Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

Junos マルチアクセス ユーザー プレーンでの合法的な傍受

合法的傍受とは、司法または行政命令によって承認された、対象となる個人または組織に関連する通信ネットワークデータを取得するためのプロセスです。

Junos マルチアクセス ユーザー プレーンは、4G および 5G コンプライアンスをサポートし、合法的な傍受を実現します。プラットフォームがサポートする最大加入者数の最大 2% まで合法的に傍受できます。

Junos マルチアクセス ユーザー プレーンでの合法的な傍受は、グレースフル ルーティング エンジン スイッチオーバー(GRES)をサポートします。現在、統合型 ISSU はサポートされていません。

4Gネットワークでの合法的な傍受

Junos マルチアクセス ユーザー プレーンは、システム アーキテクチャ エボリューション ゲートウェイ ユーザー プレーン(SAEGW-U)上でのみ、4G 準拠の合法的な傍受をサポートします。

図1 は、4Gネットワークでの合法的な傍受に関与するエンティティとそれらの間のインターフェイスを示しています。

図1:4Gネットワーク Lawful intercept on 4G networksにおける合法的な傍受

4Gネットワークでの合法的な傍受のプロセスは次のとおりです。

  1. 管理機能(ADMF)は、合法的な傍受システムの全体的な管理を実行します。ターゲット情報を含む信号をX1インターフェイスを介してコントロールプレーンに送信します。ADMFはまた、どの加入者のトラフィックを複製して法執行機関に送信するかをコントロールプレーンに通知します。

  2. コントロールプレーン(SAEGW-C)は、Sxインターフェイスを介してユーザープレーンをトリガーして、加入者トラフィックの複製を開始します。また、データの転送先のメディエーションおよび配信機能 (MDF) のアドレスも送信します。

  3. Junos マルチアクセス ユーザー プレーン(SAEGW-U)は、重複したトラフィックを X3u インターフェイスを介してスプリット X3 合法傍受インターネットワーキング機能(SX3LIF)に送信します。その後、SX3LIF はそれを X3 インターフェイスを介して MDF に転送します。

  4. MDF は、重複したトラフィックとともに送信された LI_X3 ヘッダーから代行受信関連の情報を導き出します。次に、傍受したトラフィックをHI3インターフェイスを介して法執行機関に転送します。

5Gネットワークにおける合法的な傍受

Junos マルチアクセス ユーザー プレーンは、ユーザープレーン機能(UPF)または通信コンテンツ傍受(CC-POI)上でのみ、5G 準拠の合法的傍受をサポートします。

図2 は、5Gネットワークでの合法的な傍受に関与するエンティティとそれらの間のインターフェイスを示しています。

図2:5Gネットワーク Lawful intercept on 5G networksにおける合法的な傍受

合法的な傍受のプロセスは次のとおりです。

  1. 管理機能(ADMF)は、合法的な傍受システムの全体的な管理を実行します。ターゲット情報を含む信号を、LI_X1インターフェイスを介してコントロールプレーンに送信します。また、どの加入者のトラフィックを複製して法執行機関に送信するかをコントロールプレーンに通知します。

  2. コントロールプレーン(SMF)は、LI_T3インターフェイス上でユーザープレーンをトリガーし、加入者トラフィックの複製を開始します。また、データの転送先のメディエーションおよび配信機能 (MDF) のアドレスも送信します。

  3. Junos マルチアクセス ユーザー プレーン(UPF)は、LI_X3 インターフェイスを介して重複したトラフィックを MDF に送信します。

  4. MDF は、重複したトラフィックとともに送信された LI_X3 ヘッダーから代行受信関連の情報を導き出します。次に、傍受したトラフィックをHI3インターフェイスを介して法執行機関に転送します。

合法的傍受の要件

4Gネットワークの合法的な傍受を設定するには、次のことを行う必要があります。

  • Junosマルチアクセスユーザープレーンでループバックアドレスを設定します。このアドレスは、合法的に傍受されたトラフィックの送信元アドレスとして使用されます。

5Gネットワークの合法的な傍受を設定するには、次のことを行う必要があります。

  • Junos マルチアクセス ユーザー プレーンで、ループバック アドレスを 127.0.0.1/32 に設定します。このアドレスは、合法的に傍受されたトラフィックの送信元アドレスとして使用されます。

  • 階層下の [edit system services rest https-5g] REST-APIを使用して、JunosマルチアクセスユーザープレーンでHTTPSサーバーを設定します。

    REST API の詳細については、 REST API の構成を参照してください。

    認証局と公開鍵インフラストラクチャの詳細については、 Junos OSのPKIを参照してください。

  • (オプション)REST-API の接続制限を構成します。合法的な傍受のパフォーマンスを高めるために、この設定をお勧めします。

合法的な傍受に関するセキュリティ上の考慮事項

その性質上、合法的に傍受されたデータは安全な方法で送信する必要があります。3GPP標準では、5Gネットワーク上の合法的な傍受トラフィックをトランスポート層セキュリティ(TLS)を使用して調停および配信機能(MDF)に送信する必要があります。

Junos マルチアクセス ユーザー プレーンは TLS をサポートしていませんが、IPsec トンネルを介して MDF に合法的な傍受トラフィックを送信できます。Junos マルチアクセス ユーザー プレーンで IPsec を使用する場合は、以下のことを確認してください。

  • 仮想マルチサービス インターフェイスとネクストホップ スタイルのサービス セットを設定します。

    以下のコマンドを使用して、仮想マルチサービスインターフェイスを設定します。

    ネクストホップスタイルのサービスセットを設定するには、以下のコマンドを使用します。

    内部サービス インターフェイスは、 で service-domain inside 設定されたサービス インターフェイス論理ユニットである必要があります 外部サービス インターフェイスは、 で service-domain outside設定されたサービス インターフェイス論理ユニットである必要があります。

  • インターネット鍵交換(IKE)を設定します。

    IKE の詳細については、次を参照してください:IPsec VPN のインターネット鍵交換(IKE)。

  • IPsec トンネル モードを使用します。

    メモ:

    IPsecを使用するには、MX-SPC3サービスカードがデバイスにインストールされている必要があります。

    IPsec トンネルの設定の詳細については、 IPsec VPN の設定の概要を参照してください。

IPsecを使用できない場合は、MDFに送信する前にTLSを使用してデータを暗号化するContent of Communication Point of Aggregation(CC-PAG)デバイスの使用をお勧めします。

メモ:

IPsecを構成しなくても、5Gネットワークでトラフィックを合法的に傍受することができます。ただし、3GPP 標準に準拠するために IPsec を使用することをお勧めします。

SMF と UPF の間の LI_T3 インターフェースは、TLS 暗号化をサポートしています。これを有効にするには、 階層下の [edit system services rest https-5g] ローカル HTTPS サーバーでサーバー証明書と相互認証を構成します。