在使用端到端加密的通信系统中基于策略路由的合法截取技术方案

本发明专利技术公开了用于在使用端到端加密的通信网络中合法地截取信息的技术。例如，一种用于截取在通信网络中的第一计算设备与第二计算设备之间交换的加密通信的方法，其中所述截取由通信网络中的第三计算设备执行，所述方法包括以下步骤。所述第三计算设备获得具有与所述第一计算设备和所述第二计算设备中的一者相关联的分组地址的一个或多个分组。响应于在所述通信网络中的至少一个元件中实施至少一个截取路由策略，所述一个或多个分组由所述第三计算设备获得，从而所述一个或多个获得的分组可以被解密以便获得所述一个或多个获得的分组中包含的数据。所述第三计算设备保留所述一个或多个获得的分组的分组地址。所述第三计算设备将所述一个或多个分组向所述第一计算设备和所述第二计算设备中的一个分组目的地转发，使得所述第一计算设备和所述第二计算设备中的一个分组目的地不能从所述一个或多个分组检测到所述一个或多个分组被所述第三计算设备截取。

【技术实现步骤摘要】
【国外来华专利技术】在使用端到端加密的通信系统中基于策略路由的合法截取本申请要求于2011年5月11日提交、序号为61/484,897、名称为“在使用端到端加密的IMS系统中的合法截取（interception）”的美国临时专利申请的优先权，其公开的全部内容通过引用的方式被合并于此。
实施例一般涉及通信安全，并且更具体地，涉及在使用端到端加密的通信环境中信息的合法截取的技术。
技术介绍
因特网协议（IP）通信和电话系统已经获得广泛的采用。在两个客户之间端到端IP通信的第一示例中的一个示例包括即时消息传递，但是紧接着跟随IP语音，并且现在许多提供商（例如，网络运营商和应用提供商）提供端到端IP视频。然而，这些趋势主要被限制于有线固定网络，假定无线移动网络接入已经由窄带电路交换接入网络统治。然而，最近部署的宽带4G（第四代）无线网络为所有形式的IP多媒体端到端通信做好了准备，而不依赖于其接入类型。随着向端到端IP会话的转变，市场已经见证了对这些开放IP网络上的安全和隐私的意识和兴趣的复苏。首先，端到端加密和认证是获得广泛关注的范例。目前，虽然当前的互联网交易（包括商业和企业内部网络接入）已经在超过十几年保持端到端的安全，但是IP上的会话应用安全已经被大部分留给所述应用提供商。随着全IP网络的出现，例如那些使用因特网互联协议（IP）多媒体子系统（IMS）的网络，对于网络运营商或其他提供语音、视频、和消息传递服务的运营商，提供端到端安全已经变得越来越必要。例如，通过使用基于迪菲－赫尔曼（Diffie-Hellman）的密钥交换，在两个通信端点之间创建端到端的加密会话使得即使另一方能够获得所述两个通信端点之间的全部通信（载体流）、所述另一方仍不能解密所述载体流是可能的。然而，众所周知有这样的需求：能够遵从要求来支持安全关联的合法的或法定的截取和发现。例如，针对法律实施的目的，或仅仅针对非法律实施的目的，这样的安全关联的法定的截取和发现是必需的，由此有必要或者期望能够容易地解密在各方和/或设备之间传送的加密信息。
技术实现思路
示例性实施例提供用于在使用端到端加密的通信环境中合法截取信息的技术。例如，在一个示例实施例中，一种用于截取在通信网络中的第一计算设备与第二计算设备之间交换的加密通信的方法，其中所述截取由通信网络中的第三计算设备执行，所述方法包括以下步骤。所述第三计算设备获得具有与所述第一计算设备和所述第二计算设备中的一者相关联的分组地址的一个或多个分组。响应于在所述通信网络中的至少一个元件中实施至少一个截取路由策略，所述一个或多个分组由所述第三计算设备获得，使得所述一个或多个获得的分组可被解密以便获得其所包含的数据。所述第三计算设备保留所述一个或多个获得的分组的分组地址。所述第三计算设备将所述一个或多个分组向所述第一计算设备和所述第二计算设备中的一个的分组目的地转发，使得所述第一计算设备和所述第二计算设备中的一个的分组目的地不能从所述一个或多个分组检测到所述一个或多个分组被所述第三计算设备截取。有利地，由于在所述通信网络中的至少一个元件中实施所述至少一个截取路由策略和保留处于监视下的所述一个或多个分组的所述分组地址，因此所述第三计算设备能够透明地截取处于监视下的分组。针对所述第三计算设备在策略使能（policy-enabled）网络元件本地的场景和所述第三计算设备远离所述策略使能网络元件的场景提供了各种示例实施例。这些和其它对象、特征和优势根据以下结合附图阅读的示例性实施例的详细描述将变得显而易见。附图说明图1示出在网络中使用MIKEY-IBAKE协议用于密钥协商的端到端通信安全。图2示出在使用端到端通信安全的网络中合法截取的示例方法。图3示出在使用端到端通信安全的网络中具有会话边界控制器的合法截取的示例方法。图4示出根据本专利技术的第一实施例用于在使用端到端安全的网络中基于策略路由的通信的合法截取的方法。图5示出根据本专利技术的第二实施例用于在使用端到端安全的网络中基于策略路由的通信的合法截取的方法。图6示出根据本专利技术的第三实施例用于在使用端到端安全的网络中基于策略路由的通信的合法截取的方法。图7示出根据本专利技术的第四实施例用于在使用端到端安全的网络中基于策略路由的通信的合法截取的方法。图8示出根据本专利技术的第五实施例用于在使用端到端安全的网络中基于策略路由的通信的合法截取的方法。图9示出根据本专利技术的第六实施例用于在使用端到端安全的网络中基于策略路由的通信的合法截取的方法。图10示出根据本专利技术的第七实施例用于在使用端到端安全的网络中基于策略路由的通信的合法截取的方法。图11示出根据本专利技术的第八实施例用于在使用端到端安全的网络中基于策略路由的通信的合法截取的方法。图12示出根据本专利技术的实施例适合用于实施所述方法和协议中的一个或多个的数据网络和通信（计算）设备的通用硬件架构。具体实施方式本文所使用的短语“多媒体通信系统”通常定义为能够通过媒体平面传输一种或多种类型的媒体的任何通信系统，所述媒体包括但不限制于基于文本的数据、基于图形的数据、基于语音的数据和基于视频的数据。本文所使用的短语“媒体平面”通常定义为所述多媒体通信系统的功能部分，可以依靠该功能部分来在一个电话会话中可在两方或多方之间交换所述一种或多种类型的媒体。这与“控制平面”形成对比，“控制平面”是所述多媒体通信系统的功能部分，依靠该功能部分来执行协商/调度，从而建立所述电话会话电话。媒体平面应用（创造性技术可与其一起使用）的示例包括但不限制于IP语音（VoIP）、即时消息传递（IM）、视频/音频IM、视频共享、和IP视频。应当理所述媒体平面包括应用层流量。然而，本文所描述的合法的安全关联发现技术可被应用于通信系统的任何平面或任何层。本文所使用的术语“密钥”一般定义为针对例如但不限制于实体认证、隐私、消息完整性、等等目的加密协议的输入。本文所使用的短语“安全关联”一般用于指代通信环境中的安全定义，两方或多方和/或两个或多个设备通信跨越该通信环境来进行通信。在一个示例中，所述安全定义可包括但不限制于会话密钥。本文所使用的“客户”一般可指代通信设备或某种其它的计算系统或设备，其允许一个或多个用户、主体或实体在通信环境中与一个或多个其它的通信设备或其它的计算系统（例如另一个客户）通信。本文所使用的“客户”也可概括地指计算设备上的应用或其它的计算机程序。因此，虽然所述术语客户在下面可称为设备，但是应当理解所述术语客户不限制于硬件而是可以是软件或其组合。本文所使用的“通信会话”一般指代用于在两个通信设备之间通信的目的在至少所述两个通信设备或其它的计算系统（例如客户）之间的连接。因此本文所使用的“端到端”（EtE）通信会话一般指代从一个设备（例如客户）到另一个设备（例如客户）的整个连接路径。此外，参与所述通信会话的所述两个或多个客户可称为“端点设备”或简称“端点”。然而，应当了解，所述术语“端点”可以是某些网络中的元件而非客户设备。例如，当电话到达PSTN时，因为传统电话通常不支持端到端加密，加密可能不得不在网关元件被终止。实际上，所述网关可能是在另一个网络上。然而，本文仍考虑在客户端点和网关端点之间的这种EtE通信。因此，本文所描述的所述合法的安全关联发现技术可被用于任何的计算或本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2011.05.11 US 61/484,897;2011.08.18 US 13/212,7881.一种用于截取在通信网络中的第一计算设备与第二计算设备之间交换的加密通信的方法，其中所述截取由所述通信网络中的第三计算设备执行，所述方法包括：所述第三计算设备获得被加密作为与所述第一计算设备和所述第二计算设备相关联的端到端加密会话的一部分的一个或多个分组，所述一个或多个分组具有与所述第一计算设备和所述第二计算设备中的一者相关联的给定的分组地址，其中响应于至少一个截取路由策略实施在所述通信网络中的至少一个元件中，所述一个或多个分组由所述第三计算设备获得，所述元件还负责路由通过该元件的非截取的分组流量，其中所述至少一个截取路由策略被配置为将具有给定的分组地址的分组转发给所述第三计算设备，所述第三计算设备通过使用为包括所述第一计算设备在内的分组源建立的安全关联来解密一个或多个获得的分组以便获得所述一个或多个获得的分组中包含的数据；所述第三计算设备保留所述一个或多个获得的分组的给定的分组地址，从而所述一个或多个获得的分组不会看起来好像已经被所述第三计算设备获得过；以及所述第三计算设备使用为包括所述第二计算设备在内的分组目的地建立的安全关联来重新加密所述一个或多个获得的分组，并且将所述一个或多个分组向所述分组目的地转发；其中向所述分组目的地转发的一个或多个分组具有所述给定的分组地址；并且其中所述截取路由策略将来自所述分组源和所述分组目的地的承载重新路由到所述第三计算设备。2.根据权利要求1所述方法，其中实施所述截取路由策略的通信网络的元件包括：所述第三计算设备所连接到的局域网中所连接的设备。3.根据权利要求2所述方法，其中所述元件包括交换元件。4.根据权利要求3所述方法，其中通过修改所述交换元件中的转发表使得具有与所述第一计算设备和所述第二计算设备中的一者相关联的给定的分组地址的一个或多个分组被转发到所述第三计算设备，在所述交换元件中实施所述截取路由策略。5.根据权利要求4所述方法，该方法还包括所述第三计算设备解密所述一个或多个分组。6.根据权利要求4所述方法，该方法还包括所述第三计算设备在将所述一个或多个分组向所述分组目的地转发前拷贝所述一个或多个分组。7.根据权利要求6所述的方法，该方法还包括所述第三计算设备将一个或多个拷贝的分组转发给另一实体以用于解密。8.根据权利要求1所述方法，其中实施所述截取路由策略的通信网络的元件包括：远离所述第三计算设备的设备。9.根据权利要求8所述方法，其中所述元件包括路由元件，所述第一计算设备和所述第二计算设备中的一者通过所述路由元件接入所述通信网络。10.根据权利要求9所述方法，该方法还包括所述第三计算设备在了解针对所述分组源的安全关联的情况下，解密一个或多个路由的分组以获得其中包含的数据。11.根据权利要求10所述方法，该方法还包括所述第三计算设备在了解针对所述分组源的安全关联的情况下，在转发所述一个或多个分组之前重新加密所述一个或多个重新路由的分组。12.根据权利要求9所述方法，该方法还包括所述第三计算设备建立与所述路由元件之间的虚拟专用网络(VPN)隧道。13.根据权利要求12所述方法，其中所述截取路由策略是通过以下过程而在所述路由元件中实施的：指示所述路由元件封装具有与所述第一计算设备和所述...

【专利技术属性】
技术研发人员：J·F·赫克，G·S·桑达拉姆，D·W·瓦尔尼，
申请(专利权)人：阿尔卡特朗讯公司，
类型：
国别省市：