龚同平，潘 成，张 达

（海能达通信股份有限公司，深圳 518057）

专网通信系统传输链路端到端高可靠性应用

龚同平，潘 成，张 达

（海能达通信股份有限公司，深圳 518057）

集群通信系统已经全面转向数字化，系统业务功能不断丰富，从而导致集群系统承载网中的业务数据类型（信令、语音、数据、视频等等）也越来越多，且承载网络的类型和结构也日益变得复杂，作为集群通信系统各项业务功能运行基础的IP承载网面临着巨大的挑战。为了保证集群各项业务的安全可靠运行，关于链路质量管理和数据安全传输设计应用显得尤为重要。本文介绍了QoS及加密技术，分析了在集群系统中各节点如何实现QoS及数据加密来保证集群业务的可靠和安全性。

QoS；队列优先级；加密；集群专网

1 引言

随着模拟系统不断向数字集群系统转变，作为数据传输网络的IP承载网的作用显得越来越重要，无论是DMR系统、PDT系统还是TETRA系统，都已经离不开IP承载网络对其业务的支撑。伴随数字集群系统的功能和业务网元的增加，在IP承载网上传递的数据流也变的丰富多变，IP网络已经从单一数据网络向集成数据、语音、视频、图像的多业务网络转变；另外，集群主要应用于军队、公安等行业，集群系统业务数据的安全性备受关注。集群系统要求语音调度等业务的实时性、稳定性、安全性，对于QoS及数据加密在集群系统IP承载网中的实施应用变的尤为迫切。本文主要探讨如何使用QoS技术及加密技术在集群专网系统中实现集群通讯数据安全可靠传输。

2 集群通信系统承载网链路

集群通信系统链路主要分为两大类，即有线与无线链路。有线链路主要指SDH、以太网、PTN等链路；无线链路主要指4G、微波、3G、网桥、Wi-Fi等。

集群通信系统项目建网时，使用的IP承载网一般会采用新建专网、利用用户现有网络，或者两者结合的方式进行组网。从目前集群系统项目建设情况来分析，新建专网链路主要是MSTP专线链路（E1专线），微波链路、无线网桥链路等；用户现有网络主要是以太网（局域网或城域网），另外可能借助于运营商网络（3G/4G网络）。

MSTP（Multi-Service Transfer Platform，基于SDH的多业务传送平台）是指基于SDH平台同时实现TDM、以太网、ATM等业务的接入、处理和传送，提供统一网管的多业务节点。MSTP组网结构示意图见图1。

图1 MSTP组网结构示意图

微波技术已有几十年的发展历史，现已成为一门比较成熟的学科。在雷达、通信、导航、遥感、电子对抗以及工农业和科学研究等方面，微波技术都得到了广泛的应用。微波是一种电磁波，从广义上讲，频率范围为300MHz-300GHz，微波通信使用的频率范围通常是3GHz-30GHz。实际微波设计中的设备是从7GHz-38GHz，频率越高，传输距离越短。微波组网结构示意图见图2。

图2 微波组网结构示意图

3 链路质量管理及数据安全技术

QoS（Quality of Service，服务质量）指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力，是网络的一种安全可靠机制，是用来解决网络延迟和阻塞等问题的技术。在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等，但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。而当网络发生拥塞的时候，所有的数据流都有可能被丢弃；为满足用户对不同应用不同服务质量的要求，就需要网络能根据用户的要求分配和调度资源，对不同的数据流提供不同的服务质量：对实时性强且重要的数据报文优先处理；对于实时性不强的普通数据报文，提供较低的处理优先级，网络拥塞时甚至丢弃。

支持QoS功能的设备，能够提供传输品质服务；针对某种类别的数据流，可以为它赋予某个级别的传输优先级，来标识它的相对重要性，并使用设备所提供的各种优先级转发策略、拥塞避免等机制，为这些数据流提供特殊的传输服务。网络的缺省服务模型为Best-Effort，通过FIFO（first in first out，先入先出）队列来实现，它适用于绝大多数网络应用，但对延时、可靠性等性能不提供任何保证。在集群通信系统IP承载网采用了DiffServ服务模型，能够有效地保证集群系统业务的实时性、稳定性。

DiffServ是一个多服务模型，它可以满足不同的QoS需求。对于DiffServ服务模型，网络不需要为每个流维护状态，它根据每个报文指定的QoS来提供特定的服务，可以用不同的方法来指定报文的QoS，如IP报文的优先级位（IP Precedence），报文的源地址和目的地址等，网络通过这些信息来进行报文的分类、流量整形、流量监管和队列调度。

数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。常见加密算法有如下几种：

⊙ DES（Data Encryption Standard）：对称算法，数据加密标准，速度较快，适用于加密大量数据的场合。

⊙ 3DES（Triple DES）：是基于DES的对称算法，对一块数据用三个不同的密钥进行三次加密，强度更高。

⊙ RC2和RC4：对称算法，用变长密钥对大量数据进行加密，比DES快。

⊙ IDEA（International Data Encryption Algorithm）国际数据加密算法，使用128位密钥提供非常强的安全性。

⊙ RSA：由RSA公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的，非对称算法。

4 集群通信系统链路质量及数据安全性应用

图3 典型E1链路接入拓扑图

4.1 基站E1链路接入的QoS及数据安全设计

4.1.1 E1链路接入模型

集群系统中E1接入是一种比较常见的基站接入核心网的方式，E1链路本身所能提供的最大带宽为1.984b/s，链路延时、抖动较固定。但因带宽较低容易出现各网元流量突发大于E1链路最大带宽，从而出现链路的拥塞而影响基站与核心网各网元的交互。典型E1链路接入拓扑图见图3。

4.1.2 E1接入QoS及数据安全设计

（1）在基站交换机上为不同的接入网元划分VLAN，并为不同业务分配优先级：

⊙ 集群基站业务划分VLAN 10，802.1p优先级配置为6。

⊙ 视频业务划分vlan20，802.1p优先级配置为5。

⊙ 其他监控设备划分vlan30，802.1p优先级配置为4。

⊙ 所有未明确的数据802.1p优先级使用默认优先级0。

（2）E1设备通过E1时隙划分为特定业务保证链路带宽，另外通过加密技术实现数据安全。

⊙ E1设备上通过时隙划分功能，为特定的业务指定所用时隙，基站控制器与核心网的交互使用1～10时隙，视频业务使用11～20时隙，其他监控设备使用21～25时隙，其他数据使用剩余时隙。

⊙ E1两端设备启用本身自带加密，对链路中传输的数据进行加密。

4.2 基站IP链路接入的QoS及数据安全设计

4.2.1 IP接入模型

基站IP链路接入方式是指基于用户IP网络并通过VPN的方式实现基站与核心网互通，同时达到集群系统业务数据与用户网络隔离的效果，并且通过数据加密技术达到数据的安全传输。IP链路接入的方式，链路带宽、时延、抖动、丢包率主要受用户网络的Q o S限制。典型IP链路接入拓扑图见图4。

图4 典型IP链路接入拓扑图

4.2.2 IP接入QoS及数据安全设计

通过基站路由器与核心路由器之间建立IPSEC VPN隧道实现基站与集群系统核心网互联，IPSEC VPN采用IKE的方式来动态的协商与核心网建立安全连接的密钥，同时采用AES或者3DES对原始数据和IP包头进行加密以保证在传输网上数据的安全性。

（1）在基站交换机上为不同的接入网元划分VLAN，并为不同业务分配优先级。

⊙ 基站控制器划分VLAN 10，802.1p优先级配置为6。

⊙ 视频设备划分vlan20，802.1p优先级配置为5。

⊙ 其他监控设备划分vlan30，802.1p优先级配置为4。

⊙ 所有未明确的数据802.1p优先级使用默认优先级0。

（2）基站路由器上面配置限速与流量整形并启用Cos信任，在路由器上配置以IP数据流的五元组定义的ACL来区分数据流，对不同的业务数据流分配不同的带宽。

⊙ 启用CAR和GTS技术保证基站业务数据流的最小带宽，在路由器出口处进行流量整形保证不丢包。

⊙ 启用CAR和GTS技术保证视频数据流所需最小带宽，在路由器出口对流量进行整治对超出的流量进行整治。

⊙ 启用CAR技术保证监控数据流所需最小带宽，在路由器出口出进行流量限制，对超出流量的数据做丢弃处理。

⊙ 对于其他未做归类的流量不做带宽保证，限制其所使用的带宽，对超出的流量做丢弃处理。

⊙ 在与交换机互联的接口上打开Cos信任，并配置802.1p的优先级到本地优先级的映射，路由器内部自动获取接入交换机上配置的数据流的优先级转变为三层ip数据包的DSCP的优先级并携带此优先级向下转发与前端交换机保持一致的优先级。

（3）在用户网络层面，需要用户为集群业务在用户网里提供端到端的链路质量保证。其实现方试，主要是针对基站路由器与核心路由器两点之间的数据流，为其设定对应的QoS策略，保证链路的带宽、时延、抖动、丢包率。

4.3 基站无线链路接入QoS及数据安全设计

4.3.1 无线链路接入模型

在不便于铺设有线网络的环境中，通过微波设备或者无线网桥将基站接入集群系统核心网是比较常用的方案，对于某些用户也会考虑使用卫星链路作为接入链路。典型的无线接入拓扑图见图5。

图5 典型的无线接入拓扑图

4.3.2 无线链路接入QoS及数据安全设计

通过微波、无线网桥或者卫星链路作为接入核心网的方式，由于无线链路本身的特性决定了链路质量会受到更多的外界因素干扰。无线设备传输质量比较容易受到天气因素的影响，例如在阴雨天、狂风、或者沙尘天气的影响下，无线链路的可用性和链路质量将大大下降。在以无线链路作为接入方式的网络中对于QoS和安全的设计可从一下两个方面考虑：

（1）在接入层交换机上的QoS设置与E1和IP接入保持一致，为不同的数据流在二层数据里面设置优先级，同时微波设备，无线网桥等无线链路设备本身也具备vlan划分和QoS优先级设置的功能。在无线设备上对不同数据流配置QoS优先级时需要和交换机上的配置保持一致。

（2）数据安全方面，无线设备可通过自身携带的不同加密算法对通过无线链路传输的数据进行安全加密，通常使用的加密算法包括DES或者AES算法，依据设备性能以及链路的需求使用合适的算法来对无线链路传输数据进行加密，确保空中传递数据的安全性。

4.4 基站3G/4G链路接入QoS及数据安全设计

4.4.1 3G/4G链路接入模型

在不便于铺设有线网络的环境中，如果有公网运营商的无线链路（3G/4G），可以借助于3G/4G链路将基站接入集群系统核心网是比较快捷的方案。典型的3G/4G链路接入拓扑图见图6。

4.4.2 3G/4G链路接入QoS及数据安全设计

3G/4G链路是由公网运营商运营维护，链路的全安性和链路质量不可控，在3G/4G链路作为接入方式的网络中，对于QoS和数据安全性的设计需要非常慎重。

在接入层交换机上的QoS设置与E1和IP接入保持一致，为不同的数据流在二层数据里面设置优先级，同时在基站的3G/4G路由器上进行QoS优先级设置，基站3G/4G路由器和交换机上的策略配置保持一致。

图6 典型的3G/4G链路接入拓扑图

图7 典型基站安全接入的拓扑图

数据安全方面，3G/4G路由器通过与核心路由器之间做IPSEC VPN来保证数据传输的安全性及完整性；通常IPSEC V P N使用的加密算法包括DES，3DES，AES等算法，依据设备性能以及链路的需求选用合适的算法来对传输的数据进行加密，确保数据在公网上传输的安全性及完整性。

4.5 基站接入的安全性设计

为了确保基站侧接入的设备（基站等其它数据采集设备）是经过许可接入的，需要对接入的设备进行安全认证，以保证整个集群系统网络的安全可靠性。采用MAC地址绑定及802.1X技术来对基站侧接入的设备进行安全认证，Radius认证服务器部署在集群系统交换中心。典型基站安全接入的拓扑图见图7。

5 结束语

同一个集群系统网络内可能包含一种或者多种链路接入方式，基站可以采取E1链路方式、无线链路方式、3G/4G链路方式、或者使用IP链路接入集群系统核心网。不论基站是采用哪种接入方式，QoS设计应保证全局的统一性，不同网元上的数据流优先级、承诺速率、以及违规流量的处理动作要保持一致性。数据安全可以根集群系统用户实际需要及网元设备功能性能采用不同的加密技术来实现数据传输的安全性，从而实现集群系统链路质量及数据安全性的保障。通过802.1X技术来认证基站侧的接入设备，提高整个集群系统网络的安全性。■

Ensure The Security of Data Transmission in Trunking Communication System

Gong Tongping, Pan Cheng, Zhang Da
(Hytera Communications Corporation Limited, Shenzhen, 518057)

Trunking communication system has been fully turned to digital, more and more business functions (e.g.signaling, voice, data, video and so on) are carried by bearer network trunking communication system, and the type and structure of bearer network are also becoming more complex. IP bearer network face enormous challenges as the basis for trunking communication system which is running many kinds of business. Link quality management and data security transmission design to ensure safe of trunking communication system data is very import. First introduce QoS and encryption technology, second analysis of how each node implement QoS and encryption technology to ensue reliability and security of trunking communication system.

QoS; queue priority; encryption; trunking communication system

10.3969/J.ISSN.1672-7274.2015.11.003

TN929.52 文献标示码：B

1672-7274（2015）11-0011-06