WO2015149468A1

WO2015149468A1 - 侦听方法及侦听装置

Info

Publication number: WO2015149468A1
Application number: PCT/CN2014/084668
Authority: WO
Inventors: 宗在峰; 李志军
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-04-02
Filing date: 2014-08-18
Publication date: 2015-10-08
Also published as: CN104980943B; CN104980943A

Abstract

本发明公开了侦听方法及侦听装置，该侦听方法包括：被侦听用户所在的基站对被侦听用户和通信对端之间的通信进行侦听，其中，被侦听用户为近距离通信用户；基站将侦听得到的数据发送给核心网网元。通过本发明解决了相关技术中没有提出任何对近距离通信进行监控的问题，实现了对近距离通信的用户进行监控。

Description

侦听方法及侦听装置技术领域本发明涉及通信领域，具体而言，涉及侦听方法及侦听装置。背景技术第三代合作伙伴计划（3rd Generation Partnership Project, 简称为 3GPP)演进的分组系统（Evolved Packet System ，简称为 EPS) 由演进的通用移动通信系统陆地无线接入网（Evolved Universal Terrestrial Radio Access Network, 简称为 E-UTRAN)、移动管理单元（Mobility Management Entity, 简称为 MME)、服务网关（ Serving Gateway, S-GW)、分组数据网络网关（Packet Data Network Gateway, 简称为 P-GW或者 PDN GW) 归属用户服务器（Home Subscriber Server, 简称为 HSS)、 3GPP的认证授权计费 ( Authentication Authorization and Accounting ，简称为 AAA) 月艮务器。致力于 2G集群通讯的 TETRA也将目光投向了 LTE技术，他们也希望将 LTE技术作为未来集群通讯的首选技术。这是 LTE技术的机遇，也是挑战。公共安全网络和集群通讯给 LTE 技术提出了新的需求，其中之一便是支持近距离通信（Proximity communication )。所谓近距离通信是指两个或多个手机，当他们相互间的距离比较接近时，可以直接进行通讯，包括数据通讯和语音通讯。图 1是根据相关技术中近距离通信的架构示意图。在该图中， UE和 UE间增加了新的直接接口 PC5， PC5接口是 UE和 UE间的空中接口。 ProSe 功能实体是辅助支持近距离通信的核心网功能实体，该功能实体协助 UE间进行发现、协助 PC5接口的建立等，该功能实体还负责近距离通信 UE的注册、认证、授权、近距离通信对端的发现、近距离通信链路（即 PC5链路）的建立或切换等。 ProSe功能实体与现有的 EPC (如 MME) 间通过 PC4接口。同时， ProSe功能实体还与应用服务器通过 PC2接口，该接口用于从应用服务器获取应用相关信息，以及为应用服务器提供近距离通信服务。近距离通信不仅可以满足无覆盖时手机之间的应急通讯的需求，同时也为运营商的网络提供了一种新的可能和机遇。比如，利用近距离通讯开展广告业务或者利用近距离通讯将数据流从基站卸载，从而提升网络容量等。但是，在近距离通信给运营商带来机遇的同时也提出了新的挑战，其中最重要的就是合法侦听了。在传统 3GPP网络中，合法侦听是通过移动核心网网关设备（如 PDN GW) 将被侦听用户的通信数据包（语音或数据）拷贝，并发送给合法侦听服务器，再由合法侦听服务器提供给公安部门等希望侦听该用户通信数据的政府安全部门。由于在传统的 3GPP网络中，用户的所有通信数据均流经核心网的网关设备，因此，当需要侦听某用户的通信数据时，只需要通知该用户所附着的网关设备进行侦听即可。由于近距离通信是手机间直接通信，手机间互相通信的数据将不再经过运营商的网络（不经过基站、核心网网关设备），因此，按照传统的合法侦听方案，运营商将无法依照相关法律法规对用户通信数据进行监控，也就是无法根据法律法规提供合法侦听的能力了。这对运营商来说是不可接受的。针对相关技术中没有提出任何对近距离通信进行监控的问题，目前没有提出解决方案。发明内容本发明提供了侦听方法及装置，以至少解决相关技术中没有提出任何对近距离通信进行监控的问题。根据本发明的一个方面，提供了一种侦听方法，包括：被侦听用户所在的基站对所述被侦听用户和通信对端之间的通信进行侦听，其中，所述被侦听用户为近距离通信用户；所述基站将侦听得到的数据发送给核心网网元。优选地，所述基站对所述被侦听用户和所述通信对端之间的通信进行侦听包括：所述基站在空口对所述被侦听用户和所述通信对端之间的通信进行侦听；或者，所述基站将所述被侦听用户与所述通信对端建立的近距离通信链路切换为经过所述基站的通信链路之后，通过经过所述基站的通信链路对所述被侦听用户和所述通信对端之间的通信进行侦听。优选地，所述基站在空口对所述被侦听用户进行侦听包括：所述基站为所述被侦听用户以及所述通信对端所在的基站为所述通信对端，重新配置无线参数并更新所述被侦听用户和所述通信对端的承载；在所述被侦听用户和所述通信对端在更新后的承载上进行通信时，所述被侦听用户所在的基站在空口对所述更新后的承载进行侦听。优选地，所述基站将所述被侦听用户与所述通信对端建立的近距离通信链路切换为经过所述基站的通信链路，并进行侦听包括：所述基站为所述被侦听用户以及所述通信对端所在的基站为所述通信对端，重新配置无线参数，并建立所述被侦听用户和所述通信对端与各自所在基站的承载；在所述被侦听用户和所述通信对端在建立的承载上进行通信时，所述被侦听用户所在的基站在建立的承载上进行侦听。优选地，所述被侦听用户所在的基站和所述通信对端所在的基站为相同的基站或者不同的基站。优选地，述被侦听用户所在的基站将侦听得到的数据发送给所述核心网网元包括: 所述被侦听用户所在的基站通过侦听得到加密的数据，将加密的数据进行解密，并将解密后的数据发送给所述核心网网元；或者，所述被侦听用户所在的基站将侦听到的加密的数据发送给所述核心网网元。优选地，在所述被侦听用户所在的基站将所述加密的数据进行解密之前，所述方法还包括：所述被侦听用户所在的基站接收来自核心网网元的用于解密所述数据的信息。优选地，所述被侦听用户所在的基站接收来自核心网网元的用于解密所述数据的信息之后，所述方法还包括：所述被侦听用户所在基站在为所述被侦听用户重新配置无线参数时，重新配置所述被侦听用户和所述通信对端的密钥。优选地，在所述被侦听用户所在的基站对所述被侦听用户和通信对端之间的通信进行侦听之前，所述方法还包括：所述被侦听用户所在基站经由移动管理网元接收来自 ProSe功能实体的侦听所述被侦听用户的请求。根据本发明的另一个方面，还提供了一种侦听装置，位于被侦听用户所在的基站中，包括：侦听模块，设置为对所述被侦听用户和通信对端之间的通信进行侦听，其中，所述被侦听用户为近距离通信用户；发送模块，设置为将侦听得到的数据发送给核心网网元。优选地，所述侦听模块设置为在空口对所述被侦听用户和所述通信对端之间的通信进行侦听；或者，所述侦听模块设置为在将所述被侦听用户与所述通信对端建立的近距离通信链路切换为经过所述基站的通信链路之后，通过经过所述基站的通信链路对所述被侦听用户和所述通信对端之间的通信进行侦听。优选地，所述侦听模块设置为，在为所述被侦听用户重新配置无线参数并更新所述被侦听用户的承载之后，在所述被侦听用户和所述通信对端在更新后的承载上进行通信时，在空口对所述更新后的承载进行侦听。优选地，所述侦听模块设置为，在为所述被侦听用户重新配置无线参数，并建立所述被侦听用户与其所在基站的承载之后，在所述被侦听用户和所述通信对端在建立的承载上进行通信时，在建立的承载上进行侦听。优选地，所述发送模块，设置为将通过侦听得到加密的数据进行解密，将解密后的数据发送给所述核心网网元；或者，所述发送模块，设置为将侦听到的加密的数据发送给所述核心网网元。优选地，还包括：第一接收模块，设置为接收来自核心网网元的用于解密所述数据的信息。优选地，还包括：配置模块，设置为在为所述被侦听用户重新配置无线参数时，重新配置所述被侦听用户和所述通信对端的密钥。优选地，还包括：第二接收模块，设置为经由移动管理网元接收来自 ProSe功能实体的侦听所述被侦听用户的请求。通过本发明，采用被侦听用户所在的基站对被侦听用户和通信对端之间的通信进行侦听，其中，被侦听用户为近距离通信用户；基站将侦听得到的数据发送给核心网网元。解决了相关技术中没有提出任何对近距离通信进行监控的问题，实现了对近距离通信的用户进行监控。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是根据相关技术中近距离通信的架构示意图；图 2是根据本发明实施例的侦听方法的流程图；图 3是根据本发明实施例的基站通过空口进行侦听的优选流程图；图 4是根据本发明实施例的基站将近距离通信链路切换为经过基站的通信链路之后进行侦听的优选流程图；图 5是根据本发明实施例的侦听装置的结构框图; 图 6是根据本发明优选实施例的近距离通信的合法侦听参考架构示意图；图 7是根据本发明优选实施例二的流程图；图 8是根据本发明优选实施例三的流程图；图 9是根据本发明优选实施例四的流程图；图 10是根据本发明优选实施例五的流程图。具体实施方式需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。在本实施例中提供了一种侦听方法，图 2是根据本发明实施例的侦听方法的流程图，如图 2所示，该流程包括如下步骤：步骤 S202, 被侦听用户所在的基站对被侦听用户和通信对端之间的通信进行侦听，其中，被侦听用户为近距离通信用户；步骤 S204, 该基站将侦听得到的数据发送给核心网网元。通过上述步骤，通过基站对被侦听用户进行侦听，然后将侦听得到的数据发送给核心网网元，从而实现了对近距离通信的用户的监控。基站对被侦听用户的监控可以通过多种方式来实现，在本实施例中提供了两种优选的实施方式。需要说明的是，这两种实施方式仅仅是优选的实施方式，基站对被侦听用户的侦听方式并不仅仅限于这两种优选的实施方式。下面对这两种优选的实施方式进行说明。优选地，上述侦听可以使 ProSe发起的，被侦听用户所在基站可以经由移动管理网元接收来自 ProSe功能实体的侦听被侦听用户的请求。优选实施方式一基站在空口对被侦听用户和通信对端之间的通信进行侦听。在该实施方式中，优选地，基站可以通过更新承载的方式来在更新之后的承载上通过空口侦听被侦听用户。图 3是根据本发明实施例的基站通过空口进行侦听的优选流程图，如图 3所示，该流程包括如下步骤：步骤 S302, 基站为被侦听用户以及通信对端所在的基站为通信对端，重新配置无线参数并更新被侦听用户和通信对端的承载；步骤 S304, 在被侦听用户和通信对端在更新后的承载上进行通信时，被侦听用户所在的基站在空口对更新后的承载进行侦听。优选实施方式二基站将被侦听用户与通信对端建立的近距离通信链路切换为经过基站的通信链路之后，通过经过基站的通信链路对被侦听用户和通信对端之间的通信进行侦听。在该实施方式中，可以通过建立到基站上的承载的方式来进行侦听。图 4是根据本发明实施例的基站将近距离通信链路切换为经过基站的通信链路之后进行侦听的优选流程图，如图 4所示，该流程包括如下步骤：步骤 S402, 基站为被侦听用户以及通信对端所在的基站为通信对端，重新配置无线参数，并建立被侦听用户和通信对端与各自所在基站的承载；步骤 S404, 在被侦听用户和通信对端在建立的承载上进行通信时，被侦听用户所在的基站在建立的承载上进行侦听。通过上述步骤，需要重新建立到用户到基站的承载，然后就可以对被侦听用户进行监控了。在上述两个优选实施例中，被侦听用户所在的基站和通信对端所在的基站可以为相同的基站或者也可以为不同的基站，不同的基站可以建立基站间通信进行数据转发。上述步骤 S204中，基站通过侦听得到的数据可以使加密数据，此时，被侦听用户所在的基站可以将加密的数据进行解密，并将解密后的数据发送给核心网网元；或者，被侦听用户所在的基站也可以将侦听到的加密的数据发送给核心网网元，然后由核心网网元进行解密处理。对于如果需要在基站侧进行解密，该解密所需要用到的信息可以使来自核心网的，及基站可以接收来自核心网网元的用于解密数据的信息。如果接收到用于解密数据的信息，被侦听用户所在基站可以在为被侦听用户重新配置无线参数时，重新配置被侦听用户和通信对端的密钥。在本实施例中，还提供了一种侦听装置，位于被侦听用户所在的基站中，该装置可以实现上述方法及方法优选实施例，上述实施例中所涉及到的每一个步骤均可以使用模块来实现。图 5是根据本发明实施例的侦听装置的结构框图，如图 5所示，该结构包括如下模块：侦听模块 52和发送模块 54，其中，侦听模块 52，设置为对被侦听用户和通信对端之间的通信进行侦听，其中，被侦听用户为近距离通信用户；发送模块 54，设置为将侦听得到的数据发送给核心网网元。优选地，侦听模块 52 设置为在空口对被侦听用户和通信对端之间的通信进行侦听；或者，侦听模块 52设置为在将被侦听用户与通信对端建立的近距离通信链路切换为经过基站的通信链路之后，通过经过基站的通信链路对被侦听用户和通信对端之间的通信进行侦听。优选地，侦听模块 52设置为在为被侦听用户重新配置无线参数并更新被侦听用户的承载之后，在被侦听用户和通信对端在更新后的承载上进行通信时，在空口对更新后的承载进行侦听。优选地，侦听模块 52设置为在为被侦听用户重新配置无线参数，并建立被侦听用户与其所在基站的承载之后，在被侦听用户和通信对端在建立的承载上进行通信时，在建立的承载上进行侦听。优选地，发送模块 54设置为将通过侦听得到加密的数据进行解密，将解密后的数据发送给核心网网元；或者，发送模块 54设置为将侦听到的加密的数据发送给核心网网元。优选地，该装置还可以包括：第一接收模块，设置为接收来自核心网网元的用于解密数据的信息。优选地，该装置还可以包括：配置模块，设置为在为被侦听用户重新配置无线参数时，重新配置被侦听用户和通信对端的密钥。优选地，该装置还可以包括：第二接收模块，设置为经由移动管理网元接收来自 ProSe功能实体的侦听被侦听用户的请求。下面结合优选实施例对进行说明。在以下几个优选实施例中，提供了一种近距离通信时对用户进行合法侦听的方法，该方法包括如下步骤：

(a)当需要对近距离用户进行合法侦听时，核心网功能实体 1通知被侦听用户所在的基站； (b)被侦听用户所在基站在空口对用户进行侦听，或者，被侦听用户所在基站将该用户与其他用户或主机间近距离通信链路切换到经过该基站后在本地对该用户进行侦听；

(c)被侦听用户所在基站将侦听到的数据包解密后发送给核心网功能实体 2; 或者被侦听用户所在基站将侦听到的数据包不解密直接发送给核心网功能实体 2，由核心网功能实体 2对数据包进行解密。

(d) 核心网功能实体 2再将侦听到的数据发送给合法侦听服务器。优选地，上述核心网功能实体 1为 ProSe功能实体或者 PDN GW。核心网功能实体 1通过 MME通知被侦听用户所在基站对用户进行侦听。优选地，上述被侦听用户所在基站是指被侦听用户所驻留（camp) 的基站。优选地，上述步骤（b)中基站在空口进行侦听是指基站在空口截取被侦听用户与其他用户或主机在近距离通信链路上直接通信的数据包。优选地，上述步骤（b) 中，若被侦听用户与该用户的通信对端间的近距离通信链路切换到经过基站，基站将在该二用户间转发近距离通信数据包。优选地，若被侦听用户与该用户的通信对端驻留在不同的基站下，贝 ij，需建立两基站间的通道，该通道用于在被侦听用户与该用户的通信对端间转发近距离通信数据包。优选地，上述步骤（b) 中，若被侦听用户的通信数据包加密，被侦听用户所驻留的基站或核心网功能实体 2对加密的数据包进行解密。优选地，若被侦听用户的通信数据包加密，在该被侦听用户的基站在进行侦听前重新为该被侦听用户配置通信链路，包括配置新的通信密钥和承载。优选地，上述步骤（c) 中，核心网功能实体 2可为 PDN GW, 或者为 ProSe功能实体。优选地，上述步骤（C ) 中，若由基站解密被侦听数据包，则基站从核心网功能实体 3获得解密数据包所需的信息，包括算法、密钥、初始值等参数。核心网功能实体 3可为 MME或 ProSe 功能实体。优选地，上述步骤（c) 中，若由核心网功能实体 2解密被侦听数据包，则核心网功能实体 2从核心网功能实体 3获得解密数据包所需的信息，包括算法、密钥、初始值等参数。核心网功能实体 3可为 MME或 ProSe 功能实体。优选地，基站与核心网功能实体 2间建立隧道用于侦听数据的发送。基站和核心网功能实体 2间的隧道的建立可以在 MME的协助下进行；或者基站与核心网功能实体 2间直接建立隧道。该隧道的粒度是用户粒度或者承载粒度。优选地，当核心网功能实体 2是 PDN GW时，该隧道经过 Serving GW。下面对这几个优选实施例进行说明。实施例一图 6是根据本发明优选实施例的近距离通信的合法侦听参考架构示意图，如图 6 所示，在图 1的参考架构基础上，本实施例增加了 3个接口： Xl-1， X2, X3。 XI接口： ProSe功能实体与监督功能（Administration Function, 简称为 ADMF) 间的接口。侦听部门通过 X1-1接口向 ProSe 功能实体发送侦听侦听近距离用户间通信的指令。

X2接口： ProSe功能实体与投递功能 2 (Delivery Function 2) 间的接口。该接口用于 ProSe功能实体向 Delivery Function 2发送被侦听用户有关的事件、信令信息，如，被侦听用户发起了一个发现过程，或者被侦听用户与另一用户间建立了近距离通信等。

X3接口： ProSe功能实体与投递功能 3 (Delivery Function 3 ) 间的接口。该接口用于 ProSe功能实体向 Delivery Function 3发送被侦听用户与其他用户或主机间通过近距离通信链路进行通信的数据包。除此之外，本实施例还将增强 PDN GW与 Delivery Function 3间的 X3接口（未在图 6中标示），以向 Delivery Function 3发送被侦听用户与其他用户或主机间通过近距离通信链路进行通信的数据包。实施例二本实施例是被侦听用户及与其通信的对端用户位于同一 eNB下的侦听流程。在本实施例所示的流程图中， eNB直接侦听被侦听用户 UE A与其通信对端 UE B的空口，以便截取他们间通信的数据包。 eNB建立与 PDN GW间的 LI隧道，该隧道可经过 SGWo e B将从空口截取的 UE A与其他用户通信的数据包解密后通过上述 LI隧道发送给 PDN GW, 并由 PDN GW通过 X3接口发送给 Delivery Function 3。在本实施例中， UE A是被侦听的用户， UE B是与 UE A进行近距离通信的通信对端。 UE A和 UE B驻留在同一个 eNB下。为了简化，本实施例假设 UE A和 UE B 由同一 MME和 ProSe功能实体为其服务。图 7是根据本发明优选实施例二的流程图，如图 7所示，该流程包括如下步骤：步骤 S701， UE A正在与 UE B进行近距离通信。步骤 S702， ProSe功能实体收到侦听 UE A的需求。步骤 S703， ProSe功能实体向 UE A所服务 MME发送侦听 UE A的请求， MME 向 eNB发送侦听 UE A的请求。步骤 S704, 步骤 S705， eNB发起建立 LI隧道。 eNB向 MME请求建立 LI隧道。若存在 SGW，该隧道经过 SGW，即，该隧道由 eNB与 SGW间的隧道和 SGW与 PDN GW间的隧道两段隧道组成。 MME为 eNB选择一个 PDN GW作为侦听上报的 PDN GW。 LI隧道用于 eNB向 PDN GW发送其在空口截获的 UE A与其他用户间通信的数据包。该隧道的建立可采用 S1AP协议和 GTP协议分段完成，具体如何操作可参考现有的 3GPP协议，因此，本发明在此不赘述隧道建立过程。步骤 S706, 上述隧道建立完成后， eNB向 ProSe功能实体发送响应消息。步骤 S707， ProSe功能实体为 UE A和 UE B的近距离通信配置新的密钥。 ProSe 功能实体将新的密钥通过 MME发送给 e B，由 eNB为 UE A和 UE B配置新密钥。在这一步， ProSe功能实体还将 UE A与 UE B间的安全算法和其他算法相关参数发送给 e B。 eNB保存 UE A与 UE B间的安全算法、密钥及其他算法相关参数，以便解密侦听到的 UE A与 UE B间的通信数据包。步骤 S708, 步骤 S709， eNB为 UE A和 UE B重新配置无线参数，包括：重新配置密钥。同时， eNB还为 UE A和 UE B更新承载，包括：分配新的承载、释放老承载。 UE A和 UE B在收到从 eNB来的重配无线参数后，重新配置 PDCP, 将安全相关的参数重新初始化（如， UE A与 UE B重置 Counter), 并且在新的承载上发送和接受数据。 UE A和 UE B释放老的承载。本实施例通过重配承载的方式保持 eNB与 UE A及 UE B 的上下行数据包间的 Counter同步。具体的， eNB重配承载后， UE A和 UE B开始在新的承载上收发数据， eNB也同时开启截获该新承载上的数据包，这样可以保证 eNB 上的 Counter与 UE A及 UE B上的 Counter保持一致。步骤 S710， eNB开始侦听 UE A的空口。 eNB在新的承载上侦听 UE A与 UE B 间的通信数据包。步骤 S711， eNB为解密 UE A与 UE B间的通信数据包初始化安全上下文，包括设置安全算法、密钥、其他初始向量如 Counter等。 eNB截获 UE A与 UE B间通信数据包后使用上述安全上下文中的参数对数据包进行解密。步骤 S712， eNB将解密后的数据包通过 LI隧道发送给 PDN GW。步骤 S713， PDN GW通过 X3接口将 UE A与 UE B间的通信数据包发送给侦听服务器。实施例三本实施例是被侦听用户及与其通信的对端用户位于不同 eNB下的侦听流程。在本实施例中， UE A是被侦听的用户， UE B是与 UE A进行近距离通信的通信对端。 UE A驻留在 eNB A下， UE B驻留在 eNB B下。为了简化，本实施例假设 UE A 和 UE B由同一 MME和 ProSe功能实体为其服务。图 8是根据本发明优选实施例三的流程图，如图 8所示，该流程包括如下步骤：步骤 S801， UE A正在与 UE B进行近距离通信。步骤 S802， ProSe功能实体收到侦听 UE A的需求。步骤 S803， ProSe功能实体向 UE A所服务 MME发送侦听 UE A的请求， MME 向 eNB A发送侦听 UE A的请求。步骤 S804, 步骤 S805， eNB A发起建立 LI隧道。 eNB A向 MME请求建立 LI 隧道。若存在 SGW，该隧道经过 SGW，即，该隧道由 eNB A与 SGW间的隧道和 SGW 与 PDN GW间的隧道两段隧道组成。 MME为 eNB A选择一个 PDN GW作为侦听上报的 PDN GW。 LI隧道用于 eNB A向 PDN GW发送其在空口截获的 UE A与其他用户间通信的数据包。该隧道的建立可采用 S1AP协议和 GTP协议分段完成，具体如何操作可参考现有的 3GPP协议，因此，本发明在此不赘述隧道建立过程。步骤 S806, 上述隧道建立完成后， eNB A向 ProSe功能实体发送响应消息。步骤 S807， ProSe功能实体为 UE A和 UE B的近距离通信配置新的密钥。 ProSe 功能实体将新的密钥通过 MME发送给 eNB A，由 eNB A为 UE A配置新密钥。在这一步， ProSe功能实体还将 UE A与 UE B间的安全算法和其他算法相关参数发送给 eNB A。 e B A保存 UE A与 UE B间的安全算法、密钥及其他算法相关参数，以便解密侦听到的 UE A与 UE B间的通信数据包。步骤 S808， eNB A为 UE A重新配置无线参数，包括：重新配置 UE A与 UE B 通信的密钥。同时， eNB A还为 UE A更新承载，包括：分配新的承载、释放老承载。 UE A在收到从 eNB A来的重配无线参数后，重新配置 PDCP,将安全相关的参数重新初始化（如， UE A重置 Counter), 并且在新的承载上发送和接受数据。 UE A释放老的承载。本实施例通过重配承载的方式保持 eNB A 与 UE A 的上下行数据包间的 Counter同步。具体的， eNB A重配承载后， UE A开始在新的承载上收发数据， eNB A 也同时开启截获该新承载上的数据包，这样可以保证 eNB A上的 Counter与 UE A上的 Counter保持一致。步骤 S809， ProSe功能实体为 UE A和 UE B的近距离通信配置新的密钥。 ProSe 功能实体将新的密钥通过 MME发送给 eNB B，由 eNB B为 UE B配置新密钥。步骤 S810， eNB B为 UE B重新配置无线参数，包括：重新配置 UE A与 UE B 通信的密钥。同时， e B B还为 UE B更新承载，包括：分配新的承载、释放老承载。 UE B在收到从 eNB来的重配无线参数后，重新配置 PDCP,将安全相关的参数重新初始化（如， UE B重置 Counter), 并且在新的承载上发送和接受数据。 UE B释放老的承载。步骤 S811， eNB A开始侦听 UE A的空口。 eNB A在新的承载上侦听 UE A与 UE B间的通信数据包。步骤 S812， eNB A为解密 UE A与 UE B间的通信数据包初始化安全上下文，包括设置安全算法、密钥、其他初始向量如 Counter等。 eNB A截获 UE A与 UE B间通信数据包后使用上述安全上下文中的参数对数据包进行解密。步骤 S813， eNB A将解密后的数据包通过 LI隧道发送给 PDN GW。步骤 S814， PDN GW通过 X3接口将 UE A与 UE B间的通信数据包发送给侦听服务器。实施例四本实施例是被侦听用户及与其通信的对端用户位于相同 eNB下，且 eNB不能直接在空口截获被侦听用户与其他用户或中断通话数据包时的侦听流程。在本实施例中， UE A是被侦听的用户， UE B是与 UE A进行近距离通信的通信对端。 UE A和 UE B都驻留在 eNB下。为了简化，本实施例假设 UE A和 UE B由同一 MME和 ProSe功能实体为其服务。图 9是根据本发明优选实施例四的流程图，如图 9所示，该流程包括如下步骤：步骤 S901， UE A正在与 UE B进行近距离通信。步骤 S902， ProSe功能实体收到侦听 UE A的需求。步骤 S903， ProSe功能实体向 UE A所服务 MME发送侦听 UE A的请求， MME 向 eNB发送侦听 UE A的请求。步骤 S904, 步骤 S905， eNB发起建立 LI隧道。 eNB向 MME请求建立 LI隧道。若存在 SGW，该隧道经过 SGW，即，该隧道由 eNB与 SGW间的隧道和 SGW与 PDN GW间的隧道两段隧道组成。 MME为 eNB选择一个 PDN GW作为侦听上报的 PDN GW。 LI隧道用于 eNB向 PDN GW发送其在空口截获的 UE A与其他用户间通信的数据包。该隧道的建立可采用 S1AP协议和 GTP协议分段完成，具体如何操作可参考现有的 3GPP协议，因此，本发明在此不赘述隧道建立过程。步骤 S906, 上述隧道建立完成后， eNB向 ProSe功能实体发送响应消息。步骤 S907， ProSe功能实体为 UE A和 UE B的近距离通信配置新的密钥。 ProSe 功能实体将新的密钥通过 MME发送给 e B，由 eNB为 UE A和 UE B配置新密钥。在这一步， ProSe功能实体还将 UE A与 UE B间的安全算法和其他算法相关参数发送给 e B。 eNB保存 UE A与 UE B间的安全算法、密钥及其他算法相关参数，以便解密侦听到的 UE A与 UE B间的通信数据包。步骤 S908, 步骤 S909， eNB为 UE A和 UE B重新配置无线参数，包括：重新配置密钥。同时， eNB将 UE A与 UE B间直接通信的承载分成两段重新配置： eNB分别建立 UE A到 eNB的承载和 UE B到 eNB的承载，并且在 eNB本地建立回路，在 UE A与 eNB的承载和 UE B与 eNB承载间进行中继，从而保障 UE A和 UE B间的联通。从而， UE A与 UEB间的通信数据包经过 eNB中转。

UE A和 UEB在收到从 eNB来的重配无线参数后，重新配置 PDCP, 将安全相关的参数重新初始化（如， UEA与 UEB重置 Counter), 并且在新承载上发送和接受数据。同时， eNB命令 UEA和 UEB释放老的承载。本实施例中， eNB通过重配承载的方式将 eNB安插在 UE A与 UE B的通信路径上，从而可以截获 UEA与 UEB的通信数据包。并且，在 eNB重配承载后， UEA和 UE B需启用新的密钥，并将安全算法上下文初始化，从而可以保持 eNB与 UE A及 UE B的上下行数据包间的 Counter同步。具体的， eNB重配承载后， UE A和 UE B 开始在新的承载上收发数据， eNB也同时开启截获该新承载上的数据包，这样可以保证 eNB上的 Counter与 UEA及 UEB上的 Counter保持一致。步骤 S910， eNB开始在本地截获 UEA与 UEB的通信数据包。 eNB为解密 UEA 与 UE B间的通信数据包初始化安全上下文，包括设置安全算法、密钥、其他初始向量如 Counter等。 eNB截获 UEA与 UEB间通信数据包后使用上述安全上下文中的参数对数据包进行解密。步骤 S911， eNB将解密后的数据包通过 LI隧道发送给 PDN GW。步骤 S912， PDN GW通过 X3接口将 UEA与 UEB间的通信数据包发送给侦听服务器。实施例五本实施例是被侦听用户及与其通信的对端用户位于不同 eNB下，且 eNB不能直接在空口截获被侦听用户与其他用户或中断通话数据包时的侦听流程。在本实施例中， UEA是被侦听的用户， UEB是与 UE A进行近距离通信的通信对端。 UE A驻留在 eNB A下， UE B驻留在 eNB B下。为了简化，本实施例假设 UEA 和 UE B由同一 MME和 ProSe功能实体为其服务。图 10是根据本发明优选实施例五的流程图，如图 10所示，该流程包括如下步骤：步骤 S1001, UEA正在与 UEB进行近距离通信。步骤 S1002, ProSe功能实体收到侦听 UEA的需求。步骤 S1003 , ProSe功能实体向 UE A所服务 MME发送侦听 UE A的请求， MME 向 eNB A发送侦听 UE A的请求。步骤 S1004, 步骤 S1005, eNB A发起建立 LI隧道。 eNB A向 MME请求建立 LI 隧道。若存在 SGW，该隧道经过 SGW，即，该隧道由 eNB A与 SGW间的隧道和 SGW 与 PDN GW间的隧道两段隧道组成。 MME为 eNB A选择一个 PDN GW作为侦听上报的 PDN GW。 LI隧道用于 eNB A向 PDN GW发送其在空口截获的 UE A与其他用户间通信的数据包。该隧道的建立可采用 S1AP协议和 GTP协议分段完成，具体如何操作可参考现有的 3GPP协议，因此，本发明在此不赘述隧道建立过程。步骤 S1006, 上述隧道建立完成后， eNB A向 ProSe功能实体发送响应消息。步骤 S1007, ProSe功能实体为 UE A和 UE B的近距离通信配置新的密钥。 ProSe 功能实体将新的密钥通过 MME发送给 eNB A，由 eNB A为 UE A和 UE B配置新密钥。在这一步， ProSe功能实体还将 UE A与 UE B间的安全算法和其他算法相关参数发送给 eNB A。 eNB A保存 UE A与 UE B间的安全算法、密钥及其他算法相关参数，以便解密侦听到的 UE A与 UE B间的通信数据包。步骤 S1008, ProSe功能实体为 UE A和 UE B的近距离通信配置新的密钥。 ProSe 功能实体将新的密钥通过 MME发送给 eNB B，由 eNB B为 UE A和 UE B配置新密钥。步骤 S1009, eNB A判断其不能在空口直接截获 UE A和 UE B间通信的数据包，且 UE A与 UE B驻留在不同的 eNB下（UE B驻留在 eNB B下）， eNB A与 UE B所驻留的基站 eNB B间建立转发通道。步骤 S1010, eNB A为 UE A重新配置无线参数，包括：重新配置密钥和重建承载。 eNB A在 UE A与 eNB A间建立新的承载，同时释放 UE A与 UE B间的承载。 UE A 通过 UE A与 eNB A间的承载向 UE B发送和接受数据。同时， eNB A通过步骤步骤 S 1009建立的转发通道向 eNB B转发数据。 UE A在启用新的承载（UE A与 eNB A间的承载）后将配置新的安全参数，包括新的密钥、初始化安全参数等。步骤 S1011 , eNB B为 UE B重新配置无线参数，包括：重新配置密钥和重建承载。 eNB B在 UE B与 eNB B间建立新的承载，同时释放 UE B与 UE A间的承载。 UE B 通过 UE B与 eNB B间的承载向 UE A发送和接受数据。同时， eNB B通过步骤步骤 SI 009建立的转发通道向 e B A转发数据。 UE B在启用新的承载（UE B与 eNB B间的承载）后将配置新的安全参数，包括新的密钥、初始化安全参数等。步骤 S1012, eNB A开始在本地截获 UE A与 UE B的通信数据包。 eNB A为解密 UE A与 UE B间的通信数据包初始化安全上下文，包括设置安全算法、密钥、其他初始向量如 Counter等。 eNB A截获 UE A与 UE B间通信数据包后使用上述安全上下文中的参数对数据包进行解密。步骤 S1013 , eNB A将解密后的数据包通过 LI隧道发送给 PDN GW。步骤 S1014, PDN GW通过 X3接口将 UE A与 UE B间的通信数据包发送给侦听服务器。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。工业实用性如上所述，本发明实施例提供的侦听方法及侦听装置具有以下有益效果：解决了相关技术中没有提出任何对近距离通信进行监控的问题，实现了对近距离通信的用户进行监控。

Claims

权利要求书

1. 一种侦听方法，包括：被侦听用户所在的基站对所述被侦听用户和通信对端之间的通信进行侦听，其中，所述被侦听用户为近距离通信用户；

所述基站将侦听得到的数据发送给核心网网元。

2. 根据权利要求 1所述的方法，其中，所述基站对所述被侦听用户和所述通信对端之间的通信进行侦听包括：所述基站在空口对所述被侦听用户和所述通信对端之间的通信进行侦听；或者，

所述基站将所述被侦听用户与所述通信对端建立的近距离通信链路切换为经过所述基站的通信链路之后，通过经过所述基站的通信链路对所述被侦听用户和所述通信对端之间的通信进行侦听。

3. 根据权利要求 2所述的方法，其中，所述基站在空口对所述被侦听用户进行侦听包括：所述基站为所述被侦听用户以及所述通信对端所在的基站为所述通信对端，重新配置无线参数并更新所述被侦听用户和所述通信对端的承载；

在所述被侦听用户和所述通信对端在更新后的承载上进行通信时，所述被侦听用户所在的基站在空口对所述更新后的承载进行侦听。

4. 根据权利要求 2所述的方法，其中，所述基站将所述被侦听用户与所述通信对端建立的近距离通信链路切换为经过所述基站的通信链路，并进行侦听包括：所述基站为所述被侦听用户以及所述通信对端所在的基站为所述通信对端，重新配置无线参数，并建立所述被侦听用户和所述通信对端与各自所在基站的承载；

在所述被侦听用户和所述通信对端在建立的承载上进行通信时，所述被侦听用户所在的基站在建立的承载上进行侦听。

5. 根据权利要求 2至 4中任一项所述的方法，其中，所述被侦听用户所在的基站和所述通信对端所在的基站为相同的基站或者不同的基站。

6. 根据权利要求 1至 4中任一项所述的方法，其中，所述被侦听用户所在的基站将侦听得到的数据发送给所述核心网网元包括：所述被侦听用户所在的基站通过侦听得到加密的数据，将加密的数据进行解密，并将解密后的数据发送给所述核心网网元；或者，

所述被侦听用户所在的基站将侦听到的加密的数据发送给所述核心网网元。

7. 根据权利要求 6所述的方法，其中，在所述被侦听用户所在的基站将所述加密的数据进行解密之前，所述方法还包括：

所述被侦听用户所在的基站接收来自核心网网元的用于解密所述数据的信息。

8. 根据权利要求 7所述的方法，其中，所述被侦听用户所在的基站接收来自核心网网元的用于解密所述数据的信息之后，所述方法还包括：所述被侦听用户所在基站在为所述被侦听用户重新配置无线参数时，重新配置所述被侦听用户和所述通信对端的密钥。

9. 根据权利要求 1至 8中任一项所述的方法，其中，在所述被侦听用户所在的基站对所述被侦听用户和通信对端之间的通信进行侦听之前，所述方法还包括：所述被侦听用户所在基站经由移动管理网元接收来自 ProSe功能实体的侦听所述被侦听用户的请求。

10. 一种侦听装置，位于被侦听用户所在的基站中，包括：侦听模块，设置为对所述被侦听用户和通信对端之间的通信进行侦听，其中，所述被侦听用户为近距离通信用户；

发送模块，设置为将侦听得到的数据发送给核心网网元。

11 . 根据权利要求 10所述的装置，其中，所述侦听模块设置为在空口对所述被侦听用户和所述通信对端之间的通信进行侦听；或者，

所述侦听模块设置为在将所述被侦听用户与所述通信对端建立的近距离通信链路切换为经过所述基站的通信链路之后，通过经过所述基站的通信链路对所述被侦听用户和所述通信对端之间的通信进行侦听。

12. 根据权利要求 11所述的装置，其中，所述侦听模块设置为，在为所述被侦听用户重新配置无线参数并更新所述被侦听用户的承载之后，在所述被侦听用户和所述通信对端在更新后的承载上进行通信时，在空口对所述更新后的承载进行侦听

13. 根据权利要求 11所述的装置，其中，所述侦听模块设置为，在为所述被侦听用户重新配置无线参数，并建立所述被侦听用户与其所在基站的承载之后，在所述被侦听用户和所述通信对端在建立的承载上进行通信时，在建立的承载上进行侦听

14. 根据权利要求 10至 13中任一项所述的装置，其中，所述发送模块，设置为将通过侦听得到加密的数据进行解密，将解密后的数据发送给所述核心网网元；或者，

所述发送模块，设置为将侦听到的加密的数据发送给所述核心网网元。

15. 根据权利要求 14所述的装置，其中，还包括：第一接收模块，设置为接收来自核心网网元的用于解密所述数据的信息。

16. 根据权利要求 15所述的装置，其中，还包括：配置模块，设置为在为所述被侦听用户重新配置无线参数时，重新配置所述被侦听用户和所述通信对端的密钥。

17. 根据权利要求 10至 16中任一项所述的装置，其中，还包括：第二接收模块，设置为经由移动管理网元接收来自 ProSe功能实体的侦听所述被侦听用户的请求。