专利名称:在umts监控系统中密钥转发和rrc分组解密的系统和方法
技术领域:
本发明一股涉及用于监控无线系统中的消息的系统和方法,特别涉及用于 将在核心网捕获的密钥(cipheringkey)转发至lj监控器的系统和方法,该监控器 用于解密在UTRAN中捕获的RRC分组。
背景技术:
通用移动电信系统(UMTS)是首先由欧洲电信标准协会(ETSI)并且现 在由第三代合作伙伴计划(3GPP)标准化的第三代(3G)移动电话技术。UMTS 禾,宽带码分多址(W-CDMA)作为其空中接口携带电路交换(CS)和分组交 换(PS)业务。UMTS中的网络部件和协议的描自本领域的技术人员而言是 已知的,并且公众可从3GPP, ETSI和其他资源获得。UMTS网络结构由三个 域组成杨H、网(CN), UMTS地面无线接入网(UTRAN),和用户设备(UE)。
杨。、网提供了用于用户业务的交换和路由, 供网络管理功能。核心网 结构基于具有GPRS的GSM网络。UTRAN提供到用户UE的空中接口接入。 UTRAN中的基站被称为节点B,用于节点B的控制设备称为无线网络控制器 (RNC)。 UMTS用户设备通过WCDMA空中接口与节点B通信。UE可以附 着到PS域或CS域或两者。UE倉,同时4顿PS月艮务和CS月艮务。
UMTS定义了若干接口和协议用于在网络部件之间^^数据以建立到UE 的语音和数据呼叫。針呼叫包括许多M51各种接口的消息。为了完整地分析 一个呼叫,必须收集并关联该呼叫的所有消息。现有技术的一个缺点是一些数 据分组被加密并且必须在分析它们之前被解密。例如,无线资源控制(RRC)分组需要密钥(CK)用于解密。但是,CK无法用于M:RRC分组的相同接口上。
现有技术的第二缺点是网络监控设备可能广泛分布用于监控UMTS网络。 结果,捕获CK的监控器或者探测器可能不能与捕获需要CK用刊军密的RRC 分组的监控器同在一处。
发明内容
这些和其他问m常通过本发明的实施例来解决或者克服,并实现技术优 势,所述实施例提供了用于从UMTS网络捕获密钥并发送密钥纟餚军密加密分组 的应用的系统和方法。
根据本发明的实施例,用于转发密钥到解密应用的方法包括^m—网络
接口捕获携带所述密钥的第一消息;识别与所述第一网纟,口关联的网络节点; 识别监控器,所M控器负责处緣耦合到所述网络节点的接口所捕获的消息; 以及转发所述密钥给所M控器。在可替换的实施例中,所述方法进一步包括: 从第二网络接口捕获携带加密消息的第二消息;以及利用所述密钥解密第二消 息。所述方法进一步包括识别与第一消息关联的用户设备;以及利用用户设 备标识选择运纟亍于监控器上的解密应用。第一网络接口可以是UMTS核心网中 的IuCS或者IuPS接口 ,第二网络接口可以是UTRAN中的Iub或者Iur接口。 网络节点是UTRAN中的无线网络控制器。密钥可以被存储在存储器中直到被 解密应用需要。解密应用在捕获第二消息之后可以延迟预选择的时间周期以确 保密钥是可用的。
根据本发明的另一实施例,用于提供密钥^l军密应用的系统,该系统包括 :与第一组接口耦合的第一监控器,其中运4于于第一监控^^上的密钥提取 应用从在第一组接口上携带的消息中捕获密钥;与第二组接口耦合的第二监控 器,其中解密应用解密从第二组接口捕获的数据分组;以及耦合第一和第二监 控器的通信链路,其中通过所^1信 将密钥从第一监控器提供给第二监控 器。第一监控器提供密钥和用户设备标识符给第二监控器。所述系统进一步包 括第二监控器中的存储器,用于保存由解密应用使用的密钥。第一监控器和 第二监控器可以运行在相同设备机架中的独立刀片上,或者第一监控器和第二 监控可以位于不同的位置。根据本发明的另一实施例,用于解密繊分组的方法,包括从在第一网 络接口上携带的消息中提取密钥;确定与密钥关联的第一用户设备标识符;转 发密钥纟賴军密应用;在解密应用上接收加密的数据分组;确定与加密的数据分 组关联的第二用户设备标识符,其中第二用户设备标识符对应于第一用户标识 符;以及利用所述密钥解密加密的数据分组。所述方法进一步包括在与解密 应用关联的存储器中存储密钥和第一用户设备标识符;以及利用第二用户设备 标识符从存储器中1t索密钥。
本发明的实施例允许监控系统将在网络的一部分中捕获的密钥链接至赃网 络的不同部分中捕获的加密消息。本发明还允许监控设皿供密钥纟賴军密应用, 所述解密应用运行于与捕获密钥的监控器相同的设备或不同的设备上。
为了更完整理解本发明,以及其优点,现在参考结合附图的下面描述,其
中
图1是根据本发明的一个实施例说明了UMTS网络组件和监控设备的方框
图2说明了横穿(passacross) UMTS网络的Iub和IuPS接口的消息; 图3说明了横穿UMTS网络的Iub和IuCS接口的消息; 图4是根据本发明的一个实施例说明了 UMTS网络监控系统中的应用之间 关系的方框图5是根据本发明的一个实施例说明了转发密钥的方法的流程图。
具体实施例方式
本发明提供了多种可应用的发明推无念,其可以在广泛的多种特殊上下文中 具体化。所论述的具体实施例仅仅是实现和4顿本发明的具体方式的描述,并 且不限制本发明的范围。
图1说明了包括节点B 101和无线网乡維制器(RNC) 102的UMTS 100 网络的一部分。节点B 101 ilillub接口 103与RNC 102通^言。RNC 102fflil Iur接口104彼此通信。节点B101通过空中接口Uul06与用户设备(UE) 105 通信。无论何时UE 105发送或接收呼叫,在节点B IOI和RNC 102之间SilIub接口 103,以及对于一些呼叫,在RNC102之间通过Iur接口 104交换信令 消息。RNC 102和节点B 101组成UMTS网络100的UTRAN部分。UTRAN 监控器或探测器107与UTRAN中的Iub和Iur接口 103和104耦合。UTRAN 监控器107非侵Ai也与该接口耦合以捕获基本上通过Iub和Iur接口的所有协议 消息。UTRAN监控设备107识另嘱于針语音纖据呼叫的消息并关联这些消 息到旨呼叫的一个呼叫记录。
图1还说明了 UMTS 100的核心网部分的部件。移动交换中心(MSC) 108, 访问位置寄存器(VLR) 109,以及服务GPRS支持节点(SGSN) 110是核心 网的一部分。电路^l^lk务经由MSC 108M51IuCS接口 111从核心网路由到 UTRAN。分组交^4k务3131IuPS接口 112从核心网路由到UTRAN。 IuCS/IuPS 监控器或者探测器113非侵Ai也与IuCS和IuPS接口 111和112耦合以捕获基 本JJl过IuCS和IuPS接口的所有协议消息。IuCS/IuPS监控器113识别属于每 个语音或数据呼叫的消息并关联这些消息到每个呼叫的单个呼叫记录。 IuCS/IuPS监控器113和UTRAN监控器107 ffl^控^l之间的ii接114而互相 通信。监控器107和113可以M连接114 ^J奂呼叫记录,协议消息和其他信
加密的无线资源控制(RRC)消息横穿UTRAN的Iub接口 103和Iur接口 104。 UTRAN监控器107需要解密加密的RRC消息以正确处理UTRAN中的 信令单元和呼叫记录。密钢(CK)是解密RRC消息的最重要的元素。IuCS/IuPS 监控器113可以捕获来自IuCS接口 111和/或IuPS接口 112的CK。然后CK必 须从运行于监控器113上的IuCS/IuPS监控应用被转发纟^i^亍于监控器107上的 UTRAN解密应用以便CK可以被用于解密。然而,IuCS/IuPS监控应用和 UTRAN解密应用可以运行于不同的位置或者独立的处理器或者独立的刀片 (blade)上的相同位置。本发明将来自IuCS/IuPS监控应用的CK转发到与 IuCS/IuPS监控应用相同或不同的监控器上运行的解密应用。本发明使UTRAN 解密应用可移动并具有鲁棒性,并增加UMTS监控设备成功解密的3I率。
CK可以在核心网中的IuCS和IuPS接口 111和112中捕获。用于解密的加 密RRC分组可以从UTRAN中的Iub和Iur接口 103和104捕获。这些消息由 两个独立的应用捕获。CK必须从核心网监控应用转发到UTRAN监控应用用于 解密RRC分组。图2说明了M51Iub和IuPS接口的消息流。IuPS接口 112上的安全模式控制消息201和202携带CK。图3说明了舰Iub和IuCS接口的 消息流。IuCS接口 111上的安全模式控制消息301和302也携带CK。 CK不直 接用于仅仅监控Iub和Iur接口的UTRAN监控器107 。
本领域技术人员将理解的是,监控器107和113可以具有多种形式,例如 在相同一个位置或者多个不同位置。另外,本领職术人员将理解的是,多个 UTRAN监控器和/或多个IuCS/IuPS监控器可以用于监控UMTS系统中的多个 位置和接口 。这里所描述的IuCS/IuPS监控器还可以具体为两个或多个独^控 器,其仅连接到IuCS或者IuPS接口或者连接这两个接口上。在一个实施例中, 监控器107和113可以被配置于相同的RNC上,其中它们可以与该RNC戶, 接的Iub, Iur, Iucs和IuPS耦合。在这种情况下,UTRAN监控应用,UTRAN 解密应用,以及IuCS/IuPS监控应用可以运行于相同的设备,例如在相同设备机 架的不同刀片上。然而,即时在这种情况中,监控应用也^^tfeit行,并且CK 需要从设备机架上的IuCS/IuPS监控应用转发给UTRAN解密应用。CK可以通 )!^接114转发,所3^i接14可以,控器内的总线或者设备机架刀片之间的 底板。在另一实施例中,监控器107被配置于RNC上,监控器113被配置于 MSC108或者SGSN110上用于监控IuCS/IuPS业务。在这种情况下,CK需要 ffi31i^接114从IuCS/IuPS监控器113转发给UTRAN监控器107上的UTRAN 解密应用,例如,该连接可以是监控器内分组交换网络连接。本发明的目的是 覆盖共处或者位置远离的应用。
当IuCS/IuPS监控M获CK时,IuCS/IuPS监鹏用将尝试发送CK至恰 适的UTRAN解码应用,其处理与捕获的CK相关的呼叫。IuCS/IuPS监控应用 将首先尝试转发CK纟^ii行于相同设备上的共处解码应用。如果CK不能被绑 定与正在由共处解码应用处理的呼叫,然后IuCS/IuPS监控应用将尝试识别处理 与CK相关的呼叫的独立UTRAN监控器。
当核心网中的IuCS和IuPS接口以及UTRAN中的Iub和Iur接口由相同设 备或者探测器监控时,在该探测器内f顿进程间消息将CK从IuCS/IuPS监鹏 用转发给UTRAN解密应用。这些进程间消息允许在运行于相同监控器或探测 器上的应用或者M之间効奂数据。图4说明了使用本发明的一个实施例如何 实现CK转发。本发明必须解决三个问题;第一,确定哪^军密应用应当接收 CK;第二,将CK鹏到UTRAN呼叫第三,当解密开始时确保CK及时被发送并可用于UTRAN解密算法。
在本发明的实施例中,探测器^ii行多个UTRAN解密应用的分布监控系 统。CK通过链路401被携带在从IuCS/IuPS接口捕获的安全模式命令消息中, 并转发给IuCS/IuPS监控应用402。所捕获的消肩J131IuCS/IuPS CK提te用 403处理用于提取CK,然后其需要被绑定到特定呼叫。当CK被捕获时, IuCS/IuPS监控应用404保持识别从其中捕获CK的核心网接口,以及在 IuCS/IuPS呼叫跟踪应用404中CK属于哪个IuCS/IuPS呼叫的信息。IuCS/IuPS 监控应用402提取国际移动站识别(MSI)和临时移动用户识别(TMSI),如 果有的话,用于CK所属的IuCS/IuPS呼叫。IMSI和TMSI数据保持在IuCS/IuPS 呼叫S跟宗应用404中。
IuCS/IuPS监控应用402查询中^l^库用于检索接口的RNCId,其相应 于M31接口月艮务的RNC。中央数据库驻留在IuCS/IuPS监控器113, UTRAN监 控器107,或者其它一些位置上。具有多, 密应用同时处理从UTRAN接口捕 获的消息。解密应用服务UTRAN中的一个或多个RNC并可以向监控系统注册。 IuCS/IuPS监控应用402查询所有注册的解密应用,例如应用405,用于识别哪 个UTRAN解密应用监控RNC。 一旦正确的UTRAN解密应用被识别出, IuCS/IuPS监控应用402 MM3S程间的消息发送CK,随同相关的IMSI和TMSI M—每给目的地。UTRAN解密应用405 ,CK处理应用406中的CK并将 CK和IMSI/TMSI存储在CK高速缓冲器407中。
解密弓|擎408从UTRAN监控应用409接收加密的RRC分组。解密弓|擎 408首先从UTRAN呼叫足跟宗应用410中检索UTRAN呼叫记录用于加密的RRC 消息以得到关联的MSI/TMSI 。然后,利用MSI/TMSI, UTRAN解密应 用为了与MSI/IMSI关联的CK搜索CK高速缓冲器407,结果,具有加密的 RRC分组。如果CK的MSI/TMSI与UTRAN呼叫的MSIyTMSI匹配,贝U检 索CK。然后CK用于解密RRC分组。
为了最小化由路由和存储从IuCS/IuPS监控应用402到UTRAN监控应用 409的CK弓胞的时间问题,解密引擎408^iK鹏所有UTRAN分组,例如, 4秒。结果,UTRAN解密应用405应当在开々铺军密任意加密的RRC分组之前 得到CK。
在核心网和UTRAN由位于不同位置的探测器监控的情况中,核心网监控器需要转发CK到UTRAN监控器。这可以利用UTRAN探测器Id, RNC Id, 和接口 Id之间的密钥匹配来实现,例如
接口Id
RNC Id
UTRAN探测器Id
密钥,
接口 Id对应于核'。、网中的特定IuCS或者IuPS接口 。RNC Id对应于与IuCS 或者IuPS接口关联的RNC。 UTRAN探测器Id对应于运行用于该RNC的 UTRAN监控应用的UTRAN探测器。利用密钥映射,IuCS/IuPS监控应用可以 利用携带CK的接口的接口 Id来得到UTRAN探测器Id和RNC Id。 UTRAN探 测器Id识别应当接收CK的远程UTRAN监控器。RNC ID用于识别处理即将 被解密的RRC消息的UTRAN解密应用。
监控系统可以定义加密组以自动地建立当CK需要在探测器之间转发时 所4顿的进程间的连接。在一个实施例中,当CK通过IuCSAuPS监鹏用被接 收时,首先确定是否CK应当在相同监控器中MiS程间的消息转发。如果CK 需要被发送给不同的监控器,然后加密组将执行探测器间的逻辑用于转发CK 给目的监控器。
图5是说明了用于处理CK的方法的一个实施例的流程图500。在501中, IuCS/IuPS监控器接收具有CK的安全模式命令消息或者包含密钥的其它消息。 然后在502, IuCS/IuPS监控^^叟索关联的IuCS/IuPS呼叫记录。在503,返回 MSI禾口/或TMSI用于与CK关联的呼叫。在这一点上,IuCS/IuPS监控器还可 以确定是否相关的UTRAN监控应用位于相同或者远禾Mi^控器上。利用合适的 探测器内或探测器间的消息转发,在504, CK和MSI/TMSI转发给本i喊者远 程UTRAN监控器。在505, CK与MSI/TMSI存储在CK高速缓冲器中。
在506, UTRAN监控器中的解密引擎接收加密的RRC分组。解密引擎 搜索呼叫足跟對己录,在507,用于识别与RRC分组关联的呼叫记录。在508, 与RRC分组关联的MSIAIMSI返回会就军密弓摩,并且在509 , {顿MSI/TMSI 搜索CK高速缓冲器。在510,与MSFIMSI匹配的CK返回纟賴牟密引擎,并 且在5U, CK用于解密RRC分组。在解密之后,RRC分组返回给UTRAN监 控应用用于进一步,。
本领域技术人员将应该理解的是,直到接收到CK才解密RRC分组。这 可以由延迟RRC解密应用来实现以最优化CK在解密弓摩处的到达。可替换地,解密引擎可以保持RRC分组并^M解密处趣至恰适的CK用于该消息。因此, 流程图500的步骤顷序可以更改,因此歹U举的事件可以不同J1醉或者同时发生。 虽然已经详细描述了本发明及其优点,应当理解的是,这里可以作出多种 变化,替代和改变而不脱离由附加权利要求限定的本发明的精神和范围。此外, 本发明的范围不限于在说明书中描述的过程,机器,产品,物质成分,装置, 方法或步骤的具体实施例。本领域技术人员从本发明公开将容易理解的是,根 据本发明可以利用目前存在或之后研发的过程,机器,产品,物质成分,装置, 方法或步骤,其执行与在此所述的相应实施方式基本上相同的功能或者实现与 在此所述的相应实施方式基本上相同的结果。因此,所附权利要求旨在包含在 这样的过程,机器,产品,物质成分,装置,方法或步骤范围内。
权利要求
1、用于在通用移动电信系统(UMTS)网络转发密钥给解密应用的方法,包括从第一网络接口捕获携带所述密钥的第一消息;识别与所述第一网络接口关联的网络节点;识别监控器,所述监控器负责处理从耦合到所述网络节点的接口所捕获的消息;以及转发所述密钥给所述监控器。
2、 如权利要求1所述的方法,进一步包括Am二网纟娥口捕获携带加密消息的第二消息;以及 利用朋述密钥解密第二消息。
3、 如权利要求2所述的方法,进一步包括识别与第一消息关联的用户设备;以及利用用户设备标识选择运行于监控器上的解密应用。
4、 如权利要求1所述的方法,其中第一网络接口是UMTS核心网中的IuCS 或者IuPS接口。
5、 如权利要求2所述的方法,其中第二网纟維口是UTRAN中的Iub或者 Iur接口。
6、 如权利要求1所述的方法,其中所述网络节点是UTRAN中的无线网络 控制器。
7、 如权利要求2所述的方法,进一步包括在存储器中存储所述密钥。
8、 如权利要求7所述的方法,进一步包括 在捕获第二消息之后,将第二消息的解密延迟 I^择的时间周期。
9、 用于在通用移动电信系统(UMTS)网纟^^供密钥纟辦密应用的系统, 该系统包括与第一组接口耦合的第一监控器,其中运行于第一监控器上的密钥提取应 用从在第一组接口上携带的消息中捕获密钥;与第二组接口耦合的第二监控器,其中解密应用解密从第二组接口捕获的 分组;以及耦合第一和第二监控器的通信链路,其中M^m信链路将密钥从第一 监控鹏共给第二监控器。
10、 如禾又利要求9所述的系统,其中第一监控^f共密钥和用户设备标识符给第二监控器。
11、 如权利要求9所述的系统,进一步包括-第二监控器中的存储器,用于保存由解密应用使用的密钥。
12、 如权利要求9所述的系统,其中第一组接口是UMTS网络中的IuCS 接口或者IuPS接口或者两者都是。
13、 如权利要求9所述的系统,其中第二组接口是UTRAN中的Iub接口 或者Iur接口或者两者都是。
14、 如权禾腰求9所述的系统,其中第一监控器和第二监控器运行在相同 设备机架中的独立刀片上。
15、 如权利要求9所述的系统,其中第一监控器和第二监控位于不同的位置。
16、 用于在通用移动电信系统(UMTS)网络中解密数据分组的方法,包括从在第一网纟,口上携带的消息中提取密钥; 确定与密钥关联的第一用户设备标识符; 转发密钥纟就 密应用; 在解密应用上接收加密的娜分组;确定与加密的 分组关联的第二用户设备标识符,其中第二用户设备标 识符对应于第一用户标识符;以及利用所述密钥解密加密的 分组。
17、 如权利要求16所述的方法,进一步包括在与解密应用关联的存储器中存储密钥和第一用户设备标识符;以及 禾佣第二用户设备标识符从存储器中総密钥。
全文摘要
本发明涉及在UMTS监控系统中密钥转发和RRC分组解密的系统和方法。用于转发密钥到解密应用的系统和方法包括从第一网络接口捕获携带所述密钥的第一消息;识别与所述第一网络接口关联的网络节点;识别监控器,所述监控器负责处理从耦合到所述网络节点的接口所捕获的消息;以及转发所述密钥给所述监控器。在可替换的实施例中,所述方法进一步包括从第二网络接口捕获携带加密消息的第二消息;以及利用所述密钥解密第二消息。所述方法进一步包括识别与第一消息关联的用户设备;以及利用用户设备标识选择运行于监控器上的解密应用。
文档编号H04W24/00GK101437225SQ20081012584
公开日2009年5月20日 申请日期2008年3月28日 优先权日2007年3月30日
发明者B·王, F·黄 申请人:特克特朗尼克公司