Вы находитесь на странице: 1из 4

ISSN 0013-5771.

«ЭЛЕКТРОСВЯЗЬ», № 2, 2011 1

УДК 621.395.34

ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ СОРМ В СЕТЯХ LTE


В.О. Тихвинский, заместитель генерального директора ОАО «Гипросвязь» по инновационным технологиям, д.э.н., проф.; vtniir@mail.ru
С.В. Терентьев, руководитель центра инновационных технологий и услуг ОАО «Гипросвязь», к.т.н.
В.П. Высочин, вице-председатель ИТТ РАЕН, к.т.н.

Ключевые слова: система технических средств для обеспе- коммутации. Логическая конфигурация СОРМ сети LTE,
чения функций оперативно-розыскных мероприятий (СОРМ), определяемая техническими спецификациями 3GPP и ис-
сеть мобильного беспроводного доступа, функциональный мо- пользуемая для решения задач контроля и перехвата сооб-
дуль СОРМ, контроль и перехват сообщений, контентные со- щений, может не соответствовать делению на физические
общения, служебная сетевая информация, интерфейс хендове- функциональные модули, реализуемые различными разра-
ра, функциональная модель СОРМ. ботчиками СОРМ для сетей LTE. Эта система обычно со-
В ожидании появления на телекоммуникационном рынке держит логические функциональные модули администриро-
России сетей мобильного беспроводного доступа на базе техно- вания (ADMinistrative Function, ADMF), передачи (Delivery
логий LTE (Release 8, 9) [1] и LTE Advanced (Release 10), подде- Function, DF), сопряжения (Mediation Function, MF), мо-
рживающих стандарты МСЭ (скорость передачи данных в ка- ниторинга (Law Enforcement Monitoring Facilities, LEMF) и
налах радиоинтерфейса до 1 Гбит/с в линиях «вниз» и «вверх»), интерфейсы типа X и HI (Handover Interface).
необходимо сформулировать соответствующие требования к Функциональная модель СОРМ, используемая для акти-
системе технических средств для обеспечения функций опера- вации/дезактивации СОРМ и формирования запросов при
тивно-розыскных мероприятий (СОРМ) для этих сетей [2]. контроле и перехвате сообщений в сети LTE, показана на
В настоящее время существует нормативно-техническая рис. 1. Она включает модули ADMF, DF2 и DF3, а также тра-
база обеспечения СОРМ для LTE и LTE Advanced, разра- диционных сетевых функций LTE, контролируемых СОРМ:
ботанная Техническим комитетом Lawful Interception («За- LTE ICE, реализуемых домашним сервером абонентских
конный перехват») Европейского института стандартизации данных (Home Subscriber Server, HSS), модулем управления
электросвязи (ETSI) [3–10]. Однако СОРМ сети LTE в Рос- мобильностью (MME), сервисным (S-GW) и пакетным (P-
сии должна удовлетворять не только европейским, но и на- GW) шлюзами.
циональным требованиям к СОРМ в сетях передачи данных Таким образом, в функциональной модели СОРМ сети
[2]. LTE дополнительно к типовым сетевым модулям (MME,
В уже развернутых сегодня сетях LTE реализованы фун- S-GW, P-GW, HSS), контролируемым СОРМ, использует-
кции высокоскоростной передачи речи на основе техноло- ся еще ряд специализированных функциональных модулей.
гии All-IP, и контролируемая СОРМ информация контент- Рассмотрим более детально их функции и задачи.
ных сообщений (Content of Communication, CC) относится Модуль администрирования (ADMF) обеспечивает [5–8]:
к IP-уровню сети LTE [10], поэтому ниже рассматриваются • взаимодействие со всеми субъектами правоохрани-
функциональные особенности СОРМ этих сетей при переда- тельных органов, которым необходим доступ к информации
че данных в режиме пакетной коммутации. В дополнение к СОРМ соответствующей сети LTE;
контентным данным решения СОРМ сети LTE (EPS) позво- • поддержку деятельности СОРМ на основе индивиду-
ляют генерировать файлы служебной сетевой информации ального разделения информации СОРМ между различными
контроля и перехвата данных (Intercept Related Information, субъектами правоохранительных органов;
IRI) с сообщениями плоскости управления сетью, относя- • взаимодействие с контролируемой сетью.
щимися к уровню сигнализации. В сети LTE используется только один модуль ADMF.
Сообщения IRI включают собираемые в интересах СОРМ Модули функции передачи (DF) системы СОРМ использу-
данные, которые связаны с телекоммуникационными услу- ются для распределения:
гами, используют целевые идентификаторы со специальны- • служебной сетевой информации контроля и перехвата
ми связями, ассоциированными с информацией и данными данных (IRI) по соответствующим уровню доступа субъек-
абонента (включая неудачные попытки присоединений и там правоохранительных органов посредством интерфейса
вызовов), с услугами, имеющими отношение к передавае- хендовера HI2 на основе назначенных географических зон
мой информации и данным (например, управление профи- (IA) контроля и перехвата сообщений;
лем услуг абонентом), а также информацию о расположении • информации контентных сообщений по соответс-
абонента. твующим уровню доступа субъектам правоохранительных
Контентные сообщения (CC) представляют собой ин- органов посредством интерфейса хендовера HI3 на основе
формацию, передаваемую в сети между двумя или большим назначенных географических зон (IA) контроля и перехвата
числом пользователей, за исключением сообщений IRI. CC сообщений.
могут быть частью телекоммуникационных услуг и сохраня-
ются для каждого пользователя с целью их восстановления. ADM F
Услуги присоединения IP-уровня сети LTE поддержива-
ют услуги уровня приложений для абонентов этой сети: при- HI1 X 1_1
X 1_2 X 1_3
ем/передачу e-mail, веб-поиск, услуги FTP, речевые аудио-
услуги (VoIP, PoC), другие мультимедийные услуги (MBMS,
видеотелефония). DF2 DF3 LTE ICE

Особенности архитектуры СОРМ для режима пакетной


Рис. 1
2 ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 2, 2011

модулей LTE ICE (MME, S-GW, P-GW, HSS) соединен собс-


твенным интерфейсом X1_1 с модулем администрирования
ADMF. Соответственно каждый модуль из LTE ICE выпол-
X1 P-LIG няет функции СОРМ (активацию, деактивацию, опрос, за-
HSS
X2
пуск вызываемого модуля) независимо от остальных моду-
лей.
X1
ADMF HI1
Целевые идентификаторы (параметры сети, подлежа-
X2
щие контролю со стороны СОРМ) могут быть представле-

RMF
HI2
MME DF2
ны одним из следующих параметров сети LTE [1, 13]: IMSI,
X1 X2
HI3 LEMF MSISDN (СОРМ только пакетных данных) или IMEI (СОРМ
при передаче пакетных данных), возможности использова-
X3 DF3
S-GW, P-GW ния которых в интересах СОРМ детально рассмотрены в тех-
нических спецификациях TS 23.060.
Рис. 2 Некоторые виды передаваемого контента в процессе
обеспечения процедуры мобильности не могут быть подвер-
Функциональные модули RMF (Regional Mediation гнуты контролю и перехвату, если они основаны на парамет-
Function) или MF являются модулями сопряжения, или мо- ре MSISDN или IMEI. Использование в качестве целевого
дулями-посредниками. Они выполняют частично функции идентификатора параметра IMSI не приводит к ограничени-
администрирования и доставки информации СОРМ, а так- ям в обеспечении СОРМ.
же используются для преобразования информации СОРМ, Целевые идентификаторы, контролируемые СОРМ при
передаваемой по интерфейсам хендовера HI1, HI2 и HI3, передаче мультимедийных услуг с использованием модуля
в форматы, основанные на национальных и региональных подсистемы IMS CSCF (Call Session Control Function – фун-
стандартах. Например, при использовании в СОРМ требо- кция управления сеансами вызовов), могут быть следующи-
ваний технических спецификаций ETSI TS 101 671 [10] или ми: SIP URI или TEL URL.
ANSI J-STD-025 [11] интерфейсы HI1, HI2 и HI3 будут адап- Для обеспечения СОРМ в сети LTE в режиме пакетной
тированы к этим спецификациям. (Стандарт ETSI ES 201 671 коммутации (PS interception) использована функциональ-
[12] является более ранней версией TS 101 671 и не содержит ная архитектура, которая реализует законный контроль и
последних изменений.) перехват сообщений применительно к основным узлам LTЕ
Для объединения функциональных модулей сети LTE, (EPS): MME, S-GW, P-GW, HSS. На рис. 3 показана конфи-
относящихся к СОРМ, используется специальный пакет- гурация СОРМ для модуля управления мобильностью MME
ный шлюз P-LIG (Packet Lawful Interception Gateway). В него (а), HSS (б) и для шлюзов S-GW, P-GW (в).
(рис. 2) включена вся совокупность служебных модулей: Сетевые интерфейсы, обеспечивающие СОРМ в сети LTE.
ADMF – обеспечивает контроль сообщений правоохра- Интерфейс X1_1 используется для передачи сообщений от
нительными органами внутри сетевых элементов LTE; модуля управления ADMF к модулям, охваченным СОРМ в
DF2 – собирает контролируемую СОРМ сигнальную сети LTE (ICE), таких как:
информацию от элементов сети LTE (например, команду • целевые идентификаторы (MSISDN, IMSI, IMEI, SIP
Attach); URI или TEL URL, NAI);
DF3 – собирает контролируемую СОРМ информацию • информация о содержании предоставляемого контен-
обмена служебными данными от элементов сети LTE и вы- та;
полняет две важнейшие функции: контроля вызовов (сигна- • адрес модуля передачи DF2 для контроля и перехвата
лизации) и транспорта служебной информации для контен- соответствующей служебной информации IRI;
тных сообщений; • адрес модуля передачи DF3 для контроля и перехвата
RMF – обеспечивает возврат контролируемой СОРМ ин- контентных сообщений;
формации к модулю мониторинга LEMF в воспринимаемом • значение параметра географической зоны (IA) СОРМ
правоохранительными органами формате данных; сети LTE в случае географически зависимой СОРМ.
LEMF – собирает контролируемую СОРМ информацию Пример информационного обмена по интерфейсу X1_1
от лица соответствующего субъекта национального правоох- для активации СОРМ приведен на рис. 4.
ранительного органа. После активации командой Activation change request из-
Каждый физический модуль сети LTE, подлежащий кон- менений в передаче сообщений CC или IRI они также могут
тролю СОРМ: MME, S-GW, P-GW, HSS, – соединен собс- быть переданы для идентификации.
твенным X1-интерфейсом с модулем ADMF. Задача перехвата сообщений активируется по запро-
Спецификациями 3GPP определяются следующие ин- су от различных субъектов правоохранительных органов,
терфейсы, обеспечивающие СОРМ для модулей HSS, MME, каждый из которых может запросить перехват посредством
S-GW и P-GW: различных идентификаторов. В этом случае контролируе-
• интерфейсы X1_1, X1_2 и X1_3 – переносят обеспечи- мый целевой идентификатор объекта перехвата необходимо
вающую СОРМ сетевую информацию; передавать при помощи раздельных сообщений активации
• интерфейс X2 – переносит информацию сигнализа- от модуля ADMF к модулям LTE ICE по интерфейсу X1_1.
ции, собираемую для СОРМ; Каждая активация может быть выполнена как для IRI, так и
• интерфейс X3 – переносит СОРМ информацию служб для CC и IRI.
обмена сети LTE; Когда несколько субъектов правоохранительных органов
• интерфейсы хендовера HI1, HI2 и HI3 – обеспечива- запрашивают активацию СОРМ на основе одного и того же
ют взаимодействие модулей СОРМ сети LTE с оборудовани- идентификатора, ADMF сначала определяет, существует ли
ем мониторинга для законного прослушивания (LEMF). уже активация этого идентификатора, а затем этот модуль
Каждый физический модуль из входящих в совокупность (как внедренная опция) может передать дополнительное со-
ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 2, 2011 3

HI1 X1_1 ADMF LTE ICE


MF ADMF
Запрос
на активацию СОРМ
X1_2 ...активация функций
LEMF HI2 передачи данных СОРМ
X2
MF DF2
MME
Активация СОРМ

а)
Подтверждение
активации СОРМ
HI1 X1_1 Подтверждение
MF ADMF активации СОРМ

X1_2
LEMF HI2 X2
MF DF2 Рис. 4
HSS

б) ADMF DF2

HI1 Запрос
X1_1 на активацию СОРМ
MF ADMF
Активация СОРМ

X1_2 X1_3
HI2 Подтверждение
X2
MF DF2 активации СОРМ
LEMF

HI3 S-GW,
X3 P-GW
MF DF3 Подтверждение ...активация по X1_3
активации СОРМ
...активация по X1_1
в)

Рис. 3 Рис. 5

общение активации модулям LTE ICE. Когда активация не- (MSISDN, IMSI и IMEI);
обходима, чтобы произвести изменения в целях перехода от • идентификаторы IA в случае использования геогра-
данных IRI только к CC или только к IRI, в модули LTE ICE фически зависимой СОРМ;
должна быть отправлена команда Activation change message. • данные о состоянии абонентского терминала-объек-
В случае повторной активации СОРМ только вызывав- та перехвата (команды: Mobile Station Attach; Mobile Station
шие ее субъекты правоохранительных органов получат соот- Detach; активация PDP-контекста; начало выполнения пе-
ветствующие данные IRI. рехвата с присоединения мобильной станции (национальная
Интерфейс X1_2 (IRI) предназначен для активации со- опция); начало выполнения перехвата с активации PDP-
общений IRI и передачи команд от ADMF к DF2, которые контекста; модификация PDP-контекста; деактивации PDP-
содержат: контекста; обновление зоны RA Routing Aria); передача SMS
• целевые идентификаторы объекта перехвата; и др.);
• адрес доставки сообщений IRI, соответствующих ад- • идентификатор QoS;
ресу LEMF; • коррелированный номер объекта перехвата;
• идентификатор активации модуля передачи DF2, ко- • параметры кодирования (ключи и соответствующие
торый уникальным образом идентифицирует его процедуру параметры для декодирования CC).
активации и используется для дальнейшего запуска вызыва- Сообщения IRI передаются в модуль DF2 с использова-
емого модуля или его деактивации; нием определенного механизма передачи данных.
• зону охвата IA в случае использования географически Интерфейс X3 при контроле и перехвате СС передает от
зависимой СОРМ; модулей MME, S-GW, P-GW, HSS к DF3 следующую ин-
• гарантированный номер ссылки, если он требуется в формацию:
национальной опции СОРМ. • целевые индикаторы объекта перехвата;
Пример информационного обмена по интерфейсу X1_2 • коррелированный номер объекта перехвата;
для активации СОРМ приведен на рис. 5. • временной ярлык файла (time stamp);
Если целью контроля и перехвата сообщений является • направление потока данных (TPDU инициирует сес-
СОРМ для нескольких субъектов правоохранительных орга- сию (MO) или терминирует ее (MT));
нов по нескольким идентификаторам одновременно, пере- • размещение абонента-объекта перехвата или пара-
дача соответствующей команды активации СОРМ потребу- метры IA в случае использования географически зависимой
ется для каждой комбинации субъектов правоохранительных СОРМ.
органов (Law Enforcement Agency, LEA) и параметра иденти- Процедура управления СОРМ для контентных сообще-
фикации. ний в соответствии с роуминговыми соглашениями и функ-
Интерфейс X2 позволяет передавать от сетевых модулей ционирование СОРМ могут изменяться с учетом националь-
MME, S-GW, P-GW, HSS к модулю передачи DF2 следую- ных особенностей управления сетью LTE.
щую информацию: Интерфейсы хендовера HI1, HI2 и HI3, определяемые
• целевые идентификаторы объекта перехвата как интерфейсы между субъектами LEA и модулем админис-
4 ISSN 0013-5771. «ЭЛЕКТРОСВЯЗЬ», № 2, 2011

трирования, обеспечивают взаимодействие с оборудованием тизируется в собственную сеть через шлюз PGW.
мониторинга для законного прослушивания [10]. Интерфей- Шлюз СОРМ P-LIG перехватывает сигнализацию только
сы хендовера, используемые СОРМ, представляют собой модуля HSS (Update Location и др.).
физические и логические интерфейсы внутри сети, предна- Таким образом, посещение абонентом визитных сетей
значенные для контроля и перехвата сообщений, запраши- других федеральных округов потребует создания СОРМ сети
ваемых от оператора сети/ провайдера доступа/ провайдера LTE и в этих федеральных округах.
услуг (NwO/AP/SvP). Их результаты доставляются оборудо- Заключение. Обозначим основные особенности построе-
ванию мониторинга для законного прослушивания (LEMF). ния СОРМ сети LTE:
HI1, двунаправленный интерфейс между оператором • точками перехвата сообщений являются типовые се-
сети LTE и субъектом LEA, обеспечивает оператора сети тевые модули сети LTE: MME, S-GW, P-GW, HSS на уровне
LTE детальной информацией об объекте перехвата и контро- собственной сети;
ля для осуществления процедуры СОРМ, обычно в форме га- • для реализации СОРМ следует использовать специ-
рантии правоохранительного органа, содержащей детальную альный пакетный шлюз P-LIG, объединяющий функцио-
информацию об объекте СОРМ. Разрешение на проведение нальные модули сети LTE, относящиеся к СОРМ: ADMF,
законного прослушивания и перехват сообщений спецслуж- DF, MF, LEMF и интерфейсы типа X, HI;
ба по интерфейсу НI1 доводит до оператора сети/ провайдера • перемещение абонентского терминала внутри других
доступа/ провайдера услуг (NwO/AP/SvP) [14]. регионов обслуживания сети потребует обеспечения СОРМ
HI2 и HI3, однонаправленные интерфейсы от оператора внутри визитного региона.
сети LTE к субъекту LEA сообщений IRI и СС при прове- • СОРМ сети LTE, реализованная в виде шлюза P-LIG,
дении СОРМ, соединяют соответствующие модули передачи кроме основных задач СОРМ, также обеспечивает:
DF2 и DF3 СОРМ сети LTE и субъекты правоохранительных • взаимодействие с субъектами нескольких правоохра-
органов. Являясь интерфейсом к оборудованию мониторин- нительных органов;
га для законного прослушивания (LEMF), HI3 обеспечивает • использование географически зависимой СОРМ и
управление сигнализацией и транспортировкой служебных фильтрацию размещения абонента в зоне местоположения
данных для контентных сообщений. На рис. 3 HI2 представ- (Tracking Area, TA) или соте (субрегионе);
лен как интерфейс между LEA и DF2 (модулем передачи со- • ограничение передачи управления СОРМ в сети LTE
общений IRI). через регионы обслуживания.
Сценарии обеспечения СОРМ сети LTE. Можно рас- Особенности построения ЕСС России потребуют систем-
смотреть три сценария обеспечения СОРМ сети LTE, кото- ного дизайна при создании СОРМ сети LTE на основе наци-
рая при общей глобальной базе абонентов HSS имеет внут- ональных процедур, проводимых в ходе оперативно-розыск-
реннее деление на несколько федеральных округов, где сети ных мероприятий.
соседних округов по отношению к собственной сети являют-
ЛИТЕРАТУРА
ся визитными.
Все три сценария имеют общие условия: абонентский 1. Тихвинский В.О., Терентьев С.В., Юрчук А.Б. Сети мобильной
терминал (User Equipment – UE) запрограммирован на связи LTE: технологии и архитектура // М.: Эко-Трендз, 2010.
обеспечение СОРМ при взаимодействии с модулями S-GW, 2. Приказ от 27 мая 2010 г. № 73 Минкомсвязи РФ «Об утверж-
P-GW и MME собственной сети и общей глобальной базой дении Требований к сетям электросвязи для проведения опе-
абонентов оператора сети LTE. Особенности сценариев: ративно-розыскных мероприятий. Ч. II. Требования к сетям
передачи данных» (Зарегистрирован в Минюсте РФ 07.07.2010
В сценарии 1 процедура СОРМ не обеспечивается в других
№ 17748).
активированных для СОРМ сетевых модулях (S-GW, P-GW 3. Гольдштейн Б.С., Елагин В.С. Законный перехват сообщений:
и MME) за пределами собственной сети LTE. Абонентский подходы ETSI, CALEA И СОРМ// Вестник связи/ - 2007. - №3.
терминал UE инициирует сессию в собственной сети, кото- 4. ETSI TS 101 331: «Telecommunications security; Lawful
рая маршрутизируется на собственный шлюз P-GW. Interception (LI); Requirements of Law Enforcement Agencies».
Шлюз СОРМ P-LIG собственной сети перехватывает 5. ETSI ES 201 158: «Lawful Interception; Requirements for network
следующие сообщения: functions».
• сигнализацию модуля HSS (Update Location и др.); 6. ETSI ES 201 671: «Handover Interface for the lawful interception of
• сигнализацию модуля MME собственной сети telecommunications traffic».
(Attaches, Bearer requests и др.), информацию Cell ID; 7. 3GPP TS 33.106: 3rd Generation Partnership Project; Technical
Specification Group Services and System Aspects; 3G Security;
• сигнализацию (Bearer setup и др.) и служебный трафик
Lawful Interception Requirements.
сервисного узла S-GW собственной сети;
8. 3GPP TS 33.107: 3rd Generation Partnership Project; Technical
• сигнализацию (Bearer setup и др.) и служебный трафик Specification Group Services and System Aspects; 3G security;
пакетного узла P-GW собственной сети. Lawful interception architecture and functions (Release 10).
В сценарии 2 СОРМ не активирована для других визит- 9. 3GPP TS 23.008: 3rd Generation Partnership Project; Technical
ных соседних сетей. Абонентский терминал UE инициирует Specification Group Core Network; Organization of subscriber data.
сессию в визитной сети, и инициированная сессия маршру- 10. ETSI TS 101 671: Handover Interface for the lawful interception of
тизируется в собственную сеть через шлюз PGW. telecommunications traffic (step 3).
Шлюз СОРМ P-LIG собственной сети перехватывает 11. ANSI J-STD-025-А: Lawfully Authorized Electronic Surveillance.
следующие сообщения: 12. ETSI ES 201 671: Handover Interface for the lawful interception of
• сигнализацию модуля HSS (Update Location и др.); telecommunications traffic.
13. 3GPP TS 23.060: 3rd Generation Partnership Project; Technical
• сигнализацию (Bearer setup и др.) и служебный трафик
Specification Group Services and System Aspects; General Packet
пакетного узла P-GW собственной сети. Radio Service (GPRS); Service description.
В сценарии 3 СОРМ не активирована для других визит- 14. Гольдштейн Б.С., Крюков Ф.Ю., Хегай И.П. Инженерные ас-
ных соседних сетей. Абонентский терминал UE инициирует пекты СОРМ //Вестник связи. – 2005. – № 9.
сессию в визитной сети, и инициированная сессия маршру- Получено 17.01.11

Оценить