专利名称:对代理移动因特网协议网络中目标的合法侦听的制作方法
技术领域:
本发明涉及在电信系统中用于提供保留或侦听数据到合法侦听请求实体的方法 和布置。具体而言,本发明涉及在电信网络中使用基于代理移动因特网协议的架构和协议 时目标的合法侦听。
背景技术:
在许多国家中,基于机关(执法机构)为进行包括恐怖行为等罪行和刑事犯罪的 侦查、调查和起诉而提出的请求,运营商和因特网服务提供商有义务根据合法要求来提供 特定目标订户的业务数据,包括存储数据和从公共电信和因特网服务生成的通信的内容。这些要求已经通过各种3GPP电信网络(即3GPP标准覆盖的电信网络)中允许对 目标合法侦听的方法和系统而得以满足。欧盟(EU)内的倡议管制数据保留的法律基础。例如,欧盟议会采纳了一组修改, 这些修改批准了委员会有关数据保留提议的指令(指令2006/24/EC)。在此指令中,描述了 初始要求和将如何处理指令的扩展。因此,运营商遵守当前法规的工作的基本部分是确保 过程和工具能适合于处理数据保留的范围的拓展。技术规范ETSI DTS/LI-00039给出订户和电信的保留数据的输送和相关联问题的 指导。具体而言,此类规范提供了执法机构和其它经授权的请求机关的与用于保留的业务 数据和订户数据的移交(Handover)接口有关的一组要求。技术规范ETSI DTS/LI-00033 包含用于有关保留数据的欧盟指令2006/24/EC中识别的数据的移交要求和移交规范。在不断进行的集成异类通信网络和协议的过程中,3GPP现在正在指定演进分组系 统(EPS),该系统允许使用一些IETF移动性协议,如代理移动因特网协议v6,其功能架构和 有关协议在草案IETF"Proxy Mobile IPv6”中定义。为此目的,在TS 23. 402"Architecture enhancements for non_3GPP Accesses (Release 8),,中,3GPP 指定了允许使用 PMIPv6 协 议和允许非3GPP终端使用3GPP网络从运营商获得服务的一种架构。显然,t艮据 3GPP TS 33. 107 "3G Security ;Lawful Interception Architecture and Functions (Release 8) ”中定义的3GPP标准合法侦听架构,使用基于3GPP的网络的每 个运营商仍被要求满足可包括非3GPP终端的目标的法律和法规要求。不过,用于3GPP网络架构的现有合法侦听解决方案不涵盖通过使用诸如代理移 动因特网协议v6(PMIPv6)等IETF协议来处理终端的移动性的情况。使用非3GPP接入从3GPP网络获得电信服务的情况也未涵盖。
发明内容
本发明的目标是克服上述缺点。在此目标内,本发明的一个目的是提供相对于非3GPP终端且具体而言在网络中 为其使用了代理移动因特网协议架构和功能的目标上可允许应用合法侦听功能性的方法 和系统。
将在下文变得更明白的此目标和其它目的通过一种用于在电信网络中为执法机 构提供与通过移动接入网关连接到电信网络的代理移动因特网协议域中的目标移动节点 有关的保留或侦听结果的方法来实现,该方法包括配置所述移动接入网关和本地移动性锚 的至少一个作为侦听控制元件来操作的步骤。通过一种合法侦听系统,也实现了上述目标和目的,该系统用于与通过移动接入 网关连接到电信网络的代理移动因特网协议域中的目标移动节点有关的业务数据的保留 或业务数据和通信内容的侦听,其中,本地移动性锚和所述移动接入网关的至少一个配置 成作为侦听控制元件来操作。本发明还涉及包括软件代码的部分的计算机程序以便在侦听控制元件或数据保 留源的处理器操作时实现如上所述的方法。具体而言,所述计算机程序可加载到移动接入 网关或本地移动性锚的至少一个中以将所述至少移动接入网关或本地移动性锚配置为可 在根据本发明的合法侦听或数据保留系统中操作的侦听控制元件或数据保留源。此类计算 机程序能够存储在计算机可读媒体上,该媒体可以是侦听控制元件或数据保留源内的永久 性或可重写存储器,或者能够位于外部。相应计算机程序也可传输到侦听控制元件或数据 保留源(例如,作为信号序列经由电缆或无线链路来传输)。
从附图中通过非限制性示例示出的特定但非排它的实施例的详细描述,将更好地 明白本发明的另外特性和优点,其中图1示出基于代理移动因特网协议的网络中移动节点的功能架构;图2是根据本发明的第一方面的合法侦听系统的布置,其中,移动接入网关或本 地移动性锚充当侦听控制元件。图3是根据本发明的第二方面的合法侦听系统的布置,其中,移动接入网关或本 地移动性锚充当数据保留源。图4是示出根据本发明的一方面的数据侦听的流程图。
具体实施例方式图1示出基于代理移动因特网协议的网络中移动节点(1)的功能架构。一旦移动节点1进入移动代理因特网协议v6域2,并且附连到接入链路,在识别移 动节点1并获得其身份后,该接入链路上的移动接入网关3 (MAG)便确定移动节点1是否针 对基于网络的移动性管理服务被授权。如果网络2已确定基于网络的移动性管理服务应提供到该移动节点1,则网络2确 保使用网络允许的任何地址配置机制的移动节点1可获得连接接口上的地址配置,并且在 该代理移动因特网协议域中的任何位置移动。获得的地址配置可包括来自其归属网络前缀(或多个前缀)的地址(或多个地 址)、链路上的默认路由器地址和其它有关配置参数。从移动节点1的角度而言,整个代理移动因特网协议域可显示为单个链路。网络 2可负责移动节点1认为它始终在它获得其最初地址配置的相同链路上(甚至该网络中其 附连点已更改)。
4
移动节点1可以是仅IPv4节点、仅IPv6节点或双重IPv4/IPv6节点。基于网络 中为该移动节点启用的功能,移动节点将能够获得IPv4、IPv6或双重IPv4/IPv6地址,并且 在该代理移动因特网协议域中任何位置移动。本领域技术人员理解,只要协议保持的技术 定义类似于代理移动因特网协议v6的特征,便可使用因特网协议的将来版本。如果移动节点1通过将其地址配置从一个接口移到另一接口来执行接口间切换, 并且如果本地移动性锚4 (LMA)从服务移动接入网关3 (MAG)接收有关其的切换提示,则本 地移动性锚4可在切换之前指派它以前指派的相同网络前缀。移动节点1也可能通过将其附连点从第一移动接入网关3更改到使用相同接口的 不同移动接入网关3'来执行切换,并且可因此能够保留附连接口上的地址配置。在移动节点1与移动接入网关之间设置隧道以携带分组所需的移动节点1与定义 的功能实体之间的过程及移动接入网关3与本地移动性锚4之间的信令如草案IETF"ft~0Xy Mobile IPv6”中所定义的,为本领域技术人员所知,并且在此不详细描述。此类过程可例如包括路由器请求和路由器通告、代理绑定更新和代理绑定接受、 取消注册代理绑定更新。隧道化的分组的格式也被指定并且能在本发明的优选实施例中使 用。代理移动因特网协议v6域中移动节点的身份是移动节点1的稳定标识符,移动性 实体在代理移动因特网协议v6域中能获得和使用该标识符以便可预测地识别移动节点。 这一般可以是诸如网络接入标识符(NAI)等标识符。参照图2和4,公开根据本发明的用于在合法侦听系统10中访问通信有关数据的 架构。合法侦听系统10可包括为目标用户的用户设备提供对电信网络的接入的侦听控 制元件(ICE) 11。根据本发明,本地移动性锚4和/或移动接入网关3定义为侦听控制元件11以便 侦听作为合法侦听目标的移动节点1的通信的信令和内容。包括本地移动性锚4和/或移 动接入网关3的网络节点可同样定义为侦听控制元件。根据本发明的合法侦听系统10可还包括一个或多个执法监视设施(LEMF) 12,相 应执法机构(LEA)可通过其接收侦听信息。管理功能(ADMF)实体13可还配置用于将从相应执法机构收到的合法侦听授权数 据和目标身份发送到侦听控制元件11。管理功能13可通过第一移交接口 14(HIl)与可在侦听网络中要求侦听的所有执 法机构接口,并且可使各个执法机构的侦听活动分开以及接口到侦听网络。管理功能13也可用于向侦听控制元件11隐藏相同目标上不同执法机构的多个激 活可能已经是活动的。另外,可将管理功能13分区以确保分隔来自不同机构的供应数据。每个物理侦听控制元件11可借助于其自己的Xl_l接口链接到管理功能13。因此, 每个单个侦听控制元件11可执行侦听,即激活、停用、询问及调用,而与其它侦听控制元件 11无关。为将侦听到的信息输送到执法机构,可提供两个输送功能(DF)实体,每个实体通 过Xl_2和Xl_3接口与管理功能13以及与执法监视设施12交换信息的相应部分。
具体而言,输送功能DF2实体15可配置成通过X2接口接收侦听控制元件11的侦 听有关信息(IRI),并且借助于仲裁功能(MF) 17,经由第二移交接口 16(HI2)转换和分发侦 听有关信息到相关执法机构。侦听有关信息可以是与涉及目标身份的电信服务相关联的信息或数据集,例如呼 叫关联的信息或数据(例如不成功的呼叫尝试)、服务关联的信息或数据(例如订户的服务 简档管理)及位置信息。输送功能DF3实体18可配置成通过X3接口接收侦听控制元件11的通信内容(CC) 信息,并且通过仲裁功能19和第三移交接口(HI3) 20转换和分发此类信息到相关执法机 构。通信内容可以是与侦听有关信息不同的信息,其在电信服务的两个或更多用户之 间交换,并且一般地说可包括作为某一电信服务的部分能够由一个用户存储以便另一用户 以后检索的信息。在根据本发明的操作中,对特定目标的合法侦听的激活可通过使用网络接入标识 符在xi_l接口上执行。每次在本地移动性锚4中或移动接入网关3中检测到基于代理移动因特网协议的 事件时,可由本地移动性锚4和移动接入网关3在X2接口上提供侦听有关信息。同样地,此类事件可包括路由器请求和通告、代理绑定更新和接受及取消注册代 理绑定更新。本领域技术人员理解,可报告如代理移动因特网协议中为每个消息定义的适用参 数。本领域技术人员还理解,侦听有关信息可由实现本地移动性锚和/或移动接入网关功 能性的其它网络节点来提供。作为侦听目标的移动节点1的侦听到的通信内容可由本地移动性锚4和/或移动 接入网关通过X3接口来复制。侦听到的通信内容可由实现本地移动性锚和/或移动接入 网关功能的其它网络节点来复制。本发明因此具体参考代理移动因特网协议v6,定义了一种机制,该机制能够使用 以便在使用基于代理移动因特网协议的网络架构和协议时允许目标的合法侦听。本发明已 根据IETF定义的逻辑功能进行描述,但它适合于实现此类逻辑功能的任何网络节点。所有业务信息可用于适当存储以便满足与数据保留有关的可能的法律要求。在此方面,图3示出根据本发明的用于在通信服务提供商21 (CSP)中保留数据的 一种布置。具体而言,可为通信服务提供商21提供数据保留系统(DRS) 23以便与可以是执 法机构(LEA)的请求机关M交换保留数据有关信息。通信服务提供商21 (CSP)可包括配置成作为数据保留源来操作的本地移动性锚4 和移动接入网关3。通信服务提供商21与请求机关M之间交换的数据可包括请求机关M的请求、来 自数据保留系统23的对应消息及其它数据保留信息,如请求的结果和接收的确认。通信服 务提供商21和数据保留系统23与请求机关交换上述数据所通过的接口称为移交接口。通用移交接口采用双端口结构,其中,管理请求/响应信息和保留数据信息在逻 辑上是分开的。具体而言,第一移交接口端口 HI-A 25可配置成传输来/往于请求机关M 和通信服务提供商21处负责保留数据事项的由管理功能27标识的组织的各种类型的管理、请求和响应信息。第二移交接口 HI-B 26可配置成将储存库四中存储的保留数据信息从通信服务 提供商21传输到请求机关24。各个保留数据参数在可用时必须发送到请求机关M至少一 次。为此目的,可提供仲裁/输送功能28,以便从储存库9检索保留数据并将此类数据通过 HI-B 26以适合的格式转发到请求机关对。显然,在不脱离本发明范围的情况下,几个修改将为本领域技术人员所明白并且 能够容易做出。因此,权利要求的范围不应限于以示例形式在描述中给出的优选实施例或 图示,相反,权利要求应涵盖属于本发明的具有专利新颖性的所有特征,包括本领域技术人 员将视为等同的所有特征。具体而言,鉴于以上描述,明白在此文本中和在随附权利要求 中,术语“本地移动性锚”和“移动接入网关”涵盖实现此类功能的任何网络节点。在任何权利要求中提及的技术特征带有引用符号的情况下,那些引用符号的包括 只是为了增加权利要求的可理解性的目的,并且相应地,此类引用符号对通过示例由此类 引用符号识别的每个元件的解释无任何限制效应。
权利要求
1.一种用于在电信网络中为执法机构提供与通过移动接入网关C3)连接到所述电信 网络的代理移动因特网协议域O)中的目标移动节点(1)有关的侦听或保留数据的方法, 包括配置所述移动接入网关C3)和本地移动性锚的至少一个作为侦听控制元件(11) 或数据保留源来操作的步骤。
2.如权利要求1所述的方法,其中所述本地移动性锚(4)和所述移动接入网关(3)均 配置成作为侦听控制元件(11)或数据保留源来操作。
3.如权利要求1或2所述的方法,还包括使用与所述目标移动节点(1)相关联的网络 接入标识符来激活对于所述目标移动节点(1)的合法侦听。
4.如权利要求3所述的方法,其中所述目标移动节点(1)上合法侦听的激活由所述 本地移动性锚(4)或所述移动接入网关( 在将所述侦听控制元件(11)连接到管理功能 (13)的Xl_l接口上来执行。
5.如权利要求4所述的方法,还包括在所述本地移动性锚(4)中或在所述移动接入网 关(3)中检测到基于代理移动因特网协议的事件时提供侦听有关信息的步骤。
6.如权利要求5所述的方法,其中所述基于代理移动因特网协议的事件包括以下事件 的至少一个路由器请求、路由器通告、代理绑定更新、代理绑定接受、取消注册代理绑定更 新。
7.如权利要求5或6所述的方法,其中所述侦听有关信息通过将所述侦听控制元件 (11)连接到输送功能(15)的X2接口来提供。
8.如前面权利要求任一项所述的方法,其中所述代理移动因特网协议是代理移动因特 网协议v6。
9.一种用于与通过移动接入网关C3)连接到电信网络的代理移动因特网协议域(2) 中的目标移动节点(1)有关的数据的保留或侦听的合法侦听系统(10),其中本地移动性 锚(4)和所述移动接入网关(3)的至少一个配置成作为侦听控制元件(11)或数据保留源 (22)来操作。
10.如权利要求9所述的合法侦听系统,其中所述本地移动性锚4和所述移动接入网关 (3)均配置成作为侦听控制元件(11)或数据保留源来操作。
11.一种移动接入网关(3)或实现此类功能的任何网络节点,配置成作为用于如权利 要求9所述的合法侦听系统(10)的侦听控制元件(11)来操作。
12.—种本地移动锚(4)或实现此类功能的任何网络节点,配置成作为用于如权利要 求9所述的合法侦听系统(10)的侦听控制元件(11)来操作。
13.—种移动接入网关(3)或实现此类功能的任何网络节点,配置成作为用于如权利 要求9所述的合法侦听系统(10)的数据保留源来操作。
14.一种本地移动锚(4)或实现此类功能的任何网络节点,配置成作为用于如权利要 求9所述的合法侦听系统(10)的数据保留源来操作。
15.一种包括如权利要求9所述的执法系统(10)的电信网络。
16.一种计算机程序,可加载到移动接入网关C3)或本地移动性锚(4)的至少一个中以 将所述至少移动接入网关( 或本地移动性锚(4)配置为可在如权利要求(9)所述的合法 侦听系统中操作的侦听控制元件(11)或数据保留源。
全文摘要
一种用于在电信网络中为执法机构提供与通过移动接入网关(3)连接到电信网络的代理移动因特网协议域(2)中的目标移动节点(1)有关的侦听和/或保留数据的方法,包括配置所述移动接入网关(3)和本地移动性锚(4)的至少一个作为侦听控制元件(11)或数据保留源来操作的步骤。
文档编号H04M3/22GK102106132SQ200880130550
公开日2011年6月22日 申请日期2008年7月24日 优先权日2008年7月24日
发明者M·伊奥维诺 申请人:爱立信电话股份有限公司