用于合法监听的装置和方法
【技术领域】
[0001] 本发明涉及通信系统中的合法监听。本发明的实施例涉及利用软件定义联网的通 信系统。
【背景技术】
[0002] 无线通信系统处于持续开发之中。开发系统提供高数据速率和高效资源利用的成 本有效的支持。处于开发之中的一个通信系统是第三代合作伙伴项目(3GPP)长期演进 (LTE)。长期演进无线电访问系统的改进版本被称为高级LTE(LTE-A)。LTE设计成支持各种 服务,诸如高速数据、多媒体单播和多媒体广播服务。
[0003] 在大多数国家中,合法机关要求可以监控在通信系统中传送的数据,如果这样的 需要出现的话。数据可以包括给定连接的有效载荷数据和/或涉及连接的信令或网络管理 的数据二者。过程可以被称为合法监听(LI)。合法机关可以是执法机构(LEA)、情报机关或 者允许在本地法律之下执行这样的活动的其它政府机构。
[0004] 出于该原因,现代通信系统装备有LI功能性。典型地,LI功能性捕获并存储所有信 令(监听相关信息,IRI)和用户平面有效载荷(通信内容,CC)业务量,该业务量然后被发送 给LI中心以用于例如利用解码工具的进一步分析。LI中心与网络元件之间的所有信令和数 据传送必须加密以便针对不希望的各方隐藏处于监听之中的订户的身份。
[0005] 合法监听功能性是高度资源密集型的并且可能影响网络元件性能。
【发明内容】
[0006] 在权利要求中阐述本发明的示例的各种方面。
[0007] 根据一方面,提供一种通信系统中的装置,包括:至少一个处理器;以及包括计算 机程序代码的至少一个存储器,至少一个存储器和计算机程序代码配置成利用至少一个处 理器使得装置至少执行:从网关装置接收关于通信系统中的用户设备的监听请求;通过在 规则中包括监听来创建或修改关于用户设备的处理规则;向处理用户设备连接的网络交换 机传送命令以克隆和加密用户设备连接的每一个信令或数据分组并且以将经加密的信令 和数据分组传送给给定网络装置。
[0008] 根据一方面,提供一种通信系统中的装置,包括:至少一个处理器;以及包括计算 机程序代码的至少一个存储器,至少一个存储器和计算机程序代码配置成利用至少一个处 理器使得装置至少执行:通过在用户设备与网关装置之间定向数据信令分组来处理用户设 备连接;从控制网络元件接收涉及给定用户设备连接的监听命令;克隆给定用户设备连接 的每一个信令或数据分组;加密所克隆的信令和数据分组;以及将经加密的信令和数据分 组传送给给定网络装置。
[0009] 根据一方面,提供一种通信系统中的装置,包括:至少一个处理器;以及包括计算 机程序代码的至少一个存储器,至少一个存储器和计算机程序代码配置成利用至少一个处 理器使得装置至少执行:从网络装置接收关于通信系统中的用户设备的监听请求;获取已 经针对用户设备设立连接的信息;向OpenFlow控制器装置传送命令以监听用户设备连接, 该命令包括连接的标识;向网络装置传送监听相关信息(IRI)。
[0010] 根据一方面,提供一种方法,包括:从网关装置接收关于通信系统中的用户设备的 监听请求;通过在规则中包括监听而创建或修改关于用户设备的处理规则;向处理用户设 备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个信令或数据分组并且 将经加密的信令和数据分组传送给给定网络装置。
[0011] 根据一方面,提供一种通信系统中的方法,包括:通过在用户设备与网关装置之间 传送数据信令分组来处理用户设备连接;从控制网络元件接收涉及给定用户设备连接的监 听命令;克隆给定用户设备连接的每一个信令或数据分组;加密所克隆的信令和数据分组; 以及将经加密的信令和数据分组传送给给定网络装置。
[0012] 根据一方面,提供一种通信系统中的方法,包括:从网络装置接收关于通信系统中 的用户设备的监听请求;获取已经针对用户设备设立连接的信息;向OpenFlow控制器装置 传送命令以监听用户设备连接,该命令包括连接的标识;向网络装置传送监听相关信息 (IRI)〇
[0013] 本发明以及本发明的各种实施例提供若干优点,其将从以下详细描述变得明显。
【附图说明】
[0014] 为了更完整地理解本发明的示例实施例,现在参照结合附图理解的以下描述,在 所述附图中: 图1图示了通信环境的示例; 图2图示了网关的软件定义联网实现的示例; 图3图示了合法监听的示例实现; 图4图示了本发明的实施例; 图5是图示了本发明的实施例的信令图表;以及 图6示出根据示例实施例的装置的结构的框图的示例。
【具体实施方式】
[0015] 本发明的一些实施例适用于网络元件、对应组件和/或支持所要求的功能性的任 何通信系统或不同通信系统的任何组合。
[0016] 所使用的协议、通信系统、服务器和用户终端的规范(尤其是在无线通信中)快速 发展。这样的发展可能要求对实施例的额外改变。因此,所有词语和表述应当宽泛地解释并 且它们意图说明而非约束实施例。
[0017] 存在要在通信系统中使用的许多不同无线电协议。不同通信系统的一些示例是通 用移动电信系统(UMTS)无线电访问网络(UTRAN)、HSPA(高速分组访问)、长期演进(:L_ #, 还已知为演进的UMTS陆地无线电访问网络E-UTRAN)、高级长期演进(LTE-A)、基于IEEE 802.11标准的无线局域网(wlan)、全球微波接入互操作性rv\%4A.X$)、Bluefoot,、个人 通信服务(PCS)以及使用超宽带(UWB)技术的系统。IEEE是指电气和电子工程师协会。例如, LT£**LTE-A由第三代合作伙伴项目3GPP开发。
[0018] 图1图示了通信环境的简化视图,其仅示出一些元件和功能实体,它们全部是其实 现可能与所示出的不同的逻辑单元。图1中所示的连接是逻辑连接;实际物理连接可以不 同。本领域技术人员显而易见的是,系统还包括其它功能和结构。应当领会到,在通信中使 用或用于通信的功能、结构、元件和协议与实际发明无关。因此,此处不需要更详细地讨论 它们。
[0019] 在图1的示例中,示出基于LTE/SAE(长期演进/系统架构演进)网络元件的无线电 系统。然而,在这些示例中描述的实施例不限于LTE/SAE无线电系统,而是也可以实现在其 它无线电系统中。
[0020] 图1的网络的简化示例包括SAE网关100和ΜΜΕ 102^ΑΕ网关和MME是网络的演进分 组器(Packer)核(EPC)的部分。SAE网关100提供与互联网104的连接。图1示出为信元108月艮 务的eNodeB 106。在图1的示例中,用户设备UE 110驻扎在eNodeB 106上。
[0021]通信系统的eNodeB(增强节点B)可以托管用于无线电资源管理的功能:无线电搬 运体控制、无线电准许控制、连接移动性控制、动态资源分配(调度XMME 102(移动性管理 实体)在UE通过其连接到网络的eNodeB的帮助下负责移动性、会话/呼叫和状态管理中的总 体UE控制。SAE GW 100例如是配置成充当网络与诸如互联网之类的通信网络的其它部分之 间的网关的实体。SAE GW可以是两个网关:服务网关(S-GW)和分组数据网络网关(P-GW)的 组合。
[0022]在移动通信系统中,作为UE与网关(GW)之间的隧道而建立用户会话。由于蜂窝网 络架构的缘故,网关是用于用户会话的聚集点,从而朝向互联网或运营商服务网络中的服 务而提供锚定(anchor)。如以上所图示的,在LTE中,网关是SAE-GW网关。在第三代3G网络 中,网关是GGSN(网关GPRS支持节点)。运营商网络中的网关元件数目的范围是从最小两个 到高达二十个,这取决于运营商的订户基础的大小、冗余性要求、现场策略、元件容量等等。 因为市场需求更高聚集能力,所以预期到仅几个元件会停留在网络中。用户会话跨网关元 件分布。
[0023] 在当前系统中,现有EPC网关(S-GW、P-GW)使用专用硬件而建立为独立式网络元 件。在将来,还可能将移动网关实现为仅软件解决方案,其在可以虚拟化的通用硬件之上运 行。
[0024]为了增加容量并且简化通信网络的EPC的控制,可以利用软件定义联网(SDN)来分 离控制和数据平面。例如,为了解决网关用户平面要求,可能的是与虚拟化硬件组合地使用 基于SDN的解决方案。
[0025]图2图示了网关的SDN实现的示例。在该示例中,利用在可以使用例如计算机集群 实现的通用硬件202之上运行的一个或多个虚拟机器200实现网关。该实现可以包括管理虚 拟机器204和云管理模块206。
[0026]网关连接到软件定义网络208,其连接到互联网协议/多协议标签交换(IP MPLS) 核 210〇
[0027]在实施例中,演进分组核的SDN实现包括交换机,其将所有用户平面和控制平面分 组从eNodeB传送到网关(并且反之亦然)。交换机可以使用OpenFlow协议由Open Flow控制 器控制。
[0028] OpenFlow是向网络之上的网络交换机或路由器的转发平面提供访问的通信协议。 OpenFlow是在SDN架构的控制和转发层之间限定的标准通