周昕 張春慧 公安部第一研究所
公安領(lǐng)域存在多種無(wú)線通信網(wǎng)絡(luò),如公網(wǎng)、PDT窄帶集群專網(wǎng)、基于B-TrunC技術(shù)建設(shè)的1447MHz寬帶集群專網(wǎng),還有340MHz頻段的公安應(yīng)急圖傳專網(wǎng)、1430MHz頻段的警用航空器專網(wǎng),以及衛(wèi)星、微波等其它專用網(wǎng)絡(luò)或?qū)S面溌罚磥?lái)還會(huì)基于公用頻段或?qū)S妙l段建設(shè)安全無(wú)線局域網(wǎng)。
公安無(wú)線通信網(wǎng)除了承載集群調(diào)度等傳統(tǒng)通信業(yè)務(wù)以外,還可提供用于數(shù)據(jù)業(yè)務(wù)接入的無(wú)線傳輸鏈路,支撐多形態(tài)移動(dòng)終端數(shù)據(jù)應(yīng)用的接入。
目前,在公安無(wú)線通信新體系的規(guī)劃建設(shè)中,各地公安用戶對(duì)于無(wú)線通信鏈路的管理方式多樣、形式不一,對(duì)無(wú)線鏈路資源的統(tǒng)一監(jiān)管還存在空白。移動(dòng)業(yè)務(wù)需求激增導(dǎo)致目前的管理方式存在一定的安全隱患。因此,各地用戶在構(gòu)建無(wú)線傳輸鏈路、實(shí)現(xiàn)無(wú)線業(yè)務(wù)接入時(shí),多次提出了對(duì)多形態(tài)無(wú)線專用傳輸鏈路的安全接入、鏈路監(jiān)測(cè)和業(yè)務(wù)路由管控等需求,以通過(guò)安全管理、主動(dòng)防御的方式確保移動(dòng)終端實(shí)戰(zhàn)應(yīng)用時(shí)的安全性。
本文結(jié)合公安無(wú)線異構(gòu)通信網(wǎng)絡(luò)的特點(diǎn),對(duì)各種無(wú)線傳輸鏈路進(jìn)行分析,并對(duì)通信鏈路層面的安全接入和管理機(jī)制進(jìn)行了研究和探討,為各地公安機(jī)關(guān)開(kāi)展無(wú)線專用鏈路建設(shè)和終端安全接入提供參考借鑒。
按建設(shè)主體劃分,公安無(wú)線通信網(wǎng)可以分為公網(wǎng)、專網(wǎng)和共網(wǎng)。公網(wǎng)指的是運(yùn)營(yíng)商3G、4G、5G網(wǎng)絡(luò)。專網(wǎng)根據(jù)通信制式可以分為:PDT窄帶數(shù)字集群通信網(wǎng)、BTrunC寬帶數(shù)字集群網(wǎng)絡(luò)、安全無(wú)線局域網(wǎng)、公安應(yīng)急圖傳網(wǎng)(340MHz)、公安衛(wèi)星無(wú)線通信網(wǎng)(ku波段)等。其中,B-TrunC網(wǎng)絡(luò)有以專網(wǎng)模式建設(shè)的情況,如基于1447MHz頻段建設(shè)的寬帶集群專網(wǎng),以及基于1430MHz頻段建設(shè)的警用航空器對(duì)空?qǐng)D傳專網(wǎng);也有以共網(wǎng)模式建設(shè)的情況,如基于1447MHz頻段建設(shè)的政府集群共網(wǎng)。
PDT警用數(shù)字集群專網(wǎng)是基于350MHz頻段建設(shè),采用大區(qū)制組網(wǎng)方式,主要用于承載語(yǔ)音、短消息等窄帶業(yè)務(wù)。為避免對(duì)警用集群業(yè)務(wù)的可靠性造成影響,PDT專網(wǎng)不提供接入業(yè)務(wù)網(wǎng)的無(wú)線傳輸鏈路。除PDT之外的其它公安無(wú)線通信網(wǎng)都可以提供用于承載數(shù)據(jù)業(yè)務(wù)的無(wú)線傳輸鏈路,接入公安移動(dòng)信息網(wǎng)或公安視頻傳輸網(wǎng)等業(yè)務(wù)網(wǎng)絡(luò)。
下文分別介紹公網(wǎng)鏈路、B-TrunC寬帶專網(wǎng)/共網(wǎng)鏈路、公安應(yīng)急圖傳鏈路、衛(wèi)星/微波鏈路、安全無(wú)線局域網(wǎng)鏈路的承載網(wǎng)網(wǎng)絡(luò)架構(gòu)和接入方法。
公網(wǎng)發(fā)展歷經(jīng)了1G、2G、3G、4G,到如今的5G。每代移動(dòng)通信網(wǎng)絡(luò)的核心網(wǎng)技術(shù)也在不斷的發(fā)展過(guò)程中。
(1)在2G/3G網(wǎng)絡(luò)中,CS(Circuit Switch)域和PS(Packet Switch)域相互獨(dú)立,CS域負(fù)責(zé)電路交換,PS域負(fù)責(zé)包交換。打電話、發(fā)短信等通信業(yè)務(wù)通過(guò)CS域承載,數(shù)據(jù)上網(wǎng)業(yè)務(wù)通過(guò)PS域承載。
(2)EPC是4G網(wǎng)絡(luò)(LTE網(wǎng)絡(luò))的核心網(wǎng)系統(tǒng),主要職責(zé)是實(shí)現(xiàn)接入網(wǎng)與不同的PDN(Public Data Network)互聯(lián)。4G網(wǎng)絡(luò)時(shí),電路域演變?yōu)镮MS網(wǎng)絡(luò),成為與互聯(lián)網(wǎng)、行業(yè)專網(wǎng)位置同等的PDN網(wǎng)絡(luò)。行業(yè)專網(wǎng)通過(guò)專用APN承載,與互聯(lián)網(wǎng)APN邏輯隔離。專用APN與互聯(lián)網(wǎng)APN一樣,只能保證網(wǎng)絡(luò)連通性。EPC主要包含四種網(wǎng)元:HSS、MME、SGW和PGW。通信用戶的鑒權(quán)認(rèn)證主要由HSS完成。公安側(cè)可部署LNS路由器和AAA服務(wù)器,完成專用APN用戶的二次鑒權(quán)認(rèn)證。
(3)5G時(shí)代主要解決工業(yè)互聯(lián)問(wèn)題。通過(guò)RB資源預(yù)留、QoS優(yōu)先級(jí)調(diào)度策略、FlexE、UPF專屬下沉等智能切片技術(shù)確保行業(yè)專網(wǎng)業(yè)務(wù)的優(yōu)先接入和優(yōu)先調(diào)度。
運(yùn)營(yíng)商核心網(wǎng)包括人網(wǎng)核心網(wǎng)和物網(wǎng)核心網(wǎng),分別對(duì)應(yīng)人網(wǎng)SIM卡和物聯(lián)SIM卡的運(yùn)營(yíng)、計(jì)費(fèi)和管理。人網(wǎng)核心網(wǎng)和物網(wǎng)核心網(wǎng)可以相互獨(dú)立,也可以物理共享,通過(guò)不同APN/DNN進(jìn)行邏輯隔離,如圖1所示。
B-TrunC寬帶專網(wǎng)/共網(wǎng)基于LTE技術(shù)建設(shè),作為無(wú)線傳輸鏈路承載網(wǎng)絡(luò)時(shí),B-TrunC核心網(wǎng)的構(gòu)成與LTE EPC分組核心網(wǎng)完全一致。
目前,B-TrunC共網(wǎng)大多基于RAN-Sharing方式建設(shè),不同行業(yè)用戶在共網(wǎng)上部署了完整的核心網(wǎng)系統(tǒng),包括用戶面和控制面。在這種情況下,B-TrunC共網(wǎng)和專網(wǎng)無(wú)線傳輸鏈路接入時(shí)采用同樣的接入控制策略。
B-TrunC寬帶專網(wǎng)/共網(wǎng)提供兩種類型的服務(wù):
(1)寬帶集群通信業(yè)務(wù)服務(wù);
(2)承載APP應(yīng)用的無(wú)線傳輸鏈路服務(wù)。
其中寬帶集群通信業(yè)務(wù)包括語(yǔ)音和短信業(yè)務(wù),無(wú)線傳輸鏈路采用專用APN接入,如圖2所示。
寬帶集群通信業(yè)務(wù)通道和無(wú)線傳輸鏈路在通信網(wǎng)域邏輯隔離。B-TrunC網(wǎng)絡(luò)提供的寬帶集群通信業(yè)務(wù)可以在通信網(wǎng)域?qū)崿F(xiàn)與PDT窄帶集群通信業(yè)務(wù)的互聯(lián)互通和資源共享。
340MHz應(yīng)急圖傳網(wǎng)絡(luò)主要用于圖像回傳。無(wú)線視頻終端南向有HDMI/SDI視頻接口、RJ45網(wǎng)線接口,筆記本電腦、打印機(jī)等有線數(shù)據(jù)終端可以通過(guò)這條通道接入對(duì)應(yīng)業(yè)務(wù)平臺(tái),如圖3所示。
數(shù)據(jù)終端承載的業(yè)務(wù)多種多樣。終端的計(jì)算能力越強(qiáng)、承載的業(yè)務(wù)種類越多,存在的安全風(fēng)險(xiǎn)就越高。傳統(tǒng)通信終端、視頻采集前端,只要通過(guò)認(rèn)證鑒權(quán)、編解碼等方式確保應(yīng)用層安全即可,但對(duì)于后續(xù)增加的數(shù)據(jù)業(yè)務(wù)并沒(méi)有相應(yīng)的保護(hù)機(jī)制。因此,無(wú)線視頻終端作為網(wǎng)關(guān)接入數(shù)據(jù)終端時(shí)必須滿足智能網(wǎng)關(guān)型移動(dòng)警務(wù)終端的安全要求。擴(kuò)展接入的數(shù)據(jù)終端需要按照計(jì)算能力和承載業(yè)務(wù)能力進(jìn)行分級(jí)(A/B/C級(jí)),并遵循對(duì)應(yīng)的擴(kuò)展類移動(dòng)警務(wù)終端安全要求。
無(wú)線視頻終端可支持全雙工語(yǔ)音、視頻回傳和數(shù)據(jù)業(yè)務(wù)接入,因此在無(wú)線視頻核心網(wǎng)或網(wǎng)管側(cè)可以基于這些業(yè)務(wù)對(duì)無(wú)線視頻終端進(jìn)行指揮調(diào)度。公安應(yīng)急圖傳網(wǎng)絡(luò)的調(diào)度服務(wù)暫時(shí)沒(méi)有與公安集群調(diào)度業(yè)務(wù)互通的需求。
衛(wèi)星鏈路是微波鏈路的一種特殊形態(tài),可以看作是將數(shù)字微波接力站部署到太空中,極大地提高了信號(hào)的覆蓋范圍。
衛(wèi)星/微波鏈路與公安應(yīng)急圖傳鏈路類似,主要提供無(wú)線傳輸鏈路,常用于無(wú)公網(wǎng)、寬帶專網(wǎng)覆蓋的地方。衛(wèi)星業(yè)務(wù)終端南向可輸出網(wǎng)線接口,筆記本電腦等數(shù)據(jù)終端可通過(guò)有線方式接入,如圖4所示。
作為網(wǎng)關(guān)型終端接入公安業(yè)務(wù)網(wǎng)絡(luò)時(shí),衛(wèi)星業(yè)務(wù)終端必須滿足智能網(wǎng)關(guān)型移動(dòng)警務(wù)終端的安全要求。擴(kuò)展接入的數(shù)據(jù)終端要按照計(jì)算能力和承載業(yè)務(wù)能力進(jìn)行分級(jí)(A/B/C級(jí)),并遵循對(duì)應(yīng)的擴(kuò)展類移動(dòng)警務(wù)終端安全要求。
衛(wèi)星業(yè)務(wù)終端支持?jǐn)?shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)。公安衛(wèi)星通信網(wǎng)的網(wǎng)管系統(tǒng)可按需分配衛(wèi)星頻率資源,對(duì)衛(wèi)星鏈路、設(shè)備參數(shù)和狀態(tài)進(jìn)行監(jiān)測(cè)和控制,同時(shí)也可基于數(shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)對(duì)移動(dòng)站進(jìn)行融合調(diào)度。公安衛(wèi)星通信網(wǎng)提供的調(diào)度服務(wù)暫時(shí)沒(méi)有與公安集群調(diào)度業(yè)務(wù)互通的需求。
除了以上幾種現(xiàn)存的公安無(wú)線通信網(wǎng)以外,公安領(lǐng)域也一直在探討如何構(gòu)建安全的無(wú)線局域網(wǎng)。
安全無(wú)線局域網(wǎng)存在兩種主要應(yīng)用場(chǎng)景:一是安全無(wú)線局域網(wǎng)作為無(wú)線傳輸鏈路的承載網(wǎng),提供終端直接連接到公安業(yè)務(wù)網(wǎng)絡(luò)的無(wú)線傳輸鏈路;二是安全無(wú)線局域網(wǎng)作為網(wǎng)關(guān)型終端和擴(kuò)展終端之間端邊互聯(lián)鏈路的承載網(wǎng)。
如圖5所示是第一種情況的接入方式,移動(dòng)終端配備STA模塊,通過(guò)安全無(wú)線局域網(wǎng)統(tǒng)一接入AP設(shè)備,AP通過(guò)有線鏈路與公安業(yè)務(wù)系統(tǒng)相連。第二種情況屬于移動(dòng)警務(wù)端邊協(xié)同的范疇,移動(dòng)終端作為擴(kuò)展型終端通過(guò)STA模塊接入到網(wǎng)關(guān)型終端上,端邊互聯(lián)鏈路的安全接入和管控在網(wǎng)關(guān)型終端上完成。網(wǎng)關(guān)型終端可以通過(guò)有線或無(wú)線的方式接入到公安業(yè)務(wù)網(wǎng)絡(luò)。
公安領(lǐng)域由于行業(yè)的特殊性,無(wú)線傳輸鏈路資源相對(duì)豐富,但之前一直缺乏統(tǒng)一的鏈路資源管理機(jī)制,其管道層面的安全大部分依靠通信網(wǎng)的基礎(chǔ)運(yùn)維和管理機(jī)制來(lái)保障。
為了實(shí)現(xiàn)無(wú)線傳輸鏈路資源的安全管理和有效監(jiān)控,需要在通信網(wǎng)和業(yè)務(wù)網(wǎng)之間構(gòu)建無(wú)線接入?yún)^(qū),實(shí)現(xiàn)通信用戶身份鑒別和管理、通信鏈路監(jiān)測(cè)、業(yè)務(wù)路由管控等通信鏈路層面的安全機(jī)制,結(jié)合流量分析技術(shù)還可以了解通信用戶的實(shí)時(shí)狀態(tài)和通信鏈路的使用情況。
無(wú)線接入?yún)^(qū)的主要能力包括:
通信用戶身份的鑒權(quán)認(rèn)證一般在通信網(wǎng)側(cè)完成。公網(wǎng)和B-TrunC專網(wǎng)/共網(wǎng)提供的無(wú)線專用傳輸鏈路可分為兩段:APN/DNN和用戶側(cè)專線。APN/DNN鏈路的身份鑒權(quán)認(rèn)證由核心網(wǎng)控制面網(wǎng)元HSS或UDM完成。當(dāng)公網(wǎng)和BTrunC專網(wǎng)/共網(wǎng)為公安行業(yè)用戶提供用戶側(cè)專線時(shí),必須在公安側(cè)通過(guò)LNS路由器+AAA服務(wù)器完成通信用戶身份的二次鑒權(quán)認(rèn)證和授權(quán)管理。
AAA服務(wù)器的主要功能是基于SIM卡攜帶的用戶名、密碼等信息完成對(duì)通信用戶的身份認(rèn)證和鑒權(quán),還可以為通信用戶配置IP地址分配策略、多維綁定、黑名單、凍結(jié)名單等接入授權(quán)和接入限制策略。因此,基于AAA服務(wù)器上的用戶信息以及通信鏈路監(jiān)測(cè)的靜態(tài)信息(通信用戶身份ID、簽約信息等)可以實(shí)現(xiàn)對(duì)通信用戶身份的有效管理,保障公安移動(dòng)設(shè)備的安全接入。
公安領(lǐng)域存在多種異構(gòu)無(wú)線通信網(wǎng)絡(luò),部分網(wǎng)絡(luò)可以為無(wú)線傳輸鏈路提供帶寬保障,如5G公網(wǎng)、公安應(yīng)急圖傳網(wǎng)、公安衛(wèi)星/微波網(wǎng)絡(luò)等。5G網(wǎng)絡(luò)推出了網(wǎng)絡(luò)智能切片技術(shù),可以通過(guò)軟切片(QoS優(yōu)先級(jí)調(diào)度策略)或硬切片(靜態(tài)資源預(yù)留)確保公網(wǎng)提供的無(wú)線傳輸鏈路的服務(wù)質(zhì)量。公安應(yīng)急圖傳、衛(wèi)星等無(wú)線通信網(wǎng)絡(luò)也可設(shè)置無(wú)線傳輸鏈路的帶寬等指標(biāo)。
為了擴(kuò)大公安業(yè)務(wù)網(wǎng)絡(luò)的覆蓋范圍,提高公安移動(dòng)應(yīng)用的可靠性和業(yè)務(wù)體驗(yàn),需要通過(guò)通信鏈路監(jiān)測(cè)模塊搭建與異構(gòu)通信網(wǎng)之間的信息監(jiān)測(cè)接口,結(jié)合流量分析和鑒權(quán)認(rèn)證系統(tǒng)完成對(duì)鏈路帶寬、鏈路狀態(tài)、網(wǎng)絡(luò)定位等信息的監(jiān)測(cè)和鏈路資源的統(tǒng)一管理。
由于公安領(lǐng)域存在多種通信網(wǎng)和業(yè)務(wù)網(wǎng),需要通過(guò)業(yè)務(wù)路由管控來(lái)控制不同通信用戶到不同業(yè)務(wù)網(wǎng)絡(luò)的訪問(wèn)流向。業(yè)務(wù)路由包括通信用戶身份信息和動(dòng)態(tài)路由信息,前者為靜態(tài)信息。對(duì)于不同類型的無(wú)線傳輸鏈路,業(yè)務(wù)路由分布在不同的實(shí)體網(wǎng)元上:通信用戶身份信息和簽約帶寬等信息主要在通信網(wǎng)側(cè),可通過(guò)構(gòu)建標(biāo)準(zhǔn)化通信鏈路監(jiān)測(cè)接口獲?。还W(wǎng)鏈路的業(yè)務(wù)路由和管控策略主要分布在AAA服務(wù)器上;動(dòng)態(tài)業(yè)務(wù)路由和地址池等信息主要分布在LNS路由器上,通過(guò)LNS路由器管理接口或網(wǎng)管系統(tǒng)可以進(jìn)行業(yè)務(wù)路由和地址池信息查詢。通過(guò)流量分析系統(tǒng)也可以獲取一些業(yè)務(wù)路由信息。由于通信用戶身份信息和業(yè)務(wù)路由信息分布在多個(gè)網(wǎng)元上,公安側(cè)需要部署能夠?qū)λ袩o(wú)線傳輸鏈路業(yè)務(wù)路由進(jìn)行統(tǒng)一監(jiān)管的無(wú)線鏈路管控網(wǎng)關(guān)。
通信網(wǎng)提供的通信鏈路監(jiān)測(cè)能力主要監(jiān)測(cè)的是靜態(tài)信息,即無(wú)線傳輸鏈路帶寬信息。公安用戶要了解無(wú)線傳輸鏈路的實(shí)際使用情況,需要通過(guò)流量分析技術(shù),基于端口鏡像、NetFlow/NetStream等采集技術(shù),再按照IP地址、端口號(hào)、協(xié)議等維度進(jìn)行流量特征分析。分析數(shù)據(jù)主要包括終端上下行速率、未加密流量速率和協(xié)議類型等。對(duì)于沒(méi)有進(jìn)行應(yīng)用層加密的業(yè)務(wù)流量,還可以進(jìn)行流量還原和內(nèi)容檢測(cè)。特別是出于對(duì)移動(dòng)端密碼載體性能以及業(yè)務(wù)體驗(yàn)等約束的考慮,不建議對(duì)移動(dòng)應(yīng)用進(jìn)行一刀切式的管道加密,應(yīng)用加密一般由業(yè)務(wù)系統(tǒng)自行完成,依托流量分析技術(shù)還可以發(fā)現(xiàn)一些應(yīng)用層的安全漏洞。
無(wú)線通信技術(shù)的高靈活性除了給公安用戶帶來(lái)便捷之外,也會(huì)給警務(wù)數(shù)據(jù)安全帶來(lái)風(fēng)險(xiǎn)。因此通過(guò)無(wú)線傳輸鏈路實(shí)現(xiàn)公安業(yè)務(wù)接入時(shí),如何對(duì)多形態(tài)無(wú)線傳輸鏈路資源進(jìn)行有效管理、對(duì)鏈路的使用情況進(jìn)行統(tǒng)一監(jiān)控,以確保移動(dòng)終端始終在安全的環(huán)境下使用,是當(dāng)前公安無(wú)線通信領(lǐng)域一個(gè)亟待解決的問(wèn)題。本文分析多種無(wú)線通信網(wǎng)的網(wǎng)絡(luò)架構(gòu)、梳理公安可用的無(wú)線傳輸鏈路資源,通過(guò)通信用戶身份鑒別和管理、通信鏈路監(jiān)測(cè)、業(yè)務(wù)路由管控、流量分析等技術(shù)實(shí)現(xiàn)無(wú)線鏈路資源的可管可控。
本文提到的公安無(wú)線傳輸鏈路安全機(jī)制主要是從無(wú)線鏈路的管道層面提出,與公安業(yè)務(wù)網(wǎng)絡(luò)的安全機(jī)制相互獨(dú)立。因此,在采用移動(dòng)終端承載公安業(yè)務(wù)并接入對(duì)應(yīng)的業(yè)務(wù)平臺(tái)時(shí),應(yīng)構(gòu)建無(wú)線接入?yún)^(qū),部署相應(yīng)設(shè)備來(lái)實(shí)現(xiàn)本文所描述的安全管控能力。