摘 要:重點研究了各標準化組織對合法偵聽" title="合法偵聽">合法偵聽接口的定義,介紹了針對軟交換" title="軟交換">軟交換網(wǎng)絡特點的合法偵聽接口的設計方法,并對各個接口的定義進行了詳細的說明,給出了其工作流程,指出了接口設計" title="接口設計">接口設計可能存在的不足之處。
關鍵詞:軟交換? 合法偵聽? 會話初始協(xié)議
?
??? 目前電信業(yè)務發(fā)展迅猛,以互聯(lián)網(wǎng)為代表的新技術革命,正在深刻地改變著傳統(tǒng)電信的概念和體系,公眾電話交換網(wǎng)話音網(wǎng)必將和分組交換數(shù)據(jù)網(wǎng)融合,形成可以傳遞話音和數(shù)據(jù)等綜合業(yè)務的下一代網(wǎng)絡(NGN)[1]。軟交換為NGN提供了具有實時性要求的業(yè)務呼叫控制和連接控制功能,是NGN呼叫與控制的核心。隨著全球范圍內(nèi)的反恐斗爭日益激烈,各國政府對基于軟交換網(wǎng)絡" title="軟交換網(wǎng)絡">軟交換網(wǎng)絡的合法偵聽的重視程度也越來越高,對合法偵聽技術的支持逐步成為網(wǎng)絡設備的準入要求之一。
本文在廣泛調(diào)研各標準化組織相關研究成果的基礎上,結(jié)合以往傳統(tǒng)電信網(wǎng)絡" title="電信網(wǎng)絡">電信網(wǎng)絡的合法偵聽接口的設計思想,提出了針對軟交換網(wǎng)絡特點的合法偵聽接口的設計,并對其工作流程進行了具體的描述。
1 軟交換網(wǎng)絡的合法偵聽接口設計
? ?軟交換網(wǎng)絡警用接口的設計有別于傳統(tǒng)電信網(wǎng)絡的警用接口設計,但是沿用了傳統(tǒng)電信網(wǎng)絡利用警用接口獲取信息的設計思想。下面對傳統(tǒng)電信網(wǎng)絡合法偵聽接口設計做一簡單的介紹。
1.1 傳統(tǒng)電信網(wǎng)絡的合法偵聽接口設計
傳統(tǒng)電信網(wǎng)絡的合法偵聽接口設計的主要原理是:利用或改進程控交換機的合法偵聽模型的接口功能,由監(jiān)控中心對指定的被監(jiān)控目標(號碼)進行布控,修改其呼叫屬性,當該目標發(fā)起或收到呼叫時,交換機對該呼叫實施重選路由或提供第三方呼叫輸出功能,將其改址或旁路到信息中心,經(jīng)信息中心截取話路信息后再回送到原來的呼叫地址或目標,從而實現(xiàn)對網(wǎng)絡的合法偵聽功能,如圖1所示。
?
軟交換網(wǎng)絡體系結(jié)構(gòu)如圖2所示,軟交換網(wǎng)絡具有基于分組且開放的網(wǎng)絡結(jié)構(gòu)、業(yè)務與呼叫控制分離、可以快速提供新業(yè)務、業(yè)務與接入方式分離等特點。軟交換網(wǎng)絡與傳統(tǒng)電信網(wǎng)絡之間最重要的區(qū)別在于:從應用層面上看,軟交換網(wǎng)絡中的通信,相當于在通信雙方即在兩點之間直接進行,而傳統(tǒng)電信網(wǎng)絡卻是分級傳輸、分段接續(xù)的,通信相當于由多點接力完成。因此如何在軟交換網(wǎng)絡中設置合法偵聽接口,建立同步于通信網(wǎng)發(fā)展的國家安全體系,將成為當務之急。
?
1.2 軟交換網(wǎng)絡的合法偵聽接口設計
軟交換網(wǎng)絡中的呼叫處理都經(jīng)過軟交換設備。這樣,軟交換設備就可以同時得到通信雙方的信令和媒體信息。如果通過軟交換設備中的某個功能模塊,將其得到的信息傳遞到信息中心,就可以實現(xiàn)軟交換網(wǎng)絡的合法偵聽功能。信息中心與軟交換網(wǎng)絡是相互獨立的兩個部分,要實現(xiàn)信息的傳輸,必須在它們之間設置標準的傳輸接口,也就是實現(xiàn)軟交換網(wǎng)絡合法偵聽的接口。而且,此接口的功能是在對電信網(wǎng)絡設備安全性和全部業(yè)務不造成任何影響的前提下,對被控目標所有話務和非話務活動實現(xiàn)實時跟蹤和偵聽的。這樣,軟交換網(wǎng)絡就能夠通過合法偵聽接口接收從信息中心發(fā)來的偵聽命令,并實時上報轄區(qū)內(nèi)被控目標的業(yè)務活動和通信的內(nèi)容信息。
軟交換網(wǎng)絡實現(xiàn)合法偵聽接口示意圖如圖3所示。
?
軟交換網(wǎng)絡合法偵聽接口由合法偵聽模塊和信息中心兩部分組成,軟交換網(wǎng)絡通過合法偵聽模塊與信息中心進行信息的交互。這里的合法偵聽模塊是網(wǎng)絡中具有特定功能的軟件模塊,它如同埋伏在網(wǎng)絡內(nèi)部的“內(nèi)線”,掌握有被監(jiān)控對象的名單。當名單中的被控對象活動時,合法偵聽模塊與信息中心“內(nèi)”、“外”呼應,完成監(jiān)控任務。在監(jiān)控過程中,二者通過特定的接口,即A接口進行信息的傳輸,而A接口又由三個接口組成,其中的每個接口分別完成不同的功能。下面著重介紹A接口的功能及其工作流程。
??? (1)A1接口傳輸偵聽的相關指令及響應,如監(jiān)控名單的設定與修改、各種查詢和參數(shù)修改等。軟交換網(wǎng)絡與信息中心之間的A1接口通信可采用TCP/IP協(xié)議。
?? ?(2)A2接口將目標用戶的狀態(tài)信息反饋給信息中心,如用戶注冊、摘機事件、呼叫、放鈴音、聽回鈴音、掛機事件等。A2接口的通信仍然可以采用TCP/IP協(xié)議。
?? ?(3)A3接口負責傳輸用戶通信的媒體信息,其中又可以分為信令通道和信令承載通道。信令通道負責完成軟交換網(wǎng)絡與信息中心之間的信令傳輸,保證建立一條媒體傳輸線路;信令承載通道則負責傳輸目標用戶之間通信的媒體流。A3接口采用SIP協(xié)議進行通信,可以充分利用SIP協(xié)議的呼叫與媒體分離的特點??梢钥闯?,A3接口的設計是整個合法偵聽過程的關鍵。
圖4是接口的工作流程。假定用戶A為監(jiān)控目標,它通過網(wǎng)關A向軟交換設備發(fā)起呼叫,呼叫用戶B。用戶A摘機時,軟交換設備收到Notify命令,在正常處理的前提下,向A2接口發(fā)送消息,告之用戶的摘機狀態(tài)。當用戶A進行撥號時,軟交換設備將A的撥號狀態(tài)上報A2接口。當A2接口收到AB準備進行通話的消息時,軟交換設備利用SIP協(xié)議向A3接口發(fā)送INVITE請求,激活A3接口,使其等待接收AB通話的媒體流。B用戶摘機,軟交換設備向A2報告其摘機事件。AB雙方開始通話,軟交換設備將媒體流傳送到A3接口,整個接口工作建立。信息中心接收到A3接口的媒體流后,負責后期的還原、呈現(xiàn)。
?
??? 在接口實現(xiàn)時,需要一個偵聽網(wǎng)關,負責數(shù)據(jù)的采集和轉(zhuǎn)發(fā)處理。當目標用戶通信時,偵聽網(wǎng)關為通信的雙方分配兩個端口,并將主叫、被叫的遠端媒體地址分別修改為偵聽網(wǎng)關的這兩個端口地址。同時,將這兩個端口的遠端分別指向主叫所在的端口和被叫所在的端口。這樣就將該呼叫路由到偵聽網(wǎng)關,建立起這兩個端口和信息中心之間的連接,創(chuàng)建了偵聽網(wǎng)關和信息中心之間的媒體通道。在呼叫的過程中,軟交換設備中的合法偵聽模塊指示偵聽網(wǎng)關對此次呼叫的媒體信息進行采集,并發(fā)送到信息中心。
合法偵聽接口如何維護和確保其安全?首先,當接口工作出現(xiàn)異常、或需要人工干預時,應當產(chǎn)生告警指示。這些告警按保密要求分別送往軟交換設備中合法偵聽模塊的普通告警終端或信息中心。然后,提供充分的可以用于故障定位和診斷的信息,指導操作人員查找、排除故障。根據(jù)合法偵聽接口操作維護需要,將合法偵聽接口的操作和維護指令分為以下三級:
(1)合法偵聽接口控制級:對合法偵聽接口完成開啟和關閉;配置和調(diào)整合法偵聽接口的參數(shù)設置。
(2)合法偵聽接口操作級:對合法偵聽接口狀態(tài)完成實時監(jiān)控。
(3)合法偵聽接口維護級:對合法偵聽接口相關硬件設備、網(wǎng)絡運行狀態(tài)完成監(jiān)測。
合法偵聽接口中除軟交換設備通用的硬件維護工作外,其他重要操作都必須用專用的用戶名和密碼登錄后才能進行。此外,合法偵聽接口信息中心的控制指令必須是不同于軟交換設備的操作指令,防止混淆。同時,合法偵聽接口的密碼不能明碼顯示,操作事件等相關信息在軟交換設備也不能被查詢到。
合法偵聽接口應指定確定的信息中心接入的網(wǎng)絡地址。采用TCP/IP通信協(xié)議時,應指定A1、A2接入的TCP/IP地址,不允許非指定的其他系統(tǒng)接入。
2? 可能存在的問題
軟交換網(wǎng)絡合法偵聽接口的設計,滿足了國家安全部門對軟交換網(wǎng)絡通信監(jiān)聽和維護安全的要求,但其缺點也非常明顯:
?? ?(1)被控目標的隱蔽性問題不能得到解決
合法偵聽接口在對目標進行布控時,要對軟交換設備進行數(shù)據(jù)設置,也即在一定程度上直接向非安全部門的人員泄露了被控目標。即便是由網(wǎng)絡運營商提供遠程接口,信息中心自行操控,軟交換網(wǎng)絡的維護人員事實上也可通過簡單的手段獲取命令過程,因而無法解決目標隱蔽性問題。
?? ?(2)合法偵聽的能力受到軟交換設備處理能力的限制
由于合法偵聽接口的功能并不是軟交換設備的主要功能,因此任何一個軟交換設備的合法偵聽接口資源都是受限的,不可能提供過多的布控目標和接口電路,也就無法滿足某些特殊形勢下可能需要的較高的合法偵聽能力需求。
?? ?(3)合法偵聽業(yè)務的功能擴展受網(wǎng)絡限制
合法偵聽業(yè)務功能依賴于軟交換設備的合法偵聽接口的業(yè)務提供能力,而軟交換設備的合法偵聽接口只是通過拷貝通信信令與媒體流來提供話路的輸出,并不提供如搜索新的目標用戶等其他功能,因此難以實現(xiàn)合法偵聽業(yè)務的功能擴展。
??? 本文研究了軟交換網(wǎng)絡合法偵聽接口的設計,給出了接口監(jiān)聽的具體工作流程,但是這種接口的設計仍然存在許多缺點和局限性,今后將針對這些不足之處,對設計方案進行完善。
參考文獻
[1] ?趙慧玲,葉華.以軟交換為核心的下一代網(wǎng)絡技術[M].北京:人民郵電出版社,2002:1-2.
[2] ?劉明明,孟旭東,葉志輝.合法偵聽原型系統(tǒng)的設計與實現(xiàn)[J].重慶郵電學院學報:自然科學版,2005,17(5):571-574.