一种侦听方法、侦听装置和本地网关的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种侦听方法、侦听装置和本地网关。
【背景技术】
[0002]LI(Lawful Intercept1n,合法侦听)是受到法律许可的对通信进行侦听的行为,在移动网络中被作为一种业务提供给执法机构以及国安部门使用。在合法侦听业务出现之初,由于隐私等问题成为存有巨大争议的话题,许多国家经历了默许、限制、禁止再到认可等变化过程,如今,许多国家已经基本达成共识:在确保公民隐私和维护国家安全需求基础上,平衡各方利益,以立法的形式对“侦听”这一行为进行规范,在法律的监督下进行,不得滥用;同时,还要求通信部门必须为合法侦听的实现提供支持。
[0003]在现有技术中,针对合法侦听,主要以3GPP(3rd Generat1n PartnershipProject,第三代合作伙伴计划)定义的标准为基础来实现对S_GW(Serving GateWay,服务网关)、PDN_GW(Packet Data Network Gateway,分组数据网关)、ePDG(Evolved PacketData Gateway,演进的分组数据网关)的合法侦听的。
[0004]随着通信技术的高速发展,移动网络中的数据呈爆炸式发展,为了减轻移动网络EPC(EvoIved Packet Core,核心网)的压力,一些低附加值业务的数据报文可以从本地直接路由到I3DN(Put)Iic Data Network,公用数据网)网络中,即LB0(Local Break Out,本地流量卸载),具体如图1所示的LBO业务应用场景下的网络部署结构示意图。
[0005]如图1所示,在LBO场景下,UE(User Equipment,用户设备)在入网后,其数据报文直接从基站出来通过本地网关路由到互联网Internet,即基站作为用户设备的最后一跳,将用户业务数据本地路由到Internet中,LBO在移动网络中有着越来越广泛的应用场景。
[0006]在实现本发明的过程中,发明人发现现有技术至少存在如下问题:
[0007]在移动通信网络中,目前的合法侦听对象主要是核心网中的网元设备,但在LBO场景中,由于数据并没有送达3-61、^^-61、#06,因此,目前还没有合法侦听的架构和实现方案。
【发明内容】
[0008]本发明提供一种侦听方法,通过将获取的侦听命令下发给被侦听用户归属的本地网关,以使所述本地网关根据所述被侦听用户的标识对所述被侦听用户进行侦听,实现了在LBO场景下,对用户数据的合法侦听。
[0009]本发明提供了一种侦听方法,所述方法应用于流量在本地网关进行卸载的场景下,所述方法包括:
[0010]获取侦听命令,其中,所述侦听命令中包括被侦听用户的标识;
[0011]将所述侦听命令下发给所述被侦听用户归属的本地网关,以使所述本地网关根据所述被侦听用户的标识对所述被侦听用户进行侦听。
[0012]在将所述侦听命令下发给所述被侦听用户归属的本地网关之前,所述方法包括:
[0013]将所述被侦听用户的标识发送给移动管理节点,以使所述移动管理节点根据所述被侦听用的标识确定所述被侦听用户归属的所述本地网关的IP地址;
[0014]将所述侦听命令下发给所述被侦听用户归属的本地网关,具体为:
[0015]接收的所述移动管理节点确定的所述被侦听用户归属的所述本地网关的IP地址;
[0016]根据所述被侦听用户归属的所述本地网关的IP地址将所述侦听命令下发给所述被侦听用户归属的所述本地网关。
[0017]所述侦听命令由合法侦听设备下发;或,
[0018]所述侦听命令由合法侦听代理设备下发,其中,所述合法侦听代理设备位于核心网内,并且所述合法侦听代理设备侦听至少一个本地网关。
[0019]当所述侦听命令由所述合法侦听代理设备下发时,所述合法侦听设备将携带有所述被侦听用户的标识的所述侦听命令发送给归属签约用户服务器,通过所述归属签约用户服务器根据所述被侦听用户的标识确定与所述被侦听用户归属的本地网关对应的所述合法侦听代理设备的IP地址,所述合法侦听设备根据所述归属签约用户服务器确定的所述合法侦听代理设备的IP地址将所述侦听命令发送给所述本地网关。
[0020]所述方法还包括:
[0021 ]将所述侦听命令发送给移动管理节点,以使所述移动管理节点将根据所述侦听命令中的所述被侦听用户的标识查找所述被侦听用户的信令控制数据;
[0022]接收所述移动管理节点反馈的所述信令控制数据。
[0023]在将所述侦听命令下发给所述被侦听用户归属的本地网关之后,所述方法还包括:
[0024]接收所述本地网关发送的所述被侦听用户的其他信令控制数据和通信数据,所述其他信令控制数据和所述通信数据是所述本地网关根据所述被侦听用户的标识获取的;
[0025]其中,所述其他信令控制数据和所述通信数据中包含有所述本地网关分配的标记;
[0026]发送的所述其他信令控制数据和所述通信数据中的所述标记是相同的,标记相同的所述其他信令控制数据和所述通信数据是根据同一所述被侦听用户的标识获取的。
[0027]在接收所述本地网关发送的所述被侦听用户的其他信令控制数据和通信数据之后,所述方法还包括:
[0028]将所述其他信令控制数据和所述信令控制数据合并生成所述被侦听用户总的所述信令控制数据;
[0029]将具有相同标记的所述被侦听用户总的所述信令控制数据和所述通信数据进行关联,以便进行数据分析。
[0030]所述被侦听用户的标识至少包括以下一种:
[0031]国际移动用户识别码IMS1、国际移动识别码IME1、移动用户综合业务数字网码MSISDN、网络访问身份NAI。
[0032]一种侦听装置,所述侦听装置包括:
[0033]获取模块,流量在本地网关进行卸载的场景下,用于获取侦听命令,其中,所述侦听命令中包括被侦听用户的标识;
[0034]发送模块,用于将所述侦听命令下发给所述被侦听用户归属的本地网关,以使所述本地网关根据所述被侦听用户的标识对所述被侦听用户进行侦听。
[0035]所述发送模块,还用于:
[0036]在将所述侦听命令下发给所述被侦听用户归属的本地网关之前,将所述被侦听用户的标识发送给移动管理节点移动管理节点,以使所述移动管理节点根据所述被侦听用的标识确定所述被侦听用户归属的所述本地网关的IP地址;
[0037]所述发送模块,还具体用于:
[0038]接收的所述移动管理节点确定的所述被侦听用户归属的所述本地网关的IP地址;
[0039]根据所述被侦听用户归属的所述本地网关的IP地址将所述侦听命令下发给所述被侦听用户归属的所述本地网关。
[0040]所述侦听命令由合法侦听设备下发;或,
[0041]所述侦听命令由合法侦听代理设备下发,其中,所述合法侦听代理设备位于核心网内,并且所述合法侦听代理设备负责侦听至少一个本地网关。
[0042]当所述侦听命令由所述合法侦听代理设备下发时,所述合法侦听设备将携带有所述被侦听用户的标识的所述侦听命令发送给归属签约用户服务器,通过所述归属签约用户服务器根据所述被侦听用户的标识确定与所述被侦听用户归属的本地网关对应的所述合法侦听代理设备的IP地址,所述合法侦听设备根据所述归属签约用户服务器确定的所述合法侦听代理设备的IP地址将所述侦听命令发送给所述本地网关的。
[0043]所述发送模块,还具体用于:
[0044]将所述侦听命令发送给移动管理节点,以使所述移动管理节点将根据所述侦听命令中的所述被侦听用户的标识查找所述被侦听用户的信令控制数据;
[0045]所述侦听装置,还包括:
[0046]接收模块,用于接收所述移动管理节点反馈的所述信令控制数据。
[0047]所述接收模块,还用于:
[0048]在将所述侦听命令下发给所述被侦听用户归属的本地网关之后,接收所述本地网关发送的所述被侦听用户的其他信令控制数据和通信数据,所述其他信令控制数据和所述通信数据是所述本地网关根据所述被侦听用户的标识获取的;;
[0049]其中,所述其他信令控制数据和所述通信数据中包含有所述本地网关分配的标记;
[0050]发送的所述其他信令控制数据和所述通信数据中的所述标记是相同的,标记相同的所述其他信令控制数据和所述通信数据是根据同一所述被侦听用户的标识获取的。
[0051 ]所述侦听装置,还包括:
[0052]合并模块,在接收所述本地网关发送的所述被侦听用户的其他信令控制数据和通信数据之后,用于将所述其他信令控制数据和所述信令控制数据合并生成所述被侦听用户总的所述信令控制数据;
[0053]关联模块,用于将具有相同标记的所述被侦听用户总的所述信令控制数据和所述通信数据进行关联,以便进行数据分析。
[0054]所述被侦听用户的标识至少包括以下一种:
[0055]国际移动用户识别码IMS1、国际移动识别码IME1、移动用户综合业务数字网码MSISDN、网络访问身份NAI。
[0056]—种侦听方法,所述方法应用于流量在本地网关进行卸载的场景下,所述方法包括:
[0