Отчётность о законном перехвате в беспроводных сетях, используя релейную передачу для общественной безопасности
Иллюстрации
Показать всеИзобретение относится к технике беспроводной связи, использующей технологию релейной передачи, что способствует обеспечению законного перехвата (LI) посредством сообщения в объект LI, связанный с сотовой сетью, аутентифицированных идентичностей удаленных UE (таких, как удаленные UE, соединенные через услуги непосредственной близости), и идентификационной информации, которая может обеспечить контроль объектом LI трафика (и/или управляющей статистики, относящейся к трафику), связанного с удаленными UE. Аутентификация удаленных UE может выполняться с использованием технологии, не требующей участия сотовой сети. 3 н. и 21 з.п. ф-лы, 8 ил.
Реферат
Уровень техники
Беспроводные сети обеспечивают возможность соединения по сети с устройствами мобильной связи, такими как смартфоны. Возможность связи по сети может быть предоставлена через радиоинтерфейс. Как правило, мобильные устройства подключают к беспроводной сети через точку доступа, которая представляет собой часть инфраструктуры сети. Например, устройство может подключаться к сотовой базовой станции или к точке доступа беспроводной локальной вычислительной сети (WLAN) (например, к точке доступа WiFi).
Некоторые технологии могут позволять устройствам устанавливать непосредственные пути передачи данных друг с другом (например, без передачи через сотовую базовую станцию или точку доступа WiFi). Например, устройства, которые расположены в непосредственной близости друг к другу, могут обнаруживать друг друга и впоследствии устанавливать пути прямой передачи данных друг с другом. В спецификациях, опубликованных в Проекте Партнерства 3-его поколения (3GPP), прямая передача данных между беспроводными устройствами может называться "услугами непосредственной близости" (ProSe). Передача данных ProSe может иметь много преимуществ, таких как улучшенное использование спектра, улучшенная общая пропускная способность и рабочие характеристики и улучшенное потребление энергии. В контексте служб общественной безопасности передача данных ProSe может обеспечивать важную сеть альтернативную сеть общественной безопасности, которая может функционировать, когда сотовая сеть (например, сотовая сеть 3GPP) не работает или недоступна.
Сеть, такая как сеть на основе 3GPP, может включать в себя функцию законного перехвата (LI). В соответствии с LI, провайдер сети может разрешать правоохранительным органам (LEA) перехватывать содержание и другую соответствующую информацию, которая соответствует трафику конкретных мобильных устройств. Для законного перехвата может потребоваться идентификация целевого мобильного устройства (устройств).
При передаче данных ProSe устройство релейной передачи, такое как мобильное устройство, действующее, как устройство релейной передачи, может использоваться для соединения с другим мобильным устройством (таким как устройство, которое находится за пределами зоны обслуживания сотовой сети) для сотовой сети. Однако, воплощение законного перехвата в этой ситуации может быть проблематичным, поскольку мобильное устройство, которое должно быть стать целью законного перехвата, может быть невидимым для сотовой сети.
Краткое описание чертежей
Варианты осуществления настоящего изобретения будут легко понятны из следующего подробного описания изобретения со ссылкой на приложенные чертежи. Для того чтобы способствовать такому описанию, одинаковые номера ссылочной позиции могут обозначать одинаковые структурные элементы. Варианты осуществления изобретения представлены на чертежах или на приложенных рисунках в качестве примера, а не для ограничения.
На фиг. 1 показана схема примера окружающей среды, в которой могут быть воплощены описанные здесь системы и/или способы.
На фиг. 2 показана схема примера варианта выполнения частей окружающей среды, показанной на фиг. 1, с дополнительными деталями.
На фиг. 3 показана блок-схема последовательности операций, поясняющая пример обработки для выполнения отчетности о законном перехвате.
На фиг. 4 представлена схема, иллюстрирующая технологию, которая может использоваться для аутентификации удаленного оборудования пользователя (UE) без привлечения сети.
На фиг. 5 представлена схема, иллюстрирующая пример варианта выполнения системы для выполнения отчетности о законном перехвате информации идентификации для удаленного UE.
На фиг. 6 и 7 показаны схемы, поясняющие примеры потоков передачи данных для выполнения отчетности о законном перехвате информации идентификации для удаленного UE.
На фиг. 8 показана схема примера компонентов устройства.
Подробное описание изобретения
В следующем подробном описании делается ссылка на приложенные чертежи. Одинаковые номера ссылочных позиций на разных чертежах могут идентифицировать одинаковые или аналогичные элементы. Следует понимать, что могут использоваться другие варианты осуществления, и структурные или логические изменения могут быть выполнены без выхода за пределы объема настоящего раскрытия. Поэтому, следующее подробное описание не следует рассматривать в ограничительном смысле, и объем вариантов осуществления, в соответствии с настоящим изобретением, определен приложенной формулой изобретения и ее эквивалентами.
Технологии, описанные здесь, могут обеспечивать услуги законного перехвата (LI) для оборудования пользователя (UE) (например, смартфонов или других устройств мобильной связи) в ситуациях, в которых, по меньшей мере, одно UE участвует в услугах ProSe таким образом, что UE "опосредованно" соединено с сотовой сетью через устройство релейной передачи. В качестве примера такой ситуации, группа персонала, работающего в области общественной безопасности (например, пожарные) может быть первыми респондентами в случае чрезвычайного происшествия. UE одного или больше членов этой группы может находиться за пределами зоны обслуживания сотовой сети, используемой группой (например, некоторые члены могут находиться внутри помещения, в туннеле и т.д.). Члены группы могут продолжать связываться друг с другом и с сотовой сетью, используя услуги передачи данных ProSe. В этом сценарии UE одного члена группы, который может находиться в пределах зоны обслуживания сотовой сети, может действовать, как устройство релейной передачи для других членов группы, которые могут называться здесь "удаленными UE", которые находятся за пределами зоны обслуживания. Все члены группы могут таким образом продолжить связываться через сотовую сеть.
В некоторых ситуациях, таких как в случае адресации по протоколу Интернет (IP), версия 4 (IPv4), UE, действующее, как устройство релейной передачи, может использовать технологии трансляции сетевых адресов (NAT) при релейной передаче трафика. NAT может затруднять видимость, с точки зрения сотовой сети, в связи с тем, какие потоки трафика соответствуют UE релейной передачи и какие потоки трафика соответствуют удаленным UE. Это может быть проблематичным в отношении рабочих характеристик услуг законного перехвата.
В соответствии с аспектами, описанными здесь, устройство релейной передачи может способствовать при предоставлении возможности законного перехвата путем передачи отчетов в устройство LI, ассоциированное с сотовой сетью, с аутентифицированными идентичностями удаленных UE и информацией идентификации, которые могут позволить устройству LI отслеживать трафик (и/или управлять статистикой, относящейся к трафику), ассоциированный с удаленными UE. Аутентификация удаленных UE может выполняться, используя технологию для которой не требуется использование сотовой сети. Информация идентификации может включать в себя, для адреса IPv6, префикс IPv6. Для адресации IPv4 информация идентификации может включать в себя общедоступный адрес IPv4 устройства релейной передачи и номер порта, назначенный устройством релейной передачи. Технологии, описанные здесь для воплощения законного перехвата, в общем, могут использоваться для минимизации влияния на существующие сотовые сети, такие как беспроводная сеть Системы развернутой пакетной передачи (EPS) 3GPP.
В одном варианте воплощения, в соответствии с аспектами, описанными здесь, UE может включать в себя схему обработки для соединения со вторым UE, используя первый радиоинтерфейс, который не соединен с сотовой сетью; подключения к сотовой сети, используя второй радиоинтерфейс; аутентификации, через первый радиоинтерфейс, идентичности второго UE, принимаемой от второго UE; и действия в качестве беспроводного устройства релейной передачи для сотовой сети, для второго UE, для перенаправления передаваемых данных из второго UE в беспроводную сеть.
Кроме того, или в качестве альтернативы, UE может действовать, как беспроводное устройство релейной передачи, путем выполнения перенаправления на уровне 3 IP пакетов между вторым UE и сотовой сетью. Кроме того, или в качестве альтернативы, первый радиоинтерфейс может включать в себя прямое соединение WLAN. Кроме того, или в качестве альтернативы, первый радиоинтерфейс может включать в себя прямое соединение E-UTRA.
Кроме того, или в качестве альтернативы, аутентификация может выполняться на основе цифровой сигнатуры, принятой из второго UE, без требования, во время аутентификации идентичности второго UE, выполняющего передачу данных через сотовую сеть. Аутентификация может выполняться, используя технологии ECCSI, или технологии на основе сертификата, в которых аутентификация не требует связи в режиме реального времени с общим доверенным узлом.
Кроме того, или в качестве альтернативы, UE может передавать отчет в устройство законного перехвата, ассоциированного с сотовой сетью, информацию идентификации и аутентифицированную идентичность второго UE. Кроме того, или в качестве альтернативы, информация идентификации может включать в себя адрес IPv4 и номер порта, назначенного для UE, как часть процедуры NAT; или префикс адреса протокола Интернет версии 6 (IPv6). Кроме того, или в качестве альтернативы, устройство законного перехвата может включать в себя устройство, работающее в плане пользователя беспроводной сети, схема обработки может дополнительно: передавать отчет с информацией идентификации и аутентифицированной идентичностью второго UE через план пользователя HTTP. Устройство законного перехвата может включать в себя ММЕ или PGW в плане управления беспроводной сети.
В другом варианте осуществления, в соответствии с аспектами, описанными здесь, UE может включать в себя первый радиоинтерфейс; второй радиоинтерфейс; считываемый компьютером носитель информации для сохранения выполняемых процессором инструкций; и схему обработки для выполняемых процессором инструкций для соединения через первый радиоинтерфейс со вторым UE, находящимся в непосредственной близости к UE, для ProSe со вторым UE, аутентификации идентичности второго UE, принятой через первый радиоинтерфейс из второго UE, релейной передачи данных, принятых из второго UE, через первый радиоинтерфейс в беспроводную сеть, которая подключена к UE через второй радиоинтерфейс, и передачи в отчете в объект законного перехвата, ассоциированный с беспроводной сетью, информации идентификации, которая идентифицирует сетевой трафик второго UE.
Кроме того, или в качестве альтернативы, объект законного перехвата может включать в себя устройство, работающее в уровне пользователя беспроводной сети, отчетность дополнительно включает в себя передачу отчета с информацией идентификации через протокол уровня пользователя.
В другом варианте осуществления, в соответствии с аспектами, описанными здесь, способ, воплощенный в устройстве релейной передачи, может включать в себя аутентификацию, с помощью устройства релейной передачи, идентичности удаленного UE, которое соединено с устройством релейной передачи через прямое радиосоединение, аутентификации, включающей в себя аутентификацию идентичности удаленного UE; и передачи отчета в устройство релейной передачи и в объект законного перехвата, ассоциированный с сотовой беспроводной сетью, с которой соединено устройство релейной передачи: с префиксом адреса IPv6, ассоциированным с удаленным UE, или с адресом IPv4 и номером порта, назначенным для удаленного UE, как часть процедуры NAT; и с аутентифицированной идентичностью удаленного UE.
Кроме того, или в качестве альтернативы, способ может включать в себя релейную передачу трафика, ассоциированного с удаленным UE, в сотовую беспроводную сеть. Кроме того, или в качестве альтернативы, передача отчета в объект законного перехвата может выполняться через сигналы уровня слоя без доступа (NAS).
В другом варианте осуществления, в соответствии с аспектами, описанными здесь, устройство релейной передачи может включать в себя средство для аутентификации идентичности удаленного UE, которое подключено к устройству релейной передачи через прямое радиосоединение, аутентификация включает в себя аутентификацию идентичности удаленного UE; и средство для передачи в отчете в объект законного перехвата, ассоциированный с сотовой беспроводной сетью, с которой соединено устройство релейной передачи: префикса адреса IPv6, ассоциированного с удаленным UE, или адреса IPv4 и номера порта, назначенного для удаленного UE, как часть процедуры NAT; и аутентифицированной идентичности удаленного UE.
На фиг. 1 показана схема примерной окружающей среды 100, в которой могут быть воплощены системы и/или способы, описанные здесь. Как представлено, окружающая среда 100 может включать в себя устройство 110 релейной передачи, устройства 112, 114 и 116 оборудования пользователя (UE), беспроводную сеть 120, сервер 130 приложений общественной безопасности, и правоохранительное органы 140 (LEA). UE 112, 114 и 116, в общем, могут называться любые устройства беспроводной передачи данных, такие как мобильный телефон, смартфон, планшетное вычислительное устройство, переносное вычислительное устройство и т.д., которое выполнено с возможностью беспроводной передачи данных с беспроводной сетью 120. Устройство 110 релейной передачи также может представлять собой устройство UE, такое как устройство UE, которое конструктивно аналогично или идентично UE 112, 114 или 116. Для ясности, UE, когда оно работает для выполнения функции устройства релейной передачи, будет называться здесь "устройством релейной передачи" (то есть, устройством 110 релейной передачи). Аналогично, удаленные UE 114 и 116 могут быть конструктивно аналогичны или эквивалентны UE 112. UE, которое выполняет передачу данных через устройство 110 релейной передачи для получения возможности подключения к сети, может называться здесь "удаленным UE" (например, удаленным UE 114 или 116).
Устройство 110 релейной передачи, UE 112 и удаленные UE 114 и 116 каждое может включать в себя портативные вычислительные устройства и устройства передачи данных, такие как карманный персональный компьютер (PDA), смартфон, сотовый телефон, переносной компьютер, с возможностью подключения к сотовой беспроводной сети, планшетный компьютер и т.д. Устройство 110 релейной передачи, UE 112 и удаленные UEs 114 и 116 также могут включать в себя непортативные вычислительные устройства, такие как настольные компьютеры, устройства бытовой техники или устройства для бизнеса, или другие устройства, которые могут быть выполнены с возможностью подключения к беспроводной сети 120. Устройство 110 релейной передачи, UE 112 и удаленные UE 114 и 116 могут подключаться через радиосоединение к беспроводной сети 120.
Устройство 110 релейной передачи, UE 112 и удаленные UE 114 и 116 могут включать в себя радиоинтерфейсы, которые позволяют выполнять беспроводное соединение устройств 110-116 с беспроводной сетью 120, друг с другом и/или с другими устройствами. Например, устройство 110 релейной передачи, UE 112 и удаленные UE 114 и 116 каждое может включать в себя первый приемопередатчик для соединения с сетью сотового доступа, такой, как сеть на основе 3GPP/Долгосрочного развития (LTE), и второй приемопередатчик для воплощения передачи данных на основе Wi-Fi (например, для передачи данных на основе стандарта Института инженеров по электронике и радиотехнике (IEEE) 802.11). Устройство 110 релейной передачи, UE 112, и удаленные UE 114 и 116 могут непосредственно соединяться друг с другом, используя услуги ProSe, воплощенные через путь прямой передачи данных (например, через соединение WLAN, такое как прямой путь WiFi, или через прямой путь передачи данных Развернутого универсального наземного радиодоступа (E-UTRA), в котором не используется беспроводная сеть 120). В качестве альтернативы или дополнительно, когда устройство 110 релейной передачи и UE 112 находятся в пределах зоны обслуживания беспроводной сети 120, они могут связываться с беспроводной сетью 120.
Беспроводная сеть 120 может включать в себя одну или больше сетей, которые обеспечивают возможность соединения беспроводной сети с мобильными устройствами 110. Например, беспроводная сеть 120 может представлять собой беспроводную сеть, которая обеспечивает сотовый беспроводный охват. В некоторых вариантах осуществления беспроводная сеть 120 может быть ассоциирована с сетью LTE. Один пример воплощения беспроводной сети 120 совместно с устройством релейной передачи представлен с дополнительными подробностями на фиг. 2.
Сервер 130 приложений общественной безопасности может включать в себя одно или больше вычислительных устройства или устройств передачи данных, которые обеспечивают услуги для персонала и/или организаций общественной безопасности.
Например, сервер 130 приложений общественной безопасности может предоставлять услуги, относящиеся к передаче данных ProSe между персоналом общественной безопасности, такие как услуги, относящиеся к помощи при идентификации UE в физической непосредственной близости друг с другом и/или обеспечению возможностей оптимизированной передачи данных между UE. В качестве другого примера, сервер 130 приложений общественной безопасности может функционировать для обеспечения возможности групповых вызовов между группами персонала общественной безопасности, таких как вызовы типа "одно устройство-множество устройств", или диспетчеризации персонала общественной безопасности в чрезвычайных ситуациях. Хотя здесь представлено воплощение за пределами беспроводной сети 120, на практике сервер приложений общественной безопасности, в качестве альтернативы или в дополнение, может быть воплощен в пределах беспроводной сети 120.
LEA 140 может представлять собой объект, такой как правоохранительное учреждение, который может получать данные сетевой передачи, соответствующие законной власти, с целью анализа или доказательства. Полученные данные могут включать в себя, например, сигналы или информацию администрирования сетью или, в качестве альтернативы или в дополнение, действительное содержание передаваемых данных. Сигналы/информация администрирования сетью могут называться здесь информацией, относящейся к перехвату (IRI), и действительное содержание может называться здесь содержанием передаваемых данных (СС). В одном варианте осуществления LEA 140 может передавать запрос на перехват в беспроводную сеть 120. Запрос на перехват может включать в себя информацию аутентификации, удостоверяющую, что запрос является законным запросом, и информацию, идентифицирующую стороны, к которым применяется этот запрос. В ответ на это, беспроводная сеть 120 может перехватывать идентифицированные передаваемые данные и может предоставлять перехваченную информацию в LEA 140.
На фиг. 2 показана схема примера воплощения частей окружающей среды 100 с дополнительными деталями. В частности, на фиг. 2 представлен пример воплощения беспроводной сети 120 в контексте устройства релейной передачи и передач данных для удаленных UE и используя технологии ProSe.
На фиг. 2 беспроводная сеть 120 может включать в себя EPS, который включает в себя сеть LTE и/или ядро развернутой пакетной сети (ЕРС), которое работает на основе стандарта беспроводной передачи 3GPP. Сеть LTE может быть или может включать в себя сеть радиодоступа, которая включает в себя одну или больше базовых станций, некоторые или все из которых могут принимать форму eNodeB (eNB) 220, через которое устройство 110 релейной передачи может связываться с сетью ЕРС. Сеть ЕРС может включать в себя один или больше обслуживающих шлюзов (SGW) 225, объектов 230 администрирования мобильностью (ММЕ) и/или шлюзов 235 сети пакетной передачи данных (PGW) и может обеспечивать для UE возможность связи с внешней сетью. Кроме того, беспроводная сеть 120 может включать в себя функцию 240 LI и опорный абонентский сервер (HSS) 245.
eNB 220 может включать в себя одно или больше сетевых устройств, которые принимают, обрабатывают и/или передают трафик, предназначенный для и/или принимаемый из устройства 110 релейной передачи. eNB 220 может предоставлять беспроводный (то есть радио-) интерфейс с устройством 110 релейной передачи.
SGW 225 может включать в себя одно или больше сетевых устройств, которые направляют данные потока трафика. SGW 225 может объединять трафик, принятый из одной или больше базовых станций 220, и может передавать объединенный трафик во внешнюю сеть через PGW 235. SGW 225 также может действовать, как якорь мобильности во время передачи мобильного терминала между базовыми станциями.
ММЕ 230 может включать в себя одно или больше вычислительных устройств и устройств передачи данных, которые действуют как узел управления для eNB 220 и/или другие устройства, которые обеспечивают радиоинтерфейс для беспроводной сети 120. Например, ММЕ 230 может выполнять операции для регистрации устройства 110 релейной передачи в беспроводной сети 120 для установления каналов носителя (например, потоков трафика), ассоциированных с сеансом с устройством 110 релейной передачи, для передачи устройства 110 релейной передачи в другую сеть и/или для выполнения других операций. ММЕ 230 может выполнять операции контроля трафика, предназначенного для и/или принимаемого из устройства 110 релейной передачи.
PGW 235 может включать в себя одно или больше сетевых устройств, которые могут объединять трафик, принимаемый из одного или больше SGW 225, и могут передавать объединенный трафик во внешнюю сеть, PGW 235 может также, или в качестве альтернативы, принимать трафик из внешней сети и может передавать трафик в направлении устройства 110 релейной передачи через SGW 225 и/или базовую станцию 220.
Функция 240 LI может представлять функцию, воплощенную одним или больше сетевыми устройствами для выполнения законного перехвата. На основе информации идентификации для UE, функция 240 LI может выполнять захват и составлять отчеты данных IRI и/или СС, относящихся к UE. Функция 240 LI может составлять отчет с захваченными данными в авторизованный объект, такой как LEA 140. Функция 240 LI может быть воплощена как функция, которая представляет собой часть, например, ММЕ 230, PGW 235, HSS 245, сервер 130 приложений общественной безопасности, или как часть другого сетевого элемента. В качестве альтернативы или в дополнение функция 240 LI может быть воплощена с помощью специализированного сетевого устройства.
HSS 245 может включать в себя одно или больше устройств, которые могут администрировать, обновлять и/или сохранять в запоминающем устройстве, ассоциированном с HSS 245, информацию профиля, ассоциированную с абонентом. Информация профиля может идентифицировать приложения и/или услуги, которые разрешены и/или доступны для абонента; номер мобильной директории (MDN), ассоциированный с абонентом; полосы пропускания или пороговые значения скорости передачи данных, ассоциированные с приложениями и/или услугами; и/или другую информацию. Абонент может быть ассоциирован с UE 110-116. Кроме того, или в качестве альтернативы, HSS 245 может выполнять операции аутентификации, авторизации и/или учета, ассоциированные с абонентом, и/или сеансом передачи данных с UE 110-116.
Множество интерфейсов передачи данных, которые могут включать в себя стандартизированный интерфейс 3GPP, представлено на фиг. 2. Например, удаленное UE 114, которое может находиться за пределами сети, в отношении возможности соединения с беспроводной сетью 120, может непосредственно связываться с устройством 110 релейной передачи (например, используя прямое соединение E-UTRA), используя интерфейс РС5. Интерфейс РС5 может, в общем, использоваться UE для управления UE (например, удаленным UE для устройства релейной передачи) и передачи данных плана пользователя. Устройство 110 релейной передачи может связываться с eNB 220, используя интерфейс LTE-Uu. Устройство 110 релейной передачи может выполнять отображение между носителями через РС5 и интерфейсами Uu. Кроме того, удаленный UE 114 может не поддерживать соединение для передачи сигналов с беспроводной сетью 120. Вместо этого, устройство 110 релейной передачи может быть ответственным за установление и поддержание носителей EPS, ассоциированных с беспроводной сетью 120.
Во время работы устройство 110 релейной передачи может выполнять операции устройства уровня 3 (например, устройство 110 релейной передачи может вести себя как маршрутизатор, который выполняет перенаправления уровня 3 IP пакетов) в отношении выполнения функций релейной передачи для удаленного UE 114. Когда адресация IPv6 используется по интерфейсу РС5, устройство 110 релейной передачи может выполнять делегирование префикса для назначения префикса IPv6 для удаленного UE 114. Назначенный префикс IPv6 может последовательно использоваться беспроводной сетью 120 для идентификации передаваемых данных, ассоциированных с удаленным UE 114. Делегирование префикса IPv6 описано, например, в технической спецификации (TS) 3GPP 23.303 v. 12.0.0.
В некоторых вариантах осуществления интерфейс РС5 может использовать адресацию IPv4. В этой ситуации устройство 110 релейной передачи может действовать как устройство NAT и может назначать для UE 114 частный адрес IPv4. Когда выполняется обмен данными с беспроводной сетью 120, устройство 110 релейной передачи может назначать определенное значение порта для устройства 110 релейной передачи и может использовать общедоступный адрес IPv4 устройства 110 релейной передачи (то есть адрес IPv4, который виден беспроводной сетью 120), в комбинации с конкретным значением порта для обработки сетевого трафика, ассоциированного с удаленным UE 114.
Как будет более подробно описано ниже, для обеспечения законного перехвата трафика, ассоциированного с удаленным UE 114, устройство 110 релейной передачи может аутентифицировать удаленное UE 114, используя технологию аутентификации, для которой не требуется передача сигналов в режиме реального времени через беспроводную сеть 120. Другими словами, устройство 110 релейной передачи может аутентифицировать идентичность удаленного UE 114, используя передачу данных за пределами сети (то есть, через интерфейс РС5) между удаленным UE 114 и устройством 110 релейной передачи. Устройство 110 релейной передачи может затем передавать отчет с аутентифицированной идентичностью удаленного UE 114 вместе с назначенным префиксом IPv6 (для передачи данных IPv6) или общедоступного адреса IPv4 и со значением порта (для передачи данных IPv4) в беспроводную сеть 120 (например, для функции 240 LI). Функция LI 240 может последовательно выполнять законный перехват передаваемых данных, ассоциированных с удаленным UE 114, например, путем передачи отчетов с СС или информации IPI, относящейся к передаче данных. Операции, выполняемые устройством 110 релейной передачи, в общем, могут работать таким образом, что минимизируется влияние на существующие системы 3GPP.
На фиг. 3 показана блок-схема последовательности операций, иллюстрирующая на высоком уровне пример обработки 300 для выполнения отчетности о законном перехвате. Обработка 300 может быть воплощена, например, с помощью устройства 110 релейной передачи.
Обработка 300 может включать в себя аутентификацию с помощью устройства 110 релейной передачи, удаленного UE (блок 310). Аутентификация может выполняться без привлечения в режиме реального времени беспроводной сети 120. Например, аутентификация может выполняться между устройством 110 релейной передачи и удаленным UE 114 через интерфейс РС5. В некоторых вариантах осуществления в устройстве 110 релейной передачи и в удаленном UE 114 может быть заранее предусмотрена возможность (потенциально используя беспроводную сеть 120) поддержки аутентификации. Различные технологии для воплощения аутентификации будут более подробно описаны ниже.
Обработка 300 может дополнительно включать в себя передачу отчетов через план пользователя или план управления беспроводной сети (то есть, беспроводной сети 120), аутентифицированной общедоступной идентичности удаленного UE и информации идентификации для аутентифицированного удаленного UE (блок 320). Например, устройство 110 релейной передачи может, либо в ответ на явно выраженный запрос из функции 240 LI (или другого сетевого элемента), или в другое время (например, на основе успешной аутентификации удаленного UE) передавать информацию идентификации для удаленного UE 114 в беспроводную сеть 120. Устройство 110 релейной передачи также может передавать идентичность аутентификации удаленного UE 114 (например, цифровую сигнатуру, принятую из UE 114, как часть обработки аутентификации). Информация идентификации может быть передана в функции LI 240 или в другой сетевой элемент для обеспечения отчетности о законном перехвате, которая должна быть выполнена беспроводной сетью 120. Информация идентификации может включать в себя информацию, необходимую для беспроводной сети 120, для идентификации трафика, соответствующего удаленному UE 114. Как отмечено ранее, в случае трафика IPv6, информация идентификации может включать в себя префикс IPv6, назначенный для удаленного UE 214. В случае трафика IPv4, информация идентификации может включать в себя общественный адрес IPv4 устройства 110 релейной передачи и номер порта, назначенный для удаленного UE 114 устройством 110 релейной передачи.
Устройство 110 релейной передачи при выполнении отчетности с информацией идентификации через план пользователя может выполнять отчетность, используя соответствующий протокол, такой как протокол передачи гипертекста (HTTP). Отчетность через план пользователя может выполняться, когда функция 240 LI доступна через трафик плана пользователя, например, когда функция LI воплощена как часть услуги ProSe, воплощенной в сервере 130 приложений общественной безопасности. В других ситуациях таких, как в случае, когда функция LI 240 воплощена в ММЕ 230, сигналы, передаваемые в плане управления, такие как сигналы на уровне слоя без доступа (NAS), могут использоваться для обеспечения информации идентификации для функции 240 LI (например, ММЕ 230).
На фиг. 4 показана схема, иллюстрирующая одну возможную технологию, которая может использоваться для аутентификации удаленного UE без привлечения сети. На фиг. 4 иллюстрируются технология сигнатуры без сертификата на основе эллиптической кривой для технологии шифрования на основе идентичности (ECCSI). ECCSI представляет собой известную технологию, которая более подробно описана в Запросе комментариев (RFC) 6507 Целевой группы инженерной поддержки Интернет (IETF).
На фиг. 4 представлены Услуга администрирования ключом (KMS), подписант и проверяющий. В контексте фиг. 1 и 2, подписант может соответствовать удаленному UE 114, и проверяющий может соответствовать устройству 110 релейной передачи. KMS может соответствовать доверенной услуге аутентификации, такой, как воплощена устройством, ассоциированным с беспроводной сетью 120, или устройством, ассоциированным с внешней сетью. Для аутентификации ECCSI может потребоваться, чтобы для подписанта и проверяющего в некоторой точке были предоставлены данные, принятые из KMS. Такое предоставление может выполняться, однако, в определенной точке перед выполнением аутентификации ECCSI (например, когда подписант и проверяющий находятся в зоне обслуживания беспроводной сети 120).
Как представлено на фиг. 4, KMS может поддерживать ключ общественной аутентификации KMS (KPAK), который может быть известен всем пользователям. KPAK может быть сохранен подписантом и проверяющим. Кроме того, как часть исходного предоставления, подписант может получать секретный ключ подписи (SSK) и метку общественного удостоверения (PVT) из KMS. Кроме того, каждый пользователь может быть ассоциирован с общеизвестной идентичностью. На фиг. 4 общеизвестная идентичность подписанта представлена как ID.
Для операции аутентификации подписант может комбинировать KPAK, SSK, PVT и сообщение (М), которое должно быть подписано таким образом, как установлено в RFC 6507 (то есть, в соответствии с технологией ECCSI). Полученная в результате сигнатура (SIGN) может быть передана проверяющему через интерфейс РС5 с сообщением (М) и общедоступной идентичностью подписанта (ID_s). После приема проверяющий может применять технологию ECCSI на основе KPAK принятого сообщения (М), общедоступную идентичность подписанта (ID_s) и сигнатуру (SIGN) для аутентификации подписанта. При использовании ECCSI одна передача данных от подписанта проверяющему может использоваться для аутентификации подписанта.
В качестве альтернативы использованию аутентификации на основе ECCSI могут использоваться другие технологии аутентификации для аутентификации удаленного UE без привлечения сети в режиме реального времени. Например, могут использоваться технологии на основе цифрового сертификата. Например, сертификат, такой как сертификат, соответствующий стандарту ITU-T (Сектор стандартизации телекоммуникаций ITU) Х.509 и выданный доверенным сертифицирующим учреждением, может быть сохранен/предоставлен в устройство 110 релейной передачи и/или удаленный UE 114. Аутентификация может быть основана на обмене сертификатами. При любой аутентификации на основе ECCSI или аутентификации на основе сертификата аутентификация может быть выполнена без передачи данных в режиме реального времени с общей отметкой о доверии (то есть, без решения в режиме реального времени с KMS или доверенным сервером сертификации).
На фиг. 5 показана схема, иллюстрирующая пример воплощения системы 500 для выполнения отчетности о законном перехвате информации идентификации для удаленного UE. В этом примере используется аутентификация на основе ECCSI. Система на фиг. 5 аналогична представленной на фиг. 2. Кроме того, как показано, система 500 может включать в себя сервер 510 администрирования ключами (KMS), который может воплощать устройство администрирования ключами ECCSI. Кроме того, в системе 500 функция 240 LI иллюстрируется, как выполняемая компонентом 520 ProSe сервера 130 общедоступного приложения. Компонент 520 ProSe может воплощать функцию, относящуюся к разрешению услуг ProSe для UE, используемую персоналом общественной безопасности. Передача данных ProSe между устройством 110 релейной передачи и удаленным UE 114 может выполняться, используя приложения ProSe (приложение ProSe), которые воплощены устройством 110 релейной передачи и удаленным UE 114.
Множество интерфейсов передачи данных, между различными компонентами системы 500, представлены на фиг. 5. Интерфейсы передачи данных могут включать в себя интерфейсы, стандартизированные в соответствии с 3GPP. Эти интерфейсы могут включать в себя интерфейс РС5 между устройством 110 релейной передачи и удаленным UE 114, интерфейс РС3 между устройством 110 релейной передачи и компонентом 520 ProSe, интерфейс Uu между устройством 110 релейной передачи и eNB 220, интерфейс S1-U между eNB 220 и SGW/PGW 225/235, интерфейс S1-U между eNB 220 и ММЕ 230, интерфейс SGi между SGW/PGW 225/235 и компонентом 520 ProSe, интерфейс S11 между SGW/PGW 225/235 и ММЕ 230 и интерфейс S6a между ММЕ 230 и HSS 245.
На фиг. 6 показана схема, иллюстрирующая пример потока 600 передачи данных, которая может быть выполнена в системе 500 для выполнения отчетности о законном перехвате информации идентификации для удаленного UE в системе 500. Для потока 600 передачи данных отчетность о законном перехвате может быть выполнена через план пользователя беспроводной сети 120. Операции потока 600 передачи данных будут описаны со ссылкой на фиг. 5.
Устройство 110 релейной передачи, которое может находиться в пределах зоны обслуживания беспроводной сети 120, может первоначально прикрепляться к беспроводной сети 120 (в 610, "EPS Attach"). Прикрепление к беспроводной сети 120 может выполняться, используя существующие технологии. В определенный момент удаленное UE 114 и устройство 110 релейной передачи могут обнаружить друг друга с целью передачи данных ProSe (в 615, "Обнаружение устройства релейной передачи"). Например, используя прямое обнаружение ProSe, как определено в 3GPP TS 23.303, v12.0.0, UE может детектировать и идентифицировать другое UE в непосредственной близости, используя сигналы прямой радио передачи E-UTRA.
Удаленное UE 114 может быть аутентифицировано устройством 110 релейной передачи (в 620, "Аутентификация удаленного UE без привлечения сети"). Как упомянуто выше, аутентификация может быть выполнена без привлечения беспроводной сети 120 (например, на основе только передачи данных через интерфейс РС5 между устройством 110 релейной передачи и удаленным UE 114). Например, при воплощении, аутентификация может быть выполнена, используя технологии аутентификации на основе ECCSI. В этой ситуации и со ссылкой на фиг. 4 удаленное UE 114 и устройство 110 релейной передачи могут действовать в роли подписанта