周昕 张春慧 公安部第一研究所

引言

公安领域存在多种无线通信网络，如公网、PDT窄带集群专网、基于B-TrunC技术建设的1447MHz宽带集群专网，还有340MHz频段的公安应急图传专网、1430MHz频段的警用航空器专网，以及卫星、微波等其它专用网络或专用链路，未来还会基于公用频段或专用频段建设安全无线局域网。

公安无线通信网除了承载集群调度等传统通信业务以外，还可提供用于数据业务接入的无线传输链路，支撑多形态移动终端数据应用的接入。

目前，在公安无线通信新体系的规划建设中，各地公安用户对于无线通信链路的管理方式多样、形式不一，对无线链路资源的统一监管还存在空白。移动业务需求激增导致目前的管理方式存在一定的安全隐患。因此，各地用户在构建无线传输链路、实现无线业务接入时，多次提出了对多形态无线专用传输链路的安全接入、链路监测和业务路由管控等需求，以通过安全管理、主动防御的方式确保移动终端实战应用时的安全性。

本文结合公安无线异构通信网络的特点，对各种无线传输链路进行分析，并对通信链路层面的安全接入和管理机制进行了研究和探讨，为各地公安机关开展无线专用链路建设和终端安全接入提供参考借鉴。

一、无线传输链路分类

按建设主体划分，公安无线通信网可以分为公网、专网和共网。公网指的是运营商3G、4G、5G网络。专网根据通信制式可以分为：PDT窄带数字集群通信网、BTrunC宽带数字集群网络、安全无线局域网、公安应急图传网（340MHz）、公安卫星无线通信网（ku波段）等。其中，B-TrunC网络有以专网模式建设的情况，如基于1447MHz频段建设的宽带集群专网，以及基于1430MHz频段建设的警用航空器对空图传专网；也有以共网模式建设的情况，如基于1447MHz频段建设的政府集群共网。

PDT警用数字集群专网是基于350MHz频段建设，采用大区制组网方式，主要用于承载语音、短消息等窄带业务。为避免对警用集群业务的可靠性造成影响，PDT专网不提供接入业务网的无线传输链路。除PDT之外的其它公安无线通信网都可以提供用于承载数据业务的无线传输链路，接入公安移动信息网或公安视频传输网等业务网络。

下文分别介绍公网链路、B-TrunC宽带专网/共网链路、公安应急图传链路、卫星/微波链路、安全无线局域网链路的承载网网络架构和接入方法。

（一）公网链路

公网发展历经了1G、2G、3G、4G，到如今的5G。每代移动通信网络的核心网技术也在不断的发展过程中。

（1）在2G/3G网络中，CS（Circuit Switch）域和PS（Packet Switch）域相互独立，CS域负责电路交换，PS域负责包交换。打电话、发短信等通信业务通过CS域承载，数据上网业务通过PS域承载。

（2）EPC是4G网络（LTE网络）的核心网系统，主要职责是实现接入网与不同的PDN（Public Data Network）互联。4G网络时，电路域演变为IMS网络，成为与互联网、行业专网位置同等的PDN网络。行业专网通过专用APN承载，与互联网APN逻辑隔离。专用APN与互联网APN一样，只能保证网络连通性。EPC主要包含四种网元：HSS、MME、SGW和PGW。通信用户的鉴权认证主要由HSS完成。公安侧可部署LNS路由器和AAA服务器，完成专用APN用户的二次鉴权认证。

（3）5G时代主要解决工业互联问题。通过RB资源预留、QoS优先级调度策略、FlexE、UPF专属下沉等智能切片技术确保行业专网业务的优先接入和优先调度。

运营商核心网包括人网核心网和物网核心网，分别对应人网SIM卡和物联SIM卡的运营、计费和管理。人网核心网和物网核心网可以相互独立，也可以物理共享，通过不同APN/DNN进行逻辑隔离，如图1所示。

（二）B-TrunC宽带专网/共网链路

B-TrunC宽带专网/共网基于LTE技术建设，作为无线传输链路承载网络时，B-TrunC核心网的构成与LTE EPC分组核心网完全一致。

目前，B-TrunC共网大多基于RAN-Sharing方式建设，不同行业用户在共网上部署了完整的核心网系统，包括用户面和控制面。在这种情况下，B-TrunC共网和专网无线传输链路接入时采用同样的接入控制策略。

B-TrunC宽带专网/共网提供两种类型的服务：

（1）宽带集群通信业务服务；

（2）承载APP应用的无线传输链路服务。

其中宽带集群通信业务包括语音和短信业务，无线传输链路采用专用APN接入，如图2所示。

宽带集群通信业务通道和无线传输链路在通信网域逻辑隔离。B-TrunC网络提供的宽带集群通信业务可以在通信网域实现与PDT窄带集群通信业务的互联互通和资源共享。

（三）公安应急图传链路

340MHz应急图传网络主要用于图像回传。无线视频终端南向有HDMI/SDI视频接口、RJ45网线接口，笔记本电脑、打印机等有线数据终端可以通过这条通道接入对应业务平台，如图3所示。

数据终端承载的业务多种多样。终端的计算能力越强、承载的业务种类越多，存在的安全风险就越高。传统通信终端、视频采集前端，只要通过认证鉴权、编解码等方式确保应用层安全即可，但对于后续增加的数据业务并没有相应的保护机制。因此，无线视频终端作为网关接入数据终端时必须满足智能网关型移动警务终端的安全要求。扩展接入的数据终端需要按照计算能力和承载业务能力进行分级（A/B/C级），并遵循对应的扩展类移动警务终端安全要求。

无线视频终端可支持全双工语音、视频回传和数据业务接入，因此在无线视频核心网或网管侧可以基于这些业务对无线视频终端进行指挥调度。公安应急图传网络的调度服务暂时没有与公安集群调度业务互通的需求。

（四）卫星/微波链路

卫星链路是微波链路的一种特殊形态，可以看作是将数字微波接力站部署到太空中，极大地提高了信号的覆盖范围。

卫星/微波链路与公安应急图传链路类似，主要提供无线传输链路，常用于无公网、宽带专网覆盖的地方。卫星业务终端南向可输出网线接口，笔记本电脑等数据终端可通过有线方式接入，如图4所示。

作为网关型终端接入公安业务网络时，卫星业务终端必须满足智能网关型移动警务终端的安全要求。扩展接入的数据终端要按照计算能力和承载业务能力进行分级（A/B/C级），并遵循对应的扩展类移动警务终端安全要求。

卫星业务终端支持数据、语音、视频业务。公安卫星通信网的网管系统可按需分配卫星频率资源，对卫星链路、设备参数和状态进行监测和控制，同时也可基于数据、语音、视频业务对移动站进行融合调度。公安卫星通信网提供的调度服务暂时没有与公安集群调度业务互通的需求。

（五）安全无线局域网链路

除了以上几种现存的公安无线通信网以外，公安领域也一直在探讨如何构建安全的无线局域网。

安全无线局域网存在两种主要应用场景：一是安全无线局域网作为无线传输链路的承载网，提供终端直接连接到公安业务网络的无线传输链路；二是安全无线局域网作为网关型终端和扩展终端之间端边互联链路的承载网。

如图5所示是第一种情况的接入方式，移动终端配备STA模块，通过安全无线局域网统一接入AP设备，AP通过有线链路与公安业务系统相连。第二种情况属于移动警务端边协同的范畴，移动终端作为扩展型终端通过STA模块接入到网关型终端上，端边互联链路的安全接入和管控在网关型终端上完成。网关型终端可以通过有线或无线的方式接入到公安业务网络。

二、安全管控机制

公安领域由于行业的特殊性，无线传输链路资源相对丰富，但之前一直缺乏统一的链路资源管理机制，其管道层面的安全大部分依靠通信网的基础运维和管理机制来保障。

为了实现无线传输链路资源的安全管理和有效监控，需要在通信网和业务网之间构建无线接入区，实现通信用户身份鉴别和管理、通信链路监测、业务路由管控等通信链路层面的安全机制，结合流量分析技术还可以了解通信用户的实时状态和通信链路的使用情况。

无线接入区的主要能力包括：

（一）通信用户的二次鉴权认证

通信用户身份的鉴权认证一般在通信网侧完成。公网和B-TrunC专网/共网提供的无线专用传输链路可分为两段：APN/DNN和用户侧专线。APN/DNN链路的身份鉴权认证由核心网控制面网元HSS或UDM完成。当公网和BTrunC专网/共网为公安行业用户提供用户侧专线时，必须在公安侧通过LNS路由器+AAA服务器完成通信用户身份的二次鉴权认证和授权管理。

AAA服务器的主要功能是基于SIM卡携带的用户名、密码等信息完成对通信用户的身份认证和鉴权，还可以为通信用户配置IP地址分配策略、多维绑定、黑名单、冻结名单等接入授权和接入限制策略。因此，基于AAA服务器上的用户信息以及通信链路监测的静态信息（通信用户身份ID、签约信息等）可以实现对通信用户身份的有效管理，保障公安移动设备的安全接入。

（二）通信链路监测

公安领域存在多种异构无线通信网络，部分网络可以为无线传输链路提供带宽保障，如5G公网、公安应急图传网、公安卫星/微波网络等。5G网络推出了网络智能切片技术，可以通过软切片（QoS优先级调度策略）或硬切片（静态资源预留）确保公网提供的无线传输链路的服务质量。公安应急图传、卫星等无线通信网络也可设置无线传输链路的带宽等指标。

为了扩大公安业务网络的覆盖范围，提高公安移动应用的可靠性和业务体验，需要通过通信链路监测模块搭建与异构通信网之间的信息监测接口，结合流量分析和鉴权认证系统完成对链路带宽、链路状态、网络定位等信息的监测和链路资源的统一管理。

（三）业务路由管控

由于公安领域存在多种通信网和业务网，需要通过业务路由管控来控制不同通信用户到不同业务网络的访问流向。业务路由包括通信用户身份信息和动态路由信息，前者为静态信息。对于不同类型的无线传输链路，业务路由分布在不同的实体网元上：通信用户身份信息和签约带宽等信息主要在通信网侧，可通过构建标准化通信链路监测接口获取；公网链路的业务路由和管控策略主要分布在AAA服务器上；动态业务路由和地址池等信息主要分布在LNS路由器上，通过LNS路由器管理接口或网管系统可以进行业务路由和地址池信息查询。通过流量分析系统也可以获取一些业务路由信息。由于通信用户身份信息和业务路由信息分布在多个网元上，公安侧需要部署能够对所有无线传输链路业务路由进行统一监管的无线链路管控网关。

（四）流量分析

通信网提供的通信链路监测能力主要监测的是静态信息，即无线传输链路带宽信息。公安用户要了解无线传输链路的实际使用情况，需要通过流量分析技术，基于端口镜像、NetFlow/NetStream等采集技术，再按照IP地址、端口号、协议等维度进行流量特征分析。分析数据主要包括终端上下行速率、未加密流量速率和协议类型等。对于没有进行应用层加密的业务流量，还可以进行流量还原和内容检测。特别是出于对移动端密码载体性能以及业务体验等约束的考虑，不建议对移动应用进行一刀切式的管道加密，应用加密一般由业务系统自行完成，依托流量分析技术还可以发现一些应用层的安全漏洞。

三、结语

无线通信技术的高灵活性除了给公安用户带来便捷之外，也会给警务数据安全带来风险。因此通过无线传输链路实现公安业务接入时，如何对多形态无线传输链路资源进行有效管理、对链路的使用情况进行统一监控，以确保移动终端始终在安全的环境下使用，是当前公安无线通信领域一个亟待解决的问题。本文分析多种无线通信网的网络架构、梳理公安可用的无线传输链路资源，通过通信用户身份鉴别和管理、通信链路监测、业务路由管控、流量分析等技术实现无线链路资源的可管可控。

本文提到的公安无线传输链路安全机制主要是从无线链路的管道层面提出，与公安业务网络的安全机制相互独立。因此，在采用移动终端承载公安业务并接入对应的业务平台时，应构建无线接入区，部署相应设备来实现本文所描述的安全管控能力。