JP5272851B2 - Communication interception system, communication interception device, communication interception method, and program - Google Patents
Communication interception system, communication interception device, communication interception method, and program Download PDFInfo
- Publication number
- JP5272851B2 JP5272851B2 JP2009082191A JP2009082191A JP5272851B2 JP 5272851 B2 JP5272851 B2 JP 5272851B2 JP 2009082191 A JP2009082191 A JP 2009082191A JP 2009082191 A JP2009082191 A JP 2009082191A JP 5272851 B2 JP5272851 B2 JP 5272851B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- terminal
- gateway
- interception
- communication interception
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、通信傍受システム、通信傍受装置、通信傍受方法、およびその方法をコンピュータに実行させるためのプログラムに関する。 The present invention relates to a communication interception system, a communication interception apparatus, a communication interception method, and a program for causing a computer to execute the method.
ネットワークを介して行われる、端末間の通信に対して、傍受を行うことが必要な場合がある。そのような傍受を行うための通信傍受装置の一例として、特許文献1が開示されている。 It may be necessary to intercept for communication between terminals performed via a network. Patent Document 1 is disclosed as an example of a communication interception device for performing such interception.
これに関連する通信傍受装置を用いた通信傍受システムの一例について、以下に図を用いて具体的に説明する。図11Aは、関連する通信傍受システムの一構成例を含むネットワーク全体を示すブロック図である。 An example of a communication interception system using a communication interception device related to this will be specifically described below with reference to the drawings. FIG. 11A is a block diagram showing an entire network including a configuration example of a related communication interception system.
図11Aに示すように、ユーザが利用するサービスネットワーク80に複数のGW(Gateway)450が接続され、これら複数のGW450はネットワーク2を介して複数のAGW(Access Gateway)550と接続される。移動体通信の端末701と無線接続する無線基地局60は、AGW550と接続される。ネットワーク2およびサービスネットワーク80のそれぞれは、企業が運営するネットワークであってもよく、インターネットであってもよい。ユーザは移動体の端末701を操作してその端末701を無線基地局60、AGW550、およびGW450を介してサービスネットワーク80に接続させ、さらに、端末75と接続させる。
As shown in FIG. 11A, a plurality of GWs (Gateways) 450 are connected to a
図11Bは図11Aに示した通信傍受システムによる通信傍受方法を説明するためのブロック図である。図11Bでは、説明を簡単にするために、GWおよびAGWのそれぞれが1つの場合を示す。図11Aおよび図11Bにおいて、ユーザプレーン通信路(トンネル経路)を太い点線で模式的に表している。 FIG. 11B is a block diagram for explaining a communication interception method by the communication interception system shown in FIG. 11A. FIG. 11B shows a case where there is one GW and one AGW for ease of explanation. In FIG. 11A and FIG. 11B, the user plane communication path (tunnel path) is schematically represented by a thick dotted line.
図11Bに示す通信傍受システムは、通信を傍受する通信傍受装置400と、通信傍受装置400を管理する通信傍受管理装置600と、端末およびそのユーザに関する情報である加入者情報を管理する加入者管理装置500とを有する。GW450およびAGW550はトンネル経路900で接続される。通信傍受装置400は、GW450、AGW550、加入者管理装置500および通信傍受管理装置600のそれぞれと制御信号通信路で接続される。また、加入者管理装置500は、GW450、AGW550、通信傍受装置400および通信傍受管理装置600のそれぞれと制御信号通信路で接続される。通信傍受管理装置600は、加入者管理装置500および通信傍受装置400のそれぞれと制御信号通信路で接続される。
The communication interception system shown in FIG. 11B includes a
図11Bに示す通信傍受システムでは、AGW550およびGW450のゲートウェイは、通常の通信処理として、傍受非対象の呼(通信セッション)について、呼に伴うデータをトンネル経路900を介して他方のゲートウェイに送信する処理を行う。また、AGW550またはGW450は、通信傍受装置400から傍受対象を特定するためのキーとなる情報(例えば、傍受対象となる端末のIPアドレス)を含む通信傍受の指示を受け取ると、キーとなる情報を参照し、通信処理対象の呼に対して、傍受対象となる呼があるか検索する。そして、AGW550またはGW450は、傍受対象となる呼を見つけると、傍受対象の呼でやり取りされるデータを複写し、複写したデータを制御信号通信路910を介して通信傍受装置400に送信する。なお、AGW550またはGW450は、複写の際の元のデータについては、通常の通信処理と同様にして、トンネル経路900を介して他方のゲートウェイに送信する。
In the communication interception system shown in FIG. 11B, the gateway of AGW 550 and GW450 transmits data associated with the call to the other gateway via the
このようにして、AGW550またはGW450は、通信傍受装置400から通信傍受の指示を受け取ると、通常の通信処理以外に、傍受対象の検索、傍受対象のデータの複写、複写したデータの通信傍受装置400への送信という処理を行う必要がある。傍受対象の検索、傍受対象のデータの複写、および複写したデータの通信傍受装置400への送信を含む処理を、以下では、傍受のための準備処理と称する。
In this way, when the AGW 550 or GW 450 receives a communication interception instruction from the
次に、別の通信傍受システムの例を説明する。図12は、関連する通信傍受システムの別の構成例を説明するためのブロック図である。通信路の表示の仕方は図11Bと同様であり、その説明を省略する。 Next, an example of another communication interception system will be described. FIG. 12 is a block diagram for explaining another configuration example of the related communication interception system. The way of displaying the communication path is the same as in FIG. 11B, and the description thereof is omitted.
図11Bに示した通信傍受システムとの大きな違いは、図12に示すGW40およびAGW50はいずれも傍受のための準備処理を行う機能を備えていないことと、GW40とAGW50を結ぶトンネル経路の途中に通信傍受装置(図12および以下の文では、傍受装置と表記)410が設けられていることである。GW40およびAGW50は通常の通信処理を行う。傍受装置410は、IPネットワークにおけるルータに相当する装置である。加入者管理装置500は、GW40、AGW50および通信傍受管理装置600のそれぞれと制御信号通信路で接続される。
The major difference from the communication interception system shown in FIG. 11B is that neither the
図12に示す通信傍受システムでは、傍受装置410は、キーとなる情報を元に、傍受対象となる呼をトンネル経路900で検索する。検索の結果、傍受装置410は、傍受対象となる呼を見つけると、通信の傍受を開始すると共に、その呼に伴うデータを複写し、元のデータをトンネル経路900に戻す。
In the communication interception system shown in FIG. 12, the
図11Bで説明した通信傍受システムでは、図11Aに示したように、AGW550が複数あると、傍受対象の移動体がどのAGW550に接続するかわからないため、傍受のための準備処理機能を全てのAGW550に予め設けておく必要がある。AGW550の代わりにGW450に対して傍受のための準備処理を行わせる場合であっても、GW450が複数あると、傍受のための準備処理機能を全てのGW450に予め設けておく必要がある。
In the communication interception system described with reference to FIG. 11B, as shown in FIG. 11A, when there are a plurality of AGWs 550, it is not known to which AGW 550 the mobile object to be intercepted connects. Must be provided in advance. Even when the preparation processing for intercepting is performed on the
また、AGW550またはGW450は、通信傍受装置400から通信傍受の指示を受け取ると、通常の通信処理と並行して、傍受のための準備処理を行うため、傍受非対象の呼に対して処理能力が低下するなど、通常の通信処理に影響が出てしまうおそれがある。このように、傍受によって通常の通信処理が低下してしまうという問題がある。
In addition, when the AGW 550 or GW 450 receives a communication interception instruction from the
図12に示した通信傍受システムでは、GW40とAGW50との間に形成されるトンネル経路に傍受装置410を設置する必要がある。この場合、図11Aに示したネットワーク2の規模が大きくなるにしたがって、図11Aに示したGWやAGWの数も増加する。その結果、GWとAGWの間に設ける傍受装置の数も多くなり、その設備の設置や運用にかかる費用が高くなってしまうという問題がある。
In the communication interception system shown in FIG. 12, it is necessary to install the
一方、現在の移動体通信では、ハンドオーバと呼ばれる、端末が無線基地局間を移動しても通信が途切れることなく行われることが一般的になっている。図13は、図11Bに示した通信システムにおいてハンドオーバが行われた場合を説明するためのブロック図である。 On the other hand, in the current mobile communication, it is common to perform communication without interruption even when a terminal moves between radio base stations, called handover. FIG. 13 is a block diagram for explaining a case where handover is performed in the communication system shown in FIG. 11B.
端末701と端末75とがサービスネットワーク80、GW450、AGW550aおよび無線基地局60aを介して通信を行っている際、AGW550aは、端末701を傍受対象とする旨の指示を通信傍受装置400から受けると、上述した、傍受のための準備処理を開始する。その後、端末701が無線基地局60aの通信圏内から無線基地局60bの通信圏内に移動すると、端末701が無線基地局60bおよびAGW550bを介して端末75と通信を開始する。しかしながら、その通信を開始する前に、AGW550aは、傍受対象を特定するためのキーとなる情報をAGW550bに通知しなければならない。そして、その通知を受けたAGW550bは、他の呼に対して行っていた通常の通信処理だけでなく、傍受のための準備処理を開始する。
When the
図14は、図12に示した通信システムにおいてハンドオーバが行われた場合を説明するためのブロック図である。図14に示す場合において、端末701が端末75とサービスネットワーク80、GW40、AGW50aおよび無線基地局60aを介して通信を行う。その際、端末701が無線基地局60aの通信圏内から無線基地局60bの通信圏内に移動すると、ハンドオーバにより端末701の接続先は無線基地局60aから無線基地局60bに切り替わる。ハンドオーバの際に端末701に対する通信傍受を行う装置を傍受装置410aから傍受装置410bに切り替えるには、通信が切り替わる前までに、傍受対象を特定するためのキーとなる情報が傍受装置410aから傍受装置410bに通知されていなければならない。
FIG. 14 is a block diagram for explaining a case where a handover is performed in the communication system shown in FIG. In the case shown in FIG. 14, the terminal 701 communicates with the terminal 75 via the
本発明は、上述したような技術が有する問題点を解決するためになされたものであり、通信網の規模が大きくなっても、AGWやGWに通信傍受のための機能を持たせる必要が無く、通信処理の低下を抑制するとともに、通信傍受のための設備費用を抑えた通信傍受システム、通信傍受装置、通信傍受方法、およびその方法をコンピュータに実行させるためのプログラムを提供することを目的とする。 The present invention has been made to solve the above-described problems of the technology, and it is not necessary to provide the AGW or GW with a function for intercepting communication even if the scale of the communication network increases. An object of the present invention is to provide a communication interception system, a communication interception apparatus, a communication interception method, and a program for causing a computer to execute the method, which suppresses a decrease in communication processing and suppresses equipment costs for communication interception. To do.
上記目的を達成するための本発明の通信傍受システムは、通信を傍受する通信傍受システムであって、
傍受対象の端末を特定する管理装置と、
傍受対象の端末の通信を傍受する通信傍受装置と
を備え、
前記管理装置が、接続要求された端末が傍受対象であることを特定すると、該端末が傍受対象である旨を前記通信傍受装置に通知し、
前記通信傍受装置は、
前記傍受対象の端末が通信相手に送信するデータまたは通信相手から受信するデータを格納するための記憶部と、第1のゲートウェイから接続要求を受けると、該第1のゲートウェイに関する認証要求を前記管理装置に行い、該第1のゲートウェイの前記認証結果および第2のゲートウェイを接続先に指定する旨の情報を該管理装置から受信すると、該第2のゲートウェイに接続を要求し、該第1および第2のゲートウェイのそれぞれと自装置とを接続するトンネル経路を確立し、これら2つのゲートウェイのうち一方のゲートウェイから前記傍受対象の端末についての前記データを受信すると、該データを複写して自装置の前記記憶部に格納し、該データを他方のゲートウェイに転送する制御部とを有するものである。
The communication intercept system of the present invention for achieving the above object is a communication intercept system for intercepting communication,
A management device that identifies a terminal to be intercepted;
A communication interception device that intercepts the communication of the terminal to be intercepted,
When the management device specifies that the terminal requested to be connected is an intercept target, it notifies the communication intercept device that the terminal is an intercept target,
The communication interception device is
A storage unit for storing data received from the data or communicating party the interception target terminal sends to the communication partner, when receiving a connection request from the first gateway, said managing an authentication request relating to said first gateway When receiving the authentication result of the first gateway and information indicating that the second gateway is designated as a connection destination from the management device, the device requests the second gateway to connect, and When a tunnel path connecting each of the second gateways and the own device is established, and the data about the terminal to be intercepted is received from one of the two gateways, the data is copied and the own device is copied. And a control unit that transfers the data to the other gateway.
また、本発明の通信傍受装置は、接続要求された端末が傍受対象である旨の情報を管理装置から受け取ると、前記端末と自装置との間にトンネル経路を構築する通信傍受装置であって、
傍受対象の端末が通信相手に送信するまたは通信相手から受信するデータを格納するための記憶部と、
第1のゲートウェイから接続要求を受けると、該第1のゲートウェイに関する認証要求を前記管理装置に行い、該第1のゲートウェイを認証する旨の認証結果および第2のゲートウェイを接続先に指定する旨の情報を該管理装置から受信すると、該第2のゲートウェイに接続を要求し、該第1および第2のゲートウェイのそれぞれと自装置とを接続するトンネル経路を確立し、これら2つのゲートウェイのうち一方のゲートウェイから前記傍受対象の端末についての前記データを受信すると、該データを複写して自装置の前記記憶部に格納し、該データを他方のゲートウェイに転送する制御部と、
を有するものである。
The communication interception device of the present invention is a communication interception device that establishes a tunnel path between the terminal and the own device when information indicating that the terminal requested to be connected is an interception target is received from the management device. ,
A storage unit for storing data to be transmitted to or received from a communication partner by a terminal to be intercepted;
When a connection request is received from the first gateway, an authentication request relating to the first gateway is made to the management apparatus, and an authentication result indicating that the first gateway is authenticated and a second gateway is designated as the connection destination Is received from the management device, the second gateway is requested to connect, and a tunnel path is established for connecting each of the first and second gateways to the own device. When the data about the intercepted terminal is received from one gateway, the data is copied and stored in the storage unit of the own device, and the control unit transfers the data to the other gateway;
It is what has .
また、本発明の通信傍受方法は、接続要求された端末が傍受対象である旨の情報を管理装置から受け取ると、前記端末と自装置との間にトンネル経路を構築する通信傍受装置による通信傍受方法であって、
前記通信傍受装置が、第1のゲートウェイから接続要求を受けると、該第1のゲートウェイに関する認証要求を前記管理装置に行い、
前記通信傍受装置が、前記第1のゲートウェイを認証する旨の認証結果および第2のゲートウェイを接続先に指定する旨の情報を前記管理装置から受信すると、該第2のゲートウェイに接続を要求し、該第1および第2のゲートウェイのそれぞれと自装置とを接続するトンネル経路を確立し、
前記通信傍受装置が、前記傍受対象の端末についての通信相手に送信するまたは通信相手から受信するデータを前記第1および第2のゲートウェイのうち一方のゲートウェイから受信すると、該データを複写して自装置の記憶部に格納し、該データを他方のゲートウェイに転送するものである。
Also, the communication interception method of the present invention, when receiving information from the management device that the terminal requested to be connected is subject to interception, the communication interception by the communication interception device that constructs a tunnel path between the terminal and the device itself. A method,
When the communication interception device receives a connection request from the first gateway, it makes an authentication request for the first gateway to the management device,
When the communication intercepting device receives an authentication result indicating that the first gateway is authenticated and information indicating that the second gateway is designated as a connection destination from the management device, the communication intercepting device requests the second gateway to connect. Establishing a tunnel path connecting each of the first and second gateways to the own device,
When the communication interception device receives data from one of the first and second gateways to be transmitted to or received from the communication partner for the terminal to be intercepted, the data is copied and automatically transmitted. The data is stored in the storage unit of the device and the data is transferred to the other gateway .
さらに、本発明のプログラムは、接続要求された端末が傍受対象である旨の情報を管理装置から受け取ると、前記端末と自装置との間にトンネル経路を構築する通信傍受装置に、
第1のゲートウェイから接続要求を受けると、該第1のゲートウェイに関する認証要求を前記管理装置に行う手順と、
前記第1のゲートウェイを認証する旨の認証結果および第2のゲートウェイを接続先に指定する旨の情報を前記管理装置から受信すると、該第2のゲートウェイに接続を要求し、該第1および第2のゲートウェイのそれぞれと自装置とを接続するトンネル経路を確立する手順と、
前記傍受対象の端末についての通信相手に送信するまたは通信相手から受信するデータを前記第1および第2のゲートウェイのうち一方のゲートウェイから受信すると、該データを複写して自装置の記憶部に格納し、該データを他方のゲートウェイに転送する手順を実行させるものである。
Furthermore, when the program of the present invention receives information from the management device that the terminal requested to be connected is an interception target, the communication interception device that constructs a tunnel path between the terminal and the device itself ,
Upon receiving a connection request from the first gateway, a procedure for making an authentication request for the first gateway to the management device;
Upon receiving from the management device an authentication result for authenticating the first gateway and information for designating the second gateway as a connection destination, the connection request is made to the second gateway, and the first and second gateways are requested. A procedure for establishing a tunnel path connecting each of the two gateways and the own device;
When data transmitted to or received from a communication partner for the terminal to be intercepted is received from one of the first and second gateways, the data is copied and stored in the storage unit of the device itself Then, a procedure for transferring the data to the other gateway is executed .
本発明によれば、傍受対象の呼だけが通信傍受装置を経由して処理されるため、ゲートウェイ装置は制御対象の呼に対して傍受対象であるかどうかを検索する必要がなく、通信処理の負荷が軽減する。また、ゲートウェイ間を結ぶ複数のトンネル経路の全てに通信傍受装置を設置する必要がないので、通信傍受のための設備費用を抑制できる。 According to the present invention, since only the call to be intercepted is processed via the communication interception device, the gateway device does not need to search whether it is the subject of interception for the call to be controlled. The load is reduced. Moreover, since it is not necessary to install a communication interception device in all of the plurality of tunnel routes connecting the gateways, the equipment cost for the communication interception can be suppressed.
本実施形態の通信傍受システムを説明する。図1Aは本実施形態の通信傍受システムの一構成例を示すブロック図である。図1Bは本実施形態における通信傍受方法を説明するための図である。なお、GW40とAGW50のそれぞれは、図11Aで説明したように、複数設けられ、本実施形態においても、図11Aに示したネットワーク2と同様なネットワークがある。ここでは、説明を簡単にするためにGW40とAGW50が1つの場合で説明する。
The communication intercept system of this embodiment is demonstrated. FIG. 1A is a block diagram illustrating a configuration example of a communication intercept system according to the present embodiment. FIG. 1B is a diagram for explaining a communication interception method in the present embodiment. Note that, as described with reference to FIG. 11A, a plurality of
図1Aおよび図1Bにおいて、トンネル経路が模式的に太い点線で表されている。また、図12で説明した構成と同様な構成には同一の符号を付し、その詳細な説明を省略する。 In FIG. 1A and FIG. 1B, the tunnel path is schematically represented by a thick dotted line. The same reference numerals are given to the same components as those described in FIG. 12, and the detailed description thereof will be omitted.
図1Aに示す通信システムは、サービスネットワーク80に接続されるGW40と、無線基地局60a、60bと、AGW50とを有する。端末701または端末702は無線通信で無線基地局60a、60bと接続される。
The communication system shown in FIG. 1A includes a
本実施形態の通信傍受システムは、図1Aに示すように、通信を傍受する通信傍受装置10と、通信傍受装置10を管理する通信傍受管理装置30と、サービスネットワーク80に接続される端末に関する加入者情報を管理する加入者管理装置20とを有する。本実施形態では、加入者管理装置20と通信傍受管理装置30を別々に設けているが、1台の管理サーバがそれらの装置の両方の機能を備えるようにしてもよい。以下では、別々に設けた場合で説明する。
As shown in FIG. 1A, the communication interception system of this embodiment is a
通信傍受装置10は、GW40、AGW50、加入者管理装置20および通信傍受管理装置30のそれぞれと制御信号通信路で接続される。また、加入者管理装置20は、GW40、AGW50、通信傍受装置10および通信傍受管理装置30のそれぞれと制御信号通信路で接続される。通信傍受管理装置30は、加入者管理装置20および通信傍受装置10のそれぞれと制御信号通信路で接続される。
The
図1Aに示す端末701、702や端末75には、端末を識別するためのキーとなる情報として端末識別子が予め付与されている。端末識別子は端末毎に異なっている。端末識別子は、例えば、電話番号やIPアドレスである。通信システムおよび通信傍受システムの各装置は、端末からの接続要求や端末から受信するデータに含まれる端末識別子を読み出して、接続要求元やデータ送信元の端末を識別する。以下では、各装置における端末識別動作についての説明を省略する。
Terminal identifiers are given in advance to the
次に、図1Aに示した通信傍受システムの各構成について説明する。図2は本実施形態における通信傍受管理装置の一構成例を示すブロック図である。 Next, each configuration of the communication interception system shown in FIG. 1A will be described. FIG. 2 is a block diagram illustrating a configuration example of a communication interception management apparatus according to the present embodiment.
図2に示すように、通信傍受管理装置30は、傍受対象の端末を指定するための操作部330と、傍受対象に指定された端末の情報を通信傍受装置10および加入者管理装置20に通知する制御部310とを有する。制御部310は、傍受対象の端末を特定するための情報である、傍受対象の情報が操作部330を介して入力されると、傍受対象の端末の端末識別子を加入者管理装置20および通信傍受装置10に通知する。
As shown in FIG. 2, the communication
傍受対象の情報は、端末の電話番号およびIPアドレスなどの端末識別子に限らず、その端末のユーザの名前であってもよい。傍受対象の情報をユーザ名とする場合、ユーザ名と端末識別子を組にしたデータを記憶する記憶部(不図示)を通信傍受管理装置30に予め設けておく。そして、制御部310は、操作部330を介してユーザ名が入力されると、入力されたユーザ名に一致する情報を含むデータを記憶部(不図示)から読み出し、読み出したデータに含まれる端末識別子を加入者管理装置20および通信傍受装置10に通知する。ユーザ名と端末識別子を組にしたデータを記憶する記憶部(不図示)を設ける代わりに、制御部310は、端末識別子を要求する旨の情報とユーザ名の情報とを含む問い合わせ情報を加入者管理装置20に送信し、端末識別子の情報を加入者管理装置20から取得してもよい。
The information to be intercepted is not limited to the terminal identifier such as the telephone number and IP address of the terminal, but may be the name of the user of the terminal. When the information to be intercepted is a user name, a storage unit (not shown) that stores data in which the user name and the terminal identifier are paired is provided in advance in the communication
制御部310の構成は、上記の動作を実行するための機能に準じた専用回路であるが、制御部310にCPU(Central Processing Unit)(不図示)とメモリ(不図示)が設けられ、メモリに格納したプログラムをCPUが実行することで、上記機能が実行されるようにしてもよい。なお、上述したように、通信傍受管理装置30に記憶部(不図示)を設ける場合には、制御部310は、通信傍受によるデータ解析処理後の情報を通信傍受装置10から受信すると、その情報を記憶部(不図示)に格納してもよい。
The configuration of the
次に、加入者管理装置の構成について説明する。図3は本実施形態における加入者管理装置の一構成例を示すブロック図である。 Next, the configuration of the subscriber management apparatus will be described. FIG. 3 is a block diagram illustrating a configuration example of the subscriber management apparatus according to the present embodiment.
図3に示すように、加入者管理装置20は、加入者情報および認証情報を保存する記憶部220と、記憶部220に保存した加入者情報を管理するとともに認証処理を行う制御部210とを有する。加入者情報には、ユーザが使用する端末の端末識別子、およびユーザを認証するためのユーザ認証情報が含まれる。認証情報は、GW40、AGW50および通信傍受装置10を認証するための情報および装置毎に異なるIPアドレスの情報である。加入者情報に、ユーザの名前の情報が含まれていてもよい。
As shown in FIG. 3, the
制御部210は、サービスネットワーク80へのエントリ要求を行う端末について認証を求める旨と端末識別子の情報を含む問い合わせ情報をゲートウェイから受け取ると、記憶部220に保存されたユーザ認証情報を参照し、問い合わせ元のゲートウェイに認証結果を通知する。その際、制御部210は、認証要求をしてきたゲートウェイを特定するための情報である装置識別子をその端末の加入者情報に記録する。装置識別子は、例えば、IPアドレスである。また、制御部210は、GW40、AGW50および通信傍受装置10のうちいずれかについて認証を求める旨の問い合わせがあると、ユーザ認証処理と同様に、その問い合わせ元に認証結果を通知するとともに、認証の問い合わせ元の装置に対応する認証情報に、認証対象の装置の装置識別子を記録する。
When the
また、制御部210は、傍受対象となる端末の端末識別子の情報を通信傍受管理装置30から受信すると、その端末識別子に対応する加入者情報を記憶部220で検索し、検索の結果、該当する加入者情報を見つけると、その加入者情報に傍受対象である旨の情報を付加する。傍受対象となる端末の端末識別子の情報を通信傍受管理装置30から受信した際、傍受対象となる端末と他の端末との間にトンネル経路3が確立されていると、制御部210は、AGW50と通信傍受装置10に対して、次のような制御を行う。制御部210は、AGW50に対して、それらの端末間の呼のトンネル経路3の接続先をGW40から通信傍受装置10に切り替える旨を指示する。また、制御部210は、通信傍受装置10にもう1つのトンネル経路の接続先を指示するために、GW40のIPアドレスを通信傍受装置10に通知する。
In addition, when the
さらに、制御部210は、上述のようにして、加入者情報に傍受対象の情報を登録した後、傍受対象の端末より接続要求があった旨の情報をAGW50から受け取ると、傍受対象の端末の呼について、通信傍受装置10との間にトンネル経路5を設定する旨をAGW50に指示し、GW40のIPアドレスを通信傍受装置10に通知する。
Further, after registering the information to be intercepted in the subscriber information as described above, the
制御部210の構成は、上述の動作を実行するための機能に準じた専用回路であるが、制御部210にCPU(不図示)とメモリ(不図示)が設けられ、メモリに格納したプログラムをCPUが実行することで、上記機能が実行されるようにしてもよい。
The configuration of the
次に、通信傍受装置の構成を説明する。図4は本実施形態の通信傍受装置の一構成例を示すブロック図である。 Next, the configuration of the communication interception device will be described. FIG. 4 is a block diagram illustrating a configuration example of the communication interception apparatus according to the present embodiment.
図4に示すように、通信傍受装置10は、傍受対象の端末701が通信相手に送信するデータ、または通信相手から受信するデータを格納するための記憶部112と、通信制御部113および通信傍受部114を含む制御部111と、を有する構成である。
As shown in FIG. 4, the
通信制御部113は、傍受対象の端末の端末識別子の情報を通信傍受管理装置30から受信し、AGW50から接続要求があると、AGW50の認証と接続先を加入者管理装置20に問い合わせる。通信制御部113は、加入者管理情報20からAGW50の認証とGW40のIPアドレスを受信すると、AGW50と自装置を結ぶトンネル経路5、およびGW40と自装置を結ぶトンネル経路4を確立する。そして、通信制御部113は、GW40およびAGW50の2つの装置のうち少なくとも一方のゲートウェイを介して傍受対象の端末を送信元とするデータを受信すると、他方のゲートウェイに転送する。また、通信制御部113は、GW40およびAGW50の2つの装置のうち少なくとも一方のゲートウェイを介して、傍受対象の端末を送信先とするデータを受信すると、他方のゲートウェイに転送する。
The
通信傍受部114は、通信制御部113で転送処理されるデータを複写して記憶部112に格納する。その際、複写したデータを解析し、通信開始時刻および通信終了時刻などの通信履歴と通信内容とを時系列に記憶部112に記録してもよい。以下では、データを複写する処理と複写したデータを解析する処理を含めて傍受処理と称する。
The
制御部111は、制御部内の各部の機能に準じた専用回路が設けられている構成であるが、制御部111にCPU(不図示)とメモリ(不図示)が設けられ、メモリに格納したプログラムをCPUが実行することで、各部の構成の一部または全部が通信傍受装置内に仮想的に構成されるようにしてもよい。
The
次に、本実施形態の通信傍受方法を図1Aおよび図1Bを参照して説明する。 Next, the communication interception method of this embodiment is demonstrated with reference to FIG. 1A and FIG. 1B.
はじめに、図1Aに示すように、端末701と端末75は、無線基地局60a、AGW50、トンネル経路3、GW40およびサービスネットワーク80を介して接続されているものとする。これと同様にして、端末702は、無線基地局60b、AGW50、トンネル経路3、GW40およびサービスネットワーク80を介して端末(不図示)と接続されている。このような通常運用状態では、AGW50とGW40との間にトンネル経路3が構築されている。
First, as shown in FIG. 1A, it is assumed that the terminal 701 and the terminal 75 are connected via the
続いて、通信傍受管理装置30に、端末701の端末識別子の情報を含む、傍受対象の情報が図2に示される操作部330を介して入力されると、通信傍受管理装置30は、端末701の端末識別子の情報を制御部310を介して加入者管理装置20および通信傍受装置10のそれぞれに送信する。加入者管理装置20は、傍受対象となる端末701の端末識別子の情報を通信傍受管理装置30から受信すると、AGW50に対して、端末701に関する呼のトンネル経路3の接続先をGW40から通信傍受装置10に切り替える旨を指示する。一方、通信傍受装置10は、傍受対象となる端末701の端末識別子の情報を通信傍受管理装置30から受信すると、GW40に対して接続を要求する。
Subsequently, when the interception target information including the information of the terminal identifier of the terminal 701 is input to the communication
AGW50は、加入者管理装置30からの指示にしたがって、GW40との間に構築したトンネル経路3の先をGW40から通信傍受装置10に切り替え、図1Bに示すように通信傍受装置10との間にトンネル経路5を構築する。GW40は、通信傍受装置10からの接続要求にしたがって、通信傍受装置10との間にトンネル経路4を構築する。このようにして、端末701と端末75との間で送受信されるデータの伝送経路は、図1Aに示すトンネル経路3から、図1Bに示すトンネル経路4およびトンネル経路5に切り替わる。通信傍受装置10は、AGW50およびGW40のそれぞれから受信する端末701の呼に関して傍受処理を行う。なお、傍受非対象の端末702と端末(不図示)との呼については、図1Aに示すトンネル経路3がそのまま利用される。このようにトンネル経路は、端末毎に構築される。
In accordance with an instruction from the
本実施形態では、GW40およびAGW50の間で傍受非対象のデータが送受信される場合、GW40とAGW50はトンネル経路を介してデータを直接やり取りするが、GW40およびAGW50の間で傍受対象のデータが送受信される場合、図1Aに示すトンネル経路が図1Bに示すトンネル経路に切り替わり、GW40およびAGW50を結ぶトンネル経路が通信傍受装置10を経由して接続される。
In this embodiment, when non-intercepting data is transmitted / received between the
なお、図1Aおよび図1Bでは、装置間の制御信号のやり取りを理解しやすくするために、GW40、AGW50、加入者管理装置20、通信傍受装置10、および通信傍受管理装置30の装置間を接続する制御信号通信路を模式的に示しているが、これらの装置を専用のネットワークで接続してもよい。その場合、GW40およびAGW50のそれぞれと専用のネットワークの間にファイアウォールなど、通信傍受システムへの不正侵入を防ぐ手段が設けられているものとする。
In FIG. 1A and FIG. 1B, the devices of the
本発明の課題の欄で述べたように、通信傍受を実施するためには、GWおよびAGW自体に傍受のための機能を持たせるか、または、経路毎に傍受装置を設置することが必要であった。運用者にとって、傍受にかかわる機能のための設備配置は最小とすることが望まれる。また、一般的に傍受対象となる呼は、運用中の一部の呼であることが考えられる。 As described in the section of the subject of the present invention, in order to implement communication interception, it is necessary to provide the GW and AGW with a function for interception or to install an interception device for each route. there were. It is desirable for operators to minimize the arrangement of equipment for functions related to interception. In general, the calls to be intercepted may be some of the calls that are in operation.
本実施形態では、傍受対象となる呼に対して、移動体通信網に用いられるトンネルプロトコルを利用してGW−AGW間に連結するトンネル経路を、通信傍受装置経由で構築するようにしている。そのため、GWおよびAGWは通信傍受のための機能を必要とせず、通常の通信処理を行うだけでよい。そして、傍受対象となる呼に対して、GWおよびAGWは構築されたトンネル経路を通信傍受装置経由に切り替えるだけで、通信傍受を可能にする。よって、通常の通信に影響を与えることなく、通信処理の低下を抑制することが可能となる。また、ネットワークの規模が大きくなっても、通信傍受のための装置を増やす必要がなく、通信傍受のための設備費用を抑えることが可能となる。 In this embodiment, for a call to be intercepted, a tunnel route connected between the GW and the AGW is constructed via a communication interception device using a tunnel protocol used in the mobile communication network. Therefore, the GW and the AGW do not need a function for communication interception, and only perform normal communication processing. And GW and AGW enable communication interception only by switching the constructed tunnel route to the interception target call via the communication interception device. Therefore, it is possible to suppress a decrease in communication processing without affecting normal communication. In addition, even if the network size increases, it is not necessary to increase the number of devices for communication interception, and it is possible to reduce the equipment cost for communication interception.
また、図12に示した通信傍受システムでは、傍受装置410は、受信したパケットをどのゲートウェイ宛に転送すればよいかを通信プロトコルのIP層の情報で認識して送出する。傍受対象の呼がトンネルプロトコルを用いていると、その呼を識別するためのキーとなる情報は、通常、通信プロトコルの複数の階層のうちIP層よりも上位層にある。そのため、傍受装置410は、そのパケットが傍受対象の端末に関連するものなのかどうかを調べるには、キーとなる情報を読み出すためにパケットをある程度解析し、そのパケットが傍受対象であるかを検索する必要がある。したがって、通信傍受装置に、高い解析処理能力が必要になる。さらに、トンネルプロトコルによっては、トンネル内部が暗号化されている場合があり、その場合、傍受装置410がキーとなる情報を検索できない可能性がある。
In the communication intercept system shown in FIG. 12, the
これに対して、本実施形態の通信傍受装置は、受け取るパケットが全て傍受対象であるから、それらを検索する必要がない。また、トンネル内を暗号化するトンネルプロトコルを用いてパケットが暗号化される場合であっても、通信傍受装置10でトンネル経路が終端するため、暗号化されたパケットを復号でき、傍受処理に支障がない。
On the other hand, the communication interception device of the present embodiment does not need to search for all received packets because they are all interception targets. Even when a packet is encrypted using a tunnel protocol that encrypts the inside of the tunnel, the
本実施例は、本実施形態の通信傍受システムをWiMAXネットワークに適用した場合である。図5Aは本実施形態の通信傍受システムをWiMAXネットワークに適用した場合のブロック図である。図5Bは、図5Aに示した通信傍受システムにおける通信傍受方法を説明するためのブロック図である。図5Aおよび図5Bにおいて、トンネル経路が模式的に太い点線で表されている。 In this example, the communication interception system of this embodiment is applied to a WiMAX network. FIG. 5A is a block diagram when the communication intercept system of the present embodiment is applied to a WiMAX network. FIG. 5B is a block diagram for explaining a communication interception method in the communication interception system shown in FIG. 5A. 5A and 5B, the tunnel route is schematically represented by a thick dotted line.
通信システムは、図1Aに示したGW40に相当するHA(Home Agent)45と、AGW50に相当するASN−GW(Access Service Network−Gateway)55と、無線基地局60に相当するBS(Base Station)65とを有する。
The communication system includes an HA (Home Agent) 45 corresponding to the
通信傍受システムは、図1Aに示した通信傍受装置10に相当する通信傍受装置15と、加入者管理装置20に相当するAAA(Authentication, Authorization and Accounting)サーバ25と、通信傍受管理装置30に相当する通信傍受管理装置35とを有する。装置間を結ぶ通信路については、図1Aで説明した構成と同様であるため、その詳細な説明を省略する。傍受対象のトンネル経路は、ASN−GW55−通信傍受装置15−HA45となる。
The communication interception system corresponds to a
ASN−GW55は、外部装置から接続切り替え指示を受けると、その指示にしたがってトンネル経路の接続先を、HA45から通信傍受装置15に切り替える、または、通信傍受装置15からHA45に切り替える。図5Aに示すトンネル経路6はASN−GW55の接続先を通信傍受装置15からHA45に切り替えた場合を示す。図5Bに示すトンネル経路8はASN−GW55の接続先をHA45から通信傍受装置15に切り替えた場合を示す。本実施例では、接続切り替えを指示する外部装置をAAAサーバ25としている。
When receiving a connection switching instruction from the external device, the ASN-
通信傍受装置15は、ASN−GW55から接続要求があると、接続要求に応じてASN−GW55と接続するトンネル経路8を構築するとともに、HA45に対して接続要求を通知し、HA45との間にトンネル経路7を構築する。
When there is a connection request from the ASN-
AAAサーバ25は、ユーザ認証情報を含む加入者情報の他に、HA45、ASN−GW55および通信傍受装置15を認証するための認証情報、ならびにこれらの装置のIPアドレスの情報を記憶部(不図示)に保存している。また、AAAサーバ25は、接続要求のあった端末についてHA45またはASN−GW55から認証要求を受けると、認証結果を要求元に通知するとともに、要求元の装置のIPアドレスをその端末の加入者情報に記録する。
The
また、AAAサーバ25は、通信傍受管理装置35から傍受対象の端末の端末識別子の通知があると、その端末識別子を記憶部(不図示)に格納する。傍受対象の端末に関する通知を受ける際、その端末が通信を行っている場合、ASN−GW55にトンネル経路の接続切り替えを指示し、傍受終了通知に応じて、ASN−GW55にトンネル経路の接続切り替えを指示する。
Further, when the
一方、傍受対象の端末が通信を行っていない場合、AAAサーバ25は、ASN−GW55に接続要求をする端末の端末識別子の情報をASN−GW55から入手し、その端末が傍受対象であるか否かを記憶部(不図示)に登録された端末識別子を参照して判定する。判定の結果、ASN−GW55に接続要求をする端末が傍受対象の端末であると、AAAサーバ25は、その端末の呼に関するトンネル経路についてASN−GW55に接続切り替えを指示する。
On the other hand, when the terminal to be intercepted is not communicating, the
なお、HA45からは、プロトコル上、トンネルの接続先がASN−GW55から通信傍受装置15に移動したというように見えるだけであり、これはHA45の通常動作の範囲内であり、HAに特別な動作を必要としないため、その詳細な説明を省略する。
From the
次に、図5Aに示した通信傍受装置15の構成を説明する。図6は図5Aに示した通信傍受装置の一構成例を示すブロック図である。
Next, the configuration of the
通信傍受装置15は、移動体通信網での制御信号を処理し、トンネルプロトコルおよびセッションを制御するトンネル制御部151と、ASN−GW55との間のトンネルパケットを処理するトンネル処理部152と、HA45との間のトンネルパケットを処理するトンネル処理部153と、これらトンネル処理部の間でデータの複写を行う通信傍受部154と、複写されたデータを解析するデータ解析部155と、解析後必要となるデータを蓄積するデータ蓄積部156と、通信傍受管理装置35からの指示等を処理する傍受制御部157とを有する。
The
データ解析部155は、通信傍受部154から受け取るデータを解析し、通信開始時刻および通信終了時刻などの通信履歴と、通信内容とを時系列にデータ蓄積部156に記録する。通信内容は、傍受対象の端末が電話であれば通話内容であり、傍受対象の端末が送信または受信したデータがパケットであれば、ネットワーク上のウェブサイトでどのサイトにアクセスしたかを示す情報である。以下では、データ解析後の情報を傍受情報と称する。
The
図4に示した通信制御部113が、トンネル制御部151、トンネル処理部152、トンネル処理部153および傍受制御部157を含む構成である。図4に示した通信傍受部114が通信傍受部154に相当し、データ解析部155は図4に示した制御部111内に設けられたものである。図4に示した記憶部112がデータ蓄積部156に相当する。
The
トンネル制御部151、トンネル処理部152、トンネル処理部153、通信傍受部154、データ解析部155および傍受制御部157のそれぞれは、各機能を実行するための専用回路で構成されている。ただし、プログラムにしたがって処理を実行するCPU(不図示)と、プログラムを格納するためのメモリ(不図示)とを通信傍受装置15に設け、上記各部のうちいずれか一部または全部は、CPUがプログラムを実行することで通信傍受装置内に仮想的に構成されるものであってもよい。
Each of the
なお、ここではトンネル処理部152およびトンネル処理部153を設けているが、接続先に対応して個別にトンネル処理部を設ける代わりに、1つのトンネル処理部の機能を役割に応じて論理的に分離してもよい。
Here, the
次に、本実施例の通信傍受システムの動作の一例を説明する。ここでは、傍受対象となるユーザの情報が事前にAAAサーバ25に登録され、そのユーザのセッションが確立される際に通信傍受を開始するための動作手順を説明する。
Next, an example of operation | movement of the communication interception system of a present Example is demonstrated. Here, an operation procedure for starting communication interception when information on a user to be intercepted is registered in the
図7は、本実施例の通信傍受システムにおいて、事前に通知された、傍受対象となるユーザのセッションが確立される際の通信傍受の動作手順を示すシーケンス図である。 FIG. 7 is a sequence diagram showing an operation procedure of communication interception when a user session to be intercepted, which is notified in advance, is established in the communication interception system of the present embodiment.
通信傍受管理装置35は、傍受対象の端末を指定する旨の指示とともに端末701の端末識別子が入力されると、傍受対象の端末の情報として端末701の端末識別子を通信傍受装置15およびAAAサーバ25に通知する(ステップ101、102)。その際、通信傍受管理装置35は、通信傍受装置15に対して、どのような通信内容を要求するかの情報を通知してもよい。AAAサーバ25は、傍受対象の端末701の端末識別子を記憶部(不図示)に格納する。その後、端末701が端末75と通信するためにASN−GW55にエントリを要求すると、端末701のエントリ要求がASN−GW55に通知される(ステップ103)。
When the terminal identifier of the terminal 701 is input together with an instruction to specify the terminal to be intercepted, the communication
ASN−GW55は、端末701についてユーザ認証を実施するため、端末識別子の情報を含む認証要求(Radius: Access Request)をAAAサーバ25へ通知する(ステップ104)。AAAサーバ25は、記憶したユーザ認証情報で端末701のユーザ認証を行う。ユーザ認証に成功すると、AAAサーバ25は、ASN−GW55に接続要求してきた端末701が傍受対象であるか否かを判定する。判定の結果、端末701が傍受対象の端末であることを認識すると、AAAサーバ25は、認証成功通知(Radius: Access Accept)内の接続先装置の属性にHA45のIPアドレスの代わりに通信傍受装置15のIPアドレスを設定して、ASN−GW55に応答する(ステップ105)。また、AAAサーバ25は、端末701に対応する加入者情報にASN−GW55のIPアドレスを記録する。
The ASN-
ASN−GW55は、AAAサーバ25から端末701についての認証成功通知を受け取ると、通知された接続先装置へ接続要求(Mobile IPv4: Registration Request)を通知する(ステップ106)。ここでは、接続先装置は通信傍受装置15となる。
When the ASN-
通信傍受装置15は、通信傍受管理装置35から受信した、端末701に関する情報を格納する。その後、通信傍受装置15は、ASN−GW55から接続要求を受け取ると、通常のHAの動作と同様にトンネル経路の接続処理を実施するため、ASN−GW55に関する認証情報をAAAサーバ25へ問い合わせる(ステップ107)。AAAサーバ25は、ASN−GW55に関する認証情報と、最終接続先であるHA45のIPアドレスの情報を含むGW情報とを通信傍受装置15に通知する(ステップ108)。また、AAAサーバ25は、通信傍受装置15の認証情報にASN−GW55およびHA45のそれぞれのIPアドレスの情報を記録する。以下では、AAAサーバ25は、通信中の端末、ゲートウェイおよび通信傍受装置15のそれぞれについて接続先のIPアドレスの履歴を加入者情報と認証情報に記録する。
The
通信傍受装置15は、ASN−GW55に関する認証情報と最終接続先を示すGW情報とをAAAサーバ25から受け取ると、受け取った最終接続先の情報に基づいてHA45へ接続要求(Mobile IPv4:Registration Request)を通知する(ステップ109)。HA45は、通信傍受装置15から接続要求を受け取ると、接続完了(Mobile IPv4:Registration Reply)を通信傍受装置15に通知し、通信傍受装置15との間にトンネル経路7を確立する(ステップ110)。
When the
また、通信傍受装置15は、HA45とのトンネル経路7の確立が完了した後、ASN−GW55へ接続完了を通知し、ASN−GW55との間にトンネル経路8を確立する(ステップ111)。ASN−GW55は、エントリが完了したことを、端末701へ通知する(ステップ112)。
Further, after the establishment of the
ステップ110およびステップ111により、トンネル内に端末701のパケットが伝送される(ステップ113)。トンネル経路7、8の確立が完了した後、通信傍受装置15は、トンネル内のパケットを通信傍受部154にて複写し、傍受処理を開始する(ステップ114)。そして、複写したデータを解析した結果の情報である傍受情報を、必要に応じて通信傍受管理装置35へ送信する(ステップ115)。
Through
次に、ASN−GW55とHA45の間にトンネル経路が既に確立している呼に対して、通信傍受を開始するまでの手順を説明する。
Next, a procedure until communication interception is started for a call in which a tunnel path has already been established between the ASN-
図8は、本実施例の通信傍受システムにおいて、ASN−GWとHAの間に既に確立しているトンネル経路の呼に対して通信傍受を開始するまでの手順を示すシーケンス図である。なお、図8と、次の説明の際に参照する図9では端末701の表示を省略している。 FIG. 8 is a sequence diagram illustrating a procedure until communication interception is started for a call on a tunnel route already established between the ASN-GW and the HA in the communication interception system according to the present embodiment. Note that the display of the terminal 701 is omitted in FIG. 8 and FIG. 9 referred to in the following description.
図5Aに示したように、端末75と端末701との間でトンネル経路6が既に確立している(ステップ201)。通信傍受管理装置35は、端末701を傍受対象の端末に指定する旨の指示と端末701の端末識別子が入力されると、図7に示したステップ101および102と同様にして、傍受対象の端末701の端末識別子をAAAサーバ25および通信傍受装置15に通知する(ステップ202、203)。
As shown in FIG. 5A, the tunnel path 6 has already been established between the terminal 75 and the terminal 701 (step 201). When the instruction to designate the terminal 701 as the terminal to be intercepted and the terminal identifier of the terminal 701 are input, the communication
AAAサーバ25は、傍受対象の端末701の端末識別子の情報を通信傍受管理装置35から受信すると、端末701に対応する加入者情報を参照して、端末701の認証を要求してきた装置がASN−GW55であることを認識する。そして、AAAサーバ25は、端末701の通信路に対する切り替え指示(Radius:Change of Authorization)にて、接続先装置として通信傍受装置15のIPアドレスをASN−GW55へ通知する(ステップ204)。図7に示したステップ106〜111と同様にして接続の切り替えが実行される(ステップ205〜210)。図5Bに示したように、トンネル経路7、8が確立する。
When the
ASN−GW55は、トンネル接続の切り替えが終了すると、切り替え完了(Radius Change of Authorization Ack)をAAAサーバ25に通知する(ステップ211)。続いて、図7に示したステップ113〜115と同様にして、通信傍受装置15は端末701が送受信するデータの傍受を開始する(ステップ212〜214)。
When the switching of the tunnel connection is completed, the ASN-
次に、通信傍受を終了させる手順を説明する。図9は、本実施例の通信傍受システムにおいて通信傍受を終了させる手順を示すシーケンス図である。 Next, a procedure for terminating communication interception will be described. FIG. 9 is a sequence diagram illustrating a procedure for terminating communication interception in the communication intercept system of the present embodiment.
通信傍受装置15は、ASN−GW55およびHA45のそれぞれとの間にトンネル経路7、8を構築して、端末701が送受信するデータの通信傍受を実行している(ステップ301)。通信傍受管理装置35は、通信傍受を終了する旨の指示とともに端末701の端末識別子が入力されると、端末識別子の情報を含む傍受終了をAAAサーバ302および通信傍受装置15へ通知する(ステップ302、303)。
The
AAAサーバ25は、通信傍受管理装置35から傍受終了の指示を受け取ると、端末701の通信路に対してASN−GW55に切り替え指示(Radius: Change of Authorization)を通知し、接続先装置を通知する。その際、AAAサーバ25は、通信傍受装置15が構築したトンネル経路7の一端が接続されているHA45のIPアドレスを新たな接続先装置としてASN−GW55に通知する(ステップ304)。
When the
ASN−GW55は、AAAサーバ25から切り替え指示と接続先装置の情報を受け取ると、通知された接続先装置となるHA45に接続要求を通知する(ステップ305)。HA45は、ASN−GW55から接続要求を受け取ると、接続先を通信傍受装置15からASN−GW55に切り替える。そして、HA45は、接続完了をASN−GW55に通知し、トンネル経路を切り替える(ステップ306)。ASN−GW55とHA45の間にトンネル経路6が確立し、端末701が送受信するパケットがそのトンネル経路6を介して伝送される(ステップ307)。
When the ASN-
ASN−GW55は、HA45との間でトンネル経路6が確立すると、切り替え完了をAAAサーバ25へ通知する(ステップ308)。通信傍受装置15は、AAAサーバ25に傍受終了を通知し、それから一定期間後に傍受を終了する(ステップ309)。そして、通信傍受装置15は、傍受終了を通知する旨の情報を含む傍受終了通知を通信傍受管理装置35へ通知する(ステップ310)。
When the tunnel path 6 is established with the
なお、傍受対象の端末701のユーザが自ら接続を切った場合、その後の処理は傍受対象ではない通常の端末が接続を切ったときと同様であるため、その詳細な説明を省略する。 In addition, when the user of the terminal 701 to be intercepted disconnects himself / herself, the subsequent processing is the same as when a normal terminal not to be intercepted disconnects, and thus detailed description thereof is omitted.
次に、本実施例の通信傍受システムにおけるハンドオーバの場合を説明する。図10Aおよび図10Bは、本施例におけるハンドオーバの場合を説明するための図である。ここでは、端末701が傍受対象の端末であるものとする。また、ASN−GW55a、55bのそれぞれと加入者管理装置25とを結ぶ制御信号通信路を図に示すことを省略している。
Next, a case of handover in the communication intercept system of the present embodiment will be described. 10A and 10B are diagrams for explaining the case of handover in the present embodiment. Here, it is assumed that the terminal 701 is a terminal to be intercepted. Further, the control signal communication path connecting each of the ASN-
図10Aに示すように、端末701と端末75とが通信を行っている際、これらの端末間でやり取りされるデータはトンネル経路7、8を経由して伝送される。通信傍受装置15は、トンネル経路7、8を介して受信するデータに対して傍受処理を行う。端末701がBS65aの通信圏内からBS65bの通信圏内に移動すると、BS65bは端末701と通信可能になる。BS65bは新たに通信可能になった端末701の情報をASN-GW55bに通知する。
As shown in FIG. 10A, when the
ASN−GW55bは、端末701について加入者管理装置25に認証を求める。続いて、ASN−GW55bは、その応答として認証結果とトンネル経路の接続先として通信傍受装置15のIPアドレスの情報を加入者管理装置25から受け取る。その後、図7に示したステップ106からステップ113までと同様の処理が行われ、図10Bに示すようにトンネル経路7およびトンネル経路9が構築される。通信傍受装置15は、トンネル経路7、9を介して受信するデータに対して傍受処理を行う。
The ASN-
本実施例では、ASN−GW55aからASN−GW55bに対して端末701を傍受対象とする旨の通知は行われず、ASN−GW55bは、端末701の呼を引き継いでも傍受のための準備処理を開始することもない。ASN−GW55bが行う処理は、通常のハンドオーバと同様である。傍受対象の端末701の通信に対してハンドオーバが行われても、通信傍受装置15は、トンネル経路の接続先をASN−GW55aからASN−GW55bに変更するだけで、引き続き、受信するデータの全てについて傍受処理を行えばよい。本実施例では、他の通信傍受装置を必要とせず、他の通信傍受装置への傍受処理の切り替えも必要ない。
In this embodiment, the ASN-
上述したように、本実施例の通信傍受装置は、傍受対象の呼のみに対して、移動体通信網で用いられるトンネルプロトコル(モビリティプロトコル)を用いて、明示的にAGW−GWの間に割り込んでトンネル終端を連結し、データを中継する際に傍受処理を行っている。 As described above, the communication interception apparatus according to the present embodiment explicitly interrupts between AGW and GW only for a call to be intercepted using the tunnel protocol (mobility protocol) used in the mobile communication network. The end of the tunnel is connected and data is intercepted when data is relayed.
上述したように、本実施形態では、ネットワーク内のGWおよびAGWは通信傍受のための機能を必要とせず、経路毎に通信傍受装置を設ける必要がない。また、傍受対象のデータを複写して解析する傍受処理を行う装置を機能的に分離し、一部の装置に傍受処理を集中させて実行させている。そのため、通信傍受のための機能を備えたゲートウェイ装置をネットワーク全体に配備する場合や通信傍受装置を経路毎に配備する場合に比べて、配備コスト(CAPEX:Capital Expenditure)を抑えられる。 As described above, in the present embodiment, the GW and AGW in the network do not need a function for communication interception, and it is not necessary to provide a communication interception device for each route. In addition, a device that performs an intercept process for copying and analyzing data to be intercepted is functionally separated, and the intercept process is concentrated and executed on some devices. Therefore, deployment costs (CAPEX: Capital Expenditure) can be suppressed as compared with the case where a gateway device having a function for communication interception is deployed in the entire network or when a communication interception device is deployed for each route.
また、傍受処理を行う装置をIP網により接続可能であれば、GWノードから地理的に離すことも可能となるため、IP網を介して傍受処理を集中管理でき、運用コスト(OPEX:Operating Expense)が抑えられる。トンネルプロトコルにより各GWノードと通信路を構築すれば、トンネルプロトコルを利用してネットワーク内で傍受処理を実行する装置を分離する構成がとれ、その装置を集中管理することが可能となる。 In addition, if a device that performs interception processing can be connected via an IP network, it can be geographically separated from the GW node. Therefore, interception processing can be centrally managed via the IP network, and an operating cost (OPEX: Operating Expense) can be obtained. ) Is suppressed. If a communication path is constructed with each GW node using the tunnel protocol, a configuration for separating the devices that execute the intercept processing in the network using the tunnel protocol can be taken, and the devices can be centrally managed.
また、傍受対象の呼だけが通信傍受装置を経由して処理されるため、傍受の際に、傍受対象以外の呼への影響を抑制できる。また、通信傍受装置は、制御対象となる呼に対して、傍受対象かどうかを検索して傍受非対象の呼と区別する処理が不要なため、AGWおよびGWのそれぞれに傍受のための準備処理機能を設けるよりも、処理と構成を単純化することが可能である。 In addition, since only the call to be intercepted is processed via the communication interception device, the influence on calls other than the intercepted object can be suppressed during the interception. In addition, since the communication interception device does not need to process whether the call to be controlled is to be intercepted and distinguish it from the call that is not intercepted, preparation processing for intercepting each of the AGW and GW Rather than providing functions, it is possible to simplify processing and configuration.
さらに、2つのゲートウェイ間でやり取りされる、傍受対象のデータに対して通信傍受装置が傍受処理を実行しており、ハンドオーバにより一方のゲートウェイが変更になっても、トンネル経路の接続先を変更するだけで、通信傍受装置は自装置で転送するデータに対して傍受処理を継続すればよい。そのため、図13で説明した、ゲートウェイ間における傍受対象の通知を行う必要がなく、図14で説明した、通信傍受装置間における傍受対象の通知を行う必要もない。 Furthermore, even if the communication interception device performs interception processing on the data to be intercepted exchanged between two gateways, even if one gateway is changed due to handover, the connection destination of the tunnel route is changed. Therefore, the communication interception device only needs to continue the interception process for the data transferred by itself. Therefore, it is not necessary to perform the notification of the interception target between the gateways described in FIG. 13, and it is not necessary to perform the notification of the interception target between the communication interception apparatuses described in FIG. 14.
2 ネットワーク
10、15 通信傍受装置
20 加入者管理装置
25 AAAサーバ
30、35 通信傍受管理装置
40 GW
45 HA
50 AGW
55 ASN−GW
80 サービスネットワーク
2
45 HA
50 AGW
55 ASN-GW
80 Service network
Claims (6)
傍受対象の端末を特定する管理装置と、
傍受対象の端末の通信を傍受する通信傍受装置と
を備え、
前記管理装置が、接続要求された端末が傍受対象であることを特定すると、該端末が傍受対象である旨を前記通信傍受装置に通知し、
前記通信傍受装置は、
前記傍受対象の端末が通信相手に送信するデータまたは通信相手から受信するデータを格納するための記憶部と、第1のゲートウェイから接続要求を受けると、該第1のゲートウェイに関する認証要求を前記管理装置に行い、該第1のゲートウェイの前記認証結果および第2のゲートウェイを接続先に指定する旨の情報を該管理装置から受信すると、該第2のゲートウェイに接続を要求し、該第1および第2のゲートウェイのそれぞれと自装置とを接続するトンネル経路を確立し、これら2つのゲートウェイのうち一方のゲートウェイから前記傍受対象の端末についての前記データを受信すると、該データを複写して自装置の前記記憶部に格納し、該データを他方のゲートウェイに転送する制御部とを有する、通信傍受システム。 A communication interception system for intercepting communications,
A management device that identifies a terminal to be intercepted;
A communication interception device that intercepts the communication of the terminal to be intercepted,
When the management device specifies that the terminal requested to be connected is an intercept target, it notifies the communication intercept device that the terminal is an intercept target,
The communication interception device is
A storage unit for storing data received from the data or communicating party the interception target terminal sends to the communication partner, when receiving a connection request from the first gateway, said managing an authentication request relating to said first gateway When receiving the authentication result of the first gateway and information indicating that the second gateway is designated as a connection destination from the management device, the device requests the second gateway to connect, and When a tunnel path connecting each of the second gateways and the own device is established, and the data about the terminal to be intercepted is received from one of the two gateways, the data is copied and the own device is copied. And a control unit that stores the data in the storage unit and transfers the data to the other gateway.
前記管理装置は、
傍受対象の端末を特定するための端末識別子が格納された記憶部と、該記憶部に格納された端末識別子に一致する端末識別子の端末より前記第1のゲートウェイに接続要求があった旨の情報を該第1のゲートウェイから受け取ると、該傍受対象の端末の通信のためのトンネル経路の接続先を前記通信傍受装置に指定する旨の情報を前記第1のゲートウェイに通知し、該第1のゲートウェイに関する認証要求を前記通信傍受装置から受けると、該第1のゲートウェイを認証する旨の認証結果および他の接続先として前記第2のゲートウェイを指定する旨の情報を前記通信傍受装置に送信する制御部とを有する、通信傍受システム。 The communication interception system according to claim 1,
The management device
A storage unit which the terminal identifier is stored for identifying the terminal interception target, information indicating that a connection request from the terminal of the terminal identifier to the first gateway that matches the terminal identifier stored in the storage unit Is received from the first gateway, the first gateway is notified of information indicating that the connection destination of the tunnel path for communication of the terminal to be intercepted is designated to the communication interception device, and the first gateway Upon receiving the authentication request for the gateway from the interception device, transmits the information to the effect that specifies the second gateway said first gateway as an authentication result indicating that authentication and other destination to the communication interception device A communication interception system having a control unit.
前記管理装置は、
端末毎に異なる端末識別子の情報および該端末と接続されたゲートウェイを特定するための情報を含む加入者情報が格納された記憶部と、通信傍受管理装置から傍受対象の端末の端末識別子の情報を受信すると、該端末識別子に一致する識別子を含む加入者情報を前記記憶部から読み出し、該加入者情報に記録された前記第1のゲートウェイに対して、該傍受対象の端末の通信のためのトンネル経路の接続先を前記通信傍受装置に指定する旨の情報を前記第1のゲートウェイに通知し、該第1のゲートウェイに関する認証要求を前記通信傍受装置から受けると、該第1のゲートウェイを認証する旨の認証結果および他の接続先として前記第2のゲートウェイを指定する旨の情報を前記通信傍受装置に送信する制御部とを有する、通信傍受システム。 The communication interception system according to claim 1,
The management device
A storage unit in which subscriber information including information on terminal identifiers different for each terminal and information for specifying a gateway connected to the terminal is stored, and information on terminal identifiers of terminals to be intercepted from the communication interception management device. Upon receipt, reading the subscriber information include an identifier corresponding to the terminal identifier from the storage unit, with respect to the first gateway recorded in the subscriber information, the tunnel for communication of the interception target terminal The first gateway is notified of information indicating that the connection destination of the route is designated to the communication interception device, and the first gateway is authenticated when an authentication request regarding the first gateway is received from the communication interception device. and a control unit that transmits information to the effect that specifies the second gateway as a fact of the authentication result and other destination to the communication interception device, wiretapping cis Beam.
傍受対象の端末が通信相手に送信するまたは通信相手から受信するデータを格納するための記憶部と、
第1のゲートウェイから接続要求を受けると、該第1のゲートウェイに関する認証要求を前記管理装置に行い、該第1のゲートウェイを認証する旨の認証結果および第2のゲートウェイを接続先に指定する旨の情報を該管理装置から受信すると、該第2のゲートウェイに接続を要求し、該第1および第2のゲートウェイのそれぞれと自装置とを接続するトンネル経路を確立し、これら2つのゲートウェイのうち一方のゲートウェイから前記傍受対象の端末についての前記データを受信すると、該データを複写して自装置の前記記憶部に格納し、該データを他方のゲートウェイに転送する制御部と、
を有する通信傍受装置。 When receiving information from the management device that the terminal requested to be connected is an interception target, a communication intercepting device that constructs a tunnel path between the terminal and the device,
A storage unit for storing data to be transmitted to or received from a communication partner by a terminal to be intercepted;
Upon receiving the connection request from the first gateway, indicating that specifies perform authentication request for the first gateway to the management apparatus, the authentication result and the second gateway to the effect that authenticates the first gateway to the destination Is received from the management device, the second gateway is requested to connect, and a tunnel path is established for connecting each of the first and second gateways to the own device. When receiving the data for the terminal of the interception target from one gateway, and a control unit which is copied the data stored in the storage unit of the own device, and transfers the data to the other gateway,
That communication interception apparatus having a.
前記通信傍受装置が、第1のゲートウェイから接続要求を受けると、該第1のゲートウェイに関する認証要求を前記管理装置に行い、
前記通信傍受装置が、前記第1のゲートウェイを認証する旨の認証結果および第2のゲートウェイを接続先に指定する旨の情報を前記管理装置から受信すると、該第2のゲートウェイに接続を要求し、該第1および第2のゲートウェイのそれぞれと自装置とを接続するトンネル経路を確立し、
前記通信傍受装置が、前記傍受対象の端末についての通信相手に送信するまたは通信相手から受信するデータを前記第1および第2のゲートウェイのうち一方のゲートウェイから受信すると、該データを複写して自装置の記憶部に格納し、該データを他方のゲートウェイに転送する、通信傍受方法。 Upon receiving the information indicating the connection requested terminal is intercepted target from the management device, a communication interception method according to wiretapping device for constructing a tunnel path between the terminal and the host device,
When the communication interception device receives a connection request from the first gateway, it makes an authentication request for the first gateway to the management device,
When the communication intercepting device receives an authentication result indicating that the first gateway is authenticated and information indicating that the second gateway is designated as a connection destination from the management device, the communication intercepting device requests the second gateway to connect. Establishing a tunnel path connecting each of the first and second gateways to the own device,
When the communication interception device receives data from one of the first and second gateways to be transmitted to or received from the communication partner for the terminal to be intercepted, the data is copied and automatically transmitted. A communication interception method of storing in a storage unit of a device and transferring the data to the other gateway .
第1のゲートウェイから接続要求を受けると、該第1のゲートウェイに関する認証要求を前記管理装置に行う手順と、
前記第1のゲートウェイを認証する旨の認証結果および第2のゲートウェイを接続先に指定する旨の情報を前記管理装置から受信すると、該第2のゲートウェイに接続を要求し、該第1および第2のゲートウェイのそれぞれと自装置とを接続するトンネル経路を確立する手順と、
前記傍受対象の端末についての通信相手に送信するまたは通信相手から受信するデータを前記第1および第2のゲートウェイのうち一方のゲートウェイから受信すると、該データを複写して自装置の記憶部に格納し、該データを他方のゲートウェイに転送する手順を実行させるためのプログラム。 Upon receiving information from the management device that the terminal requested to be connected is a target of interception, a communication interception device that constructs a tunnel path between the terminal and the own device ,
Upon receiving a connection request from the first gateway, a procedure for making an authentication request for the first gateway to the management device;
Upon receiving from the management device an authentication result for authenticating the first gateway and information for designating the second gateway as a connection destination, the connection request is made to the second gateway, and the first and second gateways are requested. A procedure for establishing a tunnel path connecting each of the two gateways and the own device;
When data transmitted to or received from a communication partner for the terminal to be intercepted is received from one of the first and second gateways, the data is copied and stored in the storage unit of the device itself And a program for executing a procedure for transferring the data to the other gateway .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009082191A JP5272851B2 (en) | 2009-03-30 | 2009-03-30 | Communication interception system, communication interception device, communication interception method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009082191A JP5272851B2 (en) | 2009-03-30 | 2009-03-30 | Communication interception system, communication interception device, communication interception method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010239195A JP2010239195A (en) | 2010-10-21 |
| JP5272851B2 true JP5272851B2 (en) | 2013-08-28 |
Family
ID=43093191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009082191A Expired - Fee Related JP5272851B2 (en) | 2009-03-30 | 2009-03-30 | Communication interception system, communication interception device, communication interception method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5272851B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150006332A (en) * | 2013-07-08 | 2015-01-16 | 삼성전자주식회사 | Method and apparatus for lawful interception for device supporting device to device communication |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI106509B (en) * | 1997-09-26 | 2001-02-15 | Nokia Networks Oy | Legal interception in a telecommunications network |
| JP3825258B2 (en) * | 1999-01-14 | 2006-09-27 | ノキア コーポレイション | Interception method and system |
| AU2000259818A1 (en) * | 2000-07-04 | 2002-01-14 | Nokia Corporation | Method and device for attaching a user equipment to a telecommunication network |
-
2009
- 2009-03-30 JP JP2009082191A patent/JP5272851B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010239195A (en) | 2010-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11026080B2 (en) | Policy control function determining method, apparatus, and system | |
| EP3358887B1 (en) | User equipment registration method for network slice selection and network controller and network communication system using the same | |
| CN109804671B (en) | Network switching method, device and related equipment | |
| KR101467780B1 (en) | Method for handover between heterogeneous radio access networks | |
| JP4746044B2 (en) | Enhanced technology to use core-based nodes for state transfer | |
| US7962142B2 (en) | Methods and apparatus for the utilization of core based nodes for state transfer | |
| CN102273254B (en) | Tunneling-based mobility support equipment and method | |
| EP2924956B1 (en) | Method and apparatus for handover between content servers for transmission path optimization | |
| JP5079853B2 (en) | Secure roaming between wireless access points | |
| JPWO2009066337A1 (en) | Communications system | |
| KR101341765B1 (en) | Wireless communication device of mobile communication system | |
| US20240334254A1 (en) | Selection of Edge Application Server | |
| KR101561108B1 (en) | Data communication method and handover method in proxy mobile ipv6 based on software definition network | |
| JP4613926B2 (en) | Handover method and communication system between mobile communication network and public network | |
| KR101460766B1 (en) | Security setting system and the control method for using clurster function in Wireless network system | |
| CN102598784A (en) | Mobile communication system, gateway apparatus, base stations, communication method and program | |
| CN102740290B (en) | Method for pre-authentication and pre-configuration, and system thereof | |
| JP5272851B2 (en) | Communication interception system, communication interception device, communication interception method, and program | |
| US20230308971A1 (en) | Methods and apparatus for supporting switching of traffic corresponding to a communication session between two non-3gpp access paths | |
| KR20070015770A (en) | Method for Performing and Controlling Handover between Heterogeneous Networks | |
| JP2023537134A (en) | Network migration method, apparatus and equipment | |
| WO2023059141A1 (en) | Method and device for session breakout of home routed session in visited plmn in wireless communication system | |
| WO2024069947A1 (en) | Method for setting bearer, information processing device, and system | |
| US20230354241A1 (en) | Methods and Apparatus for Supporting the Communication of Path Switching Capability Information Between User Equipment and a Network Device To Enable Efficient Switching of Multi-Access (MA) Traffic Between Non-3GPP Access Paths | |
| WO2024032218A1 (en) | Communication method and communication apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110905 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20121012 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121016 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121214 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130115 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130221 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130416 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130429 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |