CN105684381A - 用于合法监听的装置和方法 - Google Patents
用于合法监听的装置和方法 Download PDFInfo
- Publication number
- CN105684381A CN105684381A CN201380080818.2A CN201380080818A CN105684381A CN 105684381 A CN105684381 A CN 105684381A CN 201380080818 A CN201380080818 A CN 201380080818A CN 105684381 A CN105684381 A CN 105684381A
- Authority
- CN
- China
- Prior art keywords
- user equipment
- signaling
- packet
- aforementioned
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
依照本发明的示例实施例,提供一种方法,以用于从网关装置接收(414)关于通信系统中的用户设备的监听请求;通过在规则中包括监听来创建或修改关于用户设备的处理规则;向处理用户设备连接的网络交换机传送(502)命令以克隆和加密用户设备连接的每一个信令或数据分组并且将经加密的信令和数据分组传送到给定网络装置。
Description
技术领域
本发明涉及通信系统中的合法监听。本发明的实施例涉及利用软件定义联网的通信系统。
背景技术
无线通信系统处于持续开发之中。开发系统提供高数据速率和高效资源利用的成本有效的支持。处于开发之中的一个通信系统是第三代合作伙伴项目(3GPP)长期演进(LTE)。长期演进无线电访问系统的改进版本被称为高级LTE(LTE-A)。LTE设计成支持各种服务,诸如高速数据、多媒体单播和多媒体广播服务。
在大多数国家中,合法机关要求可以监控在通信系统中传送的数据,如果这样的需要出现的话。数据可以包括给定连接的有效载荷数据和/或涉及连接的信令或网络管理的数据二者。过程可以被称为合法监听(LI)。合法机关可以是执法机构(LEA)、情报机关或者允许在本地法律之下执行这样的活动的其它政府机构。
出于该原因,现代通信系统装备有LI功能性。典型地,LI功能性捕获并存储所有信令(监听相关信息,IRI)和用户平面有效载荷(通信内容,CC)业务量,该业务量然后被发送给LI中心以用于例如利用解码工具的进一步分析。LI中心与网络元件之间的所有信令和数据传送必须加密以便针对不希望的各方隐藏处于监听之中的订户的身份。
合法监听功能性是高度资源密集型的并且可能影响网络元件性能。
发明内容
在权利要求中阐述本发明的示例的各种方面。
根据一方面,提供一种通信系统中的装置,包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行:从网关装置接收关于通信系统中的用户设备的监听请求;通过在规则中包括监听来创建或修改关于用户设备的处理规则;向处理用户设备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个信令或数据分组并且以将经加密的信令和数据分组传送给给定网络装置。
根据一方面,提供一种通信系统中的装置,包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行:通过在用户设备与网关装置之间定向数据信令分组来处理用户设备连接;从控制网络元件接收涉及给定用户设备连接的监听命令;克隆给定用户设备连接的每一个信令或数据分组;加密所克隆的信令和数据分组;以及将经加密的信令和数据分组传送给给定网络装置。
根据一方面,提供一种通信系统中的装置,包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行:从网络装置接收关于通信系统中的用户设备的监听请求;获取已经针对用户设备设立连接的信息;向OpenFlow控制器装置传送命令以监听用户设备连接,该命令包括连接的标识;向网络装置传送监听相关信息(IRI)。
根据一方面,提供一种方法,包括:从网关装置接收关于通信系统中的用户设备的监听请求;通过在规则中包括监听而创建或修改关于用户设备的处理规则;向处理用户设备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个信令或数据分组并且将经加密的信令和数据分组传送给给定网络装置。
根据一方面,提供一种通信系统中的方法,包括:通过在用户设备与网关装置之间传送数据信令分组来处理用户设备连接;从控制网络元件接收涉及给定用户设备连接的监听命令;克隆给定用户设备连接的每一个信令或数据分组;加密所克隆的信令和数据分组;以及将经加密的信令和数据分组传送给给定网络装置。
根据一方面,提供一种通信系统中的方法,包括:从网络装置接收关于通信系统中的用户设备的监听请求;获取已经针对用户设备设立连接的信息;向OpenFlow控制器装置传送命令以监听用户设备连接,该命令包括连接的标识;向网络装置传送监听相关信息(IRI)。
本发明以及本发明的各种实施例提供若干优点,其将从以下详细描述变得明显。
附图说明
为了更完整地理解本发明的示例实施例,现在参照结合附图理解的以下描述,在所述附图中:
图1图示了通信环境的示例;
图2图示了网关的软件定义联网实现的示例;
图3图示了合法监听的示例实现;
图4图示了本发明的实施例;
图5是图示了本发明的实施例的信令图表;以及
图6示出根据示例实施例的装置的结构的框图的示例。
具体实施方式
本发明的一些实施例适用于网络元件、对应组件和/或支持所要求的功能性的任何通信系统或不同通信系统的任何组合。
所使用的协议、通信系统、服务器和用户终端的规范(尤其是在无线通信中)快速发展。这样的发展可能要求对实施例的额外改变。因此,所有词语和表述应当宽泛地解释并且它们意图说明而非约束实施例。
存在要在通信系统中使用的许多不同无线电协议。不同通信系统的一些示例是通用移动电信系统(UMTS)无线电访问网络(UTRAN)、HSPA(高速分组访问)、长期演进(,还已知为演进的UMTS陆地无线电访问网络E-UTRAN)、高级长期演进(LTE-A)、基于IEEE802.11标准的无线局域网(WLAN)、全球微波接入互操作性()、、个人通信服务(PCS)以及使用超宽带(UWB)技术的系统。IEEE是指电气和电子工程师协会。例如,和LTE-A由第三代合作伙伴项目3GPP开发。
图1图示了通信环境的简化视图,其仅示出一些元件和功能实体,它们全部是其实现可能与所示出的不同的逻辑单元。图1中所示的连接是逻辑连接;实际物理连接可以不同。本领域技术人员显而易见的是,系统还包括其它功能和结构。应当领会到,在通信中使用或用于通信的功能、结构、元件和协议与实际发明无关。因此,此处不需要更详细地讨论它们。
在图1的示例中,示出基于LTE/SAE(长期演进/系统架构演进)网络元件的无线电系统。然而,在这些示例中描述的实施例不限于LTE/SAE无线电系统,而是也可以实现在其它无线电系统中。
图1的网络的简化示例包括SAE网关100和MME102。SAE网关和MME是网络的演进分组器(Packer)核(EPC)的部分。SAE网关100提供与互联网104的连接。图1示出为信元108服务的eNodeB106。在图1的示例中,用户设备UE110驻扎在eNodeB106上。
通信系统的eNodeB(增强节点B)可以托管用于无线电资源管理的功能:无线电搬运体控制、无线电准许控制、连接移动性控制、动态资源分配(调度)。MME102(移动性管理实体)在UE通过其连接到网络的eNodeB的帮助下负责移动性、会话/呼叫和状态管理中的总体UE控制。SAEGW100例如是配置成充当网络与诸如互联网之类的通信网络的其它部分之间的网关的实体。SAEGW可以是两个网关:服务网关(S-GW)和分组数据网络网关(P-GW)的组合。
在移动通信系统中,作为UE与网关(GW)之间的隧道而建立用户会话。由于蜂窝网络架构的缘故,网关是用于用户会话的聚集点,从而朝向互联网或运营商服务网络中的服务而提供锚定(anchor)。如以上所图示的,在LTE中,网关是SAE-GW网关。在第三代3G网络中,网关是GGSN(网关GPRS支持节点)。运营商网络中的网关元件数目的范围是从最小两个到高达二十个,这取决于运营商的订户基础的大小、冗余性要求、现场策略、元件容量等等。因为市场需求更高聚集能力,所以预期到仅几个元件会停留在网络中。用户会话跨网关元件分布。
在当前系统中,现有EPC网关(S-GW、P-GW)使用专用硬件而建立为独立式网络元件。在将来,还可能将移动网关实现为仅软件解决方案,其在可以虚拟化的通用硬件之上运行。
为了增加容量并且简化通信网络的EPC的控制,可以利用软件定义联网(SDN)来分离控制和数据平面。例如,为了解决网关用户平面要求,可能的是与虚拟化硬件组合地使用基于SDN的解决方案。
图2图示了网关的SDN实现的示例。在该示例中,利用在可以使用例如计算机集群实现的通用硬件202之上运行的一个或多个虚拟机器200实现网关。该实现可以包括管理虚拟机器204和云管理模块206。
网关连接到软件定义网络208,其连接到互联网协议/多协议标签交换(IPMPLS)核210。
在实施例中,演进分组核的SDN实现包括交换机,其将所有用户平面和控制平面分组从eNodeB传送到网关(并且反之亦然)。交换机可以使用OpenFlow协议由OpenFlow控制器控制。
OpenFlow是向网络之上的网络交换机或路由器的转发平面提供访问的通信协议。OpenFlow是在SDN架构的控制和转发层之间限定的标准通信界面。OpenFlow向诸如交换机和路由器之类的网络设备的转发平面提供直接访问,物理的和虚拟的二者。开放联网基金会(ONF)是促进和采用软件定义联网和OpenFlow的组织。
在合法监听中,合法机关要求可以监控给定连接的数据。数据可以包括给定连接的有效载荷数据和/或涉及连接的信令或网络管理的数据二者。图3图示了合法监听(LI)的示例实现。执法机构(LEA)300可以请求监控给定UE114的业务量的通信系统控制302。控制指令传送数据的网络元件304监听和复制数据。数据可以包括监听相关信息IRI(网络相关数据)306和用户平面有效载荷(通信内容CC)308,其被克隆和传送到LEA300。IRI和CC在传送之前加密使得其可能不受不希望的各方的监控。
在基于云的EPC解决方案中,预期到每计算实例的性能低于当前裸金属解决方案中的情况(由于虚拟化开销并且需要使用x86架构)。在EPC中,数据速率如此高使得LI功能性可能非期望地使计算资源超载。此外,典型地要求处于监听之下的订户必须不大可能经由操作和维护(O&M)接口或者甚至经由给定接口或计算节点中的统计方法而标识。这在服务的每实例会话少于当前独立式网络元件中的情况的虚拟化网关中可能是个问题。
附加地,因为所有LI数据传送必须被加密,所以要求大量计算能力,尤其是在不能使用硬件加速以用于加密实现的虚拟化环境中。因此对于虚拟化产品,看起来成问题的是以与应用软件的部分相同的方式实现LI功能性。
图4和图5的信令图表图示了本发明的实施例。图4图示了由OpenFlow控制器402控制的OpenFlow交换机400如何从用户设备114接收分组404并且将分组转发406给网关装置302。
OpenFlow控制器402通过利用安全信道408而使用OpenFlow协议控制OpenFlow交换机400。控制器配置成发送交换机流动规范,其控制分组404的流动。交换机可以将流动规范存储在流动表格410中。流动规范可以被视为指示OpenFlow交换机400如何处理数据分组的规则集。在实施例中,规则使用报头标识分组。每一个所接收的分组的报头被确定并且针对规则检查流动表格。如果发现针对所确定的报头的规则,则交换机执行所要求的动作。
在实施例中,执法机构300指示412网关302要监听哪些用户或设备。该信息可以经由安全加密信道来传送。要监听的UE的身份可以存储在内部LI数据库中。处于监听之下的用户的数据库不能由运营商O&M人员访问。
用户设备可以例如通过移动订户集成服务数字网络号码(MSISDN)、国际移动订户身份(IMSI)或者国际移动站设备身份(IMEI)来标识。
当针对UE创建500通信会话时,网关302配置成在内部将用户身份匹配到内部LI数据库并且在要监听UE的情况下,网关经由安全信道向OpenFlow控制器传送414命令以监听具体会话。会话可以例如通过会话互联网协议(IP)地址或者通用分组无线电服务(GPRS)隧道协议(GTP)隧道端点标识符(TEID)来标识。
OpenFlow控制器402配置成通过在规则中包括监听来创建或修改关于用户设备的处理规则并且使用安全信道408、OpenFlow协议向OpenFlow交换机400传送命令502以克隆和加密用户设备连接的每一个信令或数据分组并且将经加密的信令和数据分组传送给给定网络装置。
如果存在关于用户设备的处理规则,则OpenFlow控制器402配置成通过在规则中包括监听来修改处理规则。
如果不存在关于用户设备的处理规则,则OpenFlow控制器402配置成创建处理规则并且在规则中包括监听命令。
O&M装置或人员不能够看到或检查涉及位于OpenFlow控制器中的监听的规则。
OpenFlow交换机400接收涉及给定用户设备连接的命令。交换机从用户设备接收信令504和数据506分组。交换机克隆所指定的会话的每一个分组。分组被发送416,418到给定输出端口,其像通常那样连接到网关302。然而,所克隆的分组被发送到交换机的另一预确定的输出端口。
在实施例中,OpenFlow交换机400包括加密模块420,其倾听交换机预确定输出端口的预限定端口并且加密到达端口的每一个所克隆的信令或数据分组。加密模块420还配置成将经加密的信令422和数据424分组传送给LEA300。
网关302还配置成将监听相关信息IRI(网络相关数据)传送308给LEA300。
在针对LI的以上示例解决方案中,虚拟网关解除了用于加密过程的任何附加处理开销。另外,OpenFlow交换机400的加密模块420可以被优化或硬件加速,如果需要更好性能的话,并且模块可以完全独立于网关302的性能。
在实施例中,OpenFlow交换机400的加密模块420配置成与LI中心通信以建立必要安全细节,诸如加密和验证信号交换。交换机暴露新应用程序接口API以配置加密模块。因为加密模块420位于OpenFlow交换机400内,所以对于外人或运营商人员而言不大可能从业务量推得订户身份。订户的选择在OpenFlow控制器402中完成,并且指令经由安全信道408到来。此外,涉及LI的OpenFlow表格410(指向加密模块)在交换机内部并且OpenFlow控制器中的相关实体可以受保护和约束以免运营商O&M人员的访问。所监听的用户平面业务量也经由安全信道前往LI中心,从而使得合法机关外部的任何人难以推得详细审查之下的订户的身份。
在针对LI的一些当前解决方案中,LI业务量的处理在网关内完成并且然后经由加密信道转发给LI实体。因而,网关加载有额外处理以用于在当前负载情况下可能非常庞大的用户平面数据的加密。在本发明的实施例中,整个过程从网关卸载,并且位于OpenFlow交换机中,其中专用加密模块可以负责加密和转发部分。此外,利用数百个虚拟网关,OpenFlow交换机可以处置来自网关的所有LI订户,由此使得甚至更难以在统计上推得LI详细审查之下的订户的身份。
图6示出根据示例实施例的装置的结构的框图的示例。示例实施例的装置不需要是整个装置,而是在其它示例实施例中可以为装置的组件或组件的集合。
处理器600配置成执行指令并且施行与装置相关联的操作。处理器600可以包括构件,诸如数字信号处理器设备、微处理器设备和电路,以用于执行各种功能,包括例如结合图1-5所描述的一个或多个功能。处理器600可以通过使用从存储器所检索的指令来控制装置的组件之间的输入和输出数据的接收和处理。处理器600可以实现在单个芯片、多个芯片或多个电气组件上。可以用于处理器600的架构的一些示例包括专用或嵌入式处理器以及ASIC。
处理器600可以包括操作一个或多个计算机程序604的功能性。计算机程序代码可以存储在存储器602中。至少一个存储器和计算机程序代码可以配置成利用至少一个处理器使得装置执行至少一个实施例,包括例如结合图1-5所描述的一个或多个功能。典型地,处理器602连同操作系统一起进行操作以执行计算机代码并且产生和使用数据。
作为示例,存储器602可以包括非易失性部分,诸如EEPROM、闪速存储器等,以及易失性部分,诸如随机存取存储器(RAM),包括用于数据的临时存储的缓存区域。信息也可以驻留在可移除存储介质上并且在需要的时候加载或安装到装置上。
装置可以包括接口606以用于与其它装置或网络设备通信。
装置可以利用一个或多个通信协议进行操作。
装置例如还可以包括没有在图6中图示的另外的单元和元件,诸如另外的接口设备、电力单元或者电池。
在实施例中,图6的装置是OpenFlow控制器402,其配置成从网关装置接收关于通信系统中的用户设备的监听请求;通过在规则中包括监听来创建或修改关于用户设备的处理规则;向处理用户设备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个信令或数据分组并且将经加密的信令和数据分组传送到给定网络装置。
在实施例中,图6的装置是OpenFlow交换机400,其配置成通过在用户设备与网关装置之间定向数据信令分组来处理用户设备连接;从控制网络元件接收涉及给定用户设备连接的监听命令;克隆和加密给定用户设备连接的每一个信令或数据分组;加密所克隆的信令和数据分组;以及将经加密的信令和数据分组传送到给定网络装置。装置可以将一个或多个流动表格存储在存储器602中。接口606可以包括连接到诸如网关302或执法机构(LEA)300之类的不同网络设备的输出端口。装置可以包括例如利用处理器600和存储器602实现的加密模块。
在实施例中,图6的装置是网关302,其配置成从执法机构(LEA)300接收关于通信系统中的用户设备的监听请求;获得已经针对用户设备设立连接的信息;向OpenFlow控制器402装置传送命令以监听用户设备连接,该命令包括连接的标识;以及向执法机构(LEA)300传送监听相关信息(IRI)。如之前所描述的,处理器和存储器可以利用云计算(即经由互联网或其它网络安全地连接的若干计算平台)实现。
本发明的实施例可以实现在软件、硬件、应用逻辑、或者软件、硬件和应用逻辑的组合中。在示例实施例中,应用逻辑、软件或指令集维持在各种常规计算机可读介质中的任一个上。在该文档的上下文中,“计算机可读介质”可以是任何介质或构件,其可以包含、存储、传送、传播或输运指令以用于由指令执行系统、装置或设备(诸如计算机,其中在图8中描述和描绘了计算机的一个示例)使用或者与其相结合地使用。计算机可读介质可以包括计算机可读存储介质,其可以是能够包含或存储指令以用于由指令执行系统、装置或设备(诸如计算机)使用或者与其相结合地使用的任何介质或者构件。
如果期望,则可以以不同次序和/或彼此同时地执行本文讨论的不同功能中的至少一些。此外,如果期望,则以上描述的功能中的一个或多个可以是可选的或者可以组合。
尽管在独立权利要求中阐述本发明的各种方面,但是本发明的其它方面包括来自所描述的实施例和/或从属权利要求的特征与独立权利要求的特征的其它组合,并且不单单是在权利要求中明确阐述的组合。
在本文中还要指出的是,尽管以上描述了本发明的示例实施例,但是这些描述不应当视为限制性意义。
相反,存在可以在不脱离如随附权利要求中所限定的本发明的范围的情况下做出的若干修改和变形。
Claims (34)
1.一种通信系统中的装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器,
至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行:
从网关装置接收关于通信系统中的用户设备的监听请求;
通过在规则中包括监听来创建或修改关于用户设备的处理规则;
向处理用户设备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个信令或数据分组,并且将经加密的信令和数据分组传送到给定网络装置。
2.权利要求1的装置,其中所述装置配置成:
如果关于用户设备的处理规则存在,则通过在规则中包括监听来修改处理规则。
3.权利要求1的装置,其中所述装置配置成:
如果关于用户设备的处理规则不存在,则创建处理规则并且在规则中包括监听命令。
4.权利要求1或2的装置,其中用户设备连接通过互联网协议(IP)地址或通用分组无线电服务(GPRS)隧道协议(GTP)隧道端点标识符(TEID)来标识。
5.任一项前述权利要求的装置,其中所述装置配置成利用OpenFlow安全信道向处理用户设备连接的网络交换机发送命令。
6.任一项前述权利要求的装置,其中所述装置配置成:
获取用户设备连接终止的信息;
向网络交换机发送命令以停止克隆和加密。
7.任一项前述权利要求的装置,其中所述装置配置成将所克隆的分组定向到给定输出端口;
并且其中所述装置包括加密模块,其配置成加密定向到给定输出端口的所有分组并且将经加密的分组转发到给定网络装置。
8.任一项前述权利要求的装置,其中所述装置配置成禁止操作和维护接口对涉及监听的规则的访问。
9.一种通信系统中的装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器,
至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行:
通过在用户设备与网关装置之间定向数据信令分组来处理用户设备连接;
从控制网络元件接收涉及给定用户设备连接的监听命令;
克隆给定用户设备连接的每一个信令或数据分组;
加密所克隆的信令和数据分组;以及
将经加密的信令和数据分组传送到给定网络装置。
10.权利要求9的装置,其中用户设备连接通过互联网协议(IP)地址或通用分组无线电服务(GPRS)隧道协议(GTP)隧道端点标识符(TEID)来标识。
11.权利要求9或10的装置,其中所述装置配置成利用OpenFlow安全信道接收命令。
12.任一项前述权利要求9至11的装置,其中所述装置配置成:
从控制网络元件接收命令以停止克隆和加密;
在命令的基础上停止克隆和加密,并且
删除监听命令。
13.任一项前述权利要求9至12的装置,其中所述装置配置成禁止操作和维护接口对所克隆的信令和数据分组的访问。
14.任一项前述权利要求9至13的装置,其中所述装置是OpenFlow交换机。
15.一种通信系统中的装置,包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器,
至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行:
从网络装置接收关于通信系统中的用户设备的监听请求,
获取已经针对用户设备设立连接的信息;
向OpenFlow控制器装置传送命令以监听用户设备连接,该命令包括连接的标识;
向网络装置传送监听相关信息(IRI)。
16.权利要求15的装置,其中用户设备通过移动订户集成服务数字网络号码、国际移动订户身份或国际移动站设备身份来标识。
17.权利要求15或16的装置,其中用户设备连接通过互联网协议(IP)地址或通用分组无线电服务(GPRS)隧道协议(GTP)隧道标识符(TEID)来标识。
18.一种方法,包括:
从网关装置接收关于通信系统中的用户设备的监听请求;
通过在规则中包括监听来创建或修改关于用户设备的处理规则;
向处理用户设备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个信令或数据分组并且将经加密的信令和数据分组传送到给定网络装置。
19.权利要求18的方法,其中如果关于用户设备的处理规则存在,则通过在规则中包括监听来修改处理规则。
20.权利要求18的方法,其中如果关于用户设备的处理规则不存在,则创建处理规则并且在规则中包括监听命令。
21.任一项前述权利要求17至19的方法,其中用户设备连接通过互联网协议(IP)地址或通用分组无线电服务(GPRS)隧道协议(GTP)隧道端点标识符(TEID)来标识。
22.任一项前述权利要求18至21的方法,还包括利用OpenFlow安全信道向处理用户设备连接的网络交换机发送命令。
23.任一项前述权利要求18至22的方法,还包括:
获取用户设备连接终止的信息;
向网络交换机发送命令以停止克隆和加密。
24.任一项前述权利要求18至23的方法,还包括将所克隆的分组定向到给定输出端口;
在加密模块中加密定向到给定输出端口的所有分组,以及
将经加密的分组转发到给定网络装置。
25.任一项前述权利要求18至24的方法,还包括禁止操作和维护接口对涉及监听的规则的访问。
26.一种通信系统中的方法,包括:
通过在用户设备与网关装置之间定向数据信令分组来处理用户设备连接;
从控制网络元件接收涉及给定用户设备连接的监听命令;
克隆给定用户设备连接的每一个信令或数据分组;
加密所克隆的信令和数据分组;以及
将经加密的信令和数据分组传送到给定网络装置。
27.权利要求26的方法,其中用户设备连接通过互联网协议(IP)地址或通用分组无线电服务(GPRS)隧道协议(GTP)隧道端点标识符(TEID)来标识。
28.权利要求26或27的方法,还包括利用OpenFlow安全信道接收命令。
29.任一项前述权利要求26至28的方法,还包括:
从控制网络元件接收命令以停止克隆和加密;
在命令的基础上停止克隆和加密,以及
删除监听命令。
30.任一项前述权利要求26至29的方法,还包括禁止操作和维护接口对所克隆的信令和数据分组的访问。
31.一种通信系统中的方法,包括:
从网络装置接收关于通信系统中的用户设备的监听请求;
获取已经针对用户设备设立连接的信息;
向OpenFlow控制器装置传送命令以监听用户设备连接,该命令包括连接的标识;
向网络装置传送监听相关信息(IRI)。
32.权利要求31的方法,其中用户设备通过移动订户集成服务数字网络号码、国际移动订户身份或国际移动站设备身份来标识。
33.权利要求31或32的方法,其中用户设备连接通过互联网协议(IP)地址或通用分组无线电服务(GPRS)隧道协议(GTP)隧道端点标识符(TEID)来标识。
34.一种包括一个或多个指令的一个或多个序列的计算机可读存储介质,所述指令在由装置的一个或多个处理器运行时使得装置执行权利要求18至33中任一项的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2013/068533 WO2015032441A1 (en) | 2013-09-09 | 2013-09-09 | Apparatus and method for lawful interception |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105684381A true CN105684381A (zh) | 2016-06-15 |
Family
ID=49170665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380080818.2A Pending CN105684381A (zh) | 2013-09-09 | 2013-09-09 | 用于合法监听的装置和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US20160219082A1 (zh) |
| EP (1) | EP3044924A1 (zh) |
| CN (1) | CN105684381A (zh) |
| WO (1) | WO2015032441A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147134A (zh) * | 2018-11-06 | 2020-05-12 | 中国电信股份有限公司 | 数据传输装置和方法、数据测试系统以及存储介质 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106105119B (zh) * | 2014-01-20 | 2020-06-12 | 诺基亚通信公司 | 操作网络实体的方法、网络实体和网络 |
| US10045229B2 (en) * | 2015-02-27 | 2018-08-07 | Keysight Technologies, Inc. | System and method for monitoring and traffic management in cellular networks based on cellular attributes |
| CN106131352B (zh) * | 2016-08-29 | 2019-04-12 | 哈尔滨海能达科技有限公司 | 一种呼叫监听方法、装置、相关设备及系统 |
| EP3861695B1 (en) * | 2018-10-04 | 2024-04-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure lawful interception in network elements |
| CN111200814A (zh) * | 2019-12-31 | 2020-05-26 | 北京指掌易科技有限公司 | 移动应用的网络接入方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1570933A (zh) * | 2003-07-16 | 2005-01-26 | 华为技术有限公司 | 一种基于监听验证的监听系统及实现方法 |
| CN1642117A (zh) * | 2004-07-07 | 2005-07-20 | 华为技术有限公司 | 一种基于软交换实现监听的方法 |
| CN1684425A (zh) * | 2004-04-16 | 2005-10-19 | 华为技术有限公司 | 一种实现合法监听的方法 |
| CN1691601A (zh) * | 2004-04-27 | 2005-11-02 | 华为技术有限公司 | 一种实现合法监听的系统及方法 |
| WO2012119614A1 (en) * | 2011-03-07 | 2012-09-13 | Nec Europe Ltd. | A method for operating an openflow switch within a network, an openflow switch and a network |
| WO2013089605A1 (en) * | 2011-12-16 | 2013-06-20 | Telefonaktiebolaget L M Ericsson (Publ) | Classification of the intercepted internet payload |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE434895T1 (de) * | 2000-07-04 | 2009-07-15 | Nokia Corp | Verfahren und vorrichtung zum verbinden eines teilnehmersgerätes mit einem telekommunikationsnetwerk |
| US7657011B1 (en) * | 2006-03-16 | 2010-02-02 | Juniper Networks, Inc. | Lawful intercept trigger support within service provider networks |
| US20090204817A1 (en) * | 2007-09-17 | 2009-08-13 | Oci Mobile Llc | Communication system |
| WO2011050852A1 (en) * | 2009-10-30 | 2011-05-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Device selection for media rendering |
| US8489725B2 (en) * | 2010-07-16 | 2013-07-16 | Research In Motion Limited | Persisting file system information on mobile devices |
| US8351579B2 (en) * | 2010-09-22 | 2013-01-08 | Wipro Limited | System and method for securely authenticating and lawfully intercepting data in telecommunication networks using biometrics |
| US9544334B2 (en) * | 2011-05-11 | 2017-01-10 | Alcatel Lucent | Policy routing-based lawful interception in communication system with end-to-end encryption |
| EP2718783A4 (en) * | 2011-06-08 | 2015-01-14 | Recent Memory Inc | INTERNET RADIO PROCESS AND DEVICE |
| EP2856734A1 (en) * | 2012-06-04 | 2015-04-08 | Interdigital Patent Holdings, Inc. | Lawful interception for local selected ip traffic offload and local ip access performed at a non-core gateway |
| EP2987278B1 (en) * | 2013-04-19 | 2017-10-04 | Telefonaktiebolaget LM Ericsson (publ) | Method and switch for lawful interception |
-
2013
- 2013-09-09 CN CN201380080818.2A patent/CN105684381A/zh active Pending
- 2013-09-09 US US14/917,343 patent/US20160219082A1/en not_active Abandoned
- 2013-09-09 WO PCT/EP2013/068533 patent/WO2015032441A1/en active Application Filing
- 2013-09-09 EP EP13762426.8A patent/EP3044924A1/en not_active Withdrawn
-
2018
- 2018-02-09 US US15/892,932 patent/US20180167418A1/en not_active Abandoned
- 2018-02-09 US US15/892,963 patent/US20180176264A1/en not_active Abandoned
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1570933A (zh) * | 2003-07-16 | 2005-01-26 | 华为技术有限公司 | 一种基于监听验证的监听系统及实现方法 |
| CN1684425A (zh) * | 2004-04-16 | 2005-10-19 | 华为技术有限公司 | 一种实现合法监听的方法 |
| CN1691601A (zh) * | 2004-04-27 | 2005-11-02 | 华为技术有限公司 | 一种实现合法监听的系统及方法 |
| CN1642117A (zh) * | 2004-07-07 | 2005-07-20 | 华为技术有限公司 | 一种基于软交换实现监听的方法 |
| WO2012119614A1 (en) * | 2011-03-07 | 2012-09-13 | Nec Europe Ltd. | A method for operating an openflow switch within a network, an openflow switch and a network |
| WO2013089605A1 (en) * | 2011-12-16 | 2013-06-20 | Telefonaktiebolaget L M Ericsson (Publ) | Classification of the intercepted internet payload |
Non-Patent Citations (1)
| Title |
|---|
| EUROPEAN TELECOMMUNICATIONS STANDARDS INSTITUTE (ETSI), 650, ROU: "Universal Mobile Telecommunications System(UMTS);LTE:3G security; Lawful intercept architecture and functions", 《3GPP TS33.107 VERSION 11.3.0 RELEASE 11》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147134A (zh) * | 2018-11-06 | 2020-05-12 | 中国电信股份有限公司 | 数据传输装置和方法、数据测试系统以及存储介质 |
| CN111147134B (zh) * | 2018-11-06 | 2021-09-14 | 中国电信股份有限公司 | 数据传输装置和方法、数据测试系统以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160219082A1 (en) | 2016-07-28 |
| US20180176264A1 (en) | 2018-06-21 |
| WO2015032441A1 (en) | 2015-03-12 |
| US20180167418A1 (en) | 2018-06-14 |
| EP3044924A1 (en) | 2016-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107113637B (zh) | 用于在软件定义网络中管理分组的方法和模块 | |
| US10581747B2 (en) | System and method for low-overhead interoperability between 4G and 5G networks | |
| AU2012303738B2 (en) | Implementing a 3G packet core in a cloud computer with openflow data and control planes | |
| KR101762184B1 (ko) | 맞춤가능한 이동 광대역 네트워크 시스템 및 이동 광대역 네트워크를 맞춤화하는 방법 | |
| US20180302877A1 (en) | System and method to facilitate slice management in a network environment | |
| US20150180945A1 (en) | Co-Location of Application Service Platform with Access Node and Local Gateway | |
| US9071450B2 (en) | Charging and policy for services at the edge of a mobile data network | |
| US20180167418A1 (en) | Apparatus and method for lawful interception | |
| KR20210036944A (ko) | 정보 전송방법 및 장치, 컴퓨터 판독가능 저장 매체 | |
| EP3036865A1 (en) | Subscriber tracing in communications | |
| CN108574667B (zh) | 一种业务流的控制方法及装置 | |
| US9014023B2 (en) | Mobile network services in a mobile data network | |
| EP3571815A1 (en) | System and method to facilitate stateless serving gateway operations in a network environment | |
| US10764411B2 (en) | Stream control transmission protocol SCTP-based communications method and system, and apparatus | |
| US8830864B2 (en) | Maintenance of high-speed channels by inserting channel maintenance data in a mobile data network to avoid channel type switching | |
| Subramanya et al. | A practical architecture for mobile edge computing | |
| Karimzadeh et al. | Quantitative comparison of the efficiency and scalability of the current and future LTE network architectures | |
| US8914021B2 (en) | Using the maintenance channel in a mobile data network to provide subscriber data when a cache miss occurs | |
| KR20230157194A (ko) | 스위치를 이용하는 트래픽 처리를 위한 장치 및 방법 | |
| US11050682B2 (en) | Reordering of data for parallel processing | |
| EP3629618A1 (en) | High-volume low-impact quality of service management for internet of things | |
| KR20240044732A (ko) | 무선 통신 시스템에서 l4s 혼잡 마킹, 보고 및 로컬 피드백 방법 및 장치 | |
| KR102277007B1 (ko) | 단말 정보 전송 방법 및 장치 | |
| WO2018072811A1 (en) | Mobile network function chaining | |
| JP2015061155A (ja) | 通信装置、通信システムおよび通信制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160615 |
|
| RJ01 | Rejection of invention patent application after publication |