对代理移动因特网协议网络中目标的合法侦听的制作方法

本发明涉及在电信系统中用于提供保留或侦听数据到合法侦听请求实体的方法和布置。具体而言，本发明涉及在电信网络中使用基于代理移动因特网协议的架构和协议时目标的合法侦听。

背景技术：

在许多国家中，基于机关（执法机构）为进行包括恐怖行为等罪行和刑事犯罪的侦查、调查和起诉而提出的请求，运营商和因特网服务提供商有义务根据合法要求来提供特定目标订户的业务数据，包括存储数据和从公共电信和因特网服务生成的通信的内容。

这些要求已经通过各种3GPP电信网络（即3GPP标准覆盖的电信网络）中允许对目标合法侦听的方法和系统而得以满足。

欧盟(EU)内的倡议管制数据保留的法律基础。例如，欧盟议会采纳了一组修改，这些修改批准了委员会有关数据保留提议的指令（指令2006/24/EC）。在此指令中，描述了初始要求和将如何处理指令的扩展。因此，运营商遵守当前法规的工作的基本部分是确保过程和工具能适合于处理数据保留的范围的拓展。

技术规范ETSI DTS/LI-00039给出订户和电信的保留数据的输送和相关联问题的指导。具体而言，此类规范提供了执法机构和其它经授权的请求机关的与用于保留的业务数据和订户数据的移交（Handover）接口有关的一组要求。技术规范ETSI DTS/LI-00033包含用于有关保留数据的欧盟指令2006/24/EC中识别的数据的移交要求和移交规范。

在不断进行的集成异类通信网络和协议的过程中，3GPP现在正在指定演进分组系统(EPS)，该系统允许使用一些IETF移动性协议，如代理移动因特网协议v6，其功能架构和有关协议在草案IETF “Proxy Mobile IPv6”中定义。为此目的，在TS 23.402 “Architecture enhancements for non-3GPP Accesses (Release 8)”中，3GPP指定了允许使用PMIPv6协议和允许非3GPP终端使用3GPP网络从运营商获得服务的一种架构。

显然，根据3GPP TS 33.107 “3G Security; Lawful Interception Architecture and Functions (Release 8)”中定义的3GPP标准合法侦听架构，使用基于3GPP的网络的每个运营商仍被要求满足可包括非3GPP终端的目标的法律和法规要求。

不过，用于3GPP网络架构的现有合法侦听解决方案不涵盖通过使用诸如代理移动因特网协议v6(PMIPv6)等IETF协议来处理终端的移动性的情况。

使用非3GPP接入从3GPP网络获得电信服务的情况也未涵盖。

技术实现要素：

本发明的目标是克服上述缺点。

在此目标内，本发明的一个目的是提供相对于非3GPP终端且具体而言在网络中为其使用了代理移动因特网协议架构和功能的目标上可允许应用合法侦听功能性的方法和系统。

将在下文变得更明白的此目标和其它目的通过一种用于在电信网络中为执法机构提供与通过移动接入网关连接到电信网络的代理移动因特网协议域中的目标移动节点有关的保留或侦听结果的方法来实现，该方法包括配置所述移动接入网关和本地移动性锚的至少一个作为侦听控制元件来操作的步骤。

通过一种合法侦听系统，也实现了上述目标和目的，该系统用于与通过移动接入网关连接到电信网络的代理移动因特网协议域中的目标移动节点有关的业务数据的保留或业务数据和通信内容的侦听，其中，本地移动性锚和所述移动接入网关的至少一个配置成作为侦听控制元件来操作。

本发明还涉及包括软件代码的部分的计算机程序以便在侦听控制元件或数据保留源的处理器操作时实现如上所述的方法。具体而言，所述计算机程序可加载到移动接入网关或本地移动性锚的至少一个中以将所述至少移动接入网关或本地移动性锚配置为可在根据本发明的合法侦听或数据保留系统中操作的侦听控制元件或数据保留源。此类计算机程序能够存储在计算机可读媒体上，该媒体可以是侦听控制元件或数据保留源内的永久性或可重写存储器，或者能够位于外部。相应计算机程序也可传输到侦听控制元件或数据保留源（例如，作为信号序列经由电缆或无线链路来传输）。

附图说明

从附图中通过非限制性示例示出的特定但非排它的实施例的详细描述，将更好地明白本发明的另外特性和优点，其中：

图1示出基于代理移动因特网协议的网络中移动节点的功能架构；

图2是根据本发明的第一方面的合法侦听系统的布置，其中，移动接入网关或本地移动性锚充当侦听控制元件。

图3是根据本发明的第二方面的合法侦听系统的布置，其中，移动接入网关或本地移动性锚充当数据保留源。

图4是示出根据本发明的一方面的数据侦听的流程图。

具体实施方式

图1示出基于代理移动因特网协议的网络中移动节点(1)的功能架构。

一旦移动节点1进入移动代理因特网协议v6域2，并且附连到接入链路，在识别移动节点1并获得其身份后，该接入链路上的移动接入网关3 (MAG)便确定移动节点1是否针对基于网络的移动性管理服务被授权。

如果网络2已确定基于网络的移动性管理服务应提供到该移动节点1，则网络2确保使用网络允许的任何地址配置机制的移动节点1可获得连接接口上的地址配置，并且在该代理移动因特网协议域中的任何位置移动。

获得的地址配置可包括来自其归属网络前缀（或多个前缀）的地址（或多个地址）、链路上的默认路由器地址和其它有关配置参数。

从移动节点1的角度而言，整个代理移动因特网协议域可显示为单个链路。网络2可负责移动节点1认为它始终在它获得其最初地址配置的相同链路上（甚至该网络中其附连点已更改）。

移动节点1可以是仅IPv4节点、仅IPv6节点或双重IPv4/IPv6节点。基于网络中为该移动节点启用的功能，移动节点将能够获得IPv4、IPv6或双重IPv4/IPv6地址，并且在该代理移动因特网协议域中任何位置移动。本领域技术人员理解，只要协议保持的技术定义类似于代理移动因特网协议v6的特征，便可使用因特网协议的将来版本。

如果移动节点1通过将其地址配置从一个接口移到另一接口来执行接口间切换，并且如果本地移动性锚4 (LMA)从服务移动接入网关3 (MAG)接收有关其的切换提示，则本地移动性锚4可在切换之前指派它以前指派的相同网络前缀。

移动节点1也可能通过将其附连点从第一移动接入网关3更改到使用相同接口的不同移动接入网关3'来执行切换，并且可因此能够保留附连接口上的地址配置。

在移动节点1与移动接入网关之间设置隧道以携带分组所需的移动节点1与定义的功能实体之间的过程及移动接入网关3与本地移动性锚4之间的信令如草案IETF “Proxy Mobile IPv6”中所定义的，为本领域技术人员所知，并且在此不详细描述。

此类过程可例如包括路由器请求和路由器通告、代理绑定更新和代理绑定接受、取消注册代理绑定更新。隧道化的分组的格式也被指定并且能在本发明的优选实施例中使用。

代理移动因特网协议v6域中移动节点的身份是移动节点1的稳定标识符，移动性实体在代理移动因特网协议v6域中能获得和使用该标识符以便可预测地识别移动节点。这一般可以是诸如网络接入标识符(NAI)等标识符。

参照图2和4，公开根据本发明的用于在合法侦听系统10中访问通信有关数据的架构。

合法侦听系统10可包括为目标用户的用户设备提供对电信网络的接入的侦听控制元件(ICE) 11。

根据本发明，本地移动性锚4和/或移动接入网关3定义为侦听控制元件11以便侦听作为合法侦听目标的移动节点1的通信的信令和内容。包括本地移动性锚4和/或移动接入网关3的网络节点可同样定义为侦听控制元件。

根据本发明的合法侦听系统10可还包括一个或多个执法监视设施(LEMF) 12，相应执法机构(LEA)可通过其接收侦听信息。

管理功能(ADMF)实体13可还配置用于将从相应执法机构收到的合法侦听授权数据和目标身份发送到侦听控制元件11。

管理功能13可通过第一移交接口14 (HI1)与可在侦听网络中要求侦听的所有执法机构接口，并且可使各个执法机构的侦听活动分开以及接口到侦听网络。

管理功能13也可用于向侦听控制元件11隐藏相同目标上不同执法机构的多个激活可能已经是活动的。

另外，可将管理功能13分区以确保分隔来自不同机构的供应数据。

每个物理侦听控制元件11可借助于其自己的X1_1接口链接到管理功能13。因此，每个单个侦听控制元件11可执行侦听，即激活、停用、询问及调用，而与其它侦听控制元件11无关。

为将侦听到的信息输送到执法机构，可提供两个输送功能(DF)实体，每个实体通过X1_2和X1_3接口与管理功能13以及与执法监视设施12交换信息的相应部分。

具体而言，输送功能DF2实体15可配置成通过X2接口接收侦听控制元件11的侦听有关信息(IRI)，并且借助于仲裁功能(MF) 17，经由第二移交接口16（HI2）转换和分发侦听有关信息到相关执法机构。

侦听有关信息可以是与涉及目标身份的电信服务相关联的信息或数据集，例如呼叫关联的信息或数据（例如不成功的呼叫尝试）、服务关联的信息或数据（例如订户的服务简档管理）及位置信息。

输送功能DF3实体18可配置成通过X3接口接收侦听控制元件11的通信内容(CC)信息，并且通过仲裁功能19和第三移交接口(HI3) 20转换和分发此类信息到相关执法机构。

通信内容可以是与侦听有关信息不同的信息，其在电信服务的两个或更多用户之间交换，并且一般地说可包括作为某一电信服务的部分能够由一个用户存储以便另一用户以后检索的信息。

在根据本发明的操作中，对特定目标的合法侦听的激活可通过使用网络接入标识符在X1_1接口上执行。

每次在本地移动性锚4中或移动接入网关3中检测到基于代理移动因特网协议的事件时，可由本地移动性锚4和移动接入网关3在X2接口上提供侦听有关信息。

同样地，此类事件可包括路由器请求和通告、代理绑定更新和接受及取消注册代理绑定更新。

本领域技术人员理解，可报告如代理移动因特网协议中为每个消息定义的适用参数。本领域技术人员还理解，侦听有关信息可由实现本地移动性锚和/或移动接入网关功能性的其它网络节点来提供。

作为侦听目标的移动节点1的侦听到的通信内容可由本地移动性锚4和/或移动接入网关通过X3接口来复制。侦听到的通信内容可由实现本地移动性锚和/或移动接入网关功能的其它网络节点来复制。

本发明因此具体参考代理移动因特网协议v6，定义了一种机制，该机制能够使用以便在使用基于代理移动因特网协议的网络架构和协议时允许目标的合法侦听。本发明已根据IETF定义的逻辑功能进行描述，但它适合于实现此类逻辑功能的任何网络节点。

所有业务信息可用于适当存储以便满足与数据保留有关的可能的法律要求。

在此方面，图3示出根据本发明的用于在通信服务提供商21 (CSP)中保留数据的一种布置。具体而言，可为通信服务提供商21提供数据保留系统(DRS) 23以便与可以是执法机构(LEA)的请求机关24交换保留数据有关信息。

通信服务提供商21 (CSP)可包括配置成作为数据保留源来操作的本地移动性锚4和移动接入网关3。

通信服务提供商21与请求机关24之间交换的数据可包括请求机关24的请求、来自数据保留系统23的对应消息及其它数据保留信息，如请求的结果和接收的确认。通信服务提供商21和数据保留系统23与请求机关交换上述数据所通过的接口称为移交接口。

通用移交接口采用双端口结构，其中，管理请求/响应信息和保留数据信息在逻辑上是分开的。具体而言，第一移交接口端口HI-A 25可配置成传输来/往于请求机关24和通信服务提供商21处负责保留数据事项的由管理功能27标识的组织的各种类型的管理、请求和响应信息。

第二移交接口HI-B 26可配置成将储存库29中存储的保留数据信息从通信服务提供商21传输到请求机关24。各个保留数据参数在可用时必须发送到请求机关24至少一次。为此目的，可提供仲裁/输送功能28，以便从储存库9检索保留数据并将此类数据通过HI-B 26以适合的格式转发到请求机关24。

显然，在不脱离本发明范围的情况下，几个修改将为本领域技术人员所明白并且能够容易做出。因此，权利要求的范围不应限于以示例形式在描述中给出的优选实施例或图示，相反，权利要求应涵盖属于本发明的具有专利新颖性的所有特征，包括本领域技术人员将视为等同的所有特征。具体而言，鉴于以上描述，明白在此文本中和在随附权利要求中，术语“本地移动性锚”和“移动接入网关”涵盖实现此类功能的任何网络节点。

在任何权利要求中提及的技术特征带有引用符号的情况下，那些引用符号的包括只是为了增加权利要求的可理解性的目的，并且相应地，此类引用符号对通过示例由此类引用符号识别的每个元件的解释无任何限制效应。