|
数字集群通信系统的安全保障 |
|
[ 通信界 / 潘娟 / www.cntxj.net / 2006/10/2 9:58:00 ] |
|
|
|
|
潘 娟
数字集群通信是实现移动中指挥调度通信最有效的手段之一,它以特有的调度功能、组呼功能以及快速呼叫等特性,在专业通信领域发挥着巨大的作用。
数字集群通信系统主要应用对象是对指挥调度功能要求较高的部门和企业,如军队、公安、国家安全部门、铁道、水利、电力、民航等单位。这些用户要求更高的通信安全性,因此数字集群通信系统必须采用高等级的安全机制来保障网络的安全可靠及信息的安全传递,才能满足这些特殊用户群的安全需求。
网络安全与信息安全的概念
网络安全是指所有涉及与网络稳定、可靠、正常运转相关的安全因素的总和,它要考虑网络硬件和软件的稳定可靠性,及网络的容错能力、应急能力。信息安全是指信息在网络中转换、处理、传输、存储整个过程中的安全性,它主要包括信息的机密性、完整性、可用性。通常对网络安全与信息安全需要从以下几个方面来考虑。
访问控制:防止未经授权的个人或设备使用网络资源。
认证:用于认定通信实体(个人、设备、服务、应用)的身份,保证其有效性。
不可否认性:利用相关网络证据防止用户或实体事后否认其实施了某一行为的能力。
通信安全性:确保信息仅在授权的端点之间流动,防止信息被转移或截获。
数据机密性:信息不泄露给非授权的用户、实体或过程,并不被其利用的特性。
数据完整性:确保数据的准确性,在传输过程中防止非授权的修改、删除、创建和复制。
可用性:指网络资源可正常提供服务或被访问的能力。
数字集群通信系统的信息安全
数字集群通信系统的信息安全主要涉及用户鉴权、加密、分级用户管理、日志管理、虚拟专网。 用户鉴权是访问控制的要求,只有合法的用户才可以接入网络,用户也只接入合法的网络,双向鉴权机制可有效的提高包括终端在内的整网的安全性。加密是为了保护数据的机密性,使数据只传送给已授权的用户。加密可以通过空中接口加密,也可通过终端进行端到端的加密。空中接口加密用于对基站和移动台间无线信道上的信息数据和信令进行加密保护,端到端的加密是实现发端用户到收端用户的全程通信保密。由于数字集群系统应用的特殊性,其加密的使用以及加密算法都应符合国内相关部门的要求。
图1 鉴权、加密过程示意图
调度台、网管系统都应具备严格、细致的用户分级管理。调度台存储了用户的重要信息,调度台的管理员责任重大,高级管理员应经过严格的培训,明白调度台所有参数的设置,可以正确的进行操作,并给下级用户分配适当的权限。网管系统应可以为用户设定细化到命令的用户权限,以防止底级用户误用高级操作引起系统错误,或查看到不应看到的保密信息。调度台和网管系统还应具备详细的日志,以方便后期的管理核查以及统计。对于非法操作,调度台和网管系统应对操作的用户、时间、内容等进行详细记录,并采取一定的应对措施。
数字集群系统分为专网运营和共网运营两种方式,共网运营可以共享资源,利用率较高,但也存在一定的隐患,即用户之间的隔离度。共网运营的数字集群系统采用虚拟专网的方式保证用户之间的信息隔离,如图2所示。
图2 共网运营的数字集群网络中的虚拟专网
调度台的管理员是虚拟专网的最高管理员。数字集群系统的虚拟专网主要是通过超级调度台来分配每个组织机构的权限,从而使被授权的组织机构调度台管理员只能管理、查看本调度台下的用户、及用户信息。由于各组织机构调度台的权限是由超级调度台授予的,因此超级调度台的安全至关重要,需要采取高级的策略来保证超级调度台的访问安全。虚拟专网间的隔离度是共网运营数字集群系统的一个重要安全要素。因此确保虚拟专网间的隔离度,才能保障共网运营的数字集群网络中用户信息的安全传递。
数字集群系统网络性能
网络本身的性能直接关系到网络整体的安全性,特别对于数字集群网络,其更应该具备高级的抗灾变能力和顽健性。对于网络的容量、通信覆盖率、呼叫建立成功率等都有更高的要求。特别的,数字集群通信系统经常应用于应急通信,因此其业务量具有突发性,拥塞控制对于数字集群通信网络也就尤其的重要。拥塞控制可以通过多种方式来实现。如:为高优先级用户预留信道;对用户进行分级,在系统繁忙的情况下,可以保障重要部门的通信资源;采用负载均衡技术,使业务量不至于在某个基站过于集中;准备应急通信车,在突发异常事件时,可以临时增加信道,缓解业务繁忙地区的通信压力。
数字集群网络的网络结构还应具备更高的抗灾变能力,如图3所示,对于重点地区进行基站的双覆盖(3、4号基站覆盖同一区域),将基站连接到不同的交换机(分别连接至交换机A和B),基站到交换机实现冗余链路连接(每个基站有两条以上链路可以连接至交换机)等。由于数字集群系统担负着应急通信的重大使命,因此通常其社会效益要重于经济效益,因此有必要投入一定的资金来提升网络的可靠性。
图3:具有高抗灾变能力的网络结构
共网运营的数字集群通信系统相比公众移动通信系统具有一定的特殊性,它存在一定的矛盾。集群通信系统的用户有些是具有特殊身份的组织机构(如安全部门等),这些机构要求自身的信息是完全保密不被运营商所知的,因此用户的通话状态、业务使用状态只有各组织机构的调度台管理员可以监控得到,运营商只负责系统设备的管理,无权实时监控用户的行为,也就无法实时对网络的业务进行控制,因此为了保障整网的利益,每个集群用户群的最高管理者应当明确自身的每一个行为将会对整网产生怎样的影响,要考虑全局利益,从而保障整网安全可靠的运行,因此非常有必要对各用户群的高级管理员进行深度的技术培训,从而更加合理、有效的使用各种集群业务,保障整网安全。
提高数字集群系统安全性的特殊功能
数字集群通信网络作为调度用专网,其功能要满足调度的特殊需求,因此各调度功能的可靠实现是保证数字集群通信网络安全的一个重要方面。终端在入网前的互联互通测试是保障调度功能正常实现的有效手段。
紧急呼叫是保障最高优先级的呼叫随时可以接入。动态重组功能可以在多群组通话过程中合并正在通话的群组,从而提高工作效率。迟后进入可以使终端一旦进入正常状态就可以接入之前应当进入的通话组。直通模式可以使用户在基站覆盖不到的地区不通过基站直接建立群组。类似这样的一些功能的实现都是为了提高网络的可用性。因此开发、完善调度功能也是数字集群通信系统提高通信安全性的途径之一。
数字集群系统设备安全
设备是网络的基础,设备的安全是保障网络安全的基础,只有保证网络的物理可靠性,才能保证网络功能、信息的安全性,因此基础设备的可靠性至关重要。 对于交换机,硬件上应实现关键部件的热备份。软件上,关键的用户数据、配置数据应当及时、定期进行备份。
对于基站系统要考虑其抗外界干扰的能力,如射频干扰、雷击、抗震性能等。基站系统的备用电源应根据基站覆盖区的重要程度适当配备,以应变突发事件。
系统主备用倒换能力是系统可靠性的一个重要指标,如倒换时间、倒换过程对正在进行的业务的影响等。完善的监控告警机制可大大提高网络的可靠性,如系统部件可自我诊断和修复、系统可隔离故障模块、及时产生告警信息。
此外,调度台、终端存储了用户的重要信息,这些设备由用户控制,应由专人维护,以保证相关用户信息不被外界窃取。
数字集群通信系统是一种特殊的专用通信系统,在应对突发事件时,对社会稳定和人民生命财产的安全起着及其重要的作用,因此数字集群通信系统的安全要求要大大高于公众移动通信系统,所以数字集群通信系统运营者必须从各方面考虑如何增强系统的抗灾变能力,如何使系统更安全可靠的传递信息。只有全面的重视数字集群通信系统的安全问题,才能使数字集群系统发挥其应有的作用。 |
|
|
|
|
|
|
|
|
|
版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。
② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。 |
|
|
|
|
|