专利名称:一种监听方法、监听系统及安全分流设备的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种监听方法、监听系统及安全分流设备。
背景技术:
合法监听是指执法机构经授权机关批准,根据国家法律对公众通信网的通信业务进行监听的一种执法行为。合法监听是公共通信网络的必备功能,对于维护国家安全意义重大,因此在固网、移动领域中得到了广泛的应用。合法监听设备部署在运营商网络,包括合法监听管理功能平台,合法监听网关(LIG,Lawful Interception Gateway)和网元设备。 其中网元设备包括目标的通信内容(CC,Content of Communication)监听接入点,以及相关信息(IRI,Intercept Related Information)监听接入点。LIG通过网元设备(CC监听接入点及IRI监听接入点)的Xl接口设置监控命令,而网元设备提供合法监听安全接口, 并且网元设备中的IRI监听接入点通过与LIG之间的X2接口向LIG上报顶1。CC监听接入点通过与LIG之间的X3接口向LIG上报CC,而后LIG将收到的CC及IRI发往合法监听的法律实施机构(LEA,Law Enforcement Agency)。当IRI监听接入点不支持合法监听安全接口时,则网元设备无法通过X2接口上报。现有技术中,当网元设备中的IRI监听接入点不支持合法监听安全接口时,则采用混合模式进行合法监听。例如,在网元设备中,IRI监听接入点中的认证/授权/计费服务器(AAA Server, Authentication, Authorization, and Accounting Server)不支持合法监听安全接口,即不支持向LIG发送,则IRI采用网络协议探测(IP Probe, Internet Protocol Probe)、嗅探器(Sniffer)等嗅探的方式获取通信数据,并根据一定规则生成CC 及IRI发往LEA。而CC监听接入点中的边缘路由器支持合法监听安全接口的网元设备,采用主动模式,由边缘路由器将CC及IRI信息发送给LIG,以此混合模式进行合法监听。但上述现有技术中,若在某些场景下AAA服务器不在运营商网络中,如存在于区域性服务供应商(RSP,Regional Server Provider)网络中,且存在多个并分散部署,则很难将IP Probe部署到AAA服务器与LIG之间,若要获取所有AAA服务器的IRI信息,需要在各AAA服务器与LIG的总出入口通过IP Probe设备分光来获取数据,但此处带宽大,IP probe设备会随带宽的增加成本急剧增加,并且当网络带宽大于一定值时,现有的IP Probe 设备不支持该带宽。
发明内容
本发明实施例提供了一种监听方法、监听系统及安全分流设备,用于在进行混合模式监听时,在网络主干路中数据流量较大处获取与监听有关信息的数据,以发送给合法监听网关进行处理。本发明实施例提供的监听方法,包括安全分流设备截取处于不同网络的服务器之间收发的数据;根据预置的所需监听相关信息IRI的信息,获取所截取的数据中包含所述IRI的数据;向合法监听网关LIG发送所获取的数据。本发明实施例提供的安全分流设备,包括截取单元,用于截取处于不同网络的服务器之间收发的数据;获取单元,用于根据预置的所需IRI的信息,获取截取单元所截取的数据中包含的所述IRI的数据;发送单元,用于向LIG发送获取单元所获取的数据。本发明实施例提供的监听系统,与服务器侧及法律实施机构侧相连接,包括安全分流设备,用于截取处于不同网络的服务器之间收发的数据,根据预置的所需IRI的信息, 获取所截取的数据中包含所述IRI的数据,向LIG发送所获取的数据;合法监听网关,用于接收所述安全分流设备发送的所述获取的数据,获取IRI并发送给法律实施机构。从以上技术方案可以看出,本发明实施例具有以下优点将安全分流设备接入检测网络中,截取处于不同被监测网络的服务器之间收发的数据,根据预置的所需IRI的信息,获取所截取的数据中包含该IRI的数据,而后向合法监听网关发送所获取的数据,这样,安全分流设备在各被监测网络的服务器之间的总出入口获取包含所需的IRI的数据,即便此处数据流量大,需要的带宽也大,但由于安全设备支持较宽的带宽,也可获取所需IRI的数据,因此可以解决在混合监听模式下,在大流量的主干网络除获取IRI数据的问题。
图1为通用的合法监听体系的构架示意图;图2为本发明实施例中监听方法的一个实施例示意图;图3为本发明实施例中监听方法中的监听体系的架构示意图;图4为本发明实施例中监听方法的另一个实施例示意图;图5为本发明实施例中安全分流设备的一个实施例示意图;图6为本发明实施例中监听系统的一个实施例示意图。
具体实施例方式本发明实施例提供了一种监听方法、监听系统及安全分流设备,用于在网络主干路中数据流量较大处获取与监听有关信息的数据,下面分别进行详细说明。为便于理解,首先描述现在通用的合法监听体系的构架,请参阅图1,法律实施机构(LEA,Law Enforcement Agency) 101是合法监听的最终用户,是监听行为的初始发起者, 也是监听结果的最终接收者。在实际应用中,发动监听行为的LEA可以是一个,也可以是多个。为便于说明,本发明实施以网络中存在一个LEA为例。合法监听设备部署在运营商网络中,包括合法监听管理平台102,LIG103,IRI监听接入点104及CC监听接入点105。其中, 合法监听管理平台102用于维护合法监听的管理平台。一个管理平台可管理多个LIG和网元设备。LIG103是合法监听主要功能部件,用于设置监听目标,接收IRI监听接入点104上报的IRI及CC监听接入点105上报的CC。LIG103适配不同的网络设备提供的安全接口, 适配不同的法律实施机构传输协议,为法律实施机构屏蔽网络的通信细节。IRI监听接入点 104是运营商网络中的一种网元设备,在监听中主要指AAA Server。在互联网协议语音技术(VoIP, Voice over Internet Protocol)监听中,IRI设备主要指呼叫实体。CC监听接入点105是运营商网络中的另一种网元设备,一般是指路由器,例如边缘路由器,动态主机配置协议(DHCP,Dynamic Host Configure Protocol)服务器,远程用户拨号认证(RADIUS,Remote Authentication Dial In User Service)服务器。在进行监听的过程中,LEAlOl 通过HIl接口向合法监听管理平台102布置监听任务。合法监听管理平台102通过Ll接口对LIG103进行监听的设置和管理。LIG103根据合法监听管理平台102的设置命令,通过 Xl接口向IRI监听接入点104及CC监听接入点105设置监控命令。当监听成功,则IRI监听接入点104通过X2接口向LIG103上报顶1,例如被监听数据的源、目的信息;CC监听接入点105通过X3接口向LIG103上报CC,即被监听的数据本身。而后,LIG103通过HI2接口向LEA发送,通过HI3接口向LEA发送CC。以上说明了通用的合法监听体系的构架,下面描述本发明实施中的监听方法的一个实施例,请参阅图2,本发明实施例中监听方法的一个实施例包括201、安全分流设备截取处于不同网络的服务器之间收发的数据;本实施例中,在混合监听模式下,将安全分流设备引入到监听网络中。安全分流设备采用分光器截取网络中的数据,然后将所需要的数据从重定向口送出,转发至分析设备做深入分析。安全分流设备主要应用于运营商主干线路。安全分流设备具备专业的内容查找和流量管理技术,丰富的哈希(HASH)算法及大容量端口组,深度报文检测技术,丰富的预处理技术以及电信级核心路由设备的信令处理能力,具有良好的配置管理能力。请参阅图3,本发明实施例中监听方法的监听体系包括LEA301,合法监听管理平台302,LIG203, IRI监听接入点304,CC监听接入点305以及安全分流设备306。其中, LEA301,合法监听管理平台302,LIG303, IRI监听接入点304及CC监听接入点305各装置的功能、连接方式及通信方式与图1中各装置相同,此处不再赘述。处于不同网络的服务器之间接收及发送数据,安全分流设备306截取该数据。需要说明的是,服务器指各种具有认证/授权/计费功能的服务器,例如RADISU服务器。202、根据预置的所需监听相关信息的信息,获取所截取的数据中包含该监听相关信息的数据;截取到处于不同网络的服务器之间接收和发送的数据后,安全分流设备根据预置的所需要的的信息,可得知所要获取的顶1,IRI可以是用户上下线时间、用户上线位置、用户计费数据等与监听相关的信息。而后安全分流设备在所截获的数据中,获取所有包含该IRI的数据。在安全分流设备中预置所需要获取数据的相关信息,这样安全分流设备可获取包含所需要的IRI的数据,即包含所需要获取的IRI数据,而不是IRI本身。203、向合法监听网关发送所获取的数据。安全分流设备获取包含所需要的IRI的数据后,将该数据发送给LIG,由LIG进一步处理该数据,获取该数据中的顶1,并将获取的IRI发送给监听的法律实施机构。本发明实施例中,在混合监听模式下,将安全分流设备引入到监听网络中,安全分流设备截取处于不同网络的服务器之间收发的数据,根据预置的所需IRI的信息,获取所截取的数据中包含该IRI的数据并发送给LIG作进一步处理,这样,安全分流设备在各被监测网络的服务器与LIG的总出入口获取包含所需的IRI的数据,即便此处数据流量大,需要的带宽也大,但由于安全分流设备支持较宽的带宽,也可获取所需IRI的数据,因此可以解决在混合监听模式下,在大流量的主干网络除获取IRI数据的问题。在实际应用中,安全分流设备可以是业务分流平台(SSP, Service Split Platform),例如,SSP3000,SSP2000,最大可支持100G的带宽。该安全分流设备也可以是ZXRlO T40G分流设备、ZXRlO T64G分流设备、ZXRlO T240G分流设备、ZXRlO T160G分流设备等类似的设备。为便于理解,下面以另一实施例说明合法监听方法,请参阅图4,本发明实施例中的合法监听方法的另一实施例包括401、安全分流设备截取处于不同网络的服务器之间收发的数据;安全分流设备截取处于不同网络的服务器之间收发的数据。所截取的数据为处于不同网络的服务器之间收发的认证、授权及计费数据中的至少一种数据,也可以是此三种数据中两种或三种的任意组合。只有通过认证,系统才能够根据AAA服务器中记录的权限对用户进行授权和计费,具体与实际应用过程相关,此处不再赘述。安全分流设备具有丰富的访问控制列表(ACL,Access Control List)功能,本实施例中,安全分流设备监听不同网络服务器之间收发的数据,可以预先设置ACL中的参数控制数据的来源,例如可以设定IP地址,当IP地址来自要监听的目标服务器才截取该数据。可以理解的,也可以通过设置其他参数控制数据来源,此处不作具体限定。402、将预先设置的所需监听相关信息的信息,与获取到的处于不同网络的服务器之间收发的数据中的IRI进行匹配;安全分流设备中预置了所需IRI的信息,获取到服务器间发送的数据后,将预先设置的所需监听相关信息的信息,与获取到的处于不同网络的服务器之间收发的数据中的 IRI进行匹配。403、当匹配成功时,获取匹配成功的数据;安全分流设备将预先设置的所需监听相关信息的信息,与获取到的处于不同网络的服务器之间收发的数据中的IRI进行匹配成功时,表明包含该IRI的数据便是需要获取的数据,则获取该数据。404、向合法监听网关发送所获取的数据。安全分流设备向LIG发送步骤403中所获取的数据,LIG中存在认证/授权/计费处理模块,可解析服务器信息中的顶1,然后将IRI发送给合法监听的法律实施机构。本发明实施例中,安全分流设备截取处于不同网络的服务器之间收发的数据,所截取的数据为处于不同网络的服务器之间收发的认证、授权及计费数据中的至少一种数据,而后将预先设置的所需监听相关信息的信息,与获取到的处于不同网络的服务器之间收发的数据中的IRI进行匹配,若匹配成功,则获取匹配成功的数据,充分利用了安全分流设备的重新定向、专业分流能力,将需要的数据流量发送给LIG作进一步处理,解决在混合监听模式下,在大流量的主干网络除获取IRI数据的问题。下面介绍本发明实施中的安全分流设备,请参阅图5,本发明实施中安全分流设备的一个实施例包括截取单元501,用于截取处于不同网络的服务器之间收发的数据,通过截取处于不同网络的服务器之间收发的认证、授权及计费数据中的至少一种数据,截取数据;获取单元502,用于根据预置的所需IRI的信息,获取截取单元所截取的数据中包含的IRI的数据,还用于当预先设置的所需IRI的信息,与截取单元截取到的处于不同网络的服务器之间收发的数据中的的信息匹配成功时,获取匹配成功的数据;发送单元503,用于向LIG发送获取单元所获取的数据。
需要说明的是,本发明实施例中的安全分流设备还可进一步包括判断单元504,用于根据访问控制列表中预置的参数,判断处于不同网络的服务器之间收发的数据的参数是否符合预置的参数;匹配单元505,用于将预先设置的所需IRI的信息,与获取单元获取到的处于不同网络的服务器之间收发的数据信息进行匹配。本发明实施例中,截取单元501截取处于不同网络的服务器之间收发的数据,所截取的数据为处于不同网络的服务器之间收发的认证、授权及计费数据中的至少一种数据,具体可以在访问控制列表中预置参数,判断单元504,用于根据访问控制列表中预置的参数,判断处于不同网络的服务器之间收发的数据的参数是否符合预置的参数,若是,截取单元501截取该数据,而后由获取单元502根据预置的所需IRI的信息,获取截取单元501 所截取的数据中包含的IRI的数据,具体过程可以是,匹配单元505将预先设置的所需IRI 的信息,与获取单元获取到的处于不同网络的服务器之间收发的数据中包含的IRI信息进行匹配,当匹配成功时,所获取的数据则包含所需要的IRI数据,而后由发送单元503向LIG 发送所获取的数据,这样,安全分流设备在各被监测网络的服务器之间的总出入口获取包含所需的IRI的数据,即便此处数据流量大,需要的带宽也大,但由于安全分流设备支持较宽的带宽,也可获取所需IRI的数据,因此可以解决在混合监听模式下,在大流量的主干网络除获取IRI数据的问题。本发明实施还提供了一种监听系统,一侧与服务器侧相连接,一侧与法律实施机构侧相连接,请参阅图6,本发明实施中监听系统包括安全分流设备601及合法监听网关602。其中,安全分流设备601,用于截取处于不同网络的服务器之间收发的数据,根据预置的所需IRI的信息,获取所截取的数据中包含IRI的数据,向LIG发送所获取的数据;合法监听网关602,用于接收安全分流设备发送的所述获取的数据,获取IRI并发送给法律实施机构。本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上对本发明所提供的一种监听方法、监听系统及安全分流设备进行了详细介绍,对于本领域的技术人员,依据本发明实施例的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种监听方法,其特征在于,包括安全分流设备截取处于不同网络的服务器之间收发的数据;根据预置的所需监听相关信息IRI的信息,获取所截取的数据中包含所述IRI的数据;向合法监听网关LIG发送所获取的数据。
2.根据权利要求1所述的方法,其特征在于,所述截取处于不同网络的服务器之间收发的数据包括根据访问控制列表中预置的参数,判断所述处于不同网络的服务器之间收发的数据的参数是否符合所述预置的参数; 若是,则截取所述数据。
3.根据权利要求1或2所述的方法,其特征在于,所述根据预置的所需IRI的信息,获取所截取的数据中包含所述IRI的数据包括将预先设置的所需IRI的信息,与获取到的处于不同网络的服务器之间收发的数据中的IRI的信息进行匹配;若匹配成功,则获取匹配成功的数据。
4.根据权利要求1所述的方法,其特征在于,所述截取处于不同网络的服务器之间收发的数据包括截取处于不同网络的服务器之间收发的认证、授权及计费数据中的至少一种数据。
5.一种安全分流设备,其特征在于,包括截取单元,用于截取处于不同网络的服务器之间收发的数据; 获取单元,用于根据预置的所需IRI的信息,获取截取单元所截取的数据中包含的所述IRI的数据;发送单元,用于向LIG发送获取单元所获取的数据。
6.根据权利要求5所述的安全分流设备,其特征在于, 所述装置还包括判断单元,用于根据访问控制列表中预置的参数,判断所述处于不同网络的服务器之间收发的数据的参数是否符合所述预置的参数; 所述截取单元,用于若是,则截取所述数据。
7.根据权利要求5或6所述的安全分流设备,其特征在于,所述安全分流设备还包括 匹配单元,用于将预先设置的所需IRI的信息,与获取单元获取到的处于不同网络的服务器之间收发的数据信息进行匹配。
8.根据权利要求7所述的安全分流设备,其特征在于,所述截取单元,还用于截取处于不同网络的服务器之间收发的认证、授权及计费数据中的至少一种数据;所述获取单元,还用于当预先设置的所需IRI的信息,与截取单元截取到的处于不同网络的服务器之间收发的数据中的IRI的信息匹配成功时,获取匹配成功的数据。
9.一种监听系统,与服务器侧及法律实施机构侧相连接,其特征在于,包括 安全分流设备,用于截取处于不同网络的服务器之间收发的数据,根据预置的所需的信息,获取所截取的数据中包含所述IRI的数据,向LIG发送所获取的数据;合法监听网关,用于接收所述安全分流设备发送的所述获取的数据,获取IRI并发送给法律实施机构。
全文摘要
本发明实施例公开了一种监听方法、监听系统及安全分流设备,用于在进行混合模式监听时,在网络主干路中数据流量较大处获取与监听有关信息的数据,以发送给合法监听网关进行处理。本发明实施例方法包括安全分流设备截取处于不同网络的服务器之间收发的数据,根据预置的所需监听相关信息的信息,获取所截取的数据中包含所需监听相关信息的数据,向合法监听网关发送所获取的数据。
文档编号H04M7/00GK102204235SQ201180000683
公开日2011年9月28日 申请日期2011年5月25日 优先权日2011年5月25日
发明者万丽, 云长江, 邵琛杰, 陆春华 申请人:华为技术有限公司