合法侦听(LI)是根据国家法律规定,对电信业务用户的通信内容进行监听的一种信息安全技术。传统的合法侦听是通过在交换机的固定信道上架设侦听设备实现的。由于VoIP采用端到端的呼叫模式,信令和媒体业务流使用IP网络来承载,其传输路由是不确定的,导致侦听的复杂度和难度都增大。为此,本文主要从体系结构、设备部署策略和侦听系统在SIP电话网络中的设计等方面对VoIP合法侦听系统进行研究,为电信业务提供商设计和规范合法侦听接口提供参考。本文首先阐述合法侦听的相关概念、工作流程和基本原理。在分析ETSI提出的合法侦听原型系统的基础上,针对VoIP网络的实际侦听需求,引入IPCC提出的软交换网络合法侦听参考模型,并分析了本参考模型的工作原理、各个模块的功能和TSP域与LEA域接口。针对VoIP网络采用分布式合法侦听系统,对IPCC软交换网络LI参考模型进行实例化。该分布式系统包括三层控制设备、存储设备和一套通信协议,确立了侦听系统的设备功能划分和侦听协议的设计原则。根据VoIP网络的终端类型、用户数量、网络结构等因素,分布式LI系统采用相应的部署策略,在适当的位置放置适合数目和类型的侦听设备。最后,在分析SIP电话网络的体系结构的基础上,提出了分布式LI系统在基于SIP的VoIP网络中的部署方案,其中TSP网络中由电信业务提供商部署用于管理侦听的TLD设备、用于传送侦听数据的ILD设备和用于侦听通话的BLD设备,LEA网络中由执法机构部署LEA侦听管理服务器和用于存储侦听数据的SD设备。由于SIP电话网络具有集中式交换控制和分布式媒体处理相结合的特点,系统在TSP网络中的SIP呼叫服务器上侦听呼叫识别信息、在媒体接入设备或者网络层接入设备上侦听呼叫内容。