CN111656811A - 在通信系统中使用基于服务的接口的合法拦截 - Google Patents

在通信系统中使用基于服务的接口的合法拦截 Download PDF

Info

Publication number
CN111656811A
CN111656811A CN201980009812.3A CN201980009812A CN111656811A CN 111656811 A CN111656811 A CN 111656811A CN 201980009812 A CN201980009812 A CN 201980009812A CN 111656811 A CN111656811 A CN 111656811A
Authority
CN
China
Prior art keywords
service
point
lawful interception
interception
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980009812.3A
Other languages
English (en)
Other versions
CN111656811B (zh
Inventor
N·劳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Technologies Oy
Original Assignee
Nokia Technologies Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Technologies Oy filed Critical Nokia Technologies Oy
Publication of CN111656811A publication Critical patent/CN111656811A/zh
Application granted granted Critical
Publication of CN111656811B publication Critical patent/CN111656811B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/80Arrangements enabling lawful interception [LI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

在被配置为支持合法拦截功能性的给定通信系统的服务提供方网络中,一个或多个基于服务的接口被提供为实现一个或多个特定于合法拦截的元件与一个或多个拦截控制元件之间的交互。在一个或多个另外的实现中,方法提供了提供针对于合法拦截功能性的互通功能。该互通功能可以被配置为根据需要来跨所述服务提供方网络的控制平面和/或用户平面支持基于服务的接口和点对点接口两者。

Description

在通信系统中使用基于服务的接口的合法拦截
本申请要求于2018年1月26日提交的名称为“在通信系统中使用基于服务的接口的合法拦截(Lawful Interception Using Service-based Interfaces inCommunication Systems)”的美国临时申请号62/622,524的优先权,其公开内容通过引用并入本文。
技术领域
该领域总体上涉及通信系统,更具体地但非排他地涉及这种系统内的合法拦截。
背景技术
该章节介绍了可能有助于促进本发明的更好理解的各个方面。相应地,该章节的陈述应从这个角度来阅读,并且不应被理解为对关于什么在现有技术中或者什么不在现有技术中的承认。
第四代(4G)无线移动电信技术(也称为长期演进(LTE)技术)被设计为向高容量移动多媒体提供高数据速率,特别是用于人际交互。下一代或第五代(5G)技术旨在不仅用于人类交互,而且还用于所谓的物联网(IoT)网络中的机器类通信。
虽然5G网络旨在实现大规模IoT服务(例如,数量众多的有限容量设备)和任务关键型的IoT服务(例如,要求高可靠性),但仍以为移动设备提供改进的无线互联网访问的增强型移动宽带(eMBB)服务的形式支持对传统移动通信服务的改进。
在示例通信系统中,诸如移动终端(订户)的用户设备(5G网络中的5G UE,或更广泛地讲,UE)通过空中接口与5G网络中的基站或接入点(称为gNB)通信。说明性地,接入点(例如,gNB)是通信系统的接入网的一部分。例如,在5G网络中,接入网被称为5G系统,并在题为“Technical Specification Group Services and System Aspects;SystemArchitecture for the 5G System”的5G技术规范(TS)23.501,V15.0.0(日期为2017年12月22日)中进行了描述,其公开内容通过引用全部并入本文。通常,接入点(例如,gNB)为UE提供对核心网(CN)的接入,然后,该CN为UE提供对其他UE和/或诸如分组数据网络(例如,互联网)的数据网络的接入。
隐私是任何通信系统中的重要考虑因素。然而,当需要对通信系统(诸如,5G网络)中的一项或多项通信进行合法拦截(LI)时,就会出现这种情况。
发明内容
说明性实施例提供了用于在通信系统中进行合法拦截的改进技术。
例如,在一个说明性实施例中,一种方法包括以下步骤。在被配置为支持合法拦截功能性的给定通信系统的服务提供方网络中,一个或多个基于服务的接口被提供为实现一个或多个特定于合法拦截的元件与一个或多个拦截控制元件之间的交互。
在一个或多个说明性实施例中,方法提供了提供针对于合法拦截功能性的联网功能。联网功能可以被配置为根据需要在服务提供方网络的控制平面和/或用户平面上支持基于服务的接口和点对点接口。
以在其中实施有可执行程序代码的非瞬态计算机可读存储介质的形式提供进一步的说明性实施例,该可执行程序代码在由处理器执行时使处理器执行上述步骤。更进一步的说明性实施例包括具有处理器和存储器的装置,其被配置为执行上述步骤。
通过附图和以下详细描述,本文描述的实施例的这些和其他特征和优点将变得更加明显。
附图说明
图1图示了利用其可以实现一个或多个说明性实施例的通信系统。
图2图示了利用其可以实现一个或多个说明性实施例的用于提供合法拦截的网络元件/功能。
图3图示了利用其可以实现一个或多个说明性实施例的通信系统架构,其图示了基于服务的表示。
图4图示了利用其可以实现一个或多个说明性实施例的通信系统架构,其图示了基于参考点的表示。
图5图示了利用其可以实现一个或多个说明性实施例的合法拦截系统元件。
图6图示了利用其可以实现一个或多个说明性实施例的网络功能。
图7图示了利用其可以实现一个或多个说明性实施例的当前的合法拦截系统。
图8图示了可以实现一个或多个说明性实施例的将当前的合法拦截系统应用于具有基于服务的接口的网络。
图9图示了利用其可以实现一个或多个说明性实施例的通信系统,该通信系统具有基于点对点接口的合法拦截。
图10图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图11图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图12图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图13图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图14图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图15图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图16图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图17图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图18图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图19图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图20图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图21图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图22图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
图23图示了根据说明性实施例的使用基于服务的接口进行合法拦截的通信系统。
具体实施方式
本文将结合示例通信系统和用于在通信系统中提供合法拦截的关联技术来说明实施例。然而,应该理解,权利要求的范围不限于所公开的特定类型的通信系统和/或过程。可以使用替代过程和操作在各种其他类型的通信系统中实施实施例。例如,尽管在利用诸如3GPP下一代系统(5G)等3GPP系统元件的无线蜂窝系统的上下文中进行了说明,但是所公开的实施例可以以直接的方式适用于各种其他类型的通信系统。
根据在5G通信系统环境中实施的说明性实施例,一个或多个3GPP技术规范(TS)和技术报告(TR)可以提供对可以与本发明解决方案的一部分进行交互的网络元件/功能和/或操作的进一步解释,例如上面提到的3GPP TS 23.501。进一步地,在标题为“技术规范组服务和系统方面;安全;合法拦截要求(Technical Specification Group Services andSystem Aspects;Security;Lawful Interception Requirements)”的3GPP TS 33.126,V15.1.0以及标题为“(技术规范组服务和系统方面;安全;合法拦截架构和功能)TechnicalSpecification Group Services and System Aspects;Security;Lawful InterceptionArchitecture and Functions”的3GPP TS 33.127,V15.0.0中描述了与5G系统中的合法拦截有关的细节,其公开内容通过引用全部并入本文。其他3GPP TS/TR文档可以提供本领域的普通技术人员将认识到的其他细节。然而,尽管很好地适合于与5G相关的3GPP标准,但是实施例不必旨在限于任何特定标准。
说明性实施例涉及用于5G网络的合法拦截架构。在描述这种说明性实施例之前,下面将在图1和图2的上下文中描述5G网络的主要组件的一般描述。
图1示出了实现说明性实施例的通信系统100。要理解的是,通信系统100中所示的元件旨在表示系统内提供的主要功能,例如,UE接入功能、移动性管理功能、认证功能、服务网关功能等。因此,图1所示的框引用5G网络中提供这些主要功能的特定元件。然而,其他网络元件可以被用于实现所表示的一些或全部主要功能。另外,要理解的是,在图1中未描绘5G网络的所有功能。相反,表示了有助于说明性实施例的解释的功能。后续附图可以描绘一些附加的元件/功能。
相应地,如所示,通信系统100包括经由空中接口103与接入点(gNB)104通信的用户设备(UE)102。UE 102可以是移动站,并且这种移动站可以包括例如移动电话、计算机或任何其他类型的通信设备。因此,本文使用的术语“用户设备”旨在被广义地解释,以便涵盖各种不同类型的移动站、订户站或更一般地通信设备,包括诸如插入膝上型计算机或其他设备(诸如,智能电话)中的数据卡的组合等示例。这种通信设备还旨在涵盖通常称为接入终端的设备。
在一个实施例中,UE 102包括通用集成电路卡(UICC)部分和移动设备(ME)部分。UICC是UE的用户相关部分,并且包含至少一个通用订户身份模块(USIM)和适当的应用软件。USIM安全地存储永久订阅标识符及其相关密钥,其用于标识和认证要访问网络的订户。ME是UE的用户无关部分,并且包含终端设备(TE)功能和各种移动终端(MT)功能。
要注意的是,在一个示例中,永久订阅标识符是UE的国际移动订户身份(IMSI)。在一个实施例中,IMSI是固定的15数位长度,并且由3数位移动国家代码(MCC)、3数位移动网络代码(MNC)和9数位移动站标识号(MSIN)组成。在5G通信系统中,IMSI是订阅永久标识符(SUPI)的一部分。在IMSI作为SUPI的情况下,MSIN提供订户身份。因此,通常仅需要加密IMSI的MSIN部分。IMSI的MNC和MCC部分提供路由信息,该路由信息由服务网络使用以路由到正确的归属网络。
说明性地,接入点104是通信系统100的接入网的一部分。这种接入网可以包括例如具有多个基站和一个或多个关联的无线电网络控制功能的5G系统。基站和无线电网络控制功能在逻辑上可以是单独实体,但是在给定的实施例中,可以在相同的物理网络元件中实施,诸如,例如,基站路由器或毫微微蜂窝接入点。
在该说明性实施例中,接入点104可操作地被耦合到移动性管理功能106。在5G网络中,移动性管理功能由接入和移动性管理功能(AMF)实施。安全锚功能(SEAF)也可以利用将UE与移动性管理功能进行连接的AMF来实现。如本文使用的,移动性管理功能是通信系统的核心网(CN)部分中的元件或功能(即,实体),在其他网络操作中,其管理或以其他方式参与与UE的接入和移动性(包括认证/授权)操作(通过接入点104)。AMF在本文中也可以更一般地称为接入和移动性管理实体。
在该说明性实施例中,AMF 106可操作地被耦合到归属订户功能108,即,驻留在订户的归属网络中的一个或多个功能。如所示,这些功能中的一些包括统一数据管理(UDM)功能以及认证服务器功能(AUSF)。AUSF和UDM(单独地或共同地)在本文中也可以更一般地称为认证实体。另外,归属订户功能可以包括但不限于网络切片选择功能(NSSF)、网络暴露功能(NEF)、网络储存库功能(NRF)、策略控制功能(PCF)和应用功能(AF)。
要注意的重要一点是,在SBA通信系统(诸如,5G系统)中,控制平面使用服务模型方法,其中组件(NF)查询NRF以通过应用编程接口(API)发现彼此并进行通信。
接入点104也可操作地耦合至服务网关功能,即,会话管理功能(SMF)110,其可操作地耦合至用户平面功能(UPF)112。UPF 112可操作地耦合至分组数据网络,例如,互联网114。在5G和其他通信网络中众所周知的是,用户平面(UP)或数据平面承载网络用户业务,而控制平面(CP)承载信令业务。SMF 110支持与UP订户会话有关的功能性,例如,协议数据单元(PDU)会话的建立、修改和释放。UPF 112支持促进UP操作的功能性,例如,分组路由和转发、与数据网络的互连(例如,图1中的114)、策略实施和数据缓冲。CP功能性将在下面进一步描述。
要了解的是,系统元件的这种特定布置仅是示例,并且在其他实施例中,附加或备选元件的其他类型和布置可以用于实施通信系统。例如,在其他实施例中,系统100可以包括本文未明确示出的其他元件/功能。
相应地,图1布置仅仅是无线蜂窝系统的一个示例配置,并且可以使用系统元件的许多备选配置。例如,尽管在图1实施例中仅示出了单个元件/功能,但是这仅是为了简单清晰地描述。给定的替代实施例当然可以包括更多数量的这种系统元件以及通常与传统系统实施方式相关联的类型的附加或替代元件。
还要注意的是,尽管图1将系统元件图示为单个功能块,但是构成5G网络的各个子网被划分为所谓的网络切片。网络切片(网络分区)包括在公共物理基础设施上使用网络功能虚拟化(NFV)的每种对应服务类型的一系列功能集(即,功能链)。根据给定服务(例如,eMBB服务、大规模IoT服务和任务关键型IoT服务)的需要实例化网络切片。因此,当创建网络切片或功能的实例时,将实例化该网络切片或功能。在一些实施例中,这涉及在底层物理基础设施的一个或多个主机设备上安装或以其他方式运行网络切片或功能。UE 102被配置为经由gNB 104访问这些服务中的一个或多个。
图2是说明性实施例中的用于提供合法拦截的网络元件/功能的框图。将系统200示出为包括第一网络元件/功能202和第二网络元件/功能204。要了解的是,网络元件/功能202和204表示上面提到的任何网络元件/功能,例如,AMF、SEAF、AUSF、UDM、NSSF、NEF、NRF、PCF、AF、SMF、UPF,它们被配置为提供合法拦截和本文描述的其他技术。
网络元件/功能202包括被耦合至存储器216和接口电路系统210的处理器212。网络元件/功能202的处理器212包括合法拦截处理模块214,该合法拦截处理模块214可以至少部分地以由处理器执行的软件的形式来实现。处理模块214执行结合后续附图和本文其他部分描述的合法拦截。网络元件/功能202的存储器216包括合法拦截存储模块218,其存储在合法拦截操作期间生成或以其他方式使用的数据。
网络元件/功能204包括被耦合至存储器226和接口电路系统220的处理器222。网络元件/功能204的处理器222包括合法拦截处理模块224,其可以至少部分地以由处理器222执行的软件的形式实施。处理模块224执行结合后续附图和本文其他部分描述的合法拦截。网络元件/功能204的存储器226包括合法拦截存储模块228,其存储在合法拦截操作期间生成或以其他方式使用的数据。
相应网络元件/功能202和204的处理器212和222可以包括例如微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)或其他类型的处理设备或集成电路以及这种元件的部分或组合。这种集成电路设备及其部分或组合是本文使用的“电路系统”的示例。硬件以及关联软件或固件的各种其他布置可以用于实施说明性实施例。
相应网络元件/功能202和204的存储器216和226可以被用于存储一个或多个软件程序,其由相应处理器212和222执行以实现本文描述的功能性的至少一部分。例如,可以使用处理器212和222执行的软件代码以直接的方式来实现结合后续附图和本文其他部分描述的合法拦截操作和其他功能性。
因此,存储器216或226中的一个给定存储器可以被视为本文更一般地称为计算机程序产品的示例,或者更一般地仍称为在其中包含有可执行程序代码的处理器可读存储介质的示例。处理器可读存储介质的其他示例可以以任何组合包括磁盘或其他类型的磁性或光学介质。说明性实施例可以包括制品,该制品包括这种计算机程序产品或其他处理器可读存储介质。
存储器216或226可以更具体地包括例如电子随机存取存储器(RAM),诸如静态RAM(SRAM)、动态RAM(DRAM)或其他类型的易失性或非易失性电子存储器。后者可以包括例如非易失性存储器,诸如闪存、磁性RAM(MRAM)、相变RAM(PC-RAM)或铁电RAM(FRAM)。本文使用的术语“存储器”旨在被广义地解释,并且可以附加地或备选地涵盖例如只读存储器(ROM)、基于磁盘的存储器或其他类型的存储设备以及这种设备的部分或组合。
相应网络元件/功能202和204的接口电路系统210和220说明性地包括收发器或其他通信硬件或固件,收发器或其他通信硬件或固件允许关联的系统元件以本文描述的方式彼此通信。
从图2明显的是,网络元件/功能202被配置用于经由它们相应的接口电路系统210和220与网络元件/功能204进行通信,反之亦然。这种通信涉及网络元件/功能202向网络元件/功能204发送数据,并且网络元件/功能204向网络元件/功能202发送数据。然而,在备选实施例中,其他网络元件可以可操作地被耦合在网络元件/功能202和204之间。本文使用的术语“数据”旨在被广义地解释,以便涵盖可以在网络元件/功能之间(以及用户设备与核心网之间)发送的任何类型的信息,包括但不限于身份数据、密钥对、密钥指示符、认证数据、控制数据、音频、视频、多媒体等。
要了解的是,图2所示的组件的特定布置仅是示例,并且在其他实施例中可以使用许多备选配置。例如,任何给定的网络元件/功能可以被配置为并入附加或备选组件并支持其他通信协议。
其他系统元件(诸如,UE 102和gNB 104)也可以分别被配置为包括组件,诸如处理器、存储器和网络接口。这些元件不必在单独的独立处理平台上实现,而可以代替,例如,表示单个公共处理平台的不同功能部分。
说明性实施例提供了用于5G系统的合法拦截架构。5G系统的架构正在3GPP中标准化。3GPP TS 23.501将5G系统架构定义为基于服务,并且网络功能之间的交互以两种方式表示:(i)基于服务的表示;以及(ii)基于参考点的表示。
图3以如TS 23.501(图4.2.3.1)所图示的基于服务的表示描绘了5G架构300。利用基于服务的表示,控制平面内的网络功能使其他授权网络功能能够访问其服务。即,控制平面接口被定义为基于服务的接口Nnssf、Nnef、Nnrf、Npcf、Nudm、Naf、Nausf、Namf和Nsmf。还示出了参考点表示,其在必要时包括在NF之间的点对点接口(N1、N2、N3等)。两种类型的接口表示之间的主要区别在于,基于服务的表示代替网络功能(NF)之间的预定义接口(基于参考点的表示)使用一种服务模型,其中一个NF查询NRF以发现并启用自身与一个或多个其他NF之间的通信。TS 23.501声明,5G核心系统中的所有网络功能应该仅在控制平面中使用基于服务的接口。
图4以如TS 23.501(图4.2.3.2)所图示的基于参考点的表示描绘了5G架构400。如上面所解释的,利用基于参考点的表示,两个NF使用点对点接口来进行交互。5G前的系统具有点对点参考接口。基于服务的接口参考有助于依照网络功能虚拟化(NFV)或软件定义网络(SDN)来查看5G系统架构。
因此,通过示例,利用基于服务的接口,一个网络功能/元件能够直接与任何其他网络功能/元件进行交互(通信)。例如,如图4的点对点接口表示所示,如果出于一些原因,SMF必须与NSSF交互,那么信息可以经过AMF,而在图3的基于服务的接口表示中,SMF可以直接与NSSF交互。
说明性实施例利用基于服务的接口来改进用于5G系统的LI架构。
5G之前的系统中的LI架构使用点对点接口。图5图示了LI系统500的一般概念。
如系统环境500中所示,利用服务提供方网络501,ADMF(管理功能)502、传递功能2(DF2)504和传递功能3(DF3)506是特定于LI的功能元件,并由服务拦截对象(也称为“目标”)的服务提供方部署和管理。如本文使用的,ADMF、DF2和DF3被统称为LI系统或LI系统功能。ADMF、DF2和DF3也是“合法拦截特定元件”的示例。控制平面网络功能(NF)508和用户平面网络功能(NF)510是在处理目标的通信业务时涉及的两个拦截控制元件(ICE)。这些NF以及其他NF也是“拦截控制元件”的示例。
如进一步所示,执法监测功能(LEMF)512是执法机构(LEA)的一部分,该执法机构负责向服务提供方发送LI请求(通过切换接口1或HI1)(501),然后收集LI数据。LI数据由两个部分组成:(1)拦截相关信息或IRI,拦截相关信息或IRI从与目标通信相关联的信令信息(或控制平面数据)中被得出;以及(2)通信内容或CC,通信内容或CC从用户平面分组中被得出。要注意的是,在整个描述和附图中,术语LEMF和LEA有时可以互换使用,而不会造成任何区别损失。
ADMF 502通过X1_1参考点将目标信息、拦截信息和传递接口信息提供给ICE 508和510。
要注意的是,在某些附图(即,图5和其他附图)中,为了指示在图中交叉的两条线不旨在被可操作地连接,具有两条平行线(=)的符号用于示出这些线未连接(例如,X1_1未连接至X2)。某些其他附图使用半圆来示出非连接(例如,关于表示N4和N15的线的图4)。
ADMF 502还为DF2 504(通过X1_2参考点)和DF3 506(通过X1_3参考点)提供拦截相关信息。控制平面NF 508拦截与目标通信相关联的IRI事件,并通过X2参考点将其传递给DF2 504。用户平面NF 510拦截与目标通信相关联的CC,并通过X3参考点将其传递给DF3506。DF2 504通过HI2将IRI传递给LEMF 512。DF3 506通过HI3将CC传递给LEMF 512。
要理解的是,本文描述的说明性实施例适用于服务提供方网络(例如,501)。
为了解释一个或多个问题,然后解释解决该问题的说明性解决方案,考虑在图6中图示的一些假设网络功能。更具体地,图6示出了三个控制平面NF和一个用户平面NF。在三个控制平面NF中,只有两个(控制平面NF-1和控制NF-2)充当ICE。换言之,控制平面NF-3在拦截中没有作用。控制平面NF-1与用户平面NF交互。图6的框610示出了NF之间的点对点接口(例如,控制NF-2和控制NF-3之间的PP-23),而框620示出了控制平面接口的基于服务的表示(例如,控制平面NF-2的Snf2)。根据3GPP TS 23.501,控制平面NF(即,图6中的控制平面NF-1)继续使用点对点接口(PP-1u)与用户平面NF进行交互,如图6的框630所示。鉴于以上描述,现在将描述现有LI系统的主要问题。
在图7中,系统环境700图示了当NF在它们之间仅具有点对点接口时(如在5G之前的系统中)LI将如何应用。要注意的是,类似于图5,图7中的服务提供方网络701包括ADMF702、DF2 704和DF3 706,其功能类似于图5中同样命名的元件。ADMF 702、DF2 704和DF3706可操作地耦合至LEMF 712。控制平面NF-1 708-1和控制平面NF-2 708-2是用于IRI事件的ICE(控制平面NF-3 708-3在该示例中未充当ICE),并且用户平面NF 710是用于CC的ICE。进一步地,如所示,控制平面NF-1 708-1控制用户平面NF 710。NF使用点对点接口进行彼此之间的任何交互。服务提供方网络701内的特定于LI的功能(ADMF 702、DF2 704、DF3 706)也具有与ICE 708-1、708-2和710的点对点接口(分别为X1_1、X2、X3)。
在图8中,系统环境800图示了5G网络中配置有基于服务的表示的当前LI系统。要注意的是,类似于图7,图8中的服务提供方网络801包括ADMF 802、DF2 804和DF3 806,其功能类似于图7中同样命名的元件。ADMF 802、DF2 804和DF3 806可操作地被耦合至LEMF812。控制平面NF-1 808-1和控制平面NF-2 808-2是用于IRI事件的ICE(控制平面NF-3808-3在该示例中未充当ICE),并且用户平面NF 810是用于CC的ICE。进一步地,如所示,控制平面NF-1808-1控制用户平面NF。与图7中的点对点接口相反,控制平面NF808-1、808-2和808-3具有分别表示为Snf1、Snf2、Snf3的基于服务的接口。然而,由于在该示例中基于服务的接口仅用于控制平面,因此控制平面NF-1 808-1仍使用点对点接口(PP-iu)来与用户平面NF810进行交互。而且,在该示例中,服务提供方网络801内的特定于LI的功能(ADMF 802、DF2 804和DF3 806)具有与ICE 808-1、808-2和810的点对点接口(分别为X1_1、X2、X3)。
要了解的是,本文通常用于基于服务的接口的术语包括大写字母(例如,S、N或L),后跟小写字母的功能的缩写(例如,Snf1、Sdf2、Sdmf、Nsmf、Nausf、Ldf2、Llif等)。
如图8所示,针对NF使用基于服务的接口的当前网络架构仍然与LI系统ADMF、DF2和DF3一起使用点对点接口。这使得NF必须继续支持用于控制平面类型的LI信息传输的点对点接口。
随着5G系统的发展,在本文中实现了服务提供方可以选择基于服务的接口来替换点对点接口X1_1和X2,如图8所示。当发生这种情况时,图8所示的架构将必须改变。现有方法尚未考虑如何应用基于服务的接口来提供ICE并使用基于服务的接口来传递与控制平面相关的LI数据。
仅将基于服务的接口添加到LI系统(即,ADMF、DF2)可以使这些功能更加复杂,因为这些功能不仅需要改变以支持新架构,而且还必须不断支持继续使用点对点接口的旧网络。到目前为止,用于5G的LI的标准化还未达到评估可能的解决方案以实现针对L1具有基于服务的接口的阶段。由于考虑仅将基于服务的接口用于控制平面数据,因此X3仍是点对点的。
总之,说明性实施例解决的主要问题是提供解决方案,该解决方案允许服务提供方利用基于服务的接口以用于合法拦截目的。
在配置上类似于图3,图9示出了在NF之间的5G核心网内的控制平面处使用基于服务的接口。更具体地,系统架构900强调了LI功能ADMF 902、DF2 904、DF3 906和LEA 912以及UE 920(这是LI操作的目标)、NG无线电接入网(RAN)922、UPF 924、AMF 926、SMF 928和UDM 930。某些NF还具有与处理用户平面数据的NF的点对点接口(例如,具有UPF 924的SMF928、具有RAN 922的AMF926)。
在图9中,AMF 926、UDM 930和SMF 928是用于IRI事件的ICE,并且UPF 924将用户平面分组传递到新网络功能,该功能被示出为在演进分组核心(EPC)网络中引入的SX3LIF932(分裂SX3 LI互通功能)以支持用于控制和用户平面分离或CUPS模型的LI)。图9示出了AMF 926、UDM 930和SMF 928通过点对点接口X2将IRI事件传递给DF2 904。ADMF 902经由点对点接口X1_1提供AMF926、SMF 928、UDM 930和SX3LIF 932。可以标识附加ICE。说明性描述假设这三个NF是ICE,因为它们在EPC网络中模仿MME(移动性管理实体)、服务网关/PDN(分组数据网络)网关和HSS(归属订户服务器)的功能。如果希望用基于服务的接口替换X2和X1_1,则必须改变图9架构。
现在将描述说明性实施例,其使用基于服务的接口来提供改进的合法拦截架构和方法。
图10图示了一个这种说明性实施例。如系统环境1000中所示,服务提供方网络1001包括ADMF 1002、DF2 1004和DF3 1006,其功能类似于上述同样命名的元件。ADMF1002、DF2 1004和DF3 1006可操作地耦合至LEMF 1012。控制平面NF-1 1008-1和控制平面NF-21008-2是用于IRI事件的ICE(控制平面NF-3 1008-3在该示例中未充当ICE),并且用户平面NF 1010是用于CC的ICE。
在该说明性实施例中,ADMF 1002和DF2 1004被配置为具有基于服务的接口。在图10中将与ADMF 1002的基于服务的接口示出为Sdmf,并且与DF2 1004的基于服务的接口被示出为Sdf2。
如在5G网络架构(如图4所示)中一样,图10中的LI架构仍然可以具有可以在图7中示出的参考点表示。在这方面,以下内容说明了信息如何利用这些基于服务的接口来流动:
-从ADMF 1002到控制平面NF-1 1008-1的X1_1经过Sdmf和Snf1。
-从ADMF 1002到控制平面NF-2 1008-2的X1_1经过Sdmf和Snf2。
-从控制平面NF-1 1008-1到DF2 1004的X2经过Snf1和Sdf2。
-从控制平面NF-2 1008-2到DF2 1004的X2经过Snf2和Sdf2。
在一些实施例中,例如,图10,LI相关数据在基于服务的接口上的信息传输实现附加的安全措施,以确保这样传输的信息对未经授权的人员不可见。
图10中的用户平面NF 1010不具有基于服务的接口,并因此继续使用X1_1的点对点接口。除了支持5G之前的系统(使用点对点接口)的LI所需的点对点接口外,该方法还增强了ADMF和DF2以支持基于服务的接口。
图11图示了采用LI互通功能(LIF)的另一实施例。如系统环境1100中所示,服务提供方网络1101包括ADMF 1102、DF2 1104和DF3 1106,其功能类似于上述同样命名的元件。ADMF 1102、DF21104和DF3 1106可操作地被耦合至LEMF 1112。控制平面NF-11008-1和控制平面NF-2 1008-2是用于IRI事件的ICE(控制平面NF-31008-3在该示例中未充当ICE),并且用户平面NF 1110是用于CC的ICE。新的网络功能LIF被表示为LIF 1114。
在该实施例中,ADMF 1102和DF2 1104不需要任何改变。如图11所示,使用ADMF1102和DF2 1104,因为它们在当前LI系统中使用。LIF 1114具有与ICE 1108-1和1108-2(和1108-3)进行交互的基于服务的接口以及与ADMF 1102和DF2 1104进行交互的点对点接口。LIF 1114的基于服务的接口在图11中示出为Slif。
如在5G网络架构(如图4所示)中一样,图11中的LI架构仍然可以具有参考点表示。在这方面,以下内容说明了信息如何利用基于服务的接口来流动:
-从LIF 1114到控制平面NF-1 1108-1的X1_1相关数据经过Slif和Snf1。
-从LIF 1114到控制平面NF-2 1108-2的X1_1相关数据经过Slif和Snf2。
-从控制平面NF-1 1008-1到DF2 1104的X2相关数据经过Snf1和Slif。
-从控制平面NF-2 1008-2到DF2 1104的X2相关数据经过Snf2和Slif。
LIF 1114从ADMF 1102接收X1_1相关数据,并将该数据发送到适当的ICE。另外,LIF 1114从ICE接收X2相关数据,并将该数据转发到DF2 1104。LI相关数据在基于服务的接口上的信息传输可能需要附加安全措施,以确保这样传输的信息对未经授权的人员不可见。这种措施可以在该实施例中被实现。用户平面NF 1110不具有基于服务的接口,因此继续使用X1_1的点对点接口。该方法不需要对ADMF 1102和DF2 1104进行任何改变,从而使具有向后兼容的LI系统更容易。
现在描述适应可能的5G系统架构变化的说明性实施例。
在5G系统架构被增强为具有基于服务的接口来表示参考点N4(参见图3)的情况下,则提供说明性实施例来支持这种改变。回顾图6的框630,其示出了在用户平面功能和与之交互的控制平面功能之间具有基于服务的接口的尚未完成但可能的未来增强。图12是在图11的实施例上进行构建的说明性实施例,图11的说明性实施例解决了该架构变化。
如系统环境1200中所示,服务提供方网络1201包括ADMF 1202、DF2 1204和DF31206,其功能类似于上述同样命名的元件。ADMF1202、DF2 1204和DF3 1206可操作地被耦合至LEMF 1212。控制平面NF-1 1208-1和控制平面NF-2 1208-2是用于IRI事件的ICE(控制平面NF-3 1208-3在该示例中未充当ICE),并且用户平面NF 1210是用于CC的ICE。新的网络功能LIF被表示为LIF 1214。
在该实施例中,用户平面NF 1210具有基于服务的接口(用于控制平面数据传输),这样,消除了ADMF 1202和用户平面NF 1210之间的X1_1的点对点接口。与用户平面NF 1210的基于服务的接口在图12中表示为Sunf。然而,用户平面数据(即,CC)继续经由点对点接口X2从用户平面NF 1210被传递到DF3 1206。
如在5G网络架构(如图4所示)中一样,图12中的LI架构仍然可以具有基于参考点的表示。在这方面,以下内容说明了信息如何与该基于服务的接口一起流动:
-从LIF 1214到控制平面NF-1 1208-1的X1_1相关数据经过Slif和Snf1。
-从LIF 1214到控制平面NF-2 1208-2的X1_1相关数据经过Slif和Snf2。
-从LIF 1214到用户平面NF 1210的X1_1相关数据经过Slif和Sunf。
-从控制平面NF-1 1208-1到DF2 1204的X2相关数据经过Snf1和Slif。
-从控制平面NF-2 1208-2到DF2 1204的X2相关数据经过Snf2和Slif。
-控制平面NF-1 1208-1与用户平面NF 1210之间的N4相关数据经过Snf1和Sunf。
LIF 1214从ADMF 1202接收X1_1相关数据,并将该数据发送到适当的ICE。另外,LIF 1214从ICE接收X2相关数据,并将该数据转发到DF2 1204。LI相关数据在基于服务的接口上的信息传输可能需要附加安全措施,以确保这样传输的信息对未经授权的人员不可见。这种措施可以在该实施例中被实现。有利地,如在图11的实施例中一样,图12中的实施例不需要对ADMF 1202和DF2 1204进行任何改变,并且这使具有向后兼容的LI系统更容易。
图13描绘了说明性实施例,该说明性实施例解决了服务提供方决定将其LI系统(ADMF、DF2和DF3)升级为附加(附加地,因为它们仍然必须具有点对点接口以支持5G之前的系统)具有基于服务的接口。
如系统环境1300中所示,服务提供方网络1301包括ADMF 1302、DF2 1304和DF31306,其功能类似于上述同样命名的元件。ADMF1302、DF2 1304和DF3 1306可操作地被耦合至LEMF 1312。控制平面NF-1 1308-1和控制平面NF-2 1308-2是用于IRI事件的ICE(控制平面NF-3 1308-3在该示例中未充当ICE),并且用户平面NF 1310是用于CC的ICE。
更具体地,在图13中,增强了ADMF 1302、DF2 1304和DF3 1306以附加地支持基于服务的接口。在该实施例中,假设用户平面NF 1310使用点对点接口(PP-1u)以与控制平面NF-1 1308-1交互。与ADMF1302的基于服务的接口被表示为Sdmf。与DF2 1304的基于服务的接口被表示为Sdf2。与DF3 1306的基于服务的接口被表示为Sdf3。由于LI功能本身被配置为具有基于服务的接口,因此在该实施例中不使用LIF。从该角度来看,这可以被认为是图1所图示的概念的扩展。
如在5G网络架构(如图4所示)中一样,图13中的LI架构仍然可以具有基于参考点的表示。在这方面,以下内容说明了信息如何利用该基于服务的接口来流动:
-从ADMF 1302到控制平面NF-1 1308-1的X1_1相关数据经过Sdmf和Snf1。
-从ADMF 1302到控制平面NF-2 1308-2的X1_1相关数据经过Sdmf和Snf2。
-从ADMF 1302到DF2 1308-2的X1_2相关数据经过Sdmf和Sdf2。
-从ADMF 1302到DF3 1306的X1_3相关数据经过Sdmf和Sdf3。
-从控制平面NF-1 1308-1到DF2 1304的X2相关数据经过Snf1和Sdf2。
-从控制平面NF-2 1308-2到DF2 1304的X2相关数据经过Snf2和Sdf2。
用户平面数据(即,CC)继续经由点对点接口X2从用户平面NF 1310被传递到DF31306。LI相关数据在基于服务的接口上的信息传输可能需要附加安全措施,以确保这样传输的信息对未经授权的人员不可见。这种措施可以在该实施例中实现。
如上面在图10的实施例的上下文中提到的,图13中的L1系统功能将必须继续支持点对点接口以与传统(例如,5G之前的)系统进行交互。
因此,总而言之,图10提出了一种方法,其中ADMF和DF2被增强为具有基于服务的接口,但仍然需要支持点对点接口来处理传统5G之前的系统。然而,服务提供方可能会决定升级在其网络中考虑其他增强的ADMF和DF2。图11提出了一种引入新功能LIF的方法,并且在该方法中,ADMF和DF2不需要增强,因此与5G之前的系统的向后兼容性更加容易。术语“无增强”是指没有功能增强。需要增强,诸如修改消息以与新功能LIF通信。
图12增强了图11所提出的概念,以涵盖5G系统架构的未来版本中可能进行的任何进一步增强。
图13提出了一种方法,其中,LI系统(ADMF、DF2和DF3)也得到了增强,以具有基于服务的接口。这是对在图10的上下文中描述的方法的进一步增强。
现在描述解决向后兼容性的说明性实施例。
图14图示了LI系统可以如何支持具有基于服务的接口的系统和具有点对点接口的系统。要注意的是,图11实施例用作图14的基础。
如系统环境1400中所示,服务提供方网络1401包括ADMF 1402、DF2 1404和DF31406,其功能类似于上述同样命名的元件。ADMF1402、DF2 1404和DF3 1406可操作地耦合至LEMF 1412。控制平面NF-1 1408-1和控制平面NF-2 1408-2是用于IRI事件的ICE(控制平面NF-3 1408-3在该示例中未充当ICE),并且用户平面NF 1410-1是用于CC的ICE。新的网络功能LIF被表示为LIF 1414。
如图14进一步所示,控制平面NF-4 1408-4、控制平面NF-51408-5和用户平面NF-21410-2是具有点对点接口(例如,5G之前)的系统的一部分。图14中的实施例提供了ADMF1402可以为具有基于服务的接口的系统(表示为1403-1)和具有点对点接口的系统(表示为1403-2)提供LI数据。同样地,DF2 1404可以从具有基于服务的接口(1403-1)和点对点接口(1403-2)的系统接收X2相关数据。
图15图示了将来自图10的方法应用于图3所示的5G系统架构(增强图9)。更具体地,系统架构1500强调LI功能ADMF 1502、DF2 1504、DF3 1506和LEA 1512以及UE 1520(其是LI操作的目标)、NG RAN 1522、UPF 1524、AMF 1526、SMF 1528、UDM 1530和SX3LIF 1532。
在该实施例中,ADMF 1502和DF2 1504被增强为具有基于服务的接口。它们仍支持点对点接口,以与使用点对点接口的传统(例如,5G之前的)系统进行交互。在图15中,AMF1526、SMF 1528、UDM1530和某些情况下的SX3LIF 1532生成IRI事件,并使用基于服务的接口将它们传递给DF2 1504。UPF 1524复制分组并将其传递到SX3LIF 1532,后者又经由X3参考点(点对点)将CC传递到DF3 1506。ADMF 1502使用基于服务的接口提供AMF 1526、SMF1528、UDM1530和SX3LIF 1532。ADMF 1502分别经由点对点接口X1_2和X1_3为DF2 1504和DF3 1506提供LI数据。在一些实施例中,支持经由基于服务的接口(即,经由Nsmf和Nsx3)消除用于将拦截相关信息从SMF 1528传输到SX3LIF 1532的X3c接口。
图16图示了将来自图11的方法应用于图3所示的5G系统架构(增强图9)。更具体地,系统架构1600强调LI功能ADMF 1602、DF2 1604、DF3 1606和LEA 1612以及UE 1620(其是LI操作的目标)、NG RAN 1622、UPF 1624、AMF 1626、SMF 1628、UDM 1630和SX3LIF 1632。在该实施例中,还要注意,将特定于LI的功能LIF 1614添加到系统。这使得LI系统功能能够同时支持使用点对点接口的传统(例如,5G之前的)系统。
在图16中,AMF 1626、SMF 1628、UDM 1630和某些情况下的SX3LIF 1632生成IRI事件,并经由LIF 1614将它们传递到DF2 1604。UPF 1624复制分组并将其传递到SX3LIF1632,后者又经由X3参考点(点对点)将CC传递到DF3 1606。ADMF 1602经由LIF 1614向AMF1626、SMF 1628、UDM 1630和SX3LIF 1632提供LI数据。在一些实施例中,支持经由基于服务的接口(即,经由Nsmf和Nsx3)消除用于将截取相关信息从SMF 1628传输到SX3LIF 1632的X3c接口。
图17图示了将来自图12的方法应用于图3所示的5G系统架构(增强图9)。更具体地,系统架构1700强调LI功能ADMF 1702、DF2 1704、DF3 1706和LEA 1712以及UE 1720(其是LI操作的目标)、NG RAN 1722、UPF 1724、AMF 1726、SMF 1728、UDM 1730和SX3LIF 1732。这使得LI系统功能能够同时支持使用点对点接口的传统(例如,5G之前的)系统。
在图17中,AMF 1726、SMF 1728、UDM 1730和某些情况下的SX3LIF 1732生成IRI事件,并经由LIF 1714将它们传递给DF2 1704。UPF 1724复制分组并将其传递给SX3LIF1732,后者又经由X3参考点(点对点)将CC传递到DF3 1706。ADMF 1702经由LIF 1714向AMF1726、SMF 1728、UDM 1730和SX3LIF 1732提供LI数据。SMF1728使用基于服务的接口将拦截信息发送到UPF 1724。UPF 1724具有基于服务的接口以与SMF 1728进行交互。SX3LIF 1732还使用基于服务的接口以与SMF 1732进行交互。
图18图示了将来自图13的方法应用于图3所示的5G系统架构(增强图9)。更具体地,系统架构1800强调LI功能ADMF 1802、DF2 1804、DF3 1806和LEA 1812以及UE 1820(其是LI操作的目标)、NG RAN 1822、UPF 1824、AMF 1826、SMF 1828、UDM 1830和SX3LIF 1832。在该实施例中,ADMF 1802、DF2 1804和DF3 1806被增强为具有基于服务的接口。它们仍支持点对点接口,以与使用点对点接口的传统(例如,5G之前的)系统进行交互。
在图18中,AMF 1826、SMF 1828、UDM 1830和一些情况下的SX3LIF 1832生成IRI事件,并使用基于服务的接口将它们传递给DF31806。UPF 1824复制分组并将其传递到SX3LIF1832,后者又经由X3参考点(点对点)将CC传递到DF3 1806。ADMF 1802使用基于服务的接口提供AMF 1826、SMF 1828、UDM 1830、SX3LIF 1832、DF2 1804和DF3 1806。在一些实施例中,支持经由基于服务的接口(即,经由Nsmf和Nsx3)消除用于将拦截相关信息从SMF 1828传输到SX3LIF 1832的X3c接口。
在本文中认识到,服务提供方可以采用与LI系统的基于服务的接口(ADMF、DF2和DF3),但可能不集成到5G核心系统。图19和20图示了解决这些场景的实施例。
图19是新的特定于LI的功能LIF被添加到系统以与5G系统中的ICE交互的实施例。如系统环境1900中所示,服务提供方网络1901包括ADMF 1902、DF2 1904和DF3 1906,其功能类似于上述同样命名的元件。ADMF 1902、DF2 1904和DF3 1906可操作地耦合至LEMF1912。控制平面NF-1 1908-1和控制平面NF-2 1908-2是用于IRI事件的ICE(控制平面NF-3 1908-3在该示例中未充当ICE),并且用户平面NF 1910是用于CC的ICE。网络功能LIF被表示为LIF 1914。要注意的是,特定于LI的服务接口的名称不同,即,针对ADMF为Ldmf,针对DF2为Ldf2并且针对DF3为Ldf3。
作为示例:
-LI从ADMF 1902向控制平面NF-1 1908-1提供信息经过Ldmf、Llif、Slif和Snf1。
-LI从ADMF 1902向DF2 1904提供信息Ldmf和Ldf2。
-来自控制平面NF-2 1908-2的X2数据经过Snf2、Slif、Llif、Ldf2。
在该实施例中,L1系统(ADMF 1902、DF2 1904、DF3 1906)仍支持点对点接口,以与使用点对点接口的传统(例如,5G之前的)系统进行交互。
图20示出了图19的实施例的变型。如系统环境2000中所示,服务提供方网络2001包括ADMF 2002、DF2 2004和DF3 2006,其功能类似于上述同样命名的元件。ADMF 2002、DF22004和DF3 2006可操作地被耦合至LEMF 2012。控制平面NF-1 2008-1和控制平面NF-22008-2是用于IRI事件的ICE(控制平面NF-3 2008-3在该示例中未充当ICE),并且用户平面NF 2010是用于CC的ICE。
要注意的是,在图20中,提供ICE功能的NF具有两个基于服务的接口,一个针对于LI操作(例如,Lnf2)并且另一个针对于常规网络功能操作(例如,Snf2)。这种方法背后的动机是避免在其他基于服务的接口上传递LI特定信息的安全隐患。在该方法中,不需要新的特定于LI的功能LIF。特定于LI的服务接口被不同命名,即,针对ADMF为Ldmf,针对DF2为Ldf2,针对DF3为Ldf3,针对控制平面NF-1为Lnf1并且针对控制平面NF-2为Lnf2。
作为示例:
-LI从ADMF 2002向控制平面NF-1 2008-1提供信息经过Ldmf和Lnf1。
-LI从ADMF 2002向DF2 2004提供信息经过Ldmf和Ldf2。
-来自控制平面NF-2 2008-2的X2数据经过Lnf2、Ldf2。
在该实施例中,L1系统(ADMF、DF2、DF3)仍支持点对点接口,以与使用点对点接口的传统(例如,5G之前的)系统进行交互。
图21是特定于LI的功能LIF被添加到系统以与5G系统中的ICE交互的实施例。如系统环境2100中所示,服务提供方网络2101包括ADMF 2102、DF2 2104和DF3 2106,其功能类似于上述同样命名的元件。ADMF 2102、DF2 2104和DF3 2106可操作地被耦合至LEMF2112。控制平面NF-1 2108-1和控制平面NF-2 2108-2是用于IRI事件的ICE(控制平面NF-3 2108-3在该示例中未充当ICE),并且用户平面NF 2110是用于CC的ICE。网络功能LIF被表示为LIF2114。
如图21所示,LIF 2114支持具有SBA模型的网络2101的基于服务的接口以及与ADMF 2102和DF2 2104的点对点接口。在该方法中,ADMF 2102和DF2 2104继续使用点对点接口,从而简化了向后兼容性。
图22图示了具有LI功能ADMF 2202、DF2 2204、DF3 2206和LEA 2212以及UE 2220(其是LI操作的目标)、NG RAN 2222、UPF2224、AMF 2226、SMF 2228、UDM 2230和SX3LIF2232的系统架构2200。
在该实施例中,ADMF 2202、DF2 2204和SX3LIF 2232分别具有基于服务的接口Ldmf、Ldf2和Lsx3。AMF 2226、SMF 2228和UDM2230分别具有特定于LI的基于服务的接口Lamf、Lsmf和Ludm。ADMF 2202提供:使用Ldmf和Lamf的AMF 2226;使用Ldmf和Lsmf的SMF2228;使用Ldmf和Ludm的UDM 2230;以及使用Ldmf和Lsx3的SX3LIF 2232。
AMF 2226、SMF 2228和SX3LIF 2232使用Ldf2将IRI事件传递到DF2 2204(AMF2226使用Lamf和Ldf2;SMF 2228使用Lsmf和Ldf2;并且SX3LIF 2232使用Lsx3和Ldf2)。根据5G SBA模型的用户平面业务是使用点对点接口X3传递的。同样地,UPF 2224经由点对点接口X3u将复制的分组转发到SX3LIF 2232。
在该方法中,SMF 2228经由点对点接口X3c将拦截相关控制信息发送到SX3LIF2232。作为备选实施例,通过SMF 2226使用Lsx3将拦截相关信息发送到SX3LIF 2232来消除点对点接口X3c。在一些实施例中,SX3LIF 2232与UPF 2224或SMF 2228被并置。然而,在其他实施例中,SX3LIF 2232是独立实体。
图23图示了具有LI功能ADMF 2302、DF2 2304、DF3 2306和LEA 2312以及UE 2320(其是LI操作的目标)、NG RAN 2322、UPF2324、AMF 2326、SMF 2328、UDM 2330和SX3LIF2332的系统架构2300。在该实施例中,还要注意的是,特定于L1的功能LIF 2314被添加到系统。这使LI系统功能能同时支持使用点对点接口的传统(例如,5G之前的)系统。
在该实施例中,ADMF 2302和DF2 2304具有到LIF 2314的点对点接口,并且LIF2314提供基于服务的接口Llif以与5G网络交互。LIF 2314将提供信息从ADMF 2302传递到:使用Llif和Lamf的AMF2326;使用Llif和Lsmf的SMF 2328;使用Llif和Ludm的UDM 2330;以及使用Llif和Lsx3的SX3LIF 2332。
AMF 2326、SMF 2328和SX3LIF 2332使用Llif将IRI事件传递到LIF 2314(AMF2326使用Lamf和Llif;SMF 2328使用Lsmf和Llif;并且SX3LIF 2332使用Lsx3和Llif)。根据5G SBA模型的用户平面业务是使用点对点接口X3传递的。同样地,UPF 2324经由点对点接口X3u将复制的分组转发到SX3LIF 2332。
在该方法中,SMF 2328经由点对点接口X3c将拦截相关控制信息发送到SX3LIF2332。作为备选实施例,通过SMF 2326使用Lsx3将拦截相关信息发送到SX3LIF 2332来消除点对点接口X3c。在一些实施例中,SX3LIF 2332与UPF 2324或SMF 2328并置。然而,在其他实施例中,SX3LIF 2332是独立实体。
还要了解的是,虽然在附图中相对于某些说明性NF(例如,作为ICE)图示了LI功能性,但是LI功能性可以在任何现有的NF和/或新引入的NF中被实现。
下面是文本和/或附图中引用或与合法拦截和/或通信系统有关的缩写的概述:
3GPP 第三代合作伙伴计划
ADMF 管理功能
AF 应用功能
AMF 接入和移动性管理功能
AUSF 认证服务器功能
BBIFF 承载绑定拦截和转发功能
CALEA 通信协助执法法案
CC 呼叫内容(或通信内容)
CP 控制平面
CSP 通信服务提供方
DF 传递功能
DF2 传递功能2(用于IRI)
DF3 传递功能3(用于CC)
DN 数据网络
EPC 演进分组核心
HI1 切换接口1(用于管理)
HI2 切换接口2(用于IRI)
HI3 切换接口3(用于CC)
IAP 互联网接入点
ICE 拦截控制元件
ID 身份或标识符
IRI 拦截相关信息
LEA 执法机构
LEMF 执法监测设施
LI 合法拦截
LIFLI 互通功能
NEF 网络暴露功能
NFV 网络功能虚拟化
NRF 网络储存库功能
NSSF 网络切片选择功能
PCF 策略控制功能
PDP 分组数据协议
(R)AN (无线电)接入网
SA3 服务和系统方面TSG 3
SDN 软件定义网络
SMF 会话管理功能
SX3LIF 分裂LI互通功能
UDM 统一数据管理
UDSF 非结构化数据存储功能
UPF 用户平面功能
X1 接口(用于ADMF与接入功能之间的管理)
X2 接口(用于接入功能与DF2之间的IRI)
X3 X3接口(用于接入功能与DF3之间的CC)
因此,应该再次强调的是,本文描述的各种实施例仅通过说明性示例的方式呈现,并且不应被解释为限制权利要求的范围。例如,替代实施例可以利用与上面在说明性实施例的上下文中描述的那些不同的通信系统配置、用户设备配置、基站配置、密钥对提供和使用过程、消息收发协议和消息格式。在所附权利要求的范围内的这些和许多其他替代实施例对于本领域技术人员将是明显的。

Claims (20)

1.一种方法,包括:
在被配置为支持合法拦截功能性的给定通信系统的服务提供方网络中,提供一个或多个基于服务的接口以实现一个或多个特定于合法拦截的元件与一个或多个拦截控制元件之间的交互。
2.根据权利要求1所述的方法,其中所述一个或多个特定于合法拦截的元件包括管理功能和一个或多个传递功能。
3.根据权利要求2所述的方法,其中所述管理功能和所述一个或多个传递功能可操作地被耦合到监测实体。
4.根据权利要求1所述的方法,其中所述一个或多个拦截控制元件包括所述服务提供方网络的一个或多个网络功能。
5.根据权利要求4所述的方法,其中所述一个或多个网络功能包括:与所述服务提供方网络的控制平面和用户平面中的至少一项相关联的一个或多个网络功能。
6.根据权利要求1所述的方法,还包括:提供针对于合法拦截功能性的互通功能,其中所述互通功能包括:
基于服务的接口,用以与关联于所述服务提供方网络的控制平面的所述一个或多个拦截控制元件进行交互;以及
点对点接口,用以与所述一个或多个特定于合法拦截的元件的至少一部分进行交互。
7.根据权利要求1所述的方法,还包括:提供针对于合法拦截功能性的互通功能,其中所述互通功能包括:
基于服务的接口,用以与关联于所述服务提供方网络的控制平面和用户平面的所述一个或多个拦截控制元件进行交互;以及
点对点接口,用以与所述一个或多个特定于合法拦截的元件的至少一部分进行交互。
8.根据权利要求1所述的方法,其中所述一个或多个特定于合法拦截的元件被配置为支持所述一个或多个基于服务的接口。
9.根据权利要求1所述的方法,还包括:提供针对于合法拦截功能性的互通功能,其中所述互通功能包括:
基于服务的接口,用以与关联于所述服务提供方网络的控制平面和用户平面的所述一个或多个拦截控制元件进行交互;以及
另一基于服务的接口,用以与所述一个或多个特定于合法拦截的元件的至少一部分进行交互。
10.根据权利要求1所述的方法,其中所述一个或多个拦截控制元件均包括单独的基于服务的接口,其中所述基于服务的接口中的一个基于服务的接口被专用于所述合法拦截功能性。
11.根据权利要求1所述的方法,还包括:除了所述一个或多个基于服务的接口之外,还提供一个或多个点对点接口,以实现所述一个或多个特定于合法拦截的元件与所述一个或多个拦截控制元件之间的基于参考点的交互。
12.根据权利要求1所述的方法,其中所述通信系统包括5G系统。
13.一种装置,包括:
在被配置为支持合法拦截功能性的给定通信系统的服务提供方网络中,一个或多个基于服务的接口被提供来实现一个或多个特定于合法拦截的元件与一个或多个拦截控制元件之间的交互。
14.根据权利要求13所述的装置,还包括:
针对于合法拦截功能性的互通功能,其中所述互通功能包括:
基于服务的接口,用以与关联于所述服务提供方网络的控制平面的所述一个或多个拦截控制元件进行交互;以及
点对点接口,用以与所述一个或多个特定于合法拦截的元件的至少一部分进行交互。
15.根据权利要求13所述的装置,其中所述一个或多个特定于合法拦截的元件包括管理功能和一个或多个传递功能。
16.根据权利要求13所述的装置,其中所述一个或多个拦截控制元件包括所述服务提供方网络的一个或多个网络功能。
17.一种制品,包括在其中实施有可执行程序代码的非瞬态计算机可读存储介质,所述可执行程序代码在由处理器执行时使所述处理器执行以下步骤:
在被配置为支持合法拦截功能性的给定通信系统的服务提供方网络中,提供一个或多个基于服务的接口以实现一个或多个特定于合法拦截的元件与一个或多个拦截控制元件之间的交互。
18.根据权利要求17所述的制品,还被配置为:
提供针对于合法拦截功能性的互通功能,其中所述互通功能包括:
基于服务的接口,用以与关联于所述服务提供方网络的控制平面的所述一个或多个拦截控制元件进行交互;以及
点对点接口,用以与所述一个或多个特定于合法拦截的元件的至少一部分进行交互。
19.根据权利要求17所述的制品,其中所述一个或多个特定于合法拦截的元件包括管理功能和一个或多个传递功能。
20.根据权利要求17所述的制品,其中所述一个或多个拦截控制元件包括所述服务提供方网络的一个或多个网络功能。
CN201980009812.3A 2018-01-26 2019-01-15 用于通信的方法、装置和介质 Active CN111656811B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862622524P 2018-01-26 2018-01-26
US62/622,524 2018-01-26
PCT/US2019/013637 WO2019147435A1 (en) 2018-01-26 2019-01-15 Lawful interception using service-based interfaces in communication systems

Publications (2)

Publication Number Publication Date
CN111656811A true CN111656811A (zh) 2020-09-11
CN111656811B CN111656811B (zh) 2023-12-01

Family

ID=65352122

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980009812.3A Active CN111656811B (zh) 2018-01-26 2019-01-15 用于通信的方法、装置和介质

Country Status (4)

Country Link
US (1) US11765597B2 (zh)
EP (1) EP3744116A1 (zh)
CN (1) CN111656811B (zh)
WO (1) WO2019147435A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11190551B2 (en) 2019-09-06 2021-11-30 T-Mobile Usa, Inc. Interception of high-throughput data traffic
WO2022093085A1 (en) * 2020-10-28 2022-05-05 Telefonaktiebolaget Lm Ericsson (Publ) Obtaining information pertaining to a network function in lawful interception
US11924662B2 (en) * 2020-11-13 2024-03-05 At&T Intellectual Property I, L.P. Remote user plane deployment and configuration
WO2023083443A1 (en) * 2021-11-10 2023-05-19 Telefonaktiebolaget Lm Ericsson (Publ) Communications network node, network elements, lawful interception system and methods

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102308550A (zh) * 2009-02-06 2012-01-04 瑞典爱立信有限公司 消息的合法拦截和数据保持
US20130010963A1 (en) * 2011-07-07 2013-01-10 Farrugia Augustin J Multiplicative splits to protect cipher keys
US20130080586A1 (en) * 2010-06-11 2013-03-28 Telefonaktiebolaget L M Ericsson (Publ) User Data Automatic Lookup in Lawful Interception
US20150181422A1 (en) * 2013-12-19 2015-06-25 Nxp B.V. Binding mobile device secure software components to the sim
CN105075182A (zh) * 2013-02-07 2015-11-18 诺基亚技术有限公司 用于通过提供安全性信息来允许合法拦截的方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2941936B1 (en) * 2013-01-03 2019-09-11 Intel Corporation Apparatus, system and method of lawful interception (li) in a cellular network
US9794771B2 (en) * 2014-07-31 2017-10-17 Cisco Technology, Inc. Node selection in network transitions
EP3101930B1 (en) * 2015-06-04 2018-11-07 BlackBerry Limited Capturing data from a mobile device through group communication
WO2018013537A1 (en) 2016-07-11 2018-01-18 Nokia Solutions And Networks Oy Methods and apparatuses for correlating intercept related information with call content
WO2018224862A1 (en) * 2017-06-07 2018-12-13 Telefonaktiebolaget Lm Ericsson (Publ) Enhanced lawful interception
US11689993B2 (en) * 2018-04-04 2023-06-27 Nokia Technologies Oy Interception aware access node selection
US11109305B2 (en) * 2019-01-28 2021-08-31 Qualcomm Incorporated Extended feature indication in NR
WO2021207084A1 (en) * 2020-04-07 2021-10-14 Apple Inc. Tracking area identifier (tai) change during authentication request processing

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102308550A (zh) * 2009-02-06 2012-01-04 瑞典爱立信有限公司 消息的合法拦截和数据保持
US20130080586A1 (en) * 2010-06-11 2013-03-28 Telefonaktiebolaget L M Ericsson (Publ) User Data Automatic Lookup in Lawful Interception
US20130010963A1 (en) * 2011-07-07 2013-01-10 Farrugia Augustin J Multiplicative splits to protect cipher keys
CN105075182A (zh) * 2013-02-07 2015-11-18 诺基亚技术有限公司 用于通过提供安全性信息来允许合法拦截的方法
US20150181422A1 (en) * 2013-12-19 2015-06-25 Nxp B.V. Binding mobile device secure software components to the sim

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NOKIA: ""S8HR LI/CUPS LI further details – capturing the email discussions"", 《3GPP TSG-SA WG3 LI MEETING #66 S3I170224》 *

Also Published As

Publication number Publication date
US20210067955A1 (en) 2021-03-04
US11765597B2 (en) 2023-09-19
CN111656811B (zh) 2023-12-01
EP3744116A1 (en) 2020-12-02
WO2019147435A1 (en) 2019-08-01

Similar Documents

Publication Publication Date Title
US11483741B2 (en) Automated roaming service level agreements between network operators via security edge protection proxies in a communication system environment
EP3753227B1 (en) Security management in communication systems with security-based architecture using application layer security
EP3753226B1 (en) Security management in communication systems between security edge protection proxy elements
CN109803251B (zh) 用于通信系统中的隐私管理实体选择的方法和装置
CN111656811B (zh) 用于通信的方法、装置和介质
US20190182654A1 (en) Preventing covert channel between user equipment and home network in communication system
US10574462B2 (en) Interfaces for privacy management as service or function
US10826946B2 (en) Security management in communication systems with provisioning based mechanism to identify information elements
CN113994633B (zh) 通信系统中的网络功能集合的授权
CN112335274A (zh) 用于通信系统中服务访问的安全管理
CN112997518B (zh) 通信系统中的分解基站中的安全性管理
US11789803B2 (en) Error handling framework for security management in a communication system
CN113574829A (zh) 与第三方应用共享通信网络锚定加密密钥
US20220232382A1 (en) Controlling provision of access to restricted local operator services by user equipment
EP4322480A1 (en) Secure identification of applications in communication network
CN116889004A (zh) 用于边缘数据网络重定位的认证指示

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant