專網通信系統傳輸鏈路端到端高可靠性應用

龔同平，潘 成，張 達

（海能達通信股份有限公司，深圳 518057）

專網通信系統傳輸鏈路端到端高可靠性應用

龔同平，潘 成，張 達

（海能達通信股份有限公司，深圳 518057）

集群通信系統已經全面轉向數字化，系統業(yè)務功能不斷豐富，從而導致集群系統承載網中的業(yè)務數據類型（信令、語音、數據、視頻等等）也越來越多，且承載網絡的類型和結構也日益變得復雜，作為集群通信系統各項業(yè)務功能運行基礎的IP承載網面臨著巨大的挑戰(zhàn)。為了保證集群各項業(yè)務的安全可靠運行，關于鏈路質量管理和數據安全傳輸設計應用顯得尤為重要。本文介紹了QoS及加密技術，分析了在集群系統中各節(jié)點如何實現QoS及數據加密來保證集群業(yè)務的可靠和安全性。

QoS；隊列優(yōu)先級；加密；集群專網

1 引言

隨著模擬系統不斷向數字集群系統轉變，作為數據傳輸網絡的IP承載網的作用顯得越來越重要，無論是DMR系統、PDT系統還是TETRA系統，都已經離不開IP承載網絡對其業(yè)務的支撐。伴隨數字集群系統的功能和業(yè)務網元的增加，在IP承載網上傳遞的數據流也變的豐富多變，IP網絡已經從單一數據網絡向集成數據、語音、視頻、圖像的多業(yè)務網絡轉變；另外，集群主要應用于軍隊、公安等行業(yè)，集群系統業(yè)務數據的安全性備受關注。集群系統要求語音調度等業(yè)務的實時性、穩(wěn)定性、安全性，對于QoS及數據加密在集群系統IP承載網中的實施應用變的尤為迫切。本文主要探討如何使用QoS技術及加密技術在集群專網系統中實現集群通訊數據安全可靠傳輸。

2 集群通信系統承載網鏈路

集群通信系統鏈路主要分為兩大類，即有線與無線鏈路。有線鏈路主要指SDH、以太網、PTN等鏈路；無線鏈路主要指4G、微波、3G、網橋、Wi-Fi等。

集群通信系統項目建網時，使用的IP承載網一般會采用新建專網、利用用戶現有網絡，或者兩者結合的方式進行組網。從目前集群系統項目建設情況來分析，新建專網鏈路主要是MSTP專線鏈路（E1專線），微波鏈路、無線網橋鏈路等；用戶現有網絡主要是以太網（局域網或城域網），另外可能借助于運營商網絡（3G/4G網絡）。

MSTP（Multi-Service Transfer Platform，基于SDH的多業(yè)務傳送平臺）是指基于SDH平臺同時實現TDM、以太網、ATM等業(yè)務的接入、處理和傳送，提供統一網管的多業(yè)務節(jié)點。MSTP組網結構示意圖見圖1。

圖1 MSTP組網結構示意圖

微波技術已有幾十年的發(fā)展歷史，現已成為一門比較成熟的學科。在雷達、通信、導航、遙感、電子對抗以及工農業(yè)和科學研究等方面，微波技術都得到了廣泛的應用。微波是一種電磁波，從廣義上講，頻率范圍為300MHz-300GHz，微波通信使用的頻率范圍通常是3GHz-30GHz。實際微波設計中的設備是從7GHz-38GHz，頻率越高，傳輸距離越短。微波組網結構示意圖見圖2。

圖2 微波組網結構示意圖

3 鏈路質量管理及數據安全技術

QoS（Quality of Service，服務質量）指一個網絡能夠利用各種基礎技術，為指定的網絡通信提供更好的服務能力，是網絡的一種安全可靠機制，是用來解決網絡延遲和阻塞等問題的技術。在正常情況下，如果網絡只用于特定的無時間限制的應用系統，并不需要QoS，比如Web應用，或E-mail設置等，但是對關鍵應用和多媒體應用就十分必要。當網絡過載或擁塞時，QoS能確保重要業(yè)務量不受延遲或丟棄，同時保證網絡的高效運行。而當網絡發(fā)生擁塞的時候，所有的數據流都有可能被丟棄；為滿足用戶對不同應用不同服務質量的要求，就需要網絡能根據用戶的要求分配和調度資源，對不同的數據流提供不同的服務質量：對實時性強且重要的數據報文優(yōu)先處理；對于實時性不強的普通數據報文，提供較低的處理優(yōu)先級，網絡擁塞時甚至丟棄。

支持QoS功能的設備，能夠提供傳輸品質服務；針對某種類別的數據流，可以為它賦予某個級別的傳輸優(yōu)先級，來標識它的相對重要性，并使用設備所提供的各種優(yōu)先級轉發(fā)策略、擁塞避免等機制，為這些數據流提供特殊的傳輸服務。網絡的缺省服務模型為Best-Effort，通過FIFO（first in first out，先入先出）隊列來實現，它適用于絕大多數網絡應用，但對延時、可靠性等性能不提供任何保證。在集群通信系統IP承載網采用了DiffServ服務模型，能夠有效地保證集群系統業(yè)務的實時性、穩(wěn)定性。

DiffServ是一個多服務模型，它可以滿足不同的QoS需求。對于DiffServ服務模型，網絡不需要為每個流維護狀態(tài)，它根據每個報文指定的QoS來提供特定的服務，可以用不同的方法來指定報文的QoS，如IP報文的優(yōu)先級位（IP Precedence），報文的源地址和目的地址等，網絡通過這些信息來進行報文的分類、流量整形、流量監(jiān)管和隊列調度。

數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應的密鑰之后才能顯示出本來內容，通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。該過程的逆過程為解密，即將該編碼信息轉化為其原來數據的過程。常見加密算法有如下幾種：

⊙ DES（Data Encryption Standard）：對稱算法，數據加密標準，速度較快，適用于加密大量數據的場合。

⊙ 3DES（Triple DES）：是基于DES的對稱算法，對一塊數據用三個不同的密鑰進行三次加密，強度更高。

⊙ RC2和RC4：對稱算法，用變長密鑰對大量數據進行加密，比DES快。

⊙ IDEA（International Data Encryption Algorithm）國際數據加密算法，使用128位密鑰提供非常強的安全性。

⊙ RSA：由RSA公司發(fā)明，是一個支持變長密鑰的公共密鑰算法，需要加密的文件塊的長度也是可變的，非對稱算法。

4 集群通信系統鏈路質量及數據安全性應用

圖3 典型E1鏈路接入拓撲圖

4.1 基站E1鏈路接入的QoS及數據安全設計

4.1.1 E1鏈路接入模型

集群系統中E1接入是一種比較常見的基站接入核心網的方式，E1鏈路本身所能提供的最大帶寬為1.984b/s，鏈路延時、抖動較固定。但因帶寬較低容易出現各網元流量突發(fā)大于E1鏈路最大帶寬，從而出現鏈路的擁塞而影響基站與核心網各網元的交互。典型E1鏈路接入拓撲圖見圖3。

4.1.2 E1接入QoS及數據安全設計

（1）在基站交換機上為不同的接入網元劃分VLAN，并為不同業(yè)務分配優(yōu)先級：

⊙ 集群基站業(yè)務劃分VLAN 10，802.1p優(yōu)先級配置為6。

⊙ 視頻業(yè)務劃分vlan20，802.1p優(yōu)先級配置為5。

⊙ 其他監(jiān)控設備劃分vlan30，802.1p優(yōu)先級配置為4。

⊙ 所有未明確的數據802.1p優(yōu)先級使用默認優(yōu)先級0。

（2）E1設備通過E1時隙劃分為特定業(yè)務保證鏈路帶寬，另外通過加密技術實現數據安全。

⊙ E1設備上通過時隙劃分功能，為特定的業(yè)務指定所用時隙，基站控制器與核心網的交互使用1～10時隙，視頻業(yè)務使用11～20時隙，其他監(jiān)控設備使用21～25時隙，其他數據使用剩余時隙。

⊙ E1兩端設備啟用本身自帶加密，對鏈路中傳輸的數據進行加密。

4.2 基站IP鏈路接入的QoS及數據安全設計

4.2.1 IP接入模型

基站IP鏈路接入方式是指基于用戶IP網絡并通過VPN的方式實現基站與核心網互通，同時達到集群系統業(yè)務數據與用戶網絡隔離的效果，并且通過數據加密技術達到數據的安全傳輸。IP鏈路接入的方式，鏈路帶寬、時延、抖動、丟包率主要受用戶網絡的Q o S限制。典型IP鏈路接入拓撲圖見圖4。

圖4 典型IP鏈路接入拓撲圖

4.2.2 IP接入QoS及數據安全設計

通過基站路由器與核心路由器之間建立IPSEC VPN隧道實現基站與集群系統核心網互聯，IPSEC VPN采用IKE的方式來動態(tài)的協商與核心網建立安全連接的密鑰，同時采用AES或者3DES對原始數據和IP包頭進行加密以保證在傳輸網上數據的安全性。

（1）在基站交換機上為不同的接入網元劃分VLAN，并為不同業(yè)務分配優(yōu)先級。

⊙ 基站控制器劃分VLAN 10，802.1p優(yōu)先級配置為6。

⊙ 視頻設備劃分vlan20，802.1p優(yōu)先級配置為5。

⊙ 其他監(jiān)控設備劃分vlan30，802.1p優(yōu)先級配置為4。

⊙ 所有未明確的數據802.1p優(yōu)先級使用默認優(yōu)先級0。

（2）基站路由器上面配置限速與流量整形并啟用Cos信任，在路由器上配置以IP數據流的五元組定義的ACL來區(qū)分數據流，對不同的業(yè)務數據流分配不同的帶寬。

⊙ 啟用CAR和GTS技術保證基站業(yè)務數據流的最小帶寬，在路由器出口處進行流量整形保證不丟包。

⊙ 啟用CAR和GTS技術保證視頻數據流所需最小帶寬，在路由器出口對流量進行整治對超出的流量進行整治。

⊙ 啟用CAR技術保證監(jiān)控數據流所需最小帶寬，在路由器出口出進行流量限制，對超出流量的數據做丟棄處理。

⊙ 對于其他未做歸類的流量不做帶寬保證，限制其所使用的帶寬，對超出的流量做丟棄處理。

⊙ 在與交換機互聯的接口上打開Cos信任，并配置802.1p的優(yōu)先級到本地優(yōu)先級的映射，路由器內部自動獲取接入交換機上配置的數據流的優(yōu)先級轉變?yōu)槿龑觟p數據包的DSCP的優(yōu)先級并攜帶此優(yōu)先級向下轉發(fā)與前端交換機保持一致的優(yōu)先級。

（3）在用戶網絡層面，需要用戶為集群業(yè)務在用戶網里提供端到端的鏈路質量保證。其實現方試，主要是針對基站路由器與核心路由器兩點之間的數據流，為其設定對應的QoS策略，保證鏈路的帶寬、時延、抖動、丟包率。

4.3 基站無線鏈路接入QoS及數據安全設計

4.3.1 無線鏈路接入模型

在不便于鋪設有線網絡的環(huán)境中，通過微波設備或者無線網橋將基站接入集群系統核心網是比較常用的方案，對于某些用戶也會考慮使用衛(wèi)星鏈路作為接入鏈路。典型的無線接入拓撲圖見圖5。

圖5 典型的無線接入拓撲圖

4.3.2 無線鏈路接入QoS及數據安全設計

通過微波、無線網橋或者衛(wèi)星鏈路作為接入核心網的方式，由于無線鏈路本身的特性決定了鏈路質量會受到更多的外界因素干擾。無線設備傳輸質量比較容易受到天氣因素的影響，例如在陰雨天、狂風、或者沙塵天氣的影響下，無線鏈路的可用性和鏈路質量將大大下降。在以無線鏈路作為接入方式的網絡中對于QoS和安全的設計可從一下兩個方面考慮：

（1）在接入層交換機上的QoS設置與E1和IP接入保持一致，為不同的數據流在二層數據里面設置優(yōu)先級，同時微波設備，無線網橋等無線鏈路設備本身也具備vlan劃分和QoS優(yōu)先級設置的功能。在無線設備上對不同數據流配置QoS優(yōu)先級時需要和交換機上的配置保持一致。

（2）數據安全方面，無線設備可通過自身攜帶的不同加密算法對通過無線鏈路傳輸的數據進行安全加密，通常使用的加密算法包括DES或者AES算法，依據設備性能以及鏈路的需求使用合適的算法來對無線鏈路傳輸數據進行加密，確保空中傳遞數據的安全性。

4.4 基站3G/4G鏈路接入QoS及數據安全設計

4.4.1 3G/4G鏈路接入模型

在不便于鋪設有線網絡的環(huán)境中，如果有公網運營商的無線鏈路（3G/4G），可以借助于3G/4G鏈路將基站接入集群系統核心網是比較快捷的方案。典型的3G/4G鏈路接入拓撲圖見圖6。

4.4.2 3G/4G鏈路接入QoS及數據安全設計

3G/4G鏈路是由公網運營商運營維護，鏈路的全安性和鏈路質量不可控，在3G/4G鏈路作為接入方式的網絡中，對于QoS和數據安全性的設計需要非常慎重。

在接入層交換機上的QoS設置與E1和IP接入保持一致，為不同的數據流在二層數據里面設置優(yōu)先級，同時在基站的3G/4G路由器上進行QoS優(yōu)先級設置，基站3G/4G路由器和交換機上的策略配置保持一致。

圖6 典型的3G/4G鏈路接入拓撲圖

圖7 典型基站安全接入的拓撲圖

數據安全方面，3G/4G路由器通過與核心路由器之間做IPSEC VPN來保證數據傳輸的安全性及完整性；通常IPSEC V P N使用的加密算法包括DES，3DES，AES等算法，依據設備性能以及鏈路的需求選用合適的算法來對傳輸的數據進行加密，確保數據在公網上傳輸的安全性及完整性。

4.5 基站接入的安全性設計

為了確保基站側接入的設備（基站等其它數據采集設備）是經過許可接入的，需要對接入的設備進行安全認證，以保證整個集群系統網絡的安全可靠性。采用MAC地址綁定及802.1X技術來對基站側接入的設備進行安全認證，Radius認證服務器部署在集群系統交換中心。典型基站安全接入的拓撲圖見圖7。

5 結束語

同一個集群系統網絡內可能包含一種或者多種鏈路接入方式，基站可以采取E1鏈路方式、無線鏈路方式、3G/4G鏈路方式、或者使用IP鏈路接入集群系統核心網。不論基站是采用哪種接入方式，QoS設計應保證全局的統一性，不同網元上的數據流優(yōu)先級、承諾速率、以及違規(guī)流量的處理動作要保持一致性。數據安全可以根集群系統用戶實際需要及網元設備功能性能采用不同的加密技術來實現數據傳輸的安全性，從而實現集群系統鏈路質量及數據安全性的保障。通過802.1X技術來認證基站側的接入設備，提高整個集群系統網絡的安全性。■

Ensure The Security of Data Transmission in Trunking Communication System

Gong Tongping, Pan Cheng, Zhang Da
(Hytera Communications Corporation Limited, Shenzhen, 518057)

Trunking communication system has been fully turned to digital, more and more business functions (e.g.signaling, voice, data, video and so on) are carried by bearer network trunking communication system, and the type and structure of bearer network are also becoming more complex. IP bearer network face enormous challenges as the basis for trunking communication system which is running many kinds of business. Link quality management and data security transmission design to ensure safe of trunking communication system data is very import. First introduce QoS and encryption technology, second analysis of how each node implement QoS and encryption technology to ensue reliability and security of trunking communication system.

QoS; queue priority; encryption; trunking communication system

10.3969/J.ISSN.1672-7274.2015.11.003

TN929.52 文獻標示碼：B

1672-7274（2015）11-0011-06