WO2018157322A1 - 一种合法监听的方法、装置及系统 - Google Patents

Abstract

本申请公开了一种合法监听的方法、装置及系统，涉及通信技术领域，能够解决合法监听中心无法合法监听用户设备的本地分流业务数据的问题。方法包括：集中网关设备接收合法监听网关设备发送的监听指示，所述监听指示携带待监听的用户设备的标识；所述集中网关设备向所述远端网关设备发送关闭分流指示，所述关闭分流指示用于通知所述远端网关设备关闭所述用户设备的本地分流功能，集中网关设备接收远端网关设备发送的用户设备的业务数据，并上报给合法监听中心。本申请适用于对用户设备进行合法监听的过程中。

Description

一种合法监听的方法、装置及系统 技术领域

本申请涉及通信技术领域，尤其涉及一种合法监听的方法、装置及系统。

背景技术

随着通信技术的发展，用户设备(User Equipment，UE)对通信网络的传输效率要求越来越高。在实际网络部署中，由于服务网关(Serving Gateway，SGW)、分组数据网络网关(Packet Data Network Gateway，PGW)和移动性管理实体(Mobility Management Entity，MME)通常部署在省干，部署位置较高，距离用户设备较远，导致用户设备通过无线移动网络访问业务时，数据传输路径较长，时延较大，用户体验差。为了解决上述问题，可以通过网关下移的方式将网关部署到距离用户设备较近的位置(例如：城域或者基站位置)。这样一来，如果本地部署了应用服务器，那么下移网关能够直接将用户设备的本地业务数据发送至本地服务器(Local APP，LAPP)上，从而缩短用户设备的数据传输路径，降低业务访问时延，提高网络传输效率。

为了保证网络的安全性，在网络中开展合法监听是一种常用的手段。在对用户设备进行合法监听时，通常是由部署在省干的网关设备经合法监听网关(Lawful Interception Gateway，LIG)设备向合法监听中心上报用户设备的业务数据。然而，在网关下移的网络架构中，下移部署的网关设备能够直接将本地业务分流至本地应用服务器。因此，如果待监听的用户设备使用了本地分流的功能，那么该用户设备的本地业务数据会在下移部署的网关设备处被分流至本地应用服务器。而此时，部署在省干的网关设备无法感知从下移部署的网关设备处分流的业务数据，也就无法将分流的业务数据经合法监听网关上报给合法监听中心进行监听。

发明内容

本申请实施例提供一种合法监听的方法、装置及系统，能够解决合法监听中心无法合法监听用户设备的本地分流业务数据的问题。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供一种合法监听的方法，包括：集中网关设备接收合法监听网关设备发送的监听指示；集中网关设备向远端网关设备发送关闭分流指示。集中网关设备接收远端网关设备发送的业务数据并上报给合法监听中心。其中，监听指示携带待监听的用户设备的标识，关闭分流指示用于通知远端网关设备关闭用户设备的本地分流功能。基于本申请提供的合法监听方法，由于在对用户设备进行合法监听的过程中，远端网关设备关闭了用户设备的本地分流功能，使得用户设备的本地分流业务会发送给集中网关设备。这样，集中网关设备能将用户设备的本地分流业务通过合法监听网关上报给合法监听中心，从而合法监听中心能监听到用户设备的本地分流业务。

在一种可能的设计中，集中网关设备在向远端网关设备发送关闭分流指示之前， 还要获知远端网关设备上是否开启了用户设备的本地分流功能；当远端网关设备上开启了用户设备的本地分流功能时，集中网关设备向所述远端网关设备发送所述关闭分流指示。由此，当远端网关设备没有开启用户设备本地分流功能时，集中网关设备在接收到监听指示后，不用向远端网关设备发送关闭分流指示。这样，可以减少不必要的信令，节省网络资源。

在一种可能的设计中，集中网关设备判断待监听用户设备的上下文是否包括用户设备对应的本地应用服务器的地址。如果是，则确定远端网关设备开启了该用户设备的本地分流功能。由此，集中网关设备可以通过这种判断过程确定远端网关设备是否开启了用户设备的本地分流功能。

在一种可能的设计中，监听指示还携带了待监听业务的标识，那么集中网关设备向远端网关发送的关闭分流指示还用于通知远端网关设备关闭该用户设备的该项业务的本地分流功能。由此，可以实现对特定用户设备的特定业务进行监听，减轻网关设备间的数据传输量，提高监听的效率。

在一种可能的设计中，在集中网关设备向远端网关设备发送关闭分流指示之后，如果集中网关设备接收到合法监听网关设备发送的停止监听指示，则集中网关设备向远端网关设备发送开启分流指示，其中，停止监听指示用于通知集中网关设备停止上报用户设备的业务数据，开启分流指示用于通知远端网关设备开启用户设备的本地分流功能。由此，在合法监听结束后，远端网关设备可以重新开启本地分流功能。这样，用户设备可以快速访问本地分流业务。

在一种可能的设计中，在监听用户设备的过程中，如果集中网关设备获知用户设备切换了远端网关设备，则集中网关设备不激活切换后的远端网关设备上该用户设备的本地分流功能。由此，可以保证在合法监听用户设备的过程中，不会因用户设备切换了远端网关设备而被中断。

第二方面，提供一种合法监听的方法，包括：远端网关设备接收到集中网关设备发送的关闭分流指示后，向集中网关设备发送所述用户设备的业务数据。其中，关闭分流指示中携带了待监听用户的标识，用于通知远端网关设备关闭用户设备的本地分流功能。业务数据包括本地分流业务数据和非本地分流业务数据。由此，集中网关设备接收到用户设备的全部业务数据，能够将用户设备全部的业务数据上传给合法监听中心，以便监听用户设备。

在一种可能的设计中，关闭分流指示中还携带了待监听业务的标识，则远端网关设备可以关闭用户设备的该项业务的本地分流功能。由此，远端网关设备可以关闭用户设备的特定业务的本地分流功能。

在一种可能的设计中，在远端网关设备接收集中网关设备发送的关闭分流指示之后，如果远端网关设备接收到集中网关设备发送的开启分流指示，则远端网关设备向本地应用服务器发送用户设备的本地分流业务数据，并向集中网关设备发送非本地分流业务数据。其中，开启分流指示用于通知远端网关设备开启用户设备的本地分流功能。由此，在合法监听结束后，远端网关设备能够继续开启用户设备的本地分流功能，进而使得用户设备可以快速访问本地分流业务。

第三方面，提供了一种集中网关设备，包括：接收单元，用于接收合法监听网 关设备发送的监听指示，监听指示携带待监听的用户设备的标识；发送单元，用于在接收到监听指示后，向远端网关设备发送关闭分流指示，关闭分流指示用于通知远端网关设备关闭用户设备的本地分流功能，接收单元，还用于接收远端网关设备发送的用户设备的业务数据；发送单元，还用于向合法监听网关设备上报业务数据。

在一种可能的设计中，集中网关设备还包括：处理单元，用于根据用户设备的上下文获知远端网关设备上开启了用户设备的本地分流功能。

在一种可能的设计中，处理单元，还用于判断用户设备的上下文中是否包括用户设备对应的本地应用服务器的地址；如果包括，则确定远端网关设备上开启了用户设备的本地分流功能。

在一种可能的设计中，接收单元接收的监听指示还携带待监听业务的标识，发送单元发送的关闭分流指示还用于通知远端网关设备关闭用户设备的待监听业务的本地分流功能。

在一种可能的设计中，处理单元，还用于根据用户设备的上下文确定为用户设备执行本地分流功能的远端网关设备。

在一种可能的设计中，接收单元，还用于接收合法监听网关设备发送的停止监听指示，停止监听指示用于通知集中网关设备停止上报用户设备的业务数据；发送单元，还用于在接收单元接收到停止监听指示后，向远端网关设备发送开启分流指示，开启分流指示用于通知远端网关设备开启所述用户设备的本地分流功能。

在一种可能的设计中，处理单元，还用于在监听用户设备的过程中，当获知用户设备切换了远端网关设备时，不激活切换后的远端网关设备上用户设备的本地分流功能。

第四方面，提供了一种远端网关设备，包括：接收单元，用于接收集中网关设备发送的关闭分流指示，关闭分流指示携带待监听的用户设备的标识，用于通知所述远端网关设备关闭用户设备的本地分流功能；发送单元，用于在接收到关闭分流指示后，向集中网关设备发送用户设备的业务数据，业务数据包括本地分流业务数据和非本地分流业务数据。

在一种可能的设计中，关闭分流指示还携带待监听业务的标识，关闭分流指示还用于通知远端网关设备关闭用户设备的待监听业务的本地分流功能；发送单元，还用于向集中网关设备发送用户设备的待监听业务的数据。

在一种可能的设计中，所述接收单元，还用于接收到集中网关设备发送的开启分流指示，开启分流指示用于通知远端网关设备开启用户设备的本地分流功能；发送单元，还用于在接收到开启分流指示后，向本地应用服务器发送用户设备的本地分流业务数据，并向集中网关设备发送用户设备的非本地分流业务数据。

第五方面，提供了一种集中网关设备，包括：处理器和通信接口，所述处理器，用于通过所述通信接口接收合法监听网关设备发送的监听指示，所述监听指示携带待监听的用户设备的标识；还用于通过所述通信接口向远端网关设备发送关闭分流指示，所述关闭分流指示用于通知所述远端网关设备关闭所述用户设备的本地分流功能；还用于通过所述通信接口接收所述远端网关设备 发送的所述用户设备的业务数据，并向所述合法监听网关设备上报所述业务数据。

在一种可能的设计中，所述处理器，还用于根据所述用户设备的上下文获知所述远端网关设备上开启了所述用户设备的本地分流功能。

在一种可能的设计中，所述处理器，还用于判断所述用户设备的上下文中是否包括所述用户设备对应的本地应用服务器的地址；如果是，则所述集中网关设备确定所述远端网关设备上开启了所述用户设备的本地分流功能。

在一种可能的设计中，所述监听指示还携带待监听业务的标识，所述关闭分流指示还用于通知所述远端网关设备关闭所述用户设备的所述待监听业务的本地分流功能。

在一种可能的设计中，所述处理器，还用于根据所述用户设备的上下文确定为所述用户设备执行本地分流功能的所述远端网关设备。

在一种可能的设计中，所述处理器，还用于通过所述通信接口接收所述合法监听网关设备发送的停止监听指示，所述停止监听指示用于通知所述集中网关设备停止上报所述用户设备的业务数据；还用于通过所述通信接口向所述远端网关设备发送开启分流指示，所述开启分流指示用于通知所述远端网关设备开启所述用户设备的本地分流功能。

在一种可能的设计中，所述处理器，还用于在监听用户设备的过程中，如果获知所述用户设备切换了远端网关设备，不激活切换后的远端网关设备上所述用户设备的本地分流功能。

第六方面，提供了一种远端网关设备，包括：处理器和通信接口，其中：所述处理器，用于通过所述通信接口接收集中网关设备发送的关闭分流指示，所述关闭分流指示携带待监听的用户设备的标识，所述关闭分流指示用于通知所述远端网关设备关闭所述用户设备的本地分流功能；还用于向所述集中网关设备发送所述用户设备的业务数据，所述业务数据包括本地分流业务数据和非本地分流业务数据。

在一种可能的设计中，所述关闭分流指示还携带待监听业务的标识，所述关闭分流指示还用于通知所述远端网关设备关闭所述用户设备的所述待监听业务的本地分流功能；所述处理器，还用于向所述集中网关设备发送所述用户设备的所述待监听业务的数据。

在一种可能的设计中，所述处理器，还用于通过所述通信接口接收所述集中网关设备发送的开启分流指示，其中，所述开启分流指示用于通知所述远端网关设备开启所述用户设备的本地分流功能；还用于通过所述通信接口向本地应用服务器发送所述用户设备的所述本地分流业务数据，并向所述集中网关设备发送所述用户设备的所述非本地分流业务数据。

第七方面，提供了一种合法监听的系统，包括具有第五方面任一特征的集中网关设备和具有第六方面任一特征的远端网关设备。

第八方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第九方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时， 使得计算机执行上述各方面所述的方法。

附图说明

图1为本申请实施例提供的一种EPS网络架构的示意图；

图2为本申请实施例提供的另一种EPS网络架构的示意图；

图3为本申请实施例提供的一种合法监听的方法的流程示意图一；

图4为本申请实施例提供的一种合法监听的方法的流程示意图二；

图5为本申请实施例提供的一种合法监听的方法的流程示意图三；

图6为本申请实施例提供的一种合法监听的方法的流程示意图四；

图7为本申请实施例提供的一种合法监听的方法的流程示意图五；

图8为本申请实施例提供的一种集中网关设备的结构示意图一；

图9为本申请实施例提供的一种集中网关设备的结构示意图二；

图10为本申请实施例提供的一种远端网关设备的结构示意图一；

图11为本申请实施例提供的一种集中网关设备的结构示意图三；

图12为本申请实施例提供的一种远端网关设备的结构示意图二；

图13为本申请实施例提供的一种集中网关设备的结构示意图四；

图14为本申请实施例提供的一种远端网关设备的结构示意图三；

图15为本申请实施例提供的一种合法监听系统的结构示意图。

具体实施方式

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请实施例的技术方案可以适用于第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)定义的接入方式的场景，也可以适用于非3GPP的接入方式的场景。本申请实施例以3GPP接入方式的场景下的EPS网络架构为例进行描述。

本申请实施例的技术方案可用于网关下移的演进分组系统(Evolved Packet System，EPS)网络架构中，网关下移是指将网关部署位置下移，如部署在距离用户设备较近的位置，例如可以将网关分布式地和演进节点B(evolved NodeB，eNB)部署在一起，这样UE通过下移的网关能够快速地接入本地应用服务器，使得UE能够快速访问到本地应用服务器上的业务。

图1为本申请实施例提供的一种网关下移的EPS网络架构的示意图，其中，该网络架构中包括远端网关(Remote Gateway，RGW)和集中网关(Centralized Gateway，CGW)。RGW是下移部署的远端网关节点，主要负责用户设备的本地业务分流。CGW为集中网关节点，主要负责移动性管理，会话管理功能以及对外的接口功能，如计费接口、合法监听接口等。CGW通过SX接口对RGW进行控制管理，从S1-U接口接收RGW发送的用户面数据。其中，SX接口和S1-U接口可以应用现有的EPS网络架构中SGW和PGW之间的接口协议，例如通用分组无线业务(General Packet Radio Service，GPRS) 隧道协议(GPRS Tunneling Protocol，GTP)，也可以应用其它接口协议或新定义的协议，本申请实施例不做限定。在该网络架构中，除引入的CGW和RGW以及二者之间的SX接口和S1-U接口外，其他网元和接口可以应用现有的EPS网络架构的网元和接口。在图1所示的网络架构中，上行方向的控制面信令从UE开始经过演进型通用陆地无线接入网(Evolved Universal Terrestrial Radio Access Network，E-UTRAN)、MME、CGW、策略和计费规则功能(Policy and Charging Rules Function，PCRF)实体后到达公用数据网(Public Data Network，PDN)；上行方向的本地分流业务的用户面数据从UE开始经过E-UTRAN、RGW后直接到达本地应用服务器，非本地分流业务的用户面数据从UE开始经过E-UTRAN、RGW、CGW到达PDN。

图2为本申请实施例提供的另一种网关下移的EPS网络架构的示意图，其中，该网络架构中包括RGW和CGW。MME为用户设备选择RGW，RGW是下移部署的远端网关节点，集成了现有的EPS网络架构中的SGW功能和PGW的部分功能(如面向本地应用服务器的路由转发)。CGW为集中网关节点，承担PGW的部分功能，主要负责移动性管理，会话管理功能以及对外的接口功能，如计费接口、合法监听接口等。CGW通过S5-C接口与RGW进行控制面信令交互，通过S5-U接口与RGW进行用户面数据交换。其中，S5-C接口和S5-U接口可以应用现有的EPS网络架构中SGW和PGW之间的接口协议，S11接口可以应用现有的EPS网络架构中SGW和MME之间的接口协议，也都可以应用其它接口协议或新定义的协议，本申请实施例不做限定。在该网络架构中，除引入的CGW和RGW以及相关的接口外，其他网元和接口可以应用现有的EPS网络架构的网元和接口。在图2所示的网络架构中，上行方向的控制面信令从UE开始经过E-UTRAN、MME、RGW、CGW、PCRF实体后到达PDN；上行方向的本地分流业务的用户面数据从UE开始经过E-UTRAN、RGW后直接到达本地应用服务器，非本地分流业务的用户面数据的传输路径从UE开始经过E-UTRAN、RGW、CGW到达PDN。

当需要对如图1或图2所示的EPS网络进行合法监听时，合法监听系统还包括：合法监听中心和LIG。合法监听中心主要下达开启或停止监听的指示，以及对上报的数据执行合法监听。LIG主要转发合法监听中心的下达的指示，以及向监听中心上报用户设备的业务数据。合法监听中心与LIG连接，或者合法监听中心和LIG部署在一起，LIG通过CGW接入EPS网络。其中LIG与CGW之间有三个接口，分别为X1接口、X2接口和X3接口，本申请实施例不做限定。

为了更好的理解本申请实施例，对本申请实施例的应用场景进行简单介绍，如下：

通常，应用提供商会根据不同的业务要求部署不同的应用服务器，例如，对于要求低时延的业务，例如：视频直播，AR(Augmented Reality，扩增实境)游戏等，部署在离用户设备位置较近的本地应用服务器。这样，可将该类业务设置为本地分流业务，当用户设备访问该类业务时，直接通过远端网关设备访问本地应用服务器，实现对这类业务进行本地分流，这样用户设备 访问本地分流业务的路径变短，传输速率提高，进而有利于提高用户体验。而对时延要求不高的业务，例如：邮件、网页浏览业务等，部署在离用户设备位置较远的非本地应用服务器上。这样，可将该类业务设置为非本地分流业务，当用户设备访问该类业务时，由远端网关设备通过集中网关设备访问PDN。在该应用场景下，合法监听中心对用户设备进行合法监听时，无法获取用户设备的本地分流业务，因此无法合法监听用户设备的本地分流业务数据。

为了解决无法合法监听远端网关设备上本地分流业务数据的问题，本申请实施例提供一种合法监听的方法，可运用于图1或图2所示的网络中，如图3所示，该方法包括：

101、集中网关设备接收合法监听网关设备发送的监听指示。

其中，监听指示中携带待监听的用户设备的标识，则集中网关设备可根据该标识来确定需要监听的用户设备。

在一个示例中，当合法监听中心需要对用户设备进行合法监听时，会通过合法监听网关向集中网关设备发送监听指示，由集中网关设备通过合法监听网关上传该用户设备的业务数据至合法监听中心，由合法监听中心对该用户设备进行监听。

102、所述集中网关设备向所述远端网关设备发送关闭分流指示。

其中，所述关闭分流指示携带待监听用户的标识，可用于通知远端网关设备关闭待监听用户设备的本地分流功能。可选的，可新增一条消息用于指示远端网关设备开启或关闭分流功能，也可通过扩展现有技术中的Echo Request消息，如在Echo Request消息中增加新的指示信元，以指示远端网关设备开启或关闭分流功能。具体的，可自定义该新的指示信元的值为零时，为开启分流功能，否则为关闭分流功能。对于开启分流指示或关闭分流指示的具体实现，本申请实施例不做限定。

在一个示例中，若用户设备在远端网关设备上开启了本地分流功能，则该用户设备的本地分流业务会在远端网关设备处直接被分流到本地应用服务器，而不再经过集中网关设备。于是，集中网关设备无法上报待监听用户的本地分流业务的数据，合法监听中心便不能监听到该用户设备的本地分流业务的数据。因此，为了能够监听到该用户设备的本地分流业务的数据，集中网关设备需要向该远端网关设备发送关闭分流指示，远端网关设备根据指示关闭本地分流功能后，远端网关设备将该用户设备的本地分流业务数据通过集中网关设备发往PDN。这样，集中网关设备就能向合法监听中心上报该用户设备的本地分流数据，合法监听中心便可监听到该用户设备的本地分流业务的数据。

可选的，在执行本步骤之前，集中网关设备需要先确定为用户设备服务的远端网关设备，具体的，当应用于图1所示的系统架构时，集中网关设备本身的上下文中包括远端网关设备的标识，因此可直接根据该上下文确定远端网关设备。当应用于图2所示的系统架构时，集中网关设备获取用户设备 在附着过程中的上下文，该上下文中包括为该用户设备服务的远端网关设备的标识，则可根据该上下文确定远端网关设备，该具体过程可见后文详述。

103、所述远端网关设备向所述集中网关设备发送所述用户设备的业务数据。

其中，所述业务数据包括本地分流业务数据和非本地分流业务数据。

在一个示例中，远端网关设备在接收到集中网关设备发送的关闭分流指示后，关闭该用户设备的本地分流功能。则当远端网关设备接收该用户设备的业务数据后，将全部转发给集中网关设备，这样，集中网关设备通过合法监听网关将该用户的全部业务数据上报给合法监听中心，合法监听中心能监听到该用户设备的全部业务数据。

104、所述集中网关设备向所述合法监听网关设备上报所述用户设备的业务数据。

本申请实施例提供了一种合法监听的方法，在集中网关设备接收到合法监听中心发送的监听指示后，向远端网关设备发送关闭分流指示，通知远端网关设备关闭本地分流功能。集中网关设备将接收到远端网关设备发送的业务数据上报给合法监听中心。与现有技术合法监听中心无法监听到待监听用户设备的本地分流业务相比，本申请实施例通过关闭远端网关设备上该用户设备的本地分流功能，使得集中网关设备能够获取用户设备的本地分流业务数据。于是，集中网关设备能够将待监听用户设备的本地分流业务数据上报给合法监听中心，进而合法监听中心能监听到待监听用户设备的本地分流业务。

实际应用中，本申请可应用于对待监听的用户设备的全部业务数据进行监听的场景下，此时合法监听中心发送的监听指示中可以只携带待监听用户设备的标识，以实现监听该用户设备的全部业务数据。考虑到有些场景下，可能仅需要对用户设备的特定业务数据进行监听。此时，合法监听中心向集中网关设备发送的监听指示中除了携带待监听用户设备的标识，还需携带待监听业务的标识，相应的，集中网关设备向远端网关设备发送的关闭分流指示中也携带了待监听业务的标识，则远端网关设备可根据关闭分流指示中的待监听用户设备的标识和待监听业务的标识，关闭该用户设备对该待监听业务的本地分流功能。这样，可以实现对特定用户设备的特定业务进行监听，减轻网关设备间的数据传输量，提高监听的效率。

可选的，集中网关设备向远端网关设备发送关闭分流指示之前，还需要获知远端网关设备是否为用户设备开启了本地分流功能，因此，在图3所示的方法的基础上，本申请实施例还提供了一种合法监听的方法，如图4所示，在步骤102之前，该方法还包括集中网关设备根据用户设备的上下文获知远端网关设备上开启了用户设备的本地分流功能的步骤，这一步骤具体包括：

201、所述集中网关设备判断所述用户设备的上下文中是否包括所述用户设备对应的本地应用服务器的地址。

202、如果是，则所述集中网关设备确定所述远端网关设备上开启了所述 用户设备的本地分流功能。

其中，上下文中包括该用户设备具有分流功能的每个业务的标识。根据每个具有分流功能的业务的标识，可逐个获取每一个具有分流功能的业务数据对应的统一资源定位符(Uniform Resoure Locator，URL)。并进一步确定这些URL中是否包含本地应用服务器的URL。若存在，则集中网关设备可确定该用户设备在远端网关设备上开启了本地分流的功能。

可选的，在执行步骤201之前，集中网关设备首先判断是否为待监听用户设备配置了本地分流策略。若为该用户设备配置了本地分流策略，表示远端网关设备具备对该用户设备进行本地分流的能力，则可进一步通过上述步骤201和步骤202获知远端网关设备是否开启了本地分流功能。若远端设备网关没有给该用户设备配置本地分流策略，则表示远端网关设备不具备对该用户设备进行本地分流的能力。其中，本地分流策略可以由远端网关设备为用户设备进行本地配置，也可以通过集中网关设备从PCRF处获取。此外，本地分流策略可以通过设置特定的标识，用于表征用户设备是否能够进行本地分流。本地分流策略也可包含在用户设备的上下文中，集中网关设备可根据用户设备的上下文确定远端网关设备是否具备开启本地分流的功能。本申请实施例对本地分流策略的实现方式不做限定。

为了在合法监听结束后，远端网关设备能够重新开启用户设备的本地分流功能，远端网关设备在接收到关闭分流指示之后可以保存用户设备的本地分流策略。因此，在图3所示方法的基础上，如图5所示，本申请实施例还提供了一种合法监听的方法，在步骤104之后，该方法还包括：

301、如果所述集中网关设备接收到所述合法监听网关设备发送的停止监听指示，则所述集中网关设备向所述远端网关设备发送开启分流指示。

其中，所述停止监听指示用于通知所述集中网关设备停止上报所述用户设备的业务数据，所述开启分流指示用于通知所述远端网关设备开启所述用户设备的本地分流功能。

图5中分别以301a和301b示出了步骤301中的各个过程。

302、所述远端网关设备接收所述集中网关设备发送的开启分流指示，则向本地应用服务器发送所述用户设备的所述本地分流业务数据，并向所述集中网关设备发送所述用户设备的所述非本地分流业务数据。

其中，所述开启分流指示用于通知所述远端网关设备开启所述用户设备的本地分流功能。

在一种示例中，当合法监听中心对该用户设备的合法监听结束后，会通过合法监听网关设备向集中网关设备发送停止监听指示。当集中网关设备接收到停止监听指示后，向远端网关设备发送开启分流指示，指示远端网关设备开启对该用户设备的本地分流功能。当远端网关设备接收到集中网关设备发送的开启分流指示后，根据预先保存的本地分流策略重新开启该用户设备的本地分流功能。

图5中分别以302a和302b示出了步骤302中的各个过程。其中302a和 302b步骤不限定先后顺序。

进一步的，在图3所示方法的基础上，考虑到在合法监听用户设备的过程中，用户设备可能会发生位置移动，造成MME为其切换了远端网关设备，为了保证对用户设备进行合法监听的过程不被中断，如图6所示，本申请实施例还提供了一种合法监听的方法，在步骤103之后，该方法还包括：

401、集中网关设备获知该用户设备切换了远端网关设备。

在一种示例中，如果被监听的用户设备位置发生移动，有可能会造成MME选择新的远端网关设备为其服务，此时MME会向集中网关设备发送切换消息，集中网关设备根据该切换消息可确定该用户设备切换了远端网关设备。

402、当确定该用户设备切换了远端网关设备时，集中网关设备不激活该用户设备的本地分流功能。

在一种示例中，现有技术中，当MME为用户设备选择了新的远端网关设备后，该用户设备会在切换后的远端网关设备上重新进行附着流程和激活本地分流功能。而在本申请实施例中，由于该用户设备为合法监听的用户设备，因此，用户设备在切换后的远端网关设备上完成附着流程后，集中网关设备不激活该用户设备的本地分流功能。这样，集中网关设备能够获取用户设备的全部业务数据并上报至合法监听网关。

结合本申请的实际应用场景，本申请实施例还提供了一种合法监听的方法，如图7所示，该方法包括：

501、用户设备完成附着流程，并激活远端网关设备上的本地分流功能。

在一种示例中，用户设备完成附着流程后获得网络服务权限，并激活本地分流功能。

具体的，在附着流程中，MME根据用户设备位置信息或者用户设备请求的业务信息为该用户设备确定服务的远端网关设备。同时，也会根据用户设备请求的业务信息确定为用户设备服务的集中网关设备。在确定远端网关设备和集中网关设备后，MME通过创建会话请求信令将二者的地址信息发送给相关网元设备，如PCRF设备。PCRF在得知为用户设备服务的集中网关设备的地址后，将为该用户设备配置的本地分流策略发送给集中网关设备。集中网关设备将本地分流策略转发给远端网关设备，同时，指示远端网关开启本地分流功能并在用户设备上下文中标记远端网关设备已开启本地分流功能的信息。于是，该用户设备的本地分流业务将在远端网关设备处分流至本地应用服务器，而非本地分流业务则通过集中网关设备发送到PDN网络中。

502、合法监听网关向集中网关设备发送监听指示。

503、集中网关设备获知待监听用户设备是否开启了本地分流功能。

504、当待监听用户设备开启了本地分流功能时，集中网关设备向远端网关设备发送关闭分流指示。

步骤502-504的具体实现过程可参考步骤101-102，在此不重复赘述。

505、远端网关设备停止待监听用户设备的本地分流。

在一种示例中，远端网关设备停止待监听用户设备的本地分流后，远端网关设备将待监听用户设备的本地分流业务发送给集中网关设备，并由集中网关设备发送到PDN网络中。

506、远端网关设备向集中网关设备回复关闭本地分流功能的确认消息。

在一种示例中，远端网关设备回复的确认消息可以采用新增的消息，也可以通过扩展现有技术中的Echo Response消息，本申请实施例不做限定。

507、集中网关设备向合法监听网关上报待监听用户设备的业务数据。

在一种示例中，集中网关设备向合法监听网关上报待监听用户设备的业务数据，此时的业务数据包括本地分流业务数据和非本地分流业务数据，由合法监听网关设备发送给合法监听中心，以监听该用户设备的业务数据。

在一种示例中，如果该用户设备在合法监听的过程中，集中网关设备获知到该用户设备切换了远端网关设备，则可控制在切换后远端网关设备不激活该用户设备的本地分流功能，以保证合法监听的过程不中断。

508、在合法监听结束后，合法监听网关向集中网关设备发送停止监听指示。

509、集中网关设备向远端网关设备发送开启分流指示。

510、远端网关设备进行该用户设备的本地分流。

步骤508-510的具体实现过程可参考步骤201-202，在此不重复赘述。

511、远端网关设备向集中网关设备回复开启本地分流功能的确认消息。

在一种示例中，远端网关设备的回复的确认消息可以采用新增的消息，也可以通过扩展现有技术中的Echo Response消息，本申请实施例不做限定。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，各个网元，例如集中网关设备和远端网关设备，为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本申请实施例可以根据上述方法示例对集中网关设备和远端网关设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图8示出了上述实施例中所涉及的集中网关设备一种可能的结构示意图，集中网关设备800包括：接收单元801和发送单元802。接收单元801用于支持集中网关设备执行图3中的过程101，图5中的过程301a；发送单元802用于支持集中网关设备执 行图3中的过程102和104、图4中过程202、图5中过程301b、图7中的过程502、图7中的过程504、图7中的过程507-509。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

进一步地，如图9所示，集中网关设备800还包括处理单元901，处理单元901用于支持集中网关设备执行图4中的过程201和202、图6中的过程401和402、图7中的过程501和503。其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

图10示出了上述实施例中所涉及的远端网关设备一种可能的结构示意图，远端网关设备1000包括：接收单元1001和发送单元1002。接收单元1001用于支持远端网关设备执行图5中的过程302a。发送单元1002用户支持远端网关设备执行图3中的过程103、图5中的过程302a和302b、图7中的过程505-506、图7中的过程510-511。

在采用集成的单元的情况下，图11示出了上述实施例中所涉及的集中网关设备的一种可能的结构示意图。集中网关设备1100包括：处理模块1101和通信模块1102。处理模块1101用于对集中网关设备的动作进行控制管理，例如，处理模块1101用于支持集中网关设备执行图3中的过程101、102和104，图4中的过程201、202，图5中的过程301，图6中的过程401、402，图7中的过程501、503、504、507、509，和/或用于本文所描述的技术的其它过程。通信模块1102用于支持集中网关设备与其他网络实体的通信，例如与图1或图2中示出的功能模块或网络实体之间的通信。集中网关设备还可以包括存储模块1103，用于存储集中网关设备的程序代码和数据。

在采用集成的单元的情况下，图12示出了上述实施例中所涉及的远端网关设备的一种可能的结构示意图。远端网关设备1200包括：处理模块1201和通信模块1202。处理模块1201用于对远端网关设备的动作进行控制管理，例如，处理模块1201用于支持远端网关设备执行图3中的过程103，图5中的过程302，图7中的过程505、506、510、511，和/或用于本文所描述的技术的其它过程。通信模块1202用于支持远端网关设备与其他网络实体的通信，例如与图3、图4、图5、图6或图7中示出的功能模块或网络实体之间的通信。远端网关设备还可以包括存储模块1203，用于存储远端网关设备的程序代码和数据。

其中，处理模块1101/1201可以是处理器或控制器，例如可以是中央处理器(Central Processing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信模块1102/1202可以是收发器、 收发电路或通信接口等。存储模块1103/1203可以是存储器。

当处理模块1101为处理器，通信模块1102为通信接口，存储模块1103为存储器时，本申请实施例所涉及的集中网关设备可以为图13所示的集中网关设备。

当处理模块1201为处理器，通信模块1202为通信接口，存储模块1203为存储器时，本申请实施例所涉及的远端网关设备可以为图14所示的远端网关设备。

图13示出了上述实施例中涉及到的一种集中网关设备的结构示意图。该集中网关设备包括：控制器/处理器1302用于对集中网关设备的动作进行控制管理。例如，控制器/处理器1302用于支持集中网关设备执行执行图3中的过程101、102和104，图4中的过程201和202，图5中过程301a和301b，图6中的过程401和402，图7中的过程501-504、507-509，和/或用于本发明实施例中所描述的技术的其他过程。存储器1301用于存储用于集中网关设备的程序代码和数据。通信接口1303用于支持集中网关设备与其他网络实体的通信。例如，通信接口1303用于支持集中网关设备与图1或图2中示出的各个网络实体之间的通信。

图14示出了上述实施例中涉及到的一种远端网关设备的结构示意图。该远端网关设备包括：控制器/处理器1402用于对远端网关设备的动作进行控制管理。例如，控制器/处理器1402用于支持远端网关设备执行执行图3中的过程103，图5中的过程302，图7中的过程505、506、510、511，和/或用于本文所描述的技术的其它过程。存储器1401用于存储用于远端网关设备的程序代码和数据。通信接口1403用于支持远端网关设备与其他网络实体的通信。例如，通信接口1403用于支持远端网关设备与图1或图2中示出的各个网络实体之间的通信。

结合本发明公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于核心网接口设备中。当然，处理器和存储介质也可以作为分立组件存在于核心网接口设备中。

如图15所示，本申请实施例还提供一种合法监听系统，包括如上所述的集中网关设备1501以及如上所述的远端网关设备1502。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应 过程，在此不再赘述。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。

Claims (25)

1. 一种合法监听的方法，其特征在于，包括：

   集中网关设备接收合法监听网关设备发送的监听指示，所述监听指示携带待监听的用户设备的标识；

   所述集中网关设备向远端网关设备发送关闭分流指示，所述关闭分流指示用于通知所述远端网关设备关闭所述用户设备的本地分流功能；

   所述集中网关设备接收所述远端网关设备发送的所述用户设备的业务数据，并向所述合法监听网关设备上报所述业务数据。
2. 根据权利要求1所述的方法，其特征在于，在所述集中网关设备向远端网关设备发送关闭分流指示之前，所述方法还包括：

   所述集中网关设备根据所述用户设备的上下文获知所述远端网关设备上开启了所述用户设备的本地分流功能。
3. 根据权利要求2所述的方法，其特征在于，所述集中网关设备根据所述用户设备的上下文获知所述远端网关设备上开启了所述用户设备的本地分流功能包括：

   所述集中网关设备判断所述用户设备的上下文中是否包括所述用户设备对应的本地应用服务器的地址；

   如果是，则所述集中网关设备确定所述远端网关设备上开启了所述用户设备的本地分流功能。
4. 根据权利要求1-3任一项所述的方法，其特征在于，所述监听指示还携带待监听业务的标识，所述关闭分流指示还用于通知所述远端网关设备关闭所述用户设备的所述待监听业务的本地分流功能。
5. 根据权利要求1-4任一项所述的方法，其特征在于，在所述集中网关设备向远端网关设备发送关闭分流指示之前，所述方法还包括：

   所述集中网关设备根据所述用户设备的上下文确定为所述用户设备执行本地分流功能的所述远端网关设备。
6. 根据权利要求1-5任一项所述的方法，其特征在于，在所述集中网关设备向远端网关设备发送关闭分流指示之后，所述方法还包括：

   如果所述集中网关设备接收到所述合法监听网关设备发送的停止监听指示，则所述集中网关设备向所述远端网关设备发送开启分流指示，其中，所述停止监听指示用于通知所述集中网关设备停止上报所述用户设备的业务数据，所述开启分流指示用于通知所述远端网关设备开启所述用户设备的本地分流功能。
7. 根据权利要求1-6任一项所述的方法，其特征在于，在监听用户设备的过程中，所述方法还包括：

   如果获知所述用户设备切换了远端网关设备，所述集中网关设备不激活切换后的远端网关设备上所述用户设备的本地分流功能。
8. 一种合法监听的方法，其特征在于，包括：

   远端网关设备接收集中网关设备发送的关闭分流指示，所述关闭分流指示 携带待监听的用户设备的标识，所述关闭分流指示用于通知所述远端网关设备关闭所述用户设备的本地分流功能；

   所述远端网关设备向所述集中网关设备发送所述用户设备的业务数据，所述业务数据包括本地分流业务数据和非本地分流业务数据。
9. 根据权利要求8所述的方法，其特征在于，所述关闭分流指示还携带待监听业务的标识，所述关闭分流指示还用于通知所述远端网关设备关闭所述用户设备的所述待监听业务的本地分流功能；

   所述远端网关设备向所述集中网关设备发送所述用户设备的业务数据包括：所述远端网关设备向所述集中网关设备发送所述用户设备的所述待监听业务的数据。
10. 根据权利要求8或9所述的方法，其特征在于，在远端网关设备接收集中网关设备发送的关闭分流指示之后，所述方法还包括：

    如果所述远端网关设备接收到所述集中网关设备发送的开启分流指示，则所述远端网关设备向本地应用服务器发送所述用户设备的所述本地分流业务数据，并向所述集中网关设备发送所述用户设备的所述非本地分流业务数据，其中，所述开启分流指示用于通知所述远端网关设备开启所述用户设备的本地分流功能。
11. 一种集中网关设备，其特征在于，包括：

    接收单元，用于接收合法监听网关设备发送的监听指示，所述监听指示携带待监听的用户设备的标识；

    发送单元，用于在所述接收单元接收到所述监听指示后，向所述远端网关设备发送关闭分流指示，所述关闭分流指示用于通知所述远端网关设备关闭所述用户设备的本地分流功能；

    所述接收单元，还用于接收所述远端网关设备发送的所述用户设备的业务数据；

    所述发送单元，还用于向所述合法监听网关设备上报所述业务数据。
12. 根据权利要求11所述的集中网关设备，其特征在于，还包括处理单元，用于根据所述用户设备的上下文获知所述远端网关设备上开启了所述用户设备的本地分流功能。
13. 根据权利要求12所述的集中网关设备，其特征在于，所述处理单元，还用于判断所述用户设备的上下文中是否包括所述用户设备对应的本地应用服务器的地址；

    如果是，则确定所述远端网关设备上开启了所述用户设备的本地分流功能。
14. 根据权利要求11-13任一项所述的集中网关设备，其特征在于，所述接收单元接收的所述监听指示还携带待监听业务的标识，所述发送单元发送的所述关闭分流指示还用于通知所述远端网关设备关闭所述用户设备的所述待监听业务的本地分流功能。
15. 根据权利要求11-14任一项所述的集中网关设备，其特征在于，所述 处理单元，还用于根据所述用户设备的上下文确定为所述用户设备执行本地分流功能的所述远端网关设备。
16. 根据权利要求11-15任一项所述的集中网关设备，其特征在于，所述接收单元，还用于接收所述合法监听网关设备发送的停止监听指示，所述停止监听指示用于通知所述集中网关设备停止上报所述用户设备的业务数据；

    所述发送单元，还用于在所述接收单元接收到所述停止监听指示后，向所述远端网关设备发送开启分流指示，所述开启分流指示用于通知所述远端网关设备开启所述用户设备的本地分流功能。
17. 根据权利要求11-16任一项所述的集中网关设备，其特征在于，所述处理单元，用于在监听用户设备的过程中，当获知所述用户设备切换了远端网关设备时，不激活切换后的远端网关设备上所述用户设备的本地分流功能。
18. 一种远端网关设备，其特征在于，包括：

    接收单元，用于接收集中网关设备发送的关闭分流指示，所述关闭分流指示携带待监听的用户设备的标识，所述关闭分流指示用于通知所述远端网关设备关闭所述用户设备的本地分流功能；

    发送单元，用于在所述接收单元接收到所述关闭分流指示后，向所述集中网关设备发送所述用户设备的业务数据，所述业务数据包括本地分流业务数据和非本地分流业务数据。
19. 根据权利要求18所述的远端网关设备，其特征在于，所述关闭分流指示还携带待监听业务的标识，所述关闭分流指示还用于通知所述远端网关设备关闭所述用户设备的所述待监听业务的本地分流功能；

    所述发送单元，还用于向所述集中网关设备发送所述用户设备的所述待监听业务的数据。
20. 根据权利要求18或19所述的远端网关设备，其特征在于，所述接收单元，还用于接收所述集中网关设备发送的开启分流指示，所述开启分流指示用于通知所述远端网关设备开启所述用户设备的本地分流功能；

    所述发送单元，还用于在所述接收单元接收到所述开启分流指示后，向本地应用服务器发送所述用户设备的所述本地分流业务数据，并向所述集中网关设备发送所述用户设备的所述非本地分流业务数据。
21. 一种合法监听系统，其特征在于，包括如上述权利要求11至17任一项所述的集中网关设备以及如上述权利要求18至20任一项所述的远端网关设备。
22. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行权利要求1至7任一项所述的方法。
23. 一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行权利要求8至10任一项所述的方法。
24. 一种包含指令的计算机程序产品，其特征在于，当其在计算机上运行时，使 得计算机执行权利要求1至7任一项所述的方法。
25. 一种包含指令的计算机程序产品，其特征在于，当其在计算机上运行时，使得计算机执行权利要求8至10任一项所述的方法。

Images