JP6496405B2 - Sipシグナリング復号化パラメータの取得方法及び装置 - Google Patents

Sipシグナリング復号化パラメータの取得方法及び装置 Download PDF

Info

Publication number
JP6496405B2
JP6496405B2 JP2017515725A JP2017515725A JP6496405B2 JP 6496405 B2 JP6496405 B2 JP 6496405B2 JP 2017515725 A JP2017515725 A JP 2017515725A JP 2017515725 A JP2017515725 A JP 2017515725A JP 6496405 B2 JP6496405 B2 JP 6496405B2
Authority
JP
Japan
Prior art keywords
sip
signaling
interface
request
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017515725A
Other languages
English (en)
Other versions
JP2017537488A (ja
Inventor
ジセン ガオ
ジセン ガオ
ロンユン チ
ロンユン チ
レイ チェン
レイ チェン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2017537488A publication Critical patent/JP2017537488A/ja
Application granted granted Critical
Publication of JP6496405B2 publication Critical patent/JP6496405B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は通信技術分野に関し、特にSIPシグナリング復号化パラメータの取得方法及び装置に関する。
モバイル通信技術の発展と伴い、各国キャリアがLTE(長期進化:Long Term Evolution)ネットワーク/4Gネットワークの配置と実験を行い、4Gネットワークが人々の生活に徐々に応用されることになる。LTEネットワーク進化のマルチメディアサービスの実現形態として、1つのIMS(IPマルチメディアサブシステム:IP Multimedia Subsystem)を作成することであり、即ち、4GのUE(ユーザ端末:user equipment)がEPS(進化パケットシステム:Evolved Packet System)を介してIMSにアクセスし、音声、ショートメッセージなどのメディアサービスを実現する。アクセスのセキュリティを実現するために、IMSシステムは、UEとP−CSCF(プロキシーコールセッション制御機能:Proxy Call Session Control Function)の間のGmインターフェースでSIPシグナリングに暗号化を選択的に行い、IPsec(インターネットプロトコルセキュリティ:Internet Protocol Security)を提供するESPメカニズムによってIMSシステムの認証検証が実現され、IMSシステムのアクセスセキュリティを更に実現する。
IMSの認証検証AKA(認証と秘密鍵合意:Authentication And Key Agreement)メカニズムは、UEの登録プロセスにおいて、UEとP−CSCFの間にセキュリティメカニズム合意を行い、IPsec ESPの関連パラメータを交互し、SA(双方向セキュリティアソシエーション:Security Association)を確立し、その後、SAを通したSIPシグナリングが全て暗号化させたものであり、即ち、最終に、UEとP−CSCFの間にSAチャネル(IPsec暗号化チャネル)を利用してSIPシグナリングを伝送し、前記SIP(セッション開始プロトコル:Session Initiation Protocol)シグナリングは暗号化SIPシグナリングである。
SIPシグナリングが暗号化されることは、IMSシステムのアクセスセキュリティを確保するが、SIPシグナリングが暗号化されることで、LTEネットワークシグナリング監視システムがSIPシグナリングを復号化することができなくなり、更に、SIP−VOIP(SIPプロトコルに基づくIPインターネット電話)のサービスを監視することが実現できない。
現在、上記EPSシグナリング監視システムが暗号化されたSIP−VOIPのサービスに対して監視できないという問題を解決する方法は、IMSシステムにおいてシグナリング収集システムを直接配置し、その中のSIPシグナリングが暗号化されない。しかし、一般的に、IMSシステムが独立のシステムであり、EPSシステムに対して独立し、インターネットキャリアはIMSシステムをオープンしない。IMSシステムにおいてシグナリング収集システムを配置することは、他の監視システムを単独に設置することに相当し、キャリアの運営コストを向上するだけではなく、別に設置された監視システムがEPSシステムシグナリング監視システムに属されないので、EPSの無線、コアネットワークなどのほかのシグナリングと関連し、全体指標を取得することができない。EPSのシグナリング監視システムにおいて、SIP−VOIPのサービスの監視を実現することができなく、キャリアの運営需要を満足できない。
従って、従来技術において、SIPシグナリングに復号化を行う形態はキャリアの運営コストを向上し、キャリアの運営需要に対して満足できなく、キャリアのネットワークの運営効果を低減する。
本発明の実施形態はSIPシグナリング復号化パラメータの取得方法及び装置を提供し、従来技術において、SIPシグナリングを復号する方法はキャリアの運営コストを向上し、キャリアの運営需要に対して満足できなく、キャリアのネットワークの運営効果を低減するという問題を解決するためである。
本発明の実施形態はSIPシグナリング復号化パラメータの取得方法を提供し、前記方法は、
Gmインターフェースの認証情報とCxインターフェースの認証情報を取得することと、
取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいて双方向セキュリティアソシエーションSA復号化テーブルを生成することと、を含み、
前記SA復号化テーブルはSIPシグナリング復号化パラメータを含む。
好ましくは、前記Gmインターフェースの認証情報を取得することは、
ユーザ端末によって送信されたSIP登録要求及び前記登録要求に基づく応答シグナリングを取得することと、
前記登録要求と前記登録要求に基づく応答シグナリングにより、SIPデコードを行い、前記登録プロセスにおいてのGmインターフェースの認証情報を取得することと、を含み、
前記登録要求、前記登録要求の応答シグナリングはプレーンテキストSIPシグナリングであり、前記登録要求にはアクセスSIP暗号化パラメータが含まれる。
好ましくは、前記Cxインターフェースの認証情報を取得することは、
ネットワーク要素によって送信されたCxインターフェースの認証要求及び前記認証要求に基づく応答シグナリングを取得することと、
前記認証要求及び前記認証要求に基づく応答シグナリングにより、プロトコルデコードを行い、Cxインターフェースの認証情報を取得することと、を含む。
好ましくは、前記取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成した後、前記方法は、
SA暗号化チャネルのSIPシグナリングが取得された場合、前記SIPシグナリングのIP情報とポート情報を確定することと、
取得されたIP情報とポート情報に基づいて前記SA復号化テーブルを検索し、SA復号化アルゴリズムと秘密鍵を取得することと、
取得された復号化アルゴリズムと秘密鍵によって前記SIPシグナリングを復号化し、前記暗号化されたSIPシグナリングに対応するプレーンテキストSIPシグナリングを取得することと、
復号化されたプレーンテキストSIPシグナリングに対してデコードし、前記SIPシグナリングに対応するセッションデータを取得することと、を更に含む。
好ましくは、前記取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成した後、前記方法は、
ユーザ端末によってSA暗号化チャネルを介して送信されたSIP登録情報更新要求及び前記更新要求に基づく応答シグナリングを取得し、前記更新要求、更新要求の応答シグナリングが前記アクセスSIP暗号化パラメータを更新するように指示することと、
前記SA復号化テーブルによって前記更新要求と更新要求の応答シグナリングに対して復号化し、復号化された前記更新要求と更新要求の応答シグナリングを取得することと、
復号化された前記更新要求と更新要求の応答シグナリングにより、更新登録プロセスにおいてのGmインターフェース、Cxインターフェースの認証情報を取得し、更新のSA復号化テーブルを生成することと、を更に含む。
本発明の実施形態は、SIPシグナリング復号化パラメータの取得装置を提供し、前記装置は、
Gmインターフェースの認証情報とCxインターフェースの認証情報を取得するように構成される取得モジュールと、
取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいて双方向セキュリティアソシエーションSA復号化テーブルを生成するように構成される生成モジュールと、を備え、
前記SA復号化テーブルはSIPシグナリング復号化パラメータを含む。
好ましくは、前記取得モジュールは、取得ユニットとデコードユニットを備え、
前記取得ユニットは、ユーザ端末によって送信されたSIP登録要求及び前記登録要求に基づく応答シグナリングを取得するように構成され、
前記復号化ユニットは、前記登録要求と前記登録要求に基づく応答シグナリングにより、SIPデコードを行い、前記登録プロセスにおいてのGmインターフェースの認証情報を取得するように構成され、
前記登録要求、前記登録要求の応答シグナリングはプレーンテキストSIPシグナリングであり、前記登録要求にはアクセスSIP暗号化パラメータが含まれる。
好ましくは、前記取得ユニットは、ネットワーク要素によって送信されたCxインターフェースの認証要求及び前記認証要求に基づく応答シグナリングを取得するように構成され、
前記デコードユニットは、前記認証要求及び前記認証要求に基づく応答シグナリングにより、プロトコルデコードを行い、Cxインターフェースの認証情報を取得するように構成される。
好ましくは、前記SIPシグナリング復号化パラメータの取得装置は復号化モジュールを更に備え、
前記取得ユニットは、暗号化チャネルのSIPシグナリングが取得された場合、前記SIPシグナリングのIP情報とポート情報を確定するように構成され、
前記復号化モジュールは、前記取得されたIP情報とポート情報に基づいて前記SA復号化テーブルを検索し、SA復号化アルゴリズムと秘密鍵を取得し、取得された復号化アルゴリズムと秘密鍵によって前記SIPシグナリングを復号化し、前記暗号化されたSIPシグナリングに対応するプレーンテキストSIPシグナリングを取得するように構成され、
前記デコードユニットは、復号化されたプレーンテキストSIPシグナリングに対してデコードし、前記SIPシグナリングに対応するセッションデータを取得するように構成される
好ましくは、前記取得ユニットは、ユーザ端末によってSA暗号化チャネルを介して送信されたSIP登録情報更新要求及び前記更新要求に基づく応答シグナリングを取得し、前記更新要求、更新要求の応答シグナリングが前記アクセスSIP暗号化パラメータを更新するように指示するように構成され、
前記復号化モジュールは、前記SA復号化テーブルによって前記更新要求と更新要求の応答シグナリングに対して復号化し、復号化された前記更新要求と更新要求の応答シグナリングを取得するように構成され、
前記生成モジュールは、復号化された前記更新要求と更新要求の応答シグナリングにより、更新登録プロセスにおいてのGmインターフェース、Cxインターフェースの認証情報を取得し、更新のSA復号化テーブルを生成するように構成される。
本発明の実施形態において、Cxインターフェースの認証情報とGmインターフェースの認証情報を取得することにより、取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成し、前記SA復号化テーブルはSIPシグナリング復号化パラメータを含み、前記SA復号化テーブルによってSIPシグナリングを復号化する。そして、シグナリング監視システムを単独に設置する必要がなく、キャリアの運営コストを低減すると共に、SIP−VOIPサービスを監視することを実現し、キャリアの運営需要を満足し、キャリアのネットワークの運営効果を向上する。
LTEコアネットワークシグナリング監視システムがSIP−VOIPに対して監視又は分析する模式図である。 本発明の実施形態一におけるSIPシグナリング復号化パラメータの取得方法のフローチャートである。 本発明の実施形態二におけるSIPシグナリング復号化パラメータの取得方法のフローチャートである。 本発明の実施形態三におけるSIPシグナリング復号化パラメータの取得装置の機能モジュールの模式図である。 図4においての取得モジュールの詳細な機能モジュールの模式図である。
本発明の実施形態において、まず、LTEネットワークにおけるUEのアタッチ及びUEのSIP−VOIPのサービス開始を説明する。図1は、LTEコアネットワークシグナリング監視システムがSIP−VOIPに対して監視又は分析する模式図である。UEがLTEネットワークのEPSシステムにアタッチされ、S1−MME、S11、S6a、S5などのインターフェースでUEのアタッチシグナリングを収集することができ、UEのユーザ情報のIMSI(国際モバイルユーザ認識コード:International Mobile Subscriber Identity)、MSISDN(ユーザ番号)、UERIP(ユーザIP)、APN(アクセスポイントネーム:Access Point Name)などの情報を取得する。UEがアタッチされた後、UEがデータサービス、SIP−VOIPなどのサービスを開始し、S1−Uインターフェース、S5でこれらのサービスのシグナリングを収集することができる。UEがSIP−VOIPサービスを開始し、SIPシグナリングがEPSシステムのS1−U、S5インターフェースを介してIMSシステムに伝送され、UEとIMSシステムにおいてのP−CSCFのGmインターフェースシグナリングがS1−Uインターフェースにおいて伝送され、LTEのシグナリング監視システムがS1−UインターフェースでSIP−VOIPシグナリングを収集することができ、ユーザ情報、他のインターフェース情報と関連し、完全なユーザシグナリング指標データを形成する。UEがSIP−VOIPサービスを実行し、まずIMSシステムにSIP登録し、登録プロセスにおいて、UEとIMSがAKA認証検証を行い、アクセスSIPシグナリングの暗号化を選択することができる。アクセスSIPシグナリングの暗号化を選択した場合、登録初期要求と登録初期要求に対する応答がプレーンテキストであって暗号化せず、ここで、UEとP−CSCFが合意してセキュリティアソシエーションSA(即ち、セキュリティIPチャネル)を確立し、SAにはUEからP−CSCFへのシグナリング送信のSA−INと、P−CSCFからUEへのシグナリング送信のSA−OUTが含まれる。SAを合意したあと、UEとP−CSCFの後続SIPシグナリングがそれぞれ暗号化され、SA−IN、SA−OUT暗号化チャネルを介して伝送され、シグナリング監視システムがS1−Uインターフェースで収集したのはSIP暗号化シグナリングである。SA−IN、SA−OUTの暗号化パラメータが、暗号化されないプレーンテキストである初期登録要求と応答メッセージには含まれ、暗号化秘密鍵がIMSシステムにおけるP−CSCF(プロキシコールセッション制御機能:Proxy Call Session Control Function)、I−CSCF(問い合わせコールセッション制御機能:Interrogating Call Session Control Function)、S−CSCF(サービスコールセッション制御機能:Serving −Call Session Control Function)の間のみ伝送され、S−CSCFとHSS(ホーム加入者サーバ:Home Subscriber Server)のCxインターフェースで認証ベクトルが伝送され、その中に暗号化用秘密鍵も含まれ、EPSシステムにもHSSネットワーク要素が含まれ、HSSネットワーク要素のインターフェースのシグナリングが収集されることができる。
上記のLTEネットワークアーキテクチャに基づいて、本発明の実施形態はSIPシグナリング復号化パラメータの取得方法を提供する。
図2を参照し、図2は本発明の実施形態一におけるSIPシグナリング復号化パラメータの取得方法のフローチャートである。
本実施形態において、前記SIPシグナリング復号化パラメータの取得方法は以下のステップを備える。
ステップS10:Cxインターフェースの認証情報とGmインターフェースの認証情報を取得する。
本発明の実施形態に記載のSIPシグナリング復号化パラメータの取得方法を実行するための主体は、シグナリング監視システムであってよく、シグナリング制御装置であってよく、本実施形態において、シグナリング監視システムであってよい。好ましくは、本発明の実施形態はネットワークセッションにおいてのSIPシグナリングの復号化パラメータの取得に用いられ、そして、取得された復号化パラメータを利用してネットワークセッションにおいてのSIPシグナリングの復号化を行う。
本実施形態において、UE側のユーザはUEを介してSIP−VOIPのセッションサービスを行う必要がある場合、まずSIP−VOIPサービスの登録を行う必要があり、セッションの過程を暗号化する必要があれば、登録過程中、アクセス暗号化請求を指示する必要がある。Gmインターフェースの認証情報を取得する過程は、ユーザ端末によって送信されたSIP登録要求及び前記登録要求に基づく応答シグナリングを取得することと、前記登録要求と前記登録要求に基づく応答シグナリングにより、SIPデコードを行い、前記登録プロセスにおいてのGmインターフェースの認証情報を取得することと、を含み、前記登録要求、前記登録要求の応答シグナリングはプレーンテキストSIPシグナリングであり、前記登録要求にはアクセスSIP暗号化パラメータが含まれる。
ここで、UEがP−CSCFに初期プレーンテキスト登録要求Register(登録)メッセージを送信し、その中にはSecurity−Client(セキュリティークライアント)フィールドが含まれ、その中にはSAパラメータが含まれ、SA−INとSA−OUTのUE側のパラメータを含む。監視システムがIMPU、IMPI、SA−IN、SA−OUTを含むGmインターフェース登録メッセージパラメータを収集する。IMSシステムにおけるP−CSCF、I−CSCF、S−CSCFが情報の交互を行い、登録メッセージをS−CSCFに伝送し、S−CSCFがCxインターフェースとMAR、MAAメッセージを介してHSSに認証ベクトル5タプル<RAND、AUTN、XRES、CK、IK>を要求し、ここで、CKが暗号化用秘密鍵であり、RANDがユーザを認証するための認証チャレンジであり、XRESが希望された、ユーザから戻されたRANDの認証応答結果であり、AUTNがUEによってコアネットワークが認証されるための認証トークンであり、IKが完全な秘密鍵である。Cxインターフェースの認証情報を取得する過程は、ネットワーク要素から送信されたCxインターフェースの認証要求及び前記認証要求に基づく応答シグナリングを取得し、前記認証要求と前記認証要求に基づく応答シグナリングによってDIAMETERプロトコルデコードを行ってCxインターフェースの認証情報を取得することを含む。監視システムは、CxインターフェースのMAR、MAA情報を取得し、Cxインターフェース認証5タプルペア{IMPU、IMPI、認証5タプル<RAND、AUTN、XRES、CK、IK>}を取得し、表3を参照する。
S−CSCFは、認証チャレンジ情報及びプレーンテキスト登録応答401情報をP−CSCFに送信し、RAND、AUTN、CK、IKが含まれる。P−CSCFはCK、IKを保存し、その後、CK、IKを削除し、Security−Serverフィールドをインサートし、その中には、SA−INとSA−OUTのP−CSCF側のパラメータを含むSAパラメータが含まれ、プレーンテキスト登録応答401メッセージをUEに送信する。この時点、P−CSCF側の2つの一方向SAが係るパラメータは用意された。
Figure 0006496405
Figure 0006496405
Figure 0006496405
ステップS20:取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成し、前記SA復号化テーブルはSIPシグナリング復号化パラメータを含む。
Cxインターフェースの認証情報とGmインターフェースの認証情報を取得した後、取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成し、前記SA復号化テーブルはSIPシグナリング復号化パラメータを含む。前記SA復号化テーブルはIMPU、IMPI、セキュリティアソシエーションのSA―IN、SA−OUT、CK、IKを含む。SA復号化テーブルを生成したあと、UEによって送信されたSIP暗号化シグナリングが前記SA復号化テーブルによって復号化されてSIPシグナリングの分析を実現されることができる。実施形態において、HSSのCxインターフェースの認証情報のみ収集すればSIPシグナリングの復号化を実現することができ、IMSシステム内にシグナリング監視システムを単独に設置する必要がなく、キャリアの運営コストを低減すると共に、SIP−VOIPサービスを監視することを実現する。
ここで、シグナリング監視システムはGmインターフェース登録応答におけるパラメータを収集し、{IMPU、IMPI、認証パラメータ<RAND、AUTN>、セキュリティアソシエーションSA―IN、SA−OUT}であるGmインターフェース認証使用パラメータペアを取得し、表2を参照する。監視システムはIMPU、IMPI、認証パラメータ<RAND、AUTN>を利用して認証5タプルペアと認証使用パラメータペアに関連し、{IMPU、IMPI、セキュリティアソシエーションSA―IN、SA−OUT、CK、IK}であるユーザSA復号化テーブルを取得し、表1を参照する。
UEは登録応答401メッセージを受信し、RAND、AUTNを抽出し、AUTNによってMAC及びSQNを算出することができ、RANDとISIMカードにおける長期秘密鍵によってXMAC、RES、IK、CKを算出することができる。XMACとMACは同じであれば、コアネットワークが認証されたことを証明する。RESは、次の登録要求において、RESをIMSネットワークに戻す。IK、CKがSIP暗号化と完全保護に用いられる。この時点で、UE側の2つの一方向SAが係るパラメータは用意された。UEとP−CSCFの間に、2つの一方向のセキュリティアソシエーション(SA―IN、SA−OUT)が既に確立され、UEとP−CSCFの後続SIPシグナリングがそれぞれセキュリティアソシエーション(SA―IN、SA−OUT)のIP、PORTを介して伝達し、SAにおいての暗号化アルゴリズムと秘密鍵CKを利用して暗号化を行い、UEが今回の登録を完了する。
ここで、UEは暗号化SA−INチャネルを介して暗号化された登録要求(チャレンジ応答、RES値など付け)をP−CSCFに送信する。P−CSCFは、SA−INチャネルのIPとポートが受信したIPsec暗号化データパケットに対し、暗号化アルゴリズムと秘密鍵CKを利用して復号化を行い、プレーンテキスト登録要求(チャレンジ応答付け)に復元してS−CSCFに送信する。S−CSCFは、登録要求におけるチャレンジ応答RESと認証ベクトルにおけるXRESが同じであるかどうかを比較し、同じであれば、UEが認証されたことを認められる。S−CSCFは登録成功応答200OKをP−CSCFに送信する。P−CSCFは暗号化SA−OUTチャネルを介して暗号化登録成功応答200OKをUEに送信する。UEがSA−OUTチャネルのIPとポートによりIPsecデータパケットを受信し、暗号化アルゴリズムと秘密鍵CKを利用して復号化を行い、プレーンテキスト登録成功応答200OKに復元し、UEが登録を完了する。
登録過程中にSA復号化テーブルを生成することは、ユーザ端末によって送信されたSIP登録要求及び対応する登録応答シグナリングを受信し、前記要求に対応するユーザ端末情報を取得し、GmインターフェースとCxインターフェースのインターフェースシグナリングを取得することと、取得されたGmインターフェースシグナリングとCxインターフェースのインターフェースシグナリングによってSA暗号化パラメータを生成することと、生成されたSA暗号化パラメータと取得されたユーザ端末情報に基づいて、ユーザ端末の暗号化通信チャネルに対応するSA復号化テーブルを作成することとを含み、表1を参照し、SA復号化テーブルを利用することで、前記暗号化通信チャネルのSIP暗号化シグナリングをプレーンテキストSIPシグナリングに復号化することができる。
登録を完了したあと、SIP−VOIPサービスのSIPシグナリングのSA復号化テーブルを取得し、表1におけるSA−INとSA−OUTパラメータを参照する。表2を参照し、Gmインターフェースの認証情報は、IMPU、IPMI、認証パラメータRANDとAUTN、セキュリティアソシエーションパラメータSA−INとSA−OUTを含む。表3を参照し、Cxインターフェース認証情報はIMPU、IMPI、認証ベクトル(RAND、AUTN、XRES、CK、IK)を含む。
その後、SA復号化テーブルを更新する必要がある場合、ユーザ端末によってSA暗号化チャネルを介して送信されたSIP登録情報更新要求及び前記更新要求に基づく応答シグナリングを取得し、前記更新要求、更新要求の応答シグナリングが前記アクセスSIP暗号化パラメータを更新するように指示し、前記SA復号化テーブルによって前記更新要求と更新要求の応答シグナリングに対して復号化し、復号化された前記更新要求と更新要求の応答シグナリングを取得し、復号化された前記更新要求と更新要求の応答シグナリングにより、更新登録プロセスにおいてのGmインターフェース、Cxインターフェースの認証情報を取得し、更新のSA復号化テーブルを生成する。
ここで、UEは暗号化SA−INチャネルを介して、暗号化された登録要求をP−CSCFに送信し、その中には更新を要求するアクセスSIP暗号化パラメータが含まれる。P−CSCFは、SA−INチャネルによって受信されたIPsecデータパケットに対し、暗号化アルゴリズムと秘密鍵CKを利用して復号化を行い、プレーンテキスト登録要求(チャレンジ応答付け)に復元してS−CSCFに送信する。S−CSCFは、Cxインターフェース認証要求と応答の交互操作を完了したあと、登録成功応答200OKをP−CSCFに送信する。P−CSCFは暗号化SA−OUTチャネルを介して暗号化登録成功応答200OKをUEに送信し、その中には、更新されたアクセスSIP暗号化パラメータが含まれる。
暗号化された更新登録要求と更新登録応答を収集した。暗号化された更新登録要求に対して要求相手先IPとポートを使用して、SA復号化テーブルのSA−IN記録を検索し、復号化アルゴリズムと秘密鍵を取得して更新登録要求と更新登録応答を復号化を行い、プレーンテキスト更新登録要求を取得する。暗号化された更新登録応答に対して応答相手先IPとポートを使用して、SA復号化テーブルのSA−OUT記録を検索し、復号化アルゴリズムと秘密鍵を取得して復号化を行い、プレーンテキスト更新登録応答を取得する。復号化された更新登録要求と更新登録応答をデコードし、Gmインターフェースの認証情報を取得する。認証要求と認証応答をデコードし、Cxインターフェースの認証情報を取得する。デコードされた前記更新要求と更新要求の応答シグナリングにより、更新登録プロセス中のGmインターフェース、Cxインターフェースの認証情報を取得して更新のSA復号化テーブルを生成する。
本発明の実施形態において、Cxインターフェースの認証情報とGmインターフェースの認証情報を取得することにより、取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成し、前記SA復号化テーブルはSIPシグナリング復号化パラメータを含み、前記SA復号化テーブルによってSIPシグナリングを復号化する。シグナリング監視システムを単独に設置する必要がなく、キャリアの運営コストを低減すると共に、SIP−VOIPサービスを監視することを実現し、キャリアの運営需要を満足し、キャリアのネットワークの運営効果を向上する。
図3を参照し、図3は本発明の実施形態二におけるSIPシグナリング復号化パラメータの取得方法のフローチャートである。上記SIPシグナリング復号化パラメータの取得方法に係る第一実施形態に基づいて、前記ステップS20の後、前記方法は、
ステップS30:SA暗号化チャネルのSIPシグナリングが取得された場合、前記SIPシグナリングのIP情報とポート情報を確定することと、
ステップS40:取得されたIP情報とポート情報に基づいて前記SA復号化テーブルを検索し、SA復号化アルゴリズムと秘密鍵を取得することと、
ステップS50:取得された復号化アルゴリズムと秘密鍵によって前記SIPシグナリングを復号化し、前記暗号化されたSIPシグナリングに対応するプレーンテキストSIPシグナリングを取得することと、
ステップS60:復号化されたプレーンテキストSIPシグナリングに対してデコードし、前記SIPシグナリングに対応するセッションデータを取得することと、を更に含む。
前記SIPシグナリングは、UEがコアネットワークに送信したSIPシグナリングであってよく、コアネットワークがUEに送信したSIPシグナリングであってよい。UEがコアネットワークに送信したSIP暗号化シグナリングが、行先アドレス、ポートを利用してSA復号化テーブルにおける入力SA記録を検索し、コアネットワークがUEに送信したSIP暗号化シグナリングが、行先アドレス、ポートを利用してSA復号化テーブルにおける出力SA記録を検索する。SA暗号化チャネルのSIPシグナリングを取得するとき、前記SIPシグナリングのIP情報とポート情報を取得する。前記取得されたIP情報とポート情報に基づいて前記SAP復号化テーブルを検索してSAの復号化アルゴリズムと秘密鍵を取得し、取得された復号化アルゴリズムと秘密鍵によって前記SIPシグナリングを復号化して、前記暗号化SIPシグナリングに対応するプレーンテキストSIPシグナリングを取得する。
復号化されたプレーンテキストSIPシグナリングに対してデコードを行い、前記SIPシグナリングに対応するセッションデータを取得する。復号化されたプレーンテキストSIPシグナリングをそれが必要された4Gネットワークシグナリング監視システムのようなシグナリング分析システムに伝達することができる。本発明の実施形態において、生成されたSA復号化テーブルによって暗号化されたSIPシグナリングを復号化し、シグナリング監視システムを単独に設置する必要がなく、キャリアの運営コストを低減すると共に、SIP−VOIPサービスを監視することを実現し、キャリアの運営需要を満足し、キャリアのネットワークの運営効果を向上する。
本発明の他の実施形態において、システムのオーバーヘッドを節約し、システムの性能を向上するために、SIPシグナリングを受信するとき、受信されたSIPシグナリングが暗号化されたSIPシグナリングであるかどうかを判断し、受信されたSIPシグナリングが暗号化されたSIPシグナリングである場合、前記SIPシグナリングのIP情報とポート情報を取得し、受信されたSIPシグナリングが暗号化されたSIPシグナリングではない場合、前記SIPシグナリングを直接デコードする。
本発明の実施形態三はSIPシグナリング復号化パラメータの取得装置を提供する。
図4を参照し、図4は本発明の実施形態三におけるSIPシグナリング復号化パラメータの取得装置の機能モジュールの模式図である。
実施形態の一例において、前記SIPシグナリング復号化パラメータの取得装置は取得モジュール10と生成モジュール20を備え、
前記取得モジュール10は、Gmインターフェースの認証情報とCxインターフェースの認証情報を取得するように構成され、
好ましくは、本発明の実施形態はネットワークセッションにおいてのSIPシグナリングの復号化パラメータの取得に用いられ、そして、取得された復号化パラメータを利用してネットワークセッションにおいてのSIPシグナリングの復号化を行う。
本実施形態において、UE側のユーザはUEを介してSIP−VOIPのセッションサービスを行う必要がある場合、まずSIP−VOIPサービスの登録を行う必要があり、セッションの過程を暗号化する必要があれば、登録過程中、アクセス暗号化請求を指示する必要である。
図5を参照し、前記取得モジュール10は取得ユニット11とデコードユニット12を備え、
前記取得ユニット11は、ユーザ端末によって送信されたSIP登録要求及び前記登録要求に基づく応答シグナリングを取得するように構成され、前記登録要求、前記登録要求の応答シグナリングはプレーンテキストSIPシグナリングであり、前記登録要求にはアクセスSIP暗号化パラメータが含まれ、
前記デコードユニット12は、前記登録要求と前記登録要求に基づく応答シグナリングにより、SIPデコードを行い、前記登録プロセスにおいてのGmインターフェースの認証情報を取得するように構成される。
ここで、UEがP−CSCFに初期プレーンテキスト登録要求Register(登録)メッセージを開始し、その中にはSecurity−Client(セキュリティークライアント)フィールドが含まれ、その中にはSAパラメータが含まれ、SA−INとSA−OUTのUE側のパラメータを含む。監視システムがGmインターフェース登録メッセージパラメータを収集し、IMPU、IMPI、SA−IN、SA−OUTを含む。IMSシステムにおけるP−CSCF、I−CSCF、S−CSCFが情報の交互を行い、登録メッセージをS−CSCFに伝送し、S−CSCFがCxインターフェースとMAR、MAAメッセージを介してHSSに認証ベクトル5タプル<RAND、AUTN、XRES、CK、IK>を要求し、ここで、CKが暗号化用秘密鍵であり、RANDがユーザを認証するための認証チャレンジであり、XRESが希望された、ユーザから戻されたRANDの認証応答結果であり、AUTNがUEによってコアネットワークが認証されるための認証トークンであり、IKが完全な秘密鍵である。
前記取得ユニット11は、ネットワーク要素によって送信されたCxインターフェースの認証要求及び前記認証要求に基づく応答シグナリングを取得するように構成され、
前記デコードユニット12は、前記認証要求及び前記認証要求に基づく応答シグナリングにより、DIAMETERプロトコルデコードを行い、Cxインターフェースの認証情報を取得するように構成される。
監視システムは、CxインターフェースのMAR、MAA情報を取得し、Cxインターフェース認証5タプルペア{IMPU、IMPI、認証5タプル<RAND、AUTN、XRES、CK、IK>}を取得し、表3を参照する。
S−CSCFは、認証チャレンジ情報及びプレーンテキスト登録応答401情報をP−CSCFに送信し、RAND、AUTN、CK、IKが含まれる。P−CSCFはCK、IKを保存し、その後、CK、IKを削除し、Security−Serverフィールドをインサートし、その中には、SA−INとSA−OUTのP−CSCF側のパラメータを含むSAパラメータが含まれ、プレーンテキスト登録応答401メッセージをUEに送信する。ここまで、P−CSCF側の2つの一方向SAが係るパラメータは用意された。
前記生成モジュール20は、取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成するように構成され、前記SA復号化テーブルはSIPシグナリング復号化パラメータを含む。
Cxインターフェースの認証情報とGmインターフェースの認証情報を取得した後、取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成し、前記SA復号化テーブルはSIPシグナリング復号化パラメータを含む。前記SA復号化テーブルはIMPU、IMPI、セキュリティアソシエーションのSA―IN、SA−OUT、CK、IKを含む。SA復号化テーブルを生成したあと、UEによって送信されたSIP暗号化シグナリングが前記SA復号化テーブルによって復号化されて、SIPシグナリングの分析を実現することができる。実施形態において、HSSのCxインターフェースの認証情報のみ収集すればSIPシグナリングの復号化を実現することができ、シグナリング監視システムを単独に設置する必要がなく、キャリアの運営コストを低減すると共に、SIP−VOIPサービスを監視することを実現する。
ここで、シグナリング監視システムはGmインターフェース登録応答におけるパラメータを収集し、{IMPU、IMPI、認証パラメータ<RAND、AUTN>、セキュリティアソシエーションSA―IN、SA−OUT}であるGmインターフェース認証使用パラメータペアを取得し、表2を参照する。監視システムはIMPU、IMPI、認証パラメータ<RAND、AUTN>を利用して認証5タプルペアと認証使用パラメータに関連し、{IMPU、IMPI、セキュリティアソシエーションSA―IN、SA−OUT、CK1、IK}であるユーザSA復号化テーブルを取得し、表1を参照する。
UEは登録応答401メッセージを受信し、RAND、AUTNを抽出し、AUTNによってMAC及びSQNを算出することができ、RANDとISIMカードにおける長期秘密鍵によってXMAC、RES、IK、CKを算出することができる。XMACとMACは同じであれば、コアネットワークが認証されたことを証明する。RESは、次の登録要求において、RESをIMSネットワークに戻す。IK、CKがSIP暗号化と完全保護に用いられる。この時点で、UE側の2つの一方向SAが係るパラメータは用意された。UEとP−CSCFの間に、2つの一方向のセキュリティアソシエーション(SA―IN、SA−OUT)が既に確立され、UEとP−CSCFの後続SIPシグナリングがそれぞれセキュリティアソシエーション(SA―IN、SA−OUT)のIP、PORTを介して伝達し、SAにおいての暗号化のアルゴリズムと秘密鍵CKを利用して暗号化を行い、UEが今回の登録を完了する。
ここで、UEは暗号化SA−INチャネルを介して暗号化された登録要求(チャレンジ応答、RES値など付け)をP−CSCFに送信する。P−CSCFは、SA−INチャネルのIPとポートが受信したIPsec暗号化データパケットに対し、暗号化のアルゴリズムと秘密鍵CKを利用して復号化を行い、プレーンテキスト登録要求(チャレンジ応答付け)に復元してS−CSCFに送信する。S−CSCFは、登録要求におけるチャレンジ応答RESと認証ベクトルにおけるXRESが同じであるかどうかを比較し、同じであれば、UEが認証されたことを認められる。S−CSCFは登録成功応答200OKをP−CSCFに送信する。P−CSCFは暗号化SA−OUTチャネルを介して暗号化登録成功応答200OKをUEに送信する。UEがSA−OUTチャネルのIPとポートによりIPsecデータパケットを受信し、暗号化のアルゴリズムと秘密鍵CKを利用して復号化を行い、プレーンテキスト登録成功応答200OKに復して、UEが登録を完了する。
登録過程中にSA復号化テーブルを生成することは、ユーザ端末によって送信されたSIP登録要求及び対応する登録応答シグナリングを受信し、前記要求に対応するユーザ端末情報を取得し、GmインターフェースとCxインターフェースのインターフェースシグナリングを取得することと、取得されたGmインターフェースシグナリングとCxインターフェースのインターフェースシグナリングによってSA暗号化パラメータを生成することと、生成されたSA暗号化パラメータと取得されたユーザ端末情報に基づいて、ユーザ端末の暗号化通信チャネルに対応するSA復号化テーブルを作成し、表1を参照し、SA復号化テーブルを利用することで、前記暗号化通信チャネルのSIP暗号化シグナリングをプレーンテキストSIPシグナリングに復号化することができる。
好ましくは、前記取得装置は復号化モジュール30を更に備え、その後、UEがリフレッシュ登録プロセスを再度開始し、リフレッシュ登録プロセスにおいて、SA暗号化パラメータを再合意することを請求すれば、本システムはSA復号化テーブルを更新する必要がある。
前記取得ユニット11は、ユーザ端末によってSA暗号化チャネルを介して送信されたSIP登録情報更新要求及び前記更新要求に基づく応答シグナリングを取得し、前記更新要求、更新要求の応答シグナリングが前記アクセスSIP暗号化パラメータを更新するように指示するように構成され、
前記復号化モジュール30は、前記SA復号化テーブルによって前記更新要求と更新要求の応答シグナリングに対して復号化し、復号化された前記更新要求と更新要求の応答シグナリングを取得するように構成され、
前記生成モジュール20は、復号化された前記更新要求と更新要求の応答シグナリングにより、更新登録プロセスにおいてのGmインターフェース、Cxインターフェースの認証情報を取得し、更新のSA復号化テーブルを生成するように構成される。
ここで、UEは暗号化SA−INチャネルを介して、暗号化された登録要求をP−CSCFに送信し、その中にはアップデータを要求するアクセスSIP暗号化パラメータが含まれる。P−CSCFは、SA−INチャネルによって受信されたIPsecデータパケットに対し、暗号化のアルゴリズムと秘密鍵CKを利用して復号化を行い、プレーンテキスト登録要求(チャレンジ応答付け)に復してS−CSCFに送信する。S−CSCFは、Cxインターフェース認証要求と応答の交互操作を完了したあと、登録成功応答200OKをP−CSCFに送信する。P−CSCFは暗号化SA−OUTチャネルを介して暗号化登録成功応答200OKをUEに送信し、その中には、更新されたアクセスSIP暗号化パラメータが含まれる。
前記取得ユニット11は、暗号化された更新登録要求と更新登録応答を収集した。
前記復号化モジュール30は、暗号化された更新登録要求に対して要求相手先IPとポートを使用して、SA復号化テーブルのSA−IN記録を検索し、復号化アルゴリズムと秘密鍵を取得して更新登録要求を更新登録応答を復号化を行い、プレーンテキスト更新登録要求を取得する。暗号化された更新登録応答に対して応答相手先IPとポートを使用して、SA復号化テーブルのSA−OUT記録を検索し、復号化アルゴリズムと秘密鍵を取得して復号化を行い、プレーンテキスト更新登録応答を取得する。
前記デコードユニット12は、復号化された更新登録要求と更新登録応答をデコードし、Gmインターフェースの認証情報を取得する。認証要求と認証応答をデコードし、Cxインターフェースの認証情報を取得する。
前記生成モジュール20は、デコードされた前記更新要求と更新要求の応答シグナリングにより、更新登録プロセス中のGmインターフェース、Cxインターフェースの認証情報を取得して更新のSA復号化テーブルを生成する。
登録を完了したあと、SIP−VOIPサービスのSIPシグナリングのSA復号化テーブルを取得し、表1におけるSA−INとSA−OUTパラメータを参照する。表2を参照し、Gmインターフェースの認証情報は、IMPU、IPMI、認証パラメータRANDとAUTN、セキュリティアソシエーションパラメータSA−INとSA−OUTを含む。表3を参照し、Cxインターフェース認証情報はIMPU、IMPI、認証ベクトル(RAND、AUTN、XRES、CK、IK)を含む。
本発明の実施形態において、Cxインターフェースの認証情報とGmインターフェースの認証情報を取得することにより、取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成し、前記SA復号化テーブルはSIPシグナリング復号化パラメータを含み、前記SA復号化テーブルによってSIPシグナリングを復号化する。シグナリング監視システムを単独に設置する必要がなく、キャリアの運営コストを低減すると共に、SIP−VOIPサービスを監視することを実現し、キャリアの運営需要を満足し、キャリアのネットワークの運営効果を向上する。
好ましくは、前記取得ユニット11は、暗号化チャネルのSIPシグナリングが取得された場合、前記SIPシグナリングのIP情報とポート情報を確定するように構成され、
前記復号化モジュール30は、前記取得されたIP情報とポート情報に基づいて前記SA復号化テーブルを検索し、SA復号化アルゴリズムと秘密鍵を取得し、取得された復号化アルゴリズムと秘密鍵によって前記SIPシグナリングを復号化し、前記暗号化されたSIPシグナリングに対応するプレーンテキストSIPシグナリングを取得するように構成され、
前記デコードユニット12は、復号化されたプレーンテキストSIPシグナリングに対してデコードし、前記SIPシグナリングに対応するセッションデータを取得するように構成される。
前記SIPシグナリングは、UEがコアネットワークに送信したSIPシグナリングであってよく、コアネットワークがUEに送信したSIPシグナリングであってよい。UEがコアネットワークに送信したSIP暗号化シグナリングが、行先アドレス、ポートを利用してSA復号化テーブルにおける入力SA記録を検索し、コアネットワークがUEに送信したSIP暗号化シグナリングが、行先アドレス、ポートを利用してSA復号化テーブルにおける出力SA記録を検索する。SA暗号化チャネルのSIPシグナリングを取得するとき、前記SIPシグナリングのIP情報とポート情報を取得する。前記取得されたIP情報とポート情報に基づいて前記SAP復号化テーブルを検索してSAの復号化アルゴリズムと秘密鍵を取得し、取得された復号化アルゴリズムと秘密鍵を介して前記SIPシグナリングを復号化して、前記暗号化SIPシグナリングに対応するプレーンテキストSIPシグナリングを取得する。
復号化されたプレーンテキストSIPシグナリングに対してデコードを行い、前記SIPシグナリングに対応するセッションデータを取得する。復号化されたプレーンテキストSIPシグナリングをそれが必要された4Gネットワークシグナリング監視システムのようなシグナリング分析システムに伝達することができる。本発明の実施形態において、生成されたSA復号化テーブルによって暗号化されたSIPシグナリングを復号化し、シグナリング監視システムを単独に設置する必要がなく、キャリアの運営コストを低減すると共に、SIP−VOIPサービスを監視することを実現し、キャリアの運営需要を満足し、キャリアのネットワークの運営効果を向上する。
本発明の他の実施形態において、システムのオーバーヘッドを節約し、システムの性能を向上するために、SIPシグナリングを受信するとき、受信されたSIPシグナリングが暗号化されたSIPシグナリングであるかどうかを判断し、受信されたSIPシグナリングが暗号化されたSIPシグナリングである場合、前記SIPシグナリングのIP情報とポート情報を取得し、受信されたSIPシグナリングが暗号化されたSIPシグナリングではない場合、前記SIPシグナリングを直接デコードする。
本分野の当業者であれば、前記方法の実施形態のすべてのまたは一部のステップを実現することがプログラム命令に関連するハードウェアにより完了されることができ、前記プログラムがコンピュータ可読記憶媒体に記憶されてよく、例えば、読取専用メモリー、磁気ディスク、光ディスクなどである。好ましくは、上記実施形態のすべてのまたは一部のステップを実現することが1つ又は複数の集積回路により完了されることができる。対応的に、上記実施形態における各モジュール/ユニットがハードウェアの形態で実現され、ソフトウェア機能モジュールの形態で実現される。本発明の実施形態は、いずれかの特定形態でのハードウェアとソフトウェアの組合を限定しない。
本発明の実施形態において、Cxインターフェースの認証情報とGmインターフェースの認証情報を取得することにより、取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成し、前記SA復号化テーブルはSIPシグナリング復号化パラメータを含み、前記SA復号化テーブルによってSIPシグナリングを復号化する。シグナリング監視システムを単独に設置する必要がなく、キャリアの運営コストを低減すると共に、SIP−VOIPサービスを監視することを実現し、キャリアの運営需要を満足し、キャリアのネットワークの運営効果を向上する。

Claims (10)

  1. LTE(長期進化:Long Term Evolution)ネットワークにおけるセッション開始プロトコルSIP(Session Initiation Protocol)シグナリング復号化パラメータの取得方法であって、セッション開始プロトコルSIPシグナリング復号化パラメータの取得装置に用いられ、
    Gmインターフェースの認証情報とCxインターフェースの認証情報を取得することと、
    取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいて双方向セキュリティアソシエーションSA復号化テーブルを生成することと、を含み、
    前記SA復号化テーブルはSIPシグナリング復号化パラメータを含み、
    前記Gmインターフェースの認証情報は、IMPU、IMPI、認証パラメータRAND、AUTN、セキュリティアソシエーションSA―IN、SA−OUTを含み、
    前記Cxインターフェースの認証情報は、IMPU、IMPI、認証パラメータRAND、AUTN、XRES、CK、IKを含む、方法。
  2. 前記Gmインターフェースの認証情報を取得することは、
    ユーザ端末によって送信されたSIP登録要求及び前記SIP登録要求に基づく応答シグナリングを取得することと、
    前記SIP登録要求と前記SIP登録要求に基づく応答シグナリングにより、SIPデコードを行い、登録プロセスにおいてのGmインターフェースの認証情報を取得することと、を含み、
    前記SIP登録要求、前記SIP登録要求の応答シグナリングはプレーンテキストSIPシグナリングであり、前記SIP登録要求にはアクセスSIP暗号化パラメータが含まれる
    請求項1に記載の方法。
  3. 前記Cxインターフェースの認証情報を取得することは、
    ネットワーク要素によって送信されたCxインターフェースの認証要求及び前記認証要求に基づく応答シグナリングを取得することと、
    前記認証要求及び前記認証要求に基づく応答シグナリングにより、プロトコルデコードを行い、Cxインターフェースの認証情報を取得することと、を含む
    請求項2に記載の方法。
  4. 取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成した後、前記方法は、
    SA暗号化チャネルのSIPシグナリングが取得された場合、前記SIPシグナリングのIP情報とポート情報を確定することと、
    取得されたIP情報とポート情報に基づいて前記SA復号化テーブルを検索し、SA復号化アルゴリズムと秘密鍵を取得することと、
    取得された復号化アルゴリズムと秘密鍵によって前記SIPシグナリングを復号化し、暗号化されたSIPシグナリングに対応するプレーンテキストSIPシグナリングを取得することと、
    復号化されたプレーンテキストSIPシグナリングに対してデコードし、前記SIPシグナリングに対応するセッションデータを取得することと、を更に含む
    請求項3に記載の方法。
  5. 取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいてSA復号化テーブルを生成した後、前記方法は、
    ユーザ端末によってSA暗号化チャネルを介して送信されたSIP登録情報更新要求及び前記SIP登録情報更新要求に基づく応答シグナリングを取得し、前記SIP登録情報更新要求、前記SIP登録情報更新要求の応答シグナリングが前記アクセスSIP暗号化パラメータを更新するように指示することと、
    前記SA復号化テーブルによって前記SIP登録情報更新要求と前記SIP登録情報更新要求の応答シグナリングに対して復号化し、復号化された前記SIP登録情報更新要求と前記SIP登録情報更新要求の応答シグナリングを取得することと、
    復号化された前記SIP登録情報更新要求と前記SIP登録情報更新要求の応答シグナリングにより、更新登録プロセスにおいてのGmインターフェース、Cxインターフェースの認証情報を取得し、更新のSA復号化テーブルを生成することと、を更に含む
    請求項4に記載の方法。
  6. LTEネットワークにおけるセッション開始プロトコルSIP(Session Initiation Protocol)シグナリング復号化パラメータの取得装置であって、
    Gmインターフェースの認証情報とCxインターフェースの認証情報を取得するように構成される取得モジュールと、
    取得されたCxインターフェースの認証情報とGmインターフェースの認証情報に基づいて双方向セキュリティアソシエーションSA復号化テーブルを生成するように構成される生成モジュールと、を備え、
    前記SA復号化テーブルはSIPシグナリング復号化パラメータを含み、
    前記Gmインターフェースの認証情報は、IMPU、IMPI、認証パラメータRAND、AUTN、セキュリティアソシエーションSA―IN、SA−OUTを含み、
    前記Cxインターフェースの認証情報は、IMPU、IMPI、認証パラメータRAND、AUTN、XRES、CK、IKを含む、装置。
  7. 前記取得モジュールは、取得ユニットとデコードユニットを備え、
    前記取得ユニットは、ユーザ端末によって送信されたSIP登録要求及び前記SIP登録要求に基づく応答シグナリングを取得するように構成され、
    前記デコードユニットは、前記SIP登録要求と前記SIP登録要求に基づく応答シグナリングにより、SIPデコードを行い、登録プロセスにおいてのGmインターフェースの認証情報を取得するように構成され、
    前記SIP登録要求、前記SIP登録要求の応答シグナリングはプレーンテキストSIPシグナリングであり、前記SIP登録要求にはアクセスSIP暗号化パラメータが含まれる
    請求項6に記載の装置。
  8. 前記取得ユニットは、ネットワーク要素によって送信されたCxインターフェースの認証要求及び前記認証要求に基づく応答シグナリングを取得するように構成され、
    前記デコードユニットは、前記認証要求及び前記認証要求に基づく応答シグナリングにより、プロトコルデコードを行い、Cxインターフェースの認証情報を取得するように構成される
    請求項7に記載の装置。
  9. 前記SIPシグナリング復号化パラメータの取得装置は、復号化モジュールを更に備え、
    前記取得ユニットは、暗号化チャネルのSIPシグナリングが取得された場合、前記SIPシグナリングのIP情報とポート情報を確定するように構成され、
    前記復号化モジュールは、前記取得されたIP情報とポート情報に基づいて前記SA復号化テーブルを検索し、SA復号化アルゴリズムと秘密鍵を取得し、取得された復号化アルゴリズムと秘密鍵によって前記SIPシグナリングを復号化し、暗号化されたSIPシグナリングに対応するプレーンテキストSIPシグナリングを取得するように構成され、
    前記デコードユニットは、復号化されたプレーンテキストSIPシグナリングに対してデコードし、前記SIPシグナリングに対応するセッションデータを取得するように構成される
    請求項8に記載の装置。
  10. 前記取得ユニットは、ユーザ端末によってSA暗号化チャネルを介して送信されたSIP登録情報更新要求及び前記SIP登録情報更新要求に基づく応答シグナリングを取得し、前記SIP登録情報更新要求、前記SIP登録情報更新要求の応答シグナリングが前記アクセスSIP暗号化パラメータを更新するように指示するように構成され、
    前記復号化モジュールは、前記SA復号化テーブルによって前記SIP登録情報更新要求と前記SIP登録情報更新要求の応答シグナリングに対して復号化し、復号化された前記SIP登録情報更新要求と前記SIP登録情報更新要求の応答シグナリングを取得するように構成され、
    前記生成モジュールは、復号化された前記SIP登録情報更新要求と前記SIP登録情報更新要求の応答シグナリングにより、更新登録プロセスにおいてのGmインターフェース、Cxインターフェースの認証情報を取得し、更新のSA復号化テーブルを生成するように構成される
    請求項9に記載の装置。
JP2017515725A 2014-09-18 2015-05-25 Sipシグナリング復号化パラメータの取得方法及び装置 Active JP6496405B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410476841.XA CN105491567B (zh) 2014-09-18 2014-09-18 Sip信令解密参数的获取方法及装置
CN201410476841.X 2014-09-18
PCT/CN2015/079709 WO2016041374A1 (zh) 2014-09-18 2015-05-25 Sip信令解密参数的获取方法及装置

Publications (2)

Publication Number Publication Date
JP2017537488A JP2017537488A (ja) 2017-12-14
JP6496405B2 true JP6496405B2 (ja) 2019-04-03

Family

ID=55532528

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017515725A Active JP6496405B2 (ja) 2014-09-18 2015-05-25 Sipシグナリング復号化パラメータの取得方法及び装置

Country Status (5)

Country Link
US (1) US10419482B2 (ja)
EP (1) EP3197235B1 (ja)
JP (1) JP6496405B2 (ja)
CN (1) CN105491567B (ja)
WO (1) WO2016041374A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109120572A (zh) * 2017-06-22 2019-01-01 中兴通讯股份有限公司 Sip信令解密方法、装置、系统及计算机可读存储介质
CN110022283B (zh) * 2018-01-08 2020-09-08 华为技术有限公司 解密信息处理方法和装置、以及解密方法和装置
CN109327864A (zh) * 2018-11-07 2019-02-12 杭州迪普科技股份有限公司 流量处理方法、装置、设备及存储介质
CN109309931A (zh) * 2018-11-23 2019-02-05 冲石通信技术(北京)有限公司 移动通信系统性能的测试方法、装置和媒体仿真服务器
CN112217769B (zh) * 2019-07-11 2023-01-24 奇安信科技集团股份有限公司 基于隧道的数据解密方法、加密方法、装置、设备和介质

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6938090B2 (en) * 2002-04-26 2005-08-30 Nokia Corporation Authentication and protection for IP application protocols based on 3GPP IMS procedures
US7840217B2 (en) * 2004-07-23 2010-11-23 Cisco Technology, Inc. Methods and apparatus for achieving route optimization and location privacy in an IPV6 network
CN100574185C (zh) 2005-01-07 2009-12-23 华为技术有限公司 在ip多媒体业务子系统网络中保障媒体流安全性的方法
CN100369430C (zh) * 2005-06-21 2008-02-13 中兴通讯股份有限公司 一种ip多媒体子系统接入安全的保护方法
US20070029418A1 (en) * 2005-07-26 2007-02-08 Jakobi Felix F Infectious waste treatment
CN1878169A (zh) * 2005-12-31 2006-12-13 华为技术有限公司 通用引导框架中Ub接口信息交互方法
CN101043744B (zh) * 2006-03-21 2012-06-06 华为技术有限公司 一种ims网络中用户终端接入鉴权的方法
CN101022475B (zh) * 2007-03-16 2010-10-27 华为技术有限公司 一种合法监听的方法、装置及系统
CN101330504B (zh) * 2007-06-28 2011-10-26 中兴通讯股份有限公司 一种基于共享密钥的sip网络中传输层安全的实现方法
CN101247432B (zh) * 2007-07-18 2011-12-07 北京九合创胜网络科技有限公司 一种VoIP语音数据实时监控的方法及装置
CN101483866B (zh) * 2009-02-11 2011-03-16 中兴通讯股份有限公司 Wapi终端证书的管理方法、装置及系统
CN102055585B (zh) * 2009-11-04 2012-12-19 中兴通讯股份有限公司 基于密钥管理服务器的媒体安全合法监听方法及系统
CN101729854B (zh) 2009-12-24 2012-12-12 公安部第一研究所 一种sip视频监控系统加解密码流密钥分发方法
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
KR101579603B1 (ko) * 2012-06-27 2016-01-04 네이버 주식회사 이미지 인증키를 이용한 tv와 스마트폰의 연동 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
US9088864B2 (en) * 2012-10-09 2015-07-21 Brigham Young University Systems and methods for establishing secure communication using close proximity wireless communication
US8924718B2 (en) * 2012-10-29 2014-12-30 Tektronix, Inc. Deciphering internet protocol (IP) security in an IP multimedia subsystem (IMS) using a monitoring system
KR20140058996A (ko) * 2012-11-07 2014-05-15 삼성전자주식회사 사용자 단말, 외부 장치, 데이터 송수신 시스템 및 데이터 송수신 방법
JP6124133B2 (ja) * 2013-07-26 2017-05-10 住友電装株式会社 コネクタ
US9203885B2 (en) * 2014-04-28 2015-12-01 Palo Alto Research Center Incorporated Method and apparatus for exchanging bidirectional streams over a content centric network

Also Published As

Publication number Publication date
EP3197235A1 (en) 2017-07-26
US10419482B2 (en) 2019-09-17
CN105491567A (zh) 2016-04-13
EP3197235B1 (en) 2020-08-05
JP2017537488A (ja) 2017-12-14
US20170295204A1 (en) 2017-10-12
CN105491567B (zh) 2020-06-16
WO2016041374A1 (zh) 2016-03-24
EP3197235A4 (en) 2017-08-23

Similar Documents

Publication Publication Date Title
EP1879324B1 (en) A method for authenticating user terminal in ip multimedia sub-system
JP4860756B2 (ja) ユーザデバイス、その制御方法、及びimsユーザ装置
JP5709322B2 (ja) 認証方法、システムおよび装置
JP6496405B2 (ja) Sipシグナリング復号化パラメータの取得方法及び装置
EP3151597A1 (en) Method and apparatus for achieving secret communications
US8726023B2 (en) Authentication using GAA functionality for unidirectional network connections
US11751051B2 (en) Authentication method based on GBA, and device thereof
JP2015527819A (ja) 無線ユニットのユーザを認証するための方法およびシステム
US20180302394A1 (en) Non-SIM Access to Cellular Networks
TW201513620A (zh) 閘道器、用戶端裝置及用於促進用戶端裝置與應用伺服器間之通信之方法
TW200835279A (en) Authentication in communication networks
US20110173687A1 (en) Methods and Arrangements for an Internet Multimedia Subsystem (IMS)
WO2011038691A1 (zh) 鉴权方法及装置
US9326141B2 (en) Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers
CN101662475B (zh) Wapi终端接入ims网络的认证方法、系统和终端
EP3682609B1 (en) Signal plane protection within a communications network
WO2011147258A1 (zh) 一种实现卡鉴权的方法、系统及用户设备
CN102694779A (zh) 组合认证系统及认证方法
US8683034B2 (en) Systems, methods and computer program products for coordinated session termination in an IMS network
CN110022283B (zh) 解密信息处理方法和装置、以及解密方法和装置
CN104486352A (zh) 一种安全算法发送、安全鉴权方法及装置
CN109120572A (zh) Sip信令解密方法、装置、系统及计算机可读存储介质
JP4980813B2 (ja) 認証処理装置、認証処理方法及び認証処理システム
JP5746774B2 (ja) セキュアな通信のための鍵管理
CN112953718A (zh) Ims网络用户的鉴权方法及装置、呼叫会话控制功能实体

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180529

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190308

R150 Certificate of patent or registration of utility model

Ref document number: 6496405

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250