专利名称:Data retention and lawful intercept for IP services的制作方法
技术领域:
本发明涉及在包括数据保留(DR)源和/或侦听控制元件(ICE)的电信系统中用 于向合法侦听请求实体提供数据的方法和设置。更具体地,本发明可以在其中实现的电信 系统包括充当DR源或ICE以分别用于业务数据的保留或侦听的业务节点。
背景技术:
现今在许多国家中运营商和互联网业务供应商受法律要求强制提供存储的从公 共电信和互联网业务产生的流量数据(traffic data),用于犯罪和刑事犯罪(包括恐怖主 义)的侦查、调查和起诉的目的。在欧盟(EU)内还有许多立法提案权用于给数据保留规定法律基础。EU议会采用 一组修正案并且由此批准理事会的提出的对数据保留的指令(指令2006/24/EC)。在该指 令中,描述了初始要求和将如何处理该指令的外延。因此,运营商努力遵从当前法规的必不 可少的部分是保证过程和部件可以适应于处理数据保留的范围的扩大。技术规范ETSI DTS/LI-00039给出对电信和用户的保留的数据的传递和关联问题 的指导。特别地,ETSI DTS/LI-00039提供涉及由执法和其他授权的请求机构保留的流量 数据和用户数据的移交接口的一组要求。该要求用于支持关于数据保留的2006年3月15 日欧洲议会的和理事会的指令2006/24/EC的实现。技术规范ETSIDTS/LI-00033包含EU 指令2006/24/EC中对于保留的数据识别的数据的移交要求和移交规范。图1描绘在通信业务供应商1 (CSP)中用于保留数据的已知设置。具体地,可包含 现有通信系统2的CSP1提供有用于与请求机构4(其可以是执法机构(LEA))交换保留数 据相关的信息的数据保留系统(DRS)3。CSP1和请求机构4之间交换的数据包括来自请求机构4的请求、来自DRS的相应 响应和其他DR信息,例如请求的结果和接收确认。CSP和DRS通过其与请求机构交换上文 的数据的接口记为移交接口。该一般移交接口采用二端口结构,其中管理请求/响应信息和保留数据信息在逻 辑上分开。特别地,第一移交接口端口 HI-A 5配置成从/向请求机构4和在CSP1对保留 数据事务负责的组织传输由管理功能7识别的各种种类的管理请求和响应信息。第二移交接口 HI-B 6配置成从CSP1传输存储在储存库9中的保留数据信息到请 求机构4。个体保留数据参数必须发送到请求机构4至少一次(如果可用的话)。为了这 个目的,提供居中/传递功能(Mediation/Delivery Function) 8,用于从存储部件9检索保 留的数据并且采用合适的格式将此数据通过该HI-B 6转发给请求机构4。用于访问通信相关数据的第二系统是众所周知的合法侦听(LI)系统,其在图2中 描绘。标准架构10包括侦听控制元件(ICE) 11,其向目标用户的用户设备提供对电信网络 的接入。ICE可例如是3G移动服务交换中心(MSC)服务器、3G网关MSC服务器、GPRS服务 支持节点(SGSN)或网关GSN(GGSN)。该架构10进一步包括一个或多个执法监视设施(LEMF) 12,各个LEA通过该设施12接收侦听信息。管理功能(ADMF)实体13进一步配置用于从LEA发送目标身份和LI授权数据到 ICE。ADMF 13通过第一移交接口 14(HI1)与可在侦听网络中要求侦听的所有LEA联接,保 持各个LEA的侦听活动分开并且联接到侦听网络。ADMF13还用于对ICE 11隐瞒可能有通 过不同LEA对相同目标的多重激活。ADMF13可被分割以确保从不同机构的信息供应数据的 分开。每个物理ICE11通过它自己的XII接口链接到ADMF。因此,每个单个ICE独立于 其他ICE执行侦听,即激活、去激活、询问以及调用。为了传递侦听的信息到LEA,提供两个传递功能(DF)实体,各自与ADMF13 (通过 Xl_2和Xl_3接口)和LEMF12交换信息的相应部分。特别地,DF2实体15配置成通过X2接口从ICE接收侦听相关信息(IRI),并且借 助居中功能(MF) 17通过第二移交接口 16(HI2)转换并且分发IRI给有关LEA。IRI是包含目标身份的与电信业务关联的信息或数据集合,例如呼叫关联信息或 数据(例如不成功的呼叫尝试)、业务关联信息或数据(例如通过用户的业务轮廓管理)和
位置信息。作为替代地,DF3实体18配置成通过X3接口从ICE11接收通信内容(CC)信息, 并且通过MF19和第三移交接口(HI3)转换并且分发此信息给有关LEA。CC是与IRI不同的信息,其在电信业务的两个或更多用户之间交换,并且更一般 地,包括可作为某个电信业务的一部分由一个用户存储以供另一个用户随后检索的信息。在最近的发展中,当前IP网络可以提供有深度分组检查特征以用于用更好的服 务和用户感知改进运营商的现有架构。参照图3,深度分组检查功能通常由在业务感知支持节点21 (SASN)中存在的内容 分析器元件22实现。SASN执行流量的状态分析,其实现更丰富的分组检查(例如,事件探 测基于该特征)。当探测到新的协议流(例如TCP连接)时,在SASN中分配实体以存储它 的状态和关联参数。该实体称为分析流。对于相同的用户会话可以存在若干个流,每个待 分析的状态协议有一个流。该内容分析器22配置成语法分析用户入局流量(traffic) 23,根据正使用的协议 对这些流划界,并且根据可配置分类规则提取由流量分类引擎24使用的若干参数。深度分组检查的结果用于将原始流量分组划分到许多可配置流量类别或虚拟种 类中。流量类别的示例是到某个站点的万维网导航、IP流量、FTP下载等等。虚拟会话是 代表用户数据会话内所有相同类型的流量的实体。分组分析是借此将分组识别为属于某些协议并且从其中提取有用信息的过程。分组分析由内容分析器22的协议引擎24执行。该协议引擎24由若干协议分析 器25构成,每个支持的协议对应其中一个协议分析器25。协议分析器25彼此链接以建立 协议分析堆栈。通过一个分组的分析获得的参数集合称为分组上下文(PacketContext)。该分组 上下文包含已经由若干协议分析器获得的参数。分类引擎24的规则引擎26配置成一旦协议引擎24已经分析那些分组并且它们 的分组上下文已经被提取则将流量分组27分类。
分类引擎24的示例在图4中示出。分类规则是由逻辑算子将其组合为布尔表达 式的分组上下文参数(例如,协议状态和统一资源标识符)的可配置组合。由不同的协议分析器暴露的协议字段和状态可以用于创建流量分类规则28a、 28b,28c并且可以包括在事件详细记录(EDR)中。EDR代表深度分组检查的报告并且包含由所有协议分析器共享的第一组字段和对 于由对应协议分析器分析的流量特有的其他组字段,例如HTTP字段和IP字段。EDR是用完全可由运营商配置的信息产生的使用记录,从而获得巨大的灵活性。 EDR灵活性在两个方面提供EDR字段和EDR产生规则。为了便于集成,EDR可使用行业标准作为它们的格式,例如CSV和XML。当集成数据保留或合法侦听技术方案用于IP业务时,存在一些数据保留源或侦 听控制元件(ICE),通过使用分组检查特征从其中检索涉及在不同的TCP/IP堆栈层的通信 的信息是可能的。在与数据/侦听请求机构的DR/LI移交接口处存在问题,因为通过该移交接口交 换的通信涉及不同的TCP/IP堆栈层。例如,在已知的可以检索涉及在不同的TCP/IP堆栈 层的通信的信息的DR系统中,请求LEA从DR系统接收对于堆栈层中的每个分别保留的数 据,例如在应用层(层5)、在传输层(层4)、在网络层(层3)和在数据链路层(层2)的保 留数据。相似地,在已知的可以检索涉及在不同的TCP/IP堆栈层的通信的信息的LI系统 中,LEA/LEMF可以从LI居中功能2分别接收包含应用层信息的IRI、包含传输层信息的 IRI、包含网络层信息的IRI和包含数据链路层信息的IRI。在一些情况下,来自不同通信堆栈层的数据可从多个不同源采集并且将它们相互 关联是不可能的。例如,GPRS节点可提供专用IP地址,其通过NAT功能转变为公用IP地 址,其最终到达消息服务器。在该情况下,IP地址将不足以将不同层的通信相互关联。结果,当前不存在在移交接口上将在不同堆栈层的通信相互关联的可能性。
发明内容
本发明的目的是提供克服上文的缺点的方法和DR/LI系统节点。该目的和将在下文中变得更明显的其他目标由用于向执法机构LEA提供涉及目 标用户的保留或侦听数据的方法实现。在电信网络的数据保留源节点或侦听控制元件处, 检查牵涉目标用户的流量分组并且基于检查的流量分组产生多个使用数据记录。每个记录 包括涉及某个业务种类和相应通信堆栈层的信息。对于牵涉多个不同通信堆栈层的每个通 信会话,分别在数据保留源节点或侦听控制元件处,多个使用数据记录提供有相同的相关 身份号以用于将不同通信堆栈层的数据相互关联。于是,包括该相关身份号的使用数据记 录发送到LEA,例如分别到LI系统或数据保留系统。优选地,该相关身份号识别通信堆栈层中的最低通信堆栈层。该相关身份号可以 是指派给在该最低通信堆栈层中的通信会话的唯一通信身份号CIN。在该情况下,每个使用 数据记录可已经包括识别相应通信堆栈层中的相应会话的另外的CIN,其伴随该唯一 CIN。数据保留源节点和侦听控制元件可以是业务感知支持节点SASN。上文的目的和目标还通过包括分组检查部件和用于与数据保留系统通信的部件的数据保留源节点实现。该分组检查部件配置成基于检查的流量分组产生多个使用数据记 录。每个记录包括涉及某个业务种类和相应通信堆栈层的信息。该分组检查部件进一步配 置成向牵涉多个不同通信堆栈层的每个通信会话提供多个使用数据记录,其中具有相同的 相关身份号用于将不同通信堆栈层的数据相互关联。该数据保留源节点进一步包括用于发 送包括该相关身份号的使用数据记录到数据保留系统的部件。此外,本发明的目的和目标通过包括用于提供侦听相关信息(IRI)和通信内容 (CC)给合法侦听(LI)系统的分组检查部件的侦听控制元件(ICE)实现。该分组检查部件 配置成基于检查的流量分组产生多个IRI,每个IRI包括涉及某个业务种类和相应通信堆 栈层的信息。该分组检查部件进一步配置成向牵涉多个不同通信堆栈层的每个通信会话提 供多个IRI,其具有相同的相关身份号用于将不同通信堆栈层的数据相互关联。该ICE还包 括用于发送包括该相关身份号的IRI到LI系统的部件。本发明还关注包括软件代码的部分的计算机程序,以便当在数据保留源节点的或 ICE的处理器上运行时实现如上文描述的方法。这样的计算机程序可以存在计算机可读介 质上。该计算机可读介质可以是在数据保留源节点或ICE内的永久性或可重写存储器或可 以位于外部。相应计算机程序还可以传送到数据保留源节点或到ICE,例如作为信号序列通 过电缆或无线链路传送。根据本发明的特定方面,提供计算机程序,其可载入数据保留源节点的或侦听控 制元件的处理器并且其包括适应于进行下列步骤的代码a)检查牵涉目标用户的流量分组;b)基于检查的流量分组产生多个使用数据记录,其中每个记录包括涉及某个业务 种类和相应通信堆栈层的信息;c)对于牵涉多个不同通信堆栈层的每个通信会话,提供多个使用数据记录,其具 有相同的相关身份号用于将不同通信堆栈层的数据相互关联;d)发送包括该相关身份号的使用数据记录到执法机构。本发明有利地允许将涉及不同堆栈层(它们是TCP/IP层或0SI层)处的通信的 数据相互关联,特别地通过使用现有DR和LI功能性将不同层处的数据相互关联。获得更高效和完整的方案,其涉及待探测用于调查目的的例如互联网业务等业 务。特别地,LEA提供有关于目标用户的通信的更详细信息,允许LEA检索涉及IP业务(窄 带和宽带、固定和移动、涵盖任何类型的现有或未来的网络业务)的流量数据。本发明甚至基于连接(采用该连接而将目标用户牵涉在内)使位置识别机制在移 交接口上成为可能。
本发明另外的特性和优势将从特定但非排它性的实施例的详细说明变得更明显, 该实施例通过非限制性示例在附图中图示,其中图1是提供有数据保留(DR)能力的业务的已知设置;图2是合法侦听系统的已知设置;图3示出可在本发明中使用的业务感知支持节点(SASN)的典型结构;图4示出图3的SASN的分类引擎;
图5是根据本发明的第一实施例的包括具有DR源节点的DR系统的电信系统;图6是图5的系统的运行的流程图;图7是根据本发明的第二实施例的包括具有ICE的LI系统的电信系统;图8是图7的系统的运行的流程图;图9示出通信堆栈层的等级结构。
具体实施例方式参照图5,包含根据本发明的第一实施例的特征的电信系统30包括业务感知支持 节点(SASN)21、自动数据保留系统DRS 32、网关33和多个连接到该网关33的网络。这样 的网络可包括GraS/UMTS网络34、CDMA网络35a_35b、运营商业务网络36、互联网37和/ 或公司内联网38。DRS 32包括配置成通过移交接口 HI_A 40a与执法机构(LEA) 40交换管理、请求和 响应信息的管理功能32a。另外,DRS 32包括居中/传递功能32b,其配置成从DRS 32的存储部件32c检索保 留数据并且通过移交接口 HI-B 40b将这样的数据采用根据本发明的格式转发给LEA 40。SASN21优选地包括如上文论述的内容分析器22、协议引擎24_25、分类引擎24和 规则引擎26并且根据本发明进一步配置。SASN还可包括另外的处理/分类元件。一般来说,SASN 21能够过滤涉及特定业务的通信内容,特别地能够截获IP流量 分组并且通过深度分组检查特征分析它们,以便提供业务感知。SASN 21可以位于必须监视的流量的路径中的IP网络30的任意点中,例如它可以 如在图5中连接到网关33或可自己作为网关运行。用户流量和可能的RADIUS流量因此由 SASN 21从网关33截获。作为备选地,SASN 21可自己限定为在用户数据流量的路径上的 两个中间元件之间的默认网关。利用该类型的节点,检索如像GGSN、SGSN、PDSN的业务未感知节点,或网络34、 35a、35b、36、37和38的其他节点提供的信息以及如其他业务感知节点提供的信息两者,这 是可能的。例如,由网络34的GGSN提供的信息与移动用户(由IMSI和MSISDN识别)的接 入、小区id和PDP地址有关。作为另一个示例,由互联网接入业务(IAS)通过互联网37提供的信息可以是涉及 下列的数据互联网接入(例如 Access_attempt、Access_failed、Session_start 等)、用 户名(或其他用于识别的令牌)、互联网接入的类型(例如拨号、ADSL、电缆调制解调器、LAN 接入)、指派的IP地址、用于层2接入的目标CPE或用于拨号的目标PSTN/ISDN号的MAC地 址。SASN 21配置成建立分开的使用数据记录,例如每个堆栈层和每个业务种类的事 件详细记录EDR,并且将其发送到DRS 32,SASN 21通过通信通道39双向连接到DRS 32。 特别地,DRS 32的居中功能配置成从SASN21检索使用数据记录(例如,使用SFTP协议)并 且采集使用数据记录用于进一步处理。SASN 21特征在于它配置成引入唯一相关身份号以向请求机构40报告正报告的 数据涉及相同的用户会话。
该唯一相关身份在对于某个业务和某个堆栈层的每个使用记录中引入并且对于 用户会话的所有使用记录是相同的。优选地,该唯一相关身份是唯一通信身份号(CIN)。如已知的,CIN在例如IRI等消息的首部中使用以将单个通信会话内并且对于相 同堆栈层的数据相互关联。在本发明的优选实施例中,相反,单个CIN用于将多个堆栈层 (例如在堆栈层中的多个或所有)的单个通信会话内的数据相互关联。注意到标准ETSI TS 102232,通信会话的标识符由网络标识符(NID)、通信身份号 (CIN)和传递国家代码(DCC)构成。CIN用于唯一地识别通信会话。在单个通信会话内询问的所有结果具有相同CIN。 该CIN允许在某层的数据准确地被关联。利用限定为数据保留源(如在图5中)或作为ICE(如将参照图7描述)的SASN, 在其中一层中的每个会话将通过CIN识别。为了将各种层之中的会话相互关联在一起, SASN引入附加CIN。例如,当传递涉及层4、7和7+的数据时,附加CIN选择成等于关于层 3传递的CIN。优选地,SASN配置成当传递较高等级层会话时传递识别低层会话的CIN为附加 CIN。这样,向LEA报告从较低层会话的检查获得较高等级会话相关数据的信息是可能的。参照DR系统,该唯一 CIN通过使用数据记录传递并且可以是当传递较高等级层会 话时识别最低层会话的CIN。移交接口 HI-B配置成使用该唯一 CIN将DRS存储器中采集的不同堆栈层的信息 相互关联。特别地,不同的流被关联并由居中/传递功能32b传递到LEA 40。电信系统30可如下运行。参照图6,充当数据保留源的SASN 21产生涉及某个用 户会话和某个堆栈层的使用数据记录。根据本发明,每个使用数据记录包括对于每个协议 堆栈层的涉及IP业务的特定信息、用于将相同层的数据相互关联的CIN和用于将不同堆栈 层的信息相互关联的所含的唯一 CIN。优选地,附加CIN识别堆栈的低层,例如数据链路层。在步骤101中,SASN 21传送具有IP业务的应用层信息并且具有应用层 CIN(CIN4)和唯一 CIN(Cim)的使用数据记录到居中功能32b。相似地,在步骤102中SASN 21传送具有IP业务的传输层信息并且具有传输层 CIN(CIN3)和唯一 CIN(Cim)的使用数据记录。再次,在步骤103和104中SASN 21传送分别具有网络和数据链路层信息的使用 数据记录,该记录包括唯一 CIN Cmi。具有网络层信息的记录携带网络层CIN(CIN2),而具 有数据链路层信息的记录携带数据链路CIN(Cim),其也同样存在于在步骤101-104中传 送的使用数据记录中的所有中。上文的使用数据记录使用例如SFTP协议从SASN21传送到居中功能32。在步骤105-108中由居中功能32b基于接收的使用数据记录产生并且包括附加的 唯一 CIN的转交的使用记录(mediated usage record)存储在DRS储存库32c中。在步骤109中,LEA40使用HI_A接口以移交涉及用户的IP业务保留数据(例如 FTP下载、基于万维网的下载或流传输)的请求。响应于该请求,在步骤110-113中DRS 32通过HI_B接口传递请求的分别在应用、 传输、网络和数据链路层的保留数据到LEA 40,通过Cmi将在较高层的信息与在较低层的 信息相互关联。
参照图7,包含根据本发明的第二实施例的特征的电信系统包括业务感知支持节 点(SASN)41、合法侦听系统LI 42、网关44和多个连接到该网关44的网络。这样的网络可 包括GPRS/UMTS网络45、CDMA网络46a_46b、运营商业务网络47、互联网48和/或公司内 联网49。LI 42包括配置成通过移交接口 HI1与执法监视功能(LEMF) 43交换管理、请求和 响应信息的管理功能50。另外,LI 42包括传递功能251,其配置成通过X2接口从充当ICE的SASN 41接收 侦听相关信息(IRI),并且借助居中功能(MF) 51a通过第二移交接口 HI2转换并且分发该 IRI 给 LEMF 43。LI 42还包括传递功能352,其配置成通过X3接口从SASN 41接收通信内容(CC) 信息,并且通过居中功能MF 52a和第三移交接口 HI3转换并且分发这样的信息给LEMF 43。该SASN优选地包括如上文关于图3论述的内容分析器、协议引擎、分类引擎和规 则引擎并且根据本发明进一步配置。该SASN还可包括另外的处理/分类元件。SASN 41可以位于IP网络的任意点中。例如该SASN可以如在图7中连接到网关 44。用户流量和可能的RADIUS流量因此由SASN41从网关44截获。SASN 41配置成建立对于每个业务种类的分开的IRI,并且通过X2接口将其发送 到LI 42。IRI包括用于向LEMF 43报告正报告的数据涉及相同的用户会话的唯一相关身 份。图7的LI系统可如在图8中示出的运行。在步骤201中,LEMF基于特定业务(例 如FTP下载、HTTP万维网浏览、互联网接入等)的使用识别需要侦听其流量的目标用户。在步骤202,ADMF 50请求SASN 41激活涉及指定目标的业务感知侦听。该目标因此当使用某个业务例如当网络冲浪时被探测。SASN 41然后使用它的深 度分组检查能力以产生对于每个业务种类的分开的IRI。特别地,SASN 41基于特定业务仅 侦听并且过滤相关流量,并且转发IRI到MF2/DF251。除现有的用于将相同层的数据相互关 联的CIN(CINU CIN2、CIN3、CIN3)外,附加CIN(CINl)被包含以用来将在不同堆栈层的信 息相互关联。例如,在步骤203中,SASN 41向MF2/DF2提供包含应用层信息、CIN4和唯一 CIN 的原始IRI,该唯一 CIN选择为涉及例如层2等低堆栈层的CIN(CINl)。在步骤204中,MF2/DF251将侦听的流量转换为要求的标准格式并且通过HI2将 它发送到在LEMF 43运行的采集功能。相似地,在步骤205,SASN 41向MF2/DF2发送包含传输层信息、CIN3和唯一标识 符cmi的原始IRI。在步骤206中这样的IRI在适当转换后转发给LEMF 43。在步骤207,SASN 41向MF2/DF2发送包含网络层信息、CIN2和唯一标识符Cim 的原始IRI。然后,在步骤208中MF2/DF2转换这样的IRI并且将它们转发给LEMF 43。最终,在步骤209中SASN41向MF2/DF2发送包含层2信息、CIN1和唯一标识符 CIN1的原始IRI。在步骤210中MF2/DF2将转换接收的侦听信息为适当的格式并且将它转 发给LEMF。该LEMF将最后通过使用唯一 CIN(CINl)作为相关数将接收的具有各个不同堆栈 层之中的接收的CC的IRI相互关联。
在图9中示出提供给LEA的关于在不同层相关的信息的示例。如注意到的,从承 载通道(bearer)开始,上到网络层直到应用层向LEA提供涉及每个用户会话的完整堆栈是 可能的。本领域内技术人员容易理解关于图6和8描述的步骤可由通过常规技术程序化的 任何硬件和/或软件和电信部件执行以便考虑本发明需要的附加信息和运行数据。本发明 因此优选地通过明显在平均水平技术人员的能力范围内的常规技术在现有系统中引入新 功能性实现,并且因此不详细论述。注意根据本发明的相关机制允许在数据保留或合法侦听系统中引入位置识别功 能性,因为它提供链接到待保留或侦听的业务的源/目的IP地址。如已知的,位置信息涉及IP地址和层2接入信息(例如MAC地址)。IP地址和层 2接入信息可以不仅用于识别连接的装置还用于描述该装置的“位置”。例如,考虑IPv6地址,将128位地址分为两个部分(64位路由段和64位身份段) 是可能的,其允许每个有线/无线装置具有独立于它的连接到互联网的当前点的唯一 IP地 址。更具体地,IPv6地址具有网络前缀,其描述在网络中支持IPv6的装置的位置和向该装 置提供唯一身份号的接口 ID。该网络前缀可以基于用户在网络中的位置改变,而接口 ID可 以仍然是静态的。该静态接口 ID允许具有唯一地址的装置维持一致身份而它在网络中的 位置可以变化。如另一个示例,在IPv4中,对于移动性的方式是使用两个IP地址以详尽描述移动 装置。该移动装置使用固定IP地址,代表装置的身份。这样的身份IP地址传递到本地移动基站,其然后将该移动装置的身份地址,以及 当前移动站的地址通知该移动装置的原驻站。一旦分组到达原驻基站,该分组封装进IP传输报头,其具有新目的IP地址(最近 的移动基站的)。在该移动基站,外部IP传输报头被去掉并且原始分组直接传递到移动装置。在本发明中,通过使用相关的信息,执法机构将能够接收涉及使用的IP业务的、 关联于将一直通过唯一 CIN作为相关身份而提供的识别和位置信息的细节。实际上,通过 该唯一 CIN,LEA将一直能够将例如在应用层接收的信息与在网络层信息中提供的IP地址 相互关联。LEA最后将从这样的IP地址通过常规部件检索目标的位置。已经示出本发明完全实现计划的目的和目标,因为它向数据保留或合法侦听请求 机构提供适应于将在不同堆栈层的数据相互关联的信息,该数据通常从数据保留源或ICE 分别发送到请求机构。该数据甚至可从不同的源采集并且仍然可以在各个不同堆栈层互相关联。明显地,若干修改将对本领域内技术人员是明显的并且可以由他们容易做出而不 偏离本发明的范围。因此,权利要求的范围不应该被采用示例形式在说明中给出的图示或 优选实施例限制,相反权利要求应该涵盖存在于本发明的可取得专利的新颖性的特征中的 所有,其包括将由本领域内技术人员当作等同物的所有特征。在任意权利要求中提到的技术特征跟有标号的情况下,那些标号已经为了增加权 利要求的可理解性的唯一目的而被包括,因此这样的标号对于由这样的标号通过示例识别 的每个元件的解释不具有任何限制效果。
权利要求
一种用于向执法机构LEA提供涉及目标用户的保留或侦听数据的方法,包括以下步骤在电信网络的数据保留源节点或侦听控制元件处, 检查牵涉所述目标用户的流量分组; 基于所述检查的流量分组产生多个使用数据记录,每个记录包括涉及某个业务种类和相应通信堆栈层的信息; 对于牵涉多个不同通信堆栈层的每个通信会话,向所述多个使用数据记录提供相同的相关身份号以用于将所述不同通信堆栈层的数据相互关联; 发送包括所述相关身份号的所述使用数据记录到所述LEA。
2.如权利要求1所述的方法,其中所述相关身份号识别所述通信堆栈层的最低通信堆 栈层。
3.如权利要求2所述的方法,其中所述相关身份号是在所述最低通信堆栈层中指派给 所述通信会话的唯一通信身份号CIN。
4.如权利要求3所述的方法,其中每个使用数据记录包括识别相应通信堆栈层中的相 应会话的另外的CIN。
5.如权利要求4所述的方法,其中所述电信网络包括数据保留系统,其连接到所述LEA 并且连接到所述数据保留源节点并且包括居中功能、传递功能和存储装置,并且其中所述 发送步骤包括从所述数据保留源节点传送下列内容到所述居中和传递功能 -包括IP业务的应用层信息、唯一 CIN和用于将所述应用层的数据相互关联的CIN的 至少一个使用数据记录,-包括IP业务的传输层信息、唯一 CIN和用于将所述传输层的数据相互关联的CIN的 至少一个使用数据记录,-包括IP业务的网络层信息、唯一 CIN和用于将所述网络层的数据相互关联的CIN的 至少一个使用数据记录,-包括IP业务的数据链路层信息、唯一 CIN和用于将所述数据链路层的数据相互关联 的CIN的至少一个使用数据记录;所述这些使用数据记录在已经从所述数据保留源节点接收后由所述居中功能转交并 且从所述居中和传递功能传送到所述存储装置。
6.如权利要求5所述的方法,进一步包括由所述LEA发送涉及所述目标用户的IP业务 保留数据的请求到所述数据保留系统、从所述存储装置检索所述转交的使用数据记录并且 通过所述唯一 CIN将所述使用数据记录相互关联的步骤。
7.如权利要求4所述的方法,其中所述电信网络包括合法侦听系统,其连接到所述LEA 并且连接到所述侦听节点并且包括居中功能和传递功能,其中所述使用数据记录是侦听相 关信息IRI并且其中所述发送步骤包括从所述侦听节点传送下列内容到所述居中和传递功能-包括应用层信息、所述唯一 CIN和用于将所述应用层的数据相互关联的CIN的至少一 个 IRI,-包括传输层信息、所述唯一 CIN和用于将所述传输层的数据相互关联的CIN的至少一 个 IRI,-包括网络层信息、所述唯一 CIN和用于将所述网络层的数据相互关联的CIN的至少一 个 IRI,-包括IP业务的层2信息、所述唯一 CIN和用于将所述层2层的数据相互关联的CIN 的至少一个IRI ;所述IRI中的每一个在已经从所述侦听节点接收后由所述居中功能转交并且从所述 居中和传递功能传送到所述LEA。
8.如权利要求1-7中一项或多项所述的方法,其中所述数据保留源节点或所述侦听控 制元件是业务感知支持节点SASN。
9.一种包括分组检查部件的数据保留源节点,其特征在于,所述节点包括用于与数据 保留系统通信的部件,并且在于,所述分组检查部件配置成基于检查的流量分组产生多个 使用数据记录,每个记录包括涉及某个业务种类和相应通信堆栈层的信息;所述分组检查 部件进一步配置成向牵涉多个不同通信堆栈层的每个通信会话提供所述多个使用数据记 录,其具有相同的相关身份号以用于将所述不同通信堆栈层的数据相互关联;所述数据保 留源节点进一步包括用于发送包括所述相关身份号的所述使用数据记录到所述数据保留 系统的部件。
10.如权利要求9所述的数据保留源节点,其中所述相关身份号识别所述通信堆栈层 的最低通信堆栈层。
11.如权利要求10所述的数据保留源节点,其中所述相关身份号是在所述最低通信堆 栈层中指派给所述通信会话的唯一通信身份号CIN。
12.如权利要求11所述的数据保留源节点,其中每个使用数据记录包括识别相应通信 堆栈层中的相应会话的另外的CIN。
13.如权利要求9-12中一项或多项所述的数据保留源节点,其中所述数据保留源节点 是业务感知支持节点SASN。
14.一种具有数据保留功能性的电信网络,特征在于,它包括如权利要求12所述的数 据保留源节点、执法机构LEA和连接到所述LEA并且到所述数据保留源节点的数据保留系 统,所述数据保留系统包括居中功能、传递功能和存储装置,其中用于发送所述使用数据记 录的所述部件包括用于从所述数据保留源节点传送下列内容到所述居中和传递功能的部件-包括IP业务的应用层信息、所述唯一 CIN和用于将所述应用层的数据相互关联的 CIN的至少一个使用数据记录,-包括IP业务的传输层信息、所述唯一 CIN和用于将所述传输层的数据相互关联的 CIN的至少一个使用数据记录,-包括IP业务的网络层信息、所述唯一 CIN和用于将所述网络层的数据相互关联的 CIN的至少一个使用数据记录,-包括IP业务的数据链路层信息、所述唯一 CIN和用于将所述数据链路层的数据相互 关联的CIN的至少一个使用数据记录;所述居中功能配置成从所述数据保留源节点接收所述使用数据记录并且转交所述接 收的使用数据记录,并且所述传递功能配置成传送所述转交的使用数据记录到所述存储装 置,所述传递功能进一步配置成通过移交接口 HI-B从所述存储装置传送所述转交的使用数据记录到所述LEA。
15.如权利要求14所述的电信网络,其中所述数据保留系统配置成通过移交接口HI-A 从所述LEA接收涉及所述目标用户的IP业务保留数据的请求,从所述存储装置检索所述转 交的使用数据记录并且通过所述唯一 CIN将所述使用数据记录相互关联。
16.一种包括用于提供侦听相关信息IRI和通信内容CC给合法侦听LI系统的分组检 查部件的侦听控制元件ICE,特征在于,所述分组检查部件配置成基于检查的流量分组产生 多个IRI,每个IRI包括涉及某个业务种类和相应通信堆栈层的信息;所述分组检查部件进 一步配置成向牵涉多个不同通信堆栈层的每个通信会话提供所述多个IRI,其具有相同的 相关身份号以用于将所述不同通信堆栈层的数据相互关联;所述ICE包括用于发送包括所 述相关身份号的所述IRI到所述LI系统的部件。
17.如权利要求16所述的ICE,其中所述相关身份号识别所述通信堆栈层的最低通信 堆栈层。
18.如权利要求17所述的ICE,其中所述相关身份号是在所述最低通信堆栈层中指派 给所述通信会话的唯一通信身份号CIN。
19.如权利要求18所述的ICE,其中每个IRI包括识别相应通信堆栈层中的相应会话 的另外的CIN。
20.如权利要求16-19中一项或多项所述的ICE,其中所述ICE是业务感知支持节点 SASN0
21.一种具有合法侦听功能性的电信网络,特征在于,它包括如权利要求16所述的侦 听控制元件、执法机构LEA和连接到所述LEA并且到所述ICE的合法侦听LI系统,所述LI 系统包括至少一个居中功能2和传递功能2,其中用于发送所述IRI的所述部件包括从所述ICE传送下列内容到所述居中和传递功能2 -包括应用层信息、所述唯一 CIN和用于将所述应用层的数据相互关联的CIN的至少一 个 IRI,-包括传输层信息、所述唯一 CIN和用于将所述传输层的数据相互关联的CIN的至少一 个 IRI,-包括网络层信息、所述唯一 CIN和用于将所述网络层的数据相互关联的CIN的至少一 个 IRI,-包括IP业务的层2信息、所述唯一 CIN和用于将所述层2层的数据相互关联的CIN 的至少一个IRI ;所述居中功能2配置成在所述IRI已经从所述CIE接收后转交所述IRI中的每一个并 且通过移交接口 HI2将所述IRI传送到所述LEA。
22.—种可载入数据保留源节点的或侦听控制元件的处理器的计算机程序,其中所述 计算机程序包括适应于进行下列步骤的代码a)检查牵涉所述目标用户的流量分组;b)基于所述检查的流量分组产生多个使用数据记录,每个记录包括涉及某个业务种类 和相应通信堆栈层的信息;c)对于牵涉多个不同通信堆栈层的每个通信会话,提供所述多个使用数据记录,其具 有相同的相关身份号以用于将所述不同通信堆栈层的数据相互关联;d)发送包括所述相关身份号的所述使用数 据记录到LEA。
全文摘要
文档编号H04L29/06GK101953138SQ20088012755
公开日2011年1月19日 申请日期2008年2月21日 优先权日2008年2月21日
发明者Imbimbo Amedeo, Attanasio Francesco 申请人:Ericsson Telefon Ab L M