胡榮健曾 萍張希波

基于移動VPDN的應急通信平臺方案設計

胡榮健1*曾 萍2張希波1

1．中國人民解放軍61416部隊，北京 100036 2．北京電子科技學院，北京 100070

本文提出一種基于移動VPDN網(wǎng)絡建設應急通信平臺的設計方案，對其實現(xiàn)機制、網(wǎng)絡結(jié)構(gòu)及接入鑒權、業(yè)務訪問等流程進行了研究論述，對其具體的應用種類及建設原則進行了探討，為建設基于移動VPDN的應急通信平臺提供了切實可行的參考依據(jù)。該方案具有廣域覆蓋、信道資源及業(yè)務種類豐富、安全保密、經(jīng)濟成本低等顯著優(yōu)勢。

移動通信;VPDN;應急通信

引言

VPDN(Virtual Private Dial Network)是指利用公共網(wǎng)絡(如ISDN和PSTN)的撥號功能及接入網(wǎng)來實現(xiàn)虛擬專用網(wǎng)，為企業(yè)、事業(yè)單位辦公人員提供接入服務;移動VPDN業(yè)務是利用移動通信網(wǎng)絡的無線覆蓋接入，實現(xiàn)手機或?qū)Ｓ靡苿訑?shù)據(jù)終端與企事業(yè)總部網(wǎng)絡之間的虛擬專用數(shù)據(jù)業(yè)務。目前國內(nèi)以中國電信推出的“V信通”業(yè)務為代表，具有覆蓋面廣、資源豐富、性能穩(wěn)定、可管可控、安全保密等特點，在企業(yè)網(wǎng)、校園網(wǎng)中有著廣泛的應用。但在移動VPDN業(yè)務與應急通信相結(jié)合方面，國內(nèi)實踐案例尚且為數(shù)不多，隨著國家搶先救災、防恐維穩(wěn)等任務越來越多，對于應急通信的需求也越來越高，而在全國建設專用應急通信網(wǎng)絡存在造價高、資源緊缺等無法彌補的缺陷，所以開展移動VPDN業(yè)務在應急通信方面的應用研究及實踐具有十分重要的意義。

1 移動VPDN實現(xiàn)機制與方案選擇

VPDN按照建立L2TP隧道的實現(xiàn)機制可以分為三種:Client-Initialed(客戶端觸發(fā))、NAS-Initialed(接入服務器觸發(fā))和LAC-Auto-Initialed(訪問集中器自動觸發(fā))［1］。

三種機制的主要技術特點及區(qū)別如下:

1.1 Client-Initialed(客戶端觸發(fā))

Client-Initialed(客戶端觸發(fā))機制是指在數(shù)據(jù)終端上安裝L2TP客戶端軟件，數(shù)據(jù)終端與總部網(wǎng)絡建立隧道時無需通過NAS接入，而是通過客戶端軟件直接撥號與總部網(wǎng)絡的LNS建立L2TP隧道。其應用場景如圖1所示。

1.2 NAS-Initialed(接入服務器觸發(fā))

NAS-Initialed(接入服務器觸發(fā))機制是指數(shù)據(jù)終端與總部網(wǎng)絡建立隧道時需要先到NAS鑒權，鑒權通過后數(shù)據(jù)終端與NAS之間建立PPP會話，然后由NAS向總部網(wǎng)絡LNS發(fā)起建立L2TP隧道的請求，NAS和LNS之間成功建立L2TP隧道后，數(shù)據(jù)終端通過此隧道建立與LNS之間的PPP連接，其應用場景如圖2所示。

1.3 LAC-Auto-Initialed(訪問集中器自動觸發(fā))

LAC-Auto-Initialed(訪問集中器自動觸發(fā))機制是在系統(tǒng)建設時對LAC配置完成后，LAC就自動向總部網(wǎng)絡的LNS發(fā)起L2TP隧道建立請求，隧道一旦建立就長期存在，分支機構(gòu)用戶只要能連接LAC就可以通過L2TP隧道訪問總部網(wǎng)絡，其應用場景如圖3所示。

需要特別指出，一般情況下NAS與LAC是同一個物理實體，NAS是VPDN里的概念，LAC和LNS是L2TP協(xié)議里的概念，上述第二種機制為了突出實際網(wǎng)絡中NAS對數(shù)據(jù)終端提供的接入服務功能，沿襲了NAS-Initialed的慣用叫法。

上述三種機制，如果在移動VPDN網(wǎng)絡采用Client-Initialed機制，也就是在每部手機上安裝L2TP客戶端，讓每部手機直接和總部網(wǎng)絡LNS建立隧道，則會大大增加移動通信網(wǎng)絡的資源消耗和管理難度;而在LAC-Auto-Initialed機制中，在建立L2TP隧道時LNS只對LAC進行認證，不對用戶進行認證，降低了網(wǎng)絡的安全性。所以從網(wǎng)絡安全、網(wǎng)絡資源和用戶管理三個方面綜合考慮，移動VPDN采用NAS-Initialed機制。

2 基于移動VPDN的應急通信平臺方案設計

2.1 網(wǎng)絡架構(gòu)

目前中國移動、聯(lián)通和電信都提供虛擬專用數(shù)據(jù)網(wǎng)絡的業(yè)務，三者網(wǎng)絡結(jié)構(gòu)類似，本文主要對依托電信cdma2000－EVDO網(wǎng)絡建設應急通信平臺展開研究，其參考網(wǎng)絡架構(gòu)如圖4所示。

為描述完整的移動終端的鑒權接入過程，本文在圖4上半部分給出了cdma2000－EVDO無線接入網(wǎng)絡及分組核心網(wǎng)的網(wǎng)絡結(jié)構(gòu)［2］，下半部分為應急通信平臺內(nèi)網(wǎng)的網(wǎng)絡結(jié)構(gòu)。

在小型的應急通信平臺建設中，系統(tǒng)對用戶的UIM卡和數(shù)據(jù)業(yè)務權限的鑒權可以完全依托網(wǎng)絡運營商，應急平臺只負責對用戶的VPDN屬性進行鑒權，在大型的應急通信平臺建設中，加強對系統(tǒng)用戶的控制，AN-AAA(接入鑒權、授權、計費服務器)和Home-AAA(歸屬鑒權、授權、計費服務器)也可以自行建設，在建設這些網(wǎng)元的時候必須和運營商商定好接口協(xié)議。

在應急通信平臺內(nèi)網(wǎng)中，除LNS(二層隧道協(xié)議網(wǎng)絡服務器)和VPDN-AAA(虛擬撥號數(shù)據(jù)網(wǎng)鑒權、授權、計費服務器)為單部設備外，其他三個子系統(tǒng)應該包括多臺設備。一般情況下，保密子系統(tǒng)應包括KDC(密鑰分發(fā)中心)和IPSec網(wǎng)關;應用子系統(tǒng)應包括DNS域名服務器和應急通信所需的應用服務(下文將對應急通信所必需的應用服務詳細論述);安全子系統(tǒng)應包括流量控制、入侵檢測、漏洞掃描、防病毒等服務器。

2.2 業(yè)務流程

基于移動VPDN的應急通信平臺業(yè)務流程共分為6個階段，按照時間順序分別為:ANAAA接入鑒權、Home-AAA接入鑒權、建立L2TP隧道、VPDN-AAA接入鑒權、加密鑒權及加密通道建立、訪問應用服務。

1．AN-AAA接入鑒權流程

移動終端每次開機時都需要進行AN-AAA鑒權，主要目的是鑒別UIM卡是否為本網(wǎng)合法用戶。AN-AAA接入鑒權流程如圖5所示［3］。

(1)a、b是AT與AN使用空中接口進行業(yè)務信道分配和協(xié)商交互接入流數(shù)據(jù)的過程。

(2)c是AT與AN發(fā)起PPP連接及用于接入認證的LCP協(xié)商。

(3)d～h是AN-AAA的接入認證過程，該過程基于RADIUS協(xié)議。AN通過PPP/CHAP消息向AT發(fā)起隨機查詢，AT向AN發(fā)送查詢響應，響應消息包含“IMSI@mycdma．cn”信息。AN此時作為RADIUS客戶端通過A12接口向RADIUS服務器AN-AAA發(fā)送接入請求消息，AN-AAA對該UIM卡信息鑒權通過后，返回接入允許信息。AN向AT返回鑒權成功信息。

(4)i、j是AT與AN完成位置更新及業(yè)務流準備過程，為下一步Home-AAA鑒權做好準備。

2．Home-AAA接入鑒權流程

Home-AAA鑒權的目的是鑒別用戶的數(shù)據(jù)業(yè)務權限和VPDN屬性。Home-AAA接入鑒權流程如圖6［4］。

(1)a～d是AN通過PCF請求建立與PDSN之間的A8、A10鏈路的過程，在AT與AN業(yè)務流傳輸準備就緒的基礎上，進一步為建立AT與PDSN之間的PPP鏈路做好準備。

(2)e是AT與PDSN之間發(fā)起PPP連接及用于接入認證的LCP協(xié)商。

(3)f～k是Home-AAA的接入認證過程，該過程也是基于RADIUS協(xié)議。PDSN通過PPP/CHAP消息向 AT發(fā)起隨機查詢，AT向PDSN發(fā)送查詢響應，響應消息包含“VPDN賬號@VPDN域名”信息。PDSN此時作為RADIUS客戶端向RADIUS服務器Home-AAA發(fā)送接入請求消息。如果該用戶的Home-AAA與PDSN沒有直連鏈路，則該消息必須通過VAAA轉(zhuǎn)接。Home-AAA對用戶的數(shù)據(jù)業(yè)務權限和VPDN域名進行鑒權，鑒權通過后，根據(jù)VPDN域名向PDSN返回對應的隧道屬性，包括LNS IP、隧道類型、隧道密碼等信息。

PDSN收到Home-AAA的Access-Accept消息后，并不向AT返回鑒權成功的消息，而是按照Home-AAA返回的LNS IP直接和LNS建立隧道，這是移動VPDN業(yè)務流程和普通移動數(shù)據(jù)業(yè)務流程的重要區(qū)別。

3．L2TP隧道建立流程

建立L2TP隧道主要是確定隧道ID和會話ID，詳細流程如圖7所示［1］:

(1)a～c是隧道ID的確立過程。PDSN根據(jù)隧道屬性向LNS發(fā)起建立隧道請求，LNS返回響應消息，該消息中攜帶隧道ID信息，PDSN返回確認，該消息中攜帶相同的隧道ID予以確認。

(2)e～f是會話ID的確立過程。PDSN向LNS發(fā)起建立會話請求，該請求攜帶隧道ID信息，明確在哪一條隧道建立會話，LNS返回響應消息，該消息中攜帶隧道ID、會話ID信息，PDSN返回確認，該消息中攜帶相同的隧道ID、會話ID予以確認。

4．VPDN-AAA接入鑒權流程

VPDN-AAA鑒權的目的是鑒別用戶是否為本VPDN的合法用戶，VPDN-AAA接入鑒權流程如圖8所示。

(1)a、b是LNS向AT發(fā)起PPP/LCP重新協(xié)商過程。

(2)c～g是VPDN-AAA的接入認證過程，該過程也是基于RADIUS協(xié)議。LNS通過PPP/ CHAP消息向AT發(fā)起隨機查詢，AT向LNS發(fā)送查詢響應，響應消息仍然包含“VPDN賬號@ VPDN域名”信息。LNS此時作為RADIUS客戶端向RADIUS服務器VPDN-AAA發(fā)送接入請求消息。VPDN-AAA對用戶的VPDN合法身份進行鑒權，鑒權通過后，向LNS返回允許接入信息，該消息包含了VPDN網(wǎng)絡為該用戶分配的IP地址。LNS向AT返回鑒權成功的消息。

(3)h、i是AT請求IP地址分配的過程。AT向LNS發(fā)起PPP/IPCP配置請求消息申請IP地址，LNS根據(jù)VPDN-AAA指定的IP地址為用戶分配IP地址，向用戶返回響應信息反饋IP地址及相關信息。

5．加密鑒權及加密通道建立流程

為確保專用網(wǎng)數(shù)據(jù)安全，移動終端與VPDN平臺內(nèi)網(wǎng)通信必須采用IPSec VPN技術，對信息進行加密處理。IPSec VPN的密鑰配置方式分為手工方式和智能管理方式。當應急通信平臺內(nèi)終端數(shù)量較少時，可以采取手工方式配置密鑰，這種方式配置的密鑰安全等級最高，不會在線路上被偵破。智能管理方式采用IKE協(xié)議通過終端與KDC的自動協(xié)商動態(tài)建立IPSec SA，可以在網(wǎng)絡中安全地分發(fā)密鑰、驗證身份。如圖1所示，a步驟是采用智能管理方式時 AT向KDC申請加密鑒權和加密密鑰的過程，如果采取手工方式配置密鑰，此過程可以省略。b步驟是AT獲得密鑰后與網(wǎng)絡中的IPSec網(wǎng)關建立IPSec隧道的過程。

6．訪問應用服務流程

在上述4次鑒權與L2TP隧道、IPSec隧道建立完成后，剩余流程就和普通計算機上網(wǎng)一樣，先到DNS進行域名解析，解析出應用服務器IP地址后，終端到對應的應用服務器進行應用訪問。如圖10所示。

2.3 方案分析

基于移動VPDN建設應急通信平臺的突出優(yōu)勢在于廣域覆蓋和專網(wǎng)專用的結(jié)合，除此之外，它還有業(yè)務豐富、指揮高效，可管可控、安全保密，實現(xiàn)方便、經(jīng)濟性好等特點。

第一，廣域覆蓋、專網(wǎng)專用。在以往的專用應急通信平臺建設中，是很難在全國都實現(xiàn)無縫覆蓋的，而基于移動VPDN網(wǎng)絡建設應急通信平臺，依托既有移動通信網(wǎng)絡的基站信號接入，可以在全國范圍內(nèi)都實現(xiàn)無縫覆蓋，提供應急通信服務。同時，移動VPDN又有著較好的獨立性和安全性，其使用效果與專網(wǎng)相同，這就同時兼顧了廣域覆蓋和專網(wǎng)專用的特點。

第二，業(yè)務豐富、指揮高效。當前，各類移動數(shù)據(jù)應用層出不窮，可以說通過移動數(shù)據(jù)應用的開發(fā)能夠?qū)崿F(xiàn)各種各樣的服務。對基于移動VPDN的應急通信平臺而言，不但可以高質(zhì)量地實現(xiàn)移動視頻監(jiān)控、集群調(diào)度等業(yè)務，只要資源充足，還可以實現(xiàn)信息資料庫、態(tài)勢信息共享等高層次的應急指揮服務，使得應急指揮更加高效順暢。

第三，可管可控、安全保密。VPDN的核心技術主要在于隧道技術和安全技術［5］。在基于移動VPDN的應急通信平臺中，可以自行管理所屬撥號用戶，進行開戶、銷戶、設置用戶、權限等操作［6］，對虛擬專網(wǎng)的用戶實現(xiàn)接入鑒權和加密鑒權，甚至可以通過與網(wǎng)絡運營商的商定，自己制卡開號，從而實現(xiàn)對本網(wǎng)用戶的完全管理。通過IPSec加密技術進行數(shù)據(jù)保密傳輸及定期更換密鑰等機制，確保了應急平臺通信的安全保密，對于搶險救災、處突維穩(wěn)等非戰(zhàn)爭行動應急處置已經(jīng)足夠使用。

第四，實現(xiàn)方便、經(jīng)濟性好。相比專用應急通信平臺而言，建設基于移動VPDN的應急通信平臺只需要集中建設各類鑒權服務器及應用服務器，不需要進行大量的基站建設和通信線纜敷設，實現(xiàn)起來比較方便，大量地節(jié)省了建網(wǎng)經(jīng)濟成本和人力資源。

3 基于移動VPDN的應急通信方案的典型應用

應急通信平臺與普通VPDN網(wǎng)絡的最大區(qū)別在于其內(nèi)網(wǎng)應用服務的針對性。應急通信平臺的應用服務主要是針對于應急指揮的通信保障，所以不必要包括新聞資訊、影音娛樂甚至郵件辦公等內(nèi)容，其最主要功能如下:

3.1 移動視頻監(jiān)控

移動視頻監(jiān)控是應急通信平臺必需的應用服務，主要用于敵情、災情的偵察，保證指揮中心與現(xiàn)場的應急通信暢通，使應急指揮中心能夠第一時間對現(xiàn)場情況進行直觀的了解［7］。突發(fā)事件發(fā)生后，通過單兵視頻終端和車載視頻終端實現(xiàn)視頻采集，通過流媒體技術，可將現(xiàn)場圖像實時上傳至應急通信平臺移動視頻監(jiān)控服務器，應急指揮部從服務器下載視頻完成監(jiān)控［8］。建設應急移動視頻監(jiān)控服務，要優(yōu)先考慮實時性和視頻質(zhì)量，視頻偵察如果做不到實時準確，那就失去了意義?；谝苿覸PDN的應急通信平臺與其他應急平臺相比，其信道資源相對充足，在滿足時效性和視頻質(zhì)量要求的基礎上，再綜合考慮統(tǒng)一處理多點突發(fā)事件時，增補信道或視頻通道數(shù)量。

3.2 廣域集群調(diào)度

集群調(diào)度是傳統(tǒng)的應急指揮通信手段，基于移動VPDN的應急通信平臺可以在全國范圍內(nèi)實現(xiàn)集群調(diào)度功能，這是其他專用集群網(wǎng)絡或移動通信網(wǎng)絡的單點通信不能相比的。建設廣域集群調(diào)度服務，必須做到操作簡捷和多組守聽。操作簡捷是集群調(diào)度通信的通用要求，為提高應急指揮效率，應該盡最大努力做到操作簡捷，最好是做到一鍵呼叫、一鍵應答。多組守聽是指同一部通信終端可以隨時接收到來自不同編組的呼叫，區(qū)別于以往一個指揮員必須使用多部終端，或者一部終端選擇不同頻率的方式實現(xiàn)多組指揮的操作復雜、指揮效率低下的問題。

3.3 多方音視頻會議

多方音視頻會議通常用于突發(fā)事件處置的階段性部署。突發(fā)事件初期，一般通過視頻監(jiān)控和集群調(diào)度邊行動邊部署，在事件處置告一段落后，采用多方音視頻會議對下一步行動中需要各方密切配合的事項提出明確要求。建設多方音視頻會議服務，需要注意壓縮帶寬、音頻優(yōu)先，在移動通信網(wǎng)絡中移動數(shù)據(jù)帶寬是比較寶貴的資源，而多方音視頻會議的重點在于音頻，要優(yōu)先考慮音頻時效性和質(zhì)量，帶寬資源不足時，甚至可以完全取消視頻，只召開音頻會議。

除上述應用服務外，在應急通信平臺中還可以建設全國范圍內(nèi)地理信息、氣象水文、社情民俗等各類資料庫，以提升應急通信平臺的全面保障能力。

4 結(jié)束語

應急通信保障是一項涉及管理、網(wǎng)絡和技術等多個層面的系統(tǒng)工程［9］。本文提出了基于移動VPDN網(wǎng)絡進行應急通信平臺設計的理念，論證了基于VPDN建設應急通信平臺的實現(xiàn)機制，給出了移動VPDN應急通信平臺的設計方案，包括網(wǎng)絡結(jié)構(gòu)和完整的業(yè)務流程，并對應急通信平臺應提供的應用服務進行了探討，針對性、實用性強，為建設基于移動VPDN的應急通信平臺提供了切實可行的參考依據(jù)。

應急平臺建設是應急管理的一項基礎性工作，對于建立和健全統(tǒng)一指揮、功能齊全、反應靈敏、運轉(zhuǎn)高效的應急機制，預防和應對自然災害、事故災難、公共衛(wèi)生事件和社會安全事件，減少突發(fā)公共事件造成的損失，具有重要意義［7］。當前，我國應急通信平臺建設遠遠不夠完善，基于移動VPDN建設廣域覆蓋、業(yè)務豐富、指揮高效、安全保密的應急通信平臺需求十分迫切。隨著移動通信網(wǎng)絡的不斷發(fā)展，特別是我國4G移動數(shù)據(jù)業(yè)務的普及，無線網(wǎng)絡傳輸速率大幅提高，使基于移動VPDN網(wǎng)絡實現(xiàn)應急通信平臺更加可行，通信效果更加順暢，應用前景十分可觀。

［1］徐慧洋，白杰，盧宏旺．華為防火墻技術漫談［M］．北京:人民郵電出版社，2015:158－175．

［2］中國電信股份有限公司．中國電信cdma2000核心網(wǎng)絡設備技術規(guī)范 －ANAAA(v2.0)［Z］．2008－5－27．

［3］雒江濤，舒忠玲，梁燕．移動數(shù)據(jù)業(yè)務透視［M］．北京:人民郵電出版社，2014:94－97．

［4］中國電信股份有限公司．中國電信cdma2000核心網(wǎng)絡接口技術規(guī)范－分組域協(xié)議(v1.6)［Z］．2010－4－12．

［5］高麗敏．基于L2TP的VPDN技術研究與應用［J］．大眾科技，2010(5):25－26．

［6］劉勁松，王東方．基于L2TP的VPDN技術在校園網(wǎng)中的應用［J］．網(wǎng)絡通訊與安全，2007(4):967－968．

［7］作者不詳．政府應急指揮系統(tǒng)解決方案［EB/OL］．［2010－05－21］．http://wk．baidu．com/view/0d94cddfa58da0116c1749c5 #1

［8］黃翠蘭．基于VPDN的企業(yè)網(wǎng)絡視頻會議系統(tǒng)應用研究［J］．廈門理工學院學報，2008，16(3):35－38．

［9］王海濤．應急通信的發(fā)展現(xiàn)狀和技術手段分析［J］．中國無線電，2010(11):49－51．

The Scheme Design of Emergency Communication Platform Based on Mobile VPDN

Hu R ongjian1Zeng Ping2Zhang Xibo1

1．Unit 61416，PLA，Beijing 100036，China 2．Beijing Electronic Science and Technology Institute，Beijing 100070，China

A scheme of emergency communication platform based on mobile VPDN is proposed in the paper．And its implementation mechanism，network structure，the access processes，authentication and authorization are discussed．The application types and construction principles of the scheme are expounded．The research results provide a practical reference for the construction of emergency communication platform based on mobile VPDN．The scheme has significant advantages of wide area coverage，rich channel resources and service types，security and confidentiality，low economic cost and so on．

Mobile communication;VPDN;Emergency communication;

TN929.5

A

1672－464X(2016)2－65－08

(責任編輯:鞠 磊)

胡榮健(1980－)，男，河北人，碩士，工程師，主要研究領域為移動通信;曾萍(1969－)，女，河南人，博士，教授，主要研究方向為無線網(wǎng)絡、信息安全。