專利名稱:合法監(jiān)聽的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����,特別是涉及合法監(jiān)聽的方法及裝置。
背景技術(shù):
隨著hternet的日漸普及�����,互聯(lián)網(wǎng)用戶數(shù)保持持續(xù)增長�����,人們通過hternet可以瀏覽����、發(fā)布各種消息,進(jìn)行文件、電子郵件處理��,開展即時通信及各種視頻應(yīng)用�,等等�����。但是�, 在給社會經(jīng)濟(jì)和人們的工作、生活�、學(xué)習(xí)帶來極大方便的同時,其安全方面也面臨著各種不安全因素��,例如���,計(jì)算機(jī)病毒的傳播或者“黑客”攻擊對網(wǎng)絡(luò)構(gòu)成的威脅等�。為了保證網(wǎng)絡(luò)的安全性���,在互聯(lián)網(wǎng)上開展合法監(jiān)聽是一種常用的手段�����。在進(jìn)行合法監(jiān)聽時��,監(jiān)聽的目標(biāo)對象通常是網(wǎng)絡(luò)中的部分用戶����,這些用戶通過各自的網(wǎng)絡(luò)通信設(shè)備接入網(wǎng)絡(luò)。在現(xiàn)有技術(shù)中的合法監(jiān)聽方案是��,通過合法監(jiān)聽網(wǎng)關(guān)下發(fā)監(jiān)聽目標(biāo)任務(wù)到網(wǎng)絡(luò)通信設(shè)備��,其中����,監(jiān)聽目標(biāo)一般通過流量的網(wǎng)絡(luò)協(xié)議IP信息(包括源IP 地址、目的IP地址�、IP協(xié)議號等)來標(biāo)識,網(wǎng)絡(luò)通信設(shè)備根據(jù)接收到的流量的IP信息生成合法監(jiān)聽訪問控制列表ACL(Access Control List)規(guī)則�����。由于網(wǎng)絡(luò)通信設(shè)備無法預(yù)先獲知哪個接口的流量的IP信息與該監(jiān)聽目標(biāo)對應(yīng)��,因此只能整機(jī)下發(fā)監(jiān)聽使能標(biāo)志并下發(fā)匹配該監(jiān)聽目標(biāo)的合法監(jiān)聽ACL規(guī)則����,各個接口的硬件設(shè)備在接收到監(jiān)聽使能標(biāo)志及ACL 規(guī)則之后,就會將各自流量的IP信息與ACL規(guī)則進(jìn)行匹配����,如果某接口的流量的IP信息與 ACL規(guī)則中流量的IP相同���,則匹配成功,然后就可以復(fù)制該接口的流量并封裝后發(fā)送到合法監(jiān)聽網(wǎng)關(guān)�,以便進(jìn)行后續(xù)的監(jiān)聽目標(biāo)流量分析操作�。但是,該現(xiàn)有技術(shù)的方法中�����,由于網(wǎng)絡(luò)通信設(shè)備整機(jī)下發(fā)合法監(jiān)聽標(biāo)志���,因此��,這臺網(wǎng)絡(luò)通信設(shè)備上所有接口的流量都會去做匹配合法監(jiān)聽ACL的動作�����。但是���,最終的結(jié)果是只有真正需要被合法監(jiān)聽的用戶流量所在的那幾個接口會匹配成功,其他接口白白做了這些匹配動作�����,以至于浪費(fèi)了系統(tǒng)的處理資源及處理時間。
發(fā)明內(nèi)容
本發(fā)明提供合法監(jiān)聽的方法及裝置��,能夠減少合法監(jiān)聽過程對系統(tǒng)處理資源及處理時間的浪費(fèi)�����。本發(fā)明提供了如下方案一種合法監(jiān)聽的方法����,包括接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在虛擬專用網(wǎng)絡(luò)VPN的標(biāo)識以及合法監(jiān)聽目標(biāo)的用戶流量標(biāo)識�����;獲知與所述VPN標(biāo)識對應(yīng)的VPN綁定的接口 ���;根據(jù)所述用戶流量標(biāo)識生成合法監(jiān)聽ACL規(guī)則���;向所述接口下發(fā)監(jiān)聽使能標(biāo)志及所述ACL規(guī)則,以便對所述合法監(jiān)聽目標(biāo)的用戶流量進(jìn)行合法監(jiān)聽�。一種合法監(jiān)聽的方法,包括
接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識�,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在的MAC地址�;根據(jù)所述MAC地址生成合法監(jiān)聽ACL規(guī)則��;按照相應(yīng)的二層虛擬通道技術(shù)下發(fā)所述ACL規(guī)則及監(jiān)聽使能標(biāo)志���,以便對所述合法監(jiān)聽目標(biāo)的流量進(jìn)行合法監(jiān)聽����。一種合法監(jiān)聽的裝置�����,包括第一接收單元���,用于接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在虛擬專用網(wǎng)絡(luò)VPN的標(biāo)識以及合法監(jiān)聽目標(biāo)的用戶流量標(biāo)識�����;接口獲知單元�����,用于獲知與所述VPN標(biāo)識對應(yīng)的VPN綁定的接口 ���;第一 ACL規(guī)則生成單元��,用于根據(jù)所述用戶流量標(biāo)識生成合法監(jiān)聽ACL規(guī)則�;第一下發(fā)單元,用于向所述接口下發(fā)監(jiān)聽使能標(biāo)志及所述ACL規(guī)則��,以便對所述合法監(jiān)聽目標(biāo)的用戶流量進(jìn)行合法監(jiān)聽����。一種合法監(jiān)聽的裝置,其特征在于�����,包括第二接收單元��,用于接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識����,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在的MAC地址;第二 ACL規(guī)則生成單元�����,用于根據(jù)所述MAC地址生成合法監(jiān)聽ACL規(guī)則���;第二下發(fā)單元��,用于按照相應(yīng)的二層虛擬通道技術(shù)下發(fā)所述ACL規(guī)則及監(jiān)聽使能標(biāo)志�����,以便對所述合法監(jiān)聽目標(biāo)的流量進(jìn)行合法監(jiān)聽���。根據(jù)本發(fā)明提供的具體實(shí)施例�����,本發(fā)明公開了以下技術(shù)效果本發(fā)明實(shí)施例由于能夠按照VPN下發(fā)監(jiān)聽使能標(biāo)志����,而不用采用整機(jī)下發(fā)的方式�����,因此���,能夠減少一些不必要的ACL規(guī)則匹配操作,從而減少合法監(jiān)聽過程對系統(tǒng)處理資源及處理時間的浪費(fèi)�。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對實(shí)施例中所需要使用的附圖作簡單地介紹���,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。圖1是現(xiàn)有技術(shù)中的合法監(jiān)聽業(yè)務(wù)模型示意圖����;圖2是本發(fā)明實(shí)施例一的方法中Xl接口的封裝格式示意圖;圖3是本發(fā)明實(shí)施例一的方法中X3接口的封裝格式示意圖���;圖4是本發(fā)明實(shí)施例一的方法流程圖��;圖5是本發(fā)明實(shí)施例一的另一方法中Xl接口的封裝格式示意圖�;圖6是本發(fā)明實(shí)施例一的另一方法中X3接口的封裝格式示意圖�;圖7是本發(fā)明實(shí)施例一的另一方法流程圖����;圖8是本發(fā)明實(shí)施例一的再一方法流程圖�����;圖9是本發(fā)明實(shí)施例二的方法流程圖�����;圖10是本發(fā)明實(shí)施例二的方法中Xl接口的封裝格式示意圖11是本發(fā)明實(shí)施例二的方法中X3接口的封裝格式示意圖����;圖12是本發(fā)明實(shí)施例提供的裝置的示意圖;圖13是本發(fā)明實(shí)施例提供的另一裝置的示意圖���。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述�,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍�。實(shí)施例一首先需要說明的是���,網(wǎng)絡(luò)通信設(shè)備上有很多的接口�����,不同用戶的流量會在不同接口接入和處理��,通俗地講����,就像固定電話或者ADSL (Asymmetric DigitalSubscriber Line, 非對稱數(shù)字用戶環(huán)路)�,每個用戶只會占用網(wǎng)絡(luò)通信設(shè)備(程控交換機(jī)/DSLAM(Digital Subscriber Line Access Multiplexer,數(shù)字用戶線路接入復(fù)用器))一個接口。但是�,進(jìn)行合法監(jiān)聽時,需要提前確定監(jiān)聽目標(biāo)����,該監(jiān)聽目標(biāo)是以用戶為單位的,即一個監(jiān)聽目標(biāo)對應(yīng)著一個用戶���。合法監(jiān)聽的操作可能只會針對一個網(wǎng)絡(luò)通信設(shè)備上的部分特定用戶進(jìn)行��, 這些特定的用戶只會在部分接口上接入����,其他的大部分接口都是其他用戶的流量�����,這些用戶的流量實(shí)際上是不需要監(jiān)控的�����。如果整機(jī)下發(fā)監(jiān)聽使能標(biāo)志���,這臺網(wǎng)絡(luò)通信設(shè)備上所有接口的流量都會去做匹配合法監(jiān)聽ACL的動作,由于合法監(jiān)聽的監(jiān)聽目標(biāo)(特定用戶)只會在部分接口接入,因此��, 最終的結(jié)果是只有合法監(jiān)聽的監(jiān)聽目標(biāo)的那幾個接口會匹配成功�,其他接口白白做了這些匹配操作。但是�,匹配合法監(jiān)聽ACL的操作會占用系統(tǒng)的處理資源及處理時間,因此���,對不需要監(jiān)聽的接口進(jìn)行的匹配操作�����,就會對系統(tǒng)的處理資源及處理時間造成浪費(fèi)���。在本發(fā)明實(shí)施例一中,主要介紹三層VPN業(yè)務(wù)場景下的合法監(jiān)聽方法��。為了便于理解�����,這里首先對VPN(Virtual Private Network���,虛擬專用網(wǎng)絡(luò))技術(shù)進(jìn)行簡單地介紹�。 VPN被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的、安全的連接����,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道���。三層VPN有一個很大的優(yōu)點(diǎn)不同VPN內(nèi)可以使用相同的IP地址��,因此���,當(dāng)網(wǎng)絡(luò)通信設(shè)備采用三層VPN技術(shù)承載業(yè)務(wù)流量時,可以隔離不同業(yè)務(wù)并且做到IP地址重用��,因此���,目前的數(shù)據(jù)網(wǎng)絡(luò)中三層VPN應(yīng)用非常廣泛���。同時,三層VPN還有以下特點(diǎn)其一��,一個VPN需要在網(wǎng)絡(luò)通信設(shè)備的某一個或者某幾個接口上綁定�,從與某VPN綁定的接口進(jìn)入的數(shù)據(jù)流就唯一對應(yīng)到該VPN中;其二�,一個合法監(jiān)聽目標(biāo)只可能存在于某一個VPN中�。通過以上分析可見�,如果預(yù)先獲知了一個監(jiān)聽目標(biāo)所在的VPN�,則只需要向與該 VPN綁定了接口下發(fā)合法監(jiān)聽使能標(biāo)志及合法監(jiān)聽ACL規(guī)則,這樣�,其他沒有與該VPN綁定的接口就不會接收到合法監(jiān)聽使能標(biāo)志及合法監(jiān)聽ACL規(guī)則,自然也不會進(jìn)行匹配ACL規(guī)則的操作���,因此�����,相對于整機(jī)下發(fā)的實(shí)現(xiàn)方式���,能夠最大限度的減少對系統(tǒng)資源的消耗,減少性能損失��。因此����,在本發(fā)明實(shí)施例一中,合法監(jiān)聽網(wǎng)關(guān)LIG(Lawful InterceptionGateway, LIG)在下發(fā)合法監(jiān)聽目標(biāo)標(biāo)識時���,需要包括監(jiān)聽目標(biāo)所在流量的IP地址����,同時,還需要包括監(jiān)聽目標(biāo)所在VPN的標(biāo)識����,其中,該IP地址用于生成ACL規(guī)則�,VPN標(biāo)識用于確定需要下發(fā)監(jiān)聽使能標(biāo)志及合法監(jiān)聽ACL規(guī)則的目標(biāo)接口。其中�,VPN標(biāo)識可以是由管理員預(yù)先獲知,并對LIG進(jìn)行配置的����。即,管理員在確定合法監(jiān)聽目標(biāo)之后����,需要獲知該合法監(jiān)聽目標(biāo)所在的VPN,以及該合法監(jiān)聽目標(biāo)對應(yīng)的流量的IP地址����,然后,通過LIG將合法監(jiān)聽目標(biāo)標(biāo)識發(fā)送到網(wǎng)絡(luò)通信設(shè)備�。網(wǎng)絡(luò)通信設(shè)備在接收到LIG發(fā)送的合法監(jiān)聽目標(biāo)之后,同樣可以根據(jù)其中的流量的IP生成合法監(jiān)聽ACL規(guī)則����;同時����,還可以根據(jù)其中的VPN標(biāo)識獲知合法監(jiān)聽目標(biāo)所在的VPN����,并獲知與該VPN綁定的接口�。然后,就可以將監(jiān)聽使能標(biāo)志以及ACL 規(guī)則下發(fā)到與該VPN綁定的接口�。需要說明的是,由于監(jiān)聽目標(biāo)是以用戶為單位的�,因此,一個監(jiān)聽目標(biāo)所在流量的 IP就是指該用戶流量的IP�����,其為一個監(jiān)聽目標(biāo)的唯一標(biāo)識�。而一個接口上可能同時有多個用戶流量,因此���,無論一個VPN綁定的是一個接口還是多個接口�����,都需要根據(jù)監(jiān)聽目標(biāo)所在流量的IP生成ACL規(guī)則�����,并下發(fā)到與VPN綁定的接口�����,然后由該接口根據(jù)ACL規(guī)則判斷����,需要將哪個用戶流量復(fù)制,并發(fā)送給LIG�����。即�,在一個VPN僅綁定一個接口的情況下,接口上同時會有一個VPN的多個用戶流量���,而監(jiān)聽時往往只關(guān)注個別用戶的流量�,不能把該VPN綁定的一個接口上的所有流量都復(fù)制過去�。同時,由于復(fù)制用戶流量也需要占用特定的處理資源�����,如果把該接口上的其他用戶流量也都監(jiān)聽過去,不僅是網(wǎng)絡(luò)通信設(shè)備還有合法監(jiān)聽網(wǎng)關(guān)以及監(jiān)聽管理中心上游的各種設(shè)備和人力資源�,都會造成浪費(fèi),此外還可能存在法律問題�����。 在一個VPN綁定多個接口的情況下��,合法監(jiān)聽目標(biāo)所在的接口可能是這些接口中的一個���,因此,各個接口在接收到監(jiān)聽使能標(biāo)志以及ACL規(guī)則之后���,同樣需要根據(jù)ACL規(guī)則進(jìn)行匹配操作��,確定出真正需要進(jìn)行監(jiān)聽的用戶流量��,并將該用戶的流量復(fù)制一份�����,封裝后發(fā)送到LIG�����,以便進(jìn)行后續(xù)的監(jiān)聽目標(biāo)流量分析操作��。例如�,某網(wǎng)絡(luò)通信設(shè)備有10個接口, 其中����,與某監(jiān)聽目標(biāo)所在的VPN綁定的接口有3個,該監(jiān)聽目標(biāo)的流量流經(jīng)這3個接口中的一個接口 �����;此時���,只需要向這3個接口下發(fā)監(jiān)聽使能標(biāo)志以及ACL規(guī)則�。然后���,這3個接口上的硬件設(shè)備進(jìn)行ACL規(guī)則匹配操作���,其中一個接口匹配成功之后,就可以將該接口上與 ACL規(guī)則相匹配的用戶流量復(fù)制一份,封裝后發(fā)送到LIG�。該網(wǎng)絡(luò)通信設(shè)備的其他7個接口上的流量由于不需要被監(jiān)聽,因此�,也不會再進(jìn)行匹配ACL規(guī)則的操作?���?梢姡诒景l(fā)明實(shí)施例一提供的方法中�,只有與監(jiān)聽目標(biāo)VPN綁定的接口上的硬件設(shè)備會進(jìn)行ACL匹配操作,因此�����,與現(xiàn)有技術(shù)相比����,最大限度地減少了匹配ACL的次數(shù)��,從而減少了合法監(jiān)聽過程對系統(tǒng)處理資源及處理時間的浪費(fèi)����。同時,本發(fā)明實(shí)施例提供的方法還同時解決了另一個問題��,下面進(jìn)行介紹。如前文所述����,在三層VPN中,不同VPN內(nèi)可以使用相同的IP地址���;但是����,如果在采用了三層VPN技術(shù)承載業(yè)務(wù)流量的網(wǎng)絡(luò)通信設(shè)備中����,直接使用現(xiàn)有技術(shù)中的合法監(jiān)聽方案,則會出現(xiàn)以下問題由于同一個IP地址可能出現(xiàn)在多個三層VPN內(nèi)����,因此,流量的IP信息不能唯一標(biāo)識一個監(jiān)聽目標(biāo)����。例如,當(dāng)需要對某監(jiān)聽目標(biāo)的流量進(jìn)行監(jiān)聽時����,如果僅使用流量的IP地址來標(biāo)識監(jiān)聽目標(biāo)����,則最終匹配成功的接口可能是多個��,其中包括真正的監(jiān)聽目標(biāo)所在的接口�����,還可能包括該網(wǎng)絡(luò)通信設(shè)備下的其他VPN中與該監(jiān)聽目標(biāo)的流量IP地址相同的其他接口�����,顯然���,這會造成錯誤的發(fā)生���。而本發(fā)明實(shí)施例的方案恰恰能夠解決這一問題由于LIG下發(fā)的監(jiān)聽目標(biāo)中包括VPN標(biāo)識,并且僅向與該VPN綁定的接口下發(fā)監(jiān)聽使能標(biāo)志以及ACL規(guī)則���,因此,其他VPN 中與監(jiān)聽目標(biāo)的流量IP地址相同的其他接口不會進(jìn)行ACL匹配等操作��,避免上述錯誤的發(fā)生��。下面對本發(fā)明實(shí)施例一提供的方法在具體實(shí)現(xiàn)中的細(xì)節(jié)進(jìn)行詳細(xì)地介紹。在網(wǎng)絡(luò)通信設(shè)備和合法監(jiān)聽網(wǎng)關(guān)設(shè)備合法監(jiān)聽模型中��,合法監(jiān)聽需要獲取的監(jiān)聽信息包括 CC 信息(Content of Communication,通訊內(nèi)容)以及 IRI 信息(Intercept Related ^formation�����,通訊相關(guān)的信息)兩部分�,其中,CC信息指被監(jiān)聽者的通訊內(nèi)容本身�,如 E-mail郵件內(nèi)容、VoIP語音包等�;IRI信息包括通訊相關(guān)的地址、時間���、網(wǎng)絡(luò)位置等信息����。這兩類監(jiān)聽信息都可以通過運(yùn)營商的網(wǎng)絡(luò)通信設(shè)備來獲取���,其中IRI信息一般通過RADIUS�、 DHCP服務(wù)器等設(shè)備獲?。籆C信息一般由進(jìn)行合法監(jiān)聽的網(wǎng)絡(luò)通信設(shè)備獲取��。在現(xiàn)有的合法監(jiān)聽在實(shí)現(xiàn)過程中,涉及到7個接口�����,如圖1所示��,各個接口的含義及作用如下Ll 連接LIG管理系統(tǒng)和LIG�����,通過該接口將監(jiān)聽管理中心的監(jiān)聽控制命令向合法監(jiān)聽網(wǎng)關(guān)LIG發(fā)布���。HIl 連接監(jiān)聽管理中心和LIG管理系統(tǒng)����,通過該接口監(jiān)聽管理中心向LIG管理系統(tǒng)部署管理命令以及接受命令響應(yīng)等��。HI2 連接監(jiān)聽管理中心和LIG�����,通過該接口 LIG向監(jiān)聽管理中心傳送IRI信息�����。HI3 連接監(jiān)聽管理中心和LIG��,通過該接口 LIG向監(jiān)聽管理中心傳送CC信息����。Xl 連接LIG和網(wǎng)絡(luò)通信設(shè)備的信令接口。通過該接口 LIG向網(wǎng)絡(luò)通信設(shè)備(如 AAA krver或路由設(shè)備Router)部署監(jiān)聽配置����,包括設(shè)定監(jiān)聽目標(biāo)、查詢監(jiān)聽信息并維護(hù) X2�����、X3接口�。常用的Xl接口的實(shí)現(xiàn)技術(shù)為SNMPv3,專用MIB方式�。X2 連接LIG和網(wǎng)絡(luò)通信設(shè)備的數(shù)據(jù)接口。通過該接口����,運(yùn)營商網(wǎng)絡(luò)向LIG傳送IRI信息并發(fā)送告警。該接口需要保證數(shù)據(jù)的可靠性和私密性�����,可以通過傳輸控制協(xié)議 TCP (Transmission Control Protocol, TCP)、用戶數(shù)據(jù)包協(xié)議 UDP (User Datagram Protocol, UDP)���、IPSec (Internet 協(xié)議安全性)方式實(shí)現(xiàn)�。X3 連接LIG和運(yùn)營商的網(wǎng)絡(luò)通信設(shè)備的數(shù)據(jù)接口�。通過該接口,網(wǎng)絡(luò)通信設(shè)備向 LIG傳送CC信息和心跳信息�。本發(fā)明實(shí)施例可以在現(xiàn)有網(wǎng)絡(luò)通信設(shè)備和合法監(jiān)聽網(wǎng)關(guān)設(shè)備合法監(jiān)聽模型和流程基礎(chǔ)上,擴(kuò)展Xl協(xié)議接口和X3協(xié)議接口字段和機(jī)制��。LIG和網(wǎng)絡(luò)通信設(shè)備通過Xl接口交互合法監(jiān)聽要求和監(jiān)聽目標(biāo)信息�,網(wǎng)絡(luò)通信設(shè)備下發(fā)合法監(jiān)聽ACL,通過X3接口封裝被監(jiān)聽用戶原始報文發(fā)送給合法監(jiān)聽網(wǎng)關(guān)設(shè)備��。這里的監(jiān)聽目標(biāo)標(biāo)識包括監(jiān)聽目標(biāo)所在的VPN 標(biāo)識�,以及監(jiān)聽目標(biāo)的流量的IP信息。其中��,下發(fā)監(jiān)聽目標(biāo)標(biāo)識時可以由多種實(shí)現(xiàn)方式��,下面介紹兩種主要的方式���。方式一可以通過VPN Name+VPN Type+IP信息作為監(jiān)聽目標(biāo)標(biāo)識�,其中,VPN Name+VPN Type用于唯一標(biāo)識監(jiān)聽目標(biāo)所在的VPN�,IP信息可以包括源IP地址、目的IP地址�、源端口號、目的端口號和IP協(xié)議號中的一個或多個��,用于標(biāo)識具體需要監(jiān)聽的用戶流量��,VPN Name+VPN Type+IP信息便可以唯一標(biāo)識監(jiān)聽目標(biāo)���。根據(jù)VPN Name+VPN Type,網(wǎng)絡(luò)通信設(shè)備可以獲知標(biāo)識監(jiān)聽目標(biāo)所在的VPN,并進(jìn)一步獲知與該VPN綁定的接口 �;根據(jù)IP信息,網(wǎng)絡(luò)通信設(shè)備可以生成ACL規(guī)則��。然后��,網(wǎng)絡(luò)通信設(shè)備便可以實(shí)現(xiàn)按VPN下發(fā)合法監(jiān)聽ACL規(guī)則和監(jiān)聽使能標(biāo)志���。
其中�����,VPN Name是指VPN的名稱����,VPN Type是指VPN的類型,之所以使用VPN Name+VPN Type來唯一標(biāo)識監(jiān)聽目標(biāo)所在的VPN��,是因?yàn)榫W(wǎng)絡(luò)通信設(shè)備上不同的VPN Type 可以使用相同的VPN Name��,這樣�,如果僅采用VPN Name來標(biāo)識監(jiān)聽目標(biāo)所在的VPN,則可能有多個VPN都滿足����。具體而言,通常所講的VPN都是指基于IP/MPLS(Multi-Pr0t0C0l Label Switching����,多協(xié)議標(biāo)簽交換)技術(shù)的VPN,其類型包括VLL(virtual leased line����,虛擬租用線路)、VPLS (Virtual Private Lan Service���,虛擬專用局域網(wǎng)業(yè)務(wù))��、PWE3 (Pseudo-Wire Emulation Edge to Edge����,邊緣至Ij邊緣的偽線仿真)、BGP(BorderGateway Protocol����,邊界網(wǎng)關(guān)協(xié)議)L3VPN(Layer3 Virtual Private Network,三層虛擬專用網(wǎng)絡(luò))���、Multicast VPN(多點(diǎn)傳送虛擬專用網(wǎng)絡(luò))、IPv6 VPN(Internet Protocol Version 6 VPN�,互聯(lián)網(wǎng)協(xié)議第6版虛擬專用網(wǎng)絡(luò))等,傳統(tǒng)的VPN類型還有L2TP (Layer 2 Tunneling Protocol, 第二層隧道協(xié)議)�����、PPTP(Point to Point Tunneling Protocol���,點(diǎn)對點(diǎn)隧道協(xié)議)����、IP Sec (Security Architecture for IP network, IP層協(xié)議安全結(jié)構(gòu))����、GRE (GenericRouting Encapsulation,通用路由封裝)等,不同VPN類型彼此之間沒有任何關(guān)系����,也互相不可知, 因而實(shí)現(xiàn)上沒有對他們的名字是否一致做相應(yīng)的要求����,即對于不同類型的VPN而言,VPN Name是否相同不會影響具體的實(shí)現(xiàn)���。但是��,對于相同類型的VPN���,不同的VPN需要具有不同的VPN Name,因此,VPN Name+VPN Type能夠唯一標(biāo)識網(wǎng)絡(luò)通信設(shè)備上的一個VPN�����。因此����,合法監(jiān)聽管理中心需要提前獲知監(jiān)聽目標(biāo)在網(wǎng)絡(luò)通信設(shè)備上通過哪個VPN Name和VPN Type承載。具體的���,一般網(wǎng)絡(luò)中不同VPN代表不同的業(yè)務(wù)和ISP (Internet Service ftxwider)���,互聯(lián)網(wǎng)服務(wù)提供商)���,在做合法監(jiān)聽之前,合法監(jiān)聽管理員需要獲知該用戶(即合法監(jiān)聽目標(biāo))進(jìn)行的是什么業(yè)務(wù)���,是哪個ISP的用戶等��,然后就可以確定該用戶所在的VPN的Name和Type�。將其作為合法監(jiān)聽目標(biāo)標(biāo)識的一部分�,再加上該用戶的IP信息等就能夠唯一確定該用戶�,這樣在技術(shù)實(shí)現(xiàn)上即對應(yīng)為VPN Name+VPN Type+IP信息。網(wǎng)絡(luò)通信設(shè)備通過查看該VPN在哪些接口綁定��,就把合法監(jiān)聽標(biāo)志和相應(yīng)的ACL規(guī)則下發(fā)到對應(yīng)的接口上����。需要說明的是,前文所述VPN Name+VPN Type可以唯一標(biāo)識一個VPN����,但在實(shí)際應(yīng)用中�,如果僅使用VPN Name來標(biāo)識VPN也是可行的�����,因?yàn)?�,即使某VPN Name在不同類型的 VPN中有重名��,相對于現(xiàn)有技術(shù)而言��,也會減少執(zhí)行ACL匹配操作的次數(shù)�����,達(dá)到減少合法監(jiān)聽過程對系統(tǒng)處理資源及處理時間的浪費(fèi)的目的�����。同理����,如果僅用VPN Type來標(biāo)識VPN也是可以的,因?yàn)殡m然同一 VPN Type下的VPN可能有多個����,但是����,相對于現(xiàn)有技術(shù)而言�,至少其他VPNTpye下的設(shè)備不用再執(zhí)行ACL匹配操作,因此���,也能夠達(dá)到減少合法監(jiān)聽過程對系統(tǒng)處理資源及處理時間的浪費(fèi)的目的���。為了便于描述,本發(fā)明實(shí)施例僅以VPN Name+VPN Type作為VPN標(biāo)識為例進(jìn)行詳細(xì)介紹��。為了實(shí)現(xiàn)三層VPN業(yè)務(wù)場景下通過VPN Name+VPN Type+IP信息作為監(jiān)聽目標(biāo)�,需要擴(kuò)展網(wǎng)絡(luò)通信設(shè)備和LIG之間交互的Xl接口和X3接口協(xié)議封裝,例如�,本發(fā)明實(shí)施例的一種Xl接口報文的封裝格式可以如圖2所示。其中����,SNMP OID代表合法監(jiān)聽網(wǎng)關(guān)和網(wǎng)絡(luò)通信設(shè)備之間為合法監(jiān)聽定義的 MIB (Management information Base Management Information Base,管理信息庫)節(jié)點(diǎn)����; 合法監(jiān)聽ID代表合法監(jiān)聽網(wǎng)關(guān)下發(fā)的監(jiān)聽目標(biāo)編號,用于區(qū)分合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的多個監(jiān)聽目標(biāo)���,網(wǎng)絡(luò)通信設(shè)備獲取監(jiān)聽目標(biāo)數(shù)據(jù)流并通過X3接口封裝發(fā)送給合法監(jiān)聽網(wǎng)
9關(guān)時的合法監(jiān)聽ID需要與該監(jiān)聽目標(biāo)編號一一對應(yīng)���;合法監(jiān)聽標(biāo)志用于通知網(wǎng)絡(luò)通信設(shè)備對相應(yīng)的合法監(jiān)聽目標(biāo)實(shí)施監(jiān)聽���;最后,由VPN Name+VPN Type+IP信息來唯一標(biāo)識監(jiān)聽目標(biāo)��。實(shí)施例的一種X3接口報文的封裝格式可以如圖3所示�。其中,由于同一個監(jiān)聽用戶的多個數(shù)據(jù)報文在傳輸給LIG時可能出現(xiàn)先后順序不同的情況��,因此����,圖3中的合法監(jiān)聽流ID用于標(biāo)識同一個監(jiān)聽目標(biāo)的多個數(shù)據(jù)報文,以標(biāo)識出不同數(shù)據(jù)流的先后順序�����,這樣 LIG可以根據(jù)該合法監(jiān)聽流ID對同一個監(jiān)聽目標(biāo)的數(shù)據(jù)進(jìn)行重組和還原業(yè)務(wù)流���。進(jìn)行上述擴(kuò)展之后�����,在網(wǎng)絡(luò)通信設(shè)備上具體實(shí)現(xiàn)流程如圖4所示�,可以包括以下步驟S401 接收LIG下發(fā)的合法監(jiān)聽要求和合法監(jiān)聽目標(biāo)的標(biāo)識信息;S402 判斷LI G下發(fā)的標(biāo)識信息中的VPN Name字段是否為空����,如果為空,則代表 LIG沒有下發(fā)相應(yīng)的VPN Name參數(shù)�����,此時����,進(jìn)入步驟S403 ;如果不為空����,則進(jìn)入步驟S404 S403 向LIG報告監(jiān)聽出錯信息,由LIG重新下發(fā)合法監(jiān)聽目標(biāo)的標(biāo)識信息����,并返回步驟S401 ���;S404 判斷LIG下發(fā)的標(biāo)識信息中的VPN Name字段是否為0���,如果為0���,則代表可能沒有采用VPN技術(shù),此時����,進(jìn)入S405 ;如果不為0��,則進(jìn)入步驟S406 ��;S405 按照IP信息生成ACL規(guī)則之后��,采用整機(jī)下發(fā)的方式�,下發(fā)監(jiān)聽使能標(biāo)志以及ACL規(guī)則,并進(jìn)入步驟S409 �;S406 判斷LIG下發(fā)的標(biāo)識信息中的VPN Name是否可以與該網(wǎng)絡(luò)通信設(shè)備下的各個VPN的Name匹配,如果不匹配�����,則代表可能出錯�,進(jìn)入步驟S403,否則進(jìn)入步驟S407 ;S407 判斷LIG下發(fā)的標(biāo)識信息中的VPN Type是否可以匹配���,如果不匹配�,則進(jìn)入步驟S403�,如果匹配,則進(jìn)入步驟S408 ��;S408 搜索該VPN Name+VPN Type對應(yīng)的接口��,并向這些接口下發(fā)監(jiān)聽使能標(biāo)志以及ACL規(guī)則�;S409 轉(zhuǎn)發(fā)引擎復(fù)制匹配該ACL規(guī)則的流量,并通過X3接口封裝后�����,發(fā)送給LIG����。方式二、可以通過VPN ID+IP信息作為監(jiān)聽目標(biāo)標(biāo)識����,其中,VPN ID用于唯一標(biāo)識監(jiān)聽目標(biāo)所在的VPN��,IP信息用于標(biāo)識具體需要監(jiān)聽的用戶流量,VPN ID+IP信息便可以唯一標(biāo)識監(jiān)聽目標(biāo)���。與方式一的不同之處在于,該方式二中僅采用VPN ID這樣一個參數(shù)就可以唯一標(biāo)識監(jiān)聽目標(biāo)所在的VPN�����,除此之外���,均可以采用與方式一相同的方法來實(shí)現(xiàn)�。因此�����,對于與方式一的相同之處這里不再贅述�。其中,VPN ID信息是網(wǎng)絡(luò)通信設(shè)備內(nèi)部定義的唯一標(biāo)識�����,合法監(jiān)聽管理中心需要提前獲知監(jiān)聽目標(biāo)在網(wǎng)絡(luò)通信設(shè)備上承載的VPN ID信息�����,并將其作為監(jiān)聽目標(biāo)的標(biāo)識下發(fā)給網(wǎng)絡(luò)通信設(shè)備。為了實(shí)現(xiàn)三層VPN業(yè)務(wù)場景下通過VPN ID+IP信息作為監(jiān)聽目標(biāo)���,同樣需要擴(kuò)展網(wǎng)絡(luò)通信設(shè)備和LIG之間交互的Xl接口和X3接口協(xié)議封裝����,例如���,實(shí)施例的一種Xl接口的封裝格式可以如圖5所示�。實(shí)施例的一種的X3接口的封裝格式可以如圖6所示���。各個字段代表的含義可以參見方式一中的介紹�。進(jìn)行上述擴(kuò)展之后�,在網(wǎng)絡(luò)通信設(shè)備上具體實(shí)現(xiàn)流程如圖7所示,可以包括以下步驟S701 接收LIG下發(fā)的合法監(jiān)聽要求和合法監(jiān)聽目標(biāo)的標(biāo)識信息�;S702 判斷LIG下發(fā)的標(biāo)識信息中的VPN ID字段是否為空,如果為空�����,則代表LIG 沒有下發(fā)相應(yīng)的VPN ID參數(shù)�����,此時,進(jìn)入步驟S703 ����;如果不為空,則進(jìn)入步驟S704 S703 向LIG報告監(jiān)聽出錯信息�,由LIG重新下發(fā)合法監(jiān)聽目標(biāo)的標(biāo)識信息�����,并返回步驟S701 ��;S704 判斷LIG下發(fā)的標(biāo)識信息中的VPN ID字段是否為0����,如果為0,則代表可能沒有采用VPN技術(shù)����,此時,進(jìn)入步驟S705 ����;如果不為0,則進(jìn)入步驟S706 �;S705 按照IP信息生成ACL規(guī)則之后���,采用整機(jī)下發(fā)的方式,下發(fā)監(jiān)聽使能標(biāo)志以及ACL規(guī)則�����,并進(jìn)入步驟S708 �;S706 判斷LIG下發(fā)的標(biāo)識信息中的VPN ID是否可以與該網(wǎng)絡(luò)通信設(shè)備下的各個 VPN的ID匹配,如果不匹配��,則代表可能出錯�,進(jìn)入步驟S703,否則進(jìn)入步驟S707 �����;S707:搜索該VPN ID對應(yīng)的接口����,并向這些接口下發(fā)監(jiān)聽使能標(biāo)志以及ACL規(guī)則;S708 轉(zhuǎn)發(fā)引擎復(fù)制匹配該ACL規(guī)則的流量��,并通過X3接口封裝后�,發(fā)送給LIG。以上對于在三層VPN業(yè)務(wù)場景下的合法監(jiān)聽方法進(jìn)行了詳細(xì)地介紹����,其中�����,在一個VPN綁定多個接口的情況下���,通過VPN Name+VPN Type+IP信息或者VPN ID+IP信息來唯一標(biāo)識監(jiān)聽目標(biāo),可以根據(jù)VPN對應(yīng)的接口下發(fā)合法監(jiān)聽ACL和監(jiān)聽使能標(biāo)志��,節(jié)省系統(tǒng)資源和處理時間�����,同時�,可以解決現(xiàn)有三層VPN應(yīng)用中不同VPN內(nèi)相同IP地址的情況下合法監(jiān)聽需求��。需要說明的是��,前文所述都是使用IP信息作為用戶流量的標(biāo)識�����,在實(shí)際應(yīng)用中����, 當(dāng)系統(tǒng)使用媒體接入控制(Media Access Control����,MAC)地址來區(qū)分不同的用戶流量時�,本發(fā)明實(shí)施例也可以使用MAC地址來標(biāo)識用戶流量,具體的實(shí)現(xiàn)方法與前文使用IP信息作為用戶流量標(biāo)識時類似��,可以參照執(zhí)行���,這里不再贅述���。綜上所述,參見圖8����,本發(fā)明實(shí)施例一提供的合法監(jiān)聽的方法包括以下步驟S801 接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在虛擬專用網(wǎng)絡(luò)VPN的標(biāo)識以及合法監(jiān)聽目標(biāo)的用戶流量標(biāo)識���;S802 獲知與所述VPN標(biāo)識對應(yīng)的VPN綁定的接口 ����;S803 根據(jù)所述用戶流量標(biāo)識生成合法監(jiān)聽ACL規(guī)則����;顯然��,步驟S802與S803的順序可以互換�����,也可以同時進(jìn)行���。S804 向所述接口下發(fā)監(jiān)聽使能標(biāo)志及所述ACL規(guī)則,以便對所述合法監(jiān)聽目標(biāo)的流量進(jìn)行合法監(jiān)聽��。其中��,合法監(jiān)聽目標(biāo)所在VPN的標(biāo)識就可以包括VPN Name�����、VPN Type或VPN Name+VPN Type�����,或者�����,也可以僅為VPN ID�。用戶流量標(biāo)識可以是IP信息也可以是MAC地址。實(shí)施例二實(shí)施例一主要針對三層VPN業(yè)務(wù)場景下的合法監(jiān)聽方法進(jìn)行了介紹����,在該實(shí)施例二中,主要針對二層VPN業(yè)務(wù)場景下的合法監(jiān)聽需求進(jìn)行介紹��。如前文所述����,現(xiàn)有技術(shù)方案在網(wǎng)絡(luò)通信設(shè)備上實(shí)現(xiàn)時,網(wǎng)絡(luò)通信設(shè)備執(zhí)行合法監(jiān)聽只能通過IP信息來標(biāo)識監(jiān)聽目標(biāo)��,但是在很多應(yīng)用場景中特別是二層VPN應(yīng)用中�,并不使用IP信息來標(biāo)識用戶流量,而是通過MAC地址來標(biāo)識用戶流量��,在這種業(yè)務(wù)場景下��,如果通過IP信息來標(biāo)識監(jiān)聽目標(biāo)對應(yīng)的用戶流量��,則無法完成合法監(jiān)聽任務(wù)�。因此,在本發(fā)明實(shí)施例二中,給出了二層VPN業(yè)務(wù)場景下進(jìn)行合法監(jiān)聽的方法���。參見圖9�,具體包括以下步驟S901 接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識����,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在的MAC地址;S902 根據(jù)所述MAC地址生成合法監(jiān)聽ACL規(guī)則��;S903 按照相應(yīng)的二層虛擬通道技術(shù)下發(fā)所述ACL規(guī)則及監(jiān)聽使能標(biāo)志���,以便對所述合法監(jiān)聽目標(biāo)的流量進(jìn)行合法監(jiān)聽��?����?梢?,本發(fā)明實(shí)施例二以MAC地址作為監(jiān)聽目標(biāo)��,按照相應(yīng)的VLAN (Virtual Local Area Network���,虛擬局域網(wǎng))、QinQ(802. IQ in 802. 1Q,802. IQ 隧道協(xié)議)�、L2VPN(Layer2 Virtual Private Network, 二層虛擬專用網(wǎng)絡(luò))、VPLS (Virtual Private Lan Service,虛擬專用局域網(wǎng)業(yè)務(wù))或者其他的二層虛擬通道技術(shù)下發(fā)合法監(jiān)聽ACL規(guī)則和監(jiān)聽使能標(biāo)志�。同樣需要在現(xiàn)有網(wǎng)絡(luò)通信設(shè)備和合法監(jiān)聽網(wǎng)關(guān)設(shè)備合法監(jiān)聽模型和流程基礎(chǔ)上,擴(kuò)展 Xl協(xié)議接口和X3協(xié)議接口字段和機(jī)制��。例如����,實(shí)施例的一種Xl接口報文的封裝格式可以如圖10所示。其中����,此處SNMP OID代表合法監(jiān)聽網(wǎng)關(guān)和網(wǎng)絡(luò)通信設(shè)備之間為合法監(jiān)聽定義的MIB節(jié)點(diǎn);合法監(jiān)聽ID代表合法監(jiān)聽網(wǎng)關(guān)下發(fā)的監(jiān)聽目標(biāo)編號�����,用于區(qū)分合法監(jiān)聽網(wǎng)關(guān)設(shè)備同時下發(fā)多個監(jiān)聽目標(biāo)時的標(biāo)識���,網(wǎng)絡(luò)通信設(shè)備獲取監(jiān)聽目標(biāo)數(shù)據(jù)流并通過X3接口封裝發(fā)送給合法監(jiān)聽網(wǎng)關(guān)時的合法監(jiān)聽ID需要和此一一對應(yīng)���;合法監(jiān)聽標(biāo)志用于通知網(wǎng)絡(luò)通信設(shè)備對相應(yīng)的合法監(jiān)聽目標(biāo)實(shí)施監(jiān)聽;二層通道ID用于標(biāo)識網(wǎng)絡(luò)通信設(shè)備二層業(yè)務(wù)的通道標(biāo)識���,根據(jù)具體的二層VPN通信模型�,可以是VLAN ID,QinQ ID、L2VPN ID,VPLS ID或者其他區(qū)分多個二層虛擬通道技術(shù)的標(biāo)識��。實(shí)施例的一種Xl接口報文的封裝格式可以如圖11所示�。各字段代表的含義參見前文所述,這里不再贅述�����?���?傊ㄟ^本發(fā)明實(shí)施例二��,對于二層VPN業(yè)務(wù)場景�����,可以通過MAC地址來唯一標(biāo)識監(jiān)聽目標(biāo)����,從而滿足現(xiàn)有二層VPN應(yīng)用中用戶流量只有MAC地址沒有IP地址的情況下的合法監(jiān)聽需求。與本發(fā)明實(shí)施例一提供的合法監(jiān)聽方法相對應(yīng)�,本發(fā)明實(shí)施例還提供了一種合法監(jiān)聽裝置,該裝置應(yīng)用于三層VPN業(yè)務(wù)場景中�����,參見圖12�����,包括第一接收單元1201�,用于接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在虛擬專用網(wǎng)絡(luò)VPN的標(biāo)識以及合法監(jiān)聽目標(biāo)的用戶流量標(biāo)識��;接口獲知單元1202��,用于獲知與所述VPN標(biāo)識對應(yīng)的VPN綁定的接口 �;第一 ACL規(guī)則生成單元1203,用于根據(jù)所述用戶流量標(biāo)識生成合法監(jiān)聽ACL規(guī)則��;第一下發(fā)單元1204�,用于向所述接口下發(fā)監(jiān)聽使能標(biāo)志及所述ACL規(guī)則,以便對所述合法監(jiān)聽目標(biāo)的用戶流量進(jìn)行合法監(jiān)聽��。其中���,第一接收單元1201接收的合法監(jiān)聽目標(biāo)所在VPN的標(biāo)識可以是合法監(jiān)聽目標(biāo)所在VPN的名稱和/或類型����。或者�,所述第一接收單元1201接收的合法監(jiān)聽目標(biāo)所在VPN的標(biāo)識也可以是合法監(jiān)聽目標(biāo)所在VPN的ID。其中�����,用戶流量標(biāo)識地址可以包括IP信息或MAC地址�。其中,IP信息可以包括源IP地址�、目的IP地址、源端口號����、目的端口號和IP協(xié)議號中的一個或多個。與本發(fā)明實(shí)施例二提供的合法監(jiān)聽方法相對應(yīng)��,本發(fā)明實(shí)施例還提供了一種合法監(jiān)聽裝置���,該裝置應(yīng)用于二層VPN業(yè)務(wù)場景中�����,參見圖13�����,包括第二接收單元1301�����,用于接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識���,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在的MAC地址;第二 ACL規(guī)則生成單元1302�,用于根據(jù)所述MAC地址生成合法監(jiān)聽ACL規(guī)則;第二下發(fā)單元1303��,用于按照相應(yīng)的二層虛擬通道技術(shù)下發(fā)所述ACL規(guī)則及監(jiān)聽使能標(biāo)志����,以便對所述合法監(jiān)聽目標(biāo)的流量進(jìn)行合法監(jiān)聽。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成�,所述的程序可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中, 該程序在執(zhí)行時��,包括如下步驟接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識�,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在虛擬專用網(wǎng)絡(luò)VPN的標(biāo)識以及合法監(jiān)聽目標(biāo)的用戶流量標(biāo)識;獲知與所述VPN標(biāo)識對應(yīng)的VPN綁定的接口 ����;根據(jù)所述用戶流量標(biāo)識生成合法監(jiān)聽ACL規(guī)則����;向所述接口下發(fā)監(jiān)聽使能標(biāo)志及所述ACL規(guī)則����,以便對所述合法監(jiān)聽目標(biāo)的流量進(jìn)行合法監(jiān)聽。��。所述的存儲介質(zhì)��,如R0M/RAM�����、磁碟���、光盤等��。以上對本發(fā)明所提供的合法監(jiān)聽方法及裝置�,進(jìn)行了詳細(xì)介紹���,本文中應(yīng)用了具體個例對本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述��,以上實(shí)施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想���;同時����,對于本領(lǐng)域的一般技術(shù)人員�����,依據(jù)本發(fā)明的思想���,在具體實(shí)施方式
及應(yīng)用范圍上均會有改變之處。綜上所述�����,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制����。
權(quán)利要求
1.一種合法監(jiān)聽的方法,其特征在于�����,包括接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在虛擬專用網(wǎng)絡(luò)VPN的標(biāo)識以及合法監(jiān)聽目標(biāo)的用戶流量標(biāo)識��;獲知與所述VPN標(biāo)識對應(yīng)的VPN綁定的接口 �����;根據(jù)所述用戶流量標(biāo)識生成合法監(jiān)聽ACL規(guī)則���;向所述接口下發(fā)監(jiān)聽使能標(biāo)志及所述ACL規(guī)則�,以便對所述合法監(jiān)聽目標(biāo)的用戶流量進(jìn)行合法監(jiān)聽�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述合法監(jiān)聽目標(biāo)所在VPN的標(biāo)識包括合法監(jiān)聽目標(biāo)所在VPN的名稱和/或類型���。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于��,所述合法監(jiān)聽目標(biāo)所在VPN的標(biāo)識包括合法監(jiān)聽目標(biāo)所在VPN的ID���。
4.根據(jù)權(quán)利要求1-3中任一所述的方法�,其特征在于,所述用戶流量標(biāo)識包括IP信息或MAC地址�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�����,所述IP信息包括源IP地址����、目的IP地址、源端口號���、目的端口號和IP協(xié)議號中的一個或多個。
6.一種合法監(jiān)聽的方法�����,其特征在于���,包括接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識����,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在的MAC地址�����;根據(jù)所述MAC地址生成合法監(jiān)聽ACL規(guī)則�;按照相應(yīng)的二層虛擬通道技術(shù)下發(fā)所述ACL規(guī)則及監(jiān)聽使能標(biāo)志,以便對所述合法監(jiān)聽目標(biāo)的流量進(jìn)行合法監(jiān)聽�。
7.一種合法監(jiān)聽的裝置,其特征在于���,包括第一接收單元����,用于接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識�����,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在虛擬專用網(wǎng)絡(luò)VPN的標(biāo)識以及合法監(jiān)聽目標(biāo)的用戶流量標(biāo)識��;接口獲知單元��,用于獲知與所述VPN標(biāo)識對應(yīng)的VPN綁定的接口 �����;第一 ACL規(guī)則生成單元�����,用于根據(jù)所述用戶流量標(biāo)識生成合法監(jiān)聽ACL規(guī)則;第一下發(fā)單元����,用于向所述接口下發(fā)監(jiān)聽使能標(biāo)志及所述ACL規(guī)則,以便對所述合法監(jiān)聽目標(biāo)的用戶流量進(jìn)行合法監(jiān)聽�����。
8.根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述第一接收單元接收的合法監(jiān)聽目標(biāo)所在VPN的標(biāo)識包括合法監(jiān)聽目標(biāo)所在VPN的名稱和/或類型����。
9.根據(jù)權(quán)利要求7所述的裝置,其特征在于�����,所述第一接收單元接收的合法監(jiān)聽目標(biāo)所在VPN的標(biāo)識包括合法監(jiān)聽目標(biāo)所在VPN的ID�。
10.根據(jù)權(quán)利要求7-9中任一所述的方法�,其特征在于,所述用戶流量標(biāo)識包括IP信息或MAC地址�����。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于���,所述IP信息包括源IP地址��、目的IP地址�����、源端口號����、目的端口號和IP協(xié)議號中的一個或多個�。
12.—種合法監(jiān)聽的裝置,其特征在于��,包括第二接收單元�����,用于接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識���,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在的MAC地址��;第二 ACL規(guī)則生成單元�,用于根據(jù)所述MAC地址生成合法監(jiān)聽ACL規(guī)則; 第二下發(fā)單元���,用于按照相應(yīng)的二層虛擬通道技術(shù)下發(fā)所述ACL規(guī)則及監(jiān)聽使能標(biāo)志�����,以便對所述合法監(jiān)聽目標(biāo)的流量進(jìn)行合法監(jiān)聽���。
全文摘要
本發(fā)明公開了合法監(jiān)聽的方法及裝置,其中��,所述方法包括接收合法監(jiān)聽網(wǎng)關(guān)設(shè)備下發(fā)的合法監(jiān)聽目標(biāo)標(biāo)識�,所述合法監(jiān)聽目標(biāo)標(biāo)識包括合法監(jiān)聽目標(biāo)所在虛擬專用網(wǎng)絡(luò)VPN的標(biāo)識以及合法監(jiān)聽目標(biāo)的用戶流量標(biāo)識;獲知與所述VPN標(biāo)識對應(yīng)的VPN綁定的接口����;根據(jù)所述用戶流量標(biāo)識生成合法監(jiān)聽ACL規(guī)則;向所述接口下發(fā)監(jiān)聽使能標(biāo)志及所述ACL規(guī)則����,以便對所述合法監(jiān)聽目標(biāo)的用戶流量進(jìn)行合法監(jiān)聽���。通過本發(fā)明���,能夠減少合法監(jiān)聽過程對系統(tǒng)處理資源及處理時間的浪費(fèi)�����。
文檔編號H04L29/06GK102195947SQ201010126070
公開日2011年9月21日 申請日期2010年3月15日 優(yōu)先權(quán)日2010年3月15日
發(fā)明者白聯(lián)偉 申請人:華為技術(shù)有限公司