專利名稱:竊聽方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在分組網(wǎng)絡諸如GPRS(通用分組無線電業(yè)務)或者UMTS(通用移動電信系統(tǒng))網(wǎng)絡中合法竊聽的竊聽方法和系統(tǒng)。
背景技術(shù):
合法的竊聽的規(guī)定是國家的法律要求的��,通常是強制性的����。時常,根據(jù)合法的授權(quán)��,要求網(wǎng)絡運營商和/或者服務提供商使特定的竊聽管理機構(gòu)或者執(zhí)法機關(guān)(LEA)得到有關(guān)具體身份的可用竊聽結(jié)果�����。
存在著竊聽的各個方面�。各個國家的法律描述在什么條件下和具有什么限制竊聽是允許的。如果LEA希望使用合法的竊聽作為工具����,它將要求檢查官或者其它負責的主體合法的授權(quán)���,諸如授權(quán)令(warrant)。如果授予合法的授權(quán)�,LEA將提供合法的授權(quán)給訪問提供商�����,提供從用戶的終端通過管理接口或者過程訪問該網(wǎng)絡�����、該網(wǎng)絡運營商或者服務提供商的權(quán)限�。在授權(quán)合法的竊聽時,竊聽相關(guān)信息(IRI)和相應的通信內(nèi)容傳送給LEA�。
具體地說,合法的授權(quán)可以描述IRI和允許傳送用于這個LEA的通信內(nèi)容��、調(diào)查����、期間和竊聽主題。對于不同的LEA和不同的調(diào)查�,可以應用不同的約束,進一步限制由法律設置的一般界限����。竊聽主題還可以以不同的方式在合法的授權(quán)中描述���,例如用戶地址,物理地址�,業(yè)務等等。
這樣的合法的竊聽功能在新的移動數(shù)據(jù)網(wǎng)絡(諸如GPRS和UMTS)的分組交換部分中也需要��。
合法的竊聽是基于EU委員會決議��,它涉及所有的電信系統(tǒng)�,不僅僅是移動電信系統(tǒng)。歐洲通信標準學會(ETSI)已經(jīng)定義了另外的技術(shù)要求����。這些要求定義三個接口X1管理的任務(可以是以書面或者傳真)
X2網(wǎng)絡信令(接近實時)X3竊聽的用戶數(shù)據(jù)(接近實時)接口X1傳送竊聽請求,授權(quán)文件���,加密密鑰等等����。三個接口的準確的定義由本地的法律和管理機構(gòu)負責����。
迄今為止已經(jīng)建議了幾個方法�。根據(jù)集線器方法�,一個集線器加到GPRS干線,使得所有的會話經(jīng)過該集線器����。系統(tǒng)的益處是SGSN(在服務GPRS支持節(jié)點)和GGSN(網(wǎng)關(guān)GPRS支持節(jié)點)不必知道有關(guān)合法的竊聽功能的任何事情。集線器由偽GGSN接口和偽SGSN接口組成����,它們之間安排一個合法的竊聽節(jié)點(LIN)���。
但是�,這個方法的缺點是可伸縮性��。LIN必須能夠處理干線中的所有的數(shù)據(jù)分組�����。而且�,它構(gòu)成單個故障點。如果LIN崩潰��,整個網(wǎng)絡將中止����。因此�����,LIN是非常昂貴的���,可能是整個網(wǎng)絡中最昂貴的單元。
圖1表示另一個所謂的SGSN/GGSN方法的原理方框圖�,整個竊聽功能集成到一個組合的SGSN/GGSN單元。每個物理SGSN/GGSN單元以自己的X1接口鏈接到一個管理的功能�����。
根據(jù)圖1���,傳送GPRS竊聽消息的訪問方法是基于從被竊聽的用戶通過SGSN/GGSN單元發(fā)送給另一方的分組的復制����。復制的分組發(fā)送給用于將相應的IRI和通信內(nèi)容傳送給LEA的傳送功能�。
如果存在幾個SGSN/GGSN單元,這個系統(tǒng)不具有單個故障點�。而且,在新的合法的竊聽能力可以與每個增加的新的SGSN/GGSN單元安裝到該干線的意義上它是可伸縮的。但是���,利用每個安裝的新的SGSN/GGSN單元����,要求到管理功能的新的接口并且沒有對UMTS的自然的擴充路徑�����。
本發(fā)明概要本發(fā)明的一個目的是提供一個靈活的和可伸縮的竊聽方法和系統(tǒng)����。
這個目的是由在分組網(wǎng)絡中用于執(zhí)行合法竊聽的竊聽方法實現(xiàn)的,包括步驟
提供具有用于竊聽數(shù)據(jù)分組的竊聽功能的第一網(wǎng)絡單元����;由在第二網(wǎng)絡單元中實現(xiàn)的竊聽控制裝置控制該竊聽功能��;和從第一個網(wǎng)絡單元通過分組網(wǎng)絡發(fā)送竊聽的數(shù)據(jù)分組給提供接口到至少一個竊聽管理機構(gòu)的竊聽網(wǎng)關(guān)單元�����。
另外�����,上面的目的由用于在分組網(wǎng)絡中執(zhí)行合法竊聽的竊聽系統(tǒng)實現(xiàn)了,包括第一網(wǎng)絡單元�,具有用于竊聽數(shù)據(jù)分組的竊聽功能和構(gòu)成用于發(fā)送竊聽的數(shù)據(jù)分組到該分組網(wǎng)絡的發(fā)送裝置;在第二網(wǎng)絡單元中實現(xiàn)的并且控制該竊聽功能的一個竊聽控制裝置���;和一個竊聽網(wǎng)關(guān)單元�����,具有用于接收該竊聽的數(shù)據(jù)分組的一個接收裝置和用于提供到至少一個竊聽管理機構(gòu)的一個接口的一個接口裝置�����。
因此�,竊聽控制和網(wǎng)關(guān)功能可以從處理用戶數(shù)據(jù)的網(wǎng)絡單元中去除����。因此,可以獲得下面的優(yōu)點�����。
該系統(tǒng)是容易地可伸縮的�,因為新的LIN能力可以隨著負荷增加而增加。因此,LIN自己是可與個人計算機相比的�����。而且�����,竊聽網(wǎng)關(guān)功能可以分布在幾個單元�,其中可以從一個LIN建立幾個隧道而不給它增加硬件。以相同的方式��,由在第二網(wǎng)絡單元實現(xiàn)的竊聽控制裝置控制的竊聽功能可以發(fā)送竊聽的數(shù)據(jù)分組給另一個網(wǎng)絡單元或者多個其它網(wǎng)絡單元��。
如果LIN失效��,一些竊聽功能可能不可得到�,但是該網(wǎng)絡仍然能夠工作。即使LIG的故障不保持該網(wǎng)絡�。LIN和LIG實際上是可熱交換的(hot swappable)�����,即它們可以被代替而不中斷該網(wǎng)絡的運行���。
此外���,諸如點對多點服務中心或者多媒體消息服務中心的新的網(wǎng)絡單元可以加到該網(wǎng)絡���。但是,這不要求新的合法的竊聽功能集成在里面��。對于UMTS節(jié)點也是這樣��,即使由于更高的帶寬它們要求更強大的處理器也不例外�����。因此��,相同的干線同時地支持GPRS和UMTS二者�,使得對第三代系統(tǒng)的擴充簡單化了。
由于僅僅LIG包括到LEA的Xn接口��,它可以充當對不同的LEA要求的一個中間設備�����。在要求變化時����,僅僅LIG需要重新編程�。LIG和/或者LIN甚至可以作為獨立的可定做的產(chǎn)品銷售給其它(非移動的)IP網(wǎng)絡�。
竊聽網(wǎng)關(guān)單元也可以集成在第二網(wǎng)絡單元中。
最好由第一網(wǎng)絡單元讀出數(shù)據(jù)分組的標題并且復制被竊聽的數(shù)據(jù)分組�。竊聽的數(shù)據(jù)分組可以使用安全的隧道發(fā)送給竊聽網(wǎng)關(guān)單元,安全的隧道可以通過加密處理實現(xiàn)��。因此���,不要求獨立的傳輸線路��,而獨立的傳輸線路正是易受到運營商人員的物理攻擊�。
在獨立的網(wǎng)絡段中安排第一網(wǎng)絡單元和竊聽網(wǎng)關(guān)單元的情況下��,竊聽的數(shù)據(jù)分組可以通過互配單元發(fā)送和在互配單元之間加密���。
最好�����,在移動分組網(wǎng)絡的每個網(wǎng)絡段中提供具有竊聽功能的一個第一網(wǎng)絡單元。
此外�����,在竊聽網(wǎng)關(guān)單元中收集接收的竊聽的數(shù)據(jù)分組并且提供給至少一個竊聽管理機構(gòu)的一個接口。該接口可以包括用于管理任務的第一接口��,用于網(wǎng)絡信令的第二接口和用于竊聽的用戶數(shù)據(jù)的第三接口����。
第一網(wǎng)絡單元的竊聽功能可以包括分組探測和濾波功能。特別地��,竊聽功能可以在Gn接口(除去任何傳輸)中實現(xiàn)���。詳細地說�,竊聽功能可以包括讀出數(shù)據(jù)分組����,分析數(shù)據(jù)分組的標題以獲知是否應該竊聽該數(shù)據(jù)分組,和發(fā)送該數(shù)據(jù)分組給竊聽網(wǎng)關(guān)單元����,以及用于竊聽和傳輸標準的一個管理功能。
最好在已經(jīng)檢測到第一網(wǎng)絡單元的機殼損壞或者另一個事故時�,可以給竊聽網(wǎng)關(guān)單元發(fā)送一個告警并且可以刪除相應的第一網(wǎng)絡單元的所有的竊聽信息。因此����,可以防止對竊聽數(shù)據(jù)的不需要的訪問��。
而且�����,假的分組可以從第一個網(wǎng)絡單元發(fā)送給竊聽網(wǎng)關(guān)單元���。假的分組可以隨機發(fā)送或者在任何經(jīng)過的分組處觸發(fā)。這可用這樣的方式進行總的竊聽的負荷和發(fā)送給竊聽網(wǎng)關(guān)單元的假的分組是恒定的�����。因此���,操作人員不能使用定時分析檢測誰的分組正被竊聽���。另外,如果竊聽的數(shù)據(jù)分組的負荷是恒定的���,就不能確定真正的竊聽活動����。
另外,竊聽的數(shù)據(jù)分組可以總是填補到最大長度���,這進一步妨礙竊聽活動。
最好一個時間標記可以加到該竊聽的數(shù)據(jù)分組����。因此,在傳送到竊聽管理機構(gòu)之前竊聽信息可以存儲在慢的或者脫機的存儲器中�����,使得第一網(wǎng)絡單元�、竊聽控制裝置和竊聽網(wǎng)關(guān)單元的實時要求以及竊聽管理機構(gòu)可以脫開。
第一網(wǎng)絡單元可以包括一個讀出裝置���,用于讀出接收數(shù)據(jù)分組的標題和用于復制被竊聽的數(shù)據(jù)分組�??梢园才胚@個讀出裝置填充該復制的數(shù)據(jù)分組到最大長度。
而且���,第一網(wǎng)絡單元可以是諸如BG(邊界網(wǎng)關(guān))���、GGSN(網(wǎng)關(guān)GPRS支持節(jié)點)的網(wǎng)關(guān)單元和諸如SGSN(在服務GPRS支持節(jié)點)的服務節(jié)點����。在這種情況下�����,在竊聽的連接上的信息最好可以存儲在相應的連接的PDP環(huán)境信息中���,它是用于以正確的方式路由連接的數(shù)據(jù)分組的記錄����。因此�,每次路由分組時,關(guān)于數(shù)據(jù)分組是否需要竊聽的信息隨時可得到�。因此,用于竊聽功能要求的資源可以最小化���。
第一網(wǎng)絡單元可以包括一個控制裝置����,根據(jù)從竊聽網(wǎng)關(guān)單元接收的竊聽設置指令控制竊聽和加密處理�。
此外,竊聽網(wǎng)關(guān)單元可以包括一個存儲器裝置,在接收的竊聽數(shù)據(jù)分組提供給接口裝置之前存儲該接收的竊聽數(shù)據(jù)分組�。而且,竊聽網(wǎng)關(guān)單元可以包括一個解密裝置��,用于解密接收的竊聽數(shù)據(jù)分組�,一個提取裝置,用于從假的數(shù)據(jù)分組中提取竊聽的數(shù)據(jù)分組��,和在將接收的竊聽數(shù)據(jù)分組存儲在存儲器裝置之前用于增加時間信息到接收的竊聽數(shù)據(jù)分組的一個裝置���。
第一網(wǎng)絡單元可以包括一個檢測裝置,用于檢測第一網(wǎng)絡單元機殼的損壞�����,和一個傳信裝置����,為響應該檢測裝置的輸出而發(fā)告警信號通知竊聽網(wǎng)關(guān)單元。
附圖簡要描述在下面����,根據(jù)優(yōu)選實施例參考附圖更詳細地描述本發(fā)明,其中
圖1表示執(zhí)行合法的竊聽的已知系統(tǒng)的原理方框圖��,圖2表示根據(jù)本發(fā)明的優(yōu)選實施例執(zhí)行合法的竊聽的一個系統(tǒng)的原理方框圖,圖3表示根據(jù)本發(fā)明的優(yōu)選實施例執(zhí)行合法的竊聽的一個方法的流程和信息傳遞圖��,圖4表示根據(jù)本發(fā)明的優(yōu)選實施例通過分組網(wǎng)絡連接到竊聽網(wǎng)關(guān)的一個竊聽節(jié)點的原理方框圖���。
優(yōu)選實施例的描述在下面�,根據(jù)諸如GPRS或者UMTS網(wǎng)絡的移動分組網(wǎng)絡描述根據(jù)本發(fā)明的方法和系統(tǒng)的優(yōu)選實施例���,如圖2中所示的����。
根據(jù)圖2�,可能包括一個以太網(wǎng)段或者僅僅一個SGSN的遠程站點和總部以太網(wǎng)段連接到ATM WAN(異步傳輸模式廣域網(wǎng))。具有GGSN或者BG的每個段具有合法的竊聽節(jié)點(LIN)或者分組探測器���。遠程獨立的SGSN不必具有LIN����。LIN沒有必要是一個獨立的網(wǎng)絡單元����,但是可以集成到與GGSN或者BG相同的物理單元。
安排LIN作為無源的分組探測器����,用于讀出和復制竊聽的數(shù)據(jù)分組�����。每個以太網(wǎng)段必須具有一個LIN�����,以使通過干線發(fā)送的所有的數(shù)據(jù)分組可以被竊聽�����。應當注意,獨立的LIN要求一個廣播干線����,諸如以太網(wǎng),而由GPRS支持節(jié)點(GSN)實現(xiàn)的LIN能夠共享相同的接口和竊聽所有的數(shù)據(jù)分組���。LIN可以在任何GSN(包括SGSN)中實現(xiàn)�。
安排每個LIN作為一個分組探測器和濾波器�,實質(zhì)上是具有以太網(wǎng)接口和GTP協(xié)議組的個人計算機。在實施中�,每個LIN可能實現(xiàn)正如在GSM技術(shù)規(guī)范09.60中定義的一個Gn接口。在這種情況下,安排LIN作為一個無源的偵聽節(jié)點����,它能夠讀出GPRS隧道協(xié)議(GTP)。然而��,盡管有無源的偵聽功能�,仍安排LIN通過相同的物理接口發(fā)送給LIG,該接口還運行Gn接口�,但是在不同的TCP(傳輸控制協(xié)議)或者UDP(用戶數(shù)據(jù)報協(xié)議)端口。
由LIN竊聽的數(shù)據(jù)分組是由合法的竊聽網(wǎng)關(guān)(LIG)收集�,再提供給至少一個竊聽管理機構(gòu)(LEA)的X1,X2和X3接口����。在幾個LEA連接到一個LIG的情況下,LEA甚至可以訪問具有不同的授權(quán)的相同的目標連接���,即��,一個LEA僅通過X2接口監(jiān)視該目標連接����,而同時另一個LEA也使用X3接口執(zhí)行竊聽�。
配置LIN在最高電平竊聽��。因此LIG的任務是僅僅傳送竊聽消息中授權(quán)相應的LEA接收的那部分����。用這種方式����,關(guān)于傳送的信息的種類和目的地的判定集中在LIG,使得LIN的結(jié)構(gòu)可以保持簡單�����。
在總部以太網(wǎng)�����,相應的LIN和LIG可以集成在單個網(wǎng)絡單元中�,如圖3中所示的�����。作為選擇���,獨立的LIN和LIG可以在以太網(wǎng)段中提供����。
通過該網(wǎng)絡發(fā)送的呼叫通過三個功能,即BG��,GGSN或者SGSN中的兩個功能����。為了經(jīng)濟的原因,為每個具有一個GGSN或者BG的端裝備一個LIN是足夠的�。因此,任何呼叫可以被竊聽����。
在下面參照圖3描述根據(jù)優(yōu)選實施例執(zhí)行合法的竊聽的方法。圖3表示一個流程和信息傳遞圖���,它是從頂部到底部讀出的����。
根據(jù)圖3���,從LEA向LIG發(fā)出初始的竊聽請求�。實際上����,LEA傳送合法的授權(quán)給網(wǎng)絡運營商�、訪問提供者或者服務提供商���。網(wǎng)絡運營商�����、訪問提供者或者服務提供商從合法的授權(quán)中給出的信息中確定有關(guān)的目標身份���。然后,網(wǎng)絡運營商�、訪問提供者或者服務提供商命令用于控制LIN的竊聽功能的竊聽控制單元,以提供相應的竊聽信息給有關(guān)的目標身份的LIN�����。竊聽控制單元可以安排在LEA(正如在圖3的情況下)中或者在獨立的網(wǎng)絡單元中���。
隨后,竊聽控制單元通過分組網(wǎng)絡發(fā)送要求的LIN設定給相應的LIN���。響應LIN設定的接收����,LIN執(zhí)行分組竊聽和根據(jù)它們的標題信息復制被竊聽的那些分組。然后��,加密竊聽的分組和產(chǎn)生假的分組并且加到該竊聽分組��。這些加密的和模糊的數(shù)據(jù)分組通過相應的互配單元(IWU)通過ATM WAN發(fā)送給該LIG�����。由于加密處理�����,建立了安全的隧道���,雖然竊聽的數(shù)據(jù)分組通過分組網(wǎng)絡的常規(guī)信道發(fā)送�����。
但是�����,應注意�����,只要可以建立要求的安全性���,任何其它種類的傳輸和/或者傳輸信道都可以實現(xiàn)在優(yōu)選實施例中發(fā)送竊聽數(shù)據(jù)分組���。
在LIG,收集和評估接收數(shù)據(jù)分組�����,以便產(chǎn)生竊聽相關(guān)的數(shù)據(jù)(IRI)和竊聽通信的內(nèi)容����,最后通過X3接口發(fā)送給LEA。
在下面參照圖4更詳細地描述LIN和LIG�����。應當注意�����,根據(jù)圖2的互配單元IWU在圖4中沒有表示��。
根據(jù)圖4����,安排LIN執(zhí)行下面的功能,這也可以作為軟件單元或者作為離散的硬件單元建立�。
LIN包括一個交換裝置14,用于從該網(wǎng)絡接收和向該網(wǎng)絡發(fā)送數(shù)據(jù)分組��,并將其提供給分組讀出裝置11�,在這里讀出提取的數(shù)據(jù)分組的標題和分析該數(shù)據(jù)分組是否應該竊聽。竊聽的數(shù)據(jù)分組提供給安排用于加密數(shù)據(jù)分組從而實現(xiàn)安全的隧道的一種加密裝置12�。另外,加密的數(shù)據(jù)分組可以提供給用于增加假的分組從而搞混竊聽活動的一個裝置13���。加密的和假的數(shù)據(jù)分組提供給交換裝置14�����,以便通過ATMWAN發(fā)送到LIG���。假的分組可以在任何時間發(fā)送或者由任何經(jīng)過的分組處觸發(fā)。而且�,可以安排分組讀出裝置11或者加密裝置12以便填充竊聽的分組到最大長度。
此外,控制裝置15可以執(zhí)行控制�,以便將該竊聽的數(shù)據(jù)分組延遲一個隨機的期間,從而使得它難于確定誰在竊聽�。但是,在這種情況下���,定義實際的竊聽瞬時或者該延遲的附加信息應該加到發(fā)送給LIG的數(shù)據(jù)分組��。
通常�����,應該提供合法的竊聽分組的恒定負荷�����,而與真正的竊聽活動無關(guān)�����。提供恒定的竊聽負荷有助于計費��,排除監(jiān)視竊聽業(yè)務����,和模糊真正的截聽活動。
此外���,LIN包括一個控制裝置15,用于根據(jù)關(guān)于竊聽標準和安全的隧道的竊聽控制信息控制LIN的其它裝置����,它是從在LIG或者獨立的網(wǎng)絡單元中提供的竊聽控制單元通過交換裝置14接收的。
另外��,可以提供檢測裝置(未示出)用于檢測LIN機殼的損壞���。在這種情況下���,還可以提供傳信裝置(未示出)用于發(fā)送告警給LIG和命令控制裝置15,以便從LIN存儲器(未示出)中擦除所有的竊聽信息����,諸如濾波器設定等等。而且��,可以安排檢測裝置也檢測LIN的其它故障�����,諸如電源故障或者其他的故障,其中安排傳信裝置發(fā)出相應的告警給LIG����。
安排LIG作為LIN的主裝置和向至少一個LEA提供用戶接口27。LIG可以是個人計算機�����,微計算機或者大型機�。特別地,可以安排LIG執(zhí)行下面功能���,這也可以作為軟件或者硬件單元實現(xiàn)��。
安排接口27提供Xn接口給至少一個LEA���,其中在提供幾個LEA的情況下,接口模塊可以提供用于每個LEA���。此外����,提供交換裝置21用于從ATM WAN通過安全的隧道接收竊聽的數(shù)據(jù)分組和通過交換裝置14發(fā)送LIN設定以及其它控制信息到LIN的控制裝置15�����。
通過安全的隧道接收的竊聽的數(shù)據(jù)分組和假的分組從交換裝置14提供給解密裝置22,安排解密裝置22去掉竊聽分組的LIN加密��。此外�����,可以提供提取裝置23用于去掉復制和可能的假分組或者填充信息�����。LIN加密和復制或者假的分組已經(jīng)去除的竊聽的數(shù)據(jù)分組提供給時間標記產(chǎn)生裝置24�����,時間標記加到竊聽的數(shù)據(jù)分組�,以便在存儲器25中存儲竊聽的數(shù)據(jù)分組之前提供一個時間基準�,存儲器25構(gòu)成用于竊聽信息的大容量存儲器。
時間標記應該盡可能快地添加��,或者它甚至可能已經(jīng)加到相應的LIN�,使得可以無需時間標記產(chǎn)生裝置24。由于該時間標記�����,在傳送給LEA之前,竊聽信息可以存儲在存儲器25中�����。因此��,不要求實時處理���。
此外���,在LIG中提供控制裝置26并且安排控制LIG的每個單元?��?刂蒲b置26可以包括幾個控制單元�����,用于接口27的每個LEA接口模塊�����。而且�,控制裝置26可以包括竊聽控制單元,通過交換裝置21和14發(fā)送一個相應的控制信息給LIN的控制裝置15�,用于管理LIN設定作為主功能。
應注意���,LIN的位置不局限于LAN段�,但是LIN可能作為GPRS單元的一部分實現(xiàn)��,例如GGSN或者BG本身�。
一般地,有兩個方式配置用于竊聽的LIN�。一種方式是傳送每個竊聽授權(quán)給每個LIN�。這意味著將定義用于竊聽的目標連接的完整目標登記傳送給每個LIN。如果有許多目標連接����,LIN必須相對所有的目標連接檢驗每個數(shù)據(jù)分組,這是耗時的任務���。
配置LIN的更有效方式是僅僅在竊聽控制單元存儲整個目標登記�����,正如已經(jīng)提到的�,竊聽控制單元可能在LIG或者另一個網(wǎng)絡單元中提供。在每個PDP環(huán)境激活中�����,相應的LIN發(fā)送激活請求的拷貝給竊聽控制單元�,竊聽控制單元檢驗它的目標登記,以獲知是否涉及目標連接��。如果如此��,配置LIN用于竊聽��。
在環(huán)境禁用或者在竊聽請求期滿時�����,目標從在LIN中提供的實際的竊聽表中去除�����。
因此�,控制LIN的竊聽信息是GPRS網(wǎng)絡單元保持的PDP(分組數(shù)據(jù)協(xié)議)環(huán)境的一部分并且用于以正確的方式路由連接的分組。關(guān)于被竊聽的目標連接的信息存儲在相應連接的PDP環(huán)境信息中����。因此每次路由分組時�,在PDP環(huán)境中存儲的竊聽信息可隨時得到�����。因此���,LIN竊聽表可以保持得非常短���,導致LIN的處理速度增加。但是����,因為該環(huán)境具有長壽命,竊聽控制單元必須存儲所有的有效環(huán)境的登記�����,以使當從LEA接收竊聽請求時��,它能夠檢查目標連接是否具有進行的任何打開會話�。如果如此�����,相應地配置有關(guān)的LIN竊聽表。
而且����,本發(fā)明不局限于描述的GPRS或者UMTS網(wǎng)絡并且可用于各種分組網(wǎng)絡,諸如IP網(wǎng)絡����。因此,上面描述的優(yōu)選的實施例和附圖僅僅是要說明本發(fā)明�����。本發(fā)明的優(yōu)選的實施例可以在所附的書的范圍內(nèi)變化���。
總之��,描述了在諸如GPRS或者UMTS網(wǎng)絡的分組網(wǎng)絡中執(zhí)行合法竊聽的竊聽方法和系統(tǒng)�。提供具有用于竊聽數(shù)據(jù)分組的竊聽功能的第一網(wǎng)絡單元���,所述竊聽功能由在第二網(wǎng)絡單元實現(xiàn)的竊聽控制裝置控制����,其中從第一個網(wǎng)絡單元通過分組網(wǎng)絡將竊聽的數(shù)據(jù)分組發(fā)送給竊聽網(wǎng)關(guān)單元,竊聽網(wǎng)關(guān)單元向竊聽管理機構(gòu)提供一個接口��。竊聽數(shù)據(jù)分組通過由加密處理提供的安全的隧道發(fā)送�。竊聽控制裝置和竊聽網(wǎng)關(guān)單元二者可以集成在第二網(wǎng)絡單元中。竊聽系統(tǒng)具有可伸縮性的明顯優(yōu)點��,沒有單個故障點����,對不同的管理機構(gòu)接口的適應僅僅可以在竊聽網(wǎng)關(guān)中實現(xiàn)。對于所有的不同的管理機構(gòu)要求��,網(wǎng)絡單元可以高度類似�。
權(quán)利要求
1.在分組網(wǎng)絡中用于執(zhí)行合法竊聽的竊聽方法,包括步驟a)提供具有用于竊聽數(shù)據(jù)分組的竊聽功能的第一網(wǎng)絡單元(LIN)��;b)由在第二網(wǎng)絡單元(LIG)中實現(xiàn)的竊聽控制裝置(26)控制所述竊聽功能�;和c)通過所述分組網(wǎng)絡從所述第一網(wǎng)絡單元(LIN)發(fā)送竊聽數(shù)據(jù)分組給一個竊聽網(wǎng)關(guān)單元(LIG),該竊聽網(wǎng)關(guān)單元提供接口給至少一個竊聽管理機構(gòu)(LEA)�。
2.根據(jù)權(quán)利要求1的方法,其特征在于所述竊聽網(wǎng)關(guān)單元(LIG)集成在所述第二網(wǎng)絡單元����。
3.根據(jù)權(quán)利要求1或者2的方法�����,其特征在于由所述網(wǎng)絡單元(LIN)讀取的數(shù)據(jù)分組的標題和要被竊聽的數(shù)據(jù)分組被復制。
4.根據(jù)前面的任何一個權(quán)利要求的方法��,其特征在于使用安全的隧道所述竊聽數(shù)據(jù)分組被發(fā)送到所述竊聽網(wǎng)關(guān)單元(LIG)����。
5.根據(jù)權(quán)利要求4的方法,其特征在于所述安全的隧道通過加密處理實現(xiàn)���。
6.根據(jù)前面的任何一個權(quán)利要求的方法�����,其特征在于在所述第一網(wǎng)絡單元(LIN)和所述竊聽網(wǎng)關(guān)單元(LIG)安排在獨立的網(wǎng)絡段中時���,所述竊聽數(shù)據(jù)分組通過互配單元(IWU)發(fā)送并在所述互配單元之間加密。
7.根據(jù)前面的任何一個權(quán)利要求的方法��,其特征在于所述第一網(wǎng)絡單元在所述分組網(wǎng)絡的每個網(wǎng)絡段中提供�����。
8.根據(jù)前面的任何一個權(quán)利要求的方法�,其特征在于在所述竊聽網(wǎng)關(guān)單元(LIG)中收集接收的竊聽數(shù)據(jù)分組并且提供給所述至少一個竊聽管理機構(gòu)(LEA)的一個接口���。
9.根據(jù)權(quán)利要求8的方法,其特征在于所述接口包括用于管理任務的第一接口�����,用于網(wǎng)絡信令的第二接口和用于竊聽的用戶數(shù)據(jù)的第三接口�。
10.根據(jù)前面的任何一個權(quán)利要求的方法,其特征在于所述竊聽功能包括一個分組探測和濾波功能����。
11.根據(jù)權(quán)利要求10的方法,其特征在于所述竊聽功能是在Gn接口中實現(xiàn)的��。
12.根據(jù)前面的任何一個權(quán)利要求的方法��,其特征在于所述竊聽功能包括讀出數(shù)據(jù)分組���,分析數(shù)據(jù)分組的標題以獲知該數(shù)據(jù)分組是否應該竊聽��,和發(fā)送該數(shù)據(jù)分組給所述竊聽網(wǎng)關(guān)單元(LIG)���,以及用于竊聽和傳輸標準的管理功能。
13.根據(jù)前面的任何一個權(quán)利要求的方法����,其特征在于發(fā)送一個告警給所述竊聽網(wǎng)關(guān)單元(LIG),并且在已經(jīng)檢測到相應的網(wǎng)絡單元的機殼損壞時�����,刪除相應的網(wǎng)絡單元(LIN)的所有的竊聽信息�����。
14.根據(jù)前面的任何一個權(quán)利要求的方法�����,其特征在于假的分組從所述網(wǎng)絡單元(LIN)發(fā)送到所述竊聽網(wǎng)關(guān)單元(LIG)�。
15.根據(jù)權(quán)利要求14的方法,其特征在于所述假的分組隨機的發(fā)送或者在任何經(jīng)過的分組處觸發(fā)��,使得竊聽的總的負荷和發(fā)送給所述竊聽網(wǎng)關(guān)單元(LIG)的假的分組是恒定的����。
16.根據(jù)前面的任何一個權(quán)利要求的方法,其特征在于所述竊聽數(shù)據(jù)分組被填補到最大長度����。
17.根據(jù)前面的任何一個權(quán)利要求的方法����,其特征在于時間信息被加到所述竊聽數(shù)據(jù)分組����。
18.在分組網(wǎng)絡中用于執(zhí)行合法竊聽的竊聽系統(tǒng),包括a)第一網(wǎng)絡單元(LIN)����,具有用于竊聽數(shù)據(jù)分組的竊聽功能并且包括用于發(fā)送竊聽的數(shù)據(jù)分組到所述分組網(wǎng)絡的一個發(fā)送裝置(14);b)一個竊聽控制裝置(26)���,在第二網(wǎng)絡單元(LIG)中實現(xiàn)并且控制所述竊聽功能���;和c)一個竊聽網(wǎng)關(guān)單元(LIG),具有用于接收所述竊聽數(shù)據(jù)分組的一個接收裝置(21)和用于提供一個接口給至少一個竊聽管理機構(gòu)(LEA)的一個接口裝置(27)��。
19.根據(jù)權(quán)利要求18的系統(tǒng)�,其特征在于所述第二網(wǎng)絡單元對應于所述竊聽網(wǎng)關(guān)單元(LIG)。
20.根據(jù)權(quán)利要求18或者19的系統(tǒng)��,其特征在于所述第一網(wǎng)絡單元(LIN)還包括一個加密裝置(12)���,用于加密所述竊聽的數(shù)據(jù)分組�����。
21.根據(jù)權(quán)利要求18至20的任何一個權(quán)利要求的系統(tǒng)�,其特征在于所述第一網(wǎng)絡單元(LIN)還包括用于產(chǎn)生與所述竊聽的數(shù)據(jù)分組一起發(fā)送的假分組的一個裝置(13)����。
22.根據(jù)權(quán)利要求18至21的任一個權(quán)利要求的系統(tǒng),其特征在于所述第一網(wǎng)絡單元(LIN)包括用于讀出接收數(shù)據(jù)分組的標題和用于復制被竊聽的數(shù)據(jù)分組的一個讀出裝置(11)�。
23.根據(jù)權(quán)利要求22的系統(tǒng),其特征在于安排所述讀出裝置(11)填充所述復制的數(shù)據(jù)分組至最大長度�。
24.根據(jù)權(quán)利要求18至23的任一個權(quán)利要求的系統(tǒng),其特征在于所述第一網(wǎng)絡單元(LIN)是所述分組網(wǎng)絡的一個網(wǎng)關(guān)單元�。
25.根據(jù)權(quán)利要求18至23的任一個權(quán)利要求的系統(tǒng),其特征在于所述第一網(wǎng)絡單元(LIN)是一個BG���、一個SGSN或者一個GGSN���。
26.根據(jù)權(quán)利要求24或者25的系統(tǒng),其特征在于定義要竊聽的數(shù)據(jù)分組的竊聽信息包括在提供給所述第一網(wǎng)絡單元(LIN)的環(huán)境信息中����,且用于路由數(shù)據(jù)分組。
27.根據(jù)權(quán)利要求26的系統(tǒng)�����,其特征在于所述竊聽控制裝置(26)包括用于存儲竊聽表的一個存儲裝置,和其中安排所述竊聽控制裝置(26)增加所述竊聽信息到提供給所述第一網(wǎng)絡單元的所述環(huán)境信息��。
28.根據(jù)權(quán)利要求18至27的任一個權(quán)利要求的系統(tǒng)���,其特征在于所述第一網(wǎng)絡單元(LIN)安排在所述分組網(wǎng)絡的每個段中�����。
29.根據(jù)權(quán)利要求18至28的任一個權(quán)利要求的系統(tǒng)��,其特征在于所述第一網(wǎng)絡單元(LIN)包括一個控制裝置(15)�,用于根據(jù)從所述竊聽控制裝置(26)接收的竊聽設置指令控制竊聽和加密處理�。
30.根據(jù)權(quán)利要求18至29的任一個權(quán)利要求的系統(tǒng),其特征在于所述竊聽網(wǎng)關(guān)單元(LIG)包括一個存儲器裝置(25)�����,用于在將接收的竊聽數(shù)據(jù)分組提供給所述接口裝置(27)之前存儲接收的竊聽數(shù)據(jù)分組���。
31.根據(jù)權(quán)利要求30的系統(tǒng)�����,其特征在于所述竊聽網(wǎng)關(guān)單元(LIG)包括一個解密裝置(22)�����,用于消除接收的竊聽數(shù)據(jù)分組的加密��,一個提取裝置(23)�,用于從假的數(shù)據(jù)分組中提取竊聽的數(shù)據(jù)分組���,和一個裝置(24)�����,用于在所述存儲器裝置(25)中存儲所述竊聽的數(shù)據(jù)分組之前��,將時間信息添加到所述接收的竊聽數(shù)據(jù)分組���。
32.根據(jù)權(quán)利要求18至31的任何一個權(quán)利要求的系統(tǒng),其特征在于所述第一網(wǎng)絡單元(LIN)包括一個檢測裝置��,用于檢測它的故障和/或者損壞��,和傳信裝置,用于響應所述檢測裝置的輸出����,而發(fā)出告警通知所述竊聽網(wǎng)關(guān)單元(LIG)。
33.分組網(wǎng)絡的一個網(wǎng)絡單元�����,包括a)一個竊聽裝置(11�,15),用于竊聽從所述分組網(wǎng)絡接收的數(shù)據(jù)分組���,和b)一個發(fā)送裝置(14)���,用于通過所述分組網(wǎng)絡將所述竊聽的數(shù)據(jù)分組發(fā)送給竊聽網(wǎng)關(guān)單元,c)其中所述竊聽裝置由安排在另一個網(wǎng)絡單元(LIG)中的竊聽控制裝置(26)控制�。
34.用于分組網(wǎng)絡的竊聽系統(tǒng)的一個竊聽網(wǎng)關(guān),包括a)一個接收裝置(21)�����,用于通過所述分組網(wǎng)絡從具有竊聽功能的網(wǎng)絡單元(LIN)接收竊聽的數(shù)據(jù)分組���;和b)一個接口裝置(27)����,用于提供一個接口給竊聽管理機構(gòu)(LEA)。
35.根據(jù)權(quán)利要求34的竊聽網(wǎng)關(guān)單元��,還包括一個竊聽控制裝置(26)�����,用于控制所述網(wǎng)絡單元(LIN)的所述竊聽功能�����。
全文摘要
描述了在諸如GPRS或者UMTS網(wǎng)絡的分組網(wǎng)絡中執(zhí)行合法竊聽的竊聽方法和系統(tǒng)�����。提供具有竊聽數(shù)據(jù)分組的竊聽功能的第一網(wǎng)絡單元,所述竊聽功能由在第二網(wǎng)絡單元實現(xiàn)的竊聽控制裝置控制,其中從第一個網(wǎng)絡單元通過分組網(wǎng)絡將竊聽的數(shù)據(jù)分組發(fā)送給竊聽網(wǎng)關(guān)單元,該竊聽網(wǎng)關(guān)單元為竊聽管理機構(gòu)提供一個接口�����。竊聽數(shù)據(jù)分組通過由加密處理提供的安全的隧道發(fā)送�。竊聽控制裝置和竊聽網(wǎng)關(guān)單元二者可以集成在第二網(wǎng)絡單元中����。竊聽系統(tǒng)具有可伸縮性的明顯優(yōu)點,沒有單個故障點,對不同的管理機構(gòu)接口的適應僅僅可以在竊聽網(wǎng)關(guān)中實現(xiàn)。對于所有的不同的管理機構(gòu)要求,網(wǎng)絡單元可以高度類似。
文檔編號H04L12/26GK1338169SQ99815603
公開日2002年2月27日 申請日期1999年1月14日 優(yōu)先權(quán)日1999年1月14日
發(fā)明者拉塞·希普萊南 申請人:諾基亞網(wǎng)絡有限公司