融合通信系统的融合应用
2022-03-21王璐张春慧
王璐 张春慧
1.甘肃省公安厅科技信通处;2.北京迅安网络系统有限责任公司
长久以来,通信技术的主要发展动力来自公网,5G、人工智能等各种新技术也是最先在公众用户领域落地。除军队以外的专网通信总是滞后于公网通信技术的发展,而且一直以集群组呼等传统通讯业务为主。但在以打击犯罪、维护治安稳定的公安领域,公安机关一方面需要紧跟公网发展的脚步,不断夯实专网通信的基础;同时也要最大限度的利用公网资源,才能高效及时完成各种实战任务。在融合需求的驱动下,各级公安机关开始探索公专网融合、宽窄带融合的融合通信网络和融合通信业务系统,本文主要探讨如何实现公安专网通信业务和公网业务的融合。
1 公安领域通信系统现状
公网通信系统:公网通信不是指运营商提供的打电话、发短信等传统通信业务,而是基于运营商数据通道建设的新型通信业务,如VoIP、电话会议、视频会议等。
专网通信系统:以警用PDT数字集群系统为主,部分地市公安机关也实现了宽带专网集群系统,但也仅局限于集群通信业务,相当于在集群呼叫的基础上加上了图像,并且有通话时长限制,跟公网通信中的视频会议差别很大。同时由于引入宽带业务,也为专网通信引入了很多安全隐患。
窄带警用PDT数字集群系统为半双工无线通信系统,其工作原理为发送端和接收端轮流占用信道进行信息通信,其本质是单向通信的升级,通过两个单向通信合成一个双向通信业务。半双工系统的优势在于节约无线频率资源,系统构造简单,故障率低,主要用于大规模集群调度通信。窄带集群通信应用层面有信源加密(NVOC),因此普遍认为是安全的。公网、专网通信系统融合的目的是为了更好的实现多层级、多线条间的互联互通,特别是在指挥机关,通过一套通信系统融合各通信平台,实现与各种不同网络、不同系统、不同终端用户间的融合通信,打造全方位的应急通信指挥调度系统。
2 系统间融合应用问题
为了解决各通信系统烟囱林立,各自为战的局面,多年来,公安机关一直在研究如何将多种通信系统进行融合,实现统一使用、统一调度。系统间融合应用主要来自于两个需求的驱动:
2.1 通信系统互联需求
公网通信系统和专网通信系统承载的业务不同。公网通信系统是基于运营商提供的数据链路建设,形态多种多样。3G到4G、5G的发展,主要靠的是这种通过数据链路承载的互联网上网业务,甚至运营商提供的传统通信业务也有逐渐被公网互联网应用替代的趋势,如微信语音逐渐替代了打电话,QQ、微信等即时通信软件替代了发短信。移动警务应用使用的APN/VPDN专线,原理与公网互联网上网业务相同,是运营商通过不同层次的VPN技术实现的专线,与互联网上网通道逻辑隔离。在4G网络时代,APN/VPDN专线和互联网上网业务共用运营商提供的网络基础设施。专线用户和公众用户地位相同,如果公网重载的情况下,专线用户的接入也得不到保障。这也是公安、应急等领域建设自己的通信专网的原因。但5G出现之后,运营商对待公众用户和行业用户不再是一视同仁,5G智能切片技术可以针对行业用户进行资源预留、优先调度,从而为行业用户构造一张不受公众用户业务影响的通信专网。
在5G出现之前,由于公网无法为行业用户提供有质量保证的专线服务,因此很多对于安全性、可靠性要求较高的行业都建设了自己的通信专网。例如公安领域的警用PDT数字集群系统。PDT系统采用专用频率(350M),终端、网络、核心网都是公安自己建设。但公安领域的专网通信系统承载业务比较单一,主要有两种类型:一是以语音通话和短消息为主的集群通信业务;二是视频监控或图传业务。
要实现融合通信系统或者融合应用首先需要实现公网和专网的互联互通。不同网络之间互联互通需要穿网闸。由于公网、专网承载的业务系统不同,业务互通首先要做的是统一协议和数据接口。公专网通信系统的互联互通主要依赖于互联网关实现公专网通信业务系统的协议统一和接口统一。
2.2 应用融合需求
通信系统以为用户提供通信服务为目的。运营商最开始的网络建设都是在以完善和发展通信业务为目的开展。专网通信也是如此,如集群对讲业务通过PDT专网承载,视频业务通过视频专网承载。这显然与公网的发展方向相悖。未来随着物联技术的发展,各种物联终端、智能穿戴设备出现,不可能每出现一种形态的终端就要建设一套从无线、承载、核心网、到业务平台的专网,尤其是频谱资源,更是到了濒临匮乏的边缘。因此通过公网、共网(行业用户共用的网络)和有限的几张专网来承载融合应用,才是通信系统未来发展的方向。随着大数据、人工智能技术的发展,不同类型的网络都只是通道而已,融合应用部署在云平台上,所有的终端都指向这个集中式的融合应用系统。不同的终端就像人体具有不同能力的感知器官,依托于终端上的应用来完成感知任务,而融合应用系统就是一个“智慧大脑”,收集外部世界的信息和数据,运用人工智能、机器学习等先进技术,进行判断决策和指挥调度。
2.2.1 通信系统互联
警用PDT数字集群系统属于专网系统,公网的VoIP、电话会议、视频会议属于公网应用。移动警务平台主要用于承载公网应用。移动警务应用的接入采用运营商提供的APN/VPDN专线,与互联网逻辑隔离。平台侧不同网络之间采用网闸实现物理隔离,通过业务网关完成业务系统的融合互通。如图1所示。
图1 公网和专网通信系统互联Fig.1 Public network and private network communication system interconnection
(1)网闸:网络层面互联。网闸类似于串联的两个开关,两个开关不能同时打开。任何一个时间点只有一个开关处于打开状态。用网闸隔离的两张网络可以看作是物理隔离,天生能阻断所有网络攻击,在网闸前的前置服务器上部署恶意代码检测引擎可以杜绝恶意代码。(2)互联网关:业务层面互联。互联网关的主要功能是统一协议和数据格式。不同业务系统使用的应用协议可能不同,同一种协议也有不同的数据格式。互联网关除了要完成协议统一之外,也要完成数据格式的统一,才能真正实现业务互联互通。
2.2.2 融合应用
在公安领域,目前公网通信系统和专网通信系统通过独立的网络承载。公网通信系统的能力包括VoIP语音通信功能、短消息通信功能、电话会议、视频会议等。专网通信系统的能力包括单呼、组呼、个发短信、群组短信等集群功能。融合应用需要在在应用能力上进行融合,同时支持公网通信业务能力和专网通信业务能力。因为公网的应用灵活多样,所以应用融合以公网为主,将专网通信设备提供的通信能力融合进来。针对公网和专网通信系统已有的业务能力,融合应用可具备以下几种功能。其中有一些能力只能在公网上使用称为公网应用能力,有一些能力公网和专网通信终端都可以参与,则称为融合应用能力。由于公网应用能力多种多样,无法穷举,我们此处提到的公网应用能力,一是与通信能力相关,二是指是那种可以通过应用模式与专网通信能力结合起来使用的应用能力。融合通信系统的融合应用如图2所示:
图2 融合通信系统的融合应用Fig.2 Converged application of converged communication system
(1)视频会议(共享屏幕):公网应用能力。疫情防控期间,视频会议是支撑远程办公的主要手段,随着疫情防控常态化,今后视频会议的应用场景会越来越多。实际使用中,电话会议+桌面共享是远程办公最常用的功能。鉴于集群对讲机的能力有限,视频会议仍然属于公网应用能力,在使用过程中,我们可以将地图、多媒体短消息窗口等融合应用界面进行远程桌面共享,实现远程指挥调度的能力。(2)多媒体短消息(含图像、图片等文件回传):融合应用能力。多媒体文件传送仅限于公网用户之间,文本消息互通可结合专网短消息能力。(3)集群呼叫:融合应用能力。公网用户和专网用户都可以使用集群呼叫功能,按照向下兼容原则,集群呼叫功能的使用习惯上可按照集群对讲机的半双工模式进行,如集群呼叫功能模块的UI界面可设置PTT软键,按照对讲机按下讲话、松开结束通话的模式进行设计。(4)地图呈现:融合应用能力。可以在地图上实时呈现终端的位置、终端号码、类型(公网终端、专网终端)、状态(忙、闲)等信息。鉴于集群对讲机的能力有限,视频会议仍然属于公网应用能力,但显示的终端信息中包括专网用户。
2.2.3 融合后的实际应用问题
融合后实际应用问题主要是专网通信引入宽带之后的安全问题。公网语音加密、视频流加密一直是个大问题,智能手机的体积越来越小,由于硬件密码模块的性能因素限制,对于实时性要求较高的业务很难实现端到端业务加密,移动端操作系统对IPsec等管道加密协议支撑程度很差,考虑到公安业务数据高安全性要求,移动警务公网接入的情况下很长一段时间内不能建设打电话、视频会议等实时应用。移动警务智能手机型终端只能支撑数据应用。很大程度上限制了移动警务应用的发展。5G技术出现之后,互联网视频业务飞速发展。加之新冠疫情的影响,移动警务对于语音、视频应用的需求越来越强烈。由于公安领域的高安全性要求,要求我们通过融合应用提高便利性的同时,却不能以牺牲安全性为代价。如何解决这个矛盾是融合应用需要重点考虑的问题。
很长一段时间,人们一提到安全就会想到加密。但加密不是安全的唯一解决方案。首先,不存在绝对安全的加密算法,所有的加密算法都可以破解,只是时间和投入成本的问题;其次,加密算法具有时效性,再安全的加密算法随着时间的流逝都有被破解的可能;最后,降低可用性本身就是个安全问题,例如DDoS攻击就是以破坏可用性为目的的安全威胁。除了加密以外,我们还可以通过以下途径来增加安全水平:
(1)认证鉴权:确保非法用户不能接入,类似于门岗查证,这是最常见的安全手段,代价小(只需要发个证书)、效果好(可将绝大多数的非法用户排除在外)。通过X.509数字证书,结合非对称加密算法和摘要算法,可进一步提升认证的安全水平,杜绝中间人攻击、回放攻击等威胁。对合法用户也要进行权限控制,对用户或终端进行最小化授权。(2)安全管控:周期性健康监测,一旦发现异常立即对终端进行远程操作,如数据擦除、断网、恢复出厂等。(3)可信计算:动态度量、静态度量,确保终端上安装的软硬件可信,没有后门,不存在恶意代码。(4)IPDS:平台侧进行网络攻击和恶意代码检测,结合防火墙等设备进行防御。
3 融合解决方案的思考
除了警用PDT集群系统以外,公安领域还有很多专网,如宽带专网、公安卫星通信网、微波、视频专网等。大部分专网用于承载专用终端,如集群终端、卫星通信车、微波通信车、视频前端等。这些专网在与公网(主要是智能手机型移动警务终端)进行融合时都可以从本文描述的两个维度出发,即通信系统的互联互通和应用融合。通过这两个层面的融合可以实现端到端的终端融合、网络融合、继而是应用融合,为警务用户提供便利、提高警务实战任务的执行效率,为构建公安智慧大脑奠定基础。