CN101296270B - 合法监听的方法、通信***、路由器以及监听网关 - Google Patents
合法监听的方法、通信***、路由器以及监听网关 Download PDFInfo
- Publication number
- CN101296270B CN101296270B CN2007100741687A CN200710074168A CN101296270B CN 101296270 B CN101296270 B CN 101296270B CN 2007100741687 A CN2007100741687 A CN 2007100741687A CN 200710074168 A CN200710074168 A CN 200710074168A CN 101296270 B CN101296270 B CN 101296270B
- Authority
- CN
- China
- Prior art keywords
- monitored data
- equivalence class
- forwarding equivalence
- monitoring
- label switched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种合法监听的方法,包括以下步骤:作为监听接入点的边界标记交换路由器接收监听数据,获得监听数据对应的监听标志;根据监听标志确定对应的转发等价类,所述转发等价类的目的地址为监听网关;将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关。本方法中,作为监听接入点的边界标记交换路由器接收监听数据后可以不将其封装在目的地址为监听网关的IP报文中,简化了路由器的处理流程。本发明还公开了一种通信***、路由器以及监听网关。
Description
技术领域
本发明涉及通信技术领域,更具体而言,涉及一种合法监听的方法、通信***、路由器以及监听网关。
背景技术
合法监听是指在法律授权范围内,法律执行机构监听特定目标用户通信业务的活动。根据国家法律和法规要求,所有运营的通信网络必须使国家授权的国家安全机关、司法调查机关、警察局等法律执行机构的监听中心能够对特定的目标用户进行合法监听。运营商的通信网络设备需要提供实现合法监听的接口。监听网关是根据国家法律法规在需要的时刻必须提供的功能,在某些国家这些功能是融入到监听中心所在的法律执行机构域中的。
随着互联网等数据通信网络的发展,尤其是VoIP(Voice over IP)技术的普及,人们的通信手段越来越丰富,已经不局限于传统的电路交换网络,国家法律执行机构除了在固定和移动电话网络上进行合法监听外,越来越需要在互联网等分组交换网络上执行合法监听。
多协议标记交换(MPLS,Multi-Protocol Label Switch)是近年来发展迅速的数据通信技术,MPLS为网络层提供宽带高速交换,大大提高了网络的传输性能和带宽。MPLS的根本思想是将路由器移到网络的边缘,把快速简单的交换设备置于网络中心,把标记交换转发数据的基本技术和网络层路由选择集成起来,对一个连接请求实现一次路由选择,多次交换。
MPLS技术的基本原理为:
标记交换路由器(LSR,Label Switching Router)根据某些策略对数据流进行分组,这种分组子集称为转发等价类(FEC,Forwarding EquivalenceClass),现有的划分FEC的准则一般是根据数据的网络层目的地址来进行的,每个转发等价类被分配唯一的标记值,这个过程称为标记分配。路由器对相同的转发等价类的分组数据进行相同的处理,比如转发到同一个下一跳路由器;标记交换路由器把标记值与转发等价类的绑定信息分发给上下游的标记交换路由器,这个过程称为标记分发。通过标记分发,整个MPLS网络建立起了相互连接的标记交换路径。
每个标记交换路由器维护两张表,一张为转发等价类到标记之间的映射表,另一张是转发表,转发表简化后的格式为:
| 入口标记 | 出口标记 | 接口 | 下一跳地址 |
| L1 | L2 | Port | IPn |
| …… | …… | …… | …… |
当一个被标记过的分组进入标记交换路由器时,标记交换路由器根据分组头携带的标记信息检索转发表,即查找转发表中入口标记等于分组携带的标记的条目,检索到以后,把分组头部原来携带的标记弹出,并把转发表中入口标记对应的出口标记作为新的标记压入该分组,同时把分组转发到相应的输出端口,发送到下一跳地址。弹出原来的标记并压入新标记的过程称为标记交换。通过这个过程实现按照分组的标记把整个分组交换到相应的输出端口。
如图1所示,是现有的合法监听***的网络结构图。在用户接入骨干网的入口路由器LER1中集成监听接入点(IAP,Interception Access Point)功能,监听网关能够向入口路由器LER1中的IAP设置监听目标参数,例如监听目标的登录用户名,IP地址,协议类型、端口号等。入口路由器对所有流经它的流量进行过滤,对于一些特定业务,需要深入到数据包内部进行深度过滤。如果过滤的数据和监听目标参数匹配,那么入口路由器LER1就把这个IP包复制一份,在正常传递原来的IP包的同时,把复制出来的IP包封装TCP或UDP报文,把监听网关的IP地址作为重新封装后的报文的目的地址,如果网络是承载在MPLS网络之上,则入口路由器根据重新封装的报文的目的IP地址,将监听数据映射到监听网关的目的地址对应的转发等价类,通过标记交换路径转发到与监听网关相连的接入路由器LER2,接入路由器LER2收到监听数据后,根据监听数据的目的地址将监听数据发送到监听网关。监听网关收到监听数据后,进行必要处理,然后把监听数据发送到监听中心。
图2是现有的标记交换路由器处理合法监听部分的单元结构图,现有的标记交换路由器处理合法监听数据部分包括监听目标管理单元,监听触发单元,监听复制单元,监听处理单元和发送单元。其中监听目标管理单元用于接收监听命令以及将监听目标参数设置到监听触发单元;监听触发单元用于过滤接收到的数据,并将过滤出来的监听数据发送至监听复制单元,监听复制单元用于复制监听数据,将原始监听数据按照正常流程转发,将复制的监听数据发送至监听处理单元,监听处理单元用于封装监听数据,将其封装在TCP或UDP报文中,并以监听网关的IP地址作为目的IP地址,封装后的监听数据发送至发送单元,发送单元根据监听处理单元为监听数据封装的目的地址,将监听数据映射到监听网关的地址对应的转发等价类中,通过转发等价类对应的标记交换路径发送至传输网络。
发明人在工作过程中,发现这种合法监听的方法存在以下问题:
入口路由器往往为很多用户提供服务,数据流量很大,在执行合法监听功能时,需要对过滤出来的监听数据重新封装目的地址到监听网关的IP报文,操作流程复杂,占用较多的入口路由器资源。
发明内容
有鉴于此,本发明的实施例提供了一种合法监听的方法、通信***、路由器以及监听网关,可以降低入口路由器执行合法监听功能的复杂程度。
本发明的实施例提供了一种合法监听的方法,包括如下步骤:
边界标记交换路由器建立目的地址为监听网关的转发等价类以及转发等价类对应的标记交换路径,建立监听标志与所述转发等价类之间的映射关系;作为监听接入点的边界标记交换路由器接收监听数据,获得监听数据对应的监听标志;根据监听标志确定对应的转发等价类,所述转发等价类的目的地址为监听网关;将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关。
本发明的实施例提供了一种通信***,该***包括作为监听接入点的边界标记交换路由器,用于建立目的地址为监听网关的转发等价类以及所述转发等价类对应的标记交换路径,建立监听标志与所述目的地址为监听网关的转发等价类的映射关系;接收监听数据,获得监听数据对应的监听标志;根据监听标志确定对应的转发等价类,所述转发等价类的目的地址为监听网关;将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关;以及监听网关,用于从所述标记交换路径接收监听数据,所述监听数据中包含有上一跳标记交换路由器为监听数据封装的标记。
本发明的实施例提供了一种路由器,具有标记交换功能,包括路径建立单元,用于建立目的地址为监听网关的转发等价类以及转发等价类对应的标记交换路径;映射单元,用于建立监听标志与所述目的地址为监听网关的转发等价类的映射关系;接收单元,用于接收监听数据;获取单元,用于获取监听数据对应的监听标志以及监听标志对应的转发等价类;发送单元,用于根据所述获取单元确定的转发等价类对应的标记交换路径,发送接收单元接收到的监听数据。
本发明的实施例提供了一种监听网关,包括:
标记交换单元,用于与边界标记交换路由器建立标记交换路径;监听数据接收单元,用于通过所述标记交换路径接收监听数据,数据处理单元,用于对所述监听数据接收单元接收到的监听数据进行处理;监听数据复制单元,用于复制所述监听数据接收单元接收到的监听数据;监听数据发送单元,用于将监听数据通过监听数据目的地址对应的标记交换路径发送监听数据,则监听数据复制单元复制所述监听数据后,将其中一份监听数据发送给所述监听数据发送单元,将另一份监听数据发送给所述数据处理单元。
本发明实施例可以达到以下有益效果:
避免了现有技术中对监听数据重新进行TCP或UDP报文封装的开销,而且在IP广域网络上,如果IP报文长度大于链路的最大传输单元,就需要分片传输,在将监听数据封装到TCP或UDP报文中时,常常会因为IP报文长度增加而引起分片。避免了在边界标记交换路由器上执行分片和在监听网关上执行分片重组的开销。网络设备只是在原来的转发处理流程中加入了监听处理流程,并且监听处理流程和标准的转发处理流程在处理动作上是一致的,不再需要为网络设备设计专门的监听触发和处理部分,尤其避免了为监听功能设计专门的硬件部分。
附图说明
图1是现有合法监听***的网络架构图。
图2是现有的边界标记交换路由器处理合法监听部分的单元结构图。
图3是本发明实施例中合法监听***的组网示意图。
图4是本发明实施例中合法监听方法的流程示意图。
图5是本发明另一实施例中合法监听方法的流程示意图。
图6是本发明实施例中路由器的单元结构图。
图7是本发明实施例中另一路由器的单元结构图。
图8是本发明实施例中监听网关的单元结构图。
图9是本发明另一实施例中监听网关的单元结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图及具体实施例对本发明作进一步地详细描述。
图3是本发明实施例中合法监听***的组网示意图,其中用户T为监听目标,用户C为用户T的通信对端,LER1和LER2为边界标记交换路由器,其中LER1作为监听接入点,LIG为监听网关,位于核心网络边界,与LER1和LER2建立有标记交换路径,LSR1,LSR2和LSR3是承载MPLS网络的标记交换路由器。
图4是本发明实施例中合法监听方法的流程示意图,结合图3进行说明。本发明实施例要求对用户T的所有通信流量进行监听,则本实施例合法监听方法的具体步骤为:
S11、LER1建立目的地址为LIG的转发等价类,为所述转发等价类分配标记,通过标记分配和标记分发过程,建立所述转发等价类对应的标记交换路径;
S12、使用数据结构建立监听标志和目的地址为LIG的转发等价类之间的映射关系,监听标志可以是一个特殊标识,通过一个二维或多维表与转发等价类建立映射;
S13、LIG向边界路由器LER1发送监听命令,要求监听用户T的所有通信流量;
S14、LER1接收到监听命令,将源IP地址为T的IP地址、目的IP地址任意和目的IP地址为T的IP地址、源IP地址任意的过滤参数加入到访问控制列表,并在访问控制列表中设置监听标志;
S15、LER1接收上行和下行数据,将流经数据通过访问控制列表过滤,过滤到监听数据后,直接在访问控制列表中读取监听数据对应的监听标志,或者向访问控制列表发送命令消息,由访问控制列表返回监听标志,并复制监听数据,其中一份按照正常流程转发,另一份根据监听标志在所述的二维或多维表中读取对应的转发等价类,或者向前述的二维或多维表发送命令,由前述的二维或多维表返回对应的转发等价类;
S16、LER1将监听数据通过目的地址为LIG的转发等价类对应的标记交换路径,将监听数据发送至LIG;
S17、LIG接收监听数据,对监听数据进行处理,并分发到监听中心。
在上述步骤中,监听标志也可以是一个指针,指向目的地址为LIG的转发等价类,这样通过监听标志就可以得到该指针指向的目的地址为LIG的转发等价类。
本实施例的技术方案,简化了入口路由器处理监听数据的处理流程,减少了网络设备在合法监听处理上的负担,降低了***的复杂度。网络设备只是在原来的转发处理流程中加入了监听处理流程,并且监听处理流程和标准的转发处理流程在处理动作上是一致的,不再需要为网络设备设计专门的监听触发和处理部分,尤其避免了为监听功能设计专门的硬件部分。
图5是本发明另一实施例中合法监听方法的流程示意图,结合图3进行说明。本发明实施例要求对用户T的所有通信流量进行监听,现对本发发明实施例中上行流量和下行流量的处理分开进行说明。
本发明实施例合法监听方法对上行流量处理的具体步骤为:
S21、LER1建立目的地址为LIG的转发等价类,为所述转发等价类分配标记,通过标记分配和标记分发过程,建立所述转发等价类对应的标记交换路径;
S22、使用数据结构建立监听标志和目的地址为LIG的转发等价类之间的映射关系,监听标志可以是一个特殊标识,通过一个二维或多维表与转发等价类建立映射;
S23、LIG向边界路由器LER1发送监听命令,要求监听用户T的所有通信流量;
S24、LER1接收到监听命令,如图5所示,将源IP地址为T的IP地址、目的IP地址任意和目的IP地址为T的IP地址、源IP地址任意的过滤参数加入到访问控制列表,并在访问控制列表中设置监听标志;
S25、LER1收到上行数据,将上行数据通过访问控制列表过滤,获得监听标志,把过滤到的监听数据根据监听标志与到目的地址为LIG的转发等价类之间的映射关系,将监听标志对应的监听数据映射到目的地址为LIG的转发等价类中;
S26、LER1将监听数据通过目的地址为LIG的转发等价类对应的标记交换路径,将监听数据发送至LIG;
S27、LIG收到监听数据后,对监听数据进行复制,一份根据监听数据的目的地址即用户C的IP地址,选择LIG与LER2之间的标记交换路径,将监听数据发送到LER2,另一份经过分析处理,分发到各监听中心;
S28、LER2收到监听数据后,根据监听数据的目的IP地址,将监听数据发送给用户C。
本发明实施例合法监听方法对下行流量处理的具体步骤为
S31、LER1建立目的地址为LIG的转发等价类,为所述转发等价类分配标记,通过标记分配和标记分发过程,建立所述转发等价类对应的标记交换路径;
S32、LER1建立监听标志与到目的地址为LIG的转发等价类之间的映射关系;
S33、LIG向边界路由器LER1发送监听命令,要求监听用户T的所有通信流量;
S34、LER1接收到监听命令,如图5所示,将源IP地址为T的IP地址、目的IP地址任意和目的IP地址为T的IP地址、源IP地址任意的过滤参数加入到访问控制列表,并在访问控制列表中设置监听标志;
S35、LER1收到下行数据,将下行数据通过访问控制列表过滤,获得监听标志,把过滤到的监听数据根据监听标志与到目的地址为LIG的转发等价类之间的映射关系,将监听标志对应的监听数据映射到目的地址为LIG的转发等价类中;
S36、LER1将监听数据通过目的地址为LIG的转发等价类对应的标记交换路径,将监听数据发送至LIG;
S37、LIG收到监听数据后,对监听数据进行复制,一份根据监听数据的目的地址即用户T的IP地址,选择LIG与LER1之间的标记交换路径,LIG为发送至LER1的监听数据添加特殊标记,将监听数据发送到LER1,另一份经过分析处理,分发到各监听中心;
S38、LER1收到LIG发送来的数据后,首先检测数据是否带有所述特殊标记,如果检测有所述特殊标记,则根据监听数据的目的IP地址,将监听数据发送给用户T。
更具体而言,利用多协议标记交换虚拟专用网技术,可以建立LER1与LIG之间的虚拟专用网,多协议标记交换虚拟专用网使用标记栈技术,在标记栈的最内层(即栈底)是虚拟专用网范围内分发的标记,称为栈底标记,外层是整个网络范围分发的标记,用来在网络中沿着标记交换路径进行转发。栈底标记中包含了虚拟专用网的标识信息。则上述步骤S37中,LIG为监听数据添加的特殊标记可以为所述LIG与LER1之间虚拟专用网的栈底标记。
本实施例中,获得监听标志以及根据监听标志确定对应的转发等价类的实现方式可以参考上一实施例。
在本实施例中,通过将监听目标流量迂回到监听网关,由监听网关完成目标流量的复制,进一步简化了网络设备的监听接入点功能,减轻了合法监听的处理负担,保证了业务处理性能;
监听目标流量在网络内转发的过程中必然经过监听网关,这样边界路由器不再需要通过专门的机制来保证监听流量可靠的送达监听中心,进一步简化了网络设备合法监听的处理机制,提高了监听数据传输的可靠性。
本发明实施例提供了一种通信***,包括作为监听接入点的边界标记交换路由器和监听网关,其中,
作为监听接入点的边界标记交换路由器,用于接收监听数据,获得监听数据对应的监听标志并复制监听数据;根据监听标志确定对应的转发等价类,所述转发等价类的目的地址为监听网关;将复制的监听数据通过所述转发等价类对应的标记交换路径发送至监听网关,将原监听数据按照正常流程转发;
监听网关,用于从所述标记交换路径接收监听数据,所述监听数据中包含有上一跳标记交换路由器为监听数据封装的标记,处理监听数据,并将处理过的监听结果发送给监听中心。
所述作为监听接入点的边界标记交换路由器,还用于建立目的地址为监听网关的转发等价类,为所述转发等价类分配标记,通过标记分发过程建立所述转发等价类对应的标记交换路径,并建立所述监听标志与所述建立目的地址为监听网关的转发等价类之间的映射关系。
本发明的实施例给出另一个通信***,包括作为监听接入点的边界标记交换路由器和监听网关,其中,
作为监听接入点的边界标记交换路由器,用于接收监听数据,获取监听数据对应得监听标志,根据监听标志确定对应的转发等价类,将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关;
监听网关,用于建立到边界标记交换路由器之间的标记交换路径,从标记交换路径接收监听数据,所述监听数据中包含有上一跳标记交换路由器为监听数据封装的标记,复制所述监听数据,将其中一份监听数据通过监听数据的目的地址对应的标记交换路径发送给边界标记交换路由器,另一份监听数据经过处理后,发送给监听中心,如果所述边界标记交换路由器是作为监听接入点的边界标记交换路由器,则所述监听网关还用于为发送的监听数据添加特殊标记。
所述作为监听接入点的边界标记交换路由器,还用于建立目的地址为监听网关的转发等价类,为所述转发等价类分配标记,通过标记分发过程建立所述转发等价类对应的标记交换路径,并建立所述监听标志与所述建立目的地址为监听网关的转发等价类之间的映射关系。
所述作为监听接入点的边界标记交换路由器,还用于首先检测所述监听网关发送来的监听数据是否带有所述特殊标记,如果数据带有所述特殊标记,则将监听数据按照正常流程转发。
以上两个实施例中,获得监听标志以及根据监听标志确定对应的转发等价类的具体实现可以参考上述方法实施例。
图6是本发明实施例中一种路由器合法监听相关部分的单元结构图,如图6所示,所述路由器具有标记交换功能,包括
路径建立单元,用于建立目的地址为合法监听网关的转发等价类,为所述转发等价类分配标记,通过标记分发建立所述转发等价类对应的标记交换路径;
映射单元,用于建立监听标志与所述目的地址为合法监听网关的转发等价类之间的映射关系;
接收单元,用于接收监听数据,并将监听数据发送给复制单元;
复制单元,用于复制所述监听数据,其中一份按照正常流程转发,另一份发送给发送单元;
获取单元,用于获取监听数据对应的监听标志,根据监听标志以及所述映射单元建立的映射关系,获取监听标志对应的转发等价类,所述转发等价类的目的地址为合法监听网关;
发送单元,用于根据所述获取单元确定的转发等价类对应的标记交换路径,发送监听数据。
本实施例中获取单元和映射单元的具体实现方式可以参考方法实施例中的描述。
图7是本发明实施例中另一种路由器合法监听相关部分的单元结构图,如图6所示,所述路由器具有标记交换功能,包括
路径建立单元,用于建立目的地址为合法监听网关的转发等价类,为所述转发等价类分配标记,通过标记分发建立所述转发等价类对应的标记交换路径;
映射单元,用于建立监听标志与所述目的地址为合法监听网关的转发等价类之间的映射关系;
接收单元,用于接收监听数据,并将监听数据发送给发送单元;
获取单元,用于获取监听数据对应的监听标志,根据监听标志以及所述映射单元建立的映射关系,获取监听标志对应的转发等价类,所述转发等价类的目的地址为合法监听网关;
发送单元,用于根据所述获取单元确定的转发等价类对应的标记交换路径,发送监听数据。
所述接收单元可以进一步包括特殊标记检测模块,用于首先检测合法监听网关发送来的监听数据是否带有合法监听网关为监听数据添加的特殊标记,如果监听数据检测有所述特殊标记,则将此数据按照正常流程转发。
本实施例中获取单元和映射单元的具体实现方式可以参考方法实施例中的描述。
图8是本发明实施例中监听网关的单元结构图,如图8所示,所述监听网关包括
标记交换单元,用于建立到边界标记交换路由器的转发等价类以及转发等价类对应的标记交换路径;
监听数据接收单元,用于通过所述标记交换路径接收监听数据,并将监听数据发送给数据处理单元;
数据处理单元,用于对所述监听数据接收单元接收到的监听数据进行处理。
图9是本发明另一实施例中监听网关的单元结构图,如图9所示,所述监听网关包括
标记交换单元,用于建立到边界标记交换路由器的转发等价类以及转发等价类对应的标记交换路径;
监听数据接收单元,用于通过所述标记交换路径接收监听数据;
监听数据复制单元,用于复制所述监听数据接收单元接收到的监听数据,将一份监听数据发送给数据处理单元,另一份监听数据发送给监听数据发送单元;
数据处理单元,用于对所述监听数据进行处理;
监听数据发送单元,用于将监听数据通过监听数据目的地址对应的标记交换路径发送至边界标记交换路由器。
所述监听数据发送单元可以进一步包括特殊标记添加模块,用于为发送至作为监听接入点的边界标记交换路由器的监听数据添加特殊标记。
总之,以上所述仅为本发明技术方案的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种合法监听的方法,其特征在于,包括如下步骤
边界标记交换路由器建立目的地址为监听网关的转发等价类以及转发等价类对应的标记交换路径,建立监听标志与所述转发等价类之间的映射关系;
作为监听接入点的边界标记交换路由器接收监听数据,获得监听数据对应的监听标志;
根据监听标志确定对应的转发等价类,所述转发等价类的目的地址为监听网关;
将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关。
2.根据权利要求1所述的合法监听的方法,其特征在于,所述作为监听接入点的边界标记交换路由器接收监听数据,获得监听数据对应的监听标志并复制所述监听数据;根据监听标志确定对应的转发等价类,所述转发等价类的目的地址为监听网关;将复制的监听数据通过所述转发等价类对应的标记交换路径发送至监听网关,将原监听数据按照正常流程转发。
3.根据权利要求1所述的合法监听的方法,其特征在于,所述监听网关收到监听数据,复制所述监听数据,将其中一份监听数据通过监听数据的目的地址对应的标记交换路径发送给边界标记交换路由器,所述边界标记交换路由器包括作为监听接入点的边界标记交换路由器和其他边界标记交换路由器,另一份监听数据经过处理后发送给监听中心。
4.根据权利要求3所述的合法监听的方法,其特征在于,
所述监听网关复制所述监听数据,将其中一份监听数据通过监听数据的目的地址对应的标记交换路径发送给边界标记交换路由器,如果所述边界标记交换路由器是作为监听接入点的边界标记交换路由器,则在发送监听数据之前还包括为监听数据添加特殊标记。
5.根据权利要求4所述的合法监听的方法,其特征在于,所述作为监听接入点的边界标记交换路由器收到监听网关发送的监听数据后,首先检测所述特殊标记,如果监听数据检测有所述特殊标记,则将此监听数据按照正常流程转发。
6.根据权利要求5所述的合法监听的方法,其特征在于,所述监听网关与所述作为监听接入点的边界标记交换路由器之间通过多协议标记交换虚拟专用网技术建立虚拟专用网的标记交换路径,则所述特殊标记为监听网关与作为监听接入点的边界标记交换路由器之间虚拟专用网的栈底标记。
7.根据权利要求1、2、3、4、5、6任一项权利要求所述的合法监听的方法,其特征在于,所述监听标志设置在所述边界标记交换路由器的访问控制列表中。
8.一种通信***,其特征在于,该***包括
作为监听接入点的边界标记交换路由器,用于建立目的地址为监听网关的转发等价类以及所述转发等价类对应的标记交换路径,建立监听标志与所述目的地址为监听网关的转发等价类的映射关系;接收监听数据,获得监听数据对应的监听标志;根据监听标志确定对应的转发等价类,所述转发等价类的目的地址为监听网关;将监听数据通过所述转发等价类对应的标记交换路径发送至监听网关;
监听网关,用于从所述标记交换路径接收监听数据,所述监听数据中包含有上一跳标记交换路由器为监听数据封装的标记。
9.根据权利要求8所述的通信***,其特征在于,该***包括:
作为监听接入点的边界标记交换路由器,用于接收监听数据,获取监听数据对应得监听标志并复制所述监听数据,根据监听标志确定对应的转发等价类,将复制的监听数据通过所述转发等价类对应的标记交换路径发送至监听网关,将原监听数据按照正常流程发送;
监听网关,用于建立到边界标记交换路由器之间的标记交换路径,从标记交换路径接收监听数据,所述监听数据中包含有上一跳标记交换路由器为监听数据封装的标记,监听数据经过处理后,发送给监听中心。
10.根据权利要求8所述的通信***,其特征在于,
所述监听网关,还用于建立到边界标记交换路由器之间的标记交换路径,从标记交换路径接收监听数据,复制所述监听数据,将其中一份监听数据通过监听数据的目的地址对应的标记交换路径发送给边界标记交换路由器,另一份监听数据经过处理后,发送给监听中心。
11.一种路由器,具有标记交换功能,其特征在于,包括
路径建立单元,用于建立目的地址为监听网关的转发等价类以及转发等价类对应的标记交换路径;
映射单元,用于建立监听标志与所述目的地址为监听网关的转发等价类的映射关系;
接收单元,用于接收监听数据;
获取单元,用于获取监听数据对应的监听标志以及监听标志对应的转发等价类;
发送单元,用于根据所述获取单元确定的转发等价类对应的标记交换路径,发送接收单元接收到的监听数据。
12.根据权利要求11所述的路由器,其特征在于,所述路由器还包括复制单元,用于复制监听数据。
13.根据权利要求12所述的路由器,其特征在于,所述接收单元将监听数据发送给所述复制单元,复制单元将复制的监听数据发送给发送单元。
14.根据权利要求11所述的路由器,其特征在于,所述接收单元进一步包括特殊标记检测模块,用于首先检测监听网关发送来的监听数据是否带有监听网关为监听数据添加的特殊标记,如果监听数据检测有所述特殊标记,则将此数据按照正常流程转发。
15.一种监听网关,其特征在于,包括:
标记交换单元,用于与边界标记交换路由器建立标记交换路径;
监听数据接收单元,用于通过所述标记交换路径接收监听数据;
数据处理单元,用于对所述监听数据接收单元接收到的监听数据进行处理;
监听数据复制单元,用于复制所述监听数据接收单元接收到的监听数据;
监听数据发送单元,用于将监听数据通过监听数据目的地址对应的标记交换路径发送监听数据,则监听数据复制单元复制所述监听数据后,将其中一份监听数据发送给所述监听数据发送单元,将另一份监听数据发送给所述数据处理单元。
16.根据权利要求15所述的监听网关,其特征在于,所述监听数据发送单元进一步包括特殊标记添加模块,用于为发送至作为监听接入点的边界标记交换路由器的监听数据添加特殊标记。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100741687A CN101296270B (zh) | 2007-04-28 | 2007-04-28 | 合法监听的方法、通信***、路由器以及监听网关 |
| PCT/CN2008/070539 WO2008131665A1 (fr) | 2007-04-28 | 2008-03-20 | Procédé d'interception légale, système de communication, routeur et passerelle d'interception |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100741687A CN101296270B (zh) | 2007-04-28 | 2007-04-28 | 合法监听的方法、通信***、路由器以及监听网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101296270A CN101296270A (zh) | 2008-10-29 |
| CN101296270B true CN101296270B (zh) | 2010-10-20 |
Family
ID=39925202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100741687A Expired - Fee Related CN101296270B (zh) | 2007-04-28 | 2007-04-28 | 合法监听的方法、通信***、路由器以及监听网关 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101296270B (zh) |
| WO (1) | WO2008131665A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102333101A (zh) * | 2011-10-31 | 2012-01-25 | 杭州华三通信技术有限公司 | 合法监听实现方法及设备 |
| CN106375266A (zh) * | 2015-07-22 | 2017-02-01 | 中兴通讯股份有限公司 | 业务监听控制方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719788A (zh) * | 2004-07-07 | 2006-01-11 | 中兴通讯股份有限公司 | 软交换监听的呼叫控制及业务监听方法 |
| CN1953406A (zh) * | 2005-10-19 | 2007-04-25 | 株式会社Ntt都科摩 | 接入混合网的方法和网关设备、无线终端以及通信*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE60219588T2 (de) * | 2002-02-04 | 2008-01-10 | Matsushita Electric Industrial Co., Ltd., Kadoma | Verfahren zur Unterscheidung von Paketverlusten |
| US20060018255A1 (en) * | 2004-07-26 | 2006-01-26 | Avaya Technology Corp. | Defining a static path through a communications network to provide wiretap law compliance |
-
2007
- 2007-04-28 CN CN2007100741687A patent/CN101296270B/zh not_active Expired - Fee Related
-
2008
- 2008-03-20 WO PCT/CN2008/070539 patent/WO2008131665A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719788A (zh) * | 2004-07-07 | 2006-01-11 | 中兴通讯股份有限公司 | 软交换监听的呼叫控制及业务监听方法 |
| CN1953406A (zh) * | 2005-10-19 | 2007-04-25 | 株式会社Ntt都科摩 | 接入混合网的方法和网关设备、无线终端以及通信*** |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008131665A1 (fr) | 2008-11-06 |
| CN101296270A (zh) | 2008-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3958521A1 (en) | Method and apparatus for providing service for service flow | |
| EP2541866B1 (en) | Management schemes for filter sets | |
| US7839847B2 (en) | Methods and apparatus providing VPN traffic matrix construction | |
| US8514866B1 (en) | Filtering traffic based on associated forwarding equivalence classes | |
| CN105340217B (zh) | 一种报文处理方法、装置及*** | |
| US20030112808A1 (en) | Automatic configuration of IP tunnels | |
| CN107852773B (zh) | 一种数据传输的方法、相关设备及*** | |
| CN101159656B (zh) | 一种报文采样的方法、***及设备 | |
| CN101626323A (zh) | 一种网络数据流量监测方法和装置 | |
| CN101645849B (zh) | 一种在过渡环境中的QoS实现方法和PE路由器 | |
| US20150288601A1 (en) | Ip data packet sending method and label switching router | |
| WO2020127148A1 (en) | User data traffic handling | |
| US8179803B2 (en) | Methods, systems and apparatus for monitoring and/or generating communications in a communications network | |
| CN106921572A (zh) | 一种传播QoS策略的方法、装置及*** | |
| EP2712130B1 (en) | Service control method and system for autonomous network | |
| CN108882305A (zh) | 一种数据包的分流方法及装置 | |
| CN103746928A (zh) | 利用访问控制列表控制流量的方法和*** | |
| CN106464670B (zh) | 网络实体及服务策略管理方法 | |
| AU2008258126B2 (en) | Method, systems and apparatus for monitoring and/or generating communications in a communications network | |
| WO2016192618A1 (zh) | 收集访问控制列表的方法、装置及*** | |
| CN101296270B (zh) | 合法监听的方法、通信***、路由器以及监听网关 | |
| CN101605087B (zh) | 流量信息提取方法、设备及*** | |
| CN111865805B (zh) | 一种组播gre报文处理方法及*** | |
| CN103348740B (zh) | 一种接入处理方法、设备和*** | |
| CN101360097A (zh) | 一种转发报文的方法、网络及网元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101020 Termination date: 20130428 |