数字集群系统的虚拟专网
2006-04-22
自信息产业部公布我国数字集群系统标准以来,数字集群通信系统网络的规划与实施已引起多方面的关注与探讨。我国模拟集群通信系统的使用和欧美等国相比并不晚,但是使用情况和用户数量不理想。主要问题有多种制式、信令不一、互不相通;频谱效率低、系统容量小;功能单一、只有语音调度;干扰大、盲区多。为了克服模拟集群投资分散,各自管理,系统规模小,用户发展规模有限等弊端,提出了数字集群“共网”概念,它充分发挥数字集群系统的高质量语音;频谱利用率高;系统容量大;以及无线分组数据传输及应用等优势。为了满足网内各专网用户相对独立的操作和应用需求,数字集群网络本身还应该提供用户虚拟专网(VPN)功能,以实现多个专网用户既共享数字集群网络平台又具备与专网一致的独立性和特殊性。本文对TETRA数字集群系统虚拟专网的基本概念、功能、网络结构、实现方式、关键技术以及应用进行论述,以供参考。
一、TETRA数字集群系统的虚拟专网概述
TETRA数字集群系统不仅具有普通调度功能,还具有虚拟专用网功能;系统为群体用户提供专用调度台,利用与其它群体共享的网络基础设施组成虚拟专网,向用户提供一般专用网络所具有的功能,各虚拟专网之间在工作上相互独立,各虚拟专网可单独调节运行参数,也可各自根据需要选择功能。
TETRA数字集群系统的虚拟专用网(VPN)在构成上与实在的TETRA数字集群网络不同,它是建立在实际TETRA数字集群网络基础上的一种功能性网络;但对用户来说,在功能上则相当于实在的专用网络,能向用户提供传统专业网的功能。TETRA数字集群系统能为不同集体用户提供各项所需的优良服务,使公众网的公共性和专业网的独立性比较好地得到协调解决,使每个原拟单独建网的部门都从该集群系统的虚拟专用网中感到一样方便,一样安全可靠。
TETRA数字集群系统的虚拟专网在结构上和功能上与公众网的虚拟专网是不同的。虚拟专网是指在公众网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公众网络服务商所提供的网络平台(如INTERNET,ATM,FRAME RELAY等)之上的逻辑网络,用户数据在逻辑链路中传输。目前以点对点隧道协议(PPTP)、第2层隧道协议(L2TP)、第2层前转协议(L2P)和IP安全协议(IPSec)。
如果不建立TETERA数字集群虚拟专网,不但是对资金和频率资源的极大浪费,而且还会由于投入产出比例失调,而直接影响到以后对系统的维护,进一步扩容,功能的改进,乃至最后产品得不到更新换代,通信质量下降,使得设备逐渐被搁置。
二、TETRA数字集群系统虚拟专网的功能
TETRA数字集群系统利用虚拟专网的概念,可以使一个物理网络为互不相关的多个组织机构服务。也就是说,功能要求和系统概念相距甚远的多个组织机构可以共用一个网络平台。各个组织机构无须自行购置基站、交换机和传输设备,只须配置相应调度台和移动台,即可建立自己的虚拟专用网,并在自己的虚拟专网中独立工作,如同在传统的专业网中工作一样。主要功能如下:
1、独立的编号方案与管理
TETRA数字集群系统的编号方案应该完全符合TETRA标准,对于每个虚拟专网应该是非常灵活,方便的,没有任何的限制。根据TETRA标准定义,有两类TETRA用户身份码与虚拟专网有关;一类为TETRA用户身份码(TSI),另一类为TETRA管理身份码(TMI)。每个移动台应至少包含一族TSI。每族应包括一个单独的TETRA用户身份码(ITSI),也可以有一个TETRA用户别名身份码(ATSI)和若干个TETRA用户群身份码(GTSI)。单独TETRA用户识别码(ITSI)是TETRA网络中唯一地识别一个移动用户的号码,共48bit/s,前24bit/s是国家和网络代码。国家代码MCC是10bit/s,MNC是14bit/s。后24bit/s用来定义TETRA网络的用户地址。ATSI和GTSI既可以被预先分配(类似ITSI),也可以象常规操作那样采用标准TETRA过程,由网络动态分配。TETRA管理身份码(TMI)为非传递的网络(第3层)身份码。在使用TMI之前,给TMI分配一个终端,不能动态地交换TMI,用户也不能在终端之间传递TMI。网络运营者分配TMI,在发送给用户之前,应在终端中安装TMI。TMI只能作为采用一套专用管理消息的内部网络管理功能的地址。一般网络用户不能接入这些管理消息和TMI地址空间。编号结构如表1。
我国的MCC为“086”,MNC由国家指配,现讨论TETRA数字集群系统中每个虚拟专网的ISSI和GSSI的编号方案。假设我国数字集群网络统一编号如表2。
其中:N1N2N3N4为TETRA集群业务接入号(全国统一);H1H2为地区识别号(主管部门统一规定);S1S2S3S4S5S6为移动用户号(各运营商自行分配)。
例如:TETRA集群业务接入号N1N2N3N4为1500;北京地区识别号H1H2为01和02;天津地区识别号H1H2为03等;移动用户号码S1S2S3S4S5S6中S1S2配为虚拟专网号(假设00-03为铁路,04-05($0.4000)为公安,06为公交等等),S3S4S5S6为用户号。号码为150001050200代表北京市公安的用户。
采用TETRA编号方案,还可以方便地进行群呼。在同一个虚拟专网中移动用户呼叫只需要拨最后4位号码即可,而每个通话组还可以减少拨号码,因此,呼叫起来非常方便。实际编号方式可结合实际情况与最终用户探讨后,进行完整的规划。
同时用户还可以选择同时采用用户功能号码(FSSN)的编号方案。该方案可以根据用户的实际情况,例如在铁路系统,我们可根据车辆的车次号码为车载台编号,这样其它无线用户就可以根据车次号码来呼叫该用户。而且由于一辆车一般有多个司机来开,因此我们还可以将FSSN号码同时赋予多个同属于一辆车的终端,这样不管谁在工作,其它用户都可以根据FSSN号码来与该车进行通信。这种编号方案非常适用于例如铁路,公交,巡逻警察,地铁等单位。
2、用户漫游范围的限定与管理
用户组织根据各自的特定需要使用由共用网提供的相应服务,主要包括通话组中的成员可以得到不同的呼叫权利;调度员可以有不同的管理和权利;通话组内的通信和传统的PMR(专用移动无线电台)系统一样,包括组呼、选呼、回叫请求、动态重组以及与外部系统的呼叫等;
通话组由若干属性参数规定,其中包括通话组服务区域。通话组服务区域可以是整个网络,或者是网络的一部分。如果是后者,根据用户要求来定义通话组服务区域
3、独立的调度指挥与集中的调度指挥结合
可以通过本虚拟专网的调度台对本虚拟专网的用户进行工作调度及用户管理,用户具有高度的通信保密性以及对本单位内部用户的高度控制性,网内虚拟专网间的通信不会相互干扰。
不同的虚拟专网在一种可控方式下相互通信。多个虚拟专网可以有公共的通话组。部分调度员可以有权管理多个不同虚拟专网中的用户,并且与之通信。例如,创建一个包含来自不同虚拟专网的多个用户的临时通话组。在突发事件中可以作出更加有效的反应。
4、独立的和集中的分组数据传输
在每个虚拟专网中,无线用户和调度员可以发送和接收短数据和状态信息以及IP数据。信息可通过无线终端、调度台或另外的数据终端发送给其它用户。这些数据主要应用于自动车辆定位、员工管理、遥控遥测、数据库查询、E-MAIL等。当有突发事件发生时,可以将不同的虚拟专网中的数据信息集中管理。
三、TETRA数字集群系统虚拟专网的组网方法
1、TETRA数字集群系统虚拟专网的结构
一个好的虚拟专网结构,不但可以提高对频率的使用效率,节省投资,还可以帮助运营商非常方便地管理和运营网络,为用户提供良好的服务。虚拟专网是建立在TETRA数字集群通信系统网络结构的基础上,对于基站较少的本地网络,可以由一台交换控制设备进行集中交换的网络结构。对于基站数量较多、覆盖范围较广、业务量较大的区域网络,也可以采用多台交换控制设备进行分散控制的网络结构。各交换设备之间的连接应能灵活设置,例如可采用树型、星型、网型或环型连接。图1示出多交换中心网络结构。
虚拟专网功能存在于呼叫处理和网络管理软件中,但主要接口是通过网络管理服务实现的,呼叫处理是通过调度台实现的。虚拟专网在本质上是网络用户分类管理的实例,在用户分类中,所创建的单个用户的属性被限制在相应组织类别中。
根据TETRA数字集群系统的TSI和TMI,可将虚拟专网的技术管理和通信调度管理分开的。运营商只需对网络运行状况进行维护,处理系统的故障及告警,为网络用户提供服务,但运营商并不能对网络中的单位用户进行监听或控制。而网内的虚拟专网用户可通过本虚拟专网的调度台,对本虚拟专网的用户进行工作调度及用户管理,用户具有高度的通信保密性以及对本单位内部用户的高度控制性。但网内虚拟专网间的通信不会互相干扰。这一原则是虚拟专网功能得以实现的基础,只有使网络维护和通信调度完全分开,才能实现真正的虚拟专网功能。如图2所示。
TETRA网络可以供多个不同的虚拟专网共享,并且每个虚拟专网就象处于为其专门建立的网络中一样,提供方便而可靠的用户组织管理。每个虚拟专网都有各自的调度系统,可以根据各自的通信需求对其用户和调度台进行分组。每个组织可以有许多个由若干个调度台和上百个无线用户组成的通话组。其中的无线用户、通话组和呼叫权限都可以独立设置,无线用户可以属于多个通话组,通话组可以包含若干个调度台,该用户组织能全面地控制自己的内部通信。此项功能可为用户提供经济的解决方案,同时减少网络的运行和管理费用。
同时网络中的每个虚拟专网,都可以将本单位的用户交换机PABX、企业内部网intranet、单位内部数据库、以及各种数据应用等连接到系统中,并且对于每个虚拟专网而言,使用起来如同自己建网一样,具有高度的保密性,操作起来方便、快捷。
在一个虚拟专网内部,可以有一个或多个调度台,我们一般将其设定为只具有管理和指挥调度本虚拟专网的权限。同时这些调度台在虚拟专网内可以具有相同的权限,如都可以对全网进行指挥调度和管理,也可以是分层结构的,具有不同的权限,指挥调度不同的部门。正如上面所介绍到的,我们可对虚拟专网内的每个调度员定义其通信和管理的范围和权限,而且调度台还具有两种软件包,一种是通信和管理软件包,另一种是通信软件包,只能进行调度通信,不能进行管理操作。
调度员对于通话组和用户的管理权限,可以从已被定义好的组织块来获得。根据已被定义好的组织机构的权限,来确定组织机构中的无线用户和调度台的选呼权限和调度台的组呼权限,而无线用户必须是某个通话组的成员。
同时,TETRA系统可以允许在某些紧急状况下,通过被授权的调度台,将网内不同虚拟专网的用户进行动态重组,共同处理某个突发事件,实现不同部门间的协同工作。
2.TETRA数字集群系统虚拟专网的组网方法
TETRA数字集群系统内不同部门可以组成若干个组织机构,也就是虚拟专网,并且还能将虚拟专网进一步根据用户单位内部的部门结构,分为更小的团体,称为组织块。TETRA数字集群系统可分多层组织块结构,而虚拟专网的数量没有任何限定,可以是几十甚至上百个。
首先,运营商需要通过一个具有最高权限的网络管理终端,对整个网络的组织机构进行定义,即对网络中的所有虚拟专网进行定义(如公安、铁路、公交等)。运营商的网络管理员只需对每个虚拟专网的身份码和名称加以定义,即可这样就相当于在系统中建立了若干个虚拟的网络,随后要创建的所有虚拟专网管理员、通话组、无线用户都必须要对其所属的虚拟专网进行定义,这就相当于在系统中的每个成员身上打上了一个身份烙印,系统将会根据每个成员身上的这些身份标记,来处理以后这些成员的各种操作。
然后,运营商的系统管理员还要对每个虚拟专网中的最高级别的调度员进行定义。除了定义他们的用户名、密码以外(密码以后可以自己修改),最重要的就是要定义该虚拟专网调度员所属的虚拟专网,以及他们在本虚拟专网中的通信和管理权限。用户权限和编码与组织机构有关,通信权限的主要包括:
个呼发起的范围(全网、某些虚拟专网、本虚拟专网内),以及是否只能发起个呼,或只能接收个呼,或既能发起又能接收各呼。
状态信息和短数据信息发起的范围(全网、某些虚拟专网、本虚拟专网内),以及是否只能发起个呼,或只能接收个呼,或既能发起又能接收个呼。
呼叫PSTN/的权限。
管理权限的主要包括:
对无线用户的管理范围(全网、某些虚拟专网、本虚拟专网内),以及对无线用户的管理权限是否可以创建,修改,删除无线用户,是否可以改变通话组成员等。
对本虚拟专网内较低级别的其它调度员的管理范围和权限进行定义。
对通话组管理范围和权限进行定义。
对组织块管理范围和权限进行定义。
对短用户号码的管理范围。即该调度员可以创建无线用户和通话组的号码范围。
对所连接的外部系统的管理。包括对本虚拟专网所属的PSTN/PABX、itranet、数据库等的管理。
最后,对于每个虚拟专网内部的子组织块、调度台、无线用户、通话组等的创建工作,可以由运营商的管理员来进行,也可以有由刚定义完毕的每个虚拟专网中具有最高级别的调度员来进行。在定义所有这些网络中的成员时,必须指明该成员是属于哪一个组织块或子组织块的。这样就把网内的所有用户进行了归属定义,将整个虚拟专网完整地建立起来,便于以后对用户进行管理、编号及呼叫等等。
整个网络的虚拟专网建成以后,可以对每个虚拟专网分配用户号段。该号段的分配是任意的,没有任何限制,可以是连续的,也可以是间断的。但为了便于管理,一般都是一个连续号段。虚拟专网中所授权的调度员可以在其可以管理的用户号段范围内创建,删除和修改无线终端和用户组。该调度员操作完成以后,可直接将所修改的数据存入系统数据库,而不必通过运营商来进行。当然运营商的系统管理员可以通过系统的管理终端来查看整个系统的状况,包括虚拟专网和用户号码的使用状况。但运营商无法监听和干扰各虚拟专网的通信。
四、TETRA数字集群系统虚拟专网的关键技术
用户单位最关心的问题之一就是,如果加入共网集群,能不能使用起来就象自己建网一样,方便,快捷,通信保密可靠,共网内部不同部门间通信,不会产生干扰和失密等等。
为支持网络安全运行,除ITSI外还可以分配一个ATSI。每个ITSI只能有一个ATSI,并且只有网络运营者知道这个ITSI—ATSI对。ATSI不能从ITSI信息中推出,且其它用户只能通过ITSI来识别给定的用户。因为其它用户不知道ATSI,所以网络运营者可以利用公共ITSI操作基础设施路由表不通知其它任何用户而频繁改变ATSI值。
当各种组织共享相同的无线平台时,就产生了虚拟用户群体之间的私密性问题,即在使用相同系统时如何维护通信机密的问题。由于TETRA系统是数字系统,因此能够很容易地通过加密机制满足对私密通信的需求。TETRA系统可以支持两层加密:空中接口加密和端对端加密。空中接口加密是指用户终端和基站之间的业务信道和控制信道经过加密的;端对端加密是对业务信道在空中接口加密的基础上进行的双重加密;所提议的系统能够完全支持此机制,但是需要开发特殊的加密算法,特殊的加密算法对特定用户是非常重要的,运营商可以设计和开发加密算法。
对于空中接口加密而言,在正常操作下,可维护属于不同组织的用户之间的个人呼和组呼的机密。对于不同类型的呼叫,在TETRA系统可提供不同类型的密钥。在这些密钥中,VPN之间维护私密通信机制所需的密钥有两种:导出密钥或衍生密钥(DCK);组密钥(GCK)。
DCK是用来加密所有从用户发送到无线基础设施的信令和业务信道,和从无线基础设施发送到用户的个人呼叫寻址的信令和业务信道;DCK密钥是在用户的鉴权过程中获得的,它是通过相应的算法和存储在终端中的个人密钥导出的。因此网络中的每个用户在进行个人呼的时候使用不同的DCK,因此可确保统一组织内外通话的私密性。GCK可以与单个组地址相关联来加密从无线基础设施到用户的组寻址信令和业务信道。GCK是基础设施所知道的并分配到用户。因此,为维护不同的组织之间的私密通信,GCK的不同子集被分配到属于不同VPN的用户。
在紧急情况或其它特殊情况下,可能发生一些特例,不同组织在某一领域合作,因此他们不得不建立VPN之间的通信。为此目的,必须为这种特殊的操作模式提供另外的GCK子集。在这种情况下,一个超级操作员需要介入,来修改密钥管理的“正常”途径,这项工作可以交给网络运营者或负责协调网络中所有组织运行的高级组织部门。这个操作员必须识别VPN之间的通信和空中分配适当的GCK到所有的组织或用户,这些组织或用户需要进行联合的操作。
五、TETRA数字集群系统虚拟专网的应用
TETRA数字集群系统虚拟专网的主要用户群体为运输业(包括出租车、公交车、运输公司、公路、铁路、航运交通等)、大型企事业、政府部门、水电气等市政管理、机场、大型车站、消防、水利、建筑、金融和旅游等部门、大型活动组织机构、以及警察、武警法院和检察院等公共安全类用户。
社会是一个有机的整体,许多社会活动需要各部门的协同工作,市场经济更需社会的分工合作。TETRA系统允许不同的虚拟专网在一种可控方式下相互通信。多个用户组可以有公共的通话组。部分调度员可以有权管理多个不同用户组织中的用户,并且与之通信。比如,创建一个包含来自不同组织的多个用户的临时通话组。便于在一个城市的市政府、体委、公安、武警、消防、医院、交通、新闻和旅游、宾馆等单位各自组成虚拟专用网,并可多个单位组成共同的通话组以实施联合指挥。