CN105075182B - 用于通过提供安全性信息来允许合法拦截的方法 - Google Patents
用于通过提供安全性信息来允许合法拦截的方法 Download PDFInfo
- Publication number
- CN105075182B CN105075182B CN201380075324.5A CN201380075324A CN105075182B CN 105075182 B CN105075182 B CN 105075182B CN 201380075324 A CN201380075324 A CN 201380075324A CN 105075182 B CN105075182 B CN 105075182B
- Authority
- CN
- China
- Prior art keywords
- communication data
- user equipment
- information
- intercepted
- lawful intercept
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/68—Gesture-dependent or behaviour-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种方法和设备。接收与对于用户装备的通信数据的合法拦截相关联的信息。响应于所接收到的信息提供与用户装备的通信数据相关联的安全性信息。所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
Description
技术领域
本申请涉及合法拦截,并且特别而非排他性地涉及对于在用户装备与应用服务器之间传送的数据的合法拦截。
背景技术
通信系统可以被视为允许与通信系统相关联的两个或更多实体之间的通信的设施,所述实体比如是移动站(MS)或用户装备(UE)之类的通信装置,以及/或者其他网络单元或节点,例如节点B或收发器基站(BTS)。通信系统通常根据给定的标准或规范来操作,其设定与通信系统相关联的各种实体被允许做什么以及应当如何来实现。
无线通信系统包括各种蜂窝或其他移动通信系统,其利用无线电频率在各个站之间发送语音或数据,例如在通信装置与收发器网络单元之间发送。无线通信系统的实例可以包括公共陆地移动网络(PLMN),比如全球移动通信系统(GSM)、通用分组无线电服务(GPRS)、通用移动电信系统(UMTS)或WiFi。
移动通信网络可以在逻辑方面被划分成无线电接入网(RAN)和核心网络(CN)。核心网络实体通常包括各种控制实体和网关,以便允许通过若干无线电接入网进行通信,并且还用于将单一通信系统与一个或更多通信系统进行接口,比如与无线互联网协议(IP)网络之类的其他无线系统以及/或者公共交换电话网(PSTN)之类的固定线路通信系统进行接口。无线电接入网的实例可以包括UMTS地面无线电接入网(UTRAN)以及GSM/EDGE无线电接入网(GERAN)。可以通过无线电接入网但是潜在地还有通过其他网络为用户装备或移动站提供对于由核心网络支持的应用的访问。核心网络可以提供用以认证用户的功能,或者通过其他方式支持用户装备与应用之间的通信的安全性。这一功能例如可以由通用自举架构来提供。
一些网络的要求是提供合法拦截能力。由于通信技术的进步,合法拦截在一般的服务情境中也变得具有相关性。从合法拦截的角度来看,基于IP的通信服务(例如视频或语音)也是相关的。在合法拦截中,网络上的通信数据被拦截,并且被提供到合法当局。合法当局可以关于可能出现的任何法律问题对数据进行分析。
发明内容
根据第一方面,提供一种方法,其包括:接收与对于用户装备的通信数据的合法拦截相关联的信息;以及响应于所接收到的信息提供与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。所接收到的信息可以包括将要拦截的通信数据的身份。所接收到的信息可以包括以下各项的至少其中之一:用户装备的身份;应用服务器的身份;以及通信类型的身份。用户装备的通信数据可以是用户装备与应用服务器之间的通信数据。提供安全性信息还可以包括:生成包括安全性信息的拦截相关信息报告;以及向合法拦截实体发送拦截相关信息报告。第二秘密可以包括用于用户装备与应用服务器之间的通信的加密的密钥。所述密钥可以是以下各项的至少其中之一:对称密钥和应用特定密钥。
根据第二方面,可以提供一种设备,其包括:用于接收与对于用户装备的通信数据的合法拦截相关联的信息的接收装置;以及用于响应于所接收到的信息提供与用户装备的通信数据相关联的安全性信息的提供装置;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。所接收到的信息可以包括将要拦截的通信数据的身份。
所接收到的信息可以包括以下各项的至少其中之一:用户装备的身份;应用服务器的身份;以及通信类型的身份。用户装备的通信数据可以是用户装备与应用服务器之间的通信数据。
所述提供装置还可以被配置成生成包括安全性信息的拦截相关信息报告,并且向合法拦截实体发送拦截相关信息报告。第二秘密可以包括用于用户装备与应用服务器之间的通信的加密的密钥。所述密钥可以是以下各项的至少其中之一:对称密钥;以及应用特定密钥。所述设备可以是凭证服务器和应用服务器的其中之一。
根据第三方面,提供一种包括程序指令的计算机程序产品,所述程序指令在被执行时实施以下步骤:接收与对于用户装备的通信数据的合法拦截相关联的信息;以及响应于所接收到的信息提供与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
根据第四方面,提供一种方法,其包括:发送与对于用户装备的通信数据的合法拦截相关联的信息;以及响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。所发送的信息可以包括将要拦截的通信数据的身份。用户装备的通信数据可以是用户装备与应用服务器之间的通信数据。
根据第五方面,提供一种设备,其包括:用于发送与对于用户装备的通信数据的合法拦截相关联的信息的发送装置;以及用于响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息的接收装置;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
所述设备可以是合法拦截网络实体。
根据第六方面,提供一种包括程序指令的计算机程序产品,所述程序指令在被执行时实施以下步骤:发送与对于用户装备的通信数据的合法拦截相关联的信息;以及响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
根据第七方面,提供一种包括至少一个处理器和存储器的设备,所述处理器和存储器被配置成:接收与对于用户装备的通信数据的合法拦截相关联的信息;以及提供与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
根据第八方面,提供一种包括至少一个处理器和存储器的设备,所述处理器和存储器被配置成:发送与对于用户装备的通信数据的合法拦截相关联的信息;以及接收与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
附图说明
图1是根据第一实施例的网络的示意图;
图2是描绘出根据第一环境的方法步骤的流程图;
图3是根据第二实施例的网络的示意图;
图4是描绘出根据第二环境的方法步骤的流程图;
图5是根据第三实施例的网络的示意图;
图6是描绘出根据第三环境的方法步骤的流程图;
图7是根据第四实施例的网络的示意图;以及
图8是描绘出根据第四环境的方法步骤的流程图;
具体实施方式
电信网络中的用户装备与应用服务器之间的数据通信可以被加密或者通过其他方式得到保全,以便防止对于所述数据的未经授权的访问。通用自举架构(GBA)是通用的安全性使能器,其可以为应用服务器和用户装备提供这样的安全性关联。GBA功能可以基于用户装备和/或应用服务器的蜂窝凭证向用户装备和应用服务器提供共享秘密。所述共享秘密可以在GBA凭证服务器(BSF)和UE中被导出。所述共享秘密随后可以被用户装备和应用服务器使用来保护通信、服务安全性、数据、媒体以及/或者被用于认证或授权。
在GBA中,GBA凭证服务器(例如自举服务器功能(BSF))可以被设置成促进对于UE的认证,并且向应用服务器提供共享秘密。安全性关联是基于蜂窝凭证或者其他类型的预先协定的凭证(比如SIP摘要凭证)。由于BSF是通用的,因此其可以被多个用户用于多项通信安全性服务。BSF可以通过使用登记到归属位置寄存器(HLR)或归属订户服务器(HSS)的有效身份来认证用户。BSF随后可以触发在UE中建立共享秘密并且向应用服务器提供共享秘密,所述共享秘密可以被用于保全应用服务器与用户装备之间的通信。
合法拦截(LI)是得到法律授权的处理,由此可以为执法机构给出对于在电信网络上传送的数据的访问。数据可以被拦截并且提供到执法机构以供分析或进一步动作。为了对此类数据进行任何有意义的分析,应当对已加密数据进行解密以进行分析。但是网络中的节点之间的受到保全的通信可能被设置成仅有数据的选定接收方才能对其进行解密。
本申请的实施例可以提供一种利用解密数据的能力对利用通用自举架构保全的数据进行合法拦截的方法。
图1示出了具有合法拦截和通用自举架构功能的网络的一个实例。图1仅包括在实施例的描述中所使用的那些网络功能,并且应当认识到,图1中所示出的网络还可以包括被用来提供通信服务的组件。举例来说,虽然在图1中没有示出基站或节点B,但是应当认识到,网络可以包括这样的功能。
图1包括用户装备(UE)101和网络应用功能(NAF)102。NAF 102可以是应用服务器,并且可以被配置成通过接口(例如Ua接口)与UE 101进行通信。NAF 102可以向UE 101或者与UE 101相关联的另一个网络节点提供服务或其他数据。NAF 102可以是提供给UE 101的服务,例如NAF102可以提供移动电视、授权、单点登录、认证、用于对等通信的凭证等等。应当认识到,合法拦截可能仅对于这些服务当中的一些感兴趣。
可以根据通用自举架构(GBA)利用共享秘密来保全UE 101与NAF102之间的通信。
根据GBA,提供自举服务器功能(BSF)103。BSF 103可以构成核心网络的一部分。在某些实施例中,BSF 103可以能够通过接口Ub与UE101通信,并且通过接口Zn或Zn’与NAF102通信。BSF 103可以被配置成利用蜂窝信息来认证UE 101,例如与UE 101的订户身份模块(SIM)卡或通用集成电路卡(UICC)有关的信息。BSF 103可以利用归属订户服务器(HSS)104和/或订户位置功能(SLF)105来认证UE 101的蜂窝信息。
通用自举架构(GBA)是通用的安全性使能器,其基于蜂窝凭证为应用服务器和UE提供一个或更多共享秘密。该秘密可以被用来保护通信、数据、媒体或者被用于认证或授权。一旦在运营商网络中出于一种目的设立了GBA凭证服务器,其也可以被用于许多其他的通信安全性服务(其是通用的安全性使能器)。在3GPP TS 33.220中定义了GBA架构的一个实例。
在通用自举架构中,UE可以发起与NAF的联系,例如UE可能希望利用由NAF提供的服务。为了在UE与NAF之间实施安全的通信,生成UE与NAF之间的安全性关联。为了生成该关联,可以利用BSF来认证UE。
这一认证可以利用UE所固有的信息来进行。举例来说,所述认证可以利用UE的身份以及例如SIM信息之类的信息来进行。BSF可以通过归属订户服务器和/或订户位置寄存器网络实体来访问该信息。
如果UE被成功认证,则UE和BSF可以并行地生成密钥。应当认识到,由BSF生成的密钥和由UE生成的密钥将是相同的,这是因为相同的数据(例如SIM信息)被用来在每一个实体中生成密钥。所述密钥可以是基于共享秘密。在该例中,所述共享秘密可以对应于SIM信息。通过使用共享秘密,不需要在UE与BSF之间或者在UE与NAF之间实施密钥传送。
BSF随后可以向NAF提供密钥,其在该处被用于UE与NAF之间的通信。虽然关于通用自举架构描述了本申请的实施例,但是应当认识到,可以使用其他共享秘密安全性系统。举例来说,这样的系统可以在用户装备与通信网络提供商之间提供第一共享秘密。该第一共享秘密例如可以是SIM信息。凭证服务器随后可以基于该第一共享秘密来促进对于用户装备的认证。凭证服务器和UE可以使用第一共享秘密生成第二共享秘密。该第二秘密例如可以是对称密钥,并且可以由UE和NAF使用来加密UE与NAF之间的通信。应当认识到,凭证服务器和UE可以基于第一共享秘密并行地生成第二共享秘密。用于UE与NAF之间的通信的加密的安全性信息因此可以是基于第一共享秘密。
还可以为图1的网络提供合法拦截能力。在图1中,可以提供执法监测设施(LEMF)106。在一些实施例中,LEMF 106可以监测并且存储合法拦截的数据。在一些实施例中,LEMF106可以接收与合法拦截相关联的安全性信息,并且使用所述安全性信息来解密合法拦截的数据,或者向另外的服务器或实体提供所述安全性信息。
LEMF 106可以向/从第一网络实体107和第二网络实体108发送和接收数据,其中第一网络实体107可以关于合法拦截实施管理或控制功能,第二网络实体108可以提供对于合法拦截的内容的递送。在一些实施例中,LEMF 106可以通过第一切换接口HI1与第一实体107通信,并且通过第二切换接口HI2与第二实体108通信。
在操作中,LEMF 106可以向第一网络实体107表明将要监测的服务和/或用户的身份。第一网络实体106可以使用所表明的该信息来指示另一个网络实体拦截与所标识出的服务和/或用户有关的数据,并且将其提供到LEMF 106。在一些实施例中,这一表明采取响应于应当拦截哪些数据而标识触发的形式。
第二网络实体108可以响应于所述触发接收所拦截的数据,并且将所拦截的数据递送到LEMF 106。应当认识到,虽然第一和第二网络实体被描述成分开的实体,但是在一些实施例中,其也可以位于同一处或者构成单一网络实体的一部分。
应当认识到,虽然图1被描述成网络,但是图1中的所有实体可以不处在单一网络域内。举例来说,NAF 102可以处在UE 101的网络的外部。此外,在一些实施例中,所述执法监测设施可以处在网络的外部。
在一些实施例中,LEMF 106可以通过向通信中所涉及的网络实体表明将要拦截哪些信息来合法拦截数据。举例来说,LEMF 106可以提供将对其拦截通信的用户标识符以及可选地还有服务身份。在一些实施例中,可以在Ua接口上拦截数据。Ua接口可以在蜂窝网络上运行,但是也可以在固定或其他类型的网络上运行。在一些实施例中,可以由网络中的节点拦截数据,比如网关GPRS支持节点(GGSN)和服务GPRS支持节点(SGSN)。举例来说,第一网络实体107可以向GGSN和/或SSGN提供将要拦截的数据的身份,并且这些节点可以向第二网络实体108提供所拦截的数据。
但是如果来自网络节点(例如GGSN和/或SSGN)的所拦截的数据是根据通用自举架构得到保全的,则LEMF 106将无法解密所拦截的数据。图1示出了一个实例,其中LEMF 106可以访问来自BSF 103的安全性信息以便解密所拦截的数据。
在图1的实施例中,第一网络实体107可以通过X1_1接口与BSF 103通信。第一网络实体107可以向BSF 103提供触发信息。在一些实施例中,该触发信息可以标识出合法拦截对于哪些数据或信息感兴趣。所述信息可以标识出服务和/或用户身份。从第一网络实体107传送的信息可以被配置成触发从BSF 103报告与对应于将对其合法拦截数据的所标识出的服务和/或用户身份相关联的安全性信息。
举例来说,来自第一网络实体107的包含用户身份的触发信息可以触发报告一个或更多密码密钥以及有关的信息,例如与所标识出的用户相关联的密钥寿命期、密钥标识符、密钥所涉及的服务。
所述触发信息可以包括以下各项当中的一项或更多项:用户的身份,服务或NAF102的身份,以及/或者将触发报告的事件的类型。
触发信息中的用户身份例如可以是用户的国际移动订户身份(IMSI)或者移动订户综合服务数字网络编号(MSISDN)。在一些实施例中,BSF103可以把在触发信息中接收到的用户身份映射到HSS或SLF以识别用户。
举例来说,可以在用户访问BSF 103以生成应用特定密钥Ks_(ext/int)_NAF时触发对于密码信息的报告。所述密钥可以是应用特定的,这是在于其被生成以用于用户与指定的NAF 102之间的通信。当这一密钥生成发生时,BSF 103可以被触发以向LEMF 106报告安全性信息。应当认识到,这仅仅是为了举例,并且可以替换地或附加地响应于对于密钥或安全性信息的任何修改、生成或管理来触发报告。举例来说,可以在NAF 102从BSF请求GBA密钥时触发报告。所得到的IRI可以包括正在与UE 101通信的NAF 102的身份。在这种情况下,可以使得LEMF 106知晓用户正在与哪一项服务进行通信。在某些情况下,如果NAF 102处在网络的外部,则LEMF 106可能无法访问该信息。
在一些实施例中,所述报告可以包括生成合法拦截的拦截相关信息(IRI)。这例如可以是经过加密的有关参数,以及涉及UE 101与NAF 102之间的内容加密的信息。在一些实施例中,IRI可以包括用以允许LEMF106或者相关联的实体对所拦截的已加密数据进行解密的信息。
BSF 103可以在发送IRI之前过滤其中的信息。举例来说,BSF可以过滤LEMF 106要求与用户相关联的所有GBA密钥还是仅仅与特定的NAF 102相关联的密钥。BSF 103接收自LEMF 106的触发信息可能已经标识出对于哪些服务类型感兴趣。换句话说,可以在BSF 103中预先配置为之触发IRI的服务列表。该列表可能与国家有关。在其他实施例中,LEMF 106可以要求把与用户相关联的所有密钥都包括在IRI中。
在一些实施例中,在接收到来自第一网络实体107的触发信息时,可能已经为用户生成了GBA密钥。在这种情况下,可以立即触发IRI的报告,以便提供正由用户使用的密钥。在一些实施例中,BSF 103并不存储与用户密钥相关联的所有参数。但是BSF可以基于从中导出所有应用特定密钥的主导密钥重新生成用户的密钥。
可以向第二网络实体108提供IRI。在一些实施例中,可以通过BSF103与第二网络实体108之间的X2接口提供IRI。该第二网络实体105和X2接口提供去到LEMF 106的拦截相关信息递送路径。第二网络实体108随后可以向LEMF 106提供IRI。
图2示出了在一些实施例中中实施的方法步骤的流程图的一个实例。
在步骤201处,BSF 103可以接收来自LEMF 106的触发信息。该触发信息可以是通过X1_1接口接收自与LEMF 106相关联的第一网络实体107。所述触发信息例如可以包含以下各项的至少其中之一:用户的身份,一项或更多项服务的身份,以及触发事件的类型。
在步骤202处,BSF 103确定是否应当生成拦截相关信息(IRI)。如果确定应当生成IRI,例如所标识出的用户已经生成了密钥并且/或者已经接收到来自用户和/或NAF 102的针对密钥生成或管理的请求,则所述方法继续到203。在步骤203处,发送所生成的IRI。
如果确定不应当生成IRI,例如如果没有满足触发条件,则BSF 103继续监测来自UE 101和NAF 102的请求直到满足触发条件为止,并且生成IR。
图1和2示出了与从通用自举架构的BSF 103向合法拦截实体提供安全性信息有关的实施例。应当认识到,在一些实施例中,可以附加地由NAF102向LEMF 106提供安全性信息。在这些实施例中,可以在NAF 102与第一和第二网络实体107和108之间提供接口。
前面描述了由LEMF 106对于例如密钥信息之类的安全性信息的合法拦截。应当认识到,还会发生对于通信内容的合法拦截。举例来说,在合法拦截来自BSF 103和(在一些实施例中还有)NAF 102的安全性信息的同时,还拦截UE 101与NAF 102之间的通信内容。
在一些实施例中,这一拦截可以在UE 101与NAF 102之间的Ua接口上发生。举例来说,通信可以由GGSN和/或SSGN拦截,并且通过第二网络实体108被提供到LEMF 106。在其他实施例中,NAF 102可以实施对于UE 101与NAF 102之间的数据的合法拦截。
图4到6示出了NAF 102实施数据拦截的实例。
在另一个实施例中,除了向BSF提供触发信息之外,还可以从第一合法拦截网络实体向NAF提供该触发信息。触发信息可以向NAF表明将要报告哪些安全性信息。附加地或替换地,触发信息可以表明将要拦截哪些信息。可以在NAF处拦截UE与NAF之间的通信的数据,并且NAF可以为合法拦截实体生成IRI报告。在这种情况下,不需要在Ua接口上拦截数据通信,但是应当认识到,在一些实施例中,可以在Ua接口(例如通过SSGN/GGSN)以及NAF上实施拦截。图3示出了网络的一个实例,其中NAF被配置成向合法拦截实体报告安全性信息和/或数据通信。应当认识到,图3的网络可以类似于图1的网络,并且相同的附图标记被用来描述相同的单元。
图3的网络包括UE 101、NAF 102、BSF 103、SLF 105和HSS 104。此外,所述网络还包括LEMF 106、第一合法拦截(LI)网络实体107、第二LI网络实体108和第三LI网络实体301。
第一LI网络实体107可以被配置成向网络的其他实体提供LI控制信息。所述控制信息可以包括与何时将生成合法拦截报告有关的信息,将为之拦截信息的用户的身份,服务的身份,以及/或者将要拦截的信息的类型。
第二LI实体108可以被配置成接收涉及将要拦截的UE 101与NAF102之间的通信的安全性信息。第二LI实体还可以向LEMF 106提供该信息。该信息例如可以采取LI IRI的形式,并且包括例如密钥、安全性参数之类的信息和/或其他信息,从而可以允许LEMF 106或者相关联的实体解密所拦截的通信。
第三LI实体301可以被配置成接收所拦截的通信,例如UE 101与NAF 102之间的所拦截的通信。第三LI实体301可以通过X3接口接收例如所拦截的通信之类的信息。第三LI实体301还可以被配置成向LEMF106提供所拦截的通信。
在图3的实施例中,除了向BSF 103提供触发信息之外,第一LI网络实体107还可以向NAF 102提供触发信息。NAF 102可以是用户正与之通信的应用服务器,例如UE 101可能正通过接口Ua与NAF 102进行通信。NAF 102可以基于触发信息识别LEMF 106对于哪些安全性信息以及哪些数据通信感兴趣。举例来说,NAF 102可以使用用户的身份或者通信的类型来识别与该用户相关联的密钥或其他安全性信息,并且将其提供到LEMF 106。该信息可以被提供到第二LI网络实体108。
NAF 102还可以识别NAF 102与UE 101之间的数据通信。NAF 102随后可以拦截所识别出的数据通信,并且将其提供到第三LI网络实体301。可以通过X3接口来提供所拦截的数据通信。
在图3的实施例中,BSF 103和NAF 102都可以向LEMF 106提供安全性信息。BSF103和NAF 102都可以与第一LI网络实体107通信以便接收触发信息,并且都可以与第二LI网络实体108通信以便提供安全性信息。NAF 102还可以被配置成拦截数据通信并且与第三LI网络实体301通信,以便提供所拦截的数据通信。
图4示出了可以根据该实施例实施的方法步骤的一个实例。
在步骤401处,接收触发信息。该信息可以是接收自第一LI网络实体107。应当认识到,BSF 103和NAF 102都可以接收该信息。
在步骤402处,生成一份或更多份IRI报告。所述报告可以包括由在步骤401处接收到的触发信息所标识出的安全性信息。所述报告可以由BSF 103和NAF 102全部二者生成。但是在一些实施例中,触发信息可以标识出将要发送的安全性信息的类型,并且可以确定将由BSF 103和/或NAF 102当中的哪一个生成IRI报告。可以将所述一份或更多份IRI报告发送到第二LI网络实体108。例如可以通过第二LI网络实体108与BSF103和NAF 102之间的X2接口来发送所述报告。
在步骤403处,可以生成包含涉及所拦截的数据的信息的另一份IRI报告。NAF 102可以基于触发信息来拦截通信数据。NAF 102可以生成对应于所拦截的该信息的IRI报告,并且可以向第三LI网络实体301发送所述IRI报告。应当认识到,每当UE 101和NAF 102传送由触发信息标识出的数据时,可以实施步骤403。例如在一些实施例中,可以在UE 101与NAF102之间拦截所有通信数据,并且可以针对所拦截的该数据生成一份或更多份IRI报告。
在图3所示出的实施例中,可以向BSF 103和NAF 102全部二者提供LI触发信息和有关的激活数据。可以向BSF 103提供关于GBA密钥生成和密钥使用事件的LI事件报告。NAF还可以提供关于GBA密钥使用和有关的应用参数的LI事件报告。在一些实施例中,BSF 103和NAF 102可以处在相同的运营商域内。在其中BSF 103和NAF 102处在分开的网络中并且在全部两个网络中都激活合法拦截的实施例中,则可以通过更少的努力来解密受到GBA保护的通信内容,这是因为连同所拦截的内容一起还从NAF提供了GBA密钥。
图5示出了网络的另一个实施例。在图5中,NAF 102可以接收触发信息,并且生成对应于安全性信息的IRI报告以及对应于所拦截的数据的IRI报告。但是取代直接从第一LI网络实体107接收触发信息,NAF可以从BSF 103接收触发信息。
图5的网络包括UE 101、NAF 102、BSF 103、HSS 104和SLF 105。所述网络还包括LEMF 106、第一LI网络实体107、第二LI网络实体108和第三LI网络实体301。应当认识到,这些实体可以类似于前面的附图标记相同的实体。
在图5的实施例中,BSF 103可以从第一LI网络实体107接收触发信息,并且向第二LI网络实体108提供对应于安全性信息的IRI报告。NAF102可以接收触发信息,并且向第二LI网络实体提供对应于安全性信息的IRI报告。NAF 102还可以拦截通信数据,并且向第三LI网络实体301发送对应于所拦截的信息的IRI报告。
在图5的实施例中,BSF 103接收来自第一LI网络实体107的触发信息,并且随后向NAF 102提供对应于所述触发信息的信息。这可以通过BSF 103与NAF 102之间的接口来提供。该接口例如可以是Xgba接口。
图6示出了根据该实施例实施的方法步骤的一个实例。
在步骤601处,由BSF 103接收触发信息。可以通过X1_1接口从第一LI网络实体107接收触发信息。BSF 103可以确定触发信息涉及哪一项服务。在步骤702处,BSF可以向NAF102提供与触发信息有关的信息。在一些实施例中,提供给NAF 102的信息可以类似于由BSF103接收到的触发信息。在其他实施例中,BSF 103可以生成包括对应于NAF 102的相关触发信息的新的消息。
在步骤603处,可以生成包括安全性信息的一份或更多份IRI报告。所述一份或更多份IRI报告可以由BSF 103和NAF 102生成,并且可以通过X2接口被提供到第二LI网络实体。
在步骤604处,NAF 102可以拦截UE 101与NAF 102之间的相关的数据通信,并且生成对应于所生成的信息的IRI报告。
应当认识到,虽然NAF 102被描述成生成包含安全性信息的IRI报告和对应于所拦截的数据的IRI报告全部二者,但是在一些实施例中,NAF102可以被配置成仅生成对应于所拦截的数据的IRI报告,并且LEMF 106可能只需要来自BSF 103的安全性信息。关于图5和6所描述的实施例引入了BSF 103与NAF 102之间的接口,以便基于触发信息来触发NAF 102中的拦截。该Xgba接口可以在从BSF 103请求GBA密钥之后触发NAF102中的拦截。在该实施例中,可能不需要NAF 102中的初步合法干扰激活。
图7和8示出了网络的另一个实施例,其中向NAF 102而不是BSF 103提供触发信息。在这种情况下,NAF 102可以提示第二LI网络实体108从BSF 103请求安全性信息。
图7的网络包括UE 101、NAF 102、BSF 103、HSS 104和SLF 105。所述网络还包括LEMF 106、第一LI网络实体107、第二LI网络实体108和第三LI网络实体301。应当认识到,这些实体可以类似于前面的附图标记相同的实体。
NAF 102可以接收来自第一LI网络实体107的触发信息。这可以是通过第一LI网络实体107与NAF 102之间的X1_1接口。类似于前面的实施例,NAF 102可以例如通过NAF 102与第二LI网络实体108之间的X2接口向第二LI网络实体108提供与安全性信息有关的IRI报告。NAF102还可以生成与所拦截的信息有关的IRI报告并且将其发送到第三LI网络实体301。
响应于来自NAF 102的IRI报告或其他指示,第二LI网络实体108可以触发在BSF103中生成IRI报告,这是通过BSF 103与第二LI网络实体108之间的接口向BSF发送请求或触发信息而实现的。BSF 103可以生成并且发送对应于安全性信息的IRI报告。
图8示出了可以根据该实施例来实施的方法步骤。
在步骤801处,NAF 102可以接收来自第一LI网络实体107的触发信息。在步骤802处,NAF 102可以响应于接收到触发信息生成IRI报告,并且向第二LI网络实体108发送IRI报告。
在一些实施例中,IRI报告可以包括来自NAF 102的安全性信息。在其他实施例中,所述报告可以包括用以提示第二LI网络实体108从BSF103请求安全性信息的信息。来自NAF102的包含安全性信息的IRI报告可以充当针对BSF 103的提示,以便从BSF 103请求安全性信息。
在步骤803处,第二LI网络实体108从BSF 103请求安全性信息。所述请求可以采取例如标识为之请求安全性信息的UE 101和/或服务的触发信息的形式。可以通过BSF 103与第二LI网络实体108之间的Xgba接口发出所述请求。
响应于来自第二LI网络实体108的请求,BSF 103可以在步骤804处生成包括所请求的信息的IRI报告。
在步骤805处,NAF 102可以拦截UE 101与NAF 102之间的数据通信,并且生成对应于所拦截的信息的IRI报告。
在一些实施例中中,可以从第一LI网络实体在NAF 102中直接激活合法拦截。在一个实施例中,响应于触发信息,NAF 102可以从BSF 103请求对应于通信的GBA密钥,并且随后将这些密钥连同特定于应用的细节一起提供到第二LI网络实体108。第二LI网络实体随后可以例如通过LEMF 106向拦截执法机构递送加密参数。如果通信在NAF的控制之下,则NAF 102也可以拦截通信。
作为针对由NAF 102提供安全性信息的替换方案,NAF 102可以向第二LI网络实体102提供触发信息,并且基于该信息第二LI网络实体可以向BSF 103请求关于特定于NAF的安全性信息。在该实施例中,提供第二LI网络实体108与BSF 103之间的接口。在该实施例中,NAF 102和BSF 103可以处在相同的网络运营商域内。
虽然NAF 102和BSF 103都被描述成生成涉及安全性信息的IRI报告,但是应当认识到,在一些实施例中,这些报告的内容可以不同。举例来说,BSF 103可以提供在UE 101与NAF 102之间的通信中使用的安全性密钥,而NAF 102则可以提供与NAF 102所提供的应用有关的特定于应用的数据。在一些实施例中,将确定NAF 102和BSF 103是否都必须提供安全性信息。在一些实施例中,仅有这些实体当中的一个将提供安全性信息。
虽然在前面将第一、第二和第三LI网络实体描述成分开的网络实体,但是应当认识到,在一些实施例中,其可以形成单一网络实体的不同功能。还应当认识到,第一、第二和第三网络实体还可以被提供成现有网络实体的一部分。在这里还应当提到的是,虽然前面描述了示例性实施例,但是在不背离本发明的范围的情况下,可以对所公开的解决方案作出几种改变和修改。
一般来说,各个实施例可以用硬件或专用电路、软件、逻辑或者其任意组合来实施。所述实施例的一些方面可以用硬件实施,其他方面则可以用固件或软件来实施,所述固件或软件可以由控制器、微处理器或其他计算装置来执行,但是本发明不限于此。虽然本发明的各个方面可能被图示并描述为方框图、流程图或者利用某种其他图形表示来描述,但是很好理解的是,作为非限制性实例,这里所描述的这些方框、设备、系统、技术或方法可以用硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算装置或者其某种组合来实施。
一些实施例可以通过可由移动装置的数据处理器执行的计算机软件例如在处理器实体中实施,或者通过硬件来实施,或者通过软件与硬件的组合来实施。
在这方面还应当提到的是,附图中的逻辑流程的任何方框可以代表程序步骤,或者互连的逻辑电路、块和功能,或者程序步骤与逻辑电路、块和功能的组合。软件可以被存储在物理介质上,比如存储器芯片,实施在处理器内的存储器块,比如硬盘或软盘之类的磁性介质,以及例如DVD及其数据变型CD之类的光学介质。
存储器可以是适合于本地技术环境的任何类型,并且可以利用任何适当的数据存储技术来实施,比如基于半导体的存储器装置、磁性存储器装置和系统、光学存储器装置和系统、固定存储器以及可移除存储器。
此外,虽然可能利用与特定网络实现方式(例如根据3G 3PP网络)相关联的实体描述了一些实施例,但是应当认识到,所述实施例可以被实施在其他网络中并且由不受限于特定网络实现方式的网络实体实施。
前面的描述通过举例的方式并且作为非限制性实例提供了关于本发明的示例性实施例的全面并且信息丰富的描述。但是在结合附图和所附权利要求书阅读前面的描述时,相关领域技术人员可以想到许多修改和适配。但是本发明的教导的所有此类以及类似的修改都将仍然落在由所附权利要求书限定的本发明的范围内。实际上,还有包括前面所讨论的其中一个或更多或者任何其他实施例的组合的另外的实施例。
Claims (25)
1.一种用于合法拦截的方法,其包括:
在自举服务器功能处,接收与对于用户装备的通信数据的合法拦截相关联的信息,根据通用自举架构来保全所述通信数据,所接收的信息通过至少指示基于互联网协议的服务类型,还标识出将被合法拦截实体拦截的所述通信数据的服务的身份,所述基于互联网协议的服务包括将被拦截的所述通信数据;
在所述自举服务器功能并且从所述用户装备,接收请求以生成安全性信息以用于对在所述用户装备和网络应用功能之间的所述通信数据进行加密,所述网络应用功能提供基于互联网协议的服务类型,所述基于互联网协议的服务包括将被拦截的所述通信数据;以及
响应于接收所述请求:
由所述自举服务器功能生成与所述用户装备的通信数据相关联的安全性信息,所述安全性信息包括在所述网络应用功能和所述用户装备之间共享的第一秘密;以及
由所述自举服务器功能向所述合法拦截实体提供所述安全性信息,所述安全性信息的提供使得所述合法拦截实体能够解密在所述用户装备和所述网络应用功能之间所拦截的通信数据。
2.如权利要求1的方法,其中,所述安全性信息包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。
3.如权利要求1或2的方法,其中,所接收到的信息包括将要拦截的通信数据的身份。
4.如权利要求1或2的方法,其中,所接收到的信息包括以下各项的至少其中之一:用户装备的身份;所述网络应用功能的身份;以及通信类型的身份。
5.如权利要求1或2的方法,其中,用户装备的通信数据是用户装备与所述网络应用功能之间的通信数据。
6.如权利要求1或2的方法,其中,提供安全性信息包括:
生成包括安全性信息的拦截相关信息报告;以及
向合法拦截实体发送拦截相关信息报告。
7.如权利要求2的方法,其中,第二秘密包括用于用户装备与所述网络应用功能之间的通信的加密的密钥。
8.如权利要求7的方法,其中,所述密钥是以下各项的至少其中之一:对称密钥和应用特定密钥。
9.一种用于合法拦截的设备,其包括:
用于在自举服务器功能处接收与对于用户装备的通信数据的合法拦截相关联的信息的接收装置,根据通用自举架构来保全所述通信数据,所接收的信息通过至少指示基于互联网协议的服务类型,还标识出将被合法拦截实体拦截的所述通信数据的服务的身份,所述基于互联网协议的服务包括将被拦截的所述通信数据;以及
用于在所述自举服务器功能并且从所述用户装备,接收请求以生成安全性信息以用于对在所述用户装备和网络应用功能之间的所述通信数据进行加密的接收装置,所述网络应用功能提供基于互联网协议的服务类型,所述基于互联网协议的服务包括将被拦截的所述通信数据;
响应于接收所述请求:
用于由所述自举服务器功能生成与所述用户装备的通信数据相关联的安全性信息的装置,所述安全性信息包括在所述网络应用功能和所述用户装备之间共享的第一秘密;以及
用于由所述自举服务器功能向所述合法拦截实体提供所述安全性信息的装置,所述安全性信息的提供使得所述合法拦截实体能够解密在所述用户装备和所述网络应用功能之间所拦截的通信数据。
10.如权利要求9的设备,其中,所述安全性信息包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。
11.如权利要求9或10的设备,其中,所接收到的信息包括将要拦截的通信数据的身份。
12.如权利要求9或10的设备,其中,所接收到的信息包括以下各项的至少其中之一:用户装备的身份;所述网络应用功能的身份;以及通信类型的身份。
13.如权利要求9或10的设备,其中,用户装备的通信数据可以是用户装备与所述网络应用功能之间的通信数据。
14.如权利要求9或10的设备,其中,所述提供装置还被配置成生成包括安全性信息的拦截相关信息报告,并且向合法拦截实体发送拦截相关信息报告。
15.如权利要求10的设备,其中,第二秘密包括用于用户装备与所述网络应用功能之间的通信的加密的密钥。
16.如权利要求15的设备,其中,所述密钥是以下各项的至少其中之一:对称密钥;以及应用特定密钥。
17.一种存储程序指令的计算机可读存储介质,所述程序指令在被执行时实施以下步骤:
在自举服务器功能处,接收与对于用户装备的通信数据的合法拦截相关联的信息,根据通用自举架构来保全所述通信数据,所接收的信息通过至少指示基于互联网协议的服务类型,还标识出将被合法拦截实体拦截的所述通信数据的服务的身份,所述基于互联网协议的服务包括将被拦截的所述通信数据;
在所述自举服务器功能并且从所述用户装备,接收请求以生成安全性信息以用于对在所述用户装备和网络应用功能之间的所述通信数据进行加密,所述网络应用功能提供基于互联网协议的服务类型,所述基于互联网协议的服务包括将被拦截的所述通信数据;以及
响应于接收所述请求:
由所述自举服务器功能生成与所述用户装备的通信数据相关联的安全性信息,所述安全性信息包括在所述网络应用功能和所述用户装备之间共享的第一秘密;以及
由所述自举服务器功能向所述合法拦截实体提供所述安全性信息,所述安全性信息的提供使得所述合法拦截实体能够解密在所述用户装备和所述网络应用功能之间所拦截的通信数据。
18.一种用于合法拦截的方法,其包括:
发送与对于用户装备的通信数据的合法拦截相关联的信息,根据通用自举架构来保全所述通信数据,所述信息通过至少指示基于互联网协议的服务类型,还标识出将被合法拦截实体拦截的所述通信数据的服务的身份,所述基于互联网协议的服务包括将被拦截的所述通信数据;以及
响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息,所述安全性信息使得所述合法拦截实体能够解密在所述用户装备和网络应用功能之间所拦截的通信数据;
其中,所述安全性信息包括在所述网络应用功能和所述用户装备之间共享的第一秘密。
19.如权利要求18的方法,其中,所述安全性信息包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。
20.如权利要求18或19的方法,其中,所发送的信息包括将要拦截的通信数据的身份。
21.如权利要求18或19的方法,其中,用户装备的通信数据可以是用户装备与所述网络应用功能之间的通信数据。
22.一种用于合法拦截的设备,其包括:
用于发送与对于用户装备的通信数据的合法拦截相关联的信息的发送装置,根据通用自举架构来保全所述通信数据,所述信息通过至少指示基于互联网协议的服务类型,还标识出将被合法拦截实体拦截的所述通信数据的服务的身份,所述基于互联网协议的服务类型包括将被拦截的所述通信数据;以及
用于响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息的接收装置,所述安全性信息使得所述合法拦截实体能够解密在所述用户装备和网络应用功能之间所拦截的通信数据;
其中,所述安全性信息包括在所述网络应用功能和所述用户装备之间共享的第一秘密。
23.一种存储程序指令的计算机可读存储介质,所述程序指令在被执行时实施以下步骤:
发送与对于用户装备的通信数据的合法拦截相关联的信息,根据通用自举架构来保全所述通信数据,所述信息通过至少指示基于互联网协议的服务类型,还标识出将被合法拦截实体拦截的所述通信数据的服务的身份,所述基于互联网协议的服务包括将被拦截的所述通信数据;以及
响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息,所述安全性信息使得所述合法拦截实体能够解密在所述用户装备和网络应用功能之间所拦截的通信数据;
其中,所述安全性信息包括在所述网络应用功能和所述用户装备之间共享的第一秘密。
24.一种包括至少一个处理器和存储器的设备,所述处理器和存储器被配置成:
在自举服务器功能,接收与对于用户装备的通信数据的合法拦截相关联的信息,根据通用自举架构来保全所述通信数据,所接收的信息通过至少指示基于互联网协议的服务类型,还标识出将被合法拦截实体拦截的所述通信数据的服务的身份,所述基于互联网协议的服务包括将被拦截的所述通信数据;
在所述自举服务器功能并且从所述用户装备,接收请求以生成安全性信息以用于对在所述用户装备和网络应用功能之间的所述通信数据进行加密,所述网络应用功能提供基于互联网协议的服务类型,所述基于互联网协议的服务包括将被拦截的所述通信数据;以及
响应于接收所述请求:
由所述自举服务器功能生成与所述用户装备的通信数据相关联的安全性信息,所述安全性信息包括在所述网络应用功能和所述用户装备之间共享的第一秘密;以及
由所述自举服务器功能向所述合法拦截实体提供所述安全性信息,所述安全性信息的提供使得所述合法拦截实体能够解密在所述用户装备和所述网络应用功能之间所拦截的通信数据。
25.一种包括至少一个处理器和存储器的设备,所述处理器和存储器被配置成:
发送与对于用户装备的通信数据的合法拦截相关联的信息,根据通用自举架构来保全所述通信数据,所述信息通过至少指示基于互联网协议的服务类型,还标识出将被合法拦截实体拦截的所述通信数据的服务的身份,所述基于互联网协议的服务包括将被拦截的所述通信数据;以及
响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息,所述安全性信息使得所述合法拦截实体能够解密在所述用户装备和网络应用功能之间所拦截的通信数据;
其中,所述安全性信息包括在所述网络应用功能和所述用户装备之间共享的第一秘密。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2013/051029 WO2014122502A1 (en) | 2013-02-07 | 2013-02-07 | Method for enabling lawful interception by providing security information. |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105075182A CN105075182A (zh) | 2015-11-18 |
| CN105075182B true CN105075182B (zh) | 2019-01-04 |
Family
ID=51299273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380075324.5A Active CN105075182B (zh) | 2013-02-07 | 2013-02-07 | 用于通过提供安全性信息来允许合法拦截的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9948628B2 (zh) |
| EP (1) | EP2954646B1 (zh) |
| CN (1) | CN105075182B (zh) |
| WO (1) | WO2014122502A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150200972A1 (en) * | 2014-01-16 | 2015-07-16 | Qualcomm Incorporated | Methods and systems for facilitating decoding of application defined or proprietary protocols in lawful intercepts |
| WO2015192201A1 (en) | 2014-06-20 | 2015-12-23 | Inflamax Research Inc. | Mobile chamber apparatuses and related methods |
| JP2019110354A (ja) * | 2016-04-25 | 2019-07-04 | 株式会社Nttドコモ | 交換機及び通信方法 |
| EP3577927A1 (en) * | 2017-02-06 | 2019-12-11 | Telefonaktiebolaget LM Ericsson (PUBL) | Lawful interception security |
| WO2019147435A1 (en) | 2018-01-26 | 2019-08-01 | Nokia Of America Corporation | Lawful interception using service-based interfaces in communication systems |
| US11528613B2 (en) * | 2020-07-02 | 2022-12-13 | Dell Products L.P. | Systems and methods to provide lawful interception of infrastructure state in a manner known only to law enforcement |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060245595A1 (en) * | 2005-04-28 | 2006-11-02 | Cisco Technology, Inc. | Intercepting a communication session in a telecommunication network |
| WO2007042345A1 (en) * | 2005-10-13 | 2007-04-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1452000A2 (en) * | 2001-12-07 | 2004-09-01 | Telefonaktiebolaget LM Ericsson (publ) | Lawful interception of end-to-end encrypted data traffic |
| GB2423220B (en) | 2005-02-11 | 2009-10-07 | Ericsson Telefon Ab L M | Method and apparatus for ensuring privacy in communications between parties |
| GB0517592D0 (en) | 2005-08-25 | 2005-10-05 | Vodafone Plc | Data transmission |
| US8934609B2 (en) * | 2006-06-21 | 2015-01-13 | Genband Us Llc | Method and apparatus for identifying and monitoring VoIP media plane security keys for service provider lawful intercept use |
| US8811956B2 (en) * | 2007-06-14 | 2014-08-19 | Intel Corporation | Techniques for lawful interception in wireless networks |
| KR100852146B1 (ko) * | 2007-11-21 | 2008-08-13 | 한국정보보호진흥원 | 제 3 신뢰기관을 이용한 VoIP 보안 통신에서의 감청시스템 및 감청 방법 |
| US20090182668A1 (en) | 2008-01-11 | 2009-07-16 | Nortel Networks Limited | Method and apparatus to enable lawful intercept of encrypted traffic |
| US8218456B2 (en) * | 2009-12-21 | 2012-07-10 | Telefonaktiebolaget L M Ericsson (pulb) | Lawful call interception support |
| US9106603B2 (en) * | 2009-12-23 | 2015-08-11 | Synchronics plc | Apparatus, method and computer-readable storage mediums for determining application protocol elements as different types of lawful interception content |
| CN102223356B (zh) * | 2010-04-19 | 2015-06-03 | 中兴通讯股份有限公司 | 基于密钥管理服务器的ims媒体安全的合法监听系统 |
| WO2011155884A1 (en) * | 2010-06-11 | 2011-12-15 | Telefonaktiebolaget L M Ericsson (Publ) | User data automatic lookup in lawful interception |
-
2013
- 2013-02-07 CN CN201380075324.5A patent/CN105075182B/zh active Active
- 2013-02-07 WO PCT/IB2013/051029 patent/WO2014122502A1/en active Application Filing
- 2013-02-07 EP EP13874847.0A patent/EP2954646B1/en active Active
- 2013-02-07 US US14/760,842 patent/US9948628B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060245595A1 (en) * | 2005-04-28 | 2006-11-02 | Cisco Technology, Inc. | Intercepting a communication session in a telecommunication network |
| WO2007042345A1 (en) * | 2005-10-13 | 2007-04-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP project.Universal Mobile Telecommunications System(UMTS);LTE;3G security |
| Lawful interception architecture and functions.《ETSI:"ETSI TS 33.107 version 11.3.0 Release 11》.2012,第12-21,31-44页. |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014122502A1 (en) | 2014-08-14 |
| CN105075182A (zh) | 2015-11-18 |
| US20160006713A1 (en) | 2016-01-07 |
| US9948628B2 (en) | 2018-04-17 |
| EP2954646A4 (en) | 2016-09-28 |
| EP2954646B1 (en) | 2019-07-24 |
| EP2954646A1 (en) | 2015-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105075182B (zh) | 用于通过提供安全性信息来允许合法拦截的方法 | |
| KR102466166B1 (ko) | 전자 토큰 프로세싱 | |
| EP2666316B1 (en) | Method and apparatus for authenticating a communication device | |
| US9768961B2 (en) | Encrypted indentifiers in a wireless communication system | |
| EP2308254B1 (en) | Methods, nodes, system, computer programs and computer program products for secure user subscription or registration | |
| Tsay et al. | A vulnerability in the umts and lte authentication and key agreement protocols | |
| CN102572815B (zh) | 一种对终端应用请求的处理方法、系统及装置 | |
| CN106789834B (zh) | 用于识别用户身份的方法、网关、pcrf网元和系统 | |
| CN104821937A (zh) | 令牌获取方法、装置及系统 | |
| CN103905399B (zh) | 一种帐号登录管理的方法和装置 | |
| CN108418837B (zh) | 移动数据通信设备及操作方法、移动通信系统和存储介质 | |
| US20220182825A1 (en) | Identity Authentication Method and Apparatus | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN104521213A (zh) | 网络认证规程中的认证挑战参数的操纵和恢复 | |
| WO2016165505A1 (zh) | 连接控制方法及装置 | |
| CN110475247A (zh) | 消息处理方法及装置 | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| CN107026823A (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| Arapinis et al. | Analysis of privacy in mobile telephony systems | |
| CN111614686B (zh) | 一种密钥管理方法、控制器及系统 | |
| CN103973543B (zh) | 即时通信方法及装置 | |
| Schmitt et al. | Pretty good phone privacy | |
| CN111132155B (zh) | 5g安全通信方法、设备及存储介质 | |
| CN106465117A (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
| CN101990771B (zh) | 服务报告 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |