周昕 張春慧 公安部第一研究所

引言

公安領(lǐng)域存在多種無(wú)線通信網(wǎng)絡(luò)，如公網(wǎng)、PDT窄帶集群專網(wǎng)、基于B-TrunC技術(shù)建設(shè)的1447MHz寬帶集群專網(wǎng)，還有340MHz頻段的公安應(yīng)急圖傳專網(wǎng)、1430MHz頻段的警用航空器專網(wǎng)，以及衛(wèi)星、微波等其它專用網(wǎng)絡(luò)或?qū)Ｓ面溌罚磥?lái)還會(huì)基于公用頻段或?qū)Ｓ妙l段建設(shè)安全無(wú)線局域網(wǎng)。

公安無(wú)線通信網(wǎng)除了承載集群調(diào)度等傳統(tǒng)通信業(yè)務(wù)以外，還可提供用于數(shù)據(jù)業(yè)務(wù)接入的無(wú)線傳輸鏈路，支撐多形態(tài)移動(dòng)終端數(shù)據(jù)應(yīng)用的接入。

目前，在公安無(wú)線通信新體系的規(guī)劃建設(shè)中，各地公安用戶對(duì)于無(wú)線通信鏈路的管理方式多樣、形式不一，對(duì)無(wú)線鏈路資源的統(tǒng)一監(jiān)管還存在空白。移動(dòng)業(yè)務(wù)需求激增導(dǎo)致目前的管理方式存在一定的安全隱患。因此，各地用戶在構(gòu)建無(wú)線傳輸鏈路、實(shí)現(xiàn)無(wú)線業(yè)務(wù)接入時(shí)，多次提出了對(duì)多形態(tài)無(wú)線專用傳輸鏈路的安全接入、鏈路監(jiān)測(cè)和業(yè)務(wù)路由管控等需求，以通過(guò)安全管理、主動(dòng)防御的方式確保移動(dòng)終端實(shí)戰(zhàn)應(yīng)用時(shí)的安全性。

本文結(jié)合公安無(wú)線異構(gòu)通信網(wǎng)絡(luò)的特點(diǎn)，對(duì)各種無(wú)線傳輸鏈路進(jìn)行分析，并對(duì)通信鏈路層面的安全接入和管理機(jī)制進(jìn)行了研究和探討，為各地公安機(jī)關(guān)開(kāi)展無(wú)線專用鏈路建設(shè)和終端安全接入提供參考借鑒。

一、無(wú)線傳輸鏈路分類

按建設(shè)主體劃分，公安無(wú)線通信網(wǎng)可以分為公網(wǎng)、專網(wǎng)和共網(wǎng)。公網(wǎng)指的是運(yùn)營(yíng)商3G、4G、5G網(wǎng)絡(luò)。專網(wǎng)根據(jù)通信制式可以分為：PDT窄帶數(shù)字集群通信網(wǎng)、BTrunC寬帶數(shù)字集群網(wǎng)絡(luò)、安全無(wú)線局域網(wǎng)、公安應(yīng)急圖傳網(wǎng)（340MHz）、公安衛(wèi)星無(wú)線通信網(wǎng)（ku波段）等。其中，B-TrunC網(wǎng)絡(luò)有以專網(wǎng)模式建設(shè)的情況，如基于1447MHz頻段建設(shè)的寬帶集群專網(wǎng)，以及基于1430MHz頻段建設(shè)的警用航空器對(duì)空?qǐng)D傳專網(wǎng)；也有以共網(wǎng)模式建設(shè)的情況，如基于1447MHz頻段建設(shè)的政府集群共網(wǎng)。

PDT警用數(shù)字集群專網(wǎng)是基于350MHz頻段建設(shè)，采用大區(qū)制組網(wǎng)方式，主要用于承載語(yǔ)音、短消息等窄帶業(yè)務(wù)。為避免對(duì)警用集群業(yè)務(wù)的可靠性造成影響，PDT專網(wǎng)不提供接入業(yè)務(wù)網(wǎng)的無(wú)線傳輸鏈路。除PDT之外的其它公安無(wú)線通信網(wǎng)都可以提供用于承載數(shù)據(jù)業(yè)務(wù)的無(wú)線傳輸鏈路，接入公安移動(dòng)信息網(wǎng)或公安視頻傳輸網(wǎng)等業(yè)務(wù)網(wǎng)絡(luò)。

下文分別介紹公網(wǎng)鏈路、B-TrunC寬帶專網(wǎng)/共網(wǎng)鏈路、公安應(yīng)急圖傳鏈路、衛(wèi)星/微波鏈路、安全無(wú)線局域網(wǎng)鏈路的承載網(wǎng)網(wǎng)絡(luò)架構(gòu)和接入方法。

（一）公網(wǎng)鏈路

公網(wǎng)發(fā)展歷經(jīng)了1G、2G、3G、4G，到如今的5G。每代移動(dòng)通信網(wǎng)絡(luò)的核心網(wǎng)技術(shù)也在不斷的發(fā)展過(guò)程中。

（1）在2G/3G網(wǎng)絡(luò)中，CS（Circuit Switch）域和PS（Packet Switch）域相互獨(dú)立，CS域負(fù)責(zé)電路交換，PS域負(fù)責(zé)包交換。打電話、發(fā)短信等通信業(yè)務(wù)通過(guò)CS域承載，數(shù)據(jù)上網(wǎng)業(yè)務(wù)通過(guò)PS域承載。

（2）EPC是4G網(wǎng)絡(luò)（LTE網(wǎng)絡(luò)）的核心網(wǎng)系統(tǒng)，主要職責(zé)是實(shí)現(xiàn)接入網(wǎng)與不同的PDN（Public Data Network）互聯(lián)。4G網(wǎng)絡(luò)時(shí)，電路域演變?yōu)镮MS網(wǎng)絡(luò)，成為與互聯(lián)網(wǎng)、行業(yè)專網(wǎng)位置同等的PDN網(wǎng)絡(luò)。行業(yè)專網(wǎng)通過(guò)專用APN承載，與互聯(lián)網(wǎng)APN邏輯隔離。專用APN與互聯(lián)網(wǎng)APN一樣，只能保證網(wǎng)絡(luò)連通性。EPC主要包含四種網(wǎng)元：HSS、MME、SGW和PGW。通信用戶的鑒權(quán)認(rèn)證主要由HSS完成。公安側(cè)可部署LNS路由器和AAA服務(wù)器，完成專用APN用戶的二次鑒權(quán)認(rèn)證。

（3）5G時(shí)代主要解決工業(yè)互聯(lián)問(wèn)題。通過(guò)RB資源預(yù)留、QoS優(yōu)先級(jí)調(diào)度策略、FlexE、UPF專屬下沉等智能切片技術(shù)確保行業(yè)專網(wǎng)業(yè)務(wù)的優(yōu)先接入和優(yōu)先調(diào)度。

運(yùn)營(yíng)商核心網(wǎng)包括人網(wǎng)核心網(wǎng)和物網(wǎng)核心網(wǎng)，分別對(duì)應(yīng)人網(wǎng)SIM卡和物聯(lián)SIM卡的運(yùn)營(yíng)、計(jì)費(fèi)和管理。人網(wǎng)核心網(wǎng)和物網(wǎng)核心網(wǎng)可以相互獨(dú)立，也可以物理共享，通過(guò)不同APN/DNN進(jìn)行邏輯隔離，如圖1所示。

（二）B-TrunC寬帶專網(wǎng)/共網(wǎng)鏈路

B-TrunC寬帶專網(wǎng)/共網(wǎng)基于LTE技術(shù)建設(shè)，作為無(wú)線傳輸鏈路承載網(wǎng)絡(luò)時(shí)，B-TrunC核心網(wǎng)的構(gòu)成與LTE EPC分組核心網(wǎng)完全一致。

目前，B-TrunC共網(wǎng)大多基于RAN-Sharing方式建設(shè)，不同行業(yè)用戶在共網(wǎng)上部署了完整的核心網(wǎng)系統(tǒng)，包括用戶面和控制面。在這種情況下，B-TrunC共網(wǎng)和專網(wǎng)無(wú)線傳輸鏈路接入時(shí)采用同樣的接入控制策略。

B-TrunC寬帶專網(wǎng)/共網(wǎng)提供兩種類型的服務(wù)：

（1）寬帶集群通信業(yè)務(wù)服務(wù)；

（2）承載APP應(yīng)用的無(wú)線傳輸鏈路服務(wù)。

其中寬帶集群通信業(yè)務(wù)包括語(yǔ)音和短信業(yè)務(wù)，無(wú)線傳輸鏈路采用專用APN接入，如圖2所示。

寬帶集群通信業(yè)務(wù)通道和無(wú)線傳輸鏈路在通信網(wǎng)域邏輯隔離。B-TrunC網(wǎng)絡(luò)提供的寬帶集群通信業(yè)務(wù)可以在通信網(wǎng)域?qū)崿F(xiàn)與PDT窄帶集群通信業(yè)務(wù)的互聯(lián)互通和資源共享。

（三）公安應(yīng)急圖傳鏈路

340MHz應(yīng)急圖傳網(wǎng)絡(luò)主要用于圖像回傳。無(wú)線視頻終端南向有HDMI/SDI視頻接口、RJ45網(wǎng)線接口，筆記本電腦、打印機(jī)等有線數(shù)據(jù)終端可以通過(guò)這條通道接入對(duì)應(yīng)業(yè)務(wù)平臺(tái)，如圖3所示。

數(shù)據(jù)終端承載的業(yè)務(wù)多種多樣。終端的計(jì)算能力越強(qiáng)、承載的業(yè)務(wù)種類越多，存在的安全風(fēng)險(xiǎn)就越高。傳統(tǒng)通信終端、視頻采集前端，只要通過(guò)認(rèn)證鑒權(quán)、編解碼等方式確保應(yīng)用層安全即可，但對(duì)于后續(xù)增加的數(shù)據(jù)業(yè)務(wù)并沒(méi)有相應(yīng)的保護(hù)機(jī)制。因此，無(wú)線視頻終端作為網(wǎng)關(guān)接入數(shù)據(jù)終端時(shí)必須滿足智能網(wǎng)關(guān)型移動(dòng)警務(wù)終端的安全要求。擴(kuò)展接入的數(shù)據(jù)終端需要按照計(jì)算能力和承載業(yè)務(wù)能力進(jìn)行分級(jí)（A/B/C級(jí)），并遵循對(duì)應(yīng)的擴(kuò)展類移動(dòng)警務(wù)終端安全要求。

無(wú)線視頻終端可支持全雙工語(yǔ)音、視頻回傳和數(shù)據(jù)業(yè)務(wù)接入，因此在無(wú)線視頻核心網(wǎng)或網(wǎng)管側(cè)可以基于這些業(yè)務(wù)對(duì)無(wú)線視頻終端進(jìn)行指揮調(diào)度。公安應(yīng)急圖傳網(wǎng)絡(luò)的調(diào)度服務(wù)暫時(shí)沒(méi)有與公安集群調(diào)度業(yè)務(wù)互通的需求。

（四）衛(wèi)星/微波鏈路

衛(wèi)星鏈路是微波鏈路的一種特殊形態(tài)，可以看作是將數(shù)字微波接力站部署到太空中，極大地提高了信號(hào)的覆蓋范圍。

衛(wèi)星/微波鏈路與公安應(yīng)急圖傳鏈路類似，主要提供無(wú)線傳輸鏈路，常用于無(wú)公網(wǎng)、寬帶專網(wǎng)覆蓋的地方。衛(wèi)星業(yè)務(wù)終端南向可輸出網(wǎng)線接口，筆記本電腦等數(shù)據(jù)終端可通過(guò)有線方式接入，如圖4所示。

作為網(wǎng)關(guān)型終端接入公安業(yè)務(wù)網(wǎng)絡(luò)時(shí)，衛(wèi)星業(yè)務(wù)終端必須滿足智能網(wǎng)關(guān)型移動(dòng)警務(wù)終端的安全要求。擴(kuò)展接入的數(shù)據(jù)終端要按照計(jì)算能力和承載業(yè)務(wù)能力進(jìn)行分級(jí)（A/B/C級(jí)），并遵循對(duì)應(yīng)的擴(kuò)展類移動(dòng)警務(wù)終端安全要求。

衛(wèi)星業(yè)務(wù)終端支持?jǐn)?shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)。公安衛(wèi)星通信網(wǎng)的網(wǎng)管系統(tǒng)可按需分配衛(wèi)星頻率資源，對(duì)衛(wèi)星鏈路、設(shè)備參數(shù)和狀態(tài)進(jìn)行監(jiān)測(cè)和控制，同時(shí)也可基于數(shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)對(duì)移動(dòng)站進(jìn)行融合調(diào)度。公安衛(wèi)星通信網(wǎng)提供的調(diào)度服務(wù)暫時(shí)沒(méi)有與公安集群調(diào)度業(yè)務(wù)互通的需求。

（五）安全無(wú)線局域網(wǎng)鏈路

除了以上幾種現(xiàn)存的公安無(wú)線通信網(wǎng)以外，公安領(lǐng)域也一直在探討如何構(gòu)建安全的無(wú)線局域網(wǎng)。

安全無(wú)線局域網(wǎng)存在兩種主要應(yīng)用場(chǎng)景：一是安全無(wú)線局域網(wǎng)作為無(wú)線傳輸鏈路的承載網(wǎng)，提供終端直接連接到公安業(yè)務(wù)網(wǎng)絡(luò)的無(wú)線傳輸鏈路；二是安全無(wú)線局域網(wǎng)作為網(wǎng)關(guān)型終端和擴(kuò)展終端之間端邊互聯(lián)鏈路的承載網(wǎng)。

如圖5所示是第一種情況的接入方式，移動(dòng)終端配備STA模塊，通過(guò)安全無(wú)線局域網(wǎng)統(tǒng)一接入AP設(shè)備，AP通過(guò)有線鏈路與公安業(yè)務(wù)系統(tǒng)相連。第二種情況屬于移動(dòng)警務(wù)端邊協(xié)同的范疇，移動(dòng)終端作為擴(kuò)展型終端通過(guò)STA模塊接入到網(wǎng)關(guān)型終端上，端邊互聯(lián)鏈路的安全接入和管控在網(wǎng)關(guān)型終端上完成。網(wǎng)關(guān)型終端可以通過(guò)有線或無(wú)線的方式接入到公安業(yè)務(wù)網(wǎng)絡(luò)。

二、安全管控機(jī)制

公安領(lǐng)域由于行業(yè)的特殊性，無(wú)線傳輸鏈路資源相對(duì)豐富，但之前一直缺乏統(tǒng)一的鏈路資源管理機(jī)制，其管道層面的安全大部分依靠通信網(wǎng)的基礎(chǔ)運(yùn)維和管理機(jī)制來(lái)保障。

為了實(shí)現(xiàn)無(wú)線傳輸鏈路資源的安全管理和有效監(jiān)控，需要在通信網(wǎng)和業(yè)務(wù)網(wǎng)之間構(gòu)建無(wú)線接入?yún)^(qū)，實(shí)現(xiàn)通信用戶身份鑒別和管理、通信鏈路監(jiān)測(cè)、業(yè)務(wù)路由管控等通信鏈路層面的安全機(jī)制，結(jié)合流量分析技術(shù)還可以了解通信用戶的實(shí)時(shí)狀態(tài)和通信鏈路的使用情況。

無(wú)線接入?yún)^(qū)的主要能力包括：

（一）通信用戶的二次鑒權(quán)認(rèn)證

通信用戶身份的鑒權(quán)認(rèn)證一般在通信網(wǎng)側(cè)完成。公網(wǎng)和B-TrunC專網(wǎng)/共網(wǎng)提供的無(wú)線專用傳輸鏈路可分為兩段：APN/DNN和用戶側(cè)專線。APN/DNN鏈路的身份鑒權(quán)認(rèn)證由核心網(wǎng)控制面網(wǎng)元HSS或UDM完成。當(dāng)公網(wǎng)和BTrunC專網(wǎng)/共網(wǎng)為公安行業(yè)用戶提供用戶側(cè)專線時(shí)，必須在公安側(cè)通過(guò)LNS路由器+AAA服務(wù)器完成通信用戶身份的二次鑒權(quán)認(rèn)證和授權(quán)管理。

AAA服務(wù)器的主要功能是基于SIM卡攜帶的用戶名、密碼等信息完成對(duì)通信用戶的身份認(rèn)證和鑒權(quán)，還可以為通信用戶配置IP地址分配策略、多維綁定、黑名單、凍結(jié)名單等接入授權(quán)和接入限制策略。因此，基于AAA服務(wù)器上的用戶信息以及通信鏈路監(jiān)測(cè)的靜態(tài)信息（通信用戶身份ID、簽約信息等）可以實(shí)現(xiàn)對(duì)通信用戶身份的有效管理，保障公安移動(dòng)設(shè)備的安全接入。

（二）通信鏈路監(jiān)測(cè)

公安領(lǐng)域存在多種異構(gòu)無(wú)線通信網(wǎng)絡(luò)，部分網(wǎng)絡(luò)可以為無(wú)線傳輸鏈路提供帶寬保障，如5G公網(wǎng)、公安應(yīng)急圖傳網(wǎng)、公安衛(wèi)星/微波網(wǎng)絡(luò)等。5G網(wǎng)絡(luò)推出了網(wǎng)絡(luò)智能切片技術(shù)，可以通過(guò)軟切片（QoS優(yōu)先級(jí)調(diào)度策略）或硬切片（靜態(tài)資源預(yù)留）確保公網(wǎng)提供的無(wú)線傳輸鏈路的服務(wù)質(zhì)量。公安應(yīng)急圖傳、衛(wèi)星等無(wú)線通信網(wǎng)絡(luò)也可設(shè)置無(wú)線傳輸鏈路的帶寬等指標(biāo)。

為了擴(kuò)大公安業(yè)務(wù)網(wǎng)絡(luò)的覆蓋范圍，提高公安移動(dòng)應(yīng)用的可靠性和業(yè)務(wù)體驗(yàn)，需要通過(guò)通信鏈路監(jiān)測(cè)模塊搭建與異構(gòu)通信網(wǎng)之間的信息監(jiān)測(cè)接口，結(jié)合流量分析和鑒權(quán)認(rèn)證系統(tǒng)完成對(duì)鏈路帶寬、鏈路狀態(tài)、網(wǎng)絡(luò)定位等信息的監(jiān)測(cè)和鏈路資源的統(tǒng)一管理。

（三）業(yè)務(wù)路由管控

由于公安領(lǐng)域存在多種通信網(wǎng)和業(yè)務(wù)網(wǎng)，需要通過(guò)業(yè)務(wù)路由管控來(lái)控制不同通信用戶到不同業(yè)務(wù)網(wǎng)絡(luò)的訪問(wèn)流向。業(yè)務(wù)路由包括通信用戶身份信息和動(dòng)態(tài)路由信息，前者為靜態(tài)信息。對(duì)于不同類型的無(wú)線傳輸鏈路，業(yè)務(wù)路由分布在不同的實(shí)體網(wǎng)元上：通信用戶身份信息和簽約帶寬等信息主要在通信網(wǎng)側(cè)，可通過(guò)構(gòu)建標(biāo)準(zhǔn)化通信鏈路監(jiān)測(cè)接口獲?。还W(wǎng)鏈路的業(yè)務(wù)路由和管控策略主要分布在AAA服務(wù)器上；動(dòng)態(tài)業(yè)務(wù)路由和地址池等信息主要分布在LNS路由器上，通過(guò)LNS路由器管理接口或網(wǎng)管系統(tǒng)可以進(jìn)行業(yè)務(wù)路由和地址池信息查詢。通過(guò)流量分析系統(tǒng)也可以獲取一些業(yè)務(wù)路由信息。由于通信用戶身份信息和業(yè)務(wù)路由信息分布在多個(gè)網(wǎng)元上，公安側(cè)需要部署能夠?qū)λ袩o(wú)線傳輸鏈路業(yè)務(wù)路由進(jìn)行統(tǒng)一監(jiān)管的無(wú)線鏈路管控網(wǎng)關(guān)。

（四）流量分析

通信網(wǎng)提供的通信鏈路監(jiān)測(cè)能力主要監(jiān)測(cè)的是靜態(tài)信息，即無(wú)線傳輸鏈路帶寬信息。公安用戶要了解無(wú)線傳輸鏈路的實(shí)際使用情況，需要通過(guò)流量分析技術(shù)，基于端口鏡像、NetFlow/NetStream等采集技術(shù)，再按照IP地址、端口號(hào)、協(xié)議等維度進(jìn)行流量特征分析。分析數(shù)據(jù)主要包括終端上下行速率、未加密流量速率和協(xié)議類型等。對(duì)于沒(méi)有進(jìn)行應(yīng)用層加密的業(yè)務(wù)流量，還可以進(jìn)行流量還原和內(nèi)容檢測(cè)。特別是出于對(duì)移動(dòng)端密碼載體性能以及業(yè)務(wù)體驗(yàn)等約束的考慮，不建議對(duì)移動(dòng)應(yīng)用進(jìn)行一刀切式的管道加密，應(yīng)用加密一般由業(yè)務(wù)系統(tǒng)自行完成，依托流量分析技術(shù)還可以發(fā)現(xiàn)一些應(yīng)用層的安全漏洞。

三、結(jié)語(yǔ)

無(wú)線通信技術(shù)的高靈活性除了給公安用戶帶來(lái)便捷之外，也會(huì)給警務(wù)數(shù)據(jù)安全帶來(lái)風(fēng)險(xiǎn)。因此通過(guò)無(wú)線傳輸鏈路實(shí)現(xiàn)公安業(yè)務(wù)接入時(shí)，如何對(duì)多形態(tài)無(wú)線傳輸鏈路資源進(jìn)行有效管理、對(duì)鏈路的使用情況進(jìn)行統(tǒng)一監(jiān)控，以確保移動(dòng)終端始終在安全的環(huán)境下使用，是當(dāng)前公安無(wú)線通信領(lǐng)域一個(gè)亟待解決的問(wèn)題。本文分析多種無(wú)線通信網(wǎng)的網(wǎng)絡(luò)架構(gòu)、梳理公安可用的無(wú)線傳輸鏈路資源，通過(guò)通信用戶身份鑒別和管理、通信鏈路監(jiān)測(cè)、業(yè)務(wù)路由管控、流量分析等技術(shù)實(shí)現(xiàn)無(wú)線鏈路資源的可管可控。

本文提到的公安無(wú)線傳輸鏈路安全機(jī)制主要是從無(wú)線鏈路的管道層面提出，與公安業(yè)務(wù)網(wǎng)絡(luò)的安全機(jī)制相互獨(dú)立。因此，在采用移動(dòng)終端承載公安業(yè)務(wù)并接入對(duì)應(yīng)的業(yè)務(wù)平臺(tái)時(shí)，應(yīng)構(gòu)建無(wú)線接入?yún)^(qū)，部署相應(yīng)設(shè)備來(lái)實(shí)現(xiàn)本文所描述的安全管控能力。