截取相关信息是每次合法截取行动的元数据支柱。在合法拦截中,有两类数据是每次拦截行动的基本数据:拦截相关信息(IRI)和通信内容(CC)。这两类数据构成了运营商在执行拦截命令时向执法部门提供的核心内容,它们在 ETSI 框架中通过不同的移交接口(HI2 用于 IRI,HI3 用于 CC)进行传输。虽然大多数从业人员都了解这种基本区别--IRI 是元数据,CC 是内容,但这种区别的实际影响比表面看来更加微妙。.
本文探讨了 IRI 和 CC 在实践中的实际含义、各自包含的数据元素、数据元素的生成和传输方式,以及为什么这种区别对运营商、执法部门和更广泛的合法拦截生态系统很重要。.
拦截相关信息的含义
截获相关信息包括与截获通信相关的所有元数据。最简单地说,截获相关信息回答了以下问题:谁与谁、何时、多长时间、使用何种服务、从何处截获?它不包括通信本身的实质内容--那是 CC 的范畴。IRI 是根据 ETSI TS 102 232 系列定义和构建的,该系列规定了不同网络技术的数据元素、编码格式和传输机制。.
IRI 中包含的具体数据元素因通信类型和涉及的网络技术而异。对于传统语音呼叫,IRI 通常包括主叫号码(A 号码)、被叫号码(B 号码)、目标设备的 IMSI 和 IMEI、呼叫发起时间、接听时间、呼叫持续时间、呼叫开始时和呼叫过程中的小区标识符(提供位置信息)以及呼叫的处理(接听、忙、无应答、转发)。对于 IP 数据会话,IRI 可能包括目标的 IP 地址、分配的 APN(接入点名称)、承载参数、会话开始和结束时间以及传输的数据量。.
IRI 是作为一系列事件生成的,与通信进程相对应。ETSI 标准为通信的不同阶段定义了特定的 IRI 事件类型,例如呼叫建立事件、应答事件、呼叫释放事件和各种补充服务事件。每个事件都包含相关数据元素和准确的时间戳。运营商网络中的调解功能负责监控信令协议(SIP、Diameter、GTP、SS7 等),并以 ETSI 格式生成相应的 IRI 事件。.
IRI 最重要的特点之一是其结构性。由于 IRI 是按照定义明确的数据结构以 ASN.1 格式编码的,因此执法系统可以对其进行自动解析、处理和分析。这种结构化格式可实现自动关联、模式分析和数据挖掘操作,而这些操作对于非结构化数据来说要困难得多。IRI 的调查价值不容低估--在许多情况下,IRI 提供的元数据与内容本身一样有价值,甚至更有价值。.
定义 CC:内容层
通信内容是截获的通信的实际内容--电话中所说的话、短信中的文字、数据会话中浏览的网页、电子邮件中附加的文件。CC 代表的是通信内容,而不是通信的上下文信息。CC 通过 HI3 接口传送到 LEMF。.
根据通信类型的不同,CC 的格式也大不相同。对于语音通话,CC 是一种实时音频流,通常使用 AMR(自适应多速率)、AMR-WB(宽带)或 G.711 等编解码器进行编码。音频必须实时传输,以便执法部门能够在对话发生时进行监控,但通常也会进行录音,以供日后审查。对于短信,CC 是短信的文本内容。对于数据会话,CC 包括目标交换的 IP 数据包,其中可能包含网页浏览流量、电子邮件内容、应用程序数据、流媒体和任何其他类型的 IP 通信。.
数据拦截产生的 CC 流量远远大于语音拦截。一个语音通话会产生连续但带宽相对较低的音频流,而一个数据会话可产生数千兆字节的流量,具体取决于目标的活动。这种差异对 LI 系统的尺寸、HI3 传输通道的带宽以及 LEMF 所需的存储容量都有重要影响。.
CC 的交付必须及时。就语音截取而言,这意味着实时传送,并尽量减少延迟。对于数据截取,通常要求接近实时传输,但具体要求可能因辖区而异。ETSI 标准规定了 CC 传输机制,通常使用安全的 TCP 或 UDP 连接,并在传输过程中对内容进行加密保护。.
区别为何重要
IRI 和 CC 之间的区别不仅仅是技术性的,它还具有重大的法律、操作和战略影响。从法律角度看,许多司法管辖区都对元数据和内容区别对待。一些截取令可能授权同时收集 IRI 和 CC,而另一些截取令可能只限于收集元数据。获得授权的法律门槛也可能不同,内容截取通常需要更高的证据标准或更严重的犯罪类别。运营商必须能够独立启动仅截取 IRI 和合并截取 IRI 加 CC,因为截取令的范围决定了可以收集和传输哪些数据。.
从操作角度看,IRI 和 CC 在数量、格式、处理要求和传输机制方面具有不同的特点。IRI 结构相对紧凑,非常适合自动处理和分析。而 CC 可能数量庞大,格式千差万别,需要不同的处理、存储和分析方法。运营商必须设计自己的 LI 系统,通过适当的缓冲、流量控制和服务质量机制,高效处理这两种数据类型。.
从战略和调查角度看,IRI 和 CC 提供不同类型的情报。IRI 可以进行模式分析、网络映射、位置跟踪,并确定一段时间内的通信模式。CC 可直接洞察特定通信的实质内容,但可能需要花费大量精力进行处理和分析--尤其是对产生大量混合媒体内容的数据截获而言。执法机构越来越认识到元数据的战略价值,在某些调查中,IRI 可能是截获工作的主要重点。.
现代网络中的 IRI
从电路交换网络到分组交换网络的过渡大大扩展了 IRI 的范围和复杂性。在传统电话网络中,IRI 相对简单--呼叫设置信令提供了一套定义明确的元数据元素。在现代 IP 网络中,信令环境更加多样化和复杂,涉及 SIP、Diameter、GTP-C 等协议和各种应用层协议。.
例如,VoLTE 在 IMS(IP 多媒体子系统)核心上使用 SIP 信令,结合 Diameter 进行身份验证和策略控制,并结合 GTP 进行承载管理。为 VoLTE 呼叫生成完整的 IRI 需要调解功能同时监控多个协议,并将由此产生的事件关联到一致的 IRI 记录中。ETSI 标准为基于 IMS 的服务定义了特定的 IRI 数据元素,但实际实施可能具有挑战性。.
在 5G 网络中,复杂性进一步增加。5G 核心网基于服务的架构引入了新的网络功能和信令接口,必须对这些功能和接口进行监控,以生成 IRI。5G 的 3GPP LI 架构为 5G 服务定义了特定的拦截点 (POI) 位置和 IRI 数据元素,但运营商必须确保其调解功能能够从 5G 信令流中提取所需的信息。.
加密对 CC 的影响
在现代网络中,CC 传输面临的最大挑战之一是加密技术的日益普及。端到端加密通信(如使用 E2EE 的消息应用程序提供的通信)无法在网络层进行有效拦截。运营商可以捕获加密数据包,但如果没有加密密钥,就无法理解其内容。这就造成了一种情况,即运营商可以提供 IRI(由网络信令生成,不依赖于对内容的访问),但无法提供可用的 CC。.
这一加密挑战已成为合法拦截界的核心政策辩论之一。执法机构认为,加密会造成盲点,阻碍刑事调查,而隐私权倡导者则坚持认为,强大的加密对保护基本权利至关重要。这场争论的解决方案(如果达成的话)将对合法拦截的 CC 部分产生深远影响。在此期间,运营商必须在技术上有能力接入的情况下提供 CC,同时对执法部门透明地说明加密带来的限制。.
运营商的实际考虑因素
实施 LI 系统的运营商必须确保其调解功能能够为其产品组合中的所有服务和网络技术生成完整、准确和及时的 IRI 和 CC。这就要求与运营商的信令基础设施深度集成,具备强大的协议分析能力,并对数据相关性和定时给予仔细关注。.
测试对于验证 IRI 和 CC 的正确生成至关重要。运营商应根据 ETSI IRI 数据结构定义进行全面测试,确保每个事件类型都存在并正确填入所有必要的数据元素。应在所有支持的媒体类型中测试 CC 传输的保真度、定时和完整性。.
最后,随着网络的发展,运营商必须维护其 LI 系统。新服务、新协议和新网络技术需要更新 IRI 生成和 CC 捕获功能。一个在部署时完全合规的合法拦截系统可能会随着网络的变化而变得不合规,因此持续维护和开发是合规计划的关键部分。.
结论
IRI 和 CC 是合法拦截数据传输的两大支柱。IRI 提供结构化元数据,可用于模式分析、位置跟踪和通信映射。CC 提供截获通信的实际内容,可直接洞察目标的通信内容。它们共同构成一幅完整的画面,为执法调查提供支持。对于运营商而言,了解 IRI 和 CC 的技术、法律和操作影响,并建立能有效处理这两种情况的 LI 系统,对于履行其在现代电信网络中的合法拦截义务至关重要。.
准确收集截获相关信息是合法截获行动的基础。操作人员必须确保其系统捕获所有必要的拦截相关信息字段。.
相关文章
如需进一步了解相关主题,请浏览这些文章:
外部资源
以下外部资源提供了更多背景资料和官方文件:
