IP網絡中的合法監聽技術

摘 要:介紹了IP網絡中合法監聽的相關知識，對比了網路數據流監聽的2種方案:簡單監聽和DECON監聽，分析了2種方案的優缺點，提出了一種更優的監聽方案，此方案將監聽點和數據流轉化為二分圖的2個集合，多次采用匈牙利算法完成監聽點和數據流的匹配。此方案不僅使所用的數據流得到監聽，而且使得數據流平均的分配到監聽點上，有效解決了前2種方案中某個別監聽點負載過重和引起的網絡擁塞問題。關鍵詞:合法監聽; 簡單監聽; DECON監聽; 匈牙利算法

中圖分類號:TN915.05-34文獻標識碼:A

文章編號:1004-373X(2010)22-0148-04

Lawful Interception in IP Network

JIA Chun-feng1， L Ji-gen2

(1.School of Electronic and Information Engineering network Lab， Beijing Jiaotong University，Beijing 100044，China;

2. All-optical Networks and Modern Communication Network Lab， Beijing Jiaotong University，Beijing 100044，China)

Abstract: The knowledges of Lawful Interception in IP network is described. Two programs of data stream monitoring in network are introduced (the simple monitoring and Decentralized Coordination monitoring)， both advantages and disadvantages of the two programs are analyzed， and an optimized monitoring program is presented. Monitor points and data flow are made into two sets of bipartite graphs in this program， and the Hungarian algorithm is used to complete monitoring points and data flow matching. By this， not only all data flow can be monitored but also the data stream is distributed equally to monitor the point， the overloaded of monitoring point and the network congestion problems are solved effectively.

Keywords: lawful interception; simple monitoring; DECON monitoring; Hungarian algorithm

0 引 言

在信息社會中，網絡成為人們獲取和傳遞所需要的信息的重要媒介。在網路中流動著大量的信息。合法監聽是為了國家安全的需要，根據國家法律明確規定并且經過授權機構的法律授權，由具有合法監聽權的機構在法律授權范圍內對通信內容進行監聽。而面對網絡中大規模的數據信息，如何制定監聽方案，實現高效的監聽顯得愈發重要。本文對合法監聽做了簡單敘述，分析了2種現有的監聽方案，最終提出一種新穎的監聽方案。

1 合法監聽

1.1 概念

合法監聽(lawful interception，LI)是在國家法律授權許可的前提下，電信服務供應商(telecommunications service provider，TSP)依法協助(lawful enforcement agent，LEA)截獲受控的公眾電信網(public telecom network，PTN)中用戶的通信內容以及呼叫識別信息(call-identifying information，CII)，并將監聽結果傳送給LEA的過程[1]。

LI體系的基本單元包括[2]:內部監聽功能(internal intercepting function，IIF)，設置在網絡節點內部中介功能(mediation function，MF)，相當于公眾通信網(PTN)與LEA網絡之間的網關管理功能(administration function，ADMF)，對PTN中的監聽命令進行管理;執法監聽設備(law enforcement monitoring facility，LEMF);PTN內部接口(internal network interface，INI);轉接接口(handover interface，HI)，包括ADMF與LEMF之間的HI1以及MF與LEMF之間的HI2 ，HI3，其中HI2傳送監聽相關信息(intercept related information，IRI)，HI3傳送通信內容(contents of communication，CC) [3]。

1.2 基本流程

實施監聽工作的基本流程如圖1所示[4]。

圖1 合法監聽基本流程

圖中1為執法機構向授權機關提出申請，要求對某網絡用戶進行監聽;2為如果申請合法，授權機關向執法機構頒發授權證書;3為執法機構向網絡商(網絡運營商/絡接入商/服務提供商)出示授權證書;4為網絡商根據證書中的授權內容，為執法機構提供監聽接口，確定監聽對象;5為網絡商告知執法機構己經收到授權證書;6為監聽相關信息(interception related information，IRI)從監聽目標傳到網絡商;7為監聽相關信息從網絡商傳到執法機構的合法監聽設備(Law Enforcement Monitoring Facility，LEMF);8為監聽授權到期后，網絡商停止監聽活動;9為網絡商告知執法機關監聽停止。

1.3 IP網絡實現合法監聽的重要性

在固網、無線等語音網絡上，合法監聽功能有個明確的規范和長時間的實施經驗，而IP網絡的合法監聽相對來說更加復雜和不成熟。隨著Internet網絡應用的更加廣泛，IP網絡成為人們傳遞公共和私人網絡的重要渠道。因此IP網絡上的合法監聽研究也有了十分重要的意義，對于IP網絡而言，監聽點的設置以及監聽目標標識符的確定有著很大的關系。

2 IP網絡中監聽點的設置

從IP網絡的數據傳輸模型(見圖2)中可以看出，訪問接入、網關連接、服務提供層都可以提供監聽功能。對于IP網絡監聽點的選擇不同，得到的通信內容不同的傳輸格式[5]。如在服務設備上得到的是應用層的會話，在網絡連接設備上得到的是網絡層的 (IP)數據報，在訪問接入設備上得到的是網絡層的(IP)數據報、數據鏈路層的PDU(協議數據單元)和物理層的PDU。常見的監聽標識有E-mail地址、Web地址、ISP(因特網業務提供商)用戶帳號、IP地址等。根據Internet上的接入方式不同[5]，監聽點選擇的位置也不相同。

撥號上網方式[6]:用戶通過撥號上網到本地交換中心，本地交換中心再同通過撥號連接到ISP，在這種連接模式下，監聽點設定在ISP上，一旦被監聽目標撥號連接到本地交換中心，本地交換中心向ISP發出監聽命令，ISP接收到命令后，對該監聽目標用戶進行監聽。

局域網上網方式如圖3所示。

該方式(見圖3)一般為某機構內部連接為一個局域網，然后通過本地路由設備連接到代理，經過代理連接到Internet。對于這種方式的監聽，必須得到該局域網的公司或者機構的協助完成。一旦局域網內部的監聽目標通過LAN由通信活動產生，LAN就向通知監聽設備與此同時，本地路由器也會向監聽設備發起通知。代理網關或者類似的設備將監聽目標的通信內容復制一份，送到監聽設備。

圖2 IP網絡數據傳輸模型及監聽點監聽到的數據包

圖3 局域網傳輸方式

如圖4所示的永久IP上網方式下，用戶的IP是固定的，因此對其進行監聽時可以將其IP地址作為監聽標識符。監聽位置設置在路由器上，一旦需要對該用戶進行監聽，只要通知路由設備，路由設備將其通信數據送達到監聽設備。

圖4 永久IP傳輸方式

3 大規模數據流監聽的實現

3.1 簡單的監聽方案

這種方案即讓數據流經過的所有監聽點都監聽這個數據流，如圖5所示。

圖5 網絡數據流

圖5中P1，P2…代表不同的監聽點，f1，f2代表不同的數據流。在簡單的監聽方案中，P1，P2，P3三個監聽點都對f1數據流進行監聽。

此方案優點在于能確保每一個要監聽的數據流全部能監聽到。缺點是在大規模的流量下，一個監聽點會監聽很多流，加重監聽點的負載。如圖5中的P2則會監聽3條數據流，P2的負載很重。另外，在監聽的過程中，檢測到我們所需要的數據流后，需要拷貝一份轉發給監聽設備來進行信息分析，這種方案造成在監聽設備中有大量的重復信息，使監聽設備負荷加重，由于有很多的轉發數據，還可能會引起網絡擁塞。

3.2 DECON 方案

鑒于上述方案的缺點，歐洲NEC公司Andrea di Pietro等人提出了DECON(decentralized coordination)方案[7-10]。此方案采用“第一個最適合”的方法(first-fit)，即數據流經過的第一個監聽點為最適合的監聽點。例如在圖5中的P1 為f1數據流的監聽點、P2為f3數據流的監聽點。

此方案優點同樣對所有數據流都可以監聽，沒有遺漏，而且每條數據流只有一條信息，解決了簡單方案中的分析設備中大量重復的數據信息問題及網絡擁塞。但是缺點還是存在，此種方案在一定的程度上減輕了監聽點的負擔，但是并沒有完全的解決。依然存在監聽點負擔問題，例如圖5中，采用DECON 方案，f3，f2數據流都由P2監聽，P2監聽點負載依然很重。

3.3 多次采用匈牙利算法的優化方案

在網絡中，因為源地址和目的地址可以確定一條數據流，所以可以源地址和目的地址來標識數據流。數據流的監聽分配問題便轉化成如何把這些IP對分配到監聽點上進行監聽。可以借鑒圖論中m個工人分配n個任務的模型，采用匈牙利算法找最大匹配的思想[11]，得出了全網中監聽點優化的方案。下面通過例子闡述該思想。

例如，圖6中假設網絡中存在f1，f2，f3，f4，f5，f6六條數據流，六條流中目的IP和源IP為表1中所示。則監聽點和IP對之間對應關系如表2所示(標記信息發送過程中經過的路由器為1，沒有經過的為0)。

圖6 網絡數據流

(1) 以源地址和目的地址的IP對作為集合X中的成員，以監聽點作為Y中的集合，以表中IP對和監聽點之間的關系為邊集合C(表2中:1的位置說明IP和監聽點存在邊的關系)。則X=[ab，ac， ad， bc， bd， cd]}，Y=[P1，P2，P3，P4]。

表1 目的IP與源IP

經過的監聽點源IP地址目的IP地址

f1 P1ac

f2 P4，P3ad

f3P1，P3bd

f4P1，P2，P4ab

f5P1，P3cd

f6P1，P4bc

表2 監聽點與IP對的關系

監聽點

IP對

a-ba-ca-db-cb-dc-d

P1111101

P2100000

P3001011

P4100110

(2) 集合X，Y和C既可以構成二分圖，如圖7所示，根據匈牙利算法，即可找到最大匹配(如圖8中的黑粗線)。即X中的IP對被分配到不同的監聽點中監聽。

經過一次匹配查找后，監聽規則分配結果如表3所示。

圖7 二分圖

圖8 一次匹配查找

(3) 若監聽的X集合中IP對和Y中的監聽點都已經匹配，則算法結束。否則，對將已經匹配的IP對，以及已經匹配的IP對和監聽點的對應關系邊刪除，則產生新的一個二分圖如圖9所示，再次執行(2)，結果如圖10所示的黑粗線。

二次匹配后監聽點分配如表4所示。

算法分析:所有的數據流都監聽到，沒有遺漏。經過多次采用匈牙利算法后，數據流被均勻分配到監聽點中，不會使得某個別監聽點監聽的數據流多，而負載不平衡，解決了上述2種方案的缺點。各個監聽點監聽的數據流不相同，不會造成分析設備信息的重復。

表3 監聽規則分配結果

監聽點數據流分配

P1ac

P2ab

P3ad

P4bd

圖9 產生新的二分圖

圖10 匹配查找后結果

表4 二次匹配后監聽點分配

監聽點數據流分配

P1ac，cd

P2ab

P3ad

P4bd，bc

4 結 語

由于IP網絡的復雜性，對于IP網絡的LI技術標準規范，各大通信組織也已在制定之中，合法監聽在中國還是一個有待發展完善的技術領域，很多方面都處于摸索階段，迫切需要對合法監聽技術實現有一個完善的解決方案，以滿足運營商以及國家安全部門的需求。

本文的創新點在于，在大規模的數據流監聽情況下，提出一個多次使用匈牙利算法的優化方案，有效解決了現有方案中監聽點負載過重和網絡擁塞得問題。

參考文獻

[1]KARPAGAVINAYSAGM Balamurugan， STATE Radu， FESTOR Olivier. Monitoring architecture for lawful interception in VoIP networks[C]//2007 Second International Conference on Internet Monitoring and Protection. San Jose， CA: ICIMP， 2007: 5-6.

[2]ETSI. ES 201 158-V1.2.1telecommunications security， lawful interception(LI)， requirements for network functions[S].[S.l.]: ETSI， 2002.

[3]ETSI. ES 201 671-V2.1.1 telecommunications security， lawful Interception(LI)， handover interface for the lawful interception of telecommunications traffic[S].[S.l.]: ETSI， 2001.

[4]張維.CDMA通信網絡中合法偵聽系統的設計與實現[D].杭州:浙江大學，2007.

[5]楊忠秀.合法監聽系統研究[D].杭州:浙江大學，2004.

[6]陳捷，萬莉莉.通信網絡合法偵聽研究[J].電力系統通信，2008，29(5):48-50.

[7]PIETRO Andrea. DECON: decentralized coordination for large-scale flow monitoring[C]//INFOCOM IEEE Confe-rence on Computer Communications Workshops， 2010.

[8]Cisco Systems. Approaching the zettabyte era[2008-06-16]. http://www.cisco.com/en/US.

[9]SEKAR V， REITER M K， WILLINGER W， et al. CSAMP: a system for network-wide flow monitoring[C]//NSDI′08 Proceedings of the 5th USENIX Sympo-sium on Networked Systems Design and Implementation. Berkeley， CA， USA: USENIX Association， 2008: 233-246.

[10]SERRAL-GRACIA R， BARLET-ROS P，DOMINGO-PASCUAL J. Distributed sampling for on-line SLA assessment[C]//LANMAN 2008 16th IEEE Workshop on Local and Metropolitan Area Networks. Barcelona: Tech.univ. of Catalunya，2008: 55-60.

[11]孟憲福，張曉燕.對等網絡環境下多目標約束的并行任務調度策略研究[J].計算機集成制造系統，2008，14(4):761-766.