專利名稱:一種應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型的構(gòu)造方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及一種應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模 型的構(gòu)造方法����。
背景技術(shù):
合法監(jiān)聽即在經(jīng)國(guó)家相應(yīng)的授權(quán)機(jī)關(guān)批準(zhǔn)的前提下,由執(zhí)法機(jī)構(gòu)向NWO/AP/SvP(網(wǎng)絡(luò)運(yùn)營(yíng)商/接入提供商/服務(wù)提供商)發(fā)出監(jiān)聽請(qǐng)求命令����, 由NWO/AP/SvP將公眾電丫言網(wǎng)PTN(Public Telecommunication Network)用戶通信內(nèi)容以及呼叫相關(guān)信息進(jìn)行復(fù)制并發(fā)送給執(zhí)法機(jī)構(gòu)的一項(xiàng)信息 安全技術(shù)。通信服務(wù)提供商TSP(Telecommunication Service Provider)向主管部門申請(qǐng)運(yùn)營(yíng)牌照時(shí)��,必須承諾有能力提供該業(yè)務(wù)��,而且國(guó)家需要為 此向TSP提供適當(dāng)?shù)慕?jīng)費(fèi)支持�。在網(wǎng)絡(luò)安全管理領(lǐng)域,合法監(jiān)聽占有及其重要的作用首先��,它可以 增強(qiáng)國(guó)家安全的保障����,加強(qiáng)對(duì)進(jìn)出口關(guān)鍵話路的監(jiān)控,滿足類似反恐以及 其他政治上的需要�����;其次�,各式犯罪行為也越來越頻繁地利用電話通信來 進(jìn)行,合法監(jiān)聽可以幫助未來偵察與取證這些犯罪行為��;而且合法監(jiān)聽可 以對(duì)呼叫中心的坐席實(shí)行有效監(jiān)督�,提升座席員的工作效率和客戶服務(wù)質(zhì) 量,同時(shí)也提升了運(yùn)營(yíng)企業(yè)的形象���,為企業(yè)帶來了利潤(rùn)���;并且合法監(jiān)聽提 供了有效的故障分析數(shù)據(jù),方便用戶快速定位網(wǎng)絡(luò)故障�����。而一個(gè)穩(wěn)定���、健壯的合法監(jiān)聽系統(tǒng)需要有功能強(qiáng)大的策略管理作為支撐, 從而可以脫離人工干預(yù)��,按照預(yù)先制定的策略�����,自動(dòng)��、高效地完成對(duì)固定電 話網(wǎng)以及IP網(wǎng)絡(luò)的監(jiān)聽任務(wù)�。目前,在網(wǎng)絡(luò)及設(shè)備管理中采用策略模型受到
了廣泛關(guān)注���。在實(shí)際應(yīng)用方面���,目前己有基于策略的網(wǎng)絡(luò)管理解決方案,一些大型廠商���,如思科��、北電等都發(fā)布了一些支持策略管理的產(chǎn)品��,但這些這些策略管理產(chǎn)品大多是基于IETF提出的策略管理框架�,且主要是對(duì)網(wǎng)絡(luò)服 務(wù)質(zhì)量(QoS)進(jìn)行管理�,對(duì)于合法監(jiān)聽系統(tǒng)這種特殊應(yīng)用缺乏足夠的支持。 與此同時(shí)��,國(guó)內(nèi)廠商推出的大部分策略管理設(shè)備也是針對(duì)服務(wù)質(zhì)量(QoS) 的���,應(yīng)用于安全管理的產(chǎn)品并不多�,即使這些設(shè)備能夠支持安全管理,它們 能夠管理的安全產(chǎn)品種類也比較有限���,尤其在合法監(jiān)聽系統(tǒng)這一塊,目前尚 未有比較完善的策略管理解決方案�,并且不能將各個(gè)廠商開發(fā)的不同功能設(shè) 備統(tǒng)一在一個(gè)合法監(jiān)聽系統(tǒng)的框架之下。如圖1所示��,為現(xiàn)有的IETF策略管理框架的示意圖��。如圖所示�,策略 管理的框架被定義成基于客戶端/服務(wù)器(Client/Server)的模式,即存在這 一個(gè)中心策略決定點(diǎn)(Policy Decision Point, PDP)01和多個(gè)分布于網(wǎng)絡(luò)結(jié)點(diǎn) 上的策略執(zhí)行點(diǎn)(Policy Enforcement Point, PEP) 102�����。策略庫(kù)(PR: Policy Expository) 103用來存儲(chǔ)策略信息和規(guī)則���,可以采用數(shù)據(jù)庫(kù)(DB: Database) 或活動(dòng)目錄(AD: Active Directory)技術(shù)來實(shí)現(xiàn)�。策略編輯器104是用戶用來 編輯和生成策略的編輯工具�����,也可指對(duì)策略腳本的直接修改��,通過策略編輯 器對(duì)策略庫(kù)中儲(chǔ)存的策略,根據(jù)當(dāng)前的情況���,進(jìn)行實(shí)時(shí)的修改或編輯新的策 略�。策略決定點(diǎn)���,作為策略服務(wù)器����,響應(yīng)策略事件�����,并鎖定相應(yīng)的策略規(guī)則��; 完成狀態(tài)和資源的有效性校驗(yàn)�����;將存儲(chǔ)在策略知識(shí)庫(kù)中的策略規(guī)則轉(zhuǎn)換成設(shè) 備可執(zhí)行的格式��。策略執(zhí)行點(diǎn)���,作為策略系統(tǒng)的客戶端����,分布在各個(gè)網(wǎng)絡(luò)結(jié) 點(diǎn)上,負(fù)責(zé)根據(jù)從策略決定點(diǎn)處接收到的策略來執(zhí)行相應(yīng)的策略管理操作����, 并同時(shí)將策略執(zhí)行的結(jié)果上報(bào)給策略決定點(diǎn)。其中策略的下發(fā)方式分為兩種��, 外購(gòu)方式和供應(yīng)方式��。但是上述IETF策略管理框架沒有規(guī)定標(biāo)準(zhǔn)的策略描述語(yǔ)言���,這就造成 各個(gè)網(wǎng)絡(luò)廠商的設(shè)備及各自的實(shí)施上所采用的策略表示和存儲(chǔ)方式不同,導(dǎo) 致策略管理在大規(guī)模系統(tǒng)中目前還無法達(dá)到實(shí)用化�����,即無法實(shí)現(xiàn)不同廠商的 設(shè)備間的互通��,使得策略管理技術(shù)的可擴(kuò)展性不足��。因此有必要構(gòu)造一種應(yīng) 用于合法監(jiān)聽系統(tǒng)中的策略管理框架��,能夠通用地支持各廠商為合法監(jiān)聽系 統(tǒng)開發(fā)的相關(guān)設(shè)備��。發(fā)明內(nèi)容本發(fā)明的目的是為了解決現(xiàn)有技術(shù)中存在的問題,提供了一種應(yīng)用于合 法監(jiān)聽系統(tǒng)中的策略模型構(gòu)造方法���,該方法構(gòu)建一個(gè)通用策略模型����,通過將 策略條件矢量化����,并使用條件矢量組合方法以將策略評(píng)估矢量組合起來進(jìn)行策略評(píng)估,基于該通用策略模型進(jìn)行繼承和派生�,對(duì)加密模塊、QoS保障模 塊�����、監(jiān)聽模塊進(jìn)行基于有效的策略管理�����。為了實(shí)現(xiàn)上述目的���,本發(fā)明提供了一種應(yīng)用于合法監(jiān)聽系統(tǒng)中的策略模型構(gòu)造方法�,該方法包括以下步驟構(gòu)造用于生成策略規(guī)則的策略條件����、策略行為和策略有效時(shí)間段�����,并將 所述策略條件用矢量表示���,獲得相應(yīng)的策略評(píng)估矢量;確定條件矢量組合方法以將所述策略評(píng)估矢量組合起來進(jìn)行策略評(píng)估�;指定所述策略規(guī)則的策略作用域;基于所述策略評(píng)估矢量�、所述策略作用域����、所述條件矢量組合方法、所 述策略行為和策略有效時(shí)間段構(gòu)造出通用策略類����。進(jìn)一步地,所述的策略模型構(gòu)造方法還包括對(duì)所述通用策略類進(jìn)行繼承 或派生�。進(jìn)一步地,所述策略評(píng)估矢量�����,包括評(píng)估對(duì)象和評(píng)估方法,其中所述評(píng) 估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比較��,如果匹配���,則為"真"����,否 則為"假"�����。進(jìn)一步地��,所述確定條件矢量組合方法以將所述策略評(píng)估矢量組合起來 進(jìn)行策略評(píng)估為按照策略評(píng)估矢量間的內(nèi)在邏輯關(guān)系����,用"與"和"或"關(guān)系對(duì) 策略評(píng)估矢量進(jìn)行組合。
進(jìn)一步地����,對(duì)所述通用策略類進(jìn)行繼承,具體為繼承所述評(píng)估方法��, 對(duì)其賦值為基于用戶的評(píng)估方法�;繼承所述評(píng)估對(duì)象���,對(duì)其賦值為用戶電話號(hào)碼;繼承所述策略行為�,對(duì)其賦值包括指定該用戶的網(wǎng)絡(luò)預(yù)留帶寬、最大限制帶寬���、該用戶允許的連接數(shù)���。進(jìn)一步地,對(duì)所述通用策略類進(jìn)行繼承���,具體為繼承所述評(píng)估方法��, 對(duì)其賦值為基于設(shè)備流量或連接數(shù)的評(píng)估方法;繼承所述評(píng)估對(duì)象�,對(duì)其賦 值為網(wǎng)絡(luò)的可用流量或剩余連接數(shù);繼承所述策略行為���,對(duì)其賦值為根據(jù)數(shù) 據(jù)的整體流量來制定策略限制最大允許的用戶連接數(shù)和最大帶寬����。進(jìn)一步地����,對(duì)所述通用策略類進(jìn)行繼承����,具體為繼承所述評(píng)估方法���, 對(duì)其賦值為基于用戶的評(píng)估方法���;繼承所述評(píng)估對(duì)象,對(duì)其賦值為用戶電話 號(hào)碼��;繼承所述策略行為�����,對(duì)其賦值為設(shè)置用戶的安全級(jí)別和加密算法���。進(jìn)一步地����,對(duì)所述通用策略類進(jìn)行派生�,具體為增加監(jiān)聽時(shí)間段成員、 監(jiān)聽類型成員和轉(zhuǎn)發(fā)單元的IP地址成員;繼承所述評(píng)估方法��,對(duì)其賦值為開 啟監(jiān)聽策略的評(píng)估方法����;繼承所述評(píng)估對(duì)象,對(duì)其賦值為用戶電話號(hào)碼�;繼 承所述策略行為,對(duì)其賦值為開啟對(duì)用戶電話號(hào)碼對(duì)應(yīng)的用戶的監(jiān)聽�。進(jìn)一步地,對(duì)所述通用策略類進(jìn)行派生�,具體為增加監(jiān)聽類型成員和 轉(zhuǎn)發(fā)單元的IP地址成員;繼承所述評(píng)估方法�,對(duì)其賦值為關(guān)閉監(jiān)聽策略的評(píng) 估方法;繼承所述評(píng)估對(duì)象����,對(duì)其賦值為用戶電話號(hào)碼;繼承所述策略行為���, 對(duì)其賦值為關(guān)閉對(duì)用戶電話號(hào)碼對(duì)應(yīng)的用戶的監(jiān)聽。本發(fā)明通過抽象出一個(gè)通用的策略模型具有可擴(kuò)展性���,通過繼承和派生 的方法提供對(duì)加密�、QoS保障���、監(jiān)聽等功能的控制���,使得以上各種功能的策 略管理基于一個(gè)統(tǒng)一的合法監(jiān)聽系統(tǒng)的框架下�����,便于各廠商能夠靈活開發(fā)各種用于合法監(jiān)聽系統(tǒng)的設(shè)備�,不必考慮接口及互通性的問題�����。
圖1為現(xiàn)有的IETF策略管理框架的示意圖2為通用策略模型構(gòu)造方法的流程圖�。
具體實(shí)施例方式
如圖2所示,為本發(fā)明提出的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法 的流程圖�。為了改善現(xiàn)有的策略管理技術(shù)可擴(kuò)展性的不足的現(xiàn)狀,通過將繼 承和派生的思想引入到通用策略模型的構(gòu)造中(由通用策略派生�,和對(duì)通用 策略進(jìn)行繼承是同一概念),并將策略條件用矢量加以表示�,構(gòu)造了一種通 用的策略模型。其結(jié)構(gòu)如下高級(jí)編程語(yǔ)言所示的 Class通用策略策略作用域 Vector〈策略評(píng)估〉條件矢量組合方法策略有效時(shí)間段行為而構(gòu)造這個(gè)策略模型的過程包括步驟201���,構(gòu)造用戶生成策略規(guī)則的策略條件�����、策略行為和策略有效時(shí) 間段���,并將所述策略條件用矢量表示��,獲得相應(yīng)的策略評(píng)估矢量��;步驟202��,確定條件矢量組合方法以將所述策略評(píng)估矢量組合起來進(jìn)行 策略評(píng)估�;步驟203��,指定所述策略規(guī)則的策略作用域�;步驟204,基于所述策略評(píng)估矢量�、策略作用域、所述條件矢量組合方 法�、所述策略行為和策略有效時(shí)間段構(gòu)建出通用策略類。如圖2所示��,在構(gòu)建出通用策略類之后��,還包括通過繼承和派生的方法 生成策略子類為加密�、QoS保障以及合法監(jiān)聽等功能提供有效控制。
下面描述本發(fā)明通用策略模型構(gòu)造方法構(gòu)建的策略模型實(shí)例1�。在本例 中,基于上述構(gòu)建的通用策略類��,即通用策略模型�,通過繼承方法來實(shí)現(xiàn)對(duì)于 用戶的QOS管理的策略子類,其結(jié)構(gòu)如下高級(jí)編程語(yǔ)言所示的Class對(duì)于用戶的QoS管理策略子類通用策略(策略作用域所有設(shè)備VectoK基于用戶的QoS策略評(píng)估> 條件矢量組合方法(無)策略有效時(shí)間段2007/5/15 3: 00pm-2008/5/15 3: 00pm行為指定該用戶的網(wǎng)絡(luò)預(yù)留帶寬���、最大限制帶寬和該用戶允許的連接 數(shù)Class基于用戶的QoS策略評(píng)估策略評(píng)估用戶電話號(hào)碼 基于用戶的評(píng)估方法而構(gòu)造策略模型實(shí)例1的過程包括將通用策略模型(類)實(shí)例化�,同 時(shí)參見上述語(yǔ)言所示的結(jié)構(gòu)圖��,即步驟201��,繼承策略規(guī)則的策略條件�����、策略行為和策略有效時(shí)間段��,并對(duì)策略有效時(shí)間段進(jìn)行賦值如此用戶的策略有效時(shí)間段從簽約日起�����,即2007 年5月15日下午3: 00到2008年5月15日下午3: 00���,并將所述策略條件 分別用矢量表示���,獲得相應(yīng)的策略評(píng)估矢量����;所述策略評(píng)估矢量包括評(píng)估對(duì) 象和評(píng)估方法����,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比較, 如果匹配�,則為"真",否則為"假"���。評(píng)估對(duì)象賦值為用戶的電話號(hào)碼�,評(píng)估 方法賦值為采用基于用戶的評(píng)估方法���。如將用戶分為高����、中���、低三個(gè)級(jí)別��, 并保留提供其他特殊用戶使用的號(hào)碼��。若此時(shí)發(fā)起呼叫的用戶的電話號(hào)碼為
87544044����,則基于用戶的評(píng)估方法如下查找與此號(hào)碼匹配的級(jí)別���,發(fā)現(xiàn)該 用戶屬于低級(jí)用戶�����。即此時(shí)策略評(píng)估的結(jié)果為低級(jí)用戶策略���。策略行為賦值 為指定該用戶的網(wǎng)絡(luò)預(yù)留帶寬、最大限制帶寬和該用戶允許的連接數(shù)����,如對(duì) 于此低級(jí)用戶指定網(wǎng)絡(luò)預(yù)留帶寬為10k,而用戶允許的連接數(shù)為1個(gè)�,當(dāng)網(wǎng) 絡(luò)閑時(shí),最大限制帶寬為15 k���。
步驟202����,確定條件矢量組合方法以將所述策略評(píng)估矢量連接起來;在 此處條件矢量組合方法為空�����,因?yàn)橹挥幸粋€(gè)條件矢量����。
步驟203,指定所述策略規(guī)則的策略作用域?yàn)樗性O(shè)備���;
步驟204��,基于上述策略評(píng)估矢量�����、所述策略作用域����、所述條件矢量組 合方法�、所述策略行為和策略有效時(shí)間段,基于通用策略類繼承生成了對(duì)于 用戶的QoS策略子類���。
下面介紹本發(fā)明通用策略模型構(gòu)造方法構(gòu)建的策略模型實(shí)例2���。在本例 中����,基于上述構(gòu)建的通用策略模型�����,通過繼承方法來實(shí)現(xiàn)對(duì)于設(shè)備的QoS管 理的策略子類����,其結(jié)構(gòu)如下高級(jí)編程語(yǔ)言所示的
Class對(duì)于設(shè)備的QoS管理策略子類通用策略
(策略作用域所有設(shè)備 VectoK基于設(shè)備的QoS策略評(píng)估1> VectoK基于設(shè)備的QoS策略評(píng)估2> 條件矢量組合方法AND (&) 策略有效時(shí)間段2007年的下半年
行為根據(jù)整體流量來指定策略限制最大允許的用戶連接數(shù)和最大帶寬}
Class基于設(shè)備的QoS策略評(píng)估1:策略評(píng)估網(wǎng)絡(luò)的可用流量 基于設(shè)備流量的評(píng)估方法Class基于設(shè)備的QoS策略評(píng)估2:策略評(píng)估網(wǎng)絡(luò)的剩余連接數(shù) 基于設(shè)備連接數(shù)的評(píng)估方法而上述所示的策略模型實(shí)例2的構(gòu)造方法包括將圖2構(gòu)造的通用策略 模型(類)實(shí)例化���,艮P:步驟301����,繼承策略規(guī)則的2個(gè)策略條件�����、策略行為��,并對(duì)策略行為進(jìn)行賦值如根據(jù)數(shù)據(jù)的整體流量來制定策略限制最大允許的用戶連接數(shù)和最大帶寬,如在剩余連接數(shù)為4�,可用帶寬為40k的時(shí)候,允許提供設(shè)備默認(rèn)連 接數(shù)2個(gè)���,默認(rèn)帶寬20k��,并指定最大允許的用戶連接數(shù)為3個(gè)�����,最大帶寬 為30k;和繼承策略有效時(shí)間段如此設(shè)備的策略有效時(shí)間段賦值為從為2007 年的下半年�����,即為7月1日到12月31日��;并將2個(gè)策略條件分別用矢量表 示���,獲得相對(duì)應(yīng)的2個(gè)策略評(píng)估矢量;所述策略評(píng)估矢量包括評(píng)估對(duì)象和評(píng) 估方法�,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比較,如果 匹配�����,則為"真",否則為"假"�����。在第一策略評(píng)估矢量中�����,評(píng)估對(duì)象賦值為網(wǎng)絡(luò)的總的流量��,評(píng)估方法賦 值為基于設(shè)備流量的評(píng)估方法��。如此時(shí)的可用流量即分配給用戶其簽訂的預(yù) 留帶寬之后剩余的帶寬為40k����,設(shè)備的默認(rèn)帶寬為20k��,則有可能為設(shè)備指定 20k的帶寬���;若此時(shí)剩余帶寬只有15k����,則無法為設(shè)備指定帶寬,發(fā)送錯(cuò)誤報(bào)告在第二策略評(píng)估矢量中���,評(píng)估對(duì)象賦值為網(wǎng)絡(luò)的剩余連接數(shù)��,評(píng)估方法 賦值為基于設(shè)備連接數(shù)的評(píng)估方法�。如此時(shí)網(wǎng)絡(luò)的可用連接數(shù)��,即分配給用 戶其簽訂的連接數(shù)之后剩余的帶寬為4��,設(shè)備默認(rèn)連接數(shù)為2����,則有可能為設(shè) 備提供2個(gè)連接;若此時(shí)剩余連接數(shù)只有l(wèi)���,則無法為設(shè)備提供所需連接數(shù)��, 不能執(zhí)行對(duì)應(yīng)操作��。歩驟302��,確定條件矢量組合方法賦值為(第一策略評(píng)估)& (第二策 略評(píng)估)以將2個(gè)策略評(píng)估矢量組合起來�;即必須同時(shí)滿足有足夠的剩余帶 寬和連接數(shù)時(shí)��,才能為設(shè)備分配帶寬和連接數(shù);有其中任何一項(xiàng)不滿足時(shí)����, 不能執(zhí)行對(duì)應(yīng)操作。步驟303��,指定所述策略規(guī)則的策略作用域?yàn)樗性O(shè)備�����;步驟304��,基于上述策略評(píng)估矢量�、策略作用域、條件矢量組合方法���、策略行為和策略有效時(shí)間段��,基于通用策略類繼承生成了對(duì)于設(shè)備的QoS策略子類。下面介紹本發(fā)明通用策略模型構(gòu)造方法構(gòu)建的策略模型實(shí)例3�����。在本例 中�����,基于上述構(gòu)建的通用策略模型,通過繼承方法從通用策略類中派生出用 戶的加密策略子類�,其結(jié)構(gòu)如下高級(jí)編程語(yǔ)言所示的Class基于用戶的加密策略子類通用策略策略作用域所有設(shè)備 VectoK基于用戶的加密策略評(píng)估>條件矢量組合方法(空)策略有效時(shí)間段2007/5/15 3: 00pm-2008/5/15 3: 00pm行為設(shè)置用戶的安全級(jí)別,對(duì)用戶采取相應(yīng)的加密算法}Class基于用戶的加密策略評(píng)估策略評(píng)估用戶電話號(hào)碼 基于用戶的評(píng)估方法而上述策略模型實(shí)例3的構(gòu)造方法包括:將圖2構(gòu)造的通用策略模型(類)
實(shí)例化����,即步驟401,繼承策略規(guī)則的1個(gè)策略條件�、策略行為,并對(duì)策略行為進(jìn) 行賦值如根據(jù)評(píng)估結(jié)果�,即中級(jí)用戶策略,指定該用戶的安全級(jí)別和加密算法��,如對(duì)于此中級(jí)用戶指定安全級(jí)別為中級(jí)����,加密算法為AES加密算法;和 繼承策略有效時(shí)間段賦值為從簽約日起��,即2007年5月15日下午3: 00到 2008年5月15日下午3: 00;并將策略條件分別用矢量表示���,獲得相對(duì)應(yīng)的 策略評(píng)估矢量��;所述策略評(píng)估矢量包括評(píng)估對(duì)象和評(píng)估方法��,其中所述評(píng)估 方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比較��,如果匹配���,則為"真"����,否則 為"假"�。評(píng)估對(duì)象賦值為用戶的電話號(hào)碼,評(píng)估方法賦值為采用基于用戶的 評(píng)估方法��。如將用戶分為高����、中、低三個(gè)級(jí)別�,若此時(shí)發(fā)起呼叫的用戶的電 話號(hào)碼為87544044,則基于用戶的評(píng)估方法如下查找與此號(hào)碼匹配的級(jí)別����, 發(fā)現(xiàn)該用戶屬于低級(jí)用戶�。即此時(shí)策略評(píng)估的結(jié)果為中級(jí)用戶策略。 步驟402����,確定條件矢量組合方法為空��; 步驟403����,指定所述策略規(guī)則的策略作用域?yàn)樗性O(shè)備�; 步驟404,基于上述策略評(píng)估矢量����、策略作用域、條件矢量組合方法���、 策略行為和策略有效時(shí)間段�����,基于通用策略類繼承生成了對(duì)于用戶的加密策 略子類��。下面介紹本發(fā)明通用策略模型構(gòu)造方法構(gòu)建的策略模型實(shí)例4�����。在本例 中��,基于上述構(gòu)建的通用策略模型���,通過繼承方法從通用策略類中派生出設(shè) 備的加密策略子類�����,其結(jié)構(gòu)如下高級(jí)編程語(yǔ)言所示的Class基于設(shè)備的默認(rèn)加密策略子類通用策略策略作用域所有設(shè)備 VectoK基于設(shè)備的加密策略評(píng)估〉 條件矢量組合方法(空) 策略有效時(shí)間段2007下半年 行為為默認(rèn)用戶設(shè)備為低級(jí)安全級(jí)別�����,對(duì)該用戶采取DES加密算法Class基于設(shè)備的加密策略評(píng)估策略評(píng)估用戶電話號(hào)碼 基于設(shè)備的評(píng)估方法而上述策略模型實(shí)例4的構(gòu)造方法包括:將圖2構(gòu)造的通用策略模型(類) 實(shí)例化��,即步驟501���,繼承策略規(guī)則的1個(gè)策略條件、策略行為�,并對(duì)策略行為進(jìn) 行賦值如根據(jù)行為是根據(jù)評(píng)估結(jié)果,即低級(jí)用戶策略��,指定該用戶的安全級(jí) 別和加密算法��,如對(duì)于此指定安全級(jí)別為中級(jí)�����,加密算法為DES加密算法��; 和繼承策略有效時(shí)間段��,賦值為從為2007年的下半年����,即為7月1日到12 月31日;并將策略條件分別用矢量表示��,獲得相對(duì)應(yīng)的策略評(píng)估矢量�;所述 策略評(píng)估矢量包括評(píng)估對(duì)象和評(píng)估方法,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象 與預(yù)設(shè)值或區(qū)間進(jìn)行比較�����,如果匹配����,則為"真",否則為"假"�。評(píng)估對(duì)象賦 值為用戶的電話號(hào)碼,評(píng)估方法賦值為基于設(shè)備的評(píng)估方法�。如此時(shí)發(fā)起呼 叫的設(shè)備的電話號(hào)碼為87541000,則將此號(hào)碼評(píng)估為默認(rèn)設(shè)備�。 步驟502����,確定條件矢量組合方法為空���; 歩驟503�,指定所述策略規(guī)則的策略作用域?yàn)樗性O(shè)備����; 步驟504,基于上述策略評(píng)估矢量���、策略作用域���、條件矢量組合方法、 策略行為和策略有效時(shí)間段�,基于通用策略類繼承生成了對(duì)于用戶的加密策 略子類。下面介紹本發(fā)明通用策略模型構(gòu)造方法構(gòu)建的策略模型實(shí)例5�����。在本例 中�����,基于上述構(gòu)建的通用策略模型,通過繼承方法從通用策略類中派生出開 啟監(jiān)聽策略子類�,其結(jié)構(gòu)如下高級(jí)編程語(yǔ)言所示的 Class開啟監(jiān)聽策略子類通用策略 策略作用域所有設(shè)備VectotK開啟監(jiān)聽的加密策略評(píng)估〉條件矢量組合方法(空)策略有效時(shí)間段監(jiān)聽時(shí)間段監(jiān)聽類型轉(zhuǎn)發(fā)單元的IP地址行為開啟對(duì)該用戶的監(jiān)聽}Class開啟監(jiān)聽的加密策略評(píng)估策略評(píng)估用戶電話號(hào)碼 開啟監(jiān)聽策略評(píng)估評(píng)估方法而上述所示的策略模型實(shí)例5的構(gòu)造方法包括將圖2構(gòu)造的通用策略 模型(類)實(shí)例化,即步驟601���,繼承策略規(guī)則的1個(gè)策略條件、策略行為�,并對(duì)策略行為進(jìn) 行賦值如根據(jù)評(píng)估結(jié)果,對(duì)此用戶開啟監(jiān)聽����;和繼承策略有效時(shí)間段賦值為 2007年5月15日下午3: 00到2008年5月15日下午3: 00;并將策略條件 用矢量表示,獲得相對(duì)應(yīng)的策略評(píng)估矢量���;所述策略評(píng)估矢量包括評(píng)估對(duì)象 和評(píng)估方法�,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比較�����, 如果匹配����,則為"真",否則為"假"。評(píng)估對(duì)象賦值為用戶的電話號(hào)碼��,評(píng)估 方法賦值為采用開啟監(jiān)聽策略評(píng)估方法��,若此時(shí)發(fā)起呼叫的用戶的電話號(hào)碼 為87544044��,則開啟監(jiān)聽策略評(píng)估方法如下查找此號(hào)碼是否屬于監(jiān)聽類��,
發(fā)現(xiàn)該用戶屬于監(jiān)聽類���。即此時(shí)策略評(píng)估的結(jié)果為監(jiān)聽用戶策略�。步驟602�,確定條件矢量組合方法為空; 步驟603��,指定所述策略規(guī)則的策略作用域?yàn)樗性O(shè)備����; 步驟604,增加監(jiān)聽時(shí)間段��、監(jiān)聽類型和轉(zhuǎn)發(fā)單元的IP地址三個(gè)成員�����, 監(jiān)聽時(shí)間段為策略有效時(shí)間段內(nèi)實(shí)行監(jiān)聽的具體時(shí)間。此用戶的監(jiān)聽時(shí)間段 為上午8: 00到下午20: 00�,該用戶的監(jiān)聽類型為媒體監(jiān)聽,轉(zhuǎn)發(fā)單元的IP 地址是指將監(jiān)聽內(nèi)容轉(zhuǎn)發(fā)的地址���,此處轉(zhuǎn)發(fā)單元的IP地址為192.168.0.66�����。 步驟605����,基于上述策略評(píng)估矢量��、策略作用域�����、條件矢量組合方法��、 策略行為和策略有效時(shí)間段�,基于通用策略類派生生成了對(duì)于開啟監(jiān)聽策略 子類�����。其中,監(jiān)聽類型可以分為對(duì)媒體和信令的監(jiān)聽�,此兩種監(jiān)聽類型分別屬 于兩個(gè)不同的開啟監(jiān)聽策略,這兩個(gè)策略可以按照先后順序應(yīng)用于同一個(gè)用 戶�。即,按照上述方式����,還可以繼承信令監(jiān)聽類型的開啟監(jiān)聽策略,具體過 程如上所述�����,不再贅述���。下面介紹本發(fā)明通用策略模型構(gòu)造方法構(gòu)建的策略模型實(shí)例6�����。在本例 中���,基于上述構(gòu)建的通用策略模型,通過繼承方法從通用策略類中派生出關(guān) 閉監(jiān)聽策略子類�,其結(jié)構(gòu)如下高級(jí)編程語(yǔ)言所示的Class關(guān)閉監(jiān)聽策略子類通用策略策略作用域所有設(shè)備 VectoK關(guān)閉監(jiān)聽的加密策略評(píng)估〉 條件矢量組合方法(空)策略有效時(shí)間段 監(jiān)聽類型轉(zhuǎn)發(fā)單元的IP地址行為關(guān)閉對(duì)該用戶的監(jiān)聽 Class關(guān)閉監(jiān)聽的加密策略評(píng)估策略評(píng)估用戶電話號(hào)碼 關(guān)閉監(jiān)聽策略評(píng)估評(píng)估方法而上述所示的策略模型實(shí)例6的構(gòu)造方法包括將圖2構(gòu)造的通用策略 模型(類)實(shí)例化,即步驟701��,繼承策略規(guī)則的1個(gè)策略條件、策略行為����,并對(duì)策略行為進(jìn) 行賦值如無條件地對(duì)此用戶關(guān)閉監(jiān)聽。若此用戶并未開啟監(jiān)聽����,則關(guān)閉監(jiān)聽 執(zhí)行不成功,執(zhí)行結(jié)果為False;和繼承策略有效時(shí)間段����,賦值為2007年5 月15日下午3: 00到2008年5月15日下午3: 00;并將策略條件用矢量表 示,獲得相對(duì)應(yīng)的策略評(píng)估矢量�;所述策略評(píng)估矢量包括評(píng)估對(duì)象和評(píng)估方 法���,其中所述評(píng)估方法對(duì)所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比較�����,如果匹配�����, 則為"真"��,否則為"假"�。評(píng)估對(duì)象賦值為用戶的電話號(hào)碼,評(píng)估方法賦值為 采用關(guān)閉監(jiān)聽策略評(píng)估方法�����。若此時(shí)發(fā)起呼叫的用戶的電話號(hào)碼為 87544044�����,則關(guān)閉監(jiān)聽策略評(píng)估方法如下査找此號(hào)碼是否屬于監(jiān)聽類����,發(fā) 現(xiàn)該用戶屬于監(jiān)聽類。即此時(shí)策略評(píng)估的結(jié)果為關(guān)閉監(jiān)聽用戶策略�����。 步驟702�����,確定條件矢量組合方法為空�; 步驟703,指定所述策略規(guī)則的策略作用域?yàn)樗性O(shè)備���; 步驟704:增加監(jiān)聽類型和轉(zhuǎn)發(fā)單元的IP地址成員����,此處該用戶的監(jiān)聽 類型為信令監(jiān)聽,轉(zhuǎn)發(fā)單元的IP地址是指將監(jiān)聽內(nèi)容轉(zhuǎn)發(fā)的地址���,此處轉(zhuǎn)發(fā) 單元的IP地址為192.168.0.66;步驟705���,基于上述策略評(píng)估矢量、策略作用域����、條件矢量組合方法、 策略行為和策略有效時(shí)間段���,基于通用策略類派生生成了對(duì)于關(guān)閉監(jiān)聽策略 子類����。
其中��,監(jiān)聽類型可以分為對(duì)媒體和信令的監(jiān)聽���,此兩種監(jiān)聽類型分別屬 于兩個(gè)不同的關(guān)閉監(jiān)聽策略���,這兩個(gè)策略可以按照先后順序應(yīng)用于同一個(gè)用 戶。即�,按照上述方式,還可以派生媒體監(jiān)聽類型的關(guān)閉監(jiān)聽策略���,具體過 程如上所述�����,不再贅述�����。本發(fā)明QoS��、加密和合法監(jiān)聽模塊的策略都是通用策略類的子類����,即都 繼承了父類的所有成員如策略作用域�����、策略評(píng)估矢量��、策略作用域、策略行 為和策略有效時(shí)間段��,和成員方法如條件矢量組合方法�����,并可以根據(jù)自己的 具體需要分別派生新的成員如監(jiān)聽類型和轉(zhuǎn)發(fā)單元的IP地址三個(gè)成員和方 法��。因此�,本發(fā)明構(gòu)造的策略模型具有以下優(yōu)點(diǎn)1)建立了一個(gè)應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型,可以提供對(duì)加密功能��、QoS保障以及監(jiān)聽等功能的管理��。由于這種策略模型是基于對(duì)象和繼承的���,因此對(duì)于不同功能模塊的策略 都能進(jìn)行管理���。而且使得策略規(guī)則的編寫變得比較簡(jiǎn)單,只需在父類的基礎(chǔ) 上進(jìn)行修改和添加�����。通用管理策略模型可以為未來新增加的功能提供基于策 略的管理��,方便了其他廠商為合法監(jiān)聽系統(tǒng)開發(fā)新的功能設(shè)備��,大大提高了功能擴(kuò)展性����。2)提出了一種具有擴(kuò)展性的策略管理模型,即是對(duì)未來的合法監(jiān)聽系統(tǒng)及其他網(wǎng)絡(luò)安全設(shè)備的策略管理提出了一個(gè)可行的發(fā)展方向��。最后所應(yīng)說明的是�����,以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制���, 盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng) 理解�����,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換�����,而不脫離本發(fā)明技 術(shù)方案的精神和范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中�。
權(quán)利要求
1、 一種應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法���,其特征在于包括以 下步驟構(gòu)造用于生成策略規(guī)則的策略條件��、策略行為和策略有效時(shí)間段�����,并 將所述策略條件用矢量表示���,獲得相應(yīng)的策略評(píng)估矢量;確定條件矢量組合方法以將所述策略評(píng)估矢量組合起來進(jìn)行策略評(píng)估��;指定所述策略規(guī)則的策略作用域���;基于所述策略評(píng)估矢量�����、所述策略作用域��、所述條件矢量組合方法����、 所述策略行為和策略有效時(shí)間段構(gòu)造出通用策略類�����。
2���、 根據(jù)權(quán)利要求1所述的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法�, 其特征在于還包括對(duì)所述通用策略類進(jìn)行繼承或派生���。
3����、 根據(jù)權(quán)利要求2所述的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法��, 其特征在于所述策略評(píng)估矢量����,包括評(píng)估對(duì)象和評(píng)估方法,其中所述評(píng)估 方法將所述評(píng)估對(duì)象與預(yù)設(shè)值或區(qū)間進(jìn)行比較��,如果匹配����,則為"真"����,否 則為"假"����。
4、 根據(jù)權(quán)利要求3所述的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法��, 其特征在于所述確定條件矢量組合方法以將所述策略評(píng)估矢量組合起來進(jìn) 行策略評(píng)估�����,具體是按照策略評(píng)估矢量間的內(nèi)在邏輯關(guān)系��,用"與"和"或" 關(guān)系對(duì)策略評(píng)估矢量進(jìn)行組合��。
5����、 根據(jù)權(quán)利要求2所述的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法, 其特征在于對(duì)所述通用策略類進(jìn)行繼承�,具體為繼承所述評(píng)估方法,對(duì) 其賦值為基于用戶的評(píng)估方法���;繼承所述評(píng)估對(duì)象�����,對(duì)其賦值為用戶電話 號(hào)碼����;繼承所述策略行為�����,對(duì)其賦值為該用戶的網(wǎng)絡(luò)預(yù)留帶寬�����、最大限制 帶寬�����、允許的連接數(shù)����。
6、 根據(jù)權(quán)利要求2所述的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法�, 其特征在于對(duì)所述通用策略類進(jìn)行繼承�����,具體為繼承所述評(píng)估方法�,對(duì) 其賦值為基于設(shè)備流量或連接數(shù)的評(píng)估方法�;繼承所述評(píng)估對(duì)象,對(duì)其賦 值為網(wǎng)絡(luò)的可用流量或剩余連接數(shù)�����;繼承所述策略行為����,對(duì)其賦值為根據(jù) 數(shù)據(jù)的整體流量來制定策略,限制最大允許的用戶連接數(shù)和最大帶寬�����。
7��、 根據(jù)權(quán)利要求2所述的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法����, 其特征在于對(duì)所述通用策略類進(jìn)行繼承,具體為繼承所述評(píng)估方法�����,對(duì) 其賦值為基于用戶的評(píng)估方法;繼承所述評(píng)估對(duì)象��,對(duì)其賦值為用戶電話 號(hào)碼��;繼承所述策略行為����,對(duì)其賦值為設(shè)置用戶的安全級(jí)別和加密算法。
8��、 根據(jù)權(quán)利要求2所述的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法���, 其特征在于對(duì)所述通用策略類進(jìn)行繼承,具體為增加監(jiān)聽時(shí)間段成員�、 監(jiān)聽類型成員和轉(zhuǎn)發(fā)單元的IP地址成員;繼承所述評(píng)估方法��,對(duì)其賦值為 開啟監(jiān)聽策略的評(píng)估方法��;繼承所述評(píng)估對(duì)象����,對(duì)其賦值為用戶電話號(hào)碼�; 繼承所述策略行為����,對(duì)其賦值為開啟對(duì)用戶電話號(hào)碼對(duì)應(yīng)的用戶的監(jiān)聽。
9���、 根據(jù)權(quán)利要求2所述的應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法�, 其特征在于對(duì)所述通用策略類進(jìn)行繼承�,具體為增加監(jiān)聽類型成員和轉(zhuǎn) 發(fā)單元的IP地址成員;繼承所述評(píng)估方法���,對(duì)其賦值為關(guān)閉監(jiān)聽策略的評(píng) 估方法����;繼承所述評(píng)估對(duì)象�����,對(duì)其賦值為用戶電話號(hào)碼�;繼承所述策略行 為,對(duì)其賦值為關(guān)閉對(duì)用戶電話號(hào)碼對(duì)應(yīng)的用戶的監(jiān)聽���。
全文摘要
本發(fā)明涉及一種應(yīng)用于合法監(jiān)聽系統(tǒng)的策略模型構(gòu)造方法�����,包括構(gòu)造用于生成策略規(guī)則的策略條件�、策略行為和策略有效時(shí)間段,并將策略條件用矢量表示�,獲得相應(yīng)的策略評(píng)估矢量;確定條件矢量組合方法����,將所述策略評(píng)估矢量組合起來進(jìn)行策略評(píng)估;指定所述策略規(guī)則的策略作用域����;基于上述的策略評(píng)估矢量、所述條件矢量組合方法��、策略行為和策略有效時(shí)間段��、策略作用域共同構(gòu)建出通用策略類�;從通用策略類為合法監(jiān)聽系統(tǒng)派生出策略子類���。本發(fā)明首先抽象出一個(gè)具有可擴(kuò)展性的通用策略模型���,在構(gòu)造出通用策略模型之后�����,通過繼承和派生的方法為合法監(jiān)聽系統(tǒng)生成策略子類�����,提供加密�����、QoS保障��、監(jiān)聽等多種功能控制��。
文檔編號(hào)H04L12/24GK101123541SQ20071005343
公開日2008年2月13日 申請(qǐng)日期2007年9月29日 優(yōu)先權(quán)日2007年9月29日
發(fā)明者軍 楊, 王芙蓉, 皓 秦, 莫益軍, 辰 黃, 黃本雄 申請(qǐng)人:華中科技大學(xué)