Результат интеллектуальной деятельности: Отчётность о законном перехвате в беспроводных сетях, используя релейную передачу для общественной безопасности

Уровень техники

Беспроводные сети обеспечивают возможность соединения по сети с устройствами мобильной связи, такими как смартфоны. Возможность связи по сети может быть предоставлена через радиоинтерфейс. Как правило, мобильные устройства подключают к беспроводной сети через точку доступа, которая представляет собой часть инфраструктуры сети. Например, устройство может подключаться к сотовой базовой станции или к точке доступа беспроводной локальной вычислительной сети (WLAN) (например, к точке доступа WiFi).

Некоторые технологии могут позволять устройствам устанавливать непосредственные пути передачи данных друг с другом (например, без передачи через сотовую базовую станцию или точку доступа WiFi). Например, устройства, которые расположены в непосредственной близости друг к другу, могут обнаруживать друг друга и впоследствии устанавливать пути прямой передачи данных друг с другом. В спецификациях, опубликованных в Проекте Партнерства 3^-его поколения (3GPP), прямая передача данных между беспроводными устройствами может называться "услугами непосредственной близости" (ProSe). Передача данных ProSe может иметь много преимуществ, таких как улучшенное использование спектра, улучшенная общая пропускная способность и рабочие характеристики и улучшенное потребление энергии. В контексте служб общественной безопасности передача данных ProSe может обеспечивать важную сеть альтернативную сеть общественной безопасности, которая может функционировать, когда сотовая сеть (например, сотовая сеть 3GPP) не работает или недоступна.

Сеть, такая как сеть на основе 3GPP, может включать в себя функцию законного перехвата (LI). В соответствии с LI, провайдер сети может разрешать правоохранительным органам (LEA) перехватывать содержание и другую соответствующую информацию, которая соответствует трафику конкретных мобильных устройств. Для законного перехвата может потребоваться идентификация целевого мобильного устройства (устройств).

При передаче данных ProSe устройство релейной передачи, такое как мобильное устройство, действующее, как устройство релейной передачи, может использоваться для соединения с другим мобильным устройством (таким как устройство, которое находится за пределами зоны обслуживания сотовой сети) для сотовой сети. Однако, воплощение законного перехвата в этой ситуации может быть проблематичным, поскольку мобильное устройство, которое должно быть стать целью законного перехвата, может быть невидимым для сотовой сети.

Краткое описание чертежей

Варианты осуществления настоящего изобретения будут легко понятны из следующего подробного описания изобретения со ссылкой на приложенные чертежи. Для того чтобы способствовать такому описанию, одинаковые номера ссылочной позиции могут обозначать одинаковые структурные элементы. Варианты осуществления изобретения представлены на чертежах или на приложенных рисунках в качестве примера, а не для ограничения.

На фиг. 1 показана схема примера окружающей среды, в которой могут быть воплощены описанные здесь системы и/или способы.

На фиг. 2 показана схема примера варианта выполнения частей окружающей среды, показанной на фиг. 1, с дополнительными деталями.

На фиг. 3 показана блок-схема последовательности операций, поясняющая пример обработки для выполнения отчетности о законном перехвате.

На фиг. 4 представлена схема, иллюстрирующая технологию, которая может использоваться для аутентификации удаленного оборудования пользователя (UE) без привлечения сети.

На фиг. 5 представлена схема, иллюстрирующая пример варианта выполнения системы для выполнения отчетности о законном перехвате информации идентификации для удаленного UE.

На фиг. 6 и 7 показаны схемы, поясняющие примеры потоков передачи данных для выполнения отчетности о законном перехвате информации идентификации для удаленного UE.

На фиг. 8 показана схема примера компонентов устройства.

Подробное описание изобретения

В следующем подробном описании делается ссылка на приложенные чертежи. Одинаковые номера ссылочных позиций на разных чертежах могут идентифицировать одинаковые или аналогичные элементы. Следует понимать, что могут использоваться другие варианты осуществления, и структурные или логические изменения могут быть выполнены без выхода за пределы объема настоящего раскрытия. Поэтому, следующее подробное описание не следует рассматривать в ограничительном смысле, и объем вариантов осуществления, в соответствии с настоящим изобретением, определен приложенной формулой изобретения и ее эквивалентами.

Технологии, описанные здесь, могут обеспечивать услуги законного перехвата (LI) для оборудования пользователя (UE) (например, смартфонов или других устройств мобильной связи) в ситуациях, в которых, по меньшей мере, одно UE участвует в услугах ProSe таким образом, что UE "опосредованно" соединено с сотовой сетью через устройство релейной передачи. В качестве примера такой ситуации, группа персонала, работающего в области общественной безопасности (например, пожарные) может быть первыми респондентами в случае чрезвычайного происшествия. UE одного или больше членов этой группы может находиться за пределами зоны обслуживания сотовой сети, используемой группой (например, некоторые члены могут находиться внутри помещения, в туннеле и т.д.). Члены группы могут продолжать связываться друг с другом и с сотовой сетью, используя услуги передачи данных ProSe. В этом сценарии UE одного члена группы, который может находиться в пределах зоны обслуживания сотовой сети, может действовать, как устройство релейной передачи для других членов группы, которые могут называться здесь "удаленными UE", которые находятся за пределами зоны обслуживания. Все члены группы могут таким образом продолжить связываться через сотовую сеть.

В некоторых ситуациях, таких как в случае адресации по протоколу Интернет (IP), версия 4 (IPv4), UE, действующее, как устройство релейной передачи, может использовать технологии трансляции сетевых адресов (NAT) при релейной передаче трафика. NAT может затруднять видимость, с точки зрения сотовой сети, в связи с тем, какие потоки трафика соответствуют UE релейной передачи и какие потоки трафика соответствуют удаленным UE. Это может быть проблематичным в отношении рабочих характеристик услуг законного перехвата.

В соответствии с аспектами, описанными здесь, устройство релейной передачи может способствовать при предоставлении возможности законного перехвата путем передачи отчетов в устройство LI, ассоциированное с сотовой сетью, с аутентифицированными идентичностями удаленных UE и информацией идентификации, которые могут позволить устройству LI отслеживать трафик (и/или управлять статистикой, относящейся к трафику), ассоциированный с удаленными UE. Аутентификация удаленных UE может выполняться, используя технологию для которой не требуется использование сотовой сети. Информация идентификации может включать в себя, для адреса IPv6, префикс IPv6. Для адресации IPv4 информация идентификации может включать в себя общедоступный адрес IPv4 устройства релейной передачи и номер порта, назначенный устройством релейной передачи. Технологии, описанные здесь для воплощения законного перехвата, в общем, могут использоваться для минимизации влияния на существующие сотовые сети, такие как беспроводная сеть Системы развернутой пакетной передачи (EPS) 3GPP.

В одном варианте воплощения, в соответствии с аспектами, описанными здесь, UE может включать в себя схему обработки для соединения со вторым UE, используя первый радиоинтерфейс, который не соединен с сотовой сетью; подключения к сотовой сети, используя второй радиоинтерфейс; аутентификации, через первый радиоинтерфейс, идентичности второго UE, принимаемой от второго UE; и действия в качестве беспроводного устройства релейной передачи для сотовой сети, для второго UE, для перенаправления передаваемых данных из второго UE в беспроводную сеть.

Кроме того, или в качестве альтернативы, UE может действовать, как беспроводное устройство релейной передачи, путем выполнения перенаправления на уровне 3 IP пакетов между вторым UE и сотовой сетью. Кроме того, или в качестве альтернативы, первый радиоинтерфейс может включать в себя прямое соединение WLAN. Кроме того, или в качестве альтернативы, первый радиоинтерфейс может включать в себя прямое соединение E-UTRA.

Кроме того, или в качестве альтернативы, аутентификация может выполняться на основе цифровой сигнатуры, принятой из второго UE, без требования, во время аутентификации идентичности второго UE, выполняющего передачу данных через сотовую сеть. Аутентификация может выполняться, используя технологии ECCSI, или технологии на основе сертификата, в которых аутентификация не требует связи в режиме реального времени с общим доверенным узлом.

Кроме того, или в качестве альтернативы, UE может передавать отчет в устройство законного перехвата, ассоциированного с сотовой сетью, информацию идентификации и аутентифицированную идентичность второго UE. Кроме того, или в качестве альтернативы, информация идентификации может включать в себя адрес IPv4 и номер порта, назначенного для UE, как часть процедуры NAT; или префикс адреса протокола Интернет версии 6 (IPv6). Кроме того, или в качестве альтернативы, устройство законного перехвата может включать в себя устройство, работающее в плане пользователя беспроводной сети, схема обработки может дополнительно: передавать отчет с информацией идентификации и аутентифицированной идентичностью второго UE через план пользователя HTTP. Устройство законного перехвата может включать в себя ММЕ или PGW в плане управления беспроводной сети.

В другом варианте осуществления, в соответствии с аспектами, описанными здесь, UE может включать в себя первый радиоинтерфейс; второй радиоинтерфейс; считываемый компьютером носитель информации для сохранения выполняемых процессором инструкций; и схему обработки для выполняемых процессором инструкций для соединения через первый радиоинтерфейс со вторым UE, находящимся в непосредственной близости к UE, для ProSe со вторым UE, аутентификации идентичности второго UE, принятой через первый радиоинтерфейс из второго UE, релейной передачи данных, принятых из второго UE, через первый радиоинтерфейс в беспроводную сеть, которая подключена к UE через второй радиоинтерфейс, и передачи в отчете в объект законного перехвата, ассоциированный с беспроводной сетью, информации идентификации, которая идентифицирует сетевой трафик второго UE.

Кроме того, или в качестве альтернативы, объект законного перехвата может включать в себя устройство, работающее в уровне пользователя беспроводной сети, отчетность дополнительно включает в себя передачу отчета с информацией идентификации через протокол уровня пользователя.

В другом варианте осуществления, в соответствии с аспектами, описанными здесь, способ, воплощенный в устройстве релейной передачи, может включать в себя аутентификацию, с помощью устройства релейной передачи, идентичности удаленного UE, которое соединено с устройством релейной передачи через прямое радиосоединение, аутентификации, включающей в себя аутентификацию идентичности удаленного UE; и передачи отчета в устройство релейной передачи и в объект законного перехвата, ассоциированный с сотовой беспроводной сетью, с которой соединено устройство релейной передачи: с префиксом адреса IPv6, ассоциированным с удаленным UE, или с адресом IPv4 и номером порта, назначенным для удаленного UE, как часть процедуры NAT; и с аутентифицированной идентичностью удаленного UE.

Кроме того, или в качестве альтернативы, способ может включать в себя релейную передачу трафика, ассоциированного с удаленным UE, в сотовую беспроводную сеть. Кроме того, или в качестве альтернативы, передача отчета в объект законного перехвата может выполняться через сигналы уровня слоя без доступа (NAS).

В другом варианте осуществления, в соответствии с аспектами, описанными здесь, устройство релейной передачи может включать в себя средство для аутентификации идентичности удаленного UE, которое подключено к устройству релейной передачи через прямое радиосоединение, аутентификация включает в себя аутентификацию идентичности удаленного UE; и средство для передачи в отчете в объект законного перехвата, ассоциированный с сотовой беспроводной сетью, с которой соединено устройство релейной передачи: префикса адреса IPv6, ассоциированного с удаленным UE, или адреса IPv4 и номера порта, назначенного для удаленного UE, как часть процедуры NAT; и аутентифицированной идентичности удаленного UE.

На фиг. 1 показана схема примерной окружающей среды 100, в которой могут быть воплощены системы и/или способы, описанные здесь. Как представлено, окружающая среда 100 может включать в себя устройство 110 релейной передачи, устройства 112, 114 и 116 оборудования пользователя (UE), беспроводную сеть 120, сервер 130 приложений общественной безопасности, и правоохранительное органы 140 (LEA). UE 112, 114 и 116, в общем, могут называться любые устройства беспроводной передачи данных, такие как мобильный телефон, смартфон, планшетное вычислительное устройство, переносное вычислительное устройство и т.д., которое выполнено с возможностью беспроводной передачи данных с беспроводной сетью 120. Устройство 110 релейной передачи также может представлять собой устройство UE, такое как устройство UE, которое конструктивно аналогично или идентично UE 112, 114 или 116. Для ясности, UE, когда оно работает для выполнения функции устройства релейной передачи, будет называться здесь "устройством релейной передачи" (то есть, устройством 110 релейной передачи). Аналогично, удаленные UE 114 и 116 могут быть конструктивно аналогичны или эквивалентны UE 112. UE, которое выполняет передачу данных через устройство 110 релейной передачи для получения возможности подключения к сети, может называться здесь "удаленным UE" (например, удаленным UE 114 или 116).

Устройство 110 релейной передачи, UE 112 и удаленные UE 114 и 116 каждое может включать в себя портативные вычислительные устройства и устройства передачи данных, такие как карманный персональный компьютер (PDA), смартфон, сотовый телефон, переносной компьютер, с возможностью подключения к сотовой беспроводной сети, планшетный компьютер и т.д. Устройство 110 релейной передачи, UE 112 и удаленные UEs 114 и 116 также могут включать в себя непортативные вычислительные устройства, такие как настольные компьютеры, устройства бытовой техники или устройства для бизнеса, или другие устройства, которые могут быть выполнены с возможностью подключения к беспроводной сети 120. Устройство 110 релейной передачи, UE 112 и удаленные UE 114 и 116 могут подключаться через радиосоединение к беспроводной сети 120.

Устройство 110 релейной передачи, UE 112 и удаленные UE 114 и 116 могут включать в себя радиоинтерфейсы, которые позволяют выполнять беспроводное соединение устройств 110-116 с беспроводной сетью 120, друг с другом и/или с другими устройствами. Например, устройство 110 релейной передачи, UE 112 и удаленные UE 114 и 116 каждое может включать в себя первый приемопередатчик для соединения с сетью сотового доступа, такой, как сеть на основе 3GPP/Долгосрочного развития (LTE), и второй приемопередатчик для воплощения передачи данных на основе Wi-Fi (например, для передачи данных на основе стандарта Института инженеров по электронике и радиотехнике (IEEE) 802.11). Устройство 110 релейной передачи, UE 112, и удаленные UE 114 и 116 могут непосредственно соединяться друг с другом, используя услуги ProSe, воплощенные через путь прямой передачи данных (например, через соединение WLAN, такое как прямой путь WiFi, или через прямой путь передачи данных Развернутого универсального наземного радиодоступа (E-UTRA), в котором не используется беспроводная сеть 120). В качестве альтернативы или дополнительно, когда устройство 110 релейной передачи и UE 112 находятся в пределах зоны обслуживания беспроводной сети 120, они могут связываться с беспроводной сетью 120.

Беспроводная сеть 120 может включать в себя одну или больше сетей, которые обеспечивают возможность соединения беспроводной сети с мобильными устройствами 110. Например, беспроводная сеть 120 может представлять собой беспроводную сеть, которая обеспечивает сотовый беспроводный охват. В некоторых вариантах осуществления беспроводная сеть 120 может быть ассоциирована с сетью LTE. Один пример воплощения беспроводной сети 120 совместно с устройством релейной передачи представлен с дополнительными подробностями на фиг. 2.

Сервер 130 приложений общественной безопасности может включать в себя одно или больше вычислительных устройства или устройств передачи данных, которые обеспечивают услуги для персонала и/или организаций общественной безопасности.

Например, сервер 130 приложений общественной безопасности может предоставлять услуги, относящиеся к передаче данных ProSe между персоналом общественной безопасности, такие как услуги, относящиеся к помощи при идентификации UE в физической непосредственной близости друг с другом и/или обеспечению возможностей оптимизированной передачи данных между UE. В качестве другого примера, сервер 130 приложений общественной безопасности может функционировать для обеспечения возможности групповых вызовов между группами персонала общественной безопасности, таких как вызовы типа "одно устройство-множество устройств", или диспетчеризации персонала общественной безопасности в чрезвычайных ситуациях. Хотя здесь представлено воплощение за пределами беспроводной сети 120, на практике сервер приложений общественной безопасности, в качестве альтернативы или в дополнение, может быть воплощен в пределах беспроводной сети 120.

LEA 140 может представлять собой объект, такой как правоохранительное учреждение, который может получать данные сетевой передачи, соответствующие законной власти, с целью анализа или доказательства. Полученные данные могут включать в себя, например, сигналы или информацию администрирования сетью или, в качестве альтернативы или в дополнение, действительное содержание передаваемых данных. Сигналы/информация администрирования сетью могут называться здесь информацией, относящейся к перехвату (IRI), и действительное содержание может называться здесь содержанием передаваемых данных (СС). В одном варианте осуществления LEA 140 может передавать запрос на перехват в беспроводную сеть 120. Запрос на перехват может включать в себя информацию аутентификации, удостоверяющую, что запрос является законным запросом, и информацию, идентифицирующую стороны, к которым применяется этот запрос. В ответ на это, беспроводная сеть 120 может перехватывать идентифицированные передаваемые данные и может предоставлять перехваченную информацию в LEA 140.

На фиг. 2 показана схема примера воплощения частей окружающей среды 100 с дополнительными деталями. В частности, на фиг. 2 представлен пример воплощения беспроводной сети 120 в контексте устройства релейной передачи и передач данных для удаленных UE и используя технологии ProSe.

На фиг. 2 беспроводная сеть 120 может включать в себя EPS, который включает в себя сеть LTE и/или ядро развернутой пакетной сети (ЕРС), которое работает на основе стандарта беспроводной передачи 3GPP. Сеть LTE может быть или может включать в себя сеть радиодоступа, которая включает в себя одну или больше базовых станций, некоторые или все из которых могут принимать форму eNodeB (eNB) 220, через которое устройство 110 релейной передачи может связываться с сетью ЕРС. Сеть ЕРС может включать в себя один или больше обслуживающих шлюзов (SGW) 225, объектов 230 администрирования мобильностью (ММЕ) и/или шлюзов 235 сети пакетной передачи данных (PGW) и может обеспечивать для UE возможность связи с внешней сетью. Кроме того, беспроводная сеть 120 может включать в себя функцию 240 LI и опорный абонентский сервер (HSS) 245.

eNB 220 может включать в себя одно или больше сетевых устройств, которые принимают, обрабатывают и/или передают трафик, предназначенный для и/или принимаемый из устройства 110 релейной передачи. eNB 220 может предоставлять беспроводный (то есть радио-) интерфейс с устройством 110 релейной передачи.

SGW 225 может включать в себя одно или больше сетевых устройств, которые направляют данные потока трафика. SGW 225 может объединять трафик, принятый из одной или больше базовых станций 220, и может передавать объединенный трафик во внешнюю сеть через PGW 235. SGW 225 также может действовать, как якорь мобильности во время передачи мобильного терминала между базовыми станциями.

ММЕ 230 может включать в себя одно или больше вычислительных устройств и устройств передачи данных, которые действуют как узел управления для eNB 220 и/или другие устройства, которые обеспечивают радиоинтерфейс для беспроводной сети 120. Например, ММЕ 230 может выполнять операции для регистрации устройства 110 релейной передачи в беспроводной сети 120 для установления каналов носителя (например, потоков трафика), ассоциированных с сеансом с устройством 110 релейной передачи, для передачи устройства 110 релейной передачи в другую сеть и/или для выполнения других операций. ММЕ 230 может выполнять операции контроля трафика, предназначенного для и/или принимаемого из устройства 110 релейной передачи.

PGW 235 может включать в себя одно или больше сетевых устройств, которые могут объединять трафик, принимаемый из одного или больше SGW 225, и могут передавать объединенный трафик во внешнюю сеть, PGW 235 может также, или в качестве альтернативы, принимать трафик из внешней сети и может передавать трафик в направлении устройства 110 релейной передачи через SGW 225 и/или базовую станцию 220.

Функция 240 LI может представлять функцию, воплощенную одним или больше сетевыми устройствами для выполнения законного перехвата. На основе информации идентификации для UE, функция 240 LI может выполнять захват и составлять отчеты данных IRI и/или СС, относящихся к UE. Функция 240 LI может составлять отчет с захваченными данными в авторизованный объект, такой как LEA 140. Функция 240 LI может быть воплощена как функция, которая представляет собой часть, например, ММЕ 230, PGW 235, HSS 245, сервер 130 приложений общественной безопасности, или как часть другого сетевого элемента. В качестве альтернативы или в дополнение функция 240 LI может быть воплощена с помощью специализированного сетевого устройства.

HSS 245 может включать в себя одно или больше устройств, которые могут администрировать, обновлять и/или сохранять в запоминающем устройстве, ассоциированном с HSS 245, информацию профиля, ассоциированную с абонентом. Информация профиля может идентифицировать приложения и/или услуги, которые разрешены и/или доступны для абонента; номер мобильной директории (MDN), ассоциированный с абонентом; полосы пропускания или пороговые значения скорости передачи данных, ассоциированные с приложениями и/или услугами; и/или другую информацию. Абонент может быть ассоциирован с UE 110-116. Кроме того, или в качестве альтернативы, HSS 245 может выполнять операции аутентификации, авторизации и/или учета, ассоциированные с абонентом, и/или сеансом передачи данных с UE 110-116.

Множество интерфейсов передачи данных, которые могут включать в себя стандартизированный интерфейс 3GPP, представлено на фиг. 2. Например, удаленное UE 114, которое может находиться за пределами сети, в отношении возможности соединения с беспроводной сетью 120, может непосредственно связываться с устройством 110 релейной передачи (например, используя прямое соединение E-UTRA), используя интерфейс РС5. Интерфейс РС5 может, в общем, использоваться UE для управления UE (например, удаленным UE для устройства релейной передачи) и передачи данных плана пользователя. Устройство 110 релейной передачи может связываться с eNB 220, используя интерфейс LTE-Uu. Устройство 110 релейной передачи может выполнять отображение между носителями через РС5 и интерфейсами Uu. Кроме того, удаленный UE 114 может не поддерживать соединение для передачи сигналов с беспроводной сетью 120. Вместо этого, устройство 110 релейной передачи может быть ответственным за установление и поддержание носителей EPS, ассоциированных с беспроводной сетью 120.

Во время работы устройство 110 релейной передачи может выполнять операции устройства уровня 3 (например, устройство 110 релейной передачи может вести себя как маршрутизатор, который выполняет перенаправления уровня 3 IP пакетов) в отношении выполнения функций релейной передачи для удаленного UE 114. Когда адресация IPv6 используется по интерфейсу РС5, устройство 110 релейной передачи может выполнять делегирование префикса для назначения префикса IPv6 для удаленного UE 114. Назначенный префикс IPv6 может последовательно использоваться беспроводной сетью 120 для идентификации передаваемых данных, ассоциированных с удаленным UE 114. Делегирование префикса IPv6 описано, например, в технической спецификации (TS) 3GPP 23.303 v. 12.0.0.

В некоторых вариантах осуществления интерфейс РС5 может использовать адресацию IPv4. В этой ситуации устройство 110 релейной передачи может действовать как устройство NAT и может назначать для UE 114 частный адрес IPv4. Когда выполняется обмен данными с беспроводной сетью 120, устройство 110 релейной передачи может назначать определенное значение порта для устройства 110 релейной передачи и может использовать общедоступный адрес IPv4 устройства 110 релейной передачи (то есть адрес IPv4, который виден беспроводной сетью 120), в комбинации с конкретным значением порта для обработки сетевого трафика, ассоциированного с удаленным UE 114.

Как будет более подробно описано ниже, для обеспечения законного перехвата трафика, ассоциированного с удаленным UE 114, устройство 110 релейной передачи может аутентифицировать удаленное UE 114, используя технологию аутентификации, для которой не требуется передача сигналов в режиме реального времени через беспроводную сеть 120. Другими словами, устройство 110 релейной передачи может аутентифицировать идентичность удаленного UE 114, используя передачу данных за пределами сети (то есть, через интерфейс РС5) между удаленным UE 114 и устройством 110 релейной передачи. Устройство 110 релейной передачи может затем передавать отчет с аутентифицированной идентичностью удаленного UE 114 вместе с назначенным префиксом IPv6 (для передачи данных IPv6) или общедоступного адреса IPv4 и со значением порта (для передачи данных IPv4) в беспроводную сеть 120 (например, для функции 240 LI). Функция LI 240 может последовательно выполнять законный перехват передаваемых данных, ассоциированных с удаленным UE 114, например, путем передачи отчетов с СС или информации IPI, относящейся к передаче данных. Операции, выполняемые устройством 110 релейной передачи, в общем, могут работать таким образом, что минимизируется влияние на существующие системы 3GPP.

На фиг. 3 показана блок-схема последовательности операций, иллюстрирующая на высоком уровне пример обработки 300 для выполнения отчетности о законном перехвате. Обработка 300 может быть воплощена, например, с помощью устройства 110 релейной передачи.

Обработка 300 может включать в себя аутентификацию с помощью устройства 110 релейной передачи, удаленного UE (блок 310). Аутентификация может выполняться без привлечения в режиме реального времени беспроводной сети 120. Например, аутентификация может выполняться между устройством 110 релейной передачи и удаленным UE 114 через интерфейс РС5. В некоторых вариантах осуществления в устройстве 110 релейной передачи и в удаленном UE 114 может быть заранее предусмотрена возможность (потенциально используя беспроводную сеть 120) поддержки аутентификации. Различные технологии для воплощения аутентификации будут более подробно описаны ниже.

Обработка 300 может дополнительно включать в себя передачу отчетов через план пользователя или план управления беспроводной сети (то есть, беспроводной сети 120), аутентифицированной общедоступной идентичности удаленного UE и информации идентификации для аутентифицированного удаленного UE (блок 320). Например, устройство 110 релейной передачи может, либо в ответ на явно выраженный запрос из функции 240 LI (или другого сетевого элемента), или в другое время (например, на основе успешной аутентификации удаленного UE) передавать информацию идентификации для удаленного UE 114 в беспроводную сеть 120. Устройство 110 релейной передачи также может передавать идентичность аутентификации удаленного UE 114 (например, цифровую сигнатуру, принятую из UE 114, как часть обработки аутентификации). Информация идентификации может быть передана в функции LI 240 или в другой сетевой элемент для обеспечения отчетности о законном перехвате, которая должна быть выполнена беспроводной сетью 120. Информация идентификации может включать в себя информацию, необходимую для беспроводной сети 120, для идентификации трафика, соответствующего удаленному UE 114. Как отмечено ранее, в случае трафика IPv6, информация идентификации может включать в себя префикс IPv6, назначенный для удаленного UE 214. В случае трафика IPv4, информация идентификации может включать в себя общественный адрес IPv4 устройства 110 релейной передачи и номер порта, назначенный для удаленного UE 114 устройством 110 релейной передачи.

Устройство 110 релейной передачи при выполнении отчетности с информацией идентификации через план пользователя может выполнять отчетность, используя соответствующий протокол, такой как протокол передачи гипертекста (HTTP). Отчетность через план пользователя может выполняться, когда функция 240 LI доступна через трафик плана пользователя, например, когда функция LI воплощена как часть услуги ProSe, воплощенной в сервере 130 приложений общественной безопасности. В других ситуациях таких, как в случае, когда функция LI 240 воплощена в ММЕ 230, сигналы, передаваемые в плане управления, такие как сигналы на уровне слоя без доступа (NAS), могут использоваться для обеспечения информации идентификации для функции 240 LI (например, ММЕ 230).

На фиг. 4 показана схема, иллюстрирующая одну возможную технологию, которая может использоваться для аутентификации удаленного UE без привлечения сети. На фиг. 4 иллюстрируются технология сигнатуры без сертификата на основе эллиптической кривой для технологии шифрования на основе идентичности (ECCSI). ECCSI представляет собой известную технологию, которая более подробно описана в Запросе комментариев (RFC) 6507 Целевой группы инженерной поддержки Интернет (IETF).

На фиг. 4 представлены Услуга администрирования ключом (KMS), подписант и проверяющий. В контексте фиг. 1 и 2, подписант может соответствовать удаленному UE 114, и проверяющий может соответствовать устройству 110 релейной передачи. KMS может соответствовать доверенной услуге аутентификации, такой, как воплощена устройством, ассоциированным с беспроводной сетью 120, или устройством, ассоциированным с внешней сетью. Для аутентификации ECCSI может потребоваться, чтобы для подписанта и проверяющего в некоторой точке были предоставлены данные, принятые из KMS. Такое предоставление может выполняться, однако, в определенной точке перед выполнением аутентификации ECCSI (например, когда подписант и проверяющий находятся в зоне обслуживания беспроводной сети 120).

Как представлено на фиг. 4, KMS может поддерживать ключ общественной аутентификации KMS (KPAK), который может быть известен всем пользователям. KPAK может быть сохранен подписантом и проверяющим. Кроме того, как часть исходного предоставления, подписант может получать секретный ключ подписи (SSK) и метку общественного удостоверения (PVT) из KMS. Кроме того, каждый пользователь может быть ассоциирован с общеизвестной идентичностью. На фиг. 4 общеизвестная идентичность подписанта представлена как ID.

Для операции аутентификации подписант может комбинировать KPAK, SSK, PVT и сообщение (М), которое должно быть подписано таким образом, как установлено в RFC 6507 (то есть, в соответствии с технологией ECCSI). Полученная в результате сигнатура (SIGN) может быть передана проверяющему через интерфейс РС5 с сообщением (М) и общедоступной идентичностью подписанта (ID_s). После приема проверяющий может применять технологию ECCSI на основе KPAK принятого сообщения (М), общедоступную идентичность подписанта (ID_s) и сигнатуру (SIGN) для аутентификации подписанта. При использовании ECCSI одна передача данных от подписанта проверяющему может использоваться для аутентификации подписанта.

В качестве альтернативы использованию аутентификации на основе ECCSI могут использоваться другие технологии аутентификации для аутентификации удаленного UE без привлечения сети в режиме реального времени. Например, могут использоваться технологии на основе цифрового сертификата. Например, сертификат, такой как сертификат, соответствующий стандарту ITU-T (Сектор стандартизации телекоммуникаций ITU) Х.509 и выданный доверенным сертифицирующим учреждением, может быть сохранен/предоставлен в устройство 110 релейной передачи и/или удаленный UE 114. Аутентификация может быть основана на обмене сертификатами. При любой аутентификации на основе ECCSI или аутентификации на основе сертификата аутентификация может быть выполнена без передачи данных в режиме реального времени с общей отметкой о доверии (то есть, без решения в режиме реального времени с KMS или доверенным сервером сертификации).

На фиг. 5 показана схема, иллюстрирующая пример воплощения системы 500 для выполнения отчетности о законном перехвате информации идентификации для удаленного UE. В этом примере используется аутентификация на основе ECCSI. Система на фиг. 5 аналогична представленной на фиг. 2. Кроме того, как показано, система 500 может включать в себя сервер 510 администрирования ключами (KMS), который может воплощать устройство администрирования ключами ECCSI. Кроме того, в системе 500 функция 240 LI иллюстрируется, как выполняемая компонентом 520 ProSe сервера 130 общедоступного приложения. Компонент 520 ProSe может воплощать функцию, относящуюся к разрешению услуг ProSe для UE, используемую персоналом общественной безопасности. Передача данных ProSe между устройством 110 релейной передачи и удаленным UE 114 может выполняться, используя приложения ProSe (приложение ProSe), которые воплощены устройством 110 релейной передачи и удаленным UE 114.

Множество интерфейсов передачи данных, между различными компонентами системы 500, представлены на фиг. 5. Интерфейсы передачи данных могут включать в себя интерфейсы, стандартизированные в соответствии с 3GPP. Эти интерфейсы могут включать в себя интерфейс РС5 между устройством 110 релейной передачи и удаленным UE 114, интерфейс РС3 между устройством 110 релейной передачи и компонентом 520 ProSe, интерфейс Uu между устройством 110 релейной передачи и eNB 220, интерфейс S1-U между eNB 220 и SGW/PGW 225/235, интерфейс S1-U между eNB 220 и ММЕ 230, интерфейс SGi между SGW/PGW 225/235 и компонентом 520 ProSe, интерфейс S11 между SGW/PGW 225/235 и ММЕ 230 и интерфейс S6a между ММЕ 230 и HSS 245.

На фиг. 6 показана схема, иллюстрирующая пример потока 600 передачи данных, которая может быть выполнена в системе 500 для выполнения отчетности о законном перехвате информации идентификации для удаленного UE в системе 500. Для потока 600 передачи данных отчетность о законном перехвате может быть выполнена через план пользователя беспроводной сети 120. Операции потока 600 передачи данных будут описаны со ссылкой на фиг. 5.

Устройство 110 релейной передачи, которое может находиться в пределах зоны обслуживания беспроводной сети 120, может первоначально прикрепляться к беспроводной сети 120 (в 610, "EPS Attach"). Прикрепление к беспроводной сети 120 может выполняться, используя существующие технологии. В определенный момент удаленное UE 114 и устройство 110 релейной передачи могут обнаружить друг друга с целью передачи данных ProSe (в 615, "Обнаружение устройства релейной передачи"). Например, используя прямое обнаружение ProSe, как определено в 3GPP TS 23.303, v12.0.0, UE может детектировать и идентифицировать другое UE в непосредственной близости, используя сигналы прямой радио передачи E-UTRA.

Удаленное UE 114 может быть аутентифицировано устройством 110 релейной передачи (в 620, "Аутентификация удаленного UE без привлечения сети"). Как упомянуто выше, аутентификация может быть выполнена без привлечения беспроводной сети 120 (например, на основе только передачи данных через интерфейс РС5 между устройством 110 релейной передачи и удаленным UE 114). Например, при воплощении, аутентификация может быть выполнена, используя технологии аутентификации на основе ECCSI. В этой ситуации и со ссылкой на фиг. 4 удаленное UE 114 и устройство 110 релейной передачи могут действовать в роли подписанта и проверяющего соответственно. В качестве альтернативы, в качестве другого примера, аутентификация может быть выполнена, используя технологии аутентификации на основе сертификата. В любой ситуации, такое предоставление может быть выполнено в более раннее время, например, во время исходного предоставления UE или в когда UE прикрепляют к беспроводной сети 120.

Аутентификация, для которой не требуется привлечение сети, может быть предпочтительной, поскольку она не обязательно должна поддерживаться протоколом RADIUS или Diameter в устройстве 110 релейной передачи. Это может быть предпочтительным, поскольку от UE общественной безопасности может ожидаться, чтобы оно, в случае необходимости работало, как устройство 110 релейной передачи.

Устройство 110 релейной передачи может назначать IP-адрес для удаленного UE 114 (в 625, "Назначение IP-адреса"). Когда используется адресация IPv6, устройство 110 релейной передачи может назначать префикс IPv6 для удаленного UE 114, используя делегирование префикса IP (например, как описано в 3GPP TS 23.303 v12.0.0). В качестве альтернативы, когда используется адресация IPv4, устройство 110 релейной передачи может назначать частный адрес IPv4 для удаленного UE 114. В случае релейной передачи данных в сеть 120, устройство 110 релейной передачи может транслировать частный адресе IPv4 в общедоступный адрес IPv4 устройства 110 релейной передачи вместе с назначенным устройством 110 релейной передачи номером порта для удаленного UE 114.

В определенный момент устройство 110 релейной передачи может передавать отчет через план пользователя с информацией идентификации удаленного UE 114 (в 630, "отчетность LI, через план пользователя"). В этом варианте осуществления, сетевое устройство, соответствующее устройству, выполняющему функцию законного перехвата (то есть, функцию 240 LI), может быть доступно через трафик плана пользователя. Например, сетевое устройство, ассоциированное с функцией 240 LI, может соответствовать серверу 130 приложений общественной безопасности, который воплощает компонент 520 ProSe, или другому сетевому устройству, которое доступно через план пользователя беспроводной сети 120. Соответствующий протокол плана пользователя, такой как HTTP, может использоваться для передачи отчета с информацией идентификации. В примере на фиг. 5, например, интерфейс РС3, такой как HTTP, через интерфейс РС3, может использоваться для передачи отчета с информацией идентификации в функцию 240 LI. В некоторых вариантах осуществления в отчете также может быть передана общественная идентичность удаленного UE 114 (например, ID_s в описании на фиг. 4).

Как упомянуто выше, информация идентификации может включать в себя информацию, необходимую для беспроводной сети 120 для идентификации трафика, соответствующего удаленному UE 114. В случае трафика IPv6, информация идентификации может включать в себя префикс IPv6, назначенный для удаленного UE 214. В случае трафика IPv4, информация идентификации может включать в себя общественный адрес IPv4 устройства 110 релейной передачи и номер порта, назначенный для удаленного UE 114 устройством 110 релейной передачи.

В ответ на прием информации идентификации, или в некоторое более позднее время, устройство, выполняющее функцию законного перехвата, может получать и/или анализировать передачу из удаленного UE 114 содержания передаваемых данных, таких как, например, трафик уровня пользователя. Содержание передаваемых данных может быть передано в правоохранительные органы 140.

На фиг. 7 показана схема, иллюстрирующая другие примеры потока 700 передачи данных, которая может выполняться в системе 500 для выполнения отчетности о законном перехвате с информацией идентификации в удаленное UE, в системе 500. Для потока 700 передачи данных отчетность о законном перехвате может быть выполнена через план управления беспроводной сети 120.

Множество передач данных, показанных на фиг. 7, аналогичны соответствующей передаче данных, показанной на фиг. 6. В частности, передачи 710-725 данных соответствуют передачам 610-625 данных соответственно. Для краткости описание этих передач данных не будет здесь повторяться.

В определенный момент, устройство 110 релейной передачи может передавать отчет через план управления с информацией идентификации удаленного UE 114 (в 730, "Отчетность LI через план управления"). В таком варианте осуществления, доступ к сетевому устройству, соответствующему устройству, выполняющему функцию законного перехвата (то есть, функцию 240 LI), может быть достигнут через трафик управления пользователя. Например, сетевое устройство может соответствовать ММЕ 230 или PGW 235, или другому сетевому устройству с доступом через план управления беспроводной сети 120. Отчетность может осуществляться через сигналы NAS.

В одном варианте осуществления может использоваться процедура уведомления NAS, как определено в 3GPP TS 24.301. Однако, в некоторых воплощениях сети 3GPP процедура уведомления NAS может быть воплощена только сетью (а не устройством 110 релейной передачи). В этих ситуациях отчетность о законном перехвате через план управления может выполняться одним или больше из следующих: (1) модифицированная процедура уведомления NAS, в которой допустимо инициирование со стороны UE; или (2) перегрузка существующей процедуры NAS, инициированной UE, такой как модификация для модификации запрашиваемого ресурса носителя NAS UE. В качестве альтернативы или дополнительно, может быть определена новая процедура NAS, определенная для отчетности о законном перехвате.

В некоторых воплощениях сети функция 240 LI может быть воплощена в PGW 235. В этом воплощении отчетность о законном перехвате может выполняться либо опосредованно, обеспечивая перенаправление ММЕ 230 отчета о законном перехвате, или прямо, используя параметр вариантов конфигурации протокола (РСО), который передан удаленным устройством 110 (например, используя процедуру модификации ресурса носителя запрашиваемого NAS). РСО представляет собой компонент множества сообщений NAS, таких как запрос возможности подключения PDN, запрос активации контекста, принятого по умолчанию носителя EPS, и сообщение о "приемлемости активации принятого по умолчанию контекста носителя EPS".

При обеих передачах данных 630 и 730,информация об отчете, ассоциированная с удаленным UE 114, может быть кодирована с использованием множества форматов, таких как формат, совместимый с наставлениями, установленными в RFC 6509. В качестве примера, информация идентификации и/или аутентифицированная общедоступная идентичность может представлять собой последовательность фиксированной части и переменной части. Фиксированная часть может быть в форме, например, Идентичности международного мобильного абонента (IMSI), унифицированного идентификатора ресурса (URI) протокола инициирования сеанса (SIP), URI списка оборудования терминала (TEL) и/или других типов URI user@domain. Переменная часть может включать в себя, например, значение временной метки.

На фиг. 8 показана схема примера компонентов устройства 800. Каждое из устройств, представленных на фиг. 1, 2, 4 и/или 5, может включать в себя одно или больше устройств 800. Устройство 800 может включать в себя шину 810, процессор 820, запоминающее устройство 830, входной компонент 840, выходной компонент 850 и интерфейс 860 передачи данных. В другом варианте осуществления устройство 800 может включать в себя дополнительные, меньшее количество, другие или по-другому скомпонованные компоненты.

Шина 810 может включать в себя один или больше путей передачи данных, которые позволяют выполнять передачу данных между компонентами устройства 800. Процессор 820 может включать в себя процессор, микропроцессор или логику обработки, которая может интерпретировать и выполнять инструкции. Запоминающее устройство 830 может включать в себя любой тип устройства динамического накопителя, которое может сохранять информацию и инструкции для выполнения процессором 820, и/или любой тип энергонезависимого устройства накопителя, которое может содержать информацию для использования процессором 820.

Входной компонент 840 может включать в себя механизм, который позволяет оператору вводить информацию в устройство 800, такое как клавиатура, кнопочная панель, кнопка, переключатель и т.д. Выходной компонент 850 может включать в себя механизм, который выводит информацию для оператора, такой как дисплей, громкоговоритель, один или больше светодиодов (LED), и т.д.

Интерфейс 860 передачи данных может включать в себя любой механизм типа приемопередатчика, который позволяет устройству 800 выполнять обмен данными с другими устройствами и/или системами. Например, интерфейс 860 передачи данных может включать в себя интерфейс Ethernet, оптический интерфейс, коаксиальный интерфейс и т.п. Интерфейс 860 передачи данных может включать в себя устройство беспроводной передачи данных, такое как инфракрасный (IR) приемник, устройство сотовой радиосвязи, устройство радиосвязи Bluetooth и т.п. Устройство беспроводной передачи данных может быть соединено с внешним устройством, таким как пульт дистанционного управления, беспроводная клавиатура, мобильный телефон и т.д. В некоторых вариантах осуществления устройство 800 может включать в себя больше чем один интерфейс 860 передачи данных. Например, устройство 800 может включать в себя оптический интерфейс и интерфейс Ethernet.

Устройство 800 может выполнять определенные операции, описанные выше. Устройство 800 может выполнять эти операции в ответ на выполнение процессором 820 программных инструкций, сохраняемых на считываемом в компьютере носителе информации, таком как запоминающее устройство 830. Считываемый компьютером носитель информации может быть определен, как непереходное запоминающее устройство. Запоминающее устройство может включать в себя пространство в пределах одного физического запоминающего устройства или может быть распределено между множеством физических запоминающих устройств. Программные инструкции могут быть считаны в запоминающее устройство 830 из другого считываемого компьютером носителя информации или из другого устройства. Программные инструкции, сохраняемые в запоминающем устройстве 830, могут обеспечить выполнение процессором 820 описанной здесь обработки. В качестве альтернативы, аппаратная схема может использоваться вместо или в комбинации с программными инструкциями для воплощения описанной здесь обработки. Таким образом, описанные здесь варианты осуществления не ограничены конкретной комбинацией аппаратных схем и программного обеспечения.

В представленном выше описании различные предпочтительные варианты осуществления были описаны со ссылкой на приложенные чертежи, однако, должно быть понятно, что различные модификации и изменения могут быть выполнены в отношении них, и дополнительные варианты осуществления могут быть воплощены без выхода за пределы широкого объема изобретения, который установлен в следующей формуле изобретения. Описание и чертежи соответственно следует рассматривать скорее как иллюстрации, а не в ограничительном смысле.

Например, в то время, как последовательность блоков была описана со ссылкой на фиг. 3, порядок блоков может быть модифицирован в других вариантах осуществления. Кроме того, независимые блоки могут быть выполнены параллельно. Аналогично, в то время как последовательность передачи данных была описана со ссылкой на фиг. 6 и 7, порядок передачи данных потенциально может быть модифицирован в других вариантах осуществления.

Должно быть понятно, что примеры описано выше аспектов могут быть воплощены во множестве других форм программного обеспечения, встроенного программного обеспечения и аппаратных средств в вариантах осуществления, представленных на чертежах. Фактический программный код или специализированные аппаратные средства управления, используемые для воплощения этих аспектов, не следует рассматривать, как ограничительные. Таким образом, операции и свойства аспектов были описаны без ссылки на конкретный программный код - следует понимать, что программное обеспечение и аппаратные средства управления могут быть разработаны для воплощения аспектов на основе представленного здесь описания.

Кроме того, некоторые части изобретения могут быть воплощены, как "логика", которая выполняет одну или больше функций. Такая логика может включать в себя аппаратные средства, такие как ASIC или FPGA, или комбинацию аппаратного и программного обеспечения.

Даже притом, что конкретные комбинации свойств были представлены в формуле изобретения и/или раскрыты в описании, эти комбинации не предназначены для ограничения изобретения. Фактически, многие из этих функций могут быть скомбинированы в таких формах, которые, в частности, не представлены в формуле изобретения и/или не раскрыты в описании.

Никакой элемент, действие или инструкция, используемые в настоящей заявке, не следует рассматривать как критический или существенный для изобретения, если только это в явной форме не будет описано таким образом. Кроме того, фраза "на основе" предназначена для обозначения "основанный, по меньшей мере, частично, на", если только ясно не будет указано другое.