[发明专利]用户装备移动期间的LTE网络呼叫关联

说明书

技术领域

实施例一般地涉及监视LTE网络上的数据分组，且更具体地讲，涉及在用户装备移交（handover）期间解密（decipher）捕捉的数据分组。

背景技术

在长期演进(LTE)网络中，用户装备(UE)与增强节点B(eNodeB)网络实体通信。eNodeB由移动性管理实体(MME)控制。当UE附接到LTE网络时，UE和关联的MME经历认证和密钥协商(Authentication and Key Agreement，AKA)过程，该过程使UE和网络彼此认证。AKA过程还产生用于对UE和网络之间的业务加密的密钥（key）。当AKA过程完成时，UE和网络之间交换的多数消息业务在传输之前被加密。加密的业务不能被读取，除非接收方具有发送方用于对消息加密的密钥。

当在eNodeB之间发生UE移交时，出现另外的问题。当UE移交到另一eNodeB时，能够使用解密附接到第一eNodeB的UE的消息所需的密钥。然而，当发生基于S1或基于X2的移交时，网络监视装备不能看见UE移交的新AKA过程。因此，监视系统必须识别移交的UE的正确的安全上下文（context）以通过新eNodeB解密业务。由于技术的不同，在LTE/SAE网络上不能使用3G网络上为了监视目的可用于密钥的关联的算法。LTE网络结构完全不同于3G网络，包括不同接口和不同类型的数据。因此，已经适当用于其它网络的算法不能用于解决跟踪用于移交的密钥的问题。

发明内容

网络运营商可使用从网络接口捕捉分组数据单元(PDU)并分析之的监视装备监视LTE网络。这些PDU可以关联以在每个用户的基础上创建会话记录。然而，如果PDU被加密，则它们不能被容易地关联。监视装备必须具有正确密钥以解密PDU。UE附接到网络并与网络建立加密密钥。监视系统必须在UE附接时捕捉加密密钥或用于产生加密密钥的信息，否则它将会无法解密与UE关联的消息。

对于UE从一个eNodeB移交到另一eNodeB的UE移动，MME具有UE的加密密钥并知道哪个eNodeB将会是移交的目标。网络监视系统能够最初从朝着源eNodeB的S1-MME接口上的AKA过程获得解密业务所需的密钥。然而，在移交期间，MME将会把移交请求消息发送给目标eNodeB，但这个消息不具体识别UE或者提供用于链接不同eNodeB之间的呼叫支路（leg）的明显机制。监视系统能够观测到移交已发生，但不能确定涉及哪个UE。在移交之后，UE将会使用已有安全上下文与新eNodeB通信。当UE附接到目标eNodeB时，通常它不会启动新的AKA过程，因此监视装备将会无法捕捉移交之后解密业务所需的密钥。

为了链接移交前后的呼叫支路，监视装备能够使用在移交请求消息中发送的下一跳(NH)密钥参数。这个密钥在网络中具有“前向安全性（forward security）”的作用，并且由具有链式推导（chaining derivation）的MME从K_ASME和K_eNB密钥开始推导这个密钥。监视装备具有移交之前的UE的K_ASME(密钥访问安全性管理条目)和K_eNB(eNodeB密钥)。使用这些密钥，它能够计算下一跳链式计数器(NCC)以及NH值。监视系统能够存储NH和NCC值并且将会使用它们针对不同eNodeB把呼叫支路链接在一起。

附图说明

在这样对本发明进行了概括描述之后，现在将参考附图，其中：

图1是表示LTE(长期演进)和SAE(系统架构演进)网络架构的方框图；

图2表示下一跳(NH)密钥推导机制；

图3表示MME内移动，其中UE从源eNodeB移交到将基于S1的信令用于同一MME的目标eNodeB；

图4表示上下文跟踪表，其包括由监视系统检测的多个当前安全上下文的UE上下文信息；以及

图5表示针对基于X2的移交在X2和S1接口上交换的消息。

具体实施方式

现在将在下文中参考附图对本发明进行更为全面的描述。然而，本发明可以以许多不同的形式来实现，并且不应当被理解为局限于这里所给出的实施例。相反，提供这些实施例以使得本公开将是全面和完整的，并且将完全向本领域技术人员表达了本发明的范围。本领域技术人员能够使用本发明的各个实施例。