一种S1MME接口数据解密的装置及其解密方法与流程

本发明涉及一种s1mme接口数据解密的装置及其解密方法，涉及lte-epc核心网的网络流量旁路分析监控领域，尤其是在s1mme开启加密的情况下，通过epc核心网的多逻辑接口关联，对s1mme接口的数据进行解密，还原出原始明文数据包的方法及其装置。

背景技术：

4g作为第四代移动通信技术，能够快速传输语音、文本、视频和图像信息,有着无法比拟的优越性。lte的分组核心网epc基于全ip结构、控制与承载分离且网络结构扁平化。核心网的mme是处理信令的重要网元，其s1mme接口是enb与mme之间的重要通信接口。

在lte中，由于enb轻便小巧，能够灵活的部署于各种环境。但是，这些enb部署点环境较为复杂，容易受到恶意的攻击。为了使接入网安全受到威胁时不影响到核心网，lte采取了加密的做法，通过加密来保证mme和ue之间的通信安全。

对于epc核心网流量监控分析领域，加密后的s1mme数据会对流量的监控和分析造成困难，本文提出的基于epc多个接口的关联实现的s1mme接口数据解密方法，对于epc核心网数据监控及流量分析领域具有重要的意义。

技术实现要素：

有鉴于此，本发明提供了一种s1mme接口数据解密的装置及其解密方法，在epc核心网s1mme接口开启加密的情况下，提供一种基于多接口关联的s1mme接口数据解密的装置，该装置能够支持3gpp定义的s1mme接口所有的加密算法，并能够在大流量，多并发的场景下实现全量数据实时解密输出的效果，解决现存技术中解密困难，解密率不高的技术问题。

本发明通过以下技术手段解决上述技术问题：

本发明的一种基于跨接口关联的s1mme接口数据解密的装置，其以epc核心网作为接入网络，包括前端接入设备、关联解密设备和后端分流设备，前端接入设备、关联解密设备和后端分流设备均设置有至少一个ge/10ge端口，前端接入设备、关联解密设备和后端分流设备之间通过至少一对光纤直接连接，光纤进行数据传输，前端接入设备上设置有s1mme逻辑接口、s11逻辑接口和s6a逻辑接口，前端接入设备通过ge/10ge端口接入epc核心网的混合流量数据，以mme为单位将s1mme逻辑接口、s11逻辑接口和s6a逻辑接口的数据负载分担到前端接入设备的ge/10ge端口，通过光纤传输到关联解密设备，关联解密设备对s1mme逻辑接口、s11逻辑接口和s6a逻辑接口的数据做关联，提取秘钥和加密算法，对加密后的数据做解密处理，用明文替换密文，然后将关联上的国际移动用户识别码imsi号标记到数据包的mac字段，然后通过关联解密设备上的ge/10ge端口将数据通过光纤转发给后端分流设备，后端分流设备提取数据包，将数据分流输出到不同的ge/10ge端口；

数据依次从前端接入设备、关联解密设备和后端分流设备流过，数据流的流动方向是单向的。

其解密方法为s1mme、s11、和s6a逻辑接口的数据以mme为单位都是完整的，前端接入设备解析接入的三个逻辑接口的数据，以ip信息为索引，识别出同一个mme的s1mme、s11和s6a逻辑接口，并将这三个逻辑接口的数据同时发给后端的一个关联解密设备上，多台mme的数据，以mme为单位均衡的负载分担到不同的关联解密设备，关联解密设备的处理过程分为三个阶段，第一阶段是进行数据的包解析，这个阶段会将三个逻辑接口的数据包里包含的消息类型及其他信息都提取出来，为第二阶段的数据关联做准备，第二阶段是进行多逻辑接口的数据关联，根据第一阶段解析到的网元ip、s1apid、teid的信息，将同一个用户在不同逻辑接口上的数据关联起来，关联起来之后，从s1mme逻辑接口获取到用户的加密算法类型，并从s6a逻辑接口获取到用户解密所需的秘钥信息，用于后面的解密，第三阶段是s1mme逻辑接口数据的解密，根据第二阶段获取的秘钥，及加密算法信息，分别对eea1、eea2、eea3三种加密算法，分别执行对应的解密计算逻辑，输入数据包中原始密文、秘钥和算法信息，计算出明文，并替换原始数据包中的密文，实现解密，并且将用户的imsi信息标记在数据包的mac头部，用于后端分流设备分流输出，后端分流设备收到前端解密后的数据后，从mac头部提取出用户的imsi号，然后根据imsi号计算哈希，对应到一个分流输出端口，并将这个用户的所有数据都从计算出的分流输出端口发送出去。

前端接入设备解析接入的3个接口数据，以mme为单位将s1mme、s11和s6a逻辑接口的数据负载分担到后端的一个关联解密设备上，关联解密设备进行数据的包解析，并基于解析的结果进行多接口的数据关联，关联起来之后，获取到用户的加密算法，及对应的秘钥，调用相应的解密算法解密，然后将国际移动用户识别码imsi号标记在数据包的mac字段，转发给后端的分流设备分流输出。

所述前端接入设备进行数据包的解析，识别出属于同一个mme的s1mme、s11和s6a逻辑接口，并按mme为单位将流量负载分担到中间的关联解密设备。

s1mme接口数据解密的装置根据不同大小的输入流量调整中间关联解密设备的数量，支持不同场景的需求。

中间的关联解密设备根据跨逻辑接口关联的结果，将s1mme逻辑接口的数据关联上国际移动用户识别码imsi号，并从s1mme逻辑接口获取加密算法，从s6a逻辑接口获取用户秘钥，用于s1mme逻辑接口的解密处理。

通过跨逻辑接口关联的结果，将获取到的秘钥和加密算法作为参数解密，支持eea1、eea2和eea3三种加密算法的解密。

后端分流设备在收到关联解密设备处理之后的数据包时，从数据包中提取国际用户识别码imsi号，并用于计算哈希输出端口，达到输出按国际用户识别码imsi号均衡分流的效果。

本发明的有益效果：本发明的一种s1mme接口数据解密的装置及其解密方法，将epc核心网的关联解密过程分为前端接入设备，中间关联解密设备，和后端分流设备3个阶段，通过同一个用户数据包的多逻辑接口关联，实现了对用户s1mme逻辑接口数据解密的方法与装置，该发明可以实现大流量下的多用户实时关联解密，并且关联解密后会将用户的imsi信息填写到数据包的mac(媒体存取控制)部分，从而使后端的分流设备能够将同一个用户的数据固定的分流到一个输出端口。

该发明将大流量的接入数据以mme为单位负载分担到多个关联解密设备，能够根据输入流量的大小，和并发的用户数灵活的调整关联解密设备的资源，避免了关联解密设备的处理瓶颈，能够很好的应对大流量高并发的场景。并当运营商调整链路或者扩容时，也能很方便的处理，更好的满足实际应用。

附图说明

下面结合附图和实施例对本发明作进一步描述。

图1为本发明解密装置的设备结构图。

图2为本发明s1mme逻辑接口关联解密装置的总体流程图。

具体实施方式

以下将结合附图对本发明进行详细说明，如图1，图2所示：本实施例的一种s1mme接口数据解密的装置，其以epc核心网104作为接入网络，包括前端接入设备101、关联解密设备102和后端分流设备103，前端接入设备101、关联解密设备102和后端分流设备103均设置有至少一个ge/10ge端口，前端接入设备101、关联解密设备102和后端分流设备103之间通过至少一对光纤直接连接，光纤进行数据传输，前端接入设备101上设置有s1mme逻辑接口105、s11逻辑接口106和s6a逻辑接口107，前端接入设备101通过ge/10ge端口接入epc核心网104的混合流量数据，以mme为单位将s1mme逻辑接口105、s11逻辑接口106和s6a逻辑接口107的数据负载分担到前端接入设备101的ge/10ge端口，通过光纤传输到关联解密设备102，关联解密设备对s1mme逻辑接口105、s11逻辑接口106和s6a逻辑接口107的数据做关联，提取秘钥和加密算法，对加密后的数据做解密处理，用明文替换密文，然后将关联上的国际移动用户识别码imsi号标记到数据包的mac字段，然后通过关联解密设备102上的ge/10ge端口将数据通过光纤转发给后端分流设备103，后端分流设备103提取数据包，将数据分流输出到不同的ge/10ge端口。

数据依次从前端接入设备101、关联解密设备102和后端分流设备103流过，数据流的流动方向是单向的。

图1为该发明所描述的s1mme接口数据解密的装置结构图。该装置在epc核心网旁路接入，由前端接入设备，中间关联解密设备和后端分流设备组成。标号101的是前端接入设备，标号102的是中间关联解密设备，标号103的是后端分流设备。

由epc核心网旁路接入前端接入设备101、关联解密设备102和后端分流设备103，前端接入设备101是对接入的所有原始链路数据进行解析，识别及负载分担，进入前端接入设备101的数据包，包括s1mme、s11、和s6a逻辑接口，这三个逻辑接口的数据以mme为单位都是完整的，前端接入设备101解析接入的三个逻辑接口的数据，以ip信息为索引，识别出同一个mme的s1mme、s11和s6a逻辑接口，并将这三个逻辑接口的数据同时发给后端的一个关联解密设备102上，多台mme的数据，以mme为单位均衡的负载分担到不同的关联解密设备102，关联解密设备102的处理过程分为三个阶段，第一阶段是进行数据的包解析，这个阶段会将三个逻辑接口的数据包里包含的消息类型及其他信息都提取出来，为第二阶段的数据关联做准备，第二阶段是进行多逻辑接口的数据关联，根据第一阶段解析到的网元ip、s1apid、teid的信息，将同一个用户在不同逻辑接口上的数据关联起来，关联起来之后，从s1mme逻辑接口获取到用户的加密算法类型，并从s6a逻辑接口获取到用户解密所需的秘钥信息，用于后面的解密，第三阶段是s1mme逻辑接口数据的解密，根据第二阶段获取的秘钥，及加密算法信息，分别对eea1、eea2、eea3三种加密算法，分别执行对应的解密计算逻辑，输入数据包中原始密文、秘钥和算法信息，计算出明文，并替换原始数据包中的密文，实现解密，并且将用户的imsi信息标记在数据包的mac头部，用于后端分流设备103分流输出，后端分流设备103收到前端解密后的数据后，从mac头部提取出用户的imsi号，然后根据imsi号计算哈希，对应到一个分流输出端口，并将这个用户的所有数据都从计算出的分流输出端口发送出去。

前端接入设备101解析接入的3个接口数据，以mme为单位将s1mme、s11和s6a逻辑接口的数据负载分担到后端的一个关联解密设备102上，关联解密设备102进行数据的包解析，并基于解析的结果进行多接口的数据关联，关联起来之后，获取到用户的加密算法，及对应的秘钥，调用相应的解密算法解密，然后将国际移动用户识别码imsi号标记在数据包的mac字段，转发给后端的分流设备分流输出。

所述前端接入设备101进行数据包的解析，识别出属于同一个mme的

s1mme、s11和s6a逻辑接口，并按mme为单位将流量负载分担到中间的关

联解密设备102。

装置根据不同大小的输入流量调整中间关联解密设备102的数量，支持不同场景的需求。

中间的关联解密设备102根据跨逻辑接口关联的结果，将s1mme逻辑接口的数据关联上国际移动用户识别码imsi号，并从s1mme逻辑接口获取加密算法，从s6a逻辑接口获取用户秘钥，用于s1mme逻辑接口的解密处理。

通过跨逻辑接口关联的结果，将获取到的秘钥和加密算法作为参数解密，支持eea1、eea2和eea3三种加密算法的解密。

后端分流设备103在收到关联解密设备102处理之后的数据包时，从数据包中提取国际用户识别码imsi号，并用于计算哈希输出端口，达到输出按国际用户识别码imsi号均衡分流的效果。

图2为该发明的总体流程图。该流程图的具体步骤如下：

标号201表示epc核心网多接口大流量数据同时接入到前端接入设备。前端接入设备会对接入的全量数据包进行包解析和内容提取。

标号202表示前端接入设备对包解析的结果进行分析，按mme为单位，将输入的多个接口流量负载分担到后端不同的关联解密设备。

标号203表示关联解密设备对输入的数据进行分类判断，识别出s1mme接口的数据。

标号210表示关联解密设备对输入的数据识别出s11接口的数据。

标号211表示关联解密设备对输入的数据识别出s6a接口的数据。

标号212表示关联解密设备识别出s6a接口数据之后，提取用户imsi与用户秘钥的对应关系，并缓存起来供解密使用。

标号204表示关联解密设备对s1mme接口的数据做进一步的分析，从特定的消息类型中提取出该用户的加密算法，按3gpp的规定，共有eea1，eea2，eea3三种加密算法。

标号205表示关联解密设备解析s1mme及s11接口之后，提取关联信息，将s1mme接口和s11接口都与用户imsi关联起来。

标号206表示关联解密设备在将s1mme接口关联上imsi之后，根据imsi查询s6a接口缓存的秘钥信息。

标号207表示关联解密设备根据前面查询到的秘钥，及加密算法，调用3gpp规定的解密算法进行解密计算，获取解密后的明文，并修改原始数据包，将明文替换掉数据包中的密文，得到解密后的数据包。

标号208表示关联解密设备根据关联到的imsi，将imsi按固定的格式打在数据包的mac头部，并发往后端的分流设备。

标号209表示后端分流设备收到了前端关联解密设备传回的数据包，取出mac头部打的imsi内容，根据imsi计算哈希，获得一个分流输出端口，并从这个端口发送出去。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。