JP5763267B2 - エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 - Google Patents

エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 Download PDF

Info

Publication number
JP5763267B2
JP5763267B2 JP2014510350A JP2014510350A JP5763267B2 JP 5763267 B2 JP5763267 B2 JP 5763267B2 JP 2014510350 A JP2014510350 A JP 2014510350A JP 2014510350 A JP2014510350 A JP 2014510350A JP 5763267 B2 JP5763267 B2 JP 5763267B2
Authority
JP
Japan
Prior art keywords
computing device
packet
packets
lis
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014510350A
Other languages
English (en)
Other versions
JP2014519256A (ja
Inventor
ヘツク,ジヨン・フレデリツク
サンダラム,ガナパテイー・エス
バーニー,ダグラス・ウイリアム
Original Assignee
アルカテル−ルーセント
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アルカテル−ルーセント filed Critical アルカテル−ルーセント
Publication of JP2014519256A publication Critical patent/JP2014519256A/ja
Application granted granted Critical
Publication of JP5763267B2 publication Critical patent/JP5763267B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本願は、2011年5月11日に出願され、「Lawful Intercept in IMS System with End−to−End Encryption」という名称の第61/484,897号として認定された米国仮特許出願に基づく優先権を主張し、その開示を全体として本明細書に引用により組み込む。
実施形態は、概して通信セキュリティに関し、より詳細には、エンドツーエンド暗号化を用いる通信環境における情報の合法的傍受のための技術に関する。
インターネットプロトコル(IP)通信および電話システムが、広く一般に採用されている。2つのクライアント間のエンドツーエンドIP通信の最初の例の1つに、インスタントメッセージングがあったが、この後すぐにボイスオーバIPが続き、現在では多くのプロバイダ(例えば、ネットワーク事業者およびアプリケーションプロバイダ)がエンドツーエンドのビデオオーバIPを提供している。しかしながら、こうした傾向は主として、ワイヤレスモバイルネットワークアクセスが狭帯域の回線交換アクセス網により支配されてきたという状況から、有線の固定ネットワークに限定されていた。しかしながら、最近の広帯域4G(第4世代)ワイヤレスネットワークの配備は、アクセスタイプによらず、エンドツーエンドに、IP通信によるあらゆる形式のマルチメディアに対して準備を整えている。
エンドツーエンドのIPセッションへの移行に伴い、市場は、こうしたオープンIPネットワークをめぐるセキュリティおよびプライバシーに対する関心ならびに意識の復活を示している。第1のステップとして、エンドツーエンド暗号化および認証が、広く注目されつつあるパラダイムである。商取引を含む最近のインターネット取引および企業イントラネットのアクセスは、現在10年間にわたってエンドツーエンドでセキュリティ保護されているが、IPによる会話型アプリケーションをセキュリティ保護することは、大部分がアプリケーションプロバイダに任せられている。
インターネットプロトコル(IP)マルチメディアサブシステム(IMS)を使用するようなオールIPネットワークの出現とともに、音声、映像、およびメッセージングサービスを提供するネットワーク事業者またはその他が、エンドツーエンドのセキュリティを提供することがますます必要となっている。例えば、ディフィー−ヘルマン(Diffie−Hellman)に基づく鍵交換を用いて、2つの通信エンドポイント間でエンドツーエンド暗号化セッションを行うことが可能であり、たとえ別の当事者がこの2つのエンドポイント間のすべての通信(ベアラフロー)を取得できたとしても、この当事者は依然としてベアラフローを復号することはできないようにする。
しかしながら、セキュリティアソシエーション(security associations)の合法的または適法の傍受および発見を支援する要求に従うことができる必要があることが知られている。例えば、このようなセキュリティアソシエーションの適法の傍受および発見は、法執行の目的で、または単に法執行ではないある目的で、必要である可能性があり、それによって、当事者および/またはデバイス間で送信される暗号化された情報を容易に復号できることが必要である、または望ましい。
IETF RFC 6267 IETF RFC 3261 IETF RFC 2327 IETF RFC 3711
例示の実施形態は、エンドツーエンド暗号化を用いた通信環境において情報を合法的に傍受するための技術を提供する。
例えば、1つの例示的実施形態では、通信ネットワークにおいて第1のコンピューティングデバイスと第2のコンピューティングデバイスとの間で交換される暗号化された通信を傍受するための方法では、傍受は通信ネットワーク中の第3のコンピューティングデバイスによって行われ、この方法は次のステップを含む。第3のコンピューティングデバイスは、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つと関連するパケットアドレスを有する1つまたは複数のパケットを取得する。1つまたは複数のパケットは、通信ネットワーク中の少なくとも1つの要素で実施されている少なくとも1つの傍受ルーティングポリシーに応じて、第3のコンピューティングデバイスによって取得され、1つまたは複数の取得されたパケットは、そこに含まれるデータを取得するために復号することができる。第3のコンピューティングデバイスは、取得されたパケットの1つまたは複数のパケットアドレスを保存する。第3のコンピューティングデバイスは、この1つまたは複数のパケットを、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちのパケットの宛先のコンピューティングデバイスに転送し、したがって第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちのパケットの宛先のコンピューティングデバイスは、この1つまたは複数のパケットが第3のコンピューティングデバイスによって傍受されたことを、1つまたは複数のパケットから検出することができない。
有利には、第3のコンピューティングデバイスは、通信ネットワーク中の少なくとも1つの要素において少なくとも1つの傍受ルーティングポリシーを実施し、監視下で1つまたは複数のパケットのパケットアドレスを保存する結果として、監視下でパケットを透過的に傍受することができる。第3のコンピューティングデバイスがポリシー有効ネットワーク要素に対してローカルであるシナリオ、および第3のコンピューティングデバイスがポリシー有効ネットワーク要素のリモートであるシナリオについて、様々な例示の実施形態を提供する。
これらのおよびその他の目的、特徴、ならびに利点は、添付の図面と併せて読まれる例示的実施形態の次の詳細な説明から明らかになるであろう。
鍵ネゴシエーションにMIKEY−IBAKEプロトコルを使用するネットワークにおける通信のエンドツーエンドセキュリティを示す図である。 通信のエンドツーエンドセキュリティを用いるネットワークにおける合法的傍受への例示的手法を示す図である。 通信のエンドツーエンドセキュリティを用いるネットワークにおけるセッションボーダコントローラを用いた合法的傍受への例示的手法を示す図である。 本発明の第1の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。 本発明の第2の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。 本発明の第3の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。 本発明の第4の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。 本発明の第5の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。 本発明の第6の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。 本発明の第7の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。 本発明の第8の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。 本発明の実施形態による方法およびプロトコルの1つまたは複数を実施するのに好適なデータネットワークおよび通信(コンピューティング)デバイスの汎用ハードウェアアーキテクチャを示す図である。
本明細書で使用する「マルチメディア通信システム」という語句は、一般的に、メディアプレーンを通じて、これらに限定されないが、テキストベースのデータ、グラフィックベースのデータ、音声ベースのデータ、およびビデオベースのデータを含む、1つまたは複数のタイプのメディアを伝送することができる任意の通信システムと定義される。
本明細書で使用する「メディアプレーン」という語句は、一般的に、呼セッションにおいて1つまたは複数のタイプのメディアを2人以上の当事者の間で交換する基準となる、マルチメディア通信システムの機能部分として定義される。これは、呼セッションを確立するために呼のネゴシエーション/スケジューリングを行う基準となる、マルチメディア通信システムの機能部分である「制御プレーン」と対照をなしている。併せて発明の技術を使用することができるメディアプレーンの利用例には、ボイスオーバIP(VoIP)、インスタントメッセージング(IM)、ビデオ/音声IM、ビデオ共有、およびビデオオーバIPが含まれるが、これらに限定されない。メディアプレーンは、アプリケーション層のトラフィックを含むことがわかる。しかしながら、本明細書に記載する合法的セキュリティアソシエーションの発見技術は、通信システムのいかなるプレーンまたはレイヤにも適用することができる。
本明細書で使用する「鍵」という用語は、一般的に、例えばエンティティの認証、プライバシー、メッセージの完全性などのような、ただしこれらに限定されない、暗号プロトコルへの入力と定義する。
本明細書で使用する「セキュリティアソシエーション」という語句は、2人以上の当事者および/またはデバイスが通信する通信環境におけるセキュリティの定義を指す。1つの例では、セキュリティの定義は、セッションキーを含むことができるが、これに限定されない。
本明細書で使用する「クライアント」は、一般的には、1人もしくは複数のユーザ、当事者、またはエンティティが、別のクライアントのような、1人もしくは複数の他の通信デバイスまたは他のコンピューティングシステムとの通信環境において通信できるようにする通信デバイスまたはその他のコンピューティングシステムもしくはデバイスを指すことができる。本明細書で使用する「クライアント」はまた、一般的には、コンピューティングデバイス上のアプリケーションまたは他のコンピュータプログラムを指すこともできる。したがって、クライアントという用語は、以下ではデバイスと呼ぶことがあるが、クライアントという用語はハードウェアに限定されず、ソフトウェア、またはその組合せである可能性があることを理解されたい。
本明細書で使用する「通信セッション」は、一般的には、2つのデバイス間の通信のために、少なくとも2つの通信デバイスまたは他のコンピューティングシステム(例えば、クライアント)間の接続を指す。したがって、本明細書で使用する「エンドツーエンド」(EtE)通信セッションは、一般的には、一方のデバイス(例えば、クライアント)から他方のデバイス(例えば、クライアント)への接続経路全体を指す。また、通信セッションに参加している2人以上のクライアントは、「エンドポイントのデバイス」または単に「エンドポイント」と呼ぶこともできる。しかしながら、「エンドポイント」という用語は、クライアントデバイス以外のあるネットワーク中の要素とすることができることを理解されたい。例えば、呼がPSTNへ行くとき、レガシー電話は、通常エンドツーエンド暗号化に対応していないため、暗号化はゲートウェイ要素で終了されなければならない場合がある。実際には、ゲートウェイは、別のネットワーク上にある可能性がある。しかしやはり、クライアントのエンドポイントとゲートウェイのエンドポイントとの間のこのEtE通信について検討する。したがって、本明細書に記載する合法的セキュリティアソシエーションの発見技術は、クライアントだけでなく、いかなるコンピューティングデバイスまたは通信デバイスにも適用することができる。
本明細書で使用する「アプリケーション」(または「アプリケーションプログラム」)は、一般的には、実行されると1つまたは複数の所与の機能を行う1つまたは複数のコンピュータプログラムを指す。
本明細書で使用する「合法的な」(または「適法の」)という用語は、一般的には、公的または私的権威エンティティと関連する1つまたは複数の順守要件または指針を満たしていると定義する。このような権威エンティティは、法執行機能または非法執行機能を提供することができる。すなわち、合法的(適法の)という用語は、法執行に限定されるよう意図しておらず、法執行でない意味の順守を含むこともできる。
例えば、企業は、情報技術(IT)の記録保存および様々なアプリケーションに関連する取引の詳細に関する様々な順守要件を有すると理解される。また、通信アプリケーションは、コンバージェンスの結果、アプリケーションのこのポートフォリオの増加部分になりつつあり、EtE暗号化の場合には、鍵を取得するための透過的な方式が必要であることが理解される。また、ますます多くの会話が呼センタによって記録されており、しばしば会話が記録されていると告げられるものの、すべての会話が記録されているわけではない。このことがEtEと結び付けられて(エンドポイントが一般的に異なるネットワークにあって、物理的に2つの異なる国にある可能性があるという事情によって)、透過的な方式で「選択的に傍受する」機能を提供することが重要になる。これは法的要件ではないが、ますます重要になりつつある。
本発明の実施形態について、本明細書ではIMSおよびLTEのような例示のネットワーク環境の背景で説明する。しかしながら、本発明の実施形態は、このようなネットワークに限定されず、他の通信システムにおいて実施できることを理解されたい。すなわち、本発明の実施形態は、通信のエンドポイントによって事実上検出できない方法で合法的傍受(発見)を行うことができる必要のある、エンドツーエンドの鍵生成およびその後の通信の暗号化を用いるいかなる好適な通信ネットワークにも適用できる。
上述のように、IMSネットワークのようなネットワークにおいて、エンドツーエンド暗号化セッションを、たとえある当事者が2つのエンドポイント間の通信をすべて読み取ることができたとしても、依然としてベアラフローを容易に復号できないように作成できることが知られている。この目的を達成するセキュリティアソシエーション生成プロトコルの一例が、2011年6月の日付でインターネットエンジニアリングタスクフォース(Internet Engineering Task Force、IETF)RFC 6267に記載されているMIKEY−IBAKE(Multimedia Internet KEYing − Identity Based Authentication Key Exchange)プロトコルであり、その開示内容は本明細書に引用により組み込まれる。
MIKEY−IBAKEプロトコルは、信頼できる鍵管理サービスに依存する、MIKEYプロトコルのフレームワークを使用した鍵管理プロトコルの変形である。詳細には、この変形は、参加クライアントが相互認証を行って、非対称アイデンティティに基づく暗号化フレームワークでセッションキーを派生させることができるようにするIBAKE鍵交換フレームワークを使用する。このフレームワークは、相互認証を提供することに加えて、アイデンティティベースの暗号化によくある鍵預託問題を解消し、過去情報および未来情報の完全な秘匿(perfect forward and backwards secrecy)を提供する。
図1は、MIKEY−IBAKEプロトコルによるIMSネットワークにおける通信のエンドツーエンドのセキュリティを示す。全体的に示すように、第1のエンドポイント(コンピューティングデバイス)102−A(「Alice」と示す)が、上記のMIKEY−IBAKEプロトコルを使用するIMSネットワーク104を通じて第2のエンドポイント(コンピューティングデバイス)102−B(「Bob」と示す)とセッションキーの生成をネゴシエートする。知られているように、MIKEY−IBAKEの鍵生成は、IETF RFC 3261に記載されるセッション開始プロトコル(SIP)の一部である、IETF RFC 2327に記載されるセッション記述プロトコル(SDP)を使用して実行され、これらの開示内容は、本明細書に全体として引用により組み込まれる。
MIKEY−IBAKEプロトコルを使用してセッションキーが確立されると、エンドポイント102−Aとエンドポイント102−Bとの間でIMSネットワーク104にわたって暗号化された通信を交換することができる。知られているように、このような通信(例えば、セキュリティ保護されるアプリケーションが音声であるとき、音声ベアラフローまたは音声ベアラと呼ばれる)は、IETF RFC 3711に記載されるセキュアリアルタイム転送プロトコル(SRTP)に従って交換することができ、その開示内容は、本明細書に全体として引用により組み込まれる。
図1に示すアーキテクチャのタイプの通信の合法的傍受を提供する1つの方法は、各エンドポイントになりすます能力を有する合法的傍受サーバ(LIS)を導入することであり、したがってエンドポイントのそれぞれが、他方のエンドポイントとシグナリングおよび通信していると信じているが、実際にはその相手はLISである。このような傍受手法では、2つのセキュリティアソシエーション、すなわちエンドポイント102−AとLISとの間の第1のセキュリティアソシエーション(セキュリティアソシエーション1)、およびエンドポイント102−BとLISとの間の第2のセキュリティアソシエーション(セキュリティアソシエーション2)が確立される。
図2は、IMSネットワーク104中のLISがエンドポイント102−Aとエンドポイント102−Bとの間に置かれた例示的手法を示している。これは、LISが中間者(man−in−the−middle、MITM)として働いている1つの例示的手法であることを理解されたい。図2中のLISは、LISシグナリング要素202とLISベアラ要素204との間で分割されて示されていることに注意されたい。
図のように、(LISのうちの)LISシグナリング要素202は、エンドポイント102−Aおよびエンドポイント102−Bと、それぞれセキュリティアソシエーション1およびセキュリティアソシエーション2を確立する。これは、上記のMIKEY−IBAKEプロトコルを使用して行うことができる。次に、この2つのセキュリティアソシエーションと関連する暗号化された通信が、(LISの)LISベアラ要素204を通過する。このような暗号化された通信は、SRTPによって交換される。LISは、入ってくるメッセージを復号し、その内容を傍受し、その後メッセージを暗号化して、これをその宛先に送信することができる。例えば、メッセージがエンドポイント102−Aによって暗号化されると仮定すると、ベアラ要素204はセキュリティアソシエーション1を認識するメッセージを受信して復号し、内容を読み取り、その後セキュリティアソシエーション2を認識するメッセージを暗号化して、これをエンドポイント102−Bに送信する。
残念ながら、図2に示す合法的傍受のためのこの例のLIS手法では、エンドポイントはその通信セッションの間にLIS202/204が存在することを検出する可能性がある。エンドポイント102−Aは、エンドポイント102−Bから直接来るはずであるベアラのトラフィックが、実際にはポイントA(LIS)から来ていることを容易に検出する。エンドポイント102−Bは、ポイントB(やはりLIS)に対して同じ状況を容易に検出する。
図3は、図2の基本的手法の検出可能性の問題を克服することを目的とするセッションボーダコントローラを用いた合法的傍受の手法を示している。LIS要素の存在を隠すことができるように、セッションボーダコントローラ(SBC)を、図3に示すようにIMSネットワーク104のそれぞれのエッジに導入する。すなわち、SBC302がエンドポイント102−AとLIS202/204との間に置かれて示され、SBC304がエンドポイント102−BとLIS202/204との間に置かれて示されている。例えば、SBC302を導入した結果として、エンドポイント102−Aが受信するすべてのトラフィックがSBC302(ポイントA’)を通過するようになる。したがって、LISはSBCの後方に隠れているので、LIS202/204を導入することによりインターネットプロトコル(IP)アドレスを変更することはない。エンドポイント102−Bに対して同様に(ポイントB’を通して)、SBC304がLISを隠す。
SBCをIMSネットワークに導入することは有効である。しかしながら、これには欠点がある。SBCに基づく解決法の欠点は、資本および運用費用の観点からIMSネットワークの事業者にかなりの費用がかかることである。多くの場合、IMSネットワーク内の主要な費用項目は、SBC要素である。
こうした欠点およびその他の欠点を克服するために、本発明の例示の実施形態は、1つもしくは複数の制御ネットワークルータまたはスイッチ、他のネットワークデバイスおよび/または要素に、それぞれ対象のエンドポイントのそれぞれから出るベアラフローをLISにリダイレクトするように命令することを提供する。これは、一般的には、こうしたネットワークルータもしくはスイッチ、他のネットワークデバイスおよび/または要素の1つまたは複数において、監督下の対象のインターネットプロトコル(IP)アドレスおよび(1つもしくは複数の)割り当てられたポートへの/からのトラフィックをLISへルーティングするよう、デバイス/要素に命令する1つまたは複数のルーティングポリシー(1つまたは複数の「合法的傍受ルーティングポリシー」)を実施することによって実現される。有利には、これは、(1つまたは複数の)対象のエンドポイントによる実際の検出から、合法的傍受の目的で使用されるアクティブLIS要素の存在を隠す。
本発明の例示の実施形態は、例えば、LISがルーティングデバイス/要素と共に(例えばローカルエリアネットワークに)配置されるシナリオ、およびLISがルーティングデバイス/要素から離れて(例えば通信ネットワークまたは別のネットワークの他の場所に)存在するシナリオにおいて、監督下の(1つまたは複数の)対象(エンドポイント)および通信ネットワーク自体に、LISを検出できないようにする多種多様な方法を構想する。
図4は、LIS(すなわち、LISシグナリング要素202およびLISベアラ要素204)が、同じローカルエリアネットワーク(LAN)で、合法的傍受ルーティングポリシーを管理しているルーティングデバイス/要素と接続される例示的場合を示している。図のように、LIS202/204は、ルータ402およびイーサネット(登録商標)スイッチ403と共に(「オフィス」401にある)共通のLANに配置されていると仮定する。この実施形態では、イーサネットスイッチ403は、エンドポイント102−AのIPアドレスおよび(1つまたは複数の)割り当てられたポートへの/からのトラフィックをLIS202/204へルーティングするポリシーを管理している。オフィス401は、ルータ406に接続されたシグナリングネットワーク404に接続されていることに注意する。ルータ406は、エンドポイント102−Bに接続されている。この例では「Alice」が監督下の対象であると仮定するが、LISは、「Bob」のトラフィックを合法的に傍受するためにルータ406と共に配置されることも可能である。イーサネットスイッチは、合法的傍受ルーティングポリシーを管理することができるネットワークデバイス/要素の一例にすぎないことも理解されたい。有利には、ネットワークデバイス/要素の少なくとも1つに合法的傍受ルーティングポリシーを導入すると、LISシグナリングおよびベアラ要素の存在は、モバイルインフラストラクチャの残りの部分に透過的にされる。
図5は、関連ネットワーク要素がすべてローカルエリアネットワーク(LAN)の一部である別の例を示す。図は、図4に示す「オフィス」401のLANとすることができるLAN501を示す。LAN501は、(その地域のすべてのベアラパケットおよびシグナリングパケットを処理する)モバイルゲートウェイ504とともにレイヤ2/3スイッチ502を含んでいる。「レイヤ2/3」は、レイヤ2が「データリンク層」であり、レイヤ3が「ネットワーク層」である、開放型システム間相互接続(OSI)モデルを指すことは知られている。したがって、レイヤ2/3スイッチは、これらの2つのレイヤで動作するデータパケットスイッチである。
この設定では、LISシグナリングおよびベアラエンティティ202/204は、次に同じLANに(例えば同じスイッチ上の別のポートに)接続することができ、監督下のすべてのパケットは、その後、スイッチの転送(またはルーティング)テーブルを変更することによって、適切なLISネットワーク要素に転送されることになる。転送テーブルの変更は、この特定の実施形態において、合法的傍受のルーティングポリシーの実施を構成する。例えば、Alice(エンドポイント102−A)が監視下にあると仮定し、Aliceはモバイルゲートウェイ504でアンカーされると考える。通常の環境下では、ゲートウェイ504でアンカーされるすべてのユーザのすべてのパケットが、そのゲートウェイを通過することになる。モバイルゲートウェイ504は、LAN501の一部であって、モバイルゲートウェイはレイヤ2/3スイッチ502のポートに物理的に接続されている。ゆえに、ゲートウェイ504へのパケットおよびゲートウェイ504からのパケットもまた、スイッチ502を通過することになる。スイッチ502が合法的傍受ルーティングポリシー有効スイッチである(すなわち、本発明の一実施形態に従った合法的傍受ルーティングポリシーが実装され、管理されている)、およびAliceは監視下にあると仮定すると、これにより、AliceへのパケットおよびAliceからのパケット、すなわちモバイルゲートウェイとネットワークの残りの部分との間のパケットは、LIS202/204を通るように強制されることになる。
あるいは、このようなポリシーは、少なくとも部分的にLISインフラストラクチャ202/204に組み込むこともできる。この実施形態では、レイヤ2/3スイッチの転送テーブルを再構成することによって、ゲートウェイ504を出入りするすべてのパケットを、LISインフラストラクチャを通るように強制することができる。しかしながら、LISインフラストラクチャのポリシーエンジンは、その後、所与のパケットを調べるかどうかを決定する。当然ながら、さらなる代替的実施形態では、LIS機能自体(シグナリングおよびベアラ要素の機能)が、レイヤ2/3スイッチが実装された同じコンピューティングデバイスに実装されることも可能であり、この場合は、ルーティングポリシーは、LIS自体に完全に実装されるとみなされる。
対象のパケットを受信すると、LISはパケットをコピーした後に、これをパケットの宛先(この例ではBob)に転送する。LISは、その後(暗号鍵の知識を用いて)コピーされたパケットを復号することができる、またはLISは、コピーされたパケットを復号のための別のエンティティ、例えば法執行機関に、転送することができる。
LISは、パケットのヘッダ情報、具体的にはパケットの送信元IPアドレスおよび宛先IPアドレス(ただしこれらに限定されない)を保存し、したがって転送されるパケットが宛先にはLISからではなく送信元から来たように見えることにも注意する。これは、LISによって行うことができ、LISは、元のパケットのヘッダ情報の保存を確実にする論理(ハードウェア、ソフトウェア、および/またはその組合せ)を含むアプリケーション層で動作することが好ましい。
したがって、LISがエンドポイント102−Aからのパケットを復号する実施形態を仮定すると、LISは、復号されたパケットのコピーを作成し、(リアルタイムで)このコピーを法執行機関に転送し、元のパケットを再暗号化して、これを宛先エンドポイント102−Bに送信する。LISは、元のパケットのヘッダ(IPアドレス、TCPポートなど)を保存しながら、この処理を行う。あるいは、LISが、鍵交換においてエンドポイント102−Aによって使用された擬似乱数を(PRG生成器を使用して)再形成し、したがってパケットを暗号化するためにエンドポイント102−Aおよび102−Bによって使用されるセッションキーを決定することができる実施形態を仮定する。この手法では、LISは、エンドポイント102−Aからの暗号化されたパケットのコピーを作成し、このコピーを鍵と共に法執行機関に送信することができる。LISは、元のパケットをそのままエンドポイント102−Bに転送する(やはり、IP送信元アドレスおよび他のヘッダ情報が有利には保存されることに注意する)。
有利には、LISインフラストラクチャの存在は、ネットワークインフラストラクチャの残部、具体的にはエンドポイント102−Aおよび102−B(ただしこれらに限定されない)には透過的である。さらに、エンドポイント102−Aへのパケットおよびエンドポイント102−Aからのパケットは、これらがLISネットワーク要素を通して転送されたことをエンドポイントが知ることなく、適切なデバイス/要素を通過することになる。
LISのこの透過性、および上述の合法的傍受のルーティングポリシーを実現するために少なくとも1つのネットワーク要素の転送テーブルを変更し、それによって監視下のパケットがLISに転送されるようにする手法により、図5に示す手法は、レイヤ2/3透過的オーバレイプロキシ手法(layer 2/3 transparent overlay proxy approach)と呼ばれることにも注意する。
図6は、全体的に、図4および5との関連で示して上述した一般的なLANにおいてパケットの転送を行うことができないシナリオを示す。そうではなく、図6に示すように、LIS202/204は、合法的傍受のルーティングポリシーが実施され、管理されるネットワークデバイス/要素から離れていると仮定される。すなわち、ネットワークデバイス/要素602が合法的傍受のルーティングポリシーを管理して、エンドポイント102−AとLIS202/204との間に接続される一方、ネットワークデバイス/要素604が合法的傍受のルーティングポリシーを管理して、エンドポイント102−BとLIS202/204との間に接続される。したがって、ネットワークデバイス/要素602および604は、「ポリシー有効ルータ(policy−enabled router)」であるとみなされる。
このようなシナリオでは、本発明のさらなる実施形態にしたがって、ポリシー有効デバイス/要素と関連LISネットワーク要素との間に、1つまたは複数の仮想プライベートネットワーク(VPN)のトンネルを確立することができる。このVPNトンネル手法を、図7から11と関連していくつかの実施形態で示す。VPNプロトコルは、パケットフローアクセスIPネットワークに安全で信頼できる転送を提供するメカニズムであり、様々なトンネリング(またはカプセル化)プロトコルを使用して「プライベートネットワーク」(またはより一般的には明確に定義された経路)を通るパケットフローを確実にすることを想起する。
VPNの使用は、ポリシーが命令するとき、パケットがLISに確実に向かうようにし、ポリシー有効ネットワーク要素(ルータ)およびLISが2つの異なる場所にあるシナリオに対処することに注意する。しかしながら、VPNの使用だけでは、LISが宛先のエンドポイントにパケットを転送していることを隠すのに必ずしも十分ではないため、LISの透過性および検出不能性を実現するために、上述の同じまたは同様のヘッダ情報保護論理を、このVPN手法のLISに実装する。
より詳細には、このVPN手法は、LISが、対象のエンドポイントのそれぞれからそれぞれ生じるベアラフローをLISで終わる1つまたは複数のVPNトンネルにリダイレクトする1つまたは複数のルーティングポリシーを通して1つまたは複数のネットワークルータを制御することによって実現することができる。LISは次に、パケットを処理するが、パケットのヘッダ情報を保存する(LIS自体がパケットを復号するか、復号を行う法執行機関にパケットを送信する)。
有利には、これにより、アクティブLIS要素の存在を、対象エンドポイントによる実際の検出から隠すことができる。結果として、対象エンドポイントの1つがパケットを受信するとき、パケットはLIS要素ではなく送信エンドポイントから出たように見える。これは、例えば、VPNトンネル構築および実行の知られている原理を使用して、ネットワークルータが対象パケットをカプセル化し、LISと確立されたVPNトンネルを通じてこれらを送信し、LISが各フローのIPアドレス情報を保存して、上述のようにLISの存在を隠すためである。この例では、パケットがシグナリングフローおよびベアラフロー中の元のパケットの送信元IPアドレスおよび宛先IPアドレスを変更することなく、LIS要素へ、およびLIS要素からルーティングされることを確実にするために、セキュリティ面ではなく、VPNのトンネリング原理を活用する。
したがって、例として、IMSネットワークが法執行機関からのある呼に対する一方または両方の当事者(本明細書で使用中の例ではAliceおよび/またはBob)への呼またはこれらからの呼を傍受するための法的要求を受信した場合、ネットワークは、Aliceが例えば最初のメッセージを送信するとき、呼のセットアップを検出することになる。
1つの例示的実施形態では、LISは、SIPのB2BUA(back−to−back user agent)のような、いわゆる中間者(MITM)サーバとすることができる。知られているように、B2BUAが、呼または通信セッションの両エンドポイント間で動作し、通信チャネルを2つの呼の区間(leg)に分割し、呼の確立から終了まで、呼の両端間のすべてのSIPシグナリングを仲介する。このようなMITMの実施形態では、これによりLISは、MITMサーバがBobであると装って、Aliceと鍵を作成する役割を演じることができ、逆の場合も同様に演じることができる。実質的には、ベアラストリーム(すなわち、トラフィックパケット)を、法執行機関と共有することができる。
当然ながら、LISは、MITMサーバまたはSIPのB2BUAに限定されないことを理解されたい。本発明の実施形態による合法的傍受のルーティングポリシーを実施し、管理することができる場所に関する柔軟性が広がるために、ネットワークの適切な場所にあるいかなるネットワークデバイス/要素もLISの役割を担うことができる。したがって、次の図7−11の実施形態では、合法的傍受機能は、一般的にLISとして示す。
第1の例示的VPNトンネルの実施形態を図7に示す。図のように、エンドポイント102−A(Alice)および102−B(Bob)は、上述のように、セキュリティアソシエーションをセットアップするためのMIKEY−IBAKEメッセージ交換と併せたIMSネットワーク標準ごとのSIPシグナリング、およびベアラ情報の転送のためのSRTPをサポートするクライアントデバイスである。
ポリシー有効ルータ702および704は、それぞれエンドポイント102−Aおよび102−Bのそれぞれから出るベアラフローを、LIS202/204で終わるVPNトンネル706にリダイレクトするように、LIS202/204によって制御される上述のネットワークルータである。図のように、706−Aは、エンドポイント102−AからMITMサーバまで確立されたVPNトンネルの一部であり、706−Bは、エンドポイント102−BからMITMサーバまで確立されたVPNトンネルの一部であることに注意する。当然ながら、2つの別個のVPNトンネルを確立することができ、この場合706−Aが1つのVPNトンネルとみなされ、706−Bがもう1つのVPNトンネルとみなされる。図7には2つのポリシー有効ルータ702および704を示しているが、対象通信セッションに参加している2つのエンドポイントの地理的位置に応じて1つのポリシー有効ルータを使用することができることを理解されたい。
ポリシー有効ルータ702は、AliceのIPアドレスおよび割り当てられたポートからBobのIPアドレスおよび割り当てられたポートへ向かうトラフィックを、VPNトンネル706−AによってLIS(LISシグナリング要素)に転送するルータのポリシーを管理する。同様に、ポリシー有効ルータ704は、BobのIPアドレスおよび割り当てられたポートからAliceのIPアドレスおよび割り当てられたポートへ向かうトラフィックを、VPNトンネル706−BによってLIS(LISシグナリング要素)にルーティングするためのルータのポリシーを含む。
上に説明したように、LISは、LISシグナリング要素202と、LISベアラ要素204とから構成される。LISシグナリング要素およびベアラ要素は別個に示しているが、これらは物理的に同じコンピューティングデバイス上に配置することができる(しかし、それにもかかわらずまとめてLISと呼ぶ)ことに注意する。
また、IMSネットワーク104は、(明示していないが)P−CSCF(proxy−call session control function、プロキシ呼セッション制御機能)、I−CSCF(interrogating−call session control function、インテロゲーティング呼セッション制御機能)、S−CSCF(serving−call session control function、サービング呼セッション制御機能)、およびHSS(home subscriber server、ホーム当事者サーバ)など、典型的なIMS要素を含むと仮定することに注意する。当業者は、こうした典型的なIMS要素の相互接続性および機能を理解するであろう。
また、LISがMITMサーバ/B2BUAである例示のシナリオについて、上記の説明のようにMIKEY−IBAKEプロトコルに従ってエンドポイント102−Aおよび102−Bに対して、セキュリティアソシエーション1および2がそれぞれLISによって確立されると仮定する。しかしながら、上記の説明のように、本発明の実施形態は、LISがMITMサーバまたはB2BUAとして実装されることに限定されない。
1つの例として、通信フローの傍受に必要とされる図7の要素間の対話は、次のようである。
(1)エンドポイント102−Aが、エンドポイント102ーBとのセッション(例えば、音声)を要求するシグナリング情報を送信し、SDP(Session Description Protocol(セッション記述プロトコル)IETF RFC 2327、この開示を全体として引用により本明細書に組み込む)において、上述のIETF RFC 6267に記載されるMIKEY−IBAKEプロトコルのメッセージ1を含める。
(2)IMSネットワーク104は、呼を傍受する必要性を検出し、シグナリングをLISシグナリング要素204にルーティングする。
(3)LISシグナリング要素204は、図8に示すように(また以下に説明するように)フローを実行する。このフローによりエンドポイント102−Aはエンドポイント102ーBと直接対話していると信じるようになり、逆もまた同様であるが、実際にはこれらのエンドポイントは共に(1つまたは複数の)LIS(シグナリングおよびベアラ)要素と直接応対している。
(4)エンドポイント102−Aから出るSRTPパケットが、ポリシー有効ルータ702によって、LISベアラ要素204で終わるVPNトンネル706−Aへリダイレクトされ、エンドポイント102−Bから出るSRTPパケットが、ポリシー有効ルータ704によって、LISベアラ要素204で終わるVPNトンネル706−Bへリダイレクトされる。
(5)LISベアラ要素204は、(以下に説明する)図8のフローで受信されたセキュリティアソシエーション情報を使用して、エンドポイント102−Aから受信されたSRTPパケット(セキュリティアソシエーション1)を復号し、明瞭な媒体(暗号化されていないパケット)を保存し、その後セキュリティアソシエーション2を使用してこれらを暗号化して、これらをエンドポイント102−Bに送信する。セキュリティアソシエーションは逆であるが同じ手順が、エンドポイント102−Aから受信されるSRTPパケット、およびエンドポイント102−Aに向かうSRTPパケットに適用される。SRTPパケットのヘッダは、LISベアラ要素204によって管理され、このSRTPパケットの送信時に使用される。これらのパケットは、上記のステップ4で(1つまたは複数の)トンネルを使用する必要がない。
LISシグナリング要素202とポリシー有効ルータとの間の制御インタフェースは、CLI(Command Line Interface、コマンドラインインタフェース)と同じように単純であってもよく、またはSOAP(Simple Object Access Protocol、シンプルオブジェクトアクセスプロトコル)のAPI(Application Programming Interface、アプリケーションプログラミングインタフェース)のようにより柔軟性のあるインタフェースであってもよい。LISシグナリング要素に対する正しいポリシー有効ルータの発見は、IMSネットワーク内の既存のメカニズムを使用する。LISシグナリング要素とLISベアラ要素との間の制御プロトコルは、強化されたMSCML(Media Server Control Markup Language、メディアサーバ制御マークアップ言語)のようなアプリケーション制御層を有するSIPであることが好ましいが、H.248または専用の別の制御プロトコルであることも可能である。P−CSCFは、SIPメッセージからLISシグナリング要素のいかなる指示も除去した後に、これをエンドユーザに送信する。
ここで図8を参照すると、LISシグナリング要素(図7の204)によって実行される例示的フローが示されている。この図では、LISはMITMサーバ(B2BUA)であると仮定する。しかしながら、上記のように、本発明の実施形態は、LISがMITMサーバ(B2BUA)であることに限定されない。
ステップ802では、MITMシグナリング要素は、発呼者(エンドポイント102−Aを仮定する)からMIKEY−IBAKEメッセージ1(IETF RFC 6267)と共にinitial INVITEを受信する。
LISシグナリング要素は、ステップ804において、発呼者(エンドポイント102−A)および被呼者(エンドポイント102−Bを仮定する)の秘密鍵を検索する。秘密鍵は、対象エンドポイントと関連する1つまたは複数の鍵管理サーバ(KMS、明示していない)から取得することができる。
ステップ806において、LISシグナリング要素は、新しいMIKEY−IBAKEメッセージ1を作成し、これをINVITEで被呼者(エンドポイント102ーB)に送信する。
ステップ808では、LISシグナリング要素は、MIKEY−IBAKEメッセージ2と共に被呼者(エンドポイント102−B)からSIPレスポンス(例えば、200 OK)を受信する。
LISシグナリング要素は、ステップ810において、新しいMIKEY−IBAKEメッセージ2を作成し、これをSIPレスポンス(例えば、200 OK)で発呼者(エンドポイント102−A)に送信する。
ステップ812において、LISシグナリング要素は、セキュリティアソシエーション1および2の情報と共に、制御シグナリングをLISベアラ要素(図7の204)に送信する。
ステップ814では、LISシグナリング要素は、やはりAliceがエンドポイント102−Aであり、Bobがエンドポイント102−Bである、あらかじめ確立されたトンネル(図7の706−A)を通じてルーティングするように、5タプル(送信元:AliceのIPアドレス、ポート;宛先:BobのIPアドレス、ポート;プロトコル)のポリシールールを確立する制御メッセージをルータ1(図7の702)に送信する。
ステップ816では、LISシグナリング要素は、制御メッセージを、5タプル(送信元:BobのIPアドレス、ポート;宛先:AliceのIPアドレス、ポート;プロトコル)のポリシールールを確立するルータ2(図7の704)に送信し、あらかじめ確立されたトンネル(図7の706−B)を通じてルーティングする。
ステップ818において、LISシグナリング要素は、発呼者および被呼者(それぞれエンドポイント102−Aおよび102−B)とのMIKEY−IBAKE交換を完了する。
第2の例示的VPNトンネルの実施形態を図9に示す。この実施形態では、エンドポイント102−Aおよび102−Bが、それぞれ902および904として示すLTEアクセスネットワークを介してIMSネットワーク104にアクセスすると仮定する。LTE(Long Term Evolution、ロングタームエボリューション)ネットワークは、UMTS(Universal Mobile Telecommunications System、ユニバーサルモバイル通信システム)規格を改良し、次世代モバイルブロードバンド用の進化したユーザ体験および簡易化した技術を提供するために開発された3GPP仕様のネットワークであることは知られている。LTE無線アクセス技術は、Evolved UMTS Terrestrial Radio Access(E−UTRA、発展型UMTS地上無線アクセス)として知られており、ネットワークは、Evolved Packet System(EPS、発展型パケットシステム)として知られている。LTEアクセスネットワークを示しているが、アクセスネットワークは、いかなる他の適切な無線(または有線でも)アクセスネットワークとすることもできることを理解されたい。
LTEネットワーク(902および904)に大まかに示すように、エンドポイントが、サービングゲートウェイ(S−GW)と関連する基地局(enB)と接続している。したがって、図のようなLTEアクセスネットワークが使用されるとき、(図7および8との関連で上述した機能を行う)ポリシー有効ルータ702および704はプロキシゲートウェイ(P−GW)である。
ポリシー有効ルータがLTEアクセスネットワークにおいてP−GWとして実装されること以外は、2つのエンドポイント(102−Aおよび102−B)間の通信の合法的傍受は、図7および8との関連で上述したものと同じ方式で、すなわち有利には、例えばエンドポイントからLISを隠すのに役立つようにVPNトンネルを使用して動作する。
第3の例示的VPNトンネルの実施形態を図10に示し、図9の実施形態に基づく。やはりLTEアクセスネットワークを想定するが、ここではP−GW(702/704)はポリシーおよび課金ルール機能(policy and charging rules function、PCRF 1002/1008)によって制御され、PCRFは、P−CSCF(1004/1010)によりRxインタフェースを介して制御を行うための指示を受信する。この実施形態では、LISに対する図8のフローは、合法的傍受ポリシーリダイレクト(Lawful Intercept Policy Redirect)のためにSIPヘッダに指示を含めるように変更される。P−CSCFがS−CSCF(1006/1012)からSIPメッセージ中のこの指示を受け取ると、CSCFは合法的傍受ポリシーリダイレクトのためにRxインタフェースを通じて指示を提供する。次にPCRFは、Gxインタフェースを通じてP−GWに同様の指示を提供する。この実施形態の変更形態は、PCRFが、標準的なGxインタフェースを使用してトンネルへルーティングするためのあらかじめ存在するポリシールールを備えており、特化された合法的傍受ポリシーリダイレクトのAVP(アトリビュートバリューペア)を提供する必要がないことに注意する。
図11の第4の例示的VPN実施形態は、図10の実施形態に基づく。LISベアラは、ワイドエリアネットワーク(WAN)にわたってトンネル数またはトンネルの転送量を削減するために、直接P−GWと関連付けられる。図11の実施形態では、一方のエンドポイント102−Aが1つのP−GW(702)によって担当され、他方のエンドポイント102−Bは別のP−GW(704)によって担当されると仮定すると、2つのLISベアラ要素204−Aおよび204−Bが、それぞれ合法的傍受に含まれる。図のように、LISベアラ要素204−Aが、エンドポイント102−Aから出ているセッションを取り込み、LISベアラ要素204−Bがエンドポイント102−Bから出ているセッションを取り込む。
有利には、上記の実施形態に従って説明するように、本発明の例示の原理により、合法的傍受の対象となるネットワークにおいて、セッションボーダコントローラ(SBC)を組み込むことを必要とせずに、エンドツーエンド通信セッションの暗号化サービスを提供することができる。
図12は、例示の実施形態による1つもしくは複数の方法を実施するのに好適な、ネットワーク環境およびコンピューティングデバイスの形式の通信デバイスの汎用ハードウェアアーキテクチャを示す。
図12は、例示のエンティティの2つのみについて詳細な部分構成要素を示しているが、他のエンティティが同じ構成を有することができることを理解されたい。したがって、上述の合法的傍受に関しては、詳細に示す2つのエンティティは、LISサーバ202/204、およびポリシー有効ルータ702/704(もしくはレイヤ2/3スイッチ502)である。しかしながら、エンドポイント102−Aおよび102−Bは、LTE(またはその他)ネットワーク902/904の構成要素、PCRF 1002/1008、P−CSCF 1004/1010、S−CSCF 1006/1012、その他の機能要素、さらなるクライアント装置(当事者)、さらなるサーバ、およびさらなるネットワーク要素を、図12のコンピューティングデバイスに示すものと同じアーキテクチャで実装することができる。しかしながら、簡単にするために、本明細書で説明するプロトコルに参加することができるコンピューティングデバイス(通信デバイス)をすべて図12に示しているわけではないことを理解されたい。
図のように、コンピューティングデバイス(LIS)1210とコンピューティングデバイス(ポリシー有効ルータまたはレイヤ2/3スイッチ)1220が、ネットワーク1230を介して結合される。ネットワークは、デバイスが通信することができるいかなるネットワークとすることもでき、例えば上述の実施形態のように、ネットワーク1230は、単に例示としては、ネットワーク事業者によって運営されるセルラ通信ネットワークのような、公衆アクセス可能なワイドエリア通信ネットワークを含むことができる。また、LISおよびポリシー有効デバイスが一緒に置かれている場合、ネットワーク1230は、LAN(例えば、図5の501)とすることができる。しかしながら、実施形態は、特定のタイプのネットワークに限定されない。
当業者には容易に理解されるように、コンピューティングデバイスは、コンピュータプログラムコードの制御下で動作するプログラムされたコンピュータとして実現することができる。コンピュータプログラムコードは、コンピュータ可読記憶媒体(例えば、メモリ)に格納することができ、コードは、コンピュータのプロセッサによって実行することができる。本開示を提供されると、当業者は、本明細書に記載するプロトコルを実行するために適切なコンピュータプログラムコードを容易に作成することができる。
ただし、図12は、各コンピュータシステムがネットワークを通じて通信する例示的アーキテクチャを一般的に示している。図のように、デバイス1210は、I/Oデバイス1212と、プロセッサ1214と、メモリ1216とを備える。デバイス1220は、I/Oデバイス1222と、プロセッサ1224と、メモリ1226とを備える。本明細書で使用する「プロセッサ」という用語は、中央処理装置(CPU)などの1つもしくは複数の処理装置、または1つもしくは複数の信号プロセッサ、1つもしくは複数の集積回路などの、ただしこれらに限定されない他の処理回路を含むように意図していることを理解すべきである。また、本明細書で使用する「メモリ」という用語は、RAM、ROM、固定メモリデバイス(例えば、ハードドライブ)、またはリムーバブルメモリデバイス(例えば、ディスケットもしくはCDROM)のような、プロセッサまたはCPUと関連するメモリを含むように意図している。また、メモリは、コンピュータ可読記憶媒体の一例である。さらに、本明細書で使用する「I/Oデバイス」という用語は、データを処理ユニットに入力するための1つまたは複数の入力装置(例えば、キーボード、マウス)、ならびに処理ユニットと関連する結果を提供するための1つまたは複数の出力装置(例えば、CRTディスプレイ)を含むように意図している。
したがって、本明細書に記載する方法を実行するためのソフトウェア命令またはコードを、関連するメモリデバイス、例えばROM、固定またはリムーバブルメモリの、1つまたは複数に格納し、使用する準備ができると、RAMにロードし、CPUによって実行することができる。
本明細書では添付の図面を参照して例示の実施形態について説明したが、本発明は、これらの厳密な実施形態に限定されず、本発明の範囲または趣旨から逸脱することなく、当業者によって様々な他の変更形態および修正形態を作成できることを理解されたい。

Claims (10)

  1. 通信ネットワークにおいて第1のコンピューティングデバイスと第2のコンピューティングデバイスとの間で交換される暗号化された通信を傍受するための方法であって、傍受が通信ネットワークの第3のコンピューティングデバイスによって行われ、方法が、
    第3のコンピューティングデバイスが、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスと関連するエンドツーエンド暗号化セッションの一部として暗号化された1つまたは複数のパケットを取得するステップであって、1つまたは複数のパケットが第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つと関連する所与のパケットアドレスを有、1つまたは複数のパケットが、非傍受パケットトラフィックをそれを通じてルーティングすることも担う通信ネットワーク中の少なくとも1つの要素で少なくとも1つの傍受ルーティングポリシーが実施されることに応じて第3のコンピューティングデバイスによって取得され、少なくとも1つの傍受ルーティングポリシーが、所与のパケットアドレスを有するパケットを第3のコンピューティングデバイスに転送するように構成され、第3のコンピューティングデバイスが1つまたは複数の取得されたパケットを、第1のコンピューティングデバイスを含むパケットの送信元に対して確立されたセキュリティアソシエーションを用いてそこに含まれるデータを取得するために復号する、取得するステップと、
    第3のコンピューティングデバイスが、1つまたは複数の取得されたパケットが第3のコンピューティングデバイスによって取得されたと分からないように1つまたは複数の取得されたパケットの所与のパケットアドレスを保存するステップと、
    3のコンピューティングデバイスが第2のコンピューティングデバイスを含むパケットの宛先に対して確立されたセキュリティアソシエーションを用いて1つまたは複数の取得されたパケットを再暗号化し、1つまたは複数のパケットをパケットの宛先に転送するステップとを含
    パケットの宛先に転送された1つまたは複数のパケットが、所与のパケットアドレスを有し、
    傍受ルーティングポリシーが、パケットの送信元およびパケットの宛先から第3のコンピューティングデバイスにベアラフローを再ルーティングする、方法。
  2. 傍受ルーティングポリシーが実施される通信ネットワークの要素が、第3のコンピューティングデバイスが接続されたローカルエリアネットワークに接続されたデバイスを含む、請求項1に記載の方法。
  3. 要素が、スイッチング要素を含む、請求項2に記載の方法。
  4. 傍受ルーティングポリシーが、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つと関連するパケットアドレスを有する1つまたは複数のパケットが第3のコンピューティングデバイスに転送されるように、スイッチング要素において転送テーブルを変更することによってスイッチング要素で実施される、請求項3に記載の方法。
  5. 第3のコンピューティングデバイスが1つまたは複数のパケットを復号するステップをさらに含む、請求項4に記載の方法。
  6. 第3のコンピューティングデバイスが、1つまたは複数のパケットをパケットの宛先に転送する前に、1つまたは複数のパケットをコピーするステップ、および第3のコンピューティングデバイスが、1つまたは複数のコピーされたパケットを復号のために別のエンティティに転送するステップをさらに含む、請求項4に記載の方法。
  7. 傍受ルーティングポリシーが実施される通信ネットワークの要素が、第3のコンピューティングデバイスから離れたデバイスを含む、請求項1に記載の方法。
  8. 要素が、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つが介して通信ネットワークにアクセスするルーティング要素を含む、請求項7に記載の方法。
  9. 第3のコンピューティングデバイスがルーティング要素と仮想プライベートネットワーク(VPN)トンネルを確立するステップをさらに含む、請求項8に記載の方法。
  10. 通信ネットワークにおいて第1のコンピューティングデバイスと第2のコンピューティングデバイスとの間で交換される暗号化された通信を傍受するための装置であって、
    メモリと、
    メモリに結合され、
    第1のコンピューティングデバイスおよび第2のコンピューティングデバイスと関連するエンドツーエンド暗号化セッションの一部として暗号化される1つまたは複数のパケットを取得し、1つまたは複数のパケットが第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つと関連する所与のパケットアドレスを有、1つまたは複数のパケットが、非傍受パケットトラフィックをそれを通じてルーティングすることも担う通信ネットワーク中の少なくとも1つの要素で少なくとも1つの傍受ルーティングポリシーが実施されることに応じて取得され、少なくとも1つの傍受ルーティングポリシーが、所与のパケットアドレスを有するパケットを第3のコンピューティングデバイスに転送するように構成される、
    1つまたは複数の取得されたパケットを、第1のコンピューティングデバイスを含むパケットの送信元に対して確立されたセキュリティアソシエーションを用いてそこに含まれるデータを取得するために復号する
    1つまたは複数の取得されたパケットが第3のコンピューティングデバイスによって取得されたと分からないように1つまたは複数の取得されたパケットの所与のパケットアドレスを保存する、
    第2のコンピューティングデバイスを含むパケットの宛先に対して確立されたセキュリティアソシエーションを用いて1つまたは複数の取得されたパケットを再暗号化する、
    つまたは複数のパケットをパケットの宛先に転送する
    ように動作するプロセッサとを備え
    パケットの宛先に転送された1つまたは複数のパケットが、所与のパケットアドレスを有し、
    傍受ルーティングポリシーが、パケットの送信元およびパケットの宛先から第3のコンピューティングデバイスにベアラフローを再ルーティングする、装置。
JP2014510350A 2011-05-11 2012-04-27 エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 Expired - Fee Related JP5763267B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201161484897P 2011-05-11 2011-05-11
US61/484,897 2011-05-11
US13/212,788 US9544334B2 (en) 2011-05-11 2011-08-18 Policy routing-based lawful interception in communication system with end-to-end encryption
US13/212,788 2011-08-18
PCT/US2012/035342 WO2012154420A1 (en) 2011-05-11 2012-04-27 Policy routing-based lawful interception in communication system with end-to-end encryption

Publications (2)

Publication Number Publication Date
JP2014519256A JP2014519256A (ja) 2014-08-07
JP5763267B2 true JP5763267B2 (ja) 2015-08-12

Family

ID=46062757

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014510350A Expired - Fee Related JP5763267B2 (ja) 2011-05-11 2012-04-27 エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受

Country Status (6)

Country Link
US (1) US9544334B2 (ja)
EP (1) EP2708052A1 (ja)
JP (1) JP5763267B2 (ja)
KR (1) KR101501399B1 (ja)
CN (1) CN103748908B (ja)
WO (1) WO2012154420A1 (ja)

Families Citing this family (172)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7625408B2 (en) 2003-07-22 2009-12-01 Avanta Orthopaedics, Llc Prosthetic wrist implant
US9544334B2 (en) 2011-05-11 2017-01-10 Alcatel Lucent Policy routing-based lawful interception in communication system with end-to-end encryption
WO2012154920A1 (en) 2011-05-12 2012-11-15 Small Bone Innovations, Inc. Wrist implant for carpal hemiarthroplasty
US9113347B2 (en) 2012-12-05 2015-08-18 At&T Intellectual Property I, Lp Backhaul link for distributed antenna system
US10009065B2 (en) 2012-12-05 2018-06-26 At&T Intellectual Property I, L.P. Backhaul link for distributed antenna system
US9525524B2 (en) 2013-05-31 2016-12-20 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9999038B2 (en) 2013-05-31 2018-06-12 At&T Intellectual Property I, L.P. Remote distributed antenna system
US20160219082A1 (en) * 2013-09-09 2016-07-28 Nokia Solutions And Networks Oy Apparatus and method for lawful interception
US8897697B1 (en) 2013-11-06 2014-11-25 At&T Intellectual Property I, Lp Millimeter-wave surface-wave communications
US9209902B2 (en) 2013-12-10 2015-12-08 At&T Intellectual Property I, L.P. Quasi-optical coupler
US9692101B2 (en) 2014-08-26 2017-06-27 At&T Intellectual Property I, L.P. Guided wave couplers for coupling electromagnetic waves between a waveguide surface and a surface of a wire
US9768833B2 (en) 2014-09-15 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for sensing a condition in a transmission medium of electromagnetic waves
US10063280B2 (en) 2014-09-17 2018-08-28 At&T Intellectual Property I, L.P. Monitoring and mitigating conditions in a communication network
US9628854B2 (en) 2014-09-29 2017-04-18 At&T Intellectual Property I, L.P. Method and apparatus for distributing content in a communication network
US9615269B2 (en) 2014-10-02 2017-04-04 At&T Intellectual Property I, L.P. Method and apparatus that provides fault tolerance in a communication network
US9685992B2 (en) 2014-10-03 2017-06-20 At&T Intellectual Property I, L.P. Circuit panel network and methods thereof
US9503189B2 (en) 2014-10-10 2016-11-22 At&T Intellectual Property I, L.P. Method and apparatus for arranging communication sessions in a communication system
US9973299B2 (en) 2014-10-14 2018-05-15 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a mode of communication in a communication network
US9762289B2 (en) 2014-10-14 2017-09-12 At&T Intellectual Property I, L.P. Method and apparatus for transmitting or receiving signals in a transportation system
US9520945B2 (en) 2014-10-21 2016-12-13 At&T Intellectual Property I, L.P. Apparatus for providing communication services and methods thereof
US9564947B2 (en) 2014-10-21 2017-02-07 At&T Intellectual Property I, L.P. Guided-wave transmission device with diversity and methods for use therewith
US9769020B2 (en) 2014-10-21 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for responding to events affecting communications in a communication network
US9780834B2 (en) 2014-10-21 2017-10-03 At&T Intellectual Property I, L.P. Method and apparatus for transmitting electromagnetic waves
US9577306B2 (en) 2014-10-21 2017-02-21 At&T Intellectual Property I, L.P. Guided-wave transmission device and methods for use therewith
US9312919B1 (en) 2014-10-21 2016-04-12 At&T Intellectual Property I, Lp Transmission device with impairment compensation and methods for use therewith
US9653770B2 (en) 2014-10-21 2017-05-16 At&T Intellectual Property I, L.P. Guided wave coupler, coupling module and methods for use therewith
US9627768B2 (en) 2014-10-21 2017-04-18 At&T Intellectual Property I, L.P. Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9742462B2 (en) 2014-12-04 2017-08-22 At&T Intellectual Property I, L.P. Transmission medium and communication interfaces and methods for use therewith
US10340573B2 (en) 2016-10-26 2019-07-02 At&T Intellectual Property I, L.P. Launcher with cylindrical coupling device and methods for use therewith
US9954287B2 (en) 2014-11-20 2018-04-24 At&T Intellectual Property I, L.P. Apparatus for converting wireless signals and electromagnetic waves and methods thereof
US9544006B2 (en) 2014-11-20 2017-01-10 At&T Intellectual Property I, L.P. Transmission device with mode division multiplexing and methods for use therewith
US9461706B1 (en) 2015-07-31 2016-10-04 At&T Intellectual Property I, Lp Method and apparatus for exchanging communication signals
US9997819B2 (en) 2015-06-09 2018-06-12 At&T Intellectual Property I, L.P. Transmission medium and method for facilitating propagation of electromagnetic waves via a core
US9800327B2 (en) 2014-11-20 2017-10-24 At&T Intellectual Property I, L.P. Apparatus for controlling operations of a communication device and methods thereof
US9654173B2 (en) 2014-11-20 2017-05-16 At&T Intellectual Property I, L.P. Apparatus for powering a communication device and methods thereof
US9680670B2 (en) 2014-11-20 2017-06-13 At&T Intellectual Property I, L.P. Transmission device with channel equalization and control and methods for use therewith
US10009067B2 (en) 2014-12-04 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for configuring a communication interface
US10243784B2 (en) 2014-11-20 2019-03-26 At&T Intellectual Property I, L.P. System for generating topology information and methods thereof
US10144036B2 (en) 2015-01-30 2018-12-04 At&T Intellectual Property I, L.P. Method and apparatus for mitigating interference affecting a propagation of electromagnetic waves guided by a transmission medium
US9876570B2 (en) 2015-02-20 2018-01-23 At&T Intellectual Property I, Lp Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US20160269448A1 (en) * 2015-03-11 2016-09-15 Wipro Limited System and method for improved lawful interception of encrypted message
US9749013B2 (en) 2015-03-17 2017-08-29 At&T Intellectual Property I, L.P. Method and apparatus for reducing attenuation of electromagnetic waves guided by a transmission medium
US9705561B2 (en) 2015-04-24 2017-07-11 At&T Intellectual Property I, L.P. Directional coupling device and methods for use therewith
US10224981B2 (en) 2015-04-24 2019-03-05 At&T Intellectual Property I, Lp Passive electrical coupling device and methods for use therewith
US9948354B2 (en) 2015-04-28 2018-04-17 At&T Intellectual Property I, L.P. Magnetic coupling device with reflective plate and methods for use therewith
US9793954B2 (en) 2015-04-28 2017-10-17 At&T Intellectual Property I, L.P. Magnetic coupling device and methods for use therewith
US9748626B2 (en) 2015-05-14 2017-08-29 At&T Intellectual Property I, L.P. Plurality of cables having different cross-sectional shapes which are bundled together to form a transmission medium
US9490869B1 (en) 2015-05-14 2016-11-08 At&T Intellectual Property I, L.P. Transmission medium having multiple cores and methods for use therewith
US9871282B2 (en) 2015-05-14 2018-01-16 At&T Intellectual Property I, L.P. At least one transmission medium having a dielectric surface that is covered at least in part by a second dielectric
US10679767B2 (en) 2015-05-15 2020-06-09 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US10650940B2 (en) 2015-05-15 2020-05-12 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US9917341B2 (en) 2015-05-27 2018-03-13 At&T Intellectual Property I, L.P. Apparatus and method for launching electromagnetic waves and for modifying radial dimensions of the propagating electromagnetic waves
US9912381B2 (en) 2015-06-03 2018-03-06 At&T Intellectual Property I, Lp Network termination and methods for use therewith
US9866309B2 (en) 2015-06-03 2018-01-09 At&T Intellectual Property I, Lp Host node device and methods for use therewith
US10154493B2 (en) 2015-06-03 2018-12-11 At&T Intellectual Property I, L.P. Network termination and methods for use therewith
US10103801B2 (en) 2015-06-03 2018-10-16 At&T Intellectual Property I, L.P. Host node device and methods for use therewith
US10812174B2 (en) 2015-06-03 2020-10-20 At&T Intellectual Property I, L.P. Client node device and methods for use therewith
US10348391B2 (en) 2015-06-03 2019-07-09 At&T Intellectual Property I, L.P. Client node device with frequency conversion and methods for use therewith
US9913139B2 (en) 2015-06-09 2018-03-06 At&T Intellectual Property I, L.P. Signal fingerprinting for authentication of communicating devices
US9608692B2 (en) 2015-06-11 2017-03-28 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US10142086B2 (en) 2015-06-11 2018-11-27 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9820146B2 (en) 2015-06-12 2017-11-14 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9667317B2 (en) 2015-06-15 2017-05-30 At&T Intellectual Property I, L.P. Method and apparatus for providing security using network traffic adjustments
US9640850B2 (en) 2015-06-25 2017-05-02 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a non-fundamental wave mode on a transmission medium
US9865911B2 (en) 2015-06-25 2018-01-09 At&T Intellectual Property I, L.P. Waveguide system for slot radiating first electromagnetic waves that are combined into a non-fundamental wave mode second electromagnetic wave on a transmission medium
US9509415B1 (en) 2015-06-25 2016-11-29 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a fundamental wave mode on a transmission medium
US9882257B2 (en) 2015-07-14 2018-01-30 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10170840B2 (en) 2015-07-14 2019-01-01 At&T Intellectual Property I, L.P. Apparatus and methods for sending or receiving electromagnetic signals
US9722318B2 (en) 2015-07-14 2017-08-01 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US10033108B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave having a wave mode that mitigates interference
US9628116B2 (en) 2015-07-14 2017-04-18 At&T Intellectual Property I, L.P. Apparatus and methods for transmitting wireless signals
US10033107B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US9847566B2 (en) 2015-07-14 2017-12-19 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a field of a signal to mitigate interference
US10148016B2 (en) 2015-07-14 2018-12-04 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array
US9853342B2 (en) 2015-07-14 2017-12-26 At&T Intellectual Property I, L.P. Dielectric transmission medium connector and methods for use therewith
US10320586B2 (en) 2015-07-14 2019-06-11 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an insulated transmission medium
US10341142B2 (en) 2015-07-14 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an uninsulated conductor
US10044409B2 (en) 2015-07-14 2018-08-07 At&T Intellectual Property I, L.P. Transmission medium and methods for use therewith
US9836957B2 (en) 2015-07-14 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for communicating with premises equipment
US10205655B2 (en) 2015-07-14 2019-02-12 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array and multiple communication paths
US9608740B2 (en) 2015-07-15 2017-03-28 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10090606B2 (en) 2015-07-15 2018-10-02 At&T Intellectual Property I, L.P. Antenna system with dielectric array and methods for use therewith
US9793951B2 (en) 2015-07-15 2017-10-17 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10554694B2 (en) * 2015-07-20 2020-02-04 At&T Intellectual Property I, L.P. System and method for using software defined networking in internet protocol multimedia subsystems
US9871283B2 (en) 2015-07-23 2018-01-16 At&T Intellectual Property I, Lp Transmission medium having a dielectric core comprised of plural members connected by a ball and socket configuration
US9912027B2 (en) 2015-07-23 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for exchanging communication signals
US9749053B2 (en) 2015-07-23 2017-08-29 At&T Intellectual Property I, L.P. Node device, repeater and methods for use therewith
US9948333B2 (en) 2015-07-23 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for wireless communications to mitigate interference
US10784670B2 (en) 2015-07-23 2020-09-22 At&T Intellectual Property I, L.P. Antenna support for aligning an antenna
US9735833B2 (en) 2015-07-31 2017-08-15 At&T Intellectual Property I, L.P. Method and apparatus for communications management in a neighborhood network
US9967173B2 (en) 2015-07-31 2018-05-08 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US10020587B2 (en) 2015-07-31 2018-07-10 At&T Intellectual Property I, L.P. Radial antenna and methods for use therewith
CN106534044A (zh) * 2015-09-09 2017-03-22 中兴通讯股份有限公司 一种语音通话的加密方法及装置
US9904535B2 (en) 2015-09-14 2018-02-27 At&T Intellectual Property I, L.P. Method and apparatus for distributing software
US10009901B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method, apparatus, and computer-readable storage medium for managing utilization of wireless resources between base stations
US10009063B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an out-of-band reference signal
US9705571B2 (en) 2015-09-16 2017-07-11 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system
US10051629B2 (en) 2015-09-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an in-band reference signal
US10136434B2 (en) 2015-09-16 2018-11-20 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an ultra-wideband control channel
US10079661B2 (en) 2015-09-16 2018-09-18 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a clock reference
US9769128B2 (en) 2015-09-28 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for encryption of communications over a network
US9729197B2 (en) 2015-10-01 2017-08-08 At&T Intellectual Property I, L.P. Method and apparatus for communicating network management traffic over a network
US9876264B2 (en) 2015-10-02 2018-01-23 At&T Intellectual Property I, Lp Communication system, guided wave switch and methods for use therewith
US10074890B2 (en) 2015-10-02 2018-09-11 At&T Intellectual Property I, L.P. Communication device and antenna with integrated light assembly
US9882277B2 (en) 2015-10-02 2018-01-30 At&T Intellectual Property I, Lp Communication device and antenna assembly with actuated gimbal mount
US10051483B2 (en) 2015-10-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for directing wireless signals
US10665942B2 (en) 2015-10-16 2020-05-26 At&T Intellectual Property I, L.P. Method and apparatus for adjusting wireless communications
US10355367B2 (en) 2015-10-16 2019-07-16 At&T Intellectual Property I, L.P. Antenna structure for exchanging wireless signals
US9912419B1 (en) 2016-08-24 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for managing a fault in a distributed antenna system
US9860075B1 (en) 2016-08-26 2018-01-02 At&T Intellectual Property I, L.P. Method and communication node for broadband distribution
US10291311B2 (en) 2016-09-09 2019-05-14 At&T Intellectual Property I, L.P. Method and apparatus for mitigating a fault in a distributed antenna system
US11032819B2 (en) 2016-09-15 2021-06-08 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a control channel reference signal
US10348698B2 (en) * 2016-09-15 2019-07-09 Nagravision S.A. Methods and systems for link-based enforcement of routing of communication sessions via authorized media relays
US10805338B2 (en) * 2016-10-06 2020-10-13 Cisco Technology, Inc. Analyzing encrypted traffic behavior using contextual traffic data
US10135146B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via circuits
US10340600B2 (en) 2016-10-18 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via plural waveguide systems
US10135147B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via an antenna
US9991580B2 (en) 2016-10-21 2018-06-05 At&T Intellectual Property I, L.P. Launcher and coupling system for guided wave mode cancellation
US10811767B2 (en) 2016-10-21 2020-10-20 At&T Intellectual Property I, L.P. System and dielectric antenna with convex dielectric radome
US9876605B1 (en) 2016-10-21 2018-01-23 At&T Intellectual Property I, L.P. Launcher and coupling system to support desired guided wave mode
US10374316B2 (en) 2016-10-21 2019-08-06 At&T Intellectual Property I, L.P. System and dielectric antenna with non-uniform dielectric
US10312567B2 (en) 2016-10-26 2019-06-04 At&T Intellectual Property I, L.P. Launcher with planar strip antenna and methods for use therewith
US10225025B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Method and apparatus for detecting a fault in a communication system
US10498044B2 (en) 2016-11-03 2019-12-03 At&T Intellectual Property I, L.P. Apparatus for configuring a surface of an antenna
US10291334B2 (en) 2016-11-03 2019-05-14 At&T Intellectual Property I, L.P. System for detecting a fault in a communication system
US10224634B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Methods and apparatus for adjusting an operational characteristic of an antenna
US10340603B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Antenna system having shielded structural configurations for assembly
US10535928B2 (en) 2016-11-23 2020-01-14 At&T Intellectual Property I, L.P. Antenna system and methods for use therewith
US10340601B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Multi-antenna system and methods for use therewith
US10090594B2 (en) 2016-11-23 2018-10-02 At&T Intellectual Property I, L.P. Antenna system having structural configurations for assembly
US10178445B2 (en) 2016-11-23 2019-01-08 At&T Intellectual Property I, L.P. Methods, devices, and systems for load balancing between a plurality of waveguides
US10305190B2 (en) 2016-12-01 2019-05-28 At&T Intellectual Property I, L.P. Reflecting dielectric antenna system and methods for use therewith
US10361489B2 (en) 2016-12-01 2019-07-23 At&T Intellectual Property I, L.P. Dielectric dish antenna system and methods for use therewith
US10727599B2 (en) 2016-12-06 2020-07-28 At&T Intellectual Property I, L.P. Launcher with slot antenna and methods for use therewith
US10326494B2 (en) 2016-12-06 2019-06-18 At&T Intellectual Property I, L.P. Apparatus for measurement de-embedding and methods for use therewith
US9927517B1 (en) 2016-12-06 2018-03-27 At&T Intellectual Property I, L.P. Apparatus and methods for sensing rainfall
US10755542B2 (en) 2016-12-06 2020-08-25 At&T Intellectual Property I, L.P. Method and apparatus for surveillance via guided wave communication
US10135145B2 (en) 2016-12-06 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave along a transmission medium
US10382976B2 (en) 2016-12-06 2019-08-13 At&T Intellectual Property I, L.P. Method and apparatus for managing wireless communications based on communication paths and network device positions
US10637149B2 (en) 2016-12-06 2020-04-28 At&T Intellectual Property I, L.P. Injection molded dielectric antenna and methods for use therewith
US10020844B2 (en) 2016-12-06 2018-07-10 T&T Intellectual Property I, L.P. Method and apparatus for broadcast communication via guided waves
US10819035B2 (en) 2016-12-06 2020-10-27 At&T Intellectual Property I, L.P. Launcher with helical antenna and methods for use therewith
US10439675B2 (en) 2016-12-06 2019-10-08 At&T Intellectual Property I, L.P. Method and apparatus for repeating guided wave communication signals
US10694379B2 (en) 2016-12-06 2020-06-23 At&T Intellectual Property I, L.P. Waveguide system with device-based authentication and methods for use therewith
US10243270B2 (en) 2016-12-07 2019-03-26 At&T Intellectual Property I, L.P. Beam adaptive multi-feed dielectric antenna system and methods for use therewith
US10139820B2 (en) 2016-12-07 2018-11-27 At&T Intellectual Property I, L.P. Method and apparatus for deploying equipment of a communication system
US10359749B2 (en) 2016-12-07 2019-07-23 At&T Intellectual Property I, L.P. Method and apparatus for utilities management via guided wave communication
US10446936B2 (en) 2016-12-07 2019-10-15 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system and methods for use therewith
US10027397B2 (en) 2016-12-07 2018-07-17 At&T Intellectual Property I, L.P. Distributed antenna system and methods for use therewith
US10547348B2 (en) 2016-12-07 2020-01-28 At&T Intellectual Property I, L.P. Method and apparatus for switching transmission mediums in a communication system
US10168695B2 (en) 2016-12-07 2019-01-01 At&T Intellectual Property I, L.P. Method and apparatus for controlling an unmanned aircraft
US9893795B1 (en) 2016-12-07 2018-02-13 At&T Intellectual Property I, Lp Method and repeater for broadband distribution
US10389029B2 (en) 2016-12-07 2019-08-20 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system with core selection and methods for use therewith
US10777873B2 (en) 2016-12-08 2020-09-15 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10530505B2 (en) 2016-12-08 2020-01-07 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves along a transmission medium
US10601494B2 (en) 2016-12-08 2020-03-24 At&T Intellectual Property I, L.P. Dual-band communication device and method for use therewith
US9911020B1 (en) 2016-12-08 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for tracking via a radio frequency identification device
US10916969B2 (en) 2016-12-08 2021-02-09 At&T Intellectual Property I, L.P. Method and apparatus for providing power using an inductive coupling
US10103422B2 (en) 2016-12-08 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10326689B2 (en) 2016-12-08 2019-06-18 At&T Intellectual Property I, L.P. Method and system for providing alternative communication paths
US9998870B1 (en) 2016-12-08 2018-06-12 At&T Intellectual Property I, L.P. Method and apparatus for proximity sensing
US10411356B2 (en) 2016-12-08 2019-09-10 At&T Intellectual Property I, L.P. Apparatus and methods for selectively targeting communication devices with an antenna array
US10069535B2 (en) 2016-12-08 2018-09-04 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves having a certain electric field structure
US10938108B2 (en) 2016-12-08 2021-03-02 At&T Intellectual Property I, L.P. Frequency selective multi-feed dielectric antenna system and methods for use therewith
US10389037B2 (en) 2016-12-08 2019-08-20 At&T Intellectual Property I, L.P. Apparatus and methods for selecting sections of an antenna array and use therewith
US10340983B2 (en) 2016-12-09 2019-07-02 At&T Intellectual Property I, L.P. Method and apparatus for surveying remote sites via guided wave communications
US10264586B2 (en) 2016-12-09 2019-04-16 At&T Mobility Ii Llc Cloud-based packet controller and methods for use therewith
US9838896B1 (en) 2016-12-09 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for assessing network coverage
US9973940B1 (en) 2017-02-27 2018-05-15 At&T Intellectual Property I, L.P. Apparatus and methods for dynamic impedance matching of a guided wave launcher
US10298293B2 (en) 2017-03-13 2019-05-21 At&T Intellectual Property I, L.P. Apparatus of communication utilizing wireless network devices
US10951663B2 (en) * 2019-02-12 2021-03-16 Saudi Arabian Oil Company Securing an IMS-based VoIP network with multiple VPNs
US11729187B2 (en) * 2020-02-24 2023-08-15 Microsoft Technology Licensing, Llc Encrypted overlay network for physical attack resiliency

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007521530A (ja) * 2003-09-05 2007-08-02 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおける監視
EP2197187A4 (en) 2007-10-04 2012-08-08 Fujitsu Ltd BEGINNING SYSTEM, PATH CHANGE DEVICE AND COMPUTER PROGRAM
US20090182668A1 (en) 2008-01-11 2009-07-16 Nortel Networks Limited Method and apparatus to enable lawful intercept of encrypted traffic
US9590961B2 (en) * 2009-07-14 2017-03-07 Alcatel Lucent Automated security provisioning protocol for wide area network communication devices in open device environment
US8850203B2 (en) * 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system
CN102045210B (zh) * 2009-10-10 2014-05-28 中兴通讯股份有限公司 一种支持合法监听的端到端会话密钥协商方法和系统
US20110113236A1 (en) * 2009-11-02 2011-05-12 Sylvain Chenard Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism
CN102055585B (zh) * 2009-11-04 2012-12-19 中兴通讯股份有限公司 基于密钥管理服务器的媒体安全合法监听方法及系统
US20110153809A1 (en) 2009-12-23 2011-06-23 Microsoft Corporation Legal Intercept
US9544334B2 (en) 2011-05-11 2017-01-10 Alcatel Lucent Policy routing-based lawful interception in communication system with end-to-end encryption

Also Published As

Publication number Publication date
KR20130138333A (ko) 2013-12-18
US20120287922A1 (en) 2012-11-15
WO2012154420A1 (en) 2012-11-15
EP2708052A1 (en) 2014-03-19
US9544334B2 (en) 2017-01-10
CN103748908A (zh) 2014-04-23
CN103748908B (zh) 2018-02-06
JP2014519256A (ja) 2014-08-07
KR101501399B1 (ko) 2015-03-10

Similar Documents

Publication Publication Date Title
JP5763267B2 (ja) エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受
US9537837B2 (en) Method for ensuring media stream security in IP multimedia sub-system
JP5870156B2 (ja) Imsシステムにおけるエンド・ツー・エッジのメディア保護のための方法および装置
US8725885B1 (en) Securely establishing ice relay connections
WO2015180654A1 (zh) 一种保密通信实现方法及装置
Westerlund et al. Options for securing RTP sessions
KR101297936B1 (ko) 단말기 간의 보안 통신 방법 및 그 장치
WO2016033764A1 (en) Establishment of a secure connection for a communication session
Karopoulos et al. PrivaSIP: Ad-hoc identity privacy in SIP
US20150150076A1 (en) Method and device for instructing and implementing communication monitoring
US11218515B2 (en) Media protection within the core network of an IMS network
Fajardo et al. End-to-middle-to-end solution for IMS media plane security
Al Saidat et al. Develop a secure SIP registration mechanism to avoid VoIP threats
Traynor et al. Vulnerabilities in Voice over IP
Bhupathiraju Security aspects in voice over IP systems
Westerlund et al. RFC 7201: Options for Securing RTP Sessions
van Gelder Media Security in Open IMS Core

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141222

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150403

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150610

R150 Certificate of patent or registration of utility model

Ref document number: 5763267

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees