信界面。OpenFlow向诸如交换机 和路由器之类的网络设备的转发平面提供直接访问,物理的和虚拟的二者。开放联网基金 会(0NF)是促进和采用软件定义联网和OpenFlow的组织。
[0029] 在合法监听中,合法机关要求可以监控给定连接的数据。数据可以包括给定连接 的有效载荷数据和/或涉及连接的信令或网络管理的数据二者。图3图示了合法监听(LI)的 示例实现。执法机构(LEA)300可以请求监控给定UE 114的业务量的通信系统控制302。控制 指令传送数据的网络元件304监听和复制数据。数据可以包括监听相关信息IRI(网络相关 数据)306和用户平面有效载荷(通信内容CC)308,其被克隆和传送到LEA 300<JRI和CC在传 送之前加密使得其可能不受不希望的各方的监控。
[0030] 在基于云的EPC解决方案中,预期到每计算实例的性能低于当前裸金属解决方案 中的情况(由于虚拟化开销并且需要使用x86架构)。在EPC中,数据速率如此高使得LI功能 性可能非期望地使计算资源超载。此外,典型地要求处于监听之下的订户必须不大可能经 由操作和维护(0&M)接口或者甚至经由给定接口或计算节点中的统计方法而标识。这在服 务的每实例会话少于当前独立式网络元件中的情况的虚拟化网关中可能是个问题。
[0031] 附加地,因为所有LI数据传送必须被加密,所以要求大量计算能力,尤其是在不能 使用硬件加速以用于加密实现的虚拟化环境中。因此对于虚拟化产品,看起来成问题的是 以与应用软件的部分相同的方式实现LI功能性。
[0032]图4和图5的信令图表图示了本发明的实施例。图4图示了由OpenFlow控制器402控 制的OpenFlow交换机400如何从用户设备114接收分组404并且将分组转发406给网关装置 302〇
[0033] OpenFlow控制器402通过利用安全信道408而使用OpenFlow协议控制OpenFlow交 换机400。控制器配置成发送交换机流动规范,其控制分组404的流动。交换机可以将流动规 范存储在流动表格410中。流动规范可以被视为指示OpenFlow交换机400如何处理数据分组 的规则集。在实施例中,规则使用报头标识分组。每一个所接收的分组的报头被确定并且针 对规则检查流动表格。如果发现针对所确定的报头的规则,则交换机执行所要求的动作。 [0034] 在实施例中,执法机构300指示412网关302要监听哪些用户或设备。该信息可以经 由安全加密信道来传送。要监听的UE的身份可以存储在内部LI数据库中。处于监听之下的 用户的数据库不能由运营商0&M人员访问。
[0035]用户设备可以例如通过移动订户集成服务数字网络号码(MSISDN)、国际移动订户 身份(IMSI)或者国际移动站设备身份(IMEI)来标识。
[0036]当针对UE创建500通信会话时,网关302配置成在内部将用户身份匹配到内部LI数 据库并且在要监听UE的情况下,网关经由安全信道向OpenFlow控制器传送414命令以监听 具体会话。会话可以例如通过会话互联网协议(IP)地址或者通用分组无线电服务(GPRS)隧 道协议(GTP )隧道端点标识符(TEID )来标识。
[0037] OpenFlow控制器402配置成通过在规则中包括监听来创建或修改关于用户设备的 处理规则并且使用安全信道408、0penFlow协议向OpenFlow交换机400传送命令502以克隆 和加密用户设备连接的每一个信令或数据分组并且将经加密的信令和数据分组传送给给 定网络装置。
[0038] 如果存在关于用户设备的处理规则,则OpenFlow控制器402配置成通过在规则中 包括监听来修改处理规则。
[0039] 如果不存在关于用户设备的处理规则,则OpenFlow控制器402配置成创建处理规 则并且在规则中包括监听命令。
[0040] 0&M装置或人员不能够看到或检查涉及位于OpenFlow控制器中的监听的规则。
[0041] OpenFlow交换机400接收涉及给定用户设备连接的命令。交换机从用户设备接收 信令504和数据506分组。交换机克隆所指定的会话的每一个分组。分组被发送416,418到给 定输出端口,其像通常那样连接到网关302。然而,所克隆的分组被发送到交换机的另一预 确定的输出端口。
[0042]在实施例中,OpenFlow交换机400包括加密模块420,其倾听交换机预确定输出端 口的预限定端口并且加密到达端口的每一个所克隆的信令或数据分组。加密模块420还配 置成将经加密的信令422和数据424分组传送给LEA 300。
[0043] 网关302还配置成将监听相关信息IRI(网络相关数据)传送308给LEA 300。
[0044] 在针对LI的以上示例解决方案中,虚拟网关解除了用于加密过程的任何附加处理 开销。另外,OpenFlow交换机400的加密模块420可以被优化或硬件加速,如果需要更好性能 的话,并且t旲块可以完全独立于网关302的性能。
[0045] 在实施例中,OpenFlow交换机400的加密模块420配置成与LI中心通信以建立必要 安全细节,诸如加密和验证信号交换。交换机暴露新应用程序接口 API以配置加密模块。因 为加密模块420位于OpenFlow交换机400内,所以对于外人或运营商人员而言不大可能从业 务量推得订户身份。订户的选择在OpenFlow控制器402中完成,并且指令经由安全信道408 到来。此外,涉及LI的OpenFlow表格410(指向加密模块)在交换机内部并且OpenFlow控制器 中的相关实体可以受保护和约束以免运营商0&M人员的访问。所监听的用户平面业务量也 经由安全信道前往LI中心,从而使得合法机关外部的任何人难以推得详细审查之下的订户 的身份。
[0046]在针对LI的一些当前解决方案中,LI业务量的处理在网关内完成并且然后经由加 密信道转发给LI实体。因而,网关加载有额外处理以用于在当前负载情况下可能非常庞大 的用户平面数据的加密。在本发明的实施例中,整个过程从网关卸载,并且位于OpenFlow交 换机中,其中专用加密模块可以负责加密和转发部分。此外,利用数百个虚拟网关, OpenFlow交换机可以处置来自网关的所有LI订户,由此使得甚至更难以在统计上推得LI详 细审查之下的订户的身份。
[0047]图6示出根据示例实施例的装置的结构的框图的示例。示例实施例的装置不需要 是整个装置,而是在其它示例实施例中可以为装置的组件或组件的集合。
[0048] 处理器600配置成执行指令并且施行与装置相关联的操作。处理器600可以包括构 件,诸如数字信号处理器设备、微处理器设备和电路,以用于执行各种功能,包括例如结合 图1-5所描述的一个或多个功能。处理器600可以通过使用从存储器所检索的指令来控制装 置的组件之间的输入和输出数据的接收和处理。处理器600可以实现在单个芯片、多个芯片 或多个电气组件上。可以用于处理器600的架构的一些示例包括专用或嵌入式处理器以及 ASIC〇
[0049]处理器600可以包括操作一个或多个计算机程序604的功能性。计算机程序代码可 以存储在存储器602中。至少一个存储器和计算机程序代码可以配置成利用至少一个处理 器使得装置执行至少一个实施例,包括例如结合图1-5所描述的一个或多个功能。典型地, 处理器602连同操作系统一起进行操作以执行计算机代码并且产生和使用数据。
[0050] 作为示例,存储器602可以包括非易失性部分,诸如EEPR0M、闪速存储器等,以及易 失性部分,诸如随机存取存储器(RAM),包括用于数据的临时存储的缓存区域。信息也可以 驻留在可移除存储介质上并且在需要的时候加载或安装到装置上。
[0051] 装置可以包括接口 606以用于与其它装置或网络设备通信。
[0052] 装置可以利用一个或多个通信协议进行操作。
[0053] 装置例如还可以包括没有在图6中图示的另外的单元和元件,诸如另外的接口设 备、电力单元或者电池。
[0054]在实施例中,图6的装置是OpenFlow控制器402,其配置成从网关装置接收关于通 信系统中的用户设备的监听请求;通过在规则中包括监听来创建或修改关于用户设备的处 理规则;向处理用户设备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个 信令或数据分组并且将经加密的信令和数据分组传送到给定网络装置。
[0055]在实施例中,图6的装置是OpenFlow交换机400,其配置成通过在用户设备与网关 装置之间定向数据信令分组来处理用户设备连接;从控制网络元件接收涉及给定用户设备 连接的监听命令;克隆和加密给定用户设备连接的每一个信令或数据分组;加密所克隆的 信令和数据分组;以及将经加密的信令和数据分组传送到给定网络装置。装置可以将一个 或多个流动表格存储在存储器602中。接口606可以包括连接到诸如网关302或执法机构 (LEA)300之类的不同网络设备的输出端口。装置可以包括例如利用处理器600和存储器602 实现的加密模块。
[0056] 在实施例中,图6的装置是网关302,其配置成从执法机构(LEA)