（通信与信息系统专业论文）ip网络合法监听规则的研究和实现.pdf

中文摘要摘要：随着全球信息化水平的不断提高，一方面在享受着信息化社会的诸多便利，网络与信息安全显的越来越重要。人们另一方面也注意到有些人利用通信工具实施的违法活动。为了满足安全方面的需要，更好的打击各种违法活动，合法监听已经引起国家政府部门关注。目前，在固网、无线等语音网络上合法监听功能有个明确的规范，而i p 网络的合法监听相对来说比较复杂和不成熟。如今公共i p网( 城域网、i n t e m e t ) 已经成为人们传递公共和私人信息的重要渠道，所以对于公共m 网络的合法监听既是一个必然需求同时也是一个巨大的市场。基于上述的背景，本文对口网络合法监听规则进行研究和实现。本文的主要工作及成果：1 、参与了i p 网络合法监听项目的研发，按照软件工程化的思想，在多核系统上对监听规则的实现进行设计分析，具体内容如下：监听规则数据结构的设计、多核系统上监听规则的处理、分布式设备规则的处理设计。2 、在实际产品中编程实现了这些设计，对编码进行了单元测试和系统测试，单元测试证实了函数内部数据操作的有效性和正确性，系统测试，验证了监听的有效性。3 、针对多点协同监听的负载分配问题，本文基于图论的方法，提出了多次采用匈牙利匹配算法对大规模数据规则进行设置。通过此算法，使得每个监听点上的监听规则均衡，改善了由于某个监听点监听规则不均匀而使得监听点负担过重的问题。并通过m a t l a b 仿真，验证了算法的正确性关键词：合法监听；p 网络；匈牙利算法：s n m p v 3 协议；负载分配；多核系统分类号：t n 9 1 5a bs t r a c ta b s t r a c t w i 廿lt h eg l o b a l i z a t i o no fi 晌肌a t i o nl e v e li n c r e 孙i n g ，m en e 铆o r ka n di i l f o 锄a t i o ns e c 砸哆s h o wm o 托a n dm o r ci r l l p o n a n t o n eh a n d ，p e o p l ew 鹤e n j o y i i l gt 1 1 ec o n v e i l i e n t 丘d mi l l f o m a t i o ns o c i e t y o nt l l eo t l l e fh 锄d ，s 锄ep e o p l ea r eu s i n gc o m n m n i c a t i o nt o o l sd om 锄yt h j n g so fi l l e g a l t i v i t i e s i i lo r d e rt 0m e e tt l l en e e d so f娩f e t ) ，弱p e c t s ，觚dd ob e t t e rt 0c r a c kd o w n0 na l l i l l e g 甜a c t i v i t i e s ，l a 删眦i i l t e r c e 鸥w t l i c hh 嬲c a u s e dn a t i o n a l9 0 v e n l 】m e n td 印a 1 1 皿e n t sc o n c e m c d a tp r e s e n t ，l a 施l硫e r c e p t m c t i o nh a v eac l e a rs p e c i f i c a t i o ni i l 叙e dn e 咄谢r e l e s se t cv o i c e鹏姗。咄b u tl a 、v 舢i n t e r c 印to fi p 咖r ki sc 0 m p l i c a t e d 锄d 豳吼绷盯er e l a t i v e l y n o w ，p u b l i ci pn 咖o r k ( s u c h 嬲ma n ，i n t c m e t ) h 嬲b e c o m et l l ei r n p o r t a n tw a yf o rp e o p l et 0 咖f e rp u b l i ca n dp r i v a t ei i l f o r m a t i o i l s 0t t l el 鲫血li n t e r c e p tf o rp u b l i ci pn e 咖d 圆i sai i l e v i 诎l ed e m 锄d 砌l ei sa l s 0ah u g em a d ( e t t l l i sp 印e rd e s i g 眦锄dh p l e m e 鹏m en l l e so fi pn e 咖r kl a w 如li n t e 脱p t 1 1 1 em a i nw 0 舾觚da c l l i e v 锄e 鹏：f 嘁t h e 戳n h o rl i a dt a l 【p a i ti i l 血ed e v e l o p m e n to f 口n e t w o r kl a w 舢i n t e m e p t i o n a c c o r d i n gt 0t l l ei d o f 衔a r ce n g i n e e r i n g ，t l l es t | t u r a lo fm o l l i t o rm l e s ，t l l em l e sb 弱e do nm u l t i c o r e ，t 1 1 er u l e so fd i s 仃i b u t e ds y s t e ma r ep r o c e s s e d0 rd e s i 印e d s e c o n d ，t h el a w f mi n t e r c e p tm l e sa r er e m i z e do nm u l t i - c 0 r es y s t e mi nh 3c ，c o d e sa r et e s t e dw l l i c hi i l c l u d i n gu i l i tt e s t i n g 觚ds y s t e mt e s t i n g u i l i tt e s t sa r eb 雒e do nc o d eo ft e s t i n gi no r d e rt 0e 璐u r ee 毹c t i v e n e s s 柚dc o n e c m e s so fi i l t 锄a jd a t ao p e r a t i o n s y s t e mt e s t i n gi sb 鹞e do nt v 旧m o d e sw h j c hi i l c l u d em e s s a g em o i l i t o r 孤dr 1 0 n - m e s s 雄| em 0 1 1 i t o r t h t l l er e s u l t sa 他觚2 l l y z e d l a s t ，i i lo r d e rt 0s 0 l v et l l ea l l o c a t i o np r o b l e mo fl a r g e - s c a j ed a t as 仃e 锄，h u n g 撕弛m a t c l l i n ga l g o r i t 胁sa r ea d o p t e d ，锄dt l l ep r o b l e mo fm o i l i t o rp o i n to v e r b u r d e n e dw h j c hb e c a l l s es o m em o i l i t o r i n gp o i n ts u r v e i l l a l l c er u l eu n e v e n 1 皿y w o i m s ：i ，a w 如li n t e r c 印t i o n ；i pn e 似o r k ；h u i l g a d ra l g o r i t h m ；s n m p v 3 ；l 0 a dd i s t r i b u t i o n ；m u l t i c o r es y s t e m c l a s s n o ：t n 9 15致谢本论文的工作是在我的导师张有根副教授的悉心指导下完成的，张有根副教授严谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢三年来张有根老师对我的关心和指导。张有根副教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给予了我很大的关心和帮助，在此向张有根老师表示衷心的谢意。同时，还要感谢实验室陈常嘉教授、郭字春教授、赵永祥副教授的指导，他们对我的论文提供了宝贵的意见。在实验室工作及撰写论文期间，还要感谢孔玲、黄雅琦等同学对我论文的研究工作给予了热情帮助，在此向他们表达我的感激之情。另外也感谢家人，他们的理解和支持使我能够在学校专心完成我的学业。1 绪论1 1 课题研究背景随着全球信息化水平的不断提高，网络与信息安全显的越来越重要，无论从个人的工作、生活等多方面考虑，还是国家的经济发展、社会稳定和国防安全方面，网络与信息安全都有举足轻重的地位和作用。人们一方面在享受着信息化社会的诸多便利，另一方面也注意到有些人利用通信工具实施的违法活动，如：散布有害社会的信息、发布色情信息等。因此，为了满足安全方面的需要，更好的打击各种违法活动，通信网的合法监听( u ：i ，a w 削i m e r c e p t i o n ) 已经引起国家政府部门关注。合法监听即为“合法的 监听，指经过司法机关授权、由政府相关执法部门( 国家安全部门、警察机构) 执行的对公共通讯网络的监听。合法监听的角色包括合法监听机构、合法监听的授权机构、网络运营商、接入供应商或者服务提供商、监听目标。目前比较成熟的标准有两种：一种为e t s t 监听标准，它由欧洲电信标准协会( e u r o p e 孤t e l e c 0 n 蚰u 1 1 i c a t i o ns t 锄d a r di i l s t i t u t i o 乌e t s i ) 的合法监听技术委员会( t e c h i l i c a lc o 倒【i l i 舵eo ni ，a 、瓶l li n t e r c e p t i o n ，t c l i ) 制定的，它主要被欧洲国家和亚洲国家采用【2 】。而另一种c a l e a 标准，它为北美洲国家所采用的美国司法强制性通讯协助法案( c o r n m u r l i c a t i o l l sa s s i s t 锄c ef o rl a we n f o r c e m e n ta c t ，c a l e a )倡导的。美国和欧洲定义的l i 系统基本是相同的，相对于美国的规范，欧洲的规范覆盖面更广，也更具体。在这两套的l i 结构中都包括三个主要的节点【l j ：i a p ( 网络接入供应商) 、i d p ( 监听内容的传送点) 、i c p ( 监听内容的收集点) 。i a p 点负责监听激活条件的判定、监听内容的提取，并把监听的内容传送到i d p ，i d p 则按照监听内容的规范要求传送到一个或者多个i c p 中，具体的参考模型如图所示：图1 1 合法监听参考模型f i g u r e l 1 i 烈椭l li n t e r c e p t 他f e r e n c cm o d e l首先执法机构通过l 向授权机关提出申请，要求对某网络用户进行监听。如果申请合法，授权机关通过2 向执法机构颁发授权证书。获得授权机关的许可后，执法机构通过3 向网络商( 网络运营商络接入商月艮务提供商) 出示授权证书，网络商通过5 告知执法机构己经收到授权证书。网络商根据证书中的授权内容，为执法机构提供监听接口，通过4 确定监听对象，监听目标通过6 向网络商传递监听的相关信息，网络商收到监听相关信息后通过7 将信息传送到执法机构的合法监听设备l e m f 。网络商通过8 收到监听授权到期信息后，停止监听活动并通过9告知执法机关监听停止。1 2 课题研究现状从国际上来看，目前合法监听的相关组织除了e t s i ( 欧洲通信标准委员会)和美国f c c ( 联邦通信委员会) 外，国际上致力于合法监听技术标准制定的组织主要有：e t s i ( 欧洲电信标准委员会) ，t i a ( 美国电信工业委员会) 以及i p c c ( 国际分组通信论坛) ，e t s i ( 欧洲通信标准委员会) 和美国f c c ( 联邦通信委员会)已经制定完成了l i 的基础标准【。e t s i 下设的合法监听工作委员会( w c l i ) 专门负责l i 标准的制定工作，已经制定了l i 的基础标准( 包括l i 的需求，网络体系结构，转接接口规范等) ，并且在这些基础标准成果的基础上，制定了电路交换网l i 的技术标准规范，如：公众电话交换网，智能网【4 】，g s m 网络【5 j 等。目前，e t s iw c l i 正致力于i p 网络l i 标准的制定工作。在美国，由t i a 负责制定能满足需求的法律授权电子监听( l a e s ) 标准规范。目前，t i a 已制定了电路交换网络合法监听的标准：j s t d 0 2 5及其增强版本j s t d 0 2 5 a i 川。2i p c c 参照t i a 的l a e s 规范的参考模型和消息结构，提出了软交换网络合法监听要求的技术建议【_ n ，但还不成熟，需要改进和完善。虽然在固网、无线等网络上，合法监听功能已经有明确的规范和长时间的实施经验，但由于i p 网络的复杂性，对于口网络的l i 技术标准规范，各大通信组织也已在制定之中【l 叫3 】在国内，合法监听在我国还是一个有待发展完善的技术领域，很多方面都处于摸索阶段，但是随着各种利用移动通信工具犯罪的案例增多，我们迫切需要对合法监听技术实现有一个完善的解决方案，以满足运营商以及国家安全部门的需求。随着n e m e t 网络应用的更加广泛，m 网络成为人们传递公共和私人网络的重要渠道，所以对于公共m 网络的合法监听既是一个必然需求同时也是一个巨大的市场，口网络上的合法监听研究也有了十分重要的意义。目前，在g s m 系统、g p r s 系统、基于h 3 2 3 协议的v o m 系统、c d m a 系统已经有了具体的实施。而由于m 网络的复杂性，监听比较复杂。目前正在研究i p 网络合法监听的数据厂商中，还包括c i s c 0 、j u i l i p e r 、a l c a t e l 等公司。1 3 论文的研究内容及工作安排本论文的课题来源于杭州华三通信技术有限公司( h 3 c ) 合法监听项目，本论文的研究内容是i p 网络的合法监听规则的研究和实现，它是口网络合法监听功能实现必不可少的部分，有效的合法监听规则处理，不但可以提高数据处理速度，也提高系统的性能。本文的主要研究内容：l 、按照软件工程化的思想，在多核系统上对监听规则的实现进行设计分析，具体内容如下：监听规则结构的设计、多核系统上监听规则的处理、分布式设备规则的处理设计。2 、在实际产品中编程实现了这些设计，编码开发过程采用功能规格和描述语言设计核心系统，c 语言设计环境接口。调试后，对编码进行了单元测试和系统测试，单元测试证实了函数内部数据操作的有效性和正确性，系统测试，验证了监听的有效性。，3 、针对多点协同监听的负载分配问题，本文基于图论的方法，提出了多次采角匈牙利匹配算法对大规模数据规则进行设置。通过此算法，使得每个监听点上的监听规则均衡，改善了由于某个监听点监听规则不均匀而使得监听点负担过重的问题。并通过m 棚，a b 仿真，验证了算法的正确性。本论文根据整个规则实现分成了下面的几部分：第一章对合法监听技术的背景、研究现状进行了简单的说明，并且阐述了本3文的研究内容及实现方法，最后介绍了论文的组织结构。第二章对m 网络合法监听的模型、m 网络合法监听的要求、i p 网络数据传输模型、以及确保i p 网络合法监听合法性的s n m p v 3 协议等几个方面进行阐述第三章在多核的系统上对口网络监听规则的实现进行设计。设计内容包括监听规则结构的设计、多核系统规则的处理、分布式设备规则处理。规则处理包括规则的添加、删除和修改。通过编码、编译、调试后，对编码进行单元测试系统测试，系统测试在两种组网模式上对进行系统测试，并对结果进行了分析。第四章针对多点协同监听的负载分配问题，本文基于图论的方法，提出了多次采用匈牙利匹配算法对大规模数据规则进行设置。并对匹配算法进行了仿真分析。第五章对全文进行总结。42i p 网络中的合法监听随着i n t e m e t 网络应用的更加广泛，p 网络成为人们传递公共和私人网络的重要渠道。因此口网络上的合法监听研究也有了十分重要的意义。在r f c 3 9 2 4 【8 1 中给出了i p 网络合法监听的构架模型和要求。本章对i p 网络合法监听的模型、p 网络合法监听的要求、i p 网络数据传输模型、以及确保m 网络合法监听合法性的s n m p v 3 协议等几个方面进行概述总结。2 1ip 网络合法监听网络架构在r f c 3 9 2 4 【8 】中给出了d 网络中合法监听的模型如图2 1 所示，该结构模型包括四个模块和3 个接口。四个模块为l i 管理功能模块、监听设备( m d ) 模块、司法机构模块、调解设备模块四个模块。l i 管理功能模块的功能为当有关机构得到授权，可以用这个管理功能来执行监听；监听设备( m d ) 功能用来执行监听动作的设备。l 廿有2 种类型：一种负责提供通话内容( c o n t e n ti a p ) ，一种负责提供i i u ( i i a p ) ；司法机构模块指的是l e a ，其功能为司法机构发出监听要求给m d ，并接收监听结果；调解设备模块为m d ，其功能为要求i a p 进行监听，并收集l 廿返回的监听结果，将这些结果转换为l e a 要求的格式，并传送给l e a 。三个接口为h 1 1 接口、h 1 2 接口和h 1 3 接口。h i l 接口用于l e a 向服务监听信剧9 】；h 1 2 接口用于在m d 和l e a 之间传递叫信息( 监听目标的身份、具体的通信的信息或者数据、本地的信息等) ；h 1 3 接口用于在m d 和l e a 之间传递监听的内容。u 卜一h i l ( a 卜一a d m i n i s t r a t i o niii dp r o v i s i o n i n gi n t e r f k e ( b )l e a0嵩黜，e 鬻二u s 盯c o n t e n 图2 1i p 网络合法监听模型f i g u r e 2 1ia 、v 6 l li n t e r c 圮p tm o d e lo fl pn e t w o r k在网络合法蠊听的结构图中，c o n t e n ti a p 位于运背商网络f 】，被监听的用户数拥在该设备转发，监听功能足通过孑笫三方设备m d 协同完成的，通过( d ) 、( f ) 接口完成信息的交互。( d ) 接口通过s n m p v 协议进行通信，具体内容是组私彳】m i b 把m d 信息和监听命令通知给c o n t e n ti a p 设备。c o n t e n ti a p 设备根据m d 设置的规则对流经设备的数据流进行检查，发现符合规则数据后，把数掘拷贝一份作为u d p 数据进行封装，然后通过( d 接口发送给m d ，原数据继续按j j _ f 三常流程走向后续处理阶段，拷贝行为彳 被用户所察觉。m d 负责对收到信息进行格式整理，然后转给l e 人。具体的系统流程如2 2 图所示：刚2 2i p 网络合法监听的系统框架f i g u r e 2 2i pn e t w o r kl a w f u lj n t e r c e p ts y s t c mf r a m e w o r k执法机构通过纸什或监听中心的 乜予按l _ 】阳监听管理l 】心下发合法j i f i 听授权一f 5 ；监听管列! q 1 心转化监听请求为具体的网络位置信息，并发送给l i g ( 合法监听6网关) ；l i g 根据监听请求，将相关信息发给a a a ，a a a 服务器的监听设备( 如i pp r o b e ，s 蛐睡r ) 根据收到的信息设置监听目标；a a a 服务器的监听设备根据设置的监听目标，监听枞流量，用户上线时生成i 砌( 通信相关信息) 信息上送l i g ；l i g 对收到的i r j 信息进行处理后发送到监听中心；l i g 像s r 8 8 路由器发送监听目标信息和监听任务，发送监听请求；用户通过s r 8 8 接入i n t e m e t ，同时s r 8 8 像a a a 服务器发送计费信息；s r 8 8 复制用户上网信息流量，生成c c 信息，发送l i g ；l i g 将收到的c c 信息发往监听中心。2 2lp 网络合法监听要求在r f c 3 9 2 4 标准【8 】里，对合法监听做了一个限制性要求：1 ) 合法监听符合法律的要求，在鉴于用户无法感知的情况下进行。2 ) 必须有鉴权机制，防止非授权用户进行监听或获取监听内容。3 ) 如果监听内容被独立的发送到分析设备，那么必须能够让分析设备知道报文源自那一台设备。4 ) 对于加密报文，送到分析设备的报文应该已经解密或者分析设备有解密的k e y 可以自行解密。5 ) 对于同一种报文可以在分析设备和被监听设备间建立多路连接。6 ) 不能发送不必要的信息到分析设备。7 ) 管理员登陆后无操作要定时失效。8 ) 监听结果应该提供用户身份相关的i p 地址，连接时间、报文内容等。对于v o i p 还应该能够提供双方的电话号码信息。9 ) 不需要命令行，相关配置操作被监控设备上看不到。1 0 ) 分析设备通过s n m p v 3 对被监听设备进行控制，监听点定在网络层入出，将被监听的信息固定采用u d p 封装发给m d 。2 3lp 网络数据传输模型和监听点的设置从监听的角度来看，i p 网络数据的传输模型如图2 3 所示：访问接入设备、网络连接设备、服务提供层都可以提供监听功能。选择不同的监听位置得到不同通信内容的传输格式【9 】。如在服务提供层的设备上得到的是应用层的会话，在应用层常见的监听标识有e m a i l 地址、w 曲地址、i s p ( 因特网业务提供商) 用户帐号等；在网络连接设备上得到的是网络层的( i p ) 数据报，在网络层常见的监听标识如i p地址等；在访问接入设备上得到的是网络层的( i p ) 数据报、数据链路层的p d u ( 协议数据单元) 和物理层的p d u ，常见的监听标识如m a c 地址、i p 地址等。应用层5传输层4网络层3数据链路层2物理层1图2 3 口网络数据传输模型f i g u 他2 3i pn e t 、 ，o r kd a ：t a 咖s m i s s i o nm o d e l开放式系统互连( o s i ) 的分层模型将网络分为物理层、链路层、网络层、传输层、会话层、表示层和应用层七层。o s i 的分层模型可以对l i 的不同结构单元进行分类，被监听的业务标识与应用该业务的o s i 层相对应，例如，p 地址或电话号码是第3 层( 网络层) 的业务标识，电子邮件地址属于第7 层( 应用层) ，筒m 信道属于第2 层( 链路层) 。常见的与o s l 分层模型关联的监听业务标识见表2 1 所示【2 】表2 1o s i 模型与监听标识的关系1 a b l e 2 - 1t h e 陀l 矧o n s h i pb e m e e n0 s im o d e l 锄di n t e i i p t i o ni d e n t i f i c a t i o s i 层标识监听节点注释应用层e m a j l 地址服务器w 曲地址域名服务器也可以使用i p 地址表示层石旧厅ii s p 客户账号服务器i s p 端登录的客户账号传输层监听机制不允许出错恢复请求网络层电话号码交换机i p 地址路由器链路层a t m 信道a t m 交换机v p n 主干线路通道物理层主干线路i d分析物理线路上的业务82 4s n m p v 3 协议的简介在对合法监听概念的中，其强调了其合法性，即必须经过授权机构进行授权，因此，对规则的设置管理，采用了s n m p v 3 协议。由于s n m p v 3 增加了s n m p 中关键的安全机制( 加密、身份验证、访问控制) ，相对于s n m p v l 和s n m p v 2 来说，极大地增强了s n m p 的安全性能1 们。2 4 1s n m p v 3 体系结构在s n m p v 3 中，管理进程与代理统称为s n m p 实体( e n t 时) 【1 1 1 。s n m p 实体由s n m p 协议引擎( e n g i n e ) 和应用程序( 印p l i c a t i o n ) 组成。s n m p 实体包含一系列模块，模块之间相互作用来提供服务。s n m p v 3 实体的组成结构如图2 4 所示【1 2 】图2 4s 1 、m 棚p 、r 3 实体组成f i g u r e 2 4s _ n l 岬v 3e n t 时c o m p o s i t i o ns n m p 协议引擎负责执行s n m p 协议操作，为各类s n m p 应用程序提供服务。每个s n m p 协议引擎由一个s n m p 协议引擎i d 来标识。它包含调度器、消息处理子系统、安全子系统和访问控制子系统。调制器1 1 3 】同应用程序及消息处理模型进行交互，负责s n m p 消息的分发、传输和接收；消息处理子系统1 1 4 】由一个或多个消息处理模型组成，主要负责完成从接收到的消息中提取数据；安全子系统提供s n m p 消息的认证和加密服务。它可以包含多个安全模型，标准协议使用的安全模型为r f c 3 4 1 4 定义的基于用户的安全模型( u s m ) ；访问控制子系统通过一9个或多个访问控制模型提供确认对被管理对象的访问是否合法的服务。s n m p v 3默认的访问控制模型为基于视图的访问控制模型( v a c m ) 。访问控制模型还可以定义访问控制处理过程中使用的m i b 模块，以实现对访问控制策略的远程配置。s n m p 应用程序利用s n m p 协议引擎提供的服务完成特定的网络管理任务。应用程序包括：命令产生器、命令响应器、通知产生器、通知接收器和委托转发器。命令产生器用于产生s n m p 请求消息并处理请求；命令响应器用于提供对s n 请求消息的应答；通知产生器用于产生和发送异步的通知消息；通知接收器用于接收并处理异步的通知消息。当通知消息需要确认时，通知接收器应用程序还需生成相应的应答消息；委托转发器用于在网管实体之间转发网管消息。2 4 2s n m p v 3 消息格式s 舳v 3 定义了全新的管理框架，但是并没有定义新的p d u 格式，继续沿用了s 心v 1 和s n h 但v 2 的消息格式，包括g c tr e q u e s t 、g e t - n e x tr e q u e s t 、g e t b u 收r e q u e s t 、r e s p o i 赋、s e tr e q u e s t 、t m p 、i 晌n i lr e q u e s t 和r e p o n 八种格式。s n m p v 3的消息结构如图2 5 所示jlm s g v e 体i o nm s g i d篡枞m s g m a ) c s i z e( 由消息处理模型处理)m s g f i a g sm s g s e c u r i t y m o d e l1rm s g a u t h o r l a t i v e e n 西n e i dj l验证范围m s g a u t h o n a t i v e e n g i n e b o o t s安参数域m s g a u t i l o 眦i v e e n g i n e t i m e( 由安全模型处理)m s g u s e r n a m em s g a u t l l e n t i c a t j o n p 猢e t e 俗m s g p r i v a c y p a r a m e t e r s1rj ljlm s g c o n t c t x t e n g i n e l dm s g c o n t e x t n 砌e加密范围ip d u上rj r图2 5s 卜m 伊v 3 消息结构f i g u r e 2 5s n m p v 3e n t i i yc o m p o s i t i o n1 0消息处理模块包括消息格式的s n m p 版本号( m s g v e 飓i o n ) 、消息的i d ( m s g i d ) 、消息的最大长度( m s g m a ) 【s i z e ) 、消息的标志( m s g f l a g ) 四部分组成。其中消息标志由三个标志位组成，从低位到高位分别为a u t l l f l a 们r i v e f l a g r e p o r 油l e f l a g 。通过对标志位的设置可以形成3 种安全等级：无认证无加密，认证无加密，认证且加密。u s m 模块处理的安全参数：包括用户名及与授权引擎、认证、加密有关的安全参数，是专门为了支持安全机制而设置的。s c o p e d p d u ：包含上下文信息和协议数据单元，是加密保护的对象。2 4 3s n m p v 3 安全机韦0s n m p v 3 的安全机制包括认证、加密和访问控制。安全模型采用i 讧c 3 4 1 4 定义的基于用户的安全模型( u s m ) 【1 5 1 ，访问控制模型为r f c 3 4 1 5 所描述的基于视图的访问控制模型( v a c m ) 【1 6 1 。2 4 2 1 基于用户的安全模型( u s m )为了支持身份验证和加密功能，一个s n m p 引擎需要保存两中密钥和私钥。鉴别密钥和私钥都是用户的属性，并且密钥的值不可以通过s n m p 访问，以提高安全性。u s m 允许选择使用两种身份鉴别协议l l ：h m a c m d 5 9 6 和h m a c s h a 9 6 。h m a c 使用一个安全的h a s h 函数和密钥来生成一个消息的身份鉴别码。h m a c m d 5 9 6 中，h m a c 使用m d 5 作为h a s h 函数。1 2 8 比特的鉴别密钥作为h m a c 算法的输入参数产生1 2 8 比特的输出，然后截短取前9 6 比特作为结果。h m a c s h a 9 6 中h m a c 使用s h a 作为h a s h 函数。1 6 0 比特的鉴别密钥作为h c 算法的输入参数产生1 6 0 比特的输出，然后截短前9 6 比特作为结果。u s m 在使用d e s 算法的密码组链接( c b c ) 模式。1 6 个8 位字节的私钥作为加密算法的输入。私钥的前8 个字节作为d e s 算法的密钥( 去掉最高位) 在c b c 模式下，后8 个字节用来生成初始相量( ：i n i t i a j i z a t i o n v e c t o r ) 。由p r e i v 和s a l t 值按位异或而产生，其中p r e i v 是由1 6 位p r i v k e y 的最后8 位组成，s a l t 值是由该引擎s 胁p e n g i n e b 0 0 t s 的当前取值与由本地加密协议维护的一个整数串接而成。s a l t 值放在s n m p v 3 消息中的m s g p r i v a c y p a 删m e t e r s 字段中，使得接收实体能够计算出正确的l v ，再进一步对密文进行解密。这种方案按照如下方式实现：由于s a h值在每次使用后都会改变，不同明文使用不同的i v ；只有s a l t 值通过s n m p 进行传输，因此攻击者不能确定i v 。2 4 2 2 基于视图的访问控制模型( v a c m )v a c m 包括组、安全级别、上下文、m i b 试视图和访问策略5 种要素。一个组被定义为一个或者多个 的集合，一个组名鲫u p n 锄e 与一个组相联系，它可以把不同的权限很容易地赋予不同级别，即不同组的用户；安全级别即组的访问权限随着包含请求的消息的安全级别的不同而不同；一个m i b 上下文是指本地m i b 中对象实例的一个子集，通过上下文的概念便于根据不同的访问策略将m i b 对象划分成不同的集合；m i b 视图：我们经常要限制特定的组对一部分管理对象的访问。为了达到这以目的，对管理对象的访问以m i b 视图的形式进行。v a c m 基于视副墙j 子树的概念定义m i b 视图，m i b 视图定义了一系列特定管理对象。在s n m p v 3 中，管理对象是以层次结构，或者说是树型结构组织的。一个子树指的是m i b 中的一个节点以及其所有下级节点。更正规的说法是，一个子树是指在m m 树中具有公共s m 1 对象标示符前缀的对象和对象实例，其中最长的公共前缀是视图的最高级节点。在v a c m 访问控制表v m a c c e s s l a b l e 中的每一个项中都对应3 个m i b 视图，分别针对砌认d ，w i u t e和n o t i f y 权限。而每个m i b 视图都是一些视图子树的集合。这样就可以针对某些视图子树确定不同的访问权限。访问策略：、，a c m 通过检查反问请求的用户、请求消息的安全级别、处理请求消息的安全模块、请求的m i b 上下文和访问请求的类型，决定访问是否允许。s p v 3 基于视图的控制访问如图2 6 所示。图2 6s n m p v 3 基于视图的控制访问f i g u r e 2 6s n m p 、，3b 舔e do nv i e w so f c e s sc o n t l l o l1 22 5 本章小结本章内容对m 网络合法监听理论的研究。首先阐述了p 网络合法监听的网络架构、原理、以及具体的系统框架。然后介绍了对i p 网络中合法监听的要求进行了介绍，随后介绍了在i p 网络的传输模型中，监听标识和o s i 对应关系，不同的o s i 层对应不同的标识，最后介绍了s n m p v 3 协议的基本知识，用于监听规则的安全管理。3i p 网络合法监听规则的实现在研究了i p 网络合法监听的基本构架和要求后，本章对i p 网络合法监听规则的实现进行了具体分析。随着嵌入式系统、多核多线程处理器的广泛应用，本章严格按照软件开发的流程，通过详细设计、编码、单元测试和系统测试四个阶段，在h 3 c 分布式、多核的系统上对i p 网络监听规则的实现进行处理。设计阶段包括对监听规则结构的设计、多核系统规则的处理和分布式设备中规则的处理。通过编码、编译、调试后，对编码进行单元测试，单元测试的方法是基于代码的测试，保证一个模块中的所有路径至少被使用一次，并且保证函数内部数据操作的有效性和正确性。最后在两种组网模式上对进行系统测试，对结果进行了分析并通过了测试。3 1 实时操作系统的选用l 汀l i r m x 嵌入式系统选择。在数字信息技术和网络技术发展的后二、三时代，嵌入式系统无处不在。实时操作系统i u o s ( r e a l n m eo p e r a t i n gs y s t c m ) 集中了实时系统和操作系统的优点，一个优秀的r 1 r o s 是嵌入式系统成功的关键。由于l i i l 呶操作系统的廉价、源代码的开放性、系统的稳定性以及网络通信和文件管理机制的完善性，使其在基于p c 的嵌入式系统中的应用日益广泛。本论文采用的软件运行平台是被广泛应用于实时性工程领域的嵌入式实时操作系统一r tl i n u 】(限e a ln m el i n u ) ( ) 操作系统。r tl i l l u ) 【是源代码开放的具有硬实时特性的多任务操作系统，它是通过底层对l i n u ) 【实施改造的产物。通过在l i i l u ) 【内核【1 蚰o 】与硬件中断之间增加一个精巧的可抢先的实时内核，把标准的l i n l l ) 【内核作为实时内核的一个进程与用户进程一起调度，标准的l i n u x 内核的优先级最低，可以被实时进程抢断。正常的l i n u ) 【进程仍可以在l i 舢x 内核上运行，这样既可以使用标准分时操作系统一l i 肌x 的各种服务，又能提供低延时的实时环境【2 1 棚j 。r tl i n u x 系统体系结构如图3 1 所示。1 4图3 1r t l i n u ) 【体系结构f i g u 他3 1i 玎l i n u ) ( s y s t e ms t r u m 鹏多核模型。多核处理器可以看作是多个通用的c p u 和一些功能部件集成到一块芯片中形成的一个s o c ，这些c p u 之间以及c p u 与集成到芯片上的其他部件间通过高速的内部互联技术进行通信，打破了以往多c p u 系统中c p u 之间以及c p u 与系统其他部件的通信瓶颈，使系统性能得到保证。其模型架构如图3 2c o r e0c o nlc o nn图3 2 多核模型f i g u 他3 2m u l t i - c o 佗m o d e lc o m m w 八i 也v 5 是h 3 c 公司下一代软件平台，增加了i p v 6 的特性支持，同时也实现了组件化的开发方式。系统被分为d o p r a 、转发、路由、m p l s 、安全、v p n 、l 州、w a n 、系统支撑等子系统。各组件子系统间只能通过组件接口进行访问，实现了子系统内部信息的隔离。c o m w a r a ev s 的体系结构同时兼顾了集中式处理、分布式软件转发和分布式硬件转发多种系统模型。基于c o m w 6 眦v 5 的系统模型如图3 3 所示，系统分为控制平面、数据平面和底层驱动三部分。控制平面，控制平面运行在一个单独的c o r e 厂n l r e a d 上，其功能主要包括系统控制、系统管理。其中，系统控制部分的主要功能是生成用于指导数据平面进行报文转发处理的控制信息，主要包括：路由协议( 生成用于指导报文转发的转发表项) 、m p l s 信令协议( 生成用于指导m p l s 报文转发的标签交换信息) 、链路层协商( 链路状态的维护及链路层邻居信息的收集) 、业务处理的控制部分。而系统管理部分提供对系统进行管理、维护所需的各种功能，主要包含：配置管理( 提供给用户的用于修改设备参数的功能，包括命令行、s n m p 、w 曲等多种配置方式) 、信息中心( d e b u g 、l o g 信息的输出) 、文件系统、f t p 、t e l n e t 、s s h ( 提供安全的远程控制连接给用户进行设备的维护操作) ；数据平面，运行在其他的多个c o r e 厂n l r e a d 上，数据平面负责报文转发以及转发过程中的业务处理，其余的功能( 配置管理、设备管理等) 均放在控制平面处理。底层驱动；底层驱动负责完成系统设备的初始化并提供设备操作a p i 供上层应用模块使用，包括以下几部分：b 0 0 n o m ( 引导系统启动) 、b s p ( 初始化c p u 、内存、总线等) 、设备驱动( 提供设备初始化以及设备操作相关a p i 供上层软件调用) 。八( 翼v图3 3c o m w a r a e v s 模型f i g u r e 3 3c o m w a r a ev sm o d e l数据平面、控制平面和驱动之间的通信如图3 3 所示，数据平面通过与控制平面制定的一套a p i 接口进行通信。底层驱动在接收到报文后通过接口1 将报文上送给数据平面处理，数据平面通过接口2 将报文交给底层驱动进行物理发送，报文可能是从其他接口收到的转发报文，也可能是控制平面上送的报文，数据平面将接收到的目的地址为本机的报文通过接口3 上送给控制平面进行处理，对于接收到的非法报文( 包括错误报文、无法转发的报文、被过滤丢弃的报文以及不能处1 6理的报文) 数据平面通过接口4 将直接丢弃。控制平面通过接口5 将协议报文或应用层数据报文交给数据平面进行发送处理。接口6 用于控制平面将指导数据平面转发的控制信息下刷给数据平面，控制平面通过接口7 与数据平面的控制信息传递，通过接口8 与驱动的控制信息传递。3 2i p 网络合法监听规则的实现分析本章设计内容是在c o m w 舢乙垣v s 系统模型上，通过s n m p v 3 协议m i b 执行s e t 、g e t 操作。通过s e t 操作向c o m w a r a ev s 系统模型的控制平面添加、修改或者删除规则信息，并通过驱动的接口函数，将控制平面的处理信息传递给数据平面，数据平面对数据进行处理以保持和控制平面规则信息的同步性；通过g e t操作，可以获取报文统计信息，以便对系统性能的实时监测。3 2 1 模块接口鉴于上述对选用操作系统分析，对l i 进行模块划分，其与周围的模块关系如图3 4 所示，其中，s n m p v 3 模块：通过s n m p v 3 协议执行g e t 、s e t 、g e t n e x t命令向l i 下发监听规则信息，并对规则信息的处理。处理包括添加规则、修改规则和删除规则信息以及监听开始的时间等：驱动( d r v ) 模块：通过d r v 的接口，实现l i 模块中数据平面和控制平面之间规则信息之间的传递；v p n 模块：通过v p n 模块获取v p n 索引以匹配含有v p n 索引的报文；i c 模块：l i 向i c 模块注册调试信息，当调试开关打开时，i c 模块向命令行终端界面，输出l i 调试信息，通过此模块便于在测试时，对问题的跟踪；i 心c 模块：通过该模块实现分布式不同接口板和主控板信息的同步，以使得在不同的接口板上所用的监听规则相同，便于管理；定时器模块：当时间到达监听规则中定时器时间后，l i 监听规则删除，监听功能失去作用。1 7图3 4 监听模块与外部模块的关系图f i g u 佗3 4t h e 佗1 a t i o n s h i pb 舐 ，e e ni n t e r c e p t i o na n de x t e m a lm o d u l e进一步对u 内部进行模块划分，则内部模块实现流程如