使用公共安全中继在无线网络中的合法侦听报告的制作方法

本申请要求于2014年5月8日提交的美国临时专利申请No.61/990,608的权益，后者在本文中完全阐述，通过引用并入本文。

背景技术：

无线网络向移动通信设备，例如智能电话，提供网络连接。网络连接可以通过无线电接口提供。典型地，移动设备通过作为网络基础设施的平台的接入点连接到无线网络。例如，设备可以连接到蜂窝基站或无线局域网(WLAN)接入点(例如，WiFi接入点)。

一些技术可允许设备彼此建立直接通信路径(例如，不通过蜂窝基站或WiFi接入点)。例如，彼此邻近的设备可以彼此发现并随后建立彼此的直接通信路径。在由第三代合作伙伴计划(3GPP)公布的规范中，无线设备之间的直接通信可以被称为“邻近服务”(ProSe)。ProSe通信具有许多优点，诸如，可改进频谱利用率，改进总吞吐量和性能，以及改进能量损耗。在公共安全服务背景下，ProSe通信可以提供重要的回退公共安全网络，其在蜂窝网络(例如，3GPP蜂窝网络)发生故障或不可用时发挥作用。

诸如基于3GPP的网络这样的网络可以包括合法侦听(LI)功能。在LI下，网络提供商可以使执法机构(LEA)能够侦听与特定移动设备的业务对应的内容和其他相关信息。对于合法侦听，可能需要识别目标移动设备。

在ProSe通信中，中继设备，诸如充当中继设备的移动设备，可用以将另一个移动设备(诸如在蜂窝网络覆盖区域之外的移动设备)耦合到蜂窝网络。然而，在这种情况下，实现合法侦听可能存在问题，因为成为合法侦听的目标的移动设备对于蜂窝网络可能是不可见的。

附图说明

结合对以下附图的详细描述，更易于理解本发明的实施例。为了便于描述，相同的附图标记可以指代相同的结构元件。附图通过示例而非限制的方式示出了本发明的实施例。

图1是可以实施本文所描述的系统和/或方法的示例环境的图。

图2是对实施图1所示的部分环境的示例性的实施方式的补充细节的图。

图3是示出用于执行合法侦听报告的示例过程的流程图。

图4是示出可以用于在没有网络参与的情况下认证远程用户设备(UE)的技术的图。

图5是示出对远程UE的标识信息执行合法侦听报告的系统的示例性的实施方式的图。

图6和图7示出对远程UE的标识信息执行合法侦听报告的通信流程的示例的图。

图8是设备的示例组件图。

具体实施方式

以下详细描述将参考附图进行。不同附图中，相同附图标记可以标识相同或相似的元件。应当理解，在不脱离本申请公开范围的情况下，可以利用其他实施例，并且可以进行结构或逻辑变型。因此，以下详细描述不应被视为对本发明的限制，根据本发明实施例的范围由所附权利要求及其等同物限定。

本文描述的技术可以在至少一个UE正参与ProSe服务的情况下实现用户设备(UE)(例如，智能电话或其他移动通信设备)的合法侦听(LI)服务，使得UE经由中继设备“间接地”耦合到蜂窝网络。作为这种情况的示例，一组公共安全人员(例如，消防员)可以是事故的第一响应者。该组中的一个或多个成员的UE可能处于该组所使用的蜂窝网络的覆盖范围之外(例如，一些成员可能在室内，在隧道中等)。该组的成员可以使用ProSe通信服务继续实现彼此通信并与蜂窝网络通信。在这种场景下，在蜂窝网络覆盖范围内的一个该组成员的UE可以充当该组其他成员的中继设备，所述其他成员在本文中可以被称为超出覆盖范围的“远程UE”。因此，该组所有成员可以继续经由蜂窝网络进行通信。

在一些情况下，例如在第四版互联网协议(IP)寻址(IPv4)的情况下，充当中继设备的UE在中继业务时可以使用网络地址转换(NAT)技术。从蜂窝网络的角度来看，NAT可能隐藏关于哪些业务流对应于中继UE以及哪些业务流对应于远程UE的可见性。这会对执行合法侦听服务构成问题。

与本文描述的方面一致，中继设备可以通过向与蜂窝网络相关联的LI设备报告远程UE的认证身份以及允许LI设备监视与远程UE相关的业务(和/或与所述业务相关的控制统计)的标识信息的方式协助启用合法侦听。远程UE的认证可以使用不需要涉及蜂窝网络的技术来执行。对于IPv6地址，标识信息可以包括IPv6前缀。对于IPv4寻址，标识信息可以包括中继设备的公共IPv4地址和由中继设备分配的端口号。本文描述的用于实现合法侦听的技术通常可以用于最小化对现有蜂窝网络，诸如3GPP演进分组系统(EPS)无线网络的影响。

在与本文描述的方面一致的一个实施例中，UE可以包括处理电路，用于：使用未连接到蜂窝网络的第一无线电接口与第二UE连接；使用第二无线电接口与蜂窝网络连接；经由第一无线电接口认证从第二UE接收的第二UE的身份；以及充当到蜂窝网络的无线中继，用于第二UE转发从第二UE到无线网络的通信。

另外或可选地，UE可以通过在第二UE和蜂窝网络之间执行IP分组的第三层转发来充当无线中继。另外或可选地，第一无线电接口可以包括WLAN直接连接。另外或可选地，第一无线电接口可以包括E-UTRA直接连接。

另外或可选地，可以基于从第二UE接收的数字签名来执行认证，而不需要在第二UE的身份认证期间通过蜂窝网络进行通信。可以使用ECCSI技术或基于证书的技术来执行认证，其中认证过程不需要与公共信任节点的实时通信。

另外或可选地，UE可以向与蜂窝网络相关联的合法侦听设备报告第二UE的标识信息和经认证的身份。另外或可选地，标识信息可以包括IPv4地址和作为NAT过程的一部分分配给UE的端口号；或互联网协议版本6(IPv6)地址前缀。另外或可选地，合法侦听设备可以包括在无线网络的用户平面操作的设备，处理电路还可以：经由用户平面HTTP，报告第二UE的标识信息和经认证的身份。合法侦听设备可以包括在无线网络的控制平面中的MME或PGW。

在与本文描述方面一致的另一实施例中，UE可以包括第一无线电接口；第二无线电接口；用于存储处理器可执行指令的计算机可读介质；以及处理电路，用于执行所述处理器可执行指令，以便：经由第一无线电接口，与UE附近的第二UE连接，向第二UE提供邻近服务ProSe，对经由第一无线电接口从第二UE接收到的第二UE的身份进行认证，通过第一无线电接口，将从第二UE接收的通信中继到经由第二无线电接口连接到UE的无线网络，以及向与无线网络相关联的合法侦听实体报告用于识别第二UE的网络业务的标识信息。

另外或可选地，合法侦听实体可以包括在无线网络的用户平面中操作的设备，报告还包括经由用户平面协议报告标识信息。

在与本文描述的方面一致的另一实施例中，在中继设备实现的方法可以包括由中继设备认证经由直接无线电连接而连接到中继设备的远程UE的身份，认证包括认证远程UE的身份；以及由中继设备向与中继设备所连接的蜂窝无线网络相关联的合法侦听实体报告：与远程UE相关联的IPv6地址前缀，或者IPv4地址和作为NAT过程的一部分分配给远程UE的端口号；和远程UE的经认证的身份。

另外或可选地，该方法可以包括将与远程UE相关联的业务中继到蜂窝无线网络。另外或可选地，向合法侦听实体的报告可经由非接入层(NAS)信令来执行。

在与本文描述的方面一致的另一实施例中，中继设备可以包括用于认证经由直接无线电连接而连接到中继设备的远程UE的身份的装置，认证包括认证远程UE的身份；以及用于向与中继设备所连接的蜂窝无线网络相关联的合法侦听实体报告：与远程UE相关联的IPv6地址前缀，或者IPv4地址和作为NAT过程的一部分分配给远程UE的端口号；和远程UE的经认证的身份。

图1是可以实现本文所描述的系统和/或方法的示例环境100的示例图。如图所示，环境100可以包括中继设备110，用户设备(UE)112，114和116，无线网络120，公共安全应用服务器130和执法机构(LEA)140。用户设备112，114和116通常可以指能够与无线网络120无线通信的任何无线通信设备，诸如移动电话，智能电话，平板电脑，笔记本电脑等。中继设备110也可以是UE设备，诸如在结构上与UE 112，114或116相似或相同的UE设备。为清楚起见，当操作以执行中继设备的功能时，UE在本文中将被称为“中继设备”(中继设备110)。类似地，远程UE 114和116在结构上可以类似于或等同于UE 112。通过中继设备110进行通信以获得网络连接性的UE在本文中将被称为“远程UE”(例如，远程UE 114或116)。

中继设备110，UE 112和远程UE 114和116可以各自包括便携式计算和通信设备，诸如个人数字助理(PDA)，智能电话，手机，可连接到蜂窝无线网络的笔记本电脑，平板电脑等。中继设备110，UE 112和远程UE 114和116还可以包括非便携式计算设备，诸如台式电脑，消费或商业设备或其他具有连接到无线网络120的能力的设备。中继设备110，UE 112和远程UE 114和116可以通过无线电链路连接到无线网络120。

中继设备110，UE 112和远程UE 114和116可以包括允许设备110-116无线地连接到无线网络120、彼此连接和/或连接到其他设备的无线电接口。例如，中继设备110，UE 112和远程UE 114和116可以各自包括用以连接到蜂窝接入网络(诸如基于3GPP/长期演进(LTE)的网络)的第一无线电收发器，以及用以实现基于WiFi的通信(例如，基于电气和电子工程师协会(IEEE)的802.11的通信)的第二无线电收发器。中继设备110，UE 112和远程UE 114和116可以使用在直接通信路径上实现的ProSe服务(例如，经由WLAN连接，诸如WiFi直接路径，或者通过无需使用无线网络120的演进的通用陆地无线电接入(E-UTRA)直接通信路径)而彼此直接连接。另外或可选地，当在无线网络120的覆盖区域内时，中继设备110和UE 112可以与无线网络120通信。

无线网络120可以包括向移动设备110提供无线网络连接的一个或多个网络。例如，无线网络120可以表示提供蜂窝无线覆盖的无线网络。在一些实施例中，无线网络120可以与LTE网络相关联。图2更详细地解释了结合中继设备的无线网络120的示例。

公共安全应用服务器130可以包括向公共安全人员和/或组织提供服务的一个或多个计算和通信设备。例如，公共安全应用服务器130可以提供与公共安全人员之间的ProSe通信有关的服务，诸如与协助物理上彼此临近的UE之间的识别和/或实现UE之间的优化通信有关的服务。作为另一示例，公共安全应用服务器130可以用于在公共安全人员组之间进行群组呼叫，例如一对多呼叫或紧急情况下公共安全人员的调度。虽然示例在无线网络120外部实现，但在实践中，附加或可选地，公共安全应用服务器可在无线网络120内实现。

LEA 140可以表示实体，例如执法实体，其可以以分析或证明的目的依照合法权限获得网络通信数据。所获得的数据可以包括例如信令或网络管理信息，或者可选地或附加地包括通信的实质性内容。在此，信令/网络管理信息可以被称为截取相关信息(IRI)，并且实质性内容在本文中可以被称为通信内容(CC)。在一个实施例中，LEA 140可以向无线网络120发送侦听请求。侦听请求可以包括验证该请求是合法请求的认证信息以及识别对其应用该请求的各方的信息。作为响应，无线网络120可以侦听所指示的通信并将所侦听的信息提供给LEA 140。

图2是额外详细地介绍了环境100的部分的示例的图。特别地，参考图2，示出了无线网络120的示例，该示例示出中继设备与远程UE利用ProSe技术进行通信的过程。

如图2所示，无线网络120可以包括EPS，其包括LTE网络和/或基于3GPP无线通信标准操作的演进分组核心(EPC)网络。LTE网络可以是或可以包括：包括一个或多个基站的无线电接入网络，其中的一些或全部可以采取eNodeB(eNB)220的形式，中继设备110可以经由该eNodeB与EPC网络进行通信。EPC网络可以包括一个或多个服务网关(SGW)225，移动性管理实体(MME)230和/或分组数据网络网关(PGW)235，并且可以使得UE能够与外部网络通信。另外，无线网络120可以包括LI功能240和归属订户服务器(HSS)245。

eNB 220可以包括接收，处理和/或发送去往和/或从中继设备110接收的业务的一个或多个网络设备。eNB 220可以提供与中继设备110的无线(即，无线电)接口。

SGW 225可以包括路由业务流数据的一个或多个网络设备。SGW 225可以聚合从一个或多个基站220接收的业务，并且可以经由PGW 235将聚合业务发送到外部网络。在基站间切换期间，SGW 225还可以充当移动锚点(mobility anchor)。

MME 230可以包括一个或多个计算和通信设备，其用作eNB 220和/或向无线网络120提供空中接口的其他设备的控制节点。例如，MME 230可以执行操作以向无线网络120注册中继设备110，以建立与中继设备110的会话相关联，将中继设备110切换到另一网络和/或执行其他操作的承载信道(例如，业务流)。MME 230可以对去往和/或从中继设备110接收的业务执行策略操作。

PGW 235可以包括可以聚合从一个或多个SGW 225接收的业务的一个或多个网络设备，并且可以将聚合业务发送到外部网络。PGW 235还可以或可选地从外部网络接收业务，并且可以经由SGW 225和/或基站220向中继设备110发送业务。

LI功能240可以表示由一个或多个网络设备实现以执行合法侦听的功能。基于UE的标识信息，LI功能240可以捕获和报告与UE相关的IRI和/或CC数据。LI功能240可以向诸如LEA 140之类的授权实体报告捕获的数据。LI功能240可以以例如MME 230，PGW 235，HSS 245，公共安全应用服务器130的一部分的功能，或者作为另一网元的一部分来实现。另外或可选地，LI功能240可以由专用网络设备实现。

HSS 245可以包括可以在与HSS 245相关联的存储器中管理，更新和/或存储与订户相关联的简档信息(profile information)的一个或多个设备。简档信息可以识别订户允许和/或可访问的应用和/或服务；与所述订户相关联的移动用户号码簿号码(MDN)；与应用和/或服务相关联的带宽或数据速率阈值；和/或其他信息。订户可以与UE 110-116相关联。另外或可选地，HSS 245可以执行与订户和/或与UE 110-116的通信会话相关联的认证，授权和/或计费操作。

多个通信接口，其可以包括标准化的3GPP接口，在图2示出。例如，可以相对于到无线网络120的连接而在网络外的远程UE 114可以使用PC5接口直接与中继设备110通信(例如，使用E-UTRA直接连接)。PC5接口通常可以用于UE到UE(例如，远程UE到中继设备)控制和用户平面通信。中继设备110可以使用LTE-Uu接口与eNB 220通信。中继设备110可以在PC5和Uu接口之间执行承载之间的映射。此外，远程UE 114可以不维持到无线网络120的信令连接。作为替代，中继设备110可以负责建立和维护与无线网络120相关联的EPS承载。

在操作中，中继设备110可以作为关于为远程UE 114执行中继功能的层3设备(例如，中继设备110可以表现为执行IP分组的层3转发的路由器)来操作。当在PC5接口上使用IPv6寻址时，中继设备110可以执行前缀代理以向远程UE 114分配IPv6前缀。所分配的IPv6前缀可以随后被无线网络120用于识别与远程UE 114相关联的通信。例如，IPv6前缀代理在3GPP技术规格(TS)23.303 v.12.0.0有详细介绍。

在一些实施例中，PC5接口可以使用IPv4寻址。在这种情况下，中继设备110可以用作NAT设备，并且可以向UE114分配专用IPv4地址。当与无线网络120通信时，中继设备110可以向中继设备110分配特定的端口值，并且可以使用中继设备110的公共IPv4地址(即，无线网络120可视的IPv4地址)，与该特定的端口值组合，以处理与远程UE 114相关联的网络业务。

下面将更详细地描述，为了能够合法侦听与远程UE 114相关联的业务，中继设备110可以使用认证技术认证远程UE 114，其不需要通过无线网络120的实时信令。换言之，中继设备110可以使用远程UE114与中继设备110之间的网络外通信(即，通过PC5接口)认证远程UE 114的身份。中继设备110然后可以向无线网络120(例如，到LI功能240)报告远程UE 114的经认证身份以及所分配的IPv6前缀(用于IPv6通信)或公共IPv4地址和端口值(用于IPv4通信)。LI功能240可以随后例如通过报告与通信有关的CC或IRI信息来执行与远程UE 114相关联的通信的合法侦听。由中继设备110执行的操作通常可以以最小化对现有3GPP系统的影响的方式进行操作。

图3是在高的层次示出用于执行合法侦听报告的示例过程300的流程图。过程300可以例如由中继设备110实现。

过程300可以包括由中继设备110对远程UE的认证(方框310)。认证过程可以在没有无线网络120的实时参与的情况下执行。例如，可以经由PC5接口在中继设备110和远程UE 114之间执行认证。在一些实施例中，中继设备110和远程UE 114可事先预备好(潜在地使用无线网络120)以支持认证。实现认证的各种技术将在下面更详细地描述。

过程300还可以包括经由无线网络(即，无线网络120)的用户平面或控制平面来报告远程UE的被认证公共身份和被认证的远程UE的标识信息(方框320)。例如，中继设备110可以响应于来自LI功能240(或来自另一网络元件)的明确请求，或在另一时间(例如，基于远程UE的成功认证)发送远程UE 114的标识信息到无线网络120。中继设备110还可以发送远程UE 114的经认证的身份(例如，作为认证过程的一部分从UE 114接收的数字签名)。标识信息可以被发送到LI功能240或另一网络元件，以使得能够由无线网络120执行合法的侦听报告。标识信息可以包括无线网络120识别与远程UE 114相对应的业务所需的信息。如前所述，在IPv6业务下，标识信息可以包括分配给远程UE 214的IPv6前缀。在IPv4业务下，标识信息可以包括中继设备110的IPv4公共地址和中继设备分配给远程UE114的端口号。

当经由用户平面报告标识信息时，中继设备110可以使用诸如超文本传输协议(HTTP)等合适的协议来执行报告。当LI功能240经由用户平面业务可获得时，例如当LI功能以由公共安全应用服务器130实现的ProSe服务的一部分来实现时，可以执行经由用户平面的报告。在其他情况下，例如当LI功能240在MME 230内实现，诸如非接入层(NAS)信令的控制平面信令可以用于向LI功能240(例如，向MME230)提供标识信息。

图4示出了可用于在没有网络参与的情况下认证远程UE的一种可能的技术。参考图4，示出了用于基于身份加密的基于椭圆曲线的无证书签名(ECCSI)技术。ECCSI是一种已知技术，其在互联网工程任务组(IETF)请求注解(RFC)6507中有更详细的描述。

图4中，示出了密钥管理服务(KMS)，签名者和验证者。如图1和图2所示，签名者可以对应于远程UE 114，并且验证者可以对应于中继设备110。KMS可以对应于可信认证服务，诸如由与无线网络120相关联的设备或与外部网络相关联的设备实现的服务。对于ECCSI认证，在某一时刻可能需要向签名者和验证者提供从KMS接收的数据。然而，可以在执行ECCSI认证之前的某个时间点(例如，当签名者和验证者在无线网络120的覆盖范围内时)提供。

如图4所示，KMS可以维护可被所有用户知道的KMS公共认证密钥(KPAK)。KPAK可以由签名者和验证者存储。另外，作为初始供应的一部分，签名者可以从KMS获得秘密签名密钥(SSK)和公共验证令牌(PVT)。此外，每个用户可以与一公众已知身份相关联。参考图4，签名者的公众已知身份被示出为ID_s。

对于认证操作，签名者可以按照RFC 6507(即，以与ECCSI技术一致的方式)的方式组合KPAK，SSK，PVT和将被签名的消息(M)。可以通过PC5接口将产生的签名(SIGN)与消息(M)和签名者的公共身份(ID_s)一起发送到验证者。在接收时，验证者可以基于KPAK，接收到的消息(M)，签名者的公共身份(ID_s)和签名(SIGN)应用ECCSI技术，以认证签名者。使用ECCSI，从签名者到验证者的单个通信可以用于认证签名者。

作为使用基于ECCSI认证的替代，可以使用其他认证技术认证远程UE，而不需要实时网络参与。例如，可以使用基于数字证书的技术。例如，可以在中继设备110和/或远程UE 114存储/提供诸如对应于ITU-T(ITU电信标准化部门)X.509标准并由可信认证机构颁发的证书。认证可以基于证书的交换。在基于ECCSI的认证或基于证书的认证中，可以在没有与公共信任节点的实时通信(即，没有与KMS或可信证书服务器的实时判决)的情况下执行认证。

图5示出了用于执行远程UE标识信息的合法侦听报告的系统500的示例。在本示例中，使用基于ECCSI的认证。图5中的系统类似于图2所示。另外，如图所示，系统500可以包括密钥管理服务器(KMS)510，其可以实现ECCSI密钥管理设备。另外，在系统500中，LI功能240被示为由公共应用服务器130的ProSe组件520执行。ProSe组件520可以实现与公共安全人员使用的UE ProSe服务的启用所相关的功能。中继设备110和远程UE 114之间的ProSe通信可以使用由中继设备110和远程UE 114实现的ProSe应用(ProSe App)来执行。

图5示出了系统500的各个组件之间的多个通信接口。通信接口可以包括3GPP标准化接口。如图所示，接口可以包括：中继设备110和远程UE 114之间的PC5接口，中继设备110和ProSe组件520之间的PC3接口，中继设备110和eNB 220之间的Uu接口，eNB 220和SGW/PGW 225/235之间的S1-U接口，eNB 220和MME 230之间的S1-U接口，SGW/PGW 225/235和ProSe组件520之间的SGi接口，SGW/PGW 225/235和MME 230之间的S11接口，以及MME 230和HSS 245之间的S6a接口。

图6示出了可以在系统500中执行的通信流600的示例，用于在系统500中执行对远程UE的标识信息的合法侦听报告。对于通信流600，可以经由无线网络120的用户平面实现合法侦听报告。下面将结合图5对通信流600的操作进行讨论。

在无线网络120覆盖范围内的中继设备110可以最初附接到无线网络120(在610处，“EPS附接”)。可以使用现有技术来执行到无线网络120的附接。在某一时刻，远程UE 114和中继设备110可以为了ProSe通信的目的而发现彼此(在615，“中继发现”)。例如，使用如3GPP TS 23.303，v12.0.0中定义的ProSe直接发现，UE可以使用E-UTRA直接无线电信号来检测和识别接近的另一UE。

远程UE 114可以由中继设备110认证(在620，“没有网络参与的远程UE认证”)。如前所述，可以在不参与无线网络120(例如，仅基于通过中继设备110和远程UE 114之间的PC5接口的通信)的情况下进行认证。例如，在一个实施例中，可以使用基于ECCSI的认证技术来执行认证。在这种情况下，如图4所示，远程UE 114和中继设备110可以分别充当签名者和验证者的角色。或者，作为另一示例，可以使用基于证书的认证技术来执行认证。在任一情况下，可以在更早的时间执行准备，诸如在UE的初始供应期间或者当UE附接到无线网络120时。

不需要网络参与的认证可以具有无需在中继设备110中支持RADIUS或者Diameter协议的优点。这对于公共安全UE可以预期偶尔被用作中继设备110时是有利的。

中继设备110可以向远程UE 114分配IP地址(在625，“IP地址分配”)。当正在使用IPv6寻址时，中继设备110可以使用IP前缀代理来向远程UE 114分配IPv6前缀(例如，如3GPP TS 23.303 v12.0.0中所描述的)。或者，当使用IPv4寻址时，中继设备110可以向远程UE 114分配专用IPv4地址。当中继到网络120的通信时，中继设备110可以将专用IPv4地址转换为中继设备110的公共IPv4地址以及中继设备110给远程UE分配的端口号。

在某种程度上，中继设备110可以经由用户平面报告远程UE 114的标识信息(在630，“经由用户平面进行LI报告”)。在该实施例中，对应于执行合法侦听功能(即，LI功能240)的设备的网络设备可经由用户平面业务获得。例如，与LI功能240相关联的网络设备可以对应于实现ProSe组件520的公共安全应用服务器130，或者可经由无线网络120的用户平面获得的另一网络设备。适当的用户平面协议(例如HTTP)可以用于报告标识信息。如图5所示，例如，PC3接口，例如经由在PC3接口上的HTTP，可以用于向LI功能240报告标识信息。在一些实施例中，也可以报告远程UE 114的经认证的公共身份(例如，图4中描述的ID_s)。

如前所述，标识信息可以包括无线网络120识别与远程UE 114相对应的业务所需的信息。在IPv6业务下，标识信息可以包括分配给远程UE 214的IPv6前缀。在IPv4业务下，标识信息可以包括中继设备110的IPv4公共地址和中继设备110分配给远程UE 114的端口号。

响应于接收到标识信息，或者稍后，执行合法侦听功能的装置可以获得和/或分析来自远程UE 114的通信，例如，用户平面业务中通信的内容。通信的内容可以被传送到执法机构140。

图7示出了可以在系统500中执行的通信流程700的另一个示例，用于在系统500中执行对远程UE的标识信息的合法侦听报告。对于通信流700，可以经由无线网络120的控制平面执行合法侦听报告。

图7中所示的通信类似于图6中所示的对应通信。具体地，通信710-725分别对应于通信610-625。为了简明，将不在此赘述这些通信。

在某种程度上，中继设备110可以经由控制平面报告远程UE 114的标识信息(在730，“经由控制平面进行LI报告”)。在该实施例中，网络设备，对应于执行合法侦听功能(即，LI功能240)的设备，可经由用户控制业务获得。例如，网络设备可以对应于MME 230或PGW 235，或者可以经由无线网络120的控制平面获得的另一网络设备。可以经由NAS信令来执行报告。

在一个实施例中，可使用如在3GPP TS 24.301中定义的NAS通知程序。然而，在一些3GPP网络实现中，NAS通知程序可以仅由网络(而不是由中继设备110)来实现。在这些情况下，可以通过以下一个或多个方式来执行经由控制平面的合法侦听报告：(1)修改的NAS通知程序，其中允许由UE的启动；或者(2)现有UE发起的NAS程序的过载，例如对NAS UE请求承载资源修改的修改。可选地或另外地，可以定义特定于合法侦听报告的新的NAS程序。

在一些网络实施例中，LI功能240可以在PGW 235中实现。在该实施例中，侦听合法报告既可以通过间接地使得MME 230转发合法侦听报告来执行，也可以通过直接地使用由远程设备110发送的协议配置选项(PCO)参数(例如，通过使用NAS请求的承载资源修改程序)来执行。PCO是多个NAS消息的组件，诸如PDN连接请求，激活默认EPS承载上下文请求和“激活默认EPS承载上下文接受”消息。

在通信630和730中，与远程UE 114相关联的所报告的信息可以以多种格式编码，诸如与在RFC 6509中指定的指导兼容的格式。作为示例，标识信息和/或认证的公共标识可以是固定部分或变化部分的级联。固定部分可以是例如国际移动用户标识(IMSI)，会话发起协议(SIP)统一资源标识符(URI)，终端设备列表(TEL)URI等形式，和/或其他user@domain的URI形式。变化部分可以包括例如时间戳值。

图8是设备800的示例组件。图1，图2，图4和/或图5中所示的每个设备都可包括一个或多个设备800。设备800可以包括总线810，处理器820，存储器830，输入组件840，输出组件850和通信接口860。在另一实施例中，设备800可以包括附加的、更少、不同的或不同排列的组件。

总线810可以包括允许在设备800的组件之间通信的一个或多个通信路径。处理器820可以包括：可以解释和执行指令的处理器，微处理器或处理逻辑。存储器830可以包括：可以存储由处理器820执行的信息和指令的任何类型的动态存储设备，和/或可以存储供处理器820使用的信息的任何类型的非易失性存储设备。

输入组件840可以包括允许操作者向设备800输入信息的机构，诸如键盘，小键盘，按钮，开关等。输出部件850可以包括向操作者输出信息的机构，诸如显示器，扬声器，一个或多个发光二极管(LED)等。

通信接口860可以包括使得设备800能够与其他设备和/或系统通信的任何类似收发器的机构。例如，通信接口860可以包括以太网接口，光学接口，同轴接口等。通信接口860可以包括无线通信设备，诸如红外(IR)接收器，蜂窝无线电，蓝牙无线电等。无线通信设备可以耦合到外部设备，诸如遥控器，无线键盘，移动电话等。在一些实施例中，设备800可以包括多于一个的通信接口860。例如，设备800可以包括光学接口和以太网接口。

设备800可以执行上述某些操作。设备800可以执行，响应于处理器820执行存储在诸如存储器830的计算机可读介质中的软件指令的操作。计算机可读介质可以被定义为非暂时性存储器设备。存储器设备可以包括单个物理存储器设备内或者跨多个物理存储器设备扩展的空间。软件指令可以从另一计算机可读介质或从另一设备读取到存储器830中。存储在存储器830中的软件指令可以使处理器820执行本文所述的过程。或者，可以使用硬连线电路来代替软件指令或与软件指令结合，以实现本文所描述的过程。因此，本文所描述的实施方式不限于硬件电路和软件的任何特定组合。

在前面的说明书中，已经参照附图描述了各种优选实施例。然而，显而易见的是，可以对其进行各种修改和改变，并且可以实现另外的实施例，而不脱离如在所附权利要求中阐述的本发明的范围。因此，说明书和附图被认为是说明性的而不是限制性的。

例如，尽管已经参考图3描述了一系列框图，在其他实施例中可以修改框图的顺序。此外，可以并行执行独立块。类似地，虽然已经参考图6和7描述了一系列通信，但是可以在其它实施例中潜在地修改通信的顺序。

显然，如上所述的示例可以在图中所示的实施例中以许多不同形式的软件，固件和硬件来实现。用于实现这些方面的实际软件代码或专用控制硬件不应被解释为对本申请的限制。因此，描述这些方面的操作和行为并未参考特定的软件代码。应当理解，可以设计软件和控制硬件，以基于本文的描述来实现这些方面。

此外，本发明的某些部分可以被实现作为执行一个或多个功能的“逻辑”。该逻辑可以包括诸如ASIC或FPGA的硬件或硬件和软件的组合。

尽管特征的特定组合在权利要求中记载和/或在说明书中公开，但是这些组合并不旨在限制本发明。实际上，这些特征中的许多特征可以以没有在权利要求中具体描述和/或在说明书中公开的方式组合。

在本申请中使用的任何元件，动作或指令不应被解释为对本发明是关键或必要的，除非明确地这样描述。此外，短语“基于”旨在表示“至少部分地基于”，除非另有明确说明。