本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法及裝置。

背景技術(shù)：

LTE(Long Term Evolution，長期演進)是由3GPP(The 3rd Generation Partnership Project，第三代合作伙伴計劃)組織制定的UMTS(Universal Mobile Telecommunications System，通用移動通信系統(tǒng))技術(shù)標(biāo)準(zhǔn)的長期演進。LTE系統(tǒng)引入了OFDM(Orthogonal Frequency Division Multiplexing，正交頻分復(fù)用)和MIMO(Multi-Input&Multi-Output，多輸入多輸出)等關(guān)鍵技術(shù)，顯著增加了頻譜效率和數(shù)據(jù)傳輸速率(20M帶寬2X2MIMO在64QAM情況下，理論下行最大傳輸速率為201Mbps，除去信令開銷后大概為150Mbps，但根據(jù)實際組網(wǎng)以及終端能力限制，一般認(rèn)為下行峰值速率為100Mbps，上行為50Mbps)，并支持多種帶寬分配：1.4MHz，3MHz，5MHz，10MHz，15MHz和20MHz等，且支持全球主流2G/3G頻段和一些新增頻段，因而頻譜分配更加靈活，系統(tǒng)容量和覆蓋也顯著提升。LTE系統(tǒng)網(wǎng)絡(luò)架構(gòu)更加扁平化簡單化，減少了網(wǎng)絡(luò)節(jié)點和系統(tǒng)復(fù)雜度，從而減小了系統(tǒng)時延，也降低了網(wǎng)絡(luò)部署和維護成本。LTE系統(tǒng)支持與其他3GPP系統(tǒng)互操作。根據(jù)雙工方式不同LTE系統(tǒng)分為FDD-LTE(Frequency Division Duplexing)和TDD-LTE(Time Division Duplexing)，二者技術(shù)的主要區(qū)別在于空口的物理層上(像幀結(jié)構(gòu)、時分設(shè)計、同步等)。FDD系統(tǒng)空口上下行采用成對的頻段接收和發(fā)送數(shù)據(jù)，而TDD系統(tǒng)上下行則使用相同的頻段在不同的時隙上傳輸，較FDD雙工方式，TDD有著較高的頻譜利用率。

目前，大致有以下技術(shù)方案可以實現(xiàn)LTE系統(tǒng)內(nèi)部NAS消息的解密：

只監(jiān)測S6a接口，從該接口采集密鑰，建立‘IMSI-密鑰’的對應(yīng)關(guān)系表；監(jiān)測S1-MME接口的Attach Accept、TAU Accept、GUTI Reallocation Command消息，捕獲到新分配的GUTI，建立新GUTI和舊GUTI的對應(yīng)關(guān)系，同時監(jiān)測鑒權(quán)過程，和S6a接口關(guān)聯(lián)后，建立‘GUTI-IMSI’的對應(yīng)關(guān)系；當(dāng)后續(xù)的過程需要解密時，首先根據(jù)GUTI查找到IMSI，再根據(jù)IMSI查找到密鑰，調(diào)用相應(yīng)的解密函數(shù)進行解密。

然而，當(dāng)一個UE從監(jiān)測范圍外的MME移動到監(jiān)測范圍內(nèi)的MME時，密鑰會在兩個MME之間的S10接口上傳遞，但是并不會出現(xiàn)在S6a接口上，因此僅采集S6a接口，不能獲得這種場景下的密鑰，造成解密失敗的技術(shù)問題。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供了一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法及裝置，解決了現(xiàn)有的當(dāng)一個UE從監(jiān)測范圍外的MME移動到監(jiān)測范圍內(nèi)的MME時，密鑰會在兩個MME之間的S10接口上傳遞，但是并不會出現(xiàn)在S6a接口上，因此僅采集S6a接口，不能獲得這種場景下的密鑰，造成的解密失敗的技術(shù)問題。

本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法，包括：

從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；

將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；

通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。

優(yōu)選地，通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密之前還包括：

通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系。

優(yōu)選地，從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系具體包括：

從S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI參數(shù)和密鑰，建立IMSI-密鑰對應(yīng)關(guān)系。

優(yōu)選地，將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系具體包括：

從S1-MME接口的Attach Request、TAU Request消息中提取GUTI參數(shù)，從S10接口的Identification Request、Context Request中提取GUTI參數(shù)，利用GUTI參數(shù)將S10和S1-MME接口關(guān)聯(lián)，并建立GUTI-IMSI對應(yīng)關(guān)系。

優(yōu)選地，從S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI參數(shù)和密鑰，建立IMSI-密鑰對應(yīng)關(guān)系具體包括：

從S10接口的Identification Response消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)；

從S10接口的Context Response消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)；

從S10接口的Forward Relocation Request消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)。

本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密裝置，包括：

采集單元，用于從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；

關(guān)聯(lián)單元，用于將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；

解密單元，用于通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。

優(yōu)選地，LTE系統(tǒng)內(nèi)部NAS消息的解密裝置還包括：

確定單元，用于通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系。

優(yōu)選地，采集單元，具體用于從S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI參數(shù)和密鑰，建立IMSI-密鑰對應(yīng)關(guān)系。

優(yōu)選地，關(guān)聯(lián)單元，具體從S1-MME接口的Attach Request、TAU Request消息中提取GUTI參數(shù)，從S10接口的Identification Request、Context Request中提取GUTI參數(shù)，利用GUTI參數(shù)將S10和S1-MME接口關(guān)聯(lián)，并建立GUTI-IMSI對應(yīng)關(guān)系。

優(yōu)選地，采集單元包括：

第一采集子單元，用于從S10接口的Identification Response消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)；

第二采集子單元，用于通從S10接口的Context Response消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)；

第三采集子單元，用于從S10接口的Forward Relocation Request消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)。

從以上技術(shù)方案可以看出，本發(fā)明實施例具有以下優(yōu)點：

本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法及裝置，其中，LTE系統(tǒng)內(nèi)部NAS消息的解密方法包括：從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。本實施例中，通過從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密，解決了現(xiàn)有的當(dāng)一個UE從監(jiān)測范圍外的MME移動到監(jiān)測范圍內(nèi)的MME時，密鑰會在兩個MME之間的S10接口上傳遞，但是并不會出現(xiàn)在S6a接口上，因此僅采集S6a接口，不能獲得這種場景下的密鑰，造成的解密失敗的技術(shù)問題。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其它的附圖。

圖1為本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法的一個實施例的流程示意圖；

圖2為本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法的另一個實施例的流程示意圖；

圖3為本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密裝置的一個實施例的結(jié)構(gòu)示意圖；

圖4為本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密裝置的另一個實施例的結(jié)構(gòu)示意圖；

圖5(a)為Identification過程流程示意圖；

圖5(b)為Context過程流程示意圖；

圖5(c)為Forward Relocation過程流程示意圖；

圖5(d)為MM Context參數(shù)包含的加密相關(guān)的參數(shù)示意圖；

圖5(e)為密鑰數(shù)據(jù)結(jié)構(gòu)示意圖。

具體實施方式

本發(fā)明實施例提供了一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法及裝置，解決了現(xiàn)有的當(dāng)一個UE從監(jiān)測范圍外的MME移動到監(jiān)測范圍內(nèi)的MME時，密鑰會在兩個MME之間的S10接口上傳遞，但是并不會出現(xiàn)在S6a接口上，因此僅采集S6a接口，不能獲得這種場景下的密鑰，造成的解密失敗的技術(shù)問題。

IMSI：International Mobile Subscriber Identification Number，國際移動用戶識別碼，永久且唯一標(biāo)識一個用戶；

GUTI：Globally Unique Temporary UE Identity，全球唯一臨時UE標(biāo)識，在某段時間內(nèi)唯一標(biāo)識一個用戶；

UE：User Equipment，用戶設(shè)備；

TEID：Tunnel Endpoint Identifier，隧道端點標(biāo)識；

Attach：附著過程；

TAU：Tracking Area Update，跟蹤區(qū)更新過程；

Service Request過程：業(yè)務(wù)請求過程，包含很多消息；

Service Request消息：是EMM消息，不是指一個過程；

MCC：Mobile Country Code，移動國家碼，表示國家，如中國、美國；

MNC：Mobile Network Code，移動網(wǎng)絡(luò)碼，表示運營商，如中國移動；

MMEGI：MME Group ID，MME組標(biāo)識；

MMEC：MME Code，MME編碼，識別MME組內(nèi)的一個MME；

S-TMSI：S-Temporary Mobile Subscriber Identity，臨時移動用戶標(biāo)識，可以標(biāo)識一個MME內(nèi)的用戶，GUTI參數(shù)的一部分。

為使得本發(fā)明的發(fā)明目的、特征、優(yōu)點能夠更加的明顯和易懂，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，下面所描述的實施例僅僅是本發(fā)明一部分實施例，而非全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例，都屬于本發(fā)明保護的范圍。

請參閱圖1，本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法的一個實施例包括：

101、從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；

本實施例中，當(dāng)需要對NAS消息解密時，首先需要從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系。

102、將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；

當(dāng)從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系之后，需要將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系。

103、通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。

當(dāng)將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系之后，需要通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。

本實施例中，通過從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密，解決了現(xiàn)有的當(dāng)一個UE從監(jiān)測范圍外的MME移動到監(jiān)測范圍內(nèi)的MME時，密鑰會在兩個MME之間的S10接口上傳遞，但是并不會出現(xiàn)在S6a接口上，因此僅采集S6a接口，不能獲得這種場景下的密鑰，造成的解密失敗的技術(shù)問題。

上面是對LTE系統(tǒng)內(nèi)部NAS消息的解密方法的過程進行的描述，下面將對具體過程進行詳細的描述，請參閱圖2，本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密方法的另一個實施例包括：

201、從LTE系統(tǒng)S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI參數(shù)和密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；

本實施例中，當(dāng)需要對NAS消息解密時，首先需要從LTE系統(tǒng)S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI參數(shù)和密鑰，建立IMSI-密鑰對應(yīng)關(guān)系。

前述的從LTE系統(tǒng)S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI參數(shù)和密鑰，建立IMSI-密鑰對應(yīng)關(guān)系具體如下：

從S10接口的Identification Response消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)；

從S10接口的Context Response消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)；

從S10接口的Forward Relocation Request消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)。

202、從S1-MME接口的Attach Request、TAU Request消息中提取GUTI參數(shù)，從S10接口的Identification Request、Context Request中提取GUTI參數(shù)，利用GUTI參數(shù)將S10和S1-MME接口關(guān)聯(lián)，并建立GUTI-IMSI對應(yīng)關(guān)系；

當(dāng)從LTE系統(tǒng)S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI參數(shù)和密鑰，建立IMSI-密鑰對應(yīng)關(guān)系之后，需要從S1-MME接口的Attach Request、TAU Request消息中提取GUTI參數(shù)，從S10接口的Identification Request、Context Request中提取GUTI參數(shù)，利用GUTI參數(shù)將S10和S1-MME接口關(guān)聯(lián)，并建立GUTI-IMSI對應(yīng)關(guān)系。

203、通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系；

當(dāng)從S1-MME接口的Attach Request、TAU Request消息中提取GUTI參數(shù)，從S10接口的Identification Request、Context Request中提取GUTI參數(shù)，利用GUTI參數(shù)將S10和S1-MME接口關(guān)聯(lián)，并建立GUTI-IMSI對應(yīng)關(guān)系之后，需要通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系。

204、通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。

當(dāng)通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系之后，需要通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。

下面以一具體應(yīng)用場景進行描述，如圖5所示，應(yīng)用例包括：

在移動通信系統(tǒng)中，出于保密的原因，往往會啟動NAS消息的加密過程，對信令消息進行加密。通過S10接口采集密鑰，可以處理UE在MME之間移動時，在MME之間傳遞密鑰的情況，解決一部分的解密問題，是對處理S6a接口密鑰的方法的一個補充。利用S10接口進行解密的過程一般分為3個步驟：

第一步：從S10接口采集密鑰，建立‘IMSI-密鑰’對應(yīng)表

在S10接口上有3個過程會傳遞密鑰：Identification過程、Context過程、Forward Relocation過程，從中提取出密鑰，流程如下：

(1)Identification過程流程

UE的attach過程，會觸發(fā)S10接口的Identification過程，在Identification Response消息里面，會有IMSI，以及MM Context參數(shù)，其中包含密鑰，消息流程如圖5(a)所示；

(2)Context過程

UE的TAU過程，會觸發(fā)S10接口的Context過程，在Context Response消息里面，會有IMSI，以及MM Context參數(shù)，其中包含密鑰，消息流程如5(b)所示；

(3)Forward Relocation過程

UE的跨MME的切換過程，會觸發(fā)S10接口的Forward Relocation過程，在Forward Relocation Request消息里面，會有IMSI，以及MM Context參數(shù)，其中包含密鑰，消息流程如圖5(c)所示；

從上述3個過程中提取出IMSI、密鑰，建立‘IMSI-密鑰’對應(yīng)關(guān)系表。上面流程中的MM Context參數(shù)，包含了很多的信息，如圖5(d)；

圖5(d)中陰影背景的是加密相關(guān)的參數(shù)，尤其是Kasme參數(shù)，是正在使用的密鑰，需要保存到相關(guān)數(shù)據(jù)結(jié)構(gòu)中；authentication Quadruplet中包含了多個密鑰，是后續(xù)要使用的密鑰，數(shù)據(jù)結(jié)構(gòu)如圖5(e)。

第二步：S1-MME和S10關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系

從S1-MME接口的流程中提取GUTI參數(shù)，利用關(guān)聯(lián)算法將S1-MME和S10接口關(guān)聯(lián)，建立GUTI-IMSI的對應(yīng)關(guān)系；

第三步：NAS消息解密

經(jīng)過第一步、第二步的處理之后，建立了‘GUTI-IMSI-密鑰’的對應(yīng)關(guān)系，若本次流程中，或者后續(xù)的通信過程中，接收到該UE的加密后的信令流程，那么就可以根據(jù)流程中的GUTI參數(shù)，利用上述對應(yīng)關(guān)系，找到IMSI，進而找到密鑰，調(diào)用解密函數(shù)，對加密的NAS消息包進行解密處理。

本技術(shù)的關(guān)鍵點是從S10接口采集MME間傳遞的密鑰，對NAS消息進行解密，是對S6a傳統(tǒng)方法的一個完善。

從S1-MME接口的Attach Request、TAU Request消息中提取GUTI參數(shù)，從S10接口的Identification Request、Context Request中提取GUTI參數(shù)，利用GUTI參數(shù)將S10和S1-MME接口關(guān)聯(lián)的方法；

從S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI、密鑰等安全性參數(shù)；

利用S10的密鑰對S1-MME接口的NAS消息進行解密。

現(xiàn)有的僅用S6a接口的密鑰對NAS消息進行解密的方法，并不能處理監(jiān)測范圍外的MME向監(jiān)測范圍內(nèi)的MME移動時，在MME間傳遞密鑰的這種場景，存在著缺陷。本申請?zhí)岚钢械睦肧10接口的密鑰對NAS消息進行解密的技術(shù)，彌補了僅利用S6a接口的密鑰進行NAS解密的不足，是對現(xiàn)有方案的一個強有力的補充。本發(fā)明不受監(jiān)測范圍的限制。只要監(jiān)測當(dāng)前MME的周邊接口，即使監(jiān)測不到原MME所在的網(wǎng)絡(luò)中HSS分配的密鑰，對NAS解密也沒有影響，因為密鑰會在2個MME間傳遞。

本實施例中，通過從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密，解決了現(xiàn)有的當(dāng)一個UE從監(jiān)測范圍外的MME移動到監(jiān)測范圍內(nèi)的MME時，密鑰會在兩個MME之間的S10接口上傳遞，但是并不會出現(xiàn)在S6a接口上，因此僅采集S6a接口，不能獲得這種場景下的密鑰，造成的解密失敗的技術(shù)問題。

請參閱圖3，本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密裝置的一個實施例包括：

采集單元301，用于從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；

關(guān)聯(lián)單元302，用于將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；

解密單元303，用于通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。

本實施例中，通過采集單元301從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；關(guān)聯(lián)單元302將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；解密單元303通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密，解決了現(xiàn)有的當(dāng)一個UE從監(jiān)測范圍外的MME移動到監(jiān)測范圍內(nèi)的MME時，密鑰會在兩個MME之間的S10接口上傳遞，但是并不會出現(xiàn)在S6a接口上，因此僅采集S6a接口，不能獲得這種場景下的密鑰，造成的解密失敗的技術(shù)問題。

上面是對LTE系統(tǒng)內(nèi)部NAS消息的解密裝置的各單元進行詳細的描述，下面將對子單元進行描述，請參閱圖4，本發(fā)明實施例提供的一種LTE系統(tǒng)內(nèi)部NAS消息的解密裝置的另一個實施例包括：

采集單元401，用于從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系，采集單元401，具體用于從S10接口的Identification Response、Context Response、Forward Relocation Request消息中提取IMSI參數(shù)和密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；

采集單元401包括：

第一采集子單元4011，用于從S10接口的Identification Response消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)；

第二采集子單元4012，用于通從S10接口的Context Response消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)；

第三采集子單元4013，用于從S10接口的Forward Relocation Request消息里面提取IMSI參數(shù)，以及包含有密鑰的MM Context參數(shù)。

關(guān)聯(lián)單元402，用于將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系，關(guān)聯(lián)單元402，具體從S1-MME接口的Attach Request、TAU Request消息中提取GUTI參數(shù)，從S10接口的Identification Request、Context Request中提取GUTI參數(shù)，利用GUTI參數(shù)將S10和S1-MME接口關(guān)聯(lián)，并建立GUTI-IMSI對應(yīng)關(guān)系；

確定單元403，用于通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系

解密單元404，用于通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密。

本實施例中，通過采集單元401從LTE系統(tǒng)內(nèi)部S10接口采集密鑰，建立IMSI-密鑰對應(yīng)關(guān)系；關(guān)聯(lián)單元402將S1-MME接口和S10接口關(guān)聯(lián)，建立GUTI-IMSI對應(yīng)關(guān)系；解密單元404通過S10接口采集的密鑰以及通過建立的IMSI-密鑰對應(yīng)關(guān)系與GUTI-IMSI對應(yīng)關(guān)系確定GUTI-IMSI-密鑰對應(yīng)關(guān)系對S1-MME接口的NAS消息進行解密，解決了現(xiàn)有的當(dāng)一個UE從監(jiān)測范圍外的MME移動到監(jiān)測范圍內(nèi)的MME時，密鑰會在兩個MME之間的S10接口上傳遞，但是并不會出現(xiàn)在S6a接口上，因此僅采集S6a接口，不能獲得這種場景下的密鑰，造成的解密失敗的技術(shù)問題。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應(yīng)過程，在此不再贅述。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的系統(tǒng)，裝置和方法，可以通過其它的方式實現(xiàn)。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，LTE系統(tǒng)內(nèi)部NAS消息的解密服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述，以上實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實施例對本發(fā)明進行了詳細的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實施例所記載的技術(shù)方案進行修改，或者對其中部分技術(shù)特征進行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。