數字集群系統的虛擬專網

名稱:數字集群系統的虛擬專網
自信息產業部公布我國數字集群系統標準以來，數字集群通信系統網路的規劃與實施已引起多方面的關注與探討。我國模擬集群通信系統的使用和歐美等國相比並不晚，但是使用情況和用戶數量不理想。主要問題有多種制式、信令不一、互不相通；頻譜效率低、系統容量小；功能單一、只有語音調度；干擾大、盲區多。為了克服模擬集群投資分散，各自管理，系統規模小，用戶發展規模有限等弊端，提出了數字集群「共網」概念，它充分發揮數字集群系統的高質量語音；頻譜利用率高；系統容量大；以及無線分組數據傳輸及應用等優勢。為了滿足網內各專網用戶相對獨立的操作和應用需求，數字集群網路本身還應該提供用戶虛擬專網（VPN）功能，以實現多個專網用戶既共享數字集群網路平台又具備與專網一致的獨立性和特殊性。本文對TETRA數字集群系統虛擬專網的基本概念、功能、網路結構、實現方式、關鍵技術以及應用進行論述，以供參考。
一、TETRA數字集群系統的虛擬專網概述
TETRA數字集群系統不僅具有普通調度功能，還具有虛擬專用網功能；系統為群體用戶提供專用調度台，利用與其它群體共享的網路基礎設施組成虛擬專網，向用戶提供一般專用網路所具有的功能，各虛擬專網之間在工作上相互獨立，各虛擬專網可單獨調節運行參數，也可各自根據需要選擇功能。
TETRA數字集群系統的虛擬專用網(VPN)在構成上與實在的TETRA數字集群網路不同，它是建立在實際TETRA數字集群網路基礎上的一種功能性網路；但對用戶來說，在功能上則相當於實在的專用網路，能向用戶提供傳統專業網的功能。TETRA數字集群系統能為不同集體用戶提供各項所需的優良服務，使公眾網的公共性和專業網的獨立性比較好地得到協調解決，使每個原擬單獨建網的部門都從該集群系統的虛擬專用網中感到一樣方便，一樣安全可靠。
TETRA數字集群系統的虛擬專網在結構上和功能上與公眾網的虛擬專網是不同的。虛擬專網是指在公眾網路上建立專用網路的技術。之所以稱為虛擬網主要是因為整個VPN網路的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路，而是架構在公眾網路服務商所提供的網路平台（如INTERNET，ATM，FRAME RELAY等）之上的邏輯網路，用戶數據在邏輯鏈路中傳輸。目前以點對點隧道協議（PPTP）、第2層隧道協議（L2TP）、第2層前轉協議（L2P）和IP安全協議（IPSec）。
如果不建立TETERA數字集群虛擬專網，不但是對資金和頻率資源的極大浪費，而且還會由於投入產出比例失調，而直接影響到以後對系統的維護，進一步擴容，功能的改進，乃至最後產品得不到更新換代，通信質量下降，使得設備逐漸被擱置。
二、TETRA數字集群系統虛擬專網的功能
TETRA數字集群系統利用虛擬專網的概念，可以使一個物理網路為互不相關的多個組織機構服務。也就是說，功能要求和系統概念相距甚遠的多個組織機構可以共用一個網路平台。各個組織機構無須自行購置基站、交換機和傳輸設備，只須配置相應調度台和移動台，即可建立自己的虛擬專用網，並在自己的虛擬專網中獨立工作，如同在傳統的專業網中工作一樣。主要功能如下：
1、獨立的編號方案與管理
TETRA數字集群系統的編號方案應該完全符合TETRA標準，對於每個虛擬專網應該是非常靈活，方便的，沒有任何的限制。根據TETRA標準定義，有兩類TETRA用戶身份碼與虛擬專網有關；一類為TETRA用戶身份碼（TSI），另一類為TETRA管理身份碼（TMI）。每個移動台應至少包含一族TSI。每族應包括一個單獨的TETRA用戶身份碼（ITSI），也可以有一個TETRA用戶別名身份碼（ATSI）和若干個TETRA用戶群身份碼（GTSI）。單獨TETRA用戶識別碼（ITSI）是TETRA網路中唯一地識別一個移動用戶的號碼，共48bit/s，前24bit/s是國家和網路代碼。國家代碼MCC是10bit/s，MNC是14bit/s。后24bit/s用來定義TETRA網路的用戶地址。ATSI和GTSI既可以被預先分配(類似ITSI)，也可以象常規操作那樣採用標準TETRA過程，由網路動態分配。TETRA管理身份碼（TMI）為非傳遞的網路（第3層）身份碼。在使用TMI之前，給TMI分配一個終端，不能動態地交換TMI，用戶也不能在終端之間傳遞TMI。網路運營者分配TMI，在發送給用戶之前，應在終端中安裝TMI。TMI只能作為採用一套專用管理消息的內部網路管理功能的地址。一般網路用戶不能接入這些管理消息和TMI地址空間。編號結構如表1。
我國的MCC為「086」，MNC由國家指配，現討論TETRA數字集群系統中每個虛擬專網的ISSI和GSSI的編號方案。假設我國數字集群網路統一編號如表2。
其中：N1N2N3N4為TETRA集群業務接入號（全國統一）；H1H2為地區識別號（主管部門統一規定）；S1S2S3S4S5S6為移動用戶號（各運營商自行分配）。
例如：TETRA集群業務接入號N1N2N3N4為1500；北京地區識別號H1H2為01和02；天津地區識別號H1H2為03等；移動用戶號碼S1S2S3S4S5S6中S1S2配為虛擬專網號（假設00-03為鐵路，04-05為公安，06為公交等等），S3S4S5S6為用戶號。號碼為150001050200代表北京市公安的用戶。
採用TETRA編號方案，還可以方便地進行群呼。在同一個虛擬專網中移動用戶呼叫只需要撥最後4位號碼即可，而每個通話組還可以減少撥號碼，因此，呼叫起來非常方便。實際編號方式可結合實際情況與最終用戶探討后，進行完整的規劃。
同時用戶還可以選擇同時採用用戶功能號碼(FSSN)的編號方案。該方案可以根據用戶的實際情況，例如在鐵路系統，我們可根據車輛的車次號碼為車載台編號，這樣其它無線用戶就可以根據車次號碼來呼叫該用戶。而且由於一輛車一般有多個司機來開，因此我們還可以將FSSN號碼同時賦予多個同屬於一輛車的終端，這樣不管誰在工作，其它用戶都可以根據FSSN號碼來與該車進行通信。這種編號方案非常適用於例如鐵路，公交，巡邏警察，地鐵等單位。
2、用戶漫遊範圍的限定與管理
用戶組織根據各自的特定需要使用由共用網提供的相應服務，主要包括通話組中的成員可以得到不同的呼叫權利；調度員可以有不同的管理和權利；通話組內的通信和傳統的PMR（專用移動無線電台）系統一樣，包括組呼、選呼、回叫請求、動態重組以及與外部系統的呼叫等；
通話組由若干屬性參數規定，其中包括通話組服務區域。通話組服務區域可以是整個網路，或者是網路的一部分。如果是後者，根據用戶要求來定義通話組服務區域。
3、獨立的調度指揮與集中的調度指揮結合
可以通過本虛擬專網的調度台對本虛擬專網的用戶進行工作調度及用戶管理，用戶具有高度的通信保密性以及對本單位內部用戶的高度控制性，網內虛擬專網間的通信不會相互干擾。
不同的虛擬專網在一種可控方式下相互通信。多個虛擬專網可以有公共的通話組。部分調度員可以有權管理多個不同虛擬專網中的用戶，並且與之通信。例如，創建一個包含來自不同虛擬專網的多個用戶的臨時通話組。在突發事件中可以作出更加有效的反應。
4、獨立的和集中的分組數據傳輸
在每個虛擬專網中，無線用戶和調度員可以發送和接收短數據和狀態信息以及IP數據。信息可通過無線終端、調度台或另外的數據終端發送給其它用戶。這些數據主要應用於自動車輛定位、員工管理、遙控遙測、資料庫查詢、E－MAIL等。當有突發事件發生時，可以將不同的虛擬專網中的數據信息集中管理。
三、TETRA數字集群系統虛擬專網的組網方法
1、TETRA數字集群系統虛擬專網的結構
一個好的虛擬專網結構，不但可以提高對頻率的使用效率，節省投資，還可以幫助運營商非常方便地管理和運營網路，為用戶提供良好的服務。虛擬專網是建立在TETRA數字集群通信系統網路結構的基礎上，對於基站較少的本地網路，可以由一台交換控制設備進行集中交換的網路結構。對於基站數量較多、覆蓋範圍較廣、業務量較大的區域網路，也可以採用多台交換控制設備進行分散控制的網路結構。各交換設備之間的連接應能靈活設置，例如可採用樹型、星型、網型或環型連接。圖1示出多交換中心網路結構。
虛擬專網功能存在於呼叫處理和網路管理軟體中，但主要介面是通過網路管理服務實現的，呼叫處理是通過調度台實現的。虛擬專網在本質上是網路用戶分類管理的實例，在用戶分類中，所創建的單個用戶的屬性被限制在相應組織類別中。
根據TETRA數字集群系統的TSI和TMI，可將虛擬專網的技術管理和通信調度管理分開的。運營商只需對網路運行狀況進行維護，處理系統的故障及告警，為網路用戶提供服務，但運營商並不能對網路中的單位用戶進行*或控制。而網內的虛擬專網用戶可通過本虛擬專網的調度台，對本虛擬專網的用戶進行工作調度及用戶管理，用戶具有高度的通信保密性以及對本單位內部用戶的高度控制性。但網內虛擬專網間的通信不會互相干擾。這一原則是虛擬專網功能得以實現的基礎，只有使網路維護和通信調度完全分開，才能實現真正的虛擬專網功能。如圖2所示。
TETRA網路可以供多個不同的虛擬專網共享，並且每個虛擬專網就象處於為其專門建立的網路中一樣，提供方便而可靠的用戶組織管理。每個虛擬專網都有各自的調度系統，可以根據各自的通信需求對其用戶和調度台進行分組。每個組織可以有許多個由若干個調度台和上百個無線用戶組成的通話組。其中的無線用戶、通話組和呼叫許可權都可以獨立設置，無線用戶可以屬於多個通話組，通話組可以包含若干個調度台，該用戶組織能全面地控制自己的內部通信。此項功能可為用戶提供經濟的解決方案，同時減少網路的運行和管理費用。
同時網路中的每個虛擬專網，都可以將本單位的用戶交換機PABX、企業內部網intranet、單位內部資料庫、以及各種數據應用等連接到系統中，並且對於每個虛擬專網而言，使用起來如同自己建網一樣，具有高度的保密性，操作起來方便、快捷。
在一個虛擬專網內部，可以有一個或多個調度台，我們一般將其設定為只具有管理和指揮調度本虛擬專網的許可權。同時這些調度台在虛擬專網內可以具有相同的許可權，如都可以對全網進行指揮調度和管理，也可以是分層結構的，具有不同的許可權，指揮調度不同的部門。正如上面所介紹到的，我們可對虛擬專網內的每個調度員定義其通信和管理的範圍和許可權，而且調度台還具有兩種軟體包，一種是通信和管理軟體包，另一種是通信軟體包，只能進行調度通信，不能進行管理操作。
調度員對於通話組和用戶的管理許可權，可以從已被定義好的組織塊來獲得。根據已被定義好的組織機構的許可權，來確定組織機構中的無線用戶和調度台的選呼許可權和調度台的組呼許可權，而無線用戶必須是某個通話組的成員。
同時，TETRA系統可以允許在某些緊急狀況下，通過被授權的調度台，將網內不同虛擬專網的用戶進行動態重組，共同處理某個突發事件，實現不同部門間的協同工作。
2．TETRA數字集群系統虛擬專網的組網方法
TETRA數字集群系統內不同部門可以組成若干個組織機構，也就是虛擬專網，並且還能將虛擬專網進一步根據用戶單位內部的部門結構，分為更小的團體，稱為組織塊。TETRA數字集群系統可分多層組織塊結構，而虛擬專網的數量沒有任何限定，可以是幾十甚至上百個。
首先，運營商需要通過一個具有最高許可權的網路管理終端，對整個網路的組織機構進行定義，即對網路中的所有虛擬專網進行定義（如公安、鐵路、公交等）。運營商的網路管理員只需對每個虛擬專網的身份碼和名稱加以定義，即可這樣就相當於在系統中建立了若干個虛擬的網路，隨後要創建的所有虛擬專網管理員、通話組、無線用戶都必須要對其所屬的虛擬專網進行定義，這就相當於在系統中的每個成員身上打上了一個身份烙印，系統將會根據每個成員身上的這些身份標記，來處理以後這些成員的各種操作。
然後，運營商的系統管理員還要對每個虛擬專網中的最高級別的調度員進行定義。除了定義他們的用戶名、密碼以外(密碼以後可以自己修改)，最重要的就是要定義該虛擬專網調度員所屬的虛擬專網，以及他們在本虛擬專網中的通信和管理許可權。用戶許可權和編碼與組織機構有關，通信許可權的主要包括：
個呼發起的範圍（全網、某些虛擬專網、本虛擬專網內），以及是否只能發起個呼，或只能接收個呼，或既能發起又能接收各呼。
狀態信息和短數據信息發起的範圍（全網、某些虛擬專網、本虛擬專網內），以及是否只能發起個呼，或只能接收個呼，或既能發起又能接收個呼。
呼叫PSTN/的許可權。
管理許可權的主要包括：
對無線用戶的管理範圍（全網、某些虛擬專網、本虛擬專網內），以及對無線用戶的管理許可權是否可以創建，修改，刪除無線用戶，是否可以改變通話組成員等。
對本虛擬專網內較低級別的其它調度員的管理範圍和許可權進行定義。
對通話組管理範圍和許可權進行定義。
對組織塊管理範圍和許可權進行定義。
對短用戶號碼的管理範圍。即該調度員可以創建無線用戶和通話組的號碼範圍。
對所連接的外部系統的管理。包括對本虛擬專網所屬的PSTN/PABX、itranet、資料庫等的管理。
最後，對於每個虛擬專網內部的子組織塊、調度台、無線用戶、通話組等的創建工作，可以由運營商的管理員來進行，也可以有由剛定義完畢的每個虛擬專網中具有最高級別的調度員來進行。在定義所有這些網路中的成員時，必須指明該成員是屬於哪一個組織塊或子組織塊的。這樣就把網內的所有用戶進行了歸屬定義，將整個虛擬專網完整地建立起來，便於以後對用戶進行管理、編號及呼叫等等。
整個網路的虛擬專網建成以後，可以對每個虛擬專網分配用戶號段。該號段的分配是任意的，沒有任何限制，可以是連續的，也可以是間斷的。但為了便於管理，一般都是一個連續號段。虛擬專網中所授權的調度員可以在其可以管理的用戶號段範圍內創建，刪除和修改無線終端和用戶組。該調度員操作完成以後，可直接將所修改的數據存入系統資料庫，而不必通過運營商來進行。當然運營商的系統管理員可以通過系統的管理終端來查看整個系統的狀況，包括虛擬專網和用戶號碼的使用狀況。但運營商無法*和干擾各虛擬專網的通信。
四、TETRA數字集群系統虛擬專網的關鍵技術
用戶單位最關心的問題之一就是，如果加入共網集群，能不能使用起來就象自己建網一樣，方便，快捷，通信保密可靠，共網內部不同部門間通信，不會產生干擾和失密等等。
為支持網路安全運行，除ITSI外還可以分配一個ATSI。每個ITSI只能有一個ATSI，並且只有網路運營者知道這個ITSI—ATSI對。ATSI不能從ITSI信息中推出，且其它用戶只能通過ITSI來識別給定的用戶。因為其它用戶不知道ATSI，所以網路運營者可以利用公共ITSI操作基礎設施路由表不通知其它任何用戶而頻繁改變ATSI值。
當各種組織共享相同的無線平台時，就產生了虛擬用戶群體之間的私密性問題，即在使用相同系統時如何維護通信機密的問題。由於TETRA系統是數字系統，因此能夠很容易地通過加密機制滿足對私密通信的需求。TETRA系統可以支持兩層加密：空中介面加密和端對端加密。空中介面加密是指用戶終端和基站之間的業務通道和控制通道經過加密的；端對端加密是對業務通道在空中介面加密的基礎上進行的雙重加密；所提議的系統能夠完全支持此機制，但是需要開發特殊的加密演算法，特殊的加密演算法對特定用戶是非常重要的，運營商可以設計和開發加密演算法。
對於空中介面加密而言，在正常操作下，可維護屬於不同組織的用戶之間的個人呼和組呼的機密。對於不同類型的呼叫，在TETRA系統可提供不同類型的密鑰。在這些密鑰中，VPN之間維護私密通信機制所需的密鑰有兩種：導出密鑰或衍生密鑰（DCK）；組密鑰（GCK）。
DCK是用來加密所有從用戶發送到無線基礎設施的信令和業務通道，和從無線基礎設施發送到用戶的個人呼叫定址的信令和業務通道；DCK密鑰是在用戶的鑒權過程中獲得的，它是通過相應的演算法和存儲在終端中的個人密鑰導出的。因此網路中的每個用戶在進行個人呼的時候使用不同的DCK，因此可確保統一組織內外通話的私密性。GCK可以與單個組地址相關聯來加密從無線基礎設施到用戶的組定址信令和業務通道。GCK是基礎設施所知道的並分配到用戶。因此，為維護不同的組織之間的私密通信，GCK的不同子集被分配到屬於不同VPN的用戶。
在緊急情況或其它特殊情況下，可能發生一些特例，不同組織在某一領域合作，因此他們不得不建立VPN之間的通信。為此目的，必須為這種特殊的操作模式提供另外的GCK子集。在這種情況下，一個超級操作員需要介入，來修改密鑰管理的「正常」途徑，這項工作可以交給網路運營者或負責協調網路中所有組織運行的高級組織部門。這個操作員必須識別VPN之間的通信和空中分配適當的GCK到所有的組織或用戶，這些組織或用戶需要進行聯合的操作。
五、TETRA數字集群系統虛擬專網的應用
TETRA數字集群系統虛擬專網的主要用戶群體為運輸業（包括計程車、公交車、運輸公司、公路、鐵路、航運交通等）、大型企事業、政府部門、水電氣等市政管理、機嘗大型車站、消防、水利、建築、金融和旅遊等部門、大型活動組織機構、以及警察、武警法院和檢察院等公共安全類用戶。
社會是一個有機的整體，許多社會活動需要各部門的協同工作，市場經濟更需社會的分工合作。TETRA系統允許不同的虛擬專網在一種可控方式下相互通信。多個用戶組可以有公共的通話組。部分調度員可以有權管理多個不同用戶組織中的用戶，並且與之通信。比如，創建一個包含來自不同組織的多個用戶的臨時通話組。便於在一個城市的市政府、體委、公安、武警、消防、醫院、交通、新聞和旅遊、賓館等單位各自組成虛擬專用網，並可多個單位組成共同的通話組以實施聯合指揮。