LI系统中用于连接至Wi‑Fi网络的目标的定位的方法和实体与流程

本技术涉及合法监听网络中的方法和实体，特别是用于连接至Wi-Fi网络的目标的定位。

背景技术：

本技术涉及处理目标的定位的合法监听应用。

利用当前技术，存在很多不同的用于定位合法监听的目标的方法。

在定位操作中涉及移动定位系统MPS并且最准确的能力、例如GPS可用的情况下，定位结果的精度从GSM、UMTS、LTE小区的中心到非常窄的区域。

然而，在MPS在移动网络中不可用的情况下，最准确的定位结果是CGI、全球小区身份(identity)，其表示服务于目标的小区的中心的地理坐标。

图1是根据现有技术的示例性合法监听LI系统和网络10的框图。所述系统和网络包括多个实体。示例性LI系统包括执法管理功能LEMF 12，LEMF 12用于请求LI系统的LI服务并且收集系统中的监听接入点IAP节点的监听的信息。系统将代表一个或多个执法机构LEA80提供对目标的监听的通信内容CC和监听相关信息IRI以及与目标相关的服务的接入。监听请求(也被表示为对LI激活或addWarrant消息的请求)通过位于执法管理功能12与监听中介和递送单元IMDU 14之间的第一切换接口HI1来发送，IMDU 14包括中介功能MF和管理功能ADMF16。所述中介功能和管理功能基于所述接收到的请求生成包括所述一个或多个目标身份的许可(warrant)，并且经由标记为X1_1的接口向监听接入点IAP 20发送所述许可。IAP 20可以连接至网络的节点，网络例如为互联网、3G GSM(第三代移动通信系统)等，IAP 20从该节点监听移动目标的所述通信内容和监听相关信息。所述CC和IRI是网络相关数据。作为标准模型的参考，参见参考文献[1]、[2]和[3]，通信内容在IAP网络节点中被监听，并且其基于目标通信有效载荷的重复而没有修改。在参考文献[3]中，更详细地规定了接口HI1和HI2。IAP经由接口X2将IRI原始数据发送给用于IRI报告的递送功能DF2 22以及IRI的中介功能MF2 24，MF2 24基于接收到的IRI报告生成并且向收集功能性(functionality)递送标准化IRI报告。所述标准化IRI报告通过标准化接口HI2被发送给LEMF 12。IAP 20还经由接口X3将CC原始数据发送给用于CC报告的递送功能DF3 26以及IRI的中介功能MF3 28，MF3 28基于接收到的CC报告生成并且向收集功能性递送标准化CC报告。所述标准化CC报告通过标准化接口HI3被发送给请求LEMF 12。ADMF实体16经由接口X1_2来控制用于IRI报告的中介功能和递送功能MF2/DF2并与之通信，并且经由接口X1_3来控制用于CC的中介功能和递送功能MF3/DF3并与之通信。

与递送功能一起，其用于向第三代(3G)IAP隐藏在同一目标上可能存在由不同的执法机构进行的多个激活。

HI2和HI3接口表示LEA与两个递送功能之间的接口。递送功能被用以：

-经由HI2将监听相关信息IRI分发给相关LEA；

-经由HI3将通信内容CC分发给相关LEA。

根据已知的互联网接入服务，与给定目标相关的所有IP流被监听并且作为整个会话数据流被递送，而不管在监听会话中使用任何服务。如果LEA需要接入整个会话流中嵌入的特定内容，则对监听的数据进行适当的后处理以找到感兴趣的数据内容变得必要。

在LI解决方案中，许可数据被存储在中介功能16的源目标数据库30中，并且在激活期间，它们被设置在IAP 20上并且被存储在每个IAP 20中的目标数据库中。数据不是以永久的方式存储在IAP的目标数据库中，即它们在系统关闭的情况下被丢失。

关于目标定位的一个问题是，在MPS在移动网络中不可用的情况下，没有较精确的定位结果可用。

技术实现要素：

以下公开的一个目的是提供一种在合法监听应用中执行的方法，以在移动定位系统不可用的情况下，在网络中提供可用的、目标的最佳的准确位置。

根据用以实现上述目的一个方面，提供了一种方法及其实施例。该方法在合法监听系统中执行，以使执法机构LEA能够确定目标的位置。所述目标经由WiFi网络的接入点连接至WiFi网络。该方法包括以下步骤：接收用于已经被接受接入WiFi网络的订户的RADIUS帐户消息，在订户是目标的情况下从接收到的RADIUS帐户消息中获取与接入点标识符和服务集标识符SSID相对应的RADIUS参数，并且将与接入点标识符和SSID相对应的RADIUS参数连同目标标识一起发送给LEA。

根据用以实现上述目的的另一方面，提供了一种中介功能实体及其实施例。中介功能实体处于合法监听系统中，以使执法机构LEA能够确定目标的位置。所述目标经由接入点连接至WiFi网络。中介功能节点包括通信接口和处理单元。处理单元被适配成接收用于已经被接受接入WiFi网络的订户的RADIUS帐户消息，在订户是目标的情况下从接收到的RADIUS帐户消息中获取与接入点标识符和服务集标识符SSID相对应的RADIUS参数，并且将与接入点标识符和SSID相对应的RADIUS参数连通目标标识一起发送给LEA。

上述方法和中介功能的一个优点是，所提出的解决方案不需要对LI系统的监听接入点进行任何改变，该功能性完全被分配在利用标准机制的LI系统中。

附图说明

通过结合附图阅读下面的详细描述，将更容易理解本发明的前述和其他目的、特征和优点，在附图中：

图1是根据现有技术的LI系统的框图；

图2是示出当确定目标的位置时不同的参与者和系统节点的活动和动作的信令方案；

图3是示出用于使能目标的位置的方法的流程图；

图4是示出用于使能目标的位置的方法的实施例的流程图；

图5是示出用于支持所描述的方法的中介功能性节点的实现的框图；

图6是示出中介功能的一个实现的框图；

图7是示出中介功能的另一实现的框图。

具体实施方式

在以下描述中，出于说明而非限制的目的，阐述了具体细节，诸如特定的电路、电路部件、技术等，以便提供对提出的本解决方案和技术的透彻理解。然而，对于本领域技术人员将显而易见的是，提出的本解决方案和技术可以在脱离这些具体细节的其他实施例中实践。在其他情况下，省略了对公知的方法、设备和电路的详细描述，以免以不必要的细节模糊对提出的本解决方案和技术的描述。

在过去的十年中，用于移动网络的无线电技术已经从GSM、UMTS演进到当前的LTE无线电接入。

不同的移动网络越来越集成，订户可以从一个网络无缝地移动到另一网络，例如，可以连接至CS网络并且同时借助于不同的接入点接入PS网络。

通常，LEA接收限于CGI的定位信息，这被LEA认为不够精确。

建议是对来回移动的目标附接至Wi-Fi接入点AP时的情形加以利用。这样的情况会越来越频繁，特别是在大城镇的市中心。

Wi-Fi AP可以覆盖小于GSM、UMTS、LTE小区区域的区域。

本文中提出的解决方案是，LI应用获取目标所连接的AP标识符，并且将此信息递送给LEA。因为与GSM、UMTS、LTE小区区域相比，接入点服务于更加有限的区域，所以将产生对目标的更准确的定位。

存在使用WiFi网络接入来认证订户的不同方法，一些最常见的是：基于sim/u-sim的认证、TLS/TTLS认证、网络门户认证。

对于所有这些方法，都涉及RADIUS服务器，并且可以配置RADIUS记账接口，以便当网络接入被授予订户时，向RADIUS服务器发送记账请求消息。记账接口可以被配置成在记账请求消息中包括接入点标识符、VLAN、SSID。SSID是服务集标识符，其是WiFi网络的唯一标识。

建议是加强宽带网络的合法监听，以包括获取用于标识目标位置的相关的信息：

1.LI系统注册以接收网络中所有订户的RADIUS记账消息；这不需要是安全的接口，因为它不传输敏感信息，例如，目标身份；

2.LI系统丢弃与监听目标无关的所有消息，而对于订户与目标匹配的消息，系统获取与接入点标识符和SSID相对应的Radius参数；以及

3.准备IRI，用于通过切换接口将这样的信息传送给LEA。

图2是示出了在根据所提出的方法确定目标的位置时不同的参与方和系统节点的活动和动作的信令方案。

参考图1(现有技术)和图2，首先教导订户如何被标识为目标数据库中的目标。为了使LI系统能够监听感兴趣的订户(即目标)的通信，LEA向中介功能MF发送addWarrant(添加许可)消息，该中介功能MF将新的目标注册到目标数据库中并且向LEA返回addWarrant响应。许可数据存储在中介功能16的源目标数据库30中。

在LI解决方案中，许可数据被存储在包括管理功能ADMF的中介功能16的源目标数据库30中，并且在激活期间，它们被设置在IAP 20上并且被存储在每个IAP 20中的目标数据库中。数据不以永久的方式存储在IAP的目标数据库中，即它们在系统关闭的情况下丢失。

当订户使用他或她的用户设备UE来接入WiFi网络和系统时，UE发送连接请求。该请求由WiFi网络的附近的接入点AP接收。在UE与WiFi网络之间的接入过程期间，执行订户的认证。WiFi系统向包括用于执行认证测试的RADIUS服务器的节点发送记账请求消息。RADIUS服务器包括AAA数据库AAA DB，AAA DB包括关于运营商的订户的信息。AAA通常代表认证、授权和记账。它是指用于分布式系统的安全架构，用于控制哪些用户被允许接入哪些服务，以及跟踪他们已经使用了哪些资源。提供此功能性的两个网络协议特别受欢迎：RADIUS协议及其较新的Diameter对应协议。认证是指通常通过如下方式来认证实体的身份的过程：提供其持有特定数字身份、标识符和相应证书的证据。证书类型的示例是密码、一次性令牌、数字证书、数字签名和电话号码。由于LI系统已经注册以接收网络中所有订户的RADIUS记账消息，所以所述记账请求消息被转发给LI系统的中介功能性MF节点。该节点被配置成支持如本文所提出的用于使能目标的位置的确定的方法S100。MF被适配成执行步骤S100、S120和S130，并且可选地执行步骤S115。在本公开中参考图3和图4讨论和示出方法S100及其实施例。该方法意味着，LI系统丢弃与借助于目标数据库(目标DB)的监听的目标无关的所有帐户消息，而对于订户与目标匹配的那些账户消息，系统获取与订户/目标连接至WiFi网络时从RADIUS记账消息获取的接入点标识符和服务集标识符SSID相对应的Radius参数。此外，MF准备IRI，以用于通过切换接口HI2在IRI的AccessRequest(接入请求)字段中将这样的信息与目标标识一起传送给LEA。

下文中将分别参考图3和图4来描述所提出的用于使能目标的位置的确定的方法及其实施例。

图3是示出用于使能目标的位置的方法S100的流程图。

方法S100在合法监听系统中的监听中介和递送单元IMDU的中介功能MF实体中执行，并且该方法使执法机构LEA能够确定目标的位置。所述目标经由接入点连接至WiFi网络。该方法包括以下步骤：

S110：-接收用于已经被接受接入WiFi网络的订户的RADIUS帐户消息；

S120：-在订户是目标的情况下，从接收到的RADIUS帐户消息中获取与接入点标识符和服务集标识符SSID相对应的RADIUS参数；

S130：-将与接入点标识符和SSID相对应的RADIUS参数连同目标标识一起发送给LEA。

当LEA已经接收到RADIUS参数时，LEA能够借助于接收到的RADIUS参数值来确定地理位置。接入点Id是在系统的电信运营商域中定义和已知的标识符。电信运营商能够将此转换为实际位置，这是借助于CGM CGI完成的。这也可以是手动过程：LEA要求运营商提供给定接入点被放置的位置：街道XY号码Z、或者建筑物W的东侧3层、……。

图4是示出用于使能目标的位置的方法S100的实施例的流程图。

在上述方法S100的实施例中，该方法还包括步骤S115：

-借助于目标数据库来检查订户是否为目标，以用于接受或丢弃RADIUS帐户消息。

如果在目标数据库中标识出订户——是，则接受RADIUS帐户消息并且该方法继续进行下一步骤S120，其中获取RADIUS参数。如果在目标数据库中没有标识出订户——否，则该方法直接返回到步骤S110并且等待接收新的RADIUS帐户消息。

以上提出的方法及其实施例可以在监听中介和递送单元IMDU块300中实现，作为包括LI系统中的递送功能的中介功能(性)节点MF。下文中参考图5、图6和图7呈现和示出所述实现。

该方法及其实施例可以用数字电子电路、或计算机硬件、固件、软件或它们的组合来实现。该技术的装置可以用计算机程序产品来实现，计算机程序产品在机器可读存储设备中有形地体现，用于由可编程处理器执行；所描述的方法及其实施例的方法步骤可以由可编程处理器执行，该可编程处理器执行指令程序以通过对输入数据进行操作并生成输出来执行LI系统的功能。

该方法及其实施例可以有利地用一个或多个计算机程序来实现，一个或多个计算机程序在可编程系统上可执行，可编程系统包括至少一个可编程处理器，至少一个可编程处理器被耦合以从数据存储系统、至少一个输入设备和至少一个输出设备接收数据和指令以及向数据存储系统、至少一个输入设备和至少一个输出设备传输数据和指令。每个计算机程序可以用高级程序化或面向对象的编程语言来实现，或者根据需要用汇编或机器语言来实现；并且在任何情况下，语言可以是编译或解释语言。

通常，处理器将从只读存储器和/或随机存取存储器接收指令和数据。适合于有形地体现计算机程序指令和数据的存储设备包括所有形式的非易失性存储器，包括例如半导体存储器设备，诸如EPROM(可擦除可编程只读存储器)、EEPROM(电可擦除可编程只读存储器)和闪存设备；磁盘，诸如内部硬盘和可移除磁盘；磁光盘；和CD-ROM(光盘只读存储器)盘。任何前述内容可以由特殊设计的ASIC(专用集成电路)来补充或者被并入其中。

图5是示出用于支持所描述的方法的中介功能性实体的实现的框图。

该框图示出了共享处于WiFi网络中的监听接入点IAP 20的LI系统100和WiFi网络200。

图5中的LI系统被简化以示出用于实现所呈现的方法S100及其实施例的框和单元。因此，LI系统100还包括如图1所示的一些框和单元，以能够提供LI服务，但是所述框和单元对于本领域技术人员理解如何在LI系统中实现所提出的方法来说不是必需的。因此，在图5的LI系统中，仅示出了LEA 80以及包括目标DB 30和中介功能MF 400的监听中介和递送单元IMDU块300。中介功能实体400连接至目标数据库30。LI系统经由接口连接至WiFi网络中的IAP20。IAP 20可以包括属于LI系统的ICE监听控制元件(未示出)，其用于监听WiFi网络中的订户/目标的数据通信业务。

WiFi网络包括在图中示为AP1、AP2和AP3的一个或多个接入点210。IAP 20优选地连接至接入点AP的接口以用于监听传递去往或来自AP的数据通信业务，例如，IP数据包。每个AP能够覆盖标记为小区的区域，其中订户和目标的AP和用户设备能够经由无线电建立连接。AP1覆盖表示为Cell1的区域，AP2覆盖区域Cell2，......。

因此，当订户使用他或她的用户设备UE来接入WiFi网络和系统时，UE发送连接请求。该请求由WiFi网络的附近的接入点AP接收。在UE与WiFi网络之间的接入过程期间，执行订户的认证。WiFi系统向包括用于执行认证测试的RADIUS服务器250的节点发送如图2的信令方案中所示的记账请求消息。RADIUS服务器包括AAA数据库AAA DB，AAA DB包括关于运营商的订户的信息。由于LI系统100已经注册以接收网络中所有订户的RADIUS记账消息，所以所述记账请求消息被转发给LI系统的IMDU 300中的中介功能MF实体400。IMDU 300因此借助于MF 400被配置成支持如本文所提出的用于使能目标的位置的确定的方法S100。MF被适配成执行步骤S100、S120和S130，并且可选地执行步骤S115。方法S100及其实施例在本公开中参考图3和图4讨论和示出。

由于每个接入点210由从包括WiFi接入点Id和SSID的被呼叫台Id字段或从包括WiFi接入点Id的NAS标识符中获取的唯一RADIUS参数来标识，因此可以标识每个单独的AP(AP1、AP2、AP3、......)。

例如，接入点标识符可以借助于与接入点的实际位置严格相关的助记(mnemonic)码来设置，例如，它可以与目标及其UE当前连接到的接入点的实际位置(例如AP的wgs84坐标)相对应。

通过在HI接口上提供有意义的接入点标识符，所提出的解决方案使能标识目标的定位，甚至在传统定位方法可能效率较低的情况下：

室内定位，当目标在室内时，定期报告接入点标识符。此外，由于相比于户外情况接入点密度高得多，这产生较准确的定位信息。

3D定位，在很多情况下，Wi-Fi接入网络可以覆盖高建筑物的不同楼层，接入点标识符可以揭示哪个是目标当前附接的楼层。

中介功能MF的备选实现实施例在图6和图7中示出。

图6是示出中介功能MF的一个实现的框图。

中介功能实体400包括通信接口420和处理单元410。处理单元410连接至接口420和例如X1_2等用于与目标数据库30通信的接口。借助于通信接口420，中介功能能够在LI系统的不同接口上通信，例如，X2和HI2(也参见图1)。因此，实体400可以包括递送功能2、DF2(参见图1)。处理单元410还包括可编程处理器412和存储器存储装置414，存储器存储装置414用于存储用于运行处理器412的指令代码和数据。借助于可编程处理器412和存储器存储装置414，处理单元410被适配成：

-接收用于已经被接受接入WiFi网络的订户的RADIUS帐户消息；

-在订户是目标的情况下，从接收到的RADIUS帐户消息中获取与接入点标识符和服务集标识符SSID相对应的RADIUS参数；

-将与接入点标识符和SSID相对应的RADIUS参数连同目标标识一起发送给LEA。

在一个实现中，处理单元410可以被适配成借助于目标数据库来检查订户是否为目标，以用于接受或丢弃RADIUS帐户消息。

可以从包括WiFi接入点Id和SSID的被呼叫台Id字段或者从包括WiFi接入点Id的NAS标识符中获取RADIUS参数。

通信接口420和处理单元410还被适配成经由HI2接口发送RADIUS参数。在经由HI2接口发送之前，可以在MF中修改RADIUS参数的格式。一种这样的格式可以是IRI.IRIContents AccessPointidentifier和IRI.IRIContents SSID。

图7是示出中介功能MF 400的另一实现的框图。

中介功能MF 400连接至目标数据库30。根据本实施例，MF 400包括接收单元310和检查单元315，接收单元310能够接收已经被接受接入WiFi网络的订户的RADIUS帐户消息，检查单元315被适配成借助于目标数据库来检查订户是否为目标，以用于接受或丢弃RADIUS帐户消息。MF 400还可以包括处理单元320，以便能够在订户是目标的情况下，从接收到的RADIUS帐户消息中获取与接入点标识符和服务集标识符SSID相对应的RADIUS参数。此外，提供发送器单元330以使MF 400能够将与接入点标识符和SSID相对应的RADIUS参数连同目标标识一起发送给LEA。

接收单元310和发送器单元330可以借助于软件和/或硬件电路实现为通信接口。检查单元315和处理单元320可以借助于可编程处理器和软件程序来实现。如果以另一方式解决对帐户消息的丢弃或接受，例如在另一实体中而非在MF实体中，则检查单元315是可选的。

上面参考图5、图6和图7描述的实体、框和单元是逻辑单元，并且不一定对应于单独的物理单元。因此，本领域技术人员将理解，图5、图6和图7中公开的单元可以被实现为物理上集成的单元和/或物理上分离的单元，并且该单元设置有适当的处理电路。

上述技术意味着对合法监听系统的不同用户(例如，制造商、运营商、LEA等)的很多非常明显或较明显的优点。

其优点之一是，所提出的解决方案不需要对网络的IAP进行任何改变，功能性完全被分配在利用标准机制的LI系统中，如对用于获取所需信息的记账接口的订阅。由于网络通常是多供应商，通过具有未锁定在特定IAP实现上的LI解决方案，这是一个明显的优点。

在一些国家，电信运营商已经开始商业部署Wi-Fi下载和通过Wi-Fi的语音。它们可以被国家LEA请求提供用于定位经由Wi-Fi连接的目标的解决方案。一个优点是，所提出的解决方案不使用任何特殊的附加仪器，并且它可能对它们非常有吸引力。

在很多国家，电信运营商有国家法律义务之外的高价的LI功能性的价格表。从这个角度来说，用于室内定位和3D定位的可信的解决方案的提供可能会增加他们来自LI的收入。

LEA将被提供用于相当准确地标识经由Wi-Fi连接的目标的位置的手段。

室内和3D位置是一个好处，其也对LEA有吸引力。特别是当Wi-Fi接入网络部署在城市中心的非常高的建筑物中时。在这样的情况下，通过在50层建筑中标识目标的楼层，使得调查有所不同。

已经描述了本技术的多个实施例。应当理解，在不脱离所提出的方法和实体的情况下可以进行各种修改。因此，其他实现在所附权利要求的范围内。

缩写列表

3GPP 第三代合作伙伴项目

LTE 长期演进

GSM 全球移动通信系统

GPS 全球定位系统

PS 分组交换

CS 电路交换

SIM 用户身份模块

U-SIM UMTS SIM

UMTS 通用移动电信系统

TLS 传输层安全协议

TTLS 隧道TLS

HI 切换接口

LI 合法监听

DF 递送功能

MF 中介功能

LEMF 执法监控设施

ADMF 管理功能

LEA 执法机构

IP 互联网协议

LAN 局域网

WLAN 无线局域网

参考文献

[1]3GPP TS 33.106“Lawful Interception requirements(Release 8)”；

[2]3GPP TS 33.107“Lawful interception architecture and functions(Release 8)”；

[3]3GPP TS 33.108“Handover interface for Lawful Interception”(Release 8)；