Информация, связанная с перехватом, составляет основу метаданных для каждой операции по законному перехвату. При законном перехвате две категории данных являются основополагающими для каждой операции по перехвату: информация, связанная с перехватом (IRI), и содержание сообщения (CC). Эти два типа данных составляют основу того, что оператор передает правоохранительным органам при выполнении приказа о перехвате, и в рамках ETSI они передаются через отдельные интерфейсы передачи - HI2 для IRI и HI3 для CC. Хотя большинство практиков понимают основное различие: IRI - это метаданные, а CC - контент, практические последствия этого различия более тонкие, чем кажется на первый взгляд.
В этой статье рассматривается, что на самом деле означают IRI и CC на практике, какие элементы данных включает каждый из них, как они генерируются и передаются, и почему это различие имеет значение для операторов, правоохранительных органов и более широкой экосистемы законного перехвата.
Что означает информация, связанная с перехватом
Информация, связанная с перехватом, включает в себя все метаданные, связанные с перехваченным сообщением. Проще говоря, IRI отвечает на вопросы: кто общался, с кем, когда, как долго, с помощью какой службы и откуда? Он не включает в себя содержание самой коммуникации - это область CC. IRI определяется и структурируется в соответствии с серией стандартов ETSI TS 102 232, которые определяют элементы данных, форматы кодирования и механизмы доставки для различных сетевых технологий.
Конкретные элементы данных, включенные в IRI, зависят от типа связи и сетевой технологии. Для традиционного голосового вызова IRI обычно включает вызывающий номер (A-номер), вызываемый номер (B-номер), IMSI и IMEI целевого устройства, время начала вызова, время ответа на вызов, продолжительность вызова, идентификаторы соты в начале и во время вызова (обеспечивающие информацию о местоположении) и расположение вызова (принят, занят, нет ответа, переадресован). Для IP-сессии передачи данных IRI может включать IP-адрес цели, выделенное имя точки доступа (APN), параметры несущей, время начала и окончания сессии и объем переданных данных.
IRI генерируется в виде серии событий, которые соответствуют ходу коммуникации. Стандарты ETSI определяют конкретные типы событий IRI для различных этапов связи - например, событие установки вызова, событие ответа, событие освобождения вызова и различные события дополнительных услуг. Каждое событие содержит соответствующие элементы данных и точную временную метку. Функция посредничества в сети оператора отвечает за мониторинг протоколов сигнализации (SIP, Diameter, GTP, SS7 и другие) и генерирование соответствующих событий IRI в формате ETSI.
Одной из важнейших характеристик IRI является его структурированность. Поскольку ИРИ закодирован в формате ASN.1 в соответствии с четко определенными структурами данных, он может быть автоматически разобран, обработан и проанализирован правоохранительными системами. Этот структурированный формат позволяет проводить автоматическую корреляцию, анализ шаблонов и добычу данных, что было бы гораздо сложнее при работе с неструктурированными данными. Не стоит недооценивать следственную ценность IRI - во многих случаях метаданные, предоставляемые IRI, имеют такую же или даже большую ценность, чем сам контент.
Определение CC: слой содержимого
Содержание коммуникации - это фактическое содержание перехваченной коммуникации: слова, произнесенные во время телефонного разговора, текст SMS-сообщения, веб-страницы, просмотренные во время сеанса передачи данных, файлы, прикрепленные к электронному письму. CC представляет собой то, что было передано, в отличие от контекстной информации о коммуникации. CC передается через интерфейс HI3 в LEMF.
Формат CC существенно различается в зависимости от типа связи. Для голосовых вызовов СС представляет собой аудиопоток в реальном времени, обычно закодированный с помощью таких кодеков, как AMR (Adaptive Multi-Rate), AMR-WB (Wideband) или G.711. Аудио должно передаваться в реальном времени, чтобы правоохранительные органы могли следить за ходом разговора, хотя обычно оно также записывается для последующего просмотра. Для SMS-сообщений CC - это текстовое содержание сообщения. Для сеансов передачи данных CC состоит из IP-пакетов, которыми обменивается объект, и может содержать трафик веб-браузеров, содержимое электронной почты, данные приложений, потоковое мультимедиа и любые другие типы IP-коммуникаций.
Перехват данных создает значительно больший объем КС, чем перехват голоса. Один голосовой вызов генерирует непрерывный, но относительно низкоскоростной аудиопоток, в то время как сеанс передачи данных может генерировать гигабайты трафика в зависимости от активности цели. Это различие имеет важные последствия для размеров систем LI, пропускной способности каналов доставки HI3 и емкости, необходимой для хранения данных на LEMF.
Доставка КС должна быть своевременной. Для голосового перехвата это означает доставку в режиме реального времени с минимальной задержкой. Для перехвата данных, как правило, требуется доставка в режиме, близком к реальному времени, хотя точные требования могут варьироваться в зависимости от юрисдикции. Транспортные механизмы для доставки КС определены в стандартах ETSI и обычно используют защищенные соединения TCP или UDP с шифрованием для защиты содержимого во время транспортировки.
Почему различие имеет значение
Различие между IRI и CC не просто техническое - оно имеет значительные юридические, операционные и стратегические последствия. С юридической точки зрения во многих юрисдикциях метаданные и контент рассматриваются по-разному. Некоторые ордера на перехват могут разрешать сбор как ИРИ, так и КС, в то время как другие могут ограничиваться только метаданными. Правовые пороги для получения разрешения могут различаться, при этом для перехвата контента обычно требуется более высокий стандарт доказательств или более серьезная категория правонарушения. Операторы должны иметь возможность независимо активировать перехват только IRI и комбинированный перехват IRI плюс CC, поскольку объем ордера на перехват определяет, какие данные могут быть собраны и переданы.
С операционной точки зрения IRI и CC имеют разные характеристики с точки зрения объема, формата, требований к обработке и механизмов доставки. IRI относительно компактен и структурирован, что делает его хорошо подходящим для автоматизированной обработки и анализа. СС потенциально объемны и сильно различаются по формату, что требует различных подходов к обработке, хранению и анализу. Операторы должны разрабатывать свои системы LI для эффективной обработки обоих типов данных, используя соответствующие механизмы буферизации, контроля потока и качества обслуживания.
С точки зрения стратегии и расследования IRI и CC предоставляют разные виды разведданных. IRI позволяет анализировать шаблоны, составлять сетевые карты, отслеживать местоположение и выявлять модели связи во времени. СС позволяет непосредственно понять суть конкретных сообщений, но может потребовать значительных усилий для их обработки и анализа - особенно при перехвате данных, в результате которого образуются большие объемы смешанного медиаконтента. Правоохранительные органы все больше признают стратегическую ценность метаданных, и в некоторых расследованиях ИРИ может быть основным объектом перехвата.
ИРИ в современных сетях
Переход от сетей с коммутацией каналов к сетям с пакетной коммутацией значительно расширил сферу применения и сложность IRI. В традиционных сетях телефонии IRI был относительно прост - сигнализация установления вызова предоставляла четко определенный набор элементов метаданных. В современных IP-сетях ландшафт сигнализации гораздо более разнообразен и сложен, в него входят такие протоколы, как SIP, Diameter, GTP-C, а также различные протоколы прикладного уровня.
Например, VoLTE использует сигнализацию SIP в ядре IMS (IP Multimedia Subsystem) в сочетании с Diameter для аутентификации и управления политиками и GTP для управления поднесущими. Формирование полного IRI для вызова VoLTE требует от функции посредничества одновременного мониторинга нескольких протоколов и соотнесения полученных событий в целостную запись IRI. Стандарты ETSI определяют конкретные элементы данных IRI для услуг на базе IMS, но практическая реализация может быть сложной.
В сетях 5G сложность еще больше возрастает. Архитектура ядра 5G, основанная на услугах, вводит новые сетевые функции и интерфейсы сигнализации, которые необходимо отслеживать для формирования IRI. Архитектура 3GPP LI для 5G определяет конкретные точки перехвата (POI) и элементы данных IRI для услуг 5G, но операторы должны убедиться, что их посреднические функции могут извлекать необходимую информацию из потоков сигнализации 5G.
Влияние шифрования на КК
Одной из наиболее серьезных проблем, связанных с доставкой КС в современных сетях, является все более широкое распространение шифрования. Конечные зашифрованные коммуникации - такие, как те, что обеспечиваются приложениями обмена сообщениями с E2EE, - невозможно полноценно перехватить на сетевом уровне. Оператор может перехватить зашифрованные пакеты, но без ключей шифрования их содержимое будет неразборчивым. Это создает ситуацию, когда оператор может предоставить IRI (который генерируется на основе сетевой сигнализации и не зависит от доступа к содержимому), но не может предоставить пригодный для использования CC.
Проблема шифрования стала одной из центральных политических дискуссий в сообществе, занимающемся вопросами законного перехвата. Правоохранительные органы утверждают, что шифрование создает "слепые зоны", которые мешают уголовному расследованию, в то время как защитники частной жизни утверждают, что надежное шифрование необходимо для защиты основных прав. Разрешение этих споров - если оно будет достигнуто - будет иметь глубокие последствия для компонента КС законного перехвата. Пока же операторы должны предоставлять любой КС, к которому они технически способны получить доступ, при этом прозрачно информируя правоохранительные органы об ограничениях, накладываемых шифрованием.
Практические соображения для операторов
Операторы, внедряющие системы LI, должны убедиться, что их посреднические функции способны генерировать полные, точные и своевременные IRI и CC для всех услуг и сетевых технологий в их портфеле. Это требует глубокой интеграции с инфраструктурой сигнализации оператора, надежных возможностей анализа протоколов и тщательного внимания к корреляции данных и времени.
Тестирование необходимо для проверки правильности генерации IRI и CC. Операторы должны проводить всестороннее тестирование на соответствие определениям структуры данных ETSI IRI, обеспечивая наличие и правильное заполнение всех требуемых элементов данных для каждого типа события. Передача СС должна быть проверена на достоверность, своевременность и полноту на всех поддерживаемых типах носителей.
Наконец, операторы должны поддерживать свои системы LI по мере развития сетей. Новые услуги, новые протоколы и новые сетевые технологии потребуют обновления возможностей генерации IRI и захвата CC. Система законного перехвата, которая полностью соответствовала требованиям на момент развертывания, может стать несоответствующей требованиям по мере изменения сети, что делает постоянное обслуживание и развитие критически важной частью программы обеспечения соответствия.
Заключение
IRI и CC - это две основы доставки данных о законном перехвате. IRI предоставляет структурированные метаданные, которые позволяют проводить анализ шаблонов, отслеживать местоположение и составлять карты коммуникаций. CC предоставляет фактическое содержание перехваченных сообщений, давая возможность непосредственно понять, что именно передают цели. Вместе они формируют полную картину, которая помогает правоохранительным органам проводить расследования. Для операторов понимание технических, юридических и операционных последствий IRI и CC, а также создание систем LI, которые эффективно работают с ними, является необходимым условием выполнения обязательств по законному перехвату в современных телекоммуникационных сетях.
Точный сбор информации, связанной с перехватом, является основой законных операций по перехвату. Операторы должны обеспечить, чтобы их системы фиксировали все необходимые поля информации о перехвате.
Похожие статьи
Чтобы узнать больше о смежных темах, ознакомьтесь с этими статьями:
- HI1 vs HI2 vs HI3: понимание трех интерфейсов законного перехвата
- Как работает функция посредничества: Мост между вашей сетью и правоохранительными органами
- ETSI TS 103 120 Объяснения: Интерфейсы хэндовера для современных IP-сетей
Внешние ресурсы
Следующие внешние ресурсы предоставляют дополнительный контекст и официальную документацию:
