Взаимодействие между ПУ СОРМ и оборудованием Оператора NWO/AP/SvP, т.е. реализацию интерфейсов HI2 и HI3, предлагается производить через специальное устройство - Посредник СОРМ (Mediation Device), - которое, в свою очередь, связано с Softswitch, медиа-шлюзами, абонентским доступом, а также с маршрутизаторами сети IP. Посредник СОРМ будет исполнять роль конвертера сигнализации, аналогичного известным в отечественных сетях разработкам «Протей» или «Малвин», а также конвертера (шлюза) медиа-потоков для доставки перехваченной пользовательской информации к ПУ СОРМ. Такая архитектура представлена на рис. 9.13.
Здесь ПУ СОРМ - это пункт управления, применяющийся в существующих сетях с коммутацией каналов и связанный через интерфейсы 1 c Посредником СОРМ. Интерфейс 1 является стандартным интерфейсом команд и ответов СОРМ, аналогичным применяющимся в существующих сетях TDM.
Рис. 9.13. СОРМ в NGN |
Интерфейс 2, используемый для взаимодействия Посредника СОРМ и Softswitch с целью поставить пользователей на контроль, получать уведомления о действиях пользователей в сети и пр., может быть не стандартным, а предлагаемым разработчиком. Согласование интерфейсов 1 и 3 обеспечивается Посредником, тем самым достигается независимость функций СОРМ от оборудования разных производителей.
|
|
Интерфейс 3 между Посредником и медиа-шлюзами (устройствами доступа или оборудованием транспортного уровня) предназначен для получения пользовательской информации и тоже может настраиваться на оборудование того или иного типа. Указанная схема близка к предложениям по обеспечению функций СОРМ, разработанным ETSI, что будет показано ниже.
Но прежде рассмотрим процесс проведения оперативно-розыскных мероприятий в NGN. Он будет выглядеть следующим образом. От ПУ СОРМ к Посреднику поступает стандартная команда поставить на контроль пользователя с некоторым идентификатором (интерфейс 1). Посредник обеспечивает установку в Softswitch триг- герной точки для этого пользователя (интерфейс 2), для чего может быть применен нестандартный протокол, например, протокол, реализованный в отечественном Softswitch типа МКД. При активизации триггерной точки Softswitch передает информацию об этом событии через интерфейс 2 к Посреднику, а далее эта информация поступает в ПУ СОРМ. Если необходимо произвести перехват пользовательской информации, то по соответствующей команде от ПУ СОРМ Посредник через интерфейс 3 настраивает оборудование доступа или оборудование транспортного уровня на копирование пользовательского потока данных и передачу его к Посреднику. Затем эта информация передается в приемлемой форме к ПУ СОРМ.
|
|
Интерфейс 3 между Посредником и медиа-шлюзами (устройствами доступа или оборудованием транспортного уровня) предназначен для получения пользовательской информации и тоже может настраиваться на оборудование имеющегося типа.
Заметим, что такой подход соответствует документам ETSI и комитета IETF в области стандартизации решений СОРМ для NGN, разумеется, с учетом вышеупомянутых отличий российского СОРМ от законного перехвата сообщений ETSI. В концепциях, предлагаемых указанными организациями, основой СОРМ тоже является Посредник или Mediation Device (MD) - устройство, принимающее с пункта управления СОРМ запросы перехвата информации и определяющее посредством взаимодействия с сетевым устройством управления элемент сети, который обеспечивает транзит пользовательской информации. Перехват и передача в ПУ СОРМ пользовательской информации также ведется этим Посредником.
Это может делаться по нескольким сценариям, также видным на рис. 9.13. В одном из них для копирования информации используется интерфейс 3a между Посредником и устройством доступа (например, мультисервисным абонентским концентратором МАК, рассматриваемым в следующем параграфе), в другом сценарии копирование пользовательской информации производится из подходящего для этой цели маршрутизатора транспортного уровня сети NGN через интерфейс 3b.
Использование для перехвата информации устройств транспортного уровня зависит от возможностей обработки соответствующих команд самими этими устройствами. Однако предпочтительным вариантом является обеспечение взаимодействия Посредника СОРМ с устройством доступа, например, МАК, что гарантирует отсутствие у персонала Оператора связи и у контролируемого пользователя признаков активизации функций СОРМ.
Реализация интерфейса 3b между Посредником СОРМ и узлом транспортной сети (маршрутизатором) или специализированным устройством транзита медиа-потоков (например, RTP-прокси) удобна в случае применения IP-телефонов, подключаемых к сети NGN без участия устройства доступа, такого как МАК. При этом для всех подобных терминалов (или для терминалов и идентификаторов пользователей, поставленных на контроль), может быть предусмотрен единый узел сети, в котором и будет производиться перехват информации. Кроме того, при использовании в сети подобных терминалов необходимо предусмотреть механизмы принудительной маршрутизации относящихся к ним сигнальной информации и данных к устройству управления сетью.
Рассмотрим более детально процесс перехвата пользовательской информации. На рис. 9.14 представлена архитектура, соответствующая международным документам IETF и ETSI, а на рис. 9.15 - реализованная в МКД архитектура российской СОРМ.
Рис. 9.14. Архитектура законного перехвата по IETF и ETSI |
На рис. 9.14 показаны следующие элементы архитектуры законного перехвата сообщений в NGN.
LI AF (Llawful Intercept Admin Function) - функция, обеспечивающая передачу от LEA к Посреднику СОРМ (в приемлемом для сети виде) запроса поставить на контроль того или иного пользователя.
Преобразование запроса в должный вид и его отправка к Посреднику СОРМ может производиться с участием уполномоченного человека. Посредник СОРМ, названный на рис. 9.14 Mediation Device (MD), - устройство, взаимодействующее с другими сетевыми устройствами с целью контроля действий пользователя в сети и перехвата его информации. В частности, MD преобразует перехваченный трафик в формат, требующийся LEA. Если одного и того же пользователя контролирует несколько LEA, MD должно создавать копии перехваченной информации и отправлять их каждому из этих LEA. При этом правоохранительные органы, действующие параллельно, не имеют информации друг о друге.
|
|
IAP (Intercept Access Point) - устройство, предоставляющее MD информацию о действиях пользователя в сети, или устройство, в котором производится перехват пользовательской информации. Существуют IAP двух типов:
• IRI IAP (Intercept Related Information IAP) определяет устройство доступа, обслуживающее пользователя, или маршрутизатор, обрабатывающий поток пользовательских данных. Функции IRI IAP в NGN может выполнять, например, Softswitch или сервер аутентификации и авторизации.
• Content IAP - устройство, через которое проходит пользовательская информация и которое обеспечивает перехват этой информации и передачу ее к MD.
Между элементами рассматриваемой архитектуры СОРМ имеется следующий набор интерфейсов:
a) HI1 - handover interface 1, административный интерфейс, через который LEA передает к LI AF запрос поставить на контроль пользователя (имя, паспортные данные и т.п.);
b) MD PI (MD provisioning interface) - интерфейс, через который Посредник MD получает от LI AF такие параметры, как идентификатор абонента, время, в течение которого будет вестись контроль, параметры контроля и т.д.;
c) IRI IAP Provisioning Interface - интерфейс, через который IRI IAP получает от MD данные, необходимые для перехвата пользовательской информации;
d) Content Intercept Provisioning Interface - интерфейс, через который Content IAP получает команду на перехват пользовательской информации; например, для маршрутизаторов Cisco - это команды протокола SNMP v.3;
e) IRI to MD - интерфейс между IRI IAP и MD, через который IRI IAP сообщает MD данные, идентифицирующие нужное Content IRI;
f) Content to MD - интерфейс между Content IAP и MD для доставки перехваченной информации к MD;
g) HI2 - интерфейс между MD и LEA для доставки LEA информации об услугах, предоставляемых пользователю, о его соединениях, включая неуспешные вызовы, и о местонахождении пользователя;
h) HI3 - интерфейс между MD и LEA для доставки LEA пользовательской информации.
Возвращаясь от рассмотренной версии архитектуры IETF/ETSI к российским требованиям СОРМ, приведем схему на рис. 9.15, являющуюся, по сути, результатом объединения рис. 9.13 и 9.14. В этой схеме отсутствует интерфейс HI1, функции которого частично делегированы HI2, при этом функции прочих интерфейсов практически не изменяются. Для большей наглядности на рис. 9.15 в скобках даны также обозначения рис. 9.14.
|
|
Рис. 9.15. Архитектура СОРМ для NGN России |
Представленная на рис. 9.15 архитектура апробирована в мульти- сервисном коммутаторе доступа Протей-МКД, являющемся первым и пока единственным отечественным Softswitch класса 5, в котором полностью реализованы и сертифицированы функции СОРМ. Весьма близкая по реализации структура законного перехвата реализована в маршрутизаторах компании Cisco. В терминах рис. 9.14 эти маршрутизаторы являются Content IAP. На основании вышеизложенного можно сформулировать следующие характеристики СОРМ для сетей следующего поколения с Softswitch:
• при использовании Посредника СОРМ (MD) достижим порядок взаимодействия ПУ СОРМ с оборудованием NGN, не отличающийся от установленных правил взаимодействия ПУ СОРМ с оборудованием традиционных телефонных сетей;
• взаимодействие ПУ СОРМ с Softswitch при посредничестве специализированного MD обеспечивает независимость функций СОРМ от оборудования разных производителей, устанавливаемого в сетях NGN;
• операции постановки пользователя на контроль, получения относящейся к вызову информации и т.п. реализуются при взаимодействии Посредника MD и Softswitch;
• операции перехвата пользовательской информации (прослушивания телефонных переговоров) могут производиться в устройствах сети доступа (например, в мультисервисных абонентских концентраторах или медиа-шлюзах), а также возможен перехват пользовательской информации с узлов транспортной сети;
• интерфейс между Посредником и Softswitch сегодня не стандартизирован, что требует адаптации Посредника к разным интерфейсам Softswitch;
• интерфейс между Посредником и устройствами уровня доступа или транспортного уровня тоже не стандартизирован, а наиболее удобной представляется реализация этого интерфейса средствами протокола SNMP.