專(zhuān)利名稱(chēng):應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略架構(gòu)及其策略處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策 略架構(gòu)以及基于該網(wǎng)絡(luò)策略架構(gòu)的策略處理方法�。
背景技術(shù):
合法監(jiān)聽(tīng)即在經(jīng)相應(yīng)的授權(quán)機(jī)關(guān)批準(zhǔn)的前提下,由執(zhí)法機(jī)構(gòu)向網(wǎng)絡(luò)運(yùn)營(yíng)商/接入提供商/服務(wù)提供商(NWO/AP/SvP)發(fā)出監(jiān)聽(tīng)請(qǐng)求命令����,由 NWO/AP/SvP將公眾電信網(wǎng)(Public Telecommunication Network, PTN)用戶(hù)通信內(nèi)容以及呼叫相關(guān)信息進(jìn)行復(fù)制并發(fā)送給執(zhí)法機(jī)構(gòu)的一項(xiàng)信息安全技 術(shù)��。
在網(wǎng)絡(luò)安全管理領(lǐng)域���,合法監(jiān)聽(tīng)占有及其重要的作用首先,可以增 強(qiáng)國(guó)家安全的保障��,加強(qiáng)對(duì)進(jìn)出口關(guān)鍵話(huà)路的監(jiān)控���,滿(mǎn)足類(lèi)似反恐以及其 他政治上的需要����;其次��,各式犯罪行為也越來(lái)越頻繁地利用電話(huà)通信來(lái)進(jìn) 行���,合法監(jiān)聽(tīng)可以幫助未來(lái)偵察與取證這些犯罪行為�;而且合法監(jiān)聽(tīng)可以 對(duì)呼叫中心的坐席實(shí)行有效監(jiān)督���,提升坐席員的工作效率和客戶(hù)服務(wù)質(zhì) 量���,同時(shí)也提升了運(yùn)營(yíng)企業(yè)的形象,為企業(yè)帶來(lái)了利潤(rùn)����;合法監(jiān)聽(tīng)提供了 有效的故障分析數(shù)據(jù)����,方便用戶(hù)快速定位網(wǎng)絡(luò)故障���。
而一個(gè)穩(wěn)定���、健壯的合法監(jiān)聽(tīng)系統(tǒng)需要有功能強(qiáng)大的策略管理作為支 撐,從而可以脫離人工干預(yù)�,按照預(yù)先制定的策略���,自動(dòng)�、高效地完成對(duì)固 定電話(huà)網(wǎng)以及IP網(wǎng)絡(luò)的監(jiān)聽(tīng)任務(wù)����。目前,在網(wǎng)絡(luò)及設(shè)備管理中采用策略模型 受到了廣泛關(guān)注���。在實(shí)際應(yīng)用方面�,目前己有基于策略的網(wǎng)絡(luò)管理解決方案�, 一些大型廠商���,如思科、北電等都發(fā)布了一些支持策略管理的產(chǎn)品��,但這些 這些策略管理產(chǎn)品大多是基于IETF提出的策略管理框架����,且主要是對(duì)網(wǎng)絡(luò)
服務(wù)質(zhì)量進(jìn)行管理,對(duì)于合法監(jiān)聽(tīng)系統(tǒng)這種特殊應(yīng)用缺乏足夠的支持����。電路 交換網(wǎng)絡(luò)、報(bào)文交換網(wǎng)絡(luò)以及分組交換網(wǎng)絡(luò)進(jìn)行合法監(jiān)聽(tīng)的設(shè)備包括作為合 法監(jiān)聽(tīng)系統(tǒng)的核心部件之一策略管理設(shè)備���。目前�,廠商推出的大部分策略管 理設(shè)備都是針對(duì)服務(wù)質(zhì)量(QoS)的���,應(yīng)用于安全管理的產(chǎn)品并不多����,即使 這些設(shè)備能夠支持安全管理�����,它們能夠管理的安全產(chǎn)品種類(lèi)也有限。
如圖1所示���,為現(xiàn)有的IETF策略管理框架的示意圖��。如圖所示���,策略 管理的框架被定義成基于客戶(hù)端/服務(wù)器(Client/Server)的模式,即存在這 一個(gè)中心策略決定點(diǎn)101(PolicyDecisionPoint���, PDP)和多個(gè)分布于網(wǎng)絡(luò)節(jié)點(diǎn) 上的策略執(zhí)行點(diǎn)102 (Policy Enforcement Point, PEP)��。策略庫(kù)103 (PR: Policy Repository)用來(lái)存儲(chǔ)策略信息和規(guī)貝lj�����,可以采用數(shù)據(jù)庫(kù)(DB: Database) 或活動(dòng)目錄(AD: Active Directory)技術(shù)來(lái)實(shí)現(xiàn)。策略決定點(diǎn)�����,作為策略服務(wù) 器����,響應(yīng)策略事件���,并鎖定相應(yīng)的策略規(guī)則;完成狀態(tài)和資源的有效性校驗(yàn)����; 將存儲(chǔ)在策略知識(shí)庫(kù)中的策略規(guī)則轉(zhuǎn)換成設(shè)備可執(zhí)行的格式。策略執(zhí)行點(diǎn)�����, 作為策略系統(tǒng)的客戶(hù)端���,分布在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上�����,負(fù)責(zé)根據(jù)從策略決定點(diǎn)接 收到的策略來(lái)執(zhí)行相應(yīng)的策略管理操作�����,并同時(shí)將策略執(zhí)行的結(jié)果上報(bào)給策 略決定點(diǎn)�。其中策略的下發(fā)方式分為兩種�����,外購(gòu)方式和供應(yīng)方式。
但是��,這種IETF策略管理框架沒(méi)有考慮到對(duì)于策略的保密���,下發(fā)的策 略信息往往是明文格式�, 一旦被截獲就造成了監(jiān)聽(tīng)策略的泄露�����,這一點(diǎn)在分 布式合法監(jiān)聽(tīng)系統(tǒng)中尤其明顯����。在分布式合法監(jiān)聽(tīng)系統(tǒng)中,下發(fā)的策略消息 需要經(jīng)過(guò)互聯(lián)網(wǎng)傳輸?shù)骄W(wǎng)絡(luò)中各個(gè)監(jiān)控點(diǎn)�����,如果不能保證消息的機(jī)密性��,就 可能導(dǎo)致在中途策略消息被截獲后�����,被監(jiān)聽(tīng)對(duì)象可以采用針對(duì)性措施地逃避 合法監(jiān)聽(tīng)系統(tǒng)的監(jiān)控�����。
同時(shí)�,現(xiàn)有IETF策略管理框架使用目錄服務(wù)存儲(chǔ)策略,每條策略需要 明確指定被管理的對(duì)象及方法����,無(wú)法根據(jù)被管理對(duì)象的條件和狀態(tài)的動(dòng)態(tài)變 化,自動(dòng)地修改調(diào)整原先制定的策略�,而必須通過(guò)管理控制臺(tái)人工手動(dòng)修改 目錄服務(wù)器中存儲(chǔ)的策略。另一方面�,現(xiàn)有的IETF策略管理框架是一種平
面集中式架構(gòu),所有的策略生成和分發(fā)均在網(wǎng)絡(luò)中唯一的一個(gè)策略決定點(diǎn)完 成��,使得該策略決定點(diǎn)有著沉重的處理負(fù)擔(dān)����,因此這個(gè)策略決定點(diǎn)將成為制 約整個(gè)合法監(jiān)聽(tīng)系統(tǒng)性能的瓶頸。
發(fā)明內(nèi)容
本發(fā)明的目的是為了解決現(xiàn)有策略管理結(jié)構(gòu)存在的缺少對(duì)策略的保密 以及策略決定點(diǎn)的沉重的處理負(fù)擔(dān)等的缺點(diǎn)�����,采用一種適用于合法監(jiān)聽(tīng)系統(tǒng) 中的三層結(jié)構(gòu)的網(wǎng)絡(luò)策略架構(gòu)�����,以減輕策略決定點(diǎn)的處理負(fù)擔(dān),實(shí)現(xiàn)包括安
全�、QoS和監(jiān)聽(tīng)等在內(nèi)的統(tǒng)一合法監(jiān)聽(tīng)策略管理。
本發(fā)明還涉及在這種網(wǎng)絡(luò)策略框架下具體的策略處理方法以及對(duì)由策 略執(zhí)行點(diǎn)下發(fā)的策略子類(lèi)進(jìn)行加密�����。
為了實(shí)現(xiàn)上述目的����,本發(fā)明提供了一種應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略
框架,該網(wǎng)絡(luò)策略框架包括
策略庫(kù)���,用于存儲(chǔ)所有策略模版����;
全局策略決定點(diǎn)�����,與所述策略庫(kù)連接�����,用于全網(wǎng)的管理策略決定�,從所 述策略庫(kù)獲取策略模板并下發(fā);
本地策略決定點(diǎn)��,與所述策略決定點(diǎn)連接�����,用于分析策略規(guī)則�,接收所 述策略模版,根據(jù)所述策略模版提供策略子類(lèi)���;
策略執(zhí)行點(diǎn)��,與所述本地策略決定點(diǎn)連接�,用于通過(guò)所述本地策略決定 點(diǎn)向策略決定點(diǎn)注冊(cè)�,以及獲取所述策略子類(lèi)和/或?qū)λ霾呗宰宇?lèi)進(jìn)行加 密,并將加密后的所述策略子類(lèi)分發(fā)���。
進(jìn)一步地���,所述的應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架還包括加密模 塊,與所述策略執(zhí)行點(diǎn)連接�����,執(zhí)行所述策略子類(lèi)或?qū)λ霾呗宰宇?lèi)進(jìn)行解密, 執(zhí)行解密后的所述策略子類(lèi)�����,并將策略執(zhí)行結(jié)果上報(bào)給所述策略執(zhí)行點(diǎn)���;進(jìn) 一步地���,策略執(zhí)行點(diǎn)將執(zhí)行結(jié)果上報(bào)給所述全局策略決定點(diǎn),對(duì)所述策略執(zhí) 行結(jié)果進(jìn)行評(píng)估�����,優(yōu)化所述策略模版����。
進(jìn)一步地,所述的應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架還包括QoS保 障模塊��,與所述策略執(zhí)行點(diǎn)連接����,執(zhí)行所述策略子類(lèi)或?qū)λ霾呗宰宇?lèi)進(jìn)行 解密�����,執(zhí)行解密后的所述策略子類(lèi),并將策略執(zhí)行結(jié)果上報(bào)給所述策略執(zhí)行 點(diǎn)��;進(jìn)一步地��,策略執(zhí)行點(diǎn)將執(zhí)行結(jié)果上報(bào)給所述全局策略決定點(diǎn)�����,對(duì)所述 策略執(zhí)行結(jié)果進(jìn)行評(píng)估����,優(yōu)化所述策略模版。
進(jìn)一歩地��,所述的應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架還包括合法監(jiān) 聽(tīng)模塊��,與所述策略執(zhí)行點(diǎn)連接�����,執(zhí)行所述策略子類(lèi)或?qū)λ霾呗宰宇?lèi)進(jìn)行 解密,執(zhí)行解密后的所述策略子類(lèi)�,并將策略執(zhí)行結(jié)果上報(bào)給所述策略執(zhí)行 點(diǎn);進(jìn)一步地����,策略執(zhí)行點(diǎn)將執(zhí)行結(jié)果上報(bào)給所述全局策略決定點(diǎn),對(duì)所述 策略執(zhí)行結(jié)果進(jìn)行評(píng)估����,優(yōu)化所述策略模版。
為了實(shí)現(xiàn)上述目的本發(fā)明還提供了一種基于應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng) 絡(luò)策略框架的策略處理方法�,該包括策略處理方法包括以下步驟
策略執(zhí)行點(diǎn)通過(guò)本地策略決定點(diǎn)向全局策略決定點(diǎn)發(fā)送包括所需策略 信息的注冊(cè)請(qǐng)求;
所述全局策略決定點(diǎn)根據(jù)所述注冊(cè)請(qǐng)求査詢(xún)策略庫(kù)獲取策略模版并下 發(fā)到本地策略決定點(diǎn)儲(chǔ)存���;
所述本地策略決定點(diǎn)根據(jù)所需策略信息分析策略規(guī)則�,并根據(jù)所述策略 規(guī)則��,按照所述策略模版派生策略子類(lèi)�����;以及
進(jìn)一步地�,所述的策略處理方法還包括以下步驟應(yīng)用模塊執(zhí)行所述策 略子類(lèi),并將策略執(zhí)行結(jié)果上報(bào)給所述全局策略決定點(diǎn)���;進(jìn)一步地���,所述全 局策略決定點(diǎn)對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估�����,優(yōu)化所述策略模版����。
進(jìn)一步地�����,在所述策略執(zhí)行點(diǎn)獲取所述策略子類(lèi)與將所述策略子類(lèi)分發(fā) 之間還包括以下步驟:所述策略執(zhí)行點(diǎn)對(duì)需要分發(fā)的所述策略子類(lèi)進(jìn)行加密; 進(jìn)一步地���,所述將所述策略子類(lèi)分發(fā)具體為所述策略執(zhí)行點(diǎn)將加密后的所 述策略子類(lèi)發(fā)送給相應(yīng)的所述應(yīng)用模塊。
進(jìn)一步地����,所述應(yīng)用模塊執(zhí)行所述策略子類(lèi)具體為所述應(yīng)用模塊將加
密后的策略子類(lèi)利用分配到的一把公鑰和私鑰組成的密鑰對(duì)進(jìn)行解密后,執(zhí) 行解密的策略子類(lèi)���。
通過(guò)本發(fā)明提供的網(wǎng)絡(luò)策略架構(gòu)�,能夠?yàn)楹戏ūO(jiān)聽(tīng)系統(tǒng)確定應(yīng)用策略的
組件,對(duì)新的策略配置進(jìn)行自動(dòng)控制��,并且減輕原IETF策略架構(gòu)中策略決 定點(diǎn)的處理負(fù)擔(dān)��,實(shí)現(xiàn)包括安全���、QoS和監(jiān)聽(tīng)等在內(nèi)的統(tǒng)一的合法監(jiān)聽(tīng)策略 管理����,以及策略子類(lèi)的安全下發(fā)���。
圖1為現(xiàn)有技術(shù)IETF策略管理框架的結(jié)構(gòu)圖���; 圖2為本發(fā)明應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略架構(gòu)的結(jié)構(gòu)示意圖; 圖3為本發(fā)明基于應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略架構(gòu)的策略處理方法 的流程圖4為本發(fā)明基于應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略架構(gòu)的策略處理方法 實(shí)施例1的流程圖��。
具體實(shí)施例方式
如圖2所示為本發(fā)明應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架20的結(jié)構(gòu)示 意圖�。考慮到對(duì)容量擴(kuò)充的需要并且為了減輕策略決定點(diǎn)(PDP)(在本發(fā) 明中被稱(chēng)之為全局策略決定點(diǎn))的負(fù)荷�,提高策略管理框架的工作效率,需 要對(duì)策略決定功能(PDP)進(jìn)行分級(jí)�����,設(shè)置本地策略決定點(diǎn)(Local Policy Decision Point, LPDP),由本地策略決定點(diǎn)來(lái)管理各個(gè)策略執(zhí)行點(diǎn)(PEP)��。 該框架20包括策略庫(kù)201����,用于存儲(chǔ)所有策略模版,對(duì)策略庫(kù)中策略可以 進(jìn)行制定��、修改和刪除功能���;全局策略決定點(diǎn)202�,與所述策略庫(kù)201連接���, 處于網(wǎng)絡(luò)中央,起著策略服務(wù)器的作用���,用于全網(wǎng)的管理策略決定�����,從所述 策略庫(kù)獲取策略模板��,通過(guò)策略供應(yīng)方式下發(fā)��;本地策略決定點(diǎn)203�����,與所 述全局策略決定點(diǎn)202連接�����,負(fù)責(zé)全網(wǎng)下面的各個(gè)子網(wǎng)或者局域網(wǎng)的管理策
略決定���,用于分析策略條件�,接收所述策略模版�����,根據(jù)所述策略模版提供策
略子類(lèi)���;策略執(zhí)行點(diǎn)(PEP) 204�,與所述本地策略決定點(diǎn)連接���,用于通過(guò)所 述本地策略決定點(diǎn)向全局策略決定點(diǎn)注冊(cè)����,以及獲取所述策略子類(lèi),并將所 述策略子類(lèi)分發(fā)���,或者在獲取所述策略子類(lèi)后�,利用相應(yīng)的應(yīng)用模塊的公鑰 對(duì)所述策略子類(lèi)進(jìn)行加密�����,并將加密后的策略子類(lèi)分發(fā)���。本發(fā)明本地策略決 定點(diǎn)203從全局策略決定點(diǎn)202獲取通用策略�,然后在本地策略決定點(diǎn)203 根據(jù)如策略信息來(lái)具體化QoS管理�、安全或者監(jiān)聽(tīng)策略,從而不需要人工處 理策略����,更加靈活和及時(shí)制定出策略��。
再參見(jiàn)圖2所示�����,網(wǎng)絡(luò)策略框架還包括加密模塊205���,與所述策略執(zhí)行 點(diǎn)204連接�����,執(zhí)行所述策略子類(lèi)��,或者將加密后的策略子類(lèi)利用分配到的一 把公鑰和私鑰組成的密鑰對(duì)進(jìn)行解密后��,執(zhí)行解密的策略子類(lèi)��,并將策略執(zhí) 行結(jié)果上報(bào)給所述策略執(zhí)行點(diǎn)�����;進(jìn)一步地��,策略執(zhí)行點(diǎn)將執(zhí)行結(jié)果上報(bào)給所 述全局策略決定點(diǎn)202����,對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估,優(yōu)化所述策略模版���。
網(wǎng)絡(luò)策略框架還包括QoS保障模塊206���,與所述策略執(zhí)行點(diǎn)204連接��, 執(zhí)行所述策略子類(lèi)����,或者將加密后的策略子類(lèi)利用分配到的一把公鑰和私鑰 組成的密鑰對(duì)進(jìn)行解密后����,執(zhí)行解密的策略子類(lèi),�����,保障網(wǎng)絡(luò)的服務(wù)質(zhì)量�����, 并將策略執(zhí)行結(jié)果上報(bào)給所述策略執(zhí)行點(diǎn)��;進(jìn)一步地���,策略執(zhí)行點(diǎn)將執(zhí)行結(jié) 果上報(bào)給所述全局策略決定點(diǎn)202����,對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估�,優(yōu)化所 述策略模版。
網(wǎng)絡(luò)策略框架還包括監(jiān)聽(tīng)模塊207����,與所述策略執(zhí)行點(diǎn)204連接,執(zhí) 行所述策略子類(lèi)�����,或者將加密后的策略子類(lèi)利用分配到的一把公鑰和私鑰組 成的密鑰對(duì)進(jìn)行解密后���,執(zhí)行解密的策略子類(lèi)����,并將策略執(zhí)行結(jié)果上報(bào)給所 述策略執(zhí)行點(diǎn)�;進(jìn)一步地,策略執(zhí)行點(diǎn)204將執(zhí)行結(jié)果上報(bào)給所述全局策略 決定點(diǎn)202���,對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估�����,優(yōu)化所述策略模版�����。
由圖1可以看出本發(fā)明框架分為三層���,第一層為全局策略決定點(diǎn)202���, 第二層為本地策略決定點(diǎn)203,第三層為策略執(zhí)行點(diǎn)204以及底層的模塊205�、
206和207。本發(fā)明這種策略管理框架是集加密功能管理����、QoS保障管理以 及監(jiān)聽(tīng)管理于一體,且能滿(mǎn)足新的策略管理需求的策略管理模型�����。
如圖3所示為本發(fā)明基于應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架的策略處 理方法���,該策略處理方法包括以下步驟
步驟301�����,策略執(zhí)行點(diǎn)通過(guò)本地策略決定點(diǎn)向全局策略決定點(diǎn)發(fā)送包括 所需策略信息的注冊(cè)請(qǐng)求����;
步驟302��,所述全局策略決定點(diǎn)根據(jù)所述注冊(cè)請(qǐng)求査詢(xún)策略庫(kù)獲取策略 模版并下發(fā)到本地策略決定點(diǎn)儲(chǔ)存���;
步驟303���,所述本地策略決定點(diǎn)根據(jù)所需策略信息分析策略規(guī)則,并根 據(jù)所述策略規(guī)則��,按照所述策略模版派生策略子類(lèi)�;
步驟304,所述策略執(zhí)行點(diǎn)獲取所述策略子類(lèi)�,并將所述策略子類(lèi)分發(fā)。
所述策略執(zhí)行點(diǎn)將所述策略子類(lèi)分發(fā)之前還可包括以下步驟各個(gè)應(yīng)用 模塊都被分配由一把公鑰和私鑰組成的密鑰對(duì)�����。所述策略執(zhí)行點(diǎn)利用相應(yīng)的 應(yīng)用模塊的公鑰對(duì)分發(fā)的所述策略子類(lèi)進(jìn)行加密�����,所述策略執(zhí)行點(diǎn)將加密的 所述策略子類(lèi)分別發(fā)送給所述應(yīng)用模塊���。經(jīng)過(guò)加密后將策略子類(lèi)下發(fā)�,這樣 能夠保證消息的機(jī)密性。
參見(jiàn)圖3所示的流程圖���,所述處理方法還包括以下步驟步驟305���,應(yīng) 用模塊執(zhí)行所述策略子類(lèi),并將策略執(zhí)行結(jié)果上報(bào)給所述全局策略決定點(diǎn)�; 進(jìn)一步地,所述全局策略決定點(diǎn)對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估�����,優(yōu)化所述策 略模版���?����;蛘呷绻鰬?yīng)用模塊接收到的是加密的策略子類(lèi)�����,則先通過(guò)自身 保存的私鑰對(duì)其進(jìn)行解密后���,再執(zhí)行解密后的策略子類(lèi)��。
如圖4所示為本發(fā)明基于網(wǎng)絡(luò)策略框架的策略處理方法實(shí)施例1的流程 圖��。該實(shí)施例主要描述了用戶(hù)向PEP發(fā)起QoS管理的請(qǐng)求����;網(wǎng)絡(luò)策略框架生 成QoS策略的流程��。
步驟401 ���, PEP檢査執(zhí)行該QoS策略的應(yīng)用模塊是否允許QoS策略,若 允許����,執(zhí)行步驟402,否則結(jié)束��;
歩驟402�����, PEP通過(guò)LPDP向PDP發(fā)送包括QoS策略信息如用戶(hù)簽約等 級(jí)�����,業(yè)務(wù)類(lèi)型及設(shè)備自身帶寬能力,根據(jù)不同的簽約等級(jí)確定不同帶寬和連 接數(shù)的注冊(cè)請(qǐng)求��;
步驟403����, PDP根據(jù)注冊(cè)請(qǐng)求查詢(xún)策略庫(kù)獲取通用策略模版并下發(fā)到 LPDP儲(chǔ)存;該通用策略模版包括成員如策略作用域���、策略評(píng)估矢量��、策略 作用域��、策略行為和策略有效時(shí)間段����,和成員方法如條件矢量組合方法���;
步驟404��, LPDP根據(jù)QoS策略信息如用戶(hù)簽約等級(jí)��,業(yè)務(wù)類(lèi)型及設(shè)備 自身帶寬能力���,根據(jù)不同的簽約等級(jí)確定不同帶寬和連接數(shù)�����,分析策略規(guī)則 的策略條件�、策略行為�����、策略作用域���、條件矢量組合方法、和策略有效時(shí)間 段����,如
將策略條件分別用矢量表示,獲得相對(duì)應(yīng)的策略評(píng)估矢量��;所述策略評(píng) 估矢量包括評(píng)估對(duì)象和評(píng)估方法����,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè) 值或區(qū)間進(jìn)行比較,如果匹配��,則為"真",否則為"假"�����。評(píng)估對(duì)象是用 戶(hù)的電話(huà)號(hào)碼�,評(píng)估方法是采用基于用戶(hù)的評(píng)估方法。如將用戶(hù)分為高�、中、 低三個(gè)級(jí)別���,并保留提供其他特殊用戶(hù)使用的號(hào)碼����。若此時(shí)發(fā)起呼叫的用戶(hù) 的電話(huà)號(hào)碼為87544044�,則基于用戶(hù)的評(píng)估方法如下查找與此號(hào)碼匹配的 級(jí)別,發(fā)現(xiàn)該用戶(hù)屬于低級(jí)用戶(hù)�。即此時(shí)策略評(píng)估的結(jié)果為低級(jí)用戶(hù)策略。 策略行為是指定該用戶(hù)的網(wǎng)絡(luò)預(yù)留帶寬���、最大限制帶寬和該用戶(hù)允許的連接 數(shù)�,如對(duì)于此低級(jí)用戶(hù)指定網(wǎng)絡(luò)預(yù)留帶寬為10k����,而用戶(hù)允許的連接數(shù)為1 個(gè)��,當(dāng)網(wǎng)絡(luò)閑時(shí)�,最大限制帶寬為15k����。或者
分析2個(gè)策略條件��、策略行為如根據(jù)數(shù)據(jù)的整體流量來(lái)制定策略限制最 大允許的用戶(hù)連接數(shù)和最大帶寬��,如在剩余連接數(shù)為4�����,可用帶寬為40k的 時(shí)候��,允許提供設(shè)備默認(rèn)連接數(shù)2個(gè)�����,默認(rèn)帶寬20k�,并指定最大允許的用 戶(hù)連接數(shù)為3個(gè)���,最大帶寬為30k;和策略有效時(shí)間段�����,如此設(shè)備的策略有 效時(shí)間段為2007年的下半年��,即為7月1日到12月31日��;并將2個(gè)策略條 件分別用矢量表示��,獲得相對(duì)應(yīng)的2個(gè)策略評(píng)估矢量���;所述策略評(píng)估矢量包 括評(píng)估對(duì)象和評(píng)估方法��,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間 進(jìn)行比較�,如果匹配��,則為"真"�����,否則為"假"���。在第一策略評(píng)估矢量中��,評(píng)估對(duì)象是網(wǎng)絡(luò)的總的流量���,評(píng)估方法是基于 設(shè)備流量的評(píng)估方法��。如此時(shí)的可用流量即分配給用戶(hù)其簽訂的預(yù)留帶寬之后剩余的帶寬為40k�,設(shè)備的默認(rèn)帶寬為20k��,則有可能為設(shè)備指定20k的帶 寬��;若此時(shí)剩余帶寬只有15k��,則無(wú)法為設(shè)備指定帶寬�,發(fā)送錯(cuò)誤報(bào)告。在第二策略評(píng)估矢量中����,評(píng)估對(duì)象是網(wǎng)絡(luò)的剩余連接數(shù),評(píng)估方法是基 于設(shè)備連接數(shù)的評(píng)估方法����。如此時(shí)網(wǎng)絡(luò)的可用連接數(shù)即分配給用戶(hù)其簽訂的 連接數(shù)之后剩余的帶寬為4���,設(shè)備默認(rèn)連接數(shù)為2����,則有可能為設(shè)備提供2 個(gè)連接;若此時(shí)剩余連接數(shù)只有1����,則無(wú)法為設(shè)備提供所需連接數(shù),不能執(zhí) 行對(duì)應(yīng)操作�����;步驟405�����, LPDP根據(jù)上述的QoS策略條件���、策略行為���、策略作用域、 條件矢量組合方法�����、和策略有效時(shí)間段��,繼承通用策略模版生成QoS策略實(shí) 例,下發(fā)給PEP;步驟406�����, PEP分發(fā)QoS策略實(shí)例給應(yīng)用模塊如QoS模塊執(zhí)行來(lái)保障網(wǎng) 絡(luò)的服務(wù)質(zhì)量�,并將策略執(zhí)行結(jié)果上報(bào)給PDP;進(jìn)一步地,PDP對(duì)所述策略 執(zhí)行結(jié)果進(jìn)行評(píng)估��,優(yōu)化策略模版�����。本發(fā)明基于網(wǎng)絡(luò)策略框架的策略處理方法實(shí)施例2描述了加密策略的處 理流程����。其處理流程同圖4步驟401-步驟406相似,唯一不同的在于注冊(cè)請(qǐng)求在本例中為包括系統(tǒng)簽約等級(jí)及用戶(hù)簽約等級(jí)加密信息的請(qǐng)求����,并且步驟 404替換為,LPDP根據(jù)用戶(hù)簽約等級(jí)�����,業(yè)務(wù)類(lèi)型及設(shè)備自身帶寬能力����,根據(jù) 不同的簽約等級(jí)確定不同安全級(jí)別和加密算法,分析策略規(guī)則的策略條件���、 策略行為����、策略作用域�����、條件矢量組合方法����、和策略有效時(shí)間段,如策略行為如根據(jù)評(píng)估結(jié)果�����,即中級(jí)用戶(hù)策略����,指定該用戶(hù)的安全級(jí)別和 加密算法,如對(duì)于此中級(jí)用戶(hù)指定安全級(jí)別為中級(jí)���,加密算法為AES加密算 法�;和策略有效時(shí)間段從簽約日起,即2007年5月15日下午3: 00到2008
年5月15日下午3: 00;并將策略條件分別用矢量表示���,獲得相對(duì)應(yīng)的策略 評(píng)估矢量��;所述策略評(píng)估矢量包括評(píng)估對(duì)象和評(píng)估方法����,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比較����,如果匹配,則為"真"��,否則為 "假"��。評(píng)估對(duì)象是用戶(hù)的電話(huà)號(hào)碼���,評(píng)估方法是采用基于用戶(hù)的評(píng)估方法�����。 如將用戶(hù)分為高��、中��、低三個(gè)級(jí)別�����,若此時(shí)發(fā)起呼叫的用戶(hù)的電話(huà)號(hào)碼為87544044�,則基于用戶(hù)的評(píng)估方法如下査找與此號(hào)碼匹配的級(jí)別�����,發(fā)現(xiàn)該 用戶(hù)屬于低級(jí)用戶(hù)���。即此時(shí)策略評(píng)估的結(jié)果為中級(jí)用戶(hù)策略��;或者�,策略行 為如根據(jù)行為是根據(jù)評(píng)估結(jié)果�,即低級(jí)用戶(hù)策略,指定該用戶(hù)的安全級(jí)別和 加密算法�,如對(duì)于此指定安全級(jí)別為中級(jí),加密算法為DES加密算法��;和策 略有效時(shí)間段為2007年的下半年�,即為7月1日到12月31日����;并將策略條 件分別用矢量表示��,獲得相對(duì)應(yīng)的策略評(píng)估矢量���;所述策略評(píng)估矢量包括評(píng) 估對(duì)象和評(píng)估方法���,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行 比較,如果匹配����,則為"真",否則為"假"���。評(píng)估對(duì)象是用戶(hù)的電話(huà)號(hào)碼���, 評(píng)估方法是基于設(shè)備的評(píng)估方法。如此時(shí)發(fā)起呼叫的設(shè)備的電話(huà)號(hào)碼為 87541000��,則將此號(hào)碼評(píng)估為默認(rèn)設(shè)備��;步驟405替換為L(zhǎng)PDP根據(jù)上述的加密策略規(guī)則,繼承通用策略模版生 成加密策略實(shí)例���,下發(fā)給PEP;步驟406�����,由加密模塊執(zhí)行加密策略實(shí)例���, 來(lái)根據(jù)下發(fā)的策略進(jìn)行對(duì)用戶(hù)分配安全級(jí)別和加密算法��。本發(fā)明基于網(wǎng)絡(luò)策略框架的策略處理方法實(shí)施例3描述了監(jiān)聽(tīng)策略的處 理流程���。其處理流程同圖4步驟401-步驟406相似���,唯一不同的在于注冊(cè)請(qǐng) 求在本例中為包括被監(jiān)聽(tīng)用戶(hù)的號(hào)碼,該用戶(hù)被監(jiān)聽(tīng)的時(shí)間段�、監(jiān)聽(tīng)類(lèi)型以 及轉(zhuǎn)發(fā)單元的IP地址的請(qǐng)求,并且步驟404為����,LPDP根據(jù)被監(jiān)聽(tīng)用戶(hù)的號(hào) 碼,該用戶(hù)被監(jiān)聽(tīng)的時(shí)間段��、監(jiān)聽(tīng)類(lèi)型以及轉(zhuǎn)發(fā)單元的IP地址��,分析策略規(guī) 則如策略行為如根據(jù)評(píng)估結(jié)果,對(duì)此用戶(hù)開(kāi)啟監(jiān)聽(tīng)�����;和策略有效時(shí)間段為 2007年5月15日下午3: 00到2008年5月15日下午3: 00;并將策略條件 分別用矢量表示�����,獲得相對(duì)應(yīng)的策略評(píng)估矢量�;所述策略評(píng)估矢量包括評(píng)估
對(duì)象和評(píng)估方法,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比 較����,如果匹配,則為"真"�,否則為"假"。評(píng)估對(duì)象是用戶(hù)的電話(huà)號(hào)碼�����, 評(píng)估方法是采用開(kāi)啟/關(guān)閉監(jiān)聽(tīng)策略評(píng)估方法��,若此時(shí)發(fā)起呼叫的用戶(hù)的電話(huà)號(hào)碼為87544044�����,則開(kāi)啟/關(guān)閉監(jiān)聽(tīng)策略評(píng)估方法如下査找此號(hào)碼是否屬 于監(jiān)聽(tīng)類(lèi),發(fā)現(xiàn)該用戶(hù)屬于監(jiān)聽(tīng)類(lèi)�����。即此時(shí)策略評(píng)估的結(jié)果為監(jiān)聽(tīng)用戶(hù)策略�; 或者査找此號(hào)碼是否屬于關(guān)閉監(jiān)聽(tīng)類(lèi),發(fā)現(xiàn)該用戶(hù)屬于關(guān)閉監(jiān)聽(tīng)類(lèi)��。即此時(shí) 策略評(píng)估的結(jié)果為關(guān)閉監(jiān)聽(tīng)用戶(hù)策略�����;步驟405替換為L(zhǎng)PDP根據(jù)上述的監(jiān) 聽(tīng)策略規(guī)則�,對(duì)通用策略模版派生生成加密策略實(shí)例�����,下發(fā)給PEP;而步驟 406�,由監(jiān)聽(tīng)模塊執(zhí)行監(jiān)聽(tīng)策略實(shí)例來(lái)對(duì)核心網(wǎng)上的用戶(hù)進(jìn)行合法監(jiān)聽(tīng)。上述描述的實(shí)施例l��、 2��、 3中,策略執(zhí)行點(diǎn)發(fā)送的策略子類(lèi)是沒(méi)有經(jīng)過(guò) 加密的�,當(dāng)然,可選地�����,本發(fā)明也能將策略執(zhí)行點(diǎn)分發(fā)的策略子類(lèi)進(jìn)行加密 后����,再分發(fā)給應(yīng)用模塊,應(yīng)用模塊在執(zhí)行時(shí)該加密的策略子類(lèi)時(shí)�����,先必須對(duì) 加密的策略子類(lèi)進(jìn)行解密�����。因此����,通過(guò)本發(fā)明提出的應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略架構(gòu)可以利用 通用策略模版進(jìn)行策略的自動(dòng)生成,并且本地策略決定點(diǎn)也參與策略生成過(guò) 程�,分擔(dān)了全局策略決定點(diǎn)的負(fù)擔(dān),使得整個(gè)系統(tǒng)更加可靠�����。并且本發(fā)明可 以靈活加載各種與策略執(zhí)行相關(guān)的模塊,如QoS模塊����、加密模塊和監(jiān)聽(tīng)模塊, 如監(jiān)聽(tīng)模塊在核心網(wǎng)上對(duì)用戶(hù)進(jìn)行監(jiān)聽(tīng)時(shí)進(jìn)行加載����,因此,在進(jìn)行合法監(jiān)聽(tīng) 的時(shí)候可以根據(jù)實(shí)際需求來(lái)加載這些模塊�,比如只需要進(jìn)行保障網(wǎng)絡(luò)質(zhì)量時(shí), 可以加載QoS模塊來(lái)執(zhí)行相關(guān)的QoS策略實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)質(zhì)量進(jìn)行保障����。并且 對(duì)策略子類(lèi)的加密能夠保證消息的機(jī)密性,避免在中途策略消息被截獲后�, 被監(jiān)聽(tīng)對(duì)象可以采用針對(duì)性措施地逃避合法監(jiān)聽(tīng)系統(tǒng)的監(jiān)控����。最后所應(yīng)說(shuō)明的是,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限 制�,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明,本領(lǐng)域的普通技術(shù)人員 應(yīng)當(dāng)理解��,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本發(fā) 明技術(shù)方案的精神和范圍�����,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中�。
權(quán)利要求
1、 一種應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架�,其特征在于包括 策略庫(kù),用于存儲(chǔ)所有策略模版��;全局策略決定點(diǎn)��,與所述策略庫(kù)連接���,用于全網(wǎng)的管理策略決定�����,從 所述策略庫(kù)獲取策略模板并下發(fā)����;本地策略決定點(diǎn)��,與所述策略決定點(diǎn)連接�,用于分析策略規(guī)則���,接收 所述策略模版,根據(jù)所述策略模版提供策略子類(lèi)��;策略執(zhí)行點(diǎn)�����,與所述本地策略決定點(diǎn)連接���,用于通過(guò)所述本地策略決 定點(diǎn)向策略決定點(diǎn)注冊(cè)����,以及獲取所述策略子類(lèi)和/或?qū)λ霾呗宰宇?lèi)進(jìn)行 加密�,并將加密后的所述策略子類(lèi)分發(fā)。
2�����、 根據(jù)權(quán)利要求l所述的應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架�,其特 征在于還包括加密模塊�����,與所述策略執(zhí)行點(diǎn)連接,執(zhí)行所述策略子類(lèi)或 對(duì)所述策略子類(lèi)進(jìn)行解密����,執(zhí)行解密后的所述策略子類(lèi),并將策略執(zhí)行結(jié) 果上報(bào)給所述策略執(zhí)行點(diǎn)�����;進(jìn)一步地���,策略執(zhí)行點(diǎn)將執(zhí)行結(jié)果上報(bào)給所述 全局策略決定點(diǎn)����,對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估����,優(yōu)化所述策略模版。
3��、 根據(jù)權(quán)利要求1或2所述的應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架����, 其特征在于還包括QoS保障模塊,與所述策略執(zhí)行點(diǎn)連接����,執(zhí)行所述策 略子類(lèi)或?qū)λ霾呗宰宇?lèi)進(jìn)行解密�����,執(zhí)行解密后的所述策略子類(lèi)����,并將策 略執(zhí)行結(jié)果上報(bào)給所述策略執(zhí)行點(diǎn)����;進(jìn)一步地,策略執(zhí)行點(diǎn)將執(zhí)行結(jié)果上 報(bào)給所述全局策略決定點(diǎn)���,對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估��,優(yōu)化所述策略 模版��。
4�、 根據(jù)權(quán)利要求3所述的應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架����,其特 征在于還包括合法監(jiān)聽(tīng)模塊,與所述策略執(zhí)行點(diǎn)連接,執(zhí)行所述策略子 類(lèi)或?qū)λ霾呗宰宇?lèi)進(jìn)行解密����,執(zhí)行解密后的所述策略子類(lèi)����,并將策略執(zhí) 行結(jié)果上報(bào)給所述策略執(zhí)行點(diǎn);進(jìn)一步地����,策略執(zhí)行點(diǎn)將執(zhí)行結(jié)果上報(bào)給 所述全局策略決定點(diǎn),對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估��,優(yōu)化所述策略模版����。
5、 一種基于應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架的策略處理方法��,其 特征在于包括以下步驟策略執(zhí)行點(diǎn)通過(guò)本地策略決定點(diǎn)向全局策略決定點(diǎn)發(fā)送包括所需策略 信息的注冊(cè)請(qǐng)求���;所述全局策略決定點(diǎn)根據(jù)所述注冊(cè)請(qǐng)求查詢(xún)策略庫(kù)獲取策略模版并下 發(fā)到本地策略決定點(diǎn)儲(chǔ)存��;所述本地策略決定點(diǎn)根據(jù)所需策略信息分析策略規(guī)則��,并根據(jù)所述策 略規(guī)則��,按照所述策略模版派生策略子類(lèi)����;以及所述策略執(zhí)行點(diǎn)獲取所述策略子類(lèi),并將所述策略子類(lèi)分發(fā)�����。
6����、 根據(jù)權(quán)利要求5所述的策略處理方法,其特征在于還包括以下步驟 應(yīng)用模塊執(zhí)行所述策略子類(lèi)���,并將策略執(zhí)行結(jié)果上報(bào)給所述全局策略決定 點(diǎn)�;進(jìn)一步地��,所述全局策略決定點(diǎn)對(duì)所述策略執(zhí)行結(jié)果進(jìn)行評(píng)估��,優(yōu)化 所述策略模版��。
7�����、 根據(jù)權(quán)利要求6所述的策略處理方法,其特征在于在所述策略執(zhí)行 點(diǎn)獲取所述策略子類(lèi)與將所述策略子類(lèi)分發(fā)之間還包括以下步驟所述策 略執(zhí)行點(diǎn)對(duì)需要分發(fā)的所述策略子類(lèi)進(jìn)行加密����;進(jìn)一步地�����,所述將所述策 略子類(lèi)分發(fā)具體為所述策略執(zhí)行點(diǎn)將加密后的所述策略子類(lèi)發(fā)送給相應(yīng) 的所述應(yīng)用模塊�����。
8�、 根據(jù)權(quán)利要求7所述的策略處理方法,其特征在于所述應(yīng)用模塊執(zhí) 行所述策略子類(lèi)具體為所述應(yīng)用模塊將加密后的策略子類(lèi)利用分配到的 一把公鑰和私鑰組成的密鑰對(duì)進(jìn)行解密后����,執(zhí)行解密的策略子類(lèi)。
全文摘要
本發(fā)明涉及一種應(yīng)用于合法監(jiān)聽(tīng)系統(tǒng)的網(wǎng)絡(luò)策略框架���,包括策略庫(kù)�;全局策略決定點(diǎn)�����;本地策略決定點(diǎn),與全局策略決定點(diǎn)連接�����;策略執(zhí)行點(diǎn)�,與本地策略決定點(diǎn)連接。本發(fā)明還涉及策略處理方法���,包括策略執(zhí)行點(diǎn)通過(guò)本地策略決定點(diǎn)向全局策略決定點(diǎn)發(fā)送注冊(cè)請(qǐng)求�;全局策略決定點(diǎn)根據(jù)注冊(cè)請(qǐng)求查詢(xún)策略庫(kù)獲取策略模版并下發(fā)��;本地策略決定點(diǎn)分析策略規(guī)則���,并根據(jù)策略規(guī)則����,按照策略模版派生策略子類(lèi)�����;和策略執(zhí)行點(diǎn)獲取策略子類(lèi)��,并將策略子類(lèi)分發(fā)。本發(fā)明通過(guò)劃分為三層的系統(tǒng)策略架構(gòu)���,減輕了上層的全局策略決定點(diǎn)的處理負(fù)擔(dān)���,并且可以靈活加載各種與合法監(jiān)聽(tīng)系統(tǒng)的策略執(zhí)行相關(guān)的模塊;同時(shí)對(duì)下發(fā)的策略子類(lèi)進(jìn)行加密�,保護(hù)了策略信息的安全。
文檔編號(hào)H04L9/30GK101123534SQ20071005343
公開(kāi)日2008年2月13日 申請(qǐng)日期2007年9月29日 優(yōu)先權(quán)日2007年9月29日
發(fā)明者軍 楊, 王芙蓉, 海 胡, 莫益軍, 辰 黃, 黃本雄 申請(qǐng)人:華中科技大學(xué)