專利名稱:Nat/pat的合法監(jiān)聽的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于監(jiān)視在通信系統(tǒng)中在本地網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的中間節(jié)點中轉(zhuǎn) 換活動的方法和布置,所述節(jié)點改寫與在網(wǎng)絡(luò)之間發(fā)送的業(yè)務(wù)相關(guān)的地址�。
背景技術(shù):
在計算機連網(wǎng)中,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT����,也稱為網(wǎng)絡(luò)偽裝、本機地址轉(zhuǎn)換或IP偽裝) 是通過路由器收發(fā)網(wǎng)絡(luò)業(yè)務(wù)的技術(shù)�,路由器涉及改寫IP分組的源和/或目的地IP地址,并 且通常也在IP分組通過時改寫它們的TCP/UDP端口號��。校驗和(IP和TCP/UDP兩者)也 必須改寫以考慮更改。使用NAT的大多數(shù)系統(tǒng)進行此操作以便允許在專用網(wǎng)絡(luò)上的多個主 機使用單個公共IP地址訪問因特網(wǎng)��。NAT最初是作為預(yù)留IP地址的所有困難的方式而變 得流行�。它已變成用于家庭和小型辦公室因特網(wǎng)連接的路由器中的一個標(biāo)準(zhǔn)特性,其中�, 額外IP地址的代價經(jīng)常將超過收益����。NAT還由于掩飾內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)而增加了安全性所 有業(yè)務(wù)對外部方顯得好象它源于網(wǎng)關(guān)機器。在一個典型配置中�,本地網(wǎng)絡(luò)使用指定的“專 用” IP 地址子網(wǎng)之一 (RFC 1918 專用網(wǎng)絡(luò)地址為 192. 168. χ. χ、172. 16. χ. χ 到 172. 31. χ. χ 及10. χ. χ. χ-使用CIDR符號時為192. 168/16���、172. 16/12和10/8)����,并且在該網(wǎng)絡(luò)上的路 由器具有在該地址空間中的專用地址(例如192. 168.0. 1)����。路由器也通過ISP指配的多 個“公共”地址或單個“公共”地址(稱為“過載”NAT)連接到因特網(wǎng)。在業(yè)務(wù)從本地網(wǎng)絡(luò) 傳遞到因特網(wǎng)時�����,每個分組中的源地址快速從專用地址轉(zhuǎn)換到公共地址。路由器跟蹤有關(guān) 每個活動連接的基本數(shù)據(jù)(具體而言目的地地址和端口)��。在回復(fù)返回路由器時���,它使用它 在輸出階段期間存儲的連接跟蹤數(shù)據(jù)確定將回復(fù)轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)上何處�;在分組返回時��, 在過載NAT的情況下使用TCP或UDP客戶端端口號將分組解復(fù)用(demultiplex)�,或者在多 個公共地址可用時使用IP地址和端口號。對于在因特網(wǎng)上的系統(tǒng)�����,路由器本身顯現(xiàn)為此業(yè) 務(wù)的源/目的地�����。存在兩種網(wǎng)絡(luò)地址轉(zhuǎn)換PAT(端口地址轉(zhuǎn)換)_通常但不準(zhǔn)確地簡單稱為“NAT”(有時也名為“網(wǎng)絡(luò)地址端 口轉(zhuǎn)換NAPT”)的類型指涉及端口號的映射��,允許多個機器共享單個IP地址的網(wǎng)絡(luò)地址轉(zhuǎn)換���?;綨AT-其它在技術(shù)上更簡單的形式-“一對一 NAT”�����、“基本NAT”、“靜態(tài)NAT”和 “NAT池(pooled NAT) ” -只涉及地址轉(zhuǎn)換���,而無端口映射���。這要求用于每個同時連接的外 部IP地址。寬帶路由器經(jīng)常使用有時稱為“DMZ主機”的此特性�,以允許指定計算機即使在 路由器本身使用僅有的可用外部IP地址時接受所有外部連接�����。帶有端口轉(zhuǎn)換的NAT( BP, PAT)可提供兩種子類型源地址轉(zhuǎn)換(源NAT)��,它改寫 啟動連接的計算機的IP地址����;以及其相對物,目的地地址轉(zhuǎn)換(目的地NAT)�����。實際上�,兩 者通常均在一起協(xié)調(diào)使用以實現(xiàn)雙向通信�����。網(wǎng)絡(luò)地址服務(wù)器NAS要充當(dāng)網(wǎng)關(guān)以保護對受保護資源的因特網(wǎng)訪問��??蛻舳诉B接 到NAS����。NAS則連接到另一資源,詢問客戶端供應(yīng)的憑證是否有效����。基于該應(yīng)答���,NAS隨后允許或禁止訪問受保護資源����。NAS是一般性術(shù)語����;不同的訪問類型預(yù)見充當(dāng)NAS的不同實體 對于GPRS是GGSN,在無線寬帶接入的情況下是BNG或BRAS�����。在某個內(nèi)部網(wǎng)絡(luò)內(nèi)(在IETF 中稱為STUB域),用戶被指配到專用IP地址�����。在連接到因特網(wǎng)之前�,NAT功能可將專用地 址轉(zhuǎn)換成公共地址。圖IA是部分現(xiàn)有技術(shù)����,并且公開監(jiān)聽中介和傳送單元IMDU,也稱為監(jiān)聽單元���。 IMDU是用于監(jiān)視相同目標(biāo)的監(jiān)聽有關(guān)信息IRI和通信內(nèi)容CC的解決方案。在當(dāng)前合法 監(jiān)聽標(biāo)準(zhǔn)中公開了用于監(jiān)聽的不同部分(參閱3GPP TS 33. 108和3GPP TS 33. 107-第7 版)�����。執(zhí)法監(jiān)視設(shè)備LEMF連接到分別用于ADMF�、DF2、DF3�,即管理功能ADMF和兩個傳送功 能DF2和DF3的三個中介功能MF、MF2和MF3�����。管理功能和傳送功能每個經(jīng)由標(biāo)準(zhǔn)化切換接 口 HI 1-HI3連接到LEMF,并且經(jīng)由接口 X1-X3連接到電信系統(tǒng)中的監(jiān)聽控制元件ICE�。與傳 送功能一起,ADMF用于向ICE隱藏可能有不同執(zhí)法代理的多個激活��。從LEMF經(jīng)由HIl發(fā)送 到ADMF并從ADMF經(jīng)由Xl_l接口到網(wǎng)絡(luò)的消息REQ包括要受到監(jiān)視的目標(biāo)的身份���。傳送 功能DF2經(jīng)由X2接口��,從網(wǎng)絡(luò)接收監(jiān)聽有關(guān)信息頂1��。DF2用于將IRI經(jīng)由HI2接口分發(fā) 到相關(guān)執(zhí)法代理LEA�。傳送功能DF3在X3上從ICE接收通信內(nèi)容CC����,S卩,語音和數(shù)據(jù)���。請 求也從ADMF在接口 Xl_2上發(fā)送到DF2中的中介功能MF2�,并且在接口 Xl_3上發(fā)送到DF3 中的中介功能MF3�����。在Xl_3上發(fā)送的請求用于通信內(nèi)容的激活,并且指定受監(jiān)聽CC的詳細 處理選項����。在電路交換中,DF3負責(zé)受監(jiān)聽產(chǎn)品的呼叫控制信令和承載傳輸�����。DF2接收的監(jiān) 聽有關(guān)信息由以下事件觸發(fā)電路交換域中與呼叫有關(guān)或非呼叫有關(guān)���。在分組交換域 中�����,事件與會話有關(guān)或與會話無關(guān)��。在分組交換域中���,事件與會話有關(guān)或與會話無關(guān)���。圖IB屬于現(xiàn)有技術(shù)���,并且示出在通信服務(wù)提供商CSP處的數(shù)據(jù)保持系統(tǒng)DRS (參 閱ETSI DTS/LI-00033 V0. 8. 1和ETSI DTS/LI-0039)與請求機構(gòu)RA之間的切換接口���。該 圖示出用于處理和轉(zhuǎn)發(fā)來自/去往RA的請求的管理功能AdmF。中介和傳送功能MF/DF用 于中介和傳送請求的信息����。存儲裝置用于收集和保留來自外部數(shù)據(jù)庫的所有可能數(shù)據(jù)。一 般的切換接口采用雙端口結(jié)構(gòu)��,使得管理請求/響應(yīng)信息和保留的數(shù)據(jù)信息在邏輯上是分 開的��。切換接口端口 IHIA傳輸來自/去往請求機構(gòu)和在CSP處負責(zé)保留的數(shù)據(jù)事項的組 織的各種管理��、請求和響應(yīng)信息�����。HIA接口可跨國家/地區(qū)之間的邊界���。此可能性受對應(yīng)國 家法律和/或國際協(xié)議的約束�����。切換接口端口 2HIB將保留的數(shù)據(jù)信息從CSP傳輸?shù)秸埱?機構(gòu)����。各個保留的數(shù)據(jù)參數(shù)至少要發(fā)送到請求機構(gòu)一次(如果可用)。HIB接口可跨國家 /地區(qū)之間的邊界����。此可能性受對應(yīng)國家法律和/或國際協(xié)議的約束。在NAS充當(dāng)作為監(jiān)聽目標(biāo)的用戶的LI監(jiān)聽控制元件ICE (也稱為監(jiān)聽訪問點IAP) 時����,NAS能夠通過DF2/MF2向LEA報告指配的(專用)IP地址。此類專用IP地址對于例如 正在探測到某些服務(wù)提供商的業(yè)務(wù)的調(diào)查是無意義的����,象在公共因特網(wǎng)上托管兒童色情或 恐怖主義有關(guān)材料的web服務(wù)器,這是因為探測活動將只顯示NAT后轉(zhuǎn)換的地址���。LEA將不 能理解應(yīng)用服務(wù)器監(jiān)聽的業(yè)務(wù)數(shù)據(jù)和內(nèi)容與NAS監(jiān)聽的業(yè)務(wù)數(shù)據(jù)和內(nèi)容有聯(lián)系�。另外��,如 果只對于NAS中的IRI信息監(jiān)聽目標(biāo)�����,則絕無可能將可用于他的因特網(wǎng)訪問上的其活動與 在公共因特網(wǎng)上收集到的證據(jù)相連接��。由于無通信內(nèi)容可用����,因此,甚至在數(shù)據(jù)未加密交換 時不可能查看目標(biāo)已發(fā)送或接收的數(shù)據(jù)的類型�����。這與電路交換界中僅IRI監(jiān)聽相比是相當(dāng) 不同的����,在電路交換界中,IRI報告主叫和被叫用戶兩者的標(biāo)識符(E. 164號碼)�。類似地,在NAS和應(yīng)用服務(wù)器充當(dāng)數(shù)據(jù)保持源時�����,在執(zhí)行NAT/PAT時��,數(shù)據(jù)請求機構(gòu)將不能理解從應(yīng)用服務(wù)器獲得的業(yè)務(wù)數(shù)據(jù)與從來自NAS的業(yè)務(wù)數(shù)據(jù)有聯(lián)系����。
發(fā)明內(nèi)容
本發(fā)明涉及由于不能將在監(jiān)聽訪問上的目標(biāo)用戶活動與包括通過在受地址轉(zhuǎn)換 保護的網(wǎng)絡(luò)中的公共IP服務(wù)上的探測收集的公共IP地址的業(yè)務(wù)數(shù)據(jù)相連接而造成的問題。這些問題和其它問題由本發(fā)明通過監(jiān)視在節(jié)點中執(zhí)行的轉(zhuǎn)換活動的方法和布置 來解決�����,所述節(jié)點轉(zhuǎn)換與網(wǎng)絡(luò)之間發(fā)送的業(yè)務(wù)相關(guān)的地址。更詳細地說���,問題通過用于監(jiān)視在通信系統(tǒng)中在本地網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的中間 節(jié)點中轉(zhuǎn)換活動的方法和布置而得以解決��。中間節(jié)點將與在網(wǎng)絡(luò)之間發(fā)送的業(yè)務(wù)相關(guān)的地 址和端口從本地IP地址改寫為映射的公共IP地址和端口�����。方法包括將中間節(jié)點配置用于 作為監(jiān)聽控制元件或數(shù)據(jù)保持源操作的步驟和向請求機構(gòu)報告轉(zhuǎn)換信息的步驟��。在本發(fā)明的一方面�,NAS充當(dāng)監(jiān)聽訪問點����。在作為監(jiān)聽目標(biāo)的用戶請求建立到公 共因特網(wǎng)服務(wù)的連接時,NAS向執(zhí)法代理報告指配的(專用)地址����。根據(jù)本發(fā)明,諸如NAT/ PAT等中間節(jié)點配置用于作為監(jiān)聽控制元件操作�,并且在中間節(jié)點中激活對接收的專用地 址的監(jiān)聽。在中間節(jié)點中執(zhí)行的轉(zhuǎn)換后��,從專用地址映射的公共IP地址將從節(jié)點接收到代 理。在用戶訪問的公共IP服務(wù)上進行探測時�����,代理將檢測映射的公共IP地址�,并且能夠?qū)?公共IP地址與監(jiān)聽目標(biāo)相連接����。在本發(fā)明的另一方面,中間節(jié)點充當(dāng)數(shù)據(jù)保持源���。請求機構(gòu)將能夠接收專用和公 共IP地址連同連接的開始時間和結(jié)束時間�����。接收的信息隨后可與在對應(yīng)于開始時間和結(jié) 束時間的時間間隔期間已保留的數(shù)據(jù)一起使用��,所述數(shù)據(jù)是-從公共IP服務(wù)接收�����,包括公共IP地址�����,以及-從NAS接收����,除其它之外包括專用IP地址和用戶身份。請求機構(gòu)隨后可將從公共因特網(wǎng)接收的數(shù)據(jù)(包括公共IP地址)與從NAS獲得 的用戶身份相連接��。本發(fā)明的一個目的是增強LI/DR解決方案以便確保在目標(biāo)用戶請求到受地址轉(zhuǎn) 換保護的公共網(wǎng)絡(luò)中的服務(wù)器的連接的情況下的監(jiān)聽和數(shù)據(jù)保持���。此目的和其它目的通過 方法����、布置��、節(jié)點���、系統(tǒng)及制品而得以實現(xiàn)��。本發(fā)明有關(guān)的優(yōu)點的示例是請求機構(gòu)將能夠?qū)ㄍㄟ^在公共IP服務(wù)上的探測 收集的公共IP地址的數(shù)據(jù)與受NAT/PAT模式保護的網(wǎng)絡(luò)中的目標(biāo)用戶相連接��。這樣����,在 NAS中的監(jiān)聽大大增加了其價值和效力。對于運營商而言��,此類實現(xiàn)將提供在實質(zhì)上而不是 形式上滿足法律義務(wù)的方式����,并且保護未犯錯的客戶不受懷疑。現(xiàn)在將結(jié)合附圖��,通過優(yōu)選實施例更詳細地描述本發(fā)明���。
圖IA是部分現(xiàn)有技術(shù),并且公開附接到監(jiān)聽控制元件的監(jiān)聽中介和傳送單元的 示意框圖��。圖IB是部分現(xiàn)有技術(shù)���,并且公開連接到請求機構(gòu)的數(shù)據(jù)保持系統(tǒng)的示意框圖�����。圖2是公開本地網(wǎng)絡(luò)中的NAS和在本地網(wǎng)絡(luò)與因特網(wǎng)網(wǎng)絡(luò)之間的中間節(jié)點NAT/PAT的示意框圖�,NAS與NAT/PAT均充當(dāng)監(jiān)聽訪問點�����。由代理探測公共IP服務(wù)���。圖3公開表示將公共IP地址與監(jiān)聽目標(biāo)相連接的方法的信號序列圖���。圖4是公開NAS����、NAS/PAT和在連接到請求機構(gòu)的數(shù)據(jù)保持系統(tǒng)中充當(dāng)數(shù)據(jù)保持源 的應(yīng)用服務(wù)器AS的示意框圖����。圖5公開表示將公共IP地址與數(shù)據(jù)保持系統(tǒng)中被監(jiān)視目標(biāo)相連接的方法的信號 序列圖。
具體實施例方式圖2公開包括更早在本申請的背景部分中已解釋的實體的系統(tǒng)���。NAT/PAT服務(wù)器 充當(dāng)在本地網(wǎng)絡(luò)NW與公共因特網(wǎng)NW之間的中間節(jié)點����。NAS位于在NAT/PAT服務(wù)器與訪問 客戶端之間的本地NW中��。應(yīng)用服務(wù)器AS連接在公共因特網(wǎng)NW中���。圖中示出了已經(jīng)解釋 的監(jiān)聽中介和傳送單元IMDU和執(zhí)法監(jiān)視設(shè)備LEMF��。如示意圖中能看到的一樣�����,接口 Xl和 X2均分別連接到NAS和NAT/PAT����。探測實體PROBE附接到應(yīng)用服務(wù)器AS。現(xiàn)在將與圖3 —起解釋根據(jù)本發(fā)明的方法(第一實施例)��。本發(fā)明的前提條件是 移動訂戶MS (對應(yīng)于圖2中的訪問客戶端)設(shè)置為監(jiān)聽目標(biāo)���,并且MS請求建立到因特網(wǎng)網(wǎng) 絡(luò)中應(yīng)用服務(wù)器的連接����。前面所述和解釋的NAS由圖3中的網(wǎng)關(guān)GPRS支持節(jié)點GGSN組成�����, 即���,GGSN充當(dāng)NAS,并在接受請求前檢查客戶端的憑證是否有效��。圖3中的其它信令點已在 更早與圖1和圖2 —起解釋�����。該方法包括以下步驟■代理LEA請求監(jiān)聽MS,并且執(zhí)法監(jiān)視功能LEMF(在圖3中����,LEMF用“LEA”符號 表示)經(jīng)由HIl接口將請求發(fā)送到管理功能ADMF以激活目標(biāo)MS的監(jiān)聽。國際移動設(shè)備身 份IMEI���、國際移動用戶身份IMSI或移動臺國際ISDN號標(biāo)識目標(biāo)����。請求1從ADMF發(fā)送到 GGSN(NAS) ο■ MS經(jīng)由服務(wù)GPRS支持節(jié)點SGSN將激活分組數(shù)據(jù)協(xié)議PDP上下文的請求發(fā)送 2 至Ij GGSN0■在接收到請求后����,GGSN檢查MS的憑證是否有效,并且在有效時��,GGSN將本地 (專用)IP地址指配到移動訂戶MS��。GGSN將PDP上下文響應(yīng)返回3到SGSN���?��!鲇捎贛S在受到監(jiān)聽���,因此,GGSN經(jīng)由傳送功能DF3設(shè)置4A�、4Ba到LEA的分組 數(shù)據(jù)隧道(以便傳輸通信內(nèi)容CC)?���!鲇捎贛S在受到監(jiān)聽,因此����,GGSN通過傳送功能DF2將監(jiān)聽有關(guān)信息IRI消息和 與PDP上下文激活相關(guān)的信息一起發(fā)送5A、5Ba到代理LEA�。指配的本地(專用)IP地址因 此由LEA接收?�!鰝魉凸δ蹹F2接收有關(guān)成功PDP上下文激活的報告時��,根據(jù)本發(fā)明�����,管理功能 ADMF經(jīng)由Xl_2接口(參見圖1A)接收通知����,并且ADMF命令6NAT/PAT服務(wù)器激活對指配的 本地IP地址的監(jiān)視?��!?PDP上下文的激活的接受消息從GGSN發(fā)送7到SGSN���。■象以前一樣�����,由于MS在受到監(jiān)聽����,因此,GGSN設(shè)置8A���、8B分組數(shù)據(jù)隧道�����,并且將 IRI消息發(fā)送9A��、9B到代理LEA��?���!?MS將建立信號10發(fā)送到NAT/PAT服務(wù)器,要求建立到因特網(wǎng)網(wǎng)絡(luò)中HTTP服務(wù) 器的連接���。圖3中的HTTP服務(wù)器對應(yīng)于圖2中的AS���。在執(zhí)行的轉(zhuǎn)換活動后,建立信號從NAT/PAT轉(zhuǎn)發(fā)11到HTTP服務(wù)器���?��!龈鶕?jù)本發(fā)明,對于通過本地與因特網(wǎng)NW之間(執(zhí)行NAT/PAT)防火墻的每個連 接��,即�����,在GGSN將建立信號發(fā)送到NAT/PAT以連接到服務(wù)器時�,以下數(shù)據(jù)將作為IRI被報告 給代理>連接的開始時間和結(jié)束時間�����;>本地因特網(wǎng)服務(wù)提供商ISP用戶的實際IP地址>本地ISP用戶的實際端口>本地ISP用戶的轉(zhuǎn)換的IP地址>本地ISP用戶的轉(zhuǎn)換的端口>連接的另一方的IP地址>連接的另一方的端口對于每個連接,LEA將接收本地因特網(wǎng)服務(wù)提供商ISP用戶的地址和端口的轉(zhuǎn)換 和通信的另一方的IP地址和端口����。由于NAT/PAT服務(wù)器以動態(tài)方式為每個連接指配公共 IP地址,因此����,只報告執(zhí)行的NAT/PAT將在有人犯罪時使可能已收到同一 IP地址的客戶顯 露為嫌疑人。只根據(jù)在NAT/PAT和應(yīng)用服務(wù)器中的時間信息匹配公共地址和正確用戶可能 是不夠的��。在NAT/PAT和應(yīng)用服務(wù)器中的時間同步中可能有失配�����。從NAT/PAT服務(wù)器能夠提供的附加數(shù)據(jù)有>鑒權(quán)標(biāo)識符 >用于獲得網(wǎng)絡(luò)連接的用戶名>連接協(xié)議在MS訪問的公共IP服務(wù)上(在此示例中即在HTTP服務(wù)器上)探測時���,代理將檢 測映射的公共IP地址����。通過使用從NAT/PAT服務(wù)器接收的頂1�����,代理現(xiàn)在能夠?qū)⒐睮P地 址與監(jiān)聽目標(biāo)�,即與MS相連接�����。圖4在第二實施例中公開數(shù)據(jù)保持配置��。圖4示出在通信服務(wù)提供商CSP處的數(shù) 據(jù)保持系統(tǒng)DRS與請求機構(gòu)RA之間的切換接口�。包括AdmF�����、MF/DF��、存儲裝置�����、HIA���、HIB及 RA的此配置已更早在本申請的背景部分中解釋��。更早解釋的NAS���、NAT/PAT及AS在此實施 例中充當(dāng)數(shù)據(jù)保持源。數(shù)據(jù)從數(shù)據(jù)保持源NAS、NAT/PAT及AS到MF/DF的傳輸以圖4中通 過實心箭頭以示意圖方式示出�。數(shù)據(jù)記錄傳遞到數(shù)據(jù)保持系統(tǒng)中的中介功能�����,并且隨后滿 足配置的過濾準(zhǔn)則的數(shù)據(jù)從MF/DF轉(zhuǎn)交(mediated)到存儲裝置����。存儲裝置的更新取決于 管控帶有用戶、會話或運營商有關(guān)數(shù)據(jù)的����、從數(shù)據(jù)保持源到存儲裝置的通知的策略。相應(yīng) 地��,數(shù)據(jù)經(jīng)由MF/DF從源到存儲裝置的傳輸由自動數(shù)據(jù)保持系統(tǒng)處理�。自動數(shù)據(jù)保持系統(tǒng) 是部分現(xiàn)有技術(shù),并且數(shù)據(jù)的傳輸是用于本發(fā)明的前提條件�����。在此示例中��,已進行以下數(shù)據(jù) 傳輸-連接到被服務(wù)用戶(例如通過IMSI或MSISDN標(biāo)識)和用戶訪問設(shè)備(例如����,通 過IMEI標(biāo)識)的本地IP地址已從NAS傳輸?shù)酱鎯ρb置��。-公共IP地址與時戳一起已從AS傳輸?shù)酱鎯ρb置?�,F(xiàn)在將解釋本發(fā)明的第二實施例�。根據(jù)本發(fā)明在第二實施例中的方法包括以下步 驟-連接到轉(zhuǎn)換的公共IP地址的本地IP地址與時戳一起在此示例中從NAT/PAT傳輸?shù)酱鎯ρb置����。-例如通過IMEI、IMSI或MSISDN標(biāo)識的目標(biāo)執(zhí)行的NAS中的訪問活動有關(guān)的監(jiān) 視請求由請求機構(gòu)RA確定并發(fā)送21到AdmF��。訪問客戶端在此示例中是監(jiān)視的目標(biāo)���。-監(jiān)視請求由管理功能AdmF經(jīng)由接口HIA接收�。-AdmF通知22請求的中介和傳送功能MF/DF�。-與目標(biāo)相關(guān)的本地IP地址由中介和傳送功能MF/DF從存儲裝置中發(fā)現(xiàn)23和取 得24。-本地IP地址作為消息數(shù)據(jù)記錄在接口HIB上從MF/DF發(fā)送25到RA�����。-有關(guān)NAT/PAT中與取得的目標(biāo)的本地IP地址相關(guān)的轉(zhuǎn)換活動的監(jiān)視請求由請求 機構(gòu)RA確定并且發(fā)送31到AdmF���。-監(jiān)視請求由管理功能AdmF經(jīng)由接口HIA接收�。-AdmF通知32請求的中介和傳送功能MF/DF。-與目標(biāo)相關(guān)的轉(zhuǎn)換的公共IP地址與表示連接的開始時間和結(jié)束時間的時戳一 起由中介和傳送功能MF/DF從存儲裝置中發(fā)現(xiàn)33和取得34�。-公共IP地址和時戳作為消息數(shù)據(jù)記錄在接口HIB上從MF/DF發(fā)送35到RA。-有關(guān)通過公共IP地址標(biāo)識的用戶對應(yīng)用服務(wù)器AS的訪問嘗試的監(jiān)視請求由請 求機構(gòu)RA確定并發(fā)送41到AdmF����。-監(jiān)視請求由管理功能AdmF經(jīng)由接口HIA接收����。-AdmF通知42請求的中介和傳送功能MF/DF。-公共IP地址表示的用戶執(zhí)行的訪問嘗試與表示訪問嘗試的時間的時戳一起由 中介和傳送功能MF/DF從存儲裝置中發(fā)現(xiàn)43和取得44�����。-公共IP地址和時戳作為消息數(shù)據(jù)記錄在接口HIB上從MF/DF發(fā)送45到RA����。通過使用上述方法,請求機構(gòu)已能夠?qū)⒛繕?biāo)與在訪問AS時使用的公共IP地址相 連接�。通過比較從NAS和AS接收的時戳,請求機構(gòu)將能夠確定接收的����、在訪問AS時使用的 公共IP地址是與目標(biāo)還是與他人相連接。在上述不同數(shù)據(jù)保持實體之間的相互信令要只視為示例�����。例如,存儲裝置能夠是 MF/DF的集成部分���。在此示例中����,準(zhǔn)則從RA發(fā)送��,但也可通過居間者(intermediary)(例如 從經(jīng)授權(quán)源接收命令并隨后將準(zhǔn)則輸入DRS的操作人員)傳遞�����。在使用本發(fā)明時能夠出現(xiàn) 不同類型的應(yīng)用服務(wù)器�,例如,電子郵件服務(wù)器能夠充當(dāng)應(yīng)用服務(wù)器����。此外,其它變化也是 可能的��。本領(lǐng)域技術(shù)人員明白這一切�����。圖2和4中以示意圖方式示出了可用于將本發(fā)明付諸實踐的系統(tǒng)。列舉的項在圖 中示為單獨的元素��。但是����,在本發(fā)明的實際實現(xiàn)中,它們可能是諸如數(shù)字計算機等其它電子 裝置的不可分開的組件��。因此����,上述動作可以軟件形式實現(xiàn)���,而軟件可實施在包括程序存儲 介質(zhì)的制品中����。程序存儲介質(zhì)包括在一個或多個載波中實施的數(shù)據(jù)信號����、計算機盤(磁性 或光學(xué)(例如,CD或DVD或兩者))����、非易失性存儲器��、磁帶�����、系統(tǒng)存儲器以及計算機硬盤驅(qū) 動器���。本發(fā)明的系統(tǒng)和方法例如可在第三代合作伙伴項目(3GPP)、歐洲電信標(biāo)準(zhǔn)協(xié)會 (ETSI)�、美國國家標(biāo)準(zhǔn)協(xié)會(ANSI)或其它標(biāo)準(zhǔn)電信網(wǎng)絡(luò)架構(gòu)中任一個上實現(xiàn)。其它示例是 電氣和電子工程師協(xié)會(IEEE)或因特網(wǎng)工程任務(wù)組(IETF)���。
為便于解釋而不是限制�,說明書陳述了特定的細節(jié)�,例如具體的組件、電子電路��、 技術(shù)等���,以便提供對本發(fā)明的理解����。但本領(lǐng)域的技術(shù)人員將理解��,本發(fā)明可在脫離這些特定 細節(jié)的其它實施例中實踐。在其它情況下��,忽略了熟知方法���、裝置和技術(shù)等的詳細說明以免 不必要的細節(jié)混淆本說明���。在一個或多個圖形中顯示了各個功能塊。本領(lǐng)域的技術(shù)人員將 理解���,可使用離散組件或多功能硬件實施這些功能����。處理功能可使用編程的微處理器或通 用計算機實現(xiàn)����。本發(fā)明不限于以上所述和附圖所示的實施例�����,而是可在隨附權(quán)利要求范圍 內(nèi)進行修改�。
權(quán)利要求
1.一種用于監(jiān)視在通信系統(tǒng)中在本地網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的中間節(jié)點(NAT/PAT)中 轉(zhuǎn)換活動的方法,所述節(jié)點(NAT/PAT)改寫與在所述網(wǎng)絡(luò)之間發(fā)送的業(yè)務(wù)相關(guān)的地址�����,其 特征在于,將所述中間節(jié)點(NAT/PAT)配置用于作為監(jiān)聽控制元件(ICE)或數(shù)據(jù)保持源操 作的步驟和請求轉(zhuǎn)換信息并向請求機構(gòu)報告轉(zhuǎn)換信息的步驟�。
2.如權(quán)利要求1所述用于監(jiān)視轉(zhuǎn)換活動的方法,包括以下進一步的步驟-在所述節(jié)點(NAT/PAT)中激活對在所述本地網(wǎng)絡(luò)中指配到請求到所述公共網(wǎng)絡(luò)中的 服務(wù)器(AS)的連接的用戶的本地IP地址的監(jiān)視���,����;-在所述中間節(jié)點中執(zhí)行所述本地IP地址到公共IP地址的映射����; -從所述中間節(jié)點向監(jiān)視單元(LEMF)報告轉(zhuǎn)換信息。
3.如權(quán)利要求2所述用于監(jiān)視轉(zhuǎn)換活動的方法�����,其中所述本地IP地址屬于嘗試訪問 所述服務(wù)器(AQ的用戶���,所述訪問嘗試由保護對所述服務(wù)器(AQ的訪問并將所述本地IP 地址指配到所述用戶的網(wǎng)關(guān)(NAS)檢測�����。
4.如權(quán)利要求3所述用于監(jiān)視轉(zhuǎn)換活動的方法���,所述方法包括以下進一步的步驟 -將所述本地IP地址從所述網(wǎng)關(guān)(NAQ發(fā)送到所述請求機構(gòu)�����;-將所述本地IP地址從所述請求機構(gòu)轉(zhuǎn)發(fā)到所述節(jié)點(NAT/PAT)����。
5.如權(quán)利要求1-4任一項所述用于監(jiān)視轉(zhuǎn)換活動的方法�����,所述轉(zhuǎn)換信息包括 -所述本地IP地址�����;-映射到所述本地IP地址的所述公共IP地址�����。
6.如權(quán)利要求1-5任一項所述用于監(jiān)視轉(zhuǎn)換活動的方法��,所述轉(zhuǎn)換信息還包括 -所述連接的開始時間和結(jié)束時間�。
7.如權(quán)利要求1-6任一項所述用于監(jiān)視轉(zhuǎn)換活動的方法����,所述轉(zhuǎn)換信息還包括 -請求到其的連接的源(AS)的IP地址�����。
8.如前面權(quán)利要求任一項所述用于監(jiān)視轉(zhuǎn)換活動的方法���,由此從所述節(jié)點(NAT/PAT) 接收的所述轉(zhuǎn)換信息由所述請求機構(gòu)用于在探測所述服務(wù)器(AQ后將所述用戶與接收的 公共IP地址連接。
9.如權(quán)利要求1所述用于監(jiān)視轉(zhuǎn)換活動的方法�����,由此所述轉(zhuǎn)換信息從所述中間節(jié)點 (NAT/PAT)傳輸并在由所述請求機構(gòu)取得前保留在數(shù)據(jù)保持系統(tǒng)(DRS)中的存儲裝置中���。
10.如權(quán)利要求9所述用于監(jiān)視轉(zhuǎn)換活動的方法�����,由此所述轉(zhuǎn)換信息與來自網(wǎng)關(guān)(NAS) 的保留數(shù)據(jù)一起由所述請求機構(gòu)用于映射用戶和公共IP地址���。
11.如權(quán)利要求9或10所述用于監(jiān)視轉(zhuǎn)換活動的方法,由此所述轉(zhuǎn)換信息與來自服務(wù) 器(AS)的保留數(shù)據(jù)一起由所述請求機構(gòu)用于映射用戶和公共IP地址�。
12.如權(quán)利要求9-11任一項所述用于監(jiān)視轉(zhuǎn)換活動的方法,所述轉(zhuǎn)換信息包括 -所述本地IP地址;-映射到所述本地IP地址的所述公共IP地址��。
13.如權(quán)利要求9-12任一項所述用于監(jiān)視轉(zhuǎn)換活動的方法����,所述轉(zhuǎn)換信息包括 -所述連接的開始時間和結(jié)束時間。
14.一種可加載到電信節(jié)點的處理器中的計算機程序�,其中所述計算機程序包括適用 于執(zhí)行前面權(quán)利要求的一項或多項的方法的代碼。
15.一種適合用于監(jiān)視在通信系統(tǒng)中在本地網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的中間節(jié)點(NAT/PAT)中轉(zhuǎn)換活動的布置���,所述節(jié)點(NAT/PAT)改寫與在所述網(wǎng)絡(luò)之間發(fā)送的業(yè)務(wù)相關(guān)的地 址���,其特征在于用于將所述中間節(jié)點(NAT/PAT)配置用于作為監(jiān)聽控制元件(ICE)或數(shù)據(jù) 保持源(DRS)操作的部件和用于請求轉(zhuǎn)換信息并向請求機構(gòu)報告轉(zhuǎn)換信息的部件。
16.如權(quán)利要求15所述適合用于監(jiān)視轉(zhuǎn)換活動的布置��,所述布置還包括-用于在所述節(jié)點(NAT/PAT)中激活對在所述本地網(wǎng)絡(luò)中指配到請求到所述公共網(wǎng)絡(luò) 中的服務(wù)器(AS)的連接的用戶的本地IP地址的監(jiān)視的部件���;-用于在所述中間節(jié)點中執(zhí)行所述本地IP地址到公共IP地址的映射的部件�;-用于從所述中間節(jié)點向監(jiān)視單元(LEMF)報告轉(zhuǎn)換信息的部件����。
17.如權(quán)利要求16所述適合用于監(jiān)視轉(zhuǎn)換活動的布置����,其中所述本地IP地址屬于嘗試 訪問所述服務(wù)器(AQ的用戶�����,所述訪問嘗試由保護對所述服務(wù)器(AQ的訪問并將所述本 地IP地址指配到所述用戶的網(wǎng)關(guān)(NAS)檢測�。
18.如權(quán)利要求17所述適合用于監(jiān)視轉(zhuǎn)換活動的布置���,所述布置還包括-用于將所述本地IP地址從所述網(wǎng)關(guān)(NAS)發(fā)送到所述請求機構(gòu)的部件����;-用于將所述本地IP地址從所述請求機構(gòu)轉(zhuǎn)發(fā)到所述節(jié)點(NAT/PAT)的部件�。
19.如權(quán)利要求15所述適合用于監(jiān)視轉(zhuǎn)換活動的布置,所述布置包括用于在由所述請 求機構(gòu)取得前在數(shù)據(jù)保持系統(tǒng)DRS中的存儲裝置中保留所述轉(zhuǎn)換信息的部件��。
全文摘要
本發(fā)明涉及用于在通信系統(tǒng)中在本地網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的中間節(jié)點NAT/PAT中監(jiān)視轉(zhuǎn)換活動的方法和布置�。中間節(jié)點NAT/PAT改寫與在網(wǎng)絡(luò)之間發(fā)送的業(yè)務(wù)相關(guān)的地址。方法包括將中間節(jié)點NAT/PAT配置用于作為監(jiān)聽控制元件ICE或數(shù)據(jù)保持源操作的步驟和請求轉(zhuǎn)換信息并向請求機構(gòu)報告轉(zhuǎn)換信息的步驟��。
文檔編號H04L29/06GK102124714SQ200880130829
公開日2011年7月13日 申請日期2008年8月15日 優(yōu)先權(quán)日2008年8月15日
發(fā)明者A·因賓博, P·桑托羅 申請人:愛立信電話股份有限公司