وثائق الامتثال لاعتراض ANSSI R226

غرض الوثيقة: توفر هذه الوثيقة المواصفات الفنية المطلوبة للحصول على تفويض ANSSI R226 بموجب المواد R226-3 و R226-7 من القانون الجنائي الفرنسي لخادم تطبيق OmniTAS IMS.

التصنيف: وثائق الامتثال التنظيمي

السلطة المستهدفة: الوكالة الوطنية لأمن نظم المعلومات (ANSSI)

التنظيم: R226 - حماية خصوصية المراسلات والاعتراض القانوني

1. المواصفات الفنية التفصيلية

1.1 ورقة البيانات الفنية التجارية

اسم المنتج: خادم تطبيق OmniTAS IMS
نوع المنتج: خادم تطبيقات الاتصالات (TAS)
الوظيفة الأساسية: معالجة المكالمات IMS (نظام الوسائط المتعددة IP) وإدارة الجلسات
بروتوكولات الشبكة: SIP، Diameter، HTTP/HTTPS، SS7/MAP
نموذج النش��: تطبيق خادم محلي

القدرات الأساسية

معالجة المكالمات:

بروكسي بروتوكول بدء الجلسة (SIP) ووظيفة B2BUA
معالجة معايير الفلترة الأولية IMS (iFC)
توجيه الجلسات والتحكم في المكالمات
معالجة المكالمات الطارئة (توجيه PSAP E.164)
إنشاء سجلات تفاصيل المكالمات (CDR)

واجهات الشبكة:

Northbound: واجهة IMS S-CSCF (SIP عبر TCP/UDP)
Southbound: واجهة SBC/بوابة (SIP trunking)
Diameter: Sh (بيانات المشتركين)، Ro (الشحن عبر الإنترنت)
SS7: واجهة بوابة MAP للتفاعل مع HLR/MSC
HTTP/HTTPS: تكامل الخدمة الخارجية (SMS، TTS، بوابة MAP)

التخزين والمعالجة:

إدارة حالة الجلسة في الوقت الحقيقي
تخزين واسترجاع سجلات تفاصيل المكالمات (CDR)
قاعدة بيانات تسجيل المشتركين (Sofia SIP)
قاعدة بيانات التكوين (SQLite)

1.2 قدرات الاعتراض

1.2.1 اكتساب الإشارة

التقاط الإشارات SIP:

يقوم OmniTAS بمعالجة جميع رسائل الإش��رات SIP بين مشتركي IMS والشبكات الخارجية
الوصول الكامل إلى رؤوس SIP بما في ذلك:
- تحديد هوية الطرف المتصل (From، P-Asserted-Identity)
- تحديد هوية الطرف المتصل به (To، Request-URI)
- URIs الاتصال وموقع الشبكة
- معلومات توجيه المكالمات
- وصف الجلسة (SDP) بما في ذلك ترميز الوسائط ونقاط النهاية

اكتساب بيانات المكالمات:

سجلات تفاصيل المكالمات (CDR) كاملة مخزنة في قاعدة البيانات مع:
- الطابع الزمني (أوقات البدء، الإجابة، الانتهاء)
- معرفات المتصل والمتصل به (MSISDN، IMSI، SIP URI)
- اتجاه المكالمة (المكالمات الصادرة/الواردة)
- نتيجة المكالمة (تم الرد، مشغول، فشل، إلخ)
- معلومات المدة والشحن
- بيانات موقع الشبكة (معلومات برج الخلية عند توفرها)

واجهة تسجيل الجلسات (SIPREC):

دعم بروتوكول SIPREC للاعتراض القانوني
القدرة على تكرار إشارات SIP إلى خوادم التسجيل الخارجية
سياسات تسجيل الجلسات القابلة للتكوين
التحكم في الترخيص: تتطلب وظيفة SIPREC تفويض ترخيص صريح
التحكم في الوصول: تقييد تكوين SIPREC للمسؤولين المعتمدين

1.2.2 قدرات معالجة الوسائط

الوسائط:

B2BUA مع قدرات تمرير وسائط RTP
تمرير تدفقات RTP عبر الخادم
الوصول إلى تدفقات الوسائط لأغراض الاعتراض
تحليل SDP لمعلومات نقاط النهاية والترميز

إشارة:

تحليل رسائل SIP
ترميز/فك ترميز رسائل Diameter (واجهات Sh، Ro)
معالجة طلبات/استجابات HTTP/HTTPS

1.2.3 قدرات التحليل

مراقبة المكالمات في الوقت الحقيقي:

لوحة معلومات واجهة المستخدم على الويب تعرض المكالمات النشطة مع:
- حالة المكالمة (محاولة، رنين، نشط، منتهي)
- معلومات المتصل/المتصل به
- مدة المكالمة
- معلومات ترميز الوسائط
- نقاط النهاية الشبكية

التحليل التاريخي:

استعلام قاعدة بيانات CDR حسب:
- نطاق الو��ت
- رقم الطرف المتصل/المتصل به
- نوع المكالمة (صوتية، طارئة، إلخ)
- نتيجة/تصرف المكالمة
- حدود المدة

تتبع المشتركين:

مراقبة التسجيل النشط
تتبع موقع المشترك عبر:
- URI الاتصال بتسجيل IMS
- رأس P-Access-Network-Info (تحديد برج الخلية)
- معلومات عنوان IP والمنفذ
سجلات التسجيل التاريخية

تحليلات الشبكة:

مقاييس حجم المكالمات (تكامل Prometheus)
حالة البوابة والاتصال
اتصال نظير Diameter
مقاييس أداء النظام

للحصول على وثائق شاملة عن المقاييس: انظر metrics.md لتكوين المراقبة والتنبيه والرؤية.

ذكاء الموقع:

تكامل قاعدة بيانات برج الخلية
رسم الخرائط من رقم E.164 إلى الموقع الجغرافي (خطة ترقيم أمريكا الشمالية)
توجيه خدمات الطوارئ (رسم خرائط PSAP)

1.3 قدرات التدابير المضادة

1.3.1 آليات حماية الخصوصية

سرية الاتصالات:

أمان نقل TLS Diameter
HTTPS لواجهات الويب وواجهات برمجة التطبيقات
تشفير قاعدة البيانات أثناء الراحة (قابل للتكوين)

التحكم في الوصول:

التحكم في الوصول القائم على الدور (RBAC) لواجهة المستخدم على الويب
تجزئة كلمة المرور باستخدام SHA-512 وملح (65,532 تكرار)

تسجيل التدقيق:

سجل تدقيق كامل للإجراءات الإدارية
تسجيل تغييرات التكوين
تسجيل أحداث المصادقة
تخزين السجلات المقاومة للتلاعب

1.3.2 ميزات مكافحة الاعتراض

الاتصالات الآمنة:

TLS إلزامي للواجهات الخارجية (قابل للتكوين)
مصادقة قائمة على الشهادات
مجموعات تشفير Perfect Forward Secrecy (PFS)

حماية البيانات:

سياسات الاحتفاظ التلقائي بسجلات CDR
قدرات حذف البيانات بشكل آمن
ضوابط وصول قاعدة البيانات
دعم تقسيم الشبكة (شبكات إدارة/إشارة/وسائط منفصلة)

تقوية النظام:

حماية معلمات التمهيد
آليات التحقق من النزاهة
الحد الأدنى من سطح الهجوم (تمكين الخدمات المطلوبة فقط)

1.4 البنية الفنية للاعتراض القانوني

نقاط تكامل الاعتراض القانوني

1. واجهة SIPREC (بروتوكول تسجيل الجلسات - RFC 7866):

2. واجهة تصدير CDR:

تصدير CDR إلى الأنظمة الخارجية
تنسيقات قياسية (CSV، JSON)
نقل آمن (HTTPS)

3. الوصول المباشر إلى قاعدة البيانات:

بيانات اعتماد قاعدة بيانات للقراءة فقط للأنظمة المعتمدة
الوصول إلى استعلام SQL إلى جداول CDR
الوصول إلى بيانات تسجيل المشتركين
الوصول إلى سجل التدقيق

4. تكامل API:

واجهة برمجة تطبيقات RESTful لمراقبة المكالمات
استعلامات المكالمات النشطة في الوقت الحقيقي
استرجاع CDR التاريخية
حالة تسجيل المشتركين

آليات تحفيز الاعتراض

الاعتراض القائم على الهدف:

مطابقة معرف المشترك (MSISDN، IMSI، SIP URI)
قواعد اعتراض قابلة للتكوين في منطق التطبيق
تقسيم جلسة SIPREC بناءً على هوية المتصل/المتصل به

الاعتراض القائم على الحدث:

اكتشاف المكالمات الطارئة وتسجيلها
مراقبة رقم وجهة محدد
تحفيز قائم على المنطقة الجغرافية (موقع برج الخلية)

الاعتراض القائم على الوقت:

نوافذ تسجيل مجدولة
إنفاذ فترة الاحتفاظ
انتهاء صلاحية أوامر الاعتراض تلقائيًا

2. قدرات التشفير والتحليل

2.1 نظرة عامة على القدرات التشفيرية

يطبق خادم تطبيق OmniTAS IMS آليات تشفير لتأمين الاتصالات وحماية البيانات الحساسة. توثق هذه القسم جميع القدرات التشفيرية وفقًا لمتطلبات ANSSI.

2.2 تشفير طبقة النقل

2.2.1 تنفيذ TLS/SSL

البروتوكولات المدعومة:

TLS 1.2 (RFC 5246)
TLS 1.3 (RFC 8446)
SSL 2.0/3.0: معطلة (ثغرات معروفة)
TLS 1.0/1.1: مهجورة (قابلة للتكوين، معطلة بشكل افتراضي)

مجموعات التشفير (قائمة أولوية قابلة للتكوين):

المفضلة - TLS 1.3:

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

المدعومة - TLS 1.2:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

ميزات الأمان:

Perfect Forward Secrecy (PFS) مطلوبة
مجموعات Diffie-Hellman القوية (2048 بت كحد أدنى)
تشفير المنحنى البياني: NIST P-256، P-384، P-521
دعم إشارة اسم الخادم (SNI)
OCSP stapling للتحقق من الشهادات

إدارة الشهادات:

دعم الشهادات X.509
أحجام مفاتيح RSA: 2048 بت كحد أدنى، 4096 بت موصى بها
دعم ECDSA (P-256، P-384)
التحقق من سلسلة الشهادات
التحقق من إلغاء CRL و OCSP
الشهادات الموقعة ذاتيًا (للتطوير فقط)
تكامل CA الخارجي

التطبيقات:

HTTPS لواجهة المستخدم على الويب والوصول إلى API
Diameter عبر TLS

2.3 تشفير البيانات أثناء الراحة

2.3.1 تشفير قاعدة البيانات

تشفير SQLite:

دعم تكامل SQLCipher
تشفير AES-256
تخزين مشفر للبيانات الحساسة (CDR، بيانات المشتركين)

2.3.2 تشفير نظام الملفات

تخزين البيانات الحساسة:

ملفات CDR: تشفير AES-256 (اختياري)
ملفات التكوين: تخزين مشفر للاعتمادات
المفاتيح الخاصة: مخازن مفاتيح مشفرة (PKCS#12، PEM مع عبارة مرور)
ملفات السجل: دعم التشفير للسجلات المؤرشفة

تخزين المفاتيح:

مخازن مفاتيح قائمة على الملفات مع حماية عبارة المرور
آليات تدوير المفاتيح الآمنة

2.4 المصادقة وتشفير كلمات المرور

2.4.1 تجزئة كلمات المرور

الخوارزمية: SHA-512 مع الملح
التكوين:

ملح يتم إنشاؤه عشوائيًا (128 بت كحد أدنى)
65,532 جولة من التكرار (قابل للتكوين)
يتم تخزين الملح بجان�� التجزئة
مقاوم لهجمات جدول قوس قزح

تنسيق التخزين:

$6$rounds=65532$<salt>$<hash>

التطبيقات:

مصادقة مستخدم واجهة المستخدم على الويب
توليد رموز API
تخزين كلمات مرور المسؤولين
بيانات اعتماد مستخدم قاعدة البيانات

2.4.2 مصادقة مفتاح SSH

أنواع المفاتيح المدعومة:

RSA: 1024-4096 بت (2048 بت كحد أدنى موصى به)
DSA: 1024-4096 بت (مهجورة، يفضل RSA)
ECDSA: منحنيات P-256، P-384، P-521
Ed25519: 256 بت (مفضل للنشر الجديد)

إدارة المفاتيح:

دعم توليد المفاتيح الخارجية
استيراد المفتاح العام لمصادقة العميل
إدارة مفتاح خادم المضيف
إلغاء المفاتيح الفردية
إجراءات تدوير المفاتيح

بروتوكول SSH:

بروتوكول SSH-2 فقط (SSH-1 معطل)
خوارزميات MAC قوية (HMAC-SHA2-256، HMAC-SHA2-512)
تبادل المفاتيح: curve25519-sha256، ecdh-sha2-nistp256، diffie-hellman-group14-sha256

2.5 أمان بروتوكول Diameter

2.5.1 آليات أمان Diameter

أمان ال��قل:

TLS عبر TCP لاتصالات نظير Diameter
مصادقة الشهادات المتبادلة

أمان مستوى التطبيق:

مصادقة النظير عبر التحقق من Origin-Host/Origin-Realm
تكوين السر المشترك (قديم، مهجور)
تشفير AVP (Attribute-Value Pair) للبيانات الحساسة
أمان من النهاية إلى النهاية مع CMS (تنسيق الرسالة التشفيرية)

2.6 آليات هوية SIP

P-Asserted-Identity:

تأكيد الشبكة الموثوق
التحقق من الهوية والترجمة
دعم رأس الخصوصية

ملاحظة: يتم إجراء مصادقة المشترك بواسطة نواة IMS (P-CSCF/S-CSCF)، وليس بواسطة TAS.

2.7 قدرات التحليل الأمني وتقييم الأمان

2.7.1 أدوات تحليل البروتوكولات

قدرات التصحيح المدمجة:

تتبع رسائل SIP مع التقاط كامل للرؤوس/الجسم
تسجيل رسائل Diameter (فك ترميز AVP)
تصحيح عملية المصافحة TLS
تسجيل التحقق من سلسلة الشهادات

التكامل الخارجي:

دعم التقاط الحزم Wireshark/tcpdump
تصدير SSLKEYLOGFILE لفك تشفي�� TLS (للتطوير فقط)
تصدير PCAP للتحليل غير المتصل

2.7.2 اعتبارات تقييم الثغرات

ثغرات تشفير معروفة:

دعم MD5 القديم في SIP Digest (محافظ عليه للتوافق العكسي)
مجموعات تشفير ضعيفة قابلة للتكوين (معطلة بشكل افتراضي)
دعم الشهادات الموقعة ذاتيًا (للتطوير/الاختبار فقط)

اختبار الأمان:

يُوصى بإجراء تدقيقات أمان منتظمة
دعم اختبار الاختراق
التحقق من قوة مجموعة التشفير
مراقبة انتهاء صلاحية الشهادات

2.8 بنية إدارة المفاتيح

2.8.1 توليد المفاتيح

توليد المفاتيح الداخلية:

توليد مفاتيح RSA: مكتبة OpenSSL (خوارزميات متوافقة مع FIPS 140-2)
توليد أرقام عشوائية: /dev/urandom (CSPRNG لنواة Linux)
مصادر الانتروبيا: مولد أرقام عشوائية للأجهزة، مجموعة انتروبيا النظام

2.8.2 تخزين المفاتيح وحمايتها

تخزين المفتاح الخاص:

نظام الملفات مع أذونات مقيدة (0600)
تنسيق PEM مشفر مع عبارة مرور
حذف آمن عند تدوير المفتاح

نسخ احتياطي للمفتاح:

إجراءات نسخ احتياطي مشفرة
آليات استرداد المفتاح المقسمة
إيداع المفتاح الآمن (إذا تطلب ذلك التنظيم)

2.8.3 توزيع المفاتيح

توزيع الشهادات:

استيراد يدوي عبر واجهة المستخدم على الويب
توفير تلقائي عبر API
دعم بروتوكول ACME (Let's Encrypt، تحسين مستقبلي)

توزيع المفتاح المتماثل:

تبادل المفاتيح خارج النطاق لنظراء Diameter
اتفاقية مفتاح Diffie-Hellman في TLS
عدم نقل المفتاح بالنص الواضح

2.9 الامتثال والمعايير

الامتثال لمعايير التشفير:

NIST SP 800-52: إرشادات TLS
NIST SP 800-131A: انتقالات خوارزمية التشفير
RFC 7525: توصيات TLS
ETSI TS 133 310: أمان شبكة IMS
3GPP TS 33.203: أمان الوصول إلى IMS

التنظيمات الفرنسية للتشفير:

إعلان وسائل التشفير (إذا كان ذلك مناسبًا)
شهادة المنتج التشفيري ANSSI (إذا كان مط��وبًا)
لا توجد تشفيرات مقيدة للتصدير (جميع الخوارزميات القياسية)

2.10 مقاومة التحليل

2.10.1 مبادئ التصميم

الدفاع ضد التحليل:

لا خوارزميات تشفير مخصصة/ملكية
خوارزميات قياسية معتمدة من الصناعة فقط
تحديثات أمان منتظمة لمكتبات التشفير
إهمال الخوارزميات الضعيفة

2.10.2 الأمان التشغيلي

تدوير المفاتيح:

تجديد شهادة TLS (يوصى به سنويًا)
تدوير مفتاح الجلسة (لكل جلسة لـ TLS)
سياسات انتهاء صلاحية كلمة المرور (قابلة للتكوين)

المراقبة والاكتشاف:

تسجيل محاولات المصادقة الفاشلة
تنبيهات انتهاء صلاحية الشهادات
تسجيل تفاوض مجموعة التشفير
اكتشاف الشذوذ لفشل التشفير

3. التحكم في الاعتراض والتفويض

3.1 التحكم في الوصول للاعتراض القانوني

تفويض إداري:

تتطلب ميزات الاعتراض القانوني امتيازات على مستوى المسؤول
الوصول إ��ى تكوين SIPREC: دور المشرف فقط
الوصول إلى CDR: أذونات قائمة على الدور قابلة للتكوين
تسجيل تدقيق لجميع الإجراءات المتعلقة بالاعتراض

تكامل الإطار القانوني:

تتبع أوامر الاعتراض (تكامل النظام الخارجي)
قوائم تفويض معرف الهدف
تفعيل الاعتراض لفترة محدودة
إلغاء تلقائي عند انتهاء صلاحية الأمر

3.2 الاحتفاظ بالبيانات والخصوصية

سياسات الاحتفاظ:

احتفاظ CDR: قابل للتكوين (افتراضي 90 يومًا، متطلب تنظيمي 1 سنة)
سجلات التسجيل: احتفاظ قابل للتكوين
سجلات التدقيق: احتفاظ بحد أدنى 1 سنة
تطهير تلقائي للبيانات المنتهية

حماية الخصوصية:

مبدأ الحد الأدنى من جمع البيانات
تحديد الغرض (تقديم خدمة الاتصالات)
تسجيل الوصول والمراقبة

3.3 واجهات التسليم لإنفاذ القانون

واجهات الاعتراض القانوني القياسية:

دعم واجهة ETSI LI (الاعتراض القانوني) (عبر جهاز وساطة خارجي)
تكامل SIPREC إلى بوابة LI
دعم واجهة X1 وX2 وX3 (نظام خارجي)

تنسيقات التسليم:

IRI (معلومات متعلقة بالاعتراض): بيانات تعريف CDR
CC (محتوى الاتصال): إشارات SIP + الوسائط (عبر MRF)
تقارير منظمة: تنسيقات XML، JSON

4. أمان النظام والنزاهة

4.1 أمان التمهيد

آليات التمهيد الآمن:

حماية معلمات التمهيد (متطلب ANSSI R226)
التحقق من نزاهة التكوين
اكتشاف التلاعب عند بدء التشغيل
تحميل التكوين الآمن

4.2 أمان الشبكة

أمان الشبكة:

الحد الأدنى من المنافذ المكشوفة (SIP، Diameter، HTTPS فقط)
التحكم في الوصول بناءً على المنفذ
القائمة البيضاء/السوداء لعناوين IP

4.3 كشف التسلل

قدرات المراقبة:

مراقبة محاولات المصادقة الفاشلة
اكتشاف أنماط المكالمات غير العادية
اكتشاف حركة مرور Diameter الشاذة
تنبيه الأحداث الأمنية (تكامل SIEM)

5. مراج�� الوثائق

5.1 الأدلة الفنية

الوثائق المتاحة في مستودع المشروع:

README.md: نظرة عامة على النظام، البنية، والميزات التشغيلية
doc/deployment_guide.md: تعليمات النشر (إذا كانت متاحة)
doc/configuration.md: مرجع التكوين (إذا كان متاحًا)

5.2 الشهادات الأمنية

تقارير اختبار الاختراق: [سيتم توفيرها عند الطلب]
تقارير تدقيق الأمان: [سيتم توفيرها عند الطلب]
تحقق من وحدة التشفير: مطابقة OpenSSL مع FIPS 140-2

5.3 وثائق الامتثال

طلب تفويض ANSSI R226: هذه الوثيقة
امتثال الاعتراض القانوني: كما هو مطلوب بموجب تنظيمات الاتصالات الفرنسية

6. معلومات الاتصال

معلومات البائع/المشغل:

اسم الشركة: Omnitouch Network Services Pty Ltd
العنوان: PO BOX 296, QUINNS ROCKS WA 6030, AUSTRALIA
الشخص المسؤول: فريق الامتثال
البريد الإلكتروني: compliance@omnitouch.com.au

جهة الاتصال الأمنية الفنية:

الاسم: فريق الامتثال
البريد الإلكتروني: compliance@omnitouch.com.au

جهة الاتصال القانونية/الامتثال:

الاسم: فريق الامتثال
البريد الإلكتروني: compliance@omnitouch.com.au

الملاحق

الملحق A: أمثلة تدفق رسائل SIP

A.1 تدفق المكالمات الصادرة مع نقاط الاعتراض

الأسطورة: [INTERCEPTION] = النقاط التي يتم فيها التقاط بيانات الاعتراض القانونية

A.2 مكالمة طارئة مع تتبع الموقع

A.3 إنشاء جلسة تسجيل SIPREC

الملحق B: مخط�� CDR

يخزن نظام OmniTAS سجلات تفاصيل المكالمات في قاعدة بيانات SQLite (تنسيق CDR لـ FreeSWITCH) الموجودة في /etc/freeswitch/db/cdr.db.

B.1 الحقول الرئيسية في CDR للاعتراض القانوني

اسم الحقل	النوع	الوصف	أهمية الاعتراض
`uuid`	نص	معرف المكالمة الفريد	ارتباط الجلسة
`caller_id_number`	نص	رقم الطرف المتصل (MSISDN)	المعرف الرئيسي لتتبع الهدف
`caller_id_name`	نص	اسم العرض للطرف المتصل	التحقق من الهوية
`destination_number`	نص	رقم الطرف المتصل به	تتبع وجهة الهدف
`start_stamp`	تاريخ ووقت	الطابع الزمني لبداية المكالمة	جدول زمني للحدث
`answer_stamp`	تاريخ ووقت	الطابع الزمني لرد المكالمة	وقت إنشاء المكالمة
`end_stamp`	تاريخ ووقت	الطابع الزمني لانتهاء المكالمة	حساب مدة الجلسة
`duration`	عدد صحيح	إجمالي مدة المكالمة (بالثواني)	طول الجلسة
`billsec`	عدد صحيح	الثواني القابلة للفوترة (وقت الرد)	مدة المحادثة الفعلية
`hangup_cause`	نص	سبب إنهاء المكالمة	تحليل نتيجة المكالمة
`sip_hangup_disposition`	نص	تفاصيل إنهاء SIP	إنهاء على مستوى البروتوكول
`network_addr`	نص	عنوان IP للشبكة	تتبع موقع المصدر
`sip_from_user`	نص	جزء المستخدم من رأس SIP From	الهوية الأصلية لـ SIP
`sip_to_user`	نص	جزء المستخدم من رأس SIP To	وجهة SIP
`sip_call_id`	نص	رأس SIP Call-ID	ارتباط جلسة SIP

B.2 أمثلة استعلام CDR للاعتراض القانوني

استعلام المكالمات حسب رقم الهدف:

SELECT * FROM cdr
WHERE caller_id_number = '+33612345678'
   OR destination_number = '+33612345678'
ORDER BY start_stamp DESC;

استعلام المكالمات ضمن نافذة زمنية:

SELECT * FROM cdr
WHERE start_stamp BETWEEN '2025-11-01 00:00:00' AND '2025-11-30 23:59:59'
  AND (caller_id_number = '+33612345678' OR destination_number = '+33612345678')
ORDER BY start_stamp DESC;

تصدير إلى CSV لإنفاذ القانون:

.mode csv
.output /tmp/interception_report.csv
SELECT caller_id_number, destination_number, start_stamp, end_stamp, duration, hangup_cause
FROM cdr
WHERE caller_id_number = '+33612345678'
ORDER BY start_stamp DESC;
.output stdout

B.3 وصول API إلى CDR

يوفر TAS وصولًا برمجيًا عبر وحدة Tas.Cdr:

# الحصول على جميع المكالمات لرقم معين
Tas.Cdr.get_records_by(:caller_id_number, "+33612345678")

# الحصول على المكالمات في نطاق التاريخ
Tas.Cdr.get_records_by_date_range("2025-11-01 00:00:00", "2025-11-30 23:59:59")

# البحث مع تصفية متقدمة
Tas.Cdr.get_filtered_records(search: "33612345678", limit: 1000)

# الحصول على الإحصائيات
Tas.Cdr.get_statistics()

B.4 الاحتفاظ بسجلات CDR

الاحتفاظ الافتراضي: قابل للتكوين (عادة 90 يومًا إلى 1 سنة)
التطهير التلقائي: مدعوم
التصدير اليدوي: عبر واجهة الويب في /cdr أو API
التنسيق: قاعدة بيانات SQLite، قابلة للتصدير إلى CSV/JSON

الملحق C: أمثلة تكوين SIPREC

SIPREC (بروتوكول تسجيل بدء الجلسة) يمكّن OmniTAS من إرسال كل من إشارات المكالمات والوسائط إلى خوادم تسجيل الجلسات الخارجية للاعتراض القانوني.

C.1 بنية SIPREC

C.2 تحفيز تسجيل SIPREC

يمكن تحفيز التسجيل بناءً على:

القائم على الهدف:

رقم هاتف المتصل (caller_id_number)
رقم الهاتف المتصل به (destination_number)
مطابقة URI SIP

القائم على الحدث:

جميع المكالمات الطارئة (911، 112، إلخ)
المكالمات إلى/من وجهات محددة
تسجيل قائم على نافذة زمنية

الجغرافي:

موقع برج الخلية (عبر رأس P-Access-Network-Info)
نطاقات عنوان IP

C.3 محتوى جلسة SIPREC

ترسل جلسة SIPREC إلى SRS:

بيانات الإشارة:

رؤوس SIP كاملة (From، To، P-Asserted-Identity)
Call-ID ومعرفات الجلسة
الطوابع الزمنية (البداية، الإجابة، الانتهاء)
معلومات المتصل/المتصل به

تدفقات الوسائط:

تدفق RTP للمشارك 1 (صوت المتصل)
تدفق RTP للمشارك 2 (صوت المتصل به)
معلومات الترميز
نغمات DTMF

C.4 التكامل مع إنفاذ القانون

يوفر خادم تسجيل الجلسات:

واجهة X1: وظيفة إدارية (إدارة الأوامر)
واجهة X2: معلومات متعلقة بالاعتراض (IRI) - بيانات تعريف المكالمات
واجهة X3: محتوى الاتصال (CC) - الوسائط الفعلية

يعمل OmniTAS كعميل تسجيل الجلسات (SRC) ويوصل كل من IRI وCC إلى SRS لتسليمها إلى إنفاذ القانون عبر واجهات موحدة.

الملحق D: دليل تكوين التشفير

D.1 توليد الشهادات

توليد شهادة TLS:

# توليد المفتاح الخاص
openssl genrsa -out server.key 4096

# توليد طلب توقيع الشهادة
openssl req -new -key server.key -out server.csr

# شهادة موقعة ذاتيًا (للاختبار)
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# الإنتاج: الحصول على شهادة من CA موثوق

ملاحظة: لا تستخدم إشارات SIP إلى/from IMS TLS. يتم الاتصال SIP عبر TCP/UDP غير مشفر.

D.2 تكوين HTTPS لواجهة الويب

TLS لخادم API/الويب (config/runtime.exs):

config :api_ex,
  api: %{
    enable_tls: true,
    tls_cert_path: "priv/cert/server.crt",
    tls_key_path: "priv/cert/server.key",
    tls_versions: [:"tlsv1.2", :"tlsv1.3"],
    ciphers: [
      "ECDHE-RSA-AES256-GCM-SHA384",
      "ECDHE-RSA-AES128-GCM-SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_AES_128_GCM_SHA256"
    ]
  }

D.3 تكوين SIP

تستخدم واجهات SIP النقل غير المشفر عبر TCP/UDP. لا حاجة لتكوين TLS.

ملف تعريف SIP لـ FreeSWITCH:

<!-- يستخدم ملف تعريف SIP TCP/UDP فقط -->
<profile name="external">
  <settings>
    <param name="sip-port" value="5060"/>
    <param name="context" value="public"/>
  </settings>
</profile>

D.4 تكوين TLS لـ Diameter

TLS لنظراء Diameter:

# تمكين TLS لاتصالات Diameter
config :diameter_ex,
  peers: [
    %{
      host: "dra.example.com",
      port: 3868,
      transport: :tls,
      tls_opts: [
        certfile: "priv/cert/diameter.crt",
        keyfile: "priv/cert/diameter.key",
        cacertfile: "priv/cert/ca.crt",
        verify: :verify_peer
      ]
    }
  ]

D.5 تشفير قاعدة البيانات

تشفير SQLite مع SQLCipher:

# config/runtime.exs
config :exqlite,
  encryption: true,
  encryption_key: System.get_env("DB_ENCRYPTION_KEY")

ملاحظة: تشفير قاعدة البيانات اختياري. لأغراض الاعتراض القانوني، قد تكون ضوابط الوصول الفيزيائي وتسجيل الوصول إلى قاعدة البيانات كافية.

D.6 تكوين أمان كلمة المرور

يتم تكوين تجزئة كلمة المرور تلقائيًا باستخدام SHA-512 والملح:

# تكوين تجزئة كلمة المرور الافتراضية
config :pbkdf2_elixir,
  rounds: 65_532,
  salt_len: 16

لا حاجة لتكوين إضافي - آمن بشكل افتراضي.

الملحق E: المعجم

الهيئات التنظيمية والمعايير

ANSSI: الوكالة الوطنية لأمن نظم المعلومات - الوكالة الفرنسية للأمن السيبراني
ETSI: المعهد الأوروبي لمعايير الاتصالات
3GPP: مشروع الشراكة للجيل الثالث - منظمة معايير الاتصالات المحمولة
IETF: مجموعة عمل هندسة الإنترنت - هيئة معايير الإنترنت

مكونات شبكة IMS

IMS: نظام الوسائط المتعددة IP - بنية شبكة IP لجميع خدمات الوسائط المتعددة
CSCF: وظيفة التحكم في جلسة المكالمات - خادم SIP في نواة IMS
- P-CSCF: بروكسي-CSCF - نقطة الاتصال الأولى لـ UE، بروكسي SIP
- I-CSCF: CSCF الاستفسارية - نقطة الدخول إلى شبكة المشغل
- S-CSCF: CSCF الخادم - التحكم في الجلسة وتفعيل الخدمة
HSS: خادم المشتركين المنزلي - قاعدة بيانات المشتركين
TAS: خادم تطبيقات الاتصالات/الاتصالات - تنفيذ منطق الخدمة

البروتوكولات والإشارات

SIP: بروتوكول بدء الجلسة (RFC 3261) - بروتوكول الإشارات للمكالمات الصوتية/الفيديو
SDP: بروتوكول وصف الجلسة (RFC 4566) - معلمات جلسة الو��ائط
RTP: بروتوكول نقل الوقت الحقيقي (RFC 3550) - نقل تدفقات الوسائط
RTCP: بروتوكول التحكم في RTP - مراقبة الجودة لـ RTP
SRTP: RTP الآمن (RFC 3711) - تدفقات الوسائط المشفرة
Diameter: بروتوكول AAA المستخدم في IMS (المصادقة، التفويض، المحاسبة)
- Sh: واجهة Diameter للوصول إلى بيانات المشتركين
- Ro: واجهة Diameter للشحن عبر الإنترنت
SIPREC: بروتوكول تسجيل بدء الجلسة (RFC 7866) - بروتوكول تسجيل المكالمات

معدات الاتصالات

SBC: وحدة التحكم في الحدود - أمان الشبكة وحافة الوسائط
MRF: وظيفة موارد الوسائط - معالجة الوسائط (تحويل، خلط، تسجيل)
UE: معدات المستخدم - جهاز الهاتف المحمول أو الجهاز
PSAP: نقطة إجابة خدمات الطوارئ - مركز الاتصال لخدمات الطوارئ
DRA: وكيل توجيه Diameter - توجيه رسائل Diameter

الاعتراض القانوني

LI: الاعتراض القانوني - المراقبة القانونية للاتصالا��
IRI: معلومات متعلقة بالاعتراض - بيانات تعريف المكالمات لإنفاذ القانون
CC: محتوى الاتصال - المحتوى الصوتي/الوسائط الفعلية
SRC: عميل تسجيل الجلسات - عميل SIPREC (دور OmniTAS)
SRS: خادم تسجيل الجلسات - خادم SIPREC لتخزين التسجيل
واجهة X1: واجهة LI الإدارية (إدارة الأوامر)
واجهة X2: واجهة LI لتسليم IRI
واجهة X3: واجهة LI لتسليم CC
R226: المواد R226-3 و R226-7 من القانون الجنائي الفرنسي التي تحكم معدات الاعتراض

معالجة المكالمات

CDR: سجل تفاصيل المكالمات - سجل الفوترة والتسجيل لكل مكالمة
B2BUA: وكيل المستخدم من طرف إلى طرف - عنصر SIP يعمل كعميل وخادم
DTMF: النغمات المتعددة الترددات - إشارات اللمس
MSISDN: رقم دليل المشترك الدولي للمحطة المحمولة - رقم الهاتف
IMSI: معرف المشترك الدولي للمحمول - معرف المشترك الفريد
E.164: خطة الترقيم الدولية لأرقام ال��واتف

الأمان والتشفير

TLS: أمان طبقة النقل (RFC 5246، RFC 8446) - بروتوكول التشفير
PFS: Perfect Forward Secrecy - خاصية تشفير تضمن أمان مفتاح الجلسة
SHA-512: خوارزمية التجزئة الآمنة مع مخرجات 512 بت
AES: معيار التشفير المتقدم
RSA: خوارزمية التشفير العامة Rivest-Shamir-Adleman
ECDSA: خوارزمية التوقيع الرقمي المنحني البياني
PKI: بنية تحتية للمفاتيح العامة - نظام إدارة الشهادات
CA: هيئة الشهادات - تصدر الشهادات الرقمية
CRL: قائمة إلغاء الشهادات
OCSP: بروتوكول حالة الشهادة عبر الإنترنت

الشبكة والموقع

MAP: جزء تطبيق الهاتف المحمول - بروتوكول SS7 لشبكات الهاتف المحمول
HLR: سجل الموقع المنزلي - قاعدة بيانات موقع المشتركين (قديم)
SS7: نظام الإشارات رقم 7 - إشارات الهاتف التقليدي
NANP: خطة ترقيم أمريكا الشمالية
برج الخلية/معرف الخلية: معرف محطة قاعدة شبكة الهاتف المحمول لتتبع الموقع

تنسيقات البيانات والتخزين

SQLite: قاعدة بيانات علائقية مدمجة
SQLCipher: ملحق SQLite مع دعم التشفير
CSV: قيم مفصولة بفواصل - تنسيق التصدير
JSON: تنسيق كائن جافا سكريبت - تنسيق تبادل البيانات
XML: لغة ترميز قابلة للتوسيع - تنسيق بيانات منظم

مكونات التطبيق

API: واجهة برمجة التطبيقات - وصول برمجي
UI: واجهة المستخدم - لوحة تحكم قائمة على الويب
RBAC: التحكم في الوصول القائم على الدور - نظام الأذونات
UUID: معرف فريد عالمي - تتبع الجلسة

نسخة الوثيقة: 1.0
التاريخ: 2025-11-29
تم إعدادها لـ: طلب تفويض ANSSI R226
تصنيف الوثيقة: الامتثال التنظيمي - سري

1. المواصفات الفنية التفصيلية​

1.1 ورقة البيانات الفنية التجارية​

القدرات الأساسية​

1.2 قدرات الاعتراض​

1.2.1 اكتساب الإشارة​

1.2.2 قدرات معالجة الوسائط​

1.2.3 قدرات التحليل​

1.3 قدرات التدابير المضادة​

1.3.1 آليات حماية الخصوصية​

1.3.2 ميزات مكافحة الاعتراض​

1.4 البنية الفنية للاعتراض القانوني​

نقاط تكامل الاعتراض القانوني​

آليات تحفيز الاعتراض​

2. قدرات التشفير والتحليل​

2.1 نظرة عامة على القدرات التشفيرية​

2.2 تشفير طبقة النقل​

2.2.1 تنفيذ TLS/SSL​

2.3 تشفير البيانات أثناء الراحة​

2.3.1 تشفير قاعدة البيانات​

2.3.2 تشفير نظام الملفات​

2.4 المصادقة وتشفير كلمات المرور​

2.4.1 تجزئة كلمات المرور​

2.4.2 مصادقة مفتاح SSH​

2.5 أمان بروتوكول Diameter​

2.5.1 آليات أمان Diameter​

2.6 آليات هوية SIP​

2.7 قدرات التحليل الأمني وتقييم الأمان​

2.7.1 أدوات تحليل البروتوكولات​

2.7.2 اعتبارات تقييم الثغرات​

2.8 بنية إدارة المفاتيح​

2.8.1 توليد المفاتيح​

2.8.2 تخزين المفاتيح وحمايتها​

2.8.3 توزيع المفاتيح​

2.9 الامتثال والمعايير​

2.10 مقاومة التحليل​

2.10.1 مبادئ التصميم​

2.10.2 الأمان التشغيلي​

3. التحكم في الاعتراض والتفويض​

3.1 التحكم في الوصول للاعتراض القانوني​

3.2 الاحتفاظ بالبيانات والخصوصية​

3.3 واجهات التسليم لإنفاذ القانون​

4. أمان النظام والنزاهة​

4.1 أمان التمهيد​

4.2 أمان الشبكة​

4.3 كشف التسلل​

5. مراج�� الوثائق​

5.1 الأدلة الفنية​

5.2 الشهادات الأمنية​

5.3 وثائق الامتثال​

6. معلومات الاتصال​

الملاحق​

الملحق A: أمثلة تدفق رسائل SIP​

A.1 تدفق المكالمات الصادرة مع نقاط الاعتراض​

A.2 مكالمة طارئة مع تتبع الموقع​

A.3 إنشاء جلسة تسجيل SIPREC​

الملحق B: مخط�� CDR​

B.1 الحقول الرئيسية في CDR للاعتراض القانوني​

B.2 أمثلة استعلام CDR للاعتراض القانوني​

B.3 وصول API إلى CDR​

B.4 الاحتفاظ بسجلات CDR​

الملحق C: أمثلة تكوين SIPREC​

C.1 بنية SIPREC​

C.2 تحفيز تسجيل SIPREC​

C.3 محتوى جلسة SIPREC​

C.4 التكامل مع إنفاذ القانون​

الملحق D: دليل تكوين التشفير​

D.1 توليد الشهادات​

D.2 تكوين HTTPS لواجهة الويب​

D.3 تكوين SIP​

D.4 تكوين TLS لـ Diameter​

D.5 تشفير قاعدة البيانات​

D.6 تكوين أمان كلمة المرور​

الملحق E: المعجم​

الهيئات التنظيمية والمعايير​

مكونات شبكة IMS​

البروتوكولات والإشارات​

معدات الاتصالات​

الاعتراض القانوني​

معالجة المكالمات​

الأمان والتشفير​