专利名称:合法监听的方法和系统的制作方法
技术领域:
本发明涉及移动通讯领域和互联网领域,涉及一种身份标识和位置分离网络中的全网实施合法监听的方法。
背景技术:
关于下一代信息网络架构的研究是当前最热门的课题之一,目前大多数研究接受的观点是未来网络将以互联网为统一承载网络。然而,互联网的结构还远远没有达到最优,存在很多重大的设计问题,其中比较典型的是IP地址的双重属性的问题,即IP地址既代表用户身份,又代表用户所处的网络拓扑,即IP地址的双重属性。IP地址双重属性的内在矛盾将导致路由可扩展问题、移动性问题、多家乡问题及 安全和位置隐私问题等一系列问题。为解决IP地址的双重属性所带来的问题,中兴通讯提出了如图I所示的身份标识和位置分离网络架构,在图I中,此身份标识和位置分离系统SILSN由接入服务器ASR(Access Service Router)和用户终端UE (User Equipment)、身份标识和位置登记寄存器 ILR(Identification&Location Register)以及认证中心 AC (Authentication Center)等组成。其中接入服务器ASRl和ASR2用来接入用户终端设备UE1、UE2,负责为用户终端实现接入,并承担计费、切换等功能,ILR承担用户的位置注册和身份识别功能,AC承担用户接入认证功能,UEl和UE2分别存在唯一的身份标识符(Access Identification)AIDl和AID2。图I所示网络有如下特征此网络内每个用户只有经过严格认证才能接入,用户在发送每个数据包时,都同时携带自己的真实用户接入标识符AID,此符号仅分配给该用户使用且全网唯一,用户在各种业务中所发送的数据包都一直携带此标识符,用户发送的每个数据包都必须经过接入服务器ASR验证,保证用户发出的数据包携带的是自己的接入身份标识,不会假冒其他用户AID接入网络,并且此标识符在网内传送时将一直保持不变,当用户在移动或切换时,此标识符也不会发生变化。为描述方便,下文将此用户身份标识和位置分离网络简称为SILSN(SubscriberIdentif ier&Locator Separation Network)。本发明所述方法是基于此SILSN架构来解决全网动态合法监听的问题。由于防恐等警务信息需要,各国法律往往规定电信企业开展的业务必须能被合法机构监听。合法监听(Lawful Interception),是指为了收集证据、查明犯罪事实,利用电信技术对监听对象的电子通信予以探知并记录的一种秘密侦查措施。合法监听可以由侦查机关直接来实施,也可以通过电信服务提供者协助来实施。这种实施的过程对于被监听对象而言,属于秘密的侦查过程,故对于电信服务提供者而言,应当满足一定的保密要求。如图2是IP数据服务的合法监听的模型,其组成部分包括法律强制机构(LEA,Law Enforcement Agency)、管理模块(LI Administration Function)、仲裁设备(LIMD, Mediation Device)、监听相关信息监听接入点(Intercept RelatedInformationIntercept Access Point)、监听内容监听接入点(Content ofCommunication InterceptAccess Point)。“监听内容监听接入点”是运营商网络中的某个设备节点,一般是具有合法监听功能的路由器或交换机。“监听相关信息监听接入点”一般指网络的认证、管理设备,例如AAA服务器(AAAServer, Authentication, Authorization, Accounting)和 DHCP 服务器,它为监听者提供地址、时间等信息。“管理模块”和“仲裁设备”合称为仲裁系统,仲裁系统与“法 律强制机构”和运营商的“网络单元”交互,其中“管理模块”是为运营商或者“法律强制机构”提供服务的,用来管理和控制监听;“仲裁设备”负责从“网络单元”中获得监听信息,并将信息通过标准的接口传递给“法律强制机构”。合法监听信息分为两类监听内容(Contentof Communication,简称 CC):邮件、语音等。监听相关信息(InterceptRelated Information,简称 IRI):包括 IP地址、时间、网络位置。目前,在SILSN网络架构下,还没有实现监听功能。另外,在现有的合法监听方案中,IRI信息包括用户的IP地址,CC内容信息也由IP地址和内容组成。IP地址存在二义性,既代表被监听者的身份,也代表被监听者的位置。当被监听者在现有网络中发生移动时,IP地址发生变化,即被监听者的身份信息和位置信息都发生了变化。这给监听带来了麻烦。现有的解决方案通常有两种,一为向所有被监听者可能接入的设备布控进行监听,二为被监听者移动后,人工通知被监听者最新的所在地的司法机构进行监听。以上两种方案都有其缺陷,第一种方案布控不灵活,使网络中产生大量冗余配置;第二种方案会中断监听,可能遗漏重要信息。
发明内容
本发明要解决的技术问题是提供一种合法监听方法和系统,以解决身份标识和位置分离网络架构中还没有监听方案的问题。为解决以上技术问题,本发明提供了一种合法监听方法,该方法基于用户身份标识和位置分离网络实现,该网络中的身份位置寄存器(ILR)负责保存及维护终端的第一信息与第二信息的映射关系,该方法包括监控中心向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的第一信息;所述ILR根据所述信息监听命令中的第一信息查询对应的映射关系,并向所述监控中心上报所述被监听终端的第二信息。进一步地,所述ILR还负责检测被监听终端的映射关系中的第二信息是否发生变化,所述ILR向所述监控中心上报所述第二信息后,若检测到被监听终端的位置标识变化,则向所述监控中心上报最新的被监听终端的第二信息。
进一步地,所述第一信息为所述终端的身份标识,所述第二信息包括所述终端的位置标识。为解决以上技术问题,本发明还提供了另一种合法监听方法,该方法基于用户身份标识和位置分离网络实现,该网络中的身份位置寄存器(ILR)负责保存及维护终端的身份标识与相关信息的映射关系,所述相关信息包括所述被监听终端的位置标识,该方法包括监控中心向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的身份标识;所述ILR根据所述信息监听命令中的身份标识查询对应的映射关系,并向所述监控中心上报所述被监听终端的相关信息;监控中心根据所述被监听终端的位置标识向所述被监听终端所在的接入服务器 (ASR)下发内容监听命令,其中包括所述被监听终端的身份标识;所述ASR根据所述内容监听命令复制被监听终端的相关报文并转发给所述监控中心。进一步地,所述相关报文监听命令中包括报文类型,所述ASR根据所述报文类型获取相应的报文并上报。进一步地,所述ILR还负责检测被监听终端的映射关系中的位置标识是否发生变化,所述ILR向所述监控中心上报所述位置标识后,若检测到被监听终端的位置标识变化,则向所述监控中心上报最新的被监听终端的相关信息;所述监控中心接收后,向新的ASR下发内容监听命令。为解决以上技术问题,本发明提供了一种合法监听系统,该系统基于用户身份标识和位置分离网络实现,该系统包括监控中心的信息监听模块,用于向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的第一信息;还用于接收所述ILR上报的所述被监听终端的第二信息;所述ILR的映射关系维护模块,用于保存及维护终端的所述第一信息与第二信息的映射关系;所述ILR的信息上报模块,用于根据所述信息监听命令中的第一信息查询对应的映射关系,并向所述监控中心上报所述被监听终端的第二信息。为解决以上技术问题,本发明还提供了另一种合法监听系统,该系统基于用户身份标识和位置分离网络实现,该系统包括监控中心的信息监听模块,用于向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的身份标识;还用于接收所述ILR上报的所述被监听终端的相关信息;所述ILR的映射关系维护模块,用于保存及维护终端的身份标识与相关信息的映射关系,所述相关信息包括所述被监听终端的位置标识;所述ILR的信息上报模块,用于根据所述信息监听命令中的身份标识查询对应的映射关系,并向所述监控中心上报所述被监听终端的相关信息;所述监控中心的内容监听模块,用于根据所述被监听终端的位置标识向所述被监听终端所在的接入服务器(ASR)下发内容监听命令,其中包括所述被监听终端的身份标识;还用于接收所述ASR上报的被监听终端的相关报文;
所述ASR的内容监听模块,用于根据所述内容监听命令复制被监听终端的相关报文并转发给所述监控中心。本发明方法和系统通过由监听中心向保存映射关系的身份标识和位置寄存器发送监听命令的方式,实现了对动态的映射关系的信息监听,以及基于该信息监听的内容监听。
图I是身份标识和位置分离网络架构示意图;图2是现有IP网络合法监听模型示意图;图3是本发明合法监听方法实施例I的流程示意图;
图4是本发明合法监听方法实施例2的流程示意图;图5是合法监听应用实例的流程示意图;图6是本发明合法监听系统实施例I的模块结构示意图;图7是本发明合法监听系统实施例I的模块结构示意图;图8是本发明合法监听系统实施例I的模块结构示意图;图9是本发明合法监听系统实施例I的模块结构示意图。
具体实施例方式由于SILSN网络中用户发送每一个数据包都携带用户的接入身份标识AID,而且此接入身份标识在网络传输中可以唯一不变,并且用户在网络中进行移动时,该AID也不会改变,全网唯一。在图2中,用户UEl和UE2分别通过ASRl和ASR2接入网络,并需要经过AC进行接入认证。认证成功之后,ASR会将用户的位置信息上报到ILR。本发明将身份标识和位置分离网络(SILSN)中负责维护或保存有身份标识与UE相关信息的映射关系的网元统称为身份标识和位置寄存器(ILR),可理解的,该ILR可以是包括分布在网络中具有关联关系的一系列节点,也可以是对应整个网络的一个节点,其还可能有其他的称呼,比如映射服务器等。如前所述,合法监听信息分为两类一类是监听内容(Content of Communication,简称CC),本发明中,也称为被监听UE的相关报文包括被监听的UE发送及接收的各种报文,比如邮件、语音、视频等。另一类是监听相关信息(Intercept Related Information,简称IRI),本发明中也称为被监听UE相关信息指除被监听的UE自身相关的信息,如其当前位置标识、入网时间、先前位置标识等。在本发明中,被监听UE相关信息至少包括其位置标识。可理解地,在SILSN网络中UE的位置标识一定程度上体现了 UE的位置信息,监控中心获知该位置信息可以达到一定程度的监控目的。以下利用UE的身份标识在全网的唯一性,以及ILR保存的UE的相关信息的及时性,提供一种监听方法,如图3所示,该方法实施例I包括步骤301 :监控中心向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的身份标识;
步骤302 :所述ILR根据所述信息监听命令中的身份标识查询对应的映射关系,并向所述监控中心上报所述被监听终端的相关信息。该步骤中,ILR需要根据监听命令中的被监听终端的身份标识查询本地数据库,从而得到该被监听终端的包括其位置标识在内的相关信息。以上方法将与身份标识和位置分离网络结合起来,利用用户AID的全网唯一性来进行对用户进行比较粗放的监听。为了达到更全面的监听需要,比如侦查机关在某些时候不仅需要被监听终端的相关信息,还需要该被监听终端拨打或接听的电话内容、邮件或视频、短信等内容,针对这种情形,以下提供了另一种监听方法,如图4所示,该方法实施例2包括步骤401 :监控中心向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端 的身份标识;步骤402 :所述ILR根据所述信息监听命令中的身份标识查询对应的映射关系,并向所述监控中心上报所述被监听终端的相关信息;步骤403 :监控中心根据所述被监听终端的位置标识向所述被监听终端所在的接入服务器(ASR)下发内容监听命令,其中包括所述被监听终端的身份标识;步骤404:所述ASR根据所述内容监听命令复制被监听终端的相关报文并转发给所述监控中心。根据以上方法,本发明实现了监控中心对被监听UE的相关报文及相关信息的全面监听,另外,可以通过改变监听命令中的监听配置信息,达到更具体细化的监听需求,t匕如配置监听的报文类型(如文本、语音、视频等)、监听的相关信息的范围等,相应的,接收到监听命令的ILR或ASR,根据监听命令中的配置信息获取相应的信息或报文并上报。为了实现全网动态监听,所述ILR还负责检测被监听终端的映射关系中的位置标识是否发生变化,以上图3和图4所示的流程中,所述ILR向监控中心上报所述位置标识后,若检测到被监听终端的位置标识变化,则向所述监控中心上报最新的被监听终端的相关信息;所述监控中心接收后,向新的ASR下发内容监听命令。从背景技术描述可以看出,由于传统的IP地址存在身份和位置的二义性,使得现有合法监听技术只能对被监听者进行部分监听,或者进行全网强制冗余设置监听点,无法做到对被监听者的全网动态合法监听。下面根据附图介绍各实施例。需要说明的是,本发明内容可以用以下实施例解释,但不限于以下的实施例。下面给出具体说明。图5所示为在身份与位置分离网络中监听用户的实施例。用户在ASRl接入,法律强制机构(如司法机关)对用户进行IRI和CC监听。当用户向ASR2移动后,由ILR向MD返回用户位置信息的更新,MD设备根据用户更新的位置信息向ASR2部署监听配置,对用户实施动态监听。图5中,合法监听的管理模块与仲裁设备逻辑上合二为一。S500, LEA司法机构向MD发送监听命令,监听用户的AID以及以所述AID为基础所发送的任何信息;S504,MD收到监听命令后,根据AID向ILR发送信息监听命令,监听用户的IRI信息;
S508,ILR接收信息监听命令,收集用户的位置标识等信息;S512,ILR将收集到的用户的位置标识等IRI信息发送到MD ;S516,MD向LEA转发用户的IRI信息;S520, MD根据收到的IRI信息,向用户所在的ASRl下发相关报文监听命令;S524,ASRl根据MD下发的相关报文监听命令,复制相关用户的报文向MD转发;S528, MD向LEA转发用户的CC信息;S532,被监听的用户发生移动,ILR收到用户发生移动的位置更新消息;S536, ILR 向 MD 更新 IRI 信息; S540, MD向LEA转发更新的IRI信息;S544,MD根据收到的更新的IRI信息,向用户所在的新的ASR2发送相关报文监听命令;S548,ASR2根据MD下发的命令,复制相关用户的报文向MD转发;S552, MD向LEA转发用户的CC信息;S556,MD向用户原有的接入点ASRl发送相关报文监听解除命令。全网动态监听用户的流程结束。在以上实施例中,在ILR监听用户的IRI信息,当用户的位置发生变换时,ILR向MD发送新的IRI信息,触发MD向用户所在的新的ASR下发监听命令,实现全网动态合法监听。用户AID全网唯一,这为全网动态监听用户创造了先决条件。在ILR上根据AID设置用户监听,当用户位置发生变化时,ILR可及时通知MD进行相关报文监听更新。需要说明的是,如果用户再次发生移动,则需要重复以上的S532至S556。可理解地,在以上实施例中,LEA、管理模块及仲裁设备共同实现了本发明所说的监控中心的功能。为实现以上图3所示的方法,本发明还提供了一种全网合法监听系统,该系统基于用户身份标识和位置分离网络实现,如图6所示,该系统实施例包括监控中心的信息监听模块,用于向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的第一信息;还用于接收所述ILR上报的所述被监听终端的第二信息;所述ILR的映射关系维护模块,用于保存及维护终端的第一信息与第二信息的映身寸关系;所述ILR的信息上报模块,用于根据所述信息监听命令中的第一信息查询对应的映射关系,并向所述监控中心上报所述被监听终端的第二信息。为了实现对被监听终端的跟踪监听,另一实施例如图7所示,与图6不同的是,所述ILR还包括信息检测模块,用于检测被监听终端的映射关系中的第二信息是否发生变化;当被监听终端的第二信息变化时,通知所述ILR的信息上报模块;所述ILR的信息上报模块,还用于在被监听终端的第二信息变化时,向所述监控中心上报最新的被监听终端的第二信息。具体地,所述第一信息为所述终端的身份标识,所述第二信息包括所述终端的位置标识。
为实现以上图4所示的方法,本发明还提供了一种全网合法监听系统,该系统基于用户身份标识和位置分离网络实现,如图8所示,该系统实施例包括监控中心的信息监听模块,用于向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的身份标识;还用于接收所述ILR上报的所述被监听终端的相关信息;所述ILR的映射关系维护模块,用于保存及维护终端的身份标识与相关信息的映射关系,所述相关信息包括所述被监听终端的位置标识,所述ILR的信息上报模块,用于根据所述信息监听命令中的身份标识查询对应的映射关系,并向所述监控中心上报所述被监听终端的相关信息;所述监控中心的内容监听模块,用于根据所述被监听终端的位置标识向所述被监听终端所在的接入服务器(ASR)下发内容监听命令,其中包括所述被监听终端的身份标识;还用于接收所述ASR上报的被监听终端的相关报文;所述ASR的内容监听模块,用于根据所述内容监听命令复制被监听终端的相关报文并转发给所述监控中心。另一系统实施例如图9所示,与图8不同的是,所述ILR还包括信息检测模块,用于检测被监听终端的映射关系中的位置标识是否发生变化;当被监听终端的位置标识变化时,通知所述ILR的信息上报模块;所述ILR的信息上报模块,还用于在被监听终端的位置标识变化时,向所述监控中心上报最新的被监听终端的相关信息;所述监控中心的信息监听模块根据最新的被监听终端的相关信息通知所述内容监听模块向新的ASR下发内容监听命令。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。相对于以前IP网络只能对用户进行小范围用户监听,做不到完全的全网动态用户监听,该方法利用身份标识和位置标识分离网络的优越性,在全网AID唯一的基础上,通过在ILR上对用户的IRI信息中的位置信息进行监听,从而实现全网动态监听用户的CC信息,可以有效解决用户不断移动来躲避监听的问题。全网动态监听用户可以实现用户CC信息监听的连续性,相比原有IP网络用户移动带来监听信息的不完整性有较大优势。
权利要求
1.ー种合法监听方法,其特征在于,该方法基于用户身份标识和位置分离网络实现,该网络中的身份位置寄存器(ILR)负责保存及维护终端的第一信息与第二信息的映射关系,该方法包括 监控中心向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的第一信息; 所述ILR根据所述信息监听命令中的第一信息查询对应的映射关系,并向所述监控中心上报所述被监听终端的第二信息。
2.如权利要求I所述的方法,其特征在于所述ILR还负责检测被监听终端的映射关系中的第二信息是否发生变化,所述ILR向所述监控中心上报所述第二信息后,若检测到被监听终端的位置标识变化,则向所述监控中心上报最新的被监听终端的第二信息。
3.如权利要求I或2所述的方法,其特征在于所述第一信息为所述终端的身份标识,所述第二信息包括所述终端的位置标识。
4.ー种合法监听方法,其特征在干,该方法基于用户身份标识和位置分离网络实现,该网络中的身份位置寄存器(ILR)负责保存及维护终端的身份标识与相关信息的映射关系,所述相关信息包括所述被监听终端的位置标识,该方法包括 监控中心向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的身份标识; 所述ILR根据所述信息监听命令中的身份标识查询对应的映射关系,并向所述监控中心上报所述被监听终端的相关信息; 监控中心根据所述被监听终端的位置标识向所述被监听终端所在的接入服务器(ASR)下发内容监听命令,其中包括所述被监听终端的身份标识; 所述ASR根据所述内容监听命令复制被监听终端的相关报文并转发给所述监控中心。
5.如权利要求4所述的方法,其特征在于所述相关报文监听命令中包括报文类型,所述ASR根据所述报文类型获取相应的报文井上报。
6.如权利要求4所述的方法,其特征在于所述ILR还负责检测被监听终端的映射关系中的位置标识是否发生变化,所述ILR向所述监控中心上报所述位置标识后,若检测到被监听终端的位置标识变化,则向所述监控中心上报最新的被监听终端的相关信息;所述监控中心接收后,向新的ASR下发内容监听命令。
7.ー种合法监听系统,其特征在干,该系统基于用户身份标识和位置分离网络实现,该系统包括 监控中心的信息监听模块,用于向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的第一信息;还用于接收所述ILR上报的所述被监听终端的第二信息; 所述ILR的映射关系维护模块,用于保存及维护终端的所述第一信息与第二信息的映身寸关系; 所述ILR的信息上报模块,用于根据所述信息监听命令中的第一信息查询对应的映射关系,并向所述监控中心上报所述被监听终端的第二信息。
8.如权利要求7所述的系统,其特征在于所述ILR还包括信息检测模块,用于检测被监听终端的映射关系中的第二信息是否发生变化;当被监听终端的第二信息变化时,通知所述ILR的信息上报模块; 所述ILR的信息上报模块,还用于在被监听终端的第二信息变化吋,向所述监控中心上报最新的被监听终端的第二信息。
9.如权利要求7或8所述的系统,其特征在于所述第一信息为所述终端的身份标识,所述第二信息包括所述终端的位置标识。
10.ー种合法监听系统,其特征在干,该系统基于用户身份标识和位置分离网络实现,该系统包括 监控中心的信息监听模块,用于向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的身份标识;还用于接收所述ILR上报的所述被监听终端的相关信息; 所述ILR的映射关系维护模块,用于保存及维护终端的身份标识与相关信息的映射关系,所述相关信息包括所述被监听终端的位置标识; 所述ILR的信息上报模块,用于根据所述信息监听命令中的身份标识查询对应的映射关系,并向所述监控中心上报所述被监听终端的相关信息; 所述监控中心的内容监听模块,用于根据所述被监听终端的位置标识向所述被监听终端所在的接入服务器(ASR)下发内容监听命令,其中包括所述被监听终端的身份标识;还用于接收所述ASR上报的被监听终端的相关报文; 所述ASR的内容监听模块,用于根据所述内容监听命令复制被监听终端的相关报文并转发给所述监控中心。
11.如权利要求10所述的系统,其特征在于所述ILR还包括信息检测模块,用于检测被监听终端的映射关系中的位置标识是否发生变化;当被监听终端的位置标识变化时,通知所述ILR的信息上报模块; 所述ILR的信息上报模块,还用于在被监听终端的位置标识变化吋,向所述监控中心上报最新的被监听终端的相关信息;所述监控中心的信息监听模块根据最新的被监听终端的相关信息通知所述内容监听模块向新的ASR下发内容监听命令。
全文摘要
本发明涉及一种合法监听方法和系统。该方法基于用户身份标识和位置分离网络实现,该网络中的身份位置寄存器(ILR)负责保存及维护终端的第一信息与第二信息的映射关系,该方法包括监控中心向身份位置寄存器(ILR)下发信息监听命令,包括被监听终端的第一信息;所述ILR根据所述信息监听命令中的第一信息查询对应的映射关系,并向所述监控中心上报所述被监听终端的第二信息。本发明方法和系统提供了一种基于身份标识和位置分离网络的监听方案。
文档编号H04L29/06GK102685737SQ201110054500
公开日2012年9月19日 申请日期2011年3月7日 优先权日2011年3月7日
发明者张世伟, 符涛, 颜正清 申请人:中兴通讯股份有限公司