WO2007082477A1

WO2007082477A1 - A method for realizing the legal listening in the next generation network and a system thereof

Info

Publication number: WO2007082477A1
Application number: PCT/CN2007/000192
Authority: WO
Inventors: Bo Zheng
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2006-01-18
Filing date: 2007-01-18
Publication date: 2007-07-26
Anticipated expiration: 2008-07-18
Also published as: CN101005409A; US20080275988A1; EP1976186A4; EP1976186A1; CN101005409B; EP1976186B1

Description

一种在下一代网络中实现合法监听的方法和系统

技术领域

本发明涉及监听技术，特别是涉及一种在下一代网络（NGN ) 中针对从固定网络接入的用户实现合法监听的方法和系统。发明背景

合法监听是指执法机构 ( LEA )经相应的授权机关批准，根据国家相关法律和公众通信网行业规范对公众通信网通信业务进行监听的执法行为。合法监听的基本实现过程为：执法机构侧合法监听的管理功能

( ADMF ) 实体通过数据接口 XI— 1将监听数据发送至通信网络中的监听控制网元；监听控制网元接收到监听数据后对被监听对象进行监听，当监听到被监听对象的活动时，通过 X2接口将被监听对象的监听相关信息发送至 2通道递交功能（DF2 ) 实体，并通过 X3接口将被监听对象的媒体流发送至监听中心即 3通道递交功能（DF3 ) 实体。

NGN网络是基于分组技术的融合型网络，它继承了原有固定网络的所有业务，同时也继承了移动网络的业务能力。在目前各标准组织研究的 NGN 网络中，重点研究的 NGN 网络的核心网是 IP 多媒体子系统

( IMS ) 网络， IMS 网络可以同时为从固定网珞接入的用户以及从移动网络接入的用户提供服务。

目前 3GPP给出的标准中，在 NGN中实现合法监听业务时，是由 IMS 网络中的监听控制网元 3G GSN, 包括 GPRS网关支持节点（ GGSN )和服务 GPRS支持节点（SNSN ), 对监听对象进行监听，并在接收到监听对象的媒体流时，将该媒体流发送至执法机构侧的 DF3实体。但是， IMS 网络中的 3G GSN包括 GGSN和 SNSN,是用户通过移动网络接入 NGN 时所涉及的网络实体，也就是说，当用户从移动网络接入 NGN时，该用户媒体流的传输会经过 3G GSN,这样， 3G GSN便可对所接收到的用户媒体流进行复制，并将所复制的媒体流发送至监听中心，从而实现对用户'的监听。然而， IMS网絡中的 3G GSN却不是用户通过固定网络接入 NGN时所涉及的网络实体，也就是说，当用户从固定网络接入 NGN 时，该用户媒体流的传输不会经过 3G GSN, 3G GSN无法将从固定网络接入 NGN的用户的媒体流发送至监听中心。而针对用户从固定网络接入的情况，目前也没有其它的合法监听媒体流的采集方案。

由此可见，在目前的 NGN网絡中，无法实现对从固定网络接入 NGN 的用户的监听，极大地限制了合法监听业务的应用范围，降低了 NGN 网络的业务服务质量。发明内容 ■

本发明的主要目的在于提供一种在下一代网络中实现合法监听的方法，本发明的另一目的在于提供一种在下一代网络中实现合法监听的系统，以便针对从固网接入下一代网络的用户实现合法监听。

为了达到上述目的，本发明的技术方案是这样实现的： .

一种在下一代网络中实现合法监听的方法，将下一代网络中的边界网关功能实体与执法机构侧的 3通道递交功能实体相连，该方法还包括：

A、监听信息提供实体将监听对象信息发送至边界网关功能实体；

B、边界网关功能实体居接收到的监听对象信息，将对应于监听对象的媒体流发送至 3通道递交功能实体。

一种在下一代网络中提供合法监听的系统，包括： 3 通道递交功能实体，用于接收对应于监听对象的媒体流，并对所接收到的媒体流进行分析，实琬监听，该系统还包括：监听信息提供实体和边界网关功能实体，其中，

监听信息提供实体，用于将监听对象信息发送至边界网关功能实体；边界网关功能实体，用于根据接收到的监听对象信息，将对应于监听对象的媒体流发送至 3通道递交功能实体。

-由此可见，本发明能够通过监听数据或对应于监听对象的媒体流描述信息来触发 BGF 实体对从固定网络接入的监听对象的媒体流进行复制，并将所复制的媒体流发送至 DF3实体，从而实现了在 NGN中对从固定网络接入的用户进行合法监听的目的，极大地扩展了合法监听业务的应用范围，提高了 NGN网络的业务服务^:量。附图简要说明

图 1是本发明系统的基本结构示意图。

图 2A1是仅当 ADMF实体作为监听信息提供实体时本发明系统的基本结构示意图。

图 2A2是仅当 ADMF实体作为监听信息提供实体时本发明系统的优化结构示意图。

图 2B是当 ADMF实体和 P-CSCF实体共同作为监听信息提供实体时本发明系统的基本结构示意图。

图 2C是当 NGN网络中的监听控制网元实体作为监听信息提供实体时本发明系统的基本结构示意图。

图 3是本发明实施例 1的流程图。

图 4是本发明实施例 2的流程图。

图 5是本发明实施例 3的流程图。

图 6是本发明实施例 4的流程图。实施本发明的方式

目前，欧洲电信标准协会 ( ETSI )下属 TISPAN ( Telecommunications and Internet Converged Services and Protocols for Advanced Networking ) 组织在 NGN网络中定义了资源和准入控制子系统（RACS ), RACS子系统定义了基于服务的策略决策功能（SPDF ) 实体、 BGF 实体和其他的网元。其中， SPDF实体与 IMS网络中的管理功能（AF )实体即代理呼叫会话控制功能（P-CSCF ) 实体相连， BGF实体与 SPDF实 ^相连，并且， BGF实体是一个 packet-to-packet网关，位于从固定网络接入的用户的媒体流传输路径中。可见，当用户从固定网络接入 G 时 , BGF 实体是可以获得用户的媒体流的，因此，可以利用 BGF实体来实现对从固定网络接入 NGN的用户的合法监听。针对这一特点，本发明提出了一种在 NGN 中实现合法监听的方法，其核心思想是：将 BGF 实体与 DF3 实体相连；监听信息提供实体将监听对象信息发送至 BGF实体； BGF实体根据接收到的监听对象信息，将对应于监听对象的媒体流发送至 DF3实体。

在本发明中，所述的监听信息提供实体可以为执法机构侧的 ADMF 实体，此时， ADMF实体将监听对象信息发送至 BGF实体的过程可以是：将 BGF实体作为监听控制网元，也就是说通过已有的 Xl_l接口将 ADMF实体与 BGF实体相连，这样，当需要对一个监听对象执行监听时，执法机构侧的 ADMF实体直接将携带监听对象标识的监听数据作为所述的监听对象信息发送至 BGF实体；或者，当需要对一个监听对象执行监听时，执法机构侧的 ADMF实体首先将监听数据发送至现有的监听控制网元，该监听控制网元将 BGF 实体的标识发送至 ADMF 实体， ADMF实体再根据接收到的 BGF实体的标识将携带监听对象标识的监听数据或者是对应于监听对象的媒体流描述信息作为所述的监听对象信息发送至 BGF实体。

另夕卜， -当所述的监听信息提供实体为 ADMF实体且 BGF实体作为监听控制网元时，本发明还可以预先在 NGN网络中设置一个监听数据处理功能实体；这样， ADMF实体通过该监听数据处理功能实体的转发，实现上述的将监听数据发送至 BGF实体的过程。

在本发明中，所述的监听信息提供实体还可以为 NGN 网络中现有的监听控,制网元，此时，该现有的监听控制网元将监听对象信息发送至 BGF实体的过程可以是: NGN网络中现有的监听控制网元接收到 ADMF 实体发来的携带监听对象标识的监听数据后，将携带监听对象标识的监听数据或对应于监听对象的媒体流描述信息作为监听对象信息发送至 BGF实体。

图 1是本发明系统的基本结构示意图。参见图 1 , 本发明还提出了一种在 NGN网络中实现合法监听的系统，该系统包括：监听信息提供实体、实体和 DF3实体，其中，

监听信息提供实体，用于将监听对象信息发送至 BGF实体；

BGF实体，用于根据接收到的监听对象信息，将对应于监听对象的媒体流发送至 DF3实体；

DF3卖体，用于接收对应于监听对象的媒体流，并对所接收到的媒体流进行分析，实现监听。

图 2A1是当 ADMF实体作为监听信息提供实体且 BGF实体作为监听控制网元时本发明系统的基本结构示意图。参见图 2A1 , 在本发明系统中，所述的监听信息提供实体可以是 ADMF实体，该 ADMF实体可以与作为监听控制网元的 BGF实体通过 Xl_l接口直接相连。

图 2A2是当 ADMF实体作为监听信息提供实体且 BGF实体作为监听控制网元时本发明系统的优化结构示意图。参见图 2A2, 当监听信息提供实体为 ADMF实体且 BGF实体作为监听控制网元时，为了避免执法机构侧的 ADMF 实体与大量的 BGF 实体进行消息交互，从而减少 ADMF实体的业务负荷量，较佳地，在本发明系统中，还可以进一步包括监听数据处理功能实体， ADMF实体用于将监听数据发送至监听数据处理功能实体，该监听数据处理功能实体用于将接收到的监听数据发送至 BGF。

图 2B是当 ADMF实体作为监听信息提供实体且 BGF实体不作为监听控制网元时本发明系统的基本结构示意图。参见图 2B,在本发明系统中，当所述的监听信息提供实体是 ADMF实体，但 BGF实体不作为监听控制网元，可以由现有的监听控制网元执行本发明系统中监听控制网元的功能，该现有的监听控制网元可以是合法监听应用服务器（LI-AS ), 或 P-CSCF实体，或 S-CSCF实体，该监听控制网元用于根据 ADMF实体发来的携带监听对象标识的监听数据获取对应的 BGF实体的标识，并将所获取的 BGF 实体的标识的对应于监听对象的媒体流描述信息发送至 ADMF实体； ADMF实体根据接收到的 BGF实体的标识，将对应于监听对象的媒体流描述信息作为监听对象信息发送至 BGF实体。

图 2C是当 NGN网络中的监听控制网元实体作为监听信息提供实体时本发明系统的基本结构示意图。参见图 2C, 在本发明系统中，当所述的监听信息提供实体是监听控制网元时，该监听控制网元可以将 ADMF 实体发来的监听数据携带在消息中发送至 BGF实体，也可以根据 ADMF 实体发来的携带监听对象标识的监听数据 , 将会话中对应于监听对象的媒体流描述信息携带在消息中发送至 BGF实体。

为使本发明的目的、技术方案和优点更加清楚，下面结合附图及具体实施例对本发明作进一步地详细描述。

实施例 1: 图 3是本发明实施例 1的流程图。参见图 2A1和图 3, 在实施例 1 中，以执法机构侧的 ADMF 实体作为本发明中所述的监听信息提供实体，且 BGF实体作为监听控制网元为例，在 NGN网络中，本实施例针对从固定网络接入的用户实现合法监听的过程包括以下步骤：

步驟 301：预先通过 X3接口将 NGN网络中的 BGF实体与执法机构侧的 DF3实体相连。

步骤 302: 预先通过现有的 XI— 1接口将执法机构侧的 ADMF实体与 BGF实体相连。

步骤 303:当需要对一个监听对象执行监听时，执法机构侧的 ADMF 实体通过 XI— 1接口将携带监听对象标识的监听数据直接发送至 BGF实体。

这里以及以下所述的监听数据中还可以包括监听所需的其他相关信息，比如， ADMF实体的标识、接收所监听媒体流的 DF3实体的标识以及监听内容信息等。其中，所述的监听对象标识可以是监听对象的会话初始协议统一资源标识符（ SIP URI )和电话统一资源定位符（ TEL URL )。

通过上述步骤 302至步骤 303的过程， ADMF实体将携带监听对象标识的监听数据发送至了 BGF实体，从而使得 BGF实体作为监听控制网元获取了监听数据。 '在本实施例中，还可以通过一个实体的转发使 BGF实体作为监听控制网元获取监听数据，参见图 2A2, 此时，本实施例预先在 NGN网络中设置一个监听数据处理功能实体，并将所设置的监听数据处理功能实体分别与执法机构侧的 ADMF实体和 BGF实体相连，其中，所设置的监听数据处理功能实体通过 XI一 1·接口与 ADMF实体相连；这样，步骤 302至步驟 303的过程变为：当需要对一个监听对象执行监听时，执法机构侧的 ADMF实体通过 Xl_l接口将携带监听对象标识的监听数据直接发送至监听数据处理功能实体；该监听数据处理功能实体将接收到的携带监听对象标识的监听数据发送至 BGF实体。其中， .所设置的监听数据处理功能实体可以通过 Diameter协议与 BGF实体进行所述的交互过程。

步骤 304: BGF实体保存所接收到的携带监听对象标识的监听数据。步驟 305: P-CSCF 实体接收到会话建立请求（INVITE )后，将本次用户的标识发送至 SPDF实体。

这里， P-CSCF实体可以通过认证授权请求（ AA-Request )消息将本次用户的标识发送至 SPDF实体。并且，此处以及以下所述的本次用户标识可以是本次用户的 SIP URI和 TEL URL。

步驟 306: SPDF实体将本次用户的标识发送至 BGF实体。

这里，由于 SPDF实体与 BGF实体之间通过 H.248协议进行交互，因此，本发明可以预先扩展 H.248协议消息，即在 H.248协议消息中增加一个用户标识包，比如，所增加的用户标识包可以定义为如下的形式：

PackagelD: normal int (如 OxCD)

Properties:

Subscriber Identifier:

PropertylD: Subscriberld (0x0001)

Description:定义用户标识 "Subscriber Identifier" , 用来描述相关的用户身份标识。

Type: string

Defined in: Local Control descriptor

Characteristics: Read/Write

Events: none

Statistics: none

Signals: none

Procedures:媒体网关控制（ MGC )可以在任何命令中指定相关用户身份标识。

如： Subscriberld = abcdefg@ims.example.com, 指示相关用户身份标只为 abcdefg@ims.exam.ple.como

这样，在本步骤中， SPDF实体可以将本次用户的标识携带在 H.248 协议消息中，比如 Add 消息中，所增加的用户标识包内，然后发送至 BGF实体。

需要说明的是，在上述步驟 305至步骤 306中， P-CSCF实体没有直接将本次用户标识发送至 BGF实体，而是由 SPDF实体通过扩展的携带用户标识包的 H.248协议消息将本次用户标识发送至 BGF实体。在实际的业务实现中，在上述步骤 305至步骤 306的过程中，也可以由 P-CSCF 实体通过扩展的携带用户标识包的 H.248协议消息将本次用户标识发送至 BGF实体，具体实现包括： P-CSCF实体将本次用户标识携带在 H.248 协议消息中扩展的用户标识包内，直接发送至 BGF实体；或者， P-CSCF 实体将本次用户标识携带在 H.248协议消息中扩展的用户标识包内，首先发送至 SPDF实体，该 SPDF实体将所接收到的在扩展的用户标识包中携带本次用户标识的 H.248协议消息透传至 BGF实体。

步骤 307: BGF实体根据本次用户的标识以及自身保存的携带用户标识的监听数据，判断本次用户是否为监听对象，如果是，则执行步骤 308, 否则，执行现有的建立连接并传输媒体流的过程，结束当前流程。

这里，如果 BGF实体接收到的是携带用户标识包的 H.248协议消息比如 Add消息 , 则 BGF实体对该 Add消息进行分析，从该 Add消息的用户标识包中获取本次用户的标识。

步骤 308: BGF实体分配合法监听的复制资源。

步骤 309: 在本次会话的主被叫连接建立完成，主被叫用户实现通信后， BGF 实体利用所分配的合法监听复制资源对所接收到的对应于本次用户的媒体流进行复制。

步骤 310: BGF实体通过 X3接口将所复制的媒体流发送至 DF3实体。

步骤 311 : DF3 实体对所接收到的媒体流进行分析，实现针对从固定网.络接入 NGN的监听对象的监听。

实施例 2:

图 4是本发明实施例 2的流程图。参见图 2B和图 4,在实施例 2中 , 以 ADMF实体作为本发明中所述的监听信息提供实体，但 BGF实体不作为监听控制网元为例，在 NGN网絡中，本发明针对从固定网络接入的用户实现合法监听的过程包括以下步驟：

步骤 401：预先通过 X3接口将 NGN网络中的 BGF实体与执法机构侧的 DF3实体相连。

步骤 402:当需要对一个监听对象执行监听时，执法机构侧的 ADMF 实体通过 XI— 1接口将携带监听对象标识的监听数据发送至现有的监听控制网元。

这里， P-CSCF实体、 S-CSCF实体和 LI-AS作为监听控制网元均可接收到携带监听对象标识的监听数据。为便于描述，以下以 P-CSCF实体作为本实施例中也即图 2B 中的监听控制网元为例来说明本实施例的后续实现过程。

步骤 403: P-CSCF实体保存携带监听对象标识的监听数据。

步骤 404: 在本次会话建立过程中， P-CSCF实体根据所保存的携带监听对象标识的监听数据和本次用户的标识，判断本次用户是否为监听对象，如果是，则执行步骤 405, 否则，执行现有的建立连接并传输媒体流的过程，结束当前流程。

步骤 405: P-CSCF实体将本次会话中，对应于监听对象的媒体流所经过的 BGF实体的标识发送至 ADMF实体。

这里监听对象即为所述的本次用户。、并且，在本步骤中， P-CSCF 实体可以通过执法机构侧的 DF2 实体将对应于监听对象的媒体流所经过的 BGF实体的标识发送至 ADMF实体。

步骤 406: ADMF实体根据接收到的 BGF实体的标识，将携带监听对象标识的监听数据发送至对应的 BGF实体。

'步骤 407:该 BGF实体根据接收到的携带监听对象标识的监听数据，对自身接收到的对应于监听对象的媒体流进行复制。

步驟 408:该 BGF实体根据接收到的携带监听对象标识的监听数据，将所复制的媒体流发送至 DF3实体。

在上述步骤 405中， P-CSCF实体还可以进一步将本次会话中，对应于监听对象的媒体流描述信息发送至 ADMF实体，这样，步骤 406至步骤 408的过程则为： ADMF实体根据接收到的 BGF实体的标识，将对应于监听对象的媒体流描述信息发送至对应的 BGF实体；该 BGF实体根据接收到的对应于监听对象的媒体流描述信息，对接收到的对应于监听对象的媒体流进行复制，并根据接收到的对应于监听对象的媒体流描述信息，将所复制的媒体流发送至 DF3实体。其中，所述的对应于监听对象的媒体流描述信息包括：对应于监听对象媒体流的源 IP地址、目的 IP地址、源端口号、目的端口号等。

步骤 409: DF3 实体对所接收到的媒体流进行分析，实现针对从固定网络接入 NGN的监听对象的监听。

实施例 3:

在本实施例 3 中，由 NGN网络中的监听控制网元作为本发明中所述的监听信息提供实体，且该监听控制网元通过在消息中携带监听数据触发 BGF实体复制监听对象的媒体流。图 5是本发明实施例 3的流程图。参见图 2C和图 5 , 为便于描述，以 NGN网络中的合法监听应用服务器（LI-AS )作为监听控制网元，并通过在消息中携带监听数据触发 BGF实体复制监听对象的媒体流为例，本实施例针对从固定网络接入的用户实现合法监听的过程包括以下步驟：

步骤 501 :预先通过 X3接口将 NGN网络中的 BGF实体与执法机构侧的 DF3实体相连。

步骤 502: 预先扩展 SIP协议消息、 H.248协议消息和 Diameter协议消息，使其能够携带监听数据。

在本步驟中，在扩展所述的 SIP协议消息时，可以在 SIP协议消息中增加一个基于 XML格式的应用类型，比如，所增加的基于 XML格式的应用类型可以定义为如下的形式：

Content-type: application/interception-data+xml

<?xml version=^,, 1.0"?>

<interception-data xmlns="um:ietf:params:xml:ns:interception-data" version="0" state="full"

entity="sip:alice@example.com">

</monitor>

</interception-data>

在上述基于 XML格式的消息体中，给出当前监听对象身份标识为 abcd@example.com, 并给出当前对用户监听需要输出监听相关信息和监听内容。同时给出了输出监听相关信息的地址为 df2@lea.com, 输出监听内容的地址为 dC@lea.com。

在本步骤中，在扩展 H.248协议消息时，可以在 H.248协议消息中增加一个监听数据包，比如，所增加的监听数据包可以定义为如下的形式：

监听数据包定义： (Lawf l Interception Data Package)

PackagelD: normal int (如 OxCE)

Properties:

Monitored Subscriber Identifier:

PropertylD: Subscriberld (0x0001)

Description:定义被监听对象用户身份标识 " Monitored Subscriber Identifier", 用来描述被监听对象相关的用户身份标识。

Type: string

Defined in: Local Control descriptor

Characteristics: Read/Write

Monitor Type:

PropertylD: MonitorType (0x0002)

Description:定义被监听对象当前监听类型" Monitor Type", 用来描述被监听对象当前的监听类型。对没有显式该属性的认为是当前监听既不需要输出监听相关信息，也不需要输出通信内容。

Type: Enumeration

Possible Values:

"None" (0x0000) 无任何输出。

"IRI" (0x0001)仅输出 IRI。

"CC" (0x0002)仅输出 CC。

"Both" (0x0003)输出 IRI和 CC。

Default: " None " (0x0000)无任何输出。 Defined in: Local Control descriptor

Characteristics: Read/Write

DF2 Address:

PropertylD: DF2Address (0x0003)

•Description:定义被监听对象 IRI输出的 DF2地址' 'DF2 Address", 用来描述被监听对象监听相关信息输出的 DF2地址。

Type: string

Defined in: Local Control descriptor

Characteristics: Read/Write

DF3 Address:

PropertylD: DF3Address (0x0004)

Description:定义被监听对象 CC输出的 DF3地址" DF3 Address", 用来描述«听对象通信内容输出的 DF3地址。

Type: string

Defined in: Local Control descriptor

Characteristics: Read/Write

Events: none

Statistics: none

Signals: none

Procedures: MGC 可以在任何命令中携带监听数据包指示该用户被监听和当前该用户的监听数据。

在本步骤中，在扩展所述的 Diameter协议消息时，可以在 Diameter 协议消息中增加一个属性值对（AVP ), 比如，所增加的属性值对可以定义为如下的形式：

Attribute Name: Monitor-Data

AVP Code: 整型值，如 530, AVP中建议携带" V"比特，建议携带' 'Μ" 比特，表示该 AVP是厂商专用的，是接收者必须识别的。可以进行端到端安全加密。

•Value Type: Grouped

该 AVP格式定义如下：

AVP Format:

Globally-Unique-IP-Address：: = < AVP Header: xxx 13019 >

[Monitored-Subscriber-Identifier]

[Monitor-Type] 一

[Delivery-Function2 -Address]

[Delivery-Function3 -Address]

其中， Monitored-Subscriber-Identifier描述当前被监听对象身份标识， Monitor-Type描述当前对被监听对象的监听是否需要输出通信内容和监听相关信息。 Delivery-Function2-Address给出监听相关信息输出地址， Delivery-Function3 -Address给出监听内容输出地址。

步驟 503:当需要对一个监听对象执行监听时，执法机构侧的 ADMF 实体通过 XI— 1接口将携带监听对象标识的监听数据发送至监听控制网元。

这里， P-CSCF实体、 S-CSCF实体和 LI-AS作为监听控制网元均可接收到携带监听对象标识的监听数据。

步骤 504: LI-AS保存所接收到的携带监听对象标识的监听数据。步骤 505: 在会话建立过程中，当 LI-AS接收到会话建立请求时， LI-AS 根据自身保存的携带监听对象标识的监听数据和本次用户的标识，判断本次用户是否为监听对象，如果是，则执行步驟 506, 否则，执行现有的建立会话连接实现通信的过程，结束当前流程。

步骤 506: LI-AS将自身加入到本次会话的信令路由中 ,并将该会话建立请求发送至被叫用户。

步骤 507: 当 LI-AS接收到被叫用户返回的响应消息时， LI-AS在 SIP协议的消息中携带自身所保存的携带监听对象标识的监听数据。这里， LI-AS可以利用在 SIP协议的响应消息中所增加的基于 ML 格式的应用类型的消息体来携带自身所保存的监听数据。

步骤 508: LI-AS 将携带监听数据的 SIP 协议的响应消息发送至 P-CSCF实体。

需要说明的是，上述步骤 504至步骤 508的过程中所涉及的 LI-AS 可以替换为 S-CSCF实体。

步骤 509: P-CSCF实体将携带监听数据的 Diameter协议的消息发送至 SPDF实体。

这里， P-CSCF实体首先从接收到的 SIP协议响应消息中所增加的基于 XML格式的应用类型的消息体中获取监听数据，然后可以利用在 Diameter协议响应消息中增加的属性值对来携带所获取的监听数据，并发送至 SPDF实体。

步骤 510: SPDF实体从所接收到的 Diameter协议响应消息中获取监听数据，并将所获取的监听数据携带在 H.248协议包中扩展的监听数据包中，然后发送至 BGF实体。

步骤 511: BGF实体解析 H.248协议包中扩展的监听数据包，获取监听数据。

步骤 512: BGF实体根据所获取的监听数据，复制对应于监听对象的媒体流，并通过 X3接口将所复制的媒体流发送至 DF3实体。

步骤 513: DF3 实体对所接收到的媒体流进行分析，实现针对从固定网络接入 G 的监听对象的监听。

在本实施例 3中，也可以由 P-CSCF实体首先执行构造携带监听数据的 Diameter协议的消息，并将该消息通过 SPDF实体发送至 BGF实体，其具体实现与上迷图 5所示过程的原理相同，只是此时可以无需扩展 SIP消息。

实施例 4:

在本实施例 4中，由 NGN网络中的监听控制网元作为本发明中所述的监听信息提供实体，且该监听控制网元通过在消息中携带媒体流间拓朴描述来触发 BGF实体复制监听对象的媒体流。

图 6是本发明实施例 4的流程图。参见图 2C和图 6, 为便于描述，以 NGN网络中的 P-CSCF实体作为监听控制网元，并通过在消息中携带媒体流间拓朴描述来触发 BGF实体复制监听对象的媒体流为例，本实施例针对从固定网络接入的用户实现合法监听的过程包括以下步骤：步骤 601：预先通过 X3接口将 NGN网络中的 BGF实体与执法机构侧的 DF3实体相连。

步骤 602: 预先扩展 SIP协议消息、 H.248协议消息和 Diameter协议消息，使其能够携带对应于监听对象的媒体流描述信息。

在本步骤中，在扩展所述的 SIP协议消息时，可以在 SIP协议消息中增加一个基于 XML格式的应用类型，通过该应用类型的消息体来携带对应于监听对象的媒体流描述信息。比如，所增加的基于 XML格式的应.用类型可以定义为如下的形式：

Content-type: application/session-topology+xml

<?xml version-" 1.0"?>

<session-topology xmlns="ura:ietf:params:xml:ns:session-topology" version="0" state="Ml"

entity="sip:alice@example.com">

</copiedstream>

<direction>upstream</direction>

</session>

</interception-data>

在上述 ML 消息体中，给出当前呼叫需要拷贝从 [5555::1:2:3:4]:1357到 [5555::a:b:c:d]:7531的上行 ( upstream )媒体流。

在本步骤中，使用标准的 H.248拓朴描述方式就可以描述在一个上下文（ Context )中各个端点间的拓朴关系，具体实施方式可以参考 3GPP 33107附录 D, 这里不再资述。同样，也可以扩展所述的 H.248协议消息，使其能够携带对应于监听对象的媒体流描述信息时，可以利用目前已有的扩展 H.248监听包的方式，其核心思想是：

1、定义监听包标识；

2、定义监听包媒体复制指示属性' 'Interception indication", 用来指定端点的复制从属属性。指示该终端是 slave还是 common, 对没有显式该属性的认为是与复制无关的终端，一律为 common。

3、定义监听端点从属关系 "Master termination" , 用来对 slave终端保存其需要复制端点的终端标识（简称 Master端点，其媒体复制指示属性为 common ), Master termination对 slave端点有效，类型为长度为 8个字节的字符串。

4、定义监听端点复制模式" Interception mode", 取值 "上行流"， " 下行流" 和"合并流''。用来表达 slave终端与被复制端点的连接方式，是 '复制原端点的上行媒体还是下行媒体或者是上下行混合媒体。该属性对 slave端点有效。

并且，当处于同一个 context 中的某一（多）个端点被指示属性为 slave, 并指定其 master端点和复制模式， slave端点就从指定 master端点复制相应流向的数据包。

在本步骤中，在扩展所述的 Diameter协议消息，使其能够携带对应于监听对象的媒体流描述信息时，可以在 Diameter协议消息中增加一个属性值对（AVP ), 比如，所增加的属性值对可以定义为如下的形式：

Attribute Name: Stream-Copied

AVP Code: 整型值，如 531 , AVP中建议携带" V"比特，建议携带" M" 比特，表示该 AVP是厂商专用的，是接收者必须识别的。可以进行端到端安全加密。

. Value Type: Grouped

该 AVP格式定义如下：

AVP Format:

Globally-Unique-IP-Address ::= < AVP Header, xxx 13019 >

[Media-Stream-Description]

[Copy-Direction]

其中， Media-Stream-Description描述需要拷贝的媒体流信息，如，可以在 Media-Stream-Description中给出需要拷贝的媒体流源 IP地址、目的 IP地址、源端口号、目的端口号和协议类型等。 Copy-Direction描述需要拷贝的媒体流方向。如可以使用 Copy-Direction描述当前仅拷贝从源 IP地址到目的 IP地址方向的媒体流。

步驟 603:当需要对一个监听对象执行监听时，执法机构侧的 ADMF 实体通过 Xl_l接口将携带监听对象标识的监听数据发送至监听控制网元 P-CSCF实体。

步骤 604: P-CSCF实体保存所接收到的携带监听对象标识的监听数据。步驟 605: 在会话建立过程中， P-CSCF实体根据所保存的携带监听对象标识的监听数据和本次用户的标识，判断本次用户是否为监听对象，如果是，则执行步骤 606, 否则，执行现有的建立连接并传输媒体流的过程，结束当前流程。

步驟 606: P-CSCF实体将本次会话中对应于监听对象的媒体流描述信携带在 Diameter协议的响应消息中发送至 SPDF实体。

这里， .根据步驟 602中扩展 Diameter协议消息的过程， P-CSCF实体可以利用在 Diameter协议响应消息中增加的属性值对来携带对应于监听对象的媒体流描述信息。

步驟 607: SPDF实体将本次会话中对应于监听对象的媒体流描述信息携带在 H.248协议的响应消息中发送至 BGF实体。

这里，根据步骤 602中扩展 H.248协议消息的过程， SPDF实体可以利用在 H.248协议响应消息中增加的监听包来携带对应于监听对象的媒体流描述信息。

步骤 608: BGF实体从所接收到的响应消息中获取本次会话中对应于监听对象的媒体流描述信息。

步骤 609: BGF实体根据所获取的对应于监听对象的媒体流描述信息，复制对应于监听对象的媒体流，并通过 X3接口将所复制的媒体流发送至 DF3实体。

步骤 610: DF3 实体对所接收到的媒体流进行分析，实现针对从固定网络接入 NGN的监听对象的监听。

在本实施例 4中，是由 P-CSCF实体首先构造携带对应于监听对象的媒体流描述信息的消息，并将该消息通过 SPDF实体发送至 BGF实体。在实际的业务实现中，也可以由 LI-AS或 S-CSCF实体利用所扩展的 SIP 协议的消息来首先构造携带对应于监听对象的媒体流描述信息的消息，并将该消息通过 P-CSCF实体和 SPDF实体发送至 BGF实体，其具体实现过程与上述图 6所示过程的原理相同。

在本发明中，还可以通过上述各实施例的方法将 ADMF实体发出的查询命令和合法监听去激活命令等发送至 BGF实体，从而触发 BGF实体执行对应的查询监听对象相关属性和取消监听等操作。

在本发明中，所述的本次用户可以是本次会话中的主叫用户和 /或被叫用户。

在本发明中，所述的 BGF实体可以是提供用户终端与接入网连接的接入边界网关功能（A-BGF ) 实体，也可以是提供接入网与核心网间连接的核心边界网关功能（C-BGF ) 实体。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种在下一代网络中实现合法监听的方法，其特征在于，将下一代网络中的边界网关功能实体与执法机构侧的 3 通道递交功能实体相连，该方法还包括：

A 监听信息提供实体将监听对象信息发送至边界网关功能实体； B、边界网关功能实体根据接收到的监听对象信息，将对应于监听对象的媒体流发送至 3通道递交功能实体。

2、根据权利要求 1所述的方法，其特征在于，所述监听信息提供实体为执法机构侧的管理功能实体。

3、根据权利要求 2所述的方法，其特征在于，该方法进一步包括：在下一代网络中设置监听数据处理功能实体，并将所设置的监听数据处理功能实体分别与管理功能实体和边界网关功能实体相连；

所述监听对象信息为携带监听对象标识的监听数据；

所述步骤 A包括：管理功能实体将携带监听对象标识的监听数据发送至监听数据处理功能实体，该监听数据处理功能实体将接收到的携带监听对象标识的监听数据发送至边界网关功能实体。

4、根据权利要求 3所述的方法，其特征在于，在步骤 A与步骤 B 之间进一步包括：

All , 在本次会话建立过程中，将本次用户的标识发送至边界网关功能实体；

A12、边界网关功能实体根据本次用户的标识和携带监听对象标识的监听数据判断本次用户是否为监听对象，如果是，则执行步骤 B。

5、根据权利要求 4所述的方法，其特征在于，该方法进一步包括：在 H.248协议消息中增加用户标识包；在步骤 All中，所述将本次用户的标识发送至边界网关功能实体的步骤包括：将本次用户的标识携带在 H.248协议消息中所增加的用户标识包内发送至边界网关功能实体；

在步骤 A12中，在执行所述的判断之前，进一步包括：边界网关功能实体从所接收到的 H.248协议消息中所增加的用户标识包内获取所述的本次用户的标识。

.6、根据权利要求 5所述的方法，其特征在于，在步驟 All中，由代理呼叫会话控制功能实体在接收到本次用户发来的会话建立请求时，执行所述的携带和发送的步骤；

或者，由代理呼叫会话控制功能实体将接收到的会话建立请求中的本次用户的标识发送至基于服务的策略决策功能实体，并由基于服务的策略决策功能实体执行所述的携带和发送的步骤。

7、根据权利要求 2所述的方法，其特征在于，所述步骤 A包括： A21、执法机构侧的管理功能实体将携带监听对象标识的监听数据发送至现有的监听控制网元，该监听控制网元保存所接收到的携带监听对象标识的监听数据；

A22、在本次会话建立过程中，所述监听控制网元根据所保存的携带监听对象标识的监听数据和本次用户的标识，判断本次用户是否为监听对象，如果是，则执行步驟 A23;

A23、所述监听控制网元将本次会话中对应于监听对象的媒体流所经过的边界网关功能实体的标识发送至执法机构侧的管理功能实体；

A24、执法机构侧的管理功能实体根据接收到的边界网关功能实体的标识，将监听对象信息发送至边界网关功能实体。

8、根据权利要求 7所述的方法，其特征在于，所述监听对象信息为携带监听对象标识的监听数据。 9、根据权利要求 7所述的方法，其特征在于，所述步驟 A23进一步包括：监听控制网元将本次会话中对应于监听对象的媒体流描述信息发送至执法机构侧的管理功能实体；

所述监听对象信息为对应于监听对象的媒体流描述信息。

10、根据权利要求 1所述的方法，其特征在于，所述监听信息提供实体为现有的监听控制网元。

11、根据权利要求 10所述的方法，其特征在于，该方法进一步包括：扩展 H.248协议消息和 Diameter协议消息；

所述监听控制网元为代理呼叫会话控制功能实体；

在步骤 A之前进一步包括：执法机构侧的管理功能实体将携带监听对象标识的监听数据发送至所述代理呼叫会话控制功能实体；

所述步骤 A包括：

A31、在本次会话建立过程中，所述代理呼叫会话控制功能实体根据所接收到的携带监听对象标识的监听数据和本次用户的标识，判断本次用户是否为监听对象，如果是，则执行步驟 A32;

A32、所述代理呼叫会话控制功能实体通过所扩展的 Diameter协议消息将监听对象信息发送至基于服务的策略决策功能实体；

A33、基于服务的策略决策功能实体通过所扩展的 H.248协议消息将监听对象信息发送至边界网关功能实体。

12、根据权利要求 10所述的方法，其特征在于，该方法进一步包括：扩展 H.248协议消息、 Diameter协议消息和会话初始协议 SIP消息；在步骤 A之前进一步包括：接收执法机构侧的管理功能实体发来的携带监听对象标识的监听数据；

所述步骤 A包括：

A41、在本次会话建立过程中，根据所接收到的携带监听对象标识的监听数据和本次用户的标识，判断本次用户是否为监听对象，如果是，则执行步骤 A42;

A42、通过所扩展的 SIP消息将监听对象信息发送至代理呼叫会话控制功能实体；

A43、代理呼叫会话控制功能实体通过所扩展的 Diameter协议消息将监听对象信息发送至基于服务的策略决策功能实体；

A44、基于服务的策略决策功能实体通过所扩展的 H.248协议消息将监听对象信息发送至边界网关功能实体。

13、根据权利要求 12所述的方法，其特征在于，由合法监听应用服务器或服务呼叫会话控制功能实体执行所述的接收监听数据、判断以及通过所扩展的 SIP消息将监听对象信息发送至代理呼叫会话控制功能实体的步骤。

14、根据利要求 11、 12或 13所述的方法，其特征在于，所述监听对象信息为携带监听对象标识的监听数据，或对应于监听对象的媒体流描述信息。

15、根据权利要求 11、 12或 13所述的方法，其特征在于，所述扩展 H.248协议消息的步骤包括：在 H.248协议消息中增加一个监听数据包；

所述通过所扩展的 H.248协议消息将监听对象信息发送至边界网关功能实体的步骤包括：基于服务的策略决策功能实体将监听对象信息携带在 H.248协议消息中所增加的监听数据包内，然后将该 H.248协议消息发送至边界网关功能实体。

16、根据权利要求 11、 12或 13所述的方法，其特征在于，所述扩展 Diameter协议消息的步骤包括：在 Diameter协议消息中增加一个属性值对 AVP; 所述通过所扩展的 Diameter协议消息将监听对象信息发送至基于服务的策略决策功能实体的步驟包括：将监听对象信息携带在 Diameter协议消息中所增加的属性值对 AVP内，然后将该 Diameter协议消息发送至基于服务的策略决策功能实体。

17、根据权利要求 12所述的方法，其特征在于，所述扩展 SIP协议消息的步骤包括：在 SIP协议消息中增加一个基于可扩展标记语言 XML 格式的应用类型；

所述步骤 A42包括：将监听对象信息携带在 SIP消息中所增加的基于 XML格式应用类型的消息体内，然后将该 SIP消息发送至代理呼叫会话控制功能实体。

18、根据权利要求 1所述的方法，其特征在于，所述边界网关功能实体为提供用户终端与接入网连接的接入边界网关功能 A-BGF 实体，或提供接入网与核心网间连接的核心边界网关功能 C-BGF实体。

19、一种在下一代网络中提供合法监听的系统，包括： 3 通道递交功能实体，用于接收对应于监听对象的媒体流，并对所接收到的媒体流进行分析，实现监听，其特征在于，该系统还包括：监听信息提供实体和边界网关功能实体，其中，

20、根据权利要求 19所述的系统，其特征在于，所述监听信息提供实体为执法机构侧的管理功能实体。

21、根据权利要求 20所述的系统，其特征在于，所述执法机构侧的管理功能实体通过 XI— 1接口与所述边界网关功能实体直接相连。

11、才艮据权利要求 20所述的系统，其特征在于，该系统进一步包括监听数据处理功能实体，用于通过 XI— 1接口接收执法机构侧的管理功能实体发来的携带监听对象标识的监听数据 , 并将该携带监听对象标识的监听数据发送至边界网关功能实体；

执法机构侧的管理功能实体，用于通过 XI一 1接口将携带监听对象标识的监听数据发送至监听数据处理功能实体。

23、根据权利要求 20所述的系统 ,其特征在于 ,该系统进一步包括：现有的监听控制网元，用于接收执法机构侧的管理功能实体发来的携带监听对象标识的监听数据 , 根据该监听数据获取监听对象的媒体流所经过的边界网关功能实体的标识，并将所获取的边界网关功能实体的标识发送至执法机构侧的管理功能实体；

所述执法机构侧的管理功能实体，用于根据接收到的边界网关功能实体的标识，将监听对象信息发送至边界网关功能实体。

24、根据权利要求 19所述的系统，其特征在于，所述监听信息提供实体为现有的监听控制网元，用于根据执法机构侧的管理功能实体发来的携带监听对象标识的监听数据，获取对应于监听对象的媒体流描述信息，并发送至边界网关功能实体，或直接将该携带监听对象标识的监听数据发送至边界网关功能实体；

所述边界网关功能实体，用于将接收到的对应于监听对象的媒体流描述信息或携带监听对象标识的监听数据发送至 3通道递交功能实体。