CN101690087B - 对漫游移动节点的数据的合法拦截 - Google Patents
对漫游移动节点的数据的合法拦截 Download PDFInfo
- Publication number
- CN101690087B CN101690087B CN2008800208568A CN200880020856A CN101690087B CN 101690087 B CN101690087 B CN 101690087B CN 2008800208568 A CN2008800208568 A CN 2008800208568A CN 200880020856 A CN200880020856 A CN 200880020856A CN 101690087 B CN101690087 B CN 101690087B
- Authority
- CN
- China
- Prior art keywords
- node
- section point
- address
- message
- care
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2281—Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/005—Data network PoA devices
Abstract
在一个实施例中,与经由接入节点耦合到通信网络的第一节点相关联的转交地址被接收。转交地址可以包含在由与第一节点相关联的归属代理发送的通知消息或者由第一代理发送的绑定更新消息中。利用转交地址来识别接入节点。在接入节点处窃听与第一节点相关联的通信的请求被生成,并且该请求被转发到接入节点,以使得在接入节点处窃听与第一节点相关联的通信。
Description
背景技术
通信网络是在地理上对用来在诸如路由器、交换机、计算机系统等之类的节点之间传送数据的互连通信链路的分布式集合。存在许多类型的通信网络,这些类型包括从局域网(LAN)到广域网(WAN)。节点通常通过根据预先定义的协议交换数据的离散消息(例如,数据分组)来进行通信。
许多用户通过服务提供商(SP)来接入诸如因特网之类的通信网络。这里,用户可以参与预订以预订SP的服务。服务可以包括用于允许订户利用端节点(例如,由订户操作的计算机系统)接入网络的配置(provision)。在接入网络之后,订户可以与同样接入了网络的另一订户交换信息,例如电子邮件(e-mail)、文本、图形、web页面、文件等等。
附图说明
将从下面对这里所述的技术的更具体描述中清楚这里描述的技术的前面的以及其它目的、特征和优点,如附图所示,其中,在不同视图中,类似的标号指示相同的部分。
图1是可与这里描述的技术一起使用的通信网络的框图。
图2是可与这里描述的技术一起使用的接入节点的一个示例的部分框图。
图3是可与这里描述的技术一起使用的绑定缓存(bindings cache)的框图。
图4是可与这里描述的技术一起使用的中间设备的部分框图。
图5是可与这里描述的技术一起使用的接入节点数据库(DB)的框图。
图6是可与这里描述的技术一起使用的的中间设备DB的框图。
图7是可与这里描述的技术一起使用的通知消息的框图。
图8是可与这里描述的技术一起使用的请求消息的框图。
图9是根据这里描述的技术的一个实施例可以用来在通信网络中的第二节点处窃听(tap)与通信网络中的第一节点相关联的通信的步骤序列的流程图。
图10A-B是根据这里描述的技术的一个实施例可以用来在通信网络中的接入节点处窃听(tap)与通信网络中的端节点相关联的通信的步骤序列的流程图。
具体实施方式
概述
向其订户提供移动服务的服务提供商(SP)可以将归属地址指派给与订户相关联的端节点,该归属地址可由网络中的对应节点用来将消息(例如,数据分组)转发给订户的端节点。归属地址通常是标识端节点的永久性地址,而不论端节点的位置如何。端节点可以与归属代理相关联。归属代理一般是通常由端节点用来接入网络的网络中的接入节点。为端节点预定的消息通常被路由到端节点的归属代理,归属代理将消息转发到该端节点。
在一些情况中,端节点可以是移动的并且在附接点而非端节点的归属代理处接入网络。这里,端节点可以被指派一转交地址(care-ofaddress),该转交地址可以用来代替端节点的归属地址而将消息转发给端节点。
端节点可以向其归属代理登记其转交地址,以使得归属代理利用其转交地址而非其归属地址来将消息转发给端节点。在典型的布置中,利用其归属地址去往端节点的消息被归属代理接收。归属代理利用转交地址将消息从归属代理转发给端节点。可以利用公知的隧道传输技术来将消息从归属代理转发给端节点。
除了将服务提供给订户之外,SP还可以将各种服务提供给执法机构(LEA),以便辅助法律的执行。这些服务可以包括对合法监视下的向和从订户所使用的端节点传送的通信的合法拦截(LI)。在一些LI布置中,SP可以配置中间设备以管理对通信的窃听。当受监视的订户利用端节点接入网络时,中间设备引导与该端节点相关联的归属代理建立对去往和来自端节点的通信的窃听。窃听使得归属代理对通信进行拷贝,并且将该拷贝转发到中间设备。中间设备进而将对通信的拷贝转发给LEA。在一些情况中,中间设备可以在将对通信的拷贝转发到LEA之前,将其格式化为LEA所请求的特定格式。
一些网络包括用来优化向网络中的节点转发信息的路由优化技术。例如,移动因特网协议版本6(IPv6)网络通常包括允许利用端节点的转交地址代替其归属地址来将信息转发给端节点的路由优化技术。这允许直接将信息转发给端节点,而不用首先转发给移动节点的归属代理然后从归属代理转发给移动节点。
上述路由优化的一个问题在于:如果将窃听设置在端节点的归属代理处以窃听与该端节点相关联的通信而使归属代理因路由优化被绕过(bypass),则有可能不能窃听到向和从端节点传送的信息。换言之,由于路由优化,与端节点相关联的通信可能完全绕过归属代理,从而不被复制并转发到中间设备以传送给执法机构(LEA)。
这里描述的技术即使在端节点未经由其归属代理连接到网络时也能够通过将窃听置于端节点的接入点处而显著地克服这些缺陷。在一个实施例中,与经由接入节点耦合到通信网络的第一节点相关联的转交地址被接收。转交地址例如可以从由与第一节点相关联的归属代理发送的通知消息中接收,或者例如可以通过由第一代理发送的绑定更新消息来接收。利用接收到的转交地址来识别接入节点。在接入节点处窃听与第一节点相关联的通信的请求被生成,并且该请求被转发给接入节点,以使得在接入节点处窃听与第一节点相关联的通信。
描述
可与这里描述的技术一起使用的协议和体系结构可以包括因特网协议版本4(IPv4)、因特网协议版本6(IPv6)、IPv6中的移动性支持以及用于IP网络中的合法拦截的思科体系结构。对IPv4的描述可在可从因特网工程任务组(IETF)获得的1981年9月的“因特网协议”请求注释(RFC)791中找到。对IPv6的描述可在可从IETF获得的1998年12月的S.Deering等人的“因特网协议版本6(IPv6)”RFC 2460中找到。对IPv6中的移动性支持的描述可以在可从IETF获得的2004年6月的D.Johnson等人的“IPv6中的移动性支持”RFC 3775中找到。对用于IP网络中的合法拦截的思科体系结构的描述可以在可从IETF获得的2004年10月的F.Baker等人的RFC 3924中找到。应当注意,还可以将其它协议和体系结构与这里描述的技术一起使用。
图1是可与这里描述的技术一起使用的通信网络100的框图。网络100包括如下节点的连接:端节点110、接入节点200、中间设备400以及执法机构(LEA)节点170。这些在跨网运作(internetworked)的节点通过根据预先定义的网络协议和机制集(例如传输控制协议/因特网协议(TCP/IP)、IPv4、IPv6等)来交换信息(例如,数据分组)来进行通信。这里使用的协议与定义了通信网络中的节点彼此如何交互的规则的集合有关。应当注意,通信网络100是可与这里描述的技术一起使用的通信网络的一个示例。这里描述的技术还可以与各种类型和复杂度的其它通信网络一起使用。
端节点110经由下面将进一步描述的接入节点200耦合到服务提供商(SP)网络150,接入节点200可以被配置来向端节点110提供接SP网络150的权利。每个SP网络150包括一个或多个接入节点200以及中间设备400。SP网络150可以包括被配置来实现SP网络的另外的节点(未示出),例如路由器、交换机等。SP网络150经由诸如因特网之类的广域网160彼此相耦合。WAN 160可以包括被配置来在SP网络150之间传送信息(例如,数据分组)的各种跨网运作的节点(未示出),例如路由器、交换机等。
端节点110可以是被配置来生成在网络100上载运的信息的基于计算机的系统,例如个人计算机(PC)、工作站、个人数字助理等。LEA节点170是与LEA相关联的节点(例如,服务器)并且被配置来在其中接收来自中间设备400a的对被窃听通信的拷贝。
接入节点200可以是被配置来向端节点110提供接入SP网络150的权利的路由器。可与这里描述的技术一起使用的路由器的示例是可从加州圣何塞的思科系统公司获得的思科7600系列路由器。
图2是可与这里描述的技术一起使用的接入节点200的一个示例的部分框图。节点200包括经由总线252相耦合的存储器230、处理器240以及网络接口250。处理器240可以是包括用于执行指令并操纵存储器230中所包含的数据的处理电路的中央处理单元(CPU)。这些指令和数据可以包括实现这里描述的技术的各方面的指令和数据。总线252是点到点互连总线,被配置来将包含在包括处理器240、存储器230和网络接口250的节点200内的各实体相耦合,并且使得数据和信号能够在这些实体之间传送。
网络接口250被配置来将节点200与网络100相连接(接口),并且使得能够利用诸如以太网、TCP/IP等之类的各种协议将信息(例如,数据分组)在节点200与网络100中的其它节点之间传送。为此,网络接口250包括:结合了信号、电和机械特性的接口电路、需要与网络100接口的互换电路以及在网络100上运行的协议。
示意性地,存储器230是被实现为包括RAM器件(例如动态RAM(DRAM)器件)在内的随机存取存储器(RAM)数据存储装置的计算机可读介质。存储器230可以被配置来保存各种软件和数据结构,包括操作系统(OS)232、绑定缓存300以及一个或多个应用238。应当注意,存储器230可以包含由节点200用来处理例如由节点200处理的数据分组的其它信息,例如路由和转发数据库等。
应用238是在OS 232的控制下由处理器240执行的软件。应用238包括计算机可执行指令和数据,其可以包括实现这里描述的技术的各方面的计算机可执行指令和数据。OS 232在处理器240上运行,并且包括实现各种操作系统功能(例如,调度在处理器240上运行的应用238)的计算机可执行指令和数据。此外,OS 232可以包含实现这里描述的技术的各方面的计算机可执行指令和数据。
绑定缓存300是示意性地被配置来保存与将接入节点200作为其归属代理的端节点110相关联的可达性信息(例如地址)的数据结构。图3是与这里描述的技术一起使用的绑定缓存300的框图。缓存300示意性地被组织为包含一个或多个条目305的表,其中,每个条目305与端节点110相关联并且包含归属地址字段320和转交地址字段330。每个条目350示意性地被配置来“绑定”(映射)特定归属地址与端节点的转交地址。如下面将进一步描述的,缓存300可以用来利用节点的转交地址识别与特定端节点110相关联的归属地址,反之亦然。在一个实施例中,根据包含在由接入节点200从端节点110接收的消息(例如,绑定更新消息)中的信息来填写缓存300。
归属地址字段320保存表示与端节点110相关联的归属地址的信息。归属地址可以是被指派给端节点110的永久性地址(例如,IP地址)。该地址可以由与端节点110相关联的归属代理来指派。转交地址字段330保存表示与端节点110相关联的转交地址的信息。转交地址可以是在端节点110附接到网络100的当前点处被指派给端节点110的临时性地址(例如,IP地址)。该地址可由用来使端节点110接入网络100的接入节点200来指派。
图4是可与这里描述的技术一起使用的中间设备400的部分框图。在网络100中,中间设备400是示意性地被配置来执行与对关联于端节点110的通信的合法拦截有关的各种功能的网络节点。这些功能可以包括:建立并配置对与各个端节点110相关联的通信的合法拦截,并且将对经拦截通信的拷贝转发到LEA节点170。中间设备400包括经由总线452相耦合的存储器430、处理器440以及网络接口450。中间设备400可以是诸如可从思科系统公司获得的思科7600系列路由器之类的路由器、工作站、个人计算机、服务器等。
处理器440可以是包括执行指令并操纵存储器430中包含的数据的处理电路的CPU。这些指令和数据可以包括实现这里描述的技术的各方面的指令和数据。总线452是点到点互连总线,被配置来将包含在包括处理器440、存储器430和网络接口450的节点400内的各实体相耦合,并且使得数据和信号能够在这些实体之间传送。
网络接口450被配置来将节点400与网络100相连接(接口),并且使得能够利用诸如以太网、TCP/IP等之类的各种协议将信息在节点400与网络100中的其它节点之间传送。为此,网络接口450包括:结合了信号、电和机械特性的接口电路、需要与网络100接口的互换电路以及在网络100上运行的协议。
存储器430可以是被实现为包括RAM器件(例如DRAM器件)在内的RAM数据存储装置的计算机可读介质。示意性地,存储器430被配置来保存各种软件和数据结构,包括操作系统(OS)432、接入节点数据库500、中间设备DB 600、管理信息库(MIB)434以及一个或多个处理438。应当注意,存储器430可以包含由节点400用来处理例如由节点400处理的分组的其它信息,例如路由数据库等。
应用438是在OS 432的控制下由处理器440执行的软件应用。应用438包括计算机可执行指令和数据,其可以包括实现这里描述的技术的各方面的计算机可执行指令和数据。OS 432在处理器440上运行,并且包括实现各种操作系统功能(例如,调度在处理器440上运行的应用438)的计算机可执行指令和数据。此外,OS 432可以包含实现这里描述的技术的各方面的计算机可执行指令和数据。
MIB 434是可由中间设备400用来引导接入节点200窃听与端节点110相关联的通信的MIB。可用来在接入节点200处建立窃听的MIB的示例包括可从IETF获得的F.Baker的“Cisco Lawful Intercept ControlMIB”,因特网草稿draft-baker-slem-mib-00.txt,2003年4月,以及可从思科系统公司获得的结合了CISCO-IP-TAP-MIB的CISCO-TAP2-MIB中描述的LI MIB。
在网络100中,接入节点200可被引导来通过(1)初始化MIB 434以识别端节点110,(2)生成包含MIB 434的消息以及(3)将该消息转发给接入节点200来建立对与特定端节点110相关联的通信的窃听。接入节点200接收消息并对其进行处理,包括:(1)从包含在其中的MIB 434中识别出窃听将被建立以窃听与端节点110相关联的通信,以及(2)建立窃听。
接入节点DB 500是被配置来保存与包含在网络100中并在中间设备400的控制下的一个或多个接入节点200相关联的信息的数据结构。示意性地,如果中间设备400可以引导接入节点200在接入节点200处建立对与接入节点200相关联的端节点110的通信的窃听,则接入节点200被认为是在中间设备400的控制下。如果例如端节点经由接入节点200连接到网络100或者接入节点200是端节点110的归属代理,则示意性地,端节点110与接入节点200相关联。
图5是可与这里描述的技术一起使用的接入节点DB 500的框图。示意性地,DB 500被组织为包含一个或多个条目505的表,其中,每个条目505与在中间设备400的控制下的接入节点200相关联。每个条目505包含地址范围字段520以及接入节点地址字段530。包含在DB 500中的信息例如可以由有权使用中间设备400的用户来预先配置。
接入节点地址字段530保存表示可以用来将消息转发给接入节点200的地址(例如IP地址)的信息。地址范围字段520保存表示可以被指派给与接入节点200相关联的端节点110的地址范围的信息。例如,接入节点200可以是特定端节点110的归属代理,并且地址的范围可以包括被指派给该端节点110的归属地址。同样,例如,接入节点200可以是除端节点的归属代理以外的由端节点110用来接入网络100的接入节点200,并且地址的范围可以包括被指派给端节点110的转交地址。
中间设备DB 600是被配置来保存与中间设备400相关联的可达性信息的数据结构。该可达性信息可以包括可用来将消息导向设备400的与中间设备400相关联的地址(例如IP地址)。
图6是可与这里描述的技术一起使用的中间设备DB 600的框图。示意性地,DB 600是包括一个或多个条目605的表,其中,每个条目605包括地址范围字段620以及中间设备地址字段630。中间设备地址字段630保存表示可用来将消息导向设备400的与中间设备400相关联的地址的信息(例如,IP地址)。DB 600中包含的信息例如可由具有使用中间设备400的权利的用户来预先配置。
地址范围字段620保存表示被指派给端节点110的地址的范围的信息,该端节点110通过受中间设备400的控制的接入节点200而接入网络100。例如,参考图1,在一个实施例中,接入节点200a受中间设备400a的控制。被指派给经由接入节点200a连接到网络100的端节点110a的地址(例如,归属地址、转交地址)可以表示在与中间设备400a相关联的条目605的地址范围字段620中。
应当注意,可以利用硬件和/或软件的某种组合来全部或部分地实现由接入节点200和/或中间设备400执行的、包括实现这里描述的技术的各方面的功能在内的功能。另外,执行与接入节点200和/或中间设备400相关联的功能的逻辑可以被编码在一个或多个有形计算机可读介质中供执行,并且当被执行时,可操作来执行这里描述的技术的各方面。逻辑例如可以是软件、硬件或其某种组合。计算机可读介质例如可以是易失性存储器、非易失性存储器、闪存、可移除盘、不可移除盘、逻辑电路、无线信号、通过电线载运的电信号、通过光纤载运的光信号等。
如下面将进一步描述的,接收到转交地址的端节点110向其归属代理200通知转交地址,以使得归属代理200利用端节点的转交地址将消息转发给端节点110。端节点110可以使用包含了转交地址的绑定更新消息来向归属代理200通知其转交地址。可与这里描述的技术一起使用的绑定更新消息的示例在RFC 3775中进行了描述。
在一个实施例中,响应于接收到绑定更新消息,归属代理200示意性地生成包含转交地址的通知消息并将其转发给其中间设备400,以向中间设备400通知端节点的转交地址。图7是可与这里描述的技术一起使用的通知消息700的框图。消息700包括消息头部字段720、归属地址字段730以及转交地址字段740。消息头部字段720保存可用来在网络100中转发消息700的信息。该信息示意性地包括用来将消息700导向中间设备400的目的地地址。注意,头部可以包含其它信息,例如将消息标识为通知消息的信息以及与归属代理200相关联的源地址。归属地址730和转交地址740字段分别保存与端节点110相关联的归属地址和转交地址。
同样,如将在下面进一步描述的,端节点110可以通过未在负责建立对端节点的通信的窃听的中间设备400的控制下的接入节点200来附接到网络100。然而,接入节点200可以受第二中间设备400的控制。为了建立对通信的窃听,第一中间设备400可以生成请求消息并将其转发给第二中间设备400,以使得第二中间设备400引导接入节点200建立窃听。
图8是可与这里描述的技术一起使用的请求消息800的框图。消息800包括消息头部字段820和转交地址字段830。消息头部字段820保存可用来经由网络100将消息800转发到第二中间设备400的信息。该信息示意性地包括用来将消息800导向第二中间设备400的目的地地址。注意,头部可以包括其它信息,例如将消息标识为请求消息的信息以及与第一中间设备400相关联的源地址。转交地址字段830保存与其通信被窃听的端节点110相关联的转交地址。
图9是根据这里描述的技术的一个实施例可以用来在通信网络中的第二节点(例如,接入节点200)处窃听与通信网络中的第一节点(例如,端节点110)相关联的通信的步骤序列的流程图。序列开始于步骤905并前进到步骤910,在步骤910中,接收到与第一节点相关联的转交地址。接收到的转交地址可以包含在从特定实体发送来的接收消息中。例如,转交地址可以包含在由第一节点发送来的绑定更新消息、由与第一节点相关联的归属代理发送来的通知消息,或由与第一节点相关联的中间节点发送来的请求消息中。在步骤920中,利用转交地址来识别第二节点。如下面将进一步描述的,可以根据与第二节点相关联的中间设备400的接入DB500中包含的信息来识别第二节点。在步骤930中,第二节点被引导来在第二节点处建立对与第一节点相关联的通信的窃听。如下面将进一步描述的,在这里描述的技术的一个实施例中,中间设备400可以通过转发例如请求接入节点建立窃听的包含MIB的消息,来引导在中间设备控制下的接入节点200建立对通信的窃听。在这里描述的技术的另一实施例中,第一中间设备可以通过将请求消息转发给第二中间设备以请求其引导接入节点建立窃听,来请求第二中间设备引导未受第一中间设备控制的接入节点建立窃听。该序列在步骤995处结束。
图10A-B是可用来在端节点110用来连接到网络100的接入节点200处窃听与通信网络100中的端节点110相关联的通信的步骤序列的流程图。序列开始于步骤1005,并且前进到步骤1010,在步骤1010中,端节点110经由接入节点200连接到通信网络,并且接收转交地址。在步骤1015,端节点110生成包含转交地址的绑定更新消息,并且将该绑定更新消息转发到端节点的归属代理200。在步骤1020,端节点的归属代理200接收绑定更新消息,生成包含转交地址的通知消息700,并且经由网络将通知消息700转发到与归属代理200相关联的第一中间设备400。在步骤1025,第一中间设备接收通知消息700,并且利用包含在其中的转交地址来识别端节点110通过其连接到网络100的接入节点200。
在步骤1030,第一中间设备400执行检查以判断所识别的接入节点200是否在第一中间设备400的控制下。如果在步骤1030中判定接入节点200在第一中间设备400的控制下,则序列前进到步骤1035,在步骤1035中,第一中间设备400引导接入节点200建立对与端节点110相关联的通信的窃听。如上面所提到的,可以利用MIB 434引导接入节点200建立窃听,如上所述。序列随后前进到步骤1040,其中,接入节点200建立窃听,生成与端节点110相关联的通信的拷贝,并且将拷贝转发给第一中间设备400。在步骤1045,第一中间设备400接收与端节点110相关联的通信的拷贝,并且将拷贝转发给LEA。序列在步骤1095处结束。
如果在步骤1030中第一中间设备400判定所识别接入节点200未在第一中间设备400的控制下,则序列前进到步骤1050(图10B),其中,第一中间设备400生成建立对与端节点110相关联的通信的窃听的请求。请求可以是请求消息800(例如在转交地址字段830中包含与端节点110相关联的转交地址的请求消息800)的形式。在步骤1055,第一中间设备400将请求转发给可以引导接入节点200建立窃听的第二中间设备400。
在步骤1060,第二中间设备400接收请求,并且响应于该请求,在步骤1065中引导接入设备200建立对与端节点110相关联的通信的窃听。第二中间设备400可以通过生成包含MIB 434的消息并将该消息转发给接入节点200来引导接入节点200建立窃听,如上所述。在步骤1070,接入节点200建立窃听,生成与端节点110相关联的通信的拷贝,并且将对通信的拷贝转发给第二中间设备400。第二中间设备400在步骤1075中接收对通信的拷贝,并且将拷贝转发给第一中间设备。序列随后前进到步骤1045。
例如,参考图1和图10A-B,在一个实施例中,接入节点200a和200b在中间设备200a的控制下,并且接入节点200c在中间设备400b的控制下,并且节点110b的归属代理是接入节点200a。现在假设将在接入节点200b处窃听与节点110b相关联的通信,并且窃听来的通信的拷贝将经由中间设备400a被转发给LEA节点170。
端节点110b经由接入节点200b接入网络100,并且接收转交地址(步骤1010)。端节点110b生成包含转交地址的绑定更新消息,并且将绑定更新消息转发给其归属代理,即接入节点200a(步骤1015)。接入节点200a接收绑定更新消息,并且对其进行处理,包括:生成针对节点110b的绑定缓存300中的条目305,并且将与端节点110b相关联的归属地址置于条目305的归属地址字段320中,以及将与端节点110相关联的转交地址置于条目305的转交地址字段330中,以在端节点的归属地址和转交地址之间建立关联性。另外,接入节点200a生成在归属地址字段730中包含归属地址并且在转交地址字段740中包含转交地址的通知消息700,初始化头部字段720以将中间设备400a指定为消息700的目的地,并且将通知消息700转发给中间设备400a(步骤1020)。
中间设备400a接收通知消息700并且利用包含在其中的转交地址来识别接入节点200b(步骤1025)。中间设备400a可以通过将转交地址与其接入节点数据库500的条目505中包含的地址范围信息相比较,来定位转交地址落在条目的地址范围520内的条目505,从而识别接入节点200b。假设发现相匹配的条目505标识了接入节点200b。
由于找到了相匹配条目505,因此,中间设备400a得出接入节点200b在中间设备的控制下的结论(步骤1030),并且进而引导接入节点200b建立对与端节点110相关联的通信的窃听(步骤1035),如上所述。接入节点200b建立窃听,生成对与端节点110相关联的通信的拷贝,并且将拷贝转发给中间设备400a(步骤1040)。中间设备400a接收对通信的拷贝并且将拷贝转发给LEA节点170(步骤1045)。
再次参考图1和图10A-B,在另一实施例中,节点110c的归属代理是接入节点200a,并且与节点110c相关联的通信在接入节点200c处被窃听。节点110c经由接入节点200c连接到网络100,并且接收转交地址(步骤1010)。节点110c生成包含转交地址的绑定更新消息,并且将该消息转发给其归属代理(即,接入节点200a),如上所述(步骤1015)。消息经由网络100传递到接入节点200a,接入节点200a接收该消息并对其进行处理。如上面所提到的,该处理可以包括更新其绑定缓存300,如上所述。另外,接入节点200a生成包含归属地址的通知消息700,并且将通知消息700转发到中间设备400a,如上所述(步骤1020)。
中间设备400a接收通知消息700(步骤1025),并且利用包含在其中的转交地址来判断接入节点200c是否在中间设备400a的控制下,如上所述(步骤1030)。如上面所提到的,由于接入节点200c未在中间设备400a的控制下,因此,中间设备400a搜索其中间设备DB 600来识别可以引导接入节点200c建立窃听的中间设备。具体地,中间设备400a在其DB 600中搜索包含地址范围620的条目605,地址范围620包括与端节点110c相关联的转交地址。假设找到了相匹配的条目605并且包含在相匹配条目605中的中间设备地址字段630包括中间设备400b的地址。
中间设备400a生成请求消息800,包括初始化消息的头部820以将中间设备400b指定为消息800的目的地,并且将与端节点110c相关联的转交地址置于消息的转交地址字段830中(步骤1050)。中间设备400a随后将请求消息800转发给中间设备400b(步骤1055)。
请求消息800被中间设备400b接收(步骤1060),并且响应于该消息800,中间设备400b引导接入节点200c建立对与端节点110c相关联的通信的窃听,如上所述(步骤1065)。接入节点200c建立窃听,生成去往以及来自端节点110c的通信的拷贝,并且将对通信的拷贝转发给中间设备400b(步骤1070)。中间设备400b接收对通信的拷贝并且将其转发给中间设备400a(步骤1075)。中间设备400a接收对通信的拷贝并且将其转发给LEA节点170(步骤1045)。
再一次地参考图1和图10A-B,在又一实施例中,中间设备400从由端节点发送的更新消息而非从通知消息接收与端节点110相关联的转交地址。这里,中间设备400引导端节点的归属代理200来窃听与端节点110相关联的通信。端节点110接收其转交地址,生成包含转交地址的绑定更新消息,并且将绑定更新消息转发给归属代理200。归属代理200接收绑定更新消息,并且由于窃听建立在归属代理200处,因此自动地生成对绑定更新消息的拷贝,并且将拷贝转发给中间设备400。中间设备400接收绑定更新消息的拷贝并且通过从消息中提取转交地址来接收转交地址。
虽然已参考特定实施例具体示出和描述了这里描述的技术,然而,本领域技术人员将会明白,在不脱离由所附权利要求包括的本发明的范围和精神的情况下,可以在其中对形式和细节进行改变。因此,前面描述的实施例不希望是限制性的。
Claims (20)
1.一种用于对漫游移动节点的数据的合法拦截的方法,包括:
接收包含与通信网络中的第一节点相关联的转交地址的消息,所述第一节点经由所述通信网络中的第二节点连接到所述通信网络;
利用所述转交地址识别所述第二节点;以及
引导所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听,
其中,引导还包括:
生成用于在所述第二节点处窃听与所述第一节点相关联的通信的第二消息;以及
将所述第二消息转发给所述第二节点以使所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听。
2.如权利要求1所述的方法,其中,所述第一节点是端节点。
3.如权利要求1所述的方法,其中,所述第二节点是接入节点。
4.如权利要求1所述的方法,其中,所述消息是由所述第一节点发送的。
5.如权利要求4所述的方法,其中,所述消息是绑定更新消息。
6.如权利要求1所述的方法,其中,所述消息是由与所述第一节点相关联的归属代理发送的通知消息。
7.如权利要求1所述的方法,其中,识别还包括:
比较所述转交地址和与所述第二节点相关联的地址范围,以判断所述转交地址是否落在所述地址范围内。
8.如权利要求7所述的方法,其中,所述地址范围包含在数据结构所包含的与所述第二节点相关联的条目中。
9.如权利要求1所述的方法,其中,所述第二消息包含被配置来引导所述第二节点建立所述窃听的管理信息库MIB。
10.一种用于对漫游移动节点的数据的合法拦截的方法,包括:
接收包含与通信网络中的第一节点相关联的转交地址的消息,所述第一节点经由所述通信网络中的第二节点连接到所述通信网络;
利用所述转交地址识别所述第二节点;以及
引导所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听,
其中,引导还包括:
生成用于请求所述通信网络中的第三节点引导所述第二节点建立所述窃听的请求消息;以及
将所述请求消息转发给所述第三节点。
11.如权利要求10所述的方法,其中,所述请求消息包含转交地址。
12.如权利要求10所述的方法,其中,所述第三节点是对所述第二节点进行控制的中间设备。
13.一种用于对漫游移动节点的数据的合法拦截的装置,包括:
网络接口,被配置来接收包含与通信网络中的第一节点相关联的转交地址的消息,所述第一节点经由所述通信网络中的第二节点连接到所述通信网络;以及
处理器,被配置来:
利用所述转交地址识别所述第二节点,以及
引导所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听,
其中,所述处理器还被配置来:
生成用于在所述第二节点处窃听与所述第一节点相关联的通信的第二消息,以及
将所述第二消息转发给所述第二节点以使所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听。
14.如权利要求13所述的装置,其中,所述消息是由所述第一节点发送的。
15.如权利要求14所述的装置,其中,所述消息是绑定更新消息。
16.如权利要求13所述的装置,其中,所述消息是由与所述第一节点相关联的归属代理发送的通知消息。
17.如权利要求13所述的装置,其中,所述第二消息包含被配置来引导所述第二节点建立窃听的管理信息库MIB。
18.一种用于对漫游移动节点的数据的合法拦截的装置,包括:
网络接口,被配置来接收包含与通信网络中的第一节点相关联的转交地址的消息,所述第一节点经由所述通信网络中的第二节点连接到所述通信网络;以及
处理器,被配置来:
利用所述转交地址识别所述第二节点,以及
引导所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听,
其中,所述处理器还被配置来:
生成用于请求所述通信网络中的第三节点引导所述第二节点建立窃听的请求消息,以及
将所述请求消息转发给所述第三节点。
19.一种用于对漫游移动节点的数据的合法拦截的装置,包括:
用于接收包含与通信网络中的第一节点相关联的转交地址的消息的装置,所述第一节点经由所述通信网络中的第二节点连接到所述通信网络;
用于利用所述转交地址识别所述第二节点的装置;以及
用于引导所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听的装置,
其中,用于引导的装置还包括:
用于生成用于在所述第二节点处窃听与所述第一节点相关联的通信的第二消息的装置;以及
用于将所述第二消息转发给所述第二节点以使所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听的装置。
20.一种用于对漫游移动节点的数据的合法拦截的装置,包括:
用于接收包含与通信网络中的第一节点相关联的转交地址的消息的装置,所述第一节点经由所述通信网络中的第二节点连接到所述通信网络;
用于利用所述转交地址识别所述第二节点的装置;以及
用于引导所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听的装置,
其中,用于引导的装置还包括:
用于生成用于请求所述通信网络中的第三节点引导所述第二节点建立窃听的请求消息的装置;以及
用于将所述请求消息转发给所述第三节点的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/765,094 US8862095B2 (en) | 2007-06-19 | 2007-06-19 | Managing mobile nodes in a lawful intercept architecture |
| US11/765,094 | 2007-06-19 | ||
| PCT/US2008/066810 WO2008157274A2 (en) | 2007-06-19 | 2008-06-13 | Lawful interception of data of a roaming mobile node |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101690087A CN101690087A (zh) | 2010-03-31 |
| CN101690087B true CN101690087B (zh) | 2013-08-14 |
Family
ID=40136413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008800208568A Active CN101690087B (zh) | 2007-06-19 | 2008-06-13 | 对漫游移动节点的数据的合法拦截 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8862095B2 (zh) |
| EP (1) | EP2165502B1 (zh) |
| CN (1) | CN101690087B (zh) |
| WO (1) | WO2008157274A2 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090041011A1 (en) * | 2007-04-03 | 2009-02-12 | Scott Sheppard | Lawful Interception of Broadband Data Traffic |
| US7978620B2 (en) * | 2007-05-14 | 2011-07-12 | Cisco Technology, Inc. | Dynamically troubleshooting voice quality |
| US7975046B2 (en) * | 2008-04-03 | 2011-07-05 | AT&T Intellectual Property I, LLP | Verifying a lawful interception system |
| US8200809B2 (en) * | 2008-04-03 | 2012-06-12 | At&T Intellectual Property I, L.P. | Traffic analysis for a lawful interception system |
| US8792505B2 (en) * | 2008-07-24 | 2014-07-29 | Telefonaktiebolaget L M Ericsson (Publ) | Lawful interception for targets in a proxy mobile internet protocol network |
| US8756339B2 (en) * | 2010-06-18 | 2014-06-17 | At&T Intellectual Property I, L.P. | IP traffic redirection for purposes of lawful intercept |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1277771A (zh) * | 1997-09-26 | 2000-12-20 | 诺基亚网络有限公司 | 电信网的合法截听 |
| CN1706159A (zh) * | 2002-10-18 | 2005-12-07 | 松下电器产业株式会社 | 用于全球网络中的漫游连接的方法和装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7136359B1 (en) * | 1997-07-31 | 2006-11-14 | Cisco Technology, Inc. | Method and apparatus for transparently proxying a connection |
| US6894994B1 (en) * | 1997-11-03 | 2005-05-17 | Qualcomm Incorporated | High data rate wireless packet data communications system |
| US6650632B1 (en) * | 1998-06-30 | 2003-11-18 | Cisco Technology, Inc. | Feature transparency in a telecommunications network |
| US6470453B1 (en) * | 1998-09-17 | 2002-10-22 | Cisco Technology, Inc. | Validating connections to a network system |
| US6412007B1 (en) * | 1999-01-14 | 2002-06-25 | Cisco Technology, Inc. | Mechanism for authorizing a data communication session between a client and a server |
| US6442608B1 (en) * | 1999-01-14 | 2002-08-27 | Cisco Technology, Inc. | Distributed database system with authoritative node |
| US6715082B1 (en) * | 1999-01-14 | 2004-03-30 | Cisco Technology, Inc. | Security server token caching |
| US6412077B1 (en) * | 1999-01-14 | 2002-06-25 | Cisco Technology, Inc. | Disconnect policy for distributed computing systems |
| US6400813B1 (en) * | 1999-10-25 | 2002-06-04 | Inrange Technologies, Inc. | Mediation system for a telephone network |
| US7136373B2 (en) * | 2000-06-30 | 2006-11-14 | Cisco Technology, Inc. | Interception call signaling method and apparatus between a gatekeeper and an intelligent peripheral in a voice frame network |
| US7225270B2 (en) * | 2000-10-17 | 2007-05-29 | Cisco Technology, Inc. | Selective diversion and injection of communication traffic |
| US7046663B1 (en) * | 2001-08-17 | 2006-05-16 | Cisco Technology, Inc. | System and method for intercepting packets in a pipeline network processor |
| CN101222733B (zh) * | 2001-12-21 | 2010-12-22 | 诺基亚公司 | 截取与在受访plmn(vplmn)内漫游的移动用户的呼叫连接 |
| ES2271294T3 (es) | 2002-07-19 | 2007-04-16 | Nokia Corporation | Metodo para informar a un sistema de interceptacion ligal sobre el sistema de servicio que presta servicio a un objetivo interceptado. |
| US7161947B1 (en) * | 2002-07-30 | 2007-01-09 | Cisco Technology, Inc. | Methods and apparatus for intercepting control and data connections |
| US7069338B2 (en) * | 2003-11-26 | 2006-06-27 | Motorola, Inc. | Regional registration for a mobile IP enabled system |
-
2007
- 2007-06-19 US US11/765,094 patent/US8862095B2/en active Active
-
2008
- 2008-06-13 CN CN2008800208568A patent/CN101690087B/zh active Active
- 2008-06-13 EP EP08770922.6A patent/EP2165502B1/en active Active
- 2008-06-13 WO PCT/US2008/066810 patent/WO2008157274A2/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1277771A (zh) * | 1997-09-26 | 2000-12-20 | 诺基亚网络有限公司 | 电信网的合法截听 |
| CN1706159A (zh) * | 2002-10-18 | 2005-12-07 | 松下电器产业株式会社 | 用于全球网络中的漫游连接的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080317019A1 (en) | 2008-12-25 |
| US8862095B2 (en) | 2014-10-14 |
| CN101690087A (zh) | 2010-03-31 |
| WO2008157274A2 (en) | 2008-12-24 |
| WO2008157274A3 (en) | 2009-06-04 |
| EP2165502A2 (en) | 2010-03-24 |
| EP2165502B1 (en) | 2018-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6765892B1 (en) | Optimizing IP multicast data transmission in a mobile IP environment | |
| US7860094B2 (en) | Multicast routing method and apparatus for routing multicast packet | |
| CN100435515C (zh) | 在通信网络中不同的多点传送协议之间转换请求的系统和方法 | |
| CA2611146C (en) | Method for data communication and system thereof | |
| US20040264463A1 (en) | Method, apparatus and system for distributing multicast data | |
| CN101690087B (zh) | 对漫游移动节点的数据的合法拦截 | |
| CN101553796B (zh) | 用于重定向请求的系统和方法 | |
| CN101335637A (zh) | 一种组播控制的方法及装置 | |
| CN102546407A (zh) | 报文发送方法及装置 | |
| CN102710495B (zh) | 一种监控网络用户主机建立路由信息的方法及装置 | |
| CN102201996A (zh) | 网络地址转换环境中报文转发的方法及设备 | |
| CN104734877A (zh) | 一种获取配置服务器信息的方法、装置及系统 | |
| CN105100300B (zh) | 网络地址转换nat的方法及装置 | |
| EP1343274B1 (en) | Communications system and communications method for transmitting data via a plurality of access points | |
| EP1259026A1 (en) | Method and device for managing mobile nodes | |
| CZ302539B6 (cs) | Zpusob provádení kontrolních opatrení v paketove orientovaných telekomunikacních a datových sítích | |
| CN103517262B (zh) | 一种数据交换的方法、接入路由器及位置管理服务器 | |
| US10735316B2 (en) | Receiver directed anonymization of identifier flows in identity enabled networks | |
| US8036218B2 (en) | Technique for achieving connectivity between telecommunication stations | |
| CN104427553A (zh) | 一种组播组优化方法及锚点 | |
| CN102447700A (zh) | 基于身份与位置分离映射机制的DoS攻击防御方法 | |
| CN110474984B (zh) | 一种物联网通信网络系统 | |
| JP3946149B2 (ja) | 通信システム、中継転送サーバ及び通信方法 | |
| CN117811995A (zh) | 用于确定节点的方法及装置 | |
| WO2007013628A1 (ja) | データユニット転送装置及び位置情報管理装置並びにアドレス配布装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |