TETRA數(shù)字集群網(wǎng)安全保障體系分析

徐海琛

（北京市政務(wù)網(wǎng)絡(luò)管理中心，北京 100053）

0 引言

TETRA是歐洲電信標(biāo)準(zhǔn)協(xié)會ETSI制定的數(shù)字集群移動通信標(biāo)準(zhǔn)，基于TDMA技術(shù)，具有組網(wǎng)靈活、頻譜利用率高、話音質(zhì)量好、安全保密性強、適于高速移動等特點；呼叫采用“一按即通”方式接續(xù)，信道建立時間小于300 ms，且“一呼百應(yīng)”；終端可工作于集群通信與脫網(wǎng)直通兩種模式；調(diào)度業(yè)務(wù)豐富，能夠提供動態(tài)重組、強插強拆、用戶追蹤等調(diào)度功能；支持短信息、GPS定位等數(shù)據(jù)業(yè)務(wù)；支持虛擬專網(wǎng)劃分。由于TETRA標(biāo)準(zhǔn)公開、接口開放、技術(shù)成熟，得到了許多國家和地區(qū)用戶及制造商支持，成為數(shù)字集群專用移動通信主流技術(shù)。

TETRA數(shù)字集群網(wǎng)在歐盟國家主要應(yīng)用于公共安全系統(tǒng)，在國內(nèi)主要服務(wù)于城市管理、安全保衛(wèi)、應(yīng)急指揮等部門，承擔(dān)著重要的指揮調(diào)度通信保障任務(wù)。作為無線移動通信網(wǎng)絡(luò)之一，集群通信網(wǎng)同樣面臨自然災(zāi)害、人為破壞、系統(tǒng)故障、通信阻塞、頻率干擾、非法訪問、行為分析等安全威脅。

現(xiàn)從用戶的可控性、通信的保密性、服務(wù)的可用性三個方面，對TETRA數(shù)字集群網(wǎng)安全保障體系進行分析探討。

1 用戶的可控性

為了確保網(wǎng)絡(luò)為合法用戶提供安全可靠服務(wù)，必須對入網(wǎng)用戶嚴格管控。TETRA網(wǎng)絡(luò)支持通過鑒權(quán)、隱藏用戶識別碼、允許與禁用等機制實現(xiàn)用戶的可控性。

1.1 鑒權(quán)

鑒權(quán)是指當(dāng)用戶請求接入網(wǎng)絡(luò)時，用戶和網(wǎng)絡(luò)對彼此身份和權(quán)利的識別與認證。鑒權(quán)基于對稱密鑰加密算法，以“詢問-應(yīng)答”方式，通過一系列加密計算與結(jié)果比對，向?qū)Ψ阶C明自己持有正確的鑒權(quán)密鑰達到鑒權(quán)目的，可以實現(xiàn)用戶與網(wǎng)絡(luò)基礎(chǔ)設(shè)施間單向或雙向認證，防止非法用戶接入系統(tǒng)和合法用戶接入假冒網(wǎng)絡(luò)[1]，有效抵御非授權(quán)訪問、拒絕服務(wù)、重放攻擊等安全威脅。

1.1.1 鑒權(quán)密鑰管理

鑒權(quán)主要涉及三個關(guān)鍵數(shù)據(jù)：

（1）設(shè)備序列號TEI

每部終端設(shè)備在出廠前，均由制造商分配一個全球唯一的設(shè)備序列號TEI，作為該終端的設(shè)備識別碼。

（2）用戶識別碼ITSI

終端設(shè)備申請入網(wǎng)時，由入網(wǎng)管理機構(gòu)根據(jù)其 TEI號分配一個全網(wǎng)唯一的用戶識別碼ITSI，形成TEI-ITSI配對，存儲在終端設(shè)備與網(wǎng)絡(luò)基礎(chǔ)設(shè)施的鑒權(quán)中心數(shù)據(jù)庫中。

（3）鑒權(quán)密鑰K

終端設(shè)備要啟用鑒權(quán)，必須首先由密鑰管理機構(gòu)根據(jù)其TEI號生成一個全球唯一的鑒權(quán)密鑰K，形成（TEI-K）配對，存儲在終端設(shè)備與鑒權(quán)中心數(shù)據(jù)庫中。

經(jīng)過上述過程，每一部終端設(shè)備與鑒權(quán)中心均同時存儲了TEI-ITSI和TEI-K配對，建立了ITSI與K的唯一關(guān)聯(lián)。

1.1.2 鑒權(quán)算法

TETRA網(wǎng)絡(luò)提供四種鑒權(quán)算法：基礎(chǔ)設(shè)施對終端單向/雙向鑒權(quán)、終端對基礎(chǔ)設(shè)施單向/雙向鑒權(quán)，具體請參考ETSI標(biāo)準(zhǔn)[2]。

鑒權(quán)的安全性除了取決于算法強度與密鑰長度外，如何保護鑒權(quán)密鑰尤為關(guān)鍵。當(dāng)終端申請接入時，首先用明文將ITSI及有關(guān)信令發(fā)送給網(wǎng)絡(luò)；網(wǎng)絡(luò)根據(jù)其ITSI號，從鑒權(quán)中心數(shù)據(jù)庫中查出與之唯一對應(yīng)的鑒權(quán)密鑰K。作為核心密鑰，K既不允許通過空中接口傳送，也不能直接用于生成鑒權(quán)響應(yīng)，而是首先結(jié)合隨機數(shù)生成本次鑒權(quán)的會話密鑰 KS；然后再由KS作為加密密鑰以“詢問-應(yīng)答”方式實施鑒權(quán)。

由于每次鑒權(quán)的KS均不相同，有效抵御了算法分析，保護了核心密鑰K。如果鑒權(quán)失敗，用戶終端會被禁止使用，可以是臨時的，也可以是永久的。

1.2 隱藏用戶識別碼

用戶識別碼ITSI是入網(wǎng)管理機構(gòu)分配的、在網(wǎng)內(nèi)唯一識別該用戶終端的身份碼，同時保存在終端設(shè)備和歸屬用戶寄存器中。用戶在入網(wǎng)、鑒權(quán)、切換、呼叫或發(fā)送短信時，都需要將ITSI以明文方式傳送給網(wǎng)絡(luò)，容易遭受用戶跟蹤、行為分析等威脅。

為了保護用戶的身份安全，TETRA網(wǎng)絡(luò)支持臨時身份識別碼ATSI。當(dāng)用戶以ITSI申請入網(wǎng)并通過鑒權(quán)后，網(wǎng)絡(luò)會根據(jù)其ITSI號生成一個全網(wǎng)唯一的ATSI分配給用戶，形成ITSI-ATSI對，同時保存在終端設(shè)備和當(dāng)前服務(wù)該用戶的訪問用戶寄存器中。此后，用戶與網(wǎng)絡(luò)之間的信令交換使用ATSI替代ITSI在空中接口中明文傳輸。

ATSI由網(wǎng)絡(luò)負責(zé)隨機分配和維護，無法從ITSI直接推出，且在規(guī)定時限內(nèi)有效；ITSI-ATSI對也僅在網(wǎng)絡(luò)與終端設(shè)備之間共享，用戶只是透明使用。因此，網(wǎng)絡(luò)可在不通知其他用戶情況下，頻繁改變與ITSI對應(yīng)的ATSI值，有效保護了用戶真實身份。

1.3 允許與禁用

為了避免終端丟失后被非法使用，TETRA網(wǎng)絡(luò)支持通過空中接口下達指令方式對特定終端執(zhí)行“允許與禁用”操作。

（1）臨時禁用與恢復(fù)

調(diào)度員可通過空中接口遠程下發(fā)指令，將丟失終端臨時禁用（遙斃）。在遙斃狀態(tài)下，終端可以正常注冊與切換，但不能發(fā)起和接收呼叫；調(diào)度員可隨時追蹤被遙斃終端，也可以再次下達指令解除遙斃，令終端重新恢復(fù)使用。

（2）長期禁用與啟用

如果將丟失終端的ITSI號從HLR中刪除，或者一并刪除其鑒權(quán)密鑰K，則該終端被徹底禁止入網(wǎng)使用，無法注冊、鑒權(quán)、發(fā)起和接收呼叫。

2 通信的保密性

由于TETRA空中接口標(biāo)準(zhǔn)是公開的，加之無線信道的開放性，如果語音、數(shù)據(jù)、信令在無線信道中明文傳送，容易被協(xié)議分析儀器監(jiān)聽，存在泄密風(fēng)險。TETRA網(wǎng)絡(luò)支持通過空中接口加密、端到端加密、虛擬專網(wǎng)等機制實現(xiàn)通信的保密性。

2.1 空中接口加密

空中接口加密是指對基站和終端之間的無線信道加密，任何通過空中接口傳送的語音、數(shù)據(jù)與信令都被加密保護，并附有時間戳和校驗字段，有效抵御非法竊聽、通信分析、重放攻擊、信息篡改等安全威脅。

2.1.1 空中接口加密密鑰管理

空中接口加密主要涉及四個密鑰：

（1）導(dǎo)出密鑰DCK

由鑒權(quán)過程產(chǎn)生，基礎(chǔ)設(shè)施與終端同時掌握，用在空中接口加密保護組呼的上行鏈路和個呼的雙向鏈路。

（2）公共密鑰CCK

由基礎(chǔ)設(shè)施生成，每一個位置區(qū)對應(yīng)一個CCK，與組密鑰GCK配合使用生成MGCK，加密保護組呼的下行鏈路。當(dāng)終端注冊到某一位置區(qū)時就會請求CCK；基礎(chǔ)設(shè)施將CCK以DCK為加密密鑰經(jīng)由算法TA31生成SCCK傳送給終端，終端解密出CCK使用。

（3）組密鑰GCK

由基礎(chǔ)設(shè)施生成，與通話組一一對應(yīng)。GCK并不直接用于空中接口加密，而是在每一個位置區(qū)經(jīng)由CCK和算法TA71調(diào)整生成MGCK。當(dāng)終端請求GCK時，基礎(chǔ)設(shè)施將GCK以DCK為保護密鑰經(jīng)由算法TA81生成SGCK傳給終端，終端解密出GCK使用。

（4）靜態(tài)密鑰SCK

用于在未啟用鑒權(quán)情況下加密個呼和組呼信令，可工作于集群通信和脫網(wǎng)直通模式。SCK集共有32個密鑰，均以靜態(tài)方式存儲于基礎(chǔ)設(shè)施和終端中，需要事先協(xié)商具體使用哪一個密鑰。

2.1.2 空中接口加密算法

空中接口加密基于對稱加密算法的流密碼機制：發(fā)送方的明文比特流與密鑰序列發(fā)生器產(chǎn)生的密碼序列比特流異或，生成密文比特流；只有持有相同加密密鑰ECK的合法授權(quán)接收方，通過密鑰序列發(fā)生器生成同樣的密碼序列比特流，才能與接收到的密文比特流異或解密，如圖1所示。

圖1 空中接口加密算法

空中接口加密并不直接使用DCK、MGCK或SCK，而是加入位置區(qū)標(biāo)識、載波號、色碼等參數(shù)，經(jīng)由算法TB5調(diào)整生成加密密鑰ECK后用于密鑰發(fā)生器。初始向量IV用于在基站與終端之間建立同步，確保加密序列與解密序列的一致性，并增加了密鑰序列的隨機性。

ETSI為密鑰發(fā)生器提供四種加密算法TEA1～TEA4：TEA1和TEA4供普通用戶及制造商使用，是可以出口的算法；TEA2和 TEA3僅限于歐洲國家的安全部門，安全強度較高，嚴格限制出口。

空中接口加密有效保護了無線信道上的控制信令和用戶業(yè)務(wù)（語音、數(shù)據(jù)），而用戶業(yè)務(wù)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)部仍以明文方式傳輸。如果用戶對通信安全有更高要求，就應(yīng)考慮端到端加密。

2.2 端到端加密

端到端加密是指對用戶終端之間傳輸鏈路的全程加密，確保用戶業(yè)務(wù)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施內(nèi)部及空中接口上均得到加密保護。

端到端加密不屬于ETSI標(biāo)準(zhǔn)，ETSI對端到端安全機制僅規(guī)定了一個框架，沒有完整系統(tǒng)描述。端到端加密時，TETRA網(wǎng)絡(luò)既不參與密鑰的生成與管理，也不提供加密算法，僅提供透明傳輸鏈路。啟用了端到端加密的用戶，可以繼續(xù)使用網(wǎng)絡(luò)提供的空中接口加密服務(wù)，進一步增強通信的保密性。

2.2.1 端到端加密密鑰管理

端到端加密主要涉及四個密鑰：

（1）密鑰加密密鑰KEK

用于保護組密鑰、信令密鑰和業(yè)務(wù)密鑰，由密鑰管理中心分配，并通過專用密鑰填充設(shè)備以帶外方式加載到終端設(shè)備中。每個終端只持有一個 KEK，且各不相同；其余三個密鑰經(jīng)KEK加密封裝后，均可以SDS-4短消息形式通過空中密鑰分發(fā)協(xié)議OTAK下載或更新[3]。

（2）組密鑰GEK

用于保護業(yè)務(wù)密鑰。每個終端持有一個GEK，每個通話組共享一個GEK，由KEK加密封裝后通過空中密鑰分發(fā)下載或更新。

（3）信令密鑰SEK

用于保護空中密鑰分發(fā)協(xié)議所使用的 SDS-4短消息。每個終端持有一個SEK，每個通話組共享一個SEK。初始SEK可與KEK一起通過帶外方式直接加載到終端，也可以通過空中密鑰分發(fā)下載或更新。

（4）業(yè)務(wù)密鑰TEK

用于保護端到端用戶業(yè)務(wù)，由一組需要加密通信用戶共享，以GEK或KEK為加密密鑰經(jīng)由算法E2加密封裝后，通過空中密鑰分發(fā)下載到終端。

2.2.2 端到端加密算法

TETRA MoU SFPG工作組提出了一系列端到端加密技術(shù)建議，將加密函數(shù)描述為“黑盒子”，即語音加密算法 E1、業(yè)務(wù)密鑰加密算法E2、同步幀完整性校驗算法E3、OTAK密鑰管理消息加密算法 E4、短數(shù)據(jù)服務(wù)加密算法 E5、短數(shù)據(jù)服務(wù)校驗算法E6，既沒有規(guī)定密鑰長度，也沒有制定具體加密算法，完全交由用戶自行定義開發(fā)。

2.3 虛擬專網(wǎng)

模擬集群網(wǎng)通常是獨立建設(shè)的“專網(wǎng)”，一個專網(wǎng)僅為某一類用戶群體服務(wù)，專網(wǎng)之間相互獨立、互不連通。數(shù)字集群技術(shù)為“共網(wǎng)”應(yīng)用提供可能，即通過網(wǎng)絡(luò)傳輸交換與用戶調(diào)度管理，可將一個物理網(wǎng)絡(luò)劃分為多個“虛擬專網(wǎng)”，分別為不同用戶群體服務(wù)，并實現(xiàn)虛擬專網(wǎng)之間安全隔離與可控互通。

（1）獨立管理與通信隔離

針對不同用戶群體，通過組織塊劃分、通話組與用戶號碼規(guī)劃、管理員權(quán)限設(shè)置，并配備專用調(diào)度臺，即可建立該用戶群體的虛擬專網(wǎng)[4]，實現(xiàn)獨立的用戶管理與指揮調(diào)度，滿足個性化安全需求。

（2）統(tǒng)一調(diào)度與互連互通

常態(tài)下，各虛擬專網(wǎng)之間相互獨立、互不連通；突發(fā)事件時，一旦有統(tǒng)一指揮與協(xié)同配合需求，可啟動特殊管理流程與調(diào)度措施，實現(xiàn)不同虛擬專網(wǎng)用戶之間的可控互通與統(tǒng)一調(diào)度。

（3）網(wǎng)管與調(diào)度相互分離

虛擬專網(wǎng)劃分了網(wǎng)絡(luò)管理與調(diào)度管理界面，即運營商通過網(wǎng)管系統(tǒng)，實現(xiàn)對物理網(wǎng)絡(luò)的實時監(jiān)控與網(wǎng)絡(luò)管理；調(diào)度員通過調(diào)度臺，實現(xiàn)對所轄用戶的指揮調(diào)度與用戶管理，有利于界定安全責(zé)任，也有利于保護用戶的應(yīng)用安全。

3 服務(wù)的可用性

服務(wù)可用性是指網(wǎng)絡(luò)除了在常態(tài)下提供 7×24小時通信服務(wù)外，在遭遇自然災(zāi)害、設(shè)備故障、人為破壞、頻率干擾、嚴重擁堵等異常情況時，應(yīng)具備一定的冗余備份與災(zāi)難恢復(fù)能力，確保服務(wù)的連續(xù)性與可用性。

鑒于 TETRA網(wǎng)絡(luò)所服務(wù)用戶群體的特殊性、所承擔(dān)保障任務(wù)的重要性，及特有的指揮調(diào)度功能，越是在遭遇自然災(zāi)害、處置突發(fā)公共事件或保障重大活動時，用戶使用越頻繁，對網(wǎng)絡(luò)的依賴也越大，往往出現(xiàn)局部區(qū)域用戶大量聚集與突發(fā)大話務(wù)量等情況。此時，如何保障網(wǎng)絡(luò)服務(wù)的可用性極其關(guān)鍵，取決于物理環(huán)境、系統(tǒng)構(gòu)架、頻率保護、擁堵控制等綜合安全因素。

3.1 物理環(huán)境安全

物理環(huán)境安全是指通過創(chuàng)建安全可靠的網(wǎng)絡(luò)運行環(huán)境，保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全穩(wěn)定運行，免受自然災(zāi)害、外界環(huán)境、人為破壞、電磁干擾等威脅。

3.1.1 站址位置選擇

正確選擇交換中心與基站站址是保障物理環(huán)境安全的前提，一定程度上決定了所面臨安全威脅大小。

（1）交換中心選址

除了綜合考慮地質(zhì)/水文/氣象條件、電磁環(huán)境、市政設(shè)施等因素外，對于規(guī)模較大的網(wǎng)絡(luò)應(yīng)考慮建設(shè)同城異地或跨省異地多個交換中心，將交換機組分散放置，并實現(xiàn)交換機主備配置及傳輸鏈路多路由冗余連接，提高容災(zāi)備份能力。

（2）基站選址

在滿足小區(qū)規(guī)劃、信號覆蓋、話務(wù)量分布等設(shè)計前提下，注意：①滿足結(jié)構(gòu)、消防、防雷、防盜安全；②周邊環(huán)境宜相對安靜，避免有較大震動或強噪音，遠離危險源及有害物質(zhì)；③周邊電磁環(huán)境應(yīng)相對較好，不宜在大型雷達站、衛(wèi)星地球站等附近設(shè)站，避免相互干擾。

3.1.2 邊界訪問控制

邊界訪問控制是保護物理環(huán)境安全的重要關(guān)口。通過加強交換中心與基站機房等重點區(qū)域安防措施，對內(nèi)部授權(quán)人員及外部臨時人員出入嚴格管理、全程監(jiān)控，防止盜竊或惡意破壞。

交換中心應(yīng)24小時有人值守，設(shè)置門禁、周界防護、視頻監(jiān)控等安防系統(tǒng)，嚴格管理和登記人員出入；基站機房一般無人值守，應(yīng)加裝防盜門、開門報警、視頻監(jiān)控等安防系統(tǒng)，并與站址業(yè)主及當(dāng)?shù)毓矙C關(guān)建立聯(lián)動報警機制，如遇異?？焖夙憫?yīng)。

3.1.3 環(huán)境保障與監(jiān)控系統(tǒng)

環(huán)境保障與監(jiān)控系統(tǒng)是保障物理環(huán)境安全的重要手段。交換中心與基站機房應(yīng)建立完備的環(huán)境保障與監(jiān)控系統(tǒng)，實現(xiàn)對于供電、空調(diào)、消防、漏水、門禁等的實時監(jiān)控與異常報警，加強對無人值守機房的遠程監(jiān)控、維護巡檢與報警管理。

3.2 系統(tǒng)構(gòu)架安全

系統(tǒng)構(gòu)架安全是指從網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)與體系架構(gòu)的高度，充分考慮網(wǎng)絡(luò)的容災(zāi)備份與故障恢復(fù)能力。TETRA網(wǎng)絡(luò)主要由交換機系統(tǒng)、基站系統(tǒng)、增值應(yīng)用系統(tǒng)、網(wǎng)關(guān)接口及傳輸網(wǎng)絡(luò)等構(gòu)成，如圖2所示。

3.2.1 交換機系統(tǒng)架構(gòu)安全

交換機系統(tǒng)是網(wǎng)絡(luò)的核心基礎(chǔ)設(shè)施，應(yīng)重點考慮冗余備份問題。

圖2 TETRA網(wǎng)絡(luò)系統(tǒng)架構(gòu)

（1）主機設(shè)備冗余備份

TETRA網(wǎng)絡(luò)支持主備交換機冗余，即按照主用與備份交換機1：1或N：1比例，配置專用備份交換機。正常情況下，備份機與主用機連接，具備接入主用機負載能力，但不激活負載連接，也不進行話務(wù)交換。主用機的關(guān)鍵數(shù)據(jù)，如軟件包、配置文件等，定期復(fù)制到備份機中保持同步。一旦主用機退服，立即激活備份機的配置數(shù)據(jù)，并將主用機負載全部切換到備份機上，則備份機全面接管主用機身份與功能，恢復(fù)通信服務(wù)。

（2）配置文件冗余備份

TETRA網(wǎng)絡(luò)支持主備歸屬用戶寄存器HLR冗余，即對應(yīng)歸屬交換機的主用HLR，可在另一臺交換機上配置備份HLR。歸屬交換機將靜態(tài)的用戶管理數(shù)據(jù)定期復(fù)制到備份 HLR；而動態(tài)的移動性管理數(shù)據(jù)則隨時通過交換機間信令鏈路自動復(fù)制，實現(xiàn)主備同步。一旦歸屬交換機退服，立刻激活備用HLR，同時修改其他交換機的號碼分析指向備用HLR，則備用HLR接替主用HLR，用戶管理與移動性管理恢復(fù)正常。

（3）傳輸鏈路冗余備份

TETRA網(wǎng)絡(luò)支持交換機間傳輸鏈路網(wǎng)狀連接與備份路由功能。一旦某兩個交換機間傳輸鏈路中斷，網(wǎng)絡(luò)會根據(jù)交換機路由表設(shè)置，自動將跨接這兩個交換機的呼叫通過其它交換機間路由迂回建立，保持通信服務(wù)的連續(xù)性。鑒于傳輸鏈路的可靠性往往低于交換機，網(wǎng)狀連接與備份路由機制可顯著提高核心交換網(wǎng)絡(luò)的整體可靠性。

3.2.2 基站系統(tǒng)架構(gòu)安全

基站系統(tǒng)作為 TETRA網(wǎng)絡(luò)的無線基礎(chǔ)設(shè)施，在設(shè)備故障、傳輸中斷、接入交換機退服時，也應(yīng)具備冗余備份能力。

（1）雙站覆蓋

TETRA網(wǎng)絡(luò)支持基站1+1冗余備份，即在單站站址上設(shè)置雙基站，可成倍提高服務(wù)的可用性，但也成倍增加運營成本，僅在核心區(qū)域考慮使用。通常作法是加大網(wǎng)內(nèi)重點或熱點區(qū)域基站分布密度，利用相鄰基站重疊覆蓋提高該區(qū)域保障能力。同時，每一個基站都應(yīng)有兩條以上、獨立路由的鏈路接入交換機，并在傳輸層實現(xiàn)SDH環(huán)保護，提高基站系統(tǒng)的整體可靠性。

（2）交織連接

TETRA網(wǎng)絡(luò)支持基站“交織連接”，即將重疊覆蓋的相鄰基站分別接入不同交換機，實現(xiàn)網(wǎng)絡(luò)在無線接入層面的互為熱備。交織連接不需要額外投資，災(zāi)難時也無需人工干預(yù)，當(dāng)某一交換機出現(xiàn)故障，周邊相鄰基站仍正常工作，使網(wǎng)絡(luò)覆蓋缺損減低到最小?！爸丿B覆蓋+交織連接”組網(wǎng)方式，可有效提高服務(wù)可用性，缺點是會導(dǎo)致跨基站的呼叫量和漫游登記大大增加，加重交換機間信令與話務(wù)量負荷。

（3）傘狀覆蓋

TETRA網(wǎng)絡(luò)支持在網(wǎng)內(nèi)架設(shè)一個或多個高站，形成大區(qū)域“傘狀覆蓋”，并相應(yīng)提高其設(shè)備配置、供電及傳輸鏈路的安全等級。常態(tài)情況下，高站不啟用或僅服務(wù)某類特殊用戶，避免吸引大量用戶引發(fā)通信擁堵。一旦網(wǎng)絡(luò)出現(xiàn)大面積通信中斷，則緊急啟用高站，并采取必要管控措施，確保重要用戶及關(guān)鍵勤務(wù)通信暢通。

3.2.3 增值應(yīng)用系統(tǒng)架構(gòu)安全

TETRA網(wǎng)絡(luò)支持增值應(yīng)用服務(wù)，如短信息、GPS定位等。增值應(yīng)用系統(tǒng)通常基于IP網(wǎng)絡(luò)構(gòu)建，容易遭受IP網(wǎng)絡(luò)常見安全威脅，如病毒、木馬、黑客等。出于網(wǎng)絡(luò)整體安全考慮，避免“木桶效應(yīng)”，應(yīng)根據(jù) TETRA網(wǎng)絡(luò)的安全保障要求，對增值應(yīng)用系統(tǒng)實施相應(yīng)安全等級保護，并采取如下措施：

① 將增值應(yīng)用系統(tǒng)建成為一個私有地址、星型連接、物理層或傳輸層隔離的專用網(wǎng)絡(luò)，即以應(yīng)用服務(wù)器為中心節(jié)點，以專線方式接入用戶客戶端，并與國際互聯(lián)網(wǎng)等其他任何網(wǎng)絡(luò)安全隔離，屏蔽外來威脅；

② 在應(yīng)用服務(wù)器區(qū)，配置用戶認證、入侵檢測、病毒網(wǎng)關(guān)等安全設(shè)備，抵御內(nèi)部攻擊；在用戶接入節(jié)點，利用防火墻、交換機等實施網(wǎng)段隔離，將來自用戶端的安全威脅限制在局部區(qū)域內(nèi)，防止威脅擴散。

3.3 頻率保護安全

TETRA網(wǎng)絡(luò)同樣對無線電頻譜依賴性很大，一旦發(fā)生頻率干擾，尤其是上行干擾，會直接導(dǎo)致基站接收信噪比惡化，承載能力降低，通信質(zhì)量明顯下降。

由于運營商不具備查處干擾源的執(zhí)法權(quán)，在遭遇干擾時比較被動，除了申告無線電管理部門外，僅能采取有限規(guī)避措施：

① 對于上行干擾，基站能夠主動發(fā)現(xiàn)并報警，可以嘗試調(diào)整基站的工作頻點，避開干擾頻段，或者暫時關(guān)閉基站，讓用戶切換到鄰近正?；鞠率褂?；

② 對于下行干擾，基站無法自主發(fā)現(xiàn)，只能等用戶投訴后由運維人員綜合判斷或現(xiàn)場測試確定，解決辦法也只能是讓用戶暫時離開干擾區(qū)域。

3.4 擁堵控制安全

TETRA網(wǎng)絡(luò)作為日常城市管理、重大活動保障及突發(fā)事件處置指揮調(diào)度平臺，話務(wù)量分布有一個顯著特點：常態(tài)情況下，全網(wǎng)話務(wù)量較低，分布平穩(wěn)且有典型時間統(tǒng)計規(guī)律；突發(fā)事件時，事件區(qū)域往往會激增大話務(wù)量，遠超過該區(qū)域設(shè)計承載能力。

網(wǎng)絡(luò)在規(guī)劃設(shè)計時，雖然考慮到應(yīng)對非常態(tài)情況，但是將全網(wǎng)承載能力指標(biāo)定得很高是不現(xiàn)實、也不經(jīng)濟的，而突發(fā)事件的隨機性與用戶行為的不可預(yù)知性等因素，會不可避免導(dǎo)致網(wǎng)絡(luò)出現(xiàn)局部嚴重擁堵。此時，應(yīng)采取有效措施實施擁堵控制：

（1）基站載波緊急擴容

TETRA網(wǎng)絡(luò)單基站滿配置為8載波，相比4載波配置，信道數(shù)量增加1倍，話務(wù)量承載能力增加1.5倍（2%呼損）。在擁堵基站尚未滿配且有擴容空間條件下，實施載波擴容，能迅速緩解擁堵。同時，可緊急調(diào)派移動基站車趕赴現(xiàn)場，幫助分擔(dān)用戶和話務(wù)量。

（2）調(diào)整基站覆蓋范圍

如果擁堵基站周邊有負荷較輕的鄰站，可通過縮小擁堵基站有效覆蓋范圍，將部分用戶移交到鄰站下使用，減輕擁堵基站負荷。宜采用提高擁堵基站接入電平閾值方法，達到縮小覆蓋范圍效果，避免直接降低發(fā)射功率引起終端接收信噪比下降；同時，適度提高鄰站發(fā)射功率，擴大覆蓋范圍，幫助吸引用戶和話務(wù)量。

（3）限制數(shù)據(jù)業(yè)務(wù)應(yīng)用

目前TETRA網(wǎng)絡(luò)的數(shù)據(jù)業(yè)務(wù)應(yīng)用，需要主控信道傳輸。頻繁發(fā)送的業(yè)務(wù)數(shù)據(jù)會與用戶呼叫請求競爭主控信道資源，導(dǎo)致呼叫信令得不到及時處理產(chǎn)生排隊。因此，對于 TETRA網(wǎng)絡(luò)上開展的數(shù)據(jù)業(yè)務(wù)應(yīng)用，必須嚴格遵循“話音優(yōu)先”原則，確保各種應(yīng)用對信令信道帶寬占用總和不超過主控信道最大負荷的 70%[5]。一旦發(fā)現(xiàn)因數(shù)據(jù)業(yè)務(wù)應(yīng)用導(dǎo)致主控信道繁忙，應(yīng)能夠通過空中接口遠程調(diào)整用戶端應(yīng)用參數(shù)，降低發(fā)送頻率或關(guān)閉應(yīng)用，緩解主控信道壓力。

4 國內(nèi)現(xiàn)狀、存在問題及建議

對于TETRA數(shù)字集群網(wǎng)技術(shù)，中國沒有自主知識產(chǎn)權(quán)，也尚不具備商業(yè)化生產(chǎn)網(wǎng)絡(luò)系統(tǒng)設(shè)備的產(chǎn)業(yè)能力。目前，國內(nèi)部署的TRTRA網(wǎng)絡(luò)全部依賴進口，在鑒權(quán)、空中接口加密、端到端加密應(yīng)用上存在一定安全風(fēng)險：一方面，國外廠商對核心算法保密，僅提供“黑匣子”供用戶使用；另一方面，中國對于進口密碼產(chǎn)品有嚴格管理規(guī)定，無論其安全強度如何都不允許直接使用。國內(nèi)TETRA網(wǎng)絡(luò)普遍啟用了基站對終端單向鑒權(quán)，因為鑒權(quán)的主要目的是識別合法與非法用戶，并不涉及通信業(yè)務(wù)的具體內(nèi)容，中國密碼管理部門沒有強制要求使用自主研發(fā)的鑒權(quán)算法；對于空中接口和端到端加密，除了軍隊，采用加密手段的基本沒有[6]。

筆者認為，只要加強安全管理，在國內(nèi)應(yīng)用 TETRA數(shù)字集群網(wǎng)還是安全的：①相比其他移動通信網(wǎng)絡(luò)，數(shù)字集群網(wǎng)的核心競爭力在于快速、靈活、豐富的“語音調(diào)度”功能，而非強調(diào)網(wǎng)絡(luò)帶寬與數(shù)據(jù)傳輸能力。TETRA網(wǎng)絡(luò)雖然廣泛應(yīng)用于涉密部門，但業(yè)務(wù)應(yīng)用也僅限于語音調(diào)度或短數(shù)據(jù)，并不用于傳送涉密文件；②指揮調(diào)度的最大特點是調(diào)度指令的“時效性”，雖然空中接口開放，存在被監(jiān)聽風(fēng)險，但是每一條調(diào)度指令在無線信道的生存時間很短，平均十秒左右，事后分析則喪失其安全時效性。加之TETRA網(wǎng)絡(luò)的準(zhǔn)傳輸集群模式與隱藏用戶識別碼等功能，能有效抵御用戶跟蹤與完整通話監(jiān)聽；③對于通信安全有特殊要求的用戶或應(yīng)用場合，應(yīng)采用“密語”通話，嚴禁明話傳達涉密信息。

關(guān)于如何加強國內(nèi) TETRA數(shù)字集群網(wǎng)安全保障體系建設(shè)，有以下幾點建議：

① 加大對于鑒權(quán)、加密等核心算法的研發(fā)和產(chǎn)品化投入力度，建立健全相應(yīng)的密鑰管理與網(wǎng)絡(luò)信任體系；在引進國外TETRA網(wǎng)絡(luò)設(shè)備時，要求設(shè)備廠商承諾為集成國內(nèi)自主研發(fā)加密產(chǎn)品提供授權(quán)與技術(shù)支持；加強對于進口TETRA協(xié)議分析儀器的審批、監(jiān)管和登記備案；

② 對于政府部門使用TETRA網(wǎng)絡(luò)，應(yīng)嚴格遵照公安部、國家保密局《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》相關(guān)要求，實施網(wǎng)絡(luò)安全等級保護，加強安全管理、隱患排查與風(fēng)險評估，及時消除或降低不安全因素；

③ 加強通信安全應(yīng)急響應(yīng)能力建設(shè)，針對可能出現(xiàn)的安全事件、網(wǎng)絡(luò)故障、通信擁堵等情況，制定切實可行的應(yīng)急預(yù)案，加強應(yīng)急演練，提高隊伍素質(zhì)，做好備品備件及移動基站車、直放站、油機等物資儲備，提升應(yīng)急通信保障能力。

5 結(jié)語

TETRA數(shù)字集群網(wǎng)安全保障體系建設(shè)是一個貫穿其整個生命周期的系統(tǒng)工程，遵照中國信息安全保障工作關(guān)于“積極防御、綜合防范”基本方針，在網(wǎng)絡(luò)規(guī)劃設(shè)計階段，就應(yīng)從信息安全整體全局的高度出發(fā)，立足長遠、統(tǒng)籌規(guī)劃，明確界定服務(wù)對象的用戶范圍與安全定位，充分認識所面臨的安全形勢與風(fēng)險威脅，研究制定安全保障體系的目標(biāo)、策略和保護等級；在網(wǎng)絡(luò)建設(shè)與運營階段，應(yīng)立足國情、綜合平衡，堅持管理制度、安全技術(shù)與人才培養(yǎng)三要素有機結(jié)合與均衡發(fā)展，不斷跟蹤研究國內(nèi)外政治局勢、安全態(tài)勢、科技發(fā)展等對網(wǎng)絡(luò)安全的影響及應(yīng)對措施，構(gòu)筑適用完備、整體安全、可持續(xù)發(fā)展的安全保障體系。

[1] 虞忠輝.TETRA數(shù)字集群移動通信系統(tǒng)的安全保密研究[J].通信技術(shù),2003(05)：87-88.

[2] ETS 300 392-7. Radio Equipment and SystemsTrans-European Trunked Radio Voice plus Data(V+D) Part 7： Security[S].France：EuropeanTelecommunications Standards Institute,1996.

[3] 羅冠洲,葛春宇,吳喆.TETRA系統(tǒng)端到端加密方式中的密鑰管理[J].信息安全與通信保密,2008(08)：97-101.

[4] 孫昕.TETRA數(shù)字集群系統(tǒng)的虛擬專網(wǎng)[J].移動通信,2002(05)：34-39.

[5] 范文躍,詹志強.TETRA數(shù)字集群增值應(yīng)用研究[J].信息安全與通信保密,2006(10)：155-157.

[6] 鄭祖輝.簡析TETRA系統(tǒng)的安全性[J]. 電信快報,2003(09)：5-7.