私有全球即时通讯“云集群”的构建及典型应用-3
“云集群”的组成及快速构建
-
罗万杰 中国人民公安大学信息技术与网络安全学院
余轩兆 北京赛普乐科技有限责任公司
--节选自“私有全球即时通讯“云集群”的构建及典型应用”《中国安防》
云集群”的基本模式为客户端-服务器模式,且为跨平台结构,即“云集群”客户端可在不同平台间跨界工作,包括计算机平台Windows、安卓智能平台、IOS平台都可接入“云集群”后台服务器端,系统原理见图1所示:
1.“云集群”核心网
作为整个“云集群”的核心,负责系统内所有信息的交换和通信。由应用服务器、调度服务器和媒体网关服务器组成,包含几大核心交换组件。
该部分承担着与其他各子系统的衔接、服务及支撑作用。架构见图2:
“云集群”核心网以以太网交换机和各系统服务器为服务基础,将各组件及服务进行跨网络、跨平台的部署。架构最大程度保证“云集群”兼容现有模拟/数字对讲机。并且将实现在大型任务时兼容各地区的不同数字集群对讲机,最大程度灵活使用,满足不同网络情境及使用终端的统一化通信调度。
2. 网络管理中心/指挥调度中心
指挥调度中心提供指挥调度坐席,接入指挥中心和大屏应用等功能。其是运行在PC上的应用程序,它通过公网、专网或WiFi网络连接到多媒体调度服务器。调度台客户端与调度服务器都是多媒体调度系统的重要组成部分。与一般的终端不同,调度台具有调度和管理终端的功能。调度员通过在调度台上的操作,除了可以实现终端能完成的各项呼叫、通话、数据传输等功能外,还可以实现调度和管理功能,相当于优先级最高的用户。
网络管理中心提供分级网管的网管操作台,形成总负责单位对全体用户、各分管理员对本负责的账号进行管理的组网方式。协调整个网络配置、管理和维护。可以确保一张网管控、各分管理单位间有严格界定的一套规范网管。
3. 网桥
实现对任何第三方的专用无线通信系统连接 (例如350MHz模拟常规、模拟集群、数字常规、数字集群TETRA、DMR或MPT)。通过网桥接入,使用方可以用极低的成本扩展其原有对讲机网络覆盖范围,通过将现有对讲机网络外的用户连接到现有网络内部的用户实现。网桥设备将普通智能手机用户和原有对讲机网络互联互通。
该部分提供多种连接方式,包括较简单的终端的API接口连接方式,和复杂度较高的系统API接口连接方式。
1. 服务器群
在“云集群”系统中,设计有通用若干服务器,支撑着各类数据的转发与管理。服务器对公共网络环境没有特殊要求,在每套系统中具有独立的IP地址;在配置上可采用通用服务器或虚拟机。
2. 网桥
网桥作为辅助互联设备,主要适用范围是原本有窄带对讲机或对讲系统的单位,对于仅需满足“云集群”基础核心功能的用户,则无须部署使用。网桥与窄带对讲互联主要满足原有使用窄带对讲的人员在不更换终端的情况下与新使用“云集群”的人员间也能做到语音一呼百应,互联互通,以及文字信息定位信息的互通(前提是窄带对讲有此功能)。网桥的互联互通功能可以很好的避免同一单位出现两套互不可通的通信手段,消除信息孤岛。
网桥具有组呼、组短信的基本功能,支持350-370MHz、380-430MHz、407-473MHz、806-870MHz四个工作频段;理论上支持无限多个通话组,在标准配置下,网桥支持1个PMR通话组,可以通过扩展的方式到多个扫描通话组;可通过外部开发接口将PDT/DMR/MPT1327/模拟常规和TETRA设备连接到PMR对讲机。
1.“云集群”核心网软件
在图2硬件设备环境下,软件提供了各种服务和管理功能:
- 媒体网关服务器软件:用于呼叫时语音的转发、视频通话时的画面与语音的转发。
- Web服务器/中间件:用于非实时业务的转发,例如:小视频、图片、文件和离线语音消息的转发;
- 移动交互中心软件:用于管理系统的呼叫控制、数据交互、用户登记注册管理、用户身份合法性识别等。还通过移动网络与多个终端通信连接,具体用于创建、删除、管理和操作各虚拟服务器,并创建、删除、管理、设置、授权组号码和组名称,每个用户号码和每个调度台的用户;
- 数据库服务器软件:用于存储用户的数据信息、呼叫历史和录音和视频数据,并调用存储的各类信息;
- 调度服务器软件:用于用户终端登录的管理,具体地,用于管理和控制终端和调度管理服务器。例如,调度台可以实时监控多组通话的功能,可以进行定位和指挥调度,可以创建电子围栏,为用户下发动态重组的指令(向用户直接推送新的组号码),可以遥控用户,对用户进行遥毙(强制退出系统)和复活(允许用户重新入网进入系统)。
2. 安全防护软件
“云集群”后台网络,经过安全防护,结合防火墙、IPS、IDS等各种防护工具,保护系统免受外部攻击,保证信息的安全存储和安全传递。
为了保证仅有授权用户登录,并保证授权用户登录的唯一身份不被复用、盗取或者修改,所有与账号相关的业务流均经过后台服务器鉴权子模块;同时为了保证话音和数据的传输过程是加密的,不被窃听和篡改,所有业务数据均经过后台服务器端端到端加密子模块。鉴权和端到端加密子模块也符合公安部研究所的要求,经过公安部检测中心检测,获得国家保密局的证书认定,具备高强度的防攻击、防破译的能力。
(1)安全准入系统
所有终端都将经过安全认证才能以合规方式准入到“云集群”作为系统用户,由图3所示,终端安全准入系统由终端安全监控组件和安全准入网关两部分构成,其作用是针对接入公安移动信息网中的终端进行合规性管理的系统,通过在终端上部署终端安全监测组件,实现终端硬件信息采集、系统信息采集、软件信息采集、用户信息采集、网络信息采集,并将上述信息上报安全准入网关,安全准入网关对终端合规性、资源访问合法性进行鉴权,防止非法法终端的接入。
安全监控组件部署在每一台移动终端上;安全准入网关设备作为网桥入网所需的必要安全设备,部署在网络出入口与内网交换机之间,通过网桥模式串接在网络中,网桥上配有接入控制区的内网地址,通过防火墙映射到外网提供给移动终端接入使用。移动终端通过专网拨号连接到接入区,并登陆安全准入系统对终端合法性进行确认,安全准入网关认证通过后才可以允许访问其它应用服务。
(2)终端安全管控
执行终端安全准入系统下发的安全策略,包括设备生命周期管理、按需锁定设备、锁屏与解锁设备、擦除设备数据、删除设备、标记丢失,限制使用摄像头、蓝牙、Wi-Fi等外设,提供安全浏览器、URL白名单、URL黑名单、上网记录审计、即时聊天软件控制、关键字过滤等上网安全,以及时间围栏、地理围栏等安全管理。
(3)终端数据采集与上报
终端安全组件根据监管策略,对终端状态数据进行采集与上报。
终端采集上报数据包括,设备信息(如设备厂商、设备名称、设备型号、IMEI、电源状态、存储容量、物理内存、CPU、电话号码、UDID、设备序列号、资产编号、蓝牙MAC地址、WIFI Mac地址、摄像头、开机时长、IMSI)、安装软件状态监测、电话功能监测、短信功能监测、互联网痕迹监测、APN/VPDN状态监测、外设监测、软件安装功能监测、流量监测、应用软件行为监测、Root权限监测、非法外联监测等。
3. 网管和调度坐席软件
“云集群”整体基于客户端-服务器模式,采用集中式管理策略,所有用户数据和配置信息都由网管配置和管理,客户端仅提供手机终端自身的设置。所以服务器侧需要进行较多的配置。通过“云集群”账户管理员可以修改、启用和设置用户的配置。
“云集群”网管基于B/S架构,网管软件以PC计算机浏览器作为入口,登录需要得到“云集群”服务器的授权,获得用户名和密码。当通过鉴权后,管理员用户才可以通过云集群账户管理员界面修改配置文件。
网管软件的主要功能包括:用户模板信息;增加、删除和编辑用户; 增加、删除和编辑组;用户和组过滤和排序;服务器管理;创建、修改、编辑个人用户信息,设置个人用户和组用户信息;设置优先级呼叫值;为个人用户开启或关闭“云集群”软件应用功能。调度坐席软件在管理方面包含动态重组功能:在网管数据库用户和组别中,进行编组编队,即分配给用户新的可附属的组。充当临时网管员的角色。
“云集群”调度坐席与一般的终端不同,调度坐席具有调度和管理终端的功能。调度员通过在调度台上的操作,除了可以实现终端能完成的各项呼叫、通话、数据传输等功能外,还可以实现调度和管理功能,相当于优先级最高的用户。
"云集群”的建设,对于私有化集群通信下作业的人员提供了极大的便利。特别是抛开了传统对讲机,人们作业过程中无须配备太多的专用终端、专用充电器和附件,减轻了外出作业负担。
由于公网对于距离的无限延伸,可以使得作业范围做到无障碍自由通信,在保障公网覆盖的情况下,“云集群”不限终端不限网络运营商的优势便发挥出来。未来在更多的场景使用中,采用C/S架构的系统可随着个性化需求进行独立版本的二次开发和APP应用扩展,如添加NFC打卡签到、多人视频会议、甚至将VR等先进技术集成结合在一起。
由图1可知,所建“云集群”系统除后台服务核心系统组件外,其余各部分均根据实际使用场景来配置,灵活兼容将是“云集群”快速构建的总体原则。
云集群”的构建采用模块化的方式,核心网的服务器采用通用服务器或虚拟机,在少量用户的规模下,可采用单一服务器进行服务,当常在线人数增大到数百人则以拆分的方式将3.3.1所述“云集群”核心网软件中各个组件进行拆分到不同服务器硬件中,并把所有服务器统一作为“云集群”服务器群。当用户群体扩大时,原有部署环境不变,直接在单个服务器基础上进行拆分即实现快速扩容的要求。
“云集群”其他部分也均采用灵活可控的方式配置。如网管端可适应不同PC机的各类浏览器;“云集群”调度坐席也可以加载在通用PC机、指挥调度大屏、智能平板等环境;网桥配置也随需对接的系统进行配置即可。
138-1049-9528/010-82101306