移动连接中的合法拦截的制作方法

1.本文的实施例涉及在通信系统、相应的计算机系统以及计算机程序和此类计算机程序的载体中的移动连接(mc)上下文中处理合法拦截(li)的方法。


背景技术：

2.移动连接(mc)是一种由全球移动通信系统协会(gsma)指定的安全通用登录技术。只需将用户与用户的移动电话进行匹配，移动连接功能允许用户订阅者快速登录服务提供商的网站和应用程序，而无需记住密码和用户名。mc功能提供安全可靠的登录，并且未经用户许可不共享任何个人信息。
3.更具体地说，mc功能用于在服务提供商将属性(例如，用户自己的地址、出生日期等)从用户作为订户与之相关联的移动网络运营商(mno)共享到服务提供商、同意管理等之前认证用户订户。mc功能可以访问订户的个人数据；然而，mc功能不涉及从一个用户到另一个用户的实际通信，这意味着服务提供商将仅被提供由订户明确授权的数据。
4.移动连接功能可用于许可用户使用假名客户参考(pcr)来访问互联网服务，其中pcr与真实用户身份之间的相关性仅由移动连接功能知道。这意味着，在用户是合法拦截(li)的目标的情况下，此类信息可能对执法机构(lea)非常有用。
5.但是，li是基于lea要求的技术目标身份。此类身份经常来自之前的调查，并且lea没有可用的附加信息。换言之，除了例如移动台国际用户号码簿号码(msisdn)或国际移动设备标识(imei)或会话发起协议统一资源标识符(sip
‑
uri)等技术目标标识外，lea不知道属于用户(即与所述技术身份相关联的人)的个人数据。通常，此类数据无法立即被获得，需要在专有数据库和不同数据库中进行人工调查。


技术实现要素：

6.鉴于以上所述，本公开的目的在于克服通信系统中与合法拦截相关的缺陷。其目的在第一方面通过由mc身份网关(id gw)功能中的li拦截接入点(iap)功能执行的方法来实现。
7.第一方面的方法包括从li管理功能(admf)接收对在指定的li时间间隔期间激活针对目标身份的li的请求。在所述li时间间隔期间，检测到id gw功能已经至少开始了针对目标身份已请求的服务的认证和授权(aa)过程，并且作为所述检测的结果，从所述id gw功能获得与所述目标身份有关的个人数据，并且例如通过x2接口将获得的与目标身份有关的个人数据提供给li中介和递送功能(mf/df)。
8.也就是说，当执行正在使用通信网络中的mc功能的目标身份的li时，这种方法向lea提供改进的能力。这种改进的能力意味着向lea提供li目标身份的个人数据，这可以实现进一步的详细调查，从而提高利用实际人员识别目标身份的可能性。
9.检测到id gw功能已经至少开始了aa过程可以包括检测到id gw功能已经确定所述目标身份相对于服务而被授权。
10.在一些实施例中，目标身份可以是msisdn、imei和sip
‑
uri中的任何一个，并且在这样的实施例中，与所述目标身份有关的个人数据可以包括与所述目标身份与所请求服务的关联有关的pcr。
11.在一些实施例中，从li admf接收对激活li的请求包括接收所请求服务的标识符。在这样的实施例中，所述目标身份可以包括与所述目标身份与所请求服务的关联有关的pcr，并且在这些实施例中，与所述目标身份有关的个人数据可以包括msisdn、imei和sip
‑
uri中的任何一个。
12.在各种实施例中，与所述目标身份有关的个人数据可以包括指定pcr被创建的时间点的时间戳，与不同于所述服务的第二服务相关联的pcr，出生日期、地址等中的任何一个。
13.在一些实施例中，所获得的与所述目标身份有关的个人数据被提供给数据保留(dr)服务器。
14.在另一方面，提供了一种包括多个服务器刀片的计算机系统，每个服务器刀片包括处理器和存储器。存储器包含可由处理器执行的指令，由此计算机系统可操作以执行如上文结合第一方面所概括的方法。
15.在又一方面，提供了一种包括指令的计算机程序，当在至少一个处理器上执行所述指令时，所述指令使处理器执行根据第一方面的方法。在又一方面，提供了一种包括这种计算机程序的载体，其中所述载体是电子信号、光信号、无线电信号和计算机可读存储介质中的一个。
16.这些另外的方面和这些另外的方面的实施例提供与以上结合第一方面的方法所概括的相同的效果和优点。
附图说明
17.图1a和1b是示意性地示出的通信系统的框图，
18.图2是一种方法的流程图，
19.图3是信令图，
20.图4示意性地说明了计算机系统，以及
21.图5示意性地说明了计算机系统。
具体实施方式
22.图1a示意性地图示了通信系统100的第一功能表示，通信系统100包括核心网络105和其中连接有通信实体101的接入网络103。接入网络可以例如是第三代合作伙伴计划(3gpp)无线电接入网络(ran)或可以连接到核心网络105的任何其他类型的非3gpp通信网络的形式。
23.本领域技术人员将意识到，由实体101执行的通信是由接入网103和核心网105两者中的几个功能单元实现的。为了描述的清楚起见，这些功能单元没有被完整地示出，而仅被示意性地示出并且由核心网络功能115的集合表示和示例，在4g环境中，核心网络功能115的集合可以包括移动性管理实体(mme)、服务网关(s
‑
gw)、分组数据网络网关(p
‑
gw)等。在5g环境中，核心网络功能115可以进一步包括：例如，策略控制功能(pcf)、用户数据管理
功能(udm)和会话管理功能(smf)。出于本公开的目的，核心网络功能115可以被认为是使实体101能够连接到计算机系统托管或提供的服务138并与之通信的功能的集合，所述计算机系统由服务提供商139操作并且经由可以是互联网协议(ip)网络的接入网络129被连接到核心网络105。
24.通信系统100被配置为使得提供mc功能，并且因此，通信系统100还包括身份网关(id gw)功能107(在此也由id gw表示)以及认证功能106。作为技术人员将意识到，mc是一种提供服务提供商(例如sp 139)的解决方案，用于当在通信系统100中通信时用于通信实体(例如实体101)的可靠认证机制。mc解决方案比典型的仅使用用户名/密码机制的传统自我声明处理更可靠。mc功能提供了更强大的身份管理机制，被利用在用于认证的在移动设备上的所有权以及通信系统运营商对身份证明的信任方面。
25.mc功能允许正在访问来自服务提供商139的服务138的通信实体101被id gw 107认证，例如通过与实体101通信的设备的msidn。认证过程允许通信实体101在不使用特定用户身份或密码的情况下访问所请求的服务138。在一些情况下，服务提供商139可能要求通过包括所谓的个人可识别信息(ppi)用户检查来完成认证过程；在这种情况下，对认证功能106进行访问以检索这些数据并继续进行认证过程。
26.通信系统100还被配置为向lea 131提供li服务。因此，核心网络105还包括li admf 108和连接到lea 131的li mf/df功能132。admf108被配置为处理li admf操作，例如接收针对采用拦截相关信息(iri)和与目标相关联的呼叫内容(cc)的形式的拦截信息的令状。出于本公开的目的，通信实体101是这样的目标，其用目标身份a表示，当与服务提供商139提供的服务138通信时所述目标是li的主体。mf/df功能132是被配置为处理从id gw 107中的拦截接入点(iap)135接收的iri和cc，并将iri和cc提供给lea 131。admf 108和mf/df 132通过x1和x2与iap 135通信接口。lea 131管理执法管理设施(lemf)136，lemf136与admf 108通信并分别经由hi1和hi2接口从mf/df 132接收iri和cc。
27.核心网络105还包括数据保留服务器142，数据保留服务器142被配置为经由hia和hib接口与lea 131通信，并且被配置为如下文将更详细地举例说明的那样与id gw 107通信。
28.图1b示意性地图示了通信系统100的第二功能表示。在所述第二功能表示中，通信系统100至少部分地通过在利用硬件服务器平台170的虚拟节点110上执行的虚拟化功能来实现。admf 108，mf/df 132、具有iap 135的id gw 107、认证功能106和数据保留服务器142被实现在虚拟化功能(vnf)的功能层130中，所述功能层130通过虚拟化层120在虚拟节点110中执行。通信实体101通过接入网络103连接到硬件平台170，具有服务138的服务提供商139通过接入网络129连接到硬件平台170，和具有lemf 136的lea/lemf 131连接到硬件平台170，其细节超出了本公开的范围。
29.admf 108、mf/df功能132、id gw 107、iap 135、认证功能106和数据保留服务器142，以及lemf136都包括处理和存储资源，该处理和存储资源被配置为如下面将详细举例说明的那样实现和处理mc上下文中的li。即，通信系统100中的订户(例如通信实体101)可以是如lea131经由lemf 136所请求的那样的合法拦截的目标a。在这种情况下，已经接收到来自lemf 136的对li的请求的admf 108向id gw 107中的iap 135发送针对所请求的目标a的拦截命令，指示合法拦截时段的开始和停止时间。在此期间，一旦目标a需要id gw107为
其开始认证过程的服务138，则id gw 107可用的目标a的个人数据被发送回mf/df 132，当然，绕过任何用户同意策略。然后，由mf/df 132在hi2接口上通过lemf 136将个人数据发送到lea 131。
30.移动连接上下文中可用的功能之一是，一旦目标a的msisdn被授权进入服务提供商域(即，使用服务138)，目标a自己的msisdn不会与服务提供商共享，而是使用特定的pcr，该特定的pcr使服务提供商139能够识别目标a。
31.更具体地说，移动连接功能(例如，通过id gw 107中的功能)每终端用户(即，每通信实体101或每目标a)和每服务提供商地保持pcr以识别用户，这意味着对于给定的用户，移动连接功能具有几个pcr，pcr的多个用户身份是服务提供商可识别的。下表说明了每最终用户和每服务提供商的此类pcr示例：
32.msisdn服务提供商pcr 39555010203bet
‑
and
‑
windiabolik
‑
70 39555010203bankofduckburgdonald
‑
21 39555010203cappuccinohouseespresso24 39555010203letschatwilly
‑
11
33.通过向lea 131提供目标a的pcr，lea 131能够识别目标a在给定服务提供商域内的活动(例如，通过检查访问/活动日志)，其中主要身份是pcr，并且msisdn对于lea 131是未知的或不可用的。
34.总而言之，在msisdn/imsi是目标类型的情况下：当受监控的msisdn/imsi调用需要移动连接认证的服务时，相关个人数据(例如pcr)以及与服务提供商共享的其他信息在iri内被收集并且通过x2接口被发送到mf
‑
df。
35.相反，在pcr是目标类型且目标的msisdn未知的情况下，例如在msisdn不可用的sp域内开始lea调查时。在这种情况下，将在iri内提供的相关个人数据可以包括通信实体的msisdn以及与服务提供商共享的其他数据。
36.现在转向图2，并继续参考图1a和1b，将详细描述与mc环境中的li相关的方法的实施例。这些实施例包括由以上结合图1a和图1b介绍和描述的id gw 107中的iap 135执行的多个动作：
37.动作201
38.从admf 108接收对在指定的li时间间隔期间激活针对目标身份a的li的请求。
39.动作203
40.在li时间间隔期间，检测到id gw 107已经至少开始了针对目标身份a已经请求的服务138的aa过程。
41.例如，在一些实施例中，动作203中的检测可以包括检测id gw功能107已经确定目标身份a相对于服务138被授权。
42.动作205
43.作为动作205中检测的结果，从id gw 107获得与目标身份a有关的个人数据。
44.例如，在各种实施例中，与目标身份a有关的个人数据可以包括：指定pcr被创建时的时间点的时间戳，与不同于服务138的第二服务相关联的pcr，出生日期，例如电子邮件地址的地址，昵称等中的任何一个。
45.动作207
46.然后，所获得的与目标身份a有关的个人数据被提供给mf/df 132。
47.例如，在各种实施例中，个人数据可以通过x2接口被提供给mf/df132。
48.在一些实施例中，目标身份a可以是msisdn、imei和sip
‑
uri中的任何一个。在这样的实施例中，在动作205中获得并在动作207中提供的与目标身份a有关的个人数据可以包括与目标身份与所请求的服务138的关联有关的pcr。
49.在其他实施例中，在动作201中从admf 108接收对激活li的请求包括：接收所请求的服务138的标识符。在这样的实施例中，目标身份a包括与目标身份的与服务138的a关联有关的pcr请求，并且与目标身份a有关的个人数据包括msisdn、imei和sip
‑
uri中的任何一个。
50.除了上述动作之外，在各种实施例中，还可以将所获得的与目标身份a有关的个人数据提供给数据保留服务器142，如图2中的动作209所示。数据保留服务器中的个人数据随后可以通过标准化的hia和hib接口为lea 131可用。应当注意，将发送到数据保留服务器的信息不限于作为li目标的通信实体。事实上，可以将关于在mc环境中操作的所有通信实体的信息发送到数据保留服务器。
51.现在转向图3，并继续参考图1a、1b和图2，示出了其中包括上述方法的实施例的li场景。
52.li场景通过从lemf 136到admf 108的传输301开始。传输301包括对指定目标的li的令状，这里指定目标是与通信实体101相关联的目标a。如上所述，目标a的指定可以是msisdn、imei、pcr等。
53.admf 108然后通过生成包括目标激活请求的传输303并且随后从iap 135接收目标激活响应传输305来与id gw 107中的iap 135通信，该目标激活响应传输305包括针对指定目标激活li的确认。
54.如上所述，传输303中的目标激活请求可以包括期间li将激活的时间间隔的指定。
55.与目标a相关联的用户(如图3中通过通信实体101所示)生成到服务提供商139的请求传输307以使用由服务提供商139提供或托管的服务
56.由于所讨论的上下文是mc上下文的事实，服务提供商139于是生成到id gw 107的传输309，其中传输309包括对相对于服务提供商139而授权目标a的请求。
57.如上所述，在这个时间点，iap 135可以检测到id gw 107已经开始针对目标身份a已经请求的服务138的aa过程。换句话说，此时可以看到iap 135已被触发以获得与目标a有关的个人数据，如上所述。
58.从服务提供商139接收到了对授权的请求后，id gw 107生成到认证功能106的请求传输311，请求传输311包括对认证目标a的请求。
59.认证功能106确定目标a被认证并且产生到id gw 107的响应传输313，响应传输313包括表明目标a被认证的信息。
60.类似于或替代于在传输309和311之间的时间点，在这个时间点，iap135可以如上所述检测到id gw 107已经开始了针对目标身份a已经请求的服务138的aa过程。换句话说，在这个时间点可以看到如上所述iap135已被触发以获得与目标a有关的个人数据。
61.应当注意，在iap 135中触发对个人数据的获取可以与以上的传输309
‑
313或随后
的传输315
‑
317中的任一个同时发生。
62.已经注意到了目标a被认证后，id gw 107生成到服务提供商139的传输315，传输315包括对之前接收的对应请求传输309的授权响应。因为目标a被认证，所以传输315包括表明相对于服务提供商139目标a被授权的信息。
63.服务提供者139已经从所接收的传输315中识别出目标a被授权，于是生成到id gw 107的包括对令牌的请求的请求传输317。服务提供商139需要令牌的原因是因为在接收传输315时，它还不能识别请求服务138的用户。通过所接收的传输315，服务提供者139知道与目标a关联的用户已被认证，但在pcr方面它不知道该用户是谁。
64.id gw 107于是检索将目标a与服务提供商139相关联的已经存在的pcr，或者id gw 139生成将目标a与服务提供商139相关联的新pcr。
65.已经被如上所述触发后，iap 135于是从id gw 107获得与目标a有关的个人数据，并生成到mf/df 132的包括所获得的个人数据的传输319。所述传输319可以通过x2接口进行。
66.mf/df 132继而生成报告并且生成到lemf 136的传输321，所述传输321包括与目标a有关的个人数据。传输321可以通过hi2接口发生并且个人数据可以被打包成3gpp 33.108版本15中定义的适当修改的“partyinformation”数据结构。
67.已经生成了包括所获得的pcr或生成的新pcr、连同特定于与目标a相关联的用户的访问令牌的身份令牌之后，id gw 107生成到服务提供商139的传输323，传输323包括所生成的身份和访问令牌。
68.作为在传输323中接收令牌的结果，服务提供商139从身份令牌中提取pcr。由于pcr对于在服务提供者139处与目标a相关联的用户是唯一的，因此服务提供者139使用pcr来将与目标a相关联的用户链接到mc环境中的pcr，即与目标a相关联的用户现在在服务提供商139处被识别(根据pcr)。
69.于是，服务提供商139向与目标a相关联的用户生成响应传输325，响应传输325包括用户可以利用所请求的服务138的确认。
70.现在转向图4，并继续参考图1至图3，将更详细地描述计算机系统400。可以对应于通信系统100的至少一部分的计算机系统400包括多个服务器刀片411，服务器刀片411包括处理器402和存储器404。存储器404包含可由处理器402执行的指令，由此计算机系统400可用于：
71.‑
从li admf 108接收对在指定的li时间间隔期间激活针对目标身份a的li的请求，
72.‑
在li时间间隔期间检测id gw功能107已经至少开始了针对目标身份a已经请求的服务138的aa过程，并且作为所述检测的结果：
73.‑
从id gw功能107获得与目标身份a有关的个人数据，以及
74.‑
向li mf/df 132提供所获得的与目标身份a有关的个人数据。
75.处理器402可执行的指令可以是计算机程序441形式的软件。计算机程序441可以包含在载体442中或由载体442包含，载体442可以向存储器404和处理器402提供计算机程序441。载体442可以是任何合适的形式，包括电子信号、光信号、无线电信号或计算机可读存储介质。
76.在一些实施例中，计算机系统400可操作以使得检测包括检测id gw功能107已经确定目标身份a相对于服务138被授权。
77.在一些实施例中，计算机系统400可操作以使得：目标身份a是msisdn、imei和sip
‑
uri中的任何一个，并且与目标身份a有关的个人数据包括与目标身份与所请求服务138的关联有关的pcr。
78.在一些实施例中，计算机系统400可操作以使得：从admf 108接收对li的激活的请求包括接收所请求服务138的标识符，目标身份a包括与目标身份a与所请求服务138的a关联有关的pcr，并且与目标身份a有关的个人数据包括msisdn、imei和sip
‑
uri中的任何一个。
79.在一些实施例中，计算机系统400可操作以使得与目标身份a有关的个人数据包括以下任一项：指定pcr被创建时的时间点的时间戳、与不同于所述服务的第二服务相关联的pcr 138，出生日期和地址。
80.在一些实施例中，计算机系统400可操作以使得个人数据经由x2接口被提供给li mf/df 132。
81.在一些实施例中，计算机系统400可操作以向数据保留服务器142提供所获得的与目标身份a有关的个人数据。
82.现在转向图5，并继续参考图1至图4，将更详细地描述计算机系统500。计算机系统500包括：
83.‑
接收模块501被配置为从li admf 108接收对在指定的li时间间隔期间激活针对目标身份a的li的请求，
84.‑
检测模块503被配置为在li时间间隔期间检测id gw功能107已经至少开始了针对目标身份a已经请求的服务138的aa过程，并且作为所述检测的结果执行：
85.‑
获得模块505，用于从id gw功能107获得与目标身份a有关的个人数据，以及
86.‑
提供模块507，被配置为向li mf/df 132提供所获得的与目标身份a有关的个人数据。
87.计算机系统500可以包括被配置为以与例如上面结合图4描述的计算机系统400类似的方式执行的其他模块。