公安無線傳輸鏈路安全接入研究和探討

周昕 張春慧 公安部第一研究所

引言

公安領(lǐng)域存在多種無線通信網(wǎng)絡(luò)，如公網(wǎng)、PDT窄帶集群專網(wǎng)、基于B-TrunC技術(shù)建設(shè)的1447MHz寬帶集群專網(wǎng)，還有340MHz頻段的公安應急圖傳專網(wǎng)、1430MHz頻段的警用航空器專網(wǎng)，以及衛(wèi)星、微波等其它專用網(wǎng)絡(luò)或?qū)Ｓ面溌?，未來還會基于公用頻段或?qū)Ｓ妙l段建設(shè)安全無線局域網(wǎng)。

公安無線通信網(wǎng)除了承載集群調(diào)度等傳統(tǒng)通信業(yè)務以外，還可提供用于數(shù)據(jù)業(yè)務接入的無線傳輸鏈路，支撐多形態(tài)移動終端數(shù)據(jù)應用的接入。

目前，在公安無線通信新體系的規(guī)劃建設(shè)中，各地公安用戶對于無線通信鏈路的管理方式多樣、形式不一，對無線鏈路資源的統(tǒng)一監(jiān)管還存在空白。移動業(yè)務需求激增導致目前的管理方式存在一定的安全隱患。因此，各地用戶在構(gòu)建無線傳輸鏈路、實現(xiàn)無線業(yè)務接入時，多次提出了對多形態(tài)無線專用傳輸鏈路的安全接入、鏈路監(jiān)測和業(yè)務路由管控等需求，以通過安全管理、主動防御的方式確保移動終端實戰(zhàn)應用時的安全性。

本文結(jié)合公安無線異構(gòu)通信網(wǎng)絡(luò)的特點，對各種無線傳輸鏈路進行分析，并對通信鏈路層面的安全接入和管理機制進行了研究和探討，為各地公安機關(guān)開展無線專用鏈路建設(shè)和終端安全接入提供參考借鑒。

一、無線傳輸鏈路分類

按建設(shè)主體劃分，公安無線通信網(wǎng)可以分為公網(wǎng)、專網(wǎng)和共網(wǎng)。公網(wǎng)指的是運營商3G、4G、5G網(wǎng)絡(luò)。專網(wǎng)根據(jù)通信制式可以分為：PDT窄帶數(shù)字集群通信網(wǎng)、BTrunC寬帶數(shù)字集群網(wǎng)絡(luò)、安全無線局域網(wǎng)、公安應急圖傳網(wǎng)（340MHz）、公安衛(wèi)星無線通信網(wǎng)（ku波段）等。其中，B-TrunC網(wǎng)絡(luò)有以專網(wǎng)模式建設(shè)的情況，如基于1447MHz頻段建設(shè)的寬帶集群專網(wǎng)，以及基于1430MHz頻段建設(shè)的警用航空器對空圖傳專網(wǎng)；也有以共網(wǎng)模式建設(shè)的情況，如基于1447MHz頻段建設(shè)的政府集群共網(wǎng)。

PDT警用數(shù)字集群專網(wǎng)是基于350MHz頻段建設(shè)，采用大區(qū)制組網(wǎng)方式，主要用于承載語音、短消息等窄帶業(yè)務。為避免對警用集群業(yè)務的可靠性造成影響，PDT專網(wǎng)不提供接入業(yè)務網(wǎng)的無線傳輸鏈路。除PDT之外的其它公安無線通信網(wǎng)都可以提供用于承載數(shù)據(jù)業(yè)務的無線傳輸鏈路，接入公安移動信息網(wǎng)或公安視頻傳輸網(wǎng)等業(yè)務網(wǎng)絡(luò)。

下文分別介紹公網(wǎng)鏈路、B-TrunC寬帶專網(wǎng)/共網(wǎng)鏈路、公安應急圖傳鏈路、衛(wèi)星/微波鏈路、安全無線局域網(wǎng)鏈路的承載網(wǎng)網(wǎng)絡(luò)架構(gòu)和接入方法。

（一）公網(wǎng)鏈路

公網(wǎng)發(fā)展歷經(jīng)了1G、2G、3G、4G，到如今的5G。每代移動通信網(wǎng)絡(luò)的核心網(wǎng)技術(shù)也在不斷的發(fā)展過程中。

（1）在2G/3G網(wǎng)絡(luò)中，CS（Circuit Switch）域和PS（Packet Switch）域相互獨立，CS域負責電路交換，PS域負責包交換。打電話、發(fā)短信等通信業(yè)務通過CS域承載，數(shù)據(jù)上網(wǎng)業(yè)務通過PS域承載。

（2）EPC是4G網(wǎng)絡(luò)（LTE網(wǎng)絡(luò)）的核心網(wǎng)系統(tǒng)，主要職責是實現(xiàn)接入網(wǎng)與不同的PDN（Public Data Network）互聯(lián)。4G網(wǎng)絡(luò)時，電路域演變?yōu)镮MS網(wǎng)絡(luò)，成為與互聯(lián)網(wǎng)、行業(yè)專網(wǎng)位置同等的PDN網(wǎng)絡(luò)。行業(yè)專網(wǎng)通過專用APN承載，與互聯(lián)網(wǎng)APN邏輯隔離。專用APN與互聯(lián)網(wǎng)APN一樣，只能保證網(wǎng)絡(luò)連通性。EPC主要包含四種網(wǎng)元：HSS、MME、SGW和PGW。通信用戶的鑒權(quán)認證主要由HSS完成。公安側(cè)可部署LNS路由器和AAA服務器，完成專用APN用戶的二次鑒權(quán)認證。

（3）5G時代主要解決工業(yè)互聯(lián)問題。通過RB資源預留、QoS優(yōu)先級調(diào)度策略、FlexE、UPF專屬下沉等智能切片技術(shù)確保行業(yè)專網(wǎng)業(yè)務的優(yōu)先接入和優(yōu)先調(diào)度。

運營商核心網(wǎng)包括人網(wǎng)核心網(wǎng)和物網(wǎng)核心網(wǎng)，分別對應人網(wǎng)SIM卡和物聯(lián)SIM卡的運營、計費和管理。人網(wǎng)核心網(wǎng)和物網(wǎng)核心網(wǎng)可以相互獨立，也可以物理共享，通過不同APN/DNN進行邏輯隔離，如圖1所示。

（二）B-TrunC寬帶專網(wǎng)/共網(wǎng)鏈路

B-TrunC寬帶專網(wǎng)/共網(wǎng)基于LTE技術(shù)建設(shè)，作為無線傳輸鏈路承載網(wǎng)絡(luò)時，B-TrunC核心網(wǎng)的構(gòu)成與LTE EPC分組核心網(wǎng)完全一致。

目前，B-TrunC共網(wǎng)大多基于RAN-Sharing方式建設(shè)，不同行業(yè)用戶在共網(wǎng)上部署了完整的核心網(wǎng)系統(tǒng)，包括用戶面和控制面。在這種情況下，B-TrunC共網(wǎng)和專網(wǎng)無線傳輸鏈路接入時采用同樣的接入控制策略。

B-TrunC寬帶專網(wǎng)/共網(wǎng)提供兩種類型的服務：

（1）寬帶集群通信業(yè)務服務；

（2）承載APP應用的無線傳輸鏈路服務。

其中寬帶集群通信業(yè)務包括語音和短信業(yè)務，無線傳輸鏈路采用專用APN接入，如圖2所示。

寬帶集群通信業(yè)務通道和無線傳輸鏈路在通信網(wǎng)域邏輯隔離。B-TrunC網(wǎng)絡(luò)提供的寬帶集群通信業(yè)務可以在通信網(wǎng)域?qū)崿F(xiàn)與PDT窄帶集群通信業(yè)務的互聯(lián)互通和資源共享。

（三）公安應急圖傳鏈路

340MHz應急圖傳網(wǎng)絡(luò)主要用于圖像回傳。無線視頻終端南向有HDMI/SDI視頻接口、RJ45網(wǎng)線接口，筆記本電腦、打印機等有線數(shù)據(jù)終端可以通過這條通道接入對應業(yè)務平臺，如圖3所示。

數(shù)據(jù)終端承載的業(yè)務多種多樣。終端的計算能力越強、承載的業(yè)務種類越多，存在的安全風險就越高。傳統(tǒng)通信終端、視頻采集前端，只要通過認證鑒權(quán)、編解碼等方式確保應用層安全即可，但對于后續(xù)增加的數(shù)據(jù)業(yè)務并沒有相應的保護機制。因此，無線視頻終端作為網(wǎng)關(guān)接入數(shù)據(jù)終端時必須滿足智能網(wǎng)關(guān)型移動警務終端的安全要求。擴展接入的數(shù)據(jù)終端需要按照計算能力和承載業(yè)務能力進行分級（A/B/C級），并遵循對應的擴展類移動警務終端安全要求。

無線視頻終端可支持全雙工語音、視頻回傳和數(shù)據(jù)業(yè)務接入，因此在無線視頻核心網(wǎng)或網(wǎng)管側(cè)可以基于這些業(yè)務對無線視頻終端進行指揮調(diào)度。公安應急圖傳網(wǎng)絡(luò)的調(diào)度服務暫時沒有與公安集群調(diào)度業(yè)務互通的需求。

（四）衛(wèi)星/微波鏈路

衛(wèi)星鏈路是微波鏈路的一種特殊形態(tài)，可以看作是將數(shù)字微波接力站部署到太空中，極大地提高了信號的覆蓋范圍。

衛(wèi)星/微波鏈路與公安應急圖傳鏈路類似，主要提供無線傳輸鏈路，常用于無公網(wǎng)、寬帶專網(wǎng)覆蓋的地方。衛(wèi)星業(yè)務終端南向可輸出網(wǎng)線接口，筆記本電腦等數(shù)據(jù)終端可通過有線方式接入，如圖4所示。

作為網(wǎng)關(guān)型終端接入公安業(yè)務網(wǎng)絡(luò)時，衛(wèi)星業(yè)務終端必須滿足智能網(wǎng)關(guān)型移動警務終端的安全要求。擴展接入的數(shù)據(jù)終端要按照計算能力和承載業(yè)務能力進行分級（A/B/C級），并遵循對應的擴展類移動警務終端安全要求。

衛(wèi)星業(yè)務終端支持數(shù)據(jù)、語音、視頻業(yè)務。公安衛(wèi)星通信網(wǎng)的網(wǎng)管系統(tǒng)可按需分配衛(wèi)星頻率資源，對衛(wèi)星鏈路、設(shè)備參數(shù)和狀態(tài)進行監(jiān)測和控制，同時也可基于數(shù)據(jù)、語音、視頻業(yè)務對移動站進行融合調(diào)度。公安衛(wèi)星通信網(wǎng)提供的調(diào)度服務暫時沒有與公安集群調(diào)度業(yè)務互通的需求。

（五）安全無線局域網(wǎng)鏈路

除了以上幾種現(xiàn)存的公安無線通信網(wǎng)以外，公安領(lǐng)域也一直在探討如何構(gòu)建安全的無線局域網(wǎng)。

安全無線局域網(wǎng)存在兩種主要應用場景：一是安全無線局域網(wǎng)作為無線傳輸鏈路的承載網(wǎng)，提供終端直接連接到公安業(yè)務網(wǎng)絡(luò)的無線傳輸鏈路；二是安全無線局域網(wǎng)作為網(wǎng)關(guān)型終端和擴展終端之間端邊互聯(lián)鏈路的承載網(wǎng)。

如圖5所示是第一種情況的接入方式，移動終端配備STA模塊，通過安全無線局域網(wǎng)統(tǒng)一接入AP設(shè)備，AP通過有線鏈路與公安業(yè)務系統(tǒng)相連。第二種情況屬于移動警務端邊協(xié)同的范疇，移動終端作為擴展型終端通過STA模塊接入到網(wǎng)關(guān)型終端上，端邊互聯(lián)鏈路的安全接入和管控在網(wǎng)關(guān)型終端上完成。網(wǎng)關(guān)型終端可以通過有線或無線的方式接入到公安業(yè)務網(wǎng)絡(luò)。

二、安全管控機制

公安領(lǐng)域由于行業(yè)的特殊性，無線傳輸鏈路資源相對豐富，但之前一直缺乏統(tǒng)一的鏈路資源管理機制，其管道層面的安全大部分依靠通信網(wǎng)的基礎(chǔ)運維和管理機制來保障。

為了實現(xiàn)無線傳輸鏈路資源的安全管理和有效監(jiān)控，需要在通信網(wǎng)和業(yè)務網(wǎng)之間構(gòu)建無線接入?yún)^(qū)，實現(xiàn)通信用戶身份鑒別和管理、通信鏈路監(jiān)測、業(yè)務路由管控等通信鏈路層面的安全機制，結(jié)合流量分析技術(shù)還可以了解通信用戶的實時狀態(tài)和通信鏈路的使用情況。

無線接入?yún)^(qū)的主要能力包括：

（一）通信用戶的二次鑒權(quán)認證

通信用戶身份的鑒權(quán)認證一般在通信網(wǎng)側(cè)完成。公網(wǎng)和B-TrunC專網(wǎng)/共網(wǎng)提供的無線專用傳輸鏈路可分為兩段：APN/DNN和用戶側(cè)專線。APN/DNN鏈路的身份鑒權(quán)認證由核心網(wǎng)控制面網(wǎng)元HSS或UDM完成。當公網(wǎng)和BTrunC專網(wǎng)/共網(wǎng)為公安行業(yè)用戶提供用戶側(cè)專線時，必須在公安側(cè)通過LNS路由器+AAA服務器完成通信用戶身份的二次鑒權(quán)認證和授權(quán)管理。

AAA服務器的主要功能是基于SIM卡攜帶的用戶名、密碼等信息完成對通信用戶的身份認證和鑒權(quán)，還可以為通信用戶配置IP地址分配策略、多維綁定、黑名單、凍結(jié)名單等接入授權(quán)和接入限制策略。因此，基于AAA服務器上的用戶信息以及通信鏈路監(jiān)測的靜態(tài)信息（通信用戶身份ID、簽約信息等）可以實現(xiàn)對通信用戶身份的有效管理，保障公安移動設(shè)備的安全接入。

（二）通信鏈路監(jiān)測

公安領(lǐng)域存在多種異構(gòu)無線通信網(wǎng)絡(luò)，部分網(wǎng)絡(luò)可以為無線傳輸鏈路提供帶寬保障，如5G公網(wǎng)、公安應急圖傳網(wǎng)、公安衛(wèi)星/微波網(wǎng)絡(luò)等。5G網(wǎng)絡(luò)推出了網(wǎng)絡(luò)智能切片技術(shù)，可以通過軟切片（QoS優(yōu)先級調(diào)度策略）或硬切片（靜態(tài)資源預留）確保公網(wǎng)提供的無線傳輸鏈路的服務質(zhì)量。公安應急圖傳、衛(wèi)星等無線通信網(wǎng)絡(luò)也可設(shè)置無線傳輸鏈路的帶寬等指標。

為了擴大公安業(yè)務網(wǎng)絡(luò)的覆蓋范圍，提高公安移動應用的可靠性和業(yè)務體驗，需要通過通信鏈路監(jiān)測模塊搭建與異構(gòu)通信網(wǎng)之間的信息監(jiān)測接口，結(jié)合流量分析和鑒權(quán)認證系統(tǒng)完成對鏈路帶寬、鏈路狀態(tài)、網(wǎng)絡(luò)定位等信息的監(jiān)測和鏈路資源的統(tǒng)一管理。

（三）業(yè)務路由管控

由于公安領(lǐng)域存在多種通信網(wǎng)和業(yè)務網(wǎng)，需要通過業(yè)務路由管控來控制不同通信用戶到不同業(yè)務網(wǎng)絡(luò)的訪問流向。業(yè)務路由包括通信用戶身份信息和動態(tài)路由信息，前者為靜態(tài)信息。對于不同類型的無線傳輸鏈路，業(yè)務路由分布在不同的實體網(wǎng)元上：通信用戶身份信息和簽約帶寬等信息主要在通信網(wǎng)側(cè)，可通過構(gòu)建標準化通信鏈路監(jiān)測接口獲?。还W(wǎng)鏈路的業(yè)務路由和管控策略主要分布在AAA服務器上；動態(tài)業(yè)務路由和地址池等信息主要分布在LNS路由器上，通過LNS路由器管理接口或網(wǎng)管系統(tǒng)可以進行業(yè)務路由和地址池信息查詢。通過流量分析系統(tǒng)也可以獲取一些業(yè)務路由信息。由于通信用戶身份信息和業(yè)務路由信息分布在多個網(wǎng)元上，公安側(cè)需要部署能夠?qū)λ袩o線傳輸鏈路業(yè)務路由進行統(tǒng)一監(jiān)管的無線鏈路管控網(wǎng)關(guān)。

（四）流量分析

通信網(wǎng)提供的通信鏈路監(jiān)測能力主要監(jiān)測的是靜態(tài)信息，即無線傳輸鏈路帶寬信息。公安用戶要了解無線傳輸鏈路的實際使用情況，需要通過流量分析技術(shù)，基于端口鏡像、NetFlow/NetStream等采集技術(shù)，再按照IP地址、端口號、協(xié)議等維度進行流量特征分析。分析數(shù)據(jù)主要包括終端上下行速率、未加密流量速率和協(xié)議類型等。對于沒有進行應用層加密的業(yè)務流量，還可以進行流量還原和內(nèi)容檢測。特別是出于對移動端密碼載體性能以及業(yè)務體驗等約束的考慮，不建議對移動應用進行一刀切式的管道加密，應用加密一般由業(yè)務系統(tǒng)自行完成，依托流量分析技術(shù)還可以發(fā)現(xiàn)一些應用層的安全漏洞。

三、結(jié)語

無線通信技術(shù)的高靈活性除了給公安用戶帶來便捷之外，也會給警務數(shù)據(jù)安全帶來風險。因此通過無線傳輸鏈路實現(xiàn)公安業(yè)務接入時，如何對多形態(tài)無線傳輸鏈路資源進行有效管理、對鏈路的使用情況進行統(tǒng)一監(jiān)控，以確保移動終端始終在安全的環(huán)境下使用，是當前公安無線通信領(lǐng)域一個亟待解決的問題。本文分析多種無線通信網(wǎng)的網(wǎng)絡(luò)架構(gòu)、梳理公安可用的無線傳輸鏈路資源，通過通信用戶身份鑒別和管理、通信鏈路監(jiān)測、業(yè)務路由管控、流量分析等技術(shù)實現(xiàn)無線鏈路資源的可管可控。

本文提到的公安無線傳輸鏈路安全機制主要是從無線鏈路的管道層面提出，與公安業(yè)務網(wǎng)絡(luò)的安全機制相互獨立。因此，在采用移動終端承載公安業(yè)務并接入對應的業(yè)務平臺時，應構(gòu)建無線接入?yún)^(qū)，部署相應設(shè)備來實現(xiàn)本文所描述的安全管控能力。