[go: up one dir, main page]

ES2296381T3 - Metodo y sistema de interceptacion. - Google Patents

Metodo y sistema de interceptacion. Download PDF

Info

Publication number
ES2296381T3
ES2296381T3 ES99906126T ES99906126T ES2296381T3 ES 2296381 T3 ES2296381 T3 ES 2296381T3 ES 99906126 T ES99906126 T ES 99906126T ES 99906126 T ES99906126 T ES 99906126T ES 2296381 T3 ES2296381 T3 ES 2296381T3
Authority
ES
Spain
Prior art keywords
interception
network
intercepted
lin
network element
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES99906126T
Other languages
English (en)
Inventor
Lassi Hippelainen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Inc
Original Assignee
Nokia Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Inc filed Critical Nokia Inc
Application granted granted Critical
Publication of ES2296381T3 publication Critical patent/ES2296381T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2207/00Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place
    • H04M2207/18Type of exchange or network, i.e. telephonic medium, in which the telephonic communication takes place wireless networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Método de interceptación para realizar una interceptación legal en una red por paquetes, que comprende las etapas siguientes: a) proporcionar un primer elemento de red (LIN) que tiene una función de interceptación para interceptar paquetes de datos; b) controlar dicha función de interceptación por parte de unos medios de control de interceptación (26) implementados en un segundo elemento de red (LIG); y c) transmitir un paquete de datos interceptado desde dicho primer elemento de red (LIN) a través de dicha red por paquetes hacia un elemento de pasarela de interceptación (LIG) que proporciona una interfaz con por lo menos un organismo de interceptación (LEA), caracterizado porque dicho primer elemento de red comprende además unos medios (13) para generar paquetes falsos a transmitir con dichos paquetes de datos interceptados, y en el que desde dicho primer elemento se transmiten paquetes falsos hacia dicho elemento de pasarela de interceptación.

Description

Método y sistema de interceptación.
Campo de la invención
La presente invención se refiere a un método y un sistema de interceptación para realizar una interceptación legal en una red por paquetes tal como la red GPRS (Servicios Generales de Radiocomunicaciones por Paquetes) o UMTS (Sistema de Telecomunicaciones Móviles Universales).
Antecedentes de la invención
La disposición de una interceptación legal es un requisito de la legislación nacional de un país, la cual normalmente es obligatoria. Ocasionalmente, a un operador de red y/o a un proveedor de servicios se le requerirá, según una autorización legal, que ponga a disposición de una autoridad interceptora específica u Organismo de Aplicación de la Ley (LEA) los resultados de una interceptación referentes a identidades específicas.
Existen varios aspectos relacionados con la interceptación. La legislación nacional respectiva describe bajo qué condiciones y con qué limitaciones está permitida la interceptación. Si un LEA desea usar como herramienta la interceptación legal, solicitará a un juez actuante u otro organismo responsable una autorización legal, tal como una orden. Si se concede la autorización legal, el LEA presentará la autorización legal a un proveedor de acceso que proporcione acceso desde el terminal de un usuario a dicha red, al operador de la red, o al proveedor de servicios a través de una interfaz o procedimiento administrativos. Cuando se autoriza una interceptación legal, al LEA se le entregan una Información Relacionada con la Interceptación (IRI) y el contenido de la comunicación correspondiente.
En particular, la autorización legal puede describir la IRI y el contenido de la comunicación que se permiten entregar para este LEA, la investigación, el periodo y el objeto de la interceptación. Para LEA diferentes y para investigaciones diferentes, se pueden aplicar restricciones diferentes que limiten adicionalmente las restricciones generales fijadas por la ley. El objeto de la interceptación también se puede describir de formas diferentes en una autorización legal, por ejemplo, dirección del abonado, dirección física, servicios, etcétera.
Dicha funcionalidad de interceptación legal es también necesaria en la parte por conmutación de paquetes de las redes nuevas de datos móviles tales como el GPRS y el UMTS.
La interceptación legal se basa en una resolución del Consejo de la UE, la cual concierne a todos los sistemas de telecomunicaciones, no solamente los móviles. El Instituto Europeo de Normas de Telecomunicaciones (ETSI) ha definido otros requisitos técnicos. Estos requisitos definen tres interfaces:
X1: tareas administrativas (pueden estar en papel o fax)
X2: señalización de la red (tiempo casi real)
X3: datos de usuarios interceptados (tiempo casi real).
La interfaz X1 se ocupa de solicitudes de interceptación, documentos de autorización, claves de cifrado y similares. Las definiciones exactas de las tres interfaces se dejan para la legislación y las autoridades locales.
Hasta el momento se han propuesto varios planteamientos. Según uno de los planteamientos con concentradores, a la red troncal GPRS se le añade un concentrador, de tal manera que todas las sesiones pasen a través de dicho concentrador. La ventaja del sistema es que no es necesario que el SGSN (Nodo de Soporte de Servicio GPRS) y el GGSN (Nodo de Soporte de Pasarela GPRS) tengan ningún conocimiento sobre la funcionalidad de interceptación legal. El concentrador consta de una seudointerfaz GGSN y una seudointerfaz SGSN, entre las cuales está dispuesto un Nodo de Interceptación Legal (LIN).
No obstante, uno de los inconvenientes de este planteamiento es la escalabilidad. El LIN debe poder procesar todos los paquetes de datos de la red troncal. Por otra parte, el mismo constituye un punto único de fallo. Si el LIN falla, se detendrá toda la red. Por esta razón, el LIN resultará muy costoso, siendo probablemente el elemento más costoso de toda la red.
La Fig. 1 muestra un diagrama de bloques principal de otro planteamiento denominado SGSN/GGSN, en el que la función de interceptación completa está integrada en un elemento SGSN/GGSN combinado. Cada elemento SGSN/GGSN físico está enlazado mediante una interfaz X1 propia con una función administrativa.
Según la Fig. 1, el método de acceso para entregar una información de interceptación GPRS se basa en una duplicación de paquetes transmitidos desde un abonado interceptado a través del elemento SGSN/GGSN hacia otra parte. Los paquetes duplicados se envían a una función de entrega para entregar a la LEA la IRI correspondiente y el contenido de la comunicación.
Si existen varios elementos SGSN/GGSN, este sistema no presenta un punto único de fallo. Por otra parte, es escalable en el sentido de que se puede instalar una capacidad nueva de interceptación legal con cada adición de elementos SGSN/GGSN nuevos a la red troncal. Por otra parte, con cada instalación de elementos SGSN/GGSN nuevos, se requieren interfaces nuevas con la función administrativa y no se produce una trayectoria de crecimiento natural hacia el UMTS.
El documento WO 96 21 982 da a conocer un uso de servicios de conexión multipunto para establecer puntos de intervención de llamadas en una red conmutada. Para esta disposición, se definió que era deseable disponer de la capacidad de monitorizar cualquier conversación que se produjera en la red y con este fin proporcionar una capacidad ubicua de intervención de llamadas en una red conmutada la cual utiliza los servicios de conexión multipunto propios de la red. En relación con esto, se aprovechan ventajosamente las vías de comunicación/tramas de comunicación existentes para reenviar datos intervenidos o datos a intervenir.
No obstante, en el caso de que se estén interviniendo o interceptando datos, el personal de operaciones puede seguir detectando de quién son los paquetes que están siendo interceptados. Por lo tanto, no se puede excluir que los datos interceptados lleguen al conocimiento de personas no autorizadas antes de que los reciba el Organismo de Aplicación de la Ley LEA y su personal, que es el único que tiene derecho a conocer los datos interceptados.
Sumario de la invención
Uno de los objetivos de la presente invención es proporcionar un método y un sistema de interceptación que obstaculicen la actividad de interceptación y que sea flexible y escalable.
Este objetivo se alcanza con un método de interceptación según se define en la reivindicación 1.
Adicionalmente, el objetivo anterior se alcanza con un sistema de interceptación según se define en la reivindicación 17, un elemento de red según se define en la reivindicación 30 y un elemento de pasarela de interceptación según se define en la reivindicación 31.
En las reivindicaciones subordinadas se exponen otros aspectos y características ventajosos.
Por consiguiente, las funcionalidades de control y pasarela de interceptación se pueden eliminar de los elementos de red que procesan datos de usuario. De este modo, se pueden alcanzar las siguientes ventajas.
El sistema es fácilmente escalable, ya que se puede añadir una capacidad LIN nueva a medida que se incrementa la carga. Por esta razón, los propios LIN son comparables a ordenadores personales. Por otra parte, la función de pasarela de interceptación se puede distribuir sobre varias unidades, en las que se pueden establecer varios túneles desde un LIN sin añadir hardware al mismo. De la misma manera, la función de interceptación controlada por los medios de control de interceptación implementados en el segundo elemento de red puede enviar el paquete de datos interceptado hacia otro elemento de red o una pluralidad de otros elementos de red.
Si un LIN falla, puede que algunas funciones de interceptación no estén disponibles, aunque la red sigue pudiendo funcionar. Ni siquiera el fallo de la LIG afecta a la red. Los LIN y la LIG son en la práctica intercambiables en caliente, es decir, se pueden sustituir sin interrumpir el funcionamiento de la red.
Además, a la red se le pueden añadir elementos de red nuevos tales como un centro de servicio de punto-a-multipunto o un centro de servicio de mensajería multimedia. No obstante, esta opción no requiere que en el sistema se integren funciones de interceptación legal nuevas. Se cumple lo mismo para los nodos UMTS, incluso aunque los mismos requieran procesadores más potentes debido a los anchos de banda más altos. De este modo, la misma red troncal soportará simultáneamente tanto el GPRS como el UMTS, de tal manera que se simplifica el crecimiento hacia los sistemas de tercera generación.
Como la LIG es la única que comprende las interfaces Xn hacia el LEA, la misma puede actuar como un dispositivo de mediación para diferentes requisitos del LEA. Cuando los requisitos cambian, únicamente es necesario volver a programar la LIG. La LIG y/o el LIN incluso se podrían vender como productos personalizables independientes para otras redes IP (no móviles).
El elemento de pasarela de interceptación también se puede integrar en el segundo elemento de red.
Preferentemente, el encabezamiento de un paquete de datos es leído por el primer elemento de red y los paquetes de datos a interceptar se duplican. El paquete de datos interceptado se puede transmitir hacia el elemento de pasarela de interceptación usando un túnel seguro el cual se puede implementar mediante un procesado de cifrado. De este modo, no se requieren líneas de transmisión independientes las cuales serían vulnerables a ataques físicos por parte del personal del operador.
En el caso de que el primer elemento de red y el elemento de pasarela de interceptación están dispuestos en segmentos de red independientes, el paquete de datos interceptado se puede transmitir a través de unidades de conexión de red y se pueden cifrar entre las unidades de conexión de red.
Preferentemente, en cada segmento de red correspondiente a la red móvil por paquetes se proporciona un primer elemento de red que dispone de la función de interceptación.
Además, los paquetes de datos interceptados recibidos se recogen en el elemento de pasarela de interceptación y se suministran a una interfaz de la por lo menos una autoridad de interceptación. La interfaz puede comprender una primera interfaz para tareas administrativas, una segunda interfaz para la señalización de la red, y una tercera interfaz para datos de usuario interceptados.
La función de interceptación del primer elemento de red puede comprender una función de rastreo y filtrado de paquetes. En particular, la función de interceptación se puede implementar en la interfaz Gn excluyendo cualquier transmisión. De forma detallada, la función de interceptación puede comprender la lectura de paquetes de datos, el análisis del encabezamiento de los paquetes de datos en relación con si el paquete de datos se debería interceptar o no, y la transmisión del paquete de datos hacia el elemento de pasarela de interceptación, y una función de gestión para criterios de interceptación y transmisión.
Preferentemente, se puede transmitir una alarma hacia el elemento de pasarela de interceptación y se puede eliminar toda la información de interceptación del primer elemento de red respectivo, cuando se haya detectado una ruptura de una carcasa u otro funcionamiento defectuoso del primer elemento de red. De este modo se puede evitar un acceso no deseado a los datos de interceptación.
Por otra parte, desde el primer elemento de red hacia el elemento de pasarela de interceptación se pueden transmitir paquetes falsos. Los paquetes falsos se pueden transmitir de forma aleatoria o activados por cualquier paquete que pase por el sistema. Esto se puede realizar de tal manera que la carga total de paquetes interceptados y falsos transmitidos hacia el elemento de pasarela de interceptación sea constante. De este modo, el personal de operaciones no puede usar un análisis de temporización para detectar de quién son los paquetes que están siendo interceptados. Adicionalmente, si la carga de los paquetes de datos interceptados es constante, no se puede determinar la actividad de interceptación verdadera.
Además, los paquetes de datos interceptados siempre se pueden rellenar hasta una longitud máxima, lo cual obstaculiza adicionalmente la actividad de interceptación.
Preferentemente, a los paquetes de datos interceptados se les puede añadir una indicación de tiempo. De este modo, la información de interceptación se puede almacenar en una memoria lenta o fuera de línea antes de distribuirla a la autoridad de interceptación, de tal manera que se pueden reducir los requisitos de tiempo real del primer elemento de red, los medios de control de interceptación y el elemento de pasarela de interceptación y la autoridad de interceptación.
El primer elemento de red puede comprender unos medios de lectura para leer un encabezamiento de un paquete de datos recibido y para duplicar un paquete de datos a interceptar. Estos medios de lectura pueden estar dispuestos para rellenar el paquete de datos duplicado hasta una longitud máxima.
Por otra parte, el primer elemento de red puede ser un elemento de pasarela tal como una BG (Pasarela de Frontera), un GGSN (Nodo de Soporte de Pasarela GPRS), y un nodo de servicio tal como un SGSN (Nodo de Soporte de Servicio GPRS). En este caso, la información sobre qué conexiones interceptar se puede almacenar preferentemente en la información de contexto PDP de las conexiones respectivas, la cual es un registro usado para encaminar los paquetes de datos de la conexión de una manera correcta. De este modo, la información de sobre si es necesario o no interceptar un paquete de datos está fácilmente disponible cada vez que se está encaminando un paquete. Así, se pueden minimizar los recursos requeridos para la función de interceptación.
El primer elemento de red puede comprender unos medios de control para controlar la interceptación y el procesado del cifrado según una instrucción de configuración de la interceptación recibida desde el elemento de pasarela de interceptación.
Además, el elemento de pasarela de interceptación puede comprender unos medios de memoria para almacenar paquetes de datos interceptados recibidos antes de suministrarlos a los medios de interfaz. Por otra parte, el elemento de pasarela de interceptación puede comprender unos medios de descifrado para descifrar paquetes de datos interceptados recibidos, unos medios de extracción para extraer de paquetes de datos falsos paquetes de datos interceptados, y unos medios para añadir la información de tiempo a los paquetes de datos interceptados recibidos, antes de almacenarlos en los medios de memoria.
El primer elemento de red puede comprender unos medios de detección para detectar una rotura de una carcasa del primer elemento de red, y unos medios de señalización para señalizar una alarma hacia el elemento de pasarela de interceptación en respuesta a una salida de los medios de detección.
Breve descripción de los dibujos
A continuación se describirá más detalladamente la presente invención sobre la base de una forma de realización preferida y haciendo referencia a los dibujos adjuntos, en los que:
la Fig. 1 muestra un diagrama de bloques principal de un sistema conocido para realizar una interceptación legal,
la Fig. 2 muestra un diagrama de bloques principal de un sistema para realizar una interceptación legal según la forma de realización preferida de la presente invención,
la Fig. 3 muestra un diagrama de flujo y de transferencia de información de un método para realizar una interceptación legal según la forma de realización preferida de la presente invención,
la Fig. 4 muestra un diagrama de bloques principal de un nodo de interceptación conectado a través de una red por paquetes a una pasarela de interceptación según la forma de realización preferida de la presente invención.
Descripción de la forma de realización preferida
A continuación se describirá la forma de realización preferida del método y el sistema según la presente invención sobre la base de una red móvil por paquetes tal como una red GPRS ó UMTS, según se muestra en la Fig. 2.
Según la Fig. 2, a una WAN ATM (Red de Área Extensa en Modo de Transferencia Asíncrona) están conectados emplazamientos remotos los cuales pueden comprender un segmento de Ethernet o únicamente un SGSN, y un segmento de Ethernet de sede central. Cada segmento con un GGSN ó una BG está equipado con un nodo de interceptación legal (LIN) o rastreador de paquetes. No es necesario que el SGSN autónomo remoto esté equipado con un LIN. El LIN no tiene por qué ser necesariamente un elemento de red independiente sino que puede estar integrado en la misma unidad física que el GGSN ó la BG.
Los LIN están dispuestos como rastreadores pasivos de paquetes usados para leer y duplicar paquetes de datos interceptados. Cada segmento de Ethernet debe tener un LIN, de manera que se puedan interceptar todos los paquetes de datos transmitidos a través de la red troncal. Debe observarse que un LIN independiente requiere una red troncal de difusión general tal como la Ethernet, mientras que un LIN implementado con un nodo de soporte GPRS (GSN) puede compartir la misma interfaz e interceptar todos los paquetes de datos. El LIN se puede implementar en cualquier GSN, incluyendo un SGSN.
Cada LIN está dispuesto en forma de un rastreador y filtro de paquetes, esencialmente un ordenador personal con una interfaz de Ethernet y una pila de protocolos GTP. De hecho, cada LIN puede implementar una interfaz Gn según se define en la especificación GSM 09.60. En este caso, el LIN está dispuesto en forma de un nodo de escucha pasivo el cual puede leer el Protocolo de Tunelización GPRS (GTP). Sin embargo, a pesar de la función de escucha pasiva, el LIN está dispuesto para realizar transmisiones hacia la LIG a través de la misma interfaz física que también ejecuta la interfaz Gn, aunque en un puerto TCP (Protocolo de Control de Transmisión) ó UDP (Protocolo de Datagrama de Usuario) diferente.
Los paquetes de datos interceptados por los LIN son recogidos por una pasarela de interceptación legal (LIG) la cual los suministra a las interfaces X1, X2 y X3 de por lo menos un organismo de interceptación (LEA). En el caso de que haya varios LEA conectados a una LIG, los LEA incluso pueden acceder a la misma conexión objetivo con autorizaciones diferentes, es decir, un LEA únicamente puede monitorizar la conexión objetivo a través de la interfaz X2, mientras otro LEA realiza una interceptación usando también la interfaz X3.
Los LIN están configurados para realizar interceptaciones a un nivel máximo. De este modo, la función de la LIG es distribuir únicamente aquella parte de la información interceptada que está autorizado a recibir el LEA respectivo. De esta manera, la decisión sobre el tipo y el destino de la información a distribuir se concentra en la LIG, de tal modo que la estructura de los LIN se puede mantener a un nivel sencillo.
En la sede central de Ethernet, el LIN y la LIG correspondientes pueden integrarse en un único elemento de red, tal como se muestra en la Fig. 3. Alternativamente, en el segmento de Ethernet se pueden proporcionar un LIN y una LIG independientes.
Una llamada que se transmite a través de la red pasa por dos de entre tres funcionalidades, es decir, la BG, el GGSN ó el SGSN. Por razones de economía, basta con equipar con un LIN a cada parte que disponga de un GGSN ó una BG. De este modo, se puede interceptar cualquier llamada.
A continuación, haciendo referencia a la Fig. 3, se describe el método para realizar una interceptación legal según la forma de realización preferida. La Fig. 3 muestra un diagrama de flujo y de transferencia de información el cual se lee de arriba a abajo.
Según la Fig. 3, desde el LEA se emite hacia la LIG una solicitud de interceptación inicial. De hecho, el LEA traslada una autorización legal al operador de la red, el proveedor de acceso o el proveedor de servicios. El operador de la red, el proveedor de acceso o el proveedor de servicios determina las identidades objetivo relevantes a partir de la información proporcionada en la autorización legal. A continuación, el operador de la red, el proveedor de acceso o el proveedor de servicios ordena a una unidad de control de interceptación, usada para controlar las funciones de interceptación de los LIN, que proporcione una información de interceptación correspondiente al LIN de la identidad objetivo relevante. La unidad de control de interceptación puede estar dispuesta en el LEA (tal como en el caso de la Fig. 3) o en un elemento de red independiente.
Subsiguientemente, la unidad de control de interceptación transmite los valores de configuración requeridos en el LIN a través de la red por paquetes hacia el LIN correspondiente. En respuesta a la recepción de los valores de configuración del LIN, el LIN realiza una interceptación del paquete y duplica aquellos paquetes que se van a interceptar basándose en la información de su encabezamiento. A continuación, los paquetes interceptados se cifran, se generan paquetes falsos y los mismos se añaden a los paquetes interceptados. Estos paquetes de datos cifrados y borrosos se transmiten a través de unidades de interfuncionamiento (IWU) correspondientes pasando por la WAN ATM hacia la LIG. Debido al procesado de cifrado, se establece un túnel seguro, aunque los paquetes de datos interceptados se transmiten a través de un canal normal de la red por paquetes.
No obstante, debe indicarse que se puede implementar cualquier otro tipo de transmisión y/o canal de transmisión para transmitir los paquetes de datos interceptados en la forma de realización preferida, siempre que se pueda establecer la seguridad requerida.
En la LIG, se recogen los paquetes de datos recibidos y los mismos se evalúan para generar la información generada con la interceptación (IRI) y el contenido de la comunicación interceptada, los cuales se transmiten finalmente a través de la interfaz X3 hacia el LEA.
A continuación se describe más detalladamente el LIN y la LIG haciendo referencia a la Fig. 4. Debe indicarse que en la Fig. 4 no se muestran las unidades de interfuncionamiento IWU según la Fig. 2.
Según la Fig. 4, el LIN está dispuesto para realizar las siguientes funciones, las cuales se pueden establecer bien como elementos de software o bien como elementos de hardware discretos.
El LIN comprende unos medios de conmutación 14 para recibir y transmitir paquetes de datos desde/hacia la red y para suministrarlos a unos medios de lectura de paquetes 11 en los que se lee el encabezamiento del paquete de datos extraído y el mismo se analiza en relación con si el paquete de datos se debería interceptar o no. El paquete de datos interceptado se suministra a unos medios de cifrado 12 dispuestos para cifrar el paquete de datos con vistas a implementar de este modo un túnel seguro. Adicionalmente, los paquetes de datos cifrados se pueden suministrar a unos medios 13 para añadir paquetes falsos con vistas a obstaculizar de este modo la actividad de interceptación. Los paquetes de datos cifrados y falsos se suministran a los medios de conmutación 14 para transmitirlos a través de la WAN ATM hacia la LIG. Los paquetes falsos se pueden transmitir en instantes de tiempo aleatorios o activados por cualquier paquete que pase por el sistema. Por otra parte, los medios de lectura de paquetes 11 ó los medios de cifrado 12 podrían estar dispuestos para rellenar el paquete interceptado hasta una longitud máxima.
Además, los medios de control 15 pueden realizar un control para retardar los paquetes de datos interceptados durante un periodo aleatorio, con vistas a dificultar de este modo la determinación de quién está siendo interceptado. No obstante, en este caso, al paquete de datos transmitido hacia la LIG se le debería añadir una información adicional que defina el momento de interceptación real o el retardo.
En general, con independencia de la actividad de interceptación verdadera se debería proporcionar una carga constante de paquetes de interceptación legal. El suministro de una carga de interceptación constante facilita la facturación, evita la monitorización del tráfico de interceptación, y consigue que la verdadera actividad de interceptación resulte borrosa.
Además, el LIN comprende unos medios de control 15 dispuestos para controlar los otros medios del LIN sobre la base de una información de control de interceptación referente a criterios de interceptación y al túnel seguro, la cual se ha recibido desde la unidad de control de interceptación proporcionada en la LIG ó un elemento de red independiente a través de los medios de conmutación 14.
Adicionalmente, se pueden proporcionar unos medios de detección (no mostrados) para detectar una rotura de una carcasa del LIN. En este caso, también se pueden proporcionar unos medios de señalización (no mostrados) para transmitir una alarma hacia la LIG y ordenar a los medios de control 15 que eliminen de una memoria LIN (no mostrada) toda la información de interceptación tal como valores de configuración de los filtros y similares. Por otra parte, los medios de detección pueden estar dispuestos para detectar también otros funcionamientos defectuosos del LIN, tales como un fallo de la alimentación u otros fallos, en los que los medios de señalización están dispuestos para emitir una alarma correspondiente hacia la LIG.
La LIG está dispuesta en forma de una elemento maestro de los LIN y proporciona una interfaz de usuario 27 hacia por lo menos un LEA. La LIG puede ser un ordenador personal, un miniordenador o una unidad central. En particular, la LIG puede estar dispuesta para realizar las siguientes funciones las cuales también se pueden implementar como elementos de software o hardware.
La interfaz 27 está dispuesta para proporcionar las interfaces Xn para el por lo menos un LEA, en el que se puede proporcionar un módulo de interfaz por cada LEA en el caso de que se proporcionen varios LEA. Además, se proporcionan unos medios de conmutación 21 para recibir paquetes de datos interceptados desde la WAN ATM a través del túnel seguro y para transmitir valores de configuración del LIN y otra información de control a través de los medios de conmutación 14 hacia los medios de control 15 del LIN.
\global\parskip0.880000\baselineskip
Los paquetes de datos interceptados y los paquetes falsos recibidos a través del túnel seguro se suministran desde los medios de conmutación 21 a unos medios de descifrado 22 los cuales están dispuestos para eliminar el cifrado LIN de los paquetes interceptados. Además, se pueden proporcionar unos medios de extracción 23 para eliminar duplicados y posibles paquetes falsos o información de relleno. Los paquetes de datos interceptados de los cuales se han eliminado el cifrado LIN y los duplicados o paquetes falsos se suministran a unos medios generadores de indicaciones de tiempo 24 en los que a los paquetes de datos interceptados se les añade una indicación de tiempo para proporcionar una referencia de temporización antes de almacenar los paquetes de datos interceptados en una memoria 25 la cual constituye unos medios de almacenamiento de gran capacidad para información interceptada.
La indicación de tiempo se debería añadir lo antes posible, o incluso la misma se puede haber añadido ya en el LIN correspondiente de tal manera que se pueda prescindir de los medios generadores de indicaciones de tiempo 24. Gracias a la indicación de tiempo, la información interceptada se puede almacenar en la memoria 25 antes de distribuirla al LEA. De este modo, no es necesario ningún procesado de tiempo real.
Además, se proporcionan unos medios de control 26 en la LIG y los mismos están dispuestos para controlar cada elemento de la LIG. Los medios de control 26 pueden comprender varias unidades de control para cada módulo de interfaz LEA correspondiente a la interfaz 27. Por otra parte, los medios de control 26 pueden comprender la unidad de control de interceptación para gestionar los valores de configuración del LIN en forma de una función maestra mediante la transmisión de una información de control correspondiente a través de unos medios de conmutación 21 y 14 hacia los medios de control 15 del LIN.
Debe observarse que la ubicación del LIN no se limita a un segmento LAN, sino que el LIN se puede implementar como parte de un elemento GPRS tal como el GGSN ó la propia BG.
En general, existen dos maneras de configurar el LIN para la interceptación. Una de las maneras consiste en distribuir cada autorización de interceptación a cada LIN. Esto significa que a cada LIN se le entrega un registro objetivo completo que define conexiones objetivo para la interceptación. Si existen muchas conexiones objetivo, el LIN debe comprobar cada paquete de datos con respecto a todas las conexiones objetivo, lo cual es una tarea que consume mucho tiempo.
Una forma más eficaz de configurar el LIN es almacenar el registro objetivo completo solamente en la unidad de control de interceptación la cual, tal como ya se ha mencionado, se puede proporcionar en la LIG u otro elemento de la red. En cada activación de contexto PDP, el LIN correspondiente transmite una copia de la solicitud de activación hacia la unidad de control de interceptación la cual comprueba su registro objetivo en relación con si está implicada una conexión objetivo. En caso afirmativo, configura el LIN para la interceptación. En la desactivación del contexto o cuando se produce la expiración de la solicitud de interceptación, se elimina un objetivo de una lista de interceptación real proporcionada en el LIN.
Así, la información de interceptación que controla el LIN es parte del contexto PDP (Protocolo de Datos por Paquetes) mantenido por los elementos de red GPRS y usado para encaminar los paquetes de una conexión de una forma correcta. La información sobre las conexiones objetivo a interceptar se almacena en la información de contexto PDP de las conexiones respectivas. De este modo, la información de interceptación almacenada en el contexto PDP está disponible fácilmente cada vez que se está encaminando un paquete. Por consiguiente, las listas de interceptación de los LIN se pueden mantener con un tamaño muy reducido, lo cual deriva en un aumento de la velocidad de procesado de los LIN. No obstante, como los contextos presentan un tiempo de vida largo, la unidad de control de interceptación debe almacenar un registro para todos los contextos activos, de manera que pueda comprobar si una conexión objetivo tiene alguna sesión abierta que está en marcha al producirse la recepción de una solicitud de interceptación desde un LEA. En caso afirmativo, la lista de interceptación del LIN pertinente se configura de forma correspondiente.
Por otra parte, la presente invención no se limita a la red GPRS ó UMTS descrita y se puede usar en varias redes por paquetes tales como una red IP. Así, la descripción anterior de la forma de realización preferida y los dibujos adjuntos están destinados únicamente a ilustrar la presente invención. La forma de realización preferida de la invención puede variar dentro del alcance de las reivindicaciones adjuntas.
En resumen, se describen un método y un sistema de interceptación para realizar una interceptación legal en una red por paquetes tal como la red GPRS ó UMTS. Se proporciona un primer elemento de red que dispone de una función de interceptación para interceptar paquetes de datos, estando controlada dicha función de interceptación por unos medios de control de interceptación implementados en un segundo elemento de red, en el que se transmite un paquete de datos interceptado desde el primer elemento de red a través de la red por paquetes hacia un elemento de pasarela de interceptación que proporciona una interfaz con un organismo de interceptación. El paquete de datos interceptado se transmite a través de un túnel seguro proporcionado por un procesado de cifrado. Tanto los medios de control de interceptación como el elemento de pasarela de interceptación pueden estar integrados en el segundo elemento de red. El sistema de interceptación presenta una ventaja clara en cuanto a escalabilidad, no presenta un punto único de fallo, y se puede implementar una adaptación a diferentes interfaces de organismos únicamente en la pasarela de interceptación. Los elementos de red pueden ser similares en gran medida para todos los requisitos de las diferentes autoridades.

Claims (32)

1. Método de interceptación para realizar una interceptación legal en una red por paquetes, que comprende las etapas siguientes:
a)
proporcionar un primer elemento de red (LIN) que tiene una función de interceptación para interceptar paquetes de datos;
b)
controlar dicha función de interceptación por parte de unos medios de control de interceptación (26) implementados en un segundo elemento de red (LIG); y
c)
transmitir un paquete de datos interceptado desde dicho primer elemento de red (LIN) a través de dicha red por paquetes hacia un elemento de pasarela de interceptación (LIG) que proporciona una interfaz con por lo menos un organismo de interceptación (LEA),
caracterizado porque
dicho primer elemento de red comprende además unos medios (13) para generar paquetes falsos a transmitir con dichos paquetes de datos interceptados, y
en el que desde dicho primer elemento se transmiten paquetes falsos hacia dicho elemento de pasarela de interceptación.
2. Método según la reivindicación 1, en el que dicho elemento de pasarela de interceptación (LIG) está integrado en dicho segundo elemento de red.
3. Método según la reivindicación 1 ó 2, en el que dicho segundo elemento de red (LIN) lee un encabezamiento de un paquete de datos y se duplican paquetes de datos a interceptar.
4. Método según cualquiera de las reivindicaciones anteriores, en el que dicho paquete de datos interceptado se transmite hacia dicho elemento de pasarela de interceptación (LIG) usando un túnel seguro.
5. Método según la reivindicación 4, en el que dicho túnel seguro se implementa mediante un procesado de cifrado.
6. Método según cualquiera de las reivindicaciones anteriores, en el que dicho paquete de datos interceptado se transmite a través de unidades de interfuncionamiento y se transmite cifrado entre dichas unidades de interfuncionamiento (IWU), cuando dicho primer elemento de red (LIN) y dicho elemento de pasarela de interceptación (LIG) están dispuestos en segmentos de red independientes.
7. Método según cualquiera de las reivindicaciones anteriores, en el que dicho primer elemento de red se proporciona en cada segmento de red correspondiente a dicha red por paquetes.
8. Método según cualquiera de las reivindicaciones anteriores, en el que en dicho elemento de pasarela de interceptación (LIG) se recogen paquetes de datos interceptados recibidos y los mismos se suministran a una interfaz de dicho por lo menos un organismo de interceptación (LEA).
9. Método según la reivindicación 8, en el que dicha interfaz comprende una primera interfaz para tareas administrativas, una segunda interfaz para la señalización de la red, y una tercera interfaz para datos de usuario interceptados.
10. Método según cualquiera de las reivindicaciones anteriores, en el que dicha función de interceptación comprende una función de rastreo y filtrado de paquetes.
11. Método según la reivindicación 10, en el que dicha función de interceptación se implementa en una interfaz Gn.
12. Método según cualquiera de las reivindicaciones anteriores, en el que dicha función de interceptación comprende la lectura de paquetes de datos, el análisis del encabezamiento de los paquetes de datos en relación con si el paquete de datos se debería interceptar o no, y la transmisión del paquete de datos hacia dicho elemento de pasarela de interceptación (LIG), y una función de gestión para criterios de interceptación y transmisión.
13. Método según cualquiera de las reivindicaciones anteriores, en el que se transmite una alarma hacia dicho elemento de pasarela de interceptación (LIG) y se elimina toda la información de interceptación de un elemento de red (LIN) respectivo, cuando se ha detectado una ruptura de una carcasa del elemento de red respectivo.
14. Método según la reivindicación 1, en el que dichos paquetes falsos se transmiten de forma aleatoria o activados por cualquier paquete que pase por el sistema, de tal manera que la carga total de paquetes interceptados y falsos transmitidos hacia dicho elemento de pasarela de interceptación (LIG) es constante.
15. Método según cualquiera de las reivindicaciones anteriores, en el que dicho paquete de datos interceptado se rellena hasta una longitud máxima.
16. Método según cualquiera de las reivindicaciones anteriores, en el que a dicho paquete de datos interceptado se le añade una información de tiempo.
17. Sistema de interceptación para realizar una interceptación legal en una red por paquetes, que comprende:
a)
un primer elemento de red (LIN) que tiene una función de interceptación para interceptar paquetes de datos y que comprende unos medios de transmisión (14) para transmitir un paquete de datos interceptado hacia dicha red por paquetes;
b)
unos medios de control de interceptación (26) implementados en un segundo elemento de red (LIG) y que controlan la función de interceptación; y
c)
un elemento de pasarela de interceptación (LIG) que tiene unos medios de recepción (21) para recibir dicho paquete de datos interceptado y unos medios de interfaz (27) para proporcionar una interfaz hacia por lo menos un organismo de interceptación (LEA),
caracterizado porque dicho primer elemento de red (LIN) comprende además unos medios (13) para generar paquetes falsos a transmitir con dichos paquetes de datos interceptados.
18. Sistema según la reivindicación 17, en el que dicho segundo elemento de red se corresponde con dicho elemento de pasarela de interceptación (LIG).
19. Sistema según la reivindicación 17 ó 18, en el que dicho primer elemento de red comprende además unos medios de cifrado para cifrar dicho paquete de datos interceptado.
20. Sistema según cualquiera de las reivindicaciones 17 a 19, en el que dicho primer elemento de red (LIN) comprende unos medios de lectura para leer un encabezamiento de un paquete de datos recibido y para duplicar un paquete de datos a interceptar.
21. Sistema según la reivindicación 20, en el que dichos medios de lectura (11) están dispuestos para rellenar dicho paquete de datos copiado hasta una longitud máxima.
22. Sistema según cualquiera de las reivindicaciones 17 a 21, en el que dicho primer elemento de red (LIN) es un elemento de pasarela de dicha red por paquetes.
23. Sistema según la reivindicación 17 a 21, en el que dicho primer elemento de red (LIN) es una BG, un SGSN ó un GGSN.
24. Sistema según la reivindicación 22 ó 23, en el que una información de interceptación que define un paquete de datos a interceptar está incluida en una información de contexto suministrada a dicho primer elemento de red (LIN) y usada para encaminar paquetes de datos.
25. Sistema según la reivindicación 24, en el que dichos medios de control de interceptación (26) comprenden unos medios de almacenamiento para almacenar una lista de interceptación, y en el que dichos medios de control de interceptación (26) están dispuestos para añadir dicha información de interceptación a dicha información de contexto suministrada a dicho primer elemento de red.
26. Sistema según cualquiera de las reivindicaciones 17 a 25, en el que dicho primer elemento de red (LIN) está dispuesto en cada uno de los segmentos de dicha red por paquetes.
27. Sistema según cualquiera de las reivindicaciones 17 a 26, en el que dicho primer elemento de red (LIN) comprende unos medios de control (15) para controlar el procesado de interceptación y cifrado según una instrucción de valores de configuración de interceptación recibida desde dichos medios de control de interceptación (26).
28. Sistema según la reivindicación 17,
en el que dicho elemento de pasarela de interceptación comprende unos medios de memoria para almacenar paquetes de datos interceptados recibidos, antes de suministrarlos a dichos medios de interfaz, y
en el que dicho elemento de pasarela de interceptación comprende unos medios de descifrado para eliminar un cifrado de los paquetes de datos interceptados recibidos, unos medios de extracción para extraer paquetes de datos interceptados a partir de paquetes de datos falsos, y unos medios para añadir una información de tiempo a dichos paquetes de datos interceptados recibidos antes de almacenarlos en dichos medios de memoria.
\newpage
29. Sistema según cualquiera de las reivindicaciones 17 a 28, en el que dicho primer elemento de red (LIN) comprende unos medios de detección para detectar un funcionamiento defectuoso y/o una rotura del mismo, y medios de señalización para señalizar una alarma hacia dicho elemento de pasarela de interceptación (LIG) en respuesta a una salida de dichos medios de detección.
30. Elemento de red para una red por paquetes, que comprende:
a)
unos medios de interceptación (11, 15) para interceptar un paquete de datos recibido desde dicha red por paquetes, y
b)
unos medios de transmisión (14) para transmitir dicho paquete de datos interceptado a través de dicha red por paquetes hacia un elemento de pasarela de interceptación,
c)
en el que dichos medios de interceptación están controlados por unos medios de control de interceptación (26) dispuestos en otro elemento de red, y
caracterizado porque
dicho elemento de red comprende además unos medios destinados a generar paquetes falsos a transmitir con dichos paquetes de datos interceptados, y adaptados de tal manera que
se transmiten paquetes falsos desde dicho elemento de red a dicho elemento de pasarela de interceptación.
31. Elemento de pasarela de interceptación para un sistema de interceptación de una red por paquetes, que comprende:
a)
unos medios de recepción (21) para recibir un paquete de datos interceptado a través de dicha red por paquetes desde un elemento de red (LIN) que dispone de una función de interceptación; y
b)
unos medios de interfaz (27) para proporcionar una interfaz hacia un organismo de interceptación (LEA), y
c)
unos medios de memoria (25) para almacenar paquetes de datos interceptados recibidos, antes de suministrarlos a dichos medios de interfaz (27), y
caracterizado porque dicho elemento de pasarela de interceptación (LIG) comprende unos medios de descifrado (22) para eliminar un cifrado de los paquetes de datos interceptados recibidos, unos medios de extracción (23) para extraer paquetes de datos interceptados a partir de paquetes de datos falsos, y unos medios (24) para añadir una información de tiempo a dichos paquetes de datos interceptados recibidos, antes de almacenarlos en dichos medios de memoria.
32. Elemento de pasarela de interceptación según la reivindicación 31, que comprende además unos medios de control de interceptación para controlar dicha función de interceptación de dicho elemento de red.
ES99906126T 1999-01-14 1999-01-14 Metodo y sistema de interceptacion. Expired - Lifetime ES2296381T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP1999/000180 WO2000042742A1 (en) 1999-01-14 1999-01-14 Interception method and system

Publications (1)

Publication Number Publication Date
ES2296381T3 true ES2296381T3 (es) 2008-04-16

Family

ID=8167189

Family Applications (1)

Application Number Title Priority Date Filing Date
ES99906126T Expired - Lifetime ES2296381T3 (es) 1999-01-14 1999-01-14 Metodo y sistema de interceptacion.

Country Status (8)

Country Link
US (1) US7302702B2 (es)
EP (1) EP1142218B1 (es)
JP (1) JP3825258B2 (es)
CN (1) CN100369437C (es)
AU (1) AU2617399A (es)
DE (1) DE69937464T2 (es)
ES (1) ES2296381T3 (es)
WO (1) WO2000042742A1 (es)

Families Citing this family (160)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2218218A1 (en) * 1996-11-08 1998-05-08 At&T Corp. Promiscuous network monitoring utilizing multicasting within a switch
FI106509B (fi) * 1997-09-26 2001-02-15 Nokia Networks Oy Laillinen salakuuntelu tietoliikenneverkossa
WO2000056019A1 (en) * 1999-03-12 2000-09-21 Nokia Networks Oy Interception system and method
SE0001930D0 (sv) * 2000-05-24 2000-05-24 Ericsson Telefon Ab L M A method and system relating to networks
US7089303B2 (en) 2000-05-31 2006-08-08 Invicta Networks, Inc. Systems and methods for distributed network protection
AU2001265207A1 (en) * 2000-05-31 2001-12-11 Invicta Networks, Inc. Systems and methods for distributed network protection
US7197563B2 (en) 2001-05-31 2007-03-27 Invicta Networks, Inc. Systems and methods for distributed network protection
US7406713B2 (en) 2000-08-18 2008-07-29 Invicta Networks, Inc. Systems and methods for distributed network protection
US20030179747A1 (en) * 2000-10-10 2003-09-25 Pyke Craik R System and method for intercepting telecommunications
US7283521B1 (en) * 2000-10-26 2007-10-16 Nortel Networks Limited System and method for reporting communication related information in a packet mode communication
US20020056001A1 (en) * 2000-11-09 2002-05-09 Magee Stephen D. Communication security system
AU2001297920A1 (en) * 2000-11-21 2002-08-12 Nortel Networks Limited Call intercept system and method
US7333445B2 (en) 2000-12-12 2008-02-19 Nice Systems Ltd. Method and system for monitoring and recording voice from circuit-switched via a packet-switched network
US7152103B1 (en) * 2001-01-10 2006-12-19 Nortel Networks Limited Lawful communication interception—intercepting communication associated information
EP1244250A1 (de) 2001-03-21 2002-09-25 Siemens Aktiengesellschaft Verfahren und Telekommunikationssystem zur Überwachung eines Datenstroms in einem Datennetz
US7093280B2 (en) * 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
DE10121496A1 (de) * 2001-05-03 2002-11-14 Gten Ag Verfahren und Anordnung zur standortunabhängigen Überwachung von Sprach- und/oder Datennetzverbindungen durch Bedarfsträger
DE60139424D1 (de) * 2001-05-16 2009-09-10 Nokia Corp Verfahren und system zur ermöglichung eines legitimen abfangens von verbindungen, wie zum beispiel sprache-über-internet-protokoll-anrufen
US7451110B2 (en) * 2001-05-18 2008-11-11 Network Resonance, Inc. System, method and computer program product for providing an efficient trading market
US7464154B2 (en) * 2001-05-18 2008-12-09 Network Resonance, Inc. System, method and computer program product for analyzing data from network-based structured message stream
US7936693B2 (en) 2001-05-18 2011-05-03 Network Resonance, Inc. System, method and computer program product for providing an IP datalink multiplexer
US7124299B2 (en) * 2001-05-18 2006-10-17 Claymore Systems, Inc. System, method and computer program product for auditing XML messages in a network-based message stream
US7904454B2 (en) * 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
DE10146555B4 (de) * 2001-09-21 2005-11-03 Siemens Ag Verfahren zur Löschung von Überwachungsdaten und Überwachungsvorrichtung
EP1451995A1 (en) * 2001-11-15 2004-09-01 Limited Accuris A system for the unobtrusive interception of data transmissions
US7565146B2 (en) * 2001-12-21 2009-07-21 Nokia Corporation Intercepting a call connection to a mobile subscriber roaming in a visited PLMN (VPLMN)
US6917974B1 (en) * 2002-01-03 2005-07-12 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for preventing network traffic analysis
US8087083B1 (en) * 2002-01-04 2011-12-27 Verizon Laboratories Inc. Systems and methods for detecting a network sniffer
JP4386732B2 (ja) 2002-01-08 2009-12-16 セブン ネットワークス, インコーポレイテッド モバイルネットワークの接続アーキテクチャ
AU2002224990A1 (en) * 2002-01-10 2003-07-24 Nokia Corporation Method and system for proxying a message
US6874089B2 (en) * 2002-02-25 2005-03-29 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
US7769997B2 (en) * 2002-02-25 2010-08-03 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
US7103659B2 (en) * 2002-04-09 2006-09-05 Cisco Technology, Inc. System and method for monitoring information in a network environment
US20040162994A1 (en) * 2002-05-13 2004-08-19 Sandia National Laboratories Method and apparatus for configurable communication network defenses
WO2004006553A1 (de) * 2002-07-02 2004-01-15 Siemens Aktiengesellschaft Zentrale vermittlungsstelle für eine ip-überwachung
AU2002318020A1 (en) * 2002-07-19 2004-02-09 Nokia Corporation Informing a lawful interception system of the serving system serving an intercepted target
KR100480713B1 (ko) * 2002-07-31 2005-04-06 엘지전자 주식회사 이동통신 시스템의 호 추적 및 감시 방법
US7383582B1 (en) * 2002-08-02 2008-06-03 Federal Network Systems, Llc Systems and methods for performing electronic surveillance
EP1389864A1 (en) * 2002-08-13 2004-02-18 Nortel Networks Limited Network architecture for supporting the lawful intercept of a network communication
US7853563B2 (en) 2005-08-01 2010-12-14 Seven Networks, Inc. Universal data aggregation
US7917468B2 (en) 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US8468126B2 (en) 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US20040196841A1 (en) * 2003-04-04 2004-10-07 Tudor Alexander L. Assisted port monitoring with distributed filtering
US20040228362A1 (en) * 2003-05-16 2004-11-18 Toni Maki Multimedia component interception in a gateway GPRS support node (GGSN)
DE10323006A1 (de) * 2003-05-21 2004-12-23 Siemens Ag Zentrale Abhör- und Auswerteinheit
US7447909B2 (en) * 2003-06-05 2008-11-04 Nortel Networks Limited Method and system for lawful interception of packet switched network services
US8774214B1 (en) * 2003-06-06 2014-07-08 Sprint Spectrum L.P. Packet traffic surveillance at a network gateway
US7590725B1 (en) * 2003-07-01 2009-09-15 Mcafee, Inc. Network analyzer system, method and computer program product for multi-dimensional analysis of network tunnels
US7130427B2 (en) * 2003-07-17 2006-10-31 Motorola, Inc. Method for providing point-to-point encryption in a communication system
CN1330132C (zh) * 2003-09-02 2007-08-01 华为技术有限公司 一种实时监听业务控制过程的实现方法
US7437362B1 (en) * 2003-11-26 2008-10-14 Guardium, Inc. System and methods for nonintrusive database security
WO2005088938A1 (en) * 2004-03-10 2005-09-22 Enterasys Networks, Inc. Method for network traffic mirroring with data privacy
US8249082B2 (en) 2004-04-05 2012-08-21 Verizon Business Global Llc System method for a communications access network
US7869450B2 (en) * 2004-04-05 2011-01-11 Verizon Business Global Llc Method and apparatus for processing labeled flows in a communication access network
US8948207B2 (en) * 2004-04-05 2015-02-03 Verizon Patent And Licensing Inc. System and method for transporting time-division multiplexed communications through a packet-switched access network
US8340102B2 (en) * 2004-04-05 2012-12-25 Verizon Business Global Llc Apparatus and method for providing a network termination point
US7821929B2 (en) * 2004-04-05 2010-10-26 Verizon Business Global Llc System and method for controlling communication flow rates
US8289973B2 (en) 2004-04-05 2012-10-16 Verizon Business Global Llc System and method for indicating classification of a communications flow
US20050220059A1 (en) * 2004-04-05 2005-10-06 Delregno Dick System and method for providing a multiple-protocol crossconnect
CN100334844C (zh) * 2004-04-30 2007-08-29 华为技术有限公司 一种基于业务的监听方法
CN100361457C (zh) * 2004-05-10 2008-01-09 华为技术有限公司 一种传送监听信息的方法
WO2006023829A2 (en) * 2004-08-20 2006-03-02 Enterasys Networks, Inc. System, method and apparatus for traffic mirror setup, service and security in communication networks
US7747774B2 (en) * 2004-08-23 2010-06-29 At&T Intellectual Property I, L.P. Methods, systems and computer program products for obscuring traffic in a distributed system
US7865944B1 (en) * 2004-09-10 2011-01-04 Juniper Networks, Inc. Intercepting GPRS data
WO2006045102A2 (en) * 2004-10-20 2006-04-27 Seven Networks, Inc. Method and apparatus for intercepting events in a communication system
US8010082B2 (en) 2004-10-20 2011-08-30 Seven Networks, Inc. Flexible billing architecture
KR100617775B1 (ko) * 2004-11-08 2006-08-28 삼성전자주식회사 멀티미디어 메시징 서비스에서 중복된 도달 통지 메시지에대한 관리 방법
US7706781B2 (en) 2004-11-22 2010-04-27 Seven Networks International Oy Data security in a mobile e-mail service
FI117152B (fi) 2004-12-03 2006-06-30 Seven Networks Internat Oy Sähköpostiasetusten käyttöönotto matkaviestimelle
US7877703B1 (en) 2005-03-14 2011-01-25 Seven Networks, Inc. Intelligent rendering of information in a limited display environment
WO2006098668A1 (en) * 2005-03-18 2006-09-21 Telefonaktiebolaget Lm Ericsson (Publ) Lawful interception of unauthorized subscribers and equipments
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
US7796742B1 (en) 2005-04-21 2010-09-14 Seven Networks, Inc. Systems and methods for simplified provisioning
US20060268696A1 (en) * 2005-05-25 2006-11-30 Alain Konstantinov Data packets scrambling module and method
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
US8069166B2 (en) 2005-08-01 2011-11-29 Seven Networks, Inc. Managing user-to-user contact with inferred presence information
US7970788B2 (en) * 2005-08-02 2011-06-28 International Business Machines Corporation Selective local database access restriction
CN100414895C (zh) * 2005-10-26 2008-08-27 华为技术有限公司 一种实现合法监听的系统和方法
US7933923B2 (en) 2005-11-04 2011-04-26 International Business Machines Corporation Tracking and reconciling database commands
US8024785B2 (en) * 2006-01-16 2011-09-20 International Business Machines Corporation Method and data processing system for intercepting communication between a client and a service
US8130772B2 (en) 2006-01-25 2012-03-06 Vastech Sa (Pty) Limited Electronic communications recording system
US7444131B2 (en) * 2006-01-31 2008-10-28 Lucent Technologies Inc. Method and apparatus for rerouting terminations for CALEA targets through a predetermined surveilling MSC
US7769395B2 (en) 2006-06-20 2010-08-03 Seven Networks, Inc. Location-based operations and messaging
RU2434343C2 (ru) * 2006-02-27 2011-11-20 Телефонактиеболагет Лм Эрикссон (Пабл) Правомерный доступ, усовершенствованная архитектура передачи сохраненных данных
US7873032B2 (en) 2006-03-02 2011-01-18 Tango Networks, Inc. Call flow system and method use in VoIP telecommunication system
US8023479B2 (en) 2006-03-02 2011-09-20 Tango Networks, Inc. Mobile application gateway for connecting devices on a cellular network with individual enterprise and data networks
US7890096B2 (en) 2006-03-02 2011-02-15 Tango Networks, Inc. System and method for enabling call originations using SMS and hotline capabilities
ITMI20061886A1 (it) * 2006-10-02 2008-04-03 Ericsson Telefon Ab L M Procedimento e architettura di intercettazione legale in reti a banda larga filari
US8141100B2 (en) 2006-12-20 2012-03-20 International Business Machines Corporation Identifying attribute propagation for multi-tier processing
US8599747B1 (en) * 2006-12-20 2013-12-03 Radisys Canada Inc. Lawful interception of real time packet data
US8495367B2 (en) 2007-02-22 2013-07-23 International Business Machines Corporation Nondestructive interception of secure data in transit
US20090196301A1 (en) * 2007-05-14 2009-08-06 Brian Parsons Methods, systems and apparatus for monitoring and/or generating communications in a communications network
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US8693494B2 (en) 2007-06-01 2014-04-08 Seven Networks, Inc. Polling
RU2435205C2 (ru) * 2007-06-08 2011-11-27 Хуавэй Текнолоджиз Ко., Лтд. Способ законного перехвата информации и устройство для этого
US8811956B2 (en) * 2007-06-14 2014-08-19 Intel Corporation Techniques for lawful interception in wireless networks
US8364181B2 (en) 2007-12-10 2013-01-29 Seven Networks, Inc. Electronic-mail filtering for mobile devices
US9002828B2 (en) 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8793305B2 (en) 2007-12-13 2014-07-29 Seven Networks, Inc. Content delivery to a mobile device from a content service
US8107921B2 (en) 2008-01-11 2012-01-31 Seven Networks, Inc. Mobile virtual network operator
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
CN101540711B (zh) * 2008-03-17 2013-02-27 华为技术有限公司 分组网络中的点到多点隧道的建立方法、系统和设备
US7975046B2 (en) * 2008-04-03 2011-07-05 AT&T Intellectual Property I, LLP Verifying a lawful interception system
US8200809B2 (en) * 2008-04-03 2012-06-12 At&T Intellectual Property I, L.P. Traffic analysis for a lawful interception system
US8261326B2 (en) 2008-04-25 2012-09-04 International Business Machines Corporation Network intrusion blocking security overlay
US8787947B2 (en) 2008-06-18 2014-07-22 Seven Networks, Inc. Application discovery on mobile devices
US8078158B2 (en) 2008-06-26 2011-12-13 Seven Networks, Inc. Provisioning applications for a mobile device
CN106850535A (zh) * 2008-07-24 2017-06-13 爱立信电话股份有限公司 对代理移动因特网协议网络中目标的合法侦听
ES2647940T3 (es) * 2008-07-24 2017-12-27 Telefonaktiebolaget Lm Ericsson (Publ) Interceptación legal para equipos 2G/3G que interactúan con el sistema evolucionado de paquetes
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
US9785662B2 (en) * 2008-10-14 2017-10-10 Mobilegaurd Inc. System and method for capturing data sent by a mobile device
JP5272851B2 (ja) * 2009-03-30 2013-08-28 日本電気株式会社 通信傍受システム、通信傍受装置、通信傍受方法およびプログラム
WO2011126889A2 (en) 2010-03-30 2011-10-13 Seven Networks, Inc. 3d mobile user interface with configurable workspace management
CA2806527A1 (en) 2010-07-26 2012-02-09 Seven Networks, Inc. Mobile network traffic coordination across multiple applications
GB2500333B (en) 2010-07-26 2014-10-08 Seven Networks Inc Mobile application traffic optimization
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
GB2495877B (en) 2010-07-26 2013-10-02 Seven Networks Inc Distributed implementation of dynamic wireless traffic policy
US20120076303A1 (en) * 2010-09-24 2012-03-29 Rogers Communications Inc. Intercept access point for communications within local breakouts
WO2012060997A2 (en) 2010-11-01 2012-05-10 Michael Luna Application and network-based long poll request detection and cacheability assessment therefor
US8204953B2 (en) 2010-11-01 2012-06-19 Seven Networks, Inc. Distributed system for cache defeat detection and caching of content addressed by identifiers intended to defeat cache
WO2012060996A2 (en) 2010-11-01 2012-05-10 Michael Luna Caching adapted for mobile application behavior and network conditions
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8326985B2 (en) 2010-11-01 2012-12-04 Seven Networks, Inc. Distributed management of keep-alive message signaling for mobile network resource conservation and optimization
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US9060032B2 (en) 2010-11-01 2015-06-16 Seven Networks, Inc. Selective data compression by a distributed traffic management system to reduce mobile data traffic and signaling traffic
US9330196B2 (en) 2010-11-01 2016-05-03 Seven Networks, Llc Wireless traffic management system cache optimization using http headers
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
GB2495463B (en) 2010-11-22 2013-10-09 Seven Networks Inc Aligning data transfer to optimize connections established for transmission over a wireless network
EP2636268B1 (en) 2010-11-22 2019-02-27 Seven Networks, LLC Optimization of resource polling intervals to satisfy mobile device requests
US9325662B2 (en) 2011-01-07 2016-04-26 Seven Networks, Llc System and method for reduction of mobile network traffic used for domain name system (DNS) queries
US9668168B2 (en) 2011-01-17 2017-05-30 Agency For Science, Technology And Research Method and device for mobile data offload
WO2012145544A2 (en) 2011-04-19 2012-10-26 Seven Networks, Inc. Device resource sharing for network resource conservation
WO2012149434A2 (en) 2011-04-27 2012-11-01 Seven Networks, Inc. Detecting and preserving state for satisfying application requests in a distributed proxy and cache system
EP2702827A4 (en) 2011-04-27 2014-10-22 Seven Networks Inc MOBILE DEVICE FOR REQUESTING INQUIRIES OF A MOBILE APPLICATION TO A REMOTE UNIT FOR PRESERVING RESOURCES OF THE MOBILE DEVICE AND A NETWORK AND METHOD THEREFOR
US9239800B2 (en) 2011-07-27 2016-01-19 Seven Networks, Llc Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network
US8918503B2 (en) 2011-12-06 2014-12-23 Seven Networks, Inc. Optimization of mobile traffic directed to private networks and operator configurability thereof
US8977755B2 (en) 2011-12-06 2015-03-10 Seven Networks, Inc. Mobile device and method to utilize the failover mechanism for fault tolerance provided for mobile traffic management and network/device resource conservation
US9208123B2 (en) 2011-12-07 2015-12-08 Seven Networks, Llc Mobile device having content caching mechanisms integrated with a network operator for traffic alleviation in a wireless network and methods therefor
US9277443B2 (en) 2011-12-07 2016-03-01 Seven Networks, Llc Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
US8861354B2 (en) 2011-12-14 2014-10-14 Seven Networks, Inc. Hierarchies and categories for management and deployment of policies for distributed wireless traffic optimization
EP2792188B1 (en) 2011-12-14 2019-03-20 Seven Networks, LLC Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
US9832095B2 (en) 2011-12-14 2017-11-28 Seven Networks, Llc Operation modes for mobile traffic optimization and concurrent management of optimized and non-optimized traffic
WO2013103988A1 (en) 2012-01-05 2013-07-11 Seven Networks, Inc. Detection and management of user interactions with foreground applications on a mobile device in distributed caching
CA2860989C (en) * 2012-01-12 2021-11-30 Michael Eoin Buckley System and method of lawful access to secure communications
US9203864B2 (en) 2012-02-02 2015-12-01 Seven Networks, Llc Dynamic categorization of applications for network access in a mobile network
WO2013116852A1 (en) 2012-02-03 2013-08-08 Seven Networks, Inc. User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
WO2013155208A1 (en) 2012-04-10 2013-10-17 Seven Networks, Inc. Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network
WO2013184618A1 (en) * 2012-06-04 2013-12-12 Interdigital Patent Holdings, Inc. Lawful interception for local selected ip traffic offload and local ip access performed at a non-core gatway
WO2014011216A1 (en) 2012-07-13 2014-01-16 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
US20140177497A1 (en) 2012-12-20 2014-06-26 Seven Networks, Inc. Management of mobile device radio state promotion and demotion
US9271238B2 (en) 2013-01-23 2016-02-23 Seven Networks, Llc Application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
EP2987278B1 (en) * 2013-04-19 2017-10-04 Telefonaktiebolaget LM Ericsson (publ) Method and switch for lawful interception
US9225747B2 (en) * 2013-04-29 2015-12-29 Centurylink Intellectual Property Llc Lawful intercept utility application
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
EP3157226B1 (en) * 2015-10-14 2018-06-27 Saguna Networks Ltd. Method circuits devices systems and functionally associated computer executable code for detecting and mitigating denial of service attack directed on or through a radio access networks

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4594706A (en) * 1983-04-22 1986-06-10 Nec Corporation Packet communication systems
US4797880A (en) * 1987-10-07 1989-01-10 Bell Communications Research, Inc. Non-blocking, self-routing packet switch
US4965804A (en) * 1989-02-03 1990-10-23 Racal Data Communications Inc. Key management for encrypted packet based networks
US5428667A (en) * 1993-03-11 1995-06-27 Harris Corporation Multi-channel cellular communications intercept system
US5515376A (en) * 1993-07-19 1996-05-07 Alantec, Inc. Communication apparatus and methods
US5627819A (en) * 1995-01-09 1997-05-06 Cabletron Systems, Inc. Use of multipoint connection services to establish call-tapping points in a switched network
US5710971A (en) * 1995-12-18 1998-01-20 Motorola, Inc. Radio communication network and method for unobstrusive call interception via data duplication
US5913161A (en) * 1996-04-09 1999-06-15 Adc Telecommunications, Inc. Apparatus and methods for the lawful intercept of cellular communications
US5974309A (en) * 1996-05-03 1999-10-26 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for facilitating law enforcement agency monitoring of cellular telephone calls
US6138162A (en) * 1997-02-11 2000-10-24 Pointcast, Inc. Method and apparatus for configuring a client to redirect requests to a caching proxy server based on a category ID with the request
US6173311B1 (en) * 1997-02-13 2001-01-09 Pointcast, Inc. Apparatus, method and article of manufacture for servicing client requests on a network
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
US5930698A (en) * 1997-05-09 1999-07-27 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for efficient law enforcement agency monitoring of telephone calls
FI106509B (fi) * 1997-09-26 2001-02-15 Nokia Networks Oy Laillinen salakuuntelu tietoliikenneverkossa
ES2205581T3 (es) * 1998-03-11 2004-05-01 Swisscom Mobile Ag Procedimiento para la comunicacion mediante acceso directo con reaccion binaria.
US6557037B1 (en) * 1998-05-29 2003-04-29 Sun Microsystems System and method for easing communications between devices connected respectively to public networks such as the internet and to private networks by facilitating resolution of human-readable addresses
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6122499A (en) * 1998-07-31 2000-09-19 Iridium, L.L.C. System and/or method for call intercept capability in a global mobile satellite communications system
US6771597B2 (en) * 1998-07-31 2004-08-03 International Business Machines Corporation Method and apparatus for transmitting messages
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US20030037235A1 (en) * 1998-08-19 2003-02-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US6577865B2 (en) * 1998-11-05 2003-06-10 Ulysses Holdings, Llc System for intercept of wireless communications
US6473798B1 (en) * 1998-12-15 2002-10-29 Cisco Technology, Inc. Method and system for testing a layer-2 tunnel in a data communication network
WO2000056019A1 (en) * 1999-03-12 2000-09-21 Nokia Networks Oy Interception system and method

Also Published As

Publication number Publication date
WO2000042742A1 (en) 2000-07-20
EP1142218B1 (en) 2007-10-31
US20020078384A1 (en) 2002-06-20
JP3825258B2 (ja) 2006-09-27
CN1338169A (zh) 2002-02-27
CN100369437C (zh) 2008-02-13
EP1142218A1 (en) 2001-10-10
DE69937464D1 (de) 2007-12-13
DE69937464T2 (de) 2008-08-21
JP2002535883A (ja) 2002-10-22
US7302702B2 (en) 2007-11-27
AU2617399A (en) 2000-08-01

Similar Documents

Publication Publication Date Title
ES2296381T3 (es) Metodo y sistema de interceptacion.
Reed et al. Protocols using anonymous connections: Mobile applications
US5386471A (en) Method and apparatus for securely conveying network control data across a cryptographic boundary
ES2378816T3 (es) Red y nodo para proporcionar una transmisión segura de mensajes de parte de aplicación móvil
US8953801B2 (en) System and method for multicasting IPSEC protected communications
US20140204755A1 (en) Apparatus for distributing data traffic in heterogeneous wireless networks
KR100547855B1 (ko) 근거리 통신 장치를 구비한 복합 이동 통신 단말의 보안통신 시스템 및 방법
US9219709B2 (en) Multi-wrapped virtual private network
US20100228961A1 (en) Hierarchical secure networks
US6771649B1 (en) Middle approach to asynchronous and backward-compatible detection and prevention of ARP cache poisoning
EP2312791A1 (en) Key management for telephone calls to protect signaling and call packets between CTA's
Gong et al. Elements of trusted multicasting
US10699031B2 (en) Secure transactions in a memory fabric
ES2306414T3 (es) Procedimiento para la aunteticacion de mensajes de multidifusion.
US8582468B2 (en) System and method for providing packet proxy services across virtual private networks
Syverson et al. Private web browsing
JP2000163283A (ja) リモートサイトコンピュータ監視システム
Murugamani Authenticating and Securing Ad-Hoc Networks using Gateway Selection Algorithm
US12218976B2 (en) Systems and methods for container server protection
ES2986323T3 (es) Procedimiento de transmisión de datos y sistema de comunicación
CN101145899A (zh) Mac安全网络通信方法以及网络设备
CN113765882B (zh) 逻辑隔离的跨域信息传输系统
US20030088766A1 (en) Secure communication protocol utilizing a private key delivered via a secure protocol
EP4557667A1 (en) Encryptor, decryptor, communications system, methods, communications method
Recacha et al. Implementation of a secure Bridge in an Ethernet Environment