一種ip網絡中的監聽系統、設備及方法

2023-04-25 17:36:01

專利名稱：一種ip網絡中的監聽系統、設備及方法
技術領域：
本發明涉及通信領域，特別是涉及一種IP網絡中的監聽系統、裝置及 方法。
背景技術：
合法監聽(LI， Lawful Interception),是指執法機構(LEA, Law Enforcement Agency )經相應的^^又才幾關(Authorizing Authority)批准，才艮 據國家相關法律和公眾通信網絡行業規範對公眾通信網(PTN, Public Telecommunications Network)的通信業務進行監聽的執法行為。
現有IP網絡中的數據通信合法監聽系統如圖1所示，監聽系統包括合 法監聽網關(LIG, Lawful Interception Gateway )、監聽中心(MC, Monitoring Center)、 Radius伺服器、網絡設備，其中，網絡設備可以是路由器、分組 數據服務節點(PDSN, Packet Data Serving Node )或者ASNGW;且事先 通過管理終端的圖形用戶接口 (GUI, Graphical User Interface )將司法機構 發送給Internet服務提供方(ISP， Internet Service Provider)的合法監聽授 權書的內容配置於合法監聽網關中。
在上迷的監聽系統中，用戶設備經由路由器路由至IP網絡，在通過IP 網絡進行通信的過程中，實現監聽的流程具體如附圖2所示
步驟l、用戶設備UE發起登錄，向路由器Router發送鑑權請求消息 Radius Access Request,請求登錄遠端撥入用戶驗證伺服器(Radius服務
器)；
步驟2、路由器接收該鑑權請求消息，並將該鑑權請求消息轉發給
Radius伺服器；
步驟3、 Radius伺服器接收該鑑權請求消息，向合法監聽網關LIG轉 發該鑑權請求消息；
步驟4、 LIG接收該鑑權請求消息，轉化為監聽相關消息(IRI, Interception Related Information)上報給監聽中心MC;
步驟5、 Radius伺服器鑑權通過，向路由器返回鑑權響應消息；
步驟6、 Radius伺服器向LIG發送鑑權響應消息，所述的鑑權響應消 息中包括伺服器分配給該監聽目標的IP位址；
步驟7、 LIG接收該鑑權響應消息，轉化成IRI消息上報給監聽中心
MC;
步驟8、 LIG根據接收到的該鑑權響應消息，確定監聽目標登錄，並發 送設定監聽目標消息給路由器，該設定監聽目標消息中攜帶有與監聽目標 相關的信息，其中，該相關的信息包括Radius伺服器分配給監聽目標用 戶的IP位址；
步驟9、路由器接收到鑑權響應消息後發送計費請求消息Accounting Start給Radius伺服器；
步驟10、 Radius伺服器將接收到的計費請求消息轉發給LIG;
步驟ll、 LIG將接收到的計費請求消息轉化成IRI消息，轉發給MC;
步驟12、根據計費策略，每隔一定的時間或者一定的數據流量，路由 器發送中間計費消息Interim Accounting給Radius伺服器；
步驟13 、 Radius伺服器將接收到的中間計費消息轉發給LIG;
步驟14、 LIG將接收到的中間計費消息轉化成IRI消息發送給MC;
步驟15、鑑權通過後，路由器接收LIG發送的設定監聽目標消息，啟 動對該監聽目標的監聽；
步驟16、路由器複製經由自身的所有源地址及目標地址為該監聽目標 IP位址的通信數據，並將其通信內容(CC， Call Content)發送給LIG;
步驟17、 LIG將接收到通信內容CC轉發給MC;
步驟18、路由器發送終止計費消息Accounting Stop給Radius伺服器， 請求終止計費；
步驟19、 Radius伺服器將收到的終止計費消息轉發給LIG; 步驟20、 LIG接收所述的終止計費消息，轉化為IRI消息發送給MC。 現有技術中為實現監聽，需要針對Radius Sever、網絡設備(如Router、 PDSN )等設備分別開發支持監聽功能的軟體部分，以便與LIG進行交互實 現監聽，但是將監聽功能集成到現有的Radius Sever、 Router、 PDSN中， 會使得這些網元的現有功能受到影響。

發明內容
有鑑於此，本發明實施例的主要目的在於提供一種IP網絡監聽系統、 監聽設備以及監聽方法，減少對現有網元的改造和影響。
為解決上述技術問題，本發明實施例的一方面，提供一種IP網絡中的 監聽系統，包括
分析單元Analysis TAP,用於截取用戶設備經由網絡設備從網絡側接收
或者經由網絡設備向網絡側發送的數據報文，根據合法監聽網關LIG下發
的監聽命令設定監聽過濾規則，並根據所述的過濾規則解析過濾所述的數
據報文，將過濾後的數據報文上報給所述的LIG,其中，所述的網絡設備 為接入用戶設備的分組接入節點；
LIG，用於向Analysis TAP下發監聽命令，所述的監聽命令中攜帶設定 監聽過濾規則相關信息，並將Analysis TAP上報的數據報文轉發給監聽中 心MC,實現監聽。
本發明實施例的另一方面，提供了一種IP網絡中的監聽設備，包括 數據複製轉發單元、數據分析單元；其中，
所述的數據複製轉發單元，用於截取用戶設備經由網絡設備接收的來 自網絡側的數據報文或者向網絡側發送的數據報文，複製所述的數據報文 並轉發給數據分析單元，其中，所述的網絡設備為接入用戶設備的分組接 入節點；
所述的數據分析單元，接收所述的LIG下發的監聽命令及數據複製轉 發單元轉發的數據報文，根據所述的監聽命令中攜帶的設定監聽過濾規則
相關信息設定監聽過濾規則，並根據所述的過濾規則解析過濾接收到的數 據報文，將過濾後的數據報文上報給所述的LIG，其中，所述的設定監聽 過濾規則相關信息包括過濾關鍵詞。
本發明實施例的又一方面，提供了一種IP網絡中的監聽方法，包括如 下步驟
Analysis TAP根據接收到的LIG下發的監聽命令設定監聽過濾規則， 所述的監聽命令中攜帶設定監聽過濾規則相關信息；
截取用戶設備經由網絡設備接收的來自網絡側的數據報文或者向網絡 側發送的數據報文，其中，所述的網絡設備為接入用戶設備的分組接入節 點；
根據所述的過濾規則解析過濾所述數據報文，將過濾後的數據報文轉
發給合法監聽網關LIG,由所述LIG轉發給監聽中心MC,以實現監聽。
綜上，採用本發明實施例，由新增網元Analysis TAP根據監聽命令設 定過濾規則，並根據所述的過濾規則實現對監聽目標的監聽，使得監聽設 備Analysis TAP獨立於現有的Radius Sever、 Router、 PDSN完成對監聽目 標的監聽，減少了對現有網元的改造和影響，並具備移動性，提高了組網 靈活性。


圖1是現有技術下IP網絡中的數據通信合法監聽系統結構圖； 圖2是現有技術下IP網絡中的數據通信合法監聽流程圖； 圖3是本發明系統實施例的系統結構圖； 圖4是發明裝置實施例的裝置結構圖； 圖5是本發明第三實施例的信令流程圖； 圖6是本發明第四實施例的信令流程圖。
具體實施例方式
為使本發明的目的、技術方案和優點更加清楚，下面結合附圖及具體 實施例對本發明作進一 步地詳細描述。
本發明實施例首先提供了一種IP網絡中實現監聽的系統，如圖3所示， 該監聽系統包括網絡設備、Radius伺服器、Analysis TAP、合法監聽網關
LIG;其中，
Radius伺服器，接收由網絡設備發送的鑑權及計費請求消息，並根據 鑑權請求消息對用戶進行鑑權，根據計費請求消息對用戶進行計費；
網絡設備，與IP網相連接，是用於接入用戶設備的分組接入節點，在 本發明實施例中，網絡設備可以是路由器、分組數據服務節點(PDSN, Packet Data Serving Node)或者接入服務網絡關口 (ASNGW， Access Service Network Gateway);
分析單元Analysis TAP，用於截取用戶設備經由網絡設備從網絡側接收 或者經由網絡設備向網絡側發送的數據報文，根據LIG下發的監聽命令設 定監聽過濾規則，並根據所述的過濾規則解析過濾所述的數據報文，將過 濾後的數據報文上報給所述的LIG;
LIG,用於向Analysis TAP下發監聽命令，所述監聽命令中攜帶設定監 聽過濾規則相關信息，並將到的接收Analysis TAP上報的數據報文並轉發 給監聽中心MC,實現監聽。其中，LIG向Analysis TAP下發的監聽命令可 以是事先由MC下發給LIG或者預先配置於LIG中，也可以是根據Radius TAP截取並上報的監聽目標相關信息(比如，監聽目標IP位址)下發。
其中的分析單元Analysis TAP,如圖4所述，包括數據複製轉發單元、 數據分析單元，具體地，其中，
數據複製轉發單元，用於截取用戶設備經由網絡設備接收的來自網絡 側的數據報文或者向網絡側發送的數據報文，複製所述的數據報文並轉發 給數據分析單元，其中，所述的網絡設備為接入用戶設備的分組接入節點；
數據分析單元，接收所述的LIG下發的監聽命令及數據複製轉發單元
轉發的數據報文，根據所述的監聽命令中攜帶的設定監聽過濾規則相關信 息設定監聽過濾規則，並根據所述的過濾規則解析過濾接收到的數據報文， 將過濾後的數據報文上報給所述的LIG，其中，所述的設定監聽過濾規則 相關信息包括過濾關鍵詞。
具體地，所述的數據分析單元包括過濾規則處理模塊、報文接收模 塊、報文解析模塊、報文生成模塊、報文發送模塊；具體地，
所述的過濾規則處理模塊，用於接收LIG下發的監聽命令，根據所述 設定監聽過濾規則相關信息設定監聽過濾規則；
所述的報文接收模塊，用於將接收到的數據報文轉發給報文解析模塊；
所述的報文解析模塊，用於查詢監聽過濾規則，並根據所述過濾規則 解析過濾接收到的數據報文，將過濾後的數據報文轉發給報文生成模塊；
所述的報文生成模塊，將接收到的數據報文轉化為監聽相關信息IRI 或通信內容CC報文發送給報文發送模塊；
報文發送模塊，將接收到的IRI或者CC報文發送給LIG。
實施例一
結合上述實施方式，本發明的第一實施例提供了一種IP網絡中的監聽 系統，本實施例中，網絡設備為路由器，參考圖3和圖4，該監聽系統的具 體工作過程如下
Radius伺服器接收由路由器轉發的用戶的鑑權及計費請求消息，並對 用戶進行鑑權、計費；
LIG向Analysis TAP的過濾規則處理模塊下發監聽命令，在監聽命令 中攜帶設定監聽過濾規則相關信息；
過濾規則處理模塊，接收LIG下發的監聽命令，根據所述監聽命令終
攜帶的設定監聽過濾規則相關信息設定監聽過濾規則，其中LIG下發的監
聽命令中包括過濾關鍵詞"爆炸"，根據所述過濾關鍵詞設定監聽過濾規則
為"上報所有經過Analysis TAP的數據報文中包含'爆炸，的數據報文及 該數據報文的接收方和/或發送方信息"；
數據複製轉發單元截取用戶設備經由路由器接收的來自網絡側的數據 報文或者向網絡側發送的數據報文，複製所述的數據報文並轉發給報文接 收模塊；
報文接收模塊，用於接收數據報文並將該數據報文轉發給IP層解析模
塊；
IP層解析模塊，接收數據報文並解析報文的TCP或者UDP層，查詢 過濾規則處理模塊設定的監聽過濾規則，由於監聽過濾規則為"上報所有 經過Analysis TAP的數據報文中包含'爆炸，的數據報文及該數據報文的 接收方和/或發送方信息"，即需要解析到報文應用層(比如，OSI第七層)， 由於報文本身協議不同，IP層解析模塊解析TCP或者UDP之後，根據報 文的上層協議格式，將該報文發送給相應的業務解析模塊，其中，業務解 析模塊可以是HTTP解析模塊、EMAIL解析模塊、FTP解析模塊、WAP解 析模塊、流媒體解析模塊、VoIP解析模塊等模塊；
業務解析模塊，接收IP層解析模塊發送的數據報文並進行解析，根據 查詢得到的過濾規則進行過濾，將過濾後的數據報文發送給報文生成模塊； 以Email解析模塊的處理過程為例，報文發送至Email解析模塊後，進行報 文解析，根據查詢獲得的過濾規則，當發現報文應用層中包含"爆炸"一
詞時，將該報文內容以及該Email的發送方地址和/或接收方地址通過IRI 消息上報給LIG;
報文生成模塊，將接收到的數據報文轉化為IRI或CC報文發送給報文 發送模塊；
報文發送模塊，將接收到的IRI或者CC報文發送給LIG;
LIG將接收到的IRI或者CC報文轉發給監聽中心MC，實現監聽。
本發明的實施例中，由MC下發特定的設定監聽過濾規則相關信息(過 濾關鍵詞)，並由新增網元Analysis TAP根據設定監聽過濾規則相關信息設 定過濾規則，實現對不特定對象的監聽；同時由於監聽設備Analysis TAP 獨立於現有的Radius Sever、 Router、 PDSN完成對監聽目標的監聽，減少 了對現有網元的改造和影響，具備移動性，提高了組網靈活性。
實施例二
結合上述實施方式，本發明的第二實施例提供了另一種IP網絡中的監 聽系統，與實施例一不同的是，本實施例的監聽系統還包括消息分析單 元Radius TAP ， 該監聽系統的具體工作過程如下
Radius伺服器，接收由網絡設備路由器轉發的用戶的鑑權及計費請求 消息，並對用戶進行鑑權、計費；
Radius TAP，截取路由器和Radius伺服器交互的Radius消息進行分析， 確定監聽目標並獲得監聽目標的地址信息，具體地，所述Radius消息包括 用戶設備向Radius伺服器發送的鑑權請求消息和Radius伺服器向用戶返回 的鑑權響應消息；
Radius TAP截取該鑑權響應消息並其轉化為IRI消息上報給LIG，並將
Radius TAP解析獲得的監聽目標地址信息作為設定監聽過濾規則信息上報 給LIG， LIG在下發的監聽命令中攜帶所述的監聽目標地址信息；
過濾規則處理模塊，接收LIG下發的監聽命令，根據其中攜帶的監聽 目標地址信息設定過濾規則；
數據複製轉發單元截取用戶設備經由路由器接收的來自網絡側的數據 報文或者向網絡側發送的數據報文，複製所述的數據報文並轉發給報文接 收模塊；
報文接收模塊，用於接收數據報文並將該數據報文轉發給IP層解析模
塊；
IP層解析模塊，接收數據報文並解析報文的TCP或者UDP層，查詢 過濾規則處理模塊設定的過濾規則，將符合過濾規則的數據報文發送給生 成模塊，即所有以該IP位址為源地址或者目的地址的數據報文均為符合過 濾規則的數據報文；
報文生成模塊，將接收到的數據報文轉化為IRI或CC報文發送給報文 發送模塊；
報文發送模塊，將接收到的IRI或者CC報文發送給LIG;
LIG將接收到的IRI或者CC才艮文轉發給監聽中心MC,實現監聽。
本發明的實施例中，通過Radius TAP獲取設定監聽過濾規則相關信息， 由獨立於現有Radius Sever、 Router、 PDSN的監聽設備Analysis TAP完成 對特定監聽目標的監聽，減少了對現有網元的改造和影響，具備移動性， 提高了組網靈活性。
實施例三
同時，本發明的第三實施例，還提供了一種IP網絡中實現監聽的方法，
具體流程如附圖5所示
步驟1 、用戶設備UE發起登錄，向路由器Router發送請求登錄遠端 撥入用戶驗證伺服器的請求消息Radius Access Request;
步驟2、路由器接收該請求消息，向Radius伺服器發送鑑權請求消息；
步驟3 、分析單元Radius TAP截取該鑑權請求消息，通過分析獲知該 消息中攜帶的用戶信息和預先配置於Radius TAP中的監聽目標用戶信息相 一致，則確定所述的用戶設備為監聽目標，並向合法監聽網關LIG發送鑑 權請求IRI消息Access Request IRI;
具體地，所述用戶信息可以是用戶名或者其他鑑權信息；
步驟4、 LIG向MC轉發該IRI消息；
步驟5、 Radius伺服器鑑權通過，向路由器返回鑑權響應消息Access Accept,且該響應消息中攜帶有分配給該監聽目標的IP位址信息；
步驟6、 RadiusTAP截取並解析該鑑權響應消息，將解析獲得監聽目標 地址信息作為設定監聽過濾規則相關信息上報給LIG;具體地，本實施例 中，Radius TAP將該監聽目標的地址信息攜帶於Radius TAP轉換並發送給 LIG的鑑權響應IRI消息Access Accept IRI中；
步驟7、 LIG將接收到的IRI消息轉發給MC;
步驟8、 LIG解析接收到的Access Accept IRI消息，獲得監聽目標的IP 地址，將監聽目標的IP位址攜帶於監聽命令中發送給Analysis TAP,以通 知Analysis TAP啟動監聽，在本實施例中，監聽命令具體為設定監聽目標 消息；
步驟9、路由器接收Radius伺服器返回的鑑權響應消息後，向Radius 伺服器發起計費請求消息Accounting Start;
步驟10、 Radius TAP截取該計費請求消息，轉化成計費請求IRI消息 轉發給LIG;
步驟11、 LIG將接收到的IRI消息轉發給MC;
步驟12、根據計費策略，每隔一定的時間或者一定的數據流量，路由 器發送中間計費消息Interim Accounting給Radius伺服器；
步驟13 、 Radius TAP截取該中間計費消息，將其轉化成中間計費IRI 消息轉發給LIG;
步驟14、 LIG將接收到的中間計費IRI消息轉發給MC;
步驟15、 Analysis TAP接收LIG發送的設定監聽目標消息，依據該消 息中的監聽目標IP位址，設定監聽過濾規則為"上報通過該監聽目標IP地 址接收或者發送的數據報文"，依據該過濾規則對該監聽目標進行監聽；
步驟16、 Analysis TAP截取並複製所有源地址及目標地址為該監聽目 標IP位址的數據報文，將其通信內容(CC， Call Content)發送給LIG;
步驟17、 LIG將接收到的通信內容CC發送給MC,實現監聽；
步驟18、路由器發送終止計費消息Accounting Stop給Radius伺服器， 請求終止計費；
步驟19、 Radius TAP截取該終止計費請求消息，將該請求消息轉化成 IRI消息轉發給LIG;
步驟20、 LIG接收所述的終止計費消息，轉發給MC。
本發明的實施例中，通過Radius TAP獲取設定監聽過濾規則相關信息， 由獨立於現有Radius Sever、 Router、 PDSN的監聽設備Analysis TAP完成 對特定監聽目標的監聽，減少了對現有網元的改造和影響，具備移動性， 提高了組網靈活性。 實施例四
本發明的第四實施例，提供了另一種IP網絡中的監聽方法，具體流程 如附圖6所示
步驟1 、用戶設備發起登錄，向路由器Router發送請求消息Radius Access Request^
步驟2、路由器接收該請求消息，向Radius伺服器發送鑑權請求消息；
步驟3、 Radius伺服器鑑權通過，則向路由器返回鑑權響應消息Access Accept,且該響應消息中攜帶有分配給該用戶設備的IP位址信息；
步驟4、路由器接收Radius伺服器返回的鑑權響應消息後，向Radius 伺服器發送計費請求消息Accounting Start;
步驟5、鑑權通過後，Analysis TAP對該用戶設備進行監聽；
步驟6、 Analysis TAP截取用戶設備經由路由器接收或者發送的數據報 文，並根據已設定的過濾規則進行解析過濾，將符合過濾規則的相關信息 發送給LIG;其中，設定過濾規則的具體過程可以是
在鑑權通過前，LIG接收MC發送的監聽命令，要求針對含有特定詞 "爆炸"的數據報文進行監聽，LIG將所述的監聽命令轉發給Analysis TAP, 在所述的監聽命令中攜帶設定監聽過濾規則相關信息；
具體地，本實施例中所述的監聽命令具體可以是設定監聽過濾規則消 息，所述的設定監聽過濾規則相關信息可以是"爆炸"等過濾關鍵詞；
Analysis TAP根據所述過濾關鍵詞設定監聽過濾規則為"上報包含'爆 炸，等特定詞的用戶數據報文以及接收或發送該報文的用戶信息(比如，IP 地址信息)"；
步驟7、 LIG將接收到的符合過濾規則的相關信息轉發給MC,實現監 聽；其中，所述的相關信息包括IRI消息及通信內容CC;
步驟8、根據計費策略，每隔一定的時間或者一定的數據流量，路由器 發送中間計費消息Interim Accounting給Radius伺服器；
步驟9、路由器發送終止計費消息Accounting Stop給Radius伺服器， 請求終止計費。
本發明的實施例中，由MC下發特定的設定監聽過濾規則相關信息(過 濾關鍵詞)，並由新增網元Analysis TAP根據設定監聽過濾規則相關信息設 定過濾規則，實現對不特定對象的監聽；同時由於監聽設備Analysis TAP 獨立於現有的Radius Sever、 Router、 PDSN完成對監聽目標的監聽，減少 了對現有網元的改造和影響，具備移動性，提高了組網靈活性。
總之，以上所述僅為本發明的較佳實施例而已，並非用於限定本發明 的保護範圍。凡在本發明的精神和原則之內，所作的任何修改、等同替換、 改進等，均應包含在本發明的保護範圍之內。
權利要求
1、一種IP網絡中的監聽系統，其特徵在於，所述的監聽系統包括分析單元Analysis TAP，用於截取用戶設備經由網絡設備從網絡側接收或者經由網絡設備向網絡側發送的數據報文，根據合法監聽網關LIG下發的監聽命令設定監聽過濾規則，並根據所述的過濾規則解析過濾所述的數據報文，將過濾後的數據報文上報給所述的LIG，其中，所述的網絡設備為接入用戶設備的分組接入節點；LIG，用於向Analysis TAP下發監聽命令，所述的監聽命令中攜帶設定監聽過濾規則相關信息，並將Analysis TAP上報的數據報文轉發給監聽中心MC，實現監聽。
2、 根據權利要求1所述的系統，其特徵在於，所述的系統進一步包括 消息分析單元Radius TAP,所述Radius TAP,用於截取並解析所述網絡設備與Radius伺服器交互 的Radius消息，並將解析獲得的監聽目標的地址信息作為設定監聽過濾規 則相關信息上報給LIG。
3、 根據權利要求1或2所述的系統，其特徵在於，所述的設定監聽過 濾^見則相關信息包括過濾關4建詞；相應地，所述的分析單元Analysis TAP截取用戶設備經由網絡設備從網絡側接 收或者經由網絡設備向網絡側發送的數據報文，根據所述的過濾關鍵詞設 定監聽過濾規則，並根據所述監聽過濾規則解析所述數據報文的TCP層或 者UDP層後，進一步解析過濾數據報文應用層，將過濾後的數據報文上報 糹合所述的LIG。
4、 根據權利要求3所述的系統，其特徵在於，所述的網絡設備是路由器、分組數據服務節點或者接入服務網絡關口。
5、 一種IP網絡中的監聽設備，其特徵在於，所述的監聽設備包括數 據複製轉發單元、數據分析單元；其中，所述的數據複製轉發單元，用於截取用戶設備經由網絡設備接收的來 自網絡側的數據報文或者向網絡側發送的數據報文，複製所述的數據報文 並轉發給數據分析單元，其中，所述的網絡設備為接入用戶設備的分組接 入節點；所述的數據分析單元，接收所述的LIG下發的監聽命令及數據複製轉 發單元轉發的數據報文，根據所述的監聽命令中攜帶的設定監聽過濾規則 相關信息設定監聽過濾規則，並根據所述的過濾規則解析過濾接收到的數 據報文，將過濾後的數據報文上報給所述的LIG,其中，所述的設定監聽 過濾規則相關信息包括過濾關鍵詞。
6、 根據權利要求5所述的設備，其特徵在於，所述的數據分析單元具 體包括IP層解析模塊和業務解析模塊；其中，所述的IP層解析子模塊，接收數據複製轉發單元轉發的數據報文，查 詢監聽過濾規則，根據所述過濾規則解析所述報文的TCP層或者UDP層， 並根據報文的上層協議格式將所述的報文發送相應的業務解析模塊；所述的業務解析子模塊，接收所述IP層解析模塊發送的數據報文並進 行應用層解析，根據查詢獲得的監聽過濾規則進行過濾，並將過濾後的數 據報文轉發LIG。
7、 一種IP網絡中的監聽方法，其特徵在於，所述的方法包括如下步驟 Analysis TAP根據接收到的LIG下發的監聽命令設定監聽過濾規則， 所述的監聽命令中攜帶設定監聽過濾規則相關信息；截取用戶設備經由網絡設備接收的來自網絡側的數據報文或者向網絡 側發送的數據報文，其中，所述的網絡設備為接入用戶設備的分組接入節 點；根據所述的過濾規則解析過濾所述數據報文，將過濾後的數據報文轉 發給合法監聽網關LIG,由所述LIG轉發給監聽中心MC，以實現監聽。
8、 根據權利要求7所述的方法，其特徵在於，所述設定過濾規則的過 程具體包括在鑑權通過之前，LIG接收MC發送的監聽命令，並轉發給Analysis TAP,所述的監聽命令中攜帶設定監聽過濾規則相關信息，所述的設定監聽 過濾規則相關信息包括過濾關鍵詞；Analysis TAP根據所述的過濾關鍵詞設定監聽過濾規則。
9、 根據權利要求7所述的方法，其特徵在於，所述設定過濾規則的過 程具體包括Radius TAP截取網絡設備與Radius伺服器交互的Radius消息進行分 析，確定監聽目標並獲得監聽目標的地址信息，將獲得的所述監聽目標的 地址信息作為設定監聽過濾規則相關信息上報給LIG;LIG向Analysis TAP下發監聽命令，在所述監聽命令中攜帶所述監聽 目標的地址信息；Analysis TAP根據所述的監聽目標地址信息設定監聽過濾規則。
全文摘要
本發明實施例公開了一種IP網絡中的監聽系統、監聽設備及監聽方法，以減少對現有網元的改造和影響。本發明實施例的系統包括分析單元Analysis TAP，用於截取用戶設備經由網絡設備接收或者發送的數據報文，根據合法監聽網關LIG下發的監聽命令設定監聽過濾規則，並根據所述的過濾規則解析過濾所述的數據報文，將過濾後的數據報文上報給所述的LIG，其中，所述的網絡設備為接入用戶設備的分組接入節點；LIG，用於向Analysis TAP下發監聽命令，所述的監聽命令中攜帶設定監聽過濾規則相關信息，並將Analysis TAP上報的數據報文轉發給監聽中心MC，實現監聽。
文檔編號H04L12/26GK101179449SQ20071007741
公開日2008年5月14日 申請日期2007年11月27日 優先權日2007年11月27日
發明者金黃哲 申請人:華為技術有限公司