即時通信業務HI接口總體技術要求2016-12-30發布 I1范圍 2規范性引用文件 3術語、定義和縮略語 14基本要求 4.1HI接口的基本原則 34.2功能要求 5網絡架構 6標識 6.1目標標識 46.2通信標識 46.3請求標識 6.4IRI序列號 56.5會話子序列號 6.6RD記錄序號 56.7CC記錄序號 56.8留存數據查詢結果批次標識 67HI接口要求 67.1HI1接口要求 67.2HI2接口要求 67.3HI3接口要求 8安全要求 8.1認證要求 88.2機密性要求 88.3完整性要求 88.4遞交網絡 附錄A(規范性附錄)FTP協議使用要求 A.1配置設置 9A.2基本要求 9A.3FTP定時器及閾值 9I本標準的全部技術內容為強制性。本標準按照GB/T1.1—2009給出的規則起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。本標準由中華人民共和國工業和信息化部提出。本標準由全國通信標準化技術委員會(SAC/TC485)歸口。本標準起草單位：中國信息通信研究院。1即時通信業務HI接口總體技術要求本標準規定了基于IP網絡提供的即時通信業務HI接口的基本要求、網絡架構、標識、HI接口要求和安全要求。本標準適用于基于IP網絡提供的即時通信業務。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。IETFRFC3261SIP:會話初始協議(SIP:SessionInitiationProtocol)IETFRFC3325對于會話初始協議(SIP)在可信任網絡用于尚待證實的識辨私自擴展[PrivateExtensionstotheSessionInitiationProtocol(SIP)forAssertedIdentitywithinTrustedNetworks]3.1術語和定義下列術語和定義適用于本文件。提供具有點對點、點對多點通信特征業務的服務提供商。依托即時通信服務提供商提供的相關業務。依托IP數據網，提供的點對點、點對多點實時多媒體會話業務，包括語音、視頻通信等。遞交接口handoverinterface即時通信服務提供商提供的技術接口，也稱為HI接口，包括HI1、HI2和HI3三個接口。管理功能模塊administrationfunction遞交網關中處理HIl接口的功能模塊。遞交網關中處理HI2和HI3接口的功能模塊。2傳輸相關信息transportrelatedinformation出于維護、測試和保護HI接口的目的，在HI2接口上發送的信息。目標用戶使用即時通信業務的相關信息，包括通信相關信息(如失敗的通信連接嘗試)、業務相關信息(如用戶進行的業務管理)和位置信息等。通信內容contentofcommunication除目標相關信息外，即時通信業務中目標用戶與其他用戶或網元之間交互的信息。注：例如網絡多媒體會話業務內容等。留存數據retaineddata即時通信服務提供商在其網絡內留存的與特定業務相關的數據。留存數據通常包括業務使用數執法遞交設施lawenforcementmonitoringfacility與遞交網關相連，收集遞交結果并對遞交結果進行處理的設備。一次會話過程acommunicationsession從網絡側發起會話建立請求開始到本次會話結束的過程。永久性標識permanentidentity從用戶申請某種業務到注銷此種業務過程中，能夠在即時通信服務提供商的該業務中唯一標識一個用戶并且不會變更的標識。注：例如用戶注冊時，即時通信業務提供商分配給用戶的內部標識，在該用戶注銷之前，該標識不能夠被再次分配給其他用戶使用。臨時性標識temporaryidentity能夠在一段時間內暫時在即時通信服務提供商的某種業務中唯一標識一個用戶并且允許變更的標識。注：例如即時通信業務允許用戶綁定或解綁定手機號碼，在綁定期內則該手機號碼能夠作為該用戶的臨時性標識，用戶可根據需要隨時變更綁定的手機號碼。使用同一即時通信業務應用的多個用戶進行臨時或永久會話所使用的邏輯組。3.2縮略語下列縮略語適用于本文件。CIN通信標識碼(CommunicationIdentityNumber)FTP文件傳輸協議(FileTransferProtocol)3GWID遞交網關標識(GatewayIdentifier)HI遞交接口(HandoverInterface)IP國際互聯網協議(InternetProtocol)IPSec互聯網協議安全(InternetProtocolSecurity)IRI目標相關信息(InterceptRelatedInformation)LEA執法機構(LawEnforcementAgency)LEMF執法遞交設施(LawEnforcementMonitoringFacility)MF中介功能模塊(MediationFunction)RD留存數據(RetainedData)SFTPSSH文件傳輸協議(SSHFileTransferProtocol)SIP會話初始協議(SessionInitiationProtocol)SSH安全外殼(SecureShell)SvP服務提供商(ServiceProvider)SvPID服務提供商標識(ServiceProviderIdentifier)TRI傳輸相關信息(TransportRelatedInformation)4基本要求4.1HI接口的基本原則HI接口應遵循國家相關法律法規的要求。非目標用戶間的通信活動，不應觸發遞交功能。不允許任何人和設備訪問即時通信服務提供商(以下簡稱SvP)域內的敏感數據，包括LEMF的配置信息、LEMF與遞交網關之間的證書和認證參數、目標信息、SvP域內的留存數據等。在SvP網絡內，應采用必要的措施保證相關敏感數據的安全，例如加密存儲等。SvP向用戶提供的業務，均應支持HI接口功能；但對于SvP尚未提供的業務以及SvP現有業務流程中未獲取的信息，并不需要通過額外的流程獲取后提供。如果SvP擁有本標準規定之外的對LEA有用的信息，可以通過相關的擴展信息字段上報。HI接口包括HI1、HI2、HI3接口，三個接口的功能以及傳遞的消息內容完全不同，且應相互獨立。應遞交解密后的通信內容。如果加密不是由SvP網絡提供且SvP無法獲取密鑰，則SvP不需要解密。若兩個目標用戶相互通信，則這兩個目標的遞交結果應分別處理上報。隨著技術的發展和需求的更新，HI接口應可擴展。4.2功能要求HI接口應支持實時(準實時)遞交功能，即實時(準實時)地將目標用戶的活動過程與通信內容通過HI接口遞交至LEMF。HI接口應支持針對SvP域留存的數據進行查詢并將查詢結果遞交給LEMF。SvP通過HI接口遞交的內容包括：目標相關信息(IRI)、傳輸相關信息(TRI)、通信內容(CC)和留存數據(RD)等。此外，SvP應通過HI接口的指令獲得遞交的相關信息，包括目標標識、遞交結束時間、LEMF的地址等。5網絡架構圖1給出了遞交接口的網絡架構圖。SvP域包括網元、留存數據庫和遞交網關，其中網元包括提供服務的所有相關業務服務器。考慮到4各SvP的網絡組網形式各異，可提供的業務形式也各不相同，為方便管理，要求各SvP采用遞交網關方式集中提供遞交接口，不采用每個網元單獨提供遞交接口的方式。遞交網關包括管理功能模塊AF、IRI中介功能模塊和CC/RD的中介功能模塊。留存數據庫、網元和遞交網關之間的接口為SvP內部網絡接口。SvP通過HI接口與執法遞交設施LEMF之間進行交互。本標準僅規定遞交網關提供的HI接口的要求，內部網絡接口的要求不在本標準范圍之內。HI接口包括HI1、HI2、HI3接口三個接口。其中，HI1為管理接口，用于LEMF和遞交網關之間傳遞管理指令；HI2接口為目標相關信息上報接口，用于遞交網關向LEMF遞交IRI消息、故障告警和心跳等維護類的TRI消息；HI3接口為通信內容和留存數據上報接口，用于遞交網關向LEMF遞交CC和留存數據。SyPSyP域留存數據庫HI1SvPAFI:F.MF網元1CC&RDMF網元N網元2網元H12遞交接口HI圖1遞交接口架構圖6標識6.1目標標識目標標識用于在SvP域內識別特定目標，例如用戶賬號、內部標識等。臨時性目標標識不能用于激活目標用戶的遞交功能，考慮到大部分的永久性標識并非是公開的用戶標識，如果LEA不知道用戶的永久性標識，需要先通過HI接口使用臨時性標識查詢對應的永久性標識，再使用永久性標識激活目標用戶。6.2通信標識通信標識(CID)用來區分目標的不同會話活動過程，并用于在同一個會話活動過程中關聯HI2的IRI報告和HI3的CC內容。CID由遞交網關產生。CID由SvP標識(SvPID)、遞交網關標識(GWID)和通信標識碼(CIN)組成。SvP標識用于唯一標識一個SvP的一個業務產品，由LEMF負責為每個SvP的業務產品進行分5配。SvP標識為8位定長字符串。遞交網關標識(GWID)用于分別標識主備遞交網關，由SvP負責分配，為1位字符串。通信標識碼CIN用于在SvP一個業務產品的同一個遞交網關內唯一標識一次目標的通信會話。在一次會話過程中的所有遞交結果都應使用相同的CIN。如果同一個目標在同一個SvP當中有兩個或更多的通信會話，每一個會話的CIN應不一樣。如果兩個或多個目標參與了同一次通信會話，遞交網關應為不同的目標分配相同的CIN值。與會話相關的IRI和CC應攜帶CIN。滿足下面三個條件的IRI消息可以不攜帶CIN:IRI本身與任何目標用戶的通信會話都沒有關系；IRI本身與任何的CC都沒有關系；IRI本身與任何其他的IRI都沒有關系。根據具體的業務流程不同，當系統故障或意外發生的時候，同一個會話過程中的IRI-REPORT可能產生在IRI-BEGIN消息之前，也可能產生在IRI-END消息之后，這樣的IRI-REPORT也應分配同一個通信會話中與其他HI2和HI3接口相同的CIN。CIN的取值為0～232-1之間的數字，從0開始順序循環編號。6.3請求標識請求標識用來關聯HIl接口、HI2接口的請求消息和響應消息之間的對應關系，以及關聯HI1接口的留存數據查詢請求消息和HI3接口留存數據查詢結果之間的對應關系。所有消息的請求標識均由消息的發送方產生。每類TRI消息的請求標識要求單獨編號。請求標識的取值為0～232-1之間的數字，從0開始順序循環編號。IRI序列號用于檢查HI2接口的IRI消息是否丟失。IRI序列號由遞交網關產生。IRI序列號的取值為0～2?-1之間的數字，在遞交網關到LEMF的一個HI2接口連接(通信雙方IP層的IP地址、傳輸層端口、傳輸層協議確定一條連接)內，從0開始順序循環編號。對于會話無關的業務，IRI序列號還用于HI2接口的IRI消息和HI3接口的通信內容的關聯。6.5會話子序列號會話子序列號用于在一次通信會話過程中對上報的IRI消息進行標識，可用于檢查一次會話過程中IRI是否丟失。會話子序列號均由遞交網關產生。會話子序列號的取值為0～232-1之間的數字。當目標開始一個新的通信會話時，會話子序列號從0開始順序編號。6.6RD記錄序號在一次留存數據查詢過程中用于標識所查詢到的每一條記錄。RD記錄序號由遞交網關產生。RD記錄序號取值為1～232—1之間的數字，所有記錄按照生成的時間順序從1開始順序編號。當當通信內容通過SFTP方式遞交時，在一次遞交的通信內容ZIP壓縮包內所有的通信內容都通過CC記錄序號標識。記錄序號由遞交網關產生。CC記錄序號取值為1～232—1之間的數字。ZIP壓縮包內的通信內容可能是一個文件，也可能是一條會話相關的文本消息。所有通信內容按照生成的時間順序排序后從1開始順序編號。66.8留存數據查詢結果批次標識當留存數據采用分批遞交方式時，該標識用來標識每個具體的批次，具體定義見附錄A.2。7HI接口要求7.1HI1接口要求HI1接口是雙向的。LEMF通過HI1接口發送遞交指令，如激活、去激活等，并從HIl接口接收指令響應信息。對于IRI和CC的實時(準實時)的遞交，需要向SvP提供如下信息：a)目標標識信息，用于標識被激活用戶或所查詢的用戶；b)請求標識，用于標識LEMF請求消息和遞交網關響應消息之間的對應關系；c)激活結束時間；d)LEMFHI2地址，用于標識SvP上報IRI時所使用的LEMFHI2接口的IP地址和端口；e)LEMFHI3地址，用于標識SvP上報CC時所使用的LEMFHI3接口的IP地址和端口；f)所需的其他信息。對于留存數據的遞交，需要向SvP提供如下信息：a)請求的優先級；b)查詢條件，例如查詢特定時間段內指定用戶的特定類型的留存數據；c)LEMFHI3地址，用于標識SvP上報留存數據時所使用的LEMFHI3接口的IP地址和端口；d)返回最大的記錄數；e)分批次遞交時，每批次返回的最大記錄數；f)所需的其他信息。7.2HI2接口要求7.2.1HI2接口功能HI2接口用于遞交網關向LEMF遞交IRI消息以及故障告警和心跳等維護類的TRI消息。目標用戶通信過程相關信息都應通過IRI消息上報。HI2接口應按照IRI產生的時間和順序依次遞交。即時通信業務IRI消息包括以下四種類型：——IRI-BEGIN,產生于通信請求的第一個事件，用于打開IRI事務；——IRI-END,產生于通信結束或通信請求結束的時候，用于關閉IRI事務；——IRI-CONTINUE,產生于一個IRI事務中的任何時刻；——IRI-REPORT,用于會話無關的事件等。對于會話開始的第一個事件通過IRI-BEGIN上報，會話的最后一個事件通過IRI-END上報，會話中的其他事件通過IRI-CONTINUE上報，非會話類的事件通過IRI-REPORT上報。針對網絡多媒體會話業務，如果通信控制信令是SIP和H.323協議，則可以選擇映射成本標準規定的合適IRI事件并通過IRI-REPORT類型遞交，也可以遞交原始信令并選擇合適的IRI類型上報；優先選擇遞交原始信令。如果通信控制信令采用除了SIP和H.323協議之外的其他協議，則目標用戶7的相關活動過程應映射成本標準定義的合適IRI事件，并通過IRI-REPORT類型遞交。本標準定義的網絡多媒體會話業務IRI事件包括：呼叫開始事件、呼叫振鈴/回鈴事件、呼叫應答事件、呼叫釋放事件、填充PDU、信息報告等消息。——心跳消息用于在遞交網關和LEMF之間檢查HI2接口的連接是否正常；——告警消息用于遞交網關向LEMF指示SvP域內相關設備或遞交過程產生的告警事件；——選項協商消息用來在遞交網關與LEMF之間協商雙方所支持的TRI消息和能力，如填充——測試PDU是接口測試數據包，用于確保遞交網關和LEMF之間的HI接口功能正確，測試PDU采取端到端發送方式；——填充PDU是一些流量填充包，包本身無具體含義，只用來改變數據流量的速率，以防止非法用戶對數據流量模型的分析；填充PDU由遞交網關生成，發送到LEMF后由LEMF刪除，填充PDU需要包含SvP標識和遞交網關標識，內容方面沒有限制，但是原則上不允許傳有意義的內容，尤其是不允許傳敏感信息；——信息報告用于遞交網關向LEMF指示SvP域內相關操作結果的報告，以及SvP域需要向LEMF提供的其他補充信息。遞交網關應支持心跳、告警、選項協商、信息報告、測試PDU等TRI消息，可選支持填充PDU等TRI消息。通過選項協商可確定對端支持的可選TRI消息。HI2接口應采用安全可靠的、通用的機制實現遞交網關與LEMF之間的消息交互，并采用加密機制對通信交換的信息進行加密。例如可采用TCP協議完成HI2接口消息的交互，網絡層采用IPsec機制，應用層采用滿足國家商用密碼管理的相關要求的加密算法。7.3HI3接口要求遞交網關通過HI3接口向LEMF遞交CC和留存數據。HI3遞交的CC包括實時多媒體通信內容、會話相關的消息(含文本消息)和目標用戶發送或接收留存數據為留存數據查詢結果文件。對于不同的遞交數據可采用不同的數據遞交機制。對于實時多媒體業務CC的遞交，應采用實時性強且通用的協議，例如SIP協議；而對于非實時多媒體業務CC的遞交以及留存數據的遞交，應采用適合文件傳送的協議來遞交，例如FTP協議。為保證遞交內容的機密性，遞交的通信過程應采用加密機制。例如，對于SIP協議可采用IPSec進行加密；對于FTP協議，可采用SFTP機制對傳送的內容進行加密。當采用SIP協議時，應遵循IETFRFC3261及IETFRFC338進行簡化。當采用FTP協議遞交時，FTP協議的相關要求見附錄A。8安全要求8.1認證要求HI接口應采用適當的機制確保HI接口通信雙方的身份認證。除了應用層的雙向認證之外，底層在建立過程也可以采用底層協議已有的雙向認證機制。例如如果應用層是SIP協議或是基于TCP協議擴展的協議，可采用基于IPSec的雙向認證機制；如果應用層是FTP協議則可以采用基于SSH的雙向認證機制。遞交網關和LEMF雙方需要配置對方的合法地址池，只允許接收來自合法地址池的數據包。認證過程中所采用的算法應滿足國家商用密碼管理的相關要求。8.2機密性要求為保證HI接口遞交數據的安全性，HI接口數據應進行加密。所采用的加密算法應滿足國家商用密碼管理的相關要求。8.3完整性要求完整性是指傳輸數據的任何修改和損壞都應被立即發現，保證遞交內容的準確性。HI接口都應采用相應的機制保證接口上傳送數據的完整性。可利用現有協議的完整性保護機制保證HI接口數據的8.4遞交網絡無論是在SvP域內還是在遞交接口，遞交的數據都應通過專用網絡遞交。遞交網關與SvP網內的其他網元之間應保證相對的安全隔離。遞交網關不得直接連接互聯網。9(規范性附錄)FTP協議使用要求A.1配置設置使用FTP協議時，遞交網關為FTP客戶端，LEMF為FTP服務器端。FTP的相關配置參數應設置如下：——傳輸模式(Transmissionmode):流模式，即數據以字節流的方式傳送；——數據結構(Structure):采用文件結構；——文件類型(Type):二進制文件類型，即數據發送形式為一個連續的比特流；——文件格式(Format):不可打印；——工作方式：被動模式。A.2基本要求LEMF應為不同的遞交網關配置不同的CC遞交目錄、留存數據遞交目錄。遞交網關上傳文件時，上傳的各類ZIP文件應增加后綴.tmp。當文件傳輸完畢后，遞交網關將ZIP文件的.tmp后綴去掉。數據文件的發送需支持配置時間閾值及流量閾值。具體要求見A.3。通過FTP方式遞交的場景有兩種：準實時遞交CC和遞交留存數據。遞交內容均以ZIP壓縮文件的形式遞交。當遞交CC時，遞交的ZIP文件命名方式為“CC-YYYYMMDDhhmmss-nnnn.zip”;當遞交留存數據時，遞交的ZIP文件命名