10. VoIP 網路監聽技術

10.1 前言

我國「通訊保障及監察法」規定,電信業者有義務提供介接 設備讓國安單位在法院授權下進行特定電話的監聽[1]。而且 電信業者必須提供協助追查訊務的相關資料,包括:被監聽 者基本資料、發話及受話端號碼、通信時間、通信內容等。 即使在美國,自從發生911 事件之後,網路監聽也獲得法院 的支持了。上節已經提到VoIP提供即時定位資訊的困難, 雖然定位資訊在離線狀態比較簡單,但是仍然相當複雜。 而監聽方面,因為許多網路電話是利用P2P方式傳送封包, 並未經過交換機或伺服器,在技術層面上必須進行大幅度 的架構整建才能順利進行監聽,如此勢必大幅增加VoIP 業者的建置及營運成本。

10.2 網路通信監察相關的法令

美國於一九八六年提出「電子通訊隱私權保護法案」 (Electronic Communication Privacy Act,簡稱 ECPA),依照這個法律之規定,傳播系統的提供者不能於 用戶間互相交談時故意介入干擾,也不能檢查用戶之間於 交談後儲存於傳播系統中之內容。因此,依ECPA之規定, ISP業者似乎對網路電話的用戶不論於線上交談時或訊息 靜態儲存時均不可自行加以監聽。

   美國國會於一九九四年通過「法律執行通訊協助法」 (Communication Assistance for Law Enforcement Act),該法案主要的立法目的是藉由提供經 費幫助包括AT&T、Ericsson…等電話公司使其設備升級, 使執法機構能在其電子線路上進行監聽,以配合法院的監聽命 令。最後美國聯邦通訊委員會(Federal Communications Commission,FCC)已決定2000 年六月三十日為業者遵守該法的最後期限。因此,未來不論是 傳統電話系統或電子傳輸系統,都將受到聯邦調查局透過美國 ISP業者進行監聽。

   我國於1999年制訂提出「通訊保障及監察法」。為了犯罪 調查,檢警可以依法監聽固定電話、手機。政府同樣要求網路 電話也要能被監聽。電總在民國93年公布只要求PC-to-Phone,但是在「通訊監察標準需求規範」中要求必須做到 目前像第一類電信事業,可「即時」監聽,以及雙向通連 記錄,包括PC-to-PC與PC-to-Phone。      

10.3 網路通信監察技術之需求

網路電話服務經營者應依通訊保障及監察法規定, 配合協助執行通訊監察作業之義務。主要項目包括有:

在合法監聽系統架構中,配合合法通信監察的要求, 通信監察技術需符合下列要件,以確保通信監察業務之遂行:

  1. 不能讓監聽目標發現自己受到監聽。
  2. 提供通話監聽內容之外,還要提供監聽相關資訊。
  3. 網路必須能處理多方之截聽,使其無法得知有其他機構 正在截聽中。
  4. 監聽工作不能降低執行效能。
  5. 任何可originate或terminate呼叫之電信carrier 有提供合法截聽之責。
  6. 如果通話內容經過加密的話,需要將加密的金鑰 送給司法單位,讓司法單位可以把加密的通話內容解密。
   方興未艾的「點對點」式(Peer-to-Peer;P2P) 網路電話是監聽任務的巨大挑戰。  

10.4 現有監聽方式提案

在 [3-5] 中討論了幾項監聽技術:分別適合H.323 及SIP 兩種協定。不過可歸納為    在技術上,以上這些方式都可以輕易的理解,本文不詳細描述。本文將從實際商業經營面探討這幾種監聽方式的可行性。

1. 在上下車gateway 上進行監聽

在 PC-to-Phone VoIP下,語音要經過下車gateway ;而在 Phone-to-PC VoIP模式下,語音要經過下車gateway。理論上 VoIP經營者很容易的可以在gateway 上建置監聽設備。但實務上仍有待考慮。第二章曾有說明,位於台灣的上下車設備 可能是國內外VoIP公司向台灣的下車業者租用的。 我國電信法對國外的VoIP業者不具管轄權。而對於國內VoIP業者即使有管轄權,VoIP業者因可能並未擁有下車gateway,必須間接的要求提供服務的下車業者建置監聽設備,而下車成本將大幅提高,反而陷國內的VoIP 業者於不利,而讓國外的VoIP業者得利。 如果強力要求VoIP業者執行監聽作業,不但有大量的漏網之魚,而且也有打壓國內VoIP業者之嫌。 所以,在上下車gateway 上建置監聽設備在實務上可能行不通。

2. 在 Gatekeeper 或專用server 上進行監聽

語音封包的流量太大,如果所有語音要經過 Gatekeeper 或 Server,那Gatekeeper 或server很輕易的被衝垮,根本不可行。 如以Skype 同時間有數百萬用戶上線的情況下,更難以想像。

3. 亂槍打鳥式將所有語音封包送給監聽單位

對VoIP業者而言,這個方式最省事,可是卻苦了監聽單位, 監聽單位根本無力承接如此巨大的語音流量,技術上其實 也不可行。

10.5 建議監聽方式

我們從發話者、受話者所在的環境來考慮。 如果發話者或受話者是在PSTN上的電話上時, 都會經過LEC 的交換機,而LEC 的交換機本就 應該建置有供監聽單位掛線的設備。所以如果 受監聽的發話者或受話者是在PSTN上的電話上時 根本與VoIP 業者無關。如果受監聽的發話者或受話者 是在PC 上時,VoIP 業者才需費心。

10.5,1 Phone-to-PC

以 PC-to-Phone而言, PC 使用者多半在國外,我國無管轄權,而國內VoIP 業者 也都非第一類電信業者,電信法即使管得著,也都因實務的困難而沒有強力要求。至於 Phone-to-PC 問題就大了,因為 VoIP 業者必須變成電信業者,才能申請和配070電話號碼,而 電信法必強力要求VoIP業者 符合「第二類電信事業通訊監察標準」才會核准經營執照。所以受話者如果是070用戶的話, 提供服務的業者必須為監聽單位提供服務讓監聽單位得以順利監聽。現今的VoIP 都是以P2P方式為之,VoIP 業者只有兩個選擇,一是請發話端的LEC 業者代為執行監聽任務,但發話端的業者其實是VoIP的競爭者,此舉無異於與虎謀皮。 二是請委託上車的gateway 業者代為執行監聽任務,VoIP業者算是上車業者的客戶,實務上較為可行,為了簡化監聽服務的成本,VoIP 業者傾向於在gateway 上將所有語音封包複製轉送到監聽單位。此舉雖然讓VoIP 解除了負擔,但卻讓監聽單位 無法順利運作。除了監聽任務之外,VoIP業者尚有其他應負義務(請參閱第二章),因此 Phone-to-PC 仍然難以順利上路。

10.5.2 PC-to-PC VoIP 之監聽

PC-to-PC VoIP 之監聽在現階段幾乎毫無著力之處。 使用者位置不固定,而又使用P2P方式傳送語音封包, 要進行監聽實是難上加難。VOIP業者既然無法從此項業者 獲得營收自然不會擔負輔助監聽之責,即便存有技術可輔助 監聽,也沒有VoIP 業者願意經營此項業務,自討苦吃。

使用者除了使用PC 進行PC-to-PC VoIP通話之外,也可以購置 VoIP gateway,稱為 Residential gateway。例如 D-Link 所出的 DPH-300,或 Skype Phone, 使用者只需將Residentail gateway 接上網路,即可使用 PC-to-PC VoIP。政府的電信監理單位可以在此著力進行監聽, 可以強令製造商配合相關法令在 residentail gateway 上設置 接受監聽指令的模組以便監聽單位進行監聽。

以上這個情況並非滴水不漏。一則,檢調單位必須確定受監聽者 的上網位置才能向法院申請監聽的授權, 由於一般使用者尤其是犯罪嫌疑人的上網位置並不固定, 除非監聽單位違法進行普遍性或隨機性無特定對象的監聽,否則 此法在實務面相當不可行。另外一個問題是,犯罪嫌疑人可以 很方便的從國外購買設備避開監聽。   

   對於採用「點對點」式(Peer-to-Peer,P2P)的網路電話, 目前仍是通信監察任務的巨大挑戰,預期其可能會成為未來治安 的死角。

    

參考文獻

  1. 通訊保障及監察法, http://law.moj.gov.tw/Scripts/Query4A.asp?FullDoc=all&Fcode=K0060044.
  2. 電信法, http://www.ncc.gov.tw/chinese/law_detail.aspx?site_content_sn=186&is_history=0&law_sn=766&sn_f=1067.
  3. 彭俊豪, "以SIP 為基礎提供合法監聽之功能," 國立交通大學資訊工程系所碩士論文, 2005.
  4. 針對 VoIP 的2種攻擊方式(Two attacks against VoIP)
  5. 黃智群, "運用代理人機制進行以SIP為基礎的分散式網路電話監聽系統之設計與建構," 95.8