特許第5763267号(P5763267)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > アルカテル−ルーセント

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ アルカテル−ルーセントの特許一覧

特許5763267エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受
<>
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000002
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000003
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000004
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000005
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000006
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000007
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000008
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000009
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000010
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000011
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000012
  • 特許5763267-エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受 図000013
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5763267
(24)【登録日】2015年6月19日
(45)【発行日】2015年8月12日
(54)【発明の名称】エンドツーエンド暗号化を用いる通信システムにおけるポリシールーティングに基づく合法的傍受
(51)【国際特許分類】
   H04L 12/721 20130101AFI20150723BHJP
   H04L 12/70 20130101ALI20150723BHJP
【FI】
   H04L12/721 Z
   H04L12/70 D
   H04L12/70 100Z
【請求項の数】10
【全頁数】21
(21)【出願番号】特願2014-510350(P2014-510350)
(86)(22)【出願日】2012年4月27日
(65)【公表番号】特表2014-519256(P2014-519256A)
(43)【公表日】2014年8月7日
(86)【国際出願番号】US2012035342
(87)【国際公開番号】WO2012154420
(87)【国際公開日】20121115
【審査請求日】2014年1月7日
(31)【優先権主張番号】13/212,788
(32)【優先日】2011年8月18日
(33)【優先権主張国】US
(31)【優先権主張番号】61/484,897
(32)【優先日】2011年5月11日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】391030332
【氏名又は名称】アルカテル−ルーセント
(74)【代理人】
【識別番号】110001173
【氏名又は名称】特許業務法人川口國際特許事務所
(72)【発明者】
【氏名】ヘツク,ジヨン・フレデリツク
(72)【発明者】
【氏名】サンダラム,ガナパテイー・エス
(72)【発明者】
【氏名】バーニー,ダグラス・ウイリアム
【審査官】 松崎 孝大
(56)【参考文献】
【文献】 特開2009−088959(JP,A)
【文献】 特表2011−511510(JP,A)
【文献】 国際公開第2009/044472(WO,A1)
【文献】 米国特許出願公開第2010/0083364(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/721
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
通信ネットワークにおいて第1のコンピューティングデバイスと第2のコンピューティングデバイスとの間で交換される暗号化された通信を傍受するための方法であって、傍受が通信ネットワークの第3のコンピューティングデバイスによって行われ、方法が、
第3のコンピューティングデバイスが、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスと関連するエンドツーエンド暗号化セッションの一部として暗号化された1つまたは複数のパケットを取得するステップであって、1つまたは複数のパケットが第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つと関連する所与のパケットアドレスを有、1つまたは複数のパケットが、非傍受パケットトラフィックをそれを通じてルーティングすることも担う通信ネットワーク中の少なくとも1つの要素で少なくとも1つの傍受ルーティングポリシーが実施されることに応じて第3のコンピューティングデバイスによって取得され、少なくとも1つの傍受ルーティングポリシーが、所与のパケットアドレスを有するパケットを第3のコンピューティングデバイスに転送するように構成され、第3のコンピューティングデバイスが1つまたは複数の取得されたパケットを、第1のコンピューティングデバイスを含むパケットの送信元に対して確立されたセキュリティアソシエーションを用いてそこに含まれるデータを取得するために復号する、取得するステップと、
第3のコンピューティングデバイスが、1つまたは複数の取得されたパケットが第3のコンピューティングデバイスによって取得されたと分からないように1つまたは複数の取得されたパケットの所与のパケットアドレスを保存するステップと、
3のコンピューティングデバイスが第2のコンピューティングデバイスを含むパケットの宛先に対して確立されたセキュリティアソシエーションを用いて1つまたは複数の取得されたパケットを再暗号化し、1つまたは複数のパケットをパケットの宛先に転送するステップとを含
パケットの宛先に転送された1つまたは複数のパケットが、所与のパケットアドレスを有し、
傍受ルーティングポリシーが、パケットの送信元およびパケットの宛先から第3のコンピューティングデバイスにベアラフローを再ルーティングする、方法。
【請求項2】
傍受ルーティングポリシーが実施される通信ネットワークの要素が、第3のコンピューティングデバイスが接続されたローカルエリアネットワークに接続されたデバイスを含む、請求項1に記載の方法。
【請求項3】
要素が、スイッチング要素を含む、請求項2に記載の方法。
【請求項4】
傍受ルーティングポリシーが、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つと関連するパケットアドレスを有する1つまたは複数のパケットが第3のコンピューティングデバイスに転送されるように、スイッチング要素において転送テーブルを変更することによってスイッチング要素で実施される、請求項3に記載の方法。
【請求項5】
第3のコンピューティングデバイスが1つまたは複数のパケットを復号するステップをさらに含む、請求項4に記載の方法。
【請求項6】
第3のコンピューティングデバイスが、1つまたは複数のパケットをパケットの宛先に転送する前に、1つまたは複数のパケットをコピーするステップ、および第3のコンピューティングデバイスが、1つまたは複数のコピーされたパケットを復号のために別のエンティティに転送するステップをさらに含む、請求項4に記載の方法。
【請求項7】
傍受ルーティングポリシーが実施される通信ネットワークの要素が、第3のコンピューティングデバイスから離れたデバイスを含む、請求項1に記載の方法。
【請求項8】
要素が、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つが介して通信ネットワークにアクセスするルーティング要素を含む、請求項7に記載の方法。
【請求項9】
第3のコンピューティングデバイスがルーティング要素と仮想プライベートネットワーク(VPN)トンネルを確立するステップをさらに含む、請求項8に記載の方法。
【請求項10】
通信ネットワークにおいて第1のコンピューティングデバイスと第2のコンピューティングデバイスとの間で交換される暗号化された通信を傍受するための装置であって、
メモリと、
メモリに結合され、
第1のコンピューティングデバイスおよび第2のコンピューティングデバイスと関連するエンドツーエンド暗号化セッションの一部として暗号化される1つまたは複数のパケットを取得し、1つまたは複数のパケットが第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つと関連する所与のパケットアドレスを有、1つまたは複数のパケットが、非傍受パケットトラフィックをそれを通じてルーティングすることも担う通信ネットワーク中の少なくとも1つの要素で少なくとも1つの傍受ルーティングポリシーが実施されることに応じて取得され、少なくとも1つの傍受ルーティングポリシーが、所与のパケットアドレスを有するパケットを第3のコンピューティングデバイスに転送するように構成される、
1つまたは複数の取得されたパケットを、第1のコンピューティングデバイスを含むパケットの送信元に対して確立されたセキュリティアソシエーションを用いてそこに含まれるデータを取得するために復号する
1つまたは複数の取得されたパケットが第3のコンピューティングデバイスによって取得されたと分からないように1つまたは複数の取得されたパケットの所与のパケットアドレスを保存する、
第2のコンピューティングデバイスを含むパケットの宛先に対して確立されたセキュリティアソシエーションを用いて1つまたは複数の取得されたパケットを再暗号化する、
つまたは複数のパケットをパケットの宛先に転送する
ように動作するプロセッサとを備え
パケットの宛先に転送された1つまたは複数のパケットが、所与のパケットアドレスを有し、
傍受ルーティングポリシーが、パケットの送信元およびパケットの宛先から第3のコンピューティングデバイスにベアラフローを再ルーティングする、装置。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、2011年5月11日に出願され、「Lawful Intercept in IMS System with End−to−End Encryption」という名称の第61/484,897号として認定された米国仮特許出願に基づく優先権を主張し、その開示を全体として本明細書に引用により組み込む。
【0002】
実施形態は、概して通信セキュリティに関し、より詳細には、エンドツーエンド暗号化を用いる通信環境における情報の合法的傍受のための技術に関する。
【背景技術】
【0003】
インターネットプロトコル(IP)通信および電話システムが、広く一般に採用されている。2つのクライアント間のエンドツーエンドIP通信の最初の例の1つに、インスタントメッセージングがあったが、この後すぐにボイスオーバIPが続き、現在では多くのプロバイダ(例えば、ネットワーク事業者およびアプリケーションプロバイダ)がエンドツーエンドのビデオオーバIPを提供している。しかしながら、こうした傾向は主として、ワイヤレスモバイルネットワークアクセスが狭帯域の回線交換アクセス網により支配されてきたという状況から、有線の固定ネットワークに限定されていた。しかしながら、最近の広帯域4G(第4世代)ワイヤレスネットワークの配備は、アクセスタイプによらず、エンドツーエンドに、IP通信によるあらゆる形式のマルチメディアに対して準備を整えている。
【0004】
エンドツーエンドのIPセッションへの移行に伴い、市場は、こうしたオープンIPネットワークをめぐるセキュリティおよびプライバシーに対する関心ならびに意識の復活を示している。第1のステップとして、エンドツーエンド暗号化および認証が、広く注目されつつあるパラダイムである。商取引を含む最近のインターネット取引および企業イントラネットのアクセスは、現在10年間にわたってエンドツーエンドでセキュリティ保護されているが、IPによる会話型アプリケーションをセキュリティ保護することは、大部分がアプリケーションプロバイダに任せられている。
【0005】
インターネットプロトコル(IP)マルチメディアサブシステム(IMS)を使用するようなオールIPネットワークの出現とともに、音声、映像、およびメッセージングサービスを提供するネットワーク事業者またはその他が、エンドツーエンドのセキュリティを提供することがますます必要となっている。例えば、ディフィー−ヘルマン(Diffie−Hellman)に基づく鍵交換を用いて、2つの通信エンドポイント間でエンドツーエンド暗号化セッションを行うことが可能であり、たとえ別の当事者がこの2つのエンドポイント間のすべての通信(ベアラフロー)を取得できたとしても、この当事者は依然としてベアラフローを復号することはできないようにする。
【0006】
しかしながら、セキュリティアソシエーション(security associations)の合法的または適法の傍受および発見を支援する要求に従うことができる必要があることが知られている。例えば、このようなセキュリティアソシエーションの適法の傍受および発見は、法執行の目的で、または単に法執行ではないある目的で、必要である可能性があり、それによって、当事者および/またはデバイス間で送信される暗号化された情報を容易に復号できることが必要である、または望ましい。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】IETF RFC 6267
【非特許文献2】IETF RFC 3261
【非特許文献3】IETF RFC 2327
【非特許文献4】IETF RFC 3711
【発明の概要】
【課題を解決するための手段】
【0008】
例示の実施形態は、エンドツーエンド暗号化を用いた通信環境において情報を合法的に傍受するための技術を提供する。
【0009】
例えば、1つの例示的実施形態では、通信ネットワークにおいて第1のコンピューティングデバイスと第2のコンピューティングデバイスとの間で交換される暗号化された通信を傍受するための方法では、傍受は通信ネットワーク中の第3のコンピューティングデバイスによって行われ、この方法は次のステップを含む。第3のコンピューティングデバイスは、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちの1つと関連するパケットアドレスを有する1つまたは複数のパケットを取得する。1つまたは複数のパケットは、通信ネットワーク中の少なくとも1つの要素で実施されている少なくとも1つの傍受ルーティングポリシーに応じて、第3のコンピューティングデバイスによって取得され、1つまたは複数の取得されたパケットは、そこに含まれるデータを取得するために復号することができる。第3のコンピューティングデバイスは、取得されたパケットの1つまたは複数のパケットアドレスを保存する。第3のコンピューティングデバイスは、この1つまたは複数のパケットを、第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちのパケットの宛先のコンピューティングデバイスに転送し、したがって第1のコンピューティングデバイスおよび第2のコンピューティングデバイスのうちのパケットの宛先のコンピューティングデバイスは、この1つまたは複数のパケットが第3のコンピューティングデバイスによって傍受されたことを、1つまたは複数のパケットから検出することができない。
【0010】
有利には、第3のコンピューティングデバイスは、通信ネットワーク中の少なくとも1つの要素において少なくとも1つの傍受ルーティングポリシーを実施し、監視下で1つまたは複数のパケットのパケットアドレスを保存する結果として、監視下でパケットを透過的に傍受することができる。第3のコンピューティングデバイスがポリシー有効ネットワーク要素に対してローカルであるシナリオ、および第3のコンピューティングデバイスがポリシー有効ネットワーク要素のリモートであるシナリオについて、様々な例示の実施形態を提供する。
【0011】
これらのおよびその他の目的、特徴、ならびに利点は、添付の図面と併せて読まれる例示的実施形態の次の詳細な説明から明らかになるであろう。
【図面の簡単な説明】
【0012】
図1】鍵ネゴシエーションにMIKEY−IBAKEプロトコルを使用するネットワークにおける通信のエンドツーエンドセキュリティを示す図である。
図2】通信のエンドツーエンドセキュリティを用いるネットワークにおける合法的傍受への例示的手法を示す図である。
図3】通信のエンドツーエンドセキュリティを用いるネットワークにおけるセッションボーダコントローラを用いた合法的傍受への例示的手法を示す図である。
図4】本発明の第1の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。
図5】本発明の第2の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。
図6】本発明の第3の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。
図7】本発明の第4の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。
図8】本発明の第5の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。
図9】本発明の第6の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。
図10】本発明の第7の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。
図11】本発明の第8の実施形態によるエンドツーエンドセキュリティを用いるネットワークにおける通信のポリシールーティングに基づく合法的傍受の方法を示す図である。
図12】本発明の実施形態による方法およびプロトコルの1つまたは複数を実施するのに好適なデータネットワークおよび通信(コンピューティング)デバイスの汎用ハードウェアアーキテクチャを示す図である。
【発明を実施するための形態】
【0013】
本明細書で使用する「マルチメディア通信システム」という語句は、一般的に、メディアプレーンを通じて、これらに限定されないが、テキストベースのデータ、グラフィックベースのデータ、音声ベースのデータ、およびビデオベースのデータを含む、1つまたは複数のタイプのメディアを伝送することができる任意の通信システムと定義される。
【0014】
本明細書で使用する「メディアプレーン」という語句は、一般的に、呼セッションにおいて1つまたは複数のタイプのメディアを2人以上の当事者の間で交換する基準となる、マルチメディア通信システムの機能部分として定義される。これは、呼セッションを確立するために呼のネゴシエーション/スケジューリングを行う基準となる、マルチメディア通信システムの機能部分である「制御プレーン」と対照をなしている。併せて発明の技術を使用することができるメディアプレーンの利用例には、ボイスオーバIP(VoIP)、インスタントメッセージング(IM)、ビデオ/音声IM、ビデオ共有、およびビデオオーバIPが含まれるが、これらに限定されない。メディアプレーンは、アプリケーション層のトラフィックを含むことがわかる。しかしながら、本明細書に記載する合法的セキュリティアソシエーションの発見技術は、通信システムのいかなるプレーンまたはレイヤにも適用することができる。
【0015】
本明細書で使用する「鍵」という用語は、一般的に、例えばエンティティの認証、プライバシー、メッセージの完全性などのような、ただしこれらに限定されない、暗号プロトコルへの入力と定義する。
【0016】
本明細書で使用する「セキュリティアソシエーション」という語句は、2人以上の当事者および/またはデバイスが通信する通信環境におけるセキュリティの定義を指す。1つの例では、セキュリティの定義は、セッションキーを含むことができるが、これに限定されない。
【0017】
本明細書で使用する「クライアント」は、一般的には、1人もしくは複数のユーザ、当事者、またはエンティティが、別のクライアントのような、1人もしくは複数の他の通信デバイスまたは他のコンピューティングシステムとの通信環境において通信できるようにする通信デバイスまたはその他のコンピューティングシステムもしくはデバイスを指すことができる。本明細書で使用する「クライアント」はまた、一般的には、コンピューティングデバイス上のアプリケーションまたは他のコンピュータプログラムを指すこともできる。したがって、クライアントという用語は、以下ではデバイスと呼ぶことがあるが、クライアントという用語はハードウェアに限定されず、ソフトウェア、またはその組合せである可能性があることを理解されたい。
【0018】
本明細書で使用する「通信セッション」は、一般的には、2つのデバイス間の通信のために、少なくとも2つの通信デバイスまたは他のコンピューティングシステム(例えば、クライアント)間の接続を指す。したがって、本明細書で使用する「エンドツーエンド」(EtE)通信セッションは、一般的には、一方のデバイス(例えば、クライアント)から他方のデバイス(例えば、クライアント)への接続経路全体を指す。また、通信セッションに参加している2人以上のクライアントは、「エンドポイントのデバイス」または単に「エンドポイント」と呼ぶこともできる。しかしながら、「エンドポイント」という用語は、クライアントデバイス以外のあるネットワーク中の要素とすることができることを理解されたい。例えば、呼がPSTNへ行くとき、レガシー電話は、通常エンドツーエンド暗号化に対応していないため、暗号化はゲートウェイ要素で終了されなければならない場合がある。実際には、ゲートウェイは、別のネットワーク上にある可能性がある。しかしやはり、クライアントのエンドポイントとゲートウェイのエンドポイントとの間のこのEtE通信について検討する。したがって、本明細書に記載する合法的セキュリティアソシエーションの発見技術は、クライアントだけでなく、いかなるコンピューティングデバイスまたは通信デバイスにも適用することができる。
【0019】
本明細書で使用する「アプリケーション」(または「アプリケーションプログラム」)は、一般的には、実行されると1つまたは複数の所与の機能を行う1つまたは複数のコンピュータプログラムを指す。
【0020】
本明細書で使用する「合法的な」(または「適法の」)という用語は、一般的には、公的または私的権威エンティティと関連する1つまたは複数の順守要件または指針を満たしていると定義する。このような権威エンティティは、法執行機能または非法執行機能を提供することができる。すなわち、合法的(適法の)という用語は、法執行に限定されるよう意図しておらず、法執行でない意味の順守を含むこともできる。
【0021】
例えば、企業は、情報技術(IT)の記録保存および様々なアプリケーションに関連する取引の詳細に関する様々な順守要件を有すると理解される。また、通信アプリケーションは、コンバージェンスの結果、アプリケーションのこのポートフォリオの増加部分になりつつあり、EtE暗号化の場合には、鍵を取得するための透過的な方式が必要であることが理解される。また、ますます多くの会話が呼センタによって記録されており、しばしば会話が記録されていると告げられるものの、すべての会話が記録されているわけではない。このことがEtEと結び付けられて(エンドポイントが一般的に異なるネットワークにあって、物理的に2つの異なる国にある可能性があるという事情によって)、透過的な方式で「選択的に傍受する」機能を提供することが重要になる。これは法的要件ではないが、ますます重要になりつつある。
【0022】
本発明の実施形態について、本明細書ではIMSおよびLTEのような例示のネットワーク環境の背景で説明する。しかしながら、本発明の実施形態は、このようなネットワークに限定されず、他の通信システムにおいて実施できることを理解されたい。すなわち、本発明の実施形態は、通信のエンドポイントによって事実上検出できない方法で合法的傍受(発見)を行うことができる必要のある、エンドツーエンドの鍵生成およびその後の通信の暗号化を用いるいかなる好適な通信ネットワークにも適用できる。
【0023】
上述のように、IMSネットワークのようなネットワークにおいて、エンドツーエンド暗号化セッションを、たとえある当事者が2つのエンドポイント間の通信をすべて読み取ることができたとしても、依然としてベアラフローを容易に復号できないように作成できることが知られている。この目的を達成するセキュリティアソシエーション生成プロトコルの一例が、2011年6月の日付でインターネットエンジニアリングタスクフォース(Internet Engineering Task Force、IETF)RFC 6267に記載されているMIKEY−IBAKE(Multimedia Internet KEYing − Identity Based Authentication Key Exchange)プロトコルであり、その開示内容は本明細書に引用により組み込まれる。
【0024】
MIKEY−IBAKEプロトコルは、信頼できる鍵管理サービスに依存する、MIKEYプロトコルのフレームワークを使用した鍵管理プロトコルの変形である。詳細には、この変形は、参加クライアントが相互認証を行って、非対称アイデンティティに基づく暗号化フレームワークでセッションキーを派生させることができるようにするIBAKE鍵交換フレームワークを使用する。このフレームワークは、相互認証を提供することに加えて、アイデンティティベースの暗号化によくある鍵預託問題を解消し、過去情報および未来情報の完全な秘匿(perfect forward and backwards secrecy)を提供する。
【0025】
図1は、MIKEY−IBAKEプロトコルによるIMSネットワークにおける通信のエンドツーエンドのセキュリティを示す。全体的に示すように、第1のエンドポイント(コンピューティングデバイス)102−A(「Alice」と示す)が、上記のMIKEY−IBAKEプロトコルを使用するIMSネットワーク104を通じて第2のエンドポイント(コンピューティングデバイス)102−B(「Bob」と示す)とセッションキーの生成をネゴシエートする。知られているように、MIKEY−IBAKEの鍵生成は、IETF RFC 3261に記載されるセッション開始プロトコル(SIP)の一部である、IETF RFC 2327に記載されるセッション記述プロトコル(SDP)を使用して実行され、これらの開示内容は、本明細書に全体として引用により組み込まれる。
【0026】
MIKEY−IBAKEプロトコルを使用してセッションキーが確立されると、エンドポイント102−Aとエンドポイント102−Bとの間でIMSネットワーク104にわたって暗号化された通信を交換することができる。知られているように、このような通信(例えば、セキュリティ保護されるアプリケーションが音声であるとき、音声ベアラフローまたは音声ベアラと呼ばれる)は、IETF RFC 3711に記載されるセキュアリアルタイム転送プロトコル(SRTP)に従って交換することができ、その開示内容は、本明細書に全体として引用により組み込まれる。
【0027】
図1に示すアーキテクチャのタイプの通信の合法的傍受を提供する1つの方法は、各エンドポイントになりすます能力を有する合法的傍受サーバ(LIS)を導入することであり、したがってエンドポイントのそれぞれが、他方のエンドポイントとシグナリングおよび通信していると信じているが、実際にはその相手はLISである。このような傍受手法では、2つのセキュリティアソシエーション、すなわちエンドポイント102−AとLISとの間の第1のセキュリティアソシエーション(セキュリティアソシエーション1)、およびエンドポイント102−BとLISとの間の第2のセキュリティアソシエーション(セキュリティアソシエーション2)が確立される。
【0028】
図2は、IMSネットワーク104中のLISがエンドポイント102−Aとエンドポイント102−Bとの間に置かれた例示的手法を示している。これは、LISが中間者(man−in−the−middle、MITM)として働いている1つの例示的手法であることを理解されたい。図2中のLISは、LISシグナリング要素202とLISベアラ要素204との間で分割されて示されていることに注意されたい。
【0029】
図のように、(LISのうちの)LISシグナリング要素202は、エンドポイント102−Aおよびエンドポイント102−Bと、それぞれセキュリティアソシエーション1およびセキュリティアソシエーション2を確立する。これは、上記のMIKEY−IBAKEプロトコルを使用して行うことができる。次に、この2つのセキュリティアソシエーションと関連する暗号化された通信が、(LISの)LISベアラ要素204を通過する。このような暗号化された通信は、SRTPによって交換される。LISは、入ってくるメッセージを復号し、その内容を傍受し、その後メッセージを暗号化して、これをその宛先に送信することができる。例えば、メッセージがエンドポイント102−Aによって暗号化されると仮定すると、ベアラ要素204はセキュリティアソシエーション1を認識するメッセージを受信して復号し、内容を読み取り、その後セキュリティアソシエーション2を認識するメッセージを暗号化して、これをエンドポイント102−Bに送信する。
【0030】
残念ながら、図2に示す合法的傍受のためのこの例のLIS手法では、エンドポイントはその通信セッションの間にLIS202/204が存在することを検出する可能性がある。エンドポイント102−Aは、エンドポイント102−Bから直接来るはずであるベアラのトラフィックが、実際にはポイントA(LIS)から来ていることを容易に検出する。エンドポイント102−Bは、ポイントB(やはりLIS)に対して同じ状況を容易に検出する。
【0031】
図3は、図2の基本的手法の検出可能性の問題を克服することを目的とするセッションボーダコントローラを用いた合法的傍受の手法を示している。LIS要素の存在を隠すことができるように、セッションボーダコントローラ(SBC)を、図3に示すようにIMSネットワーク104のそれぞれのエッジに導入する。すなわち、SBC302がエンドポイント102−AとLIS202/204との間に置かれて示され、SBC304がエンドポイント102−BとLIS202/204との間に置かれて示されている。例えば、SBC302を導入した結果として、エンドポイント102−Aが受信するすべてのトラフィックがSBC302(ポイントA’)を通過するようになる。したがって、LISはSBCの後方に隠れているので、LIS202/204を導入することによりインターネットプロトコル(IP)アドレスを変更することはない。エンドポイント102−Bに対して同様に(ポイントB’を通して)、SBC304がLISを隠す。
【0032】
SBCをIMSネットワークに導入することは有効である。しかしながら、これには欠点がある。SBCに基づく解決法の欠点は、資本および運用費用の観点からIMSネットワークの事業者にかなりの費用がかかることである。多くの場合、IMSネットワーク内の主要な費用項目は、SBC要素である。
【0033】
こうした欠点およびその他の欠点を克服するために、本発明の例示の実施形態は、1つもしくは複数の制御ネットワークルータまたはスイッチ、他のネットワークデバイスおよび/または要素に、それぞれ対象のエンドポイントのそれぞれから出るベアラフローをLISにリダイレクトするように命令することを提供する。これは、一般的には、こうしたネットワークルータもしくはスイッチ、他のネットワークデバイスおよび/または要素の1つまたは複数において、監督下の対象のインターネットプロトコル(IP)アドレスおよび(1つもしくは複数の)割り当てられたポートへの/からのトラフィックをLISへルーティングするよう、デバイス/要素に命令する1つまたは複数のルーティングポリシー(1つまたは複数の「合法的傍受ルーティングポリシー」)を実施することによって実現される。有利には、これは、(1つまたは複数の)対象のエンドポイントによる実際の検出から、合法的傍受の目的で使用されるアクティブLIS要素の存在を隠す。
【0034】
本発明の例示の実施形態は、例えば、LISがルーティングデバイス/要素と共に(例えばローカルエリアネットワークに)配置されるシナリオ、およびLISがルーティングデバイス/要素から離れて(例えば通信ネットワークまたは別のネットワークの他の場所に)存在するシナリオにおいて、監督下の(1つまたは複数の)対象(エンドポイント)および通信ネットワーク自体に、LISを検出できないようにする多種多様な方法を構想する。
【0035】
図4は、LIS(すなわち、LISシグナリング要素202およびLISベアラ要素204)が、同じローカルエリアネットワーク(LAN)で、合法的傍受ルーティングポリシーを管理しているルーティングデバイス/要素と接続される例示的場合を示している。図のように、LIS202/204は、ルータ402およびイーサネット(登録商標)スイッチ403と共に(「オフィス」401にある)共通のLANに配置されていると仮定する。この実施形態では、イーサネットスイッチ403は、エンドポイント102−AのIPアドレスおよび(1つまたは複数の)割り当てられたポートへの/からのトラフィックをLIS202/204へルーティングするポリシーを管理している。オフィス401は、ルータ406に接続されたシグナリングネットワーク404に接続されていることに注意する。ルータ406は、エンドポイント102−Bに接続されている。この例では「Alice」が監督下の対象であると仮定するが、LISは、「Bob」のトラフィックを合法的に傍受するためにルータ406と共に配置されることも可能である。イーサネットスイッチは、合法的傍受ルーティングポリシーを管理することができるネットワークデバイス/要素の一例にすぎないことも理解されたい。有利には、ネットワークデバイス/要素の少なくとも1つに合法的傍受ルーティングポリシーを導入すると、LISシグナリングおよびベアラ要素の存在は、モバイルインフラストラクチャの残りの部分に透過的にされる。
【0036】
図5は、関連ネットワーク要素がすべてローカルエリアネットワーク(LAN)の一部である別の例を示す。図は、図4に示す「オフィス」401のLANとすることができるLAN501を示す。LAN501は、(その地域のすべてのベアラパケットおよびシグナリングパケットを処理する)モバイルゲートウェイ504とともにレイヤ2/3スイッチ502を含んでいる。「レイヤ2/3」は、レイヤ2が「データリンク層」であり、レイヤ3が「ネットワーク層」である、開放型システム間相互接続(OSI)モデルを指すことは知られている。したがって、レイヤ2/3スイッチは、これらの2つのレイヤで動作するデータパケットスイッチである。
【0037】
この設定では、LISシグナリングおよびベアラエンティティ202/204は、次に同じLANに(例えば同じスイッチ上の別のポートに)接続することができ、監督下のすべてのパケットは、その後、スイッチの転送(またはルーティング)テーブルを変更することによって、適切なLISネットワーク要素に転送されることになる。転送テーブルの変更は、この特定の実施形態において、合法的傍受のルーティングポリシーの実施を構成する。例えば、Alice(エンドポイント102−A)が監視下にあると仮定し、Aliceはモバイルゲートウェイ504でアンカーされると考える。通常の環境下では、ゲートウェイ504でアンカーされるすべてのユーザのすべてのパケットが、そのゲートウェイを通過することになる。モバイルゲートウェイ504は、LAN501の一部であって、モバイルゲートウェイはレイヤ2/3スイッチ502のポートに物理的に接続されている。ゆえに、ゲートウェイ504へのパケットおよびゲートウェイ504からのパケットもまた、スイッチ502を通過することになる。スイッチ502が合法的傍受ルーティングポリシー有効スイッチである(すなわち、本発明の一実施形態に従った合法的傍受ルーティングポリシーが実装され、管理されている)、およびAliceは監視下にあると仮定すると、これにより、AliceへのパケットおよびAliceからのパケット、すなわちモバイルゲートウェイとネットワークの残りの部分との間のパケットは、LIS202/204を通るように強制されることになる。
【0038】
あるいは、このようなポリシーは、少なくとも部分的にLISインフラストラクチャ202/204に組み込むこともできる。この実施形態では、レイヤ2/3スイッチの転送テーブルを再構成することによって、ゲートウェイ504を出入りするすべてのパケットを、LISインフラストラクチャを通るように強制することができる。しかしながら、LISインフラストラクチャのポリシーエンジンは、その後、所与のパケットを調べるかどうかを決定する。当然ながら、さらなる代替的実施形態では、LIS機能自体(シグナリングおよびベアラ要素の機能)が、レイヤ2/3スイッチが実装された同じコンピューティングデバイスに実装されることも可能であり、この場合は、ルーティングポリシーは、LIS自体に完全に実装されるとみなされる。
【0039】
対象のパケットを受信すると、LISはパケットをコピーした後に、これをパケットの宛先(この例ではBob)に転送する。LISは、その後(暗号鍵の知識を用いて)コピーされたパケットを復号することができる、またはLISは、コピーされたパケットを復号のための別のエンティティ、例えば法執行機関に、転送することができる。
【0040】
LISは、パケットのヘッダ情報、具体的にはパケットの送信元IPアドレスおよび宛先IPアドレス(ただしこれらに限定されない)を保存し、したがって転送されるパケットが宛先にはLISからではなく送信元から来たように見えることにも注意する。これは、LISによって行うことができ、LISは、元のパケットのヘッダ情報の保存を確実にする論理(ハードウェア、ソフトウェア、および/またはその組合せ)を含むアプリケーション層で動作することが好ましい。
【0041】
したがって、LISがエンドポイント102−Aからのパケットを復号する実施形態を仮定すると、LISは、復号されたパケットのコピーを作成し、(リアルタイムで)このコピーを法執行機関に転送し、元のパケットを再暗号化して、これを宛先エンドポイント102−Bに送信する。LISは、元のパケットのヘッダ(IPアドレス、TCPポートなど)を保存しながら、この処理を行う。あるいは、LISが、鍵交換においてエンドポイント102−Aによって使用された擬似乱数を(PRG生成器を使用して)再形成し、したがってパケットを暗号化するためにエンドポイント102−Aおよび102−Bによって使用されるセッションキーを決定することができる実施形態を仮定する。この手法では、LISは、エンドポイント102−Aからの暗号化されたパケットのコピーを作成し、このコピーを鍵と共に法執行機関に送信することができる。LISは、元のパケットをそのままエンドポイント102−Bに転送する(やはり、IP送信元アドレスおよび他のヘッダ情報が有利には保存されることに注意する)。
【0042】
有利には、LISインフラストラクチャの存在は、ネットワークインフラストラクチャの残部、具体的にはエンドポイント102−Aおよび102−B(ただしこれらに限定されない)には透過的である。さらに、エンドポイント102−Aへのパケットおよびエンドポイント102−Aからのパケットは、これらがLISネットワーク要素を通して転送されたことをエンドポイントが知ることなく、適切なデバイス/要素を通過することになる。
【0043】
LISのこの透過性、および上述の合法的傍受のルーティングポリシーを実現するために少なくとも1つのネットワーク要素の転送テーブルを変更し、それによって監視下のパケットがLISに転送されるようにする手法により、図5に示す手法は、レイヤ2/3透過的オーバレイプロキシ手法(layer 2/3 transparent overlay proxy approach)と呼ばれることにも注意する。
【0044】
図6は、全体的に、図4および5との関連で示して上述した一般的なLANにおいてパケットの転送を行うことができないシナリオを示す。そうではなく、図6に示すように、LIS202/204は、合法的傍受のルーティングポリシーが実施され、管理されるネットワークデバイス/要素から離れていると仮定される。すなわち、ネットワークデバイス/要素602が合法的傍受のルーティングポリシーを管理して、エンドポイント102−AとLIS202/204との間に接続される一方、ネットワークデバイス/要素604が合法的傍受のルーティングポリシーを管理して、エンドポイント102−BとLIS202/204との間に接続される。したがって、ネットワークデバイス/要素602および604は、「ポリシー有効ルータ(policy−enabled router)」であるとみなされる。
【0045】
このようなシナリオでは、本発明のさらなる実施形態にしたがって、ポリシー有効デバイス/要素と関連LISネットワーク要素との間に、1つまたは複数の仮想プライベートネットワーク(VPN)のトンネルを確立することができる。このVPNトンネル手法を、図7から11と関連していくつかの実施形態で示す。VPNプロトコルは、パケットフローアクセスIPネットワークに安全で信頼できる転送を提供するメカニズムであり、様々なトンネリング(またはカプセル化)プロトコルを使用して「プライベートネットワーク」(またはより一般的には明確に定義された経路)を通るパケットフローを確実にすることを想起する。
【0046】
VPNの使用は、ポリシーが命令するとき、パケットがLISに確実に向かうようにし、ポリシー有効ネットワーク要素(ルータ)およびLISが2つの異なる場所にあるシナリオに対処することに注意する。しかしながら、VPNの使用だけでは、LISが宛先のエンドポイントにパケットを転送していることを隠すのに必ずしも十分ではないため、LISの透過性および検出不能性を実現するために、上述の同じまたは同様のヘッダ情報保護論理を、このVPN手法のLISに実装する。
【0047】
より詳細には、このVPN手法は、LISが、対象のエンドポイントのそれぞれからそれぞれ生じるベアラフローをLISで終わる1つまたは複数のVPNトンネルにリダイレクトする1つまたは複数のルーティングポリシーを通して1つまたは複数のネットワークルータを制御することによって実現することができる。LISは次に、パケットを処理するが、パケットのヘッダ情報を保存する(LIS自体がパケットを復号するか、復号を行う法執行機関にパケットを送信する)。
【0048】
有利には、これにより、アクティブLIS要素の存在を、対象エンドポイントによる実際の検出から隠すことができる。結果として、対象エンドポイントの1つがパケットを受信するとき、パケットはLIS要素ではなく送信エンドポイントから出たように見える。これは、例えば、VPNトンネル構築および実行の知られている原理を使用して、ネットワークルータが対象パケットをカプセル化し、LISと確立されたVPNトンネルを通じてこれらを送信し、LISが各フローのIPアドレス情報を保存して、上述のようにLISの存在を隠すためである。この例では、パケットがシグナリングフローおよびベアラフロー中の元のパケットの送信元IPアドレスおよび宛先IPアドレスを変更することなく、LIS要素へ、およびLIS要素からルーティングされることを確実にするために、セキュリティ面ではなく、VPNのトンネリング原理を活用する。
【0049】
したがって、例として、IMSネットワークが法執行機関からのある呼に対する一方または両方の当事者(本明細書で使用中の例ではAliceおよび/またはBob)への呼またはこれらからの呼を傍受するための法的要求を受信した場合、ネットワークは、Aliceが例えば最初のメッセージを送信するとき、呼のセットアップを検出することになる。
【0050】
1つの例示的実施形態では、LISは、SIPのB2BUA(back−to−back user agent)のような、いわゆる中間者(MITM)サーバとすることができる。知られているように、B2BUAが、呼または通信セッションの両エンドポイント間で動作し、通信チャネルを2つの呼の区間(leg)に分割し、呼の確立から終了まで、呼の両端間のすべてのSIPシグナリングを仲介する。このようなMITMの実施形態では、これによりLISは、MITMサーバがBobであると装って、Aliceと鍵を作成する役割を演じることができ、逆の場合も同様に演じることができる。実質的には、ベアラストリーム(すなわち、トラフィックパケット)を、法執行機関と共有することができる。
【0051】
当然ながら、LISは、MITMサーバまたはSIPのB2BUAに限定されないことを理解されたい。本発明の実施形態による合法的傍受のルーティングポリシーを実施し、管理することができる場所に関する柔軟性が広がるために、ネットワークの適切な場所にあるいかなるネットワークデバイス/要素もLISの役割を担うことができる。したがって、次の図7−11の実施形態では、合法的傍受機能は、一般的にLISとして示す。
【0052】
第1の例示的VPNトンネルの実施形態を図7に示す。図のように、エンドポイント102−A(Alice)および102−B(Bob)は、上述のように、セキュリティアソシエーションをセットアップするためのMIKEY−IBAKEメッセージ交換と併せたIMSネットワーク標準ごとのSIPシグナリング、およびベアラ情報の転送のためのSRTPをサポートするクライアントデバイスである。
【0053】
ポリシー有効ルータ702および704は、それぞれエンドポイント102−Aおよび102−Bのそれぞれから出るベアラフローを、LIS202/204で終わるVPNトンネル706にリダイレクトするように、LIS202/204によって制御される上述のネットワークルータである。図のように、706−Aは、エンドポイント102−AからMITMサーバまで確立されたVPNトンネルの一部であり、706−Bは、エンドポイント102−BからMITMサーバまで確立されたVPNトンネルの一部であることに注意する。当然ながら、2つの別個のVPNトンネルを確立することができ、この場合706−Aが1つのVPNトンネルとみなされ、706−Bがもう1つのVPNトンネルとみなされる。図7には2つのポリシー有効ルータ702および704を示しているが、対象通信セッションに参加している2つのエンドポイントの地理的位置に応じて1つのポリシー有効ルータを使用することができることを理解されたい。
【0054】
ポリシー有効ルータ702は、AliceのIPアドレスおよび割り当てられたポートからBobのIPアドレスおよび割り当てられたポートへ向かうトラフィックを、VPNトンネル706−AによってLIS(LISシグナリング要素)に転送するルータのポリシーを管理する。同様に、ポリシー有効ルータ704は、BobのIPアドレスおよび割り当てられたポートからAliceのIPアドレスおよび割り当てられたポートへ向かうトラフィックを、VPNトンネル706−BによってLIS(LISシグナリング要素)にルーティングするためのルータのポリシーを含む。
【0055】
上に説明したように、LISは、LISシグナリング要素202と、LISベアラ要素204とから構成される。LISシグナリング要素およびベアラ要素は別個に示しているが、これらは物理的に同じコンピューティングデバイス上に配置することができる(しかし、それにもかかわらずまとめてLISと呼ぶ)ことに注意する。
【0056】
また、IMSネットワーク104は、(明示していないが)P−CSCF(proxy−call session control function、プロキシ呼セッション制御機能)、I−CSCF(interrogating−call session control function、インテロゲーティング呼セッション制御機能)、S−CSCF(serving−call session control function、サービング呼セッション制御機能)、およびHSS(home subscriber server、ホーム当事者サーバ)など、典型的なIMS要素を含むと仮定することに注意する。当業者は、こうした典型的なIMS要素の相互接続性および機能を理解するであろう。
【0057】
また、LISがMITMサーバ/B2BUAである例示のシナリオについて、上記の説明のようにMIKEY−IBAKEプロトコルに従ってエンドポイント102−Aおよび102−Bに対して、セキュリティアソシエーション1および2がそれぞれLISによって確立されると仮定する。しかしながら、上記の説明のように、本発明の実施形態は、LISがMITMサーバまたはB2BUAとして実装されることに限定されない。
【0058】
1つの例として、通信フローの傍受に必要とされる図7の要素間の対話は、次のようである。
【0059】
(1)エンドポイント102−Aが、エンドポイント102ーBとのセッション(例えば、音声)を要求するシグナリング情報を送信し、SDP(Session Description Protocol(セッション記述プロトコル)IETF RFC 2327、この開示を全体として引用により本明細書に組み込む)において、上述のIETF RFC 6267に記載されるMIKEY−IBAKEプロトコルのメッセージ1を含める。
【0060】
(2)IMSネットワーク104は、呼を傍受する必要性を検出し、シグナリングをLISシグナリング要素204にルーティングする。
【0061】
(3)LISシグナリング要素204は、図8に示すように(また以下に説明するように)フローを実行する。このフローによりエンドポイント102−Aはエンドポイント102ーBと直接対話していると信じるようになり、逆もまた同様であるが、実際にはこれらのエンドポイントは共に(1つまたは複数の)LIS(シグナリングおよびベアラ)要素と直接応対している。
【0062】
(4)エンドポイント102−Aから出るSRTPパケットが、ポリシー有効ルータ702によって、LISベアラ要素204で終わるVPNトンネル706−Aへリダイレクトされ、エンドポイント102−Bから出るSRTPパケットが、ポリシー有効ルータ704によって、LISベアラ要素204で終わるVPNトンネル706−Bへリダイレクトされる。
【0063】
(5)LISベアラ要素204は、(以下に説明する)図8のフローで受信されたセキュリティアソシエーション情報を使用して、エンドポイント102−Aから受信されたSRTPパケット(セキュリティアソシエーション1)を復号し、明瞭な媒体(暗号化されていないパケット)を保存し、その後セキュリティアソシエーション2を使用してこれらを暗号化して、これらをエンドポイント102−Bに送信する。セキュリティアソシエーションは逆であるが同じ手順が、エンドポイント102−Aから受信されるSRTPパケット、およびエンドポイント102−Aに向かうSRTPパケットに適用される。SRTPパケットのヘッダは、LISベアラ要素204によって管理され、このSRTPパケットの送信時に使用される。これらのパケットは、上記のステップ4で(1つまたは複数の)トンネルを使用する必要がない。
【0064】
LISシグナリング要素202とポリシー有効ルータとの間の制御インタフェースは、CLI(Command Line Interface、コマンドラインインタフェース)と同じように単純であってもよく、またはSOAP(Simple Object Access Protocol、シンプルオブジェクトアクセスプロトコル)のAPI(Application Programming Interface、アプリケーションプログラミングインタフェース)のようにより柔軟性のあるインタフェースであってもよい。LISシグナリング要素に対する正しいポリシー有効ルータの発見は、IMSネットワーク内の既存のメカニズムを使用する。LISシグナリング要素とLISベアラ要素との間の制御プロトコルは、強化されたMSCML(Media Server Control Markup Language、メディアサーバ制御マークアップ言語)のようなアプリケーション制御層を有するSIPであることが好ましいが、H.248または専用の別の制御プロトコルであることも可能である。P−CSCFは、SIPメッセージからLISシグナリング要素のいかなる指示も除去した後に、これをエンドユーザに送信する。
【0065】
ここで図8を参照すると、LISシグナリング要素(図7の204)によって実行される例示的フローが示されている。この図では、LISはMITMサーバ(B2BUA)であると仮定する。しかしながら、上記のように、本発明の実施形態は、LISがMITMサーバ(B2BUA)であることに限定されない。
【0066】
ステップ802では、MITMシグナリング要素は、発呼者(エンドポイント102−Aを仮定する)からMIKEY−IBAKEメッセージ1(IETF RFC 6267)と共にinitial INVITEを受信する。
【0067】
LISシグナリング要素は、ステップ804において、発呼者(エンドポイント102−A)および被呼者(エンドポイント102−Bを仮定する)の秘密鍵を検索する。秘密鍵は、対象エンドポイントと関連する1つまたは複数の鍵管理サーバ(KMS、明示していない)から取得することができる。
【0068】
ステップ806において、LISシグナリング要素は、新しいMIKEY−IBAKEメッセージ1を作成し、これをINVITEで被呼者(エンドポイント102ーB)に送信する。
【0069】
ステップ808では、LISシグナリング要素は、MIKEY−IBAKEメッセージ2と共に被呼者(エンドポイント102−B)からSIPレスポンス(例えば、200 OK)を受信する。
【0070】
LISシグナリング要素は、ステップ810において、新しいMIKEY−IBAKEメッセージ2を作成し、これをSIPレスポンス(例えば、200 OK)で発呼者(エンドポイント102−A)に送信する。
【0071】
ステップ812において、LISシグナリング要素は、セキュリティアソシエーション1および2の情報と共に、制御シグナリングをLISベアラ要素(図7の204)に送信する。
【0072】
ステップ814では、LISシグナリング要素は、やはりAliceがエンドポイント102−Aであり、Bobがエンドポイント102−Bである、あらかじめ確立されたトンネル(図7の706−A)を通じてルーティングするように、5タプル(送信元:AliceのIPアドレス、ポート;宛先:BobのIPアドレス、ポート;プロトコル)のポリシールールを確立する制御メッセージをルータ1(図7の702)に送信する。
【0073】
ステップ816では、LISシグナリング要素は、制御メッセージを、5タプル(送信元:BobのIPアドレス、ポート;宛先:AliceのIPアドレス、ポート;プロトコル)のポリシールールを確立するルータ2(図7の704)に送信し、あらかじめ確立されたトンネル(図7の706−B)を通じてルーティングする。
【0074】
ステップ818において、LISシグナリング要素は、発呼者および被呼者(それぞれエンドポイント102−Aおよび102−B)とのMIKEY−IBAKE交換を完了する。
【0075】
第2の例示的VPNトンネルの実施形態を図9に示す。この実施形態では、エンドポイント102−Aおよび102−Bが、それぞれ902および904として示すLTEアクセスネットワークを介してIMSネットワーク104にアクセスすると仮定する。LTE(Long Term Evolution、ロングタームエボリューション)ネットワークは、UMTS(Universal Mobile Telecommunications System、ユニバーサルモバイル通信システム)規格を改良し、次世代モバイルブロードバンド用の進化したユーザ体験および簡易化した技術を提供するために開発された3GPP仕様のネットワークであることは知られている。LTE無線アクセス技術は、Evolved UMTS Terrestrial Radio Access(E−UTRA、発展型UMTS地上無線アクセス)として知られており、ネットワークは、Evolved Packet System(EPS、発展型パケットシステム)として知られている。LTEアクセスネットワークを示しているが、アクセスネットワークは、いかなる他の適切な無線(または有線でも)アクセスネットワークとすることもできることを理解されたい。
【0076】
LTEネットワーク(902および904)に大まかに示すように、エンドポイントが、サービングゲートウェイ(S−GW)と関連する基地局(enB)と接続している。したがって、図のようなLTEアクセスネットワークが使用されるとき、(図7および8との関連で上述した機能を行う)ポリシー有効ルータ702および704はプロキシゲートウェイ(P−GW)である。
【0077】
ポリシー有効ルータがLTEアクセスネットワークにおいてP−GWとして実装されること以外は、2つのエンドポイント(102−Aおよび102−B)間の通信の合法的傍受は、図7および8との関連で上述したものと同じ方式で、すなわち有利には、例えばエンドポイントからLISを隠すのに役立つようにVPNトンネルを使用して動作する。
【0078】
第3の例示的VPNトンネルの実施形態を図10に示し、図9の実施形態に基づく。やはりLTEアクセスネットワークを想定するが、ここではP−GW(702/704)はポリシーおよび課金ルール機能(policy and charging rules function、PCRF 1002/1008)によって制御され、PCRFは、P−CSCF(1004/1010)によりRxインタフェースを介して制御を行うための指示を受信する。この実施形態では、LISに対する図8のフローは、合法的傍受ポリシーリダイレクト(Lawful Intercept Policy Redirect)のためにSIPヘッダに指示を含めるように変更される。P−CSCFがS−CSCF(1006/1012)からSIPメッセージ中のこの指示を受け取ると、CSCFは合法的傍受ポリシーリダイレクトのためにRxインタフェースを通じて指示を提供する。次にPCRFは、Gxインタフェースを通じてP−GWに同様の指示を提供する。この実施形態の変更形態は、PCRFが、標準的なGxインタフェースを使用してトンネルへルーティングするためのあらかじめ存在するポリシールールを備えており、特化された合法的傍受ポリシーリダイレクトのAVP(アトリビュートバリューペア)を提供する必要がないことに注意する。
【0079】
図11の第4の例示的VPN実施形態は、図10の実施形態に基づく。LISベアラは、ワイドエリアネットワーク(WAN)にわたってトンネル数またはトンネルの転送量を削減するために、直接P−GWと関連付けられる。図11の実施形態では、一方のエンドポイント102−Aが1つのP−GW(702)によって担当され、他方のエンドポイント102−Bは別のP−GW(704)によって担当されると仮定すると、2つのLISベアラ要素204−Aおよび204−Bが、それぞれ合法的傍受に含まれる。図のように、LISベアラ要素204−Aが、エンドポイント102−Aから出ているセッションを取り込み、LISベアラ要素204−Bがエンドポイント102−Bから出ているセッションを取り込む。
【0080】
有利には、上記の実施形態に従って説明するように、本発明の例示の原理により、合法的傍受の対象となるネットワークにおいて、セッションボーダコントローラ(SBC)を組み込むことを必要とせずに、エンドツーエンド通信セッションの暗号化サービスを提供することができる。
【0081】
図12は、例示の実施形態による1つもしくは複数の方法を実施するのに好適な、ネットワーク環境およびコンピューティングデバイスの形式の通信デバイスの汎用ハードウェアアーキテクチャを示す。
【0082】
図12は、例示のエンティティの2つのみについて詳細な部分構成要素を示しているが、他のエンティティが同じ構成を有することができることを理解されたい。したがって、上述の合法的傍受に関しては、詳細に示す2つのエンティティは、LISサーバ202/204、およびポリシー有効ルータ702/704(もしくはレイヤ2/3スイッチ502)である。しかしながら、エンドポイント102−Aおよび102−Bは、LTE(またはその他)ネットワーク902/904の構成要素、PCRF 1002/1008、P−CSCF 1004/1010、S−CSCF 1006/1012、その他の機能要素、さらなるクライアント装置(当事者)、さらなるサーバ、およびさらなるネットワーク要素を、図12のコンピューティングデバイスに示すものと同じアーキテクチャで実装することができる。しかしながら、簡単にするために、本明細書で説明するプロトコルに参加することができるコンピューティングデバイス(通信デバイス)をすべて図12に示しているわけではないことを理解されたい。
【0083】
図のように、コンピューティングデバイス(LIS)1210とコンピューティングデバイス(ポリシー有効ルータまたはレイヤ2/3スイッチ)1220が、ネットワーク1230を介して結合される。ネットワークは、デバイスが通信することができるいかなるネットワークとすることもでき、例えば上述の実施形態のように、ネットワーク1230は、単に例示としては、ネットワーク事業者によって運営されるセルラ通信ネットワークのような、公衆アクセス可能なワイドエリア通信ネットワークを含むことができる。また、LISおよびポリシー有効デバイスが一緒に置かれている場合、ネットワーク1230は、LAN(例えば、図5の501)とすることができる。しかしながら、実施形態は、特定のタイプのネットワークに限定されない。
【0084】
当業者には容易に理解されるように、コンピューティングデバイスは、コンピュータプログラムコードの制御下で動作するプログラムされたコンピュータとして実現することができる。コンピュータプログラムコードは、コンピュータ可読記憶媒体(例えば、メモリ)に格納することができ、コードは、コンピュータのプロセッサによって実行することができる。本開示を提供されると、当業者は、本明細書に記載するプロトコルを実行するために適切なコンピュータプログラムコードを容易に作成することができる。
【0085】
ただし、図12は、各コンピュータシステムがネットワークを通じて通信する例示的アーキテクチャを一般的に示している。図のように、デバイス1210は、I/Oデバイス1212と、プロセッサ1214と、メモリ1216とを備える。デバイス1220は、I/Oデバイス1222と、プロセッサ1224と、メモリ1226とを備える。本明細書で使用する「プロセッサ」という用語は、中央処理装置(CPU)などの1つもしくは複数の処理装置、または1つもしくは複数の信号プロセッサ、1つもしくは複数の集積回路などの、ただしこれらに限定されない他の処理回路を含むように意図していることを理解すべきである。また、本明細書で使用する「メモリ」という用語は、RAM、ROM、固定メモリデバイス(例えば、ハードドライブ)、またはリムーバブルメモリデバイス(例えば、ディスケットもしくはCDROM)のような、プロセッサまたはCPUと関連するメモリを含むように意図している。また、メモリは、コンピュータ可読記憶媒体の一例である。さらに、本明細書で使用する「I/Oデバイス」という用語は、データを処理ユニットに入力するための1つまたは複数の入力装置(例えば、キーボード、マウス)、ならびに処理ユニットと関連する結果を提供するための1つまたは複数の出力装置(例えば、CRTディスプレイ)を含むように意図している。
【0086】
したがって、本明細書に記載する方法を実行するためのソフトウェア命令またはコードを、関連するメモリデバイス、例えばROM、固定またはリムーバブルメモリの、1つまたは複数に格納し、使用する準備ができると、RAMにロードし、CPUによって実行することができる。
【0087】
本明細書では添付の図面を参照して例示の実施形態について説明したが、本発明は、これらの厳密な実施形態に限定されず、本発明の範囲または趣旨から逸脱することなく、当業者によって様々な他の変更形態および修正形態を作成できることを理解されたい。
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.