗号化キー転送方法、暗号化キー供給システム及び暗号化メッセージ解読方法 Download PDFInfo
- Publication number
- JP5088790B2 JP5088790B2 JP2008063224A JP2008063224A JP5088790B2 JP 5088790 B2 JP5088790 B2 JP 5088790B2 JP 2008063224 A JP2008063224 A JP 2008063224A JP 2008063224 A JP2008063224 A JP 2008063224A JP 5088790 B2 JP5088790 B2 JP 5088790B2
- Authority
- JP
- Japan
- Prior art keywords
- encryption key
- monitor
- application
- identifier
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、一般に、ワイヤレス・システムにおいてメッセージをモニタするシステム(装置)及び方法に関し、特に、コア・ネットワークにて捕捉された暗号化キーをモニタに転送して、UTRANにて捕捉されたRRCパケットを解読する暗号化キー転送方法、暗号化キー供給システム及び暗号化メッセージ解読方法に関する。
ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)は、ヨーロピアン・テレコミュニケーション・スタンダード・インステチュート(ETSI)により先ず標準化され、第3世代パートナーシップ・プロジェクト(3GPP)により現在標準化された第3世代(3G)モバイル・ホーン(携帯電話)技術である。エア(空中)インタフェースとしてワイドバンド符号分割多重アクセス(W−CDMA)を用いて、UMTSが回線交換(CS:circuit switched)及びパケット交換(PS:packet switched)トラフィックの両方を伝送する。UMTSに用いるネットワーク・コンポーネント及びプロトコルの記述は、当業者に周知であり、3GPP、ETSI及び他の情報源から一般にも利用可能である。UMTSネットワーク・アーキテクチャは、3つのドメイン、即ち、コア・ネットワーク(CN)、UMTS地上ラジオ・アクセス・ネットワーク(UTRAN)及びユーザ装置(UE)から構成されている。
コア・ネットワークは、ユーザ・トラフィックの交換(スイッチング)及びルーティングを提供すると共に、ネットワーク・マネージメント機能を提供する。コア・ネットワーク・アーキテクチャは、GPRS(General Packet Radio Service)によるGSM(Global System for Mobile Communications)ネットワークに基づく。UTRANは、エア・インタフェース・アクセスを加入者UEに供給する。UTRAN内の基地局(base station)は、ノードBとして参照され、このノードBの制御装置は、ラジオ・ネットワーク・コントローラ(RNC)と呼ばれる。UMTSユーザ装置は、WCDMAエア・インタフェースを介してノードBと通信をする。UEは、PSドメイン又はCSドメイン若しくはこれら両方のドメインのいずれかに所属する。UEは、PSサービス及びCSサービスを同時に利用することができる。
UMTSは、UEと音声及びデータのコールを設定するためにネットワーク・コンポーネント間でデータ交換を行ういくつかのインタフェース及びプロトコルを定義する。各コールは、種々のインタフェースを通過する多くのメッセージから構成される。コールを完全に分析するためには、コールのメッセージの総てを収集し、相関させなければならない。
従来技術の欠点の1つは、いくつかのデータ・パケットを暗号化し、これらを分析する前に解読しなければならないことである。例えば、ラジオ・リソース・コントロール(RRC)パケットは、解読すべき暗号キー(CK:Ciphering Key)を必要とする。しかし、CKは、RRCパケットを渡す同じインタフェース上で利用できない。
従来技術の第2の欠点は、UMTSネットワークをモニタするために、ネットワーク・モニタ(監視)装置を広く分布させることである。その結果、解読すべきCKを必要とするRRCパケットを捕獲するモニタと、CKを捕捉するモニタ又はプローブとを同じ場所に配置できないことである。
本発明は、ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)ネットワーク用の暗号キーを暗号化アプリケーションに転送する方法であって;第1ネットワーク・インタフェースから暗号化キーを伝送する第1メッセージを捕捉するステップと;第1ネットワーク・インタフェースに関連したネットワーク・ノードを識別するステップと;ネットワーク・ノードに結合したインタフェースから捕捉したメッセージを処理するために、応答可能なモニタを識別するステップと;暗号化キーをモニタに転送するステップとを具えている。
また、本発明は、ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)ネットワーク用の暗号化キーを解読アプリケーションに供給するシステムであって;第1インタフェース・セットに結合された第1モニタと;第2インタフェース・セットに結合された第2モニタと;第1モニタ及び第2モニタに結合されたコミュニケーション・リンクとを具え;第1モニタ上で動作する暗号化キー抽出アプリケーションが、第1インタフェース・セット上を伝送するメッセージから暗号化キーを捕捉し;第2インタフェース・セットから捕捉されたデータ・パケットを解読アプリケーションが解読し;暗号化キーを第1モニタからコミュニケーション・リンクを介して第2モニタに供給することを特徴とする。
さらに、本発明は、ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)ネットワークにおけるデータ・パケットを解読するデータ・パケット解読方法であって;第1ネットワーク・インタフェース上を伝送する第1メッセージから暗号化キーを抽出するステップと;暗号化キーに関連した第1ユーザ装置識別子を求めるステップと;暗号化キーを解読アプリケーションに転送するステップと;暗号化済みデータ・パケットを解読アプリケーションで受けるステップと;暗号化済みデータ・パケットに関連した第2ユーザ装置識別子を求めるステップと;暗号化キーを用いて暗号化済みデータ・パケットを解読するステップとを具え;第2ユーザ装置識別子が第1ユーザ識別子に対応する。
また、本発明は、ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)ネットワーク用の暗号化キーを解読アプリケーションに供給するシステムであって;第1インタフェース・セットに結合された第1モニタと;第2インタフェース・セットに結合された第2モニタと;第1モニタ及び第2モニタに結合されたコミュニケーション・リンクとを具え;第1モニタ上で動作する暗号化キー抽出アプリケーションが、第1インタフェース・セット上を伝送するメッセージから暗号化キーを捕捉し;第2インタフェース・セットから捕捉されたデータ・パケットを解読アプリケーションが解読し;暗号化キーを第1モニタからコミュニケーション・リンクを介して第2モニタに供給することを特徴とする。
さらに、本発明は、ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)ネットワークにおけるデータ・パケットを解読するデータ・パケット解読方法であって;第1ネットワーク・インタフェース上を伝送する第1メッセージから暗号化キーを抽出するステップと;暗号化キーに関連した第1ユーザ装置識別子を求めるステップと;暗号化キーを解読アプリケーションに転送するステップと;暗号化済みデータ・パケットを解読アプリケーションで受けるステップと;暗号化済みデータ・パケットに関連した第2ユーザ装置識別子を求めるステップと;暗号化キーを用いて暗号化済みデータ・パケットを解読するステップとを具え;第2ユーザ装置識別子が第1ユーザ識別子に対応する。
本発明は、上述の及びその他の問題点を広く解決し、回避し、技術的な利点を一般的に達成できる。本発明は、UMTSネットワークから暗号化キーを捕捉し、暗号化済みパケットを解読するアプリケーションに暗号化キーを渡す。
本発明の一実施例によれば、暗号化キーを解読アプリケーションに転送する方法は、第1ネットワーク・インタフェースから暗号化キーを伝送する第1メッセージを捕捉し、第1ネットワーク・インタフェースに関連したネットワーク・ノードを識別し、このネットワーク・ノードに結合したインタフェースから捕捉したメッセージを処理するために応答可能なモニタを識別し、暗号化キーをこのモニタに転送する。別の実施例では、本発明の方法は、更に、第2ネットワーク・インタフェースから暗号化済みメッセージを伝送する第2メッセージを捕捉し、暗号化キーを用いてこの第2メッセージを解読する。本発明の方法は、更に、第1メッセージに関連したユーザ装置を識別し、ユーザ装置の独自性を用いてモニタ上で動作する解読アプリケーションを選択する。第1ネットワーク・インタフェースは、UMTSコア・ネットワークにおけるIuCS又はIuPSインタフェースであってもよく、第2ネットワーク・インタフェースは、UTRANにおけるIub又はIurであってもよい。ネットワーク・ノードは、UTRANにおけるラジオ・ネットワーク・コントローラである。暗号化キーは、解読アプリケーションが必要とするメモリ・ユニットに蓄積してもよい。第2メッセージを捕捉した後に、解読アプリケーションを所定期間だけ遅延させて、暗号化キーを確実に利用できるようにしてもよい。
本発明の他の実施例によれば、暗号化キーを解読アプリケーションに供給するシステムは、第1インタフェース・セットに結合された第1モニタと、第2インタフェース・セットに結合された第2モニタと、第1及び第2モニタに結合されたコミュニケーション・リンクとを具え、第1モニタ上で動作する暗号化キー抽出アプリケーションが第1インタフェース・セット上で伝送されるメッセージから暗号化キーを捕捉する。解読アプリケーションが第2インタフェース・セットから捕捉したデータ・パケットを解読する。第1モニタからコミュニケーション・リンクを介して第2モニタに暗号化キーが供給される。第1モニタは、暗号化キーとユーザ装置識別子とを第2モニタに供給できる。このシステムは、更に、解読アプリケーションが用いる暗号化キーを保持するメモリを第2モニタ内に有する。第1モニタ及び第2モニタは、同じ装置ラック内の別々のブレードで動作できるし、又は、第1モニタ及び第2モニタは、異なる場所にあってもよい。
本発明の更に他の実施例によれば、データ・パケットを解読する方法は、第1ネットワーク・インタフェース上を伝送されるメッセージから暗号化キーを抽出し、暗号化キーに関連した第1ユーザ装置識別子を求め、暗号化キーを解読アプリケーションに転送し、解読アプリケーションにて暗号化済みデータ・パケットを受信し、暗号化済みデータ・パケットに関連した第2ユーザ装置識別子を求める。なお、第2ユーザ装置識別子は、第1ユーザ識別子に対応し、暗号化済みデータ・パケットは暗号化キーを用いて解読される。この方法は、解読アプリケーションに関連したメモリに暗号化キー及び第1ユーザ装置識別子を蓄積し、第2ユーザ装置識別子を用いてメモリから暗号化キーを読み出す。
本発明の実施例では、モニタ・システムは、ネットワークの一部で捕捉された暗号化キーを、ネットワークの異なる部分で捕捉された暗号化済みメッセージにリンクできる。また、本発明によれば、モニタ装置は、暗号化キーを解読アプリケーションに供給できる。この解読アプリケーションは、暗号化キーを捕捉するモニタとして同じ装置又は別の装置上で動作している。
さらに本発明及びその特徴を理解するために、添付図を参照して本発明を詳細に説明する。
本発明は、種々の特定状況において実現できる多くの適用可能な新規な概念を提供する。ここで説明する特定の実施例は、本発明を達成し利用するための特定の方法を単に示すものであり、本発明の範囲を限定するものではない。
図1は、ノードB101及びラジオ・ネットワーク・コントローラ(RNC)102を具えたUMTS100のネットワークの一部を示す。ノードB101は、Iub103を介してRNC102と通信を行う。RNC102同士は、Iurインタフェース104を介して互いに通信を行う。ノードB101は、エア(空中)インタフェースUu106を介してユーザ装置(UE)105と通信を行う。UE105がコールを行う又は受信するときは必ず、シグナリング(signaling)メッセージがIubインタフェース103を介してノードB101及びRNC102の間で交換され、いくつかのコールでは、Iurインタフェース104を介して複数のRNC102の間で交換される。RNC102及びノードB101は、UMTSネットワーク100のUTRAN部分を整える。UTRANモニタ又はプローブ107は、UTRANのIub及びIurインタフェース103及び104に結合している。UTRANモニタ107は、これらインタフェースに非侵入的に結合されて、Iub及びIurインタフェースを通過して伝送されるほぼ総てのプロトコル・メッセージを捕捉する。UTRANモニタ装置107は、各音声又はデータ・コールに属するメッセージを識別し、これらメッセージをコール毎の1コール記録に相関させる。
図1は、UMTS100のコア・ネットワーク部分のコンポーネントも示す。モバイル・スイッチング・センタ(MSC)108、ビジター・ローケーション・レジスタ(VLR)109,サービングGPRSサポート・ノード(SGSN)110は、コア・ネットワークの一部である。回線交換トラフィックは、コア・ネットワークからIuCSインタフェース111を介してMSC108によりUTRANに送られる。パッケージ交換トラフィックは、コア・ネットワークからIuPSインタフェース112を介してUTRANに送られる。IuCS/IuPSモニタ又はプローブ113は、非侵入的にIuCSインタフェース111及びIuPsインタフェース112に結合され、IuCSインタフェース及びIuPSインタフェースを介して伝送されるほぼ総てのプロトコル・メッセージを捕捉する。IuCS/IuPSモニタ113は、各音声又はデータ・コールに属するメッセージを識別し、これらメッセージをコール当たり1コール記録に相関させる。IuCS/IuPSモニタ113及びUTRANモニタ107は、相互モニタ接続114を介して互いに通信を行う。モニタ107及び113は、接続114を介して、コール記録、プロトコル・メッセージ及びその他の情報を交換する。
暗号化済みラジオ・リソース・コントロール(RRC)メッセージは、UTRANのIubインタフェース103及びIurインタフェース104を通過する。UTRAN107は、暗号化済みRRCメッセージを解読して、UTRANのシグナリング・ユニット及びコール記録を正確に処理する必要がある。暗号化キー(CK)は、RRCメッセージを解読するのに最も重要な要素である。IuCS/IuPSモニタ113は、IuCSインタフェース111及び/又はIuPSインタフェース112からCKを捕捉できる。CKは、モニタ113上で動作するIuCS/IUPSモニタ・アプリケーションからモニタ107上で動作するUTRAN解読アプリケーションに転送しなければならないので、CKを解読に用いることができる。しかし、IuCS/IuPSモニタ・アプリケーション及びUTRAN解読アプリケーションは、異なる場所、又は別々のプロセッサ又は別々のブレードの同じ場所にて動作することもできる。本発明は、IuCS/IuPSモニタ・アプリケーションから、IuCS/IuPSモニタ・アプリケーションとして同じモニタ又は異なるモニタ上で動作する解読アプリケーションにCKを転送する。本発明は、UTRAN解読アプリケーションを手軽で強固にし、UMTSモニタ装置用に連続する解読速度を高める。
コア・ネットワーク内のIuCSインタフェース111及びIuPSインタフェース112にてCKを捕捉できる。解読すべき暗号化済みRRCパッケージは、UTRAN内のIubインタフェース103及びIurインタフェース104から捕捉される。2つの別々のアプリケーションがこれらメッセージを捕捉する。RRCパケットを解読するために、CKは、コア・ネットワーク・モニタ・アプリケーションからUTRANモニタ・アプリケーションに転送されなければならない。図2は、Iub及びIuPSインタフェースを通過するメッセージの流れを示す。IuPSインタフェース112上のSecurityModeControlメッセージ201及び202は、CKを伝送する。図3は、Iubインタフェース及びIuCSインタフェースを通過するメッセージの流れを示す。IuCSインタフェース111上のSecurityModeControlメッセージ301及び302もCKを伝送する。CKは、UTRANモニタ107で直接的に利用可能ではない。このモニタ107は、Iub及びIurインタフェースを単にモニタする。
モニタ107及び113は、同じ単一の場所又は複数の異なる場所のように多くの形式にて実現できることが当業者には理解できよう。さらに、複数のUTRANモニタ及び/又は複数のIuCS/IuPSモニタを用いて、UMTSシステム内の種々の場所及びインタフェースをモニタできることが当業者には理解できよう。ここで述べたIuCS/IuPSモニタは、IuCS又はIuPSインタフェース又はこれら両方のインタフェースのみに接続された2個以上の別個のモニタとして実現できる。一実施例において、モニタ107及び113を同じRNCに分散させて、これらモニタが、RNCに接続されたIub、Iur、IuCS及びIuPSに結合させることができる。この場合、UTRANモニタ・アプリケーション、UTRAN解読アプリケーション及びIuCS/IuPSモニタ・アプリケーションは、同じ装置ラック内の異なるブレード上のようにお案じ装置で動作できる。しかし、この場合でさえ、モニタ・アプリケーションは別個に動作し、CKをIuCS/IpPSモニタ・アプリケーションから装置ラック上のUTRAN解読アプリケーションに転送する必要がある。CSは、接続114を介して転送してもよく、これは、装置ラック内の複数のブレード間の内部モニタ・バス又はバックプレーンでもよい。他の実施例において、モニタ107は、RNCに分散され、モニタ113は、MSC108又はSGSN110に分散されて、IuCS/IuPSトラフィックをモニタする。この場合、CKは、IuCS/IuPSモニタ113からUTRANモニタ107上のUTRAN解読アプリケーションに接続114を介して転送される必要がある。これは、例えば、内部モニタ・パケット交換ネットワーク接続でもよい。本発明は、同じ場所及び離れた場所でのアプリケーションの両方をカバーしようとするものである。
IuCS/IuPSモニタがCKを捕捉すると、IuCS/IuPSモニタ・アプリケーションがCKを適切なUTRAN復号化アプリケーションに転送しようとする。このUTRAN復号化アプリケーションは、捕獲したCKに関連したコールを扱う。IuCS/IuPSモニタ・アプリケーションは、先ず、CKを、同じ装置上で動作し同じ場所の復号化アプリケーションに転送しようとする。CKが、同じ場所の復号化アプリケーション」により処理されているコールにつながらないと、IuCS/IuPSモニタ・アプリケーションは、CKに関連したコールを処理する個別のUTRANモニタを識別しようとする。
コア・ネットワーク内のIuCS及びIuPSインタフェースとUTRAN内のIub及びIurインタフェースが同じ装置又はプローブでモニタされると、内部処理メッセージを用いて、IuCS/IuPSモニタ・アプリケーションからプローブ内のUTRAN解読アプリケーションにCKが転送される。これら内部処理メッセージにより、同じモニタ又はプローブ上で動作する複数のアプリケーションの間又は複数の処理の間でデータが交換される。図4は、本発明の一実施例を用いてCKをどの様に転送するかを示す。本発明は、3つの問題点を解決しなければならない。すなわち、第1に、どの解読アプリケーションがCKを受けなければならないかを決める。第2に、CKをUTRANコールにマッピングする。第3に、解読が開始したときに、CKをタイムリーに送り、UTRAN解読アルゴリズムに利用できることを確実にする。
本発明の実施例において、プローブは、分散したモニタ・システムであり、複数のUTRAN解読アプリケーションが動作する。CKは、リンク401によりIuCS/IuPSインタフェースから捕捉されたSecurityModeCommandメッセージ内で伝送され、IuCS/IuPSモニタ・アプリケーション402に転送される。捕捉されたメッセージは、IuCS/IuPS_CK抽出アプリケーション403にて処理されて、CKが抽出される。これは、特定のコールに結合する必要がある。CKが捕捉されると、IuCS/IuPSモニタ・アプリケーション404が、コア・ネットワーク・インタフェースを識別する情報を保持する。ここから、IuCS/IuPSコール・トラッキング・アプリケーション404にてCKが属するIuCS/IuPSコールとの間でCKが捕捉される。IuCS/IuPSモニタ・アプリケーション402は、必要に応じて、CKが属するIuCS/IuPSコール用に、国際移動ステーション識別番号(IMSI:International Mobile Station Identity)及びテンポラリ移動加入者識別番号(TMSI:Temporary Mobile Subscriber Identity)を抽出する。IMSI及びTMSIデータがIuCS/IuPSコール・トラッキング・アプリケーション404に保持される。
IuCS/IuPSモニタ・アプリケーション402は、インタフェースのRNC_Idを検索するのに中央データベースを必要とする。これは、インタフェースがサービスするRNCに対応する。この中央データベースは、IuCS/IuPSモニタ113、UTRANモニタ107、又は任意の他の場所に新しい場所を定めてもよい。UTRANインタフェースから捕捉したメッセージを同時に処理するように動作する多数の解読アプリケーションが存在してもよい。解読アプリケーションは、UTRAN内の1個以上のRNCにサービスをし、モニタ・システムにより登録できる。IuCS/IuPSモニタ・アプリケーション402は、アプリケーション405の如き総ての登録済み解読アプリケーションに質問をして、どのUTRAN解読アプリケーションがRNCをモニタしているかを識別する。適切なUTRAN解読アプリケーションが識別されると、IuCS/IuPSモニタ・アプリケーション402は、内部処理メッセージにより、関連したIMSI及びTMSIデータと共にCKを宛先に送信する。UTRAN解読アプリケーション405は、CK処理アプリケーション406にてCKを処理し、CK及びIMSI/TMSIをCKキャッシュ407に蓄積する。
解読エンジン408は、UTRANモニタ・アプリケーション409から暗号化済みRRCパケットを受信する。解読エンジン408は、先ず、暗号化済みRRCメッセージ用にUTRANコール・トラッキング・アプリケーション410からUTRANコール記録を受信して、関連したIMSI/TMSIデータを得る。そして、IMSI/TMSIを用いて、UTRAN解読アプリケーションは、IMSI/TMSI及び結果的に暗号化済みRRCパケットに関連したCKを求めるためにCKキャッシュ407を検索する。CKのIMSI/TMSIがUTRANコールのIMSI/TMSIにマッチすれば、CKが取り出される。次に、このCKを用いて、RRCパケットを解読する。
IuCS/IuPSモニタ・アプリケーション402からUTRANモニタ・アプリケーション409に送り蓄積することにより生じるタイミング問題を最小にするために、解読エンジン408は、総てのUTRANパケットの処理を例えば4秒間遅延させる。その結果、UTRAN解読アプリケーション405は、任意の暗号化済みRRCパケットの解読を開始する前に、CKを得なければならない。
異なる場所のプローブによりコア・ネットワーク及びUTRANをモニタする場合において、コア・ネットワーク・モニタは、CKをUTRANモニタに転送する必要がある。これは、例えば以下のように、UTRANプローブId、RNC_Id及びインタフェースIdの間にマッピングする暗号化キーを用いて実現できる。
インタフェースIdは、コア・ネットワーク内の特定のIuCS又はIuPSインタフェースに対応する。RNC_Idは、IuCS又はIuPSインタフェースに関連したRNCに対応する。UTRANプローブIdは、RNC用にUTRANモニタ・アプリケーションを動作させるUTRANプローブに対応する。暗号化キー・マップを用いて、IuCS/IuPSモニタ・アプリケーションは、CKを伝送するインタフェース用のインタフェースIdを用いるUTRANプローブId及びRNC_Idを得ることができる。UTRANプローブIdは、CKを受信しなければならない遠隔UTRANモニタを識別する。RNC_Idを用いて、解読する必要があるRRCメッセージを処理するUTRAN解読アプリケーションを識別する。
モニタ・システムは、暗号グループを定義して、複数のプローブ間でCKを転送する必要がある場合に用いる内部プローブ接続を自動的に確立できる。一実施例において、IuCS/IuPSモニタ・アプリケーションがCKを受信するとき、同じモニタ内の内部処理メッセージによりCKを転送すべきかを先ず決める。CKを異なるモニタに送る必要があると、暗号グループが内部プローブ・ロジックを実行して、CKを宛先モニタに転送する。
図5は、CKを処理する方法の一実施例を示す流れ図500である。ステップ501において、IuCS/IuPSモニタは、暗号化キーを含むCK又は他のメッセージと共にSecurityModeCommandメッセージを受信する。次に、ステップ502において、IuCS/IuPSモニタは、関連したIuCS/IuPSコール・レコードを検索する。ステップ503において、CKに関連したコールにIMSI及び/又はTMSIをリターンする(戻す)。この点において、IuCS/IuPSモニタは、関連したUTRANモニタ・アプリケーションが同じモニタ又は遠隔モニタに配置されているか否かも判断できる。ステップ504において、転送される適切なイントラ又はインターのプローブ・メッセージを用いて、CK及びIMSI/TMSIをローカルの又は遠隔のUTRANモニタに転送する。ステップ505において、CKをIMSI/TMSIとCKキャッシュに蓄積する。
ステップ506において、UTRANモニタ内の解読エンジンが、暗号化済みRRCパケットを受信する。ステップ507において、解読エンジンは、コール・トラッキング記録を検索して、RRCパケットに関連したコール記録を識別する。ステップ508において、RRCパケットに関連したIMSI/TMSIが解読エンジンにリターンされ、ステップ509において、IMSI/TMSIを用いてCKキャッシュを検索する。ステップ510において、IMSI/TMSIにマッチするCKを解読エンジンにリターンし、ステップ511において、CKを用いてRRCパケットを解読する。解読の後、RRCパケットを更なる処理のためにUTRANモニタ・アプリケーションにリターンする。
CKを受信するまで、RRCPALkを解読できないことが当業者には理解できよう。これは、RRC解読アプリケーションを遅延させて、解読エンジンにCKが到達するのを最適化することにより達成できる。代わりに、適切なCKがそのメッセージで利用可能になるまで、解読エンジンがRRCパケットを保持し、解読処理を遅延させてもよい。よって、上述の事象が異なる順序又は同時に起きるように、流れ図500のステップの順序を変更してもよい。
本発明及びその利点を詳細に上述したが、本発明の要旨を逸脱することなく、種々の変更、代用、交換などが可能であることが理解できよう。本発明の範囲は、本明細書で説明した処理、マシーン、製造、組成物、手段、方法及びステップに限定することを意図してはいない。当業者が容易に理解できる如く、既存及び今後開発される処理、マシーン、製造、組成物、手段、方法及びステップによっても、本発明に関して上述した実施例とほぼ同じ機能又は結果を達成できる。よって、本発明は、これらも含むものである。
100 ユニバーサル・モバイル・テレコミュニケーション・システム(UMTS)
101 ノードB
102 ラジオ・ネットワーク・コントローラ(RNC)
103 Iub
104 Iurインタフェース
105 ユーザ装置(UE)
106 エア・インタフェースUu
107 UTRANモニタ又はプローブ
108 モバイル・スイッチング・センタ(MSC)
109 ビジター・ローケーション・レジスタ(VLR)
110 サービングGPRSサポート・ノード(SGSN)
111 IuCSインタフェース
112 IuPSインタフェース
113 IuCS/IuPSモニタ又はプローブ
401 リンク
402 IuCS/IuPSモニタ・アプリケーション
403 IuCS/IuPS_CK抽出アプリケーション
404 IuCS/IuPSモニタ・アプリケーション
405 アプリケーション
406 CK処理アプリケーション
407 CKキャッシュ407
408 解読エンジン
409 UTRANモニタ・アプリケーション
410 UTRANコール・トラッキング・アプリケーション
101 ノードB
102 ラジオ・ネットワーク・コントローラ(RNC)
103 Iub
104 Iurインタフェース
105 ユーザ装置(UE)
106 エア・インタフェースUu
107 UTRANモニタ又はプローブ
108 モバイル・スイッチング・センタ(MSC)
109 ビジター・ローケーション・レジスタ(VLR)
110 サービングGPRSサポート・ノード(SGSN)
111 IuCSインタフェース
112 IuPSインタフェース
113 IuCS/IuPSモニタ又はプローブ
401 リンク
402 IuCS/IuPSモニタ・アプリケーション
403 IuCS/IuPS_CK抽出アプリケーション
404 IuCS/IuPSモニタ・アプリケーション
405 アプリケーション
406 CK処理アプリケーション
407 CKキャッシュ407
408 解読エンジン
409 UTRANモニタ・アプリケーション
410 UTRANコール・トラッキング・アプリケーション
Claims (3)
- テレコミュニケーション・ネットワークのコア部分に確立される第1ネットワーク・インタフェースをモニタするよう設定されたプローブを用いて第1メッセージを捕捉するステップと、
上記第1メッセージから暗号化キーと第1識別子を抽出するステップと、
上記第1ネットワーク・インタフェースに関連したラジオ・ネットワーク・コントローラを識別するステップと、
上記テレコミュニケーション・ネットワークの地上部分に確立される第2ネットワーク・インタフェースから捕捉される暗号化メッセージを処理するための複数のモニタリング・アプリケーションの1つを暗号化キー・マップを用いて選択し、選択された1つの上記モニタリング・アプリケーションが 識別された上記ラジオ・ネットワーク・コントローラにサービスするように設定するステップと、
上記暗号化キー及び上記第1識別子を選択された上記モニタリング・アプリケーションに転送し、選択された上記モニタリング・アプリケーションが上記暗号化キー及び上記第1識別子をメモリに蓄積し、上記第2ネットワーク・インタフェースを介して暗号化メッセージを受け、上記暗号化キーに関するコール・トラッキング記録の第2識別子とマッチングする上記第1識別子に応じて上記メモリから上記暗号化キーを取り出し、該暗号化キーを用いて上記暗号化メッセージを解読するよう設定されるステップと
を具えた暗号化キー転送方法。 - テレコミュニケーション・ネットワークのコア部分の第1インタフェースに結合された第1モニタを具え、
上記第1モニタが、
上記第1インタフェース上で伝送される第1メッセージから識別子を捕捉するよう動作するコール・トラッキング・アプリケーションと、上記第1メッセージから暗号化キーを捕捉するよう動作する暗号化キー抽出アプリケーションとを実行し、
上記テレコミュニケーション・ネットワークの地上部分の第2インタフェースに結合された第2モニタで実行される解読アプリケーションを暗号化キー・マップを用いて識別し、
捕捉した上記識別子及び上記暗号化キーを識別された上記解読アプリケーションに転送するよう設定されることを特徴とする暗号化キー供給システム。 - テレコミュニケーション・ネットワークのコア部分に確立される第1ネットワーク・インタフェースをモニタするよう設定されたプローブから暗号化キー・マップを用いて伝送される暗号化キー及び識別子を受けるステップと、
受けた上記暗号化キー及び上記識別子をメモリに蓄積するステップと、
上記テレコミュニケーション・ネットワークの地上部分に確立される第2ネットワーク・インタフェースを介して暗号化メッセージを取得するステップと、
上記暗号化メッセージに対応する識別情報を取得するステップと、
上記識別情報にマッチングする識別子を探すために上記メモリを検索するステップと、
上記識別子の検索に応じて、上記メモリから上記識別子に対応する上記暗号化キーを取り出すステップと、
取り出した上記暗号化キーを用いて上記暗号化メッセージを解読するステップと
を具える暗号化メッセージ解読方法。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US90928207P | 2007-03-30 | 2007-03-30 | |
| US60/909,282 | 2007-03-30 | ||
| US12/043,101 US8254573B2 (en) | 2007-03-30 | 2008-03-05 | System and method for ciphering key forwarding and RRC packet deciphering in a UMTS monitoring system |
| US12/043,101 | 2008-03-05 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008259184A JP2008259184A (ja) | 2008-10-23 |
| JP5088790B2 true JP5088790B2 (ja) | 2012-12-05 |
Family
ID=39615753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008063224A Expired - Fee Related JP5088790B2 (ja) | 2007-03-30 | 2008-03-12 | 暗号化キー転送方法、暗号化キー供給システム及び暗号化メッセージ解読方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8254573B2 (ja) |
| EP (1) | EP1976225A3 (ja) |
| JP (1) | JP5088790B2 (ja) |
| CN (1) | CN101437225B (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8254573B2 (en) | 2007-03-30 | 2012-08-28 | Tektronix, Inc. | System and method for ciphering key forwarding and RRC packet deciphering in a UMTS monitoring system |
| CN101420714B (zh) * | 2007-10-26 | 2012-05-30 | 摩托罗拉移动公司 | 用于对从通信网络中的元件收集关键性能指示器进行调度的方法 |
| GB2465810B8 (en) * | 2008-12-01 | 2012-05-23 | Aircom Internat Ltd | Telecommunication system and method |
| US20100272263A1 (en) * | 2009-04-27 | 2010-10-28 | Motorola, Inc. | Decrypting a nas message traced to an e-utran |
| CN101742500B (zh) * | 2010-01-21 | 2016-03-30 | 中兴通讯股份有限公司 | 一种派生空口密钥的方法及系统 |
| US20120159151A1 (en) * | 2010-12-21 | 2012-06-21 | Tektronix, Inc. | Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring |
| GB201115007D0 (en) * | 2011-08-31 | 2011-10-12 | Bae Systems Plc | Detection of predetermined activities by users of mobile telephony networks |
| CN102300210B (zh) * | 2011-09-01 | 2017-08-04 | 重庆中天重邮通信技术有限公司 | Lte非接入层密文解密方法及其信令监测装置 |
| CN109495258B (zh) * | 2018-12-19 | 2022-05-13 | 天翼数字生活科技有限公司 | 监控数据解密的方法、装置、计算机设备及存储介质 |
| JP7081563B2 (ja) * | 2019-04-23 | 2022-06-07 | カシオ計算機株式会社 | 無線通信装置、無線通信システム、無線通信方法およびプログラム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2809579B1 (fr) * | 2000-05-23 | 2003-07-04 | Nortel Matra Cellular | Procede de controle d'un canal entre un terminal radio et une infrastructure de radiocommunication cellulaire, et reseau d'acces mettant en oeuvre un tel procede |
| FR2809555B1 (fr) * | 2000-05-26 | 2002-07-12 | Gemplus Card Int | Securisation d'echanges de donnees entre des controleurs |
| US7024688B1 (en) * | 2000-08-01 | 2006-04-04 | Nokia Corporation | Techniques for performing UMTS (universal mobile telecommunications system) authentication using SIP (session initiation protocol) messages |
| US20030021418A1 (en) * | 2001-03-19 | 2003-01-30 | Kunio Arakawa | Cryptogram communication system |
| JP4567371B2 (ja) | 2004-05-12 | 2010-10-20 | パナソニック株式会社 | 検査装置、解析/表示装置、検査システム |
| JP2005341348A (ja) * | 2004-05-28 | 2005-12-08 | Fujitsu Ltd | 無線通信システム及び秘匿制御方法 |
| FI117587B (fi) * | 2004-06-18 | 2006-11-30 | Nethawk Oyj | Menetelmä, laite ja tietokoneohjelmatuote tiedonsiirtoyhteyksien monitorointiin |
| US7535848B2 (en) | 2005-05-17 | 2009-05-19 | Tektronix, Inc. | System and method for associating IP services to mobile subscribers |
| JP4624325B2 (ja) | 2005-09-01 | 2011-02-02 | テクトロニクス・インコーポレイテッド | パケット・データ・ネットワークの加入者記録作成方法及び装置 |
| US8254573B2 (en) | 2007-03-30 | 2012-08-28 | Tektronix, Inc. | System and method for ciphering key forwarding and RRC packet deciphering in a UMTS monitoring system |
-
2008
- 2008-03-05 US US12/043,101 patent/US8254573B2/en active Active
- 2008-03-12 JP JP2008063224A patent/JP5088790B2/ja not_active Expired - Fee Related
- 2008-03-26 EP EP08153262A patent/EP1976225A3/en not_active Withdrawn
- 2008-03-28 CN CN200810125846.2A patent/CN101437225B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP1976225A2 (en) | 2008-10-01 |
| JP2008259184A (ja) | 2008-10-23 |
| US20080240438A1 (en) | 2008-10-02 |
| US8254573B2 (en) | 2012-08-28 |
| CN101437225A (zh) | 2009-05-20 |
| CN101437225B (zh) | 2014-08-06 |
| EP1976225A3 (en) | 2009-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5088790B2 (ja) | 暗号化キー転送方法、暗号化キー供給システム及び暗号化メッセージ解読方法 | |
| JP4628990B2 (ja) | 加入者記録生成方法及び装置 | |
| US11432139B2 (en) | System and method for combined network-side and off-air monitoring of wireless networks | |
| CN102769848B (zh) | 使用实时lte监视的演进分组系统非接入层解密 | |
| EP1725007B1 (en) | System and method for associating IP services to mobile subscribers | |
| US8675863B2 (en) | Passive system for recovering cryptography keys | |
| JP2019511149A5 (ja) | ||
| EP2811771A1 (en) | Telecommunications networks | |
| CN101536397B (zh) | 电信系统以及这种系统中控制消息的加密 | |
| EP3420748B1 (en) | Methods, systems, and computer readable media for distributing monitored network traffic | |
| JP5148332B2 (ja) | メッセージ・マージ方法及びシステム | |
| JP2015043522A (ja) | ゲートウェイ装置、パケット振り分け制御方法および無線通信システム | |
| JP4624325B2 (ja) | パケット・データ・ネットワークの加入者記録作成方法及び装置 | |
| US10271270B2 (en) | Reducing fraudulent activity associated with mobile networks | |
| US9942767B2 (en) | Reducing fraudulent activity associated with mobile networks | |
| CN109565706B (zh) | 一种数据加密的方法及装置 | |
| CN108391252B (zh) | 一种数据包处理方法和装置 | |
| US11425173B2 (en) | Methods and nodes supporting lawful intercept | |
| US20230412576A1 (en) | System and method for intermediating cellular voice communication | |
| WO2011144090A2 (zh) | 一种拦截复制卡短信的方法及设备 | |
| US20060172743A1 (en) | Detecting the location of mobile radio subscribers who are to be monitored | |
| US20040187026A1 (en) | Enhanced CSU/DSU (channel service unit/data service unit) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20100126 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110907 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120124 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120423 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120426 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120524 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120529 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120625 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120628 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120724 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120814 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120905 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150921 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |