(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN103748908103748908A(43)申请公布日2014.04.23(21)申请号201280022172.8地址法国巴黎(22)申请日2012.04.27(72)发明人J·F·赫克G·S·桑达拉姆D·W·瓦尔尼(30)优先权数据61/484,8972011.05.11US(74)专利代理机构北京市中咨律师事务所13/212,7882011.08.18US11247代理人杨晓光于静(85)PCT国际申请进入国家阶段日2013.11.07(51)Int.Cl.H04W12/02(2006.01)(86)PCT国际申请的申请数据H04L29/06(2006.01)PCT/US2012/0353422012.04.27(87)PCT国际申请的公布数据WO2012/154420EN2012.11.15(71)申请人阿尔卡特朗讯公司权权利要求书1页利要求书1页说明书11页说明书11页附图7页附图7页(54)发明名称在使用端到端加密的通信系统中基于策略路由的合法截取(57)摘要本发明公开了用于在使用端到端加密的通信网络中合法地截取信息的技术。例如，一种用于截取在通信网络中的第一计算设备与第二计算设备之间交换的加密通信的方法，其中所述截取由通信网络中的第三计算设备执行，所述方法包括以下步骤。所述第三计算设备获得具有与所述第一计算设备和所述第二计算设备中的一者相关联的分组地址的一个或多个分组。响应于在所述通信网络中的至少一个元件中实施至少一个截取路由策略，所述一个或多个分组由所述第三计算设备获得，从而所述一个或多个获得的分组可以被解密以便获得所述一个或多个获得的分组中包含的数据。所述第三计算设备保留所述一个或多个获得的分组的分组地址。所述第三计算设备将所述一个或多个分组向所述第一计算设备和所述第二计算设备中的一个分组目的地转发，使得所述第一计算设备和所述第二计算设备中的一个分组目的地不能从所述一个或多个分组检测到所述一个或多个分组被所述第三计算设备截取。CN103748908ACN1037489ACN103748908A权利要求书1/1页1.一种用于截取在通信网络中的第一计算设备与第二计算设备之间交换的加密通信的方法，其中所述截取由所述通信网络中的第三计算设备执行，所述方法包括：所述第三计算设备获得具有与所述第一计算设备和所述第二计算设备中的一者相关联的分组地址的一个或多个分组，其中响应于至少一个截取路由策略实施在所述通信网络中的至少一个元件中，所述一个或多个分组由所述第三计算设备获得，从而一个或多个获得的分组能够被解密以便获得所述一个或多个获得的分组中包含的数据；所述第三计算设备保留所述一个或多个获得的分组的分组地址；以及所述第三计算设备将所述一个或多个分组向所述第一计算设备和所述第二计算设备中的一个分组目的地转发，使得所述第一计算设备和所述第二计算设备中的一个分组目的地不能从所述一个或多个分组检测到所述一个或多个分组被所述第三计算设备截取。2.根据权利要求1所述方法，其中实施所述截取路由策略的通信网络的元件包括：所述第三计算设备所连接到的局域网中所连接的设备。3.根据权利要求2所述方法，其中所述元件包括交换元件。4.根据权利要求3所述方法，其中通过修改所述交换元件中的转发表使得具有与所述第一计算设备和所述第二计算设备中的一者相关联的分组地址的一个或多个分组被转发到所述第三计算设备，在所述交换元件中实施所述截取路由策略。5.根据权利要求4所述方法，该方法还包括所述第三计算设备解密所述一个或多个分组。6.根据权利要求4所述方法，该方法还包括所述第三计算设备在将所述一个或多个分组向所述第一计算设备和所述第二计算设备中的一个分组目的地转发前拷贝所述一个或多个分组，并且所述第三计算设备将一个或多个拷贝的分组转发给另一实体以用于解密。7.根据权利要求1所述方法，其中实施所述截取路由策略的通信网络的元件包括：远离所述第三计算设备的设备。8.根据权利要求7所述方法，其中所述元件包括路由元件，所述第一计算设备和所述第二计算设备中的一者通过所述路由元件接入所述通信网络。9.根据权利要求8所述方法，该方法还包括所述第三计算设备建立与所述路由元件之间的虚拟专用网络（VPN）隧道。10.一种用于截取在通信网络中的第一计算设备与第二计算设备之间交换的加密通信的装置，该装置包括：存储器；以及耦合到所述存储器并且执行以下操作的处理器：获得具有与所述第一计算设备和所述第二计算设备中的一者相关联的分组地址的一个或多个分组，其中响应于至少一个截取路由策略在所述通信网络中的至少一个元件中被实施，所述一个或多个分组被获得，从而一个或多个获得的分组能够被解密以便获得所述一个或