Интеграция с коммутационной сетью оператора предусматривает следующие основные шаги:

  • Получение информации об исходящем вызове в режиме времени, приближенному к реальному. Эта информация необходима для функциональности узел верификации Антифрода (далее АФ) для реализации верификации исходящих вызовов.

  • Контроль входящих вызовов с присоединенных операторов. Целью данной интеграции является осуществление верификации входящих вызовов.

Физически АФ располагается в контуре оператора связи, IP связанность оборудования оператора связи с АФ находится в зоне ответственности оператора. Обеспечение требований информационной безопасности, включая организацию защищенных соединений с помощью оборудования VipNet, находится в зоне ответственности оператора связи в соответствии с техническими требованиями на подключение операторов связи к ИС «Антифрод».

Для организации IP связанности для RADIUS сообщений для АФ оператором связи выделяется IP адрес. В случае резервирования соответственно необходимо два IP, один для основного АФ, второй для резервного.

Описание взаимодействия с ИС «Антифрод»



рис. 1   Схема взаимодействия с ИС «Антифрод»


на рис. 1 : АФ - Антифрод (узел верификации(УВр)), ОС - оператор связи, МО - мобильный оператор, CAP - CAMEL Application Part (сигнальный протокол сети IN), SSW - софтсвич ELTEX


Взаимодействие виртуальной АТС комплекса ECSS-10 с узлами верификации (далее - УВр) ИС «Антифрод» осуществляется по протоколу RADIUS. При реализации интерфейса взаимодействия с УВр решаются две основные задачи:

  • Регистрация исходящих вызовов;

  • Проверка валидности входящих вызовов;

Для настройки взаимодействия между комплексом ECSS-10 и Узлом верификации нужно:

Проверить наличие лицензии :


выполняется в CoCon

cluster/storage/ds1/licence/show-licence 2 
SSW ID                                                ECSS-TEST-3.14.15.4
Description                                           Лицензия для ECSS-TEST
Creation date                                         11.09.2024 12:29:00
Expiration date (UTC)                                 30.12.2024 23:59:59
. . . 
Support antifraud system                              custom
. . .
CODE

Так же можно проверить наличие лицензии antifraud через веб интерфейс:

при отсутствии лицензии - запросите его у Eltex , а затем  установите 

Декларирование RADIUS-сервера(узла верификации) через CoCon:


Путь команды:
/domain/<DOMAIN>/aaa/radius/declare

Синтаксис:
declare <NAME> <HOST> <PORT> <SECRET> [<OptionName> = <OptionValue>, ...]

Параметры:
<DOMAIN> - имя виртуальной АТС;
<NAME> - имя RADIUS-сервера;
<HOST> - IP-адрес или имя хоста RADIUS-сервера;
<PORT> - номер порта для RADIUS-сервера;
<SECRET> - пароль для авторизации на RADIUS-сервере;
<OptionName> - имя настраиваемого параметра: retry-count, retry-timeout, idle-timeout. Описание параметров приведено в таблице 1;
<OptionValue> - значение настраиваемого параметра.

Таблица 1 - Описание свойств RADIUS-сервера

Название свойстваОписание
hostIP-адрес или имя хоста RADIUS-сервера.
portНомер порта, по умолчанию 1812.
secretПароль для авторизации на RADIUS-сервере.
retry_countКоличество повторных запросов, если ответ от RADIUS-сервера не был получен.
retry_timeoutТайм-аут ожидания ответа от RADIUS-сервера, в миллисекундах.
idle_timeoutТайм-аут, в течение которого не отправляются запросы на RADIUS-сервер, если не был получен ответ от RADIUS-сервера, в миллисекундах.
ip-familyсемейство inet для radius-сервера (inet или inet6)

Пример:

/domain/test_domain/aaa/radius/declare antifraud 10.0.20.35 1812 radius123               
Radius server "antifraud" successfully declared.

Декларирование RADIUS-сервера(узла верификации) через веб интерфейс.

Декларирование RADIUS-сервера через web-конфигуратор:

  1. Выберите приложение "Домены" , требуемый домен (для примера test_domain);
  2. Выберите Свойства Домена / RADIUS серверы;
  3. Выберите Добавить RADIUS сервер;
  4. Укажите -"Имя нового RADIUS сервера (для примера "antifraud")"/ Ip адрес хоста / Секретный ключ.
    Аналогично добавить сервер аккаунтинг;


В результате получим следующую конфигурацию:

Настройка подсистемы antifraud:

Команды выполняются администратором виртуальной АТС.

Путь команды:

/domain/<DOMAIN>/aaa/antifraud/set

Синтаксис:

set <Field> <Value>
В таблице 1 приведено описание свойств службы Antifraud.

Таблица 1 - Описание свойств службы RADIUS antifraud

Название свойства

Значения

Значение по умолчанию

Описание

access_serversadd | remove <Id> - добавление/удаление *-сервера
Список используемых  RADIUS-серверов для доступа ANTIFRAUD (access)
accounting_serversadd | remove <Id> - добавление/удаление *-сервера
Список используемых  RADIUS-серверов для аккаунтинга ANTIFRAUD (accounting)
adaptationКонтекст адаптацииundefinedВыбор контекста адаптации номеров

enable

true - включен, false - выключен

false

Включение или выключение подсистемы RADIUS antifraud-сервис.

enable_redirect_headerstrue - включен, false - выключенfalseВключен или выключен заголовок Redirect
loginимя пользователя для RADIUS авторизации.
В случае, если имя пользователя :
  • default - в качестве имени пользователя будет подставлено имя домена.
  • sip - значение выбирается из настроек sip - аккаунта (user-name= sip-Login)
  • billing - значение выбирается из настроек alias (user-name=billing_id)
  • cgpn - будет равно номеру вызывающего абонента
  • любая строка
defaultимя пользователя для ANTIFRAUD авторизации

Возможные значения: default | billing | cgpn | <LOGIN_TEMPLATE>.

<LOGIN_TEMPLATE> - шаблон, может содержать переменные: %CGPN%, %CDPN%, %DOMAIN%.


(начиная с версии 3.14.16 sip/billing/cgpn не будет доступен к выбору)

my_address

NAS IP-адрес для отправки на  RADIUS-сервера

127.0.0.1

IP-адрес, который будет выслан в RADIUS-запросе в поле NAS-Address.

operator_idID оператора сервера ANTIFRAUDundefinedДополнительный атрибут в запросе access request к УВр

password

пароль пользователя для RADIUS авторизации.
В случае, если пароль пользователя :

  • default - в качестве пароля пользователя будет подставлено имя домена.
  • sip - значение выбирается из настроек sip - аккаунта (user-password= sip-password)
  • billing - значение выбирается из настроек alias (user-password=billing_password)
  • любая строка

default

Пароль пользователя для RADIUS авторизации.


 (начиная с версии 3.14.16 sip/billing не будет доступен к выбору)


  • Активация подсистемы Antifraud:
выполняется в CoCon
/domain/<DOMAIN>/aaa/antifraud/set enable true
  • Указание логина:

выполняется в CoCon
/domain/<DOMAIN>/aaa/antifraud/set login default | billing | cgpn | <LOGIN_TEMPLATE>
  • Указание пароля:

выполняется в CoCon
/domain/<DOMAIN>/aaa/antifraud/set password <PASSWORD>
  • Добавление идентификатора сервера верификации созданного в П.1:

выполняется в CoCon
/domain/<DOMAIN>/aaa/antifraud/set access_servers add <ACCESS_SERVRS>
  • Указание идентификатора оператора (если требуется):

выполняется в CoCon
/domain/<DOMAIN>/aaa/antifraud/set operator-id <ID>
  • Если какой-либо транк является в рамках Antifraud-системы локальным и не требуется отправлять идентификаторы вх/исх вызовов узлу верификации, необходимо установить флаг antifraud-local в свойствах транка:

выполняется в CoCon
/domain/<DOMAIN>/trunk/set <GROUP> <INTERFACE> antifraud-local true
  • На SSW есть возможность модифицировать информацию, отправляемую в Antifraud-системы через адаптацию. Для этого нужно указать контекст адаптации в свойстве службы антифрод - «adaptation» :

выполняется в CoCon
/domain/<DOMAIN>/aaa/antifraud/set adaptation <context_adaptation>
  • Поля «RedirectingNumber» в сообщениях save_call и check_call опциональны. По умолчанию они отключены. При необходимости их можно включить:
выполняется в CoCon
/domain/<DOMAIN>/aaa/antifraud/set enable_redirect_headers true

Настройка подсистемы antifraud через веб интерфейс:

  1. Выберите приложение "Домены" ;
  2. Выбрать требуемый домен из списка (для примера test_domain);
  3. Выберите Свойства домена;
  4. Выберите RADIUS серверы/RADIUS antifraud , отредактируйте параметры;



Формат запроса


Передача информации об исходящем вызове(исходящий вызов со станции) осуществляется отправкой с виртуальной АТС комплекса ECSS-10 RADIUS сообщения Access-Request - save_call с полями:

Атрибут RADIUS

Тип Атрибута

Информация

Обязательное

Описание

Возможные значения

Attribute key =
“xpgk-request-type”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

Тип запроса = save_call

Да

Функциональное назначение запроса. Фиксированное значение означает запрос на сохранение информации о вызове.

save_call

Calling-Station-Id

Type = 31

Calling Party Number

Да

Номер звонящего абонента (Номер А)

Номер абонента в формате E.164
(пример) 79251100001

Called-Station-Id


Type = 30

Called Party Number

Да

Номер вызываемого абонента (Номер Б)

Номер абонента в формате E.164
(пример) 79251100002

Attribute key =
“h323-redirectnumber”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

Redirecting Number

Нет

Последний номер переадресации

Номер абонента в формате E.164
(пример) 79251100009

Attribute key =
“h323-redirectnumber”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

Redirecting Number / Original Called Party Number

Нет

Первый номер переадресации, первоначальный вызываемый номер

Номер абонента в формате E.164
(пример) 79251100001

Attribute key =
"xpgk-terminationgateway-ip”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

IP adress

Да

IP адрес шлюза, на который отправлен вызов

127.0.0.1

Attribute key =
"out-trunkgroup-label”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

Имя транка

Нет

Имя транка , с которого был отправлен вызов, указывается в параметре trunk (trunk name).

test_domain.sip.trunk.nsk


Обеспечение верификации вызова
(входящий вызов на станцию) осуществляется отправкой с виртуальной АТС комплекса ECSS-10 RADIUS сообщения Access-Request - check_call с полями:

Атрибут RADIUS

Тип Атрибута

Информация

Обязательное

Описание

Возможные значения

Attribute key =
“xpgk-request-type”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

Тип запроса

Да

Функциональное назначение запроса. Фиксированное значение означает запрос на сохранение информации о вызове.

check_call

Calling-Station-Id

Type = 31

Calling Party Number

Да

Номер звонящего абонента (Номер А)

Номер абонента в формате E.164
(пример) 79251100001

Called-Station-Id


Type = 30

Called Party

Number

Да

Номер вызываемого

абонента (Номер Б)

Номер абонента в
формате E.164
(пример) 79251100002

Attribute key =
“h323-redirectnumber”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

Redirecting

Number

Нет

Последний номер переадресации

Номер абонента в формате E.164
(пример) 79251100009

Attribute key =
“h323-redirectnumber”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

Redirecting Number / Original Called Party Number

Нет

Первый номер переадресации, первоначальный вызываемый номер

Номер абонента в формате E.164
(пример) 79251100001

Attribute key =
"xpgk-origination-gateway-ip”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

IP adress

Да

IP адрес шлюза, с которого поступил вызов.

127.0.0.1

Attribute key =
"in-trunkgroup-label”

Type = 26 (vendorspecific)
Vendor-Id = 9 (cisco systems)
Vendor type = 1 (pair) (attribute key)

Имя транка

Нет

Имя транка, на который был отправлен вызов, указывается в параметре trunk (trunk name).

test_domain.sip.trunk.nsk


При активированных услугах переадресации без уведомления(cfnr_type2, cfu_type2), SSW будет отправлять запросы save_call и check_call без полей «RedirectingNumber»

Формат запроса

Передача информации об исходящем вызове осуществляется отправкой с узла связи RADIUS-сообщения Access-Request с полями:

Called-Station-Id(30): <$CdPN_IN>
Calling-Station-Id(31): <$CgPN_IN>
Acct-Session-Id(44): <$SESSION_ID>
Vendor-Specific(26): Cisco(9): Cisco-AVPair(1): xpgk-request-type=save_call
Vendor-Specific(26): Cisco(9): Cisco-AVPair(1): xpgk-termination-gateway-ip=$SSW_IP

Обеспечение верификации вызова осуществляется отправкой с узла связи RADIUS-сообщения Access-Request с полями:

Called-Station-Id(30): <$CdPN_IN>
Calling-Station-Id(31): <$CgPN_IN>
Acct-Session-Id(44): <$SESSION_ID>
Vendor-Specific(26): Cisco(9): Cisco-AVPair(1): xpgk-request-type=check_call
Vendor-Specific(26): Cisco(9): Cisco-AVPair(1): xpgk-termination-gateway-ip=$SSW_IP

Обеспечение контроля длительности вызовов и причины отбоя успешных/неуспешных вызовов осуществляется отправкой с узла связи RADIUS-сообщения Accounting-Request с полями:

Called-Station-Id(30): <$CdPN>
Calling-Station-Id(31): <$CgPN_IN>
Acct-Delay-Time(41): согласно RFC2866
Event-Timestamp(55): согласно RFC2869
Acct-Session-Id(44): <$SESSION_ID>
Acct-Session-Time(46): <$SESSION_TIME>
Vendor-Specific(26): Cisco(9): Cisco-AVPair(30): h323-disconnect-cause=<$DISCONNECT_CAUSE>
Vendor-Specific(26): Cisco(9): h323-setup-time(25): h323-setup-time=<$TIME_SETUP>
Vendor-Specific(26): Cisco(9): h323-connect-time(28): h323-connect-time=<$TIME_CONNECT
Vendor-Specific(26): Cisco(9): h323-disconnect-time(29): h323-disconnect-time=<$TIME_DISCONNECT>


Формат ответа

В качестве подтверждения получения переданной информации об исходящем вызове ожидается RADIUS сообщение Access-Accept.

Независимо от ответа и в случае его отсутствия вызов будет совершён, т.к. запрос save_call информационный и не влияет на прохождение вызова.

В качестве подтверждения успешной верификации вызова ожидается RADIUS сообщение Access-Accept, опционально с дополнительными полями.

При получении ответа Access-Accept вызов будет продолжен.

Также вызов будет продолжен по истечении таймаута ответа сервера и всех попыток, в случае если резервный RADIUS-сервер не был настроен либо недоступны все сервера в списке.

В случае неуспешной верификации вызова ожидается RADIUS сообщение Access-Reject, с дополнительными полями, однозначно идентифицирующими ошибку.

При получении Access-Reject вызов будет прерван.

В качестве подтверждения получения переданного пакета аккаунтинга ожидается RADIUS-сообщение Accounting-Response. При отсутствии ответа сервер будет помечен как недоступный.