专利名称:一种实现监听的方法
技术领域:
本发明涉及监听技术,特别是指一种通过简化对验证、鉴权、计费服务器(AAA,Authentication Authority Accounting)的监听而实现的监听方法。
背景技术:
合法监听是指在法律允许范围内,国家安全部门监听特定用户电信业务的活动。根据国家安全部门的要求,所有运营的通信网络,必须使国家安全部门的合法监听中心(LIC,Lawful Information Center)能够对目标用户进行监听,并提供实现监听的监听接口,如合法监听接口。图1示出了监听系统结构示意图,如图1所示,LIC通过合法监听接口在通信网络中设定需监听的目标用户,当目标用户在通信网络中进行通信活动时,通信网络将目标用户通信活动的通信事件和通信内容,通过合法监听接口上报至LIC,LIC完成对相关信息的存储和分析,从而实现对目标用户的监听。以上所述的通信网络包括公共交换电话网络(PSTN,Public Switched Telephone Network)、全球移动通信(GSM,Global System for Mobile Communication)网络、码分多址(CDMA,Code Division Multiple Access)通信网络、以及未来的宽带码分多址(WCDMA,Wide Code Division Multiple Access)通信网络、下一代网络(NGN)等。
在WCDMA通信网络中,对目标用户实施监听的是通信网元,可为MSC、HLR、短消息中心(SMC)、服务通用分组无线业务支持节点(SGSN,Serving GPRS Support Node)、网关通用分组无线业务支持节点(GGSN,Gateway GPRS Support Node)、网关移动位置中心(GMLC,Gateway MobileLocation Center)等。
目前,通信业务主要分为两大类,一类是基于电路交换的电路型业务,另一类是基于分组交换的分组型业务。
图2示出了LIC与WCDMA通信网络的连接关系示意图,如图2所示,LIC通过合法监听接口与WCDMA通信网络中的通信网元、如MSC、HLR、网关MSC(GMSC)、SMC、GMLC、SGSN、GGSN、AAA服务器等相连接,实现对WCDMA通信网络中目标用户的监听。
目前,通常是将通信网络中的各通信网元与LIC相连,当目标用户进行通信活动时,相应通信网元将目标用户通信活动的通信事件和通信内容上报至LIC,以实现LIC对目标用户通信活动的监听。但是,这样就会使被监控的通信网元过多,各个通信网元都要提供合法监听接口,极大地增加了监听系统的复杂性。
发明内容
有鉴于此,本发明的目的在于提供一种实现监听的方法,通过简化对AAA服务器的监听来简化监听系统的架构。
为了达到上述目的,本发明提供了一种实现监听的方法,合法监听中心在GGSN中设定需监听的目标用户,目标用户接入外部网络,AAA服务器对目标用户进行鉴权,该方法包含步骤AGGSN收到来自AAA服务器的接入响应后,向合法监听中心上报携带有用户接入信息的接入事件报告。
所述目标用户接入网络、AAA服务器对目标用户进行鉴权包括步骤A0目标用户的UE通过SGSN向GGSN发送PDP激活请求,GGSN收到PDP激活请求后,向AAA服务器发送携带有用户接入信息的接入请求,AAA服务器根据收到的用户接入信息和存储的用户鉴权认证信息对用户进行鉴权,然后向GGSN返回接入响应。
所述步骤A0之前进一步包括网络侧通知目标用户的UE发起PDP上下文激活流程。
所述用户接入信息是由GGSN对来自目标用户的PCO信元进行解析来获取的。
所述用户接入信息中包括用户标识和密码;该用户信息可进一步包括IP地址,还可进一步包括鉴权结果,或认证类型,或接入点名称,或所述接入外部网络的发起方,或以上任意的组合。
如果目标用户通过AAA服务器的鉴权,则步骤A中所述接入响应中携带有成功标识;如果目标用户未通过AAA服务器的鉴权,则步骤A中所述接入响应中携带有失败标识。
目标用户通过AAA服务器的鉴权后,AAA服务器进一步为目标用户分配IP地址,则步骤A中所述接入响应中进一步包括所述IP地址。
步骤A中所述GGSN收到来自AAA服务器的接入响应之后,进一步包括GGSN通过SGSN向目标用户的UE返回PDP激活响应;如果步骤A中所述接入响应中携带有成功标识,则所述PDP激活响应中携带有成功标识;如果步骤A中所述接入响应中携带有失败标识,则所述PDP激活响应中携带有失败标识。
根据本发明提出的方法,GGSN在收到来自AAA服务器的接入响应后,向LIC上报用户用于访问外部网络的用户接入信息,通过对GGSN的Gi接口上鉴权流程的监听来替代对AAA服务器的监听,减少了监听方案中设置的被监控通信网元的数量,简化了监听系统的架构。
图1示出了监听系统结构示意图;图2示出了LIC与WCDMA通信网络的连接关系示意图;图3示出了本发明中监听实现过程示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
在通信网络中,由于AAA服务器对用户的业务身份认证信息和鉴权信息进行管理,这些信息包括用户标识、密码,AAA服务器中同时还存储有为用户分配的网际协议(IP)地址等其他用户相关信息,以上各信息组成了用户接入信息,即用于用户访问外部网络的信息。对AAA服务器进行监听,能够获取用户访问外部网络的用户标识、密码、IP地址等用户接入信息,因此,现有技术根据合法监听原则将AAA服务器作为一个被监控的通信网元。但是,在现有的实际应用中,用户发起分组数据协议上下文(PDP Context,Packet Data Protocol Context)激活流程时,GGSN将通过AAA服务器实现对用户的接入鉴权,根据配置,AAA服务器还可为用户分配IP地址。
在PDP上下文激活过程中,GGSN向AAA服务器发送接入请求,该接入请求中携带有用户标识、密码、认证类型等用户接入信息,这些用户接入信息可通过对来自用户的协议配置选项(PCO)信元的解析来获取;AAA服务器收到接入请求后,根据收到的用户接入信息和自身存储的用户鉴权认证信息对用户进行鉴权,然后向GGSN返回接入响应,如果用户通过鉴权,则接入响应中携带有成功标识,用以通知GGSN准许用户接入;如果用户未通过鉴权,则接入响应中携带有失败标识,用以通知GGSN拒绝用户接入。GGSN收到接入响应后,根据接入响应中携带的内容确定是否准许用户接入,如果是,则准许用户接入,激活PDP上下文;否则,拒绝用户接入。
由以上描述可见,用户标识、密码等用户接入信息通过GGSN向AAA服务器发送的接入请求已完全得到体现,因此,通过对GGSN的Gi上接口鉴权流程的监听,就能够达到对AAA服务器进行监听的目的,因此,本发明的监听实现方案中,不再将AAA服务器设置为被监控的通信网元,即AAA服务器不再与LIC相连,而是仅通过将GGSN设置为被监控的通信网元,设置GGSN在收到来自AAA服务器的接入响应后,向LIC上报用户用于访问外部网络的用户接入信息,以实现对用户接入信息的监听。
图3示出了本发明中监听实现过程示意图,如图3所示,通过GGSN实现对AAA服务器的监听的具体过程包括以下步骤步骤301~步骤302用户设备(UE)向SGSN发送PDP激活请求,准备使用分组业务,该PDP激活请求中可携带有用户接入信息、PDP类型、接入点名称(APN)、要求的服务质量(QoS)参数等信息,用户接入信息可为用户标识、密码等相关信息,以上PDP激活请求中携带的各信息可封装在PCO信元中;SGSN收到PDP激活请求后,向GGSN转发该PDP激活请求。APN可由UE向SGSN提供,SGSN根据APN寻址到相应GGSN,GGSN根据APN确定UE所要访问的外部网络;UE也可不向SGSN提供APN,此时,由SGSN根据UE用户的签约信息选择缺省的APN。
步骤303GGSN收到PDP激活请求后,对PCO信元进行解析,以获取用户接入信息,然后向AAA服务器发送携带有用户接入信息的接入请求。
步骤304AAA服务器收到接入请求后,根据收到的用户接入信息和自身存储的用户鉴权认证信息对用户进行鉴权,如果用户通过鉴权,则向GGSN返回携带有成功标识的接入响应,如果AAA服务器为用户分配了IP地址,则该接入响应中还携带有分配的IP地址;如果用户未通过鉴权,则向GGSN返回携带有失败标识的接入响应,进一步地,该接入响应中可携带有相应的失败原因。
步骤305GGSN收到接入响应后,向LIC上报接入事件报告,该接入事件报告中携带有用户接入信息,如用户标识、密码等信息,具体携带内容参见表一。
如果GGSN收到的接入响应中携带有成功标识,则步骤306~步骤307为GGSN向SGSN发送携带有成功标识的PDP激活响应;SGSN收到PDP激活响应后,向UE发送携带有成功标识的PDP激活响应,准许UE用户接入,UE用户开始使用分组业务。
如果GGSN收到的接入响应中携带有失败标识,则步骤306~步骤307为GGSN向SGSN发送携带有失败标识的PDP激活响应;SGSN收到PDP激活响应后,向UE发送携带有失败标识的PDP激活响应,拒绝UE用户接入。
步骤305与步骤306~步骤307之间没有明显的时间顺序,既可以先执行步骤305,再执行步骤306~步骤307;也可以先执行步骤306~步骤307,再执行步骤305;还可以在执行步骤306~步骤307时,执行步骤305。
如果PDP上下文激活流程是由用户发起的,则直接由步骤301开始;如果PDP上下文激活过程是由网络侧发起的,则网络侧、如GGSN或SGSN首先通知UE发起PDP上下文激活流程,UE收到该通知后,由步骤301开始。
表一表一为接入事件报告中携带的内容,其中,M为必选参数,O为可选参数,C为条件可选参数。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种实现监听的方法,合法监听中心在GGSN中设定需监听的目标用户,目标用户接入外部网络,AAA服务器对目标用户进行鉴权,其特征在于,该方法包含A、GGSN收到来自AAA服务器的接入响应后,向合法监听中心上报携带有用户接入信息的接入事件报告。
2.根据权利要求1所述的方法,其特征在于,所述目标用户接入网络、AAA服务器对目标用户进行鉴权包括A0、目标用户的UE通过SGSN向GGSN发送PDP激活请求,GGSN收到PDP激活请求后,向AAA服务器发送携带有用户接入信息的接入请求,AAA服务器根据收到的用户接入信息和存储的用户鉴权认证信息对用户进行鉴权,然后向GGSN返回接入响应。
3.根据权利要求2所述的方法,其特征在于,所述步骤A0之前进一步包括网络侧通知目标用户的UE发起PDP上下文激活流程。
4.根据权利要求1或2所述的方法,其特征在于,所述用户接入信息是由GGSN对来自目标用户的PCO信元进行解析来获取的。
5.根据权利要求1或2所述的方法,其特征在于,所述用户接入信息中包括用户标识和密码。
6.根据权利要求5所述的方法,其特征在于,所述用户信息进一步包括IP地址。
7.根据权利要求6所述的方法,其特征在于,所述用户信息进一步包括鉴权结果,或认证类型,或接入点名称,或所述接入外部网络的发起方,或以上任意的组合。
8.根据权利要求1、2或3所述的方法,其特征在于,如果目标用户通过AAA服务器的鉴权,则步骤A中所述接入响应中携带有成功标识;如果目标用户未通过AAA服务器的鉴权,则步骤A中所述接入响应中携带有失败标识。
9.根据权利要求8所述的方法,其特征在于,目标用户通过AAA服务器的鉴权后,AAA服务器进一步为目标用户分配IP地址,则步骤A中所述接入响应中进一步包括所述IP地址。
10.根据权利要求8所述的方法,其特征在于,步骤A中所述GGSN收到来自AAA服务器的接入响应之后,进一步包括GGSN通过SGSN向目标用户的UE返回PDP激活响应;如果步骤A中所述接入响应中携带有成功标识,则所述PDP激活响应中携带有成功标识;如果步骤A中所述接入响应中携带有失败标识,则所述PDP激活响应中携带有失败标识。
全文摘要
本发明公开了一种实现监听的方法,合法监听中心在GGSN中设定需监听的目标用户,目标用户接入外部网络,AAA服务器对目标用户进行鉴权,该方法包含GGSN收到来自AAA服务器的接入响应后,向合法监听中心上报携带有用户接入信息的接入事件报告。本发明通过对GGSN的Gi接口上鉴权流程的监听来替代对AAA服务器的监听,减少了监听方案中设置的被监控通信网元的数量,简化了监听系统的架构。
文档编号H04M3/22GK1658684SQ20051005570
公开日2005年8月24日 申请日期2005年3月18日 优先权日2005年3月18日
发明者黄华, 陈锋 申请人:华为技术有限公司