用于通过提供安全性信息来允许合法拦截的方法

技术领域

本申请涉及合法拦截，并且特别而非排他性地涉及对于在用户装备与 应用服务器之间传送的数据的合法拦截。

背景技术

通信系统可以被视为允许与通信系统相关联的两个或更多实体之间的 通信的设施，所述实体比如是移动站(MS)或用户装备(UE)之类的通 信装置，以及/或者其他网络单元或节点，例如节点B或收发器基站(BTS)。 通信系统通常根据给定的标准或规范来操作，其设定与通信系统相关联的 各种实体被允许做什么以及应当如何来实现。

无线通信系统包括各种蜂窝或其他移动通信系统，其利用无线电频率 在各个站之间发送语音或数据，例如在通信装置与收发器网络单元之间发 送。无线通信系统的实例可以包括公共陆地移动网络(PLMN)，比如全 球移动通信系统(GSM)、通用分组无线电服务(GPRS)、通用移动电 信系统(UMTS)或WiFi。

移动通信网络可以在逻辑方面被划分成无线电接入网(RAN)和核心 网络(CN)。核心网络实体通常包括各种控制实体和网关，以便允许通过 若干无线电接入网进行通信，并且还用于将单一通信系统与一个或更多通 信系统进行接口，比如与无线互联网协议(IP)网络之类的其他无线系统 以及/或者公共交换电话网(PSTN)之类的固定线路通信系统进行接口。 无线电接入网的实例可以包括UMTS地面无线电接入网(UTRAN)以及 GSM/EDGE无线电接入网(GERAN)。可以通过无线电接入网但是潜在 地还有通过其他网络为用户装备或移动站提供对于由核心网络支持的应用 的访问。核心网络可以提供用以认证用户的功能，或者通过其他方式支持 用户装备与应用之间的通信的安全性。这一功能例如可以由通用自举架构 来提供。

一些网络的要求是提供合法拦截能力。由于通信技术的进步，合法拦 截在一般的服务情境中也变得具有相关性。从合法拦截的角度来看，基于 IP的通信服务(例如视频或语音)也是相关的。在合法拦截中，网络上的 通信数据被拦截，并且被提供到合法当局。合法当局可以关于可能出现的 任何法律问题对数据进行分析。

发明内容

根据第一方面，提供一种方法，其包括：接收与对于用户装备的通信 数据的合法拦截相关联的信息；以及响应于所接收到的信息提供与用户装 备的通信数据相关联的安全性信息；其中，所述安全性信息是基于在通信 网络提供商与用户装备之间共享的第一秘密。

所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘 密，所述第二秘密是基于第一秘密。所接收到的信息可以包括将要拦截的 通信数据的身份。所接收到的信息可以包括以下各项的至少其中之一：用 户装备的身份；应用服务器的身份；以及通信类型的身份。用户装备的通 信数据可以是用户装备与应用服务器之间的通信数据。提供安全性信息还 可以包括：生成包括安全性信息的拦截相关信息报告；以及向合法拦截实 体发送拦截相关信息报告。第二秘密可以包括用于用户装备与应用服务器 之间的通信的加密的密钥。所述密钥可以是以下各项的至少其中之一：对 称密钥和应用特定密钥。

根据第二方面，可以提供一种设备，其包括：用于接收与对于用户装 备的通信数据的合法拦截相关联的信息的接收装置；以及用于响应于所接 收到的信息提供与用户装备的通信数据相关联的安全性信息的提供装置； 其中，所述安全性信息是基于在通信网络提供商与用户装备之间共享的第 一秘密。

所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘 密，所述第二秘密是基于第一秘密。所接收到的信息可以包括将要拦截的 通信数据的身份。

所接收到的信息可以包括以下各项的至少其中之一：用户装备的身份； 应用服务器的身份；以及通信类型的身份。用户装备的通信数据可以是用 户装备与应用服务器之间的通信数据。

所述提供装置还可以被配置成生成包括安全性信息的拦截相关信息报 告，并且向合法拦截实体发送拦截相关信息报告。第二秘密可以包括用于 用户装备与应用服务器之间的通信的加密的密钥。所述密钥可以是以下各 项的至少其中之一：对称密钥；以及应用特定密钥。所述设备可以是凭证 服务器和应用服务器的其中之一。

根据第三方面，提供一种包括程序指令的计算机程序产品，所述程序 指令在被执行时实施以下步骤：接收与对于用户装备的通信数据的合法拦 截相关联的信息；以及响应于所接收到的信息提供与用户装备的通信数据 相关联的安全性信息；其中，所述安全性信息是基于在通信网络提供商与 用户装备之间共享的第一秘密。

根据第四方面，提供一种方法，其包括：发送与对于用户装备的通信 数据的合法拦截相关联的信息；以及响应于所发送的信息接收与用户装备 的通信数据相关联的安全性信息；其中，所述安全性信息是基于在通信网 络提供商与用户装备之间共享的第一秘密。

所述安全性信息可以包括在凭证服务器与用户装备之间共享的第二秘 密，所述第二秘密是基于第一秘密。所发送的信息可以包括将要拦截的通 信数据的身份。用户装备的通信数据可以是用户装备与应用服务器之间的 通信数据。

根据第五方面，提供一种设备，其包括：用于发送与对于用户装备的 通信数据的合法拦截相关联的信息的发送装置；以及用于响应于所发送的 信息接收与用户装备的通信数据相关联的安全性信息的接收装置；其中， 所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。

所述设备可以是合法拦截网络实体。

根据第六方面，提供一种包括程序指令的计算机程序产品，所述程序 指令在被执行时实施以下步骤：发送与对于用户装备的通信数据的合法拦 截相关联的信息；以及响应于所发送的信息接收与用户装备的通信数据相 关联的安全性信息；其中，所述安全性信息是基于在通信网络提供商与用 户装备之间共享的第一秘密。

根据第七方面，提供一种包括至少一个处理器和存储器的设备，所述 处理器和存储器被配置成：接收与对于用户装备的通信数据的合法拦截相 关联的信息；以及提供与用户装备的通信数据相关联的安全性信息；其中， 所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。

根据第八方面，提供一种包括至少一个处理器和存储器的设备，所述 处理器和存储器被配置成：发送与对于用户装备的通信数据的合法拦截相 关联的信息；以及接收与用户装备的通信数据相关联的安全性信息；其中， 所述安全性信息是基于在通信网络提供商与用户装备之间共享的第一秘密。

附图说明

图1是根据第一实施例的网络的示意图；

图2是描绘出根据第一环境的方法步骤的流程图；

图3是根据第二实施例的网络的示意图；

图4是描绘出根据第二环境的方法步骤的流程图；

图5是根据第三实施例的网络的示意图；

图6是描绘出根据第三环境的方法步骤的流程图；

图7是根据第四实施例的网络的示意图；以及

图8是描绘出根据第四环境的方法步骤的流程图；

具体实施方式

电信网络中的用户装备与应用服务器之间的数据通信可以被加密或者 通过其他方式得到保全，以便防止对于所述数据的未经授权的访问。通用 自举架构(GBA)是通用的安全性使能器，其可以为应用服务器和用户装 备提供这样的安全性关联。GBA功能可以基于用户装备和/或应用服务器 的蜂窝凭证向用户装备和应用服务器提供共享秘密。所述共享秘密可以在 GBA凭证服务器(BSF)和UE中被导出。所述共享秘密随后可以被用户 装备和应用服务器使用来保护通信、服务安全性、数据、媒体以及/或者被 用于认证或授权。

在GBA中，GBA凭证服务器(例如自举服务器功能(BSF))可以 被设置成促进对于UE的认证，并且向应用服务器提供共享秘密。安全性 关联是基于蜂窝凭证或者其他类型的预先协定的凭证(比如SIP摘要凭证)。 由于BSF是通用的，因此其可以被多个用户用于多项通信安全性服务。BSF 可以通过使用登记到归属位置寄存器(HLR)或归属订户服务器(HSS) 的有效身份来认证用户。BSF随后可以触发在UE中建立共享秘密并且向 应用服务器提供共享秘密，所述共享秘密可以被用于保全应用服务器与用 户装备之间的通信。

合法拦截(LI)是得到法律授权的处理，由此可以为执法机构给出对 于在电信网络上传送的数据的访问。数据可以被拦截并且提供到执法机构 以供分析或进一步动作。为了对此类数据进行任何有意义的分析，应当对 已加密数据进行解密以进行分析。但是网络中的节点之间的受到保全的通 信可能被设置成仅有数据的选定接收方才能对其进行解密。

本申请的实施例可以提供一种利用解密数据的能力对利用通用自举架 构保全的数据进行合法拦截的方法。

图1示出了具有合法拦截和通用自举架构功能的网络的一个实例。图 1仅包括在实施例的描述中所使用的那些网络功能，并且应当认识到，图1 中所示出的网络还可以包括被用来提供通信服务的组件。举例来说，虽然 在图1中没有示出基站或节点B，但是应当认识到，网络可以包括这样的 功能。

图1包括用户装备(UE)101和网络应用功能(NAF)102。NAF102 可以是应用服务器，并且可以被配置成通过接口(例如Ua接口)与UE101 进行通信。NAF102可以向UE101或者与UE101相关联的另一个网络节 点提供服务或其他数据。NAF102可以是提供给UE101的服务，例如NAF 102可以提供移动电视、授权、单点登录、认证、用于对等通信的凭证等 等。应当认识到，合法拦截可能仅对于这些服务当中的一些感兴趣。

可以根据通用自举架构(GBA)利用共享秘密来保全UE101与NAF 102之间的通信。

根据GBA，提供自举服务器功能(BSF)103。BSF103可以构成核 心网络的一部分。在某些实施例中，BSF103可以能够通过接口Ub与UE 101通信，并且通过接口Zn或Zn’与NAF102通信。BSF103可以被配置 成利用蜂窝信息来认证UE101，例如与UE101的订户身份模块(SIM) 卡或通用集成电路卡(UICC)有关的信息。BSF103可以利用归属订户服 务器(HSS)104和/或订户位置功能(SLF)105来认证UE101的蜂窝信 息。

通用自举架构(GBA)是通用的安全性使能器，其基于蜂窝凭证为应 用服务器和UE提供一个或更多共享秘密。该秘密可以被用来保护通信、 数据、媒体或者被用于认证或授权。一旦在运营商网络中出于一种目的设 立了GBA凭证服务器，其也可以被用于许多其他的通信安全性服务(其 是通用的安全性使能器)。在3GPPTS33.220中定义了GBA架构的一个 实例。

在通用自举架构中，UE可以发起与NAF的联系，例如UE可能希望 利用由NAF提供的服务。为了在UE与NAF之间实施安全的通信，生成 UE与NAF之间的安全性关联。为了生成该关联，可以利用BSF来认证 UE。

这一认证可以利用UE所固有的信息来进行。举例来说，所述认证可 以利用UE的身份以及例如SIM信息之类的信息来进行。BSF可以通过归 属订户服务器和/或订户位置寄存器网络实体来访问该信息。

如果UE被成功认证，则UE和BSF可以并行地生成密钥。应当认识 到，由BSF生成的密钥和由UE生成的密钥将是相同的，这是因为相同的 数据(例如SIM信息)被用来在每一个实体中生成密钥。所述密钥可以是 基于共享秘密。在该例中，所述共享秘密可以对应于SIM信息。通过使用 共享秘密，不需要在UE与BSF之间或者在UE与NAF之间实施密钥传 送。

BSF随后可以向NAF提供密钥，其在该处被用于UE与NAF之间的 通信。虽然关于通用自举架构描述了本申请的实施例，但是应当认识到， 可以使用其他共享秘密安全性系统。举例来说，这样的系统可以在用户装 备与通信网络提供商之间提供第一共享秘密。该第一共享秘密例如可以是 SIM信息。凭证服务器随后可以基于该第一共享秘密来促进对于用户装备 的认证。凭证服务器和UE可以使用第一共享秘密生成第二共享秘密。该 第二秘密例如可以是对称密钥，并且可以由UE和NAF使用来加密UE与 NAF之间的通信。应当认识到，凭证服务器和UE可以基于第一共享秘密 并行地生成第二共享秘密。用于UE与NAF之间的通信的加密的安全性信 息因此可以是基于第一共享秘密。

还可以为图1的网络提供合法拦截能力。在图1中，可以提供执法监 测设施(LEMF)106。在一些实施例中，LEMF106可以监测并且存储合 法拦截的数据。在一些实施例中，LEMF106可以接收与合法拦截相关联 的安全性信息，并且使用所述安全性信息来解密合法拦截的数据，或者向 另外的服务器或实体提供所述安全性信息。

LEMF106可以向/从第一网络实体107和第二网络实体108发送和接 收数据，其中第一网络实体107可以关于合法拦截实施管理或控制功能， 第二网络实体108可以提供对于合法拦截的内容的递送。在一些实施例中， LEMF106可以通过第一切换接口HI1与第一实体107通信，并且通过第 二切换接口HI2与第二实体108通信。

在操作中，LEMF106可以向第一网络实体107表明将要监测的服务 和/或用户的身份。第一网络实体106可以使用所表明的该信息来指示另一 个网络实体拦截与所标识出的服务和/或用户有关的数据，并且将其提供到 LEMF106。在一些实施例中，这一表明采取响应于应当拦截哪些数据而 标识触发的形式。

第二网络实体108可以响应于所述触发接收所拦截的数据，并且将所 拦截的数据递送到LEMF106。应当认识到，虽然第一和第二网络实体被 描述成分开的实体，但是在一些实施例中，其也可以位于同一处或者构成 单一网络实体的一部分。

应当认识到，虽然图1被描述成网络，但是图1中的所有实体可以不 处在单一网络域内。举例来说，NAF102可以处在UE101的网络的外部。 此外，在一些实施例中，所述执法监测设施可以处在网络的外部。

在一些实施例中，LEMF106可以通过向通信中所涉及的网络实体表 明将要拦截哪些信息来合法拦截数据。举例来说，LEMF106可以提供将 对其拦截通信的用户标识符以及可选地还有服务身份。在一些实施例中， 可以在Ua接口上拦截数据。Ua接口可以在蜂窝网络上运行，但是也可以 在固定或其他类型的网络上运行。在一些实施例中，可以由网络中的节点 拦截数据，比如网关GPRS支持节点(GGSN)和服务GPRS支持节点 (SGSN)。举例来说，第一网络实体107可以向GGSN和/或SSGN提供 将要拦截的数据的身份，并且这些节点可以向第二网络实体108提供所拦 截的数据。

但是如果来自网络节点(例如GGSN和/或SSGN)的所拦截的数据是 根据通用自举架构得到保全的，则LEMF106将无法解密所拦截的数据。 图1示出了一个实例，其中LEMF106可以访问来自BSF103的安全性信 息以便解密所拦截的数据。

在图1的实施例中，第一网络实体107可以通过X1_1接口与BSF103 通信。第一网络实体107可以向BSF103提供触发信息。在一些实施例中， 该触发信息可以标识出合法拦截对于哪些数据或信息感兴趣。所述信息可 以标识出服务和/或用户身份。从第一网络实体107传送的信息可以被配置 成触发从BSF103报告与对应于将对其合法拦截数据的所标识出的服务和 /或用户身份相关联的安全性信息。

举例来说，来自第一网络实体107的包含用户身份的触发信息可以触 发报告一个或更多密码密钥以及有关的信息，例如与所标识出的用户相关 联的密钥寿命期、密钥标识符、密钥所涉及的服务。

所述触发信息可以包括以下各项当中的一项或更多项：用户的身份， 服务或NAF102的身份，以及/或者将触发报告的事件的类型。

触发信息中的用户身份例如可以是用户的国际移动订户身份(IMSI) 或者移动订户综合服务数字网络编号(MSISDN)。在一些实施例中，BSF 103可以把在触发信息中接收到的用户身份映射到HSS或SLF以识别用户。

举例来说，可以在用户访问BSF103以生成应用特定密钥 Ks_(ext/int)_NAF时触发对于密码信息的报告。所述密钥可以是应用特定 的，这是在于其被生成以用于用户与指定的NAF102之间的通信。当这一 密钥生成发生时，BSF103可以被触发以向LEMF106报告安全性信息。 应当认识到，这仅仅是为了举例，并且可以替换地或附加地响应于对于密 钥或安全性信息的任何修改、生成或管理来触发报告。举例来说，可以在 NAF102从BSF请求GBA密钥时触发报告。所得到的IRI可以包括正在 与UE101通信的NAF102的身份。在这种情况下，可以使得LEMF106 知晓用户正在与哪一项服务进行通信。在某些情况下，如果NAF102处在 网络的外部，则LEMF106可能无法访问该信息。

在一些实施例中，所述报告可以包括生成合法拦截的拦截相关信息 (IRI)。这例如可以是经过加密的有关参数，以及涉及UE101与NAF102 之间的内容加密的信息。在一些实施例中，IRI可以包括用以允许LEMF 106或者相关联的实体对所拦截的已加密数据进行解密的信息。

BSF103可以在发送IRI之前过滤其中的信息。举例来说，BSF可以 过滤LEMF106要求与用户相关联的所有GBA密钥还是仅仅与特定的 NAF102相关联的密钥。BSF103接收自LEMF106的触发信息可能已经 标识出对于哪些服务类型感兴趣。换句话说，可以在BSF103中预先配置 为之触发IRI的服务列表。该列表可能与国家有关。在其他实施例中， LEMF106可以要求把与用户相关联的所有密钥都包括在IRI中。

在一些实施例中，在接收到来自第一网络实体107的触发信息时，可 能已经为用户生成了GBA密钥。在这种情况下，可以立即触发IRI的报 告，以便提供正由用户使用的密钥。在一些实施例中，BSF103并不存储 与用户密钥相关联的所有参数。但是BSF可以基于从中导出所有应用特定 密钥的主导密钥重新生成用户的密钥。

可以向第二网络实体108提供IRI。在一些实施例中，可以通过BSF 103与第二网络实体108之间的X2接口提供IRI。该第二网络实体105和 X2接口提供去到LEMF106的拦截相关信息递送路径。第二网络实体108 随后可以向LEMF106提供IRI。

图2示出了在一些实施例中中实施的方法步骤的流程图的一个实例。

在步骤201处，BSF103可以接收来自LEMF106的触发信息。该触 发信息可以是通过X1_1接口接收自与LEMF106相关联的第一网络实体 107。所述触发信息例如可以包含以下各项的至少其中之一：用户的身份， 一项或更多项服务的身份，以及触发事件的类型。

在步骤202处，BSF103确定是否应当生成拦截相关信息(IRI)。如 果确定应当生成IRI，例如所标识出的用户已经生成了密钥并且/或者已经 接收到来自用户和/或NAF102的针对密钥生成或管理的请求，则所述方 法继续到203。在步骤203处，发送所生成的IRI。

如果确定不应当生成IRI，例如如果没有满足触发条件，则BSF103 继续监测来自UE101和NAF102的请求直到满足触发条件为止，并且生 成IR。

图1和2示出了与从通用自举架构的BSF103向合法拦截实体提供安 全性信息有关的实施例。应当认识到，在一些实施例中，可以附加地由NAF 102向LEMF106提供安全性信息。在这些实施例中，可以在NAF102与 第一和第二网络实体107和108之间提供接口。

前面描述了由LEMF106对于例如密钥信息之类的安全性信息的合法 拦截。应当认识到，还会发生对于通信内容的合法拦截。举例来说，在合 法拦截来自BSF103和(在一些实施例中还有)NAF102的安全性信息的 同时，还拦截UE101与NAF102之间的通信内容。

在一些实施例中，这一拦截可以在UE101与NAF102之间的Ua接 口上发生。举例来说，通信可以由GGSN和/或SSGN拦截，并且通过第 二网络实体108被提供到LEMF106。在其他实施例中，NAF102可以实 施对于UE101与NAF102之间的数据的合法拦截。

图4到6示出了NAF102实施数据拦截的实例。

在另一个实施例中，除了向BSF提供触发信息之外，还可以从第一合 法拦截网络实体向NAF提供该触发信息。触发信息可以向NAF表明将要 报告哪些安全性信息。附加地或替换地，触发信息可以表明将要拦截哪些 信息。可以在NAF处拦截UE与NAF之间的通信的数据，并且NAF可 以为合法拦截实体生成IRI报告。在这种情况下，不需要在Ua接口上拦 截数据通信，但是应当认识到，在一些实施例中，可以在Ua接口(例如 通过SSGN/GGSN)以及NAF上实施拦截。图3示出了网络的一个实例， 其中NAF被配置成向合法拦截实体报告安全性信息和/或数据通信。应当 认识到，图3的网络可以类似于图1的网络，并且相同的附图标记被用来 描述相同的单元。

图3的网络包括UE101、NAF102、BSF103、SLF105和HSS104。 此外，所述网络还包括LEMF106、第一合法拦截(LI)网络实体107、 第二LI网络实体108和第三LI网络实体301。

第一LI网络实体107可以被配置成向网络的其他实体提供LI控制信 息。所述控制信息可以包括与何时将生成合法拦截报告有关的信息，将为 之拦截信息的用户的身份，服务的身份，以及/或者将要拦截的信息的类型。

第二LI实体108可以被配置成接收涉及将要拦截的UE101与NAF 102之间的通信的安全性信息。第二LI实体还可以向LEMF106提供该信 息。该信息例如可以采取LIIRI的形式，并且包括例如密钥、安全性参数 之类的信息和/或其他信息，从而可以允许LEMF106或者相关联的实体解 密所拦截的通信。

第三LI实体301可以被配置成接收所拦截的通信，例如UE101与 NAF102之间的所拦截的通信。第三LI实体301可以通过X3接口接收例 如所拦截的通信之类的信息。第三LI实体301还可以被配置成向LEMF 106提供所拦截的通信。

在图3的实施例中，除了向BSF103提供触发信息之外，第一LI网 络实体107还可以向NAF102提供触发信息。NAF102可以是用户正与之 通信的应用服务器，例如UE101可能正通过接口Ua与NAF102进行通 信。NAF102可以基于触发信息识别LEMF106对于哪些安全性信息以及 哪些数据通信感兴趣。举例来说，NAF102可以使用用户的身份或者通信 的类型来识别与该用户相关联的密钥或其他安全性信息，并且将其提供到 LEMF106。该信息可以被提供到第二LI网络实体108。

NAF102还可以识别NAF102与UE101之间的数据通信。NAF102 随后可以拦截所识别出的数据通信，并且将其提供到第三LI网络实体301。 可以通过X3接口来提供所拦截的数据通信。

在图3的实施例中，BSF103和NAF102都可以向LEMF106提供安 全性信息。BSF103和NAF102都可以与第一LI网络实体107通信以便 接收触发信息，并且都可以与第二LI网络实体108通信以便提供安全性 信息。NAF102还可以被配置成拦截数据通信并且与第三LI网络实体301 通信，以便提供所拦截的数据通信。

图4示出了可以根据该实施例实施的方法步骤的一个实例。

在步骤401处，接收触发信息。该信息可以是接收自第一LI网络实 体107。应当认识到，BSF103和NAF102都可以接收该信息。

在步骤402处，生成一份或更多份IRI报告。所述报告可以包括由在 步骤401处接收到的触发信息所标识出的安全性信息。所述报告可以由 BSF103和NAF102全部二者生成。但是在一些实施例中，触发信息可以 标识出将要发送的安全性信息的类型，并且可以确定将由BSF103和/或 NAF102当中的哪一个生成IRI报告。可以将所述一份或更多份IRI报告 发送到第二LI网络实体108。例如可以通过第二LI网络实体108与BSF 103和NAF102之间的X2接口来发送所述报告。

在步骤403处，可以生成包含涉及所拦截的数据的信息的另一份IRI 报告。NAF102可以基于触发信息来拦截通信数据。NAF102可以生成对 应于所拦截的该信息的IRI报告，并且可以向第三LI网络实体301发送 所述IRI报告。应当认识到，每当UE101和NAF102传送由触发信息标 识出的数据时，可以实施步骤403。例如在一些实施例中，可以在UE101 与NAF102之间拦截所有通信数据，并且可以针对所拦截的该数据生成一 份或更多份IRI报告。

在图3所示出的实施例中，可以向BSF103和NAF102全部二者提供 LI触发信息和有关的激活数据。可以向BSF103提供关于GBA密钥生成 和密钥使用事件的LI事件报告。NAF还可以提供关于GBA密钥使用和 有关的应用参数的LI事件报告。在一些实施例中，BSF103和NAF102 可以处在相同的运营商域内。在其中BSF103和NAF102处在分开的网络 中并且在全部两个网络中都激活合法拦截的实施例中，则可以通过更少的 努力来解密受到GBA保护的通信内容，这是因为连同所拦截的内容一起 还从NAF提供了GBA密钥。

图5示出了网络的另一个实施例。在图5中，NAF102可以接收触发 信息，并且生成对应于安全性信息的IRI报告以及对应于所拦截的数据的 IRI报告。但是取代直接从第一LI网络实体107接收触发信息，NAF可 以从BSF103接收触发信息。

图5的网络包括UE101、NAF102、BSF103、HSS104和SLF105。 所述网络还包括LEMF106、第一LI网络实体107、第二LI网络实体108 和第三LI网络实体301。应当认识到，这些实体可以类似于前面的附图标 记相同的实体。

在图5的实施例中，BSF103可以从第一LI网络实体107接收触发信 息，并且向第二LI网络实体108提供对应于安全性信息的IRI报告。NAF 102可以接收触发信息，并且向第二LI网络实体提供对应于安全性信息的 IRI报告。NAF102还可以拦截通信数据，并且向第三LI网络实体301发 送对应于所拦截的信息的IRI报告。

在图5的实施例中，BSF103接收来自第一LI网络实体107的触发信 息，并且随后向NAF102提供对应于所述触发信息的信息。这可以通过 BSF103与NAF102之间的接口来提供。该接口例如可以是Xgba接口。

图6示出了根据该实施例实施的方法步骤的一个实例。

在步骤601处，由BSF103接收触发信息。可以通过X1_1接口从第 一LI网络实体107接收触发信息。BSF103可以确定触发信息涉及哪一项 服务。在步骤702处，BSF可以向NAF102提供与触发信息有关的信息。 在一些实施例中，提供给NAF102的信息可以类似于由BSF103接收到的 触发信息。在其他实施例中，BSF103可以生成包括对应于NAF102的相 关触发信息的新的消息。

在步骤603处，可以生成包括安全性信息的一份或更多份IRI报告。 所述一份或更多份IRI报告可以由BSF103和NAF102生成，并且可以通 过X2接口被提供到第二LI网络实体。

在步骤604处，NAF102可以拦截UE101与NAF102之间的相关的 数据通信，并且生成对应于所生成的信息的IRI报告。

应当认识到，虽然NAF102被描述成生成包含安全性信息的IRI报告 和对应于所拦截的数据的IRI报告全部二者，但是在一些实施例中，NAF 102可以被配置成仅生成对应于所拦截的数据的IRI报告，并且LEMF106 可能只需要来自BSF103的安全性信息。关于图5和6所描述的实施例引 入了BSF103与NAF102之间的接口，以便基于触发信息来触发NAF102 中的拦截。该Xgba接口可以在从BSF103请求GBA密钥之后触发NAF 102中的拦截。在该实施例中，可能不需要NAF102中的初步合法干扰激 活。

图7和8示出了网络的另一个实施例，其中向NAF102而不是BSF103 提供触发信息。在这种情况下，NAF102可以提示第二LI网络实体108 从BSF103请求安全性信息。

图7的网络包括UE101、NAF102、BSF103、HSS104和SLF105。 所述网络还包括LEMF106、第一LI网络实体107、第二LI网络实体108 和第三LI网络实体301。应当认识到，这些实体可以类似于前面的附图标 记相同的实体。

NAF102可以接收来自第一LI网络实体107的触发信息。这可以是 通过第一LI网络实体107与NAF102之间的X1_1接口。类似于前面的 实施例，NAF102可以例如通过NAF102与第二LI网络实体108之间的 X2接口向第二LI网络实体108提供与安全性信息有关的IRI报告。NAF 102还可以生成与所拦截的信息有关的IRI报告并且将其发送到第三LI网 络实体301。

响应于来自NAF102的IRI报告或其他指示，第二LI网络实体108 可以触发在BSF103中生成IRI报告，这是通过BSF103与第二LI网络 实体108之间的接口向BSF发送请求或触发信息而实现的。BSF103可以 生成并且发送对应于安全性信息的IRI报告。

图8示出了可以根据该实施例来实施的方法步骤。

在步骤801处，NAF102可以接收来自第一LI网络实体107的触发 信息。在步骤802处，NAF102可以响应于接收到触发信息生成IRI报告， 并且向第二LI网络实体108发送IRI报告。

在一些实施例中，IRI报告可以包括来自NAF102的安全性信息。在 其他实施例中，所述报告可以包括用以提示第二LI网络实体108从BSF 103请求安全性信息的信息。来自NAF102的包含安全性信息的IRI报告 可以充当针对BSF103的提示，以便从BSF103请求安全性信息。

在步骤803处，第二LI网络实体108从BSF103请求安全性信息。 所述请求可以采取例如标识为之请求安全性信息的UE101和/或服务的触 发信息的形式。可以通过BSF103与第二LI网络实体108之间的Xgba 接口发出所述请求。

响应于来自第二LI网络实体108的请求，BSF103可以在步骤804处 生成包括所请求的信息的IRI报告。

在步骤805处，NAF102可以拦截UE101与NAF102之间的数据通 信，并且生成对应于所拦截的信息的IRI报告。

在一些实施例中中，可以从第一LI网络实体在NAF102中直接激活 合法拦截。在一个实施例中，响应于触发信息，NAF102可以从BSF103 请求对应于通信的GBA密钥，并且随后将这些密钥连同特定于应用的细 节一起提供到第二LI网络实体108。第二LI网络实体随后可以例如通过 LEMF106向拦截执法机构递送加密参数。如果通信在NAF的控制之下， 则NAF102也可以拦截通信。

作为针对由NAF102提供安全性信息的替换方案，NAF102可以向第 二LI网络实体102提供触发信息，并且基于该信息第二LI网络实体可以 向BSF103请求关于特定于NAF的安全性信息。在该实施例中，提供第 二LI网络实体108与BSF103之间的接口。在该实施例中，NAF102和 BSF103可以处在相同的网络运营商域内。

虽然NAF102和BSF103都被描述成生成涉及安全性信息的IRI报告， 但是应当认识到，在一些实施例中，这些报告的内容可以不同。举例来说， BSF103可以提供在UE101与NAF102之间的通信中使用的安全性密钥， 而NAF102则可以提供与NAF102所提供的应用有关的特定于应用的数 据。在一些实施例中，将确定NAF102和BSF103是否都必须提供安全性 信息。在一些实施例中，仅有这些实体当中的一个将提供安全性信息。

虽然在前面将第一、第二和第三LI网络实体描述成分开的网络实体， 但是应当认识到，在一些实施例中，其可以形成单一网络实体的不同功能。 还应当认识到，第一、第二和第三网络实体还可以被提供成现有网络实体 的一部分。在这里还应当提到的是，虽然前面描述了示例性实施例，但是 在不背离本发明的范围的情况下，可以对所公开的解决方案作出几种改变 和修改。

一般来说，各个实施例可以用硬件或专用电路、软件、逻辑或者其任 意组合来实施。所述实施例的一些方面可以用硬件实施，其他方面则可以 用固件或软件来实施，所述固件或软件可以由控制器、微处理器或其他计 算装置来执行，但是本发明不限于此。虽然本发明的各个方面可能被图示 并描述为方框图、流程图或者利用某种其他图形表示来描述，但是很好理 解的是，作为非限制性实例，这里所描述的这些方框、设备、系统、技术 或方法可以用硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或 其他计算装置或者其某种组合来实施。

一些实施例可以通过可由移动装置的数据处理器执行的计算机软件例 如在处理器实体中实施，或者通过硬件来实施，或者通过软件与硬件的组 合来实施。

在这方面还应当提到的是，附图中的逻辑流程的任何方框可以代表程 序步骤，或者互连的逻辑电路、块和功能，或者程序步骤与逻辑电路、块 和功能的组合。软件可以被存储在物理介质上，比如存储器芯片，实施在 处理器内的存储器块，比如硬盘或软盘之类的磁性介质，以及例如DVD 及其数据变型CD之类的光学介质。

存储器可以是适合于本地技术环境的任何类型，并且可以利用任何适 当的数据存储技术来实施，比如基于半导体的存储器装置、磁性存储器装 置和系统、光学存储器装置和系统、固定存储器以及可移除存储器。

此外，虽然可能利用与特定网络实现方式(例如根据3G3PP网络) 相关联的实体描述了一些实施例，但是应当认识到，所述实施例可以被实 施在其他网络中并且由不受限于特定网络实现方式的网络实体实施。

前面的描述通过举例的方式并且作为非限制性实例提供了关于本发明 的示例性实施例的全面并且信息丰富的描述。但是在结合附图和所附权利 要求书阅读前面的描述时，相关领域技术人员可以想到许多修改和适配。 但是本发明的教导的所有此类以及类似的修改都将仍然落在由所附权利要 求书限定的本发明的范围内。实际上，还有包括前面所讨论的其中一个或 更多或者任何其他实施例的组合的另外的实施例。