專利名稱:身份位置分離網(wǎng)絡(luò)的監(jiān)聽方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域,尤其涉及一種身份位置分離網(wǎng)絡(luò)的監(jiān)聽方法和系統(tǒng)��。
背景技術(shù):
關(guān)于下一代信息網(wǎng)絡(luò)架構(gòu)的研究是當(dāng)前最熱門的課題之一�,目前大多數(shù)研究接受的觀點(diǎn)是未來網(wǎng)絡(luò)將以互聯(lián)網(wǎng)為統(tǒng)一承載網(wǎng)絡(luò)?����;ヂ?lián)網(wǎng)從其誕生以來一直保持高速發(fā)展����, 已成為當(dāng)前最成功����、最具生命力的通信網(wǎng)絡(luò)��,其靈活可擴(kuò)展性����、高效的分組交換、終端強(qiáng)大的功能等特點(diǎn)非常符合新一代網(wǎng)絡(luò)的設(shè)計(jì)需要��,互聯(lián)網(wǎng)將是新一代網(wǎng)絡(luò)設(shè)計(jì)的主要參考藍(lán)本�。然而,互聯(lián)網(wǎng)的結(jié)構(gòu)還遠(yuǎn)遠(yuǎn)沒有達(dá)到最優(yōu)�,存在很多重大的設(shè)計(jì)問題,其中比較典型的是IP地址的雙重屬性的問題����,即IP地址既代表用戶身份,又代表用戶所處的網(wǎng)絡(luò)拓?fù)?�,即IP地址的雙重屬性��?�;ヂ?lián)網(wǎng)發(fā)明于二十世紀(jì)七十年代,人們難以預(yù)計(jì)今天世界上將存在大量的移動終端和多家鄉(xiāng)終端�,因此,當(dāng)時的互聯(lián)網(wǎng)協(xié)議棧主要是針對以“固定”方式連接的終端而設(shè)計(jì)�。在當(dāng)時的網(wǎng)絡(luò)環(huán)境下,由于終端基本上不會從一個位置移動到其它位置�,發(fā)送的地址就是接收的地址,路經(jīng)是可逆的����,所以具有身份和位置雙重屬性的IP地址能夠非常好的工作��,IP地址的身份屬性與位置屬性之間沒有產(chǎn)生任何沖突���。IP地址同時代表身份和位置恰恰滿足了當(dāng)時的網(wǎng)絡(luò)需求���。從當(dāng)時的網(wǎng)絡(luò)環(huán)境來看,這種設(shè)計(jì)方案簡單有效��,簡化了協(xié)議棧的層次結(jié)構(gòu)���。但毋庸置疑的是���,IP地址的身份屬性與位置屬性之間存在著內(nèi)部矛盾�����;IP地址的身份屬性要求任意兩個IP地址都是平等的��,雖然IP地址可以按照組織機(jī)構(gòu)進(jìn)行分配�����,但是連續(xù)編碼的IP地址之間沒有必然的關(guān)系�����;IP地址的位置屬性則要求IP地址基于網(wǎng)絡(luò)拓?fù)?(而不是組織機(jī)構(gòu))進(jìn)行分配���,處于同一個子網(wǎng)內(nèi)的IP地址都應(yīng)該處于一個連續(xù)的IP地址塊中,這樣才可以使網(wǎng)絡(luò)拓?fù)渲械腎P地址前綴聚合�����,從而減少路由器設(shè)備的路由表的條目�,保證路由系統(tǒng)的可擴(kuò)展性?�?偟膩碚f�����,IP地址雙重屬性的內(nèi)在矛盾將導(dǎo)致如下主要問題1.路由可擴(kuò)展問題。關(guān)于互聯(lián)網(wǎng)路由系統(tǒng)的可擴(kuò)展性存在一個基本的假定“地址按照拓?fù)溥M(jìn)行分配���,或者拓?fù)浒凑盏刂愤M(jìn)行部署���,二者必選其一”。IP地址的身份屬性要求IP地址基于終端所屬的組織機(jī)構(gòu)(而不是網(wǎng)絡(luò)拓?fù)?進(jìn)行分配�,而且這種分配要保持一定的穩(wěn)定性,不能經(jīng)常改變�����;而IP地址的位置屬性要求IP地址基于網(wǎng)絡(luò)拓?fù)溥M(jìn)行分配�,以便保證路由系統(tǒng)的可擴(kuò)展性�。這樣,IP地址的兩種屬性就產(chǎn)生了沖突�,最終引發(fā)了互聯(lián)網(wǎng)路由系統(tǒng)的可擴(kuò)展問題。2.移動性問題�。IP地址的身份屬性要求IP地址不應(yīng)該隨著終端位置的改變而變化,這樣才能夠保證綁定在身份上的通信不中斷�����,也能夠保證終端在移動后,其它終端仍能夠使用它的身份與之建立通信聯(lián)系��;而IP地址的位置屬性則要求IP地址隨著終端位置的改變而改變�����,以便IP地址能夠在新的網(wǎng)絡(luò)拓?fù)渲芯酆?����,否則網(wǎng)絡(luò)就必須為移動后的終端保留單獨(dú)的路由信息����,從而造成路由表?xiàng)l目的急劇增長。
3.多家鄉(xiāng)問題���。多家鄉(xiāng)通常指終端或網(wǎng)絡(luò)同時通過多個(Internet Services Provider�����,國際互聯(lián)網(wǎng)絡(luò)服務(wù)提供者)的網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)����,多家鄉(xiāng)技術(shù)的優(yōu)點(diǎn)包括增加網(wǎng)絡(luò)的可靠性、支持多個ISP之間的流量負(fù)載均衡和提高總體可用帶寬等�����。但是�,IP地址雙重屬性的內(nèi)在矛盾使得多家鄉(xiāng)技術(shù)難以實(shí)現(xiàn)。IP地址的身份屬性要求一個多家鄉(xiāng)終端始終對其它終端展現(xiàn)不變的身份��,無論該多家鄉(xiāng)終端是通過幾個ISP接入到互聯(lián)網(wǎng)����;而IP地址的位置屬性則要求一個多家鄉(xiāng)終端在不同的ISP網(wǎng)絡(luò)中使用不同的IP地址通信,這樣才能保證終端的IP地址能夠在ISP網(wǎng)絡(luò)的拓?fù)渲芯酆稀?.安全和位置隱私問題�。由于IP地址同時包含終端的身份信息和位置信息,所以通信對端和惡意竊聽者都可以根據(jù)一個終端的IP地址同時獲得該終端的身份信息和拓?fù)?br>
位置信息�����?���?偟膩碚f��,自從傳統(tǒng)互聯(lián)網(wǎng)的體系結(jié)構(gòu)建立以來����,互聯(lián)網(wǎng)的技術(shù)環(huán)境和用戶群體都已經(jīng)發(fā)生了翻天覆地的變化��,互聯(lián)網(wǎng)需要隨之進(jìn)行革新��。IP地址的雙重屬性問題是困擾互聯(lián)網(wǎng)繼續(xù)發(fā)展的根本原因之一����,將IP地址的身份屬性和位置屬性進(jìn)行分離�,是解決互聯(lián)網(wǎng)所面臨問題的一個很好的思路。新網(wǎng)絡(luò)將基于這種思路進(jìn)行設(shè)計(jì)��,提出一種身份信息與位置信息分離映射的網(wǎng)絡(luò)結(jié)構(gòu)�����,以解決現(xiàn)有互聯(lián)網(wǎng)存在的一些嚴(yán)重弊端�����。為了解決身份和位置的問題�,業(yè)界進(jìn)行了大量的研究和探索,所有身份與位置分離方案的基本思想都是將原本綁定在IP地址上的身份與位置雙重屬性分離���。其中�,有些方案采用應(yīng)用層的URL(統(tǒng)一資源定位符Uniform Resource Locator,URL是用于完整地描述hternet上網(wǎng)頁和其他資源的地址的一種標(biāo)識方法)或FQDN(Fully Qualified Domain Name����,合格域名)作為終端的身份標(biāo)識;有些方案引入了新的名字空間作為身份標(biāo)識��,如HIPOtost Identity Protocol�����,主機(jī)身份協(xié)議)�,在以IP地址為標(biāo)識網(wǎng)絡(luò)層上增加主機(jī)標(biāo)識;有些方案將IP地址進(jìn)行分類����,部分IP作為身份標(biāo)識,部分IP作為位置標(biāo)識��,如 LISP (Locator/ID Separation Protocol����,位置/標(biāo)識分離協(xié)議)等;北方交通大學(xué)張宏科的專利CN200610001825也提出一種解決方案�,使用IP地址作為主機(jī)的位置標(biāo)識�����,引入端主機(jī)標(biāo)識作為身份標(biāo)識,解決身份和位置分離的問題��。上述方案都從問題的一些局部提出在現(xiàn)有的網(wǎng)絡(luò)架構(gòu)下實(shí)現(xiàn)身份與位置分離解決方案���,身份與位置分離是未來數(shù)據(jù)通信網(wǎng)絡(luò)的核心技術(shù)����,特別是移動數(shù)據(jù)通信網(wǎng)絡(luò)?,F(xiàn)有身份位置分離技術(shù)中,必須建立身份標(biāo)識和位置標(biāo)識之間的映射關(guān)系���,供網(wǎng)絡(luò)設(shè)備尋址時使用�����。這個映射關(guān)系保持在映射服務(wù)器中�,邊緣路由器接收從終端發(fā)來的數(shù)據(jù)包�����,如果數(shù)據(jù)包的目的身份標(biāo)識是未知的�,需要去查詢映射服務(wù)器的身份位置映射表�����,根據(jù)目的身份標(biāo)識查到目的位置標(biāo)識��,將數(shù)據(jù)包封裝后發(fā)生到相應(yīng)網(wǎng)絡(luò)����。Internet網(wǎng)絡(luò)的業(yè)務(wù)如hternet瀏覽����、電子郵件收發(fā)、即時通信��、視頻上傳下載等等��,信息的來源廣泛����,甚至有可能危害國家安全和社會穩(wěn)定,因此對化切?。?��!討網(wǎng)絡(luò)開展合法監(jiān)聽有著重要的意義�����。監(jiān)聽功能主要是采用旁路的方式獲取和記錄被監(jiān)控對象的通信數(shù)據(jù)���,并通過統(tǒng)一接口提供給公安、軍隊(duì)等國家安全部門�。網(wǎng)絡(luò)的監(jiān)聽功能需具備如下特征1、被監(jiān)聽對象可以是某用戶��、某終端��、某服務(wù)提供商����、或某項(xiàng)業(yè)務(wù);2���、監(jiān)聽采用旁路方式獲取數(shù)據(jù)���,不影響業(yè)務(wù),也不為用戶所感知����;
3���、監(jiān)聽需獲得授權(quán),不同權(quán)限的監(jiān)管部門監(jiān)聽不同等級的內(nèi)容�。網(wǎng)絡(luò)的監(jiān)聽功能的界定,限制在ISO七層模型的網(wǎng)絡(luò)層���,即根據(jù)所設(shè)定的監(jiān)聽規(guī)則�����,將符合條件的網(wǎng)絡(luò)層數(shù)據(jù)包鏡像到監(jiān)管中心��。監(jiān)聽功能的實(shí)現(xiàn)��,主要是利用網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)鏡像功能����;數(shù)據(jù)鏡像功能是將源端口的數(shù)據(jù)��、或根據(jù)訪問控制列表規(guī)則篩選出的數(shù)據(jù)流復(fù)制一份到目的端口��,而目的端口與監(jiān)管中心的數(shù)據(jù)監(jiān)測設(shè)備相連�����。目前大部分網(wǎng)絡(luò)設(shè)備,如交換機(jī)�、路由器、接入服務(wù)器等都支持端口鏡像功能���。目前,在現(xiàn)有的身份與位置分離網(wǎng)絡(luò)架構(gòu)下���,還沒有實(shí)現(xiàn)監(jiān)聽功能�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種身份位置分離網(wǎng)絡(luò)的監(jiān)聽方法和系統(tǒng)�,實(shí)現(xiàn)了在身份與位置分離網(wǎng)絡(luò)架構(gòu)下的監(jiān)聽功能。為解決以上技術(shù)問題�,本發(fā)明提供了一種身份位置分離網(wǎng)絡(luò)的監(jiān)聽方法,該方法包括監(jiān)管中心發(fā)送被監(jiān)聽者的身份信息給認(rèn)證中心�,查詢并獲得所述被監(jiān)聽者身份標(biāo)識;所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識�����,獲得所述被監(jiān)聽者位置標(biāo)識����;所述監(jiān)管中心向所述被監(jiān)聽者位置標(biāo)識對應(yīng)的邊緣路由器下達(dá)監(jiān)聽被監(jiān)聽者身份標(biāo)識的命令;所述邊緣路由器將地址信息中包含被監(jiān)聽者身份標(biāo)識的數(shù)據(jù)包鏡像到監(jiān)管中心�����。進(jìn)一步地,所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識���,獲得所述被監(jiān)聽者位置標(biāo)識的途徑所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識����,查詢映射服務(wù)器中的所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系����,獲得所述被監(jiān)聽者位置標(biāo)識。進(jìn)一步地�����,所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識��,獲得所述被監(jiān)聽者位置標(biāo)識的途徑��,還包括所述監(jiān)管中心預(yù)先與所述映射服務(wù)器交互�,獲得并存儲所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系;所述監(jiān)管中心根據(jù)自身存儲的所述映射關(guān)系���,獲得所述被監(jiān)聽者位置標(biāo)識���。進(jìn)一步地����,被監(jiān)聽者的身份信息包括以下之一或任意組合被監(jiān)聽者的賬號�、電話號碼、身份證號碼�����。為解決以上技術(shù)問題���,本發(fā)明還提供了一種身份位置分離網(wǎng)絡(luò)的監(jiān)聽系統(tǒng),該系統(tǒng)包括被監(jiān)聽者�����、監(jiān)管中心��、認(rèn)證中心�、邊緣路由器所述監(jiān)管中心,用于發(fā)送被監(jiān)聽者的身份信息給認(rèn)證中心�����,查詢并獲得所述被監(jiān)聽者身份標(biāo)識;根據(jù)所述被監(jiān)聽者身份標(biāo)識�,獲得所述被監(jiān)聽者位置標(biāo)識;向所述被監(jiān)聽者位置標(biāo)識對應(yīng)的邊緣路由器下達(dá)監(jiān)聽被監(jiān)聽者身份標(biāo)識的命令��;所述認(rèn)證中心���,用于根據(jù)所述監(jiān)管中心發(fā)送的被監(jiān)聽者的身份信息��,反饋所述被監(jiān)聽者身份標(biāo)識�。所述邊緣路由器����,用于將地址信息中包含被監(jiān)聽者身份標(biāo)識的數(shù)據(jù)包鏡像到監(jiān)管中心。進(jìn)一步地��,所述監(jiān)管中心����,還用于根據(jù)所述被監(jiān)聽者身份標(biāo)識,查詢映射服務(wù)器中的所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系����,獲得所述被監(jiān)聽者位置標(biāo)識。進(jìn)一步地,所述監(jiān)管中心��,還用于預(yù)先與所述映射服務(wù)器交互�,獲得并存儲所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系;根據(jù)自身存儲的所述映射關(guān)系�,獲得所述被監(jiān)聽者位置標(biāo)識。進(jìn)一步地���,被監(jiān)聽者的身份信息包括以下之一或任意組合被監(jiān)聽者的賬號��、電話號碼�����、身份證號碼。本發(fā)明產(chǎn)生的有益效果是本發(fā)明提出了一種身份位置分離網(wǎng)絡(luò)的監(jiān)聽方法��,實(shí)現(xiàn)了在身份與位置分離網(wǎng)絡(luò)架構(gòu)下的監(jiān)聽功能����。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解,構(gòu)成本申請的一部分��,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明��,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中圖1是本發(fā)明實(shí)施例1的應(yīng)用的基于身份位置分離架構(gòu)的網(wǎng)絡(luò)拓?fù)涫疽鈭D��;圖2是本發(fā)明實(shí)施例2的監(jiān)管中心的監(jiān)聽流程圖����。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚���,以下結(jié)合附圖對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明���。需要說明的是,在不沖突的情況下��,本申請中的實(shí)施例及實(shí)施例中的特征可以相互組合�����。圖1是本發(fā)明實(shí)施例1的應(yīng)用的基于身份位置分離架構(gòu)的網(wǎng)絡(luò)拓?fù)涫疽鈭D��,詳細(xì)說明如下將網(wǎng)絡(luò)劃分為接入層和骨干層�����,為網(wǎng)絡(luò)中的每個用戶分配唯一的主機(jī)接入標(biāo)識 AID����,該主機(jī)接入標(biāo)識AID在移動過程中始終保持不變���;網(wǎng)絡(luò)中有兩種標(biāo)識類型主機(jī)接入標(biāo)識AID和路由標(biāo)識RID,其中�,主機(jī)接入標(biāo)識AID只能在接入層使用,路由標(biāo)識RID只能在
骨干層使用���。在該框架下����,網(wǎng)絡(luò)劃分為接入網(wǎng)和骨干網(wǎng)�����,接入網(wǎng)位于骨干網(wǎng)的邊緣����,負(fù)責(zé)所有終端的接入��;骨干網(wǎng)負(fù)責(zé)通過不同接入網(wǎng)接入的終端的路由��。接入服務(wù)節(jié)點(diǎn)ASN位于骨干網(wǎng)和接入網(wǎng)的分界點(diǎn)�,與接入網(wǎng)接口���,與骨干網(wǎng)接口。接入網(wǎng)與骨干網(wǎng)在拓?fù)潢P(guān)系上沒有重疊�。用戶終端間進(jìn)行通信只需使用對端的主機(jī)接入標(biāo)識進(jìn)行。接入服務(wù)節(jié)點(diǎn)為終端提供接入服務(wù)�����,維護(hù)用戶連接�����,轉(zhuǎn)發(fā)用戶數(shù)據(jù)�����。本架構(gòu)骨干網(wǎng)組網(wǎng)時分為兩個平面映射轉(zhuǎn)發(fā)平面����,廣義轉(zhuǎn)發(fā)平面。廣義轉(zhuǎn)發(fā)平面主要功能是根據(jù)數(shù)據(jù)報(bào)文中的路由標(biāo)識RID進(jìn)行選路和轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文��;映射轉(zhuǎn)發(fā)平面主要功能是保存移動節(jié)點(diǎn)身份位置的映射信息��,處理移動節(jié)點(diǎn)的登記注冊流程����,處理通信對端的位置查詢流程���,路由并轉(zhuǎn)發(fā)以接入標(biāo)識AID為目的地址的數(shù)據(jù)報(bào)文。本架構(gòu)的主要網(wǎng)元和功能實(shí)體包括ASN =Access Service Node��,接入服務(wù)節(jié)點(diǎn)��。ASN維護(hù)終端與網(wǎng)絡(luò)的連接關(guān)系���,為終端分配RID����,處理切換流程��,處理登記注冊流程�,處理計(jì)費(fèi)/鑒權(quán)流程,維護(hù)/查詢通訊對端的AID-RID映射關(guān)系���。
ASN封裝���、路由并轉(zhuǎn)發(fā)送達(dá)終端或終端發(fā)出的數(shù)據(jù)報(bào)文�����。ASN收到終端MN發(fā)來的數(shù)據(jù)報(bào)文時,根據(jù)數(shù)據(jù)報(bào)文中目的地址通信對端CN的 AIDc查詢本地緩存中的AID-RID映射表查到對應(yīng)的AIDc-RIDC映射條目���,將RIDc作為目的地址封裝在報(bào)文頭部�,將麗源地址AIDm對應(yīng)的RIDm作為源地址封裝在報(bào)文頭部�����,并轉(zhuǎn)發(fā)到廣義轉(zhuǎn)發(fā)平面�;如果沒有查到對應(yīng)的AIDc-RIDc映射條目,將數(shù)據(jù)報(bào)文做隧道封裝后轉(zhuǎn)發(fā)到映射轉(zhuǎn)發(fā)平面�����,并向映射轉(zhuǎn)發(fā)平面發(fā)出查詢AIDc-RIDc映射關(guān)系的流程���。ASN收到網(wǎng)絡(luò)發(fā)往終端的數(shù)據(jù)報(bào)文時����,對數(shù)據(jù)報(bào)文進(jìn)行解封裝處理���,剝?nèi)?shù)據(jù)報(bào)文頭部的RID封裝���,保留AID作為數(shù)據(jù)報(bào)文頭部發(fā)往終端�����。CR =Common Router���,通用路由器。路由并轉(zhuǎn)發(fā)以RID格式為源地址/目的地址的數(shù)據(jù)報(bào)文���,該通用路由器的功能作用與現(xiàn)有技術(shù)中的路由器沒有區(qū)別�。ILR/PTF Identity Location Register/Packet Transfer Function�����,ILR是身份位置寄存器��,維護(hù)/保存本架構(gòu)網(wǎng)絡(luò)中用戶的AID-RID映射關(guān)系����。實(shí)現(xiàn)登記注冊功能,處理通信對端的位置查詢流程�;PTF是分組轉(zhuǎn)發(fā)功能。映射轉(zhuǎn)發(fā)平面在收到ASN送達(dá)的數(shù)據(jù)報(bào)文后,由PTF根據(jù)目的AID在映射轉(zhuǎn)發(fā)平面內(nèi)路由并轉(zhuǎn)發(fā)���。映射轉(zhuǎn)發(fā)平面內(nèi)PTF節(jié)點(diǎn)在查到目的AID-RID的映射關(guān)系后,在數(shù)據(jù)報(bào)文頭部封裝對應(yīng)的RID信息并轉(zhuǎn)發(fā)到廣義轉(zhuǎn)發(fā)平面����,由廣義轉(zhuǎn)發(fā)平面路由并轉(zhuǎn)發(fā)到通信對端。認(rèn)證中心認(rèn)證中心負(fù)責(zé)記錄本架構(gòu)網(wǎng)絡(luò)的用戶屬性�,包括用戶類別、鑒權(quán)信息���、 用戶服務(wù)等級等信息����,產(chǎn)生用于鑒權(quán)�、完整性保護(hù)和加密的用戶安全信息,在用戶接入時進(jìn)行接入控制和授權(quán)�,認(rèn)證中心支持終端與網(wǎng)絡(luò)間的雙向鑒權(quán)。在基于身份位置分離架構(gòu)中���,有效合法存續(xù)期間的終端用戶的接入標(biāo)識AID始終保持不變���。路由標(biāo)識RID標(biāo)示當(dāng)前終端所在的ASN位置。根據(jù)業(yè)務(wù)需要,ASN可以為一個終端分配專用的一個或多個RID并注冊登記到映射轉(zhuǎn)發(fā)平面��;ASN也可為多個終端分配相同的RID�����。終端用戶接入網(wǎng)絡(luò)時��,通過認(rèn)證中心鑒權(quán)保證身份標(biāo)識的真實(shí)性��,身份位置寄存器保存了各個節(jié)點(diǎn)的AID-RID映射關(guān)系��。接入網(wǎng)部分區(qū)別不同節(jié)點(diǎn)采用接入標(biāo)識AID����,廣義交換平面采用RID路由數(shù)據(jù)報(bào)文,建立端到端的通信過程都需要用接入標(biāo)識AID查找對應(yīng)的用戶路由標(biāo)識RID����。端到端通信過程中,需要將本端的接入識別AID作為源端地址在數(shù)據(jù)報(bào)文中攜帶到通信對端��。通信對端能夠從數(shù)據(jù)報(bào)文攜帶的源端地址獲得源端身份��。網(wǎng)絡(luò)通過對用戶身份的鑒權(quán)以網(wǎng)絡(luò)信用保證了用戶身份的真實(shí)可靠�,在網(wǎng)絡(luò)中構(gòu)建了一個信任域�����。網(wǎng)絡(luò)對用戶身份的鑒權(quán)方法根據(jù)不同的網(wǎng)絡(luò)體制采用不同的方法��,可以是對用戶接入標(biāo)識AID直接鑒權(quán)���;也可以是對網(wǎng)絡(luò)中標(biāo)識用戶的其他類型的用戶識別(例如國際移動用戶識別IMSI�����、網(wǎng)絡(luò)用戶識別NAI等)進(jìn)行鑒權(quán)�,網(wǎng)絡(luò)設(shè)備將保存該用戶識別與 AID之間的對應(yīng)關(guān)系。現(xiàn)有接入網(wǎng)RAN部分能夠保證二層連接安全性����,保證終端用戶接入網(wǎng)絡(luò)時數(shù)據(jù)報(bào)文不被篡改。例如CDMA(code division multiple access�����,碼分多址)無線接入�����,采用碼分多址方式;ADSL (Asymmetric Digital Subscriber Line��,非同步數(shù)字用戶專線)采用專線隔離方式���,GSM(global system for mobile communications���,全球通)采用頻分多址方式;所有的終端用戶都是通過鑒權(quán)認(rèn)證的網(wǎng)絡(luò)有效合法用戶�。終端用戶在接入網(wǎng)絡(luò)時,將建立終端用戶與網(wǎng)絡(luò)的接入管理設(shè)備ASN間的點(diǎn)到點(diǎn)連接關(guān)系����。ASN將終端用戶的AID綁定在終端與ASN間的端到端用戶連接上,如果從該用戶連接上發(fā)出報(bào)文的源地址與該用戶的AID不匹配����,ASN將丟棄數(shù)據(jù)報(bào)文,這樣���,基于身份位置分離架構(gòu)將能夠保證終端用戶的AID不被仿冒和更改�����。ASN,以及從源端ASN到目的端ASN之間的通信設(shè)備ILR/PTF���,CR,認(rèn)證中心等�,由網(wǎng)絡(luò)運(yùn)營和管理方提供��,由網(wǎng)絡(luò)信用保證數(shù)據(jù)報(bào)文傳輸?shù)陌踩?�,保證數(shù)據(jù)報(bào)文真實(shí)可靠����。監(jiān)管中心,發(fā)送被監(jiān)聽者的身份信息給認(rèn)證中心�����,查詢并獲得被監(jiān)聽者身份標(biāo)識����; 根據(jù)被監(jiān)聽者身份標(biāo)識�����,獲得被監(jiān)聽者位置標(biāo)識����;向被監(jiān)聽者位置標(biāo)識對應(yīng)的邊緣路由器下達(dá)監(jiān)聽被監(jiān)聽者身份標(biāo)識的命令�����。監(jiān)管中心獲得被監(jiān)聽者位置標(biāo)識的途徑有以下幾種第一種監(jiān)管中心根據(jù)被監(jiān)聽者身份標(biāo)識����,查詢映射服務(wù)器中的被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系�����,獲得被監(jiān)聽者位置標(biāo)識�。第一種監(jiān)管中心預(yù)先與映射服務(wù)器交互,獲得并存儲被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系�;監(jiān)管中心根據(jù)自身存儲的所述映射關(guān)系,獲得所述被監(jiān)聽者位置標(biāo)識�。圖2是本發(fā)明實(shí)施例2的監(jiān)管中心的監(jiān)聽流程圖,包括以下步驟步驟201 監(jiān)管中心發(fā)送被監(jiān)聽者的身份信息給認(rèn)證中心���,查詢并獲得被監(jiān)聽者身份標(biāo)識�;被監(jiān)聽者的身份信息包括以下之一或任意組合被監(jiān)聽者的賬號�����、電話號碼�����、身份證號碼。步驟202 監(jiān)管中心根據(jù)被監(jiān)聽者身份標(biāo)識����,獲得被監(jiān)聽者位置標(biāo)識;監(jiān)管中心獲得被監(jiān)聽者位置標(biāo)識的途徑有以下幾種第一種監(jiān)管中心根據(jù)被監(jiān)聽者身份標(biāo)識���,查詢映射服務(wù)器中的被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系��,獲得被監(jiān)聽者位置標(biāo)識�。第一種監(jiān)管中心預(yù)先與映射服務(wù)器交互����,獲得并存儲被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系��;監(jiān)管中心根據(jù)自身存儲的所述映射關(guān)系��,獲得所述被監(jiān)聽者位置標(biāo)識�。步驟203 監(jiān)管中心向被監(jiān)聽者位置標(biāo)識對應(yīng)的邊緣路由器下達(dá)監(jiān)聽被監(jiān)聽者身份標(biāo)識的命令;步驟204 邊緣路由器將地址信息中包含被監(jiān)聽者身份標(biāo)識的數(shù)據(jù)包鏡像到監(jiān)管中心��。本發(fā)明實(shí)施例提供的系統(tǒng)技術(shù)方案���,包括被監(jiān)聽者���、監(jiān)管中心��、認(rèn)證中心�����、邊緣路
由器所述監(jiān)管中心����,用于發(fā)送被監(jiān)聽者的身份信息給認(rèn)證中心�����,查詢并獲得所述被監(jiān)聽者身份標(biāo)識�����;根據(jù)所述被監(jiān)聽者身份標(biāo)識��,獲得所述被監(jiān)聽者位置標(biāo)識��;向所述被監(jiān)聽者位置標(biāo)識對應(yīng)的邊緣路由器下達(dá)監(jiān)聽被監(jiān)聽者身份標(biāo)識的命令��;所述認(rèn)證中心,用于根據(jù)所述監(jiān)管中心發(fā)送的被監(jiān)聽者的身份信息�����,反饋所述被監(jiān)聽者身份標(biāo)識��。所述邊緣路由器����,用于將地址信息中包含被監(jiān)聽者身份標(biāo)識的數(shù)據(jù)包鏡像到監(jiān)管中心。進(jìn)一步地���,所述監(jiān)管中心�,還用于根據(jù)所述被監(jiān)聽者身份標(biāo)識�,查詢映射服務(wù)器中的所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系,獲得所述被監(jiān)聽者位置標(biāo)識��。進(jìn)一步地�,所述監(jiān)管中心��,還用于預(yù)先與所述映射服務(wù)器交互�����,獲得并存儲所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系;根據(jù)自身存儲的所述映射關(guān)系�,獲得所述被監(jiān)聽者位置標(biāo)識。進(jìn)一步地�����,被監(jiān)聽者的身份信息包括以下之一或任意組合被監(jiān)聽者的賬號�、電話號碼、身份證號碼����。本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成,所述程序可以存儲于計(jì)算機(jī)可讀存儲介質(zhì)中����,如只讀存儲器、磁盤或光盤等����。可選地���,上述實(shí)施例的全部或部分步驟也可以使用一個或多個集成電路來實(shí)現(xiàn)��。相應(yīng)地��,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn)��,也可以采用軟件功能模塊的形式實(shí)現(xiàn)��。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合�。當(dāng)然,本發(fā)明還可有其他多種實(shí)施例���,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形���,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍���。
權(quán)利要求
1.一種身份位置分離網(wǎng)絡(luò)的監(jiān)聽方法,其特征在于����,該方法包括監(jiān)管中心發(fā)送被監(jiān)聽者的身份信息給認(rèn)證中心,查詢并獲得所述被監(jiān)聽者身份標(biāo)識����;所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識,獲得所述被監(jiān)聽者位置標(biāo)識�;所述監(jiān)管中心向所述被監(jiān)聽者位置標(biāo)識對應(yīng)的邊緣路由器下達(dá)監(jiān)聽被監(jiān)聽者身份標(biāo)識的命令;所述邊緣路由器將地址信息中包含被監(jiān)聽者身份標(biāo)識的數(shù)據(jù)包鏡像到監(jiān)管中心�����。
2.如權(quán)利要求1所述的方法�����,其特征在于�,所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識, 獲得所述被監(jiān)聽者位置標(biāo)識的途徑所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識�,查詢映射服務(wù)器中的所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系,獲得所述被監(jiān)聽者位置標(biāo)識���。
3.如權(quán)利要求1所述的方法�����,其特征在于���,所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識, 獲得所述被監(jiān)聽者位置標(biāo)識的途徑�����,還包括所述監(jiān)管中心預(yù)先與所述映射服務(wù)器交互,獲得并存儲所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系�;所述監(jiān)管中心根據(jù)自身存儲的所述映射關(guān)系,獲得所述被監(jiān)聽者位置標(biāo)識�����。
4.如權(quán)利要求1所述的方法�����,其特征在于�,被監(jiān)聽者的身份信息包括以下之一或任意組合被監(jiān)聽者的賬號、電話號碼�����、身份證號碼��。
5.一種身份位置分離網(wǎng)絡(luò)的監(jiān)聽系統(tǒng)���,其特征在于�,該系統(tǒng)包括被監(jiān)聽者��、監(jiān)管中心、認(rèn)證中心����、邊緣路由器所述監(jiān)管中心�����,用于發(fā)送被監(jiān)聽者的身份信息給認(rèn)證中心���,查詢并獲得所述被監(jiān)聽者身份標(biāo)識����;根據(jù)所述被監(jiān)聽者身份標(biāo)識���,獲得所述被監(jiān)聽者位置標(biāo)識���;向所述被監(jiān)聽者位置標(biāo)識對應(yīng)的邊緣路由器下達(dá)監(jiān)聽被監(jiān)聽者身份標(biāo)識的命令;所述認(rèn)證中心����,用于根據(jù)所述監(jiān)管中心發(fā)送的被監(jiān)聽者的身份信息,反饋所述被監(jiān)聽者身份標(biāo)識�����。所述邊緣路由器,用于將地址信息中包含被監(jiān)聽者身份標(biāo)識的數(shù)據(jù)包鏡像到監(jiān)管中心����。
6.如權(quán)利要求5所述的系統(tǒng),其特征在于�,所述監(jiān)管中心,還用于根據(jù)所述被監(jiān)聽者身份標(biāo)識�,查詢映射服務(wù)器中的所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系,獲得所述被監(jiān)聽者位置標(biāo)識�����。
7.如權(quán)利要求5所述的系統(tǒng)����,其特征在于,所述監(jiān)管中心�����,還用于預(yù)先與所述映射服務(wù)器交互��,獲得并存儲所述被監(jiān)聽者身份標(biāo)識與位置標(biāo)識的映射關(guān)系�;根據(jù)自身存儲的所述映射關(guān)系���,獲得所述被監(jiān)聽者位置標(biāo)識。
8.如權(quán)利要求5所述的系統(tǒng)�,其特征在于,被監(jiān)聽者的身份信息包括以下之一或任意組合被監(jiān)聽者的賬號�、電話號碼、身份證號碼����。
全文摘要
本發(fā)明涉及一種身份位置分離網(wǎng)絡(luò)的監(jiān)聽方法和系統(tǒng)���,該方法包括監(jiān)管中心發(fā)送被監(jiān)聽者的身份信息給認(rèn)證中心����,查詢并獲得所述被監(jiān)聽者身份標(biāo)識��;所述監(jiān)管中心根據(jù)所述被監(jiān)聽者身份標(biāo)識����,獲得所述被監(jiān)聽者位置標(biāo)識;所述監(jiān)管中心向所述被監(jiān)聽者位置標(biāo)識對應(yīng)的邊緣路由器下達(dá)監(jiān)聽被監(jiān)聽者身份標(biāo)識的命令�����;所述邊緣路由器將地址信息中包含被監(jiān)聽者身份標(biāo)識的數(shù)據(jù)包鏡像到監(jiān)管中心。本發(fā)明身份位置分離網(wǎng)絡(luò)的監(jiān)聽方法和系統(tǒng)��,可以實(shí)現(xiàn)了在身份與位置分離網(wǎng)絡(luò)架構(gòu)下的監(jiān)聽功能���。
文檔編號H04L29/08GK102487344SQ20101057450
公開日2012年6月6日 申請日期2010年12月6日 優(yōu)先權(quán)日2010年12月6日
發(fā)明者孫翼舟 申請人:中興通訊股份有限公司