專利名稱:一種實現(xiàn)互聯(lián)網(wǎng)合法監(jiān)聽的方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信信息安全技術(shù)領(lǐng)域��,尤其涉及一種實現(xiàn)互聯(lián)網(wǎng)上的合 法監(jiān)聽方法及其裝置�����。
背景技術(shù):
合法監(jiān)聽是在國家法律允許范圍內(nèi)�����,國家安全部門監(jiān)聽特定電信業(yè)務(wù)的活
動�,如圖l所示。該活動由合法監(jiān)聽管理機構(gòu)(LEMF)通過向網(wǎng)絡(luò)運營商/接 入提供商/服務(wù)提供商(NWO/AP/SvP)發(fā)出監(jiān)聽命令,并由其相關(guān)網(wǎng)絡(luò)設(shè)備提供 所監(jiān)聽對象的通信內(nèi)容和相關(guān)信息來完成�。圖中示意了典型的三種合法監(jiān)聽接 口類型管理信息接口(HIl)、監(jiān)聽相關(guān)信息接口(H12)和通信內(nèi)容接口(HI3)3 類接口 �����。 HI1接口在LEMF和NWO/AP/SvP的網(wǎng)絡(luò)設(shè)備之間傳送不同類別的合 法監(jiān)聽事務(wù)管理信息,以及監(jiān)聽建立和監(jiān)聽釋放信息���;轉(zhuǎn)接接口HI2的功能是 從NWO/AP/SvP的網(wǎng)絡(luò)設(shè)備IIF向LEMF傳送相關(guān)監(jiān)聽事件����,如與通信服務(wù)相 關(guān)的信息或數(shù)據(jù)�,包括用以建立通信服務(wù)和控制其過程的信令信息,如果可能 的話也傳送時間戳�、增值業(yè)務(wù)信息和位置信息等更多的信息;轉(zhuǎn)接接口HI3向 LEMF傳送監(jiān)聽得到的通信內(nèi)容(CC)��。通信內(nèi)容是被監(jiān)聽的雙向通信信息流的 透明的拷貝���。
互聯(lián)網(wǎng)(IP)合法監(jiān)聽是一種針對被懷疑的IP網(wǎng)絡(luò)用戶或業(yè)務(wù)進行的監(jiān)聽�����。 圖2是一種典型的IP合法監(jiān)聽實現(xiàn)系統(tǒng)結(jié)構(gòu)示意圖;它包括用戶終端21���、網(wǎng)絡(luò) 接入設(shè)備22、合法監(jiān)聽設(shè)施23(具體可包括合法監(jiān)聽管理設(shè)備LIAF和法律強 制監(jiān)控設(shè)備LEMF),其中��,用戶終端作為用戶用來進行通信的相關(guān)設(shè)備�����,受用 戶控制;網(wǎng)絡(luò)接入設(shè)備�,用于連接用戶終端和通向其他網(wǎng)絡(luò)的連接設(shè)備,它由訪 問接入提供商提供�,直接和用戶終端相聯(lián)接,根據(jù)其采用的技術(shù)和配置�,通過 其內(nèi)部的內(nèi)部監(jiān)聽功能(IIF)可以在物理層、數(shù)據(jù)鏈路層����、網(wǎng)絡(luò)層進行數(shù)據(jù)監(jiān) 聽并向LEMF提供監(jiān)聽數(shù)據(jù)��。如圖2所示����,合法監(jiān)聽設(shè)施23通過其管理信息接口向網(wǎng)絡(luò)接入管理設(shè)備, 例如認(rèn)證服務(wù)器24發(fā)布合法監(jiān)聽事務(wù)管理信息���,其中可以包括目標(biāo)用戶的相 關(guān)標(biāo)識信息(例如用戶名或其它可以識別的信息)(步驟Sl)����,當(dāng)用戶終端 21作為目標(biāo)用戶接入網(wǎng)絡(luò)時,它通過網(wǎng)絡(luò)接入設(shè)備22向認(rèn)證服務(wù)器24請求執(zhí) 行認(rèn)證以及進一步的網(wǎng)絡(luò)資源分配或配置(步驟S2)�,認(rèn)證服務(wù)器24將產(chǎn)生 該目標(biāo)用戶的監(jiān)聽相關(guān)資訊,例如網(wǎng)絡(luò)接入設(shè)備信息����、用戶終端IP地址等給合 法監(jiān)聽設(shè)施23(步驟S3),合法監(jiān)聽設(shè)施23再通過特定的網(wǎng)絡(luò)協(xié)議(例如SNMP 簡單網(wǎng)絡(luò)管理協(xié)議或其它私有協(xié)議)通知網(wǎng)絡(luò)接入設(shè)備22對目標(biāo)用戶實施通 信活動監(jiān)聽(步驟S4)并將通信內(nèi)容發(fā)送給指定的合法監(jiān)聽設(shè)施23的相關(guān)接 口 (步驟S5);
上述監(jiān)聽方式中����,作為網(wǎng)絡(luò)接入管理設(shè)備的認(rèn)證服務(wù)器24與合法監(jiān)聽設(shè) 施23之間需要特定的協(xié)議方式以進行監(jiān)聽事務(wù)管理信息、監(jiān)聽相關(guān)資訊通信 和處理���,同時合法監(jiān)聽設(shè)施23與網(wǎng)絡(luò)接入設(shè)備22之間也需要特定的協(xié)議以進 行監(jiān)聽事務(wù)通信和處理���;而且由于目標(biāo)用戶21在建立通信會話中的不確切性 和動態(tài)性,上述監(jiān)聽方式很難做到及時有效�����。
發(fā)明內(nèi)容
本發(fā)明旨在提供一種實現(xiàn)互聯(lián)網(wǎng)(IP)合法監(jiān)聽的方法�����,它通過擴展現(xiàn)有 通信協(xié)議以攜帶監(jiān)聽管理信息給網(wǎng)絡(luò)接入設(shè)備,由其執(zhí)行合法監(jiān)聽并向合法監(jiān) 聽設(shè)施傳送監(jiān)聽得到的通信內(nèi)容����。
本發(fā)明的另一個目的是提供至少二種用于實現(xiàn)IP合法監(jiān)聽的監(jiān)聽管理信 息的傳遞方法。
本發(fā)明的又一個目的是提供通信網(wǎng)絡(luò)中用于輔助合法監(jiān)聽的裝備����,其中包 括認(rèn)證服務(wù)器、DHCP服務(wù)器和通信網(wǎng)絡(luò)接入設(shè)備�。
通過本發(fā)明的方法和裝備的應(yīng)用,以克服現(xiàn)有技術(shù)的不足��。 本發(fā)明提供一種實現(xiàn)互聯(lián)網(wǎng)合法監(jiān)聽的方法�����,該方法包括如下步驟a)合 法監(jiān)聽設(shè)施向網(wǎng)絡(luò)接入管理設(shè)備配置需要監(jiān)聽的監(jiān)聽管理信息�����;b)網(wǎng)絡(luò)接入管 理設(shè)備在目標(biāo)用戶進行網(wǎng)絡(luò)接入認(rèn)證或網(wǎng)絡(luò)資源請求時將監(jiān)聽管理信息傳遞 給目標(biāo)用戶所在的網(wǎng)絡(luò)接入設(shè)備��;c)網(wǎng)絡(luò)接入設(shè)備根據(jù)所述監(jiān)聽管理信息對目
7標(biāo)用戶實施監(jiān)聽����、并向合法監(jiān)聽設(shè)施傳送監(jiān)聽得到的通信內(nèi)容。
另外��,本發(fā)明提供一種監(jiān)聽管理信息的傳遞方法����,該方法包括步驟al)
擴展遠(yuǎn)程驗證撥入用戶服務(wù)(RADIUS)協(xié)議,定義新的協(xié)議選項以便于攜帶 監(jiān)聽管理信息�;M)在目標(biāo)用戶接入網(wǎng)絡(luò)進行接入認(rèn)證時通過上述擴展后的 RADIUS協(xié)議將監(jiān)聽管理信息插入相應(yīng)的響應(yīng)消息。
本發(fā)明還提供另一種監(jiān)聽管理信息的傳遞方法��,該方法包括a2)擴展動 態(tài)主機配置(DHCP)協(xié)議�,定義新的協(xié)議選項以便于攜帶監(jiān)聽管理信息;b2) 在目標(biāo)用戶接入網(wǎng)絡(luò)進行網(wǎng)絡(luò)資源請求時�����,通過上述擴展后的DHCP協(xié)議將監(jiān) 聽管理信息插入相應(yīng)的響應(yīng)消息�����。
另外�,本發(fā)明還提供一種通信網(wǎng)絡(luò)中用于輔助合法監(jiān)聽的認(rèn)證服務(wù)器、 DHCP服務(wù)器和通信網(wǎng)絡(luò)接入設(shè)備�。
本發(fā)明的一種通信網(wǎng)絡(luò)中用于輔助合法監(jiān)聽的認(rèn)證服務(wù)器包括 一監(jiān)聽處 理裝置接收來自合法監(jiān)聽設(shè)施的監(jiān)聽管理信息; 一認(rèn)證裝置在目標(biāo)用戶進 行認(rèn)證請求時����,將所對應(yīng)的監(jiān)聽管理信息插入一個指定的RADIUS協(xié)議數(shù)據(jù)包 并發(fā)送給目標(biāo)用戶的通信網(wǎng)絡(luò)接入設(shè)備�。
本發(fā)明的一種通信網(wǎng)絡(luò)中用于輔助合法監(jiān)的DHCP服務(wù)器�,包括 一監(jiān)聽 處理裝置接收來自合法監(jiān)聽設(shè)施的需要監(jiān)聽的目標(biāo)用戶及監(jiān)聽管理信息;一 DHCP協(xié)議處理裝置在目標(biāo)用戶進行網(wǎng)絡(luò)資源請求時將所述監(jiān)聽管理信息插 入指定的DHCP協(xié)議數(shù)據(jù)包并發(fā)送給目標(biāo)用戶�。
本發(fā)明的一種通信網(wǎng)絡(luò)中用于輔助合法監(jiān)的網(wǎng)絡(luò)接入設(shè)備,包括 一接收
裝置接收來自網(wǎng)絡(luò)接入管理設(shè)備的包含監(jiān)聽管理信息的特定協(xié)議數(shù)據(jù)包并提
取所攜帶的監(jiān)聽管理信息�����; 一監(jiān)聽裝置根據(jù)所述監(jiān)聽管理信息對目標(biāo)主機通
信內(nèi)容進行監(jiān)聽并向合法監(jiān)聽設(shè)施傳送監(jiān)聽得到的通信內(nèi)容����。 本發(fā)明具有如下有益效果-
1) 本發(fā)明可有效地支持靜態(tài)合法監(jiān)聽和動態(tài)合法監(jiān)聽,克服在建立通信會 話中的不確切性和動態(tài)性���。
2) 本發(fā)明可對常用的標(biāo)準(zhǔn)DHCP協(xié)議和RADIUS協(xié)議等進行簡單的擴展����, 易于實現(xiàn)和部署�;在實施過程中僅需對現(xiàn)有設(shè)備的部分功能進行簡單的修改和 升級。合法監(jiān)聽設(shè)施與網(wǎng)絡(luò)接入設(shè)備之間不需要特定的協(xié)議方式來進行監(jiān)聽事
8務(wù)管理信息����、監(jiān)聽相關(guān)資訊通信和處理。
3)本發(fā)明實現(xiàn)監(jiān)聽管理信息的集中管理���,利于降低監(jiān)聽管理信息的安全風(fēng) 險��,降低監(jiān)聽管理信息安全管理成本���。
通過下面提出的結(jié)合附圖的詳細(xì)描述,本發(fā)明的特征����、性質(zhì)和優(yōu)點將變得更 加明顯,附圖中相同的元件具有相同的標(biāo)識��,其中 圖1是合法監(jiān)聽網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖2是一種典型的IP網(wǎng)絡(luò)合法監(jiān)聽系統(tǒng)結(jié)構(gòu)圖例����;
圖3A是本發(fā)明所提供的IP網(wǎng)絡(luò)合法監(jiān)聽系統(tǒng)結(jié)構(gòu)實施例一;
圖3B是本發(fā)明所提供的IP網(wǎng)絡(luò)合法監(jiān)聽系統(tǒng)結(jié)構(gòu)實施例二���;
圖4是本發(fā)明所提供的認(rèn)證服務(wù)器結(jié)構(gòu)實施例�;
圖5是本發(fā)明所提供的DHCP服務(wù)器結(jié)構(gòu)實施例�����;
圖6是本發(fā)明所提供的網(wǎng)絡(luò)接入設(shè)備結(jié)構(gòu)實施例;
具體實施例方式
下面結(jié)合附圖�����,對本發(fā)明的優(yōu)選實施方式進行詳細(xì)的說明����。
圖3A是本發(fā)明所提供的IP網(wǎng)絡(luò)合法監(jiān)聽系統(tǒng)結(jié)構(gòu)實施例一。它包括用戶 終端31���、網(wǎng)絡(luò)接入設(shè)備32�����、認(rèn)證服務(wù)器34����、合法監(jiān)聽設(shè)施33(具體可包括合法 監(jiān)聽管理設(shè)備LIAF和法律強制監(jiān)控設(shè)備LEMF)���。其中����,所述用戶終端31作為 用戶用來進行通信的相關(guān)設(shè)備�,受用戶控制��;所述網(wǎng)絡(luò)接入設(shè)備32,用于連接 用戶終端和通向其他網(wǎng)絡(luò)的連接設(shè)備,它由網(wǎng)絡(luò)接入提供商(NAP)提供��,直接 和用戶終端相聯(lián)接�����,根據(jù)其采用的技術(shù)和配置���,通過其內(nèi)部的內(nèi)部監(jiān)聽功能 (IIF)可以在物理層����、數(shù)據(jù)鏈路層�����、網(wǎng)絡(luò)層進行數(shù)據(jù)監(jiān)聽并向合法監(jiān)聽設(shè)施33 提供監(jiān)聽數(shù)據(jù)�����,認(rèn)證服務(wù)器34作為網(wǎng)絡(luò)接入管理設(shè)備之一���, 一般通過相應(yīng)的 擴展遠(yuǎn)程驗證撥入用戶服務(wù)(RADIUS)協(xié)議接口與網(wǎng)絡(luò)接入設(shè)備相連�,用于 用戶接入網(wǎng)絡(luò)資源前提供對該用戶身份的合法性鑒別、業(yè)務(wù)權(quán)限辨別等�。
如圖3A步驟Sl,合法監(jiān)聽設(shè)施33通過其管理信息接口向網(wǎng)絡(luò)接入管理 設(shè)備認(rèn)證服務(wù)器34配置需要監(jiān)聽的監(jiān)聽管理信息���,監(jiān)聽管理信息可以包括目標(biāo)用戶標(biāo)識�、合法監(jiān)聽設(shè)施的地址和端口信息�。
如圖步驟S2',認(rèn)證服務(wù)器34在目標(biāo)用戶31進行網(wǎng)絡(luò)接入認(rèn)證或網(wǎng)絡(luò)資 源請求時�,將監(jiān)聽管理信息傳遞給目標(biāo)用戶22所在的網(wǎng)絡(luò)接入設(shè)備33;認(rèn)證 服務(wù)器34可以采用擴展RADIUS協(xié)議將前述監(jiān)聽管理信息傳遞給目標(biāo)用戶所 在的網(wǎng)絡(luò)接入設(shè)備,或可以進一步通過RADIUS動態(tài)認(rèn)證擴展協(xié)議將監(jiān)聽管理 信息傳遞給目標(biāo)用戶所在的網(wǎng)絡(luò)接入設(shè)備����。后面還將結(jié)合圖4對認(rèn)證服務(wù)器及 相應(yīng)的監(jiān)聽管理信息傳遞方法作進一步描述。
如圖步驟S3�,網(wǎng)絡(luò)接入管理設(shè)備認(rèn)證服務(wù)器34將由于該目標(biāo)用戶接入網(wǎng)絡(luò) 所產(chǎn)生的監(jiān)聽事件進一步發(fā)送給合法監(jiān)聽設(shè)施33,例如該目標(biāo)用戶所接入的網(wǎng) 絡(luò)接入設(shè)備�����、與認(rèn)證相關(guān)的網(wǎng)絡(luò)資源��、通信時間等�。也可以由該網(wǎng)絡(luò)接入設(shè)備 32將前述監(jiān)聽事件進一步發(fā)送給合法監(jiān)聽設(shè)施33 (如圖步驟S3'示意)。
如圖步驟S5,網(wǎng)絡(luò)接入設(shè)備32根據(jù)所述監(jiān)聽管理信息對目標(biāo)用戶31實施 內(nèi)容監(jiān)聽并向合法監(jiān)聽設(shè)施33傳送監(jiān)聽所得到的合法監(jiān)聽內(nèi)容��。
圖4是本發(fā)明所提供的認(rèn)證服務(wù)器結(jié)構(gòu)實施例���,它包括監(jiān)聽處理裝置41�����、 認(rèn)證裝置42,其中
監(jiān)聽處理裝置41接收來自合法監(jiān)聽設(shè)施的監(jiān)聽管理信息���,監(jiān)聽管理信息 可以包括目標(biāo)用戶標(biāo)識����、合法監(jiān)聽設(shè)施的地址和端口信息���; 一種典型的監(jiān)聽處 理裝置41結(jié)構(gòu)包括處理裝置411及其對應(yīng)的數(shù)據(jù)記錄表412����。
認(rèn)證裝置42在目標(biāo)用戶進行認(rèn)證請求時��,將所對應(yīng)的監(jiān)聽管理信息插入 一個指定的RADIUS協(xié)議數(shù)據(jù)包并發(fā)送給目標(biāo)用戶的通信網(wǎng)絡(luò)接入設(shè)備�; 一種 典型的認(rèn)證裝置421結(jié)構(gòu)包括認(rèn)證處理裝置421及其對應(yīng)的數(shù)據(jù)記錄表422。
這里,認(rèn)證處理裝置421可以擴展RADIUS協(xié)議���、定義新的協(xié)議選項以便 于攜帶監(jiān)聽管理信息���,在目標(biāo)用戶接入網(wǎng)絡(luò)進行接入認(rèn)證時通過上述擴展后的 RADIUS協(xié)議將監(jiān)聽管理信息插入相應(yīng)的響應(yīng)消息,所述認(rèn)證裝置進一步通過 接入成功回應(yīng)報文將所述監(jiān)聽管理信息發(fā)送給目標(biāo)用戶的接入網(wǎng)絡(luò)設(shè)備�����。典型 地在用戶身份認(rèn)證通過后在一個接入成功回應(yīng)報文(Access-Accept)插入所述監(jiān) 聽管理信息,詳細(xì)實現(xiàn)方式可結(jié)合RFC2865 "Remote Authentication Dial In User Service (RADIUS)"等協(xié)議規(guī)范描述����。
另外,認(rèn)證處理裝置421可以通過擴展RADIUS動態(tài)認(rèn)證擴展協(xié)議�����,定義帶監(jiān)聽管理信息��。實際應(yīng)用中�,如果目標(biāo)用戶會話己經(jīng) 建立、合法監(jiān)聽設(shè)施要通過前述方式發(fā)布監(jiān)聽管理信息顯然不足����,處理裝置411
有必要在收到監(jiān)聽管理信息后,它查詢數(shù)據(jù)記錄表422發(fā)現(xiàn)目標(biāo)用戶已經(jīng)通過 認(rèn)證且會話已經(jīng)建立,它直接觸發(fā)認(rèn)證處理裝置421通過擴展RADIUS動態(tài)認(rèn) 證擴展協(xié)議�����,將監(jiān)聽管理信息插入相應(yīng)的協(xié)議消息發(fā)送給目標(biāo)用戶的接入網(wǎng)絡(luò) 設(shè)備�,詳細(xì)實現(xiàn)方式可結(jié)合RFC3576 "Dynamic Authorization Extensions to Remote Authentication Dial In User Service"等協(xié)議規(guī)范描述。
監(jiān)聽處理裝置41也將由于該目標(biāo)用戶接入網(wǎng)絡(luò)所產(chǎn)生的監(jiān)聽事件進一步 發(fā)送給合法監(jiān)聽設(shè)施33�����,例如該目標(biāo)用戶所接入的網(wǎng)絡(luò)接入設(shè)備��、所分配的相 關(guān)網(wǎng)絡(luò)資源�����、通信時間等���。
圖3B是本發(fā)明所提供的IP網(wǎng)絡(luò)合法監(jiān)聽系統(tǒng)結(jié)構(gòu)實施例二,它包括包括 用戶終端31�����、網(wǎng)絡(luò)接入設(shè)備32���、 DHCP服務(wù)器35���、合法監(jiān)聽設(shè)施33(具體可包 括合法監(jiān)聽管理設(shè)備LIAF和法律強制監(jiān)控設(shè)備LEMF)�����。其中����,所述用戶終端 31作為用戶用來迸行通信的相關(guān)設(shè)備��,受用戶控制����;所述網(wǎng)絡(luò)接入設(shè)備32, 用于連接用戶終端和通向其他網(wǎng)絡(luò)的連接設(shè)備,它由網(wǎng)絡(luò)接入提供商(NAP)提 供����,直接和用戶終端相聯(lián)接,根據(jù)其采用的技術(shù)和配置���,通過其內(nèi)部的內(nèi)部監(jiān) 聽功能(IIF)可以在物理層���、數(shù)據(jù)鏈路層�、網(wǎng)絡(luò)層進行數(shù)據(jù)監(jiān)聽并向合法監(jiān)聽 設(shè)施33提供監(jiān)聽數(shù)據(jù)���;DHCP服務(wù)器35��,作為網(wǎng)絡(luò)接入管理設(shè)備之一�����, 一般 通過DHCP協(xié)議在用戶接入網(wǎng)絡(luò)資源前提供對該用戶網(wǎng)絡(luò)接入資源的網(wǎng)絡(luò)參數(shù) 配置管理等����,例如IP地址動態(tài)分配等�����。
如圖3B步驟Sl����,合法監(jiān)聽設(shè)施33通過其管理信息接口向網(wǎng)絡(luò)接入管理 設(shè)備DHCP服務(wù)器35配置需要監(jiān)聽的監(jiān)聽管理信息��,監(jiān)聽管理信息可以包括 目標(biāo)用戶標(biāo)識��、合法監(jiān)聽設(shè)施的地址和端口信息���。
如圖步驟S2"���, DHCP服務(wù)器35在目標(biāo)用戶31進行網(wǎng)絡(luò)接入資源請求時��, 將監(jiān)聽管理信息傳遞給目標(biāo)用戶22所在的網(wǎng)絡(luò)接入設(shè)備33; DHCP服務(wù)器35 可以采用擴展DHCP協(xié)議將前述監(jiān)聽管理信息傳遞給目標(biāo)用戶所在的網(wǎng)絡(luò)接入 設(shè)備32����,或可以進一步通過DHCP重新配置擴展協(xié)議消息將監(jiān)聽管理信息傳遞 給目標(biāo)用戶所在的網(wǎng)絡(luò)接入設(shè)備32�。后面將結(jié)合圖5對DHCP服務(wù)器及相應(yīng)的 監(jiān)聽管理信息傳遞方法作進一步描述。
11如圖步驟S3�,網(wǎng)絡(luò)接入管理設(shè)備DHCP服務(wù)器35可將由于該目標(biāo)用戶接入 網(wǎng)絡(luò)所產(chǎn)生的監(jiān)聽事件進一步發(fā)送給合法監(jiān)聽設(shè)施33,例如該目標(biāo)用戶所接入 的網(wǎng)絡(luò)接入設(shè)備����、所分配的相關(guān)網(wǎng)絡(luò)資源、通信時間等����。也可以由該網(wǎng)絡(luò)接入 設(shè)備32將前述監(jiān)聽事件進一步發(fā)送給合法監(jiān)聽設(shè)施33 (如圖步驟S3'示意)。
如圖步驟S5�,網(wǎng)絡(luò)接入設(shè)備32根據(jù)所述監(jiān)聽管理信息對目標(biāo)用戶31實施 內(nèi)容監(jiān)聽并向合法監(jiān)聽設(shè)施33傳送監(jiān)聽所得到的合法監(jiān)聽內(nèi)容。
圖5是本發(fā)明所提供的DHCP服務(wù)器結(jié)構(gòu)實施例�����,它包括監(jiān)聽處理裝置51、 DHCP協(xié)議處理裝置52�����,其中
監(jiān)聽處理裝置51接收來自合法監(jiān)聽設(shè)施的監(jiān)聽管理信息�����,監(jiān)聽管理信息 可以包括目標(biāo)用戶標(biāo)識�����、合法監(jiān)聽設(shè)施的地址和端口信息��; 一種典型的接收裝 置51結(jié)構(gòu)例包括處理裝置511及其對應(yīng)的數(shù)據(jù)記錄表512��。
DHCP協(xié)議處理裝置52在目標(biāo)用戶進行網(wǎng)絡(luò)資源請求時將所述監(jiān)聽管理 信息插入指定的DHCP協(xié)議數(shù)據(jù)包并發(fā)送給目標(biāo)用戶的的通信網(wǎng)絡(luò)接入設(shè)備; 一種典型的認(rèn)證裝置521結(jié)構(gòu)例包括DHCP協(xié)議處理裝置521及其對應(yīng)的數(shù)據(jù) 記錄表522�。
這里,DHCP協(xié)議處理裝置521可以擴展DHCP協(xié)議�、定義新的協(xié)議選項 以便于攜帶監(jiān)聽管理信息��,例如擴展后的DHCP協(xié)議以在DHCP協(xié)議可選項 82的新子選項����,或DHCP協(xié)議中的指定可選項插入所述監(jiān)聽管理信息���,在目標(biāo) 用戶接入網(wǎng)絡(luò)進行網(wǎng)絡(luò)資源請求,例如IP地址分配時,通過上述擴展后的DHCP 協(xié)議選項將監(jiān)聽管理信息插入相應(yīng)的響應(yīng)消息��,典型地����,DHCP服務(wù)器在接收 到客戶端的DHCP REQUEST之后,會向客戶端發(fā)出一個DHCPACK響應(yīng)�����,以 確認(rèn)一個IP租約的正式生效��,該響應(yīng)消息通常包括一個租用期限和客戶端所 請求的所有其它配置信息�,我們可以選擇在該DHCPACK報文中插入所述監(jiān)聽 管理信息,詳細(xì)實現(xiàn)方式可結(jié)合RFC2131 "Dynamic Host Configuration Protocol"等協(xié)議規(guī)范描述���。
另外�����,DHCP協(xié)議處理裝置521可以通過擴展DHCP重新配置擴展協(xié)議攜 帶監(jiān)聽管理信息��。實際應(yīng)用中�,如果目標(biāo)用戶會話已經(jīng)建立、合法監(jiān)聽設(shè)施要 通過前述方式發(fā)布監(jiān)聽管理信息顯然不足��,處理裝置511有必要在收到監(jiān)聽管 理信息后�����,它査詢數(shù)據(jù)記錄表522發(fā)現(xiàn)目標(biāo)用戶會話已經(jīng)建立�,它直接觸發(fā)DHCP協(xié)議處理裝置521通過DHCP重新配置擴展協(xié)議將監(jiān)聽管理信息插入目 標(biāo)用戶所對應(yīng)的DHCP FORCERENEW消息發(fā)送給目標(biāo)用戶的接入網(wǎng)絡(luò)設(shè)備, 詳細(xì)實現(xiàn)方式可結(jié)合RFC3203 "DHCP Reconfigure Extension"等協(xié)議規(guī)范描述���。
監(jiān)聽處理裝置51也可將由于該目標(biāo)用戶接入網(wǎng)絡(luò)所產(chǎn)生的監(jiān)聽事件進一 步發(fā)送給合法監(jiān)聽設(shè)施33�����,例如該目標(biāo)用戶所接入的網(wǎng)絡(luò)接入設(shè)備���、所分配的 相關(guān)網(wǎng)絡(luò)資源、通信時間等��。
圖6是本發(fā)明所提供的網(wǎng)絡(luò)接入設(shè)備結(jié)構(gòu)實施例�����,它包括一接收裝置61����、 一監(jiān)聽裝置62,其中
接收裝置61���,接收來自網(wǎng)絡(luò)接入管理設(shè)備的包含監(jiān)聽管理信息的特定協(xié)議 數(shù)據(jù)包�,典型的網(wǎng)絡(luò)接入管理設(shè)備如認(rèn)證服務(wù)器��、DHCP服務(wù)器��,這里接收裝 置通過實現(xiàn)對相應(yīng)接入管理設(shè)備的接口協(xié)議處理裝置��,例如RADIUS客戶單元 611�����、 DHCP協(xié)議處理單元612來接收來自前述網(wǎng)絡(luò)接入管理設(shè)備的���、包含監(jiān)聽 管理信息的特定協(xié)議數(shù)據(jù)包��、并對特定協(xié)議數(shù)據(jù)包中所攜帶的監(jiān)聽管理信息進 行提取�����。
所述RADIUS客戶單元611����,它接收來自認(rèn)證服務(wù)器的、包含監(jiān)聽管理信 息的特定RADIUS協(xié)議消息���。還可以進一步接收包含監(jiān)聽管理信息的特定擴展 RADIUS動態(tài)認(rèn)證擴展協(xié)議消息��??蓪碜跃W(wǎng)絡(luò)側(cè)的接入成功回應(yīng)報文 (Access-Accept)進行過濾����,它是對客戶端用戶身份認(rèn)證的確認(rèn)消息,我們可按 照既定的方式對該DHCPACK報文中插入的監(jiān)聽管理信息進行提取�。
所述DHCP協(xié)議處理單元612,它接收來自DHCP服務(wù)器的���、包含監(jiān)聽管 理信息的DHCP協(xié)議消息��。還可以進一步接收包含監(jiān)聽管理信息的特定擴展 DHCP重新配置擴展協(xié)議消息����?���?蓪碜跃W(wǎng)絡(luò)側(cè)的DHCPACK響應(yīng)消息進行過 濾�,該消息是對客戶端確認(rèn)一個IP租約的正式生效����,通常包括一個租用期限 和客戶端所請求的所有其它配置信息����,我們可按照既定的方式對該DHCPACK 報文中插入的監(jiān)聽管理信息進行提取。
為了網(wǎng)絡(luò)安全因素考慮�,接收裝置61對所接收的特定RADIUS、 DHCP協(xié) 議數(shù)據(jù)包中的監(jiān)聽管理信息進行提取后�,需要進一步將其中的監(jiān)聽管理信息剝 離后再轉(zhuǎn)發(fā)給相應(yīng)的目標(biāo)用戶。監(jiān)聽裝置(IIF) 62根據(jù)所述監(jiān)聽管理信息對目標(biāo)主機通信內(nèi)容進行監(jiān)聽 并向合法監(jiān)聽設(shè)施傳送監(jiān)聽所得到的通信內(nèi)容(HI3)�,如前文描述,監(jiān)聽管理信 息包括目標(biāo)用戶標(biāo)識���、合法監(jiān)聽設(shè)施的地址和端口信息等足夠信息以提供監(jiān)聽 裝置62對目標(biāo)用戶進行定位監(jiān)聽���、并將監(jiān)聽的結(jié)果提供給目標(biāo)合法監(jiān)聽設(shè)施。
監(jiān)聽裝置(IIF) 62也可將由于該目標(biāo)用戶接入網(wǎng)絡(luò)所產(chǎn)生的監(jiān)聽事件進 一步發(fā)送給合法監(jiān)聽設(shè)施33����,例如該目標(biāo)用戶所接入的網(wǎng)絡(luò)接入設(shè)備、所分配 的相關(guān)網(wǎng)絡(luò)資源、通信時間等��。
盡管上述說明為本發(fā)明提供了一些實施例��,并非用來限定本發(fā)明的保護范 圍��,本技術(shù)領(lǐng)域的專業(yè)人員可以在不脫離本發(fā)明的范圍和精神的前提下����,對實 施例進行各種修改,這種修改均屬于本發(fā)明的范圍內(nèi)�����。
權(quán)利要求
1�����、一種實現(xiàn)互聯(lián)網(wǎng)合法監(jiān)聽的方法����,包括如下步驟a)合法監(jiān)聽設(shè)施向網(wǎng)絡(luò)接入管理設(shè)備配置需要監(jiān)聽的監(jiān)聽管理信息;b)網(wǎng)絡(luò)接入管理設(shè)備在目標(biāo)用戶進行網(wǎng)絡(luò)接入認(rèn)證或網(wǎng)絡(luò)資源請求時將監(jiān)聽管理信息傳遞給目標(biāo)用戶所在的網(wǎng)絡(luò)接入設(shè)備���;c)網(wǎng)絡(luò)接入設(shè)備根據(jù)所述監(jiān)聽管理信息對目標(biāo)用戶實施監(jiān)聽���、并向合法監(jiān)聽設(shè)施傳送監(jiān)聽事件或監(jiān)聽得到的通信內(nèi)容����。
2�、 如權(quán)利要求l所述的方法,其特征在于所述步驟a)���、 b)和c)中監(jiān)聽管理信息至少包括目標(biāo)用戶標(biāo)識、合法監(jiān)聽設(shè)施的地址和端口信息�。
3、 如權(quán)利要求1所述的方法��,其特征在于所述步驟a)和b)中的網(wǎng)絡(luò)接入管理設(shè)備是認(rèn)證服務(wù)器,它通過擴展遠(yuǎn)程驗證撥入用戶服務(wù)協(xié)議將監(jiān)聽管理信息 傳遞給目標(biāo)用戶所在的網(wǎng)絡(luò)接入設(shè)備����。
4、 如權(quán)利要求3所述的方法��,其特征在于所述步驟b)中��,認(rèn)證服務(wù)器進一 步通過RADIUS動態(tài)認(rèn)證擴展協(xié)議將監(jiān)聽管理信息傳遞給目標(biāo)用戶所在的網(wǎng)絡(luò) 接入設(shè)備���。
5���、 如權(quán)利要求1所述的方法��,其特征在于所述步驟a)和b)中的網(wǎng)絡(luò)接入管 理設(shè)備是DHCP服務(wù)器��,它通過擴展DHCP協(xié)議將監(jiān)聽管理信息傳遞給目標(biāo)用 戶所在的網(wǎng)絡(luò)接入設(shè)備�。
6�、 如權(quán)利要求5所述的方法,其特征在于所述步驟b)中�,DHCP服務(wù)器進 一步通過DHCP重新配置擴展協(xié)議將監(jiān)聽管理信息傳遞給目標(biāo)用戶所在的網(wǎng)絡(luò) 接入設(shè)備。
7���、 如權(quán)利要求1至6之一所述的方法���,其特征在于所述步驟b)進一步包括 網(wǎng)絡(luò)接入管理設(shè)備向合法監(jiān)聽設(shè)施傳送監(jiān)聽事件。
8���、 一種監(jiān)聽管理信息的傳遞方法�����,包括al)擴展RADIUS協(xié)議�����,定義新的協(xié)議選項以便于攜帶監(jiān)聽管理信息����; bl)在目標(biāo)用戶接入網(wǎng)絡(luò)進行接入認(rèn)證時,通過上述擴展后的RADIUS協(xié) 議將監(jiān)聽管理信息插入相應(yīng)的響應(yīng)消息�。
9、 如權(quán)利要求8所述的方法�����,其特征在于所述步驟bl)中的響應(yīng)消息是接入成功回應(yīng)報文��。
10���、 如權(quán)利要求8或9所述的方法,其特征在于所述方法進一步包括步驟 cl)�,通過擴展RADIUS動態(tài)認(rèn)證擴展協(xié)議,將監(jiān)聽管理信息插入相應(yīng)的協(xié)議消息�����。
11�����、 一種監(jiān)聽管理信息的傳遞方法,包括a2)擴展DHCP協(xié)議���,定義新的協(xié)議選項以便于攜帶監(jiān)聽管理信息��; b2)在目標(biāo)用戶接入網(wǎng)絡(luò)進行網(wǎng)絡(luò)資源請求時�,通過上述擴展后的DHCP 協(xié)議將監(jiān)聽管理信息插入相應(yīng)的響應(yīng)消息���。
12��、 如權(quán)利要求11所述的方法��,其特征在于所述步驟a2)中��,擴展后的 DHCP協(xié)議以O(shè)ption82的子選項或一個單獨的選項攜帶所述監(jiān)聽管理信息����。
13�����、 如權(quán)利要求11所述的方法����,其特征在于所述步驟b2)中�����,所述DHCP 協(xié)議響應(yīng)消息為DHCPACK消息����。
14�、 如權(quán)利要求11至13之一所述的方法,其特征在于進一步包括步驟c2)�, 擴展DHCP協(xié)議重新配置擴展協(xié)議將監(jiān)聽管理信息傳遞插入相應(yīng)的 FORCERENEW消息。
15���、 一種通信網(wǎng)絡(luò)中用于輔助合法監(jiān)聽的認(rèn)證服務(wù)器����,包括 監(jiān)聽處理裝置接收來自合法監(jiān)聽設(shè)施的監(jiān)聽管理信息�;認(rèn)證裝置在目標(biāo)用戶進行認(rèn)證請求時將所對應(yīng)的監(jiān)聽管理信息插入一個 指定的遠(yuǎn)程驗證撥入用戶服務(wù)協(xié)議數(shù)據(jù)包并發(fā)送給目標(biāo)用戶的通信網(wǎng)絡(luò)接入 設(shè)備���。
16���、 如權(quán)利要求15所述的認(rèn)證服務(wù)器,其特征在于所述監(jiān)聽處理裝置在收 到來自合法監(jiān)聽設(shè)施的監(jiān)聽管理信息時����,如果目標(biāo)用戶會話已經(jīng)建立�、認(rèn)證裝 置通過擴展RADIUS動態(tài)認(rèn)證擴展協(xié)議�����,將監(jiān)聽管理信息插入相應(yīng)的協(xié)議消息 發(fā)送給目標(biāo)用戶的接入網(wǎng)絡(luò)設(shè)備���。
17�����、 如權(quán)利要求15所述的認(rèn)證服務(wù)器�����,其特征在于所述認(rèn)證裝置進一步通 過接入成功回應(yīng)報文將所述監(jiān)聽管理信息發(fā)送給目標(biāo)用戶的接入網(wǎng)絡(luò)設(shè)備�。
18���、 一種通信網(wǎng)絡(luò)中用于輔助合法監(jiān)聽的DHCP服務(wù)器���,包括監(jiān)聽處理裝置接收來自合法監(jiān)聽設(shè)施的需要監(jiān)聽的目標(biāo)用戶及監(jiān)聽管理DHCP協(xié)議處理裝置在目標(biāo)用戶進行網(wǎng)絡(luò)資源請求時將所述監(jiān)聽管理信息插入指定的DHCP協(xié)議數(shù)據(jù)包并發(fā)送給目標(biāo)用戶。
19、 如權(quán)利要求18所述的DHCP服務(wù)器���,其特征在于所述DHCP協(xié)議處 理裝置在DHCP協(xié)議可選項82的新子選項�����,或DHCP協(xié)議中的指定可選項插 入所述監(jiān)聽管理信息��。
20�����、 如權(quán)利要求18所述的DHCP服務(wù)器�,其特征在于所述DHCP協(xié)議處 理裝置將所述監(jiān)聽管理信息插入DHCPACK報文�����。
21����、 如權(quán)利要求18至20之一所述的DHCP服務(wù)器,其特征在于所述DHCP 協(xié)議處理裝置可以進一步擴展DHCP重新配置擴展協(xié)議將監(jiān)聽管理信息傳遞插 入相應(yīng)的協(xié)議消息����。
22、 如權(quán)利要求21所述的動態(tài)主機配置協(xié)議服務(wù)器�����,其特征在于所述DHCP 重新配置擴展協(xié)議消息為DHCPFORCERENEW消息����。
23、 一種通信網(wǎng)絡(luò)中用于輔助合法監(jiān)聽的通信網(wǎng)絡(luò)接入設(shè)備���,包括監(jiān)聽處理裝置接收來自網(wǎng)絡(luò)接入管理設(shè)備的包含監(jiān)聽管理信息的特定協(xié) 議數(shù)據(jù)包并提取所攜帶的監(jiān)聽管理信息���;監(jiān)聽裝置根據(jù)所述監(jiān)聽管理信息對目標(biāo)主機通信內(nèi)容進行監(jiān)聽并向合法 監(jiān)聽設(shè)施傳送監(jiān)聽事件或監(jiān)聽得到的通信內(nèi)容。
24����、 如權(quán)利要求23所述的通信網(wǎng)絡(luò)接入設(shè)備,其特征在于所述接收裝置包 括一RADIUS客戶單元�����,它接收來自認(rèn)證服務(wù)器的�����、包含監(jiān)聽管理信息的特定 RADIUS協(xié)議消息。
25�����、 如權(quán)利要求24所述的通信網(wǎng)絡(luò)接入設(shè)備�,其特征在于所述RADIUS 客戶單元進一步接收包含監(jiān)聽管理信息的特定擴展RADIUS動態(tài)認(rèn)證擴展協(xié)議 消息。
26���、 如權(quán)利要求23所述的通信網(wǎng)絡(luò)接入設(shè)備�,其特征在于所述接收裝置包 括一DHCP協(xié)議處理裝置��,它接收來自DHCP服務(wù)器的��、包含監(jiān)聽管理信息的 DHCP協(xié)議消息��。
27��、 如權(quán)利要求26所述的通信網(wǎng)絡(luò)接入設(shè)備��,其特征在于所述DHCP協(xié)議 處理裝置進一步接收包含監(jiān)聽管理信息的特定擴展DHCP重新配置擴展協(xié)議消 息����。
28、如權(quán)利要求23至27之一所述的通信網(wǎng)絡(luò)接入設(shè)備�,其特征在于所述 接收裝置進一步剝離特定協(xié)議數(shù)據(jù)包的監(jiān)聽管理信息后將其轉(zhuǎn)發(fā)給目標(biāo)用戶 主機�����。
全文摘要
本發(fā)明提供了一種實現(xiàn)互聯(lián)網(wǎng)合法監(jiān)聽的方法及其裝置,合法監(jiān)聽設(shè)施向網(wǎng)絡(luò)接入管理設(shè)備配置需要監(jiān)聽的監(jiān)聽管理信息�����;網(wǎng)絡(luò)接入管理設(shè)備在目標(biāo)用戶進行網(wǎng)絡(luò)接入認(rèn)證或網(wǎng)絡(luò)資源請求時將監(jiān)聽管理信息傳遞給目標(biāo)用戶所在的網(wǎng)絡(luò)接入設(shè)備�����;網(wǎng)絡(luò)接入設(shè)備根據(jù)所述監(jiān)聽管理信息對目標(biāo)用戶實施監(jiān)聽���、并向合法監(jiān)聽設(shè)施傳送監(jiān)聽事件或監(jiān)聽得到的通信內(nèi)容�����。本發(fā)明還提供了二種所述監(jiān)聽管理信息的傳遞方法����,以及用于實現(xiàn)互聯(lián)網(wǎng)合法監(jiān)聽的裝置����,包括認(rèn)證服務(wù)器�、DHCP服務(wù)器和網(wǎng)絡(luò)接入設(shè)備����。本發(fā)明僅需要對常用的標(biāo)準(zhǔn)DHCP和RADIUS等協(xié)議進行簡單的擴展,有效地支持靜態(tài)合法監(jiān)聽和動態(tài)合法監(jiān)聽�����,易于實現(xiàn)和部署����。
文檔編號H04L29/06GK101594340SQ20081003815
公開日2009年12月2日 申請日期2008年5月28日 優(yōu)先權(quán)日2008年5月28日
發(fā)明者姚亦峰 申請人:上海貝爾阿爾卡特股份有限公司