摘 要:介绍了ip网络中合法监听的相关知识,对比了网路数据流监听的2种方案:简单监听和decon监听,分析了2种方案的优缺点,提出了一种更优的监听方案,此方案将监听点和数据流转化为二分图的2个集合,多次采用匈牙利算法完成监听点和数据流的匹配。此方案不仅使所用的数据流得到监听,而且使得数据流平均的分配到监听点上,有效解决了前2种方案中某个别监听点负载过重和引起的网络拥塞问题。关键词:合法监听; 简单监听; decon监听; 匈牙利算法
lawful interception in ip network
jia chun-feng1, l ji-gen2
(1.school of electronic and information engineering network lab, beijing jiaotong university,beijing 100044,china;
2. all-optical networks and modern communication network lab, beijing jiaotong university,beijing 100044,china)
abstract: the knowledges of lawful interception in ip network is described. two programs of data stream monitoring in network are introduced (the simple monitoring and decentralized coordination monitoring), both advantages and disadvantages of the two programs are analyzed, and an optimized monitoring program is presented. monitor points and data flow are made into two sets of bipartite graphs in this program, and the hungarian algorithm is used to complete monitoring points and data flow matching. by this, not only all data flow can be monitored but also the data stream is distributed equally to monitor the point, the overloaded of monitoring point and the network congestion problems are solved effectively.
keywords: lawful interception; simple monitoring; decon monitoring; hungarian algorithm
0 引 言
在信息社会中,网络成为人们获取和传递所需要的信息的重要媒介。wWW.133229.CoM在网路中流动着大量的信息。合法监听是为了国家安全的需要,根据国家法律明确规定并且经过授权机构的法律授权,由具有合法监听权的机构在法律授权范围内对通信内容进行监听。而面对网络中大规模的数据信息,如何制定监听方案,实现高效的监听显得愈发重要。本文对合法监听做了简单叙述,分析了2种现有的监听方案,最终提出一种新颖的监听方案。
1 合法监听
1.1 概念
合法监听(lawful interception,li)是在国家法律授权许可的前提下,电信服务供应商(telecommunications service provider,tsp)依法协助(lawful enforcement agent,lea)截获受控的公众电信网(public telecom network,ptn)中用户的通信内容以及呼叫识别信息(call-identifying information,cii),并将监听结果传送给lea的过程[1]。
li体系的基本单元包括[2]:内部监听功能(internal intercepting function,iif),设置在网络节点内部中介功能(mediation function,mf),相当于公众通信网(ptn)与lea网络之间的网关管理功能(administration function,admf),对ptn中的监听命令进行管理;执法监听设备(law enforcement monitoring facility,lemf);ptn内部接口(internal network interface,ini);转接接口(handover interface,hi),包括admf与lemf之间的hi1以及mf与lemf之间的hi2 ,hi3,其中hi2传送监听相关信息(intercept related information,iri),hi3传送通信内容(contents of communication,cc) [3]。
1.2 基本流程
实施监听工作的基本流程如图1所示[4]。
图1 合法监听基本流程
图中1为执法机构向授权机关提出申请,要求对某网络用户进行监听;2为如果申请合法,授权机关向执法机构颁发授权证书;3为执法机构向网络商(网络运营商/络接入商/服务提供商)出示授权证书;4为网络商根据证书中的授权内容,为执法机构提供监听接口,确定监听对象;5为网络商告知执法机构己经收到授权证书;6为监听相关信息(interception related information,iri)从监听目标传到网络商;7为监听相关信息从网络商传到执法机构的合法监听设备(law enforcement monitoring facility,lemf);8为监听授权到期后,网络商停止监听活动;9为网络商告知执法机关监听停止。
1.3 ip网络实现合法监听的重要性
在固网、无线等语音网络上,合法监听功能有个明确的规范和长时间的实施经验,而ip网络的合法监听相对来说更加复杂和不成熟。随着internet网络应用的更加广泛,ip网络成为人们传递公共和私人网络的重要渠道。因此ip网络上的合法监听研究也有了十分重要的意义,对于ip网络而言,监听点的设置以及监听目标标识符的确定有着很大的关系。
2 ip网络中监听点的设置
从ip网络的数据传输模型(见图2)中可以看出,访问接入、网关连接、服务提供层都可以提供监听功能。对于ip网络监听点的选择不同,得到的通信内容不同的传输格式[5]。如在服务设备上得到的是应用层的会话,在网络连接设备上得到的是网络层的 (ip)数据报,在访问接入设备上得到的是网络层的(ip)数据报、数据链路层的pdu(协议数据单元)和物理层的pdu。常见的监听标识有e-mail地址、web地址、isp(因特网业务提供商)用户帐号、ip地址等。根据internet上的接入方式不同[5],监听点选择的位置也不相同。
拨号上网方式[6]:用户通过拨号上网到本地交换中心,本地交换中心再同通过拨号连接到isp,在这种连接模式下,监听点设定在isp上,一旦被监听目标拨号连接到本地交换中心,本地交换中心向isp发出监听命令,isp接收到命令后,对该监听目标用户进行监听。
局域网上网方式如图3所示。
该方式(见图3)一般为某机构内部连接为一个局域网,然后通过本地路由设备连接到代理,经过代理连接到internet。对于这种方式的监听,必须得到该局域网的公司或者机构的协助完成。一旦局域网内部的监听目标通过lan由通信活动产生,lan就向通知监听设备与此同时,本地路由器也会向监听设备发起通知。代理网关或者类似的设备将监听目标的通信内容复制一份,送到监听设备。
图2 ip网络数据传输模型及监听点监听到的数据包
图3 局域网传输方式
如图4所示的永久ip上网方式下,用户的ip是固定的,因此对其进行监听时可以将其ip地址作为监听标识符。监听位置设置在路由器上,一旦需要对该用户进行监听,只要通知路由设备,路由设备将其通信数据送达到监听设备。
图4 永久ip传输方式
3 大规模数据流监听的实现
3.1 简单的监听方案
这种方案即让数据流经过的所有监听点都监听这个数据流,如图5所示。
图5 网络数据流
图5中p1,p2…代表不同的监听点,f1,f2代表不同的数据流。在简单的监听方案中,p1,p2,p3三个监听点都对f1数据流进行监听。
此方案优点在于能确保每一个要监听的数据流全部能监听到。缺点是在大规模的流量下,一个监听点会监听很多流,加重监听点的负载。如图5中的p2则会监听3条数据流,p2的负载很重。另外,在监听的过程中,检测到我们所需要的数据流后,需要拷贝一份转发给监听设备来进行信息分析,这种方案造成在监听设备中有大量的重复信息,使监听设备负荷加重,由于有很多的转发数据,还可能会引起网络拥塞。
3.2 decon 方案
鉴于上述方案的缺点,欧洲nec公司andrea di pietro等人提出了decon(decentralized coordination)方案[7-10]。此方案采用“第一个最适合”的方法(first-fit),即数据流经过的第一个监听点为最适合的监听点。例如在图5中的p1 为f1数据流的监听点、p2为f3数据流的监听点。
此方案优点同样对所有数据流都可以监听,没有遗漏,而且每条数据流只有一条信息,解决了简单方案中的分析设备中大量重复的数据信息问题及网络拥塞。但是缺点还是存在,此种方案在一定的程度上减轻了监听点的负担,但是并没有完全的解决。依然存在监听点负担问题,例如图5中,采用decon 方案,f3,f2数据流都由p2监听,p2监听点负载依然很重。
3.3 多次采用匈牙利算法的优化方案
在网络中,因为源地址和目的地址可以确定一条数据流,所以可以源地址和目的地址来标识数据流。数据流的监听分配问题便转化成如何把这些ip对分配到监听点上进行监听。可以借鉴图论中m个工人分配n个任务的模型,采用匈牙利算法找最大匹配的思想[11],得出了全网中监听点优化的方案。下面通过例子阐述该思想。
例如,图6中假设网络中存在f1,f2,f3,f4,f5,f6六条数据流,六条流中目的ip和源ip为表1中所示。则监听点和ip对之间对应关系如表2所示(标记信息发送过程中经过的路由器为1,没有经过的为0)。
图6 网络数据流
(1) 以源地址和目的地址的ip对作为集合x中的成员,以监听点作为y中的集合,以表中ip对和监听点之间的关系为边集合c(表2中:1的位置说明ip和监听点存在边的关系)。则x=[ab,ac, ad, bc, bd, cd]},y=[p1,p2,p3,p4]。
表1 目的ip与源ip
经过的监听点源ip地址目的ip地址
f1 p1ac
f2 p4,p3ad
f3p1,p3bd
f4p1,p2,p4ab
f5p1,p3cd
f6p1,p4bc
表2 监听点与ip对的关系
监听点
ip对
a-ba-ca-db-cb-dc-d
p1111101
p2100000
p3001011
p4100110
(2) 集合x,y和c既可以构成二分图,如图7所示,根据匈牙利算法,即可找到最大匹配(如图8中的黑粗线)。即x中的ip对被分配到不同的监听点中监听。
经过一次匹配查找后,监听规则分配结果如表3所示。
图7 二分图
图8 一次匹配查找
(3) 若监听的x集合中ip对和y中的监听点都已经匹配,则算法结束。否则,对将已经匹配的ip对,以及已经匹配的ip对和监听点的对应关系边删除,则产生新的一个二分图如图9所示,再次执行(2),结果如图10所示的黑粗线。
二次匹配后监听点分配如表4所示。
算法分析:所有的数据流都监听到,没有遗漏。经过多次采用匈牙利算法后,数据流被均匀分配到监听点中,不会使得某个别监听点监听的数据流多,而负载不平衡,解决了上述2种方案的缺点。各个监听点监听的数据流不相同,不会造成分析设备信息的重复。
表3 监听规则分配结果
监听点数据流分配
p1ac
p2ab
p3ad
p4bd
图9 产生新的二分图
图10 匹配查找后结果
表4 二次匹配后监听点分配
监听点数据流分配
p1ac,cd
p2ab
p3ad
p4bd,bc
4 结 语
由于ip网络的复杂性,对于ip网络的li技术标准规范,各大通信组织也已在制定之中,合法监听在