一种合法监听方法及装置的制作方法

专利名称：一种合法监听方法及装置的制作方法
技术领域：
本发明涉及网络监控领域，特别涉及一种网络地址转换(NAT-NetworkAddress Translation)环境下合法监听的方法及装置。
背景技术：
合法监听的概念是指执法机构经相应的授权机关批准，根据国家相关法律和公众通信网行业规范对公众通信网的通信业务进行监听的执法行为。合法监听是公共通信网络的必备功能，对于维护国家安全意义重大，因此在固网、移动、卫星通信等各领域广泛应用。
参见图1，合法监听的基本功能模型的描述如下监听内容提供者向监听中心提供被控目标的通信内容，监听相关信息提供者用于提供通信内容相关信息，例如源、目的信息，监听目标上下线信息等内容。监听内容的提供和监听相关信息的提供可以由同一监听设备完成，也可以由不同的监听设备完成。
监听行为不被监听目标察觉是合法监听的重要原则。
在IP协议最初设计的年代，由于可以互连的设备数量很有限，因此IP地址的长度定义为32位。然而随着Internet的迅猛发展，地址资源消耗迅速。为了应对即将耗尽的IP地址，引入了NAT/NAPT(后继简称为NAT)技术。
该技术通过将私网地址信息映射成为公网地址信息，使得内部用户不用获取公网地址即可同外界通信，大大缓解了公网IP地址匮乏问题。
在国内，通过网吧上网是流行的Internet访问方式，因此对于网吧有合法监听的需要。对于企业网，同样也有监听需求。网吧和企业网都是NAT技术的典型应用场景。然而对于NAT内的用户实施监听有技术上的困难，主要是外界无法从被NAT转换后的流量中识别出被监听用户发出的流量。
为了解决上述监听的问题，现有技术中主要有以下两种解决方案现有技术解决方案1NAT设备日志记录方式NAT设备保留NAT连接的日志信息，信息的内容包括起止时间、用户ID、用户IP地址、NAT转换后的IP、用户端口、NAT转换后的端口、协议类型。
此时监听中心必须截获NAT发出的所有流量，根据后期从NAT设备获取的日志从保存的流量中定位用户的实际流量。该技术解决方案有以下缺点1、这种方式无法实时监听目标定位。
2、监听中心需要保存大量的流量。
3、如果NAT设备的时间同监听中心时间不同步则后期的审查也无法精确。
现有技术解决方案2NAT表实时上传的方式NAT设备将NAT表实时上传到监听设备并同步NAT的变动信息。内容包括用户ID、用户IP地址、NAT转换后的IP、用户端口、NAT转换后的端口、协议类型等。这样监听设备可以实时地将获取的信息还原为用户的原始信息。
同方案1相比，采用这种方式后监听中心可以实时定位到监听目标；不需要接收大量的无用流量；无需后期审查，监听中心不必同NAT设备保持时间同步。但该技术方案仍然存在以下缺点1、无法保障NAT表内容和变动信息的上传同流量的变动的精确同步，这样监听中心在还原数据的时候还是不可避免地会出现误差。
2、监听中心需要将NAT的变动情况反映到接入设备访问控制列表(ACL-Access Control List)的变动上，随着变动向设备下发新的ACL，增加了监听处理的复杂性。

发明内容
本发明的目的在于克服现有技术中存在的运行过程复杂、具有误差的不足，提供了一种实时、准确的监听方法。所述技术方案如下本发明提供了一种合法监听方法，在监听设备中存储监听中心发送的监听目标的标识信息，所述方法包括以下步骤步骤A获取用户的标识信息；步骤B将所述用户的标识信息附加到报文中，并向监听设备发送加入标识信息后的报文；步骤C所述监听设备收到带有用户标识信息的报文后，判断所述报文是否为监听目标的报文，如果是，则将所述监听目标的报文发送给监听中心。
所述步骤A具体包括步骤A1用户向内网管理系统注册上线；步骤A2所述内网管理系统向NAT设备发送用户信息同私网IP的绑定关系；步骤A3所述NAT设备根据所述绑定关系获取用户标识信息；相应地，所述步骤B具体包括步骤B1用户向NAT设备发送报文；步骤B2所述NAT设备对于用户发出的报文进行NAT转换后将所述用户的标识信息附加到报文中，并向监听设备发送加入标识信息后的报文。
所述步骤A具体包括步骤A1用户向内网管理系统注册上线；步骤A2内网管理系统将用户信息下发到用户端设备；相应地，所述步骤B具体包括步骤B1用户向NAT设备发送报文，在所述报文中附加了用户标识信息；步骤B2所述NAT设备对于用户发出的带有用户标识信息的报文进行NAT转换后向监听设备发送加入标识信息后的报文。
所述步骤B中用户标识信息用自定义格式封装并上送。
所述步骤C具体包括步骤C1所述监听设备收到带有标识的报文后，获取用户的标识信息；步骤C2所述监听设备将所述用户标识信息和所述监听目标的标识信息进行比较，如果所述用户标识信息和所述监听目标的标识信息相同，则将所述报文发送到监听中心，同时去除报文的标识，使用通常流程继续转发报文；如果不同，所述监听设备去除报文的标识后使用通常流程继续转发报文。
所述标识信息包括但并不限定于用户身份信息。
所述标识信息包括但并不限定于用户身份信息摘要信息或所述摘要信息的部分内容。
本发明还提供了一种合法监听装置，包括NAT设备、监听设备和监听中心，还包括内网管理模块、在所述监听设备中设有标识信息存储装置和报文判断装置；在所述NAT设备中设有报文发送装置；
所述内网管理模块用于保存用户信息同内网IP的映射表，并且向NAT设备提供上述信息以及映射变动信息；所述标识信息存储装置用于存储监听中心发送的监听目标的标识信息；所述报文发送装置用于所述NAT设备对于用户发出的报文进行NAT转换后将对应用户的标识信息附加到报文中，并向监听设备发送加入所述标识信息后的报文；所述报文判断装置用于所述监听设备收到带有用户标识信息的报文后，判断所述报文是否为监听目标的报文，如果是，则将所述监听目标的报文发送给监听中心。
所述报文接收判断装置包括标识信息比较装置，正常报文转发装置和被监听目标报文转发装置；所述标识信息比较装置输出的比较结果分别输入到正常报文转发装置和被监听报文转发装置；所述标识信息比较装置用于所述监听设备将所述用户标识信息和所述监听目标的标识信息进行比较，如果所述用户标识信息和所述监听目标的标识信息相同，则将所述报文发送到报文监听转发装置，如果不同，则将所述报文发送到报文正常转发装置；所述正常报文转发装置用于去除报文的标识，使用通常流程继续转发报文；所述被监听报文转发装置用于向监听中心转发监听目标的报文。
本发明的有益效果是1、NAT设备无需向监听设备上传NAT表信息，保证了还原数据时数据的精确性。
2、监听设备无需响应监听目标的NAT变化，即用户NAT信息变化后监听设备不用下发改动的ACL，只需根据随业务报文传递的用户ID信息即可以确定监听目标的流量，运行过程简单。
3、能够实时监听，而且监听中心无需保存大量的流量。


图1是合法监听的模型图；
图2是本发明所述监听方法流程图；图3是本发明所述监听方法另一个流程图；图4是本发明所述监听装置的结构图。
具体实施例方式
下面将结合附图和实施例对本发明进行进一步说明，但并不表示对本发明的限定。
参见图2，图中包括用户、内网管理系统、NAT设备、监听设备和监听中心。其中内网管理系统主要用于保存用户信息同内网IP的映射表，并且向NAT设备提供上述信息以及映射变动信息。监听设备指的是为合法监听提供服务的设备，功能是定位监听目标、上送监听流量，可以是实现了合法监听特性的接入服务器、路由设备等。参见图3，本发明所述的监听方法如下步骤101监听中心向监听设备下发监听目标的信息，这个信息是表明用户身份的信息，可以是用户身份证号码、上网卡证号码等，也可以是用户身份信息的摘要结果或摘要结果的部分内容。
步骤102用户向内网管理系统注册。
步骤103内网管理系统在用户上线之后向NAT节点提供用户信息(例如标识)同内网IP地址的对应信息，在用户下线后也要通知NAT节点相关绑定信息无效。也可以采取NAT节点向内网管理系统进行查询的方式，但是该方式无法在用户下线时通知NAT节点相关绑定信息无效。
另外，NAT在重新启动后需要同内网管理系统同步所有的用户绑定信息。可以采用定时同步的方式定期同步所有的用户绑定信息。
步骤104用户上线后发送报文。
步骤105NAT设备根据收到的用户信息同内网IP的绑定获取用户标识，其中标识可以采取用户身份证号码、上网卡证号码等方式。
步骤106NAT设备对于用户发出的报文进行NAT转换后将用户的标识附加到报文中。标识的添加方式不限，可能的实现如将标识放置在IP扩展头中，也可能自定义封装格式，以隧道的方式上送。
如果将明文用户信息作为标识信息加入用户的业务报文中则可能会造成信息遭嗅探而泄漏。为此也可以考虑将明文用户信息的摘要信息放置在报文中作为标识。例如使用MD5或SHA算法处理用户身份信息，将摘要结果或摘要结果的部分内容作为标识。
当添加到报文中的ID采用用户信息摘要或者部分摘要的情况下，理论上有冲突的可能，即不同用户信息计算出的结果相同。为了保证信息的一致性可以考虑采取内网管理系统保存一段时间(例如一个月内)的登录日志信息，以供监听中心进行事后的确认，或者内网管理系统定期将日志上交到监听中心。
步骤107NAT设备将加入标识后的报文上送的监听设备。
步骤108监听设备收到带有标识的报文后，获取标识，并根据标识来确定报文是否为监听目标的通信报文。
判定的依据是将该标识和监听中心发来信息的比较。如果是明文信息则直接进行比较，如果是摘要信息则需要将监听目标身份使用相同算法摘要后比较结果。
步骤109a如果判别出是监听目标的报文则将其上送一份到监听中心，同时去除报文的标识，使用通常流程继续转发报文。
步骤109b如果不是监听设备去除报文的标识后使用通常流程继续转发报文。
由于监听设备(例如具有合法监听特性的接入设备)下可以接入被监听的网吧或企业也可以接入普通用户，因此针对被监听的用户，可以事先在监听设备端口上进行配置，对于需支持监听功能的端口，配置该端口启用标识识别功能；而对于普通用户则无需启动监听功能。
上述实施例中是由NAT设备对报文添加用户的标识信息，也可以考虑采用客户端添加标识的方式，即将NAT做的标识添加工作放到客户端。此时用户登录后，管理站会将用户信息下发到用户端设备，用户端设备在发送报文的时候自主添加标识信息。NAT设备将报文进行NAT转换后上送到监听设备。由于其它步骤和上述实施例相同，这里不再赘述。
参见图4，本发明还提供了一种合法监听装置，包括内网管理模块、NAT设备、监听设备和监听中心，在所述监听设备中设有标识信息存储装置和报文判断装置；在所述NAT设备中设有报文发送装置；
所述内网管理模块用于保存用户信息同内网IP的映射表，并且向NAT设备提供上述信息以及映射变动信息；所述标识信息存储装置用于存储监听中心发送的监听目标的标识信息；所述报文发送装置用于所述NAT设备对于用户发出的报文进行NAT转换后将对应用户的标识信息附加到报文中，并向监听设备发送加入所述标识信息后的报文；所述报文判断装置用于所述监听设备收到带有用户标识信息的报文后，判断所述报文是否为监听目标的报文，如果是，则将所述监听目标的报文发送给监听中心。
进一步地，所述报文接收判断装置包括标识信息比较装置，正常报文转发装置和被监听目标报文转发装置；所述标识信息比较装置输出的比较结果分别输入到正常报文转发装置和被监听报文转发装置；所述标识信息比较装置用于所述监听设备将所述用户标识信息和所述监听目标的标识信息进行比较，如果所述用户标识信息和所述监听目标的标识信息相同，则将所述报文发送到报文监听转发装置，如果不同，则将所述报文发送到报文正常转发装置；所述正常报文转发装置用于去除报文的标识，使用通常流程继续转发报文；所述被监听报文转发装置用于向监听中心转发监听目标的报文。
以上只是对本发明的优选实施方式进行了描述，本领域的技术人员在本发明技术的方案范围内进行的通常变化和替换，都应包含在本发明的保护范围内。
权利要求
1.一种合法监听方法，其特征在于，在监听设备中存储监听中心发送的监听目标的标识信息，所述方法包括以下步骤步骤A获取用户的标识信息；步骤B将所述用户的标识信息附加到报文中，并向监听设备发送加入标识信息后的报文；步骤C所述监听设备收到带有用户标识信息的报文后，判断所述报文是否为监听目标的报文，如果是，则将所述监听目标的报文发送给监听中心。
2.如权利要求1所述的合法监听方法，其特征在于，所述步骤A具体包括步骤A1用户向内网管理系统注册上线；步骤A2所述内网管理系统向NAT设备发送用户信息同私网IP的绑定关系；步骤A 3所述NAT设备根据所述绑定关系获取用户标识信息；相应地，所述步骤B具体包括步骤B1用户向NAT设备发送报文；步骤B2所述NAT设备对于用户发出的报文进行NAT转换后将所述用户的标识信息附加到报文中，并向监听设备发送加入标识信息后的报文。
3.如权利要求1所述的合法监听方法，其特征在于，所述步骤A具体包括步骤A1用户向内网管理系统注册上线；步骤A2内网管理系统将用户信息下发到用户端设备；相应地，所述步骤B具体包括步骤B1用户向NAT设备发送报文，在所述报文中附加了用户标识信息；步骤B2所述NAT设备对于用户发出的带有用户标识信息的报文进行NAT转换后向监听设备发送加入标识信息后的报文。
4.如权利要求1所述的合法监听方法，其特征在于，所述步骤B中用户标识信息用自定义格式封装并上送。
5.如权利要求1所述的合法监听方法，其特征在于，所述步骤C具体包括步骤C1所述监听设备收到带有标识的报文后，获取用户的标识信息；步骤C2所述监听设备将所述用户标识信息和所述监听目标的标识信息进行比较，如果所述用户标识信息和所述监听目标的标识信息相同，则将所述报文发送到监听中心，同时去除报文的标识，使用通常流程继续转发报文；如果不同，所述监听设备去除报文的标识后使用通常流程继续转发报文。
6.如权利要求1至5中任意一项权利要求所述的合法监听方法，其特征在于，所述标识信息包括但并不限定于用户身份信息。
7.如权利要求6所述的合法监听方法，其特征在于，所述标识信息包括但并不限定于用户身份信息摘要信息或所述摘要信息的部分内容。
8.一种合法监听装置，包括NAT设备、监听设备和监听中心，其特征在于，还包括内网管理模块、在所述监听设备中设有标识信息存储装置和报文判断装置；在所述NAT设备中设有报文发送装置；所述内网管理模块用于保存用户信息同内网IP的映射表，并且向NAT设备提供上述信息以及映射变动信息；所述标识信息存储装置用于存储监听中心发送的监听目标的标识信息；所述报文发送装置用于所述NAT设备对于用户发出的报文进行NAT转换后将对应用户的标识信息附加到报文中，并向监听设备发送加入所述标识信息后的报文；所述报文判断装置用于所述监听设备收到带有用户标识信息的报文后，判断所述报文是否为监听目标的报文，如果是，则将所述监听目标的报文发送给监听中心。
9.如权利要求8所述的一种合法监听装置，其特征在于，所述报文接收判断装置包括标识信息比较装置，正常报文转发装置和被监听目标报文转发装置；所述标识信息比较装置输出的比较结果分别输入到正常报文转发装置和被监听报文转发装置；所述标识信息比较装置用于所述监听设备将所述用户标识信息和所述监听目标的标识信息进行比较，如果所述用户标识信息和所述监听目标的标识信息相同，则将所述报文发送到报文监听转发装置，如果不同，则将所述报文发送到报文正常转发装置；所述正常报文转发装置用于去除报文的标识，使用通常流程继续转发报文；所述被监听报文转发装置用于向监听中心转发监听目标的报文。
全文摘要
本发明提供了一种合法监听的方法及装置，属于网络监控领域。为了解决现有技术中无法实时监听目标定位、还原监听数据内容不精确的问题，本发明所述方法包括在NAT设备中发送附加用户标识信息的报文；在监听设备中存储用户标识信息以及通过对比标识信息来定位监听目标的步骤。本发明还提供了一种合法监听的目标定位装置，包括NAT设备及监听设备，在所述NAT设备中附加用户标识信息，在所述监听设备中存储用户标识信息和对比标识信息的模块。本发明适用于网吧、企业网的合法监听。
文档编号H04L12/46GK101047568SQ20061007888
公开日2007年10月3日 申请日期2006年5月12日 优先权日2006年5月12日
发明者苗福友, 赵烨 申请人:华为技术有限公司