300接收关于通信 系统中的用户设备的监听请求;获得已经针对用户设备设立连接的信息;向OpenFlow控制 器402装置传送命令以监听用户设备连接,该命令包括连接的标识;以及向执法机构(LEA) 300传送监听相关信息(IRI)。如之前所描述的,处理器和存储器可以利用云计算(即经由互 联网或其它网络安全地连接的若干计算平台)实现。
[0057] 本发明的实施例可以实现在软件、硬件、应用逻辑、或者软件、硬件和应用逻辑的 组合中。在示例实施例中,应用逻辑、软件或指令集维持在各种常规计算机可读介质中的任 一个上。在该文档的上下文中,"计算机可读介质"可以是任何介质或构件,其可以包含、存 储、传送、传播或输运指令以用于由指令执行系统、装置或设备(诸如计算机,其中在图8中 描述和描绘了计算机的一个示例)使用或者与其相结合地使用。计算机可读介质可以包括 计算机可读存储介质,其可以是能够包含或存储指令以用于由指令执行系统、装置或设备 (诸如计算机)使用或者与其相结合地使用的任何介质或者构件。
[0058] 如果期望,则可以以不同次序和/或彼此同时地执行本文讨论的不同功能中的至 少一些。此外,如果期望,则以上描述的功能中的一个或多个可以是可选的或者可以组合。
[0059] 尽管在独立权利要求中阐述本发明的各种方面,但是本发明的其它方面包括来自 所描述的实施例和/或从属权利要求的特征与独立权利要求的特征的其它组合,并且不单 单是在权利要求中明确阐述的组合。
[0060] 在本文中还要指出的是,尽管以上描述了本发明的示例实施例,但是这些描述不 应当视为限制性意义。
[0061]相反,存在可以在不脱离如随附权利要求中所限定的本发明的范围的情况下做出 的若干修改和变形。
【主权项】
1. 一种通信系统中的装置,包括: 至少一个处理器;以及 包括计算机程序代码的至少一个存储器, 至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行: 从网关装置接收关于通信系统中的用户设备的监听请求; 通过在规则中包括监听来创建或修改关于用户设备的处理规则; 向处理用户设备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个信 令或数据分组,并且将经加密的信令和数据分组传送到给定网络装置。2. 权利要求1的装置,其中所述装置配置成: 如果关于用户设备的处理规则存在,则通过在规则中包括监听来修改处理规则。3. 权利要求1的装置,其中所述装置配置成: 如果关于用户设备的处理规则不存在,则创建处理规则并且在规则中包括监听命令。4. 权利要求1或2的装置,其中用户设备连接通过互联网协议(IP)地址或通用分组无线 电服务(GPRS )隧道协议(GTP )隧道端点标识符(TEID )来标识。5. 任一项前述权利要求的装置,其中所述装置配置成利用OpenFlow安全信道向处理用 户设备连接的网络交换机发送命令。6. 任一项前述权利要求的装置,其中所述装置配置成: 获取用户设备连接终止的信息; 向网络交换机发送命令以停止克隆和加密。7. 任一项前述权利要求的装置,其中所述装置配置成将所克隆的分组定向到给定输出 端口; 并且其中所述装置包括加密模块,其配置成加密定向到给定输出端口的所有分组并且 将经加密的分组转发到给定网络装置。8. 任一项前述权利要求的装置,其中所述装置配置成禁止操作和维护接口对涉及监听 的规则的访问。9. 一种通信系统中的装置,包括: 至少一个处理器;以及 包括计算机程序代码的至少一个存储器, 至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行: 通过在用户设备与网关装置之间定向数据信令分组来处理用户设备连接; 从控制网络元件接收涉及给定用户设备连接的监听命令; 克隆给定用户设备连接的每一个信令或数据分组; 加密所克隆的信令和数据分组;以及 将经加密的信令和数据分组传送到给定网络装置。10. 权利要求9的装置,其中用户设备连接通过互联网协议(IP)地址或通用分组无线电 服务(GPRS )隧道协议(GTP )隧道端点标识符(TE ID )来标识。11. 权利要求9或10的装置,其中所述装置配置成利用OpenFlow安全信道接收命令。12. 任一项前述权利要求9至11的装置,其中所述装置配置成: 从控制网络元件接收命令以停止克隆和加密; 在命令的基础上停止克隆和加密,并且 删除监听命令。13. 任一项前述权利要求9至12的装置,其中所述装置配置成禁止操作和维护接口对所 克隆的信令和数据分组的访问。14. 任一项前述权利要求9至13的装置,其中所述装置是OpenFlow交换机。15. -种通信系统中的装置,包括: 至少一个处理器;以及 包括计算机程序代码的至少一个存储器, 至少一个存储器和计算机程序代码配置成利用至少一个处理器使得装置至少执行: 从网络装置接收关于通信系统中的用户设备的监听请求, 获取已经针对用户设备设立连接的信息; 向OpenFlow控制器装置传送命令以监听用户设备连接,该命令包括连接的标识; 向网络装置传送监听相关信息(IRI)。16. 权利要求15的装置,其中用户设备通过移动订户集成服务数字网络号码、国际移动 订户身份或国际移动站设备身份来标识。17. 权利要求15或16的装置,其中用户设备连接通过互联网协议(IP)地址或通用分组 无线电服务(GPRS )隧道协议(GTP )隧道标识符(TEID )来标识。18. 一种方法,包括: 从网关装置接收关于通信系统中的用户设备的监听请求; 通过在规则中包括监听来创建或修改关于用户设备的处理规则; 向处理用户设备连接的网络交换机传送命令以克隆和加密用户设备连接的每一个信 令或数据分组并且将经加密的信令和数据分组传送到给定网络装置。19. 权利要求18的方法,其中如果关于用户设备的处理规则存在,则通过在规则中包括 监听来修改处理规则。20. 权利要求18的方法,其中如果关于用户设备的处理规则不存在,则创建处理规则并 且在规则中包括监听命令。21. 任一项前述权利要求17至19的方法,其中用户设备连接通过互联网协议(IP)地址 或通用分组无线电服务(GPRS)隧道协议(GTP)隧道端点标识符(TEID)来标识。22. 任一项前述权利要求18至21的方法,还包括利用OpenFlow安全信道向处理用户设 备连接的网络交换机发送命令。23. 任一项前述权利要求18至22的方法,还包括: 获取用户设备连接终止的信息; 向网络交换机发送命令以停止克隆和加密。24. 任一项前述权利要求18至23的方法,还包括将所克隆的分组定向到给定输出端口; 在加密模块中加密定向到给定输出端口的所有分组,以及 将经加密的分组转发到给定网络装置。25. 任一项前述权利要求18至24的方法,还包括禁止操作和维护接口对涉及监听的规 则的访问。26. -种通信系统中的方法,包括: 通过在用户设备与网关装置之间定向数据信令分组来处理用户设备连接; 从控制网络元件接收涉及给定用户设备连接的监听命令; 克隆给定用户设备连接的每一个信令或数据分组; 加密所克隆的信令和数据分组;以及 将经加密的信令和数据分组传送到给定网络装置。27. 权利要求26的方法,其中用户设备连接通过互联网协议(IP)地址或通用分组无线 电服务(GPRS )隧道协议(GTP )隧道端点标识符(TEID )来标识。28. 权利要求26或27的方法,还包括利用OpenFlow安全信道接收命令。29. 任一项前述权利要求26至28的方法,还包括: 从控制网络元件接收命令以停止克隆和加密; 在命令的基础上停止克隆和加密,以及 删除监听命令。30. 任一项前述权利要求26至29的方法,还包括禁止操作和维护接口对所克隆的信令 和数据分组的访问。31. -种通信系统中的方法,包括: 从网络装置接收关于通信系统中的用户设备的监听请求; 获取已经针对用户设备设立连接的信息; 向OpenFlow控制器装置传送命令以监听用户设备连接,该命令包括连接的标识; 向网络装置传送监听相关信息(IRI)。32. 权利要求31的方法,其中用户设备通过移动订户集成服务数字网络号码、国际移动 订户身份或国际移动站设备身份来标识。33. 权利要求31或32的方法,其中用户设备连接通过互联网协议(IP)地址或通用分组 无线电服务(GPRS )隧道协议(GTP )隧道端点标识符(TE ID )来标识。34. -种包括一个或多个指令的一个或多个序列的计算机可读存储介质,所述指令在 由装置的一个或多个处理器运行时使得装置执行权利要求18至33中任一项的方法。
【专利摘要】依照本发明的示例实施例,提供一种方法,以用于从网关装置接收(414)关于通信系统中的用户设备的监听请求;通过在规则中包括监听来创建或修改关于用户设备的处理规则;向处理用户设备连接的网络交换机传送(502)命令以克隆和加密用户设备连接的每一个信令或数据分组并且将经加密的信令和数据分组传送到给定网络装置。
【IPC分类】H04L29/06, H04W12/02
【公开号】CN105684381
【申请号】
【发明人】T.J.林德格伦, S.萨哈, J.O.泽德伦, N.M.萨沃莱南
【申请人】诺基亚通信公司
【公开日】2016年6月15日
【申请日】2013年9月9日