[发明专利]一种S1MME接口数据解密的装置及其解密方法

权利要求书

1.一种S1MME接口数据解密的装置，其特征在于：其以EPC核心网作为接入网络，包括前端接入设备、关联解密设备和后端分流设备，前端接入设备、关联解密设备和后端分流设备均设置有至少一个GE/10GE端口，前端接入设备、关联解密设备和后端分流设备之间通过至少一对光纤直接连接，光纤进行数据传输，前端接入设备上设置有S1MME逻辑接口、S11逻辑接口和S6A逻辑接口，前端接入设备通过GE/10GE端口接入EPC核心网的混合流量数据，以MME为单位将S1MME逻辑接口、S11逻辑接口和S6A逻辑接口的数据负载分担到前端接入设备的GE/10GE端口，通过光纤传输到关联解密设备，关联解密设备对S1MME逻辑接口、S11逻辑接口和S6A逻辑接口的数据做关联，提取秘钥和加密算法，对加密后的数据做解密处理，用明文替换密文，然后将关联上的国际移动用户识别码IMSI号标记到数据包的MAC字段，然后通过关联解密设备上的GE/10GE端口将数据通过光纤转发给后端分流设备，后端分流设备提取数据包，将数据分流输出到不同的GE/10GE端口；

数据依次从前端接入设备、关联解密设备和后端分流设备流过，数据流的流动方向是单向的。

2.根据权利要求1所述的一种S1MME接口数据解密的解密方法，其特征在于：S1MME、S11、和S6A逻辑接口的数据以MME为单位都是完整的，前端接入设备解析接入的三个逻辑接口的数据，以IP信息为索引，识别出同一个MME的S1MME、S11和S6A逻辑接口，并将这三个逻辑接口的数据同时发给后端的一个关联解密设备上，多台MME的数据，以MME为单位均衡的负载分担到不同的关联解密设备，关联解密设备的处理过程分为三个阶段，第一阶段是进行数据的包解析，这个阶段会将三个逻辑接口的数据包里包含的消息类型及其他信息都提取出来，为第二阶段的数据关联做准备，第二阶段是进行多逻辑接口的数据关联，根据第一阶段解析到的网元IP、S1APID、TEID的信息，将同一个用户在不同逻辑接口上的数据关联起来，关联起来之后，从S1MME逻辑接口获取到用户的加密算法类型，并从S6A逻辑接口获取到用户解密所需的秘钥信息，用于后面的解密，第三阶段是S1MME逻辑接口数据的解密，根据第二阶段获取的秘钥，及加密算法信息，分别对EEA1、EEA2、EEA3三种加密算法，分别执行对应的解密计算逻辑，输入数据包中原始密文、秘钥和算法信息，计算出明文，并替换原始数据包中的密文，实现解密，并且将用户的IMSI信息标记在数据包的MAC头部，用于后端分流设备分流输出，后端分流设备收到前端解密后的数据后，从MAC头部提取出用户的IMSI号，然后根据IMSI号计算哈希，对应到一个分流输出端口，并将这个用户的所有数据都从计算出的分流输出端口发送出去。

3.根据权利要求2所述的一种S1MME接口数据解密的解密方法，其特征在于：前端接入设备解析接入的3个接口数据，以MME为单位将S1MME、S11和S6A逻辑接口的数据负载分担到后端的一个关联解密设备上，关联解密设备进行数据的包解析，并基于解析的结果进行多接口的数据关联，关联起来之后，获取到用户的加密算法，及对应的秘钥，调用相应的解密算法解密，然后将国际移动用户识别码IMSI号标记在数据包的MAC字段，转发给后端的分流设备分流输出。

4.根据权利要求3所述的一种S1MME接口数据解密的其解密方法，其特征在于：所述前端接入设备进行数据包的解析，识别出属于同一个MME的S1MME、S11和S6A逻辑接口，并按MME为单位将流量负载分担到中间的关联解密设备。

5.根据权利要求4所述的一种S1MME接口数据解密的解密方法，其特征在于：S1MME接口数据解密的装置根据不同大小的输入流量调整中间关联解密设备的数量，支持不同场景的需求。

6.根据权利要求5所述的一种S1MME接口数据解密的解密方法，其特征在于：中间的关联解密设备根据跨逻辑接口关联的结果，将S1MME逻辑接口的数据关联上国际移动用户识别码IMSI号，并从S1MME逻辑接口获取加密算法，从S6A逻辑接口获取用户秘钥，用于S1MME逻辑接口的解密处理。