專利名稱:一種合法監(jiān)聽方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)監(jiān)控領(lǐng)域�����,特別涉及一種網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT-NetworkAddress Translation)環(huán)境下合法監(jiān)聽的方法及裝置。
背景技術(shù):
合法監(jiān)聽的概念是指執(zhí)法機(jī)構(gòu)經(jīng)相應(yīng)的授權(quán)機(jī)關(guān)批準(zhǔn)�,根據(jù)國家相關(guān)法律和公眾通信網(wǎng)行業(yè)規(guī)范對公眾通信網(wǎng)的通信業(yè)務(wù)進(jìn)行監(jiān)聽的執(zhí)法行為。合法監(jiān)聽是公共通信網(wǎng)絡(luò)的必備功能���,對于維護(hù)國家安全意義重大�����,因此在固網(wǎng)����、移動��、衛(wèi)星通信等各領(lǐng)域廣泛應(yīng)用����。
參見圖1,合法監(jiān)聽的基本功能模型的描述如下監(jiān)聽內(nèi)容提供者向監(jiān)聽中心提供被控目標(biāo)的通信內(nèi)容�����,監(jiān)聽相關(guān)信息提供者用于提供通信內(nèi)容相關(guān)信息���,例如源�����、目的信息����,監(jiān)聽目標(biāo)上下線信息等內(nèi)容。監(jiān)聽內(nèi)容的提供和監(jiān)聽相關(guān)信息的提供可以由同一監(jiān)聽設(shè)備完成����,也可以由不同的監(jiān)聽設(shè)備完成��。
監(jiān)聽行為不被監(jiān)聽目標(biāo)察覺是合法監(jiān)聽的重要原則����。
在IP協(xié)議最初設(shè)計(jì)的年代,由于可以互連的設(shè)備數(shù)量很有限�,因此IP地址的長度定義為32位。然而隨著Internet的迅猛發(fā)展�����,地址資源消耗迅速����。為了應(yīng)對即將耗盡的IP地址���,引入了NAT/NAPT(后繼簡稱為NAT)技術(shù)。
該技術(shù)通過將私網(wǎng)地址信息映射成為公網(wǎng)地址信息�,使得內(nèi)部用戶不用獲取公網(wǎng)地址即可同外界通信,大大緩解了公網(wǎng)IP地址匱乏問題�。
在國內(nèi),通過網(wǎng)吧上網(wǎng)是流行的Internet訪問方式���,因此對于網(wǎng)吧有合法監(jiān)聽的需要��。對于企業(yè)網(wǎng)���,同樣也有監(jiān)聽需求。網(wǎng)吧和企業(yè)網(wǎng)都是NAT技術(shù)的典型應(yīng)用場景�。然而對于NAT內(nèi)的用戶實(shí)施監(jiān)聽有技術(shù)上的困難,主要是外界無法從被NAT轉(zhuǎn)換后的流量中識別出被監(jiān)聽用戶發(fā)出的流量����。
為了解決上述監(jiān)聽的問題,現(xiàn)有技術(shù)中主要有以下兩種解決方案現(xiàn)有技術(shù)解決方案1NAT設(shè)備日志記錄方式NAT設(shè)備保留NAT連接的日志信息�,信息的內(nèi)容包括起止時(shí)間、用戶ID��、用戶IP地址��、NAT轉(zhuǎn)換后的IP、用戶端口�����、NAT轉(zhuǎn)換后的端口�、協(xié)議類型。
此時(shí)監(jiān)聽中心必須截獲NAT發(fā)出的所有流量�,根據(jù)后期從NAT設(shè)備獲取的日志從保存的流量中定位用戶的實(shí)際流量。該技術(shù)解決方案有以下缺點(diǎn)1���、這種方式無法實(shí)時(shí)監(jiān)聽目標(biāo)定位。
2�、監(jiān)聽中心需要保存大量的流量。
3����、如果NAT設(shè)備的時(shí)間同監(jiān)聽中心時(shí)間不同步則后期的審查也無法精確。
現(xiàn)有技術(shù)解決方案2NAT表實(shí)時(shí)上傳的方式NAT設(shè)備將NAT表實(shí)時(shí)上傳到監(jiān)聽設(shè)備并同步NAT的變動信息�。內(nèi)容包括用戶ID、用戶IP地址�����、NAT轉(zhuǎn)換后的IP����、用戶端口�����、NAT轉(zhuǎn)換后的端口����、協(xié)議類型等��。這樣監(jiān)聽設(shè)備可以實(shí)時(shí)地將獲取的信息還原為用戶的原始信息��。
同方案1相比���,采用這種方式后監(jiān)聽中心可以實(shí)時(shí)定位到監(jiān)聽目標(biāo)����;不需要接收大量的無用流量���;無需后期審查����,監(jiān)聽中心不必同NAT設(shè)備保持時(shí)間同步�。但該技術(shù)方案仍然存在以下缺點(diǎn)1���、無法保障NAT表內(nèi)容和變動信息的上傳同流量的變動的精確同步,這樣監(jiān)聽中心在還原數(shù)據(jù)的時(shí)候還是不可避免地會出現(xiàn)誤差���。
2���、監(jiān)聽中心需要將NAT的變動情況反映到接入設(shè)備訪問控制列表(ACL-Access Control List)的變動上,隨著變動向設(shè)備下發(fā)新的ACL�,增加了監(jiān)聽處理的復(fù)雜性。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)中存在的運(yùn)行過程復(fù)雜���、具有誤差的不足����,提供了一種實(shí)時(shí)����、準(zhǔn)確的監(jiān)聽方法���。所述技術(shù)方案如下本發(fā)明提供了一種合法監(jiān)聽方法��,在監(jiān)聽設(shè)備中存儲監(jiān)聽中心發(fā)送的監(jiān)聽目標(biāo)的標(biāo)識信息�����,所述方法包括以下步驟步驟A獲取用戶的標(biāo)識信息����;步驟B將所述用戶的標(biāo)識信息附加到報(bào)文中,并向監(jiān)聽設(shè)備發(fā)送加入標(biāo)識信息后的報(bào)文�;步驟C所述監(jiān)聽設(shè)備收到帶有用戶標(biāo)識信息的報(bào)文后,判斷所述報(bào)文是否為監(jiān)聽目標(biāo)的報(bào)文�����,如果是�����,則將所述監(jiān)聽目標(biāo)的報(bào)文發(fā)送給監(jiān)聽中心�。
所述步驟A具體包括步驟A1用戶向內(nèi)網(wǎng)管理系統(tǒng)注冊上線;步驟A2所述內(nèi)網(wǎng)管理系統(tǒng)向NAT設(shè)備發(fā)送用戶信息同私網(wǎng)IP的綁定關(guān)系�;步驟A3所述NAT設(shè)備根據(jù)所述綁定關(guān)系獲取用戶標(biāo)識信息;相應(yīng)地����,所述步驟B具體包括步驟B1用戶向NAT設(shè)備發(fā)送報(bào)文;步驟B2所述NAT設(shè)備對于用戶發(fā)出的報(bào)文進(jìn)行NAT轉(zhuǎn)換后將所述用戶的標(biāo)識信息附加到報(bào)文中,并向監(jiān)聽設(shè)備發(fā)送加入標(biāo)識信息后的報(bào)文����。
所述步驟A具體包括步驟A1用戶向內(nèi)網(wǎng)管理系統(tǒng)注冊上線;步驟A2內(nèi)網(wǎng)管理系統(tǒng)將用戶信息下發(fā)到用戶端設(shè)備��;相應(yīng)地�,所述步驟B具體包括步驟B1用戶向NAT設(shè)備發(fā)送報(bào)文,在所述報(bào)文中附加了用戶標(biāo)識信息�����;步驟B2所述NAT設(shè)備對于用戶發(fā)出的帶有用戶標(biāo)識信息的報(bào)文進(jìn)行NAT轉(zhuǎn)換后向監(jiān)聽設(shè)備發(fā)送加入標(biāo)識信息后的報(bào)文���。
所述步驟B中用戶標(biāo)識信息用自定義格式封裝并上送���。
所述步驟C具體包括步驟C1所述監(jiān)聽設(shè)備收到帶有標(biāo)識的報(bào)文后,獲取用戶的標(biāo)識信息�;步驟C2所述監(jiān)聽設(shè)備將所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息進(jìn)行比較,如果所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息相同�����,則將所述報(bào)文發(fā)送到監(jiān)聽中心���,同時(shí)去除報(bào)文的標(biāo)識��,使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文�;如果不同���,所述監(jiān)聽設(shè)備去除報(bào)文的標(biāo)識后使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文�����。
所述標(biāo)識信息包括但并不限定于用戶身份信息�。
所述標(biāo)識信息包括但并不限定于用戶身份信息摘要信息或所述摘要信息的部分內(nèi)容���。
本發(fā)明還提供了一種合法監(jiān)聽裝置��,包括NAT設(shè)備����、監(jiān)聽設(shè)備和監(jiān)聽中心���,還包括內(nèi)網(wǎng)管理模塊���、在所述監(jiān)聽設(shè)備中設(shè)有標(biāo)識信息存儲裝置和報(bào)文判斷裝置;在所述NAT設(shè)備中設(shè)有報(bào)文發(fā)送裝置;
所述內(nèi)網(wǎng)管理模塊用于保存用戶信息同內(nèi)網(wǎng)IP的映射表���,并且向NAT設(shè)備提供上述信息以及映射變動信息���;所述標(biāo)識信息存儲裝置用于存儲監(jiān)聽中心發(fā)送的監(jiān)聽目標(biāo)的標(biāo)識信息;所述報(bào)文發(fā)送裝置用于所述NAT設(shè)備對于用戶發(fā)出的報(bào)文進(jìn)行NAT轉(zhuǎn)換后將對應(yīng)用戶的標(biāo)識信息附加到報(bào)文中��,并向監(jiān)聽設(shè)備發(fā)送加入所述標(biāo)識信息后的報(bào)文���;所述報(bào)文判斷裝置用于所述監(jiān)聽設(shè)備收到帶有用戶標(biāo)識信息的報(bào)文后����,判斷所述報(bào)文是否為監(jiān)聽目標(biāo)的報(bào)文��,如果是���,則將所述監(jiān)聽目標(biāo)的報(bào)文發(fā)送給監(jiān)聽中心����。
所述報(bào)文接收判斷裝置包括標(biāo)識信息比較裝置��,正常報(bào)文轉(zhuǎn)發(fā)裝置和被監(jiān)聽目標(biāo)報(bào)文轉(zhuǎn)發(fā)裝置����;所述標(biāo)識信息比較裝置輸出的比較結(jié)果分別輸入到正常報(bào)文轉(zhuǎn)發(fā)裝置和被監(jiān)聽報(bào)文轉(zhuǎn)發(fā)裝置;所述標(biāo)識信息比較裝置用于所述監(jiān)聽設(shè)備將所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息進(jìn)行比較�����,如果所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息相同�,則將所述報(bào)文發(fā)送到報(bào)文監(jiān)聽轉(zhuǎn)發(fā)裝置,如果不同�,則將所述報(bào)文發(fā)送到報(bào)文正常轉(zhuǎn)發(fā)裝置;所述正常報(bào)文轉(zhuǎn)發(fā)裝置用于去除報(bào)文的標(biāo)識����,使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文;所述被監(jiān)聽報(bào)文轉(zhuǎn)發(fā)裝置用于向監(jiān)聽中心轉(zhuǎn)發(fā)監(jiān)聽目標(biāo)的報(bào)文���。
本發(fā)明的有益效果是1����、NAT設(shè)備無需向監(jiān)聽設(shè)備上傳NAT表信息�����,保證了還原數(shù)據(jù)時(shí)數(shù)據(jù)的精確性�。
2�����、監(jiān)聽設(shè)備無需響應(yīng)監(jiān)聽目標(biāo)的NAT變化��,即用戶NAT信息變化后監(jiān)聽設(shè)備不用下發(fā)改動的ACL��,只需根據(jù)隨業(yè)務(wù)報(bào)文傳遞的用戶ID信息即可以確定監(jiān)聽目標(biāo)的流量�,運(yùn)行過程簡單�����。
3�����、能夠?qū)崟r(shí)監(jiān)聽�,而且監(jiān)聽中心無需保存大量的流量。
圖1是合法監(jiān)聽的模型圖�;
圖2是本發(fā)明所述監(jiān)聽方法流程圖;圖3是本發(fā)明所述監(jiān)聽方法另一個(gè)流程圖��;圖4是本發(fā)明所述監(jiān)聽裝置的結(jié)構(gòu)圖�。
具體實(shí)施例方式
下面將結(jié)合附圖和實(shí)施例對本發(fā)明進(jìn)行進(jìn)一步說明,但并不表示對本發(fā)明的限定�����。
參見圖2,圖中包括用戶��、內(nèi)網(wǎng)管理系統(tǒng)���、NAT設(shè)備、監(jiān)聽設(shè)備和監(jiān)聽中心����。其中內(nèi)網(wǎng)管理系統(tǒng)主要用于保存用戶信息同內(nèi)網(wǎng)IP的映射表,并且向NAT設(shè)備提供上述信息以及映射變動信息�����。監(jiān)聽設(shè)備指的是為合法監(jiān)聽提供服務(wù)的設(shè)備����,功能是定位監(jiān)聽目標(biāo)、上送監(jiān)聽流量����,可以是實(shí)現(xiàn)了合法監(jiān)聽特性的接入服務(wù)器、路由設(shè)備等����。參見圖3�,本發(fā)明所述的監(jiān)聽方法如下步驟101監(jiān)聽中心向監(jiān)聽設(shè)備下發(fā)監(jiān)聽目標(biāo)的信息����,這個(gè)信息是表明用戶身份的信息,可以是用戶身份證號碼��、上網(wǎng)卡證號碼等�,也可以是用戶身份信息的摘要結(jié)果或摘要結(jié)果的部分內(nèi)容。
步驟102用戶向內(nèi)網(wǎng)管理系統(tǒng)注冊����。
步驟103內(nèi)網(wǎng)管理系統(tǒng)在用戶上線之后向NAT節(jié)點(diǎn)提供用戶信息(例如標(biāo)識)同內(nèi)網(wǎng)IP地址的對應(yīng)信息,在用戶下線后也要通知NAT節(jié)點(diǎn)相關(guān)綁定信息無效����。也可以采取NAT節(jié)點(diǎn)向內(nèi)網(wǎng)管理系統(tǒng)進(jìn)行查詢的方式,但是該方式無法在用戶下線時(shí)通知NAT節(jié)點(diǎn)相關(guān)綁定信息無效����。
另外,NAT在重新啟動后需要同內(nèi)網(wǎng)管理系統(tǒng)同步所有的用戶綁定信息��?�?梢圆捎枚〞r(shí)同步的方式定期同步所有的用戶綁定信息。
步驟104用戶上線后發(fā)送報(bào)文����。
步驟105NAT設(shè)備根據(jù)收到的用戶信息同內(nèi)網(wǎng)IP的綁定獲取用戶標(biāo)識,其中標(biāo)識可以采取用戶身份證號碼�����、上網(wǎng)卡證號碼等方式��。
步驟106NAT設(shè)備對于用戶發(fā)出的報(bào)文進(jìn)行NAT轉(zhuǎn)換后將用戶的標(biāo)識附加到報(bào)文中���。標(biāo)識的添加方式不限,可能的實(shí)現(xiàn)如將標(biāo)識放置在IP擴(kuò)展頭中��,也可能自定義封裝格式����,以隧道的方式上送。
如果將明文用戶信息作為標(biāo)識信息加入用戶的業(yè)務(wù)報(bào)文中則可能會造成信息遭嗅探而泄漏��。為此也可以考慮將明文用戶信息的摘要信息放置在報(bào)文中作為標(biāo)識��。例如使用MD5或SHA算法處理用戶身份信息�����,將摘要結(jié)果或摘要結(jié)果的部分內(nèi)容作為標(biāo)識。
當(dāng)添加到報(bào)文中的ID采用用戶信息摘要或者部分摘要的情況下��,理論上有沖突的可能��,即不同用戶信息計(jì)算出的結(jié)果相同����。為了保證信息的一致性可以考慮采取內(nèi)網(wǎng)管理系統(tǒng)保存一段時(shí)間(例如一個(gè)月內(nèi))的登錄日志信息,以供監(jiān)聽中心進(jìn)行事后的確認(rèn)��,或者內(nèi)網(wǎng)管理系統(tǒng)定期將日志上交到監(jiān)聽中心��。
步驟107NAT設(shè)備將加入標(biāo)識后的報(bào)文上送的監(jiān)聽設(shè)備����。
步驟108監(jiān)聽設(shè)備收到帶有標(biāo)識的報(bào)文后,獲取標(biāo)識�����,并根據(jù)標(biāo)識來確定報(bào)文是否為監(jiān)聽目標(biāo)的通信報(bào)文�。
判定的依據(jù)是將該標(biāo)識和監(jiān)聽中心發(fā)來信息的比較。如果是明文信息則直接進(jìn)行比較,如果是摘要信息則需要將監(jiān)聽目標(biāo)身份使用相同算法摘要后比較結(jié)果��。
步驟109a如果判別出是監(jiān)聽目標(biāo)的報(bào)文則將其上送一份到監(jiān)聽中心�,同時(shí)去除報(bào)文的標(biāo)識,使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文����。
步驟109b如果不是監(jiān)聽設(shè)備去除報(bào)文的標(biāo)識后使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文。
由于監(jiān)聽設(shè)備(例如具有合法監(jiān)聽特性的接入設(shè)備)下可以接入被監(jiān)聽的網(wǎng)吧或企業(yè)也可以接入普通用戶����,因此針對被監(jiān)聽的用戶,可以事先在監(jiān)聽設(shè)備端口上進(jìn)行配置�����,對于需支持監(jiān)聽功能的端口�,配置該端口啟用標(biāo)識識別功能����;而對于普通用戶則無需啟動監(jiān)聽功能。
上述實(shí)施例中是由NAT設(shè)備對報(bào)文添加用戶的標(biāo)識信息�����,也可以考慮采用客戶端添加標(biāo)識的方式,即將NAT做的標(biāo)識添加工作放到客戶端����。此時(shí)用戶登錄后,管理站會將用戶信息下發(fā)到用戶端設(shè)備�����,用戶端設(shè)備在發(fā)送報(bào)文的時(shí)候自主添加標(biāo)識信息���。NAT設(shè)備將報(bào)文進(jìn)行NAT轉(zhuǎn)換后上送到監(jiān)聽設(shè)備��。由于其它步驟和上述實(shí)施例相同����,這里不再贅述�。
參見圖4,本發(fā)明還提供了一種合法監(jiān)聽裝置���,包括內(nèi)網(wǎng)管理模塊����、NAT設(shè)備���、監(jiān)聽設(shè)備和監(jiān)聽中心��,在所述監(jiān)聽設(shè)備中設(shè)有標(biāo)識信息存儲裝置和報(bào)文判斷裝置�����;在所述NAT設(shè)備中設(shè)有報(bào)文發(fā)送裝置����;
所述內(nèi)網(wǎng)管理模塊用于保存用戶信息同內(nèi)網(wǎng)IP的映射表,并且向NAT設(shè)備提供上述信息以及映射變動信息����;所述標(biāo)識信息存儲裝置用于存儲監(jiān)聽中心發(fā)送的監(jiān)聽目標(biāo)的標(biāo)識信息;所述報(bào)文發(fā)送裝置用于所述NAT設(shè)備對于用戶發(fā)出的報(bào)文進(jìn)行NAT轉(zhuǎn)換后將對應(yīng)用戶的標(biāo)識信息附加到報(bào)文中��,并向監(jiān)聽設(shè)備發(fā)送加入所述標(biāo)識信息后的報(bào)文���;所述報(bào)文判斷裝置用于所述監(jiān)聽設(shè)備收到帶有用戶標(biāo)識信息的報(bào)文后,判斷所述報(bào)文是否為監(jiān)聽目標(biāo)的報(bào)文����,如果是,則將所述監(jiān)聽目標(biāo)的報(bào)文發(fā)送給監(jiān)聽中心�。
進(jìn)一步地,所述報(bào)文接收判斷裝置包括標(biāo)識信息比較裝置,正常報(bào)文轉(zhuǎn)發(fā)裝置和被監(jiān)聽目標(biāo)報(bào)文轉(zhuǎn)發(fā)裝置�;所述標(biāo)識信息比較裝置輸出的比較結(jié)果分別輸入到正常報(bào)文轉(zhuǎn)發(fā)裝置和被監(jiān)聽報(bào)文轉(zhuǎn)發(fā)裝置;所述標(biāo)識信息比較裝置用于所述監(jiān)聽設(shè)備將所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息進(jìn)行比較��,如果所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息相同��,則將所述報(bào)文發(fā)送到報(bào)文監(jiān)聽轉(zhuǎn)發(fā)裝置�,如果不同,則將所述報(bào)文發(fā)送到報(bào)文正常轉(zhuǎn)發(fā)裝置�����;所述正常報(bào)文轉(zhuǎn)發(fā)裝置用于去除報(bào)文的標(biāo)識��,使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文����;所述被監(jiān)聽報(bào)文轉(zhuǎn)發(fā)裝置用于向監(jiān)聽中心轉(zhuǎn)發(fā)監(jiān)聽目標(biāo)的報(bào)文。
以上只是對本發(fā)明的優(yōu)選實(shí)施方式進(jìn)行了描述����,本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)的方案范圍內(nèi)進(jìn)行的通常變化和替換,都應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)�。
權(quán)利要求
1.一種合法監(jiān)聽方法,其特征在于�����,在監(jiān)聽設(shè)備中存儲監(jiān)聽中心發(fā)送的監(jiān)聽目標(biāo)的標(biāo)識信息,所述方法包括以下步驟步驟A獲取用戶的標(biāo)識信息�����;步驟B將所述用戶的標(biāo)識信息附加到報(bào)文中���,并向監(jiān)聽設(shè)備發(fā)送加入標(biāo)識信息后的報(bào)文�;步驟C所述監(jiān)聽設(shè)備收到帶有用戶標(biāo)識信息的報(bào)文后��,判斷所述報(bào)文是否為監(jiān)聽目標(biāo)的報(bào)文��,如果是����,則將所述監(jiān)聽目標(biāo)的報(bào)文發(fā)送給監(jiān)聽中心。
2.如權(quán)利要求1所述的合法監(jiān)聽方法��,其特征在于����,所述步驟A具體包括步驟A1用戶向內(nèi)網(wǎng)管理系統(tǒng)注冊上線�;步驟A2所述內(nèi)網(wǎng)管理系統(tǒng)向NAT設(shè)備發(fā)送用戶信息同私網(wǎng)IP的綁定關(guān)系�;步驟A 3所述NAT設(shè)備根據(jù)所述綁定關(guān)系獲取用戶標(biāo)識信息����;相應(yīng)地,所述步驟B具體包括步驟B1用戶向NAT設(shè)備發(fā)送報(bào)文��;步驟B2所述NAT設(shè)備對于用戶發(fā)出的報(bào)文進(jìn)行NAT轉(zhuǎn)換后將所述用戶的標(biāo)識信息附加到報(bào)文中����,并向監(jiān)聽設(shè)備發(fā)送加入標(biāo)識信息后的報(bào)文。
3.如權(quán)利要求1所述的合法監(jiān)聽方法��,其特征在于�,所述步驟A具體包括步驟A1用戶向內(nèi)網(wǎng)管理系統(tǒng)注冊上線;步驟A2內(nèi)網(wǎng)管理系統(tǒng)將用戶信息下發(fā)到用戶端設(shè)備����;相應(yīng)地,所述步驟B具體包括步驟B1用戶向NAT設(shè)備發(fā)送報(bào)文�����,在所述報(bào)文中附加了用戶標(biāo)識信息�����;步驟B2所述NAT設(shè)備對于用戶發(fā)出的帶有用戶標(biāo)識信息的報(bào)文進(jìn)行NAT轉(zhuǎn)換后向監(jiān)聽設(shè)備發(fā)送加入標(biāo)識信息后的報(bào)文。
4.如權(quán)利要求1所述的合法監(jiān)聽方法���,其特征在于���,所述步驟B中用戶標(biāo)識信息用自定義格式封裝并上送。
5.如權(quán)利要求1所述的合法監(jiān)聽方法�����,其特征在于���,所述步驟C具體包括步驟C1所述監(jiān)聽設(shè)備收到帶有標(biāo)識的報(bào)文后����,獲取用戶的標(biāo)識信息����;步驟C2所述監(jiān)聽設(shè)備將所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息進(jìn)行比較,如果所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息相同����,則將所述報(bào)文發(fā)送到監(jiān)聽中心,同時(shí)去除報(bào)文的標(biāo)識�,使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文���;如果不同�����,所述監(jiān)聽設(shè)備去除報(bào)文的標(biāo)識后使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文����。
6.如權(quán)利要求1至5中任意一項(xiàng)權(quán)利要求所述的合法監(jiān)聽方法,其特征在于��,所述標(biāo)識信息包括但并不限定于用戶身份信息����。
7.如權(quán)利要求6所述的合法監(jiān)聽方法,其特征在于��,所述標(biāo)識信息包括但并不限定于用戶身份信息摘要信息或所述摘要信息的部分內(nèi)容���。
8.一種合法監(jiān)聽裝置��,包括NAT設(shè)備���、監(jiān)聽設(shè)備和監(jiān)聽中心���,其特征在于,還包括內(nèi)網(wǎng)管理模塊�����、在所述監(jiān)聽設(shè)備中設(shè)有標(biāo)識信息存儲裝置和報(bào)文判斷裝置�;在所述NAT設(shè)備中設(shè)有報(bào)文發(fā)送裝置;所述內(nèi)網(wǎng)管理模塊用于保存用戶信息同內(nèi)網(wǎng)IP的映射表�,并且向NAT設(shè)備提供上述信息以及映射變動信息;所述標(biāo)識信息存儲裝置用于存儲監(jiān)聽中心發(fā)送的監(jiān)聽目標(biāo)的標(biāo)識信息����;所述報(bào)文發(fā)送裝置用于所述NAT設(shè)備對于用戶發(fā)出的報(bào)文進(jìn)行NAT轉(zhuǎn)換后將對應(yīng)用戶的標(biāo)識信息附加到報(bào)文中,并向監(jiān)聽設(shè)備發(fā)送加入所述標(biāo)識信息后的報(bào)文���;所述報(bào)文判斷裝置用于所述監(jiān)聽設(shè)備收到帶有用戶標(biāo)識信息的報(bào)文后�,判斷所述報(bào)文是否為監(jiān)聽目標(biāo)的報(bào)文��,如果是��,則將所述監(jiān)聽目標(biāo)的報(bào)文發(fā)送給監(jiān)聽中心�。
9.如權(quán)利要求8所述的一種合法監(jiān)聽裝置,其特征在于,所述報(bào)文接收判斷裝置包括標(biāo)識信息比較裝置����,正常報(bào)文轉(zhuǎn)發(fā)裝置和被監(jiān)聽目標(biāo)報(bào)文轉(zhuǎn)發(fā)裝置;所述標(biāo)識信息比較裝置輸出的比較結(jié)果分別輸入到正常報(bào)文轉(zhuǎn)發(fā)裝置和被監(jiān)聽報(bào)文轉(zhuǎn)發(fā)裝置�;所述標(biāo)識信息比較裝置用于所述監(jiān)聽設(shè)備將所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息進(jìn)行比較,如果所述用戶標(biāo)識信息和所述監(jiān)聽目標(biāo)的標(biāo)識信息相同�����,則將所述報(bào)文發(fā)送到報(bào)文監(jiān)聽轉(zhuǎn)發(fā)裝置���,如果不同,則將所述報(bào)文發(fā)送到報(bào)文正常轉(zhuǎn)發(fā)裝置���;所述正常報(bào)文轉(zhuǎn)發(fā)裝置用于去除報(bào)文的標(biāo)識���,使用通常流程繼續(xù)轉(zhuǎn)發(fā)報(bào)文;所述被監(jiān)聽報(bào)文轉(zhuǎn)發(fā)裝置用于向監(jiān)聽中心轉(zhuǎn)發(fā)監(jiān)聽目標(biāo)的報(bào)文����。
全文摘要
本發(fā)明提供了一種合法監(jiān)聽的方法及裝置,屬于網(wǎng)絡(luò)監(jiān)控領(lǐng)域����。為了解決現(xiàn)有技術(shù)中無法實(shí)時(shí)監(jiān)聽目標(biāo)定位��、還原監(jiān)聽數(shù)據(jù)內(nèi)容不精確的問題����,本發(fā)明所述方法包括在NAT設(shè)備中發(fā)送附加用戶標(biāo)識信息的報(bào)文�;在監(jiān)聽設(shè)備中存儲用戶標(biāo)識信息以及通過對比標(biāo)識信息來定位監(jiān)聽目標(biāo)的步驟。本發(fā)明還提供了一種合法監(jiān)聽的目標(biāo)定位裝置���,包括NAT設(shè)備及監(jiān)聽設(shè)備����,在所述NAT設(shè)備中附加用戶標(biāo)識信息����,在所述監(jiān)聽設(shè)備中存儲用戶標(biāo)識信息和對比標(biāo)識信息的模塊。本發(fā)明適用于網(wǎng)吧����、企業(yè)網(wǎng)的合法監(jiān)聽。
文檔編號H04L12/46GK101047568SQ20061007888
公開日2007年10月3日 申請日期2006年5月12日 優(yōu)先權(quán)日2006年5月12日
發(fā)明者苗福友, 趙燁 申請人:華為技術(shù)有限公司