CN101127648B - 一种WiMAX网络中的合法监听方法及其系统 - Google Patents
一种WiMAX网络中的合法监听方法及其系统 Download PDFInfo
- Publication number
- CN101127648B CN101127648B CN2007101614710A CN200710161471A CN101127648B CN 101127648 B CN101127648 B CN 101127648B CN 2007101614710 A CN2007101614710 A CN 2007101614710A CN 200710161471 A CN200710161471 A CN 200710161471A CN 101127648 B CN101127648 B CN 101127648B
- Authority
- CN
- China
- Prior art keywords
- user
- network
- server
- aaa
- lis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种WiMAX网络中的合法监听方法及其系统,其中系统包括警用信息中心(17)和与运营架构配合的合法监听服务器(161)及其代理(162),方法包括:根据被监控用户的真实网络接入标识从归属鉴权、授权及计费服务器(15)中获取对应用户设备会话标识作为监听标识;在WiMAX网络中依所述监听标识进行布控并由对应网元将本网元上该用户发生的事件上报或将本网元上该用户的通讯内容复制给合法监听服务器;由合法监听服务器将收集的所述事件或通讯内容转发给警用信息中心。这种方法及其系统,填补现有技术空白,能够识别被监控用户并支持不同国家合法监听标准,同时可灵活适用于各种WiMAX NWG的运营架构。
Description
技术领域
本发明涉及,具体涉及一种WiMAX网络中的合法监听方法及其系统。
背景技术
在目前通信领域内,合法监听功能已经广泛应用,包括3GPP、3GPP2等核心网络设备均能够提供与警用信息中心Lawful Information Center(简称LIC)提供接口,警用信息中心根据用户标识全球移动用户标识InternationalMobile Station Identity(简称IMSI)或网络接入标识Network Access Identifier(简称NAI)在移动交换中心Mobile Switching Center(简称MSC)、网管移动交换Gateway Mobile Switching Center(简称GMSC)中、归属位置寄存器Home Location Register(简称HLR)、短信中心Short Message Center(简称SMC)、分组数据服务节点Packet Data Serving Node(简称PDSN)和鉴权、授权及计费Authentication、Authorization and Accounting(简称AAA)服务器等网元设备布控,布控网元把被控目标的话务活动(包括语音呼叫/数据呼叫/分组数据业务)和非话务活动(包括补充业务的激活/去活/登记/注销/查询短消息等业务)通过警用监听接口发送至警用中心,警用中心收集上报的被控目标的事件和通信内容,并对收集到的信息进行处理。
WiMAX将提供固定、移动、便携形式的无线宽带连接,并最终能够在不需要直接视距基站的情况下提供移动无线宽带连接。随着WiMAX网络的广泛应用,WiMAX网络的合法监听功能也随着市场需求而产生。
目前通信领域合法监听标准多种多样,不同的国家和地区都有可能指定自己的标准,目前影响较大有三种,分别是欧洲通信标准协议EuropeanTelecommunications Standards Institute(简称ETSI)制定的合法监控ETSI ES201 671协议;世界无线通讯解决方案联盟ATIS与美国通信工业协会TIA指定的合法授权的电子监视Communications Assistance for Law EnforcementAct(简称CALEA)标准,对应协议号ANSI/J-STD-025-B-2006,以及中华人民共和国通信行业标准警用接口技术规范族,包括CDMA2000、TDMA警用接口技术规范等。
WiMAX网络工作组Network Work Group(简称NWG),是WiMAX组织下面致力于研究WiMAX系统定义网络架构和参考模型的工作组。目前该工作组已经开始着手研究符合合法监听架构,以满足扩大的WiMAX运用需求,但到目前尚无成熟的解决方案和网络参考模型,同时将现有的网络例如3GPP、3GPP2的监听架构应用于WiMAX网络,存在以下几点问题:
一、WiMAX NWG网络的运营的灵活性,接入网络和服务网络可以由各自独立的提供商运营,即通常说的网络接入提供商Network AccessProvider(简称NAP)和网络服务提供商(Network)。NAP负责接入网络的运营,提供接入服务网络,即WiMAX接入服务网网络Access ServiceNetwork(简称ASN)的所有者;NSP负责服务网络的运营,即WiMAX连接服务网络Connectivity Service Network(简称CSN)的所有者。而根据不同监听标准的要求,被监听的用户除了需要监听用户的通信内容之外,还需要监控用户的部分通信事件,因此对某一用户的监听必须在ASN和CSN中都进行布控,所以必须在NWG中提供一种灵活的、标准化的监听架构,功能实体间的接口也需要进行必要地标准化,以适用不同网络拓扑结构和运营商之间组网的需求。
二、通常的电信网络,监听用户的依据是用户的永久标识(3GPP网络中主要使用IMSI识别用户,3GPP2网络中使用IMSI或NAI识别用户),而WiMAX网络中,用户的唯一标识为AAA中存储的用户真实NAI,没有类似于IMSI信息。用户接入认证的鉴权协议使用的是扩展鉴权协议(缩写EAP),EAP协议从安全角度考虑,要求用户接入认证过程中使用的用户真实NAI都是在EAP报文中封装并加密,对于除鉴权、授权及计费服务器(AAA)和WiMAX终端以外的其他网元均不可见,而在消息报文中采用的都是伪随机NAI。伪随机NAI是有WiMAX终端每次接入时随机产生的,因此对于WiMAX接入服务网络(ASN)来说是无法得知用户的真实NAI,所以在AGW中无法通过真实NAI布控监听用户。因此如何在WiMAX网络中除归属AAA网元外的其他网元,如何识别被控用户,是必须解决的问题。
发明内容
本发明需要解决的技术问题是提供一种WiMAX网络中的合法监听方法及其系统,能够解决用户监听标识从而对用户进行合法监听,进一步可以适用不同网络拓扑结构和运营商之间组网的需要。
本发明的上述第一个技术问题这样解决,提供一种WiMAX网络中的合法监听方法,在WiMAX网络中设置合法监听服务器LIS,包括以下步骤:
1.1)根据被监控用户的真实网络接入标识NAI从归属鉴权、授权及计费AAA服务器中获取对应用户设备会话标识AAA-Session-ID作为监听标识;
1.2)在WiMAX网络中依所述监听标识进行布控并由对应网元将本网元上该用户发生的事件上报或将本网元上该用户的通讯内容复制给合法监听服务器LIS;
1.3)合法监听服务器LIS通过对应接口将收集的所述事件或通讯内容转发给警用信息中心LIC。
按照本发明提供的合法监听方法,所述用户设备会话标识AAA-Session-ID的产生机制包括:
(一)所述步骤1.1)中若所述归属鉴权、授权及计费AAA服务器不存在所述对应用户设备会话标识AAA-Session-ID,则新产生一个对应用户设备会话标识AAA-Session-ID作为监听标识。
(二)在归属鉴权、授权及计费AAA服务器中新开网络接入标识NAI用户时,为该用户产生一个对应用户设备会话标识AAA-Session-ID,保存在归属鉴权、授权及计费AAA服务器本地;
(三)或者在用户第一次接入网络时,若归属鉴权、授权及计费AAA服务器不存在所述对应用户设备会话标识AAA-Session-ID,则为该用户新产生一个对应用户设备会话标识AAA-Session-ID,保存在归属鉴权、授权及计费AAA服务器;
(四)或者在用户退出网络时,由归属鉴权、授权及计费AAA服务器更新并保存在归属鉴权、授权及计费AAA服务器,用于唯一识别下一次设备会话,若该用户是被监控用户,同时按新的对应用户设备会话标识AAA-Session-ID在WiMAX网络中更新所述布控,即:①非被控用户用户下线时,由归属鉴权、授权及计费服务器(15)更新用户设备会话标识AAA-Session-ID,而②被控用户下线时,由归属鉴权、授权及计费服务器(15)更新用户设备会话标识AAA-Session-ID,也对应更新监听标识,同时也须向各网元发起监听标识更新通知,更新所述布控。
按照本发明提供的合法监听方法,鉴权、授权及计费AAA服务器可以是多个,对应一个用户的归属鉴权、授权及计费AAA服务器只能是其中一个。
按照本发明提供的合法监听方法,所述步骤1.2)中对应网元是归属鉴权、授权及计费AAA服务器、接入服务网关AGW、综合基站IBS或归属代理HA中的任一种。
按照本发明提供的合法监听方法,所述事件包括但不限制于在线事件、用户认证事件、移动IPv4注册事件、移动IPv6绑定更新事件、计费事件、分组会话创建事件或分组会话释放事件;所述通讯内容包括数据业务或音视频业务内容。
按照本发明提供的合法监听方法,所述步骤1.2)中事件包括使用数据业务过程中切换事件,上报该切换事件的对应网元包括原接入服务网关AGW或原综合基站IBS和目标接入服务网关AGW或目标综合基站IBS,切换后,所述通讯内容的复制从原接入服务网关AGW或原综合基站IBS改由目标接入服务网关AGW或目标综合基站IBS(锚定切换)进行。
按照本发明提供的合法监听方法,如果被控用户使用移动IP会话,用户移动IP会话锚定的归属代理HA也可以收集用户的通信内容信息,通过与之相连的LIS上报给LEA的LIC;进一步地,如果被控用户使用移动IP会话,用户移动IP会话锚定的HA也收到LIS的监控该用户请求时,HA也可以通过与之相连的LIS上报用户在线事件给LEA的LIC。
本发明的上述另一个技术问题这样解决,提供一种WiMAX网络中的合法监听系统,包括警用信息中心LIC,还包括:
与WiMAX网络运营网结构配合、数量可变的合法监听服务器LIS,通过监听接口连接警用信息中心LIC,根据被监控用户的真实网络接入标识NAI对应用户设备会话标识AAA-Session-ID进行布控。
合法监听代理LIA,与对应合法监听服务器LIS连接,位于归属代理HA、归属鉴权、授权及计费AAA服务器和接入服务网络ASN的接入服务网关AGW或综合基站IBS中,用于将监听事件和监听数据收集上报给合法监听服务器LIS。
按照本发明提供的合法监听系统,不同运营商使用同一个合法监听服务器LIS,所述合法监听服务器LIS与对应合法监听代理LIA通过标准接口连接。
按照本发明提供的合法监听系统,不同运营商使用同各自合法监听服务器LIS,所述合法监听服务器LIS与对应合法监听代理LIA通过标准或非标准接口连接,对于同一个运营商内部的LIS和LIA之间通信时,一般采用非标准接口。
按照本发明提供的合法监听系统,所述合法监听服务器LIS上提供与警用信息中心LIC之间的多个监听接口,符合不同国家监听接口规范。
按照本发明提供的合法监听系统,合法监听服务器LIS,可以位于WiMAX CSN中,也可以位于WiMAX ASN中,或者位于第三方场所。
本发明提供的一种WiMAX网络中的合法监听方法及其系统,填补现有技术空白,为WiMAX网络支持不同国家标准的合法监听功能,完善内部功能和实体的架构划分,提供灵活的实体功能结构划分,方便WiMAX网络运营商组网和实现且为WiMAX网络支持多种合法监听协议提供统一的合法监听网络架构。进一步地,该架构可以灵活适用与WiMAX NWG的运营架构,网络接入提供商商(NAP)和网络服务提供商(NSP)可以独立配置LIS,分别与LEA对接;也可以标准化LIS和LIA直接的接口,采用合一配置的LIS向LEA提供一套接口。进一步地,本发明中的架构和方法,提供了一种简单的本地网元监听方式,每个网元上的LIA功能实体仅仅需要负责监控和收集本网元上被控用户信息,无须关心用户漫游情况和位置更新,减小了跟踪用户位置变换带来的网元间交互的复杂流程。进一步地,该架构在不改变现有WiMAX网络架构,解决了监听架构中除归属AAA以外的其他网元识如何识别用户的问题。进一步地,本发明中的系统和方法,LIS统一提供LEA的接口,对于不同的外部合法监听接口规范,仅仅需要LIS进行协议的适配和开发,把对其他网元的影响减少到最小。
附图说明
下面结合附图和具体实施例进一步对本发明进行详细说明。
图1是本发明实现WiMAX网络网络接入和网络服务合一运营商合法监听的网络部署系统结构图。
图2是本发明实现混合多WiMAX网络运营商合法监听的网络部署系统结构图举例。
图3是本发明实现WiMAX网络合法监听的系统在归属网络上布控用户流程图。
图4是本发明实现WiMAX网络合法监听的系统在其他非归属网络上布控用户流程图。
图5是本发明实现WiMAX网络合法监听的系统用户下线时归属HAAA更新监听标识(即AAA-Session-ID)并通知LIS/LIC重新布控流程图。
图6是本发明实现WiMAX网络合法监听的系统上报监听事件和通信内容流程图。
具体实施方式
首先,说明本发明的主要关键点:
一、为解决监听标识的问题,且保证监听表示的唯一性,因此借用WiMAX NWG架构中现有架构中归属鉴权、授权及计费服务器(AAA)为每次用户设备会话生成的唯一识别用户设备会话标识(以下称AAA-Session-ID)作用监控标识使用。但是需要修改其产生机制,由原来的在用户初始化接入时产生新的AAA-Session-ID改为以下几种情况(一)产生:
1、在归属AAA中新开NAI用户时,为该用户产生一个AAA-Session-ID,保存在归属AAA本地。
2、用户退出网络(即设备会话结束时)时,由归属AAA更新并保存在本地,用于唯一识别下一次设备会话,对于被监控的用户,归属鉴权、授权及计费服务器(AAA)在更新了AAA-Session-ID的同时,需要将用户的NAI、新的AAA-Session-ID和老的AAA-Session-ID通知LIS和LEA,LIS、LEA更新自己内部的NAI与AAA-Session-ID对应关系,并通知其他网元修改老的AAA-Session-ID为新的AAA-Session-ID,进行重新布控。
(二)但是归属AAA可能存在用户放号是没有分配AAA-Session-ID,且从来没有上线的签约用户,监听架构要求归属AAA能够做到:
1、用户初始化接入时,如果该用户在归属AAA不存在现成的AAA-Session-ID,则由归属AAA新产生一个并保存。
2、当归属AAA接收到监控中心设置监控某个用户,当前归属AAA中没有被控用户的AAA-Session-ID是,则归属AAA新产生一个并保存,同时告知监控中心用户真是NAI和AAA-Session-ID的对应关系。
这样采用上面措施(一)和(二),该AAA-Session-ID在监听架构中能被用作被控目标的监听标识,到归属AAA以外的网元进行布控用户。
二、在WiMAX网络中,增加合法监听相关功能实体:
1、合法监听服务器Lawful Interception Server(简称LIS):独立的功能实体,位于运营商网络中。具有向其他网元布控用户、查询被控用户标识列表、上报用户真实NAI和监听标识绑定更新关系给执法机构LawEnforcement Agency(简称LEA)等功能(这些功能可能使用但不限于图形化用户界面或Telnet方式提供接口),同时提供与LEA的符合不同国家合法监听标准要求的接口,上报被控用户的通信上下文和监控事件相关信息。
2、合法监听代理Lawful Interception Agent(简称LIA):合法监听代理,位于WiMAX网络的多种网元中,与LIS提供标准或非标准的接口,完成监听事件和监听数据的收集上报。LIA总共有三种类型:
1)位于AAA上的LIA:位于认证、授权和计费Authentication、Authorization and Accounting(简称AAA)服务器中的功能实体,主要功能包括:接受LIS布控指令,完成对被控目标的布控和查询当前网元的被控用户标识列表;作为归属AAA时,当用户退出网络时,生成新的AAA-Session-ID,并判断该用户被监控,则告知LIS更新被控目标的真实NAI和AAA-Session-ID的绑定关系;作为归属AAA时,收集被控用户的认证事件和计费事件内容,发送给LIS。
2)位于归属代理HA上的LIA:归属代理(Home Agent),主要功能包括:接受LIS的布控指令,根据监听标识在HA上设置监控用户;接受LIS的查询指令,查询并返回当前HA上被控用户监听标识列表;收集被控用户的移动IPv4注册事件、IPv6路由绑定更新事件信息,发送给LIS。
3)位于ASN上的LIA:位于WiMAX网络的接入服务网络中的功能实体。对于ASN采用Profile C架构,则LIA位于接入服务网关Access ServiceNetwork Gateway(简称AGW)中;对于ASN采用Profile B架构,LIA位于综合基站Integrated Base Station(简称IBS)中。主要功能包括:接受LIS的布控指令,根据监听标识在AGW/IBS上设置监控用户;接受LIS的查询指令,查询并返回当前AGW/IBS上被控用户监听标识列表;收集被控用户的分组会话创建事件、分组会话释放事件、分组会话切换事件、用户在线通知事件和作为锚定AGW/IBS时收集被控用户通信内容,发送给LIS。
第二步,补充说明本发明其他方面:
(一)警用信息中心Lawful Information Center(简称LIC):设置在执法机构Law Enforcement Agency(简称LEA)内的警用设备,不属于通信运营商的设备。其主要完成被控目标的管理,收集LIS上报的被控目标的事件和通信内容,并对收集到的信息进行处理。LIC与LIS之间的接口,不用国家有不同的合法监听接口规范。
(二)为了使用WiMAX NWG的运营架构,合法监听服务器LIS,可以位于WiMAX CSN中,也可以位于WiMAX ASN中,或者位于第三方场所。而LIS与LIA之间的接口,可以根据不同组网模型,使用标准或非标准的接口进行交互。同时作为漫游地服务AAA,如果收到被控用户的重认证请求或计费请求事件,AAA上的LIA,收集该事件信息,通过与之相连的LIS上报给LEA的LIC。如果被控用户使用移动IP会话,用户移动IP会话锚定的归属代理HA也可以收集用户的通信内容信息,上报给LIS。
第三步,概括说明本发明一种WiMAX网络的合法监听方法,该方法主要由以下步骤组成:
步骤1:执法机构(LEA)通过与合法监听服务器(LIS)之间的接口,根据用户的真实NAI,向用户归属的CSN布控用户,归属地LIS向用户归属AAA服务器设置监控,并获取到用户的监听标识信息(AAA-Session-ID);归属地的LIS使用从归属AAA获取的监听标识信息,向与其直接相连的网元(AGW、IBS、HA)设置布控用户;布控成功后,归属地的LIS将用户的真实NAI和监听标识的对应关系反馈给LEA;
步骤2:LEA使用归属地LIS反馈的被控用户的监听标识信息,向其他网络的LIS发起布控,其他网络的LIS分别向各自管理的网管设置布控该用户。
步骤3:当LIS向AGW/IBS/HA设置被控用户时,如被控用户已经在线,则AGW、IBS或HA上的LIA向LIS上报用户已经在线事件通知消息;
步骤4:被控用户终端通过WiMAX网络中某个ASN向其归属鉴权、授权及计费服务器(AAA)进行认证,归属AAA在接入认证接受消息中携带监听标识(AAA-Session-ID)给ASN,AAA上的LIA上报该用户的认证事件给LIS;
步骤5:被控用户终端接入认证成功,锚定AGW为用户创建分组会话成功或失败,AGW上的LIA需要上报该事件给LIS;
步骤6:被控用户终端向HA发起移动IPv4注册、IPv6绑定更新事件时,HA上的LIA上报该事件给LIS;
步骤7:被控用户终端开始使用WiMAX数据业务,AGW产生计费消息给AAA时,AAA上的LIA上报计费事件给LIS;
步骤8:被控用户终端开始使用WiMAX数据业务,锚定AGW复制用户的通信报文,通过其LIA上报给LIS;
步骤9:终端或网络发起分组会话切换时,AGW或IBS上的LIA上报切换事件内容给LIS;
步骤10:终端或网络发起退出网络时,AGW或IBS上的LIA上报会话终止事件给LIS。
步骤11:终端或网络发起退出网络时,归属AAA重新生成新的AAA-Session-ID,用于识别用户的下次会话;归属AAA判断如果该用户被监控,则需要把该用户的真实NAI、新AAA-Session-ID和老AAA-Session-ID的对应关系上报给本地LIS;
步骤12:本地LIS更新自己内部的NAI与AAA-Session-ID对应关系,并通知其管理的网元被控用户监听标识为新的AAA-Session-ID;
步骤13:本地LIS还需要将真实NAI、新AAA-Session-ID和老AAA-Session-ID的对应关系上报给LEA,由LEA更新自己内部的NAI与AAA-Session-ID对应关系,并通知WiMAX运营商网络的LIS更新其管理网元的被控用户监听标识为新的AAA-Session-ID。
进一步地,当被控用户终端或网络发起用户退出网络时,AGW、IBS或HA的LIA可以中被控用户列表中直接删除该用户的监听标识(AAA-Session-ID)。
进一步地,如果AGW、IBS或HA的LIA在被控用户退出时,从被控列表中删除了该AAA-Session-ID,当其收到LEA的用户监听标识更新通知时,直接向本地监控列表中增加该通知中携带的新的AAA-Session-ID。
最后,结合附图对技术方案的实施作进一步的详细描述
(一)图1是本发明实现WiMAX网络网络接入和网络服务合一运营商合法监听的网络部署系统结构图,包括终端11、基站12、接入服务网关13、归属代理14、鉴权、授权及计费服务器15、合法监听服务器161、合法监听代理162、警用信息中心17和综合基站18,其中:
终端11:WiMAX移动终端。本发明没有设计及到终端,列出来仅用于理解发明结构。
基站12:WiMAX基站,提供与终端之间的无线IP链路。在ProfileC模式的接入服务网络(ASN)中,基站与本发明没有设计及到基站,列出来仅用于理解发明结构。
接入服务网关(AGW)13:ProfileC模式下接入服务网络(ASN)中网关,为用户提供接入服务和控制。在本发明中,AGW包含合法监听代理(LIA)功能,作为锚定AGW是,其中的LIA能够收集被控用户的分组创建、切换等事件以及通信内容,发送至合法监听服务器(LIS)。
归属代理(HA)14:接受接入服务器发送的移动IPv4注册请求或IPv6绑定更新或功能,并进行响应,与接入服务网关配合为终端提供IP的服务。在本发明中,HA包含合法监听代理(LIA)功能,LIA能够收集被控用户移动IP事件信息,发送至合法监听服务器(LIS)。可选地,HA上的LIA当收到LIS的监控用户请求时,用户已经在线,也可以向LIS发送用户在线事件信息;根据需要HA也可以收集被控用户的通信报文,发送到LIS。
鉴权、授权及计费服务器(AAA)15:为用户提供鉴权、授权及计费服务。在收到接入服务器发送的终端接入请求时,将对终端进行鉴权,并进行相应的授权。在本发明中,AAA包含合法监听代理(LIA)功能,作为归属AAA时,其中的LIA能够收集被控用户认证和计费事件信息,发送至合法监听服务器(LIS)。作为归属AAA还具有通知LIS更新被控用户真实NAI和监听标识之间对应关系的功能。
合法监听服务器(LIS)16:本发明独立的功能实体,可以位于WiMAX连接服务网络(CSN)中,也可以位于WiMAX接入服务网络(ASN)中,也可能位于第三方场所。。主要功能包括:提供但不限于图形化用户界面(GUI)、Telnet远程登录方式以及提供符合各国监听标准的外部接口,设置监控用户和查询被控用户标识列表;接受来自归属AAA的更新被控用户真实NAI与监听标识的对应关系消息,及时更新其管辖网元中的被控用户标识;通知与其连接的警用信息中心(LIC)更新被控用户真实NAI与监听标识的对应关系;提供符合警用信息中心(LIC)的监听数据输出接口,完成被控用户监听信息的输出上报;与WiMAX系统的支持合法监听的网元提供交互接口,设置被控用户和接受网元的监听信息上报。
警用信息中心(LIC)17:设置在执法机构(LEA)内的警用设备,不属于通信运营商的设备。其主要完成被控目标的管理,收集LIS上报的被控目标的事件和通信内容,并对收集到的信息进行处理。LIC与LIS之间的接口,是不同国家的合法监听规范实现的。LIC不属于本发明内容,列出为了方便理解。
综合基站(IBS)18:Profile B模式ASN中的网元,集成Profile C模式下的基站和AGW功能。在本发明中,IBS包含合法监听代理(LIA)功能,作为锚定IBS是,其中的LIA能够收集被控用户的分组创建、切换等事件以及通信内容,发送至合法监听服务器(LIS)。
(二)图2是本发明实现混合多WiMAX网络运营商合法监听的网络部署系统结构图举例。
本示意图的目的在于描述在本发明的监听架构中,对于WiMAX网络中包含多个运营商且分别独立运营自己的网络时,其合法监听架构的应用场景的参考模型。
(三)图3是本发明实现WiMAX网络合法监听的系统在归属网络上布控用户流程图。AAA-Session-ID在监听架构中用作监听标识,AAA-Session-ID的产生机制可以有四种情况:1)归属AAA新开NAI用户时,由归属AAA产生并保存;2)用户下线时,归属AAA更新AAA-Session-ID,保存本地;3)用户第一次接入网络时,归属AAA没有现成的AAA-Session-ID,则为该用户产生新的AAA-Session-ID;4)归属AAA受到监控请求时,没有现成的AAA-Session-ID,则为该用户产生新的AAA-Session-ID。以上四种情况,可以保证在归属AAA设置监控后,归属AAA可以在向合法监听服务器(LIS)的监控应答消息中提供真实NAI和监听标识(AAA-Session-ID)的对应关系。其具体步骤如下:
步骤301:警用信息中心(LIC)向被控用户归属网络合法监听服务器(LIS)请求布控用户,携带用户的真实网络接入标识(NAI);
步骤302:合法监听服务器(LIS)向归属认证、授权及计费服务器(AAA)发送请求,设置监控用户;
步骤303:归属AAA中的合法监听代理(LIA)根据请求中的NAI,设置用户被监控,鉴权、授权及计费服务器(AAA)给合法监听服务器(LIS)回复响应消息,表示布控成功,消息中携带被控用户的真实NAI和针对该用户的监听标识(即AAA-Session-ID);
步骤304:合法监听服务器(LIS)上报被控用户的监听标识(AAA-Session-ID)给警用信息中心(LIC),消息中携带被控用户的真实NAI和AAA-Session-ID;
步骤305:合法监听服务器(LIS)收到归属AAA的应答,保存真实NAI和监听标识(即AAA-Session-ID)对应关系,向其管辖的其他网元(可能包括AGW、IBS、HA)发送布控用户命令,携带监听标识信息;
步骤306:如果向AGW/IBS/HA布控时,当前被控用户已经通过该网元在线,则AGW或IBS上的LIA上报用户在线的通知消息给LIS,LIS上报给LIC;
步骤307:归属合法监听服务器(LIS)管辖的其他网元上的LIA,根据监听标识(即AAA-Session-ID)在本网元监控列表中增加该用户监听标识,向合法监听服务器(LIS)发送应答;
步骤308:归属合法监听服务器(LIS)收到其他网元的应答,组装符合警用信息中心(LIC)协议要求的接口,携带真实NAI和监听标识(即AAA-Session-ID)对应关系发送至警用信息中心(LIC),指示完成用户布控功能。
(四)图4是本发明实现WiMAX网络合法监听的系统在其他需要监控的非归属网络上布控用户流程图。其他需要监控的网络可能很多,警用信息中心(LIC)需要向每个网络设置监控,但流程都是同一流程。具体步骤如下:
步骤401:警用信息中心(LIC)向被控用户非归属网络合法监听服务器(LIS)请求布控用户,携带用户的监听标识(即AAA-Session-ID)。
步骤402:合法监听服务器(LIS)收到警用信息中心(LIC)布控指令,保存被控用户的监听标识信息,向其管辖的其他网元(可能包括AGW、IBS、HA、AAA)发送布控用户命令,携带监听标识信息。
步骤403:如果向AGW/IBS/HA布控时,当前被控用户已经通过该网元在线,则AGW/IBS/HA上的LIA上报用户在线的通知消息给LIS,LIS上报给LIC。
步骤404:AGW/IBS/HA/AAA布控目标完成,各自分别向合法监听服务器(LIS)回复响应消息,指示设置监控用户完成。
步骤405:合法监听服务器(LIS)收到其管理的网元应答,组装符合警用信息中心(LIC)协议要求的接口,发送至警用信息中心(LIC),指示完成用户布控功能。
(五)图5是本发明实现WiMAX网络合法监听的系统用户下线时归属HAAA更新监听标识(即AAA-Session-ID)并通知LIS/LIC重新布控流程图。图中步骤504和其后的步骤,与步骤502和步骤503并无必然的时序关系,当归属地的LIS收到归属AAA的监听标识更新消息后,就可以同时发起。具体步骤如下:
步骤501:归属AAA判断用户退出网络(即用户终止设备会话)时,归属AAA为该用户生成新的会话标识符(即AAA-Session-ID),此新的AAA-Session-ID对与监听架构来说,是用于下次用户接入网络时候的监听标识。如果HAAA判断该用户被监控,则向归属地的LIS发送监听标识更新消息,携带该用户的真实NAI、新AAA-Session-ID和老AAA-Session-ID。
步骤502:归属地的LIS收到监听标识更新消息,刷新本地保存的NAI和AAA-Session-ID对应关系,向其管理的其他网元(可能包括AGW、IBS、HA)重新布控用户,携带新AAA-Session-ID和老AAA-Session-ID。
步骤503:归属地的其他网元(可能包括AGW、IBS、HA)收到LIS重新布控请求,各个网元中的LIA向监控列表中更新老的AAA-Session-ID为新的AAA-Session-ID,如果老AAA-Session-ID不存在,则直接增加新的AAA-Session-ID到被控用户列表中,向LIS响应更新成功。
步骤504:归属网LIS收到其他网元布控响应后,向警用信息中心(LIC)发送通监听标识更新消息,携带该用户的真实NAI、新AAA-Session-ID和老AAA-Session-ID。
步骤505:警用信息中心(LIC)收到监听标识更新消息,则向其他非归属网络的LIS发送重新布控请求,携带新AAA-Session-ID和老AAA-Session-ID。
步骤506:其他非归属网络的LIS各自向自己管辖的网元(可能包括AGW、IBS、HA、AAA)重新布控用户,携带新AAA-Session-ID和老AAA-Session-ID。
步骤507:其他非归属网络网元收到LIS重新布控请求,各个网元中的LIA向监控列表中新更新老AAA-Session-ID为新的AAA-Session-ID,如果老AAA-Session-ID不存在,则直接增加新的AAA-Session-ID到被控用户列表中,向LIS响应更新成功。
步骤508:其他非归属网络的LIS其他网元布控响应后,向警用信息中心(LIC)回复响应消息,指示更新成功。
(六)图6是本发明实现WiMAX网络合法监听的系统上报监听事件和通信内容流程图。本流程图在于描述,一个用户活动时,各个网元跟据该用户的SESSION ID判断,如果是监控对象,则网元根据需要上报监控信息的流程,流程中的合法监听服务器(LIS)并非某个特定实体,可以不同网络运营商的LIS。具体步骤如下:
步骤601:被控用户终端通过扩展认证协议(Extensible AuthenticationProtocol,缩写EAP)方法,到归属认证、授权及计费服务器(AAA)进行接入认证和请求授权,如果被控用户漫游到其他非归属网络,消息经由拜访地认证、授权及计费服务器(AAA)转发;
步骤602:如果被控用户漫游到其他非归属网络,认证请求拜访地认证、授权及计费服务器(AAA)收到被控目标的认证请求时,组装用户接入认证请求事件消息,经由与之相连的LIS上报给警用信息中心(LIC);该上报事件为可选,对于初始化接入的认证消息,由于拜访地AAA不能识别用户身份,可以不上报该事件;对于重鉴权认证消息,如果请求中携带监听标识(AAA-Session-ID),拜访地AAA需上报该事件;
步骤603:归属认证、授权及计费服务器(HAAA)认证成功或拒绝后,将被控用户的认证事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤604:被控用户认证通过后,获取授权信息,接入服务网关(AGW)建立数据通道成功;
步骤605:接入服务网关/综合基站(AGW/IBS)将被控用户的分组会话建立事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC)
步骤606:被控终端发起到归属代理(HA)的移动IP注册流程;
步骤607:归属代理(HA)将被控用户的移动IP注册事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤608:终端获得IP地址之后,网络为终端开始计费,接入服务网关/综合基站(AGW/IBS)向归属认证、授权及计费服务器(AAA)发起计费开始流程;
步骤609:如果需要警用信息中心(LIC)收集用户的计费开始信息,拜访地认证、授权及计费服务器(AAA)收到被控用户的计费开始请求,可选地,上报该事件经由与之相连的LIS发送给警用信息中心(LIC);
步骤610:如果需要警用信息中心(LIC)收集用户的计费开始信息,归属认证、授权及计费服务器(AAA)发送计费开始事件发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤611:被控终端使用WiMAX数据业务,此时用接入的接入服务网关/综合基站(AGW/IBS)即是锚定点也是服务点;
步骤612:接入服务网关/综合基站(AGW/IBS)将被控用户的通信数据拷贝后,打包发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤613:可选的,被控目标使用移动IP业务锚定的HA,可以收集被控用户的通信报文经由与之相连的合法监听服务器(LIS)发送给警用信息中心(LIC);
步骤614:有的时候,被控终端会因为在不同AGW覆盖之间移动而发生切换,这会引起到AGW之间的切换流程,先进行服务点的切换,服务点从原接入服务网关/综合基站(AGW/IBS)切换到目标接入服务网关/综合基站(T-AGW/T-IBS);
步骤615:原接入服务网关/综合基站(AGW/IBS)将被控用户的切换事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤616:目标接入服务网关/综合基站(AGW/IBS)将被控用户的切换事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤617:被控终端继续使用WiMAX数据业务,此时原接入服务网关/综合基站(AGW/IBS)是锚定点,目标接入服务网关/综合基站(T-AGW/T-IBS)是服务点,两者都在用户的数据通道上;
步骤618:作为锚定点的原接入服务网关/综合基站(AGW/IBS)将被控用户的通信数据拷贝后,打包发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤619:被控终端位置移动后,发起到ASN之间的切换流程,再进行锚定点的切换,锚定点从原接入服务网关/综合基站(AGW/IBS)切换到目标接入服务网关/综合基站(T-AGW/T-IBS);
步骤620:原接入服务网关/综合基站(AGW/IBS)将被控用户的切换事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤621:目标接入服务网关/综合基站(T-AGW/T-IBS)将被控用户的切换事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤622:被控终端继续使用WiMAX数据业务,此时原接入服务网关/综合基站(AGW/IBS)已经与用户数据通道无关,目标接入服务网关(T-AGW)即是锚定点也是服务点,仅目标接入服务网关/综合基站(T-AGW/T-IBS)在用户的数据通道上;
步骤623:目标接入服务网关/综合基站(T-AGW/T-IBS)将被控用户的切换事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC);
步骤624:终端下线或网络侧释放用户会话;
步骤625:目标接入服务网关/综合基站(T-AGW/T-IBS)将被控用户的分组会话释放事件信息发送给与之相连的合法监听服务器(LIS),LIS拼装外部接口协议发送的警用信息中心(LIC)。
Claims (10)
1.一种WiMAX网络中的合法监听方法,其特征在于,增设合法监听服务器(161),包括以下步骤:
1.1)根据被监控用户的真实网络接入标识从归属鉴权、授权及计费服务器(15)中获取对应用户设备会话标识作为监听标识;
1.2)在WiMAX网络中依所述监听标识进行布控并由对应网元将本网元上该用户发生的事件上报或将本网元上该用户的通讯内容复制给合法监听服务器(161);
1.3)合法监听服务器(161)通过对应接口将收集的所述事件或通讯内容转发给警用信息中心(17)。
2.根据权利要求1所述合法监听方法,其特征在于,所述步骤1.1)中若所述归属鉴权、授权及计费服务器(15)不存在所述对应用户设备会话标识,则新产生一个对应用户设备会话标识作为监听标识。
3.根据权利要求1所述合法监听方法,其特征在于,所述用户设备会话标识在归属鉴权、授权及计费服务器(15)中新开网络接入标识用户时,为该用户产生一个对应用户设备会话标识,保存在归属鉴权、授权及计费服务器(15);或者在用户第一次接入网络时,若归属鉴权、授权及计费服务器(15)不存在所述对应用户设备会话标识,则为该用户新产生一个对应用户设备会话标识,保存在归属鉴权、授权及计费服务器(15);或者在用户退出网络时,由归属鉴权、授权及计费服务器(15)更新并保存,当所述用户为被监控用户时,该归属鉴权、授权及计费服务器(15)还进一步向所述对应网元发起监听标识更新通知、更新所述布控。
4.根据权利要求1所述合法监听方法,其特征在于,所述步骤1.2)中对应网元是鉴权、授权及计费服务器(15)、接入服务网关(13)、综合基站(18)或归属代理(14)中的任一种。
5.根据权利要求1所述合法监听方法,其特征在于,所述事件包括在线事件、用户认证事件、移动IPv4注册事件、移动IPv6绑定更新事件、计费事件、分组会话创建事件或分组会话释放事件;所述通讯内容包括数据业务或音视频业务内容。
6.根据权利要求1所述合法监听方法,其特征在于,所述步骤1.2)中事件包括使用数据业务中切换事件,上报该切换事件的对应网元包括原接入服务网关或原综合基站和目标接入服务网关或目标综合基站,切换后,所述通讯内容的复制从原接入服务网关或原综合基站改由目标接入服务网关或目标综合基站进行。
7.一种WiMAX网络中的合法监听系统,包括警用信息中心(17),其特征在于,还包括:
与WiMAX网络运营网结构配合、数量可变的合法监听服务器(161),通过监听接口连接警用信息中心,根据被监控用户的真实网络接入标识从归属鉴权、授权及计费服务器(15)中获取对应用户设备会话标识作为监听标识进行布控;
合法监听代理(162),与对应合法监听服务器连接,位于归属代理(14)、鉴权、授权及计费服务器(15)和接入服务网络的接入服务网关(13)或综合基站(18)中,用于将监听事件和监听数据收集上报给合法监听服务器(161)。
8.根据权利要求7所述合法监听系统,其特征在于,不同运营商使用同一个合法监听服务器(161),所述合法监听服务器(161)与对应合法监听代理(162)通过标准接口连接。
9.根据权利要求7所述合法监听系统,其特征在于,不同运营商使用各自的合法监听服务器(161),所述合法监听服务器(161)与对应合法监听代理(162)通过标准或非标准接口连接。
10.根据权利要求7所述合法监听系统,其特征在于,所述监听接口是多个,符合不同国家监听接口规范。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101614710A CN101127648B (zh) | 2007-09-24 | 2007-09-24 | 一种WiMAX网络中的合法监听方法及其系统 |
| PCT/CN2008/000125 WO2009039710A1 (fr) | 2007-09-24 | 2008-01-17 | Système et procédé d'écoute de réseau wimax |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101614710A CN101127648B (zh) | 2007-09-24 | 2007-09-24 | 一种WiMAX网络中的合法监听方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101127648A CN101127648A (zh) | 2008-02-20 |
| CN101127648B true CN101127648B (zh) | 2011-04-20 |
Family
ID=39095580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101614710A Expired - Fee Related CN101127648B (zh) | 2007-09-24 | 2007-09-24 | 一种WiMAX网络中的合法监听方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101127648B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101448010B (zh) * | 2008-02-22 | 2012-05-23 | 中兴通讯股份有限公司 | 获取WiMAX中被监听用户接入网络时位置信息的系统和方法 |
| CN101459941B (zh) * | 2008-04-08 | 2012-11-28 | 中兴通讯股份有限公司 | 监听标识传递方法及系统 |
| US9237523B2 (en) * | 2008-07-07 | 2016-01-12 | Mediatek Inc. | Method of establishing sleep mode operation for broadband wireless communications systems |
| CN101557570B (zh) * | 2009-05-11 | 2013-01-16 | 中兴通讯股份有限公司 | 合法监听方法和合法监听中心 |
| CN102065586B (zh) * | 2009-11-17 | 2014-06-04 | 中国移动通信集团安徽有限公司 | 服务开通控制方法及系统 |
| EP3172926B1 (en) * | 2014-07-25 | 2020-04-08 | Telefonaktiebolaget LM Ericsson (publ) | Method and entity in a li system for positioning of a target connected to a wi-fi network |
| CN105704140A (zh) * | 2016-03-17 | 2016-06-22 | 北京佰才邦技术有限公司 | 一种侦听方法、侦听装置和本地网关 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1389864A1 (en) * | 2002-08-13 | 2004-02-18 | Nortel Networks Limited | Network architecture for supporting the lawful intercept of a network communication |
| CN101026506A (zh) * | 2007-01-25 | 2007-08-29 | 中兴通讯股份有限公司 | 一种接入网监听系统及其实现方法 |
| CN101035036A (zh) * | 2007-04-19 | 2007-09-12 | 中兴通讯股份有限公司 | 合法监听系统和方法 |
-
2007
- 2007-09-24 CN CN2007101614710A patent/CN101127648B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1389864A1 (en) * | 2002-08-13 | 2004-02-18 | Nortel Networks Limited | Network architecture for supporting the lawful intercept of a network communication |
| CN101026506A (zh) * | 2007-01-25 | 2007-08-29 | 中兴通讯股份有限公司 | 一种接入网监听系统及其实现方法 |
| CN101035036A (zh) * | 2007-04-19 | 2007-09-12 | 中兴通讯股份有限公司 | 合法监听系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101127648A (zh) | 2008-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3981118B2 (ja) | インターセプトされた目標にサービス提供するサービスシステムを合法インターセプトシステムに通知する方法 | |
| CN101127648B (zh) | 一种WiMAX网络中的合法监听方法及其系统 | |
| CN101267319B (zh) | 一种下发策略计费控制规则的方法 | |
| CN101150782B (zh) | 一种策略计费控制服务器的选择方法 | |
| US10826945B1 (en) | Apparatuses, methods and systems of network connectivity management for secure access | |
| CN101911821B (zh) | 通过使用GGSN使WiMAX和3GPP互通的系统和方法 | |
| CN101577935B (zh) | 一种事件触发器的下发和安装方法 | |
| CN102318381A (zh) | 移动网络中基于安全网络的路由优化的方法 | |
| WO2013155942A1 (zh) | 策略和计费控制方法、v-pcrf及v-ocs | |
| CN102695236B (zh) | 一种数据路由方法及系统 | |
| CN101374334A (zh) | 传递分组数据网络标识信息的方法和系统 | |
| CN101720079A (zh) | 网元策略融合网络中的业务接入方法及策略融合系统 | |
| CN101459904A (zh) | Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统 | |
| CN102377749A (zh) | 一种策略控制会话的关联方法及系统 | |
| CN103686671A (zh) | 一种通知接入网位置信息的方法和系统 | |
| CN101094122A (zh) | 用于WiMAX网络的监听系统及监听方法 | |
| US8516073B2 (en) | Method, device and system for transferring information | |
| CN100525307C (zh) | 一种在移动环境下穿越防火墙的方法 | |
| CN102232305A (zh) | 业务处理方法、系统及设备 | |
| EP2294755B1 (en) | Improved credit authorization in a core network | |
| CN101159625B (zh) | WiMAX网络实现警用监听的系统及方法 | |
| CN102378267B (zh) | 在固网移动网络融合场景下实现资源控制的方法和系统 | |
| CN104618895A (zh) | 基于微基站的安全通信系统 | |
| CN101163056B (zh) | 用于微波接入全球互通系统的监听标识的处理方法 | |
| CN101369901A (zh) | 一种关联策略和计费执行功能实体的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110420 Termination date: 20160924 |