针对加密的、转码媒体的拦截的制作方法

本发明的实施例大体上涉及移动通信网络，诸如但不限于通用移动电信系统（umts）、陆地无线电接入网络（utran）、长期演进（lte）演进utran（e-utran）。其他实施例通常涉及基于ip多媒体系统（基于ims）的ip语音（voip）的通信的合法拦截。例如，一些实施例涉及包括针对加密的、转码的（transcoded）媒体的拦截的通信的拦截。

背景技术：

合法拦截（li）通常可以指拦截通信（包括私人个人的通信）的合法授权过程。第三代合作伙伴计划（3gpp）ts33.107和ts33.108定义了用于3gpp网络架构和3gpp定义服务的li、内部和外部li接口。

技术实现要素：

一个实施例针对一种方法，所述方法可以包括标识提供呼叫内容拦截的网络节点。在实施例中，该方法还可以包括确定在网络节点处的呼叫内容拦截的位置处使用的编解码器类型。在另一个实施例中，该方法还可以包括将在网络节点处的呼叫内容拦截的位置处使用的编解码器类型的匹配编解码器发送到通信网络中的递送功能。

在实施例中，网络节点可以包括分组数据网络网关或ip多媒体系统接入网关。在实施例中，该方法还可以包括确定网络节点处的呼叫内容拦截的位置。

在实施例中，ip多媒体系统接入网关处的呼叫内容拦截的位置可以包括入口侧和出口侧。

在实施例中，该方法还可以包括：如果在分组数据网络网关处或在ip多媒体系统接入网关的入口侧处进行呼叫内容拦截，则将会话描述协议安全性描述密钥发送到递送功能，并且如果在ip多媒体系统接入网关的出口侧处进行呼叫内容拦截，则不发送会话描述协议安全性描述密钥。

在实施例中，该方法还可以包括：如果在分组数据网络网关、ip多媒体系统接入网关的入口侧、或ip多媒体系统接入网关的出口侧处进行呼叫内容拦截，则将会话描述协议安全性描述密钥发送到递送功能。

在实施例中，如果呼叫内容以解密形式被拦截，则会话描述协议安全性描述密钥不被发送到递送功能。

另一个实施例针对一种装置，所述装置包括至少一个处理器以及包括计算机程序代码的至少一个存储器。在实施例中，至少一个存储器和计算机程序代码可以利用至少一个处理器被配置为使得所述装置至少标识提供呼叫内容拦截的网络节点。在实施例中，至少一个存储器和计算机程序代码还可以利用至少一个处理器被配置为使得所述装置至少确定在网络节点处的呼叫内容拦截的位置处使用的编解码器类型。在实施例中，至少一个存储器和计算机程序代码还可以利用至少一个处理器被配置为使得所述装置至少将在网络节点处的呼叫内容拦截的位置处使用的编解码器类型的匹配编解码器发送到通信网络中的递送功能。

另一个实施例针对一种装置，所述装置包括用于标识提供呼叫内容拦截的网络节点的标识部件。在实施例中，该装置还可以包括用于确定在网络节点处的呼叫内容拦截的位置处使用的编解码器类型的确定部件。在实施例中，该装置还可以包括发送部件，所述发送部件用于将在网络节点处的呼叫内容拦截的位置处使用的编解码器类型的匹配编解码器发送到通信网络中的递送功能。

在实施例中，网络节点可以包括分组数据网络网关或ip多媒体系统接入网关。在实施例中，该装置还可以包括用于确定网络节点处的呼叫内容拦截的位置的确定部件。

在实施例中，ip多媒体系统接入网关处的呼叫内容拦截的位置包括入口侧和出口侧。在实施例中，该装置还可以包括发送部件，所述发送部件用于如果在分组数据网络网关处或在ip多媒体系统接入网关的入口侧处进行呼叫内容拦截则将会话描述协议安全性描述密钥发送到递送功能，并且如果在ip多媒体系统接入网关的出口侧处进行呼叫内容拦截则不发送会话描述协议安全性描述密钥。

在实施例中，该装置还可以包括发送部件，所述发送部件用于如果在分组数据网络网关、ip多媒体系统接入网关的入口侧、或ip多媒体系统接入网关的出口侧处进行呼叫内容拦截则将会话描述协议安全性描述密钥发送到递送功能。

在实施例中，如果呼叫内容以解密形式被拦截，则会话描述协议安全性描述密钥不被发送到递送功能。

另一个实施例可以针对体现在非暂时性计算机可读介质上的计算机程序，该计算机程序被配置为控制处理器执行上述的方法。

另一个实施例针对一种方法，所述方法可以包括从通信网络中的网络节点接收在媒体节点处的呼叫内容拦截的位置处使用的编解码器类型的匹配编解码器。在实施例中，该方法还可以包括将匹配编解码器发送到执法机构。

在实施例中，该方法还可以包括从网络节点接收会话描述协议安全性描述密钥。在实施例中，该方法还可以包括在向执法机构发送媒体信息之前移除作为从网络节点接收到的媒体信息的重复的从服务呼叫状态控制功能接收到的媒体信息。

在实施例中，该方法还可以包括将会话描述协议安全性描述密钥发送到第二递送功能。在实施例中，网络节点可以包括代理呼叫状态控制功能、互通（interworking）边界控制功能或媒体网关控制功能。

另一个实施例针对一种装置，所述装置可以包括至少一个处理器以及包括计算机程序代码的至少一个存储器。在实施例中，至少一个存储器和计算机程序代码可以利用至少一个处理器被配置为使得所述装置至少从通信网络中的网络节点接收在媒体节点处的呼叫内容拦截的位置处使用的编解码器类型的匹配编解码器。在实施例中，至少一个存储器和计算机程序代码还可以利用至少一个处理器被配置为使得所述装置至少将匹配编解码器发送到执法机构。

另一个实施例针对一种装置，所述装置可以包括接收部件，所述接收部件用于从通信网络中的网络节点接收在媒体节点处的呼叫内容拦截的位置处使用的编解码器类型的匹配编解码器。在实施例中，该装置还可以包括发送部件，所述发送部件用于将匹配编解码器发送到执法机构。

在实施例中，该装置还可以包括用于从网络节点接收会话描述协议安全性描述密钥的接收部件。在实施例中，该装置还可以包括用于在向执法机构发送媒体信息之前移除作为从网络节点接收到的媒体信息的重复的从服务呼叫状态控制功能接收到的媒体信息的移除部件。

在实施例中，该装置还可以包括用于将会话描述协议安全性描述密钥发送到第二递送功能的发送部件。在实施例中，网络节点可以包括代理呼叫状态控制功能、互通边界控制功能或媒体网关控制功能。

另一个实施例针对体现在非暂时性计算机可读介质上的计算机程序，该计算机程序被配置为控制处理器执行上述的方法。

附图说明

为了恰当理解本发明，应参考附图，其中：

图1图示了用于imsvoip拦截的示例系统。

图2图示了具有媒体转码的cc拦截的三个示例。

图3图示了具有e2ae加密和转码的cc拦截的三个示例。

图4图示了具有e2e加密和转码的cc拦截的三个示例。

图5图示了没有媒体的转码的cc拦截的三个示例。

图6图示了具有e2e加密并且没有媒体的转码的cc拦截的三个示例。

图7图示了具有e2ae加密并且没有转码的cc拦截的三个示例。

图8图示了根据某些实施例的cc拦截的示例。

图9图示了根据某些实施例的具有媒体转码的cc拦截的三个示例。

图10图示了根据某些实施例的具有e2ae加密和转码的cc拦截的三个示例。

图11图示了根据某些实施例的具有e2e加密和转码的cc拦截的三个示例。

图12图示了根据某些实施例的没有媒体的转码的cc拦截的三个示例。

图13图示了根据某些实施例的没有媒体的转码但是具有e2e加密的cc拦截的三个示例。

图14图示了根据某些实施例的没有媒体的转码但是具有e2ae加密的cc拦截的三个示例。

图15图示了根据某些实施例的没有媒体的转码的cc拦截的两个示例。

图16图示了根据某些实施例的具有e2ae加密和转码的cc拦截的webrtc示例。

图17图示了具有e2e加密的cc拦截（mikey票据（ticket））的三个示例。

图18图示了根据某些实施例的系统。

图19图示了根据某些实施例的具有附加组件的图18的系统。

图20图示了根据某些实施例的装置。

图21图示了根据某些实施例的另一装置。

图22图示了根据某些实施例的方法。

图23图示了根据某些实施例的另一种方法。

图24图示了根据某些实施例的另一种方法。

图25图示了根据某些实施例的另一种方法。

图26图示了根据某些实施例的另一种方法。

具体实施方式

遍及本说明书描述的本发明的特征、结构或特性可以以任何合适的方式在一个或多个实施例中组合。例如，短语“某些实施例”、“一些实施例”或其他类似语言遍及本说明书的使用是指结合该实施例所描述的特定特征、结构或特性可以被包括在本发明的至少一个实施例中的事实。

因此，短语“在某些实施例中”、“在一些实施例中”、“在其他实施例中”或其他类似语言遍及本说明书的出现并不一定都指代相同组的实施例，并且所描述的特征、结构或特性可以以任何合适的方式在一个或多个实施例中组合。此外，如果期望，下面讨论的不同功能可以以不同的次序执行和/或彼此同时地执行。此外，如果期望，所描述的功能中的一个或多个可以是可选的或可以被组合。照此，以下描述应被认为仅仅是本发明的原理、教导和实施例的说明，而不是其限制。

图1图示了如在3gppts33.107中描述的以摘要级别的imsvoipl1的整体概念。图1中所注释的拦截相关信息（iri）拦截控制元件（ice）是iri拦截控制功能。通信内容（cc）ice是提供拦截的媒体节点。

根据当前标准，在非漫游场景中，iri可以在服务呼叫状态控制功能（s-cscf）处以及可选地在代理呼叫状态控制功能（p-cscf）处被拦截。在漫游场景中，当被访问的通信服务提供商（csp）具有拦截命令时，iri可以在p-cscf处被拦截。

取决于呼叫场景并且有时还取决于部署场景，cc可以在特定媒体节点处被拦截。cc可以在分组数据网络网关（pdn-gw）、网关通用分组无线电业务支持节点（ggsn）或用于基本呼叫和csp内转发呼叫的ip多媒体系统接入网关（ims-agw）处被拦截。cc还可以在用于csp间转发呼叫（到cs域中的用户）的ip多媒体系统媒体网关（im-mgw）处、以及在用于csp间转发呼叫（到ims域中的用户）的中转网关（trgw）处、以及在用于入站漫游目标的被访问csp中被拦截。

取决于执行cc拦截的媒体节点，可以在ims会话发起协议（sip）信令节点之一中生成用于cc拦截的触发。例如，对于在pdn-gw、ggsn和ims-agw处执行的cc拦截，p-cscf可以发送触发。对于在im-mgw处执行的cc拦截，媒体网关控制功能（mgcf）可以发送触发。此外，对于在trgw处执行的cc拦截，互通边界控制功能（ibcf）可以发送触发。

在ims会话的参与者之间交换的包括呼叫内容的媒体可以端到端（e2e）或者端到接入边缘（e2ae）加密。在呼叫的两端不使用相同的编解码器的事件中，网络可以在媒体节点之一中执行转码。对于加密媒体，3gpp标准定义了向执法机构（lea）的cc递送的两个选项：（1）以加密形式递送cc，其中通过iri递送加密密钥；和（2）以解密形式递送cc，其中递送功能3（df3）执行媒体解密。

当媒体被e2e加密时，并且当csp不知道加密密钥时，csp不得不以加密形式递送cc。当csp觉知加密密钥时，lea已经指示它们的偏好是以解密形式接收cc。在上面指示的选项2中，递送功能2（df2）可以将加密密钥递送到df3，以便允许df3执行解密。

li标准有限提及e2ae加密场景，但是没有提及由于转码引起的li影响。本文提出的某些实施例描述了一种用于web（网络）实时通信（webrtc）的cc拦截的方法，其中e2ae加密用于媒体。

根据当前标准，当在s-cscf处进行iri拦截时，在利用将sdp安全性描述（sdes，rfc4568）用于密钥管理的安全rtp（srtp，rfc3711）端到端加密媒体的事件中，由s-cscf报告的会话描述协议（sdp）信息可以在a=crypto属性中携带用于媒体的编解码器信息和安全实时协议（srtp）主密钥。然而，在其中在ims-agw处进行转码的情况下，在sdp（来自s-cscf）中报告的编解码器信息可能与由被拦截的媒体所使用的编解码器不匹配。

图2图示了具有媒体转码的cc拦截的三个示例。在该示例中，媒体在ims-agw处被转码。在目标和ims-agw之间使用编解码器1，并且在ims-agw与通信的其他方之间使用编解码器2。此外，cc的三个可能的拦截点在图2中示出。在情况1中，cc拦截在p-gw（也称为pdn-gw）处进行。在情况2中，在转码之前，在ims-agw处进行cc拦截。在情况3中，在转码之后，在ims-agw处进行cc拦截。与根据情况1和情况2拦截的cc相关联的编解码器是编解码器1。此外，与根据情况3拦截的cc相关联的编解码器是编解码器2。在iri（来自s-cscf）中递送的编解码器信息是编解码器2。

如在图2中可以看出，在p-gw处或在ims-agw处（在转码之前）拦截的cc中使用的编解码器与在iri消息中报告的编解码器信息不匹配。在此情况下，lea可能难以处理来自接收到的cc的媒体。此外，当在ims-agw处拦截cc时，3gpp标准未定义确切在哪里执行拦截（在转码之前或之后）。

图3图示了具有e2ae加密和转码的cc拦截的三个示例。在该示例中，转码场景与图2中的相同。此外，在该示例中，媒体从目标直到ims-agw被加密。如图2所示，存在针对cc的三个可能的拦截点。s-cscf将iri发送到df2，其包括包含编解码器2信息的sdp信息。

如在图3中可以看出，cc在情况1和情况2中以加密形式被拦截，并且在情况3中以解密形式被拦截。在图3中，s-cscf不具有sdes密钥。在其中在ims-agw处执行cc拦截的情况下，3gpp标准未定义确切在哪里执行拦截（在加密之前或之后）。此外，在其他实施例中，还可以使用用于srtp的其他密钥管理协议（诸如在webrtc的情况下使用的数据报传输层安全性（dtls，rfc5764））来进行e2ae加密。

图4图示了具有e2e加密和转码的cc拦截的三个示例。在该示例中，转码场景与图2中的相同，但是由于媒体被e2e加密，所以ims-agw对媒体进行解密，并执行转码，然后对媒体重新加密。如图1中那样，cc的三个可能的拦截点在图4中示出。s-cscf将iri发送到df2。iri还包括包含编解码器2信息的sdp信息。此外，s-cscf将sdes密钥递送到df2，其继而将sdes密钥传递给df3。

如在图4中可以看出，在所有三种情况中，cc以加密形式被拦截。在该示例中，与在p-gw处或在ims-agw处（在转码之前）拦截的cc相关联的编解码器与在iri消息中报告的编解码器信息不匹配。如图2所示的情况中那样，即使在此情况下，lea也可能难以处理来自接收到的cc的媒体。

在其中在ims-agw处执行cc拦截的情况下，3gpp标准未定义确切在哪里执行拦截（在加密之前或之后）。此外，ims-agw的两侧上的sdes密钥可以不同，并且s-cscf可以可访问用于在ims-agw和其他方之间加密媒体的sdes密钥。

在图2-4所示的示例中，如果在ims-agw的出口侧处拦截媒体（情况3），则与被拦截的cc相关联的编解码器将与在iri中递送的编解码器信息相匹配。此外，在图3中，媒体以解密形式被拦截（情况3），并且因此在s-cscf处不具有sdes密钥可能不是问题。在图4中，媒体以加密形式被拦截（情况3），但是在这种情况下，s-cscf确实具有密钥。此外，在其中cc在ims-agw的出口侧处被拦截的情况下，必须注意到被拦截的媒体不是发送到目标订户以及从目标订户接收的媒体。

3gpp标准大体上考虑了图5所示的其中不存在在媒体上执行的转码的情况。具体来说，图5图示了不具有媒体的转码的cc拦截的三个示例。在该示例中，媒体不被转码。在目标和ims-agw之间以及在ims-agw与通信的其他方之间使用编解码器1。三个可能的拦截点在图5中示出。在情况1中，cc拦截在p-gw处进行。在情况2和情况3中，cc拦截在ims-agw处进行。在所有三种情况中，与被拦截的cc相关联的编解码器是编解码器1。此外，在iri（来自s-cscf）中递送的编解码器信息是编解码器1。

如在图5中可以看出，在p-gw处或在ims-agw处拦截的cc中使用的编解码器与在iri消息中报告的编解码器信息相匹配。然而，如图2所示，这可能不是仅有的情况。

就涉及媒体加密而言，3gpp标准大体上考虑了图6所示的情况。特别地，图6图示了不具有媒体的转码的、具有e2e加密的cc拦截的三个示例。在该示例中，媒体被e2e加密并且不被转码。特别地，在目标和ims-agw之间使用编解码器1，并且在ims-agw和通信的其他方之间使用编解码器1。cc的三个可能的拦截点在图6中示出。在情况1中，cc拦截在p-gw处进行。在情况2和情况3中，cc拦截在ims-agw处进行。在所有三种情况中，与被拦截的cc相关联的编解码器是编解码器1。此外，在iri（来自s-cscf）中递送的编解码器信息是编解码器1。此外，s-cscf向df2提供sdes密钥，其继而将sdes密钥传递给df3。

如在图6中可以看出，与在p-gw处或在ims-agw处拦截的cc相关联的编解码器信息与在iri消息中报告的编解码器信息相匹配。s-cscf确实可访问sdes密钥。然而，如图4所示，这可能不是仅有的情况。

e2e加密还可以在用于srtp的其他密钥管理协议（诸如多媒体互联网密钥管理（mikey）（rfc6043））期间进行。假设在图5和图6所示的方法中没有进行转码。通过其中两个语句在讨论ims媒体平面安全性的条款中被添加到3gppts33.107的最近改变请求（cr）部分地解决了e2ae加密相关问题。

在一个语句中，如果使用安全性选项[25]的电信服务提供商（tsp）ims网络中的ice允许用普通文字（inclear）的通信的内容的拦截，则本条款不适用。在第二个语句中，当sdes在端到接入边缘模式中使用时，p-cscf应从sdp消息拦截sdes密钥，并应将它们递送到df2。

第一点解决情况3（其中cc以解密形式被拦截），并且因此3gppts33.107中描述的过程不适用。第二点解决情况1和情况2，并要求p-cscf将sdes密钥发送到df2。下面的图7表现了这一点，其中p-cscf将sdes密钥发送到df2，并且df2将sdes密钥递送到df3。

图7图示了具有e2ae加密并且不具有转码的cc拦截的三个示例。在该示例中，媒体从目标直到ims-agw被加密，并且在该示例中不涉及转码。此外，在图7中示出了cc的三个可能的拦截点。图7中的s-cscf将iri发送到df2，其包括包含编解码器1信息的sdp信息。根据最近对3gppts33.107的改变，p-cscf将sdes密钥发送到df2，其继而将相同的sdes密钥传递给df3。

如在图7中可以看出，与在p-gw处或在ims-agw处拦截的cc相关联的编解码器信息与在iri消息中报告的编解码器信息相匹配。此外，p-cscf将sdes密钥发送到df2。然而，如图3所示，这可能不是仅有的情况。

本发明的某些实施例可以包括cc拦截触发功能和cc拦截功能。cc拦截触发功能可以将cc拦截触发发送到cc拦截功能，并且因此cc拦截触发功能可以向df2提供与媒体有关的信息。这样的媒体信息可以包括sdes密钥和编解码器信息。cc拦截触发功能可以觉知是提供cc拦截的p-gw还是提供cc拦截的ims-agw的事实。在后一种情况下，cc拦截触发可以觉知执行cc拦截的是ims-agw的入口侧还是ims-agw的出口侧。因此，cc拦截触发功能可以向df2发送适当的媒体信息。

图8图示了根据某些实施例的cc拦截的示例。如图8所示，cc拦截触发功能可以向df2发送sdes密钥、编解码器信息和相关号。df2可以将sdes密钥转发到cc拦截功能，并将相关号和编解码器信息传递给lea。

在以解密形式拦截cc的事件中，cc拦截触发功能可以决定不将sdes密钥传递到df2。在某些实施例中提出的概念不限于在p-gw处或在ims-agw处执行的cc拦截的情况。例如，即使在trgw、im-mgw或在媒体资源功能（mrf）处执行cc拦截，在某些实施例中提出的概念也可以是适用的。概念可以修改voip拦截的迄今的概念，其中要理解，所有iri在非漫游场景中由s-cscf发送。根据实施例，cc拦截触发功能（根据某些实施例，其可以是p-cscf、ibcf、mgcf或s-cscf）可以将iri的一部分发送到df2。在将iri递送到lea之前，df2可以抑制从s-cscf接收到的类似信息。

本文提出的本发明的实施例不限于sdes密钥管理的情况。某些实施例可以应用于其中使用密钥管理的其他方法的情况。密钥管理的其他方法的示例可以包括其中从密钥管理服务（kms）检索（由df2）密钥的mikey票据的情况和其中密钥管理在与媒体的带内进行的用于webrtc的dtls-srtp的情况。在这些其他情况下，将sdes密钥传递到df2的cc拦截触发功能可能不适用。然而，在其中不需要将密钥从cc拦截功能传递到df2的所有那些其他情况下，cc拦截触发功能仍然可以将编解码器信息传递到df2。df2可以在发送到lea的iri消息中使用从cc拦截触发功能接收到的编解码器信息。

图9图示了根据某些实施例的具有媒体转码的cc拦截的三个示例。如图9所示，媒体在ims-agw处被转码。编解码器1在目标和ims-agw之间使用，并且编解码器2在ims-agw与通信的其他方之间发布。cc的三个可能的拦截点在图9中示出。在情况1中，cc拦截在p-gw（也称为pdn-gw）处进行。在情况2中，在转码之前，在ims-agw处进行cc拦截。在情况3中，在转码之后，在ims-agw处进行cc拦截。与根据情况1和情况2拦截的cc相关联的编解码器是编解码器1。此外，与根据情况3拦截的cc相关联的编解码器是编解码器2。p-cscf（cc拦截触发功能）将编解码器信息递送到df2，然后df2将该信息传递到lea。

如果在p-gw（情况1）或ims-agw的入口侧（情况2）处进行cc拦截，则p-cscf可以包括编解码器1作为发送到df2的媒体信息的一部分。此外，如果在ims-agw的出口侧（情况3）处进行cc拦截，则p-cscf可以包括编解码器2作为发送到df2的媒体信息的一部分。这使得由被拦截的cc所使用的编解码器能够与在iri消息中递送到lea的编解码器相匹配。图9还示出了s-cscf可以包括编解码器2作为其发送到df2的媒体信息的一部分，并且df2可以决定不将该信息传递到lea。

在实施例中，s-cscf可以抑制媒体信息被递送到df2。该实施例可能是有利的，因为df2不必采取移除从s-cscf接收到的媒体信息的附加的预防措施。

图10图示了根据某些实施例的具有e2ae加密和转码的cc拦截的三个示例。如图10所示，转码场景与图9中的相同。此外，在图10中，媒体从目标直到ims-agw被加密。如图9所示，cc的三个可能的拦截点在图10中示出。p-cscf（cc拦截触发功能）将编解码器信息递送到df2，然后df2将该信息传递到lea。如果需要，p-cscf还可以将sdes密钥信息传递到df2，并且df2可以将sdes密钥信息传递到df3。

如图10所示，cc在情况1和情况2中以加密形式被拦截，并且在情况3中以解密形式被拦截。如果在p-gw处（情况1）或在ims-agw的入口侧处（情况2）进行cc拦截，则p-cscf可以包括sdes密钥和编解码器1作为发送到df2的媒体信息的一部分。如果在ims-agw的出口侧处（情况3）进行cc拦截，则p-cscf还可以包括不具有sdes密钥的编解码器2作为发送到df2的媒体信息的一部分，因为cc未以加密形式被拦截。如图10所示，由被拦截的cc所使用的编解码器与在iri消息中递送到lea的编解码器相匹配。图10还示出了s-cscf包括编解码器2作为其发送到df2的媒体信息的一部分，并且df2可以决定不将该信息传递到lea。

在实施例中，s-cscf可以抑制媒体信息被递送到df2。该实施例可能是有利的，因为df2不必采取移除从s-cscf接收到的媒体信息的附加的预防措施。

图11图示了根据某些实施例的具有e2e加密和转码的cc拦截的三个示例。如图11所示，转码场景与图9中的相同。此外，在该示例中，媒体用e2e加密。然而，ims-agw执行媒体的转码。如图10所示，示出了cc的三个可能的拦截点。p-cscf（cc拦截触发功能）将编解码器信息递送到df2，然后df2将该信息传递到lea。p-cscf还将sdes密钥信息传递到df2，并且df2将相同的sdes密钥信息传递到df3。

如图11所示，在所有三种情况中以加密形式拦截cc。如果在p-gw处（情况1）或在ims-agw的入口侧处（情况2）进行cc拦截，则p-cscf包括sdes密钥和编解码器1作为发送到df2的媒体信息的一部分。此外，如果在ims-agw的出口侧处（情况3）进行cc拦截，则p-cscf包括sdes密钥和编解码器2作为发送到df2的媒体信息的一部分。由被拦截的cc所使用的编解码器与在iri消息中递送到lea的编解码器相匹配。图11还示出了s-cscf包括sdes密钥和编解码器2作为其发送到df2的媒体信息的一部分，并且df2可以决定不将这些信息传递到lea。df2还可以决定在与df3通信时不使用从s-cscf接收到的sdes密钥。

在实施例中，s-cscf可以抑制媒体信息被递送到df2。该实施例可能是有利的，因为df2不必采取移除从s-cscf接收到的媒体信息的附加的预防措施。因为p-cscf可以确定适当的sdes密钥并将其发送到df2，所以即使不同的sdes密钥跨ims-agw用于加密媒体中，该实施例也可以起作用。

本发明的某些实施例也可以适用于其中关于转码、拦截、编解码器的匹配或提供sdes密钥没有问题的其他情况中。例如，图12图示了不具有媒体的转码的cc拦截的三个示例。如图12所示，媒体不被转码也不被加密。在目标和ims-agw之间使用编解码器1，并且在ims-agw与通信的其他方之间使用编解码器1。此外，示出了cc的三个可能的拦截点。在情况1中，cc拦截在p-gw处进行。在情况2和情况3中，cc拦截在ims-agw处进行。在所有三种情况中，与被拦截的cc相关联的编解码器是编解码器1。p-cscf（cc拦截触发功能）将编解码器信息递送到df2，并且df2将该信息传递到lea。

如图12所示，在所有三种情况中，cc以未加密形式被拦截，并且不涉及转码。针对所有三种情况，p-cscf包括编解码器1作为发送到df2的媒体信息的一部分。此外，由被拦截的cc所使用的编解码器与在iri消息中递送到lea的编解码器相匹配。图12还示出了s-cscf包括编解码器1作为其发送到df2的媒体信息的一部分，并且df2可以决定不将该信息传递到lea。

在实施例中，s-cscf可以抑制媒体信息被递送到df2。该实施例可能是有利的，因为df2不必采取移除从s-cscf接收到的媒体信息的附加的预防措施。

图13图示了不具有媒体的转码但是具有e2e加密的cc拦截的三个示例。如图13所示，媒体被e2e加密，并且在该示例中不涉及转码。示出了三个可能的拦截点。在情况1中，cc拦截在p-gw处进行。在情况2和情况3中，cc拦截在ims-agw处进行。在所有三种情况中，与被拦截的cc相关联的编解码器是编解码器1。p-cscf（cc拦截触发功能）将编解码器信息递送到df2。p-cscf还将sdes密钥递送到df2，并且df2将该信息传递到lea。df2还将sdes密钥传递到df3。

如图13所示，在所有三种情况中以加密形式拦截cc，并且在此不涉及转码。针对所有三种情况，p-cscf包括sdes密钥和编解码器1作为发送到df2的媒体信息的一部分。此外，由被拦截的cc所使用的编解码器与在iri消息中递送到lea的编解码器相匹配。图13还示出了s-cscf包括sdes密钥和编解码器1作为其发送到df2的媒体信息的一部分。df2可以决定不将此信息传递到lea。

在实施例中，s-cscf可以抑制媒体信息被递送到df2。该实施例可能是有利的，因为df2不必采取移除从s-cscf接收到的媒体信息的附加的预防措施。因为p-cscf可以确定适当的sdes密钥并将其发送到df2，所以即使不同的sdes密钥跨ims-agw用于加密媒体中，该实施例也可以适用。

图14图示了不具有媒体的转码但是具有e2ae加密的cc拦截的三个示例。如图14所示，媒体从目标直到ims-agw被加密，并且不涉及转码。示出了cc的三个可能的拦截点。在所有三种情况中，与被拦截的cc相关联的编解码器是编解码器1。p-cscf（cc拦截触发功能）将sdes密钥（针对情况1和情况2）和编解码器信息递送到df2。df2将sdes密钥信息传递到df3，并且df2将编解码器信息传递到lea。

如图14所示，cc在情况1中和在情况2中以加密形式被拦截，并且在情况3中以未加密形式被拦截，并且不涉及转码。针对情况1和情况2，p-cscf包括sdes密钥和编解码器1作为发送到df2的媒体信息的一部分。p-cscf还包括编解码器1作为发送到df2的媒体信息的一部分。此外，由被拦截的cc所使用的编解码器与在iri消息中递送到lea的编解码器相匹配。图14还示出了s-cscf包括编解码器1作为其发送到df2的媒体信息的一部分，并且df2可以决定不将该信息传递到lea。

在实施例中，s-cscf可以抑制媒体信息被递送到df2。该实施例可能是有利的，因为df2不必采取移除从s-cscf接收到的媒体信息的附加的预防措施。

图15图示了不具有媒体的转码的cc拦截的两个示例。如图15所示，媒体不被转码。示出了cc的三个可能的拦截点，并示出了cc拦截的两个示例。在这两种情况中，由被拦截的cc所使用的编解码器是编解码器1。ibcf/mgcf（cc拦截触发功能）将编解码器信息递送到df2，并且df2将编解码器信息传递到lea。

如图15所示，在这两种情况中，cc以未加密形式被拦截，并且不涉及转码。ibcf/mgcf包括编解码器1作为发送到df2的媒体信息的一部分。由被拦截的cc所使用的编解码器与在iri消息中递送到lea的编解码器相匹配。图15还示出了s-cscf包括编解码器1作为其发送到df2的媒体信息的一部分，并且df2可以决定不将该信息传递到lea。

在实施例中，s-cscf可以抑制媒体信息被递送到df2。该实施例可能是有利的，因为df2不必采取移除从s-cscf接收到的媒体信息的附加的预防措施。即使媒体被加密或者在trgw/im-mgw处发生转码，该实施例也可以是适用的，因为ibcf/mgcf可以确定并发送适当的编解码器信息，并且如果需要，将sdes密钥发送到df2。

图16图示了具有e2ae加密和转码的cc拦截的webrtc示例。如图16所示，转码场景与图10中的相同，其中媒体从目标到webrtcims-agw被加密。与图10不同，示出了cc的仅一个可能的拦截点，其如图10中的情况3所示。webrtc-ims场景通常可以涉及转码，并且p-cscf（cc拦截触发功能）将编解码器2信息递送到df2以用于转发到lea。

如图16所示，cc以解密形式被拦截。情况1和情况2（图10所示）不能应用于webrtc-ims情况，因为带内dtls密钥管理用于srtp。此外，密钥在sip信令级别处不可用，并且因此不能传递到df2，并且不能传递到lea。换句话说，cc的解密不能在df3处进行；cc也不能以加密形式递送到lea。因此，cc拦截以解密形式在webrtcims-agw的出口侧处进行。p-cscf包括不具有密钥的编解码器2作为发送到df2的媒体信息的一部分。由被拦截的cc所使用的编解码器与在iri消息中递送到lea的信息相匹配。

图16还示出了s-cscf包括编解码器2作为其发送到df2的媒体信息的一部分。df2可以决定不将此媒体信息传递到lea。此外，在实施例中，s-cscf可以抑制媒体信息被递送到df2。

图17图示了具有e2e加密的cc拦截（mikey票据）的三个示例。如图17所示，媒体被e2e加密，并且不涉及转码。示出了cc的三个可能的拦截点。在情况1中，cc拦截在p-gw处进行。在情况2和情况3中，cc拦截在ims-agw处进行。在所有三种情况中，与被拦截的cc相关联的编解码器是编解码器1。此外，p-cscf（cc拦截触发功能）将编解码器信息递送到df2，并且df2将编解码器信息递送到lea。在该示例中，p-cscf不递送密钥，因为利用mikey票据方法，密钥在kms处可用。此外，df2从kms检索密钥。

如图17所示，在所有三种情况中，cc以加密形式被拦截，并且不涉及转码。针对所有三种情况，p-cscf包括编解码器1作为发送到df2的媒体信息的一部分。此外，由被拦截的cc所使用的编解码器与在iri消息中递送到lea的编解码器相匹配。图17还示出了df2从kms检索密钥信息，并将检索到的密钥传递到df3。图17还示出了s-cscf包括编解码器1作为其发送到df2的媒体信息的一部分，并且df2可以决定不将信息传递到lea。

在实施例中，s-cscf可以抑制媒体信息被递送到df2。该实施例可能是有利的，因为df2不必采取移除从s-cscf接收到的媒体信息的附加的预防措施。

图18和19图示了根据某些实施例的系统的示例。在一个实施例中，系统可以包括多个设备，诸如例如至少一个ue110、至少一个p-cscf120、至少一个s-cscf130、至少一个df140、至少一个pdn-gw150、至少一个ims-agw160、至少一个ibcf170、至少一个mgcf180、至少一个im-mgw190和至少一个trgw200。其他配置也是可能的。

ue110可以是诸如蜂窝电话、智能电话、个人数字助理、台式计算机、个人计算机、膝上型计算机、迷你平板计算机、平板计算机等之类的任何终端设备。

这些设备中的每一个可以包括分别被指示为114、124、134、144、154、164、174、184、194和204的至少一个处理器。可以在每个设备中提供至少一个存储器，并且分别被指示为115、125、135、145、155、165、175、185、195和205。存储器可以包括其中包含的计算机程序指令或计算机代码。处理器114、124、134、144、154、164、174、184、194和204以及存储器115、125、135、145、155、165、175、185、195和205或其子集可以被配置为提供对应于图9-17和20-26所示的各种块和过程的部件。

如图18和19所示，可以提供收发机116、126、136、146、156、166、176、186、196和206，并且每个设备还可以包括分别图示为117、127、137、147、157、167、177、187、197和207的天线。例如，也可以提供这些设备的其他配置。

收发机116、126、136、146、156、166、176、186、196和206可以各自独立地是发送机、接收机、或发送机和接收机两者、或者被配置用于发送和接收两者的单元或设备。例如，收发机116、126、136、146、156、166、176、186、196和206可以被配置为将信息调制到载波波形上以供天线117、127、137、147、157、167、177、187、197和207的发送，并且解调经由天线117、127、137、147、157、167、177、187、197和207接收到的信息以供图18和19中所示的系统的其他元件的进一步处理。在其他实施例中，收发机116、126、136、146、156、166、176、186、196和206可能能够直接发送和接收信号或数据。

处理器114、124、134和144可以由诸如中央处理单元（cpu）、专用集成电路（asic）或类似设备之类的任何计算或数据处理设备体现。处理器可以被实现为单个控制器或多个控制器或处理器。处理器还可以执行与系统的操作相关联的功能，包括但不限于天线增益/相位参数的预编码、形成通信消息的单独比特的编码和解码、信息的格式化、和系统的整体控制，包括与通信资源的管理相关的过程。

存储器115、125、135、145、155、165、175、185、195和205可以独立地是任何合适的存储设备，诸如非暂时性计算机可读介质。可以使用硬盘驱动器（hdd）、随机存取存储器（ram）、闪速存储器或其他合适的存储器。存储器可以与处理器组合在单个集成电路上，或者可以与一个或多个处理器分离。此外，存储在存储器中并且可以由处理器处理的计算机程序指令可以是任何合适形式的计算机程序代码，例如以任何合适的编程语言所编写的编译或解释的计算机程序。

存储器和计算机程序指令可以利用用于特定设备的处理器配置为使得硬件装置（诸如ue110、p-cscf120、s-cscf130、df140、pdn-gw150、ims-agw160、ibcf170、mgcf180、im-mgw190和trgw200）执行本文描述的任何过程（参见例如图9-17和20-26）。因此，在某些实施例中，非暂时性计算机可读介质可以编码有计算机指令，所述计算机指令当在硬件中执行时，执行诸如本文描述的过程之一的过程。替代地，本发明的某些实施例可以完全以硬件来执行。

此外，尽管图18和19图示了包括ue110、p-cscf120、s-cscf130、df140、pdn-gw150、ims-agw160、ibcf170、mgcf180、im-mgw190和trgw200的系统，但是本发明的实施例可以适用于其他配置和涉及附加元件的配置。例如，未示出，可以存在附加的ue，并且可以存在附加的核心网络元件，例如如图2-17所示。

如上所述，根据一个实施例，图18和19所示的系统可以包括例如ue110、p-cscf120、s-cscf130、df140、pdn-gw150、ims-agw160、ibcf170、mgcf180、im-mgw190和trgw200。在实施例中，诸如例如p-cscf120的装置可以由存储器115和处理器114控制，以标识提供呼叫内容拦截的网络节点。p-cscf120还可以由存储器115和处理器114控制，以确定在网络节点处的呼叫内容拦截的位置处使用的编解码器。p-cscf120还可以由存储器115和处理器114控制，以将在网络节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器发送到通信网络中的递送功能（例如，df140）。

在实施例中，提供呼叫内容拦截的网络节点可以包括分组数据网络网关或ip多媒体系统接入网关。在另一个实施例中，提供呼叫内容拦截的网络节点也可以包括中转网关或web实时通信网关。p-cscf120还可以由存储器115和处理器114控制，以确定在网络节点处的呼叫内容拦截的位置。在实施例中，ip多媒体系统接入网关处的呼叫内容拦截的位置可以包括入口侧和出口侧。

p-cscf120还可以由存储器115和处理器114控制，以如果呼叫内容拦截在分组数据网络网关处或在ip多媒体系统接入网关的入口侧处进行，则将会话描述协议安全性描述密钥发送到递送功能，并且如果呼叫内容拦截在ip多媒体系统接入网关的出口端处进行，则不发送会话描述协议安全性描述密钥。在实施例中，p-cscf120还可以由存储器115和处理器114控制，以如果呼叫内容拦截在分组数据网络网关、ip多媒体系统接入网关的入口侧或ip多媒体系统接入网关的出口侧处进行，则将会话描述协议安全性描述密钥发送到递送功能。

在实施例中，如果呼叫内容以解密形式被拦截，则会话描述协议安全性描述密钥可以不被发送到递送功能。在另一个实施例中，被拦截的呼叫内容可以端到端或端到接入边缘被加密。

根据另一个实施例，诸如例如df140的装置可以由存储器145和处理器144控制，以从通信网络中的网络节点接收在媒体节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器。df140还可以由存储器145和处理器144控制，以将匹配编解码器发送到执法机构。

df140还可以由存储器145和处理器144控制，以从网络节点接收会话描述协议安全性描述密钥。df140还可以由存储器145和处理器144控制，以在向执法机构发送媒体信息之前移除作为从网络节点接收到的媒体信息的重复的从服务呼叫状态控制功能接收到的媒体信息。此外，df140可以由存储器145和处理器144控制，以将会话描述协议安全性描述密钥发送到第二递送功能。在实施例中，网络节点可以包括代理呼叫状态控制功能、互通边界控制功能或媒体网关控制功能。此外，在另一个实施例中，df140可以由存储器145和处理器144控制，以从kms检索包括会话描述协议安全性描述密钥的密钥。此外，在实施例中，被拦截的呼叫内容可以端到端或端到接入边缘被加密。

图20图示了根据某些实施例的装置210。在一个实施例中，装置210可以是上文结合图18所讨论的网络节点，诸如例如p-cscf。应当注意，本领域普通技术人员将理解到，装置210可以包括图20中未示出的组件或特征。

如图20所示，装置210可以包括标识单元214，其可以被配置为标识提供呼叫内容拦截的网络节点。装置210还可以包括确定单元215，其可以被配置为确定在网络节点处的呼叫内容拦截的位置处使用的编解码器。装置210还可以包括发送单元216，其可以被配置为将在网络节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器发送到通信网络中的递送功能。此外，装置210可以包括用于向和从装置210发送和接收信号和/或数据的一个或多个天线217。

图21图示了根据某些实施例的装置220。在一个实施例中，装置220可以是上文结合图18所讨论的网络节点，诸如例如递送功能。应当注意，本领域普通技术人员将理解到，装置220可以包括图21中未示出的组件或特征。

如图21所示，装置220可以包括接收单元224，其可以被配置为从通信网络中的网络节点接收在媒体节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器。装置220还可以包括发送单元225，发送单元225可以被配置为将匹配编解码器发送到执法机构。此外，装置220可以包括用于向和从装置210发送和接收信号和/或数据的一个或多个天线227。

图22图示了根据某些实施例的方法的流程图的示例。在实施例中，例如，图22的方法可以由诸如p-cscf的网络节点执行。该方法可以包括在310处标识提供呼叫内容拦截的网络节点。该方法还可以包括在320处确定在网络节点处的呼叫内容拦截的位置处使用的编解码器。该方法还可以包括在330处确定网络节点处的呼叫内容拦截的位置。

该方法还可以包括在340处将在网络节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器发送到通信网络中的递送功能。

图23图示了根据某些实施例的方法的流程图的示例。在实施例中，例如，图23的方法可以由网络节点（诸如p-cscf）执行。该方法可以包括在410处标识提供呼叫内容拦截的网络节点。该方法还可以包括在420处确定在网络节点处的呼叫内容拦截的位置处使用的编解码器。该方法还可以包括在430处确定网络节点处的呼叫内容拦截的位置。

该方法还可以包括在440处将在网络节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器发送到通信网络中的递送功能。该方法还可以包括在450处，如果在分组数据网络网关处或在ip多媒体系统接入网关的入口侧处进行呼叫内容拦截，则将会话描述协议安全性描述密钥发送到递送功能。该方法还可以包括在460处，如果呼叫内容拦截在ip多媒体系统接入网关的出口侧处进行，则不发送会话描述协议安全性描述密钥。

图24图示了根据某些实施例的方法的流程图的示例。在实施例中，例如，图24的方法可以由网络节点（诸如p-cscf）执行。该方法可以包括在510处标识提供呼叫内容拦截的网络节点。该方法还可以包括在520处确定在网络节点处的呼叫内容拦截的位置处使用的编解码器。该方法还可以包括在530处确定网络节点处的呼叫内容拦截的位置。

该方法还可以包括在540处将在网络节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器发送到通信网络中的递送功能。该方法还可以包括在550处，如果在分组数据网络网关、ip多媒体系统接入网关的入口侧、或者ip多媒体系统接入网关的出口侧处进行呼叫内容拦截，则将会话描述协议安全性描述密钥发送到递送功能。

图25图示了根据某些实施例的方法的流程图的示例。在实施例中，例如，图25的方法可以由诸如递送功能的网络节点执行。该方法可以包括在610处从通信网络中的网络节点接收在媒体节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器。该方法还可以包括在620处，在向执法机构发送媒体信息之前移除作为从网络节点接收到的媒体信息的重复的从服务呼叫状态控制功能接收到的媒体信息。该方法还可以包括在630处将匹配编解码器发送到执法机构。

图26图示了根据某些实施例的方法的流程图的示例。在实施例中，例如，图26的方法可以由诸如递送功能的网络节点执行。该方法可以包括在710处，从通信网络中的网络节点接收在媒体节点处的呼叫内容拦截的位置处使用的编解码器的匹配编解码器。该方法还可以包括在720处，在向执法机构发送媒体信息之前移除作为从网络节点接收到的媒体信息的重复的从服务呼叫状态控制功能接收到的媒体信息。该方法还可以包括在730处，将匹配编解码器发送到执法机构。

该方法还可以包括在740处从网络节点接收会话描述协议安全性描述密钥。该方法还可以包括在750处将会话描述协议安全性描述密钥发送到第二递送功能。

本领域普通技术人员将容易理解到，如上文所讨论的本发明可以以采用不同次序的步骤和/或以采用与所公开的配置不同的配置的硬件元件来实施。因此，尽管已经基于这些优选实施例描述了本发明，但是对于本领域技术人员显而易见的是，某些修改、变化和替代构造将是显而易见的，同时保持在本发明的精神和范围内。因此，为了确定本发明的范围和边界，应当参考所附权利要求。

术语表

3gpp第三代合作伙伴计划

agw接入网关

asic专用集成电路

bcf边界控制功能

cc呼叫内容（或通信内容）

cpu中央处理单元

cr改变请求

cscf呼叫状态控制功能

csp通信服务提供商

df递送功能

df2递送功能2（用于iri）

df3递送功能3（用于cc）

dtls数据报传输层安全性

e2e端到端（安全性）

e2ae端到接入边缘（安全性）

e-utran演进utran

ggsn网关gprs支持节点

gprs通用分组无线电业务

hdd硬盘驱动器

ibcf互通bcf

ice拦截控制元件

ims-agwims接入网关

im-mgwims媒体网关

imsip多媒体网关

ip网际协议

iri拦截相关信息

lea执法机构

li合法拦截

lte长期演进

mgcf媒体网关控制功能

mgw媒体网关

mikey多媒体互联网密钥管理

p-gwpdn-gw

p-cscf代理cscf

pdn分组数据网络

pdn-gwpdn网关

ram随机存取存储器

rom只读存储器

s-cscf服务cscf

sdessdp安全性描述

sdp会话描述协议

sip会话发起协议

srtp安全实时协议

trgw中转网关

tsp电信服务提供商

umts通用移动通信系统

utran通用移动电信系统

陆地无线电接入网络

voipip语音

webrtc网络实时通信。