Посредник СОРМ

Взаимодействие между ПУ СОРМ и оборудованием Оператора NWO/AP/SvP, т.е. реализацию интерфейсов HI2 и HI3, предлагается производить через специальное устройство - Посредник СОРМ (Mediation Device), - которое, в свою очередь, связано с Softswitch, медиа-шлюзами, абонентским доступом, а также с маршрутизато­рами сети IP. Посредник СОРМ будет исполнять роль конвертера сигнализации, аналогичного известным в отечественных сетях разработкам «Протей» или «Малвин», а также конвертера (шлюза) медиа-потоков для доставки перехваченной пользовательской ин­формации к ПУ СОРМ. Такая архитектура представлена на рис. 9.13.

Здесь ПУ СОРМ - это пункт управления, применяющийся в сущест­вующих сетях с коммутацией каналов и связанный через интерфейсы 1 c Посредником СОРМ. Интерфейс 1 является стандартным интерфей­сом команд и ответов СОРМ, аналогичным применяющимся в сущес­твующих сетях TDM.

Рис. 9.13. СОРМ в NGN

Интерфейс 2, используемый для взаимодействия Посредника СОРМ и Softswitch с целью поставить пользователей на контроль, получать уведомления о действиях пользователей в сети и пр., мо­жет быть не стандартным, а предлагаемым разработчиком. Согла­сование интерфейсов 1 и 3 обеспечивается Посредником, тем са­мым достигается независимость функций СОРМ от оборудования разных производителей.

Интерфейс 3 между Посредником и медиа-шлюзами (устройс­твами доступа или оборудованием транспортного уровня) предна­значен для получения пользовательской информации и тоже может настраиваться на оборудование того или иного типа. Указанная схема близка к предложениям по обеспечению функций СОРМ, разработанным ETSI, что будет показано ниже.

Но прежде рассмотрим процесс проведения оперативно-розыс­кных мероприятий в NGN. Он будет выглядеть следующим образом. От ПУ СОРМ к Посреднику поступает стандартная команда поста­вить на контроль пользователя с некоторым идентификатором (ин­терфейс 1). Посредник обеспечивает установку в Softswitch триг- герной точки для этого пользователя (интерфейс 2), для чего может быть применен нестандартный протокол, например, протокол, реализованный в отечественном Softswitch типа МКД. При активи­зации триггерной точки Softswitch передает информацию об этом событии через интерфейс 2 к Посреднику, а далее эта информация поступает в ПУ СОРМ. Если необходимо произвести перехват поль­зовательской информации, то по соответствующей команде от ПУ СОРМ Посредник через интерфейс 3 настраивает оборудование доступа или оборудование транспортного уровня на копирование пользовательского потока данных и передачу его к Посреднику. За­тем эта информация передается в приемлемой форме к ПУ СОРМ.

Интерфейс 3 между Посредником и медиа-шлюзами (устройс­твами доступа или оборудованием транспортного уровня) предна­значен для получения пользовательской информации и тоже может настраиваться на оборудование имеющегося типа.

Заметим, что такой подход соответствует документам ETSI и ко­митета IETF в области стандартизации решений СОРМ для NGN, разумеется, с учетом вышеупомянутых отличий российского СОРМ от законного перехвата сообщений ETSI. В концепциях, предлага­емых указанными организациями, основой СОРМ тоже является Посредник или Mediation Device (MD) - устройство, принимающее с пункта управления СОРМ запросы перехвата информации и оп­ределяющее посредством взаимодействия с сетевым устройством управления элемент сети, который обеспечивает транзит пользова­тельской информации. Перехват и передача в ПУ СОРМ пользова­тельской информации также ведется этим Посредником.

Это может делаться по нескольким сценариям, также видным на рис. 9.13. В одном из них для копирования информации исполь­зуется интерфейс 3a между Посредником и устройством доступа (например, мультисервисным абонентским концентратором МАК, рассматриваемым в следующем параграфе), в другом сценарии копирование пользовательской информации производится из под­ходящего для этой цели маршрутизатора транспортного уровня сети NGN через интерфейс 3b.

Использование для перехвата информации устройств транспор­тного уровня зависит от возможностей обработки соответствующих команд самими этими устройствами. Однако предпочтительным ва­риантом является обеспечение взаимодействия Посредника СОРМ с устройством доступа, например, МАК, что гарантирует отсутствие у персонала Оператора связи и у контролируемого пользователя признаков активизации функций СОРМ.

Реализация интерфейса 3b между Посредником СОРМ и узлом транспортной сети (маршрутизатором) или специализированным устройством транзита медиа-потоков (например, RTP-прокси) удобна в случае применения IP-телефонов, подключаемых к сети NGN без участия устройства доступа, такого как МАК. При этом для всех подобных терминалов (или для терминалов и идентификаторов пользователей, поставленных на контроль), может быть предусмот­рен единый узел сети, в котором и будет производиться перехват информации. Кроме того, при использовании в сети подобных тер­миналов необходимо предусмотреть механизмы принудительной маршрутизации относящихся к ним сигнальной информации и дан­ных к устройству управления сетью.

Рассмотрим более детально процесс перехвата пользова­тельской информации. На рис. 9.14 представлена архитектура, соответствующая международным документам IETF и ETSI, а на рис. 9.15 - реализованная в МКД архитектура российской СОРМ.

Рис. 9.14. Архитектура законного перехвата по IETF и ETSI

На рис. 9.14 показаны следующие элементы архитектуры закон­ного перехвата сообщений в NGN.

LI AF (Llawful Intercept Admin Function) - функция, обеспечиваю­щая передачу от LEA к Посреднику СОРМ (в приемлемом для сети виде) запроса поставить на контроль того или иного пользователя.

Преобразование запроса в должный вид и его отправка к Посред­нику СОРМ может производиться с участием уполномоченного че­ловека. Посредник СОРМ, названный на рис. 9.14 Mediation Device (MD), - устройство, взаимодействующее с другими сетевыми устройствами с целью контроля действий пользователя в сети и перехвата его информации. В частности, MD преобразует пере­хваченный трафик в формат, требующийся LEA. Если одного и того же пользователя контролирует несколько LEA, MD должно созда­вать копии перехваченной информации и отправлять их каждому из этих LEA. При этом правоохранительные органы, действующие параллельно, не имеют информации друг о друге.

IAP (Intercept Access Point) - устройство, предоставляющее MD информацию о действиях пользователя в сети, или устройство, в котором производится перехват пользовательской информации. Существуют IAP двух типов:

• IRI IAP (Intercept Related Information IAP) определяет устройство доступа, обслуживающее пользователя, или маршрутизатор, обрабатывающий поток пользовательских данных. Функции IRI IAP в NGN может выполнять, например, Softswitch или сервер аутентификации и авторизации.

• Content IAP - устройство, через которое проходит пользователь­ская информация и которое обеспечивает перехват этой инфор­мации и передачу ее к MD.

Между элементами рассматриваемой архитектуры СОРМ име­ется следующий набор интерфейсов:

a) HI1 - handover interface 1, административный интерфейс, через который LEA передает к LI AF запрос поставить на контроль пользователя (имя, паспортные данные и т.п.);

b) MD PI (MD provisioning interface) - интерфейс, через который Посредник MD получает от LI AF такие параметры, как идентифи­катор абонента, время, в течение которого будет вестись контроль, параметры контроля и т.д.;

c) IRI IAP Provisioning Interface - интерфейс, через который IRI IAP получает от MD данные, необходимые для перехвата пользователь­ской информации;

d) Content Intercept Provisioning Interface - интерфейс, через ко­торый Content IAP получает команду на перехват пользовательской информации; например, для маршрутизаторов Cisco - это команды протокола SNMP v.3;

e) IRI to MD - интерфейс между IRI IAP и MD, через который IRI IAP сообщает MD данные, идентифицирующие нужное Content IRI;

f) Content to MD - интерфейс между Content IAP и MD для достав­ки перехваченной информации к MD;

g) HI2 - интерфейс между MD и LEA для доставки LEA информа­ции об услугах, предоставляемых пользователю, о его соединениях, включая неуспешные вызовы, и о местонахождении пользователя;

h) HI3 - интерфейс между MD и LEA для доставки LEA пользова­тельской информации.

Возвращаясь от рассмотренной версии архитектуры IETF/ETSI к российским требованиям СОРМ, приведем схему на рис. 9.15, являющуюся, по сути, результатом объединения рис. 9.13 и 9.14. В этой схеме отсутствует интерфейс HI1, функции которого час­тично делегированы HI2, при этом функции прочих интерфейсов практически не изменяются. Для большей наглядности на рис. 9.15 в скобках даны также обозначения рис. 9.14.

Рис. 9.15. Архитектура СОРМ для NGN России

Представленная на рис. 9.15 архитектура апробирована в мульти- сервисном коммутаторе доступа Протей-МКД, являющемся первым и пока единственным отечественным Softswitch класса 5, в котором полностью реализованы и сертифицированы функции СОРМ. Весь­ма близкая по реализации структура законного перехвата реализо­вана в маршрутизаторах компании Cisco. В терминах рис. 9.14 эти маршрутизаторы являются Content IAP. На основании вышеизложен­ного можно сформулировать следующие характеристики СОРМ для сетей следующего поколения с Softswitch:

• при использовании Посредника СОРМ (MD) достижим порядок взаимодействия ПУ СОРМ с оборудованием NGN, не отличаю­щийся от установленных правил взаимодействия ПУ СОРМ с обо­рудованием традиционных телефонных сетей;

• взаимодействие ПУ СОРМ с Softswitch при посредничестве спе­циализированного MD обеспечивает независимость функций СОРМ от оборудования разных производителей, устанавливае­мого в сетях NGN;

• операции постановки пользователя на контроль, получения от­носящейся к вызову информации и т.п. реализуются при взаимо­действии Посредника MD и Softswitch;

• операции перехвата пользовательской информации (прослуши­вания телефонных переговоров) могут производиться в устройс­твах сети доступа (например, в мультисервисных абонентских концентраторах или медиа-шлюзах), а также возможен перехват пользовательской информации с узлов транспортной сети;

• интерфейс между Посредником и Softswitch сегодня не стандар­тизирован, что требует адаптации Посредника к разным интер­фейсам Softswitch;

• интерфейс между Посредником и устройствами уровня доступа или транспортного уровня тоже не стандартизирован, а наибо­лее удобной представляется реализация этого интерфейса средствами протокола SNMP.