基於合法偵聽的網絡管理系統和方法

2023-09-11 02:44:05 1

專利名稱：基於合法偵聽的網絡管理系統和方法
技術領域：
本發明涉及網絡通信技術領域，尤其涉及一種基於合法偵聽的網絡管理 系統和方法。
背景技術：
數據網絡，包括通過數據網絡的語音和視頻，正在越來越多地-故作為通 信媒介使用。人們一方面在享受著信息化社會帶來的諸多便利，另一方面利 用通信工具實施的違法活動卻日益猖獗。信息安全特別是在通信網中的信息
安全正面臨著巨大的挑戰。因此，對數據網絡的合法偵聽(Lawful Intercept, LI)將會變得越來越重要。
合法偵聽是一種基於法律的行為。在國家法律4受權之後，負責合法偵聽 的政府機構向網絡運營商、接入提供商、服務提供商發出偵聽請求命令，然 後網絡運營商、接入供應商或者服務提供商獲取被偵聽者的通信識別信息和 通信內容，並提供給上述政府機構。
目前有幾個標準組織形成了合法偵聽的規範，下面以思科公司對於IP 網絡中的合法偵聽的構架為例，來描述合法偵聽的基本原理。如圖l所示， 合法偵聽的構架由兩個網絡組成業務提供商網絡和法律執行代理網絡。在 兩個網絡之間採用三個標準化偵聽接口移交接口 1、移交接口2和移交接 口 3。法律執行代理網絡通過移交接口 1來向業務提供商網絡發起偵聽請求 並提供偵聽請求信息，業務提供商網絡通過移交接口 2和移交接口 3向法律 執行代理網絡傳遞偵聽識別信息和偵聽內容信息。業務提供商網絡由合法偵 聽管理模塊、仲裁設備、偵聽內容信息的偵聽接入點和偵聽識別信息的偵聽 接入點組成。其中，合法偵聽管理模塊接收到法律執行代理網絡傳遞來的偵 聽請求信息後，通過仲裁設備提供接口向仲裁設備傳遞偵聽請求，然後仲裁 設備根據偵聽的類型，或者向偵聽識別信息的偵聽接入點發起偵聽請求，或
者向偵聽內容信息的偵聽接入點發起偵聽請求，然後被請求的偵聽接入點就 向仲裁設備傳遞偵聽識別信息或偵聽內容信息，仲裁設備將其封裝後，傳遞 給法律執行代理網絡。
目前的網絡管理系統正在從以設備為中心的傳統網絡管理系統向基於 策略的網絡管理系統發展。基於策略是指預先制定好相關的處理措施，系統 通過對網絡設備的監測，在滿足相關條件後，系統自動執行這些措施。從而 大大加強了網絡管理的自動化和智能化。
但是目前電信運營商的網絡設備(如DSLAM (Digital Subscriber Line Access Multiplex,數字用戶線接入復用器)、交換機、BAS (Broadband Access Server,寬帶接入伺服器)等)主要是基於2-4層的技術，對於業務和安全 的識別能力局限於2-4層，對於更高層的業務和安全的識別則無能為力，所 以前面提及的傳統網絡管理系統和正在發展的基於策略的網絡管理系統對 於網絡安全方面的管理也只能局限於2-4層安全的管理，對於應用層的安全 管理則無能為力。

發明內容
本發明所要解決的技術問題是提供一種基於合法偵聽的網絡管理系統 和方法，既能滿足安全方面的需要，又可以結合基於策略的網絡管理系統和 合法偵聽的優點。
本發明採用的技術方案是
本發明提供了 一種基於合法偵聽的網絡管理系統，包括策略/安全管理 模塊和合法偵聽管理模塊，策略/安全管理模塊用於向合法偵聽管理模塊發
送對指定偵聽對象的授權偵聽請求，並根據接收到的偵聽信息進行策略和安 全管理；合法偵聽管理模塊用於在接收到策略/安全管理模塊向其發送的授 權偵聽請求後，將其轉發出去。
進一步地，合法偵聽管理模塊和策略/安全管理模塊通過第一移交接口 相連。
進一步地，系統還包括策略執行點，策略執行點執行策略/安全管理模
塊分配的策略。
進一步地，系統還包括合法偵聽系統，合法偵聽系統包括仲裁設備， 認證、授權和計費伺服器及寬帶網絡網關；
仲裁設備用於接收合法偵聽管理模塊向其發送的授權偵聽請求，並請求 認證、授權和計費伺服器或寬帶網絡網關進行偵聽識別信息或偵聽內容信息 的偵聽；從認證、授權和計費伺服器或寬帶網絡網關接收到偵聽識別信息或 偵聽內容信息後，將其按照一定的協議封裝後，發送給策略/安全管理模塊；
認證、授權和計費伺服器用於在接收到仲裁設備向其發送的偵聽識別信 息的請求消息後，向仲裁設備發送偵聽識別信息；
寬帶網絡網關用於在接收仲裁設備向其發送的偵聽內容信息的請求消 息後，向仲裁設備發送偵聽內容信息；還用於作為策略執行點接收並執行策 略/安全管理模塊向其發送的相應的策略。
進一步地，策略/安全管理模塊包括策略管理工具、策略倉庫、策略決 策點和採集功能模塊；
策略管理工具分別與策略倉庫和採集功能模塊相連，用於編輯策略倉庫 中的策略，並根據釆集功能模塊發送過來的偵聽信息來監控策略實施情況；
策略倉庫分別與策略管理工具和策略決策點相連，用於存儲策略信息， 並對系統中的策略進行匯總；
策略決策點分別與策略倉庫及策略執行點相連，其負責存取策略倉庫中 的策略，並根據策略信息做出決策，然後將相應的策略分配至策略執行點； 其還用於4全測策略的變化和衝突，從而採取應對措施；
採集功能模塊分別與策略管理工具和合法偵聽系統相連，其用於接收合 法偵聽系統向其發送的偵聽信息，並將偵聽信息作為策略的輸入發送給策略 管理工具。
進一步地，合法偵聽管理模塊通過管理接口向仲裁設備發送授權偵聽請 求；仲裁設備通過第二移交接口或第三移交接口向採集功能模塊發送偵聽識 別信息或偵聽內容信息。
進一步地，還包括用戶終端和接入節點，用戶終端通過接入節點與寬帶
網絡網關相連。
本發明還提供了 一種基於合法偵聽的網絡管理方法，包括以下步驟
(1) 業務提供商管理系統向合法偵聽系統發送對指定偵聽對象的
授權偵聽請求；
(2) 合法偵聽系統完成合法偵聽任務後，將偵聽識別信息或偵聽 內容信息發送給業務提供商管理系統；
(3 ) 業務提供商管理系統根據相應的策略進行相應的管理流程。
進一步地，步驟(1)具體為
(la)業務提供商管理系統中的策略/安全管理;f莫塊通過第一移交接口 向業務提供商管理系統中的合法偵聽管理模塊發送對指定偵聽對象的授權 偵聽請求；
(lb)合法偵聽管理模塊在接收到授權偵聽請求後，通過管理接口將授 權偵聽請求轉發給合法偵聽系統中的仲裁設備。
進一步地，步驟(2)具體為
(2a)仲裁設備接收到授權偵聽請求後，通過請求接口，請求認證、授 權和計費伺服器或者寬帶網絡網關向其發送偵聽識別信息或偵聽內容信息；
(2b )仲裁設備接收到偵聽識別信息或偵聽內容信息後，按照一定的協 議對偵聽識別信息或偵聽內容信息進行封裝，並通過第二移交接口或者第三 移交接口將偵聽識別信息或偵聽內容信息發送給策略/安全管理設備中的採 集功能模塊。
進一步地，步驟(3)具體為
(3a)採集功能模塊接收到偵聽識別信息或偵聽內容信息後，將其發送 給策略/安全管理模塊中的策略管理工具；
(3b )策略管理工具#4居偵聽識別信息或偵聽內容信息監控策略的實施 情況，並根據監控到的實施情況更新策略/安全管理模塊中策略倉庫中的策 略；
(3c )當策略/安全管理模塊中的策略決策點檢測到策略倉庫中的策略發生變化時，對策略執行點採取應對措施。
採用本發明，保證了動態及時地管理網絡，尤其是有效地管理網絡的安 全方面，提高了網絡的安全性，有利於網絡的健康發展。


圖l是現有技術中合法偵聽的網絡結構圖； 圖2是本發明實施例中基於合法偵聽的網絡管理系統的結構圖； 圖3是本發明實施例中基於合法偵聽的網絡管理系統的詳細結構圖； 圖4是本發明實施例中基於合法偵聽的網絡管理方法的流程圖。
具體實施例方式
以下結合附圖對本發明的優選實施例進行說明，應當理解，此處所描述 的優選實施例僅用於說明和解釋本發明，並不用於限定本發明。
如圖2所示，基於合法偵聽的網絡管理系統包括業務提供商管理系統 IO或業務提供商管理系統10和合法偵聽系統20。
圖3為該系統的詳細結構圖。該系統還包4舌用戶終端302和4妄入節點
304。
業務提供商管理系統10:完成策略、安全、合法偵聽的管理功能，它 至少由策略/安全管理模塊101和合法偵聽管理模塊102組成。其中，策略/ 安全管理模塊101用於通過第一移交接口 1向合法偵聽管理模塊102請求進 行合法偵聽，並根據偵聽到的信息來進行策略和安全管理；合法偵聽管理模 塊102實現合法偵聽的管理功能，其用於在接收到策略/安全管理模塊101 向其發送的授權偵聽請求後，將其轉發給合法偵聽系統20。寬帶網絡網關 (策略執行點)306是業務提供商管理系統10和合法偵聽系統20的共用設 備。
策略/安全管理模塊101由策略管理工具202、策略倉庫204、策略決策 點206、採集功能模塊208組成。其中，
策略管理工具202分別與策略倉庫204和採集功能模塊208相連，用於 供管理員編輯策略倉庫204中的策略，並根據採集功能模塊208發送給它 的偵聽信息來監控策略實施情況；
策略倉庫204分別與策略管理工具202和策略決策點206相連，用於 存儲策略信息，並對系統中的策略進行匯總；
策略決策點206通常也被稱為策略伺服器，是整個系統的決策中心。 其分別與策略倉庫204與策略4丸行點306相連，它負責存耳又策略倉庫204中 的策略，並根據取出的策略信息做出決策，然後將相應的策略分配至策略執 行點306。策略決策點206還能檢測策略的變化和衝突，從而採取應對措施；
採集功能模塊208分別與策略管理工具202和合法偵聽系統20相連， 它通過第二移交接口 2或第三移交接口 3從合法偵聽系統20接收偵聽識別 信息或偵聽內容信息，並將其作為策略的輸入發送給策略管理工具202。
合法偵聽系統20:實現合法偵聽功能，其中包括AAA( Authentication Authorization, Accounting,認證、授權和計費)伺服器308、仲裁設備310 及與業務提供商管理系統10共用的寬帶網絡網關(策略執行點)306。用戶 終端302通過接入節點304連接到寬帶網絡網關(策略執行點)306,寬帶 網絡網關306不僅與AAA伺服器308相連，還通過請求接口 406和偵聽內 容接口 408與仲裁設備310相連。仲裁設備310通過請求接口 402和偵聽識 別信息接口 404連接到AAA伺服器308,還通過管理接口 4、移交接口 2 和移交接口 3連接到業務提供商管理系統10。
業務提供商管理系統10與合法偵聽系統20之間的接口包括
管理接口 4:業務提供商管理系統10給合法偵聽系統20提供偵聽信息 的接口，偵聽信息包括偵聽目標標識、偵聽持續時間、偵聽類型等；
移交接口 2 (HI2):在合法偵聽系統20和業務提供商管理系統10之 間傳遞偵聽識別 <言息的4妻口 ；
移交接口 3 (HB ):在合法偵聽系統20和業務4是供商管理系統10之 間傳遞偵聽內容信息的接口 。
AAA伺服器308實現了用戶的認證、授權、計費功能，同時通過請求
接口 402接收到仲裁設備310向其發送的偵聽識別信息的請求消息後，通過 偵聽識別信息接口 404向仲裁設備310傳遞偵聽識別信息，如用戶終端的IP 地址和鏈路等信息。其中，請求接口 402可以傳遞各種管理協議的信息，如 SNMP ( Simple Network Management Protocol,簡單網絡管理協議)協議的 信息或者COPS ( Common Open Policy Service,公共開放策略服務)協議的 信息，偵聽識別信息接口 404可以傳遞RADIUS (Remote Authentication Dial In User Service,遠程用戶撥號認證系統)協議的信息或者Diameter (直徑， 是RADIUS協議的升級版本)協議的信息。
寬帶網絡網關(策略執行點)306，是業務提供商管理系統10和合法偵 聽系統20的共有設備。其完成用戶的接入管理功能，並且實現策略執行點 的功能，以及通過請求接口 406接收仲裁設備310向其發送的偵聽通信內容 的請求消息後，通過偵聽內容接口 408向仲裁設備310傳遞偵聽內容信息。 其中，請求接口 406可以傳遞各種管理協議的信息，如SNMP協議或者COPS 協議，偵聽內容接口 408可以傳遞RTP ( Real-Time Transport Protocol,實時 傳輸協議)協議的信息。
仲裁設備310通過管理接口 4接收業務提供商管理系統10中的合法偵 聽管理模塊102向其發送的偵聽請求，並通過請求接口 402或406來請求偵 聽接入點(AAA伺服器308或寬帶網絡網關306 )進行偵聽識別信息或偵聽 內容信息的偵聽；從上述偵聽接入點接收數據後，以恰當的格式打包數據， 如按照RTP協議或者COPS協議等，然後通過移交接口 2或移交接口 3傳 遞給業務提供商管理系統10中的策略/安全管理模塊101中的釆集功能模塊 208。其中，管理4妄口 4可以傳遞合法偵聽管理才莫塊102人工傳遞來的合法 偵聽命令或者授權，也可以傳遞各種管理協議的信息，如SNMP協議或者 COPS協議。
基於合法偵聽的網絡管理方法，如圖4所示，包括以下步驟
步驟S202,合法偵聽管理模塊102通過移交接口 l收到來自策略/安全 管理模塊101的對指定偵聽對象的授權偵聽請求；
步驟S204,合法偵聽管理模塊102通過管理接口 4向合法偵聽系統20
中的仲裁設備310發送上述授權偵聽請求，該請求中包括偵聽目標標識、偵 聽持續時間、偵聽類型(偵聽識別信息或者偵聽內容信息)等；
步驟S206,合法偵聽系統20通過移交接口 2或者移交接口 3向策略/ 安全管理模塊101傳遞偵聽識別信息或偵聽內容信息；
合法偵聽系統20中的仲裁設備310接收到來自合法偵聽管理模塊102 的授權偵聽請求後，通過請求接口 402或者406,請求AAA伺服器308或 者寬帶網絡網關306向仲裁設備310發送偵聽識別信息或偵聽內容信息，待 仲裁設備310收到該信息後，將其格式化(即按照一定的協議將其封裝)為 偵聽信息(偵聽識別信息或偵聽內容信息)並通過移交接口 2或者移交接口 3將其發送給策略/安全管理模塊101中的採集功能模塊208;
步驟S208，策略/安全管理模塊101在接收到上述偵聽信息後，根據相 應的策略進行相應的管理流程。
採集功能模塊208接收到偵聽信息後，將其發送給策略管理工具202, 策略管理工具202根據偵聽信息監控策略的實施情況，並根據監控到的上述 實施情況更新策略倉庫204中的策略；當策略決策點206檢測到策略的變化 時，其對策略執行點306採取應對措施。
當然，本發明還可有其他多種實施例，在不背離本發明精神及其實質的 形，但這些相應的改變和變型都應屬於本發明所附的權利要求的保護範圍。
權利要求
1、一種基於合法偵聽的網絡管理系統，其特徵在於，包括策略/安全管理模塊和合法偵聽管理模塊，所述策略/安全管理模塊用於向所述合法偵聽管理模塊發送對指定偵聽對象的授權偵聽請求，並根據接收到的偵聽信息進行策略和安全管理；所述合法偵聽管理模塊用於在接收到所述策略/安全管理模塊向其發送的所述授權偵聽請求後，將其轉發出去。
2、 如權利要求l所述的系統，其特徵在於，所述合法偵聽管理模塊和 策略/安全管理模塊通過第 一移交接口相連。
3、 如權利要求l所述的系統，其特徵在於，所述系統還包括策略執行 點，所述策略執行點執行所述策略/安全管理模塊分配的策略。
4、 如權利要求3所述的系統，其特徵在於，所述系統還包括合法偵聽 系統，所述合法偵聽系統包括仲裁設備，認證、授權和計費伺服器及寬帶 網糹各網關；所述仲裁設備用於接收所述合法偵聽管理模塊向其發送的授權偵聽請 求，並請求所述認證、授權和計費伺服器或寬帶網絡網關進行偵聽識別信息 或偵聽內容信息的偵聽；從所述認證、授權和計費伺服器或寬帶網絡網關接 收到所述偵聽識別信息或偵聽內容信息後，將其按照一定的協議封裝後，發 送給所述策略/安全管理^t塊；所述認證、授權和計費伺服器用於在接收到所述仲裁設備向其發送的偵 聽識別信息的請求消息後，向所述仲裁設備發送所述偵聽識別信息；所述寬帶網絡網關用於在接收所述仲裁設備向其發送的偵聽內容信息 的請求消息後，向所述仲裁設備發送偵聽內容信息；還用於作為所述策略執 行點接收並執行所述策略/安全管理模塊向其發送的相應的策略。
5、 如權利要求1、 3或4所述的系統，其特徵在於，所述策略/安全管 理模塊包括策略管理工具、策略倉庫、策略決策點和採集功能模塊；所述策略管理工具分別與所述策略倉庫和採集功能模塊相連，用於編 輯所述策略倉庫中的策略，並根據所述採集功能模塊發送過來的偵聽信息來 監控策略實施情況；所述策略倉庫分別與所述策略管理工具和策略決策點相連，用於存儲策略信息，並對系統中的策略進行匯總；所述策略決策點分別與所述策略倉庫及所述策略執行點相連，其負責 存取所述策略倉庫中的策略，並根據策略信息做出決策，然後將相應的策略 分配至所述策略執行點；其還用於檢測策略的變化和衝突，從而採取應對措 施；所述釆集功能^f莫塊分別與所述策略管理工具和合法偵聽系統相連，其用 於接收所述合法偵聽系統向其發送的偵聽信息，並將所述偵聽信息作為策略 的輸入發送給所述策略管理工具。
6、 如權利要求4所述的系統，其特徵在於，所述合法偵聽管理模塊通 過管理接口向所述仲裁設備發送所述授權偵聽請求；所述仲裁設備通過第二移交接口或第三移交接口向所述採集功能模塊發送所述偵聽識別信息或偵 聽內容信息。
7、 如權利要求4所述的系統，其特徵在於，還包括用戶終端和接入節 點，所述用戶終端通過所述接入節點與所述寬帶網絡網關相連。
8、 一種基於合法偵聽的網絡管理方法，其特徵在於，包括以下步驟(1) 業務提供商管理系統向合法偵聽系統發送對指定偵聽對象的 授權偵聽請求；(2) 所述合法偵聽系統完成合法偵聽任務後，將偵聽信息發送給 所述業務提供商管理系統；(3 ) 所述業務提供商管理系統根據相應的策略進行相應的管理流 程。
9、 如權利要求8所述的方法，其特徵在於，步驟(l)具體為(la)所述業務提供商管理系統中的策略/安全管理模塊通過第一移交 接口向業務提供商管理系統中的合法偵聽管理模塊發送對指定偵聽對象的 授權偵聽請求；(lb)所述合法偵聽管理模塊在接收到所述授權偵聽請求後，通過管理 接口將所述授權偵聽請求轉發給所述合法偵聽系統中的仲裁設備。
10、 如權利要求9所述的方法，其特徵在於，步驟(2)具體為(2a)所述仲裁設備接收到所述授權偵聽請求後，通過請求接口，請求 認證、授權和計費伺服器或者寬帶網絡網關向其發送偵聽識別信息或偵聽內 容信息；(2b)所述仲裁設備接收到所述偵聽識別信息或偵聽內容信息後，按照 一定的協議對所述偵聽識別信息或偵聽內容信息進行封裝，並通過第二移交 接口或者第三移交接口將所述偵聽識別信息或偵聽內容信息發送給所述策 略/安全管理設備中的採集功能模塊。
11、 如權利要求IO所述的方法，其特徵在於，步驟(3)具體為(3a)所述採集功能模塊接收到所述偵聽識別信息或偵聽內容信息後， 將其發送給所述策略/安全管理模塊中的策略管理工具；(3b)所述策略管理工具根據所述偵聽識別信息或偵聽內容信息監控策 略的實施情況，並根據監控到的所述實施情況更新所述策略/安全管理模塊 中策略倉庫中的策略；(3c )當所述策略/安全管理模塊中的策略決策點檢測到所述策略倉庫 中的策略發生變化時，對所述策略執行點採取應對措施。
全文摘要
本發明提供了一種基於合法偵聽的網絡管理系統，包括策略/安全管理模塊和合法偵聽管理模塊，策略/安全管理模塊用於向合法偵聽管理模塊發送對指定偵聽對象的授權偵聽請求，並根據接收到的偵聽信息進行策略和安全管理；合法偵聽管理模塊用於在接收到策略/安全管理模塊向其發送的授權偵聽請求後，將其轉發出去。還提供了一種基於合法偵聽的網絡管理方法，包括以下步驟業務提供商管理系統向合法偵聽系統發送對指定偵聽對象的授權偵聽請求；合法偵聽系統完成合法偵聽任務後，將偵聽信息發送給業務提供商管理系統；業務提供商管理系統根據相應的策略進行相應的管理流程。採用本發明，保證動態及時地管理網絡，提高網絡安全性，有利於網絡健康發展。
文檔編號H04L12/66GK101102223SQ20071010847
公開日2008年1月9日 申請日期2007年6月14日 優先權日2007年6月14日
發明者曹文利 申請人:中興通訊股份有限公司