概述
隨著如圖1所示的3G/WLAN/WiMax等系統在全球的引入以及現有各種二代行動網路的繼續運營,這種現象將更為普遍。同時,隨著移動通信的快速發展,基站系統作為無線通信網路架構的基本網元,是與用戶最靠近的接入模組,在無線通信網路建設中具有非常重要的地位。這主要表現在三個方面:一是它所包含的資產成本在整個網路投資中占有很大的比重,例如有專家預測3G基站建設初期需要投入1000億元左右;二是它的穩定性直接關係到是否能為用戶提供服務及其創造經濟效益的多少;三是它的性能表現直接關係到網路服務的質量指標和用戶滿意度。因此,基站系統的建設和維護是移動運營商工作的重要內容。
基站的發展和演進將直接影響網路的建設、運維和管理。以歐洲GSM技術的演進為例,在很短的時期內,就在GSM的基礎上推出了2.5G(GPRS)、2.75G(EDEG)、3G(WCDMA)、3.5G(HSDPA)等技術,如圖1所示。標準的快速演進超出了原有通信領域的發展速度,而這種高速的演進讓運營商增加了很多部署成本。其中,無線基站的升級以及換代成為運營商最為頭疼的問題,由於基站升級和維護需要支出大量的資金和人力,使得運營商在部署新標準技術時面臨決策的難題。
在國家大力提倡建設創新和節約型社會的前提下,如何降低基站部署的成本,提高覆蓋質量;如何合理利用現有資源,提高網路效率;如何有效創新,提高網路性能成為政府部門和運營商、製造商等關心的問題。
問題和方法
異構型網路的目的主要是實現各種信息快速、可靠、安全的交換與傳輸,即通過網路高質量地提供各種各樣的服務,因此業務的發展、繁榮與演進是網路發展、繁榮與演進的基礎和關鍵,這一點在2000年以來3G網路的商用過程以及網際網路的發展過程中體現得尤其明顯。總體而言,目前通過各種網路可以提供的服務如圖2所示。對於移動通信運營商而言,充分保證用戶在網路中能夠享受到各種服務,提高用戶體驗質量,是無線網路發展的必然方向。
在此背景下,業界對於固定和移動的融合(FMC),網際網路、廣播電視網和電信網路的三網融合極為關注。對於融合已經有很多文獻進行了深入的論述,這也不是本文的重點。其實,對於網路運營商而言,融合的核心目的在於通過服務種類的增多提高網路運營的收入,降低網路整體的投資成本,並且統一用戶的體驗質量。正因為如此,開發新業務來提高網路利用率、增加收入,通過差異化業務和品牌劃分滿足不同人群的體驗質量要求,提高競爭力,通過統一客戶界面和內容提供形式,降低不必要的投入和減少體驗質量不同導致的投訴,這些就成為運營商的關注焦點。而網路作為提供這一切的基礎,必須實現業務的可用性、方便性以及網路整體質量的一致性,同時降低運營和投入成本,即OPEX/CAPEX。
作為網路中使用最為普遍的基站設備將首先面臨設備本身要求的提高,這就意味著基站設備所包括的硬體、軟體和配套設施需要滿足以下幾點要求。
提供卓越的性能和靈活的容量,具體體現在設備的噪聲係數和接收機靈敏度,設備接收濾波器性能和抗干擾能力,設備的極限容量和軟體算法效率,設備發射頻譜和功放效率等指標。
由於服務的不斷創新和網路的融合,對基站設備形態的需求將多種多樣,例如目前3G網路中出現的RRU就是為滿足需求過程中基站設備的簡化,因此滿足這種具有個性化特點的需求是每個設備廠家必須考慮的問題,未來很有可能出現類似的根據功能需求來實行個性化定製設備。
隨著技術和標準的不斷發展,系統集成度的不斷提高,而且設備需要支持的業務種類層出不窮,設備採用的無線資源管理算法效率不斷改善,因此基站設備需要進行靈活的升級。在GSM系統發展中通常每3~5年就需要對設備架構進行升級,而3G中隨著發射分集、多用戶檢測等新技術的引入使得這種升級更為頻繁,這對基站設備架構的開放性提出了更高的要求。
由於最近幾年中,網際網路的使用量呈爆炸態勢,越來越多的用戶使用更快更便宜的網際網路連線,業界普遍認為FMC的實現需要通過IMS來完成,同時三網融合的關鍵因素也是支持網際網路協定(IP)的各種設備之間建立點到點連線的能力,因此基站設備IP化是未來發展的方向,也是3G長期演進中的一個嶄新而熱烈的課題。
在國家大力提倡建設創新和節約型社會的前提下,充分降低設備整體功耗,不僅需要提高功放效率和性能,節約投資和運行維護成本,同時還必須保證設備運行中的穩定可靠,這就需要在基站設備的設計上充分貫徹科學發展觀,不斷創新。
在此基礎上,異構網路運營下的基站設備的發展和演進還需要從設備運營商所涉及的規劃設計、運維、最佳化、管理和技術支撐等方面來考慮。
首先,隨著基站設備本身形態增多和靈活度的加大,網路規劃和設計的難度將進一步加大,建設前期不僅需要考慮設備本身的性能情況,還需要考慮異構網路間的相互關係以及未來網路和設備的發展。規劃設計中應當考慮採用可以靈活部署、快速方便安裝、性能出眾的基站設備,同時對於已經擁有基站設備的運營商還需要考慮合理利用現有基站資源,降低基站部署的成本,提高網路效率和性能。例如基於2G網路資源構建3G網路過程中,從理論上看,除了主設備之外的各種資源都可以考慮共用,不過要特別注意異構網路業務覆蓋範圍的一致性、異構網路資源可重複利用情況、干擾和電磁輻射等三個問題。如圖3所示。
對於3G系統共用2G資源而言,機房面積、承重、配套設施、傳輸資源和天面資源甚至包括小小的饋線窗都需要逐一判斷其可用性,而且對於實際工程建設還必須考慮異構網路之間的干擾以及電磁輻射的總量問題。按照目前各種系統頻譜的劃分和系統特性分析,部分系統之間存在相互干擾的可能,特別是隨著用戶數量的不斷增長,小區半徑逐步減小,異構系統共存於一個天面的現象增多,這對異構網路干擾問題的解決進一步加大了難度。同時,通過對城市環境下基站發射功率和載波數量的統計表明,現有2G網路都低於國家電磁輻射標準要求,不過在3G共用2G資源後將趨近於標準限值。
其次,異構網路運營將對運行維護、最佳化增加的不只是網路種類的壓力,它要求不同種類網路之間能做到平滑連線和切換。這就意味著網路整體運維、最佳化所涉及到的數據量極大,這些數據的存儲和管理是非常繁瑣的工作,需要進行合理的數據組織和建立相應的網管支撐體系,基站必須能夠根據要求準確提供網管系統所需的各種指標。而對於異構網路的最佳化,必須向滿足端到端用戶體驗質量和服務質量進行轉變,因為網路最佳化的目標是提供給用戶更好的業務體驗,以滿足用戶的預期並使網路資源的利用率最大化,從而獲得最大收益。這就需要運營商對無線鏈路的動態性、用戶的移動性和業務的多變性有深刻的把握和了解。例如現在很多運營商付出巨大努力來最佳化其話音網路,而數據業務的多變性使最佳化工作更加複雜而且更加耗費資源。
最後,在異構網路運營中,網路質量的一致性不僅對於基站設備的互連互通提出了要求,同時也對運行維護的組織管理、經驗共享和技術支撐提出了更高的要求,需要形成管理和技術支撐的一致性。這就需要在管理中充分實現資源和經驗共享,加大信息化力度,這樣一方面可以大大降低運維、最佳化、人員培訓和管理成本;另一方面也可以更好地整合和充分利用資源。另外,國外3G網路運營經驗表明,雖然技能和經驗在運維、最佳化個例中具有重要意義,但是項目的組織和管理卻決定了網路運行的整體性能。
綜上所述,異構網路運營下的基站設備的發展和演進必須從設備本身性能的提高以及滿足異構網路運營的需求入手,才可能在市場中站穩腳跟,在通信發展的大潮中勇往直前!
總結
本文從網路發展入手,對異構網路運營下基站設備本身以及相應的規劃、設計、運維、最佳化等階段所面臨的主要問題進行了詳細的分析和闡述,給出了相關解決方案。由於通信網路在全球還處於發展階段,可以拿來介紹的經驗很少,因此異構網路運營下的基站設備的發展與演進對整個產業界都是一個新專題,需要在不斷的研究和實踐中驗證、修正、補充和完善,也希望與各位專家進行更深的探討。
異構網路的安全解決方案
在過去的十幾年裡,全球移動通信發展迅速,蜂窩移動用戶數量迅猛增長,除了單一的話音業務外,數據業務也獲得了極大的增長。然而,無線網路(包括蜂窩網路)仍必須不斷地提供無處不在的通信能力,以滿足人們不斷增長的通信以及接入Internet的需求。異構網路融合是個嶄新的概念——儘可能將各種類型的網路融合起來,在一個通用的網路平台上提供多種業務,一直是人們追求的目標。4G網路的一個主要特徵就是能夠提供多種不同無線接入技術之間的互操作,無線區域網路(WLAN)和3G網路的融合、Ad hoc網路與蜂窩網路的融合都是無線異構網路融合的重要模式。網路融合技術可極大地提升蜂窩網路的性能,在支持傳統業務的同時也為引入新的服務創造了條件,成為支持異構互連和協同套用的新一代無線行動網路的熱點技術。無線異構網路融合近年來受到了業界的高度重視和研究。如同所有的通信網路和計算機網路,信息安全問題同樣是無線異構網路發展過程中所必須關注的一個重要問題。異構網路融合了各自網路的優點,也必然會將相應缺點帶進融合網路中。異構網路除存在原有各自網路所固有的安全需求外,還將面臨一系列新的安全問題,如網間安全、安全協定的無縫銜接、以及提供多樣化的新業務帶來的新的安全需求等。構建高柔性免受攻擊的無線異構網路安全防護的新型模型、關鍵安全技術和方法,是無線異構網路發展過程中所必須關注的一個重要問題。雖然傳統的GSM網路、無線區域網路(WLAN)以及Adhoc網路的安全已獲得了極大的關注,並在實踐中得到套用,然而異構網路安全問題的研究目前則剛剛起步。本文將在下一代公眾行動網路環境下,研究無線異構網路中的安全路由協定、接入認證技術、入侵檢測技術、加解密技術、節點間協作通信等安全技術等,以提高無線異構網路的安全保障能力。
1 Adhoc網路的安全解決方案
眾所周知,由於Ad hoc網路本身固有的特性,如開放性介質、動態拓撲、分散式合作以及有限的能量等,無論是合法的網路用戶還是惡意的入侵節點都可以接入無線信道,因而使其很容易遭受到各種攻擊,安全形勢也較一般無線網路嚴峻的多。目前關於Ad hoc網路的安全問題已有很多相關闡述。Ad hoc網路中的攻擊主要可分為兩種類型,即被動型攻擊和主動型攻擊。目前Ad hoc網路的安全防護主要有二類技術:一是先驗式防護方式:阻止網路受到攻擊。涉及技術主要包括鑒權、加密算法和密鑰分發。二是反應式防護方式:檢測惡意節點或入侵者,從而排除或阻止入侵者進入網路。這方面的技術主要包括入侵檢測技術(監測體系結構、信息採集、以及對於攻擊採取的適當回響)。文獻和文獻描述了在沒有認證中心的情況下Ad hoc群密鑰分發技術,其中文獻還研究了密鑰建立的有效性。然而這二種密鑰分發方案僅僅只適用節點之間彼此可以直接通信的小規模的Ad hoc網路。還有由網路中多個節點共同協作完成認證中心(CA)功能的分散式認證的門限密碼方案,該方案改善了網路的魯棒性,因為它排除了一個或少量節點的捕獲而摧毀整個網路的密鑰管理的可能性。文獻[14]研究了一種非集中式的密鑰分配方案,假設每個移動節點在它的近鄰有一個可信賴的節點群,二個節點通過合併它們各自的節點群的相關信息進行公鑰交換,這就大大提高了獲得的密鑰的可信度。然而,該種方案仍然有可能發生密鑰分配失敗,特別是對於大規模的Ad hoc網路。在Ad hoc網路中,路由安全問題是個重要的問題。在目前已提出的安全路由方案中,如果採用先驗式防護方案,可使用數字簽名來認證訊息中信息不變的部分,使用Hash鏈加密跳數信息,以防止中間惡意節點增加虛假的路由信息,或者把IP位址與媒體接入控制(MAC)地址捆綁起來,在鏈路層進行認證以增加安全性。採用反應式方案,則可使用入侵檢測法。每個節點都有自己的入侵檢測系統以監視該節點的周圍情況,與此同時,相鄰節點間可相互交換入侵信息。當然,一個成功的入侵檢測系統是非常複雜的,而且還取決於相鄰節點的彼此信任程度。看門狗方案也可以保護分組數據在轉發過程中不被丟棄、篡改、或插入錯誤的路由信息。另外,如何增強AODV、DSR等路由協定的安全性也正被研究。總之,Ad hoc網路安全性差完全由於其自身的無中心結構,分散式安全機制可以改善Ad hoc網路的安全性,然而,增加的網路開銷和決策時間、不精確的安全判斷仍然困擾著Ad hoc網路。
2.1安全體系結構
對於異構網路的安全性來說,現階段對異構網路安全性的研究一方面是針對GSM/GPRS和WLAN融合網路,另一方面是針對3G(特別是UMTS)和WLAN的融合網路。如文獻在GSM/GPRS和WLAN融合支持移動用戶的結構中,把WLAN作為3G的接入網路並直接與3G網路的組成部分(如蜂窩運營中心)相連。這兩個網路都是集中控制式的,可以方便地共享相同的資源,如計費、信令和傳輸等,解決安全管理問題。然而,這個安全措施沒有考慮雙模(GSM/GPRS和WLAN)終端問題。文獻將3G和WLAN相融合為企業提供Internet漫遊解決方案,在合適的地方安放許多伺服器和網關,來提供安全方面的管理。還可以採用虛擬專用網(VPN)的結構,為企業提供與3G、公共WLAN和專用WLAN之間的安全連線。3GPP TS 23.234描述了3G和WLAN的互聯結構,增加了如分組數據網關和WLAN接入網關的互聯成分。3GPP TS 33.234在此基礎上對3G和WLAN融合網路的安全做出了規定,其安全結構基於現有的UMTS AKA方式。
在Ad hoc和蜂窩融合網路安全性研究方面,文獻提出了利用蜂窩網的“帶外信令”和蜂窩網的中央管理機制來提高Ad hoc的網路管理和控制,從而提高Ad hoc網路的路由和安全性能。但該安全方案只針對Ad hoc網路,沒有考慮蜂窩網路和網間的安全問題。因此,構建一個完善的無線異構網路的安全體系,一般應遵循下列3個基本原則:(1)無線異構網路協定結構符合開放系統互聯(OSI)協定體系,因而其安全問題應從每個層次入手,完善的安全系統應該是層層安全的。(2)各個無線接入子網提供了MAC層的安全解決方案,整個安全體系應以此為基礎,構建統一的安全框架,實現安全協定的無縫連線。(3)構建的安全體系應該符合無線異構網路的業務特點、技術特點和發展趨勢,實現安全解決方案的無縫過渡。可採用中心控制式和分布代理相結合的安全管理體系,設定安全代理,對分散式網路在接入認證、密鑰分發與更新、保障路由安全、入侵檢測等方面進行集中控制。
2.2安全路由協定
路由安全在整個異構網路的安全中占有首要地位。在異構網路中,路由協定既要發現移動節點,又要能夠發現基站。現有的路由協定大多僅關注於選路及其策略,只有少部分考慮安全問題。在聯合蜂窩接入網系統中(UCAN) ,涉及的安全主要局限在數據轉發路徑上合法中間節點的鑑定問題。當路由請求訊息從信宿發向基站時,在其中就引入單一的含密碼的訊息鑑定代碼(MAC)。MAC鑑定了轉發路徑,基站就會精確地跟蹤每個代理和轉發節點的數據流編號,而每個用戶都有一個基站所給的密碼。UCAN著重於阻止個人主機刪除合法主機,或者使未認可的主機有轉播功能。它有效地防止了自私節點,但是當有碰撞發生時,防禦力就會減少了。另外,文獻提出一種用於對付任意惡意攻擊的新路由算法。該方法主要在於保護路由機制和路由數據,開發融合網路信任模型,以及提出安全性能分析體制。該路由算法的核心機制是為每個主機選擇一條到基站吞吐量最高的路徑。每個主機周期性的探測鄰居節點的當前吞吐量,選擇探測周期內的吞吐量最高值。其目標是識別融合網路中惡意節點的攻擊類型,提供有效檢測,避免惡意節點。
一般而言,對安全路由協定的研究起碼要包括兩個部分:基站和移動終端間的路由安全和任意兩個移動終端間的路由(Ad hoc網路路由)安全。而由於異構網路的路由協定主要來源於Ad hoc網路路由協定的擴展,從而對異構網路路由協定安全性的研究將主要延伸於Ad hoc網路路由協定的安全性研究。鑒於此,可以將現有的一些Ad hoc安全路由研究植入到異構網路的安全路由研究中。簡單的防欺騙的基於信譽的系統SPRITE就是一個很好的研究入口。SPRITE本身需要一個獨立於Ad hoc網路之外的固定系統——信譽結算服務(CCS)系統,用於維持節點信譽的平衡,激勵中間節點轉發數據的積極性。不過,要實現SPRITE系統需要CCS獲悉兩個節點之間的完整路由信息。而這一點,在異構網路中,由於有基站等固定基礎設施的存在,因而實現起來就相對簡單了。當然,異構網路路由協定的安全性要建立在節點得到服務提供商支持的認證,這就要完善基站等固定基礎設施的安全體系和密碼技術,以使得節點能接入到異構網路,獲得異構網路的認證。
2.3接入認證技術
現有的大多數認證體系如Kerberos及X.509等普遍是針對一般的集中式網路環境提出的,因其要求有集中式認證機構如證書發放中心或CA。而對於無固定基礎設施支持的分散式移動Ad hoc網路,網路拓撲結構不斷地動態變化著,其認證問題只有採用分散式認證方式。對於異構網路,蜂窩基站的引入則可以在充分發揮Ad hoc自身優勢的同時克服其固有缺陷。可以根據集中式網路和分散式網路各自的特點,建立異構網路的接入認證系統。文獻討論了WLAN中的節點接入3G的安全認證問題。它構建3G-WLAN信任模型來嚴格維持3G-WLAN融合網路中所有組成成分之間的信任關係,以加強接入認證過程,保護3G網路免遭偽造的接入認證請求。從Ad hoc和蜂窩融合網路3種系統模式來看,以蜂窩技術為主Ad hoc為輔的融合網路系統模式,其接入認證的重點就是如何讓合法的Ad hoc網路用戶安全地接入到蜂窩網路中;以Ad hoc為主蜂窩技術為輔的融合網路系統模式,其接入認證的重點則是如何在Ad hoc內部實現安全以及蜂窩網管理Ad hoc網路時如何安全的傳輸控制信息。而事實上,這種模式下甚至可以直接採用蜂窩網中一樣的接入認證過程,如CAMA。Ad hoc和蜂窩融合的第三種模式——混合模式,則更需要對每個用戶的身份信息等進行更加嚴格的認證。異構網路用戶的身份信息認證又包括Ad hoc網路與有基站等固定基礎設施的集中式網路之間的認證和任意兩種集中式網路之間的認證。
對於複雜的異構網路安全性而言,傳統意義上的接入認證只是第一道防線。對付那些已經混入網路的惡意節點,就要採取更嚴格的措施。建立基於基站的和節點聲譽評價的鑒權認證機制或許是一個好的方法。因為蜂窩系統的末端接入網路是完全依賴於節點的廣泛分布及協同工作而維護正常通信的,既要拒絕惡意節點的接入,又要確定合適的評價度,保證合法節點不因被惡意節點誣陷而被拒絕接入。這樣可以最大限度的保證網路資源的可使用性。
在異構網路中,基站和各移動節點可以共同擔當聲譽機制中心這類權威機構的角色,形成以基站為主,移動節點分散式評價為輔的方式。同時,還可以借鑑文獻中的方式:在節點接入網路時進行預認證,之後網路中的基站和其他移動節點對它的行為跟蹤,使它的惡意行為對應一定的聲譽值,重新對它進行鑒權認證。