TETRA數(shù)字集群網(wǎng)安全保障體系分析

徐海琛

（北京市政務(wù)網(wǎng)絡(luò)管理中心，北京 100053）

0 引言

TETRA是歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)ETSI制定的數(shù)字集群移動(dòng)通信標(biāo)準(zhǔn)，基于TDMA技術(shù)，具有組網(wǎng)靈活、頻譜利用率高、話音質(zhì)量好、安全保密性強(qiáng)、適于高速移動(dòng)等特點(diǎn)；呼叫采用“一按即通”方式接續(xù)，信道建立時(shí)間小于300 ms，且“一呼百應(yīng)”；終端可工作于集群通信與脫網(wǎng)直通兩種模式；調(diào)度業(yè)務(wù)豐富，能夠提供動(dòng)態(tài)重組、強(qiáng)插強(qiáng)拆、用戶追蹤等調(diào)度功能；支持短信息、GPS定位等數(shù)據(jù)業(yè)務(wù)；支持虛擬專網(wǎng)劃分。由于TETRA標(biāo)準(zhǔn)公開(kāi)、接口開(kāi)放、技術(shù)成熟，得到了許多國(guó)家和地區(qū)用戶及制造商支持，成為數(shù)字集群專用移動(dòng)通信主流技術(shù)。

TETRA數(shù)字集群網(wǎng)在歐盟國(guó)家主要應(yīng)用于公共安全系統(tǒng)，在國(guó)內(nèi)主要服務(wù)于城市管理、安全保衛(wèi)、應(yīng)急指揮等部門，承擔(dān)著重要的指揮調(diào)度通信保障任務(wù)。作為無(wú)線移動(dòng)通信網(wǎng)絡(luò)之一，集群通信網(wǎng)同樣面臨自然災(zāi)害、人為破壞、系統(tǒng)故障、通信阻塞、頻率干擾、非法訪問(wèn)、行為分析等安全威脅。

現(xiàn)從用戶的可控性、通信的保密性、服務(wù)的可用性三個(gè)方面，對(duì)TETRA數(shù)字集群網(wǎng)安全保障體系進(jìn)行分析探討。

1 用戶的可控性

為了確保網(wǎng)絡(luò)為合法用戶提供安全可靠服務(wù)，必須對(duì)入網(wǎng)用戶嚴(yán)格管控。TETRA網(wǎng)絡(luò)支持通過(guò)鑒權(quán)、隱藏用戶識(shí)別碼、允許與禁用等機(jī)制實(shí)現(xiàn)用戶的可控性。

1.1 鑒權(quán)

鑒權(quán)是指當(dāng)用戶請(qǐng)求接入網(wǎng)絡(luò)時(shí)，用戶和網(wǎng)絡(luò)對(duì)彼此身份和權(quán)利的識(shí)別與認(rèn)證。鑒權(quán)基于對(duì)稱密鑰加密算法，以“詢問(wèn)-應(yīng)答”方式，通過(guò)一系列加密計(jì)算與結(jié)果比對(duì)，向?qū)Ψ阶C明自己持有正確的鑒權(quán)密鑰達(dá)到鑒權(quán)目的，可以實(shí)現(xiàn)用戶與網(wǎng)絡(luò)基礎(chǔ)設(shè)施間單向或雙向認(rèn)證，防止非法用戶接入系統(tǒng)和合法用戶接入假冒網(wǎng)絡(luò)[1]，有效抵御非授權(quán)訪問(wèn)、拒絕服務(wù)、重放攻擊等安全威脅。

1.1.1 鑒權(quán)密鑰管理

鑒權(quán)主要涉及三個(gè)關(guān)鍵數(shù)據(jù)：

（1）設(shè)備序列號(hào)TEI

每部終端設(shè)備在出廠前，均由制造商分配一個(gè)全球唯一的設(shè)備序列號(hào)TEI，作為該終端的設(shè)備識(shí)別碼。

（2）用戶識(shí)別碼ITSI

終端設(shè)備申請(qǐng)入網(wǎng)時(shí)，由入網(wǎng)管理機(jī)構(gòu)根據(jù)其 TEI號(hào)分配一個(gè)全網(wǎng)唯一的用戶識(shí)別碼ITSI，形成TEI-ITSI配對(duì)，存儲(chǔ)在終端設(shè)備與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的鑒權(quán)中心數(shù)據(jù)庫(kù)中。

（3）鑒權(quán)密鑰K

終端設(shè)備要啟用鑒權(quán)，必須首先由密鑰管理機(jī)構(gòu)根據(jù)其TEI號(hào)生成一個(gè)全球唯一的鑒權(quán)密鑰K，形成（TEI-K）配對(duì)，存儲(chǔ)在終端設(shè)備與鑒權(quán)中心數(shù)據(jù)庫(kù)中。

經(jīng)過(guò)上述過(guò)程，每一部終端設(shè)備與鑒權(quán)中心均同時(shí)存儲(chǔ)了TEI-ITSI和TEI-K配對(duì)，建立了ITSI與K的唯一關(guān)聯(lián)。

1.1.2 鑒權(quán)算法

TETRA網(wǎng)絡(luò)提供四種鑒權(quán)算法：基礎(chǔ)設(shè)施對(duì)終端單向/雙向鑒權(quán)、終端對(duì)基礎(chǔ)設(shè)施單向/雙向鑒權(quán)，具體請(qǐng)參考ETSI標(biāo)準(zhǔn)[2]。

鑒權(quán)的安全性除了取決于算法強(qiáng)度與密鑰長(zhǎng)度外，如何保護(hù)鑒權(quán)密鑰尤為關(guān)鍵。當(dāng)終端申請(qǐng)接入時(shí)，首先用明文將ITSI及有關(guān)信令發(fā)送給網(wǎng)絡(luò)；網(wǎng)絡(luò)根據(jù)其ITSI號(hào)，從鑒權(quán)中心數(shù)據(jù)庫(kù)中查出與之唯一對(duì)應(yīng)的鑒權(quán)密鑰K。作為核心密鑰，K既不允許通過(guò)空中接口傳送，也不能直接用于生成鑒權(quán)響應(yīng)，而是首先結(jié)合隨機(jī)數(shù)生成本次鑒權(quán)的會(huì)話密鑰 KS；然后再由KS作為加密密鑰以“詢問(wèn)-應(yīng)答”方式實(shí)施鑒權(quán)。

由于每次鑒權(quán)的KS均不相同，有效抵御了算法分析，保護(hù)了核心密鑰K。如果鑒權(quán)失敗，用戶終端會(huì)被禁止使用，可以是臨時(shí)的，也可以是永久的。

1.2 隱藏用戶識(shí)別碼

用戶識(shí)別碼ITSI是入網(wǎng)管理機(jī)構(gòu)分配的、在網(wǎng)內(nèi)唯一識(shí)別該用戶終端的身份碼，同時(shí)保存在終端設(shè)備和歸屬用戶寄存器中。用戶在入網(wǎng)、鑒權(quán)、切換、呼叫或發(fā)送短信時(shí)，都需要將ITSI以明文方式傳送給網(wǎng)絡(luò)，容易遭受用戶跟蹤、行為分析等威脅。

為了保護(hù)用戶的身份安全，TETRA網(wǎng)絡(luò)支持臨時(shí)身份識(shí)別碼ATSI。當(dāng)用戶以ITSI申請(qǐng)入網(wǎng)并通過(guò)鑒權(quán)后，網(wǎng)絡(luò)會(huì)根據(jù)其ITSI號(hào)生成一個(gè)全網(wǎng)唯一的ATSI分配給用戶，形成ITSI-ATSI對(duì)，同時(shí)保存在終端設(shè)備和當(dāng)前服務(wù)該用戶的訪問(wèn)用戶寄存器中。此后，用戶與網(wǎng)絡(luò)之間的信令交換使用ATSI替代ITSI在空中接口中明文傳輸。

ATSI由網(wǎng)絡(luò)負(fù)責(zé)隨機(jī)分配和維護(hù)，無(wú)法從ITSI直接推出，且在規(guī)定時(shí)限內(nèi)有效；ITSI-ATSI對(duì)也僅在網(wǎng)絡(luò)與終端設(shè)備之間共享，用戶只是透明使用。因此，網(wǎng)絡(luò)可在不通知其他用戶情況下，頻繁改變與ITSI對(duì)應(yīng)的ATSI值，有效保護(hù)了用戶真實(shí)身份。

1.3 允許與禁用

為了避免終端丟失后被非法使用，TETRA網(wǎng)絡(luò)支持通過(guò)空中接口下達(dá)指令方式對(duì)特定終端執(zhí)行“允許與禁用”操作。

（1）臨時(shí)禁用與恢復(fù)

調(diào)度員可通過(guò)空中接口遠(yuǎn)程下發(fā)指令，將丟失終端臨時(shí)禁用（遙斃）。在遙斃狀態(tài)下，終端可以正常注冊(cè)與切換，但不能發(fā)起和接收呼叫；調(diào)度員可隨時(shí)追蹤被遙斃終端，也可以再次下達(dá)指令解除遙斃，令終端重新恢復(fù)使用。

（2）長(zhǎng)期禁用與啟用

如果將丟失終端的ITSI號(hào)從HLR中刪除，或者一并刪除其鑒權(quán)密鑰K，則該終端被徹底禁止入網(wǎng)使用，無(wú)法注冊(cè)、鑒權(quán)、發(fā)起和接收呼叫。

2 通信的保密性

由于TETRA空中接口標(biāo)準(zhǔn)是公開(kāi)的，加之無(wú)線信道的開(kāi)放性，如果語(yǔ)音、數(shù)據(jù)、信令在無(wú)線信道中明文傳送，容易被協(xié)議分析儀器監(jiān)聽(tīng)，存在泄密風(fēng)險(xiǎn)。TETRA網(wǎng)絡(luò)支持通過(guò)空中接口加密、端到端加密、虛擬專網(wǎng)等機(jī)制實(shí)現(xiàn)通信的保密性。

2.1 空中接口加密

空中接口加密是指對(duì)基站和終端之間的無(wú)線信道加密，任何通過(guò)空中接口傳送的語(yǔ)音、數(shù)據(jù)與信令都被加密保護(hù)，并附有時(shí)間戳和校驗(yàn)字段，有效抵御非法竊聽(tīng)、通信分析、重放攻擊、信息篡改等安全威脅。

2.1.1 空中接口加密密鑰管理

空中接口加密主要涉及四個(gè)密鑰：

（1）導(dǎo)出密鑰DCK

由鑒權(quán)過(guò)程產(chǎn)生，基礎(chǔ)設(shè)施與終端同時(shí)掌握，用在空中接口加密保護(hù)組呼的上行鏈路和個(gè)呼的雙向鏈路。

（2）公共密鑰CCK

由基礎(chǔ)設(shè)施生成，每一個(gè)位置區(qū)對(duì)應(yīng)一個(gè)CCK，與組密鑰GCK配合使用生成MGCK，加密保護(hù)組呼的下行鏈路。當(dāng)終端注冊(cè)到某一位置區(qū)時(shí)就會(huì)請(qǐng)求CCK；基礎(chǔ)設(shè)施將CCK以DCK為加密密鑰經(jīng)由算法TA31生成SCCK傳送給終端，終端解密出CCK使用。

（3）組密鑰GCK

由基礎(chǔ)設(shè)施生成，與通話組一一對(duì)應(yīng)。GCK并不直接用于空中接口加密，而是在每一個(gè)位置區(qū)經(jīng)由CCK和算法TA71調(diào)整生成MGCK。當(dāng)終端請(qǐng)求GCK時(shí)，基礎(chǔ)設(shè)施將GCK以DCK為保護(hù)密鑰經(jīng)由算法TA81生成SGCK傳給終端，終端解密出GCK使用。

（4）靜態(tài)密鑰SCK

用于在未啟用鑒權(quán)情況下加密個(gè)呼和組呼信令，可工作于集群通信和脫網(wǎng)直通模式。SCK集共有32個(gè)密鑰，均以靜態(tài)方式存儲(chǔ)于基礎(chǔ)設(shè)施和終端中，需要事先協(xié)商具體使用哪一個(gè)密鑰。

2.1.2 空中接口加密算法

空中接口加密基于對(duì)稱加密算法的流密碼機(jī)制：發(fā)送方的明文比特流與密鑰序列發(fā)生器產(chǎn)生的密碼序列比特流異或，生成密文比特流；只有持有相同加密密鑰ECK的合法授權(quán)接收方，通過(guò)密鑰序列發(fā)生器生成同樣的密碼序列比特流，才能與接收到的密文比特流異或解密，如圖1所示。

圖1 空中接口加密算法

空中接口加密并不直接使用DCK、MGCK或SCK，而是加入位置區(qū)標(biāo)識(shí)、載波號(hào)、色碼等參數(shù)，經(jīng)由算法TB5調(diào)整生成加密密鑰ECK后用于密鑰發(fā)生器。初始向量IV用于在基站與終端之間建立同步，確保加密序列與解密序列的一致性，并增加了密鑰序列的隨機(jī)性。

ETSI為密鑰發(fā)生器提供四種加密算法TEA1～TEA4：TEA1和TEA4供普通用戶及制造商使用，是可以出口的算法；TEA2和 TEA3僅限于歐洲國(guó)家的安全部門，安全強(qiáng)度較高，嚴(yán)格限制出口。

空中接口加密有效保護(hù)了無(wú)線信道上的控制信令和用戶業(yè)務(wù)（語(yǔ)音、數(shù)據(jù)），而用戶業(yè)務(wù)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)部仍以明文方式傳輸。如果用戶對(duì)通信安全有更高要求，就應(yīng)考慮端到端加密。

2.2 端到端加密

端到端加密是指對(duì)用戶終端之間傳輸鏈路的全程加密，確保用戶業(yè)務(wù)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)部及空中接口上均得到加密保護(hù)。

端到端加密不屬于ETSI標(biāo)準(zhǔn)，ETSI對(duì)端到端安全機(jī)制僅規(guī)定了一個(gè)框架，沒(méi)有完整系統(tǒng)描述。端到端加密時(shí)，TETRA網(wǎng)絡(luò)既不參與密鑰的生成與管理，也不提供加密算法，僅提供透明傳輸鏈路。啟用了端到端加密的用戶，可以繼續(xù)使用網(wǎng)絡(luò)提供的空中接口加密服務(wù)，進(jìn)一步增強(qiáng)通信的保密性。

2.2.1 端到端加密密鑰管理

端到端加密主要涉及四個(gè)密鑰：

（1）密鑰加密密鑰KEK

用于保護(hù)組密鑰、信令密鑰和業(yè)務(wù)密鑰，由密鑰管理中心分配，并通過(guò)專用密鑰填充設(shè)備以帶外方式加載到終端設(shè)備中。每個(gè)終端只持有一個(gè) KEK，且各不相同；其余三個(gè)密鑰經(jīng)KEK加密封裝后，均可以SDS-4短消息形式通過(guò)空中密鑰分發(fā)協(xié)議OTAK下載或更新[3]。

（2）組密鑰GEK

用于保護(hù)業(yè)務(wù)密鑰。每個(gè)終端持有一個(gè)GEK，每個(gè)通話組共享一個(gè)GEK，由KEK加密封裝后通過(guò)空中密鑰分發(fā)下載或更新。

（3）信令密鑰SEK

用于保護(hù)空中密鑰分發(fā)協(xié)議所使用的 SDS-4短消息。每個(gè)終端持有一個(gè)SEK，每個(gè)通話組共享一個(gè)SEK。初始SEK可與KEK一起通過(guò)帶外方式直接加載到終端，也可以通過(guò)空中密鑰分發(fā)下載或更新。

（4）業(yè)務(wù)密鑰TEK

用于保護(hù)端到端用戶業(yè)務(wù)，由一組需要加密通信用戶共享，以GEK或KEK為加密密鑰經(jīng)由算法E2加密封裝后，通過(guò)空中密鑰分發(fā)下載到終端。

2.2.2 端到端加密算法

TETRA MoU SFPG工作組提出了一系列端到端加密技術(shù)建議，將加密函數(shù)描述為“黑盒子”，即語(yǔ)音加密算法 E1、業(yè)務(wù)密鑰加密算法E2、同步幀完整性校驗(yàn)算法E3、OTAK密鑰管理消息加密算法 E4、短數(shù)據(jù)服務(wù)加密算法 E5、短數(shù)據(jù)服務(wù)校驗(yàn)算法E6，既沒(méi)有規(guī)定密鑰長(zhǎng)度，也沒(méi)有制定具體加密算法，完全交由用戶自行定義開(kāi)發(fā)。

2.3 虛擬專網(wǎng)

模擬集群網(wǎng)通常是獨(dú)立建設(shè)的“專網(wǎng)”，一個(gè)專網(wǎng)僅為某一類用戶群體服務(wù)，專網(wǎng)之間相互獨(dú)立、互不連通。數(shù)字集群技術(shù)為“共網(wǎng)”應(yīng)用提供可能，即通過(guò)網(wǎng)絡(luò)傳輸交換與用戶調(diào)度管理，可將一個(gè)物理網(wǎng)絡(luò)劃分為多個(gè)“虛擬專網(wǎng)”，分別為不同用戶群體服務(wù)，并實(shí)現(xiàn)虛擬專網(wǎng)之間安全隔離與可控互通。

（1）獨(dú)立管理與通信隔離

針對(duì)不同用戶群體，通過(guò)組織塊劃分、通話組與用戶號(hào)碼規(guī)劃、管理員權(quán)限設(shè)置，并配備專用調(diào)度臺(tái)，即可建立該用戶群體的虛擬專網(wǎng)[4]，實(shí)現(xiàn)獨(dú)立的用戶管理與指揮調(diào)度，滿足個(gè)性化安全需求。

（2）統(tǒng)一調(diào)度與互連互通

常態(tài)下，各虛擬專網(wǎng)之間相互獨(dú)立、互不連通；突發(fā)事件時(shí)，一旦有統(tǒng)一指揮與協(xié)同配合需求，可啟動(dòng)特殊管理流程與調(diào)度措施，實(shí)現(xiàn)不同虛擬專網(wǎng)用戶之間的可控互通與統(tǒng)一調(diào)度。

（3）網(wǎng)管與調(diào)度相互分離

虛擬專網(wǎng)劃分了網(wǎng)絡(luò)管理與調(diào)度管理界面，即運(yùn)營(yíng)商通過(guò)網(wǎng)管系統(tǒng)，實(shí)現(xiàn)對(duì)物理網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控與網(wǎng)絡(luò)管理；調(diào)度員通過(guò)調(diào)度臺(tái)，實(shí)現(xiàn)對(duì)所轄用戶的指揮調(diào)度與用戶管理，有利于界定安全責(zé)任，也有利于保護(hù)用戶的應(yīng)用安全。

3 服務(wù)的可用性

服務(wù)可用性是指網(wǎng)絡(luò)除了在常態(tài)下提供 7×24小時(shí)通信服務(wù)外，在遭遇自然災(zāi)害、設(shè)備故障、人為破壞、頻率干擾、嚴(yán)重?fù)矶碌犬惓Ｇ闆r時(shí)，應(yīng)具備一定的冗余備份與災(zāi)難恢復(fù)能力，確保服務(wù)的連續(xù)性與可用性。

鑒于 TETRA網(wǎng)絡(luò)所服務(wù)用戶群體的特殊性、所承擔(dān)保障任務(wù)的重要性，及特有的指揮調(diào)度功能，越是在遭遇自然災(zāi)害、處置突發(fā)公共事件或保障重大活動(dòng)時(shí)，用戶使用越頻繁，對(duì)網(wǎng)絡(luò)的依賴也越大，往往出現(xiàn)局部區(qū)域用戶大量聚集與突發(fā)大話務(wù)量等情況。此時(shí)，如何保障網(wǎng)絡(luò)服務(wù)的可用性極其關(guān)鍵，取決于物理環(huán)境、系統(tǒng)構(gòu)架、頻率保護(hù)、擁堵控制等綜合安全因素。

3.1 物理環(huán)境安全

物理環(huán)境安全是指通過(guò)創(chuàng)建安全可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境，保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，免受自然災(zāi)害、外界環(huán)境、人為破壞、電磁干擾等威脅。

3.1.1 站址位置選擇

正確選擇交換中心與基站站址是保障物理環(huán)境安全的前提，一定程度上決定了所面臨安全威脅大小。

（1）交換中心選址

除了綜合考慮地質(zhì)/水文/氣象條件、電磁環(huán)境、市政設(shè)施等因素外，對(duì)于規(guī)模較大的網(wǎng)絡(luò)應(yīng)考慮建設(shè)同城異地或跨省異地多個(gè)交換中心，將交換機(jī)組分散放置，并實(shí)現(xiàn)交換機(jī)主備配置及傳輸鏈路多路由冗余連接，提高容災(zāi)備份能力。

（2）基站選址

在滿足小區(qū)規(guī)劃、信號(hào)覆蓋、話務(wù)量分布等設(shè)計(jì)前提下，注意：①滿足結(jié)構(gòu)、消防、防雷、防盜安全；②周邊環(huán)境宜相對(duì)安靜，避免有較大震動(dòng)或強(qiáng)噪音，遠(yuǎn)離危險(xiǎn)源及有害物質(zhì)；③周邊電磁環(huán)境應(yīng)相對(duì)較好，不宜在大型雷達(dá)站、衛(wèi)星地球站等附近設(shè)站，避免相互干擾。

3.1.2 邊界訪問(wèn)控制

邊界訪問(wèn)控制是保護(hù)物理環(huán)境安全的重要關(guān)口。通過(guò)加強(qiáng)交換中心與基站機(jī)房等重點(diǎn)區(qū)域安防措施，對(duì)內(nèi)部授權(quán)人員及外部臨時(shí)人員出入嚴(yán)格管理、全程監(jiān)控，防止盜竊或惡意破壞。

交換中心應(yīng)24小時(shí)有人值守，設(shè)置門禁、周界防護(hù)、視頻監(jiān)控等安防系統(tǒng)，嚴(yán)格管理和登記人員出入；基站機(jī)房一般無(wú)人值守，應(yīng)加裝防盜門、開(kāi)門報(bào)警、視頻監(jiān)控等安防系統(tǒng)，并與站址業(yè)主及當(dāng)?shù)毓矙C(jī)關(guān)建立聯(lián)動(dòng)報(bào)警機(jī)制，如遇異?？焖夙憫?yīng)。

3.1.3 環(huán)境保障與監(jiān)控系統(tǒng)

環(huán)境保障與監(jiān)控系統(tǒng)是保障物理環(huán)境安全的重要手段。交換中心與基站機(jī)房應(yīng)建立完備的環(huán)境保障與監(jiān)控系統(tǒng)，實(shí)現(xiàn)對(duì)于供電、空調(diào)、消防、漏水、門禁等的實(shí)時(shí)監(jiān)控與異常報(bào)警，加強(qiáng)對(duì)無(wú)人值守機(jī)房的遠(yuǎn)程監(jiān)控、維護(hù)巡檢與報(bào)警管理。

3.2 系統(tǒng)構(gòu)架安全

系統(tǒng)構(gòu)架安全是指從網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)與體系架構(gòu)的高度，充分考慮網(wǎng)絡(luò)的容災(zāi)備份與故障恢復(fù)能力。TETRA網(wǎng)絡(luò)主要由交換機(jī)系統(tǒng)、基站系統(tǒng)、增值應(yīng)用系統(tǒng)、網(wǎng)關(guān)接口及傳輸網(wǎng)絡(luò)等構(gòu)成，如圖2所示。

3.2.1 交換機(jī)系統(tǒng)架構(gòu)安全

交換機(jī)系統(tǒng)是網(wǎng)絡(luò)的核心基礎(chǔ)設(shè)施，應(yīng)重點(diǎn)考慮冗余備份問(wèn)題。

圖2 TETRA網(wǎng)絡(luò)系統(tǒng)架構(gòu)

（1）主機(jī)設(shè)備冗余備份

TETRA網(wǎng)絡(luò)支持主備交換機(jī)冗余，即按照主用與備份交換機(jī)1：1或N：1比例，配置專用備份交換機(jī)。正常情況下，備份機(jī)與主用機(jī)連接，具備接入主用機(jī)負(fù)載能力，但不激活負(fù)載連接，也不進(jìn)行話務(wù)交換。主用機(jī)的關(guān)鍵數(shù)據(jù)，如軟件包、配置文件等，定期復(fù)制到備份機(jī)中保持同步。一旦主用機(jī)退服，立即激活備份機(jī)的配置數(shù)據(jù)，并將主用機(jī)負(fù)載全部切換到備份機(jī)上，則備份機(jī)全面接管主用機(jī)身份與功能，恢復(fù)通信服務(wù)。

（2）配置文件冗余備份

TETRA網(wǎng)絡(luò)支持主備歸屬用戶寄存器HLR冗余，即對(duì)應(yīng)歸屬交換機(jī)的主用HLR，可在另一臺(tái)交換機(jī)上配置備份HLR。歸屬交換機(jī)將靜態(tài)的用戶管理數(shù)據(jù)定期復(fù)制到備份 HLR；而動(dòng)態(tài)的移動(dòng)性管理數(shù)據(jù)則隨時(shí)通過(guò)交換機(jī)間信令鏈路自動(dòng)復(fù)制，實(shí)現(xiàn)主備同步。一旦歸屬交換機(jī)退服，立刻激活備用HLR，同時(shí)修改其他交換機(jī)的號(hào)碼分析指向備用HLR，則備用HLR接替主用HLR，用戶管理與移動(dòng)性管理恢復(fù)正常。

（3）傳輸鏈路冗余備份

TETRA網(wǎng)絡(luò)支持交換機(jī)間傳輸鏈路網(wǎng)狀連接與備份路由功能。一旦某兩個(gè)交換機(jī)間傳輸鏈路中斷，網(wǎng)絡(luò)會(huì)根據(jù)交換機(jī)路由表設(shè)置，自動(dòng)將跨接這兩個(gè)交換機(jī)的呼叫通過(guò)其它交換機(jī)間路由迂回建立，保持通信服務(wù)的連續(xù)性。鑒于傳輸鏈路的可靠性往往低于交換機(jī)，網(wǎng)狀連接與備份路由機(jī)制可顯著提高核心交換網(wǎng)絡(luò)的整體可靠性。

3.2.2 基站系統(tǒng)架構(gòu)安全

基站系統(tǒng)作為 TETRA網(wǎng)絡(luò)的無(wú)線基礎(chǔ)設(shè)施，在設(shè)備故障、傳輸中斷、接入交換機(jī)退服時(shí)，也應(yīng)具備冗余備份能力。

（1）雙站覆蓋

TETRA網(wǎng)絡(luò)支持基站1+1冗余備份，即在單站站址上設(shè)置雙基站，可成倍提高服務(wù)的可用性，但也成倍增加運(yùn)營(yíng)成本，僅在核心區(qū)域考慮使用。通常作法是加大網(wǎng)內(nèi)重點(diǎn)或熱點(diǎn)區(qū)域基站分布密度，利用相鄰基站重疊覆蓋提高該區(qū)域保障能力。同時(shí)，每一個(gè)基站都應(yīng)有兩條以上、獨(dú)立路由的鏈路接入交換機(jī)，并在傳輸層實(shí)現(xiàn)SDH環(huán)保護(hù)，提高基站系統(tǒng)的整體可靠性。

（2）交織連接

TETRA網(wǎng)絡(luò)支持基站“交織連接”，即將重疊覆蓋的相鄰基站分別接入不同交換機(jī)，實(shí)現(xiàn)網(wǎng)絡(luò)在無(wú)線接入層面的互為熱備。交織連接不需要額外投資，災(zāi)難時(shí)也無(wú)需人工干預(yù)，當(dāng)某一交換機(jī)出現(xiàn)故障，周邊相鄰基站仍正常工作，使網(wǎng)絡(luò)覆蓋缺損減低到最小?！爸丿B覆蓋+交織連接”組網(wǎng)方式，可有效提高服務(wù)可用性，缺點(diǎn)是會(huì)導(dǎo)致跨基站的呼叫量和漫游登記大大增加，加重交換機(jī)間信令與話務(wù)量負(fù)荷。

（3）傘狀覆蓋

TETRA網(wǎng)絡(luò)支持在網(wǎng)內(nèi)架設(shè)一個(gè)或多個(gè)高站，形成大區(qū)域“傘狀覆蓋”，并相應(yīng)提高其設(shè)備配置、供電及傳輸鏈路的安全等級(jí)。常態(tài)情況下，高站不啟用或僅服務(wù)某類特殊用戶，避免吸引大量用戶引發(fā)通信擁堵。一旦網(wǎng)絡(luò)出現(xiàn)大面積通信中斷，則緊急啟用高站，并采取必要管控措施，確保重要用戶及關(guān)鍵勤務(wù)通信暢通。

3.2.3 增值應(yīng)用系統(tǒng)架構(gòu)安全

TETRA網(wǎng)絡(luò)支持增值應(yīng)用服務(wù)，如短信息、GPS定位等。增值應(yīng)用系統(tǒng)通?；贗P網(wǎng)絡(luò)構(gòu)建，容易遭受IP網(wǎng)絡(luò)常見(jiàn)安全威脅，如病毒、木馬、黑客等。出于網(wǎng)絡(luò)整體安全考慮，避免“木桶效應(yīng)”，應(yīng)根據(jù) TETRA網(wǎng)絡(luò)的安全保障要求，對(duì)增值應(yīng)用系統(tǒng)實(shí)施相應(yīng)安全等級(jí)保護(hù)，并采取如下措施：

① 將增值應(yīng)用系統(tǒng)建成為一個(gè)私有地址、星型連接、物理層或傳輸層隔離的專用網(wǎng)絡(luò)，即以應(yīng)用服務(wù)器為中心節(jié)點(diǎn)，以專線方式接入用戶客戶端，并與國(guó)際互聯(lián)網(wǎng)等其他任何網(wǎng)絡(luò)安全隔離，屏蔽外來(lái)威脅；

② 在應(yīng)用服務(wù)器區(qū)，配置用戶認(rèn)證、入侵檢測(cè)、病毒網(wǎng)關(guān)等安全設(shè)備，抵御內(nèi)部攻擊；在用戶接入節(jié)點(diǎn)，利用防火墻、交換機(jī)等實(shí)施網(wǎng)段隔離，將來(lái)自用戶端的安全威脅限制在局部區(qū)域內(nèi)，防止威脅擴(kuò)散。

3.3 頻率保護(hù)安全

TETRA網(wǎng)絡(luò)同樣對(duì)無(wú)線電頻譜依賴性很大，一旦發(fā)生頻率干擾，尤其是上行干擾，會(huì)直接導(dǎo)致基站接收信噪比惡化，承載能力降低，通信質(zhì)量明顯下降。

由于運(yùn)營(yíng)商不具備查處干擾源的執(zhí)法權(quán)，在遭遇干擾時(shí)比較被動(dòng)，除了申告無(wú)線電管理部門外，僅能采取有限規(guī)避措施：

① 對(duì)于上行干擾，基站能夠主動(dòng)發(fā)現(xiàn)并報(bào)警，可以嘗試調(diào)整基站的工作頻點(diǎn)，避開(kāi)干擾頻段，或者暫時(shí)關(guān)閉基站，讓用戶切換到鄰近正?；鞠率褂茫?/p>

② 對(duì)于下行干擾，基站無(wú)法自主發(fā)現(xiàn)，只能等用戶投訴后由運(yùn)維人員綜合判斷或現(xiàn)場(chǎng)測(cè)試確定，解決辦法也只能是讓用戶暫時(shí)離開(kāi)干擾區(qū)域。

3.4 擁堵控制安全

TETRA網(wǎng)絡(luò)作為日常城市管理、重大活動(dòng)保障及突發(fā)事件處置指揮調(diào)度平臺(tái)，話務(wù)量分布有一個(gè)顯著特點(diǎn)：常態(tài)情況下，全網(wǎng)話務(wù)量較低，分布平穩(wěn)且有典型時(shí)間統(tǒng)計(jì)規(guī)律；突發(fā)事件時(shí)，事件區(qū)域往往會(huì)激增大話務(wù)量，遠(yuǎn)超過(guò)該區(qū)域設(shè)計(jì)承載能力。

網(wǎng)絡(luò)在規(guī)劃設(shè)計(jì)時(shí)，雖然考慮到應(yīng)對(duì)非常態(tài)情況，但是將全網(wǎng)承載能力指標(biāo)定得很高是不現(xiàn)實(shí)、也不經(jīng)濟(jì)的，而突發(fā)事件的隨機(jī)性與用戶行為的不可預(yù)知性等因素，會(huì)不可避免導(dǎo)致網(wǎng)絡(luò)出現(xiàn)局部嚴(yán)重?fù)矶?。此時(shí)，應(yīng)采取有效措施實(shí)施擁堵控制：

（1）基站載波緊急擴(kuò)容

TETRA網(wǎng)絡(luò)單基站滿配置為8載波，相比4載波配置，信道數(shù)量增加1倍，話務(wù)量承載能力增加1.5倍（2%呼損）。在擁堵基站尚未滿配且有擴(kuò)容空間條件下，實(shí)施載波擴(kuò)容，能迅速緩解擁堵。同時(shí)，可緊急調(diào)派移動(dòng)基站車趕赴現(xiàn)場(chǎng)，幫助分擔(dān)用戶和話務(wù)量。

（2）調(diào)整基站覆蓋范圍

如果擁堵基站周邊有負(fù)荷較輕的鄰站，可通過(guò)縮小擁堵基站有效覆蓋范圍，將部分用戶移交到鄰站下使用，減輕擁堵基站負(fù)荷。宜采用提高擁堵基站接入電平閾值方法，達(dá)到縮小覆蓋范圍效果，避免直接降低發(fā)射功率引起終端接收信噪比下降；同時(shí)，適度提高鄰站發(fā)射功率，擴(kuò)大覆蓋范圍，幫助吸引用戶和話務(wù)量。

（3）限制數(shù)據(jù)業(yè)務(wù)應(yīng)用

目前TETRA網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)應(yīng)用，需要主控信道傳輸。頻繁發(fā)送的業(yè)務(wù)數(shù)據(jù)會(huì)與用戶呼叫請(qǐng)求競(jìng)爭(zhēng)主控信道資源，導(dǎo)致呼叫信令得不到及時(shí)處理產(chǎn)生排隊(duì)。因此，對(duì)于 TETRA網(wǎng)絡(luò)上開(kāi)展的數(shù)據(jù)業(yè)務(wù)應(yīng)用，必須嚴(yán)格遵循“話音優(yōu)先”原則，確保各種應(yīng)用對(duì)信令信道帶寬占用總和不超過(guò)主控信道最大負(fù)荷的 70%[5]。一旦發(fā)現(xiàn)因數(shù)據(jù)業(yè)務(wù)應(yīng)用導(dǎo)致主控信道繁忙，應(yīng)能夠通過(guò)空中接口遠(yuǎn)程調(diào)整用戶端應(yīng)用參數(shù)，降低發(fā)送頻率或關(guān)閉應(yīng)用，緩解主控信道壓力。

4 國(guó)內(nèi)現(xiàn)狀、存在問(wèn)題及建議

對(duì)于TETRA數(shù)字集群網(wǎng)技術(shù)，中國(guó)沒(méi)有自主知識(shí)產(chǎn)權(quán)，也尚不具備商業(yè)化生產(chǎn)網(wǎng)絡(luò)系統(tǒng)設(shè)備的產(chǎn)業(yè)能力。目前，國(guó)內(nèi)部署的TRTRA網(wǎng)絡(luò)全部依賴進(jìn)口，在鑒權(quán)、空中接口加密、端到端加密應(yīng)用上存在一定安全風(fēng)險(xiǎn)：一方面，國(guó)外廠商對(duì)核心算法保密，僅提供“黑匣子”供用戶使用；另一方面，中國(guó)對(duì)于進(jìn)口密碼產(chǎn)品有嚴(yán)格管理規(guī)定，無(wú)論其安全強(qiáng)度如何都不允許直接使用。國(guó)內(nèi)TETRA網(wǎng)絡(luò)普遍啟用了基站對(duì)終端單向鑒權(quán)，因?yàn)殍b權(quán)的主要目的是識(shí)別合法與非法用戶，并不涉及通信業(yè)務(wù)的具體內(nèi)容，中國(guó)密碼管理部門沒(méi)有強(qiáng)制要求使用自主研發(fā)的鑒權(quán)算法；對(duì)于空中接口和端到端加密，除了軍隊(duì)，采用加密手段的基本沒(méi)有[6]。

筆者認(rèn)為，只要加強(qiáng)安全管理，在國(guó)內(nèi)應(yīng)用 TETRA數(shù)字集群網(wǎng)還是安全的：①相比其他移動(dòng)通信網(wǎng)絡(luò)，數(shù)字集群網(wǎng)的核心競(jìng)爭(zhēng)力在于快速、靈活、豐富的“語(yǔ)音調(diào)度”功能，而非強(qiáng)調(diào)網(wǎng)絡(luò)帶寬與數(shù)據(jù)傳輸能力。TETRA網(wǎng)絡(luò)雖然廣泛應(yīng)用于涉密部門，但業(yè)務(wù)應(yīng)用也僅限于語(yǔ)音調(diào)度或短數(shù)據(jù)，并不用于傳送涉密文件；②指揮調(diào)度的最大特點(diǎn)是調(diào)度指令的“時(shí)效性”，雖然空中接口開(kāi)放，存在被監(jiān)聽(tīng)風(fēng)險(xiǎn)，但是每一條調(diào)度指令在無(wú)線信道的生存時(shí)間很短，平均十秒左右，事后分析則喪失其安全時(shí)效性。加之TETRA網(wǎng)絡(luò)的準(zhǔn)傳輸集群模式與隱藏用戶識(shí)別碼等功能，能有效抵御用戶跟蹤與完整通話監(jiān)聽(tīng)；③對(duì)于通信安全有特殊要求的用戶或應(yīng)用場(chǎng)合，應(yīng)采用“密語(yǔ)”通話，嚴(yán)禁明話傳達(dá)涉密信息。

關(guān)于如何加強(qiáng)國(guó)內(nèi) TETRA數(shù)字集群網(wǎng)安全保障體系建設(shè)，有以下幾點(diǎn)建議：

① 加大對(duì)于鑒權(quán)、加密等核心算法的研發(fā)和產(chǎn)品化投入力度，建立健全相應(yīng)的密鑰管理與網(wǎng)絡(luò)信任體系；在引進(jìn)國(guó)外TETRA網(wǎng)絡(luò)設(shè)備時(shí)，要求設(shè)備廠商承諾為集成國(guó)內(nèi)自主研發(fā)加密產(chǎn)品提供授權(quán)與技術(shù)支持；加強(qiáng)對(duì)于進(jìn)口TETRA協(xié)議分析儀器的審批、監(jiān)管和登記備案；

② 對(duì)于政府部門使用TETRA網(wǎng)絡(luò)，應(yīng)嚴(yán)格遵照公安部、國(guó)家保密局《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》相關(guān)要求，實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)，加強(qiáng)安全管理、隱患排查與風(fēng)險(xiǎn)評(píng)估，及時(shí)消除或降低不安全因素；

③ 加強(qiáng)通信安全應(yīng)急響應(yīng)能力建設(shè)，針對(duì)可能出現(xiàn)的安全事件、網(wǎng)絡(luò)故障、通信擁堵等情況，制定切實(shí)可行的應(yīng)急預(yù)案，加強(qiáng)應(yīng)急演練，提高隊(duì)伍素質(zhì)，做好備品備件及移動(dòng)基站車、直放站、油機(jī)等物資儲(chǔ)備，提升應(yīng)急通信保障能力。

5 結(jié)語(yǔ)

TETRA數(shù)字集群網(wǎng)安全保障體系建設(shè)是一個(gè)貫穿其整個(gè)生命周期的系統(tǒng)工程，遵照中國(guó)信息安全保障工作關(guān)于“積極防御、綜合防范”基本方針，在網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段，就應(yīng)從信息安全整體全局的高度出發(fā)，立足長(zhǎng)遠(yuǎn)、統(tǒng)籌規(guī)劃，明確界定服務(wù)對(duì)象的用戶范圍與安全定位，充分認(rèn)識(shí)所面臨的安全形勢(shì)與風(fēng)險(xiǎn)威脅，研究制定安全保障體系的目標(biāo)、策略和保護(hù)等級(jí)；在網(wǎng)絡(luò)建設(shè)與運(yùn)營(yíng)階段，應(yīng)立足國(guó)情、綜合平衡，堅(jiān)持管理制度、安全技術(shù)與人才培養(yǎng)三要素有機(jī)結(jié)合與均衡發(fā)展，不斷跟蹤研究國(guó)內(nèi)外政治局勢(shì)、安全態(tài)勢(shì)、科技發(fā)展等對(duì)網(wǎng)絡(luò)安全的影響及應(yīng)對(duì)措施，構(gòu)筑適用完備、整體安全、可持續(xù)發(fā)展的安全保障體系。

[1] 虞忠輝.TETRA數(shù)字集群移動(dòng)通信系統(tǒng)的安全保密研究[J].通信技術(shù),2003(05)：87-88.

[2] ETS 300 392-7. Radio Equipment and SystemsTrans-European Trunked Radio Voice plus Data(V+D) Part 7： Security[S].France：EuropeanTelecommunications Standards Institute,1996.

[3] 羅冠洲,葛春宇,吳喆.TETRA系統(tǒng)端到端加密方式中的密鑰管理[J].信息安全與通信保密,2008(08)：97-101.

[4] 孫昕.TETRA數(shù)字集群系統(tǒng)的虛擬專網(wǎng)[J].移動(dòng)通信,2002(05)：34-39.

[5] 范文躍,詹志強(qiáng).TETRA數(shù)字集群增值應(yīng)用研究[J].信息安全與通信保密,2006(10)：155-157.

[6] 鄭祖輝.簡(jiǎn)析TETRA系統(tǒng)的安全性[J]. 電信快報(bào),2003(09)：5-7.