-
Die
vorliegende Erfindung betrifft eine Vorrichtung und ein Verfahren
zur Kommunikationsüberwachung
in einem Mobilfunknetz, bei dem die Daten in Form von Datenpaketen übertragen
werden, wobei jeder Mobilfunkteilnehmer einer Funkzugriffseinheit zugeordnet
ist, die per Funk Daten mit dem Mobilfunkteilnehmer austauschen
kann, wobei sich die Zuordnung durch Bewegung des Mobilfunkteilnehmers ändern kann,
wobei jede Funkzugriffseinheit über
einen ersten Link mit einer Versorgungsschalteinheit verbunden ist,
wobei jede Versorgungsschalteinheit Daten zwischen mehreren ihr
zugeordneten Funkzugriffseinheiten oder mit einer höheren Instanz
austauscht, der mehrere Versorgungsschalteinheiten zugeordnet sind,
wobei jede Versorgungsschalteinheit über einen zweiten Link mit
einer Teilnehmerdatenbankeinheit verbunden ist, wobei die Teilnehmerdatenbankeinheit
teilnehmerorientierte Daten der ihr zugeordneten Mobilfunkteilnehmer
enthält,
wobei der Datenaustausch zwischen einer Funkzugriffseinheit und
der ihr zugeordneten Versorgungsschalteinheit verschlüsselt erfolgt,
wobei zur Verschlüsselung
eines ersten Links zumindest ein erster Verschlüsselungsparameter und ein zweiter
Verschlüsselungsparameter
von der Teilnehmerdatenbankeinheit bereitgestellt wird und der zweite
Verschlüsselungsbestandteil
dynamisch gewonnen wird aus dem Datenaustausch zwischen der Funkzugriffseinheit
und der ihr zugeordneten Versorgungsschalteinheit.
-
Im
Nachfolgenden wird die vorliegende Erfindung zum besseren Verständnis am
Beispiel eines GPRS (General Packet Radio Services) Netzwerkes beschrieben.
Sie ist jedoch ohne Weiteres auf andere Standards anwendbar, die
unter die gattungsgemäße Vorrichtung
bzw. unter das gattungsgemäße Verfahren
fallen, zum Beispiel UMTS (Universal Mobile Telecommunication System).
Darüber
hinaus kann die Erfindung bei entsprechender Weiterbildung auch auf
Standards mit mehr als zwei Verschlüsselungsparametern angewendet
werden, wie es für
den Fachmann offensichtlich ist. Lediglich klarstellend sei hinzugefügt, dass
die übermittelten
Daten im Mobilfunknetz nützliche
Daten und Signaldaten einschließen.
-
Im
Bereich des GPRS-Standards betrifft die Versorgungsschalteinheit
einen SGSN (Serving GPRS Support Node), der erste Link eine Gb-Schnittstelle, der
zweite Link eine Gr-Schnittstelle, die Funkzugriffseinheit ein BSS
(Base Station Subsystem) und die Teilnehmereinheit ein HLR (Home
Location Register).
-
Eine
gattungsgemäße Vorrichtung,
mit der ein gattungsgemäßes Verfahren
durchgeführt
werden kann, wird von der Anmelderin der vorliegenden Anmeldung
unter der Bezeichnung "Tektronix
K1205" vertrieben.
Beim K1205 handelt es sich um ein tragbares, alleinstehendes Gerät, das gleichsam
als eine an einer Leitung angeschlossene Sonde arbeitet, wobei das
Entschlüsseln
innerhalb einer Überwachungsanwendung
abläuft,
für die
das Gerät
speziell konfiguriert werden kann. Alle benötigten Gb- und Gr-Schnittstellen müssen direkt
am K1205 angeschlossen werden, wofür insgesamt 16 Anschlüsse bereit
stehen. Ein Zusammenwirken und insbesondere ein Austausch von Verschlüsselungsparametern
mit anderen K1205 ist nicht möglich.
Jegliche, auf das Entschlüsseln
folgende Verarbeitung, beispielsweise die Erstellung von Statistiken
und Call Traces, erfolgen direkt im Gerät, da die entschlüsselten
Daten on-line nicht weitergegeben werden können. Eine off-line Verarbeitung,
d.h., eine Verarbeitung nicht in Echtzeit, über Aufzeichnungsdateien ist jedoch
möglich.
-
Daher
läßt sich
mit dem K1205 zwar die Kommunikation ausgewählter Mobilfunkteilnehmer überwachen,
eine Echtzeitüberwachung
eines SGSN bzw. eines kompletten Mobilfunknetz ist jedoch nicht möglich.
-
Andere Überwachungssysteme
von Tektronix werden auf der Tektronix-Homepage vorgestellt, siehe hierzu insbesondere "Monitoring System NET-7" TEKTRONIX, 2001,
Seiten 1 bis 4, und "Managing
Quality of Service, Security, Roaming Scenarios and Charging Functions
in the New GPRS Packet-Switched Domain" TEKTRONIX 2001, Seiten 1 bis 16.
-
Der
vorliegenden Erfindung liegt deshalb die Aufgabe zu Grunde, eine
gattungsgemäße Vorrichtung
bzw. ein gattungsgemäßes Verfahren
derart weiterzubilden, dass eine verbesserte Kommunikationsüberwachung
in einem Mobilfunknetz ermöglicht wird.
Bevorzugt soll die Weiterbildung dergestalt sein, dass sie in bevorzugten
Ausführungsformen
die Überwachung
eines kompletten Mobilfunknetzes gestattet.
-
Diese
Aufgabe wird gelöst
durch eine Vorrichtung mit den Merkmalen von Patentanspruch 1 und
ein Verfahren mit den Merkmalen von Patentanspruch 11.
-
Die
oben erwähnten
Aufgaben könnten selbst
bei Verwendung mehrerer K1205 nicht gelöst werden: Zunächst ist
ein K1205 nicht geeignet, mit anderen Geräten zusammenzuwirken. Würde nunmehr
ein K1205 erweitert, d.h., von 16 Anschlüssen auf eine beliebige Anzahl
von Anschlüssen,
so könnte
dennoch nur eine Überwachung
an einem festen Ort stattfinden, beispielsweise an einem SGSN, da die
einzelnen Bauelemente eines K1205 nicht separat voneinander betrieben
werden können.
Ein Zusammenwirken mit K1205-Geräten,
die beispielsweise an anderen SGSN angeordnet sind, ist somit nicht möglich. Wenn
die Daten von einzelnen K1205 gesammelt würden, insbesondere aufgrund
fehlender Verschlüsselungsparameter
in unverschlüsselter Form,
und an einen Punkt weitergeleitet würden, so könnte keine Überwachung in Echtzeit mehr
erfolgen. Quasi unmöglich
wird die Überwachung,
wenn ein Mobilfunkteilnehmer von der Zuständigkeit eines ersten SGSN
in die Zuständigkeit
eines zweiten SGSN wechselt. Da der zweite SGSN keine Information über die
beim Verbindungsaufbau übertragenen Entschlüsselungsparameter
hat (diese Information wäre
beim ersten SGSN niedergelegt), könnte der zweite SGSN keine
Entschlüsselung
von Daten vornehmen.
-
Die
Erfindung geht deshalb einen völlig
anderen Weg: Ihr liegt die Erkenntnis zu Grunde, dass dem Problem
in idealer Weise begegnet werden kann, wenn anstatt eines alleinstehenden
Geräts
ein dezentralisiertes Überwachungssystem
verwendet wird. Eine intelligente Aufteilung der Funktionalitäten ermöglicht ein
Zusammenwirken einer Vielzahl von Komponenten, die eine Echtzeitüberwachung
sogar eines kompletten Mobilfunknetzes gestatten. Durch die erfindungsgemäße Entschlüsselungsarchitektur wird
ein nicht-eingreifendes Überwachungssystem zur
Verfügung
gestellt, das in der Lage ist, den Entschlüsselungsprozess automatisch
zu managen. Dadurch läßt sich
eine Protokollanalyse oder eine Ablaufverfolgung auch auf verschlüsselten
Paketen durchführen.
-
Die
nachfolgenden Ausführungen
beschreiben die an einem SGSN zu lokalisierenden Komponenten, wobei
diese Komponenten über
entsprechende Verbindungen, beispielsweise ein LAN (Local Area Network)
oder ein WAN (Wide Area Network), mit entsprechenden Komponenten
anderer SGSN zusammenwirken können.
Verschiedene andere Konstellationen können je nach Anwendungszweck sinnvoll
sein, wovon nachfolgend einige wenige beispielhaft beschrieben werden
sollen: So ist es beispielsweise möglich, dass die Verarbeitungsgeräte mehrerer
SGSN mit einem Gerät
zum Bereitstellen von Entschlüsselungsparametern
und einem Gerät zum
Bereitstellen von entschlüsselten
Daten zusammenwirken können.
Es liegt auch im Umfang der vorliegenden Erfindung, dass die Verarbeitungsgeräte eines
SGSN ihre Verschlüsselungsparameter
bzw. entschlüsselten
Daten nicht nur an die dem entsprechenden SGSN zugeordneten Gerät zum Bereitstellen
von Entschlüsselungsparametern
und das Gerät zum
Bereitstellen von entschlüsselten
Daten übermitteln,
sondern auch an eine vorgebbare Anzahl benachbarter SGSN, in die
der Mobilfunkteilnehmer bei Änderung
seines Standortes wechseln könnte.
-
Das
mindestens eine Verarbeitungsgerät
ist mit dem mindestens einen Gerät
zur Bereitstellung eines Entschlüsselungsparameters
sowie dem mindestens einen Gerät
zur Bereitstellung von entschlüsselten
Daten vorzugsweise über
ein LAN oder ein WAN gekoppelt. Insbesondere bei GPRS-Anwendungen
sind die Daten auf dem ersten Link (26) verschlüsselt jeweils
mittels eines dritten Verschlüsselungsparameters,
wobei der dritte Verschlüsselungsparameter
insbesondere eine Abfolgenummer eines übermittelten Datenpakets ist,
wobei das zumindest eine Verarbeitungsgerät ausgelegt ist, den dritten Verschlüsselungsparameter
zu ermitteln und ihn zum Entschlüsseln
der auf dem jeweiligen ersten Link übertragenen Daten zu verwenden.
-
Bevorzugt
weist jedes Verarbeitungsgerät eine
Vorrichtung zum Verzögern
der Weiterleitung ausgewählter
Datenpakete auf, insbesondere derart, dass am Ausgang eines Verarbeitungsgerätes ein sortierter
Datenstrom von Datenpaketen bereitstellbar ist, unabhängig davon,
ob ein Datenpaket verschlüsselt
war oder nicht. Vereinfacht dargestellt, tritt damit ein verschlüsselter
Datenstrom in ein Verarbeitungsgerät ein und verläßt dieses
entschlüsselt
wieder, wobei die ursprüngliche
Reihenfolge beibehalten werden kann. Insbesondere im Hinblick auf
die Vielzahl möglicher
Nachbearbeitungen und Auswertungen ist dies von Vorteil. Selbstverständlich ist
es möglich,
in einem Verarbeitungsgerät
Filterfunktionen zu realisieren, die dann auf den Datenstrom unverschlüsselter
und entschlüsselter
Datenpakete angewendet werden können.
-
Im
Hinblick auf Echtzeitanwendungen hat es sich als besonders vorteilhaft
erwiesen, wenn jedes Verarbeitungsgerät eine erste Speichervorrichtung, insbesondere
einen Cache, umfaßt,
in die von dem Gerät
zur Bereitstellung von Entschlüsselungsparametern
bereitgestellten Entschlüsselungsparameter speicherbar
sind. Damit lassen sich für
denselben Mobilfunkteilnehmer wiederholte Anfragen nach den aktuellen
Entschlüsselungsparametern
an das Gerät zur
Bereitstellung von Entschlüsselungsparametern vermeiden.
Für besonders
schnelle Zugriffszeiten sollte der Speicher klein gehalten werden,
wobei bevorzugt ist, die Speichervor richtung so auszulegen, dass
die altesten Einträge
von den jüngsten
Einträgen überschrieben
werden.
-
Besonders
gute Ergebnisse konnten dadurch erzielt werden, dass mehrere Verarbeitungsgeräte parallel
zu zugeordneten Geräten
zur Bereitstellung von Entschlüsselungsparametern
und zugeordneten Geräten
zur Bereitstellung von entschlüsselten Daten
zusammenwirken, wobei die Anzahl der Verarbeitungsgeräte ausgelegt
wurde, um alle ersten und zweiten Links, die mindestens einer Versorgungsschalteinheit
zugeordnet sind, zu erfassen. Insbesondere sei hier eine Realisierung
erwähnt,
bei der für
eine Versorgungsschalteinheit mehrere Verarbeitungsgeräte, ein
Gerät zur
Bereitstellung von Entschlüsselungsparametern
und ein Gerät
zur Bereitstellung von entschlüsselten
Daten zusammengewirkt haben. Eine Gliederung der erfindungsgemäßen Überwachungsvorrichtung
in Einheiten pro Versorgungsschalteinheit erlaubt eine übersichtliche Konfiguration
und daher einen einfachen Aufbau.
-
Bevorzugt
werden die Verarbeitungsgeräte bei
den SGSN angeordnet, das Gerät
zur Bereitstellung von Entschlüsselungsparametern
beispielsweise zentral zwischen mehreren SGSN, für die er zuständig ist
und das Gerät
zur Bereitstellung von entschlüsselten
Daten in der Nähe
von Vorrichtungen, die für
die Weiterverarbeitung des entschlüsselten Datenstroms in Frage
kommen.
-
Bei
dem erfindungsgemäßen Verfahren
wird in einem Verarbeitungsgerät
zunächst
geprüft,
ob ein eingehendes Datenpaket verschlüsselt ist oder nicht. Wenn
das Datenpaket sich als unverschlüsselt erweist, wird es zeitlich
verzögert,
um mit noch verschlüsselten
Datenpaketen, nach deren Entschlüsselung
zu einem sortierten Datenstrom zusammengesetzt zu werden. Wenn das
Datenpaket sich als verschlüsselt
erweist, wird es dem Entschlüsselungsprozess
unterzogen.
-
Die
Abfrage der entsprechenden zumindest ersten und zweiten Verschlüsselungsparameter
zu einem Datenpaket erfolgt bevorzugt unter Verwen dung eines aus
dem Datenpaket ableitbaren Zuordnungsparameters. Bei GPRS-Systemen
kommt hierbei insbesondere die TLLI/RAI-Information in Betracht.
Unter einem Ver-/Entschlüsselungsparameter können auch
mehrere Ver-/Entschlüsselungsparameter
zu verstehen sein, wobei für
die Verschlüsselungsausführungen
wesentlich ist, dass sie auf dem entsprechenden Link bereitgestellt
werden. Beispielsweise bei einem GPRS-System werden die zur Verschlüsselung
verwendeten Parameter IOV, Kc, OC (siehe GSM 04.64 Beschreibung)
als ein dem ersten und dem zweiten Link zugeordneter Verschlüsselungsparameter
bezeichnet, d.h. als Triple, das nach dem Einschalten des Mobiltelefons
oder nach einem erneuten Anhang (d.h. Kc-Parameter) wechseln kann,
oder mit der Mobilübertragung
dynamisch aufgewertet werden kann (d.h. OC-Parameter). Erneuter
Anhang bedeutet, dass ein GPRS-Teilnehmer immer on-line sein kann,
da er nur nach Datenaufkommen geladen wird. Die erwähnten Triples werden
unverschlüsselt übertragen
und bevorzugt ist hier das Verarbeitungsgerät ausgelegt, die aktuellen zumindest
ersten und zweiten Verschlüsselungsparameter
aus den von den jeweils angeschlossenen ersten und/oder zweiten
Links eingehenden Datenpaketen zu ermitteln und zur Speicherung
als Entschlüsselungsparameter
an ein zugeordnetes Gerät zum
Bereitstellen von Entschlüsselungsparametern weiterzuleiten.
Dort stehen sie dann für
andere Verarbeitungsgeräte,
insbesondere auch für
solche, die einem anderen SGSN zugeordnet sind, zur Verfügung und
können,
wenn der Mobilfunkteilnehmer in deren Zuständigkeitsgebiet gerät, abgefragt
werden. Entsprechende Verarbeitungsgeräte können daher auch Daten von Mobilfunkteilnehmern
entschlüsseln, die
erst im Laufe einer Kommunikation in ihren Zuständigkeitsbereich geraten sind.
-
Um
zu vermeiden, dass das eigentliche Verarbeitungsgerät für Mobilfunkteilnehmer,
die eine Kommunikation im Zuständigkeitsbereich
der Verarbeitungseinheit aufgenommen haben, gültige Entschlüsselungsparameter
aus dem Gerät
zur Bereitstellung von Entschlüsselungsparametern
abrufen muss, trägt
jedes Verarbeitungsgerät
vorzugsweise die von ihm ermittelten oder zuvor an das Gerät zur Bereitstellung
von Entschlüsselungsparametern
abgefragten zumindest ersten und zweiten Entschlüsselungs parameter auch in seine
eigene Speichervorrichtung ein. Zur Minimierung der Anzahl der Abfragen
an ein zugeordnetes Gerät
zur Bereitstellung von Entschlüsselungsparametern
ist es weiterhin bevorzugt, dass jedes Verarbeitungsgerät aus einem
derartigen zugeordneten Gerät
zur Bereitstellung von Entschlüsselungsparametern
bestimmte oder vorher abgefragte erste und zweite Entschlüsselungsparameter
in seiner Speichervorrichtung ablegt.
-
Konsequenterweise
prüft dann
jedes Verarbeitungsgerät
bei der Durchführung
einer Entschlüsselung
von Datenpaketen zunächst,
ob die benötigten
zumindest ersten und zweiten Verschlüsselungsparameter in seiner
Speichervorrichtung abfragbar sind und nur, falls nicht, werden
diese von einem zugeordneten Gerät
zur Bereitstellung von Entschlüsselungsparametern
abgefragt. Zu ergänzen
bleibt, dass der dritte Entschlüsselungsparameter,
der, wie erwähnt,
beispielsweise aus der Abfolgenummer eines übertragenen Datenpakets bestehen
kann, durch ein Verarbeitungsgerät
selbst problemlos ermittelt werden kann und daher nicht bei irgendeiner Vorrichtung
abgefragt werden muß.
-
Schließlich ist
es bevorzugt, die Komponenten der erfindungsgemäßen Vorrichtung so auszulegen,
dass eine Entschlüsselung
und Weiterleitung der Daten in Echtzeit erfolgen kann. Bei einer
bevorzugten Realisierung wurden die Verarbeitungsgeräte als PowerWanTM Boards realisiert, das Gerät zur Bereitstellung
von Entschlüsselungsparametern
als SunTM UNIXTM Server.
-
Weitere
vorteilhafte Ausführungsformen
sind den Unteransprüchen
zu entnehmen.
-
Im
Nachfolgenden wird nunmehr eine besonders bevorzugte Ausführungsform
unter Bezugnahme auf die beigefügten
Zeichnungen näher
beschrieben. Es zeigen:
-
1 in
schematischer Darstellung eine erfindungsgemäße Vorrichtung, die an ein
beispielhaftes Mobilfunknetz angeschlossen ist; und
-
2 in
schematischer Blockschaltbilddarstellung den Signalflußgraphen
für eine
Ausführungsform
des erfindungsgemäßen Verfahrens.
-
Im
Nachfolgenden wird eine erfindungsgemäße Vorrichtung beziehungsweise
ein erfindungsgemäßes Verfahren
am Beispiel eines GPRS-Netzwerks beschrieben, sie ist jedoch ohne
Weiteres auf andere Netzwerkstandards, z.B. UMTS übertragbar. 1 zeigt
zunächst
Teile eines GPRS-Mobilfunknetzes, bei dem ein Mobiltelefon (Mobilfunkteilnehmer) 10 mit
einer BSS 20a in drahtlosem Kontakt steht. Die BSS 20a ist über ein
Gb-Interface 22a mit einer SGSN 12 verbunden.
Die SGSN 12 ist ihrerseits über ein Gr-Interface 24 mit
einem HLR 14 verbunden. Andererseits hat die SGSN 12 auch
Verbindungen zu anderen SGSN, wobei beispielhaft eine SGSN 16 eingezeichnet
ist. Über
ein Gn-Interface 24 steht die SGSN 12 auch mit
einer übergeordneten GGSN
(Gateway GPRS Service Node) 18 in Verbindung. Der Mobilfunkteilnehmer 10 gerät dadurch, dass
er sich bewegt, in den Zuständigkeitsbereich verschiedener
BSS, wie durch Pfeile angedeutet, vorliegend aus dem Zuständigkeitsbereich
der BSS 20a in den Zuständigkeitsbereich
der BSS 20b und von dort in den Zuständigkeitsbereich der BSS 20c. Die
BSS 20b sowie die BSS 20c sind über Gb-Interfaces 22b bzw. 22c mit
der SGSN 12 verbunden. Die Verbindungen zwischen der SGSN 12 und
einer BSS 20a bis 20c werden als erste Links 26a bis 26c bezeichnet.
Die Verbindung zwischen der SGSN 12 und einer HLR werden
als zweiter Link 28 bezeichnet.
-
Nach
dem Einschalten des Mobiltelefons 10 oder nach einem erneuten
Anhang werden mehrere Verschlüsselungsparameter
aus der HLR 14 ausgelesen und an die SGSN 12 übermittelt.
Es handelt sich vorliegend um die Parameter "Kc ciphering key" und andere Parameter als die "ciphering key sequence
number" und der "random parameter
RAND". Weitere verwendete
Parameter sind IOV (input offset value), was ein beliebiger Wert
ist, der durch die SGSN generiert und an das Mobiltelefon 10 und
den OC (offset counter), welcher von der Abfolgenummer des übertragenen
Pakets abhängt
(es ist ein auf der Anzahl von LLC (logical link control) Fensterüberschreitung
basierender Offset). Weitere Einzelheiten hierzu können der
Vorschrift GSM 04.64 entnommen werden.
-
Schliesslich
sind die Verschlüsselungsparameter
für ein
Paket die Kc und ein weiterer Verschlüsselungsparameter, der bestimmt
ist die IOV, OC und die Ordernummer jedes LLC (logical link control)
Paketes zu kombinieren, zwischen SGSN und Mobiltelefon übertragen.
Diese Verschlüsselungsparameter werden
zur Verschlüsselung
von Datenpaketen verwendet, die auf dem ersten Link 26a bis 26c übertragen
werden. Sowohl die zweiten Verschlüsselungsparameter, d.h. die
aus dem LLC-Datenstrom gewonnenen, als auch die ersten Verschlüsselungsparameter,
d.h. die von dem HLR bereitgestellten werden dynamisch während der
Kommunikation geändert.
-
Eine
erfindungsgemäße Vorrichtung 30 umfasst
im Wesentlichen drei verschiedene Arten von Bauelementen:
Ein
oder mehrere Verarbeitungsgeräte 32a, 32b,
einen Entschlüsselungsserver 34 sowie
einen Anwendungsserver 36. Die verschiedenen Bauelemente 32a, 32b, 34, 36 müssen nicht
am selben Standort aufgestellt sein, sondern können an beliebigen Orten angeordnet
sein. Insbesondere können
verschiedene Verarbeitungsgeräte 32a, 32b beispielsweise
am Standort unterschiedlicher SGSN 12 angeordnet sein.
Die Verarbeitungsgeräte 32a, 32b einerseits und
der Entschlüsselungsserver 34 andererseits kommunizieren,
wie durch Pfeile angedeutet, bevorzugt über ein LAN (Local Area Network)
oder ein WAN (Wide Area Network) miteinander. Aus praktischen Gründen befindet
sich der Entschlüsselungsserver 34 jedoch
am gleichen Ort wie die Verarbeitungsgeräte 32a und 32b,
um über
LAN und nicht über
WAN zu kommunizieren, wenn man die normalerweise verfügbare Bandbreite
auf einem WAN bedenkt. Ein Entschüsselungsserver 34 kann
viele verschiedene über
LAN kommunizierende Verarbeitungsgeräte 32a und 32b bedienen.
Der Anwendungsserver 36 kann entfernt plaziert sein und über WAN
mit den verschiedenen Bauelementen kommunizieren. Wie durch den
Pfeil 38 angedeutet, kann der Entschlüsselungsserver 34 der
vorliegenden Entschlüsselungsvorrichtung 30 mit
Entschlüsselungsservern
anderer Entschlüsselungsvorrichtungen
verbunden sein, um zu den darin abgespeicherten Entschlüsselungsparametern
Zugang zu haben. Wie durch den Pfeil 40 angedeutet, werden
die Daten des Anwendungsservers 36 an eine Weiterbearbeitungsvorrichtung 42 bereitgestellt.
-
Vorliegend
sind so viele Verarbeitungsgeräte 32a, 32b am
selben Standort wie der SGSN 12 angeordnet wie benötigt werden,
um alle Gb-Interfaces 22 sowie alle Gr-Interfaces 24 des
betreffenden SGSN 12 an Verarbeitungsgeräte 32 anzuschließen.
-
Der
weitere Aufbau der Bauelemente 32, 34, 36 wird
in Zusammenschau mit dem Signalflußgraphen von 2 näher beschrieben.
Im Schritt 100 startet das erfindungsgemäße Verfahren.
Zunächst wird
von den an ein Verarbeitungsgerät 32 angeschlossenen
Gb- oder Gr-Interfaces 22, 24 ein Datenpaket PDU
eingelesen und decodiert, siehe Schritt 110. Im Schritt 120 wird
anschließend
geprüft, ob
auch Verschlüsselungsparameter
vorhanden sind. Dies ist insbesondere möglich, wenn die PDU Teil eines
Verbindungsaufbaus oder eines erneuten Anhangs ist. Für den Fall,
dass Verschlüsselungsparameter
vorhanden sind, werden diese im Schritt 125 an den Entschlüsselungsserver 34 weitergeleitet
sowie in die Speichervorrichtung 44 des betreffenden Verarbeitungsgerätes 32 eingetragen.
Anschließend wird
im Schritt 130 in der zum jeweiligen Verarbeitungsgerät 32 zugehörigen Entschlüsselungseinheit 46 geprüft, ob so
eine PDU verschlüsselt
ist oder nicht. Für
den Fall, dass die PDU nicht verschlüsselt ist, wird sie in im Schritt 140 in
einer Verzögerungsvorrichtung 48 des
jeweiligen Verarbeitungsgerätes 32 verzögert, um
mit entschlüsselten
PDUs später wieder
zu einem sortierten Datenstrom zusammengefügt zu werden. Für den Fall,
dass die PDU verschlüsselt
ist, wird im Schritt 150 ein Schlüsselwort ermittelt, beispielsweise
die TLLI/RAI-Information, um im Schritt 160 Entschlüsselungsparameter
von der Speichervorrichtung 44 des Verarbeitungsgeräts 32 abzufragen.
Werden im Schritt 170 Verschlüsselungsparameter gefunden,
werden diese im Schritt 180 zum Entschlüsseln der PDU verwendet, insbesondere
mittels ETSI (European Telecommunication Standard Institute) Entschlüsselungsalgorithmen, falls
nötig,
zusammen mit weiteren Entschlüsselungsinformationen,
beispielsweise der PDU-Abfolgenummer zum Entschlüsseln der PDU. Für den Fall, dass
die Entschlüsselungsparameter
im Schritt 170 nicht in der Speichervorrichtung 44 des
Verarbeitungsgerätes 32 gefunden
werden, wird im Schritt 190 der zugeordnete Entschlüsselungsserver 34 befragt.
Im Schritt 200 werden die Entschlüsselungsparameter in die Entschlüsselungseinheit 46 geladen und
im Schritt 210 die dem Verarbeitungsgerät 32 eigene Speichervorrichtung 44 aktualisiert,
um wiederholte Zugriffe auf den zugehörenden Entschlüsselungsserver 34 zu
unterbinden. Im Schritt 220 werden die unverschlüsselt übertragenen
und die entschlüsselten
PDUs zu einem Datenstrom zusammengefügt und dem zugeordneten Anwendungsserver 36 übermittelt.
Im Schritt 230 wird geprüft, ob weitere PDUs an den
Eingängen
des Verarbeitungsgerätes 32 anliegen.
Falls dies der Fall ist, wird zurückgeschleift zum Schritt 110,
falls dies nicht der Fall ist, ist das Verfahren mit Schritt 240 beendet.
-
Verschiedene
Weiterbildungen und Änderungen
liegen im Umfang der Erfindung. So kann beispielsweise vorgesehen
werden, dass, sobald festgestellt wird, dass ein Teilnehmer seine
Verbindung eingestellt hat, die zugehörigen Entschlüsselungsparameter
im Entschlüsselungsserver 34 gelöscht werden,
um dadurch die Zeit für
die Suche nach Entschlüsselungsparametern
anderer Subscriber zu minimieren.