专利名称:合法监听的方法及装置的制作方法
技术领域:
本发明涉及网络安全技术领域,特别是涉及合法监听的方法及装置。
背景技术:
随着hternet的日渐普及,互联网用户数保持持续增长,人们通过hternet可以浏览、发布各种消息,进行文件、电子邮件处理,开展即时通信及各种视频应用,等等。但是, 在给社会经济和人们的工作、生活、学习带来极大方便的同时,其安全方面也面临着各种不安全因素,例如,计算机病毒的传播或者“黑客”攻击对网络构成的威胁等。为了保证网络的安全性,在互联网上开展合法监听是一种常用的手段。在进行合法监听时,监听的目标对象通常是网络中的部分用户,这些用户通过各自的网络通信设备接入网络。在现有技术中的合法监听方案是,通过合法监听网关下发监听目标任务到网络通信设备,其中,监听目标一般通过流量的网络协议IP信息(包括源IP 地址、目的IP地址、IP协议号等)来标识,网络通信设备根据接收到的流量的IP信息生成合法监听访问控制列表ACL(Access Control List)规则。由于网络通信设备无法预先获知哪个接口的流量的IP信息与该监听目标对应,因此只能整机下发监听使能标志并下发匹配该监听目标的合法监听ACL规则,各个接口的硬件设备在接收到监听使能标志及ACL 规则之后,就会将各自流量的IP信息与ACL规则进行匹配,如果某接口的流量的IP信息与 ACL规则中流量的IP相同,则匹配成功,然后就可以复制该接口的流量并封装后发送到合法监听网关,以便进行后续的监听目标流量分析操作。但是,该现有技术的方法中,由于网络通信设备整机下发合法监听标志,因此,这台网络通信设备上所有接口的流量都会去做匹配合法监听ACL的动作。但是,最终的结果是只有真正需要被合法监听的用户流量所在的那几个接口会匹配成功,其他接口白白做了这些匹配动作,以至于浪费了系统的处理资源及处理时间。
发明内容
本发明提供合法监听的方法及装置,能够减少合法监听过程对系统处理资源及处理时间的浪费。本发明提供了如下方案一种合法监听的方法,包括接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在虚拟专用网络VPN的标识以及合法监听目标的用户流量标识;获知与所述VPN标识对应的VPN绑定的接口 ;根据所述用户流量标识生成合法监听ACL规则;向所述接口下发监听使能标志及所述ACL规则,以便对所述合法监听目标的用户流量进行合法监听。一种合法监听的方法,包括
接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在的MAC地址;根据所述MAC地址生成合法监听ACL规则;按照相应的二层虚拟通道技术下发所述ACL规则及监听使能标志,以便对所述合法监听目标的流量进行合法监听。一种合法监听的装置,包括第一接收单元,用于接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在虚拟专用网络VPN的标识以及合法监听目标的用户流量标识;接口获知单元,用于获知与所述VPN标识对应的VPN绑定的接口 ;第一 ACL规则生成单元,用于根据所述用户流量标识生成合法监听ACL规则;第一下发单元,用于向所述接口下发监听使能标志及所述ACL规则,以便对所述合法监听目标的用户流量进行合法监听。一种合法监听的装置,其特征在于,包括第二接收单元,用于接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在的MAC地址;第二 ACL规则生成单元,用于根据所述MAC地址生成合法监听ACL规则;第二下发单元,用于按照相应的二层虚拟通道技术下发所述ACL规则及监听使能标志,以便对所述合法监听目标的流量进行合法监听。根据本发明提供的具体实施例,本发明公开了以下技术效果本发明实施例由于能够按照VPN下发监听使能标志,而不用采用整机下发的方式,因此,能够减少一些不必要的ACL规则匹配操作,从而减少合法监听过程对系统处理资源及处理时间的浪费。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是现有技术中的合法监听业务模型示意图;图2是本发明实施例一的方法中Xl接口的封装格式示意图;图3是本发明实施例一的方法中X3接口的封装格式示意图;图4是本发明实施例一的方法流程图;图5是本发明实施例一的另一方法中Xl接口的封装格式示意图;图6是本发明实施例一的另一方法中X3接口的封装格式示意图;图7是本发明实施例一的另一方法流程图;图8是本发明实施例一的再一方法流程图;图9是本发明实施例二的方法流程图;图10是本发明实施例二的方法中Xl接口的封装格式示意图11是本发明实施例二的方法中X3接口的封装格式示意图;图12是本发明实施例提供的装置的示意图;图13是本发明实施例提供的另一装置的示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。实施例一首先需要说明的是,网络通信设备上有很多的接口,不同用户的流量会在不同接口接入和处理,通俗地讲,就像固定电话或者ADSL (Asymmetric DigitalSubscriber Line, 非对称数字用户环路),每个用户只会占用网络通信设备(程控交换机/DSLAM(Digital Subscriber Line Access Multiplexer,数字用户线路接入复用器))一个接口。但是,进行合法监听时,需要提前确定监听目标,该监听目标是以用户为单位的,即一个监听目标对应着一个用户。合法监听的操作可能只会针对一个网络通信设备上的部分特定用户进行, 这些特定的用户只会在部分接口上接入,其他的大部分接口都是其他用户的流量,这些用户的流量实际上是不需要监控的。如果整机下发监听使能标志,这台网络通信设备上所有接口的流量都会去做匹配合法监听ACL的动作,由于合法监听的监听目标(特定用户)只会在部分接口接入,因此, 最终的结果是只有合法监听的监听目标的那几个接口会匹配成功,其他接口白白做了这些匹配操作。但是,匹配合法监听ACL的操作会占用系统的处理资源及处理时间,因此,对不需要监听的接口进行的匹配操作,就会对系统的处理资源及处理时间造成浪费。在本发明实施例一中,主要介绍三层VPN业务场景下的合法监听方法。为了便于理解,这里首先对VPN(Virtual Private Network,虚拟专用网络)技术进行简单地介绍。 VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。三层VPN有一个很大的优点不同VPN内可以使用相同的IP地址,因此,当网络通信设备采用三层VPN技术承载业务流量时,可以隔离不同业务并且做到IP地址重用,因此,目前的数据网络中三层VPN应用非常广泛。同时,三层VPN还有以下特点其一,一个VPN需要在网络通信设备的某一个或者某几个接口上绑定,从与某VPN绑定的接口进入的数据流就唯一对应到该VPN中;其二,一个合法监听目标只可能存在于某一个VPN中。通过以上分析可见,如果预先获知了一个监听目标所在的VPN,则只需要向与该 VPN绑定了接口下发合法监听使能标志及合法监听ACL规则,这样,其他没有与该VPN绑定的接口就不会接收到合法监听使能标志及合法监听ACL规则,自然也不会进行匹配ACL规则的操作,因此,相对于整机下发的实现方式,能够最大限度的减少对系统资源的消耗,减少性能损失。因此,在本发明实施例一中,合法监听网关LIG(Lawful InterceptionGateway, LIG)在下发合法监听目标标识时,需要包括监听目标所在流量的IP地址,同时,还需要包括监听目标所在VPN的标识,其中,该IP地址用于生成ACL规则,VPN标识用于确定需要下发监听使能标志及合法监听ACL规则的目标接口。其中,VPN标识可以是由管理员预先获知,并对LIG进行配置的。即,管理员在确定合法监听目标之后,需要获知该合法监听目标所在的VPN,以及该合法监听目标对应的流量的IP地址,然后,通过LIG将合法监听目标标识发送到网络通信设备。网络通信设备在接收到LIG发送的合法监听目标之后,同样可以根据其中的流量的IP生成合法监听ACL规则;同时,还可以根据其中的VPN标识获知合法监听目标所在的VPN,并获知与该VPN绑定的接口。然后,就可以将监听使能标志以及ACL 规则下发到与该VPN绑定的接口。需要说明的是,由于监听目标是以用户为单位的,因此,一个监听目标所在流量的 IP就是指该用户流量的IP,其为一个监听目标的唯一标识。而一个接口上可能同时有多个用户流量,因此,无论一个VPN绑定的是一个接口还是多个接口,都需要根据监听目标所在流量的IP生成ACL规则,并下发到与VPN绑定的接口,然后由该接口根据ACL规则判断,需要将哪个用户流量复制,并发送给LIG。即,在一个VPN仅绑定一个接口的情况下,接口上同时会有一个VPN的多个用户流量,而监听时往往只关注个别用户的流量,不能把该VPN绑定的一个接口上的所有流量都复制过去。同时,由于复制用户流量也需要占用特定的处理资源,如果把该接口上的其他用户流量也都监听过去,不仅是网络通信设备还有合法监听网关以及监听管理中心上游的各种设备和人力资源,都会造成浪费,此外还可能存在法律问题。 在一个VPN绑定多个接口的情况下,合法监听目标所在的接口可能是这些接口中的一个,因此,各个接口在接收到监听使能标志以及ACL规则之后,同样需要根据ACL规则进行匹配操作,确定出真正需要进行监听的用户流量,并将该用户的流量复制一份,封装后发送到LIG,以便进行后续的监听目标流量分析操作。例如,某网络通信设备有10个接口, 其中,与某监听目标所在的VPN绑定的接口有3个,该监听目标的流量流经这3个接口中的一个接口 ;此时,只需要向这3个接口下发监听使能标志以及ACL规则。然后,这3个接口上的硬件设备进行ACL规则匹配操作,其中一个接口匹配成功之后,就可以将该接口上与 ACL规则相匹配的用户流量复制一份,封装后发送到LIG。该网络通信设备的其他7个接口上的流量由于不需要被监听,因此,也不会再进行匹配ACL规则的操作。可见,在本发明实施例一提供的方法中,只有与监听目标VPN绑定的接口上的硬件设备会进行ACL匹配操作,因此,与现有技术相比,最大限度地减少了匹配ACL的次数,从而减少了合法监听过程对系统处理资源及处理时间的浪费。同时,本发明实施例提供的方法还同时解决了另一个问题,下面进行介绍。如前文所述,在三层VPN中,不同VPN内可以使用相同的IP地址;但是,如果在采用了三层VPN技术承载业务流量的网络通信设备中,直接使用现有技术中的合法监听方案,则会出现以下问题由于同一个IP地址可能出现在多个三层VPN内,因此,流量的IP信息不能唯一标识一个监听目标。例如,当需要对某监听目标的流量进行监听时,如果仅使用流量的IP地址来标识监听目标,则最终匹配成功的接口可能是多个,其中包括真正的监听目标所在的接口,还可能包括该网络通信设备下的其他VPN中与该监听目标的流量IP地址相同的其他接口,显然,这会造成错误的发生。而本发明实施例的方案恰恰能够解决这一问题由于LIG下发的监听目标中包括VPN标识,并且仅向与该VPN绑定的接口下发监听使能标志以及ACL规则,因此,其他VPN 中与监听目标的流量IP地址相同的其他接口不会进行ACL匹配等操作,避免上述错误的发生。下面对本发明实施例一提供的方法在具体实现中的细节进行详细地介绍。在网络通信设备和合法监听网关设备合法监听模型中,合法监听需要获取的监听信息包括 CC 信息(Content of Communication,通讯内容)以及 IRI 信息(Intercept Related ^formation,通讯相关的信息)两部分,其中,CC信息指被监听者的通讯内容本身,如 E-mail邮件内容、VoIP语音包等;IRI信息包括通讯相关的地址、时间、网络位置等信息。这两类监听信息都可以通过运营商的网络通信设备来获取,其中IRI信息一般通过RADIUS、 DHCP服务器等设备获取;CC信息一般由进行合法监听的网络通信设备获取。在现有的合法监听在实现过程中,涉及到7个接口,如图1所示,各个接口的含义及作用如下Ll 连接LIG管理系统和LIG,通过该接口将监听管理中心的监听控制命令向合法监听网关LIG发布。HIl 连接监听管理中心和LIG管理系统,通过该接口监听管理中心向LIG管理系统部署管理命令以及接受命令响应等。HI2 连接监听管理中心和LIG,通过该接口 LIG向监听管理中心传送IRI信息。HI3 连接监听管理中心和LIG,通过该接口 LIG向监听管理中心传送CC信息。Xl 连接LIG和网络通信设备的信令接口。通过该接口 LIG向网络通信设备(如 AAA krver或路由设备Router)部署监听配置,包括设定监听目标、查询监听信息并维护 X2、X3接口。常用的Xl接口的实现技术为SNMPv3,专用MIB方式。X2 连接LIG和网络通信设备的数据接口。通过该接口,运营商网络向LIG传送IRI信息并发送告警。该接口需要保证数据的可靠性和私密性,可以通过传输控制协议 TCP (Transmission Control Protocol, TCP)、用户数据包协议 UDP (User Datagram Protocol, UDP)、IPSec (Internet 协议安全性)方式实现。X3 连接LIG和运营商的网络通信设备的数据接口。通过该接口,网络通信设备向 LIG传送CC信息和心跳信息。本发明实施例可以在现有网络通信设备和合法监听网关设备合法监听模型和流程基础上,扩展Xl协议接口和X3协议接口字段和机制。LIG和网络通信设备通过Xl接口交互合法监听要求和监听目标信息,网络通信设备下发合法监听ACL,通过X3接口封装被监听用户原始报文发送给合法监听网关设备。这里的监听目标标识包括监听目标所在的VPN 标识,以及监听目标的流量的IP信息。其中,下发监听目标标识时可以由多种实现方式,下面介绍两种主要的方式。方式一可以通过VPN Name+VPN Type+IP信息作为监听目标标识,其中,VPN Name+VPN Type用于唯一标识监听目标所在的VPN,IP信息可以包括源IP地址、目的IP地址、源端口号、目的端口号和IP协议号中的一个或多个,用于标识具体需要监听的用户流量,VPN Name+VPN Type+IP信息便可以唯一标识监听目标。根据VPN Name+VPN Type,网络通信设备可以获知标识监听目标所在的VPN,并进一步获知与该VPN绑定的接口 ;根据IP信息,网络通信设备可以生成ACL规则。然后,网络通信设备便可以实现按VPN下发合法监听ACL规则和监听使能标志。
其中,VPN Name是指VPN的名称,VPN Type是指VPN的类型,之所以使用VPN Name+VPN Type来唯一标识监听目标所在的VPN,是因为网络通信设备上不同的VPN Type 可以使用相同的VPN Name,这样,如果仅采用VPN Name来标识监听目标所在的VPN,则可能有多个VPN都满足。具体而言,通常所讲的VPN都是指基于IP/MPLS(Multi-Pr0t0C0l Label Switching,多协议标签交换)技术的VPN,其类型包括VLL(virtual leased line,虚拟租用线路)、VPLS (Virtual Private Lan Service,虚拟专用局域网业务)、PWE3 (Pseudo-Wire Emulation Edge to Edge,边缘至Ij边缘的伪线仿真)、BGP(BorderGateway Protocol,边界网关协议)L3VPN(Layer3 Virtual Private Network,三层虚拟专用网络)、Multicast VPN(多点传送虚拟专用网络)、IPv6 VPN(Internet Protocol Version 6 VPN,互联网协议第6版虚拟专用网络)等,传统的VPN类型还有L2TP (Layer 2 Tunneling Protocol, 第二层隧道协议)、PPTP(Point to Point Tunneling Protocol,点对点隧道协议)、IP Sec (Security Architecture for IP network, IP层协议安全结构)、GRE (GenericRouting Encapsulation,通用路由封装)等,不同VPN类型彼此之间没有任何关系,也互相不可知, 因而实现上没有对他们的名字是否一致做相应的要求,即对于不同类型的VPN而言,VPN Name是否相同不会影响具体的实现。但是,对于相同类型的VPN,不同的VPN需要具有不同的VPN Name,因此,VPN Name+VPN Type能够唯一标识网络通信设备上的一个VPN。因此,合法监听管理中心需要提前获知监听目标在网络通信设备上通过哪个VPN Name和VPN Type承载。具体的,一般网络中不同VPN代表不同的业务和ISP (Internet Service ftxwider),互联网服务提供商),在做合法监听之前,合法监听管理员需要获知该用户(即合法监听目标)进行的是什么业务,是哪个ISP的用户等,然后就可以确定该用户所在的VPN的Name和Type。将其作为合法监听目标标识的一部分,再加上该用户的IP信息等就能够唯一确定该用户,这样在技术实现上即对应为VPN Name+VPN Type+IP信息。网络通信设备通过查看该VPN在哪些接口绑定,就把合法监听标志和相应的ACL规则下发到对应的接口上。需要说明的是,前文所述VPN Name+VPN Type可以唯一标识一个VPN,但在实际应用中,如果仅使用VPN Name来标识VPN也是可行的,因为,即使某VPN Name在不同类型的 VPN中有重名,相对于现有技术而言,也会减少执行ACL匹配操作的次数,达到减少合法监听过程对系统处理资源及处理时间的浪费的目的。同理,如果仅用VPN Type来标识VPN也是可以的,因为虽然同一 VPN Type下的VPN可能有多个,但是,相对于现有技术而言,至少其他VPNTpye下的设备不用再执行ACL匹配操作,因此,也能够达到减少合法监听过程对系统处理资源及处理时间的浪费的目的。为了便于描述,本发明实施例仅以VPN Name+VPN Type作为VPN标识为例进行详细介绍。为了实现三层VPN业务场景下通过VPN Name+VPN Type+IP信息作为监听目标,需要扩展网络通信设备和LIG之间交互的Xl接口和X3接口协议封装,例如,本发明实施例的一种Xl接口报文的封装格式可以如图2所示。其中,SNMP OID代表合法监听网关和网络通信设备之间为合法监听定义的 MIB (Management information Base Management Information Base,管理信息库)节点; 合法监听ID代表合法监听网关下发的监听目标编号,用于区分合法监听网关设备下发的多个监听目标,网络通信设备获取监听目标数据流并通过X3接口封装发送给合法监听网
9关时的合法监听ID需要与该监听目标编号一一对应;合法监听标志用于通知网络通信设备对相应的合法监听目标实施监听;最后,由VPN Name+VPN Type+IP信息来唯一标识监听目标。实施例的一种X3接口报文的封装格式可以如图3所示。其中,由于同一个监听用户的多个数据报文在传输给LIG时可能出现先后顺序不同的情况,因此,图3中的合法监听流ID用于标识同一个监听目标的多个数据报文,以标识出不同数据流的先后顺序,这样 LIG可以根据该合法监听流ID对同一个监听目标的数据进行重组和还原业务流。进行上述扩展之后,在网络通信设备上具体实现流程如图4所示,可以包括以下步骤S401 接收LIG下发的合法监听要求和合法监听目标的标识信息;S402 判断LI G下发的标识信息中的VPN Name字段是否为空,如果为空,则代表 LIG没有下发相应的VPN Name参数,此时,进入步骤S403 ;如果不为空,则进入步骤S404 S403 向LIG报告监听出错信息,由LIG重新下发合法监听目标的标识信息,并返回步骤S401 ;S404 判断LIG下发的标识信息中的VPN Name字段是否为0,如果为0,则代表可能没有采用VPN技术,此时,进入S405 ;如果不为0,则进入步骤S406 ;S405 按照IP信息生成ACL规则之后,采用整机下发的方式,下发监听使能标志以及ACL规则,并进入步骤S409 ;S406 判断LIG下发的标识信息中的VPN Name是否可以与该网络通信设备下的各个VPN的Name匹配,如果不匹配,则代表可能出错,进入步骤S403,否则进入步骤S407 ;S407 判断LIG下发的标识信息中的VPN Type是否可以匹配,如果不匹配,则进入步骤S403,如果匹配,则进入步骤S408 ;S408 搜索该VPN Name+VPN Type对应的接口,并向这些接口下发监听使能标志以及ACL规则;S409 转发引擎复制匹配该ACL规则的流量,并通过X3接口封装后,发送给LIG。方式二、可以通过VPN ID+IP信息作为监听目标标识,其中,VPN ID用于唯一标识监听目标所在的VPN,IP信息用于标识具体需要监听的用户流量,VPN ID+IP信息便可以唯一标识监听目标。与方式一的不同之处在于,该方式二中仅采用VPN ID这样一个参数就可以唯一标识监听目标所在的VPN,除此之外,均可以采用与方式一相同的方法来实现。因此,对于与方式一的相同之处这里不再赘述。其中,VPN ID信息是网络通信设备内部定义的唯一标识,合法监听管理中心需要提前获知监听目标在网络通信设备上承载的VPN ID信息,并将其作为监听目标的标识下发给网络通信设备。为了实现三层VPN业务场景下通过VPN ID+IP信息作为监听目标,同样需要扩展网络通信设备和LIG之间交互的Xl接口和X3接口协议封装,例如,实施例的一种Xl接口的封装格式可以如图5所示。实施例的一种的X3接口的封装格式可以如图6所示。各个字段代表的含义可以参见方式一中的介绍。进行上述扩展之后,在网络通信设备上具体实现流程如图7所示,可以包括以下步骤S701 接收LIG下发的合法监听要求和合法监听目标的标识信息;S702 判断LIG下发的标识信息中的VPN ID字段是否为空,如果为空,则代表LIG 没有下发相应的VPN ID参数,此时,进入步骤S703 ;如果不为空,则进入步骤S704 S703 向LIG报告监听出错信息,由LIG重新下发合法监听目标的标识信息,并返回步骤S701 ;S704 判断LIG下发的标识信息中的VPN ID字段是否为0,如果为0,则代表可能没有采用VPN技术,此时,进入步骤S705 ;如果不为0,则进入步骤S706 ;S705 按照IP信息生成ACL规则之后,采用整机下发的方式,下发监听使能标志以及ACL规则,并进入步骤S708 ;S706 判断LIG下发的标识信息中的VPN ID是否可以与该网络通信设备下的各个 VPN的ID匹配,如果不匹配,则代表可能出错,进入步骤S703,否则进入步骤S707 ;S707:搜索该VPN ID对应的接口,并向这些接口下发监听使能标志以及ACL规则;S708 转发引擎复制匹配该ACL规则的流量,并通过X3接口封装后,发送给LIG。以上对于在三层VPN业务场景下的合法监听方法进行了详细地介绍,其中,在一个VPN绑定多个接口的情况下,通过VPN Name+VPN Type+IP信息或者VPN ID+IP信息来唯一标识监听目标,可以根据VPN对应的接口下发合法监听ACL和监听使能标志,节省系统资源和处理时间,同时,可以解决现有三层VPN应用中不同VPN内相同IP地址的情况下合法监听需求。需要说明的是,前文所述都是使用IP信息作为用户流量的标识,在实际应用中, 当系统使用媒体接入控制(Media Access Control,MAC)地址来区分不同的用户流量时,本发明实施例也可以使用MAC地址来标识用户流量,具体的实现方法与前文使用IP信息作为用户流量标识时类似,可以参照执行,这里不再赘述。综上所述,参见图8,本发明实施例一提供的合法监听的方法包括以下步骤S801 接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在虚拟专用网络VPN的标识以及合法监听目标的用户流量标识;S802 获知与所述VPN标识对应的VPN绑定的接口 ;S803 根据所述用户流量标识生成合法监听ACL规则;显然,步骤S802与S803的顺序可以互换,也可以同时进行。S804 向所述接口下发监听使能标志及所述ACL规则,以便对所述合法监听目标的流量进行合法监听。其中,合法监听目标所在VPN的标识就可以包括VPN Name、VPN Type或VPN Name+VPN Type,或者,也可以仅为VPN ID。用户流量标识可以是IP信息也可以是MAC地址。实施例二实施例一主要针对三层VPN业务场景下的合法监听方法进行了介绍,在该实施例二中,主要针对二层VPN业务场景下的合法监听需求进行介绍。如前文所述,现有技术方案在网络通信设备上实现时,网络通信设备执行合法监听只能通过IP信息来标识监听目标,但是在很多应用场景中特别是二层VPN应用中,并不使用IP信息来标识用户流量,而是通过MAC地址来标识用户流量,在这种业务场景下,如果通过IP信息来标识监听目标对应的用户流量,则无法完成合法监听任务。因此,在本发明实施例二中,给出了二层VPN业务场景下进行合法监听的方法。参见图9,具体包括以下步骤S901 接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在的MAC地址;S902 根据所述MAC地址生成合法监听ACL规则;S903 按照相应的二层虚拟通道技术下发所述ACL规则及监听使能标志,以便对所述合法监听目标的流量进行合法监听。可见,本发明实施例二以MAC地址作为监听目标,按照相应的VLAN (Virtual Local Area Network,虚拟局域网)、QinQ(802. IQ in 802. 1Q,802. IQ 隧道协议)、L2VPN(Layer2 Virtual Private Network, 二层虚拟专用网络)、VPLS (Virtual Private Lan Service,虚拟专用局域网业务)或者其他的二层虚拟通道技术下发合法监听ACL规则和监听使能标志。同样需要在现有网络通信设备和合法监听网关设备合法监听模型和流程基础上,扩展 Xl协议接口和X3协议接口字段和机制。例如,实施例的一种Xl接口报文的封装格式可以如图10所示。其中,此处SNMP OID代表合法监听网关和网络通信设备之间为合法监听定义的MIB节点;合法监听ID代表合法监听网关下发的监听目标编号,用于区分合法监听网关设备同时下发多个监听目标时的标识,网络通信设备获取监听目标数据流并通过X3接口封装发送给合法监听网关时的合法监听ID需要和此一一对应;合法监听标志用于通知网络通信设备对相应的合法监听目标实施监听;二层通道ID用于标识网络通信设备二层业务的通道标识,根据具体的二层VPN通信模型,可以是VLAN ID,QinQ ID、L2VPN ID,VPLS ID或者其他区分多个二层虚拟通道技术的标识。实施例的一种Xl接口报文的封装格式可以如图11所示。各字段代表的含义参见前文所述,这里不再赘述。总之,通过本发明实施例二,对于二层VPN业务场景,可以通过MAC地址来唯一标识监听目标,从而满足现有二层VPN应用中用户流量只有MAC地址没有IP地址的情况下的合法监听需求。与本发明实施例一提供的合法监听方法相对应,本发明实施例还提供了一种合法监听装置,该装置应用于三层VPN业务场景中,参见图12,包括第一接收单元1201,用于接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在虚拟专用网络VPN的标识以及合法监听目标的用户流量标识;接口获知单元1202,用于获知与所述VPN标识对应的VPN绑定的接口 ;第一 ACL规则生成单元1203,用于根据所述用户流量标识生成合法监听ACL规则;第一下发单元1204,用于向所述接口下发监听使能标志及所述ACL规则,以便对所述合法监听目标的用户流量进行合法监听。其中,第一接收单元1201接收的合法监听目标所在VPN的标识可以是合法监听目标所在VPN的名称和/或类型。或者,所述第一接收单元1201接收的合法监听目标所在VPN的标识也可以是合法监听目标所在VPN的ID。其中,用户流量标识地址可以包括IP信息或MAC地址。其中,IP信息可以包括源IP地址、目的IP地址、源端口号、目的端口号和IP协议号中的一个或多个。与本发明实施例二提供的合法监听方法相对应,本发明实施例还提供了一种合法监听装置,该装置应用于二层VPN业务场景中,参见图13,包括第二接收单元1301,用于接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在的MAC地址;第二 ACL规则生成单元1302,用于根据所述MAC地址生成合法监听ACL规则;第二下发单元1303,用于按照相应的二层虚拟通道技术下发所述ACL规则及监听使能标志,以便对所述合法监听目标的流量进行合法监听。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中, 该程序在执行时,包括如下步骤接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在虚拟专用网络VPN的标识以及合法监听目标的用户流量标识;获知与所述VPN标识对应的VPN绑定的接口 ;根据所述用户流量标识生成合法监听ACL规则;向所述接口下发监听使能标志及所述ACL规则,以便对所述合法监听目标的流量进行合法监听。。所述的存储介质,如R0M/RAM、磁碟、光盘等。以上对本发明所提供的合法监听方法及装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种合法监听的方法,其特征在于,包括接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在虚拟专用网络VPN的标识以及合法监听目标的用户流量标识;获知与所述VPN标识对应的VPN绑定的接口 ;根据所述用户流量标识生成合法监听ACL规则;向所述接口下发监听使能标志及所述ACL规则,以便对所述合法监听目标的用户流量进行合法监听。
2.根据权利要求1所述的方法,其特征在于,所述合法监听目标所在VPN的标识包括合法监听目标所在VPN的名称和/或类型。
3.根据权利要求1所述的方法,其特征在于,所述合法监听目标所在VPN的标识包括合法监听目标所在VPN的ID。
4.根据权利要求1-3中任一所述的方法,其特征在于,所述用户流量标识包括IP信息或MAC地址。
5.根据权利要求4所述的方法,其特征在于,所述IP信息包括源IP地址、目的IP地址、源端口号、目的端口号和IP协议号中的一个或多个。
6.一种合法监听的方法,其特征在于,包括接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在的MAC地址;根据所述MAC地址生成合法监听ACL规则;按照相应的二层虚拟通道技术下发所述ACL规则及监听使能标志,以便对所述合法监听目标的流量进行合法监听。
7.一种合法监听的装置,其特征在于,包括第一接收单元,用于接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在虚拟专用网络VPN的标识以及合法监听目标的用户流量标识;接口获知单元,用于获知与所述VPN标识对应的VPN绑定的接口 ;第一 ACL规则生成单元,用于根据所述用户流量标识生成合法监听ACL规则;第一下发单元,用于向所述接口下发监听使能标志及所述ACL规则,以便对所述合法监听目标的用户流量进行合法监听。
8.根据权利要求7所述的装置,其特征在于,所述第一接收单元接收的合法监听目标所在VPN的标识包括合法监听目标所在VPN的名称和/或类型。
9.根据权利要求7所述的装置,其特征在于,所述第一接收单元接收的合法监听目标所在VPN的标识包括合法监听目标所在VPN的ID。
10.根据权利要求7-9中任一所述的方法,其特征在于,所述用户流量标识包括IP信息或MAC地址。
11.根据权利要求10所述的方法,其特征在于,所述IP信息包括源IP地址、目的IP地址、源端口号、目的端口号和IP协议号中的一个或多个。
12.—种合法监听的装置,其特征在于,包括第二接收单元,用于接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在的MAC地址;第二 ACL规则生成单元,用于根据所述MAC地址生成合法监听ACL规则; 第二下发单元,用于按照相应的二层虚拟通道技术下发所述ACL规则及监听使能标志,以便对所述合法监听目标的流量进行合法监听。
全文摘要
本发明公开了合法监听的方法及装置,其中,所述方法包括接收合法监听网关设备下发的合法监听目标标识,所述合法监听目标标识包括合法监听目标所在虚拟专用网络VPN的标识以及合法监听目标的用户流量标识;获知与所述VPN标识对应的VPN绑定的接口;根据所述用户流量标识生成合法监听ACL规则;向所述接口下发监听使能标志及所述ACL规则,以便对所述合法监听目标的用户流量进行合法监听。通过本发明,能够减少合法监听过程对系统处理资源及处理时间的浪费。
文档编号H04L29/06GK102195947SQ201010126070
公开日2011年9月21日 申请日期2010年3月15日 优先权日2010年3月15日
发明者白联伟 申请人:华为技术有限公司