專利名稱:一種應用于合法監(jiān)聽系統(tǒng)的策略模型的構造方法
技術領域:
本發(fā)明涉及網絡安全領域,尤其涉及一種應用于合法監(jiān)聽系統(tǒng)的策略模 型的構造方法。
背景技術:
合法監(jiān)聽即在經國家相應的授權機關批準的前提下,由執(zhí)法機構向NWO/AP/SvP(網絡運營商/接入提供商/服務提供商)發(fā)出監(jiān)聽請求命令, 由NWO/AP/SvP將公眾電丫言網PTN(Public Telecommunication Network)用戶通信內容以及呼叫相關信息進行復制并發(fā)送給執(zhí)法機構的一項信息 安全技術。通信服務提供商TSP(Telecommunication Service Provider)向主管部門申請運營牌照時,必須承諾有能力提供該業(yè)務,而且國家需要為 此向TSP提供適當的經費支持。在網絡安全管理領域,合法監(jiān)聽占有及其重要的作用首先,它可以 增強國家安全的保障,加強對進出口關鍵話路的監(jiān)控,滿足類似反恐以及 其他政治上的需要;其次,各式犯罪行為也越來越頻繁地利用電話通信來 進行,合法監(jiān)聽可以幫助未來偵察與取證這些犯罪行為;而且合法監(jiān)聽可 以對呼叫中心的坐席實行有效監(jiān)督,提升座席員的工作效率和客戶服務質 量,同時也提升了運營企業(yè)的形象,為企業(yè)帶來了利潤;并且合法監(jiān)聽提 供了有效的故障分析數據,方便用戶快速定位網絡故障。而一個穩(wěn)定、健壯的合法監(jiān)聽系統(tǒng)需要有功能強大的策略管理作為支撐, 從而可以脫離人工干預,按照預先制定的策略,自動、高效地完成對固定電 話網以及IP網絡的監(jiān)聽任務。目前,在網絡及設備管理中采用策略模型受到
了廣泛關注。在實際應用方面,目前己有基于策略的網絡管理解決方案,一些大型廠商,如思科、北電等都發(fā)布了一些支持策略管理的產品,但這些這些策略管理產品大多是基于IETF提出的策略管理框架,且主要是對網絡服 務質量(QoS)進行管理,對于合法監(jiān)聽系統(tǒng)這種特殊應用缺乏足夠的支持。 與此同時,國內廠商推出的大部分策略管理設備也是針對服務質量(QoS) 的,應用于安全管理的產品并不多,即使這些設備能夠支持安全管理,它們 能夠管理的安全產品種類也比較有限,尤其在合法監(jiān)聽系統(tǒng)這一塊,目前尚 未有比較完善的策略管理解決方案,并且不能將各個廠商開發(fā)的不同功能設 備統(tǒng)一在一個合法監(jiān)聽系統(tǒng)的框架之下。如圖1所示,為現有的IETF策略管理框架的示意圖。如圖所示,策略 管理的框架被定義成基于客戶端/服務器(Client/Server)的模式,即存在這 一個中心策略決定點(Policy Decision Point, PDP)01和多個分布于網絡結點 上的策略執(zhí)行點(Policy Enforcement Point, PEP) 102。策略庫(PR: Policy Expository) 103用來存儲策略信息和規(guī)則,可以采用數據庫(DB: Database) 或活動目錄(AD: Active Directory)技術來實現。策略編輯器104是用戶用來 編輯和生成策略的編輯工具,也可指對策略腳本的直接修改,通過策略編輯 器對策略庫中儲存的策略,根據當前的情況,進行實時的修改或編輯新的策 略。策略決定點,作為策略服務器,響應策略事件,并鎖定相應的策略規(guī)則; 完成狀態(tài)和資源的有效性校驗;將存儲在策略知識庫中的策略規(guī)則轉換成設 備可執(zhí)行的格式。策略執(zhí)行點,作為策略系統(tǒng)的客戶端,分布在各個網絡結 點上,負責根據從策略決定點處接收到的策略來執(zhí)行相應的策略管理操作, 并同時將策略執(zhí)行的結果上報給策略決定點。其中策略的下發(fā)方式分為兩種, 外購方式和供應方式。但是上述IETF策略管理框架沒有規(guī)定標準的策略描述語言,這就造成 各個網絡廠商的設備及各自的實施上所采用的策略表示和存儲方式不同,導 致策略管理在大規(guī)模系統(tǒng)中目前還無法達到實用化,即無法實現不同廠商的 設備間的互通,使得策略管理技術的可擴展性不足。因此有必要構造一種應 用于合法監(jiān)聽系統(tǒng)中的策略管理框架,能夠通用地支持各廠商為合法監(jiān)聽系 統(tǒng)開發(fā)的相關設備。發(fā)明內容本發(fā)明的目的是為了解決現有技術中存在的問題,提供了一種應用于合 法監(jiān)聽系統(tǒng)中的策略模型構造方法,該方法構建一個通用策略模型,通過將 策略條件矢量化,并使用條件矢量組合方法以將策略評估矢量組合起來進行策略評估,基于該通用策略模型進行繼承和派生,對加密模塊、QoS保障模 塊、監(jiān)聽模塊進行基于有效的策略管理。為了實現上述目的,本發(fā)明提供了一種應用于合法監(jiān)聽系統(tǒng)中的策略模型構造方法,該方法包括以下步驟構造用于生成策略規(guī)則的策略條件、策略行為和策略有效時間段,并將 所述策略條件用矢量表示,獲得相應的策略評估矢量;確定條件矢量組合方法以將所述策略評估矢量組合起來進行策略評估;指定所述策略規(guī)則的策略作用域;基于所述策略評估矢量、所述策略作用域、所述條件矢量組合方法、所 述策略行為和策略有效時間段構造出通用策略類。進一步地,所述的策略模型構造方法還包括對所述通用策略類進行繼承 或派生。進一步地,所述策略評估矢量,包括評估對象和評估方法,其中所述評 估方法對所述評估對象與預設值或區(qū)間進行比較,如果匹配,則為"真",否 則為"假"。進一步地,所述確定條件矢量組合方法以將所述策略評估矢量組合起來 進行策略評估為按照策略評估矢量間的內在邏輯關系,用"與"和"或"關系對 策略評估矢量進行組合。
進一步地,對所述通用策略類進行繼承,具體為繼承所述評估方法, 對其賦值為基于用戶的評估方法;繼承所述評估對象,對其賦值為用戶電話號碼;繼承所述策略行為,對其賦值包括指定該用戶的網絡預留帶寬、最大限制帶寬、該用戶允許的連接數。進一步地,對所述通用策略類進行繼承,具體為繼承所述評估方法, 對其賦值為基于設備流量或連接數的評估方法;繼承所述評估對象,對其賦 值為網絡的可用流量或剩余連接數;繼承所述策略行為,對其賦值為根據數 據的整體流量來制定策略限制最大允許的用戶連接數和最大帶寬。進一步地,對所述通用策略類進行繼承,具體為繼承所述評估方法, 對其賦值為基于用戶的評估方法;繼承所述評估對象,對其賦值為用戶電話 號碼;繼承所述策略行為,對其賦值為設置用戶的安全級別和加密算法。進一步地,對所述通用策略類進行派生,具體為增加監(jiān)聽時間段成員、 監(jiān)聽類型成員和轉發(fā)單元的IP地址成員;繼承所述評估方法,對其賦值為開 啟監(jiān)聽策略的評估方法;繼承所述評估對象,對其賦值為用戶電話號碼;繼 承所述策略行為,對其賦值為開啟對用戶電話號碼對應的用戶的監(jiān)聽。進一步地,對所述通用策略類進行派生,具體為增加監(jiān)聽類型成員和 轉發(fā)單元的IP地址成員;繼承所述評估方法,對其賦值為關閉監(jiān)聽策略的評 估方法;繼承所述評估對象,對其賦值為用戶電話號碼;繼承所述策略行為, 對其賦值為關閉對用戶電話號碼對應的用戶的監(jiān)聽。本發(fā)明通過抽象出一個通用的策略模型具有可擴展性,通過繼承和派生 的方法提供對加密、QoS保障、監(jiān)聽等功能的控制,使得以上各種功能的策 略管理基于一個統(tǒng)一的合法監(jiān)聽系統(tǒng)的框架下,便于各廠商能夠靈活開發(fā)各種用于合法監(jiān)聽系統(tǒng)的設備,不必考慮接口及互通性的問題。
圖1為現有的IETF策略管理框架的示意圖2為通用策略模型構造方法的流程圖。
具體實施例方式
如圖2所示,為本發(fā)明提出的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法 的流程圖。為了改善現有的策略管理技術可擴展性的不足的現狀,通過將繼 承和派生的思想引入到通用策略模型的構造中(由通用策略派生,和對通用 策略進行繼承是同一概念),并將策略條件用矢量加以表示,構造了一種通 用的策略模型。其結構如下高級編程語言所示的 Class通用策略策略作用域 Vector〈策略評估〉條件矢量組合方法策略有效時間段行為而構造這個策略模型的過程包括步驟201,構造用戶生成策略規(guī)則的策略條件、策略行為和策略有效時 間段,并將所述策略條件用矢量表示,獲得相應的策略評估矢量;步驟202,確定條件矢量組合方法以將所述策略評估矢量組合起來進行 策略評估;步驟203,指定所述策略規(guī)則的策略作用域;步驟204,基于所述策略評估矢量、策略作用域、所述條件矢量組合方 法、所述策略行為和策略有效時間段構建出通用策略類。如圖2所示,在構建出通用策略類之后,還包括通過繼承和派生的方法 生成策略子類為加密、QoS保障以及合法監(jiān)聽等功能提供有效控制。
下面描述本發(fā)明通用策略模型構造方法構建的策略模型實例1。在本例 中,基于上述構建的通用策略類,即通用策略模型,通過繼承方法來實現對于 用戶的QOS管理的策略子類,其結構如下高級編程語言所示的Class對于用戶的QoS管理策略子類通用策略(策略作用域所有設備VectoK基于用戶的QoS策略評估> 條件矢量組合方法(無)策略有效時間段2007/5/15 3: 00pm-2008/5/15 3: 00pm行為指定該用戶的網絡預留帶寬、最大限制帶寬和該用戶允許的連接 數Class基于用戶的QoS策略評估策略評估用戶電話號碼 基于用戶的評估方法而構造策略模型實例1的過程包括將通用策略模型(類)實例化,同 時參見上述語言所示的結構圖,即步驟201,繼承策略規(guī)則的策略條件、策略行為和策略有效時間段,并對策略有效時間段進行賦值如此用戶的策略有效時間段從簽約日起,即2007 年5月15日下午3: 00到2008年5月15日下午3: 00,并將所述策略條件 分別用矢量表示,獲得相應的策略評估矢量;所述策略評估矢量包括評估對 象和評估方法,其中所述評估方法對所述評估對象與預設值或區(qū)間進行比較, 如果匹配,則為"真",否則為"假"。評估對象賦值為用戶的電話號碼,評估 方法賦值為采用基于用戶的評估方法。如將用戶分為高、中、低三個級別, 并保留提供其他特殊用戶使用的號碼。若此時發(fā)起呼叫的用戶的電話號碼為
87544044,則基于用戶的評估方法如下查找與此號碼匹配的級別,發(fā)現該 用戶屬于低級用戶。即此時策略評估的結果為低級用戶策略。策略行為賦值 為指定該用戶的網絡預留帶寬、最大限制帶寬和該用戶允許的連接數,如對 于此低級用戶指定網絡預留帶寬為10k,而用戶允許的連接數為1個,當網 絡閑時,最大限制帶寬為15 k。
步驟202,確定條件矢量組合方法以將所述策略評估矢量連接起來;在 此處條件矢量組合方法為空,因為只有一個條件矢量。
步驟203,指定所述策略規(guī)則的策略作用域為所有設備;
步驟204,基于上述策略評估矢量、所述策略作用域、所述條件矢量組 合方法、所述策略行為和策略有效時間段,基于通用策略類繼承生成了對于 用戶的QoS策略子類。
下面介紹本發(fā)明通用策略模型構造方法構建的策略模型實例2。在本例 中,基于上述構建的通用策略模型,通過繼承方法來實現對于設備的QoS管 理的策略子類,其結構如下高級編程語言所示的
Class對于設備的QoS管理策略子類通用策略
(策略作用域所有設備 VectoK基于設備的QoS策略評估1> VectoK基于設備的QoS策略評估2> 條件矢量組合方法AND (&) 策略有效時間段2007年的下半年
行為根據整體流量來指定策略限制最大允許的用戶連接數和最大帶寬}
Class基于設備的QoS策略評估1:策略評估網絡的可用流量 基于設備流量的評估方法Class基于設備的QoS策略評估2:策略評估網絡的剩余連接數 基于設備連接數的評估方法而上述所示的策略模型實例2的構造方法包括將圖2構造的通用策略 模型(類)實例化,艮P:步驟301,繼承策略規(guī)則的2個策略條件、策略行為,并對策略行為進行賦值如根據數據的整體流量來制定策略限制最大允許的用戶連接數和最大帶寬,如在剩余連接數為4,可用帶寬為40k的時候,允許提供設備默認連 接數2個,默認帶寬20k,并指定最大允許的用戶連接數為3個,最大帶寬 為30k;和繼承策略有效時間段如此設備的策略有效時間段賦值為從為2007 年的下半年,即為7月1日到12月31日;并將2個策略條件分別用矢量表 示,獲得相對應的2個策略評估矢量;所述策略評估矢量包括評估對象和評 估方法,其中所述評估方法對所述評估對象與預設值或區(qū)間進行比較,如果 匹配,則為"真",否則為"假"。在第一策略評估矢量中,評估對象賦值為網絡的總的流量,評估方法賦 值為基于設備流量的評估方法。如此時的可用流量即分配給用戶其簽訂的預 留帶寬之后剩余的帶寬為40k,設備的默認帶寬為20k,則有可能為設備指定 20k的帶寬;若此時剩余帶寬只有15k,則無法為設備指定帶寬,發(fā)送錯誤報告在第二策略評估矢量中,評估對象賦值為網絡的剩余連接數,評估方法 賦值為基于設備連接數的評估方法。如此時網絡的可用連接數,即分配給用 戶其簽訂的連接數之后剩余的帶寬為4,設備默認連接數為2,則有可能為設 備提供2個連接;若此時剩余連接數只有l(wèi),則無法為設備提供所需連接數, 不能執(zhí)行對應操作。歩驟302,確定條件矢量組合方法賦值為(第一策略評估)& (第二策 略評估)以將2個策略評估矢量組合起來;即必須同時滿足有足夠的剩余帶 寬和連接數時,才能為設備分配帶寬和連接數;有其中任何一項不滿足時, 不能執(zhí)行對應操作。步驟303,指定所述策略規(guī)則的策略作用域為所有設備;步驟304,基于上述策略評估矢量、策略作用域、條件矢量組合方法、策略行為和策略有效時間段,基于通用策略類繼承生成了對于設備的QoS策略子類。下面介紹本發(fā)明通用策略模型構造方法構建的策略模型實例3。在本例 中,基于上述構建的通用策略模型,通過繼承方法從通用策略類中派生出用 戶的加密策略子類,其結構如下高級編程語言所示的Class基于用戶的加密策略子類通用策略策略作用域所有設備 VectoK基于用戶的加密策略評估>條件矢量組合方法(空)策略有效時間段2007/5/15 3: 00pm-2008/5/15 3: 00pm行為設置用戶的安全級別,對用戶采取相應的加密算法}Class基于用戶的加密策略評估策略評估用戶電話號碼 基于用戶的評估方法而上述策略模型實例3的構造方法包括:將圖2構造的通用策略模型(類)
實例化,即步驟401,繼承策略規(guī)則的1個策略條件、策略行為,并對策略行為進 行賦值如根據評估結果,即中級用戶策略,指定該用戶的安全級別和加密算法,如對于此中級用戶指定安全級別為中級,加密算法為AES加密算法;和 繼承策略有效時間段賦值為從簽約日起,即2007年5月15日下午3: 00到 2008年5月15日下午3: 00;并將策略條件分別用矢量表示,獲得相對應的 策略評估矢量;所述策略評估矢量包括評估對象和評估方法,其中所述評估 方法對所述評估對象與預設值或區(qū)間進行比較,如果匹配,則為"真",否則 為"假"。評估對象賦值為用戶的電話號碼,評估方法賦值為采用基于用戶的 評估方法。如將用戶分為高、中、低三個級別,若此時發(fā)起呼叫的用戶的電 話號碼為87544044,則基于用戶的評估方法如下查找與此號碼匹配的級別, 發(fā)現該用戶屬于低級用戶。即此時策略評估的結果為中級用戶策略。 步驟402,確定條件矢量組合方法為空; 步驟403,指定所述策略規(guī)則的策略作用域為所有設備; 步驟404,基于上述策略評估矢量、策略作用域、條件矢量組合方法、 策略行為和策略有效時間段,基于通用策略類繼承生成了對于用戶的加密策 略子類。下面介紹本發(fā)明通用策略模型構造方法構建的策略模型實例4。在本例 中,基于上述構建的通用策略模型,通過繼承方法從通用策略類中派生出設 備的加密策略子類,其結構如下高級編程語言所示的Class基于設備的默認加密策略子類通用策略策略作用域所有設備 VectoK基于設備的加密策略評估〉 條件矢量組合方法(空) 策略有效時間段2007下半年 行為為默認用戶設備為低級安全級別,對該用戶采取DES加密算法Class基于設備的加密策略評估策略評估用戶電話號碼 基于設備的評估方法而上述策略模型實例4的構造方法包括:將圖2構造的通用策略模型(類) 實例化,即步驟501,繼承策略規(guī)則的1個策略條件、策略行為,并對策略行為進 行賦值如根據行為是根據評估結果,即低級用戶策略,指定該用戶的安全級 別和加密算法,如對于此指定安全級別為中級,加密算法為DES加密算法; 和繼承策略有效時間段,賦值為從為2007年的下半年,即為7月1日到12 月31日;并將策略條件分別用矢量表示,獲得相對應的策略評估矢量;所述 策略評估矢量包括評估對象和評估方法,其中所述評估方法對所述評估對象 與預設值或區(qū)間進行比較,如果匹配,則為"真",否則為"假"。評估對象賦 值為用戶的電話號碼,評估方法賦值為基于設備的評估方法。如此時發(fā)起呼 叫的設備的電話號碼為87541000,則將此號碼評估為默認設備。 步驟502,確定條件矢量組合方法為空; 歩驟503,指定所述策略規(guī)則的策略作用域為所有設備; 步驟504,基于上述策略評估矢量、策略作用域、條件矢量組合方法、 策略行為和策略有效時間段,基于通用策略類繼承生成了對于用戶的加密策 略子類。下面介紹本發(fā)明通用策略模型構造方法構建的策略模型實例5。在本例 中,基于上述構建的通用策略模型,通過繼承方法從通用策略類中派生出開 啟監(jiān)聽策略子類,其結構如下高級編程語言所示的 Class開啟監(jiān)聽策略子類通用策略 策略作用域所有設備VectotK開啟監(jiān)聽的加密策略評估〉條件矢量組合方法(空)策略有效時間段監(jiān)聽時間段監(jiān)聽類型轉發(fā)單元的IP地址行為開啟對該用戶的監(jiān)聽}Class開啟監(jiān)聽的加密策略評估策略評估用戶電話號碼 開啟監(jiān)聽策略評估評估方法而上述所示的策略模型實例5的構造方法包括將圖2構造的通用策略 模型(類)實例化,即步驟601,繼承策略規(guī)則的1個策略條件、策略行為,并對策略行為進 行賦值如根據評估結果,對此用戶開啟監(jiān)聽;和繼承策略有效時間段賦值為 2007年5月15日下午3: 00到2008年5月15日下午3: 00;并將策略條件 用矢量表示,獲得相對應的策略評估矢量;所述策略評估矢量包括評估對象 和評估方法,其中所述評估方法對所述評估對象與預設值或區(qū)間進行比較, 如果匹配,則為"真",否則為"假"。評估對象賦值為用戶的電話號碼,評估 方法賦值為采用開啟監(jiān)聽策略評估方法,若此時發(fā)起呼叫的用戶的電話號碼 為87544044,則開啟監(jiān)聽策略評估方法如下查找此號碼是否屬于監(jiān)聽類,
發(fā)現該用戶屬于監(jiān)聽類。即此時策略評估的結果為監(jiān)聽用戶策略。步驟602,確定條件矢量組合方法為空; 步驟603,指定所述策略規(guī)則的策略作用域為所有設備; 步驟604,增加監(jiān)聽時間段、監(jiān)聽類型和轉發(fā)單元的IP地址三個成員, 監(jiān)聽時間段為策略有效時間段內實行監(jiān)聽的具體時間。此用戶的監(jiān)聽時間段 為上午8: 00到下午20: 00,該用戶的監(jiān)聽類型為媒體監(jiān)聽,轉發(fā)單元的IP 地址是指將監(jiān)聽內容轉發(fā)的地址,此處轉發(fā)單元的IP地址為192.168.0.66。 步驟605,基于上述策略評估矢量、策略作用域、條件矢量組合方法、 策略行為和策略有效時間段,基于通用策略類派生生成了對于開啟監(jiān)聽策略 子類。其中,監(jiān)聽類型可以分為對媒體和信令的監(jiān)聽,此兩種監(jiān)聽類型分別屬 于兩個不同的開啟監(jiān)聽策略,這兩個策略可以按照先后順序應用于同一個用 戶。即,按照上述方式,還可以繼承信令監(jiān)聽類型的開啟監(jiān)聽策略,具體過 程如上所述,不再贅述。下面介紹本發(fā)明通用策略模型構造方法構建的策略模型實例6。在本例 中,基于上述構建的通用策略模型,通過繼承方法從通用策略類中派生出關 閉監(jiān)聽策略子類,其結構如下高級編程語言所示的Class關閉監(jiān)聽策略子類通用策略策略作用域所有設備 VectoK關閉監(jiān)聽的加密策略評估〉 條件矢量組合方法(空)策略有效時間段 監(jiān)聽類型轉發(fā)單元的IP地址行為關閉對該用戶的監(jiān)聽 Class關閉監(jiān)聽的加密策略評估策略評估用戶電話號碼 關閉監(jiān)聽策略評估評估方法而上述所示的策略模型實例6的構造方法包括將圖2構造的通用策略 模型(類)實例化,即步驟701,繼承策略規(guī)則的1個策略條件、策略行為,并對策略行為進 行賦值如無條件地對此用戶關閉監(jiān)聽。若此用戶并未開啟監(jiān)聽,則關閉監(jiān)聽 執(zhí)行不成功,執(zhí)行結果為False;和繼承策略有效時間段,賦值為2007年5 月15日下午3: 00到2008年5月15日下午3: 00;并將策略條件用矢量表 示,獲得相對應的策略評估矢量;所述策略評估矢量包括評估對象和評估方 法,其中所述評估方法對所述評估對象與預設值或區(qū)間進行比較,如果匹配, 則為"真",否則為"假"。評估對象賦值為用戶的電話號碼,評估方法賦值為 采用關閉監(jiān)聽策略評估方法。若此時發(fā)起呼叫的用戶的電話號碼為 87544044,則關閉監(jiān)聽策略評估方法如下査找此號碼是否屬于監(jiān)聽類,發(fā) 現該用戶屬于監(jiān)聽類。即此時策略評估的結果為關閉監(jiān)聽用戶策略。 步驟702,確定條件矢量組合方法為空; 步驟703,指定所述策略規(guī)則的策略作用域為所有設備; 步驟704:增加監(jiān)聽類型和轉發(fā)單元的IP地址成員,此處該用戶的監(jiān)聽 類型為信令監(jiān)聽,轉發(fā)單元的IP地址是指將監(jiān)聽內容轉發(fā)的地址,此處轉發(fā) 單元的IP地址為192.168.0.66;步驟705,基于上述策略評估矢量、策略作用域、條件矢量組合方法、 策略行為和策略有效時間段,基于通用策略類派生生成了對于關閉監(jiān)聽策略 子類。
其中,監(jiān)聽類型可以分為對媒體和信令的監(jiān)聽,此兩種監(jiān)聽類型分別屬 于兩個不同的關閉監(jiān)聽策略,這兩個策略可以按照先后順序應用于同一個用 戶。即,按照上述方式,還可以派生媒體監(jiān)聽類型的關閉監(jiān)聽策略,具體過 程如上所述,不再贅述。本發(fā)明QoS、加密和合法監(jiān)聽模塊的策略都是通用策略類的子類,即都 繼承了父類的所有成員如策略作用域、策略評估矢量、策略作用域、策略行 為和策略有效時間段,和成員方法如條件矢量組合方法,并可以根據自己的 具體需要分別派生新的成員如監(jiān)聽類型和轉發(fā)單元的IP地址三個成員和方 法。因此,本發(fā)明構造的策略模型具有以下優(yōu)點1)建立了一個應用于合法監(jiān)聽系統(tǒng)的策略模型,可以提供對加密功能、QoS保障以及監(jiān)聽等功能的管理。由于這種策略模型是基于對象和繼承的,因此對于不同功能模塊的策略 都能進行管理。而且使得策略規(guī)則的編寫變得比較簡單,只需在父類的基礎 上進行修改和添加。通用管理策略模型可以為未來新增加的功能提供基于策 略的管理,方便了其他廠商為合法監(jiān)聽系統(tǒng)開發(fā)新的功能設備,大大提高了功能擴展性。2)提出了一種具有擴展性的策略管理模型,即是對未來的合法監(jiān)聽系統(tǒng)及其他網絡安全設備的策略管理提出了一個可行的發(fā)展方向。最后所應說明的是,以上實施例僅用以說明本發(fā)明的技術方案而非限制, 盡管參照較佳實施例對本發(fā)明進行了詳細說明,本領域的普通技術人員應當 理解,可以對本發(fā)明的技術方案進行修改或者等同替換,而不脫離本發(fā)明技 術方案的精神和范圍,其均應涵蓋在本發(fā)明的權利要求范圍當中。
權利要求
1、 一種應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法,其特征在于包括以 下步驟構造用于生成策略規(guī)則的策略條件、策略行為和策略有效時間段,并 將所述策略條件用矢量表示,獲得相應的策略評估矢量;確定條件矢量組合方法以將所述策略評估矢量組合起來進行策略評估;指定所述策略規(guī)則的策略作用域;基于所述策略評估矢量、所述策略作用域、所述條件矢量組合方法、 所述策略行為和策略有效時間段構造出通用策略類。
2、 根據權利要求1所述的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法, 其特征在于還包括對所述通用策略類進行繼承或派生。
3、 根據權利要求2所述的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法, 其特征在于所述策略評估矢量,包括評估對象和評估方法,其中所述評估 方法將所述評估對象與預設值或區(qū)間進行比較,如果匹配,則為"真",否 則為"假"。
4、 根據權利要求3所述的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法, 其特征在于所述確定條件矢量組合方法以將所述策略評估矢量組合起來進 行策略評估,具體是按照策略評估矢量間的內在邏輯關系,用"與"和"或" 關系對策略評估矢量進行組合。
5、 根據權利要求2所述的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法, 其特征在于對所述通用策略類進行繼承,具體為繼承所述評估方法,對 其賦值為基于用戶的評估方法;繼承所述評估對象,對其賦值為用戶電話 號碼;繼承所述策略行為,對其賦值為該用戶的網絡預留帶寬、最大限制 帶寬、允許的連接數。
6、 根據權利要求2所述的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法, 其特征在于對所述通用策略類進行繼承,具體為繼承所述評估方法,對 其賦值為基于設備流量或連接數的評估方法;繼承所述評估對象,對其賦 值為網絡的可用流量或剩余連接數;繼承所述策略行為,對其賦值為根據 數據的整體流量來制定策略,限制最大允許的用戶連接數和最大帶寬。
7、 根據權利要求2所述的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法, 其特征在于對所述通用策略類進行繼承,具體為繼承所述評估方法,對 其賦值為基于用戶的評估方法;繼承所述評估對象,對其賦值為用戶電話 號碼;繼承所述策略行為,對其賦值為設置用戶的安全級別和加密算法。
8、 根據權利要求2所述的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法, 其特征在于對所述通用策略類進行繼承,具體為增加監(jiān)聽時間段成員、 監(jiān)聽類型成員和轉發(fā)單元的IP地址成員;繼承所述評估方法,對其賦值為 開啟監(jiān)聽策略的評估方法;繼承所述評估對象,對其賦值為用戶電話號碼; 繼承所述策略行為,對其賦值為開啟對用戶電話號碼對應的用戶的監(jiān)聽。
9、 根據權利要求2所述的應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法, 其特征在于對所述通用策略類進行繼承,具體為增加監(jiān)聽類型成員和轉 發(fā)單元的IP地址成員;繼承所述評估方法,對其賦值為關閉監(jiān)聽策略的評 估方法;繼承所述評估對象,對其賦值為用戶電話號碼;繼承所述策略行 為,對其賦值為關閉對用戶電話號碼對應的用戶的監(jiān)聽。
全文摘要
本發(fā)明涉及一種應用于合法監(jiān)聽系統(tǒng)的策略模型構造方法,包括構造用于生成策略規(guī)則的策略條件、策略行為和策略有效時間段,并將策略條件用矢量表示,獲得相應的策略評估矢量;確定條件矢量組合方法,將所述策略評估矢量組合起來進行策略評估;指定所述策略規(guī)則的策略作用域;基于上述的策略評估矢量、所述條件矢量組合方法、策略行為和策略有效時間段、策略作用域共同構建出通用策略類;從通用策略類為合法監(jiān)聽系統(tǒng)派生出策略子類。本發(fā)明首先抽象出一個具有可擴展性的通用策略模型,在構造出通用策略模型之后,通過繼承和派生的方法為合法監(jiān)聽系統(tǒng)生成策略子類,提供加密、QoS保障、監(jiān)聽等多種功能控制。
文檔編號H04L12/24GK101123541SQ20071005343
公開日2008年2月13日 申請日期2007年9月29日 優(yōu)先權日2007年9月29日
發(fā)明者軍 楊, 王芙蓉, 皓 秦, 莫益軍, 辰 黃, 黃本雄 申請人:華中科技大學