ANSSI R226 拦截合规文档

文档目的： 本文档提供了 OmniTAS IMS 应用服务器在法国刑法第 R226-3 和 R226-7 条款下获得 ANSSI R226 授权所需的技术规范。

分类： 监管合规文档

目标机构： 法国国家信息系统安全局（ANSSI）

法规： R226 - 通信隐私保护和合法拦截

---

1. 详细技术规范

1.1 商业技术数据表

产品名称： OmniTAS IMS 应用服务器
产品类型： 电信应用服务器 (TAS)
主要功能： IMS (IP 多媒体子系统) 呼叫处理和会话管理
网络协议： SIP, Diameter, HTTP/HTTPS, SS7/MAP
部署模型： 本地服务器应用

核心能力

呼叫处理：

• 会话发起协议 (SIP) 代理和 B2BUA 功能
• IMS 初始过滤标准 (iFC) 处理
• 会话路由和呼叫控制
• 紧急呼叫处理 (E.164 PSAP 路由)
• 呼叫详细记录 (CDR) 生成

网络接口：

• 北向： IMS S-CSCF 接口 (SIP 通过 TCP/UDP)
• 南向： SBC/网关接口 (SIP 中继)
• Diameter： Sh (用户��据), Ro (在线计费)
• SS7： MAP 网关接口用于 HLR/MSC 互通
• HTTP/HTTPS： 外部服务集成 (SMS, TTS, MAP 网关)

存储和处理：

• 实时会话状态管理
• CDR 存储和检索
• 用户注册数据库 (Sofia SIP)
• 配置数据库 (SQLite)

1.2 拦截能力

1.2.1 信号获取

SIP 信令捕获：

• OmniTAS 处理 IMS 用户和外部网络之间的所有 SIP 信令消息
• 完全访问 SIP 头，包括：
  • 主叫方标识 (From, P-Asserted-Identity)
  • 被叫方标识 (To, Request-URI)
  • 联系 URI 和网络位置
  • 呼叫路由信息
  • 会话描述 (SDP)，包括媒体编解码器和端点

呼叫元数据获取：

• 完整的呼叫详细记录 (CDR) 存储在数据库中，包含：
  • 时间戳 (开始、应答、结束时间)
  • 主叫和被叫标识符 (MSISDN, IMSI, SIP URI)
  • 呼叫方向 (移动发起/终止)
  • 呼叫结果 (应答、忙、失败等)
  • 持续时间和计费信息
  • 网络位置数据 (可用时的基站信息)

会话录音接口 (SIPREC)：

• 支持 SIPREC 协议以实现合法拦截
• 能够将 SIP 信令复制到外部录音服务器
• 可配置的会话录音策略
• 许可控制： SIPREC 功能需要明确的许可授权
• 访问控制： SIPREC 配置仅限于授权管理员

1.2.2 媒体处理能力

媒体平面：

• 具备 RTP 媒体中继能力的 B2BUA
• RTP 流通过服务器传递
• 访问媒体流以进行拦截
• SDP 解析以获取媒体端点和编解码器信息

信令平面：

• SIP 消息解析和分析
• Diameter 消息编码/解码 (Sh, Ro 接口)
• HTTP/HTTPS 请求/响应处理

1.2.3 分析能力

实时呼叫监控：

• Web UI 仪表板显示活动呼叫，包括：
  • 呼叫状态 (尝试、响铃、活动、终止)
  • 主叫/被叫信息
  • 呼叫持续时间
  • 媒体编解码器信息
  • 网络端点

历史分析：

• 可按以下条件查询 CDR 数据库：
  • 时间范围
  • 主叫/被叫号码
  • 呼叫类型 (语音、紧急等)
  • 呼叫结果/处置
  • 持续时间阈值

用户追踪：

• 活跃注册监控
• 通过以下方式进行用户位置追踪：
  • IMS 注册联系 URI
  • P-Access-Network-Info 头 (基站标识)
  • IP 地址和端口信息
• 历史注册记录

网络分析：

• 呼叫量指标 (Prometheus 集成)
• 网关状态和连接性
• Diameter 对等连接
• 系统性能指标

有关全面指标文档： 请参见 metrics.md 以获取详细的监控、警报和可观察性配置。

位置智能：

• 基站数据库集成
• E.164 号码到地理位置映射 (北美编��计划)
• 紧急服务路由 (PSAP 映射)

1.3 反制能力

1.3.1 隐私保护机制

通信机密性：

• Diameter TLS 传输安全
• Web 接口和 API 的 HTTPS
• 静态数据库加密 (可配置)

访问控制：

• Web UI 的基于角色的访问控制 (RBAC)
• 使用 SHA-512 和盐的密码哈希 (65,532 次迭代)

审计日志：

• 完整的管理操作审计跟踪
• 配置更改日志
• 身份验证事件日志
• 防篡改日志存储

1.3.2 反拦截功能

安全通信：

• 外部接口强制使用 TLS (可配置)
• 基于证书的身份验证
• 完美前向保密 (PFS) 密码套件

数据保护：

• 自动 CDR 保留政策
• 安全数据删除能力
• 数据库访问控制
• 网络分段支持 (单独的管理/信令/媒体网络)

系统加固：

• 启动参数保护
• 完整性验证机制
• 最小攻击面 (仅启用所需服务)

1.4 合法拦截的技术架构

合法拦截集成点

1. SIPREC 接口 (会话录音协议 - RFC 7866)：

2. CDR 导出接口：

• CDR 导出到外部系统
• 标准格式 (CSV, JSON)
• 安全传输 (HTTPS)

3. 直接数据库访问：

• 授权系统的只读数据库凭据
• 对 CDR 表的 SQL 查询访问
• 用户注册数据访问
• 审计日志访问

4. API 集成：

• 用于呼叫监控的 RESTful API
• 实时活动呼叫查询
• 历史 CDR 检索
• 用户注册状态

拦截触发机制

基于目标的拦截：

• 用户标识符匹配 (MSISDN, IMSI, SIP URI)
• 应用逻辑中的可配置拦截规则
• 基于主叫/被叫身份的 SIPREC 会话分叉

基于事件的拦截：

• 紧急呼叫检测和录音
• 特定目的地号码监控
• 基于地理区域的触发 (基站位置)

基于时间的拦截：

• 计划录音窗口
• 保留期强制执行
• 拦截令的自动过期

---

2. 加密和密码分析能力

2.1 密码学能力概述

OmniTAS IMS 应用服务器实现了加密机制，以保护通信和敏感数据。此部分记录了所有密码学能力，以符合 ANSSI 要求。

2.2 传输层加密

2.2.1 TLS/SSL 实现

支持的协议：

• TLS 1.2 (RFC 5246)
• TLS 1.3 (RFC 8446)
• SSL 2.0/3.0：禁用 (已知漏洞)
• TLS 1.0/1.1：不推荐使用 (可配置，默认禁用)

密码套件 (可配置优先级列表)：

首选 - TLS 1.3：

• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_128_GCM_SHA256

支持 - TLS 1.2：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

安全特性：

• 强制要求完美前向保密 (PFS)
• 强 Diffie-Hellman 组 (2048 位最小)
• 椭圆曲线密码学：NIST P-256, P-384, P-521
• 支持服务器名称指示 (SNI)
• 证书验证的 OCSP stapling

证书管理：

• 支持 X.509 证书
• RSA 密钥大小：2048 位最小，4096 位推荐
• 支持 ECDSA (P-256, P-384)
• 证书链验证
• CRL 和 OCSP 撤销检查
• 自签名证书 (仅用于开发)
• 外部 CA 集成

应用：

• Web UI 和 API 访问的 HTTPS
• TLS 上的 Diameter

2.3 静态数据加密

2.3.1 数据库加密

SQLite 加密：

• 支持 SQLCipher 集成
• AES-256 加密
• 敏感数据的加密存储 (CDR, 用户数据)

2.3.2 文件系统加密

敏感数据存储：

• CDR 文件：AES-256 加密 (可选)
• 配置文件：凭据的加密存储
• 私钥：加密密钥库 (PKCS#12, PEM 带密码)
• 日志文件：归档日志的加密支持

密钥存储：

• 带密码保护的文件密钥库
• 安全密钥轮换机制

2.4 身份验证和密码加密

2.4.1 密码哈希

算法： SHA-512 带盐
配置：

• 随机生成的盐 (128 位最小)
• 65,532 次迭代轮次 (可配置)
• 盐与哈希一起存储
• 抵抗彩虹表攻击

存储格式：

$6$rounds=65532$<salt>$<hash>

应用：

• Web UI 用户身份验证
• API 令牌生成
• 管理员密码存储
• 数据库用户凭据

2.4.2 SSH 密钥身份验证

支持的密钥类型：

• RSA：1024-4096 位 (推荐 2048 位最小)
• DSA：1024-4096 位 (不推荐，优先使用 RSA)
• ECDSA：P-256, P-384, P-521 曲线
• Ed25519：256 位 (新部署的首选)

密钥管理：

• 支持外部密钥生成
• 客户端身份验证的公钥导入
• 服务器主机密钥管理
• 单个密钥撤销
• 密钥轮换程序

SSH 协议：

• 仅支持 SSH-2 协议 (禁用 SSH-1)
• 强 MAC 算法 (HMAC-SHA2-256, HMAC-SHA2-512)
• 密钥交换：curve25519-sha256, ecdh-sha2-nistp256, diffie-hellman-group14-sha256

2.5 Diameter 协议安全

2.5.1 Diameter 安全机制

传输安全：

• TLS 通过 TCP 用于 Diameter 对等连接
• 互认证书身份验证

应用层安全：

• 通过 Origin-Host/Origin-Realm 验证进行对等身份验证
• 共享密钥配置 (遗留，不推荐使用)
• 敏感数据的 AVP (属性-值对) 加密
• 使用 CMS (密码消息语法) 的端到端安全

2.6 SIP 身份机制

P-Asserted-Identity：

• 可信网络声明
• 身份验证和转换
• 隐私头支持

注意： 用户身份验证由 IMS 核心 (P-CSCF/S-CSCF) 执行，而不是 TAS。

2.7 密码分析和安全评估能力

2.7.1 协议分析工具

内置调试能力：

• SIP 消息跟踪，完整头/体捕获
• Diameter 消息日志 (AVP 解码)
• TLS 握手调试
• 证书链验证日志

外部集成：

• Wireshark/tcpdump 数据包捕获支持
• SSLKEYLOGFILE 导出用于 TLS 解密 (仅用于开发)
• PCAP 导出用于离线分析

2.7.2 漏洞评估考虑

已知的密码学弱点：

• SIP 摘要中的遗留 MD5 支持 (为向后兼容而维护)
• 可配置的弱密码套件 (默认禁用)
• 自签名证书支持 (仅用于开发/测试)

安全测试：

• 建议定期进行安全审计
• 支持渗透测试
• 密码套件强度验证
• 证书过期监控

2.8 密钥管理基础设施

2.8.1 密钥生成

内部密钥生成：

• RSA 密钥生成：OpenSSL 库 (符合 FIPS 140-2 标准的算法)
• 随机数生成：/dev/urandom (Linux 内核 CSPRNG)
• 熵源：硬件 RNG，系统熵池

2.8.2 密钥存储和保护

私钥存储：

• 权限受限的文件系统 (0600)
• 带密码的加密 PEM 格式
• 密钥���换时的安全删除

密钥备份：

• 加密备份程序
• 分割密钥恢复机制
• 安全密钥托管 (如法规要求)

2.8.3 密钥分发

证书分发：

• 通过 Web UI 手动导入
• 通过 API 自动配置
• 支持 ACME 协议 (Let's Encrypt，未来增强)

对称密钥分发：

• 对 Diameter 对等体的带外密钥交换
• TLS 中的 Diffie-Hellman 密钥协商
• 不进行明文密钥传输

2.9 合规性和标准

密码学标准合规性：

• NIST SP 800-52：TLS 指南
• NIST SP 800-131A：密码算法过渡
• RFC 7525：TLS 建议
• ETSI TS 133 310：IMS 网络安全
• 3GPP TS 33.203：IMS 访问安全

法国密码学法规：

• 密码手段声明 (如适用)
• ANSSI 密码产品认证 (如要求)
• 无出口限制的密码学 (所有标准算法)

2.10 密码分析抵抗

2.10.1 设计原则

抵御密码分析：

• 不使用自定义/专有密码算法
• 仅使用行业标准、同行评审的算法
• 定期更新密码库以确保安全
• 不推荐使用弱算法

2.10.2 操作安全

密钥轮换：

• TLS 证书续期 (建议每年)
• 会话密钥轮换 (每会话 TLS)
• 密码过期策略 (可配置)

监控和检测：

• 失败的身份验证尝试日志
• 证书过期警报
• 密码套件协商日志
• 加密��败的异常检测

---

3. 拦截控制和授权

3.1 合法拦截的访问控制

管理授权：

• 合法拦截功能需要管理员级别的权限
• SIPREC 配置访问：仅限超级管理员角色
• CDR 访问：可配置的基于角色的权限
• 所有与拦截相关操作的审计日志

法律框架集成：

• 拦截令跟踪 (外部系统集成)
• 目标标识符授权列表
• 有时间限制的拦截激活
• 拦截令过期时的自动停用

3.2 数据保留和隐私

保留政策：

• CDR 保留：可配置 (默认 90 天，法规要求 1 年)
• 注册日志：可配置保留
• 审计日志：至少保留 1 年
• 自动清除过期数据

隐私保护：

• 最小数据收集原则
• 目的限制 (电信服务提供)
• 访问日志记录和监控

3.3 执法交接接口

标准合法拦截接口：

• 支持 ETSI LI (合法拦截) 接口 (通过外部调解设备)
• SIPREC 到 LI 网关集成
• 支持 X1、X2、X3 接口 (外部系统)

交付格式：

• IRI (拦截相关信息)：CDR 元数据
• CC (通信内容)：SIP 信令 + 媒体 (通过 MRF)
• 结构化报告：XML, JSON 格式

---

4. 系统安全和完整性

4.1 启动安全

安全启动机制：

• 启动参数保护 (ANSSI R226 要求)
• 配置完整性验证
• 启动��的篡改检测
• 安全配置加载

4.2 网络安全

网络安全：

• 最小暴露端口 (仅 SIP, Diameter, HTTPS)
• 基于端口的访问控制
• IP 白名单/黑名单

4.3 入侵检测

监控能力：

• 失败的身份验证监控
• 异常呼叫模式检测
• 异常 Diameter 流量检测
• 安全事件警报 (SIEM 集成)

---

5. 文档参考

5.1 技术手册

项目存储库中的可用文档：

• README.md： 系统概述、架构和操作特性
• doc/deployment_guide.md： 部署说明 (如可用)
• doc/configuration.md： 配置参考 (如可用)

5.2 安全认证

• 渗透测试报告： [根据请求提供]
• 安全审计报告： [根据请求提供]
• 密码模块验证： OpenSSL FIPS 140-2 合规

5.3 合规文档

• ANSSI R226 授权请求： 本文档
• 合法拦截合规： 根据法国电信法规的要求

---

6. 联系信息

供应商/运营商信息：

• 公司名称：Omnitouch Network Services Pty Ltd
• 地址：PO BOX 296, QUINNS ROCKS WA 6030, AUSTRALIA
• 联系人：合规团队
• 电子邮件：compliance@omnitouch.com.au

技术安全联系人：

• 名称：合规团队
• 电子邮件：compliance@omnitouch.com.au

法律/合规联系人：

• 名称：合规团队
• 电子邮件：compliance@omnitouch.com.au

---

附录

附录 A：SIP 消息流示例

A.1 移动发起呼叫流与拦截点

图例： [拦截] = 捕获合法拦截数据的点

A.2 紧急呼叫与位置追踪

A.3 SIPREC 录音会话建立

附录 B：CDR 架构

OmniTAS 系统在位于 /etc/freeswitch/db/cdr.db 的 SQLite 数据库中存储呼叫详细记录 (FreeSWITCH CDR 格式)。

B.1 合法拦截的关键 CDR 字段

字段名称	类型	描述	拦截相关性
uuid	TEXT	唯一呼叫标识符	会话关联
caller_id_number	TEXT	主叫方号码 (MSISDN)	目标追踪的主要标识符
caller_id_name	TEXT	主叫���显示名称	身份验证
destination_number	TEXT	被叫方号码	目标目的地追踪
start_stamp	DATETIME	呼叫开始时间戳	事件时间线
answer_stamp	DATETIME	呼叫应答时间戳	呼叫建立时间
end_stamp	DATETIME	呼叫结束时间戳	会话持续时间计算
duration	INTEGER	总呼叫持续时间 (秒)	会话长度
billsec	INTEGER	可计费秒数 (应答时间)	实际通话持续时间
hangup_cause	TEXT	呼叫终止原因	呼叫结果分析
sip_hangup_disposition	TEXT	SIP 终止细节	协议级终止
network_addr	TEXT	网络 IP 地址	源位置追踪
sip_from_user	TEXT	SIP From 头用户部分	原始 SIP 身份
sip_to_user	TEXT	SIP To 头用户部分	SIP 目的地
sip_call_id	TEXT	SIP Call-ID 头	SIP 会话关联

B.2 合法拦截的 CDR 查询示例

按目标号码查询呼叫：

SELECT * FROM cdr
WHERE caller_id_number = '+33612345678'
   OR destination_number = '+33612345678'
ORDER BY start_stamp DESC;

在时间窗口内查询呼叫：

SELECT * FROM cdr
WHERE start_stamp BETWEEN '2025-11-01 00:00:00' AND '2025-11-30 23:59:59'
  AND (caller_id_number = '+33612345678' OR destination_number = '+33612345678')
ORDER BY start_stamp DESC;

导出到 CSV 供执法使用：

.mode csv
.output /tmp/interception_report.csv
SELECT caller_id_number, destination_number, start_stamp, end_stamp, duration, hangup_cause
FROM cdr
WHERE caller_id_number = '+33612345678'
ORDER BY start_stamp DESC;
.output stdout

B.3 CDR API 访问

TAS 通过 Tas.Cdr 模块提供编程访问：

# 获取特定号码的所有呼叫
Tas.Cdr.get_records_by(:caller_id_number, "+33612345678")

# 获取日期范围内的呼叫
Tas.Cdr.get_records_by_date_range("2025-11-01 00:00:00", "2025-11-30 23:59:59")

# 使用高级过滤进行搜索
Tas.Cdr.get_filtered_records(search: "33612345678", limit: 1000)

# 获取统计信息
Tas.Cdr.get_statistics()

B.4 CDR 保留

• 默认保留：可配置 (通常为 90 天至 1 年)
• 自动清除：支持
• 手动导出：通过 Web UI 在 /cdr 或 API
• 格式：SQLite 数据库，可导出为 CSV/JSON

附录 C：SIPREC 配置示例

SIPREC (会话发起协议录音) 使 OmniTAS 能够将呼叫信令和媒体发送到外部会话录音服务器以实现合法拦截。

C.1 SIPREC 架构

C.2 触发 SIPREC 录音

录音可以基于以下条件触发：

基于目标：

• 主叫电话号码 (caller_id_number)
• 被叫电话号码 (destination_number)
• SIP URI 匹配

基于事件：

• 所有紧急呼叫 (911, 112 等)
• 到/从特定目的地的呼叫
• 基于时间窗口的录音

基于地理：

• 基站位置 (通过 P-Access-Network-Info 头)
• IP 地址范围

C.3 SIPREC 会话内容

SIPREC 会话发送到 SRS：

信令元数据：

• 完整的 SIP 头 (From, To, P-Asserted-Identity)
• 呼叫 ID 和会话标识符
• 时间戳 (开始、应答、结束)
• 主叫/被叫信息

媒体流：

• 参与者 1 RTP 流 (主叫音频)
• 参与者 2 RTP 流 (被叫音频)
• 编解码器信息
• DTMF 音调

C.4 与执法的集成

会话录音服务器提供：

• X1 接口： 管理功能 (令状管理)
• X2 接口： 拦截相关信息 (IRI) - 呼叫元数据
• X3 接口： 通信内容 (CC) - 实际媒体

OmniTAS 作为会话录音客户端 (SRC)，并通过标准接口将 IRI 和 CC 交付给 SRS，以供执法使用。

附录 D：加密配置指南

D.1 证书生成

生成 TLS 证书：

# 生成私钥
openssl genrsa -out server.key 4096

# 生成证书签名请求
openssl req -new -key server.key -out server.csr

# 自签名证书 (用于测试)
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

# 生产环境：从受信任的 CA 获取证书

注意： SIP 信令到 IMS 不使用 TLS。SIP 通信为未加密的 TCP/UDP。

D.2 Web UI 的 HTTPS 配置

API/Web 服务器 TLS (config/runtime.exs)：

config :api_ex,
  api: %{
    enable_tls: true,
    tls_cert_path: "priv/cert/server.crt",
    tls_key_path: "priv/cert/server.key",
    tls_versions: [:"tlsv1.2", :"tlsv1.3"],
    ciphers: [
      "ECDHE-RSA-AES256-GCM-SHA384",
      "ECDHE-RSA-AES128-GCM-SHA256",
      "TLS_AES_256_GCM_SHA384",
      "TLS_AES_128_GCM_SHA256"
    ]
  }

D.3 SIP 配置

SIP 接口使用未加密的 TCP/UDP 传输。无需 TLS 配置。

FreeSWITCH SIP 配置文件：

<!-- SIP 配置文件仅使用 TCP/UDP -->
<profile name="external">
  <settings>
    <param name="sip-port" value="5060"/>
    <param name="context" value="public"/>
  </settings>
</profile>

D.4 Diameter TLS 配置

Diameter 对等体 TLS：

# 为 Diameter 连接启用 TLS
config :diameter_ex,
  peers: [
    %{
      host: "dra.example.com",
      port: 3868,
      transport: :tls,
      tls_opts: [
        certfile: "priv/cert/diameter.crt",
        keyfile: "priv/cert/diameter.key",
        cacertfile: "priv/cert/ca.crt",
        verify: :verify_peer
      ]
    }
  ]

D.5 数据库加密

使用 SQLCipher 的 SQLite 加密：

# config/runtime.exs
config :exqlite,
  encryption: true,
  encryption_key: System.get_env("DB_ENCRYPTION_KEY")

注意： 数据库加密是可选的。对于合法拦截目的，物理访问控制和数据库访问日志记录可能已足够。

D.6 密码安全配置

密码哈希自动配置为 SHA-512 和盐：

# 默认密码哈希配置
config :pbkdf2_elixir,
  rounds: 65_532,
  salt_len: 16

无需额外配置 - 默认安全。

附录 E：术语表

监管和标准机构

• ANSSI： 法国国家信息系统安全局 - 法国国家网络安全机构
• ETSI： 欧洲电信标准协会
• 3GPP： 第三代合作伙伴计划 - 移动电信标准组织
• IETF： 互联网工程任务组 - 互联网标准机构

IMS 网络组件

• IMS： IP 多媒体子系统 - 用于多媒体服务的全 IP 网络架构
• CSCF： 呼叫会话控制功能 - IMS 核心中的 SIP 服务器
  • P-CSCF： 代理-CSCF - UE 的第一个接触点，SIP 代理
  • I-CSCF： 查询-CSCF - 运营商网络的入口点
  • S-CSCF： 服务-CSCF - 会话控制和服务触发
• HSS： 用户主服务器 - 用户数据库
• TAS： 电话/电信应用服务器 - 服务逻辑执行

协议和信令

• SIP： 会话发起协议 (RFC 3261) - 用于语音/视频呼叫的信令协议
• SDP： 会话描述协议 (RFC 4566) - 媒体会话参数
• RTP： 实时传输协议 (RFC 3550) - 媒体流传输
• RTCP： RTP 控制协议 - RTP 的质量监控
• SRTP： 安全 RTP (RFC 3711) - 加密媒体流
• Diameter： 用于 IMS 的 AAA 协议 (认证、授权、计费)
  • Sh： Diameter 接口用于用户数据访问
  • Ro： Diameter 接口用于在线计费
• SIPREC： 会话发起协议录音 (RFC 7866) - 呼叫录音协议

电信设备

• SBC： 会话边界控制器 - 网络边缘安全和媒体网关
• MRF： 媒体资源功能 - 媒体处理 (转码、混合、录音)
• UE： 用户设备 - 移动手机或设备
• PSAP： 公共安全接听点 - 紧急服务呼叫中心
• DRA： Diameter 路由代理 - Diameter 消息路由

合法拦截

• LI： 合法拦截 - 对电信的法律监控
• IRI： 拦截相关信息 - 用于执法的呼叫元数据
• CC： 通信内容 - 实际语音/媒体内容
• SRC： 会话录音客户端 - SIPREC 客户端 (OmniTAS 角色)
• SRS： 会话录音服务器 - SIPREC 服务器用于录音存储
• X1 接口： LI 管理接口 (令状提供)
• X2 接口： LI 接口用于 IRI 交付
• X3 接口： LI 接口用于 CC 交付
• R226： 法国刑法第 R226-3 和 R226-7 条款，规定拦截设备

呼叫处理

• CDR： 呼叫详细记录 - 每个呼叫的计费和日志记录
• B2BUA： 回传用户代理 - 同时充当客户端和服务器的 SIP 元素
• DTMF： 双音多频 - 按键音信号
• MSISDN： 移动站国际用户目录号码 - 电话号码
• IMSI： 国际移动用户身份 - 唯一用户标识符
• E.164： 国际电话号码的编号计划

安全和加密

• TLS： 传输层安全 (RFC 5246, RFC 8446) - 加密协议
• PFS： 完美前向保密 - 确保会话密钥安全的密码特性
• SHA-512： 输出为 512 位的安全哈希算法
• AES： 高级加密标准
• RSA： Rivest-Shamir-Adleman - 公钥密码算法
• ECDSA： 椭圆曲线数字签名算法
• PKI： 公钥基础设施 - 证书管理系统
• CA： 证书颁发机构 - 颁发数字证书
• CRL： 证书撤销列表
• OCSP： 在线证书状态协议

网络和位置

• MAP： 移动应用部分 - SS7 协议用于移动网络
• HLR： 用户位置寄存器 - 用户位置数据库 (遗留)
• SS7： 信令系统第 7 层 - 遗留电信信令
• NANP： 北美编号计划
• 基站/基站 ID： 移动网络基站标识符，用于位置追踪

数据格式和存储

• SQLite： 嵌入式关系数据库
• SQLCipher： 支持加密的 SQLite 扩展
• CSV： 逗号分隔值 - 导出格式
• JSON： JavaScript 对象表示法 - 数据交换格式
• XML： 可扩展标记语言 - 结构化数据格式

应用组件

• API： 应用程序编程接口 - 程序访问
• UI： 用户界面 - 基于 Web 的控制面板
• RBAC： 基于角色的访问控制 - 权限系统
• UUID： 通用唯一标识符 - 会话追踪

---

文档版本： 1.0
日期： 2025-11-29
为以下准备： ANSSI R226 授权申请
文档分类： 监管合规 - 机密