CN109257330A - 一种合法监听的方法及相关设备 - Google Patents

一种合法监听的方法及相关设备 Download PDF

Info

Publication number
CN109257330A
CN109257330A CN201710871458.8A CN201710871458A CN109257330A CN 109257330 A CN109257330 A CN 109257330A CN 201710871458 A CN201710871458 A CN 201710871458A CN 109257330 A CN109257330 A CN 109257330A
Authority
CN
China
Prior art keywords
eavesdropping target
mark
false
network equipment
true
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710871458.8A
Other languages
English (en)
Other versions
CN109257330B (zh
Inventor
银宇
戚彩霞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN109257330A publication Critical patent/CN109257330A/zh
Application granted granted Critical
Publication of CN109257330B publication Critical patent/CN109257330B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实施例公开了一种合法监听的方法及相关设备,通过假的监听对象进行干扰,增加非法攻击者锁定真实的监听对象的难度,提高合法监听的安全性。本申请实施例方法包括:监听网关接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识,所述真实的监听对象的标识用于网络设备确定真实的监听对象;所述监听网关向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和虚假的监听对象的信息;所述监听网关接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。

Description

一种合法监听的方法及相关设备
本申请要求于2017年7月13日提交中国专利局、申请号为201710574720.2、发明名称为“一种合法监听的方法及相关设备”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信技术领域,尤其涉及一种合法监听的方法及相关设备。
背景技术
合法监听指在法律授权的前提下,国家安全机构,如安全局、警察局等出于执法和维稳等需要,对移动通信网络中某个/某些用户的通信过程进行侦听的机制。监听流程一般为监听中心通过监听网关将被监听用户的用户标识发送给移动通信网络内的网络设备。网络设备随即执行对被监听用户的监听,将被监听用户相关的信令消息和业务数据通过监听网关上报给监听中心。由此国家安全机构能够掌握被监听用户的通信过程,如侦听用户的通话内容,获得其电子邮件信息等。为便于理解,将被监听用户统称为监听对象,将监听对象的信令消息和业务数据统称为监听信息。
因为合法监听的敏感性,其对网络安全要求很高,网络内采用一些措施来增强其安全性,例如,网络设备和监听网关之间采用因特网安全协议(internet protocolsecurity,IPsec)通信,该协议通过对每个数据包进行鉴权和加密,为数据传输提供了高质量的、可互操作的且具有安全性的方式。
但是移动通信网络并不是百分百安全的网络,即便通过一些措施来增强合法监听的安全性,非法的攻击者还是可以通过一些技术手段发现网络漏洞,窃取合法监听过程中的监听信息。
发明内容
本申请实施例提供了一种合法监听的方法及相关设备,通过假的监听对象进行干扰,增加非法攻击者锁定真实的监听对象的难度,提高合法监听的安全性。
本申请实施例的第一方面提供一种合法监听的方法,包括:监听中心根据需要进行监听的对象生成合法监听请求消息,该合法监听请求消息中包含真实的监听对象的标识,所述真实的监听对象的标识用于网络设备确定真实的监听对象;监听网关接收监听中心发送的合法监听请求消息,所述监听网关向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的信息,所述虚假的监听对象的信息用于增加非法攻击者锁定真实的监听对象的难度;在对监听对象开始监听后,监听网关接收所述网络设备发送的监听对象的监听信息,并将所述监听信息转发至所述监听中心。本申请实施例中,通过生成虚假的监听对象带来干扰,增加非法攻击者锁定真实的监听对象的难度,提高了合法监听的安全性。
在一种可能的设计中,在本申请实施例第一方面的第一种实现方式中,所述虚假的监听对象的信息为虚假的监听对象的指示信息,所述虚假的监听对象的指示信息用于指示所述网络设备生成虚假的监听对象的标识。本申请实施例中,细化了激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的指示信息,增加了本申请实施例的可实现性和可操作性。
在一种可能的设计中,在本申请实施例第一方面的第二种实现方式中,所述虚假的监听对象的信息为虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。本申请实施例中,细化了激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的标识,增加了本申请实施例的可实现性和可操作性。
在一种可能的设计中,在本申请实施例第一方面的第三种实现方式中,所述监听网关接收监听中心发送的合法监听请求消息之后,所述监听网关向网络设备发送激活合法监听请求消息之前,所述方法还包括:所述监听网关生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。本申请实施例中,增加了监听网关根据合法监听请求消息生成虚假的监听对象的标识的过程,增加了本申请实施例的可实现方式。
在一种可能的设计中,在本申请实施例第一方面的第四种实现方式中,所述监听网关向网络设备发送激活合法监听请求消息之后,所述监听网关接收所述网络设备发送的监听信息之前,所述方法还包括:所述监听网关接收所述网络设备发送的激活合法监听响应消息;所述监听网关向所述监听中心发送合法监听响应消息。本申请实施例中,增加了监听网关接收激活合法监听响应消息,并发送合法监听响应消息的过程,使本申请实施例在步骤上更完善。
本申请实施例的第二方面提供一种合法监听的方法,包括:网络设备接收监听网关发送的激活合法监听请求消息,该激活合法监听请求消息中携带有真实的监听对象的标识和虚假的监听对象的信息;所述网络设备根据所述虚假的监听对象的信息确定虚假的监听对象,并且根据所述真实的监听对象的标识确定真实的监听对象;所述网络设备对所述真实的监听对象和所述虚假的监听对象进行监听,并采集真实的监听对象和虚假的监听对象的信令数据和业务数据,即获取监听信息;所述网络设备将获取到的监听信息发送至所述监听网关。本申请实施例中,通过生成虚假的监听对象带来干扰,增加非法攻击者锁定真实的监听对象的难度,提高了合法监听的安全性。
在一种可能的设计中,在本申请实施例第二方面的第一种实现方式中,所述虚假的监听对象的信息为虚假的监听对象的指示信息,所述虚假的监听对象的指示信息用于指示所述网络设备生成虚假的监听对象的标识,并根据所述虚假的监听对象的标识确定虚假的监听对象。本申请实施例中,细化了激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的指示信息,增加了本申请实施例的可实现性和可操作性。
在一种可能的设计中,在本申请实施例第二方面的第二种实现方式中,所述网络设备接收监听网关发送的激活合法监听请求消息之后,所述网络设备根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象之前,所述方法还包括:所述网络设备根据所述虚假的监听对象的指示信息生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。本申请实施例中,增加了网络设备根据虚假的监听对象的指示信息生成虚假的监听对象的标识的过程,增加了本申请实施例的可实现方式。
在一种可能的设计中,在本申请实施例第二方面的第三种实现方式中,所述虚假的监听对象的信息为虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。本申请实施例中,细化了激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的标识,增加了本申请实施例的可实现性和可操作性。
在一种可能的设计中,在本申请实施例第二方面的第四种实现方式中,所述网络设备接收监听网关发送的激活合法监听请求消息之后,所述网络设备根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象之前,所述方法还包括:所述网络设备根据所述激活合法监听请求消息中携带的信息确定监听任务并向所述监听网关发送激活合法监听响应消息。本申请实施例中,增加了发送激活合法监听响应消息的过程,使本申请实施例在步骤上更完善。
本申请实施例的第三方面提供一种合法监听的方法,包括:监听中心生成虚假的监听对象的标识;所述监听中心向监听网关发送合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;所述监听中心接收所述监听网关发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息。本申请实施例中,通过生成虚假的监听对象带来干扰,增加非法攻击者锁定真实的监听对象的难度,提高了合法监听的安全性。
本申请实施例的第四方面提供一种合法监听的方法,包括:监听网关接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;所述监听网关向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和所述虚假的监听对象的标识;所述监听网关接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。本申请实施例中,通过生成虚假的监听对象带来干扰,增加非法攻击者锁定真实的监听对象的难度,提高了合法监听的安全性。
本申请实施例的第五方面提供一种监听网关,包括:第一接收单元,用于接收监听中心发送的合法监听请求消息,所述合法监听请求消息包括真实的监听对象的标识,所述真实的监听对象的标识用于网络设备确定真实的监听对象;第一发送单元,用于向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和虚假的监听对象的信息,所述虚假的监听对象的信息用于所述网络设备确定虚假的监听对象;处理单元,用于接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。本申请实施例中,通过生成虚假的监听对象带来干扰,增加非法攻击者锁定真实的监听对象的难度,提高了合法监听的安全性。
在一种可能的设计中,在本申请实施例第五方面的第一种实现方式中,所述虚假的监听对象的信息为虚假的监听对象的指示信息,所述虚假的监听对象的指示信息用于指示所述网络设备生成虚假的监听对象的标识,并根据所述虚假的监听对象的标识确定虚假的监听对象。本申请实施例中,细化了激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的指示信息,增加了本申请实施例的可实现性和可操作性。
在一种可能的设计中,在本申请实施例第五方面的第二种实现方式中,所述虚假的监听对象的信息为虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。本申请实施例中,细化了激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的标识,增加了本申请实施例的可实现性和可操作性。
在一种可能的设计中,在本申请实施例第五方面的第三种实现方式中,所述监听网关接收监听中心发送的合法监听请求消息之后,所述监听网关向网络设备发送激活合法监听请求消息之前,所述监听网关还包括:生成单元,用于生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。本申请实施例中,增加了监听网关根据初始合法监听请求消息生成虚假的监听对象的标识的过程,增加了本申请实施例的可实现方式。
在一种可能的设计中,在本申请实施例第五方面的第四种实现方式中,所述监听网关向网络设备发送激活合法监听请求消息之后,所述监听网关接收所述网络设备发送的监听信息之前,所述监听网关还包括:第二接收单元,用于接收所述网络设备发送的激活合法监听响应消息;第二发送单元,用于向所述监听中心发送合法监听响应消息。本申请实施例中,增加了监听网关接收激活合法监听响应消息,并发送合法监听响应消息的过程,使本申请实施例在步骤上更完善。
本申请实施例的第六方面提供一种网络设备,包括:接收单元,用于接收监听网关发送的激活合法监听请求消息,所述激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的信息;确定单元,用于根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象,所述监听对象包含真实的监听对象和虚假的监听对象;监听单元,用于对所述真实的监听对象和所述虚假的监听对象进行监听并获取监听信息;第一发送单元,用于将获取到的所述监听信息发送至所述监听网关。本申请实施例中,通过生成虚假的监听对象带来干扰,增加非法攻击者锁定真实的监听对象的难度,提高了合法监听的安全性。
在一种可能的设计中,在本申请实施例第六方面的第一种实现方式中,所述虚假的监听对象的信息为虚假的监听对象的指示信息,所述虚假的监听对象的指示信息用于指示所述网络设备生成虚假的监听对象的标识,并根据所述虚假的监听对象的标识确定虚假的监听对象。本申请实施例中,细化了激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的指示信息,增加了本申请实施例的可实现性和可操作性。
在一种可能的设计中,在本申请实施例第六方面的第二种实现方式中,所述网络设备接收监听网关发送的激活合法监听请求消息之后,所述网络设备根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象之前,所述网络设备还包括:生成单元,用于根据所述虚假的监听对象的指示信息生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。本申请实施例中,增加了网络设备根据虚假的监听对象指示信息生成虚假的监听对象的标识的过程,增加了本申请实施例的可实现方式。
在一种可能的设计中,在本申请实施例第六方面的第三种实现方式中,所述虚假的监听对象的信息为虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。本申请实施例中,细化了激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的标识,增加了本申请实施例的可实现性和可操作性。
在一种可能的设计中,在本申请实施例第六方面的第四种实现方式中,所述网络设备接收监听网关发送的激活合法监听请求消息之后,所述网络设备根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象之前,所述网络设备还包括:第二发送单元,用于向所述监听网关发送激活合法监听响应消息。本申请实施例中,增加了发送激活合法监听响应消息的过程,使本申请实施例在步骤上更完善。
本申请的第七方面提供了一种监听中心,包括:生成单元,用于生成虚假的监听对象的标识;发送单元,用于向监听网关发送合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;接收单元,用于接收所述监听网关发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息。本申请实施例中,通过生成虚假的监听对象带来干扰,增加非法攻击者锁定真实的监听对象的难度,提高了合法监听的安全性。
本申请的第八方面提供了一种监听网关,包括:接收单元,用于接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;发送单元,用于向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和所述虚假的监听对象的标识;处理单元,用于接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。本申请实施例中,通过生成虚假的监听对象带来干扰,增加非法攻击者锁定真实的监听对象的难度,提高了合法监听的安全性。
本申请的第九方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本申请的第十方面提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本申请实施例提供的技术方案中,监听网关接收监听中心发送的合法监听请求消息,所述合法监听请求消息包括真实的监听对象的标识,所述真实的监听对象的标识用于网络设备确定真实的监听对象;所述监听网关向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包括真实的监听对象的标识和虚假的监听对象的信息,所述虚假的监听对象的信息用于所述网络设备确定虚假的监听对象;所述监听网关接收所述网络设备发送的监听信息,并将所述监听信息发送至所述监听中心。本申请实施例提供了一种合法监听的方法及相关设备,通过假的监听对象进行干扰,增加非法攻击者锁定真实的监听对象的难度,提高合法监听的安全性。
附图说明
图1为本申请实施例可以应用的系统框架示意图;
图2A为本申请实施例中合法监听的方法的一个实施例示意图;
图2B为本申请实施例中合法监听的方法的一个实施例示意图;
图2C为本申请实施例中合法监听的方法的一个实施例示意图;
图3为本申请实施例中合法监听的方法的另一个实施例示意图;
图4为本申请实施例中监听网关的一个实施例示意图;
图5为本申请实施例中监听网关的另一个实施例示意图;
图6为本申请实施例中网络设备的一个实施例示意图;
图7为本申请实施例中网络设备的另一个实施例示意图;
图8为本申请实施例中监听网关的另一个实施例示意图;
图9为本申请实施例中监听中心的一个实施例示意图;
图10为本申请实施例中监听网关的另一个实施例示意图;
图11为本申请实施例中监听中心的另一个实施例示意图;
图12为本申请实施例中网络设备的另一个实施例示意图。
具体实施方式
本申请实施例提供了一种合法监听的方法及相关设备,通过假的监听对象进行干扰,增加非法攻击者锁定监听对象的难度,提高合法监听的安全性。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例进行描述。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例提供的方法可应用于如图1所示的系统框架。该系统架构包括监听中心,监听网关和网络设备三个部分。监听中心是国家安全机构下发监听任务,并接收网络设备上报的监听信息的实体。监听网关作为监听中心和网络设备的中转,引入监听网关的作用是适配和屏蔽监听中心和网络设备的监听接口的差异,简化监听中心和网络设备的实现。监听中心具体为合法监听中心(lawful enforcement agency,LEA),监听网关具体为合法监听网关(lawful interception gateway,LIG)。网络设备是为用户提供服务的通信设备,可以是2G/3G网络中的移动交换中心服务器(mobile switching center server,MSCserver)/媒体网关(media gateway,MGW)、GPRS服务支撑节点设备(serving GPRS supportnode,SGSN)、GPRS网关支撑节点(gateway GPRS support node,GGSN)等。网络设备还可以是演进的分组系统(evolved packet system,EPS)网络中的移动管理实体(mobilitymanagement entity,MME)、服务网关(serving gateway,SGW)、数据网关(packet datanetwork-gateway,PDN-GW)等。网络设备还可以是下一代移动通信网络中的接入和移动性管理功能(access mobility function,AMF)实体,会话管理功能(session managementfunction,SMF)实体,用户面功能网元(user plane,UP)等。具体此处不做限定。监听中心和监听网关之间通过不同的接口H1/H2/H3,监听网关和网络设备之间通过不同的接口X1/X2/X3,来传递监听任务、监听对象的信令数据和监听对象的业务数据。例如,H1/X1接口具体用于下发监听任务,H2/X2接口具体用于上报监听对象的信令数据,H3/X3接口具体用于上报监听对象的业务数据。
为便于理解,下面对本申请实施例的具体流程进行描述,请参阅图2A,当监听网关同时下发真实的监听对象和虚假的监听对象的标识时,本申请实施例中合法监听的方法的一个实施例包括:
201、监听网关接收监听中心发送的合法监听请求消息。
监听网关接收监听中心发送的合法监听请求消息,该合法监听请求消息中携带真实的监听对象的标识,该真实的监听对象的标识用于网络设备确定真实的监听对象。
需要说明的是,真实的监听对象为监听中心需要进行监听的用户设备,即该用户设备在进行通信时,用户设备所产生的信令数据和业务数据会被收集并通过监听网关上报至监听中心。
举例说明,监听中心通过H1接口将合法监听请求消息发送至监听网关,在该合法监听请求消息中携带需要进行监听的真实的监听对象的标识。具体的,监听中心可以通过多种方式对真实的监听对象进行标识,例如,可以通过国际移动用户识别码(international mobile subscriber identification number,IMSI)、国际移动设备身份码(international mobile equipment identity,IMEI)和移动台ISDN号码(mobilestation ISDN number,MSISDN)等方式中的任意一种方式对监听对象进行标识,具体此处不做限定。可以理解的是,不管采用何种方式对监听对象进行标识,每一个监听对象的标识都是唯一的。
202、监听网关生成虚假的监听对象的标识。
监听网关生成虚假的监听对象的标识,网络设备可以根据生成的该虚假的监听对象的标识确定虚假的监听对象。
需要说明的是,虚假的监听对象的标识可以由多种方法生成,例如,可以采用随机算法随机选择一定数量的网络内的IMSI号作为虚假的监听对象的标识,或者是采用取模的算法选择余数为规定值的IMEI号作为虚假的监听对象的标识,还可以是选择后缀为规定值的MSISDN号作为虚假的监听对象的标识。
在一种可行的实施方式中,监听网关在接收到合法监听请求消息后,根据该合法监听请求消息中携带的真实的监听对象的标识,可以确定生成虚假的监听对象的标识的方法,即虚假的监听对象的标识类型与真实的监听对象的标识类型相同,如都为国际移动用户识别码。可以理解的是,虚假的监听对象也是移动通信网络内真实存在的用户设备,只是不是国家安全机构需要监听的用户设备。
203、监听网关向网络设备发送激活合法监听请求消息。
监听网关向网络设备发送激活合法监听请求消息,该激活合法监听请求消息中携带真实的监听对象的标识和虚假的监听对象的信息,该真实的监听对象的标识和虚假的监听对象的信息用于网络设备确定监听对象。
所述虚假的监听对象的信息在本实施例中为虚假的监听对象的标识。
举例说明,激活合法监听请求消息是监听网关在收到合法监听请求消息的基础上发送的。具体的,监听网关将真实的监听对象的标识和虚假的监听对象的标识封装在激活合法监听请求消息中,通过X1接口将该激活合法监听请求消息发送给网络设备。
需要说明的是,真实的监听对象的标识和虚假的监听对象的标识可能通过不同的信元携带在激活合法监听请求消息中,使得网络设备能够区分哪些是真实的监听对象,哪些是虚假的监听对象。或者,真实的监听对象的标识和虚假的监听对象的标识在相同的信元中传递给网络设备,网络设备并不感知监听对象为真实的,还是虚假的。
204、网络设备向监听网关发送激活合法监听响应消息。
网络设备在接收到激活合法监听请求消息后,生成相应的激活合法监听响应消息,并将该激活合法监听响应消息发送至监听网关。
205、监听网关向监听中心发送合法监听响应消息。
监听网关接收到网络设备发送的激活合法监听响应消息后,监听网关确定监听中心下发的监听任务由网络设备执行,监听网关再向监听中心发送合法监听响应消息,该合法监听响应消息用于响应监听中心发送的合法监听请求消息。
206、网络设备根据监听对象的标识确定监听对象。
网络设备根据真实的监听对象的标识和虚假的监听对象的标识确定监听对象。
需要说明的是,所述监听对象包含真实的监听对象和虚假的监听对象。如果真实的监听对象的标识和虚假的监听对象的标识通过不同的信元携带在激活合法监听请求消息中时,网络设备能够区分哪些是真实的监听对象,哪些是虚假的监听对象。如果真实的监听对象的标识和虚假的监听对象的标识在相同的信元中传递给网络设备,网络设备不能区分哪些是真实的监听对象,哪些是虚假的监听对象。
需要说明的是,步骤204与步骤206之间没有必然的先后顺序,步骤204可以在步骤206之前,步骤204也可以在步骤206之后,步骤204还可以与步骤206同时执行,可以根据实际情况进行设置,具体此处不做限定。
207、网络设备对监听对象进行监听并获取监听信息。
网络设备对真实的监听对象和虚假的监听对象进行监听,并采集真实的监听对象和虚假的监听对象的信令数据和业务数据,即获取监听对象的监听信息。
需要说明的是,网络设备还可以接收到监听网关发送的停止合法监听请求消息,并根据该停止合法监听请求消息结束合法监听过程。
208、网络设备将获取到的监听信息发送至监听网关。
网络设备将获取到的监听信息发送至监听网关。
需要说明的是,网络设备可以实时地将获取到的监听信息发送至监听网关,还可以按照预置的间隔时长将监听信息发送至监听网关,可以根据实际情况进行相应的设置,具体此处不做限定。
209、监听网关接收网络设备发送的监听信息,并将监听信息发送至监听中心。
本申请实施例中,通过监听网关生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
在图2A所示的方法步骤的基础上,请参阅图2B,本申请实施例中合法监听的方法的另一个实施例包括:
S1、监听网关接收监听中心发送的合法监听请求消息。
监听网关接收监听中心发送的合法监听请求消息,该合法监听请求消息中携带真实的监听对象的标识,该真实的监听对象的标识用于网络设备确定真实的监听对象。
需要说明的是,真实的监听对象为监听中心需要进行监听的用户设备,即该用户设备在进行通信时,用户设备所产生的信令数据和业务数据会被收集并通过监听网关上报至监听中心。
举例说明,监听中心通过H1接口将合法监听请求消息发送至监听网关,在该合法监听请求消息中携带需要进行监听的真实的监听对象的标识。具体的,监听中心可以通过多种方式对真实的监听对象进行标识,例如,可以通过国际移动用户识别码(international mobile subscriber identification number,IMSI)、国际移动设备身份码(international mobile equipment identity,IMEI)和移动台ISDN号码(mobilestation ISDN number,MSISDN)等方式中的任意一种方式对监听对象进行标识,具体此处不做限定。可以理解的是,不管采用何种方式对监听对象进行标识,每一个监听对象的标识都是唯一的。
S2、监听网关生成虚假的监听对象的标识。
监听网关生成虚假的监听对象的标识,网络设备可以根据生成的该虚假的监听对象的标识确定虚假的监听对象。
需要说明的是,虚假的监听对象的标识可以由多种方法生成,例如,可以采用随机算法随机选择一定数量的网络内的IMSI号作为虚假的监听对象的标识,或者是采用取模的算法选择余数为规定值的IMEI号作为虚假的监听对象的标识,还可以是选择后缀为规定值的MSISDN号作为虚假的监听对象的标识。
在一种可行的实施方式中,监听网关在接收到合法监听请求消息后,根据该合法监听请求消息中携带的真实的监听对象的标识,可以确定生成虚假的监听对象的标识的方法,即虚假的监听对象的标识类型与真实的监听对象的标识类型相同,如都为国际移动用户识别码。可以理解的是,虚假的监听对象也是移动通信网络内真实存在的用户设备,只是不是国家安全机构需要监听的用户设备。
S3、监听网关向网络设备发送激活合法监听请求消息。
监听网关向网络设备发送激活合法监听请求消息,该激活合法监听请求消息中携带真实的监听对象的标识和虚假的监听对象的信息,该真实的监听对象的标识和虚假的监听对象的信息用于网络设备确定监听对象。
所述虚假的监听对象的信息在本实施例中为虚假的监听对象的标识。
举例说明,激活合法监听请求消息是监听网关在收到合法监听请求消息的基础上发送的。具体的,监听网关将真实的监听对象的标识和虚假的监听对象的标识封装在激活合法监听请求消息中,通过X1接口将该激活合法监听请求消息发送给网络设备。
需要说明的是,真实的监听对象的标识和虚假的监听对象的标识可能通过不同的信元携带在激活合法监听请求消息中,使得网络设备能够区分哪些是真实的监听对象,哪些是虚假的监听对象。或者,真实的监听对象的标识和虚假的监听对象的标识在相同的信元中传递给网络设备,网络设备并不感知监听对象为真实的,还是虚假的。
S4、网络设备向监听网关发送激活合法监听响应消息。
网络设备在接收到激活合法监听请求消息后,生成相应的激活合法监听响应消息,并将该激活合法监听响应消息发送至监听网关。
S5、监听网关向监听中心发送合法监听响应消息。
监听网关接收到网络设备发送的激活合法监听响应消息后,监听网关确定监听中心下发的监听任务由网络设备执行,监听网关再向监听中心发送合法监听响应消息,该合法监听响应消息用于响应监听中心发送的合法监听请求消息。
S6、网络设备根据监听对象的标识确定监听对象。
网络设备根据真实的监听对象的标识和虚假的监听对象的标识确定监听对象。
需要说明的是,所述监听对象包含真实的监听对象和虚假的监听对象。如果真实的监听对象的标识和虚假的监听对象的标识通过不同的信元携带在激活合法监听请求消息中时,网络设备能够区分哪些是真实的监听对象,哪些是虚假的监听对象。如果真实的监听对象的标识和虚假的监听对象的标识在相同的信元中传递给网络设备,网络设备不能区分哪些是真实的监听对象,哪些是虚假的监听对象。
需要说明的是,步骤S4与步骤S6之间没有必然的先后顺序,步骤S4可以在步骤S6之前,步骤S4也可以在步骤S6之后,步骤S4还可以与步骤S6同时执行,可以根据实际情况进行设置,具体此处不做限定。
S7、网络设备对监听对象进行监听并获取监听信息。
网络设备对真实的监听对象和虚假的监听对象进行监听,并采集真实的监听对象和虚假的监听对象的信令数据和业务数据,即获取监听对象的监听信息。
需要说明的是,网络设备还可以接收到监听网关发送的停止合法监听请求消息,并根据该停止合法监听请求消息结束合法监听过程。
S8、网络设备将获取到的监听信息发送至监听网关。
网络设备将获取到的监听信息发送至监听网关。
需要说明的是,网络设备可以实时地将获取到的监听信息发送至监听网关,还可以按照预置的间隔时长将监听信息发送至监听网关,可以根据实际情况进行相应的设置,具体此处不做限定。
S9、监听网关接收网络设备发送的监听信息,并将真实的监听对象的监听信息发送至监听中心。
监听网关接收到网络设备发送的真实的监听对象和虚假的监听对象的监听信息后,将虚假的监听对象的监听信息过滤,只发送真实的监听对象的监听信息给监听中心。
本申请实施例中,通过监听网关生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息上报给监听网关,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。监听网关过滤虚假的监听对象的监听信息,将真实的监听对象的监听信息发送给监听中心,避免影响监听中心的实现,本实施例中可以认为监听网关和监听中心之间是安全的,如监听网关和监听中心一起部署在国家安全机构。
在图2A所示的方法步骤的基础上,请参阅图2C,本申请实施例中合法监听的方法的另一个实施例包括:
步骤一、监听中心生成虚假的监听对象的标识。
监听中心生成虚假的监听对象的标识,网络设备可以根据生成的该虚假的监听对象的标识确定虚假的监听对象。
需要说明的是,虚假的监听对象的标识可以由多种方法生成,例如,可以采用随机算法随机选择一定数量的网络内的IMSI号作为虚假的监听对象的标识,或者是采用取模的算法选择余数为规定值的IMEI号作为虚假的监听对象的标识,还可以是选择后缀为规定值的MSISDN号作为虚假的监听对象的标识。
在一种可行的实施方式中,监听中心根据真实的监听对象的标识,可以确定生成虚假的监听对象的标识的方法,即虚假的监听对象的标识类型与真实的监听对象的标识类型相同,如都为国际移动用户识别码。可以理解的是,虚假的监听对象也是移动通信网络内真实存在的用户设备,只是不是国家安全机构需要监听的用户设备。
步骤二、监听中心向监听网关发送合法监听请求消息。
监听中心向监听网关发送合法监听请求消息,该合法监听请求消息中携带真实的监听对象的标识和虚假的监听对象的标识,该真实的监听对象的标识和虚假的监听对象的标识用于网络设备确定监听对象。
具体的,监听中心将真实的监听对象的标识和虚假的监听对象的标识封装在合法监听请求消息中,通过H1接口将该合法监听请求消息发送给监听中心。
需要说明的是,监听网关能够区分哪些是真实的监听对象,哪些是虚假的监听对象。例如,真实的监听对象的标识和虚假的监听对象的标识可能通过不同的信元携带在合法监听请求消息中。或者,监听网关并不感知监听对象为真实的,还是虚假的。例如,真实的监听对象的标识和虚假的监听对象的标识在相同的信元中传递给监听网关。
步骤三、监听网关向网络设备发送激活合法监听请求消息。
监听网关向网络设备发送激活合法监听请求消息,该激活合法监听请求消息中携带真实的监听对象的标识和虚假的监听对象的标识,该真实的监听对象的标识和虚假的监听对象的标识用于网络设备确定监听对象。
举例说明,激活合法监听请求消息是监听网关在收到合法监听请求消息的基础上发送的。具体的,监听网关将收到的监听中心发送的监听对象的标识,通过包含在X1接口的激活合法监听请求消息中转发给网络设备。
需要说明的是,网络设备能够区分哪些是真实的监听对象,哪些是虚假的监听对象。例如,真实的监听对象的标识和虚假的监听对象的标识可能通过不同的信元携带在激活合法监听请求消息中。或者,网络设备并不感知监听对象为真实的,还是虚假的。例如,真实的监听对象的标识和虚假的监听对象的标识在相同的信元中传递给网络设备。对于监听网关不感知监听对象为真实的,还是虚假的情况下,网络设备也不能感知监听对象为真实的,还是虚假的。
步骤四、网络设备向监听网关发送激活合法监听响应消息。
网络设备在接收到激活合法监听请求消息后,生成相应的激活合法监听响应消息,并将该激活合法监听响应消息发送至监听网关。
步骤五、监听网关向监听中心发送合法监听响应消息。
监听网关接收到网络设备发送的激活合法监听响应消息后,监听网关确定监听中心下发的监听任务由网络设备执行,监听网关再向监听中心发送合法监听响应消息,该合法监听响应消息用于响应监听中心发送的合法监听请求消息。
步骤六、网络设备根据监听对象的标识确定监听对象。
网络设备根据真实的监听对象的标识和虚假的监听对象的标识确定监听对象。
需要说明的是,所述监听对象包含真实的监听对象和虚假的监听对象。网络设备能够区分哪些是真实的监听对象,哪些是虚假的监听对象。例如,真实的监听对象的标识和虚假的监听对象的标识通过不同的信元携带在激活合法监听请求消息中时。或者,网络设备不能区分哪些是真实的监听对象,哪些是虚假的监听对象。例如,真实的监听对象的标识和虚假的监听对象的标识在相同的信元中传递给网络设备。
需要说明的是,步骤四与步骤六之间没有必然的先后顺序,步骤四可以在步骤六之前,步骤四也可以在步骤六之后,步骤四还可以与步骤六同时执行,可以根据实际情况进行设置,具体此处不做限定。
步骤七、网络设备对监听对象进行监听并获取监听信息。
网络设备对真实的监听对象和虚假的监听对象进行监听,并采集真实的监听对象和虚假的监听对象的信令数据和业务数据,即获取监听对象的监听信息。
需要说明的是,网络设备还可以接收到监听网关发送的停止合法监听请求消息,并根据该停止合法监听请求消息结束合法监听过程。
步骤八、网络设备将获取到的监听信息发送至监听网关。
网络设备将获取到的监听信息发送至监听网关。
需要说明的是,网络设备可以实时地将获取到的监听信息发送至监听网关,还可以按照预置的间隔时长将监听信息发送至监听网关,可以根据实际情况进行相应的设置,具体此处不做限定。
步骤九、监听网关接收网络设备发送的监听信息,并将监听信息发送至监听中心。
本申请实施例中,通过监听中心生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
请参阅图3,当监听网关同时下发真实的监听对象和虚假的监听对象的指示信息时,本申请实施例中合法监听的方法的另一个实施例包括:
301、监听网关接收监听中心发送的合法监听请求消息。
监听网关接收监听中心发送的合法监听请求消息,该合法监听请求消息中携带真实的监听对象的标识,该真实的监听对象的标识用于网络设备确定真实的监听对象。
需要说明的是,真实的监听对象为监听中心需要进行监听的用户设备,即该用户设备在进行通信时,用户设备所产生的信令数据和业务数据会被收集并通过监听网关上报至监听中心。
举例说明,监听中心通过H1接口将合法监听请求消息发送至监听网关,在该合法监听请求消息中携带需要进行监听的真实的监听对象的标识。具体的,监听中心可以通过多种方式对真实的监听对象进行标识,例如,可以通过国际移动用户识别码(international mobile subscriber identification number,IMSI)、国际移动设备身份码(international mobile equipment identity,IMEI)和移动台ISDN号码(mobilestation ISDN number,MSISDN)等方式中的任一一种方式对监听对象进行标识,具体此处不做限定。可以理解的是,不管采用何种方式对监听对象进行标识,每一个监听对象的标识信息都是唯一的。
302、监听网关向网络设备发送激活合法监听请求消息。
监听网关向网络设备发送激活合法监听请求消息,该激活合法监听请求消息中携带真实的监听对象的标识和虚假的监听对象的信息,该真实的监听对象的标识和虚假的监听对象的信息用于网络设备确定监听对象。
所述虚假的监听对象的信息在本实施例中为虚假的监听对象的指示信息。
举例说明,激活合法监听请求消息是监听网关在收到合法监听请求消息的基础上发送的。具体的,监听网关将真实的监听对象的标识和虚假的监听对象的指示信息封装在激活合法监听请求消息中,通过X1接口将该激活合法监听请求消息发送给网络设备。
303、网络设备向监听网关发送激活合法监听响应消息。
网络设备在接收到激活合法监听请求消息后,生成相应的激活合法监听响应消息,并将该激活合法监听响应消息发送至监听网关。
304、监听网关向监听中心发送合法监听响应消息。
监听网关接收到网络设备发送的激活合法监听响应消息后,监听网关确定监听中心下发的监听任务由网络设备执行,监听网关再向监听中心发送合法监听响应消息,该合法监听响应消息用于响应监听中心发送的合法监听请求消息。
305、网络设备生成虚假的监听对象的标识。
网络设备根据所述虚假的监听对象的指示信息生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
需要说明的是,虚假的监听对象的标识可以由多种方法生成,例如,可以采用随机算法随机选择一定数量的网络内的IMSI号作为虚假的监听对象的标识,或者是采用取模的算法选择余数为规定值的IMEI号作为虚假的监听对象的标识,还可以是选择后缀为规定值的MSISDN号作为虚假的监听对象的标识。
在一种可行的实施方式中,网络设备在接收到激活合法监听请求消息后,根据该激活合法监听请求消息中携带的真实的监听对象的标识,可以确定生成虚假的监听对象的标识的方法,即虚假的监听对象的标识类型与真实的监听对象的标识类型相同,如都为国际移动用户识别码。可以理解的是,虚假的监听对象也是移动通信网络内真实存在的用户设备,只是不是国家安全机构需要监听的用户设备。
需要说明的是,步骤303与步骤305之间没有必然的先后顺序,步骤303可以在步骤305之前,步骤303也可以在步骤305之后,步骤303还可以与步骤305同时执行,可以根据实际情况进行设置,具体此处不做限定。
306、网络设备根据监听对象的标识确定监听对象。
网络设备根据真实的监听对象的标识和虚假的监听对象的标识确定监听对象。
需要说明的是,所述监听对象包含真实的监听对象和虚假的监听对象。
307、网络设备对监听对象进行监听并获取监听信息。
网络设备对真实的监听对象和虚假的监听对象进行监听,并采集真实的监听对象和虚假的监听对象的信令数据和业务数据,即获取监听对象的监听信息。
需要说明的是,网络设备还可以接收到监听网关发送的停止合法监听请求消息,并根据该停止合法监听请求消息结束合法监听过程。
308、网络设备将获取到的监听信息发送至监听网关。
网络设备将获取到的监听信息发送至监听网关。
需要说明的是,网络设备可以实时地将获取到的监听信息发送至监听网关,还可以按照预置的间隔时长将监听信息发送至监听网关,可以根据实际情况进行相应的设置,具体此处不做限定。
309、监听网关接收网络设备发送的监听信息,并将监听信息发送至监听中心。
本申请实施例中,通过网络设备根据监听网关的虚假的监听对象的指示信息生成虚假的监听对象,并对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
上面对本申请实施例中合法监听的方法进行了描述,下面对本申请实施例中合法监听的设备进行描述,请参阅图4,本申请实施例中监听网关的一个实施例包括:
第一接收单元401,用于接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识,所述真实的监听对象的标识用于网络设备确定真实的监听对象;
第一发送单元402,用于向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和虚假的监听对象的信息,所述虚假的监听对象的信息用于所述网络设备确定虚假的监听对象;
处理单元403,用于接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。
本申请实施例中,通过生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
请参阅图5,本申请实施例中监听网关的另一个实施例包括:
第一接收单元501,用于接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识,所述真实的监听对象的标识用于网络设备确定真实的监听对象;
第一发送单元502,用于向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和虚假的监听对象的信息,所述虚假的监听对象的信息用于所述网络设备确定虚假的监听对象;
处理单元503,用于接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。
可选的,监听网关可进一步包括:
第二接收单元504,用于接收所述网络设备发送的激活合法监听响应消息;
第二发送单元505,用于向所述监听中心发送合法监听响应消息。
可选的,监听网关可进一步包括:
生成单元506,用于生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
本申请实施例中,通过生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
请参阅图6,本申请实施例中网络设备的一个实施例包括:
接收单元601,用于接收监听网关发送的激活合法监听请求消息,所述激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的信息;
确定单元602,用于根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象,所述监听对象包含真实的监听对象和虚假的监听对象;
监听单元603,用于对所述真实的监听对象和所述虚假的监听对象进行监听并获取监听信息;
第一发送单元604,用于将获取到的所述监听信息发送至所述监听网关。
本申请实施例中,通过生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
请参阅图7,本申请实施例中网络设备的另一个实施例包括:
接收单元701,用于接收监听网关发送的激活合法监听请求消息,所述激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的信息;
确定单元702,用于根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象,所述监听对象包含真实的监听对象和虚假的监听对象;
监听单元703,用于对所述真实的监听对象和所述虚假的监听对象进行监听并获取监听信息;
第一发送单元704,用于将获取到的所述监听信息发送至所述监听网关。
可选的,监听网关可进一步包括:
第二发送单元705,用于向所述监听网关发送激活合法监听响应消息。
可选的,监听网关可进一步包括:
生成单元706,用于根据所述虚假的监听对象的指示信息生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
本申请实施例中,通过网络设备生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
请参阅图8,本申请实施例中监听网关的另一个实施例包括:
接收单元801,用于接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;
发送单元802,用于向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和所述虚假的监听对象的标识;
处理单元803,用于接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。
本申请实施例中,通过监听中心生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
请参阅图9,本申请实施例中监听中心的一个实施例包括:
生成单元901,用于生成虚假的监听对象的标识;
发送单元902,用于向监听网关发送合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;
接收单元903,用于接收所述监听网关发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息。
本申请实施例中,通过监听中心生成虚假的监听对象,由网络设备对真实的监听对象和虚假的监听对象都启动监听,并将这些监听对象的监听信息通过监听网关上报给监听中心,使得虚假的监听对象的监听信息和真实的监听对象的监听信息混淆,给非法攻击者带来干扰,增加其锁定真实的监听对象的难度,提高了合法监听的安全性。
上面图4至图9从模块化功能实体的角度分别对本申请实施例中合法监听的设备中的监听中心、监听网关和网络设备进行详细描述,下面从硬件处理的角度对本申请实施例中的监听中心、监听网关和网络设备进行详细描述。
图10是本申请实施例提供的监听网关的一种结构示意图,参考图10。在采用集成的单元的情况下,图10示出了上述实施例中所涉及的监听网关的一种可能的结构示意图。监听网关1000包括:处理单元1002和通信单元1003。处理单元1002用于对设备的动作进行控制管理,例如,处理单元1002用于支持监听中心执行图2A中的步骤202,和/或用于本文所描述的技术的其它过程。通信单元1003用于支持监听网关与其他设备的通信,例如,通信单元1003用于支持监听网关执行图2A中的步骤201、步骤203至步骤204、步骤208和步骤209。监听网关还可以包括存储单元1001,用于存储设备的程序代码和数据。
其中,处理单元1002可以是处理器或控制器,例如可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元803可以是通信接口、收发器、收发电路等,其中,通信接口是统称,可以包括一个或多个接口,例如收发接口。存储单元801可以是存储器。
图11是本申请实施例提供的监听中心的一种结构示意图,参阅图11所示,该监听中心1110包括:处理器1112、通信接口1113、存储器1111。可选的,监听中心1110还可以包括总线1114。其中,通信接口1113、处理器1112以及存储器1111可以通过总线1114相互连接;总线1114可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线1114可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
请参阅图12。图12是本申请实施例提供的一种网络设备的结构示意图,该网络设备1200可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)1201(例如,一个或一个以上处理器)和存储器1209,一个或一个以上存储应用程序1207或数据1206的存储介质1208(例如一个或一个以上海量存储设备)。其中,存储器1209和存储介质1208可以是短暂存储或持久存储。存储在存储介质1208的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对网络设备中的一系列指令操作。更进一步地,处理器1201可以设置为与存储介质1208通信,在网络设备1200上执行存储介质1208中的一系列指令操作。
网络设备1200还可以包括一个或一个以上电源1202,一个或一个以上有线或无线网络接口1203,一个或一个以上输入输出接口1204,和/或,一个或一个以上操作系统1205,例如Windows Server,Mac OS X,Unix,Linux,FreeBSD等等。
上述实施例中网络设备所执行的步骤可以基于该图12所示的网络设备结构。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程设备。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (20)

1.一种合法监听的方法,其特征在于,包括:
监听网关接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识,所述真实的监听对象的标识用于网络设备确定真实的监听对象;
所述监听网关向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和虚假的监听对象的信息,所述虚假的监听对象的信息用于所述网络设备确定虚假的监听对象;
所述监听网关接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。
2.根据权利要求1所述的方法,其特征在于,所述虚假的监听对象的信息为虚假的监听对象的指示信息,所述虚假的监听对象的指示信息用于指示所述网络设备生成虚假的监听对象的标识,并根据所述虚假的监听对象的标识确定虚假的监听对象。
3.根据权利要求1所述的方法,其特征在于,所述虚假的监听对象的信息为虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
4.根据权利要求3所述的方法,其特征在于,所述监听网关接收监听中心发送的合法监听请求消息之后,所述监听网关向网络设备发送激活合法监听请求消息之前,所述方法还包括:
所述监听网关生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
5.一种合法监听的方法,其特征在于,包括:
网络设备接收监听网关发送的激活合法监听请求消息,所述激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的信息;
所述网络设备根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象,所述监听对象包含真实的监听对象和虚假的监听对象;
所述网络设备对所述真实的监听对象和所述虚假的监听对象进行监听并获取监听信息;
所述网络设备将获取到的所述监听信息发送至所述监听网关。
6.根据权利要求5所述的方法,其特征在于,所述虚假的监听对象的信息为虚假的监听对象的指示信息,所述虚假的监听对象的指示信息用于指示所述网络设备生成虚假的监听对象的标识,并根据所述虚假的监听对象的标识确定虚假的监听对象。
7.根据权利要求6所述的方法,其特征在于,所述网络设备接收监听网关发送的激活合法监听请求消息之后,所述网络设备根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象之前,所述方法还包括:
所述网络设备根据所述虚假的监听对象的指示信息生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
8.根据权利要求5所述的方法,其特征在于,所述虚假的监听对象的信息为虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
9.一种合法监听的方法,其特征在于,包括:
监听中心生成虚假的监听对象的标识;
所述监听中心向监听网关发送合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;
所述监听中心接收所述监听网关发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息。
10.一种合法监听的方法,其特征在于,包括:
监听网关接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;
所述监听网关向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和所述虚假的监听对象的标识;
所述监听网关接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。
11.一种监听网关,其特征在于,包括:
第一接收单元,用于接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识,所述真实的监听对象的标识用于网络设备确定真实的监听对象;
第一发送单元,用于向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和虚假的监听对象的信息,所述虚假的监听对象的信息用于所述网络设备确定虚假的监听对象;
处理单元,用于接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。
12.根据权利要求11所述的监听网关,其特征在于,所述虚假的监听对象的信息为虚假的监听对象的指示信息,所述虚假的监听对象的指示信息用于指示所述网络设备生成虚假的监听对象的标识,并根据所述虚假的监听对象的标识确定虚假的监听对象。
13.根据权利要求11所述的监听网关,其特征在于,所述虚假的监听对象的信息为虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
14.根据权利要求13所述的监听网关,其特征在于,所述监听网关接收监听中心发送的合法监听请求消息之后,所述监听网关向网络设备发送激活合法监听请求消息之前,所述监听网关还包括:
生成单元,用于生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
15.一种网络设备,其特征在于,包括:
接收单元,用于接收监听网关发送的激活合法监听请求消息,所述激活合法监听请求消息中包含真实的监听对象的标识和虚假的监听对象的信息;
确定单元,用于根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象,所述监听对象包含真实的监听对象和虚假的监听对象;
监听单元,用于对所述真实的监听对象和所述虚假的监听对象进行监听并获取监听信息;
第一发送单元,用于将获取到的所述监听信息发送至所述监听网关。
16.根据权利要求15所述的网络设备,其特征在于,所述虚假的监听对象的信息为虚假的监听对象的指示信息,所述虚假的监听对象的指示信息用于指示所述网络设备生成虚假的监听对象的标识,并根据所述虚假的监听对象的标识确定虚假的监听对象。
17.根据权利要求16所述的网络设备,其特征在于,所述网络设备接收监听网关发送的激活合法监听请求消息之后,所述网络设备根据所述真实的监听对象的标识和所述虚假的监听对象的信息确定监听对象之前,所述网络设备还包括:
生成单元,用于根据所述虚假的监听对象的指示信息生成虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
18.根据权利要求15所述的网络设备,其特征在于,所述虚假的监听对象的信息为虚假的监听对象的标识,所述虚假的监听对象的标识用于所述网络设备确定虚假的监听对象。
19.一种监听中心,其特征在于,包括:
生成单元,用于生成虚假的监听对象的标识;
发送单元,用于向监听网关发送合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;
接收单元,用于接收所述监听网关发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息。
20.一种监听网关,其特征在于,包括:
接收单元,用于接收监听中心发送的合法监听请求消息,所述合法监听请求消息包含真实的监听对象的标识和虚假的监听对象的标识,所述真实的监听对象的标识和所述虚假的监听对象的标识用于网络设备确定监听对象;
发送单元,用于向网络设备发送激活合法监听请求消息,所述激活合法监听请求消息中包含所述真实的监听对象的标识和所述虚假的监听对象的标识;
处理单元,用于接收所述网络设备发送的监听信息,所述监听信息包含所述真实的监听对象的监听信息和所述虚假的监听对象的监听信息,并将所述监听信息发送至所述监听中心。
CN201710871458.8A 2017-07-13 2017-09-22 一种合法监听的方法及相关设备 Active CN109257330B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201710574720 2017-07-13
CN2017105747202 2017-07-13

Publications (2)

Publication Number Publication Date
CN109257330A true CN109257330A (zh) 2019-01-22
CN109257330B CN109257330B (zh) 2020-12-08

Family

ID=65051482

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710871458.8A Active CN109257330B (zh) 2017-07-13 2017-09-22 一种合法监听的方法及相关设备

Country Status (1)

Country Link
CN (1) CN109257330B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111093247A (zh) * 2019-11-22 2020-05-01 上海五零盛同信息科技有限公司 适用于窄带物联网终端设备的离散入网方法、系统、介质及设备
CN111490962A (zh) * 2019-01-25 2020-08-04 华为技术有限公司 一种监听方法和网络设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020049913A1 (en) * 1999-03-12 2002-04-25 Martti Lumme Interception system and method
CN101035036A (zh) * 2007-04-19 2007-09-12 中兴通讯股份有限公司 合法监听系统和方法
CN101110715A (zh) * 2006-07-18 2008-01-23 华为技术有限公司 一种传递合法监听信息的方法
US20120167165A1 (en) * 2010-12-23 2012-06-28 Electronics And Telecommunications Research Institute Lawful interception target apparatus, lawful interception apparatus, lawful interception system and lawful interception method
CN102647311A (zh) * 2012-04-28 2012-08-22 中兴通讯股份有限公司南京分公司 通信监听的指示、实现方法及装置
CN103546442A (zh) * 2012-07-17 2014-01-29 中兴通讯股份有限公司 浏览器的通讯监听方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020049913A1 (en) * 1999-03-12 2002-04-25 Martti Lumme Interception system and method
CN101110715A (zh) * 2006-07-18 2008-01-23 华为技术有限公司 一种传递合法监听信息的方法
CN101035036A (zh) * 2007-04-19 2007-09-12 中兴通讯股份有限公司 合法监听系统和方法
US20120167165A1 (en) * 2010-12-23 2012-06-28 Electronics And Telecommunications Research Institute Lawful interception target apparatus, lawful interception apparatus, lawful interception system and lawful interception method
CN102647311A (zh) * 2012-04-28 2012-08-22 中兴通讯股份有限公司南京分公司 通信监听的指示、实现方法及装置
CN103546442A (zh) * 2012-07-17 2014-01-29 中兴通讯股份有限公司 浏览器的通讯监听方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111490962A (zh) * 2019-01-25 2020-08-04 华为技术有限公司 一种监听方法和网络设备
CN111093247A (zh) * 2019-11-22 2020-05-01 上海五零盛同信息科技有限公司 适用于窄带物联网终端设备的离散入网方法、系统、介质及设备

Also Published As

Publication number Publication date
CN109257330B (zh) 2020-12-08

Similar Documents

Publication Publication Date Title
CN107251514B (zh) 用于虚拟化网络的可扩缩安全架构的技术
WO2019237813A1 (zh) 一种服务资源的调度方法及装置
CN110224990A (zh) 一种基于软件定义安全架构的入侵检测系统
US9660833B2 (en) Application identification in records of network flows
CN107347047B (zh) 攻击防护方法和装置
Mamolar et al. Towards the transversal detection of DDoS network attacks in 5G multi-tenant overlay networks
Fan et al. A novel SDN based stealthy TCP connection handover mechanism for hybrid honeypot systems
EP3404949A1 (en) Detection of persistency of a network node
WO2016191452A1 (en) Network function virtualization requirements to service a long term evolution (lte) network
CN108605264B (zh) 用于网络管理的方法和设备
CN106254338B (zh) 报文检测方法以及装置
Hijazi et al. A new detection and prevention system for ARP attacks using static entry
Kumar et al. HyINT: signature-anomaly intrusion detection system
EP2974355A2 (en) A device, a system and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network
CN108400953A (zh) 控制终端上网及终端上网的方法,路由器设备及终端
CN109257330A (zh) 一种合法监听的方法及相关设备
Agyemang et al. Lightweight rogue access point detection algorithm for WiFi-enabled Internet of Things (IoT) devices
Unal et al. Towards prediction of security attacks on software defined networks: A big data analytic approach
Selvarathinam et al. Evil twin attack detection using discrete event systems in IEEE 802.11 wi-fi networks
US20150229659A1 (en) Passive detection of malicious network-mapping software in computer networks
CN106470193A (zh) 一种DNS递归服务器抗DoS、DDoS攻击的方法及装置
Liang et al. Collaborative intrusion detection as a service in cloud computing environment
CN113037779B (zh) 一种积极防御系统中的智能自学习白名单方法和系统
CN109040137A (zh) 用于检测中间人攻击的方法、装置以及电子设备
WO2020057156A1 (zh) 一种安全管理方法和安全管理装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant