警用數(shù)字集群安全保密技術(shù)研究

劉杰 王欽為 胡志鵬

摘要：隨著世界通信技術(shù)的迅猛發(fā)展，各類新型寬帶無線通信手段集體涌現(xiàn)，基于傳統(tǒng)數(shù)字通信技術(shù)的警用數(shù)字集群系統(tǒng)卻依然充滿活力，特別是在公安系統(tǒng)日常通勤、任務(wù)執(zhí)行中具有重要作用。隨著時代的發(fā)展，信息系統(tǒng)的安全保密需求日益凸顯，本文就警用數(shù)字集群的安全保密技術(shù)進行了分析，提出了現(xiàn)有安全保密技術(shù)上存在的不足，給出了初步的解決方案，并為警用數(shù)字集群的后續(xù)發(fā)展指出了一個方向。

關(guān)鍵詞：警用數(shù)字集群;安全保密;無線通信

引言

國外數(shù)字集群系統(tǒng)發(fā)展起步早，技術(shù)領(lǐng)先，歐洲主要采用TETAR數(shù)字集群標(biāo)準(zhǔn)。我國早期主要引入歐洲集群系統(tǒng)技術(shù)，并從模擬集群系統(tǒng)演進至數(shù)字集群系統(tǒng)，但是在安全保密接口上受制于國外技術(shù)封鎖，無法使用并進一步發(fā)展，因此中國開始發(fā)展完全自主知識產(chǎn)權(quán)的數(shù)字集群系統(tǒng)，該項目由公安部牽頭也主用于公安系統(tǒng)，因此稱為中國警用數(shù)字集群（Police Digital Trunking，簡稱PDT）。

一、警用數(shù)字集群發(fā)展概況

國內(nèi)數(shù)字集群發(fā)展概況

國內(nèi)為了建立具備完全自主知識產(chǎn)權(quán)的數(shù)字集群通信產(chǎn)業(yè)鏈，由公安部科技信息化部牽頭萬格數(shù)碼、東信、海能達等國內(nèi)企業(yè)，共同開發(fā)了中國警用數(shù)字集群通信標(biāo)準(zhǔn)PDT。中國警用數(shù)字集群系統(tǒng)的發(fā)展打破了國外企業(yè)對我國數(shù)字集群系統(tǒng)加密接口的技術(shù)封鎖，極大推動了我國警用數(shù)字集群安全保密技術(shù)的發(fā)展。

二、警用數(shù)字集群（PDT）安全保密技術(shù)

警用數(shù)字集群（PDT）主要安全保密手段有三層：第一層是用戶鑒權(quán)，作用于呼叫控制層（俗稱應(yīng)用層）;第二層為空口安全，作用于數(shù)據(jù)鏈路層;第三層是端到端安全，應(yīng)用于數(shù)據(jù)業(yè)務(wù)、分組數(shù)據(jù)業(yè)務(wù)、語音業(yè)務(wù)及電路數(shù)據(jù)業(yè)務(wù)，可以理解為端到端業(yè)務(wù)加密。

1.用戶鑒權(quán)

警用數(shù)字集群（PDT）的用戶鑒權(quán)是個雙向鑒權(quán)的機制，一方面是業(yè)務(wù)終端在入網(wǎng)前需在鑒權(quán)中心注冊登記為合法用戶，開機入網(wǎng)時生成鑒權(quán)碼（身份認證碼），發(fā)送至鑒權(quán)中心，確認自己為合法用戶;一方面服務(wù)器發(fā)送服務(wù)器端的鑒權(quán)碼至業(yè)務(wù)終端，確認自己為合法服務(wù)器。雙向鑒權(quán)成功以后，完成入網(wǎng)認證，具備開展業(yè)務(wù)條件。

鑒權(quán)相關(guān)的安全功能有：遙暈、遙斃和復(fù)活。

遙暈。遙暈是警用數(shù)字集群（PDT）管理系統(tǒng)，通過無線信道發(fā)送命令至業(yè)務(wù)終端，暫時取消該用戶的入網(wǎng)權(quán)限，后期可在線恢復(fù)其入網(wǎng)權(quán)限。

遙斃。遙斃是警用數(shù)字集群（PDT）管理系統(tǒng)，通過無線信道發(fā)送命令至業(yè)務(wù)終端，取消該用戶的入網(wǎng)權(quán)限，需攜帶加密芯片返回安全管理中心才能完成修復(fù)。

復(fù)活。復(fù)活是警用數(shù)字集群（PDT）管理系統(tǒng)，通過無線信道發(fā)送命令至業(yè)務(wù)終端，恢復(fù)遙暈用戶的入網(wǎng)權(quán)限。

業(yè)務(wù)終端入網(wǎng)和遙暈/遙斃/復(fù)活時必須進行鑒權(quán)，在越區(qū)切換、關(guān)機注銷、語音呼叫和數(shù)據(jù)業(yè)務(wù)時可選擇性進行。

2.空口安全

業(yè)務(wù)終端和PDT基站之間是無線信道，需對信道上傳輸?shù)男畔⑦M行加密保護。在PDT安全技術(shù)規(guī)范中，對空口安全的空口密鑰、空口密鑰算法、密鑰關(guān)系、空口加密、空口完整性保護、空口密鑰管理等方面都進行了詳細規(guī)定，但在目前國內(nèi)已經(jīng)建設(shè)的警用數(shù)字集群系統(tǒng)（PDT）中，空口安全措施目前還處于空缺狀態(tài)。

3.端到端業(yè)務(wù)加密

端到端業(yè)務(wù)加密主要分為端到端話音加密和端到端數(shù)據(jù)加密。

端到端語音加密。原始語音收集后通過AD/DA轉(zhuǎn)換器和聲碼器，形成明文語音幀，主控調(diào)用加密芯片對語音幀進行加密，并混合密鑰語音幀序列號進行無線發(fā)送;解密過程反向操作即可。

端到端數(shù)據(jù)加密。同其它分組數(shù)據(jù)信源加密方式類似，然后在原有數(shù)據(jù)頭之后附加控制信息的數(shù)據(jù)頭。

三、存在的不足與解決方案

1.存在的不足

實際系統(tǒng)中缺乏空口安全技術(shù)。盡管定制了詳細的技術(shù)規(guī)范，但在實際開發(fā)與應(yīng)用中，并未大面積推廣使用該技術(shù)，并推動空口技術(shù)的進一步發(fā)展。

加密通道數(shù)有限。目前警用數(shù)字集群（PDT）服務(wù)器端加解密過程需落地，服務(wù)器端加解密采用的是一對一密碼卡解密，即每一臺終端業(yè)務(wù)進行加密業(yè)務(wù)時，都需在服務(wù)器端獨立占用一臺密碼卡與之配對使用，服務(wù)器端配置的卡槽位置非常有限，無法支撐較大規(guī)模加密需求。

2.解決方案

空口安全需要全產(chǎn)業(yè)聯(lián)盟共同完成空口軟硬件開發(fā)與推廣應(yīng)用，本文主要對擴展加密通道提供一個初步方案。

針對加密通道有限的問題，可通過全新研制一款中心站安全保密服務(wù)器，取代眾多單個的加密卡來實現(xiàn)。密碼卡為嵌入業(yè)務(wù)終端（對講機尺寸）中使用，體積小于50*30*3mm，功耗在0.5W以內(nèi)，而中心站安全保密服務(wù)器可采用上架式機箱，在設(shè)備體積和功耗上幾乎不受限制，那么可選擇的主控芯片和加密芯片在性能上可提升3個數(shù)量級以上。上述案例在技術(shù)上完全具備可借鑒性。本文認為該技術(shù)發(fā)展方向具有充分的可行性。

四、警用數(shù)字集群（PDT）安全保密技術(shù)發(fā)展方向

世界范圍內(nèi)數(shù)字集群向軍民融合方向發(fā)展是一個重要趨勢，通過針對性加強安全保密性能，廣泛應(yīng)用于軍事訓(xùn)練、機場通信保障和重要目標(biāo)安保行動中。我國武警部隊現(xiàn)歸屬于軍委管轄，軍地協(xié)同任務(wù)中廣泛使用警用數(shù)字集群（PDT），對集群的安全保密性提出了更高要求，未來中國警用數(shù)字集群（PDT）應(yīng)重點加強兼容軍用保密需求的技術(shù)研究，積極研究如何在現(xiàn)有全國網(wǎng)絡(luò)上實現(xiàn)軍用級加密信息的傳輸，市場前景廣闊！

參考文獻：

[1]《GAT 1056-2013 警用數(shù)字集群（PDT）通信系統(tǒng)-總體技術(shù)規(guī)范》

[2] 《GAT 1059-2013 警用數(shù)字集群（PDT）通信系統(tǒng) 安全技術(shù)規(guī)范》

[3] 王長嵩，PDT數(shù)字集群基站關(guān)鍵技術(shù)研究與實現(xiàn)[D]，天津大學(xué)，2015.

[4] 劉冰炎.警用數(shù)字集群（PDT）標(biāo)準(zhǔn)淺析. 天津市電子工業(yè)協(xié)會2018年年會論文集.

[5] 時小喬.PDT數(shù)字對講機測試技術(shù)的研究與實現(xiàn)[D].西安電子科技大學(xué)，2014.