1、 浅谈 IP 网络中的合法监听技术摘 要 :介绍了 IP 网络中合法监听的相关知识,对比了网路数据流监听的 2 种方案:简单监听和 DECON 监听,分析了2 种方案的优缺点,提出了一种更优的监听方案,此方案将监听点和数据流转化为二分图的 2 个集合,多次采用匈牙利算法完成监听点和数据流的匹配。此方案不仅使所用的数据流得到监听,而且使得数据流平均的分配到监听点上,有效解决了前2 种方案中某个别监听点负载过重和引起的网络拥塞问题。关键词:合法监听; 简单监听 ; DECON 监听; 匈牙利算法 Lawful Interception in IP Network JIA Chun-feng1, L
2、 Ji-gen2 (1.School of Electronic and Information Engineering network Lab, BEijing Jiaotong University,BEIjing 100044,China; 2. All-optical Networks and Modern Communication Network Lab, Beijing Jiaotong University,Beijing 100044,China) Abstract: The knowledges of Lawful Interception in IP network is
3、 described. Two programs of data stream monitoring in network are introduced (the simple monitoring and Decentralized Coordination monitoring), both advantages and disadvantages of the two programs are analyzed, and an optimized monitoring program is presented. Monitor points and data flow are made
4、into two sets of bipartite graphs in this program, and the Hungarian algorithm is used to complete monitoring points and data flow matching. By this, not only all data flow can be monitored but also the data stream is distributed equally to monitor the point, the overloaded of monitoring point and t
5、he network congestion problems are solved effectively. Keywords: lawful interception; simple monitoring; DECON monitoring; Hungarian algorithm 0 引 言 在信息社会中 ,网络成为人们获取和传递所需要的信息的重要媒介。在网路中流动着大量的信息。合法监听是为了国家安全的需要,根据国家法律明确规定并且经过授权机构的法律授权,由具有合法监听权的机构在法律授权范围内对通信内容进行监听。而面对网络中大规模的数据信息,如何制定监听方案,实现高效的监听显得愈发重要。本
6、文对合法监听做了简单叙述,分析了 2 种现有的监听方案,最终提出一种新颖的监听方案。 1 合法监听 1.1 概念 合法监听(lawful interception,LI)是在国家法律授权许可的前提下,电信服务供应商(telecommunications service provider,TSP)依法协助(lawful enforcement agent,LEA)截获受控的公众电信网(public telecom network,PTN)中用户的通信内容以及呼叫识别信息(call-identifying information,CII),并将监听结果传送给 LEA 的过程1。 LI 体系的基本单
7、元包括2: 内部监听功能 (internal intercepting function,IIF),设置在网络节点内部中介功能(mediation function,MF),相当于公众通信网(PTN)与 LEA 网络之间的网关管理功能(administration function,ADMF),对 PTN 中的监听命令进行管理; 执法监听设备(law enforcement monitoring facility,LEMF);PTN 内部接口(internal network interface,INI);转接接口(handover interface,HI),包括 ADMF 与 LEMF之间
8、的 HI1 以及 MF 与 LEMF 之间的 HI2 ,HI3,其中 HI2 传送监听相关信息(intercept related information,IRI),HI3 传送通信内容(contents of communication,CC) 3。 1.2 基本流程 实施监听工作的基本流程如图 1 所示4。 图 1 合法监听基本流程 图中 1 为执法机构向授权机关提出申请,要求对某网络用户进行监听;2 为如果申请合法,授权机关向执法机构颁发授权证书;3 为执法机构向网络商(网络运营商/络接入商/服务提供商)出示授权证书;4 为网络商根据证书中的授权内容,为执法机构提供监听接口,确定监听对象
9、;5 为网络商告知执法机构己经收到授权证书;6 为监听相关信息(interception related information,IRI)从监听目标传到网络商;7 为监听相关信息从网络商传到执法机构的合法监听设备(Law Enforcement Monitoring Facility,LEMF);8 为监听授权到期后,网络商停止监听活动;9 为网络商告知执法机关监听停止。 转贴于 .com1.3 IP 网络实现合法监听的重要性 在固网、无线等语音网络上,合法监听功能有个明确的规范和长时间的实施经验,而 IP 网络的合法监听相对来说更加复杂和不成熟。随着 Internet 网络应用的更加广泛,I
10、P 网络成为人们传递公共和私人网络的重要渠道。因此 IP 网络上的合法监听研究也有了十分重要的意义,对于 IP 网络而言,监听点的设置以及监听目标标识符的确定有着很大的关系。 2 IP 网络中监听点的设置 从 IP 网络的数据传输模型(见图 2)中可以看出,访问接入、网关连接、服务提供层都可以提供监听功能。对于 IP 网络监听点的选择不同,得到的通信内容不同的传输格式5。如在服务设备上得到的是应用层的会话,在网络连接设备上得到的是网络层的 (IP)数据报,在访问接入设备上得到的是网络层的(IP)数据报、数据链路层的 PDU(协议数据单元)和物理层的 PDU。常见的监听标识有 E-mail 地址
11、、Web 地址、ISP(因特网业务提供商)用户帐号、IP 地址等。根据 Internet 上的接入方式不同5,监听点选择的位置也不相同。 拨号上网方式6:用户通过拨号上网到本地交换中心,本地交换中心再同通过拨号连接到ISP,在这种连接模式下,监听点设定在 ISP 上 ,一旦被监听目标拨号连接到本地交换中心,本地交换中心向 ISP 发出监听命令,ISP 接收到命令后,对该监听目标用户进行监听。 局域网上网方式如图 3 所示。 该方式(见图 3)一般为某机构内部连接为一个局域网,然后通过本地路由设备连接到代理,经过代理连接到 Internet。对于这种方式的监听,必须得到该局域网的公司或者机构的协
12、助完成。一旦局域网内部的监听目标通过 LAN 由通信活动产生,LAN 就向通知监听设备与此同时,本地路由器也会向监听设备发起通知。代理网关或者类似的设备将监听目标的通信内容复制一份,送到监听设备。 图 2 IP 网络数据传输模型及监听点监听到的数据包 图 3 局域网传输方式 如图 4 所示的永久 IP 上网方式下,用户的 IP 是固定的,因此对其进行监听时可以将其 IP 地址作为监听标识符。监听位置设置在路由器上,一旦需要对该用户进行监听,只要通知路由设备,路由设备将其通信数据送达到监听设备。 图 4 永久 IP 传输方式 3 大规模数据流监听的实现 3.1 简单的监听方案 这种方案即让数据流
13、经过的所有监听点都监听这个数据流,如图 5 所示。 图 5 网络数据流 图 5 中 P1,P2代表不同的监听点,f1,f2 代表不同的数据流。在简单的监听方案中,P1,P2,P3 三个监听点都对 f1 数据流进行监听。 此方案优点在于能确保每一个要监听的数据流全部能监听到。缺点是在大规模的流量下,一个监听点会监听很多流,加重监听点的负载。如图 5 中的 P2 则会监听 3 条数据流,P2 的负载很重。另外,在监听的过程中,检测到我们所需要的数据流后,需要拷贝一份转发给监听设备来进行信息分析,这种方案造成在监听设备中有大量的重复信息,使监听设备负荷加重,由于有很多的转发数据,还可能会引起网络拥塞
14、。 3.2 DECON 方案 鉴于上述方案的缺点,欧洲 NEC 公司 Andrea di Pietro 等人提出了DECON(decentralized coordination)方案7-10。此方案采用“第一个最适合”的方法 (first-fit),即数据流经过的第一个监听点为最适合的监听点。例如在图 5 中的 P1 为 f1 数据流的监听点、P2 为 f3 数据流的监听点。 此方案优点同样对所有数据流都可以监听,没有遗漏,而且每条数据流只有一条信息,解决了简单方案中的分析设备中大量重复的数据信息问题及网络拥塞。但是缺点还是存在,此种方案在一定的程度上减轻了监听点的负担,但是并没有完全的解决
15、。依然存在监听点负担问题,例如图 5 中,采用 DECON 方案,f3,f2 数据流都由P2 监听,P2 监听点负载依然很重。 3.3 多次采用匈牙利算法的优化方案 在网络中,因为源地址和目的地址可以确定一条数据流,所以可以源地址和目的地址来标识数据流。数据流的监听分配问题便转化成如何把这些 IP 对分配到监听点上进行监听。可以借鉴图论中 m 个工人分配 n 个任务的模型,采用匈牙利算法找最大匹配的思想11, 得出了全网中监听点优化的方案。下面通过例子阐述该思想。例如,图 6 中假设网络中存在 f1,f2,f3,f4,f5,f6六条数据流,六条流中目的 IP 和源 IP 为表 1 中所示。则监
16、听点和 IP 对之间对应关系如表 2 所示(标记信息发送过程中经过的路由器为 1,没有经过的为0)。 图 6 网络数据流 (1) 以源地址和目的地址的 IP 对作为集合 X 中的成员,以监听点作为 Y 中的集合,以表中 IP 对和监听点之间的关系为边集合 C(表 2 中:1 的位置说明 IP 和监听点存在边的关系)。则 X=ab,ac, ad, bc, bd, cd,Y=P1,P2,P3,P4。 表 1 目的 IP 与源 IP 经过的监听点源 IP 地址目的 IP 地址 f1 P1ac f2 P4,P3ad f3P1,P3bd f4P1,P2,P4ab f5P1,P3cd f6P1,P4bc
17、表 2 监听点与 IP 对的关系 监听点 IP 对 a-ba-ca-db-cb-dc-d P1111101 P2100000 P3001011 P4100110 (2) 集合 X,Y 和 C既可以构成二分图,如图 7 所示,根据匈牙利算法,即可找到最大匹配(如图 8 中的黑粗线) 。即 X 中的IP 对被分配到不同的监听点中监听。 经过一次匹配查找后,监听规则分配结果如表 3 所示。 图 7 二分图 图 8 一次匹配查找 (3) 若监听的 X 集合中 IP 对和 Y 中的监听点都已经匹配,则算法结束。否则,对将已经匹配的 IP 对,以及已经匹配的 IP 对和监听点的对应关系边删除,则产生新的一
18、个二分图如图 9 所示,再次执行(2),结果如图 10 所示的黑粗线。 二次匹配后监听点分配如表 4所示。 算法分析:所有的数据流都监听到,没有遗漏。经过多次采用匈牙利算法后,数据流被均匀分配到监听点中,不会使得某个别监听点监听的数据流多,而负载不平衡,解决了上述 2 种方案的缺点。各个监听点监听的数据流不相同,不会造成分析设备信息的重复。 表 3 监听规则分配结果 监听点数据流分配 P1ac P2ab P3ad P4bd 图 9 产生新的二分图 图 10 匹配查找后结果 表 4 二次匹配后监听点分配 监听点数据流分配 P1ac,cd P2ab P3ad P4bd,bc 4 结 语 由于 IP网络的复杂性,对于 IP 网络的 LI 技术标准规范,各大通信组织也已在制定之中,合法监听在中国还是一个有待发展完善的技术领域,很多方面都处于摸索阶段,迫切需要对合法监听技术实现有一个完善的解决方案,以满足运营商以及国家安全部门的需求。 本文的创新点在于,在大规模的数据流监听情况下,提出一个多次使用匈牙利算法的优化方案,有效解决了现有方案中监听点负载过重和网络拥塞得问题。
