用于微波接入全球互通系统的监听标识的处理方法

摘要

本发明公开了一种用于微波接入全球互通系统的监听标识的处理方法，包括：步骤S102，用户的HAAA对用户的NAI分配唯一的监听标识，并且在用户不被监听且处于未接入网络的状态的情况下，在达到预定条件时改变用户的监听标识；步骤S104，在对用户进行监听时，监听机构到用户的HAAA获得用户的监听标识，并利用该监听标识在微波接入全球互通系统中对用户设置监控。通过使用本发明，可以在无损EAP鉴权的安全性的前提下监听WiMAX网络；并且能够最小程度影响或不影响WiMAX中AAA架构安全架构中对用户标识隐藏的安全考虑。

说明书

技术领域

本发明涉及通信领域，并且特别地，涉及一种用于微波接入全球互通(Worldwide Interoperability for Microwave Access，WiMAX)系统的监听标识的处理方法。

背景技术

在目前通信领域中，合法监听功能已经得到了广泛应用，包括3GPP、3GPP2等核心网络设备均能够提供与警用信息中心(LawfulInformation Center，简称LIC)的接口，警用信息中心根据用户的全球移动用户标识(International Mobile Station Identity，简称IMSI)或网络接入标识(Network Access Identifier，简称NAI)在移动交换中心(Mobile Switching Center，简称MSC)、网管移动交换中(Gateway Mobile Switching Center，简称GMSC)、归属位置寄存器(Home Location Register，简称HLR)、短信中心(Short MessageCenter，简称SMC)、分组数据服务节点(Packet Data Serving Node，简称PDSN)和鉴权、授权及计费服务器(Authentication、Authorization and Accounting，简称AAA)等网元设备进行布控，布控网元将被控目标的话务活动(包括语音呼叫/数据呼叫/分组数据业务)和非话务活动(包括补充业务的激活/去活/登记/注销/查询短消息等业务)通过警用监听接口发送至警用中心，警用中心收集上报的被控目标的事件和通信内容，并对收集到的信息进行处理。

在监听的过程中，WiMAX可提供固定、移动、便携形式的无线宽带连接，并最终能够在不需要直接视距基站的情况下提供移动无线宽带连接。随着WiMAX网络的广泛应用，WiMAX网络的合法监听功能也随着市场需求而产生。

WiMAX网络工作组(Network Work Group，简称NWG)是WiMAX组织下面致力于研究WiMAX系统定义网络架构和参考模型的工作组。目前，该工作组已经开始着手研究符合合法监听架构，以满足不断扩大的WiMAX运用需求。

在目前通常的电信网络中，监听用户的依据是用户的永久标识(3GPP网络中主要使用IMSI识别用户，3GPP2网络中使用IMSI或NAI识别用户)，而WiMAX网络中，用户的唯一标识为AAA中存储的用户真实NAI，没有类似于IMSI的信息。

用户接入认证的鉴权协议采用的是扩展鉴权协议(ExtensibleAuthentication Protocol，缩写EAP)。EAP协议从安全角度考虑，要求用户在接入认证过程中使用的用户真实NAI在EAP报文中封装并加密，这样，对于除归属鉴权、授权及计费服务器(HomeAuthentication，Authorization and Accounting Server，简称HAAA)和WiMAX终端以外的其他网元，用户真实的NAI均是不可见的，而在消息报文中对用户的真实NAI采用的都是伪随机NAI。伪随机NAI是由WiMAX终端每次接入时随机产生的，因此，对于WiMAX接入服务网络(Access Service Network，简称ASN)而言，无法得知用户的真实NAI，所以在接入服务网关(ASN Gateway，简称AGW)、综合基站(Integrated Base Station，简称IBS)、归属代理(Home Agent，简称HA)、和拜访鉴权、授权及计费服务器(VisitedAuthentication，Authorization and Accounting Server，简称VAAA)等网元中无法通过真实NAI布控监听用户。

因此，在WiMAX网络中，除HAAA网元外的其他网元如何识别被控用户，同时还不影响或尽可能小地影响WiMAX AAA安全架构中对用户身份的隐藏要求，是必须解决的问题。

针对某一个被控目标，典型的WiMAX网络监听系统由被控目标的归属网络服务提供商(Home Network Service Provider，缩写H-NSP)、被控目标的拜访网络服务提供商(Visited Network ServiceProvider，缩写V-NSP)、网络接入提供商(Network Access Provider，缩写NAP)、和执法机构(Law Enforcement Agency，简称LEA)，四种网络组成，它们之间的网络连接关系如下：

H-NSP是本地网络业务提供商，是一个运营商或者商业团体，具有与WiMAX用户相关的业务等级协议，可认证和授权用户的会话(网内和漫游场景)，以及用户业务的计费(计费和帐单)。为了支持漫游业务，一个H-NSP与其它NSP之间可以具有漫游关系。H-NSP网络中主要包含存储用户签约业务的鉴权、授权及计费服务器(AAA)和归属代理(HA)网元。

对于V-NSP，可以从漫游用户的角度来进行定义，漫游用户使用V-NSP的无线覆盖访问WiMAX服务；V-NSP可与用户的H-NSP有漫游协议，V-NSP提供到H-NSP的AAA业务路由。基于用户WiMAX业务请求和H-NSP与V-NSP之间的漫游协议，V-NSP可提供部分或者全部WiMAX业务给漫游用户，或者提供数据/控制业务路由给H-NSP。V-NSP网络中主要包含提供代理转发功能的鉴权、授权及计费服务器(AAA)和归属代理(HA)网元。

网络接入提供商(NAP)：网络接入提供商。网络接入提供商是为一个或多个WiMAX网络服务提供商(NSP)提供WiMAX无线接入架构的商务单元。NAP中包含一个或者多个接入服务网络(ASN)，WiMAX NWG标准规定，ASN有两种架构：Profile C模型ASN由基站(BS)和接入服务网关(AGW)两个独立网元组成；Profile B模型ASN仅包含综合基站(IBS)，其功能等同于Profile C中的BS+AGW。

执法机构(LEA)：执法机构，独立于任何电信业务提供商网络之外。执法机构一般提供设备警用信息中心(LIC)，与需要监听管理的业务提供商网络建立安全的协议接口，用于收集被控目标的各种信息。

目前，针对这种网络结构下出现的部分网元无法通过真实NAI布控监听用户问题还没有提出有效的解决方案。

发明内容

考虑到上述问题而做出本发明，为此，本发明的主要目的在于提供一种用于微波接入全球互通系统的监听标识的处理方案，使得所有网元均能够获知用户的真实网络接入标识，同时能够保证用户身份隐藏。

根据本发明的实施例，提供了一种用于微波接入全球互通系统的监听标识的处理方法，该系统包括用户的归属鉴权、授权及计费服务器、监听机构。

该方法包括：归属鉴权、授权及计费服务器对用户的网络接入标识分配唯一的监听标识，并且在用户不被监听且处于未接入网络的状态的情况下，在达到预定条件时改变用户的监听标识；在对用户进行监听时，监听机构到用户的归属鉴权、授权及计费服务器获得用户的监听标识，并利用该监听标识在微波接入全球互通系统中对用户设置监控。

其中，预定条件包括：在监听机构取消对用户的监听且该被取消监听的用户未接入网络时、或者在未被监听的用户退出网络时、或者归属鉴权、授权及计费服务器本身触发对监听标识的更新时。

其中，在用户接入网络，并且归属鉴权、授权及计费服务器对用户的认证通过的情况下，归属鉴权、授权及计费服务器将用户的监听标识下发至用户所在的拜访网络中的相关网元，其中，相关网元包括：接入服务网关，综合基站，拜访鉴权、授权及计费服务器，和归属代理。归属鉴权、授权及计费服务器通过表示用户通过认证的响应消息将用户的监听标识下发至相关网元。并且，在用户接入网络时，相关网元将用户的监听标识与用户的承载面会话和控制面会话进行绑定。

监听机构利用获得的监听标识在拜访网络对用户进行监听。

另外，在该方法中，上述监听机构包括：警用信息中心。

归属鉴权、授权及计费服务器对在其上注册的每个用户的网络接入标识分别分配唯一的监听标识。

通过本发明的上述技术方案，可以在无损EAP鉴权的安全性的前提下监听WiMAX网络；并且能够最小程度影响或不影响WiMAX中AAA架构安全架构中对用户标识隐藏的安全考虑。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的用于WiMAX系统的监听标识的处理方法的流程图；

图2是实现根据本发明实施例的方法的系统结构图。

图3是根据本发明实施例的合法监听标识在HAAA生成、授权和用户下线时更新的处理流程图。

图4是根据本发明实施例的在HAAA收到LIC取消监听时的更新合法监听标识的处理流程图；

图5是根据本发明实施例的HAAA根据本地策略触发更新合法监听标识的处理流程图；

图6是根据本发明实施例的WiMAX网络合法监听的系统在H-NSP网络上布控用户的处理流程图；以及

图7是根据本发明实施例的WiMAX网络合法监听的系统在其它非归属网络上布控用户的处理流程图。

具体实施方式

在本实施例中，提供了一种用于WiMAX系统的监听标识的处理方法，该系统涉及归属鉴权、授权及计费服务器(HAAA)、监听机构。该方法在现有的合法监听架构中，通过为每个用户产生合法监听标识，来达到WiMAX网络的各个网元都能过识别和监听被控目标用户的目的。

在实现该方法时，首先需要在支持合法监听架构的WiMAX网络中所有的网络业务提供商(NSP)和网络接入提供商(NAP)提供合法监听管理功能实体，实现对本网络内各个网元的管理和上报信息收集，以及外部不同国家标准的合法监听接口的兼容。NSP和NAP中的合法监听功能实体，可以提供Telnet、图形化界面或其他接口方式对外提供管理功能。并且，NSP和NAP中的合法监听功能实体，可以提供符合不同国家标准的合法监听接口上报被控用户通信事件和通信内容。

监听机构(例如，可以是警用信息中心(LIC))通过H-NSP提供的合法监听管理功能实体，可以根据用户的真实网络接入标识(NAI)在HAAA中查询被控目标的合法监听标识；LIC根据查询到的被控用户的合法监听标识，分别通过NSP和NAP提供的合法监听接口协议，到WiMAX网络中的各个网元布控目标用户。

如图1所示，根据本实施例的用于微波接入全球互通系统的监听标识的处理方法包括：步骤S102，用户的HAAA对用户的NAI分配唯一的监听标识，并且在用户不被监听且处于未接入网络的状态的情况下，在达到预定条件时改变用户的监听标识；步骤S104，在对用户进行监听时，监听机构到用户的HAAA获得用户的监听标识，并利用该监听标识在微波接入全球互通系统中对用户设置监控。

在步骤S102中，H-NSP中的HAAA可在用户创建帐号时，为每一个签约帐号(即，用户的NAI)分配一个唯一的合法监听标识。合法监听标识由NSP策略统一编码，不同NSP的合法监听标识编码策略不能冲突，并且必须保证用户帐号和监听标识的一一对应。

并且，上述预定条件包括：在监听机构取消对用户的监听且该被取消监听的用户未接入网络时、或者在未被监听的用户退出网络时、或者HAAA本身触发对监听标识的更新时。

在HAAA更新对未被监听的用户的监听标识进行更新时，可以将更新后的监听标识缓存在HAAA中，并用于该用户下次网络接入认证时授权给其他网元。另外，HAAA可根据本地策略触发更新，对长期未更新监听标识的用户进行更新。

这里所述的更新策略仅仅是具体的实例，而不构成对本发明的限制，本领域的技术人员可以根据实际使用情况设置多种更新策略。

并且，应当注意，在对用户进行监听的过程中，不更新用户的监听标识。

另外，在用户接入网络并在HAAA对用户的认证通过的情况下，HAAA将用户的监听标识下发至用户所在的拜访网络中的相关网元，其中，相关网元包括：接入服务网关，综合基站，VAAA，和HA。HAAA通过表示用户通过认证的响应消息将用户的监听标识下发至相关网元。并且，在用户接入网络时，相关网元可将用户的监听标识与用户的承载面会话和控制面会话进行绑定。

也就是说，当用户接入WiMAX网络到HAAA认证通过时，无论用户是否被监听，HAAA都必须在授权消息(例如，RADIUS接入认可Access-Accept消息)中把合法监听标识下发给ASN、VAAA或HA，它们需要把用户监听标识与用户的承载面和控制面的会话绑定，以方便监听用户相关的事件和通信内容。

此外，监听机构利用获得的用户的监听标识在拜访网络对用户进行监听。

并且，上述监听机构可以是警用信息中心。

在实际实现该方法时，具体可以包括以下步骤：

步骤1：LIC通过H-NSP提供的管理接口，根据用户真实NAI向H-NSP设置监控用户；

步骤2：H-NSP合法监听管理功能实体根据用户真实NAI向HAAA设置监控该用户，HAAA完成对该用户的布控，返回用户的合法监听标识；H-NSP合法监听管理功能实体向LIC提供该用户的合法监听标识，同时进行对本地NSP的其他网元(例如，HA)的布控，设置成功后，向LIC提供布控结果；

步骤3：LIC得到被控目标用户的合法监听标识，在本地更新NAI和合法监听标识的映射关系，然后使所有该用户的合法监听标识到其他网络(例如，NAP和NSP)进行设置监控；

步骤4：其他网络收到LIC的布控请求后，根据LIC提供的合法监听标识，向各自管理的网元(例如，AGW、IBS、HA、AAA等)设置监控该用户；

步骤5：WiMAX终端请求接入系统，ASN确定为终端进行鉴权；

步骤6：ASN发送接入请求消息给HAAA；

步骤7：HAAA给ASN返回授权信息，不管该用户是否被布控，授权信息中都包括合法监听标识；同时，HAAA判断用户是否被布控，如果被布控则通过用H-NSP的合法监听接口把用户接入通知事件信息发送给LIC；这里，H-NSP必须支持根据目标用户的NAI进行布控，并能够提供被控用户NAI和合法监听标识的对应关系，并且H-NSP能够支持根据目标用户的合法监听标识进行布控，并能够提供被控用户NAI和合法监听标识的对应关系；HAAA上报给LIC的信息至少包括被控用户接入事件(包括用户鉴权或重鉴权)、计费开始事件等；

步骤8：ASN根据HAAA返回的授权信息，允许用户接入网络，进行数据业务，并能够保存用户的合法监听标识。与此同时ASN根据HAAA下发的合法监听标识判断该用户是否被监控，如果用户被监控则将被控目标的通信活动相关事件(例如，分组会话创建、释放、切换等)、将被控目标的分组业务数据包复制并通过警用接口上报给LIC，ASN上报给LIC的信息至少包括会话建立、会话释放、会话切换、用户在线通知和被控用户通信内容等；

步骤9：如果用户使用移动IP业务，需要向H-NSP或V-NSP的HA进行了移动IPv4注册或IPv6绑定更新，此时HA也需要向HAAA进行认证，HAAA也需要在授权消息中携带合法监听标识给HA，HA必须将该标识与用户的移动IP会话绑定。与此同时HA根据HAAA下发的合法监听标识判断该用户是否被监控，如果户被监控则将被控目标的移动IP相关事件、复制通信内容通过警用接口上报给LIC；并且，移动IP锚定的归属代理(HA)上报警用信息中心(LIC)必须包括移动IPv4注册、移动IPv6绑定更新等事件，可选地，上报被控用户的通信内容。

图2是实现根据本发明实施例的方法时所涉及到WiMAX网络中监听系统的框图。

如图2所示，该系统可以包括：

WiMAX终端11：WiMAX网络中的移动终端设备，增加警用监听功能之后，不需要对终端进行任何修改；

WiMAX基站(BS)12：ProfileC模式下ASN中的基站，WiMAX网络的无线基站设备，与终端之间提供无线接口；

AGW13：ProfileC模式下接入服务网络(ASN)中网关，为用户提供接入服务和控制，位于NAP中；在本实施例中，当AGW作为锚定AGW时，能够收集被控用户的分组创建、切换等事件以及通信内容，经过合法监听功能实体上报至LIC；

HA14：接受接入服务器发送的移动IPv4注册请求或IPv6绑定更新或功能，并进行响应，与接入服务网关配合为终端提供IP的服务，位于NSP中(包括H-NSP或V-NSP)。在本发明中，HA包含支持合法监听功能，能够收集被控用户移动IP事件信息，经过合法监听功能实体上报至LIC。另外，LIC设置监控被控用户时，某HA是该用户移动IP会话的锚定HA，且该用户已经在线，也可以向LIC发送用户在线事件信息；根据需要HA也可以收集被控用户的通信报文，发送到LIC；

AAA15：为用户提供鉴权、授权及计费服务，作为归属AAA是，其能够给其管理的用户分配、授权和更新合法监听标识。如果用户被监控，在被监控期间用户的合法监听标识保持不变，同时，出于尽可能小的影响WiMAX AAA安全架构中的隐藏用户身份的需求考虑，归属AAA对用户合法监听标识进行更新方法，可以采用图3、图4、和图5中所示的流程。在收到接入服务器发送的终端接入请求时，将对终端进行鉴权，并进行相应的授权，位于NSP(包括H-NSP或V-NSP)。在本发明实施例中，AAA作为归属AAA时，能够收集被控用户认证(包括初始化认证或重认证)和计费事件信息，经过合法监听功能实体上报至LIC。AAA作为拜访AAA时，能够收集被控用户认证(重认证)和计费事件信息，经过合法监听功能实体上报至LIC；

综合基站(IBS)16：Profile B模式ASN中的网元，集成ProfileC模式下的基站和AGW功能。在本发明实施例中，IBS包含作为锚定IBS时，能够收集被控用户的分组创建、切换等事件以及通信内容，经过合法监听功能实体上报至LIC；

LIC17：是设置在执法机构(LEA)内的警用设备，不属于通信运营商的设备，其主要完成被控目标的管理，收集每个网络上报的被控目标的事件和通信内容，并对收集到的信息进行处理。LIC与各个WiMAX提供商之间的接口，是不同国家的合法监听规范实现的；

合法监听功能模块18：是本发明实施例中独立的功能实体，可以位于WiMAX提供商网络，也可以位于连接服务网络(CSN)中，也可以位于WiMAX接入服务网络(ASN)中，也可能位于第三方场所。其主要功能包括：提供但不限于图形化用户界面(GUI)、Telnet远程登录方式以及提供符合各国监听标准的外部接口，设置监控用户和查询被控用户标识列表；与WiMAX系统中的支持合法监听的网元提供交互接口，设置被控用户和接受网元的监听信息上报；提供符合不同国家或地区标准的LIC规范接口，完成被控用户监听信息的输出上报。

基于该系统，为了不影响或最小程度地影响WiMAX架构中身份标识安全要求，HAAA需要定期或不定期的更新用户监听标识，以防止用户身份泄露。下面将结合具体实例描述本发明的实施例。

图3是根据本发明实施例的合法监听标识在HAAA生成、授权和用户下线时监听标识的完整流程。如图3所示，其具体包括以下处理：

步骤301：归属鉴权、授权及计费服务器(HAAA)新创建一个签约用户，在HAAA中新增一个NAI和相关的业务签约数据；

步骤302：HAAA为用户分配一个唯一的标识，用作用户的合法监听标识，缓存于HAAA中；

步骤303：用户使用WiMAX业务前，通过NAP的ASN到HAAA鉴权认证和请求授权，HAAA认证通过后在授权消息中携带合法监听标识给ASN，ASN将用户所有会话信息与合法监听标识绑定；

步骤304：用户是否使用移动IP业务，如果使用，则执行步骤305；否则执行步骤306；

步骤305：如果用户使用移动IP业务时，终端向HA进行移动IPv4注册或移动IPv6绑定更新，HA需要向HAAA进行认证请求授权相关移动IP参数，HAAA认证通过后在授权消息中携带合法监听标识给HA，HA把合法监听标识与用户移动IP业务会话绑定；

步骤306：用户使用WiMAX网络提供的业务后，用户终止使用WiMAX网络，结束所有会话，退出；

步骤307：HAAA判断当前用户是否被LIC监控，如果被监控进入步骤308；

步骤308：如果用户没有被监控，则HAAA更新该用户的合法监听标识，并缓存，以供下次用户接入网络时，授权下去；

步骤309：HAAA不更新该用户的合法监听标识，保持不变。

图4是根据本发明实施例的方法中在HAAA收到LIC取消监控时合法监听标识的更新流程。如图4所示，具体包括以下处理：

步骤401：LIC向H-NSP设置监控用户，H-NSP中的HAAA会返回被控用户的NAI和合法监听标识给LIC；

步骤402：LIC向H-NSP取消监控该用户；

步骤403：H-NSP中的HAAA判断该用户是否在线，如果在线则执行步骤405；

步骤404：HAAA判断该用户当前不在线，更新用户的合法监听标识并缓存，更新结束；

步骤405：HAAA不更新该用户的合法监听标识，保持不变。

图5是根据本发明实施例的方法中HAAA通过本地策略触发的监听标识更新流程。如图5所示，具体包括以下处理：

步骤501：HAAA根据本地策略触发，发起更新用户合法监听标识；

步骤502：HAAA判断用户是否在线或正在被监控，如果在线或被监控，则执行步骤504；

步骤503：HAAA判断该用户当前不在线且没有被监控，更新用户的合法监听标识并缓存；

步骤504：HAAA不更新该用户的合法监听标识，保持不变。

图6是根据本发明实施例的WiMAX网络合法监听的系统在H-NSP网络上布控用户的处理流程图。LIC通过H-NSP合法监听功能模块的提供的Telnet、图形化界面或者其他接口，在归属网络对用户布控，具体步骤如下：

步骤601：LIC向被控用户归属网络H-NSP的合法监听功能实体请求布控用户，携带用户的真实NAI或监听标识；

步骤602：H-NSP的合法监听功能实体向HAAA发送请求，设置监控用户；

步骤603：HAAA中根据请求中的NAI或监听标识，设置用户被监控，HAAA给合法监听功能模块回复响应，表示布控成功，消息中携带被控用户的真实NAI和该用户的监听标识；

步骤604：合法监听功能实体上报被控用户的监听标识给LIC，消息中携带被控用户的真实NAI和监听标识；

步骤605：合法监听功能实体收到HAAA的应答，使用合法监听标识，向其管辖的其他网元(例如HA)发送布控用户命令，携带监听标识信息；

步骤606：如果向HA布控时，当前被控用户已经通过该网元在线，则HA上报用户在线的通知消息给合法监听功能实体，合法监听功能实体上报给LIC；

步骤607：合法监听功能实体管辖的其他网元(例如HA)，根据监听标识在本网元监控列表中增加该用户监听标识，向合法监听功能实体发送应答；

步骤608：合法监听功能实体收到其他网元的应答，组装符合LIC协议要求的接口，携带真实NAI和监听标识对应关系发送至LIC，指示完成用户布控功能。

图7是根据本发明的WiMAX网络合法监听的系统在其他非归属网络(其他的NAP或NSP)上布控用户的处理流程图。其它需要监控的网络可能很多，LIC需要向每个网络设置监控，但其流程类似。如图7所示，具体步骤如下：

步骤701：LIC向被控用户非归属网络合法监听功能实体请求布控用户，携带用户的监听标识；

步骤702：合法监听功能实体收到LIC布控指令，保存被控用户的监听标识信息，向其管辖的其他网元(可能包括AGW、IBS、HA、AAA)发送布控用户命令，携带监听标识信息；

步骤703：如果向AGW/IBS/HA布控时，并且当前被控用户已经通过该网元在线，则AGW/IBS/HA上报用户在线的通知消息给合法监听功能实体，合法监听功能实体上报给LIC；

步骤704：合法监听功能实体收到其他网元的应答，组装符合警用信息中心(LIC)协议要求的接口，发送至警用信息中心(LIC)，指示完成用户布控功能。

综上所述，本发明解决了无线宽带网络，尤其是WiMAX网络中，采用EAP鉴权方法在网元中禁止传输真实NAI而无法在AGW网元进行布控问题。并定义了WiMAX网络中LIC对AAA和AGW网元监控的事件和数据。借助于本发明的技术方案，可以在无损EAP鉴权的安全性的前提下监控WiMAX网络；并且通过增加监听标识的更新机制，能够最小程度影响或不影响WiMAX中AAA架构安全架构中对用户标识隐藏的安全考虑；并且，在其他使用EAP鉴权算法的接入网络中，如果仅有真实NAI作为用户表示的情况下，都可以采用本发明完成警用监听功能。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。