合法监听的方法、通信系统、路由器以及监听网关的制作方法

专利名称：合法监听的方法、通信系统、路由器以及监听网关的制作方法
技术领域：
本发明涉及通信技术领域，更具体而言，涉及一种合法监听的方法、 通信系统、路由器以及监听网关。
背景技术：
合法监听是指在法律授权范围内，法律执行机构监听特定目标用户通 信业务的活动。根据国家法律和法规要求，所有运营的通信网络必须使国 家授权的国家安全机关、司法调查机关、警察局等法律执行机构的监听中 心能够对特定的目标用户进行合法监听。运营商的通信网络设备需要提供 实现合法监听的接口 。监听网关是根据国家法律法规在需要的时刻必须提 供的功能，在某些国家这些功能是融入到监听中心所在的法律执行机构域 中的。
随着互联网等数据通信网络的发展，尤其是VoIP (Voice over IP) 技术的普及，人们的通信手段越来越丰富，已经不局限于传统的电路交换 网络，国家法律执行机构除了在固定和移动电话网络上进行合法监听外， 越来越需要在互联网等分组交换网络上执行合法监听。
多协议标记交换(MPLS, Multi-Protocol Label Switch)是近年来发 展迅速的数据通信技术，MPLS为网络层提供宽带高速交换，大大提高了网 络的传输性能和带宽。MPLS的根本思想是将路由器移到网络的边缘，把快 速简单的交换设备置于网络中心，把标记交换转发数据的基本技术和网络 层路由选择集成起来，对一个连接请求实现一次路由选择，多次交换。MPLS技术的基本原理为
标记交换路由器(LSR, Label Switching Router)根据某些策略对数据流 进行分组，这种分组子集称为转发等价类(FEC, Forwarding Equivalence Class),现有的划分FEC的准则一a殳是根据凝:据的网络层目的地址来进行 的，每个转发等价类被分配唯一的标记值，这个过程称为标记分配。路由 器对相同的转发等价类的分组数据进行相同的处理，比如转发到同 一个下 一跳路由器；标记交换路由器把标记值与转发等价类的绑定信息分发给上 下游的标记交换路由器，这个过程称为标记分发。通过标记分发，整个MPLS 网络建立起了相互连接的标记交换路径。
每个标记交换路由器维护两张表， 一张为转发等价类到标记之间的映 射表，另一张是转发表，转发表筒化后的格式为
当 一个被标记过的分组进入标记交换路由器时，标记交换路由器根据 分组头携带的标记信息检索转发表，即查找转发表中入口标记等于分组携 带的标记的条目，检索到以后，把分组头部原来携带的标记弹出，并把转 发表中入口标记对应的出口标记作为新的标记压入该分组，同时把分组转 发到相应的输出端口，发送到下一跳地址。弹出原来的标记并压入新标记 的过程称为标记交换。通过这个过程实现按照分组的标记^l巴整个分组交换 到相应的^r出端口。
如图i所示，是现有的合法监听系统的网络结构图。在用户接入骨干
网的入口路由器LER1中集成监听接入点(IAP， Interception Access Point)功能，监听网关能够向入口路由器LER1中的IAP设置监听目标参数，例
如监听目标的登录用户名，IP地址，协议类型、端口号等。入口路由器对 所有流经它的流量进行过滤，对于一些特定业务，需要深入到数据包内部 进行深度过滤。如果过滤的数据和监听目标参数匹配，那么入口路由器
LER1就把这个IP包复制一份，在正常传递原来的IP包的同时，把复制出 来的IP包封装TCP或UDP报文，把监听网关的IP地址作为重新封装后的 报文的目的地址，如果网络是承载在MPLS网络之上，则入口路由器根据 重新封装的报文的目的IP地址，将监听数据映射到监听网关的目的地址对 应的转发等价类，通过标记交换路径转发到与监听网关相连的接入路由器 LER2,接入路由器LER2收到监听数据后，根据监听数据的目的地址将监 听数据发送到监听网关。监听网关收到监听数据后，进行必要处理，然后 把监听数据发送到监听中心。
图2是现有的标记交换路由器处理合法监听部分的单元结构图，现有 的标记交换路由器处理合法监听数据部分包括监听目标管理单元，监听触 发单元，监听复制单元，监听处理单元和发送单元。其中监听目标管理单 元用于接收监听命令以及将监听目标参数设置到监听触发单元；监听触发 单元用于过滤接收到的数据，并将过滤出来的监听数据发送至监听复制单 元，监听复制单元用于复制监听数据，将原始监听数据按照正常流程转发， 将复制的监听数据发送至监听处理单元，监听处理单元用于封装监听数据， 将其封装在TCP或UDP报文中，并以监听网关的IP地址作为目的IP地址， 封装后的监听数据发送至发送单元，发送单元根据监听处理单元为监听数 据封装的目的地址，将监听数据映射到监听网关的地址对应的转发等价类中，通过转发等价类对应的标记交换路径发送至传输网络。
发明人在工作过程中，发现这种合法监听的方法存在以下问题
入口路由器往往为很多用户提供服务，数据流量很大，在执行合法监 听功能时，需要对过滤出来的监听数据重新封装目的地址到监听网关的IP 报文，操作流程复杂，占用较多的入口路由器资源。

发明内容
有鉴于此，本发明的实施例提供了一种合法监听的方法、通信系统、 路由器以及监听网关，可以降低入口路由器执行合法监听功能的复杂程度。
本发明的实施例提供了 一种合法监听的方法，包括如下步骤 作为监听接入点的边界标记交换路由器接收监听数据，获得监听数据 对应的监听标志；
根据监听标志确定对应的转发等价类，所述转发等价类的目的地址为 监听网关；
将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关。
本发明的实施例提供了一种通信系统，该系统包括
作为监听接入点的边界标记交换路由器，用于接收监听数据，将监听 数据通过所述边界标记交换路由器与监听网关之间的标记交换路径发送至 监听网关；
监听网关，用于从所述标记交换路径接收监听数据，所述监听数据中 包含有上一跳标记交换路由器为监听数据封装的标记。
本发明的实施例提供了一种路由器，具有标记交换功能，包括接收单元，用于接收监听数据；
获取单元，用于获取监听数据对应的监听标志以及监听标志对应的转
发等价类；
发送单元，用于根据所述获取单元确定的转发等价类对应的标记交换 路径，发送接收单元接收到的监听数据。
本发明的实施例提供了一种监听网关，包括
标记交换单元，用于与边界标记交换路由器建立标记交换路径；监听 数据接收单元，用于通过所述标记交换路径接收监听数据，数据处理单元，
用于对所述监听数据接收单元接收到的监听数据进行处理。 本发明实施例可以达到以下有益效果
避免了现有技术中对监听数据重新进行TCP或UDP报文封装的开销， 而且在IP广域网络上，如果IP报文长度大于链路的最大传输单元，就需要 分片传输，在将监听数据封装到TCP或UDP报文中时，常常会因为IP报 文长度增加而引起分片。避免了在边界标记交换路由器上执行分片和在监 听网关上执行分片重组的开销。网络设备只是在原来的转发处理流程中加 入了监听处理流程，并且监听处理流程和标准的转发处理流程在处理动作 上是一致的，不再需要为网络设备设计专门的监听触发和处理部分，尤其 避免了为监听功能设计专门的硬件部分。


图1是现有合法监听系统的网络架构图。
图2是现有的边界标记交换路由器处理合法监听部分的单元结构图。 图3是本发明实施例中合法监听系统的组网示意图。图4是本发明实施例中合法监听方法的流程示意图。
图5是本发明另一实施例中合法监听方法的流程示意图。
图6是本发明实施例中路由器的单元结构图。
图7是本发明实施例中另一路由器的单元结构图。
图8是本发明实施例中监听网关的单元结构图。
图9是本发明另一实施例中监听网关的单元结构图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面结合附图及具体 实施例对本发明作进一步地详细描述。
图3是本发明实施例中合法监听系统的组网示意图，其中用户T为监 听目标，用户C为用户T的通信对端，LER1和LER2为边界标记交换路 由器，其中LER1作为监听接入点，LIG为监听网关，位于核心网络边界， 与LER1和LER2建立有标记交换路径，LSR1 ， LSR2和LSR3是承载MPLS 网络的标记交换路由器。
图4是本发明实施例中合法监听方法的流程示意图，结合图3进行说 明。本发明实施例要求对用户T的所有通信流量进行监听，则本实施例合 法监听方法的具体步骤为
511、 LER1建立目的地址为LIG的转发等〗介类，为所述转发等价类分 配标记，通过标记分配和标记分发过程，建立所述转发等价类对应的标记 交换路径；
512、 使用数据结构建立监听标志和目的地址为LIG的转发等价类之间 的映射关系，监听标志可以是一个特殊标识，通过一个二维或多维表与转发等价类建立映射；
513、 LIG向边界路由器LER1发送监听命令，要求监听用户T的所有 通信流量；
514、 LER1接收到监听命令，将源IP地址为T的IP地址、目的IP地 址任意和目的IP地址为T的IP地址、源IP地址任意的过滤参数加入到访 问控制列表，并在访问控制列表中设置监听标志；
515、 LER1接收上行和下行数据，将流经数据通过访问控制列表过滤， 过滤到监听数据后，直接在访问控制列表中读取监听数据对应的监听标志， 或者向访问控制列表发送命令消息，由访问控制列表返回监听标志，并复 制监听数据，其中一份按照正常流程转发，另一份根据监听标志在所述的 二维或多维表中读取对应的转发等价类，或者向前述的二维或多维表发送 命令，由前述的二维或多维表返回对应的转发等价类；
516、 LER1将监听数据通过目的地址为LIG的转发等价类对应的标记 交换路径，将监听数据发送至LIG;
517、 LIG接收监听数据，对监听数据进行处理，并分发到监听中心。 在上述步骤中，监听标志也可以是一个指针，指向目的地址为LIG的
转发等价类，这样通过监听标志就可以得到该指针指向的目的地址为LIG 的转发等价类。
本实施例的技术方案，简化了入口路由器处理监听数据的处理流程， 减少了网络设备在合法监听处理上的负担，降低了系统的复杂度。网络设 备只是在原来的转发处理流程中加入了监听处理流程，并且监听处理流程 和标准的转发处理流程在处理动作上是一致的，不再需要为网络设备设计专门的监听触发和处理部分，尤其避免了为监听功能设计专门的硬件部分。
图5是本发明另一实施例中合法监听方法的流程示意图，结合图3进 行说明。本发明实施例要求对用户T的所有通信流量进行监听，现对本发 发明实施例中上行流量和下行流量的处理分开进行说明。
本发明实施例合法监听方法对上行流量处理的具体步骤为
521、 LER1建立目的地址为LIG的转发等价类，为所述转发等价类分 配标记，通过标记分配和标记分发过程，建立所述转发等价类对应的标记 交换路径；
522、 使用数据结构建立监听标志和目的地址为LIG的转发等价类之间 的映射关系，监听标志可以是一个特殊标识，通过一个二维或多维表与转 发等价类建立映射；
523、 LIG向边界路由器LER1发送监听命令，要求监听用户T的所有 通信流量；
524、 LER1接收到监听命令，如图5所示，将源IP地址为T的IP地 址、目的IP地址任意和目的IP地址为T的IP地址、源IP地址4壬意的过滤 参数加入到访问控制列表，并在访问控制列表中设置监听标志；
525、 LER1收到上行数据，将上行数据通过访问控制列表过滤，获得 监听标志，把过滤到的监听数据根据监听标志与到目的地址为LIG的转发 等价类之间的映射关系，将监听标志对应的监听数据映射到目的地址为LIG 的转发等价类中；
526、 LER1将监听数据通过目的地址为LIG的转发等价类对应的标记 交换路径，将监听数据发送至LIG;527、 LIG收到监听数据后，对监听数据进行复制， 一份根据监听数据 的目的地址即用户C的IP地址，选择LIG与LER2之间的标记交换路径， 将监听数据发送到LER2，另一份经过分析处理，分发到各监听中心；
528、 LER2收到监听数据后，根据监听数据的目的IP地址，将监听数 据发送给用户C。
本发明实施例合法监听方法对下行流量处理的具体步骤为
531、 LER1建立目的地址为LIG的转发等价类，为所述转发等价类分 配标记，通过标记分配和标记分发过程，建立所述转发等价类对应的标记 交换路径；
532、 LER1建立监听标志与到目的地址为LIG的转发等^f介类之间的映 射关系；
533、 LIG向边界路由器LER1发送监听命令，要求监听用户T的所有 通信流量；
534、 LER1接收到监听命令，如图5所示，将源IP地址为T的IP地 址、目的IP地址任意和目的IP地址为T的IP地址、源IP地址任意的过滤 参数加入到访问控制列表，并在访问控制列表中设置监听标志；
535、 LER1收到下行数据，将下行数据通过访问控制列表过滤，获得 监听标志，把过滤到的监听数据根据监听标志与到目的地址为LIG的转发 等价类之间的映射关系，将监听标志对应的监听数据映射到目的地址为LIG 的转发等价类中；
536、 LER1将监听数据通过目的地址为LIG的转发等价类对应的标记 交换路径，将监听数据发送至LIG;537、 LIG收到监听数据后，对监听数据进行复制， 一份^4居监听数据 的目的地址即用户T的IP地址，选择LIG与LER1之间的标记交换路径， LIG为发送至LER1的监听数据添加特殊标记，将监听数据发送到LER1， 另一份经过分析处理，分发到各监听中心；
538、 LER1收到LIG发送来的数据后，首先检测数据是否带有所述特 殊标记，如果检测有所述特殊标记，则根据监听数据的目的IP地址，将监 听数据发送给用户T。
更具体而言，利用多协议标记交换虚拟专用网技术，可以建立LER1
与LIG之间的虚拟专用网，多协议标记交换虚拟专用网使用标记栈技术， 在标记栈的最内层(即栈底)是虚拟专用网范围内分发的标记，称为栈底 标记，外层是整个网络范围分发的标记，用来在网络中沿着标记交换路径 进行转发。栈底标记中包含了虚拟专用网的标识信息。则上述步骤S37中， LIG为监听数据添加的特殊标记可以为所述LIG与LER1之间虚拟专用网 的才戋底标记。
本实施例中，获得监听标志以及根据监听标志确定对应的转发等价类 的实现方式可以参考上一实施例。
在本实施例中，通过将监听目标流量迂回到监听网关，由监听网关完 成目标流量的复制，进一步简化了网络设备的监听接入点功能，减轻了合 法监听的处理负担，保证了业务处理性能；
监听目标流量在网络内转发的过程中必然经过监听网关，这样边界路 由器不再需要通过专门的机制来保证监听流量可靠的送达监听中心，进一 步简化了网络设备合法监听的处理机制，提高了监听数据传输的可靠性。本发明实施例提供了 一种通信系统，包括作为监听接入点的边界标记 交换路由器和监听网关，其中，
作为监听接入点的边界标记交换路由器，用于接收监听数据，获得监 听数据对应的监听标志并复制监听数据；根据监听标志确定对应的转发等
价类，所述转发等价类的目的地址为监听网关；将复制的监听数据通过所 述转发等价类对应的标记交换路径发送至监听网关，将原监听凄t据按照正 常流程转发；
监听网关，用于从所述标记交换路径接收监听^:据，所述监听数据中 包含有上一跳标记交换路由器为监听数据封装的标记，处理监听数据，并 将处理过的监听结果发送给监听中心。
所述作为监听接入点的边界标记交换路由器，还用于建立目的地址为 监听网关的转发等价类，为所述转发等价类分配标记，通过标记分发过程 建立所述转发等价类对应的标记交换路径，并建立所述监听标志与所述建 立目的地址为监听网关的转发等价类之间的映射关系。
本发明的实施例给出另一个通信系统，包括作为监听接入点的边界标 记交换路由器和监听网关，其中，
作为监听接入点的边界标记交换路由器，用于接收监听数据，获取监 听数据对应得监听标志，根据监听标志确定对应的转发等价类，将监听数 据通过所述转发等价类对应的标记交换路径发送至监听网关；
监听网关，用于建立到边界标记交换路由器之间的标记交换路径，从 标记交换路径接收监听数据，所述监听数据中包含有上一跳标记交换路由 器为监听数据封装的标记，复制所述监听数据，将其中一^f分监听数据通过监听数据的目的地址对应的标记交换路径发送给边界标记交换路由器，另 一份监听数据经过处理后，发送给监听中心，如果所述边界标记交换路由 器是作为监听接入点的边界标记交换路由器，则所述监听网关还用于为发 送的监听数据添加特殊标记。
所述作为监听接入点的边界标记交换路由器，还用于建立目的地址为 监听网关的转发等价类，为所述转发等价类分配标记，通过标记分发过程 建立所述转发等价类对应的标记交换路径，并建立所述监听标志与所述建 立目的地址为监听网关的转发等价类之间的映射关系。
所述作为监听接入点的边界标记交换路由器，还用于首先检测所述监 听网关发送来的监听凄t据是否带有所述特殊标记，如果数据带有所述特殊 标记，则将监听数据按照正常流程转发。
以上两个实施例中，获得监听标志以及根据监听标志确定对应的转发 等价类的具体实现可以参考上述方法实施例。
图6是本发明实施例中一种路由器合法监听相关部分的单元结构图， 如图6所示，所述路由器具有标记交换功能，包括
路径建立单元，用于建立目的地址为合法监听网关的转发等价类，为 所述转发等价类分配标记，通过标记分发建立所述转发等价类对应的标记
交换路径；
映射单元，用于建立监听标志与所述目的地址为合法监听网关的转发
等价类之间的映射关系；
接收单元，用于接收监听数据，并将监听数据发送给复制单元； 复制单元，用于复制所述监听数据，其中一伤^換照正常流程转发，另
18一份发送给发送单元；
获取单元，用于获取监听数据对应的监听标志，根据监听标志以及所 述映射单元建立的映射关系，获取监听标志对应的转发等价类，所述转发
等价类的目的地址为合法监听网关；
发送单元，用于根据所述获取单元确定的转发等价类对应的标记交换 路径，发送监听数据。
本实施例中获取单元和映射单元的具体实现方式可以参考方法实施例 中的描述。
图7是本发明实施例中另 一种路由器合法监听相关部分的单元结构图， 如图6所示，所述路由器具有标记交换功能，包括
路径建立单元，用于建立目的地址为合法监听网关的转发等价类，为 所述转发等价类分配标记，通过标记分发建立所述转发等价类对应的标记 交换路径；
映射单元，用于建立监听标志与所述目的地址为合法监听网关的转发 等价类之间的映射关系；
接收单元，用于接收监听数据，并将监听数据发送给发送单元；
获取单元，用于获取监听数据对应的监听标志，根据监听标志以及所 述映射单元建立的映射关系，获取监听标志对应的转发等价类，所述转发 等价类的目的地址为合法监听网关；
发送单元，用于根据所述获取单元确定的转发等价类对应的标记交换 路径，发送监听数据。
所述接收单元可以进一步包括特殊标记检测才莫块，用于首先检测合法监听网关发送来的监听数据是否带有合法监听网关为监听数据添加的特殊 标记，如果监听数据检测有所述特殊标记，则将此凄t据按照正常流程转发。
中的描述。
图8是本发明实施例中监听网关的单元结构图，如图8所示，所述监 听网关包括
标记交换单元，用于建立到边界标记交换路由器的转发等^T类以及转
发等价类对应的标记交换路径；
监听数据接收单元，用于通过所述标记交换路径接收监听数据，并将
监听数据发送给数据处理单元；
数据处理单元，用于对所述监听数据接收单元接收到的监听数据进行 处理。
图9是本发明另一实施例中监听网关的单元结构图，如图9所示，所 述监听网关包括
标记交换单元，用于建立到边界标记交换路由器的转发等价类以及转 发等价类对应的标记交换路径；
监听数据接收单元，用于通过所述标记交换路径接收监听数据；
监听数据复制单元，用于复制所述监听数据接收单元接收到的监听数 据，将一份监听数据发送给数据处理单元，另 一份监听数据发送给监听数 据发送单元；
数据处理单元，用于对所述监听数据进行处理；
监听数据发送单元，用于将监听数据通过监听数据目的地址对应的标记交换路径发送至边界标记交换路由器。
所述监听数据发送单元可以进一步包括特殊标记添加^f莫块，用于为发 送至作为监听接入点的边界标记交换路由器的监听数据添加特殊标记。
总之，以上所述仅为本发明技术方案的较佳实施例而已，并非用于限 定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、 等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1、一种合法监听的方法，其特征在于，包括如下步骤作为监听接入点的边界标记交换路由器接收监听数据，获得监听数据对应的监听标志；根据监听标志确定对应的转发等价类，所述转发等价类的目的地址为监听网关；将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关。
2、 根据权利要求1所述的合法监听的方法，其特征在于，在所述作为 监听接入点的边界标记交换路由器接收监听凄t据之前，该方法还包括所述边界标记交换路由器建立目的地址为监听网关的转发等价类以及 所述转发等价类对应的标记交换路径。
3、 根据权利要求1或2所述的合法监听的方法，其特征在于，在所述 作为监听接入点的边界标记交换路由器接收监听数据之前，该方法还包括 建立监听标志与所述转发等价类之间的映射关系。
4、 根据权利要求l所述的合法监听的方法，其特征在于，所述作为监 听接入点的边界标记交换路由器接收监听数据，获得监听数据对应的监听 标志并复制所述监听数据；根据监听标志确定对应的转发等价类，所述转 发等价类的目的地址为监听网关；将复制的监听数据通过所述转发等价类 对应的标记交换路径发送至监听网关，将原监听数据按照正常流程转发。
5、根据权利要求1所述的合法监听的方法，其特征在于，所述监听 网关收到监听数据，复制所述监听数据，将其中一份监听数据通过监听数据的目的地址对应的标记交换路径发送给边界标记交换路由器，所述边界 标记交换路由器包括作为监听接入点的边界标记交换路由器和其他边界标 记交换路由器，另 一份监听数据经过处理后发送给监听中心。
6、 根据权利要求5所述的合法监听的方法，其特征在于，所述监听网关复制所述监听数据，将其中 一份监听数据通过监听数据 的目的地址对应的标记交换路径发送给边界标记交换路由器，如果所述边 界标记交换路由器是作为监听接入点的边界标记交换路由器，则在发送监 听数据之前还包括为监听数据添加特殊标记。
7、 根据权利要求6所述的合法监听的方法，其特征在于，所述作为监 听接入点的边界标记交换路由器收到监听网关发送的监听婆:据后，首先检 测所述特殊标记，如果监听数据检测有所述特殊标记，则将此监听数据按 照正常流程转发。
8、 根据权利要求7所述的合法监听的方法，其特征在于，所述监听网 关与所述作为监听接入点的边界标记交换路由器之间通过多协议标记交换 虚拟专用网技术建立虚拟专用网的标记交换^各径，则所述特殊标记为监听 网关与作为监听接入点的边界标记交换路由器之间虚拟专用网的栈底标记。
9、 根据权利要求l、 2、 4、 5、 6、 7、 8任一项权利要求所述的合法监 听的方法，其特征在于，所述监听标志设置在所述边界标记交换路由器的 访问控制列表中。
10、 一种通信系统，其特征在于，该系统包括作为监听接入点的边界标记交换路由器，用于接收监听数据，将监听数据通过所述边界标记交换路由器与监听网关之间的标记交换路径发送至 监听网关；监听网关，用于从所述标记交换路径接收监听数据，所述监听数据中 包含有上一跳标记交换路由器为监听数据封装的标记。
11、 根据权利要求IO所述的通信系统，其特征在于，该系统包括 作为监听接入点的边界标记交换路由器，用于接收监听数据，获得监听数据对应的监听标志；根据监听标志确定对应的转发等价类，所述转发 等价类的目的地址为监听网关；将监听数据通过所述转发等价类对应的标 记交换路径发送至监听网关；监听网关，用于从所述标记交换路径接收监听数据，所述监听数据中 包含有上一跳标记交换路由器为监听数据封装的标记。
12、 根据权利要求11所述的通信系统，其特征在于， 所述作为监听接入点的边界标记交换路由器，还用于建立目的地址为监听网关的转发等价类以及所述转发等价类对应的标记交换路径。
13、 根据权利要求IO、 ll或12任一项所述的通信系统，其特征在于， 所述作为监听接入点的边界标记交换路由器，还用于建立监听标志与所述目的地址为监听网关的转发等价类的映射关系。
14、 根据权利要求11所述的通信系统，其特征在于，该系统包括 作为监听接入点的边界标记交换路由器，用于接收监听数据，获取监听数据对应得监听标志并复制所述监听数据，才艮据监听标志确定对应的转发等价类，将复制的监听数据通过所述转发等fr类对应的标记交换路径发送至监听网关，将原监听数据按照正常流程发送；监听网关，用于建立到边界标记交换路由器之间的标记交换路径，从 标记交换路径接收监听数据，所述监听数据中包含有上一跳标记交换路由 器为监听数据封装的标记，监听数据经过处理后，发送给监听中心。
15、 根据权利要求11所述的通信系统，其特征在于，所述监听网关，还用于建立到边界标记交换路由器之间的标记交换路 径，从标记交换路径接收监听数据，复制所述监听数据，将其中一份监听 数据通过监听数据的目的地址对应的标记交换;咯径发送症合边界标记交换路 由器，另一份监听数据经过处理后，发送给监听中心。
16、 一种路由器，具有标记交换功能，其特征在于，包括 接收单元，用于接收监听数据；获取单元，用于获取监听数据对应的监听标志以及监听标志对应的转 发等价类；发送单元，用于根据所述获取单元确定的转发等价类对应的标记交换 路径，发送接收单元接收到的监听数据。
17、 根据权利要求16所述的路由器，其特征在于，所述路由器还包括 路径建立单元，用于建立目的地址为监听网关的转发等〗介类以及转发等价 类对应的标记交换路径。
18、 根据权利要求16或17所述的路由器，其特征在于，所述路由器 还包括映射单元，用于建立监听标志与所述目的地址为监听网关的转发等 价类的映射关系。
19、 根据权利要求16所述的路由器，其特征在于，所述路由器还包括 复制单元，用于复制监听数据。
20、 根据权利要求19所述的路由器，其特征在于，所述接收单元将监听数据发送给所述复制单元，复制单元将复制的监听数据发送给发送单元。
21、 根据权利要求16所述的路由器，其特征在于，所述接收单元进一 步包括特殊标记检测模块，用于首先检测监听网关发送来的监听数据是否 带有监听网关为监听数据添加的特殊标记，如果监听数据检测有所述特殊 标记，则将此数据按照正常流程转发。
22、 一种监听网关，其特征在于，包括标记交换单元，用于与边界标记交换路由器建立标记交换路径；监听 数据接收单元，用于通过所述标记交换路径接收监听数据；数据处理单元， 用于对所述监听数据接收单元接收到的监听数据进行处理。
23、 根据权利要求22所述的监听网关，其特征在于，所述监听网关还 包括监听数据复制单元，用于复制所述监听数据接收单元接收到的监听数 据。
24、 根据权利要求23所述的监听网关，其特征在于，所述监听网关还包括监听凄丈据发送单元，用于将监听数据通过监听数据目 的地址对应的标记交换路径发送监听数据，则监听数据复制单元复制所述 监听数据后，将其中一份监听数据发送给所述监听数据发送单元，将另一 份监听数据发送给所述数据处理单元。
25、 根据权利要求24所述的监听网关，其特征在于，所述监听数据发 送单元进一步包括特殊标记添加模块，用于为发送至作为监听接入点的边 界标记交换路由器的监听数据添加特殊标记。
全文摘要
本发明公开了一种合法监听的方法，包括以下步骤作为监听接入点的边界标记交换路由器接收监听数据，获得监听数据对应的监听标志；根据监听标志确定对应的转发等价类，所述转发等价类的目的地址为监听网关；将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关。本方法中，作为监听接入点的边界标记交换路由器接收监听数据后可以不将其封装在目的地址为监听网关的IP报文中，简化了路由器的处理流程。本发明还公开了一种通信系统、路由器以及监听网关。
文档编号H04M3/24GK101296270SQ200710074168
公开日2008年10月29日 申请日期2007年4月28日 优先权日2007年4月28日
发明者李卓明 申请人:华为技术有限公司