وثائق الامتثال لاعتراض ANSSI R226

غرض الوثيقة: توفر هذه الوثيقة المواصفات الفنية المطلوبة للحصول على تفويض ANSSI R226 بموجب المواد R226-3 و R226-7 من قانون العقوبات الفرنسي لخادم تطبيق OmniTAS IMS.

التصنيف: وثائق الامتثال التنظيمي

السلطة المستهدفة: الوكالة الوطنية لأمن نظم المعلومات (ANSSI)

التنظيم: R226 - حماية خصوصية المراسلات والاعتراض القانوني

1. المواصفات الفنية التفصيلية

1.1 ورقة البيانات الفنية التجارية

اسم المنتج: خادم تطبيق OmniTAS IMS
نوع المنتج: خادم تطبيقات الاتصالات (TAS)
الوظيفة الأساسية: معالجة المكالمات وإدارة الجلسات في IMS (نظام الوسائط المتعددة عبر بروتوكول الإنترنت)
بروتوكولات الشبكة: SIP، Diameter، HTTP/HTTPS، SS7/MAP
نموذج النشر: تطبيق خادم محلي

القدرات الأساسية

معالجة المكالمات:

وظيفة وكيل بروتوكول بدء الجلسة (SIP) و B2BUA
معالجة معايير الفلترة الأولية IMS (iFC)
توجيه الجلسات والتحكم في المكالمات
معالجة المكالمات الطارئة (توجيه PSAP E.164)
إنشاء سجلات تفاصيل المكالمات (CDR)

واجهات الشبكة:

شمال: واجهة IMS S-CSCF (SIP عبر TCP/UDP)
جنوب: واجهة SBC/البوابة (SIP trunking)
Diameter: Sh (بيانات المشتركين)، Ro (الشحن عبر الإنترنت)
SS7: واجهة بوابة MAP للتشغيل المتداخل مع HLR/MSC
HTTP/HTTPS: تكامل الخدمة الخارجية (SMS، TTS، بوابة MAP)

التخزين والمعالجة:

إدارة حالة الجلسة في الوقت الحقيقي
تخزين واسترجاع سجلات تفاصيل المكالمات (CDR)
قاعدة بيانات تسجيل المشتركين (Sofia SIP)
قاعدة بيانات التكوين (SQLite)

1.2 قدرات الاعتراض

1.2.1 اكتساب الإشارة

التقاط إشارات SIP:

يقوم OmniTAS بمعالجة جميع رسائل الإشارة SIP بين مشتركين IMS والشبكات الخارجية
الوصول الكامل إلى رؤوس SIP بما في ذلك:
- تحديد هوية الطرف المتصل (From، P-Asserted-Identity)
- تحديد هوية الطرف المتصل به (To، Request-URI)
- URIs الاتصال وموقع الشبكة
- معلومات توجيه المكالمات
- وصف الجلسة (SDP) بما في ذلك ترميز الوسائط ونقاط النهاية

اكتساب بيانات المكالمات:

سجلات تفاصيل المكالمات (CDR) الكاملة المخزنة في قاعدة البيانات مع:
- الطابع الزمني (أوقات البدء، الإجابة، والانتهاء)
- معرفات المتصل والمستقبل (MSISDN، IMSI، SIP URI)
- اتجاه المكالمة (المصدر/الوجهة المتنقلة)
- نتيجة المكالمة (مجاب، مشغول، فشل، إلخ)
- معلومات المدة والشحن
- بيانات موقع الشبكة (معلومات برج الخلية عند توفرها)

واجهة تسجيل الجلسة (SIPREC):

دعم بروتوكول SIPREC للاعتراض القانوني
القدرة على تكرار إشارات SIP إلى خوادم التسجيل الخارجية
سياسات تسجيل الجلسات القابلة للتكوين
تحكم الترخيص: تتطلب وظيفة SIPREC ترخيصًا صريحًا
تحكم الوصول: تقييد تكوين SIPREC للمسؤولين المصرح لهم

1.2.2 قدرات معالجة الوسائط

طبقة الوسائط:

B2BUA مع قدرات تمرير وسائط RTP
تمرير تدفقات RTP عبر الخادم
الوصول إلى تدفقات الوسائط لأغراض الاعتراض
تحليل SDP لمعلومات نقطة النهاية والترميز

طبقة الإشارة:

تحليل رسائل SIP
ترميز/فك ترميز رسائل Diameter (واجهات Sh، Ro)
معالجة طلبات/استجابات HTTP/HTTPS

1.2.3 قدرات التحليل

مراقبة المكالمات في الوقت الحقيقي:

لوحة معلومات واجهة الويب تعرض المكالمات النشطة مع:
- حالة المكالمة (محاولة، رنين، نشط، منتهي)
- معلومات المتصل/المستقبل
- مدة المكالمة
- معلومات ترميز الوسائط
- نقاط النهاية الشبكية

التحليل التاريخي:

قاعدة بيانات CDR قابلة للا��تعلام حسب:
- نطاق الزمن
- رقم الطرف المتصل/المتصل به
- نوع المكالمة (صوتية، طارئة، إلخ)
- نتيجة/تصرف المكالمة
- حدود المدة

تتبع المشتركين:

مراقبة التسجيل النشط
تتبع موقع المشترك عبر:
- URI الاتصال بتسجيل IMS
- رأس P-Access-Network-Info (تحديد برج الخلية)
- معلومات عنوان IP والمنفذ
سجلات تسجيل تاريخية

تحليلات الشبكة:

مقاييس حجم المكالمات (تكامل Prometheus)
حالة البوابة والاتصال
اتصال نظير Diameter
مقاييس أداء النظام

للحصول على وثائق شاملة حول المقاييس: انظر metrics.md للحصول على تكوينات المراقبة والتنبيه والرؤية.

ذكاء الموقع:

تكامل قاعدة بيانات برج الخلية
ربط رقم E.164 بموقع جغرافي (خطة ترقيم أمريكا الشمالية)
توجيه خدمات الطوارئ (تعيين PSAP)

1.3 قدرات التدابير المضادة

1.3.1 آليات حماية الخصوصية

سرية الاتصالات:

أمان نقل TLS عبر Diameter
HTTPS لواجهات الويب وواجهات برمجة التطبيقات
تشفير قاعدة البيانات أثناء الراحة (قابل للتكوين)

تحكم الوصول:

تحكم الوصول القائم على الدور (RBAC) لواجهة الويب
تجزئة كلمات المرور باستخدام SHA-512 وملح (65,532 تكرار)

تسجيل التدقيق:

سجل تدقيق كامل للإجراءات الإدارية
تسجيل تغييرات التكوين
تسجيل أحداث المصادقة
تخزين السجلات المقاومة للتلاعب

1.3.2 ميزات مكافحة الاعتراض

الاتصالات الآمنة:

TLS إلزامي للواجهات الخارجية (قابل للتكوين)
مصادقة قائمة على الشهادات
مجموعات تشفير Perfect Forward Secrecy (PFS)

حماية البيانات:

سياسات الاحتفاظ بسجلات CDR تلقائيًا
قدرات حذف البيانات بشكل آمن
ضوابط وصول قاعدة البيانات
دعم تقسيم الشبكة (شبكات إدارة/إشارة/وسائط منفصلة)

تقوية النظام:

حماية معلمات التمهيد
آليات التحقق من النزاهة
الحد الأدنى من سطح الهجوم (تمكين الخدمات المطلوبة فقط)

1.4 الهندسة التقنية للاعتراض القانوني

نقاط تكامل الاعتراض القانوني

1. واجهة SIPREC (بروتوكول تسجيل الجلسة - RFC 7866):

2. واجهة تصدير CDR:

تصدير CDR إلى الأنظمة الخارجية
تنسيقات قياسية (CSV، JSON)
نقل آمن (HTTPS)

3. الوصول المباشر إلى قاعدة البيانات:

بيانات اعتماد قاعدة البيانات للقراءة فقط للأنظمة المصرح بها
الوصول إلى استعلام SQL إلى جداول CDR
الوصول إلى بيانات تسجيل المشتركين
الوصول إلى سجل التدقيق

4. تكامل API:

واجهة برمجة تطبيقات RESTful لمراقبة المكالمات
استعلامات المكالمات النشطة في الوقت الحقيقي
استرجاع CDR التاريخي
ح��لة تسجيل المشتركين

آليات تحفيز الاعتراض

الاعتراض القائم على الهدف:

مطابقة معرف المشترك (MSISDN، IMSI، SIP URI)
قواعد الاعتراض القابلة للتكوين في منطق التطبيق
تفرع جلسة SIPREC بناءً على هوية المتصل/المستقبل

الاعتراض القائم على الحدث:

اكتشاف تسجيل المكالمات الطارئة
مراقبة رقم الوجهة المحدد
تحفيز قائم على المنطقة الجغرافية (موقع برج الخلية)

الاعتراض القائم على الوقت:

نوافذ تسجيل مجدولة
فرض فترة الاحتفاظ
انتهاء صلاحية أوامر الاعتراض تلقائيًا

2. قدرات التشفير والتحليل

2.1 نظرة عامة على القدرات التشفيرية

يطبق خادم تطبيق OmniTAS IMS آليات تشفير لتأمين الاتصالات وحماية البيانات الحساسة. توثق هذه القسم جميع القدرات التشفيرية وفقًا لمتطلبات ANSSI.

2.2 تشفير طبقة النقل

2.2.1 تنفيذ TLS/SSL

البروتوكولات المدعومة:

TLS 1.2 (RFC 5246)
TLS 1.3 (RFC 8446)
SSL 2.0/3.0: معطل (ثغرات معروفة)
TLS 1.0/1.1: ملغاة (قابل للتكوين، معطلة بشكل افتراضي)

مجموعات التشفير (قائمة الأولويات القابلة للتكوين):

المفضل - TLS 1.3:

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

المدعوم - TLS 1.2:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

ميزات الأمان:

مطلوب Perfect Forward Secrecy (PFS)
مجموعات Diffie-Hellman قوية (2048 بت كحد أدنى)
تشفير المنحنيات البيانية: NIST P-256، P-384، P-521
دعم إشارة اسم الخادم (SNI)
OCSP stapling للتحقق من الشهادات

إدارة الشهادات:

دعم الشهادات X.509
أحجام مفاتيح RSA: 2048 بت كحد أدنى، 4096 بت موصى به
دعم ECDSA (P-256، P-384)
التحقق من سلسلة الشهادات
التحقق من إلغاء CRL وOCSP
الشهادات الموقعة ذاتيًا (للتطوير فقط)
تكامل CA خارجي

التطبيقات:

HTTPS لواجهة ��لويب والوصول إلى API
Diameter عبر TLS

2.3 تشفير البيانات أثناء الراحة

2.3.1 تشفير قاعدة البيانات

تشفير SQLite:

دعم تكامل SQLCipher
تشفير AES-256
تخزين مشفر للبيانات الحساسة (CDR، بيانات المشتركين)

2.3.2 تشفير نظام الملفات

تخزين البيانات الحساسة:

ملفات CDR: تشفير AES-256 (اختياري)
ملفات التكوين: تخزين مشفر للاعتمادات
المفاتيح الخاصة: مخازن مفاتيح مشفرة (PKCS#12، PEM مع عبارة مرور)
ملفات السجل: دعم التشفير للسجلات المؤرشفة

تخزين المفاتيح:

مخازن مفاتيح قائمة على الملفات مع حماية عبارة المرور
آليات تدوير المفاتيح الآمنة

2.4 المصادقة وتشفير كلمات المرور

2.4.1 تجزئة كلمات المرور

الخوارزمية: SHA-512 مع ملح
التكوين:

ملح يتم توليده عشوائيًا (128 بت كحد أدنى)
65,532 جولة من التكرار (قابل للتكوين)
يتم تخزين الملح بجانب التجزئة
مقاوم لهجمات ج��ول قوس قزح

تنسيق التخزين:

$6$rounds=65532$<salt>$<hash>

التطبيقات:

مصادقة مستخدم واجهة الويب
توليد رموز API
تخزين كلمات مرور المسؤولين
بيانات اعتماد مستخدم قاعدة البيانات

2.4.2 مصادقة مفتاح SSH

أنواع المفاتيح المدعومة:

RSA: 1024-4096 بت (2048 بت موصى به كحد أدنى)
DSA: 1024-4096 بت (ملغاة، يفضل RSA)
ECDSA: منحنيات P-256، P-384، P-521
Ed25519: 256 بت (مفضل للنشر الجديد)

إدارة المفاتيح:

دعم توليد المفاتيح الخارجية
استيراد المفتاح العام لمصادقة العميل
إدارة مفتاح المضيف للخادم
إلغاء المفاتيح الفردية
إجراءات تدوير المفاتيح

بروتوكول SSH:

بروتوكول SSH-2 فقط (SSH-1 معطل)
خوارزميات MAC قوية (HMAC-SHA2-256، HMAC-SHA2-512)
تبادل المفاتيح: curve25519-sha256، ecdh-sha2-nistp256، diffie-hellman-group14-sha256

2.5 أمان بروتوكول Diameter

2.5.1 آليات أمان Diameter

أمان النقل:

TLS عبر TCP لاتصالات نظير Diameter
مصادقة الشهادات المتبادلة

أمان مستوى التطبيق:

مصادقة النظير عبر التحقق من Origin-Host/Origin-Realm
تكوين سر مشترك (قديم، ملغى)
تشفير AVP (زوج القيمة-الصفة) للبيانات الحساسة
أمان من النهاية إلى النهاية مع CMS (تنسيق الرسالة التشفيرية)

2.6 آليات هوية SIP

P-Asserted-Identity:

تأكيد الشبكة الموثوق
التحقق من الهوية والترجمة
دعم رأس الخصوصية

ملاحظة: يتم تنفيذ مصادقة المشترك بواسطة نواة IMS (P-CSCF/S-CSCF)، وليس بواسطة TAS.

2.7 قدرات التحليل الأمني وتقييم الأمن

2.7.1 أدوات تحليل البروتوكولات

قدرات تصحيح الأخطاء المدمجة:

تتبع رسائل SIP مع التقاط كامل للرأس/الجسم
تسجيل رسائل Diameter (فك تشفير AVP)
تصحيح أخطاء المصافحة TLS
تسجيل التحقق من سلسلة الشهادات

التكامل الخارجي:

دعم التقاط الحزم Wireshark/tcpdump
تصدير SSLKEYLOGFILE لفك تشفير TLS (للتطوير فقط)
تصدير PCAP للتحلي�� غير المتصل

2.7.2 اعتبارات تقييم الثغرات

ثغرات تشفير معروفة:

دعم MD5 القديم في SIP Digest (محتفظ به للتوافق العكسي)
مجموعات تشفير ضعيفة قابلة للتكوين (معطلة بشكل افتراضي)
دعم الشهادات الموقعة ذاتيًا (للتطوير/الاختبار فقط)

اختبار الأمان:

يُوصى بإجراء تدقيقات أمان منتظمة
دعم اختبار الاختراق
التحقق من قوة مجموعة التشفير
مراقبة انتهاء صلاحية الشهادات

2.8 بنية إدارة المفاتيح

2.8.1 توليد المفاتيح

توليد المفاتيح الداخلية:

توليد مفاتيح RSA: مكتبة OpenSSL (خوارزميات متوافقة مع FIPS 140-2)
توليد أرقام عشوائية: /dev/urandom (CSPRNG لنواة Linux)
مصادر الانتروبيا: RNG للأجهزة، مجموعة انتروبيا النظام

2.8.2 تخزين المفاتيح وحمايتها

تخزين المفتاح الخاص:

نظام الملفات مع أذونات مقيدة (0600)
تنسيق PEM مشفر مع عبارة مرور
حذف آمن عند تدوير المفتاح

نسخ احتياطي للمفاتيح:

إجراءات نسخ احتياطي مشفرة
آليات استرداد المفتاح المقسم
إيداع آمن للمفاتيح (إذا تطلبها التنظيم)

2.8.3 توزيع المفاتيح

توزيع الشهادات:

استيراد يدوي عبر واجهة الويب
توفير تلقائي عبر API
دعم بروتوكول ACME (Let's Encrypt، تحسين مستقبلي)

توزيع المفتاح المتماثل:

تبادل المفاتيح خارج النطاق لنظائر Diameter
اتفاق مفتاح Diffie-Hellman في TLS
عدم نقل المفاتيح بالنص الواضح

2.9 الامتثال والمعايير

امتثال المعايير التشفيرية:

NIST SP 800-52: إرشادات TLS
NIST SP 800-131A: انتقالات خوارزميات التشفير
RFC 7525: توصيات TLS
ETSI TS 133 310: أمان شبكة IMS
3GPP TS 33.203: أمان الوصول إلى IMS

لوائح التشفير الفرنسية:

إعلان وسائل التشفير (إذا كان ذلك مناسبًا)
شهادة منتج التشفير ANSSI (إذا كانت مطلوبة)
لا توجد تشفيرات مقيدة للتصدير (جميع الخوارزميات القياسية)

2.10 مقاومة التحليل

2.10.1 مبادئ التصميم

الدفاع ضد التحليل:

لا خوارزميات تشفير مخصصة/ملكية
خوارزميات قياسية معتمدة من الصناعة فقط
تحديثات أمان منتظمة لمكتبات التشفير
إلغاء الخوارزميات الضعيفة

2.10.2 الأمان التشغيلي

تدوير المفاتيح:

تجديد شهادة TLS (موصى به سنويًا)
تدوير مفتاح الجلسة (لكل جلسة لـ TLS)
سياسات انتهاء صلاحية كلمات المرور (قابلة للتكوين)

المراقبة والاكتشاف:

تسجيل محاولات المصادقة الفاشلة
تنبيهات انتهاء صلاحية الشهادات
تسجيل تفاوض مجموعة التشفير
اكتشاف الشذوذ لفشل التشفير

3. التحكم في الاعتراض والتفويض

3.1 التحكم في الوصول للاعتراض ا��قانوني

تفويض إداري:

تتطلب ميزات الاعتراض القانوني امتيازات على مستوى المسؤول
الوصول إلى تكوين SIPREC: دور المشرف فقط
الوصول إلى CDR: أذونات قائمة على الدور قابلة للتكوين
تسجيل تدقيق لجميع الإجراءات المتعلقة بالاعتراض

تكامل الإطار القانوني:

تتبع أوامر الاعتراض (تكامل النظام الخارجي)
قوائم تفويض معرف الهدف
تفعيل الاعتراض لفترة محدودة
إلغاء تلقائي عند انتهاء صلاحية الأمر

3.2 الاحتفاظ بالبيانات والخصوصية

سياسات الاحتفاظ:

احتفاظ CDR: قابل للتكوين (افتراضي 90 يومًا، متطلب تنظيمي سنة واحدة)
سجلات التسجيل: احتفاظ قابل للتكوين
سجلات التدقيق: احتفاظ لمدة سنة واحدة كحد أدنى
تطهير تلقائي للبيانات المنتهية

حمايات الخصوصية:

مبدأ الحد الأدنى من جمع البيانات
تحديد الغرض (تقديم خدمات الاتصالات)
تسجيل الوصول والمراقبة

3.3 واجهات التسليم لإنفاذ القانون

واجهات الاعتراض القانوني القياسية:

دعم واجهة ETSI LI (الاعتراض القانوني) (عبر جهاز وساطة خارجي)
تكامل SIPREC مع بوابة LI
دعم واجهة X1 وX2 وX3 (نظام خارجي)

تنسيقات التسليم:

IRI (معلومات متعلقة بالاعتراض): بيانات وصفية لـ CDR
CC (محتوى الاتصال): إشارات SIP + الوسائط (عبر MRF)
التقارير الهيكلية: تنسيقات XML، JSON

4. أمان النظام والنزاهة

4.1 أمان التمهيد

آليات التمهيد الآمن:

حماية معلمات التمهيد (متطلب ANSSI R226)
التحقق من نزاهة التكوين
اكتشاف التلاعب عند بدء التشغيل
تحميل التكوين الآمن

4.2 أمان الشبكة

أمان الشبكة:

الحد الأدنى من المنافذ المكشوفة (SIP، Diameter، HTTPS فقط)
التحكم في الوصول بناءً على المنفذ
القوائم البيضاء/السوداء لعناوين IP

4.3 كشف التسلل

قدرات المراقبة:

مراقبة محاولات المصادقة الفاشلة
اكتشاف أنماط المكالمات غير العادية
اكتشاف حركة مرور Diameter الشاذة
تنبيه الأحداث الأمنية (تكامل SIEM)

5. مراجع الوثائق

5.1 الأدلة الفنية

الوثائق المتاحة في مستودع المشروع:

README.md: نظرة عامة على النظام، الهندسة المعمارية، والميزات التشغيلية
doc/deployment_guide.md: تعليمات النشر (إذا كانت متاحة)
doc/configuration.md: مرجع التكوين (إذا كان متاحًا)

5.2 الشهادات الأمنية

تقارير اختبار الاختراق: [سيتم توفيرها عند الطلب]
تقارير تدقيق الأمان: [سيتم توفيرها عند الطلب]
التحقق من وحدة التشفير: الامتثال لـ OpenSSL FIPS 140-2

5.3 وثائق الامتثال

طلب تفويض ANSSI R226: هذه الوثيقة
امتثال الاعتراض القانوني: كما هو مطلوب بموجب لوائح الاتصالات الفرنسية

6. معلومات الاتصال

معلومات البائع/المشغل:

اسم الشركة: Omnitouch Network Services Pty Ltd
العنوان: PO BOX 296, QUINNS ROCKS WA 6030, AUSTRALIA
الشخص المتصل: فريق الامتثال
البريد الإلكتروني: compliance@omnitouch.com.au

جهة الاتصال الأمنية الفنية:

الاسم: فريق الامتثال
البريد الإلكتروني: compliance@omnitouch.com.au

جهة الاتصال القانونية/الامتثال:

الاسم: فريق الامتثال
البريد الإلكتروني: compliance@omnitouch.com.au

الملاحق

الملحق A: أمثلة تدفق رسائل SIP

A.1 تدفق المكالمات الصادرة من الهاتف المحمول مع نقاط الاعتراض

الأسطورة: [INTERCEPTION] = النقاط التي يتم فيها التقاط بيانات الاعتراض القانوني

A.2 مكالمة طوارئ مع تتبع الموقع

A.3 إنشاء جلسة تسجيل SIPREC

الملحق B: مخطط CDR

يخزن نظام OmniTAS سجلات تفاصيل المكالمات في قاعدة بيانات SQLite (تنسيق CDR لـ FreeSWITCH) الموجودة في /etc/freeswitch/db/cdr.db.

B.1 الحقول الرئيسية لـ CDR للاعتراض القانوني

اسم الحقل	النوع	الوصف	صلة الاعتراض
`uuid`	TEXT	معرف المكالمة الفريد	ارتباط الجلسة
`caller_id_number`	TEXT	رقم الطرف المتصل (MSISDN)	المعرف الرئيسي لتتبع الهدف
`caller_id_name`	TEXT	اسم العرض للطرف المتصل	التحقق من الهوية
`destination_number`	TEXT	رقم الطرف المتصل به	تتبع وجهة الهدف
`start_stamp`	DATETIME	الطابع الزمني لبداية المكالمة	جدول الأحداث
`answer_stamp`	DATETIME	الطابع الزمني لإجابة المكالمة	وقت إنشاء المكالمة
`end_stamp`	DATETIME	الطابع الزمني لنهاية المكالمة	حساب مدة الجلسة
`duration`	INTEGER	إجمالي مدة المكالمة (بالثواني)	طول الجلسة
`billsec`	INTEGER	الثواني القابلة للفوترة (وقت الإجابة)	مدة المحادثة الفعلية
`hangup_cause`	TEXT	سبب إنهاء المكالمة	تحليل نتيجة المكالمة
`sip_hangup_disposition`	TEXT	تفاصيل إنهاء SIP	إنهاء على مستوى البروتوكول
`network_addr`	TEXT	عنوان IP للشبكة	تتبع موقع المصدر
`sip_from_user`	TEXT	جزء المستخدم من رأس SIP From	الهوية الأصلية لـ SIP
`sip_to_user`	TEXT	جزء المستخدم من رأس SIP To	وجهة SIP
`sip_call_id`	TEXT	رأس SIP Call-ID	ارتباط جلسة SIP

B.2 أمثلة استعلام CDR للاعتراض القانوني

استعلام المكالمات حسب رقم الهدف:

SELECT * FROM cdr
WHERE caller_id_number = '+33612345678'
   OR destination_number = '+33612345678'
ORDER BY start_stamp DESC;

استعلام المكالمات ضمن نافذة زمنية:

SELECT * FROM cdr
WHERE start_stamp BETWEEN '2025-11-01 00:00:00' AND '2025-11-30 23:59:59'
  AND (caller_id_number = '+33612345678' OR destination_number = '+33612345678')
ORDER BY start_stamp DESC;

تصدير إلى CSV لإنفاذ القانون:

.mode csv
.output /tmp/interception_report.csv
SELECT caller_id_number, destination_number, start_stamp, end_stamp, duration, hangup_cause
FROM cdr
WHERE caller_id_number = '+33612345678'
ORDER BY start_stamp DESC;
.output stdout

B.3 الاحتفاظ بـ CDR

الاحتفاظ الافتراضي: قابل للتكوين (عادةً 90 يومًا إلى سنة واحدة)
التطهير التلقائي: مدعوم
التصدير اليدوي: عبر واجهة الويب في /cdr أو API
التنسيق: قاعدة بيانات SQLite، قابلة للتصدير إلى CSV/JSON

الملحق C: أمثلة تكوين SIPREC

SIPREC (بروتوكول تسجيل بدء الجلسة) يمكّن OmniTAS من إرسال كل من إشارات المكالمات والوسائط إلى خوادم تسجيل الجلسات الخارجية للاعتراض القانوني.

C.1 هيكل SIPREC

C.2 تحفيز تسجيل SIPREC

يمكن تحفيز التسجيل بناءً على:

القائم على الهدف:

رقم هاتف المتصل (caller_id_number)
رقم الهاتف المتصل به (destination_number)
مطابقة SIP URI

القائم على الحدث:

جميع المكالمات الطارئة (911، 112، إلخ)
المكالمات إلى/من وجهات محددة
التسجيل القائم على نافذة زمنية

الجغرافي:

موقع برج الخلية (عبر رأس P-Access-Network-Info)
نطاقات عناوين IP

C.3 محتوى جلسة SIPREC

ترسل جلسة SIPREC إلى SRS:

بيانات الإشارة:

رؤوس SIP كاملة (From، To، P-Asserted-Identity)
Call-ID ومعرفات الجلسة
الطوابع الزمنية (البدء، الإجابة، النهاية)
معلومات المتصل/المستقبل

تدفقات الوسائط:

تدفق RTP للمشارك 1 (صوت المتصل)
تدفق RTP للمشارك 2 (صوت المستقبل)
معلومات الترميز
نغمات DTMF

C.4 التكامل مع إنفاذ القانون

يوفر خادم تسجيل الجلسة:

واجهة X1: وظيفة إدارية (إدارة الأوامر)
واجهة X2: معلومات متعلقة بالاعتراض (IRI) - بيانات المكالمات الوصفية
واجهة X3: محتوى الاتصال (CC) - الوسائط الفعلية

يعمل OmniTAS كعميل تسجيل الجلسة (SRC) ويوصل كل من IRI و CC إلى SRS لتسليمها إلى إنفاذ القانون عبر واجهات معيارية.

الملحق D: دليل تكوين التشفير

D.1 توليد الشهادات

توليد شهادة TLS:

# توليد المفتاح الخاص
openssl genrsa -out server.key 4096

# توليد طلب توقيع الشهادة
openssl req -new -key server.key -out server.csr

# شهادة موقعة ذاتيًا (للاختبار)
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# الإنتاج: الحصول على الشهادة من CA موثوق

ملاحظة: لا تستخدم إشارات SIP إلى/from IMS TLS. يتم الاتصال SIP عبر TCP/UDP غير مشفر.

D.2 تكوين HTTPS لواجهة الويب

TLS لخادم API/الويب (config/runtime.exs):

config :api_ex,
  api: %{
    enable_tls: true,
    tls_cert_path: "priv/cert/server.crt",
    tls_key_path: "priv/cert/server.key",
    tls_versions: [:"tlsv1.2", :"tlsv1.3"],
    ciphers: [
      "ECDHE-RSA-AES256-GCM-SHA384",
      "ECDHE-RSA-AES128-GCM-SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_AES_128_GCM_SHA256"
    ]
  }

D.3 تكوين SIP

تستخدم واجهات SIP النقل عبر TCP/UDP غير مشفر. لا حاجة لتكوين TLS.

ملف SIP لـ FreeSWITCH:

<!-- يستخدم ملف SIP TCP/UDP فقط -->
<profile name="external">
  <settings>
    <param name="sip-port" value="5060"/>
    <param name="context" value="public"/>
  </settings>
</profile>

D.4 تكوين TLS لـ Diameter

نظير Diameter TLS:

# تمكين TLS لاتصالات Diameter
config :diameter_ex,
  peers: [
    %{
      host: "dra.example.com",
      port: 3868,
      transport: :tls,
      tls_opts: [
        certfile: "priv/cert/diameter.crt",
        keyfile: "priv/cert/diameter.key",
        cacertfile: "priv/cert/ca.crt",
        verify: :verify_peer
      ]
    }
  ]

D.5 تشفير قاعدة البيانات

تشفير SQLite مع SQLCipher:

# config/runtime.exs
config :exqlite,
  encryption: true,
  encryption_key: System.get_env("DB_ENCRYPTION_KEY")

ملاحظة: تشفير قاعدة البيانات اختياري. لأغراض الاعتراض القانوني، قد تكون ضوابط الوصول الفيزيائي وتسجيل الوصول إلى قاعدة البيانات كافية.

D.6 تكوين أمان كلمة المرور

يتم تكوين تجزئة كلمات المرور تلقائيًا باستخدام SHA-512 وملح:

# تكوين تجزئة كلمات المرور الافتراضي
config :pbkdf2_elixir,
  rounds: 65_532,
  salt_len: 16

لا حاجة لتكوين إضافي - آمن بشكل افتراضي.

الملحق E: المعجم

الهيئات التنظيمية والمعايير

ANSSI: الوكالة الوطنية لأمن نظم المعلومات - الوكالة الفرنسية للأمن السيبراني
ETSI: المعهد الأوروبي لمعايير الاتصالات
3GPP: مشروع الشراكة للجيل الثالث - منظمة معايير الاتصالات المتنقلة
IETF: مجموعة عمل هندسة الإنترنت - هيئة معايير الإنترنت

مكونات شبكة IMS

IMS: نظام الوسائط المتعددة عبر بروتوكول الإنترنت - بنية شبكة شاملة لخدمات الوسائط المتعددة
CSCF: وظيفة التحكم في جلسات المكالمات - خادم SIP في نواة IMS
- P-CSCF: Proxy-CSCF - نقطة الاتصال الأولى لـ UE، وكيل SIP
- I-CSCF: Interrogating-CSCF - نقطة الدخول إلى شبكة المشغل
- S-CSCF: Serving-CSCF - التحكم في الجلسة وتحفيز الخدمة
HSS: خادم المشتركين المنزلي - قاعدة بيانات المشتركين
TAS: خادم تطبيقات الاتصالات - تنفيذ منطق الخدمة

البروتوكولات والإشارات

SIP: بروتوكول بدء الجلسة (RFC 3261) - بروتوكول الإشارة للمكالمات الصوتية/الفيديو
SDP: بروتوكول وصف الجلسة (RFC 4566) - معلمات جلسة الوسائط
RTP: بروتوكول نقل الوقت الحقيقي (RFC 3550) - نقل تدفقات الوسائط
RTCP: بروتوكول التحكم في RTP - مراقبة الجودة لـ RTP
SRTP: RTP الآمن (RFC 3711) - تدفقات وسائط مشفرة
Diameter: بروتوكول AAA المستخدم في IMS (المصادقة، التفويض، المحاسبة)
- Sh: واجهة Diameter للوصول إلى بيانات المشتركين
- Ro: و��جهة Diameter للشحن عبر الإنترنت
SIPREC: بروتوكول تسجيل بدء الجلسة (RFC 7866) - بروتوكول تسجيل المكالمات

معدات الاتصالات

SBC: وحدة تحكم الحدود الجلسات - أمان الشبكة وحوائط الوسائط
MRF: وظيفة موارد الوسائط - معالجة الوسائط (تحويل، مزج، تسجيل)
UE: معدات المستخدم - الهاتف المحمول أو الجهاز
PSAP: نقطة الرد على السلامة العامة - مركز الاتصال لخدمات الطوارئ
DRA: وكيل توجيه Diameter - توجيه رسائل Diameter

الاعتراض القانوني

LI: الاعتراض القانوني - المراقبة القانونية للاتصالات
IRI: معلومات متعلقة بالاعتراض - بيانات المكالمات لإنفاذ القانون
CC: محتوى الاتصال - المحتوى الصوتي/الوسائط الفعلية
SRC: عميل تسجيل الجلسة - عميل SIPREC (دور OmniTAS)
SRS: خادم تسجيل الجلسة - خادم SIPREC لتخزين التسجيل
واجهة X1: واجهة LI الإدارية (إدارة الأوامر)
واجهة X2: واجهة LI لتسليم IRI
واجهة X3: واجهة LI لتسليم CC
R226: المواد R226-3 وR226-7 من قانون العقوبات الفرنسي التي تحكم معدات الاعتراض

معالجة المكالمات

CDR: سجل تفاصيل المكالمات - سجل الفوترة والتسجيل لكل مكالمة
B2BUA: وكيل المستخدم من طرف إلى طرف - عنصر SIP يعمل كعميل وخادم
DTMF: ترددات متعددة مزدوجة - إشارات اللمس
MSISDN: رقم دليل المشترك الدولي المحمول - رقم الهاتف
IMSI: هوية المشترك الدولي المحمول - معرف مشترك فريد
E.164: خطة الترقيم الدولية لأرقام الهواتف

الأمان والتشفير

TLS: أمان طبقة النقل (RFC 5246، RFC 8446) - بروتوكول التشفير
PFS: Perfect Forward Secrecy - خاصية تشفير تضمن أمان مفتاح الجلسة
SHA-512: خوارزمية تجزئة آمنة بإخراج 512 بت
AES: معيار التشفير المتقدم
RSA: خوارزمية تشفير المفتاح العام Rivest-Shamir-Adleman
ECDSA: خوارزمية توقيع المنحنيات البيانية
PKI: ��نية تحتية للمفاتيح العامة - نظام إدارة الشهادات
CA: هيئة الشهادات - تصدر الشهادات الرقمية
CRL: قائمة إلغاء الشهادات
OCSP: بروتوكول حالة الشهادة عبر الإنترنت

الشبكة والموقع

MAP: جزء تطبيق الهاتف المحمول - بروتوكول SS7 لشبكات الهاتف المحمول
HLR: سجل الموقع المنزلي - قاعدة بيانات موقع المشتركين (قديمة)
SS7: نظام الإشارة رقم 7 - إشارة الهاتف القديمة
NANP: خطة ترقيم أمريكا الشمالية
برج الخلية/معرف الخلية: معرف محطة قاعدة شبكة الهاتف المحمول لتتبع الموقع

تنسيقات البيانات والتخزين

SQLite: قاعدة بيانات علائقية مضمنة
SQLCipher: امتداد SQLite مع دعم التشفير
CSV: قيم مفصولة بفواصل - تنسيق التصدير
JSON: تنسيق كائن جافا سكريبت - تنسيق تبادل البيانات
XML: لغة ترميز قابلة للتوسع - تنسيق بيانات هيكلي

مكونات التطبيق

API: واجهة ��رمجة التطبيقات - الوصول البرمجي
UI: واجهة المستخدم - لوحة التحكم المستندة إلى الويب
RBAC: التحكم في الوصول القائم على الدور - نظام الأذونات
UUID: معرف فريد عالمي - تتبع الجلسات

إصدار الوثيقة: 1.0
التاريخ: 2025-11-29
تم إعدادها لـ: طلب تفويض ANSSI R226
تصنيف الوثيقة: الامتثال التنظيمي - سري

1. المواصفات الفنية التفصيلية​

1.1 ورقة البيانات الفنية التجارية​

القدرات الأساسية​

1.2 قدرات الاعتراض​

1.2.1 اكتساب الإشارة​

1.2.2 قدرات معالجة الوسائط​

1.2.3 قدرات التحليل​

1.3 قدرات التدابير المضادة​

1.3.1 آليات حماية الخصوصية​

1.3.2 ميزات مكافحة الاعتراض​

1.4 الهندسة التقنية للاعتراض القانوني​

نقاط تكامل الاعتراض القانوني​

آليات تحفيز الاعتراض​

2. قدرات التشفير والتحليل​

2.1 نظرة عامة على القدرات التشفيرية​

2.2 تشفير طبقة النقل​

2.2.1 تنفيذ TLS/SSL​

2.3 تشفير البيانات أثناء الراحة​

2.3.1 تشفير قاعدة البيانات​

2.3.2 تشفير نظام الملفات​

2.4 المصادقة وتشفير كلمات المرور​

2.4.1 تجزئة كلمات المرور​

2.4.2 مصادقة مفتاح SSH​

2.5 أمان بروتوكول Diameter​

2.5.1 آليات أمان Diameter​

2.6 آليات هوية SIP​

2.7 قدرات التحليل الأمني وتقييم الأمن​

2.7.1 أدوات تحليل البروتوكولات​

2.7.2 اعتبارات تقييم الثغرات​

2.8 بنية إدارة المفاتيح​

2.8.1 توليد المفاتيح​

2.8.2 تخزين المفاتيح وحمايتها​

2.8.3 توزيع المفاتيح​

2.9 الامتثال والمعايير​

2.10 مقاومة التحليل​

2.10.1 مبادئ التصميم​

2.10.2 الأمان التشغيلي​

3. التحكم في الاعتراض والتفويض​

3.1 التحكم في الوصول للاعتراض ا��قانوني​

3.2 الاحتفاظ بالبيانات والخصوصية​

3.3 واجهات التسليم لإنفاذ القانون​

4. أمان النظام والنزاهة​

4.1 أمان التمهيد​

4.2 أمان الشبكة​

4.3 كشف التسلل​

5. مراجع الوثائق​

5.1 الأدلة الفنية​

5.2 الشهادات الأمنية​

5.3 وثائق الامتثال​

6. معلومات الاتصال​

الملاحق​

الملحق A: أمثلة تدفق رسائل SIP​

A.1 تدفق المكالمات الصادرة من الهاتف المحمول مع نقاط الاعتراض​

A.2 مكالمة طوارئ مع تتبع الموقع​

A.3 إنشاء جلسة تسجيل SIPREC​

الملحق B: مخطط CDR​

B.1 الحقول الرئيسية لـ CDR للاعتراض القانوني​

B.2 أمثلة استعلام CDR للاعتراض القانوني​

B.3 الاحتفاظ بـ CDR​

الملحق C: أمثلة تكوين SIPREC​

C.1 هيكل SIPREC​

C.2 تحفيز تسجيل SIPREC​

C.3 محتوى جلسة SIPREC​

C.4 التكامل مع إنفاذ القانون​

الملحق D: دليل تكوين التشفير​

D.1 توليد الشهادات​

D.2 تكوين HTTPS لواجهة الويب​

D.3 تكوين SIP​

D.4 تكوين TLS لـ Diameter​

D.5 تشفير قاعدة البيانات​

D.6 تكوين أمان كلمة المرور​

الملحق E: المعجم​

الهيئات التنظيمية والمعايير​

مكونات شبكة IMS​

البروتوكولات والإشارات​

معدات الاتصالات​

الاعتراض القانوني​

معالجة المكالمات​

الأمان والتشفير​

الشبكة والموقع​