基于微服務(wù)的多網(wǎng)絡(luò)融合通信平臺

姜西斌 徐樂 劉光耀 公安部第一研究所

引言

當(dāng)前，各地公安用戶已建設(shè)多種無線通信系統(tǒng)，這些系統(tǒng)相互獨立、通信手段離散、業(yè)務(wù)不互通、無法形成互補、資源未能高效整合利用，影響了公安通信效率和協(xié)作效率。隨著移動通信新技術(shù)和警務(wù)活動需求的發(fā)展，個別地市探索建設(shè)多網(wǎng)融合通信系統(tǒng)，但缺少對音視頻通信業(yè)務(wù)的服務(wù)化改造，沒有形成基礎(chǔ)共性通信服務(wù)能力，通信資源很難共享，容易導(dǎo)致重復(fù)建設(shè)，技術(shù)實現(xiàn)方式不統(tǒng)一，通信業(yè)務(wù)較難實現(xiàn)跨網(wǎng)絡(luò)、跨平臺、跨區(qū)域互通，缺少統(tǒng)一訪問服務(wù)接口，有些廠家的融合通信系統(tǒng)只能對接自有應(yīng)用軟件或自有組件?，F(xiàn)有移動警務(wù)服務(wù)總線在音視頻通信服務(wù)共享和媒體流等非結(jié)構(gòu)化數(shù)據(jù)安全可信傳輸方面還需完善，許多地市移動警務(wù)服務(wù)總線未能將音視頻通信的能力用統(tǒng)一服務(wù)接口的方式供上層各業(yè)務(wù)系統(tǒng)調(diào)用，眾多移動警務(wù)應(yīng)用無法訪問融合通信服務(wù)，融合通信資源沒有被充分共享應(yīng)用。

依據(jù)“十四五”國家和公安信息化規(guī)劃，各地公安機關(guān)相繼開展移動警務(wù)平臺升級和公安一體化融合通信研究，規(guī)劃將多種無線通信手段有機融合、互聯(lián)互通。結(jié)合公安領(lǐng)域無線通信、移動警務(wù)和融合通信等方面的發(fā)展現(xiàn)狀，以政策規(guī)劃為導(dǎo)向，按照通信資源服務(wù)化的設(shè)計理念構(gòu)建基于微服務(wù)的多網(wǎng)絡(luò)融合通信平臺。系統(tǒng)借助移動警務(wù)平臺綜合多種無線通信系統(tǒng)的通信業(yè)務(wù)能力，屏蔽各種通信手段的底層差異，以標準化接口橫向融合、上下貫通，采用微服務(wù)架構(gòu)對多種通信系統(tǒng)的通信業(yè)務(wù)能力做服務(wù)化改造，將豐富的通信資源統(tǒng)一接入移動警務(wù)平臺，集中配置、統(tǒng)一調(diào)控，采用服務(wù)總線技術(shù)把通信服務(wù)能力用統(tǒng)一服務(wù)接口方式提供給上層各業(yè)務(wù)系統(tǒng)調(diào)用，為公安移動應(yīng)用提供融合通信服務(wù)能力，為各警種提供優(yōu)質(zhì)服務(wù)，滿足用戶警務(wù)實戰(zhàn)中快速、高效地指揮調(diào)度和智能協(xié)同作戰(zhàn)的迫切需求。

一、整體架構(gòu)

基于微服務(wù)的多網(wǎng)絡(luò)融合通信平臺采用分層設(shè)計理念，邏輯結(jié)構(gòu)分為基礎(chǔ)支撐層、融合匯聚層、通信總線層、業(yè)務(wù)應(yīng)用層。

其中，基礎(chǔ)支撐層是系統(tǒng)運行的網(wǎng)絡(luò)和設(shè)備基礎(chǔ)，包括多種無線通信網(wǎng)絡(luò)和各類移動終端。通信網(wǎng)絡(luò)包括公安移動信息網(wǎng)、視頻專網(wǎng)、PDT集群專網(wǎng)、寬帶集群專網(wǎng)等。移動終端包括移動警務(wù)終端、PDT終端、寬帶終端、執(zhí)法記錄儀、網(wǎng)關(guān)終端等。

融合匯聚層實現(xiàn)對不同通信網(wǎng)絡(luò)提供的各項通信能力進行融合。通過公安移動信息網(wǎng)連通PDT集群專網(wǎng)、寬帶集群專網(wǎng)以及視頻專網(wǎng)實現(xiàn)網(wǎng)絡(luò)互聯(lián)，實現(xiàn)不同制式通信網(wǎng)絡(luò)之間的信令協(xié)議轉(zhuǎn)換、音視頻媒體編解碼、音視頻數(shù)據(jù)加解密、用戶號碼規(guī)則轉(zhuǎn)換、QoS服務(wù)等級映射、業(yè)務(wù)接入控制以及路由尋址功能，解決不同制式通信系統(tǒng)之間數(shù)據(jù)、音視頻業(yè)務(wù)交互對接的問題。融合匯聚層負責(zé)對不同通信系統(tǒng)的通信資源做服務(wù)化改造，形成音視頻點呼服務(wù)、集群對講服務(wù)、移動視頻服務(wù)、位置服務(wù)、即時通信服務(wù)、視頻會商服務(wù)等豐富融合通信服務(wù)集群。

通信總線層負責(zé)將多種融合通信服務(wù)統(tǒng)一接入移動警務(wù)平臺，集中配置、統(tǒng)一調(diào)控，負責(zé)融合通信服務(wù)的全生命周期管理，把通信的能力用統(tǒng)一通信服務(wù)接口的方式提供上層各業(yè)務(wù)系統(tǒng)調(diào)用，為移動警務(wù)應(yīng)用提供安全可信、標準統(tǒng)一的融合通信服務(wù)。通信總線層提供低時延、高通量的業(yè)務(wù)數(shù)據(jù)傳輸通道，支持授權(quán)訪問服務(wù)應(yīng)用模式，保障音視頻業(yè)務(wù)和媒體數(shù)據(jù)安全可信傳輸，支撐通信資源共享使用。通信總線層負責(zé)不同網(wǎng)域之間的通信業(yè)務(wù)能力轉(zhuǎn)發(fā)，支持部省市多級級聯(lián)組網(wǎng)，完成上下級之間互聯(lián)互通和通信業(yè)務(wù)能力轉(zhuǎn)發(fā)。通信總線層提供身份和訪問控制功能，阻止服務(wù)請求方違規(guī)使用融合通信服務(wù)，全量記錄服務(wù)調(diào)用者行為，實現(xiàn)日志審計功能，增加網(wǎng)絡(luò)互聯(lián)及業(yè)務(wù)互通的安全性。

業(yè)務(wù)應(yīng)用層涵蓋多種業(yè)務(wù)系統(tǒng)和豐富的移動警務(wù)應(yīng)用，通過調(diào)用通信總線層提供的統(tǒng)一服務(wù)接口獲取語音、視頻、數(shù)據(jù)業(yè)務(wù)通信能力，實現(xiàn)單呼、組呼、即時通信、視頻推送、視頻會商等多種融合通信業(yè)務(wù)，承載可視化信息展示以及用戶交互功能，快速構(gòu)建移動指揮調(diào)度、移動執(zhí)法、移動視頻應(yīng)用等多種警務(wù)應(yīng)用。

二、關(guān)鍵技術(shù)

基于微服務(wù)的多網(wǎng)絡(luò)融合通信平臺采用微服務(wù)架構(gòu)、全雙工通信協(xié)議、實時傳輸協(xié)議、零信任、路由尋址和協(xié)議適配等多項技術(shù)，實現(xiàn)多種通信系統(tǒng)對接以及通信資源服務(wù)化改造，構(gòu)建低延時、高通量的傳輸通道，解決通信資源共享和跨系統(tǒng)路由尋址問題。

（一）通信資源的服務(wù)化改造和治理

采用微服務(wù)架構(gòu)技術(shù)整合無線通信網(wǎng)的音視頻業(yè)務(wù)資源，形成多種基礎(chǔ)共性融合通信服務(wù)，再將通信服務(wù)能力統(tǒng)一接入移動警務(wù)平臺，統(tǒng)一管控服務(wù)全生命周期。微服務(wù)架構(gòu)具有構(gòu)建簡單、松耦合、高可伸縮和高擴展性等優(yōu)點，能保障各融合通信服務(wù)穩(wěn)定可靠、彈性擴展、易維護。利用微服務(wù)化技術(shù)對各通信網(wǎng)絡(luò)的通信資源進行服務(wù)化改造，生成語音融合服務(wù)、視頻融合服務(wù)、位置融合服務(wù)等各種融合通信服務(wù)，將融合通信的能力以標準統(tǒng)一的服務(wù)接口的方式提供給移動應(yīng)用調(diào)用，服務(wù)使用方使用各項通信服務(wù)能力時不需要關(guān)注不同制式網(wǎng)絡(luò)之間的協(xié)議差異、功能差異和接口差異。

（二）低時延、高通量的授權(quán)訪問通道

采用全雙工通信協(xié)議、實時傳輸協(xié)議和零信任安全思想構(gòu)建低時延、高通量的授權(quán)訪問通道，保障通信能力提供者與通信服務(wù)使用者之間安全、高效對接，保障融合通信能力被各業(yè)務(wù)系統(tǒng)高效共享使用。全雙工通信協(xié)議支持客戶端和服務(wù)器之間雙向數(shù)據(jù)傳輸，允許服務(wù)端主動向客戶端推送數(shù)據(jù)，實時進行通訊，相對于請求服務(wù)模式時延明顯更少。實時傳輸協(xié)議提供端到端網(wǎng)絡(luò)傳輸功能，為具有實時特性的音視頻數(shù)據(jù)提供端到端交付服務(wù)，支撐音視頻通信服務(wù)資源和媒體流等非結(jié)構(gòu)化數(shù)據(jù)的實時傳輸。為保障融合通信服務(wù)數(shù)據(jù)安全可信傳輸，引入零信任技術(shù)，基于永不信任、始終驗證的原則對設(shè)備、用戶和網(wǎng)絡(luò)流量進行認證和鑒權(quán)，基于身份認證和授權(quán)構(gòu)建動態(tài)訪問控制機制，依據(jù)應(yīng)用需求設(shè)置最小化訪問權(quán)限，以數(shù)據(jù)為核心構(gòu)建微分段安全域，確保授權(quán)訪問通道的身份認證和應(yīng)用鑒權(quán)功能不缺失。

（三）跨系統(tǒng)路由尋址

整合現(xiàn)有異構(gòu)集群通信網(wǎng)絡(luò)的號碼資源，基于統(tǒng)一用戶解決跨系統(tǒng)路由尋址。各種通信系統(tǒng)有各自獨立的一套號碼體系，沒有統(tǒng)一的號碼規(guī)則，為構(gòu)建一體化的融合通信平臺，系統(tǒng)整合現(xiàn)有各種通信網(wǎng)絡(luò)的號碼資源和編號規(guī)則?；谟脩羯矸萁⒔y(tǒng)一的號碼標識，以便進行高效的呼叫路由尋址。號碼標識分為三個部分，分別為區(qū)號段、歸屬段、業(yè)務(wù)碼段，區(qū)號段可以用來區(qū)分身份號碼所屬地區(qū)，歸屬段可以用來區(qū)分身份號碼隸屬的通信系統(tǒng)，業(yè)務(wù)碼段可以用來區(qū)分身份號碼不同身份。

（四）各通信系統(tǒng)間的通信對接

不同制式通信網(wǎng)絡(luò)之間存在協(xié)議差異、功能差異和接口差異，融合通信需要實現(xiàn)各通信系統(tǒng)間的通信對接，完成不同制式通信網(wǎng)絡(luò)之間的協(xié)議轉(zhuǎn)換、音視頻編碼格式轉(zhuǎn)化、數(shù)據(jù)加解密處理等適配工作。本系統(tǒng)在對接不同的通信系統(tǒng)時，需遵循對接系統(tǒng)使用的協(xié)議和接口，如表1所示。

?

三、功能實現(xiàn)

基于微服務(wù)的多網(wǎng)絡(luò)融合通信平臺主要包含通信總線、融合匯聚和融合通信業(yè)務(wù)三方面功能，如圖2所示。

（一）通信總線功能

通信總線功能主要包括通信服務(wù)管理功能和業(yè)務(wù)通道管理功能。

通信服務(wù)管理功能負責(zé)通信資源微服務(wù)化治理，實現(xiàn)對融合通信服務(wù)的全生命周期管理，包括服務(wù)注冊、審核、發(fā)布、更新、下線等全生命周期管理，并將服務(wù)信息統(tǒng)一存儲于資源服務(wù)目錄中。借助服務(wù)目錄信息進行服務(wù)路由調(diào)度，接收到服務(wù)調(diào)用者的服務(wù)請求后，按照路由表進行路由匹配，匹配成功后按照路由規(guī)則引導(dǎo)請求尋址至對應(yīng)的服務(wù)提供者處理該請求，并將服務(wù)響應(yīng)結(jié)果傳輸給服務(wù)調(diào)用者。

業(yè)務(wù)通道管理功能為通信業(yè)務(wù)提供低時延、高通量、大數(shù)據(jù)量的資源共享通道，支持授權(quán)訪問服務(wù)應(yīng)用模式，負責(zé)將融合通信服務(wù)能力輸出，為移動警務(wù)應(yīng)用提供融合通信服務(wù)訪問通道。業(yè)務(wù)通道由數(shù)據(jù)請求通道、通知消息通道和媒體流通道三個子通道構(gòu)成。數(shù)據(jù)請求通道支持請求響應(yīng)式訪問方式，支持HTTP通信協(xié)議。通知消息通道是終端側(cè)和服務(wù)端側(cè)之間雙向通信通道，支持WebSocket通信協(xié)議，服務(wù)端側(cè)可以接收終端側(cè)發(fā)送的請求數(shù)據(jù)，還可以主動將服務(wù)端側(cè)的數(shù)據(jù)推動到終端側(cè)。媒體數(shù)據(jù)通道支持媒體數(shù)據(jù)端到端傳輸，支持RTP通信協(xié)議，發(fā)送端發(fā)出的數(shù)據(jù)包攜帶訪問憑證，接收端驗證訪問令牌合法性。三個子通道在業(yè)務(wù)上相互依存關(guān)聯(lián)，形成邏輯層面的通信資源共享通道，在身份與訪問控制功能的配合下，保障融合通信服務(wù)信令面和數(shù)據(jù)面的安全可信。

（二）融合匯聚功能

融合匯聚功能主要包括通信對接功能和資源聚合功能。

通信對接功能負責(zé)與不同通信系統(tǒng)對接互通，主要完成協(xié)議適配、音視頻編解碼轉(zhuǎn)化、數(shù)據(jù)加解密處理，支持按需靈活擴展協(xié)議適配類型或SDK對接模塊，支撐集群對講系統(tǒng)、會議系統(tǒng)、視頻監(jiān)控系統(tǒng)等接入多網(wǎng)絡(luò)融合通信平臺。

資源聚合功能包括用戶統(tǒng)一賬號管理、業(yè)務(wù)接入控制管理和呼叫路由尋址管理。

（三）融合通信業(yè)務(wù)功能

融合通信業(yè)務(wù)包括語音業(yè)務(wù)、視頻業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)和會商業(yè)務(wù)四類業(yè)務(wù)功能。語音業(yè)務(wù)包括語音單呼、語音組呼功能。視頻業(yè)務(wù)包括視頻點呼、視頻上傳、視頻監(jiān)控、視頻分發(fā)功能。數(shù)據(jù)業(yè)務(wù)包括短信、彩信、GIS訂閱及上報等功能。會商業(yè)務(wù)包括會議相關(guān)的創(chuàng)建、發(fā)起、加入、會議控制等業(yè)務(wù)功能。

四、安全機制

多網(wǎng)絡(luò)融合通信平臺的安全機制以移動警務(wù)應(yīng)用支撐平臺的統(tǒng)一認證、統(tǒng)一授權(quán)為基礎(chǔ)，遵循零信任安全體系的全面身份化、最小授權(quán)、動態(tài)訪問控制原則，采用國密算法的鑒權(quán)和加密手段，實現(xiàn)網(wǎng)絡(luò)隱藏、身份認證和授權(quán)管理、動態(tài)訪問控制、安全態(tài)勢評估和風(fēng)險阻斷、加密傳輸和日志審計等安全能力，保障系統(tǒng)信息安全。

（一）網(wǎng)絡(luò)隱藏

在網(wǎng)絡(luò)環(huán)境中隱藏服務(wù)器主機地址，只有通過認證的設(shè)備才可以訪問服務(wù)網(wǎng)絡(luò)，不響應(yīng)未通過認證的設(shè)備請求，最小化服務(wù)接口暴露面，可有效防范掃描、漏洞、DDos攻擊等多種安全風(fēng)險。

（二）身份認證和授權(quán)管理

對于用戶、終端、設(shè)備、應(yīng)用、后臺服務(wù)，提供身份信息的全生命周期管理、身份屬性定義和身份標識管理，通過對接移動警務(wù)應(yīng)用支撐平臺的統(tǒng)一認證，完成用戶、設(shè)備、應(yīng)用等主體的身份認證管理。授權(quán)管理以應(yīng)用支撐的統(tǒng)一授權(quán)為基礎(chǔ)，對用戶使用應(yīng)用、應(yīng)用訪問數(shù)據(jù)、終端接入網(wǎng)絡(luò)的權(quán)限進行統(tǒng)一管理，為鑒權(quán)服務(wù)請求提供依據(jù)。

（三）動態(tài)訪問控制

基于可信的身份認證和授權(quán)，構(gòu)建安全的訪問控制。通過解析服務(wù)請求數(shù)據(jù)識別設(shè)備身份、用戶身份、應(yīng)用身份和業(yè)務(wù)類型，依據(jù)已有訪問控制策略對服務(wù)請求對象進行身份驗證和權(quán)限檢查，受理合法請求，對于越權(quán)訪問予以拒絕。訪問控制既支持對應(yīng)用的權(quán)限審查，也支持對訪問發(fā)起用戶的權(quán)限檢查，確保用戶合法使用應(yīng)用，應(yīng)用合法訪問資源，保障服務(wù)訪問安全?；谟啦恍湃?、始終驗證的原則對所有的設(shè)備、用戶和網(wǎng)絡(luò)流量進行認證和鑒權(quán)，所有訪問源在接入網(wǎng)絡(luò)和發(fā)起訪問請求前，需要先經(jīng)過身份驗證和鑒權(quán)，未通過驗證授權(quán)的訪問主體看不到服務(wù)資源，無法調(diào)用融合通信服務(wù)。

（四）安全態(tài)勢評估和風(fēng)險阻斷

在調(diào)用者訪問通信服務(wù)過程中持續(xù)信任評估，根據(jù)用戶、設(shè)備、行為、路徑等多個方面的信息進行檢測和判斷，持續(xù)監(jiān)控和測量系統(tǒng)的安全狀態(tài)，對各類環(huán)境風(fēng)險進行判斷和響應(yīng)，對發(fā)生的風(fēng)險事件采取相應(yīng)控制措施，阻斷風(fēng)險。風(fēng)險事件的識別依據(jù)自身預(yù)置的風(fēng)險識別策略或授權(quán)策略進行自我風(fēng)險識別。

（五）加密傳輸

支持信源加密和信道加密等安全功能，有效防止數(shù)據(jù)傳輸時被截獲監(jiān)聽及破解篡改。

（六）日志審計

所有訪問信息必留痕，實現(xiàn)操作可追溯，全量記錄服務(wù)調(diào)用者行為，提供審計功能。

五、在公安指揮調(diào)度中的應(yīng)用

聚焦公安指揮調(diào)度的實戰(zhàn)需求，基于微服務(wù)的多網(wǎng)絡(luò)融合通信平臺把PDT集群專網(wǎng)、寬帶專網(wǎng)、4G/5G公網(wǎng)等多種通信方式融為一體，把移動警務(wù)終端、PDT對講機、執(zhí)法記錄儀、智能寬帶終端、無人機等設(shè)備安全有效連接在一起，不同系統(tǒng)和終端間互聯(lián)互通，將音頻、視頻、數(shù)據(jù)進行融合和聯(lián)動，從單純語音調(diào)度向多媒體多業(yè)務(wù)融合調(diào)度演進，業(yè)務(wù)部門在指揮調(diào)度工作中，不再需要來回切換系統(tǒng)、不停更換通信設(shè)備和手段。

在應(yīng)急事件現(xiàn)場，分散在不同網(wǎng)絡(luò)的警員之間可以通過移動警務(wù)終端、PDT對講機、執(zhí)法記錄儀等設(shè)備直接溝通、統(tǒng)一會商，實現(xiàn)全員對事件信息的共享，通過設(shè)備及時上報現(xiàn)場情況、位置信息和音視頻畫面等多維度數(shù)據(jù)，指揮中心獲取及時、準確、客觀的信息，對各類型信息變化進行全方位的可視化監(jiān)控，全面直觀掌握現(xiàn)場態(tài)勢、聚焦緊迫險情、輔助快速決策，利用一鍵調(diào)度、一體聯(lián)動、一屏統(tǒng)覽、一呼百應(yīng)、地圖定位等綜合指揮調(diào)度功能，達到即時接報、迅速調(diào)度、快速解決的警務(wù)實戰(zhàn)效果。

六、結(jié)語

本文對基于微服務(wù)的多網(wǎng)絡(luò)融合通信平臺的整體架構(gòu)、關(guān)鍵技術(shù)、功能實現(xiàn)、安全機制以及應(yīng)用效果進行了分析和介紹。平臺依托移動警務(wù)將多種無線通信手段有機融合，打破通信壁壘，實現(xiàn)了跨網(wǎng)絡(luò)、跨平臺、跨系統(tǒng)的通信業(yè)務(wù)互通以及資源高效共享，統(tǒng)一標準的通信服務(wù)接口簡化移動警務(wù)應(yīng)用對接開發(fā)工作，豐富公安可視化指揮調(diào)度的通信渠道、終端類型，提升指揮命令通達范圍、渠道和效率，幫助公安客戶實現(xiàn)高效溝通和協(xié)同作戰(zhàn)，提升民警工作效率。本平臺設(shè)計思路可以為各地公安機關(guān)融合通信系統(tǒng)建設(shè)提供參考借鑒，推動警務(wù)應(yīng)用深入發(fā)展。