技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種應(yīng)用于合法監(jiān)聽系統(tǒng)的網(wǎng)絡(luò)策略架構(gòu)以及基于該網(wǎng)絡(luò)策略架構(gòu)的策略處理方法。

背景技術(shù)

合法監(jiān)聽即在經(jīng)相應(yīng)的授權(quán)機(jī)關(guān)批準(zhǔn)的前提下，由執(zhí)法機(jī)構(gòu)向網(wǎng)絡(luò)運(yùn)營(yíng)商/接入提供商/服務(wù)提供商(NWO/AP/SvP)發(fā)出監(jiān)聽請(qǐng)求命令，由NWO/AP/SvP將公眾電信網(wǎng)(Public?Telecommunication?Network，PTN)用戶通信內(nèi)容以及呼叫相關(guān)信息進(jìn)行復(fù)制并發(fā)送給執(zhí)法機(jī)構(gòu)的一項(xiàng)信息安全技術(shù)。

在網(wǎng)絡(luò)安全管理領(lǐng)域，合法監(jiān)聽占有及其重要的作用：首先，可以增強(qiáng)國(guó)家安全的保障，加強(qiáng)對(duì)進(jìn)出口關(guān)鍵話路的監(jiān)控，滿足類似反恐以及其他政治上的需要；其次，各式犯罪行為也越來(lái)越頻繁地利用電話通信來(lái)進(jìn)行，合法監(jiān)聽可以幫助未來(lái)偵察與取證這些犯罪行為；而且合法監(jiān)聽可以對(duì)呼叫中心的坐席實(shí)行有效監(jiān)督，提升坐席員的工作效率和客戶服務(wù)質(zhì)量，同時(shí)也提升了運(yùn)營(yíng)企業(yè)的形象，為企業(yè)帶來(lái)了利潤(rùn)；合法監(jiān)聽提供了有效的故障分析數(shù)據(jù)，方便用戶快速定位網(wǎng)絡(luò)故障。

而一個(gè)穩(wěn)定、健壯的合法監(jiān)聽系統(tǒng)需要有功能強(qiáng)大的策略管理作為支撐，從而可以脫離人工干預(yù)，按照預(yù)先制定的策略，自動(dòng)、高效地完成對(duì)固定電話網(wǎng)以及IP網(wǎng)絡(luò)的監(jiān)聽任務(wù)。目前，在網(wǎng)絡(luò)及設(shè)備管理中采用策略模型受到了廣泛關(guān)注。在實(shí)際應(yīng)用方面，目前已有基于策略的網(wǎng)絡(luò)管理解決方案，一些大型廠商，如思科、北電等都發(fā)布了一些支持策略管理的產(chǎn)品，但這些這些策略管理產(chǎn)品大多是基于IETF提出的策略管理框架，且主要是對(duì)網(wǎng)絡(luò)服務(wù)質(zhì)量進(jìn)行管理，對(duì)于合法監(jiān)聽系統(tǒng)這種特殊應(yīng)用缺乏足夠的支持。電路交換網(wǎng)絡(luò)、報(bào)文交換網(wǎng)絡(luò)以及分組交換網(wǎng)絡(luò)進(jìn)行合法監(jiān)聽的設(shè)備包括作為合法監(jiān)聽系統(tǒng)的核心部件之一策略管理設(shè)備。目前，廠商推出的大部分策略管理設(shè)備都是針對(duì)服務(wù)質(zhì)量(QoS)的，應(yīng)用于安全管理的產(chǎn)品并不多，即使這些設(shè)備能夠支持安全管理，它們能夠管理的安全產(chǎn)品種類也有限。

如圖1所示，為現(xiàn)有的IETF策略管理框架的示意圖。如圖所示，策略管理的框架被定義成基于客戶端/服務(wù)器(Client/Server)的模式，即存在這一個(gè)中心策略決定點(diǎn)101(Policy?Decision?Point，PDP)和多個(gè)分布于網(wǎng)絡(luò)節(jié)點(diǎn)上的策略執(zhí)行點(diǎn)102(Policy?Enforcement?Point，PEP)。策略庫(kù)103(PR：Policy?Repository)用來(lái)存儲(chǔ)策略信息和規(guī)則，可以采用數(shù)據(jù)庫(kù)(DB：Database)或活動(dòng)目錄(AD：Active?Directory)技術(shù)來(lái)實(shí)現(xiàn)。策略決定點(diǎn)，作為策略服務(wù)器，響應(yīng)策略事件，并鎖定相應(yīng)的策略規(guī)則；完成狀態(tài)和資源的有效性校驗(yàn)；將存儲(chǔ)在策略知識(shí)庫(kù)中的策略規(guī)則轉(zhuǎn)換成設(shè)備可執(zhí)行的格式。策略執(zhí)行點(diǎn)，作為策略系統(tǒng)的客戶端，分布在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)上，負(fù)責(zé)根據(jù)從策略決定點(diǎn)接收到的策略來(lái)執(zhí)行相應(yīng)的策略管理操作，并同時(shí)將策略執(zhí)行的結(jié)果上報(bào)給策略決定點(diǎn)。其中策略的下發(fā)方式分為兩種，外購(gòu)方式和供應(yīng)方式。

但是，這種IETF策略管理框架沒(méi)有考慮到對(duì)于策略的保密，下發(fā)的策略信息往往是明文格式，一旦被截獲就造成了監(jiān)聽策略的泄露，這一點(diǎn)在分布式合法監(jiān)聽系統(tǒng)中尤其明顯。在分布式合法監(jiān)聽系統(tǒng)中，下發(fā)的策略消息需要經(jīng)過(guò)互聯(lián)網(wǎng)傳輸?shù)骄W(wǎng)絡(luò)中各個(gè)監(jiān)控點(diǎn)，如果不能保證消息的機(jī)密性，就可能導(dǎo)致在中途策略消息被截獲后，被監(jiān)聽對(duì)象可以采用針對(duì)性措施地逃避合法監(jiān)聽系統(tǒng)的監(jiān)控。

同時(shí)，現(xiàn)有IETF策略管理框架使用目錄服務(wù)存儲(chǔ)策略，每條策略需要明確指定被管理的對(duì)象及方法，無(wú)法根據(jù)被管理對(duì)象的條件和狀態(tài)的動(dòng)態(tài)變化，自動(dòng)地修改調(diào)整原先制定的策略，而必須通過(guò)管理控制臺(tái)人工手動(dòng)修改目錄服務(wù)器中存儲(chǔ)的策略。另一方面，現(xiàn)有的IETF策略管理框架是一種平面集中式架構(gòu)，所有的策略生成和分發(fā)均在網(wǎng)絡(luò)中唯一的一個(gè)策略決定點(diǎn)完成，使得該策略決定點(diǎn)有著沉重的處理負(fù)擔(dān)，因此這個(gè)策略決定點(diǎn)將成為制約整個(gè)合法監(jiān)聽系統(tǒng)性能的瓶頸。

發(fā)明內(nèi)容

本發(fā)明的目的是為了解決現(xiàn)有策略管理結(jié)構(gòu)存在的缺少對(duì)策略的保密以及策略決定點(diǎn)的沉重的處理負(fù)擔(dān)等的缺點(diǎn)，采用一種適用于合法監(jiān)聽系統(tǒng)中的三層結(jié)構(gòu)的網(wǎng)絡(luò)策略架構(gòu)，以減輕策略決定點(diǎn)的處理負(fù)擔(dān)，實(shí)現(xiàn)包括安全、QoS和監(jiān)聽等在內(nèi)的統(tǒng)一合法監(jiān)聽策略管理。

本發(fā)明還涉及在這種網(wǎng)絡(luò)策略框架下具體的策略處理方法以及對(duì)由策略執(zhí)行點(diǎn)下發(fā)的策略子類進(jìn)行加密。

為了實(shí)現(xiàn)上述目的，本發(fā)明提供了一種應(yīng)用于合法監(jiān)聽系統(tǒng)的網(wǎng)絡(luò)策略框架，該網(wǎng)絡(luò)策略框架包括：

策略庫(kù)，用于存儲(chǔ)所有策略模版；