用于通过提供安全性信息来允许合法拦截的方法
【技术领域】
[0001]本申请涉及合法拦截,并且特别而非排他性地涉及对于在用户装备与应用服务器之间传送的数据的合法拦截。
【背景技术】
[0002]通信系统可以被视为允许与通信系统相关联的两个或更多实体之间的通信的设施,所述实体比如是移动站(MS)或用户装备(UE)之类的通信装置,以及/或者其他网络单元或节点,例如节点B或收发器基站(BTS)。通信系统通常根据给定的标准或规范来操作,其设定与通信系统相关联的各种实体被允许做什么以及应当如何来实现。
[0003]无线通信系统包括各种蜂窝或其他移动通信系统,其利用无线电频率在各个站之间发送语音或数据,例如在通信装置与收发器网络单元之间发送。无线通信系统的实例可以包括公共陆地移动网络(PLMN),比如全球移动通信系统(GSM)、通用分组无线电服务(GPRS)、通用移动电信系统(UMTS)或WiFi。
[0004]移动通信网络可以在逻辑方面被划分成无线电接入网(RAN)和核心网络(CN)。核心网络实体通常包括各种控制实体和网关,以便允许通过若干无线电接入网进行通信,并且还用于将单一通信系统与一个或更多通信系统进行接口,比如与无线互联网协议(IP)网络之类的其他无线系统以及/或者公共交换电话网(PSTN)之类的固定线路通信系统进行接口。无线电接入网的实例可以包括UMTS地面无线电接入网(UTRAN)以及GSM/EDGE无线电接入网(GERAN)。可以通过无线电接入网但是潜在地还有通过其他网络为用户装备或移动站提供对于由核心网络支持的应用的访问。核心网络可以提供用以认证用户的功能,或者通过其他方式支持用户装备与应用之间的通信的安全性。这一功能例如可以由通用自举架构来提供。
[0005]—些网络的要求是提供合法拦截能力。由于通信技术的进步,合法拦截在一般的服务情境中也变得具有相关性。从合法拦截的角度来看,基于IP的通信服务(例如视频或语音)也是相关的。在合法拦截中,网络上的通信数据被拦截,并且被提供到合法当局。合法当局可以关于可能出现的任何法律问题对数据进行分析。
【发明内容】
[0006]根据第一方面,提供一种方法,其包括:接收与对于用户装备的通信数据的合法拦截相关联的信息;以及响应于所接收到的信息提供与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
[0007]所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。所接收到的信息可以包括将要拦截的通信数据的身份。所接收到的信息可以包括以下各项的至少其中之一:用户装备的身份;应用服务器的身份;以及通信类型的身份。用户装备的通信数据可以是用户装备与应用服务器之间的通信数据。提供安全性信息还可以包括:生成包括安全性信息的拦截相关信息报告;以及向合法拦截实体发送拦截相关信息报告。第二秘密可以包括用于用户装备与应用服务器之间的通信的加密的密钥。所述密钥可以是以下各项的至少其中之一:对称密钥和应用特定密钥。
[0008]根据第二方面,可以提供一种设备,其包括:用于接收与对于用户装备的通信数据的合法拦截相关联的信息的接收装置;以及用于响应于所接收到的信息提供与用户装备的通信数据相关联的安全性信息的提供装置;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
[0009]所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。所接收到的信息可以包括将要拦截的通信数据的身份。
[0010]所接收到的信息可以包括以下各项的至少其中之一:用户装备的身份;应用服务器的身份;以及通信类型的身份。用户装备的通信数据可以是用户装备与应用服务器之间的通信数据。
[0011]所述提供装置还可以被配置成生成包括安全性信息的拦截相关信息报告,并且向合法拦截实体发送拦截相关信息报告。第二秘密可以包括用于用户装备与应用服务器之间的通信的加密的密钥。所述密钥可以是以下各项的至少其中之一:对称密钥;以及应用特定密钥。所述设备可以是凭证服务器和应用服务器的其中之一。
[0012]根据第三方面,提供一种包括程序指令的计算机程序产品,所述程序指令在被执行时实施以下步骤:接收与对于用户装备的通信数据的合法拦截相关联的信息;以及响应于所接收到的信息提供与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
[0013]根据第四方面,提供一种方法,其包括:发送与对于用户装备的通信数据的合法拦截相关联的信息;以及响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
[0014]所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘密,所述第二秘密是基于第一秘密。所发送的信息可以包括将要拦截的通信数据的身份。用户装备的通信数据可以是用户装备与应用服务器之间的通信数据。
[0015]根据第五方面,提供一种设备,其包括:用于发送与对于用户装备的通信数据的合法拦截相关联的信息的发送装置;以及用于响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息的接收装置;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
[0016]所述设备可以是合法拦截网络实体。
[0017]根据第六方面,提供一种包括程序指令的计算机程序产品,所述程序指令在被执行时实施以下步骤:发送与对于用户装备的通信数据的合法拦截相关联的信息;以及响应于所发送的信息接收与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
[0018]根据第七方面,提供一种包括至少一个处理器和存储器的设备,所述处理器和存储器被配置成:接收与对于用户装备的通信数据的合法拦截相关联的信息;以及提供与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
[0019]根据第八方面,提供一种包括至少一个处理器和存储器的设备,所述处理器和存储器被配置成:发送与对于用户装备的通信数据的合法拦截相关联的信息;以及接收与用户装备的通信数据相关联的安全性信息;其中,所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。
【附图说明】
[0020]图1是根据第一实施例的网络的示意图;
[0021]图2是描绘出根据第一环境的方法步骤的流程图;
[0022]图3是根据第二实施例的网络的示意图;
[0023]图4是描绘出根据第二环境的方法步骤的流程图;
[0024]图5是根据第三实施例的网络的示意图;
[0025]图6是描绘出根据第三环境的方法步骤的流程图;
[0026]图7是根据第四实施例的网络的示意图;以及
[0027]图8是描绘出根据第四环境的方法步骤的流程图;
【具体实施方式】
[0028]电信网络中的用户装备与应用服务器之间的数据通信可以被加密或者通过其他方式得到保全,以便防止对于所述数据的未经授权的访问。通用自举架构(GBA)是通用的安全性使能器,其可以为应用服务器和用户装备提供这样的安全性关联。GBA功能可以基于用户装备和/或应用服务器的蜂窝凭证向用户装备和应用服务器提供共享秘密。所述共享秘密可以在GBA凭证服务器(BSF)和UE中被导出。所述共享秘密随后可以被用户装备和应用服务器使用来保护通信、服务安全性、数据、媒体以及/或者被用于认证或授权。
[0029]在GBA中,GBA凭证服务器(例如自举服务器功能(BSF))可以被设置成促进对于UE的认证,并且向应用服务器提供共享秘密。安全性关联是基于蜂窝凭证或者其他类型的预先协定的凭证(比如SIP摘要凭证)。由于BSF是通用的,因此其可以被多个用户用于多项通信安全性服务。BSF可以通过使用登记到归属位置寄存器(HLR)或归属订户服务器(HSS)的有效身份来认证用户。BSF随后可以触发在UE中建立共享秘密并且向应用服务器提供共享秘密,所述共享秘密可以被用于保全应用服务器与用户装备之间的通信。
[0030]合法拦截(LI)是得到法律授权的处理,由此可以为执法机构给出对于在电信网络上传送的数据的访问。数据可以被拦截并且提供到执法机构以供分析或进一步动作。为了对此类数据进行任何有意义的分析,应当对已加密数据进行解密以进行分析。但是网络中的节点之间的受到保全的通信可能被设置成仅有数据的选定接收方才能对其进行解密。
[0031]本申请的实施例可以提供一种利用解密数据的能力对利用通用自举架构保全的数据进行合法拦截的方法。
[0032]图1示出了具有合法拦截和通用自举架构功能的网络的一个实例。图1仅包括在实施例的描述中所使用的那些网络功能,并且应当认识到,图1中所示出的网络还可以包括被用来提供通信服务的组件。举例来说,虽然在图1中没有示出基站或节点B,但是应当认识到,网络可以包括这样的功能。
[0033]图1包括用户装备(UE) 101和网络应用功能(NAF) 102。NAF 102可以是应用服务器,并且可以被配置成通过接口(例如Ua接口)与UE 101进行通信。NAF 102可以向UE101或者与UE 101相关联的另一个网络节点提供服务或其他数据。NAF 102可以是提供给UE 101的服务,例如NAF102可以提供移动电视、授权、单点登录、认证、用于对等通信的凭证等等。应当认识到,合法拦截可能仅对于这些服务当中的一些感兴趣。
[0034]可以根据通用自举架构(GBA)利用共享秘密来保全UE 101与NAF102之间的通
?目O
[0035]根据GBA,提供自举服务器功能(BSF) 103。BSF 103可以构成核心网络的一部分。在某些实施例中,BSF 103可以能够通过接口 Ub与UElOl通信,并且通过接口 Zn或Zn’与NAF 102通信。BSF 103可以被配置成利用蜂窝信息来认证UE 101,例如与UE 101