一种应用于合法监听系统的策略模型的构造方法

摘要

本发明涉及一种应用于合法监听系统的策略模型构造方法，包括：构造用于生成策略规则的策略条件、策略行为和策略有效时间段，并将策略条件用矢量表示，获得相应的策略评估矢量；确定条件矢量组合方法，将所述策略评估矢量组合起来进行策略评估；指定所述策略规则的策略作用域；基于上述的策略评估矢量、所述条件矢量组合方法、策略行为和策略有效时间段、策略作用域共同构建出通用策略类；从通用策略类为合法监听系统派生出策略子类。本发明首先抽象出一个具有可扩展性的通用策略模型，在构造出通用策略模型之后，通过继承和派生的方法为合法监听系统生成策略子类，提供加密、QoS保障、监听等多种功能控制。

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种应用于合法监听系统的策略模型的构造方法。

背景技术

合法监听即在经国家相应的授权机关批准的前提下，由执法机构向NWO/AP/SvP(网络运营商/接入提供商/服务提供商)发出监听请求命令，由NWO/AP/SvP将公众电信网PTN(Public Telecommunication Network)用户通信内容以及呼叫相关信息进行复制并发送给执法机构的一项信息安全技术。通信服务提供商TSP(Telecommunication Service Provider)向主管部门申请运营牌照时，必须承诺有能力提供该业务，而且国家需要为此向TSP提供适当的经费支持。

在网络安全管理领域，合法监听占有及其重要的作用：首先，它可以增强国家安全的保障，加强对进出口关键话路的监控，满足类似反恐以及其他政治上的需要；其次，各式犯罪行为也越来越频繁地利用电话通信来进行，合法监听可以帮助未来侦察与取证这些犯罪行为；而且合法监听可以对呼叫中心的坐席实行有效监督，提升座席员的工作效率和客户服务质量，同时也提升了运营企业的形象，为企业带来了利润；并且合法监听提供了有效的故障分析数据，方便用户快速定位网络故障。

而一个稳定、健壮的合法监听系统需要有功能强大的策略管理作为支撑，从而可以脱离人工干预，按照预先制定的策略，自动、高效地完成对固定电话网以及IP网络的监听任务。目前，在网络及设备管理中采用策略模型受到了广泛关注。在实际应用方面，目前已有基于策略的网络管理解决方案，一些大型厂商，如思科、北电等都发布了一些支持策略管理的产品，但这些这些策略管理产品大多是基于IETF提出的策略管理框架，且主要是对网络服务质量(QoS)进行管理，对于合法监听系统这种特殊应用缺乏足够的支持。与此同时，国内厂商推出的大部分策略管理设备也是针对服务质量(QoS)的，应用于安全管理的产品并不多，即使这些设备能够支持安全管理，它们能够管理的安全产品种类也比较有限，尤其在合法监听系统这一块，目前尚未有比较完善的策略管理解决方案，并且不能将各个厂商开发的不同功能设备统一在一个合法监听系统的框架之下。

如图1所示，为现有的IETF策略管理框架的示意图。如图所示，策略管理的框架被定义成基于客户端/服务器(Client/Server)的模式，即存在这一个中心策略决定点(Policy Decision Point，PDP)101和多个分布于网络结点上的策略执行点(Policy Enforcement Point，PEP)102。策略库(PR：PolicyRepository)103用来存储策略信息和规则，可以采用数据库(DB：Database)或活动目录(AD：Active Directory)技术来实现。策略编辑器l04是用户用来编辑和生成策略的编辑工具，也可指对策略脚本的直接修改，通过策略编辑器对策略库中储存的策略，根据当前的情况，进行实时的修改或编辑新的策略。策略决定点，作为策略服务器，响应策略事件，并锁定相应的策略规则；完成状态和资源的有效性校验；将存储在策略知识库中的策略规则转换成设备可执行的格式。策略执行点，作为策略系统的客户端，分布在各个网络结点上，负责根据从策略决定点处接收到的策略来执行相应的策略管理操作，并同时将策略执行的结果上报给策略决定点。其中策略的下发方式分为两种，外购方式和供应方式。

但是上述IETF策略管理框架没有规定标准的策略描述语言，这就造成各个网络厂商的设备及各自的实施上所采用的策略表示和存储方式不同，导致策略管理在大规模系统中目前还无法达到实用化，即无法实现不同厂商的设备间的互通，使得策略管理技术的可扩展性不足。因此有必要构造一种应用于合法监听系统中的策略管理框架，能够通用地支持各厂商为合法监听系统开发的相关设备。

发明内容

本发明的目的是为了解决现有技术中存在的问题，提供了一种应用于合法监听系统中的策略模型构造方法，该方法构建一个通用策略模型，通过将策略条件矢量化，并使用条件矢量组合方法以将策略评估矢量组合起来进行策略评估，基于该通用策略模型进行继承和派生，对加密模块、QoS保障模块、监听模块进行基于有效的策略管理。

为了实现上述目的，本发明提供了一种应用于合法监听系统中的策略模型构造方法，该方法包括以下步骤：

构造用于生成策略规则的策略条件、策略行为和策略有效时间段，并将所述策略条件用矢量表示，获得相应的策略评估矢量；

确定条件矢量组合方法以将所述策略评估矢量组合起来进行策略评估；

指定所述策略规则的策略作用域；

基于所述策略评估矢量、所述策略作用域、所述条件矢量组合方法、所述策略行为和策略有效时间段构造出通用策略类。

进一步地，所述的策略模型构造方法还包括对所述通用策略类进行继承或派生。

进一步地，所述策略评估矢量，包括评估对象和评估方法，其中所述评估方法对所述评估对象与预设值或区间进行比较，如果匹配，则为“真”，否则为“假”。

进一步地，所述确定条件矢量组合方法以将所述策略评估矢量组合起来进行策略评估为按照策略评估矢量间的内在逻辑关系，用“与”和“或”关系对策略评估矢量进行组合。

进一步地，对所述通用策略类进行继承，具体为：继承所述评估方法，对其赋值为基于用户的评估方法；继承所述评估对象，对其赋值为用户电话号码；继承所述策略行为，对其赋值包括指定该用户的网络预留带宽、最大限制带宽、该用户允许的连接数。

进一步地，对所述通用策略类进行继承，具体为：继承所述评估方法，对其赋值为基于设备流量或连接数的评估方法；继承所述评估对象，对其赋值为网络的可用流量或剩余连接数；继承所述策略行为，对其赋值为根据数据的整体流量来制定策略限制最大允许的用户连接数和最大带宽。

进一步地，对所述通用策略类进行继承，具体为：继承所述评估方法，对其赋值为基于用户的评估方法；继承所述评估对象，对其赋值为用户电话号码；继承所述策略行为，对其赋值为设置用户的安全级别和加密算法。

进一步地，对所述通用策略类进行派生，具体为：增加监听时间段成员、监听类型成员和转发单元的IP地址成员；继承所述评估方法，对其赋值为开启监听策略的评估方法；继承所述评估对象，对其赋值为用户电话号码；继承所述策略行为，对其赋值为开启对用户电话号码对应的用户的监听。

进一步地，对所述通用策略类进行派生，具体为：增加监听类型成员和转发单元的IP地址成员；继承所述评估方法，对其赋值为关闭监听策略的评估方法；继承所述评估对象，对其赋值为用户电话号码；继承所述策略行为，对其赋值为关闭对用户电话号码对应的用户的监听。

本发明通过抽象出一个通用的策略模型具有可扩展性，通过继承和派生的方法提供对加密、QoS保障、监听等功能的控制，使得以上各种功能的策略管理基于一个统一的合法监听系统的框架下，便于各厂商能够灵活开发各种用于合法监听系统的设备，不必考虑接口及互通性的问题。

附图说明

图1为现有的IETF策略管理框架的示意图；

图2为通用策略模型构造方法的流程图。

具体实施方式

如图2所示，为本发明提出的应用于合法监听系统的策略模型构造方法的流程图。为了改善现有的策略管理技术可扩展性的不足的现状，通过将继承和派生的思想引入到通用策略模型的构造中(由通用策略派生，和对通用策略进行继承是同一概念)，并将策略条件用矢量加以表示，构造了一种通用的策略模型。其结构如下高级编程语言所示的：

Class通用策略

{

策略作用域

Vector<策略评估>

条件矢量组合方法

策略有效时间段

行为

}

而构造这个策略模型的过程包括：

步骤201，构造用户生成策略规则的策略条件、策略行为和策略有效时间段，并将所述策略条件用矢量表示，获得相应的策略评估矢量；

步骤202，确定条件矢量组合方法以将所述策略评估矢量组合起来进行策略评估；

步骤203，指定所述策略规则的策略作用域；

步骤204，基于所述策略评估矢量、策略作用域、所述条件矢量组合方法、所述策略行为和策略有效时间段构建出通用策略类。

如图2所示，在构建出通用策略类之后，还包括通过继承和派生的方法生成策略子类为加密、QoS保障以及合法监听等功能提供有效控制。

下面描述本发明通用策略模型构造方法构建的策略模型实例1。在本例中，基于上述构建的通用策略类，即通用策略模型，通过继承方法来实现对于用户的QoS管理的策略子类，其结构如下高级编程语言所示的：

Class对于用户的QoS管理策略子类：通用策略

{策略作用域：所有设备

Vector<基于用户的QoS策略评估>

条件矢量组合方法(无)

策略有效时间段：2007/5/153：00pm-2008/5/153：00pm

行为：指定该用户的网络预留带宽、最大限制带宽和该用户允许的连接

数

}

Class基于用户的QoS策略评估：策略评估

{

用户电话号码：

基于用户的评估方法：

}

而构造策略模型实例1的过程包括：将通用策略模型(类)实例化，同时参见上述语言所示的结构图，即：

步骤201，继承策略规则的策略条件、策略行为和策略有效时间段，并对策略有效时间段进行赋值如此用户的策略有效时间段从签约日起，即2007年5月15日下午3:00到2008年5月15日下午3:00，并将所述策略条件分别用矢量表示，获得相应的策略评估矢量；所述策略评估矢量包括评估对象和评估方法，其中所述评估方法对所述评估对象与预设值或区间进行比较，如果匹配，则为“真”，否则为“假”。评估对象赋值为用户的电话号码，评估方法赋值为采用基于用户的评估方法。如将用户分为高、中、低三个级别，并保留提供其他特殊用户使用的号码。若此时发起呼叫的用户的电话号码为87544044，则基于用户的评估方法如下：查找与此号码匹配的级别，发现该用户属于低级用户。即此时策略评估的结果为低级用户策略。策略行为赋值为指定该用户的网络预留带宽、最大限制带宽和该用户允许的连接数，如对于此低级用户指定网络预留带宽为10k，而用户允许的连接数为1个，当网络闲时，最大限制带宽为15k。

步骤202，确定条件矢量组合方法以将所述策略评估矢量连接起来；在此处条件矢量组合方法为空，因为只有一个条件矢量。

步骤203，指定所述策略规则的策略作用域为所有设备；

步骤204，基于上述策略评估矢量、所述策略作用域、所述条件矢量组合方法、所述策略行为和策略有效时间段，基于通用策略类继承生成了对于用户的QoS策略子类。

下面介绍本发明通用策略模型构造方法构建的策略模型实例2。在本例中，基于上述构建的通用策略模型，通过继承方法来实现对于设备的QoS管理的策略子类，其结构如下高级编程语言所示的：

Class对于设备的QoS管理策略子类：通用策略

{策略作用域：所有设备

Vector<基于设备的QoS策略评估1>

Vector<基于设备的QoS策略评估2>

条件矢量组合方法：AND(&)

策略有效时间段：2007年的下半年

行为：根据整体流量来指定策略限制最大允许的用户连接数和最大带宽

}

Class基于设备的QoS策略评估1：策略评估

{

网络的可用流量：

基于设备流量的评估方法：

}

Class基于设备的QoS策略评估2：策略评估

{

网络的剩余连接数：

基于设备连接数的评估方法：

}

而上述所示的策略模型实例2的构造方法包括：将图2构造的通用策略模型(类)实例化，即：

步骤301，继承策略规则的2个策略条件、策略行为，并对策略行为进行赋值如根据数据的整体流量来制定策略限制最大允许的用户连接数和最大带宽，如在剩余连接数为4，可用带宽为40k的时候，允许提供设备默认连接数2个，默认带宽20k，并指定最大允许的用户连接数为3个，最大带宽为30k；和继承策略有效时间段如此设备的策略有效时间段赋值为从为2007年的下半年，即为7月1日到12月31日；并将2个策略条件分别用矢量表示，获得相对应的2个策略评估矢量；所述策略评估矢量包括评估对象和评估方法，其中所述评估方法对所述评估对象与预设值或区间进行比较，如果匹配，则为“真”，否则为“假”。

在第一策略评估矢量中，评估对象赋值为网络的总的流量，评估方法赋值为基于设备流量的评估方法。如此时的可用流量即分配给用户其签订的预留带宽之后剩余的带宽为40k，设备的默认带宽为20k，则有可能为设备指定20k的带宽；若此时剩余带宽只有15k，则无法为设备指定带宽，发送错误报告。

在第二策略评估矢量中，评估对象赋值为网络的剩余连接数，评估方法赋值为基于设备连接数的评估方法。如此时网络的可用连接数，即分配给用户其签订的连接数之后剩余的带宽为4，设备默认连接数为2，则有可能为设备提供2个连接；若此时剩余连接数只有1，则无法为设备提供所需连接数，不能执行对应操作。

步骤302，确定条件矢量组合方法赋值为(第一策略评估)&(第二策略评估)以将2个策略评估矢量组合起来；即必须同时满足有足够的剩余带宽和连接数时，才能为设备分配带宽和连接数；有其中任何一项不满足时，不能执行对应操作。

步骤303，指定所述策略规则的策略作用域为所有设备；

步骤304，基于上述策略评估矢量、策略作用域、条件矢量组合方法、策略行为和策略有效时间段，基于通用策略类继承生成了对于设备的QoS策略子类。

下面介绍本发明通用策略模型构造方法构建的策略模型实例3。在本例中，基于上述构建的通用策略模型，通过继承方法从通用策略类中派生出用户的加密策略子类，其结构如下高级编程语言所示的：

Class基于用户的加密策略子类：通用策略

{

策略作用域：所有设备

Vector<基于用户的加密策略评估>

条件矢量组合方法：(空)

策略有效时间段：2007/5/153:00pm-2008/5/153:00pm

行为：设置用户的安全级别，对用户采取相应的加密算法

}

Class基于用户的加密策略评估：策略评估

{

用户电话号码：

基于用户的评估方法：

}

而上述策略模型实例3的构造方法包括：将图2构造的通用策略模型(类)实例化，即

步骤401，继承策略规则的1个策略条件、策略行为，并对策略行为进行赋值如根据评估结果，即中级用户策略，指定该用户的安全级别和加密算法，如对于此中级用户指定安全级别为中级，加密算法为AES加密算法；和继承策略有效时间段赋值为从签约日起，即2007年5月15日下午3:00到2008年5月15日下午3:00；并将策略条件分别用矢量表示，获得相对应的策略评估矢量；所述策略评估矢量包括评估对象和评估方法，其中所述评估方法对所述评估对象与预设值或区间进行比较，如果匹配，则为“真”，否则为“假”。评估对象赋值为用户的电话号码，评估方法赋值为采用基于用户的评估方法。如将用户分为高、中、低三个级别，若此时发起呼叫的用户的电话号码为87544044，则基于用户的评估方法如下：查找与此号码匹配的级别，发现该用户属于低级用户。即此时策略评估的结果为中级用户策略。

步骤402，确定条件矢量组合方法为空；

步骤403，指定所述策略规则的策略作用域为所有设备；

步骤404，基于上述策略评估矢量、策略作用域、条件矢量组合方法、策略行为和策略有效时间段，基于通用策略类继承生成了对于用户的加密策略子类。

下面介绍本发明通用策略模型构造方法构建的策略模型实例4。在本例中，基于上述构建的通用策略模型，通过继承方法从通用策略类中派生出设备的加密策略子类，其结构如下高级编程语言所示的：

Class基于设备的默认加密策略子类：通用策略

{

策略作用域：所有设备

Vector<基于设备的加密策略评估>

条件矢量组合方法：(空)

策略有效时间段：2007下半年

行为：为默认用户设备为低级安全级别，对该用户采取DES加密算法

}

Class基于设备的加密策略评估：策略评估

{

用户电话号码：

基于设备的评估方法：

}

而上述策略模型实例4的构造方法包括：将图2构造的通用策略模型(类)实例化，即

步骤501，继承策略规则的1个策略条件、策略行为，并对策略行为进行赋值如根据行为是根据评估结果，即低级用户策略，指定该用户的安全级别和加密算法，如对于此指定安全级别为中级，加密算法为DES加密算法；和继承策略有效时间段，赋值为从为2007年的下半年，即为7月1日到12月31日；并将策略条件分别用矢量表示，获得相对应的策略评估矢量；所述策略评估矢量包括评估对象和评估方法，其中所述评估方法对所述评估对象与预设值或区间进行比较，如果匹配，则为“真”，否则为“假”。评估对象赋值为用户的电话号码，评估方法赋值为基于设备的评估方法。如此时发起呼叫的设备的电话号码为87541000，则将此号码评估为默认设备。

步骤502，确定条件矢量组合方法为空；

步骤503，指定所述策略规则的策略作用域为所有设备；

步骤504，基于上述策略评估矢量、策略作用域、条件矢量组合方法、策略行为和策略有效时间段，基于通用策略类继承生成了对于用户的加密策略子类。

下面介绍本发明通用策略模型构造方法构建的策略模型实例5。在本例中，基于上述构建的通用策略模型，通过继承方法从通用策略类中派生出开启监听策略子类，其结构如下高级编程语言所示的：

Class开启监听策略子类：通用策略

{

策略作用域：所有设备

Vector<开启监听的加密策略评估>

条件矢量组合方法：(空)

策略有效时间段

监听时间段

监听类型

转发单元的IP地址

行为：开启对该用户的监听

}

Class开启监听的加密策略评估：策略评估

{

用户电话号码：

开启监听策略评估评估方法：

}

而上述所示的策略模型实例5的构造方法包括：将图2构造的通用策略模型(类)实例化，即

步骤601，继承策略规则的1个策略条件、策略行为，并对策略行为进行赋值如根据评估结果，对此用户开启监听；和继承策略有效时间段赋值为2007年5月15日下午3:00到2008年5月15日下午3:00；并将策略条件用矢量表示，获得相对应的策略评估矢量；所述策略评估矢量包括评估对象和评估方法，其中所述评估方法对所述评估对象与预设值或区间进行比较，如果匹配，则为“真”，否则为“假”。评估对象赋值为用户的电话号码，评估方法赋值为采用开启监听策略评估方法，若此时发起呼叫的用户的电话号码为87544044，则开启监听策略评估方法如下：查找此号码是否属于监听类，发现该用户属于监听类。即此时策略评估的结果为监听用户策略。

步骤602，确定条件矢量组合方法为空；

步骤603，指定所述策略规则的策略作用域为所有设备；

步骤604，增加监听时间段、监听类型和转发单元的IP地址三个成员，监听时间段为策略有效时间段内实行监听的具体时间。此用户的监听时间段为上午8:00到下午20:00，该用户的监听类型为媒体监听，转发单元的IP地址是指将监听内容转发的地址，此处转发单元的IP地址为192.168.0.66。

步骤605，基于上述策略评估矢量、策略作用域、条件矢量组合方法、策略行为和策略有效时间段，基于通用策略类派生生成了对于开启监听策略子类。

其中，监听类型可以分为对媒体和信令的监听，此两种监听类型分别属于两个不同的开启监听策略，这两个策略可以按照先后顺序应用于同一个用户。即，按照上述方式，还可以继承信令监听类型的开启监听策略，具体过程如上所述，不再赘述。

下面介绍本发明通用策略模型构造方法构建的策略模型实例6。在本例中，基于上述构建的通用策略模型，通过继承方法从通用策略类中派生出关闭监听策略子类，其结构如下高级编程语言所示的：

Class关闭监听策略子类：通用策略

{

策略作用域：所有设备

Vector<关闭监听的加密策略评估>

条件矢量组合方法：(空)

策略有效时间段

监听类型

转发单元的IP地址

行为：关闭对该用户的监听

}

Class关闭监听的加密策略评估：策略评估

{

用户电话号码：

关闭监听策略评估评估方法：

}

而上述所示的策略模型实例6的构造方法包括：将图2构造的通用策略模型(类)实例化，即

步骤701，继承策略规则的1个策略条件、策略行为，并对策略行为进行赋值如无条件地对此用户关闭监听。若此用户并未开启监听，则关闭监听执行不成功，执行结果为False；和继承策略有效时间段，赋值为2007年5月15日下午3:00到2008年5月15日下午3:00；并将策略条件用矢量表示，获得相对应的策略评估矢量；所述策略评估矢量包括评估对象和评估方法，其中所述评估方法对所述评估对象与预设值或区间进行比较，如果匹配，则为“真”，否则为“假”。评估对象赋值为用户的电话号码，评估方法赋值为采用关闭监听策略评估方法。若此时发起呼叫的用户的电话号码为87544044，则关闭监听策略评估方法如下：查找此号码是否属于监听类，发现该用户属于监听类。即此时策略评估的结果为关闭监听用户策略。

步骤702，确定条件矢量组合方法为空；

步骤703，指定所述策略规则的策略作用域为所有设备；

步骤704：增加监听类型和转发单元的IP地址成员，此处该用户的监听类型为信令监听，转发单元的IP地址是指将监听内容转发的地址，此处转发单元的IP地址为192.168.0.66；

步骤705，基于上述策略评估矢量、策略作用域、条件矢量组合方法、策略行为和策略有效时间段，基于通用策略类派生生成了对于关闭监听策略子类。

其中，监听类型可以分为对媒体和信令的监听，此两种监听类型分别属于两个不同的关闭监听策略，这两个策略可以按照先后顺序应用于同一个用户。即，按照上述方式，还可以派生媒体监听类型的关闭监听策略，具体过程如上所述，不再赘述。

本发明QoS、加密和合法监听模块的策略都是通用策略类的子类，即都继承了父类的所有成员如策略作用域、策略评估矢量、策略作用域、策略行为和策略有效时间段，和成员方法如条件矢量组合方法，并可以根据自己的具体需要分别派生新的成员如监听类型和转发单元的IP地址三个成员和方法。

因此，本发明构造的策略模型具有以下优点1)建立了一个应用于合法监听系统的策略模型，可以提供对加密功能、QoS保障以及监听等功能的管理。由于这种策略模型是基于对象和继承的，因此对于不同功能模块的策略都能进行管理。而且使得策略规则的编写变得比较简单，只需在父类的基础上进行修改和添加。通用管理策略模型可以为未来新增加的功能提供基于策略的管理，方便了其他厂商为合法监听系统开发新的功能设备，大大提高了功能扩展性。2)提出了一种具有扩展性的策略管理模型，即是对未来的合法监听系统及其他网络安全设备的策略管理提出了一个可行的发展方向。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。