对漫游移动节点的数据的合法拦截的制作方法

专利名称：对漫游移动节点的数据的合法拦截的制作方法
对漫游移动节点的数据的合法拦截
背景技术：
通信网络是在地理上对用来在诸如路由器、交换机、计算机系统等之 类的节点之间传送数据的互连通信链路的分布式集合。存在许多类型的通
信网络，这些类型包括从局域网(LAN)到广域网(WAN)。节点通常 通过根据预先定义的协议交换数据的离散消息(例如，数据分组)来进行 通信。
许多用户通过服务提供商(SP)来接入诸如因特网之类的通信网络。 这里，用户可以参与预订以预订SP的服务。服务可以包括用于允许订户 利用端节点(例如，由订户操作的计算机系统)接入网络的配置 (provision)。在接入网络之后，订户可以与同样接入了网络的另一订户 交换信息，例如电子邮件(e-mail)、文本、图形、web页面、文件等 等。


将从下面对这里所述的技术的更具体描述中清楚这里描述的技术的前 面的以及其它目的、特征和优点，如附图所示，其中，在不同视图中，类 似的标号指示相同的部分。
图1是可与这里描述的技术一起使用的通信网络的框图。
图2是可与这里描述的技术一起使用的接入节点的一个示例的部分框图。
图3是可与这里描述的技术一起使用的绑定缓存(bindings cache)的框图。
图4是可与这里描述的技术一起使用的中间设备的部分框图。
图5是可与这里描述的技术一起使用的接入节点数据库(DB)的框图。图6是可与这里描述的技术一起使用的的中间设备DB的框图。
图7是可与这里描述的技术一起使用的通知消息的框图。
图8是可与这里描述的技术一起使用的请求消息的框图。
图9是根据这里描述的技术的一个实施例可以用来在通信网络中的第
二节点处窃听(tap)与通信网络中的第一节点相关联的通信的步骤序列的
流程图。
图10A-B是根据这里描述的技术的一个实施例可以用来在通信网络中 的接入节点处窃听(tap)与通信网络中的端节点相关联的通信的步骤序列 的流程图。
具体实施方式
撒述
向其订户提供移动服务的服务提供商(SP)可以将归属地址指派给与 订户相关联的端节点，该归属地址可由网络中的对应节点用来将消息(例 如，数据分组)转发给订户的端节点。归属地址通常是标识端节点的永久 性地址，而不论端节点的位置如何。端节点可以与归属代理相关联。归属 代理一般是通常由端节点用来接入网络的网络中的接入节点。为端节点预 定的消息通常被路由到端节点的归属代理，归属代理将消息转发到该端节 点。
在一些情况中，端节点可以是移动的并且在附接点而非端节点的归属 代理处接入网络。这里，端节点可以被指派一转交地址(care-of address)，该转交地址可以用来代替端节点的归属地址而将消息转发给端 节点。
端节点可以向其归属代理登记其转交地址，以使得归属代理利用其转 交地址而非其归属地址来将消息转发给端节点。在典型的布置中，利用其 归属地址去往端节点的消息被归属代理接收。归属代理利用转交地址将消 息从归属代理转发给端节点。可以利用公知的隧道传输技术来将消息从归 属代理转发给端节点。
除了将服务提供给订户之外，SP还可以将各种服务提供给执法机构
6(LEA)，以便辅助法律的执行。这些服务可以包括对合法监视下的向和
从订户所使用的端节点传送的通信的合法拦截(LI)。在一些LI布置中， SP可以配置中间设备以管理对通信的窃听。当受监视的订户利用端节点接 入网络时，中间设备引导与该端节点相关联的归属代理建立对去往和来自 端节点的通信的窃听。窃听使得归属代理对通信进行拷贝，并且将该拷贝 转发到中间设备。中间设备进而将对通信的拷贝转发给LEA。在一些情况 中，中间设备可以在将对通信的拷贝转发到LEA之前，将其格式化为 LEA所请求的特定格式。
一些网络包括用来优化向网络中的节点转发信息的路由优化技术。例 如，移动因特网协议版本6 (IPv6)网络通常包括允许利用端节点的转交 地址代替其归属地址来将信息转发给端节点的路由优化技术。这允许直接 将信息转发给端节点，而不用首先转发给移动节点的归属代理然后从归属 代理转发给移动节点。
上述路由优化的一个问题在于如果将窃听设置在端节点的归属代理 处以窃听与该端节点相关联的通信而使归属代理因路由优化被绕过 (bypass)，则有可能不能窃听到向和从端节点传送的信息。换言之，由 于路由优化，与端节点相关联的通信可能完全绕过归属代理，从而不被复 制并转发到中间设备以传送给执法机构(LEA)。
这里描述的技术即使在端节点未经由其归属代理连接到网络时也能够 通过将窃听置于端节点的接入点处而显著地克服这些缺陷。在一个实施例 中，与经由接入节点耦合到通信网络的第一节点相关联的转交地址被接 收。转交地址例如可以从由与第一节点相关联的归属代理发送的通知消息 中接收，或者例如可以通过由第一代理发送的绑定更新消息来接收。利用 接收到的转交地址来识别接入节点。在接入节点处窃听与第一节点相关联 的通信的请求被生成，并且该请求被转发给接入节点，以使得在接入节点 处窃听与第一节点相关联的通信。
箱述
可与这里描述的技术一起使用的协议和体系结构可以包括因特网协议版本4 (IPv4)、因特网协议版本6 (IPv6) 、 IPv6中的移动性支持以及用 于IP网络中的合法拦截的思科体系结构。对IPv4的描述可在可从因特网 工程任务组(IETF)获得的1981年9月的"因特网协议"请求注释
(RFC) 791中找到。对IPv6的描述可在可从IETF获得的1998年12月的 S. Deering等人的"因特网协议版本6 (IPv6) " RFC 2460中找到。对 IPv6中的移动性支持的描述可以在可从IETF获得的2004年6月的D. Johnson等人的"IPv6中的移动性支持"RFC 3775中找到。对用于IP网络 中的合法拦截的思科体系结构的描述可以在可从IETF获得的2004年10 月的F. Baker等人的RFC 3924中找到。应当注意，还可以将其它协议和 体系结构与这里描述的技术一起使用。
图1是可与这里描述的技术一起使用的通信网络100的框图。网络 100包括如下节点的连接端节点110、接入节点200、中间设备400以及 执法机构(LEA)节点170。这些在跨网运作(intemetworked)的节点通 过根据预先定义的网络协议和机制集(例如传输控制协议/因特网协议
(TCP/IP) 、 IPv4、 IPv6等)来交换信息(例如，数据分组)来进行通 信。这里使用的协议与定义了通信网络中的节点彼此如何交互的规则的集 合有关。应当注意，通信网络100是可与这里描述的技术一起使用的通信 网络的一个示例。这里描述的技术还可以与各种类型和复杂度的其它通信 网络一起使用。
端节点IIO经由下面将进一步描述的接入节点200耦合到服务提供商 (SP)网络150，接入节点200可以被配置来向端节点IIO提供接入SP网 络150的权利。每个SP网络150包括一个或多个接入节点200以及中间 设备400。 SP网络150可以包括被配置来实现SP网络的另外的节点(未 示出)，例如路由器、交换机等。SP网络150经由诸如因特网之类的广域 网160彼此相耦合。WAN 160可以包括被配置来在SP网络150之间传送 信息(例如，数据分组)的各种跨网运作的节点(未示出)，例如路由 器、交换机等。
端节点IIO可以是被配置来生成在网络100上载运的信息的基于计算 机的系统，例如个人计算机(PC)、工作站、个人数字助理等。LEA节点170是与LEA相关联的节点(例如，服务器)并且被配置来在其中接收 来自中间设备400a的对被窃听通信的拷贝。
接入节点200可以是被配置来向端节点110提供接入SP网络150的 权利的路由器。可与这里描述的技术一起使用的路由器的示例是可从加州 圣何塞的思科系统公司获得的思科7600系列路由器。
图2是可与这里描述的技术一起使用的接入节点200的一个示例的部 分框图。节点200包括经由总线252相耦合的存储器230、处理器240以 及网络接口 250。处理器240可以是包括用于执行指令并操纵存储器230 中所包含的数据的处理电路的中央处理单元(CPU)。这些指令和数据可 以包括实现这里描述的技术的各方面的指令和数据。总线252是点到点互 连总线，被配置来将包含在包括处理器240、存储器230和网络接口 250 的节点200内的各实体相耦合，并且使得数据和信号能够在这些实体之间 传送。
网络接口 250被配置来将节点200与网络100相连接(接口)，并且 使得能够利用诸如以太网、TCP/IP等之类的各种协议将信息(例如，数据 分组)在节点200与网络100中的其它节点之间传送。为此，网络接口 250包括结合了信号、电和机械特性的接口电路、需要与网络100接口 的互换电路以及在网络IOO上运行的协议。
示意性地，存储器230是被实现为包括RAM器件(例如动态RAM (DRAM)器件)在内的随机存取存储器(RAM)数据存储装置的计算机 可读介质。存储器230可以被配置来保存各种软件和数据结构，包括操作 系统(OS) 232、绑定缓存300以及一个或多个应用238。应当注意，存 储器230可以包含由节点200用来处理例如由节点200处理的数据分组的 其它信息，例如路由和转发数据库等。
应用238是在OS 232的控制下由处理器240执行的软件。应用238包 括计算机可执行指令和数据，其可以包括实现这里描述的技术的各方面的 计算机可执行指令和数据。OS 232在处理器240上运行，并且包括实现各 种操作系统功能(例如，调度在处理器240上运行的应用238)的计算机 可执行指令和数据。此外，OS 232可以包含实现这里描述的技术的各方面的计算机可执行指令和数据。
绑定缓存300是示意性地被配置来保存与将接入节点200作为其归属 代理的端节点110相关联的可达性信息(例如地址)的数据结构。图3是 与这里描述的技术一起使用的绑定缓存300的框图。缓存300示意性地被 组织为包含一个或多个条目305的表，其中，每个条目305与端节点110 相关联并且包含归属地址字段320和转交地址字段330。每个条目350示 意性地被配置来"绑定"(映射)特定归属地址与端节点的转交地址。如 下面将进一步描述的，缓存300可以用来利用节点的转交地址识别与特定 端节点IIO相关联的归属地址，反之亦然。在一个实施例中，根据包含在 由接入节点200从端节点IIO接收的消息(例如，绑定更新消息)中的信 息来填写缓存300。
归属地址字段320保存表示与端节点IIO相关联的归属地址的信息。 归属地址可以是被指派给端节点IIO的永久性地址(例如，IP地址)。该 地址可以由与端节点IIO相关联的归属代理来指派。转交地址字段330保 存表示与端节点110相关联的转交地址的信息。转交地址可以是在端节点 110附接到网络100的当前点处被指派给端节点110的临时性地址(例 如，IP地址)。该地址可由用来使端节点110接入网络100的接入节点 200来指派。
图4是可与这里描述的技术一起使用的中间设备400的部分框图。在 网络100中，中间设备400是示意性地被配置来执行与对关联于端节点 110的通信的合法拦截有关的各种功能的网络节点。这些功能可以包括 建立并配置对与各个端节点110相关联的通信的合法拦截，并且将对经拦 截通信的拷贝转发到LEA节点170。中间设备400包括经由总线452相耦 合的存储器430、处理器440以及网络接口 450。中间设备400可以是诸 如可从思科系统公司获得的思科7600系列路由器之类的路由器、工作 站、个人计算机、服务器等。
处理器440可以是包括执行指令并操纵存储器430中包含的数据的处 理电路的CPU。这些指令和数据可以包括实现这里描述的技术的各方面的 指令和数据。总线452是点到点互连总线，被配置来将包含在包括处理器440、存储器430和网络接口 450的节点400内的各实体相耦合，并且使得 数据和信号能够在这些实体之间传送。
网络接口 450被配置来将节点400与网络100相连接(接口)，并且 使得能够利用诸如以太网、TCP/IP等之类的各种协议将信息在节点400与 网络100中的其它节点之间传送。为此，网络接口 450包括结合了信 号、电和机械特性的接口电路、需要与网络100接口的互换电路以及在网 络100上运行的协议。
存储器430可以是被实现为包括RAM器件(例如DRAM器件)在内 的RAM数据存储装置的计算机可读介质。示意性地，存储器430被配置 来保存各种软件和数据结构，包括操作系统(OS) 432、接入节点数据库 500、中间设备DB 600、管理信息库(MIB) 434以及一个或多个处理 438。应当注意，存储器430可以包含由节点400用来处理例如由节点400 处理的分组的其它信息，例如路由数据库等。
应用438是在OS 432的控制下由处理器440执行的软件应用。应用 438包括计算机可执行指令和数据，其可以包括实现这里描述的技术的各 方面的计算机可执行指令和数据。OS 432在处理器440上运行，并且包括 实现各种操作系统功能(例如，调度在处理器440上运行的应用438)的 计算机可执行指令和数据。此外，OS 432可以包含实现这里描述的技术的 各方面的计算机可执行指令和数据。
MIB 434是可由中间设备400用来引导接入节点200窃听与端节点 110相关联的通信的MIB。可用来在接入节点200处建立窃听的MIB的示 例包括可从IETF获得的F. Baker的"Cisco Lawfbl Intercept Control MIB"，因特网草稿draft-baker-slem-mib-00.txt， 2003年4月，以及可从 思科系统公司获得的结合了 CISCO-IP-TAP-MIB的CISCO-TAP2-MIB中 描述的LI MIB 。
在网络100中，接入节点200可被引导来通过(1)初始化MIB 434 以识别端节点110， (2)生成包含MIB 434的消息以及(3)将该消息转 发给接入节点200来建立对与特定端节点110相关联的通信的窃听。接入 节点200接收消息并对其进行处理，包括(1)从包含在其中的MIB434
ii中识别出窃听将被建立以窃听与端节点110相关联的通信，以及(2)建 立窃听。
接入节点DB 500是被配置来保存与包含在网络100中并在中间设备 400的控制下的一个或多个接入节点200相关联的信息的数据结构。示意 性地，如果中间设备400可以引导接入节点200在接入节点200处建立对 与接入节点200相关联的端节点110的通信的窃听，则接入节点200被认 为是在中间设备400的控制下。如果例如端节点经由接入节点200连接到 网络100或者接入节点200是端节点110的归属代理，则示意性地，端节 点IIO与接入节点200相关联。
图5是可与这里描述的技术一起使用的接入节点DB 500的框图。示 意性地，DB 500被组织为包含一个或多个条目505的表，其中，每个条目 505与在中间设备400的控制下的接入节点200相关联。每个条目505包 含地址范围字段520以及接入节点地址字段530。包含在DB 500中的信息 例如可以由有权使用中间设备400的用户来预先配置。
接入节点地址字段530保存表示可以用来将消息转发给接入节点200 的地址(例如IP地址)的信息。地址范围字段520保存表示可以被指派给 与接入节点200相关联的端节点IIO的地址范围的信息。例如，接入节点 200可以是特定端节点110的归属代理，并且地址的范围可以包括被指派 给该端节点IIO的归属地址。同样，例如，接入节点200可以是除端节点 的归属代理以外的由端节点IIO用来接入网络100的接入节点200，并且 地址的范围可以包括被指派给端节点IIO的转交地址。
中间设备DB 600是被配置来保存与中间设备400相关联的可达性信 息的数据结构。该可达性信息可以包括可用来将消息导向设备400的与中 间设备400相关联的地址(例如IP地址)。
图6是可与这里描述的技术一起使用的中间设备DB 600的框图。示 意性地，DB 600是包括一个或多个条目605的表，其中，每个条目605包 括地址范围字段620以及中间设备地址字段630。中间设备地址字段630 保存表示可用来将消息导向设备400的与中间设备400相关联的地址的信 息(例如，IP地址)。DB 600中包含的信息例如可由具有使用中间设备400的权利的用户来预先配置。
地址范围字段620保存表示被指派给端节点110的地址的范围的信 息，该端节点110通过受中间设备400的控制的接入节点200而接入网络 100。例如，参考图1，在一个实施例中，接入节点200a受中间设备400a 的控制。被指派给经由接入节点200a连接到网络IOO的端节点110a的地 址(例如，归属地址、转交地址)可以表示在与中间设备400a相关联的条 目605的地址范围字段620中。
应当注意，可以利用硬件和/或软件的某种组合来全部或部分地实现由 接入节点200和/或中间设备400执行的、包括实现这里描述的技术的各方 面的功能在内的功能。另外，执行与接入节点200和/或中间设备400相关 联的功能的逻辑可以被编码在一个或多个有形计算机可读介质中供执行， 并且当被执行时，可操作来执行这里描述的技术的各方面。逻辑例如可以 是软件、硬件或其某种组合。计算机可读介质例如可以是易失性存储器、 非易失性存储器、闪存、可移除盘、不可移除盘、逻辑电路、无线信号、 通过电线载运的电信号、通过光纤载运的光信号等。
如下面将进一步描述的，接收到转交地址的端节点110向其归属代理 200通知转交地址，以使得归属代理200利用端节点的转交地址将消息转 发给端节点110。端节点110可以使用包含了转交地址的绑定更新消息来 向归属代理200通知其转交地址。可与这里描述的技术一起使用的绑定更 新消息的示例在RFC 3775中进行了描述。
在一个实施例中，响应于接收到绑定更新消息，归属代理200示意性 地生成包含转交地址的通知消息并将其转发给其中间设备400，以向中间 设备400通知端节点的转交地址。图7是可与这里描述的技术一起使用的 通知消息700的框图。消息700包括消息头部字段720、归属地址字段 730以及转交地址字段740。消息头部字段720保存可用来在网络100中转 发消息700的信息。该信息示意性地包括用来将消息700导向中间设备 400的目的地地址。注意，头部可以包含其它信息，例如将消息标识为通 知消息的信息以及与归属代理200相关联的源地址。归属地址730和转交 地址740字段分别保存与端节点IIO相关联的归属地址和转交地址。同样，如将在下面进一步描述的，端节点110可以通过未在负责建立
对端节点的通信的窃听的中间设备400的控制下的接入节点200来附接到 网络100。然而，接入节点200可以受第二中间设备400的控制。为了建 立对通信的窃听，第一中间设备400可以生成请求消息并将其转发给第二 中间设备400，以使得第二中间设备400引导接入节点200建立窃听。
图8是可与这里描述的技术一起使用的请求消息800的框图。消息 800包括消息头部字段820和转交地址字段830。消息头部字段820保存可 用来经由网络100将消息800转发到第二中间设备400的信息。该信息示 意性地包括用来将消息800导向第二中间设备400的目的地地址。注意， 头部可以包括其它信息，例如将消息标识为请求消息的信息以及与第一中 间设备400相关联的源地址。转交地址字段830保存与其通信被窃听的端 节点IIO相关联的转交地址。
图9是根据这里描述的技术的一个实施例可以用来在通信网络中的第 二节点(例如，接入节点200)处窃听与通信网络中的第一节点(例如， 端节点110)相关联的通信的步骤序列的流程图。序列开始于步骤905并 前进到步骤910，在步骤910中，接收到与第一节点相关联的转交地址。 接收到的转交地址可以包含在从特定实体发送来的接收消息中。例如，转 交地址可以包含在由第一节点发送来的绑定更新消息、由与第一节点相关 联的归属代理发送来的通知消息，或由与第一节点相关联的中间节点发送 来的请求消息中。在步骤920中，利用转交地址来识别第二节点。如下面 将进一步描述的，可以根据与第二节点相关联的中间设备400的接入DB 500中包含的信息来识别第二节点。在步骤930中，第二节点被引导来在 第二节点处建立对与第一节点相关联的通信的窃听。如下面将进一步描述 的，在这里描述的技术的一个实施例中，中间设备400可以通过转发例如 请求接入节点建立窃听的包含MIB的消息，来引导在中间设备控制下的接 入节点200建立对通信的窃听。在这里描述的技术的另一实施例中，第一 中间设备可以通过将请求消息转发给第二中间设备以请求其引导接入节点 建立窃听，来请求第二中间设备引导未受第一中间设备控制的接入节点建 立窃听。该序列在步骤995处结束。图10A-B是可用来在端节点110用来连接到网络100的接入节点200 处窃听与通信网络100中的端节点110相关联的通信的步骤序列的流程 图。序列开始于步骤1005，并且前进到步骤1010，在步骤1010中，端节 点110经由接入节点200连接到通信网络，并且接收转交地址。在步骤 1015，端节点110生成包含转交地址的绑定更新消息，并且将该绑定更新 消息转发到端节点的归属代理200。在步骤1020，端节点的归属代理200 接收绑定更新消息，生成包含转交地址的通知消息700，并且经由网络将 通知消息700转发到与归属代理200相关联的第一中间设备400。在步骤 1025，第一中间设备接收通知消息700，并且利用包含在其中的转交地址 来识别端节点110通过其连接到网络100的接入节点200。
在步骤1030，第一中间设备400执行检查以判断所识别的接入节点 200是否在第一中间设备400的控制下。如果在步骤1030中判定接入节点 200在第一中间设备400的控制下，则序列前进到步骤1035，在步骤1035 中，第一中间设备400引导接入节点200建立对与端节点110相关联的通 信的窃听。如上面所提到的，可以利用MIB 434引导接入节点200建立窃 听，如上所述。序列随后前进到步骤1040，其中，接入节点200建立窃 听，生成与端节点110相关联的通信的拷贝，并且将拷贝转发给第一中间 设备400。在步骤1045，第一中间设备400接收与端节点IIO相关联的通 信的拷贝，并且将拷贝转发给LEA。序列在步骤1095处结束。
如果在步骤1030中第一中间设备400判定所识别接入节点200未在第 一中间设备400的控制下，则序列前进到步骤1050 (图10B)，其中，第 一中间设备400生成建立对与端节点UO相关联的通信的窃听的请求。请 求可以是请求消息800 (例如在转交地址字段830中包含与端节点110相 关联的转交地址的请求消息800)的形式。在步骤1055，第一中间设备 400将请求转发给可以弓1导接入节点200建立窃听的第二中间设备400。
在步骤1060，第二中间设备400接收请求，并且响应于该请求，在步 骤1065中引导接入设备200建立对与端节点IIO相关联的通信的窃听。第 二中间设备400可以通过生成包含MIB 434的消息并将该消息转发给接入 节点200来引导接入节点200建立窃听，如上所述。在步骤1070，接入节点200建立窃听，生成与端节点IIO相关联的通信的拷贝，并且将对通信 的拷贝转发给第二中间设备400。第二中间设备400在步骤1075中接收对 通信的拷贝，并且将拷贝转发给第一中间设备。序列随后前进到步骤 1045。
例如，参考图1和图IOA-B，在一个实施例中，接入节点200a和 200b在中间设备200a的控制下，并且接入节点200c在中间设备400b的 控制下，并且节点110b的归属代理是接入节点200a。现在假设将在接入 节点200b处窃听与节点110b相关联的通信，并且窃听来的通信的拷贝将 经由中间设备400a被转发给LEA节点170。
端节点110b经由接入节点200b接入网络100，并且接收转交地址 (步骤1010)。端节点110b生成包含转交地址的绑定更新消息，并且将 绑定更新消息转发给其归属代理，即接入节点200a (步骤1015)。接入 节点200a接收绑定更新消息，并且对其进行处理，包括生成针对节点 110b的绑定缓存300中的条目305，并且将与端节点110b相关联的归属地 址置于条目305的归属地址字段320中，以及将与端节点IIO相关联的转 交地址置于条目305的转交地址字段330中，以在端节点的归属地址和转 交地址之间建立关联性。另外，接入节点200a生成在归属地址字段730中 包含归属地址并且在转交地址字段740中包含转交地址的通知消息700， 初始化头部字段720以将中间设备400a指定为消息700的目的地，并且将 通知消息700转发给中间设备400a (步骤1020)。
中间设备400a接收通知消息700并且利用包含在其中的转交地址来识 别接入节点200b (步骤1025)。中间设备400a可以通过将转交地址与其 接入节点数据库500的条目505中包含的地址范围信息相比较，来定位转 交地址落在条目的地址范围520内的条目505，从而识别接入节点200b。 假设发现相匹配的条目505标识了接入节点200b。
由于找到了相匹配条目505，因此，中间设备400a得出接入节点200b 在中间设备的控制下的结论(步骤1030)，并且进而引导接入节点200b 建立对与端节点IIO相关联的通信的窃听(步骤1035)，如上所述。接入 节点200b建立窃听，生成对与端节点110相关联的通信的拷贝，并且将拷贝转发给中间设备400a (步骤1040)。中间设备400a接收对通信的拷 贝并且将拷贝转发给LEA节点170 (步骤1045)。
再次参考图l和图IOA-B，在另一实施例中，节点110c的归属代理是 接入节点200a，并且与节点110c相关联的通信在接入节点200c处被窃 听。节点110c经由接入节点200c连接到网络100，并且接收转交地址 (步骤1010)。节点110c生成包含转交地址的绑定更新消息，并且将该 消息转发给其归属代理(即，接入节点200a)，如上所述(步骤 1015)。消息经由网络IOO传递到接入节点200a，接入节点200a接收该 消息并对其进行处理。如上面所提到的，该处理可以包括更新其绑定缓存 300，如上所述。另外，接入节点200a生成包含归属地址的通知消息 700，并且将通知消息700转发到中间设备400a，如上所述(步骤 i020)。
中间设备400a接收通知消息700 (步骤1025)，并且利用包含在其中 的转交地址来判断接入节点200c是否在中间设备400a的控制下，如上所 述(步骤1030)。如上面所提到的，由于接入节点200c未在中间设备 400a的控制下，因此，中间设备400a搜索其中间设备DB 600来识别可以 引导接入节点200c建立窃听的中间设备。具体地，中间设备400a在其 DB 600中搜索包含地址范围620的条目605，地址范围620包括与端节点 110c相关联的转交地址。假设找到了相匹配的条目605并且包含在相匹配 条目605中的中间设备地址字段630包括中间设备400b的地址。
中间设备400a生成请求消息800，包括初始化消息的头部820以将中 间设备400b指定为消息800的目的地，并且将与端节点110c相关联的转 交地址置于消息的转交地址字段830中(步骤1050)。中间设备400a随 后将请求消息800转发给中间设备400b (步骤1055)。
请求消息800被中间设备400b接收(步骤1060)，并且响应于该消 息800，中间设备400b引导接入节点200c建立对与端节点110c相关联的 通信的窃听，如上所述(步骤1065)。接入节点200c建立窃听，生成去 往以及来自端节点110c的通信的拷贝，并且将对通信的拷贝转发给中间设 备400b (步骤1070)。中间设备400b接收对通信的拷贝并且将其转发给中间设备400a (步骤1075)。中间设备400a接收对通信的拷贝并且将其 转发给LEA节点170 (步骤1045)。
再一次地参考图l和图IOA-B，在又一实施例中，中间设备400从由 端节点发送的更新消息而非从通知消息接收与端节点110相关联的转交地 址。这里，中间设备400引导端节点的归属代理200来窃听与端节点110 相关联的通信。端节点110接收其转交地址，生成包含转交地址的绑定更 新消息，并且将绑定更新消息转发给归属代理200。归属代理200接收绑 定更新消息，并且由于窃听建立在归属代理200处，因此自动地生成对绑 定更新消息的拷贝，并且将拷贝转发给中间设备400。中间设备400接收 绑定更新消息的拷贝并且通过从消息中提取转交地址来接收转交地址。
虽然已参考特定实施例具体示出和描述了这里描述的技术，然而，本 领域技术人员将会明白，在不脱离由所附权利要求包括的本发明的范围和 精神的情况下，可以在其中对形式和细节进行改变。因此，前面描述的实 施例不希望是限制性的。
权利要求
1.一种方法，包括接收包含与通信网络中的第一节点相关联的转交地址的消息，所述第一节点经由所述通信网络中的第二节点连接到所述通信网络；利用所述转交地址识别所述第二节点；以及引导所述第二节点建立在所述第二节点处对与所述第一节点相关联的通信的窃听。
2. 如权利要求1所述的方法，其中，所述第一节点是端节点。
3. 如权利要求1所述的方法，其中，所述第二节点是接入节点。
4. 如权利要求1所述的方法，其中，所述消息是由所述第一节点发送的。
5. 如权利要求4所述的方法，其中，所述消息是绑定更新消息。
6. 如权利要求1所述的方法，其中，所述消息是由与所述第一节点相 关联的归属代理发送的通知消息。
7. 如权利要求1所述的方法，其中，识别还包括 比较所述转交地址和与所述第二节点相关联的地址范围，以判断所述转交地址是否落在所述地址范围内。
8. 如权利要求7所述的方法，其中，所述地址范围包含在数据结构所 包含的与所述第二节点相关联的条目中。
9. 如权利要求1所述的方法，其中，引导还包括-生成用于在所述第二节点处窃听与所述第一节点相关联的通信的第二消息；以及将所述第二消息转发给所述第二节点以使所述第二节点建立在所述第 二节点处对与所述第一节点相关联的通信的窃听。
10. 如权利要求1所述的方法，其中，所述第二消息包含被配置来引 导所述第二节点建立所述窃听的管理信息库(MIB)。
11. 如权利要求l所述的方法，其中，引导还包括 生成用于请求所述通信网络中的第三节点引导所述第二节点建立所述窃听的请求消息；以及将所述请求消息转发给所述第三节点。
12. 如权利要求11所述的方法，其中，所述请求消息包含转交地址。
13. 如权利要求ll所述的方法，其中，所述第三节点是对所述第二节 点进行控制的中间设备。
14. 一种装置，包括网络接口，被配置来接收包含与通信网络中的第一节点相关联的转交 地址的消息，所述第一节点经由所述通信网络中的第二节点连接到所述通 信网络；以及处理器，被配置来利用所述转交地址识别所述第二节点，以及引导所述第二节点建立在所述第二节点处对与所述第一节点相关 联的通信的窃听。
15. 如权利要求14所述的装置，其中，所述消息是由所述第一节点发 送的。
16. 如权利要求15所述的装置，其中，所述消息是绑定更新消息。
17. 如权利要求14所述的装置，其中，所述消息是由与所述第一节点 相关联的归属代理发送的通知消息。
18. 如权利要求14所述的装置，其中，所述处理器还被配置来 生成用于在所述第二节点处窃听与所述第一节点相关联的通信的第二消息，以及将所述第二消息转发给所述第二节点以使所述第二节点建立在所述第 二节点处对与所述第一节点相关联的通信的窃听。
19. 如权利要求14所述的装置，其中，所述第二消息包含被配置来引 导所述第二节点建立窃听的管理信息库(MIB)。
20. 如权利要求14所述的装置，其中，所述处理器还被配置来 生成用于请求所述通信网络中的第三节点引导所述第二节点建立窃听的请求消息，以及将所述请求消息转发给所述第三节点。
21. —种装置，包括用于接收包含与通信网络中的第一节点相关联的转交地址的消息的装 置，所述第一节点经由所述通信网络中的第二节点连接到所述通信网络； 用于利用所述转交地址识别所述第二节点的装置；以及用于引导所述第二节点建立在所述第二节点处对与所述第一节点相关 联的通信的窃听的装置。
22. 如权利要求21所述的装置，其中，引导装置还包括用于生成用于在所述第二节点处窃听与所述第一节点相关联的通信的第二消息的装置；以及用于将所述第二消息转发给所述第二节点以使所述第二节点建立在所 述第二节点处对与所述第一节点相关联的通信的窃听的装置。
23. 如权利要求21所述的装置，其中，引导装置还包括 用于生成用于请求所述通信网络中的第三节点引导所述第二节点建立窃听的请求消息的装置；以及用于将所述请求消息转发给所述第三节点的装置。
全文摘要
在一个实施例中，与经由接入节点耦合到通信网络的第一节点相关联的转交地址被接收。转交地址可以包含在由与第一节点相关联的归属代理发送的通知消息或者由第一代理发送的绑定更新消息中。利用转交地址来识别接入节点。在接入节点处窃听与第一节点相关联的通信的请求被生成，并且该请求被转发到接入节点，以使得在接入节点处窃听与第一节点相关联的通信。
文档编号H04L29/06GK101690087SQ200880020856
公开日2010年3月31日 申请日期2008年6月13日 优先权日2007年6月19日
发明者威廉·J·魏, 斯普瑞恩·P·波波维斯吾, 穆罕默德·科哈伊德, 约翰·M·加文 申请人:思科技术公司