1、 【 1.0.0版本】 无线采集系统技术方案 中国移动通信有限公司 2 目 录 1. 项目需求分析 . 3 2. 总体技术方案 . 4 3. 系统组网结构 . 8 4. 终端标识及码号方案 . 14 5. 终端接入认证 . 17 6. 数 据通信方式 . 21 7. 消息交互流程 . 23 8. 数据报文格式 . 36 9. 终端及平台技术要求 . 43 10. 未来演进方案 . 44 11. 安全性分析 . 49 12. 测试方法 . 55 13. 工程实施与维护 . 65 14. 编制历史 . 71 3 1. 项目 需求分析 管理中心为了保证管理的可靠性、及时性和安全性, 需要 针对各级管
2、理系统 进行多种方式 的 监管(下级定时上传、交易实时上传、上级不定时抓取等)。计划下半年完成 在 全国范围 的 推广,预计 终端部署 城市数量 300 个。平均每城市 10 个分理处、每分理处 10 台终端,保守估计终端 总 数量为 30000 台。 根据对监管的具体需求分析 ,系统 解决方案 应满足以下需求: 满足数据采集终端的程序控制功能,即模块可通过软控制参数,实现数据 传输 流向控制。 需 提供 多种通信 模式 ,即终端对单一终端、终端对多 个 终端以及终端对 平台 的通信 和数据传输 能力。 项目属性决定网络平台及数据 需要 具有高度的安全保密机制。 系统的先进性与可扩展性。为了适
3、应业务发展以及业务改进需求,系统需提供强大的网络覆盖能力、网络性能优化能力以及新业务新特性的支撑能力。 业 务 终 端交 易 终 端交 易 终 端交 易 终 端 合 规 管 理 器合 规 管 理 器黑 匣 子业 务 端 , 即 各 个 分 理 处市 公 积 金管 理 中 心住 房 和 城 乡 建 设 部管 理 中 心无 线 A P N管 理 软 件监 管 中 心 平 台有 线 网 络无 线 网 络中 央 监 管 软 件新 增 系 统原 有 系 统网 络 侦 测 器合 规 管 理 器合 规 管 理 器三 层 网 络 交 换 机图 1.1 监管数据无线采集系统逻辑架构图 4 2. 总体技术方案 监
4、管数据无线采集系统是一个覆盖全国的实时数据采集系统,对网络覆盖、数据传输的可靠性和安全性均有严格的要求。在充分了解并分析系统建设需求的基础上,提出基于中国移动优质的无线网络和信息服务能力的无线数据采集解决方案。 中国移动 拥有全球第一的网络规模和用户规模,目前已经 建 设完成 一个覆盖范围广、通信质量高、业务品种丰富、服务水平一流的移动通信网络。截至 2008 年 12 月,中国移动网络已经 100% 覆盖全国县 (市),客户总数超过 4.5 亿户 , 覆盖程度远优于其他运营商。中国移动的无线接通率达到 99.65,网络质量达到世界先进水平 。 同时, 中国移动密切跟踪国际第三代移动通信技术的
5、发展趋势,本着积极、谨慎、稳妥的原则,制订第三代移动通信系统的引入策略并根据市场实际需求,积极进行业务开发和网络建设。广阔的网络覆盖、强大的技术优势、成熟的运营经验和保障机制,是中国移动为客户提供高质量服务的基础。 在本方案中,一方面,基于中国移动覆盖广泛的 GPRS 网络资源和成熟技术,为监管数据的采集提供高效的传输手段;另一方面,合理地设计 信息交互业务流程,综合使用各种安全机制,实现信息的可靠传输和系统灵活管理;此外,考虑到系统功能的扩展性需求,建议随着系统规模的不断扩大,引进能提供更高带宽的 TD-SCDMA 网络技术和分级管理模式,满足业务发展要求。 (1) 基于 GPRSEDGE
6、网络的信息传输 图 2.1 GPRS 网络结构图 . BSC PCU BTS 短消息中心 SGSN GGSN 7号信 令网 IP 传输网 帧中继网或 E1 等 公众数据网络 企业内部网 MSC HLR BG CG 其它运营者的 GPRS 网 DNS 的 网MS 5 GPRS/EDGE 是在 GSM 基础上发展起来的一种分组交换的数据承载和传输网络,其基本网络结构如 下图 所示 。 GPRS 网络 可以 实现多时隙捆绑、数据压缩等各种有利于高速数据传 输的功能 。 GPRS 网络中 主要网元功能如下: 分组控制单元( PCU):主要用于完成无线数据 分组 的转换。把分组业务 数据 送往SGSN,
7、把话音业务送往 MSC; 服务 GPRS 支持节点( SGSN):执行移动性管理、安全功能、接入控制和路由选择等功能; 网关 GPRS 支持节点( GGSN):负责提供 GPRS PLMN 与外部分组数据网的接口,并提供必要的网间安全机制(如防火墙); 边界网关( BG):边界网关用于 PLMN 间 GPRS 骨干网的互连,它具有基本的安全功能; 计费网关( CG):通过与 GPRS 网络中的计费实体通信,用于收 集各 GGSN 发送的计费数据记录; 域名服务器( DNS):负责提供 GPRS 网内部 SGSN、 GGSN 等网络节点的域名解析以及 APN 的解析。 与传统的电路交换 系统 相
8、比, GPRS 最主要的优势在于 “ 永远在线 ” 、 “ 物理隔离 ” 、“ 按流量计费 ” ,也就是说, GPRS 不用拨号即可随时随地接入互联网,随时与网络保持联系,而且 支持更丰富的计费模式,如按流量、时长或包月等 。由于 GPRS 在网络无线侧是在原有的 GSM 的基础上发展起来的,因此 GPRS 的网络覆盖非常成熟。又因为 GPRS 网络在用户与互联网连接 时 采用 PN 方式,即采用物理隔离方 式,因此有很高的安全保密性能,目前 GPRS 上网速率大约为 30-50Kbps, 终端 登录 GPRS 网络 仅需几秒钟。 EDGE( Enhanced Data Rate for GS
9、M Evolution) 即增强型数据速率 GSM 演进技术 , 它通过 在 GSM 系统中采用新的调制方法,有效地提高了 GPRS 信道编码效率及其移动数据 通信速率 ,它的最高速率可达 384kbit/s,可以充分满足 高速数据传输及 未来无线多媒体应用的带宽需求。 目前,中国移动 GPRS/EDGE 网络可以实现全国乃至全球的 GPRS 漫游 , 对于集团客户, GPRS 网络 可以为企业建立虚拟专网,实现移动办公 、业务数据传输 等移动应用。 本方案中,合规管理器与监管中心 平台之间、合规管理器之间、合规管理器与网络侦测器和黑匣子等设备之间的数据传输均可通过 GPRSEDGE 网络进行
10、,利用 GPRSEDGE 网络高速率、易使用、6 可漫游的特点,实现数据的可靠传输和灵活的管理及配置。 (2) 交互流程及安全策略设计 在监管数据无线采集系统的方案设计中,不仅要考虑提供高带宽的信息传输手段,还需合理设计信息交互流程,保证监管数据按照管理部门的业务需求发送到需要这些信息的接收端,即信息的交互是可管理可控制的 。此外,需要采用完备的措施,确保在系统、网络、传输等各个环节的安全可靠。本方案中,通过以下设计完成上述目标。 统一的设备 ID 考虑到 SIM 卡及 IP 地址分配的灵活性,采用系统中统一定义的设备 ID 标识无线采集系统中的设备,从而确保在设备位置移动、 SIM 卡更换、
11、 IP 地址变更等情况下,不影响系统功能的正常使用; 对信息交互流程的统一控制 系统中业务数据的交互采用监管中心平台集中式控制的方式,一方面,交互的指令由监管中心平台统一下发,实现灵活管理和有序交互的结合;另一方面, 合规管理器之间的 交互数据通过监管中心平台转发 而非采用点到点直接发送的方式,可以有效避免信息仿冒等安全事件对系统正常工作造成影响。 全方位的安全策略 监管数据无线采集系统对安全性有严格的要求。在安全策略建议中,注重技术手段与管理流程的结合,分层次从网络、系统、应用等各方面提出所采用的安全技术,同时 以安全意识、安全制度、日常维护和应急预案等为重点设计 安全管理机制。 (3) 分
12、阶段系统演进方案 考虑到系统规模扩大、数据量的增加,以及后期新功能的引入,提出两个阶段的系统设计方案。在第一阶段,建立以监管中心为核心的单级平台架构,数据传输方式以 GPRSEDGE为主;第 二阶段,采用中央平台 省平台的两级平台架构,利用 TD-SCDMA 网络高带宽的特点,满足大业务量传输的需求。 采用两级平台架构,一方面可以实现系统的可扩展,使本省内的信息交互无需通过中央平台,同时提高本地的管理维护效率;另一方面,由于在中央平台和省平台之间管理策略是一致的,可以保证整个系统内的信息交互仍然受控。 7 TD-SCDMA 标准是建立在我国自主知识产权基础上的 3G 国际标准 ,对于 3G 时
13、代 国家战略和国家安全保障 具有重要意义,也正因为如此,目前 中国政府 强力支持 TD 产业 的发展 。而 TD-SCDMA 网络的安全保密性 也已得到 国家认可,在党政军众多机构的广泛使用 。 中国移动正在全国范围内部署 TD-SCDMA网络,将于今年建设完成覆盖 200 多个地市的全国 3G移动通信网。 与 2G/2.5G 网络相比, TD-SDMA 网络在传输速率具备较大的优势,可以实现上行384kbps/下行 2.8Mbps 的高速无线数据传输。同时,中国移动在网络建设过程中采用GSMGPRS 与 TD-SCDMA 网络联合组网的方式,保证了网络覆盖的广度和深度,终端在通信过程中可以实
14、现 TD-SCDMA 与 GSMGPRS 网络间无缝切换,确保业务通畅 。 在后续章节中,将主 要阐述第一阶段的系统设计方案,同时对系统演进的二阶段方案进行简要介绍。 基于前述的方案要点,采用 GPRSEDGE 网络提供高效的传输通路,设计合理的交互流程和安全策略确保消息交互的安全可控,随着业务的发展,通过分级架构实现系统的可扩展性,并采用 TD-SCDMA 网络提供更高速率的数据传输,辅以中国移动优质的网络及运营服务,将能为 监管数据无线采集系统 提供高效、安全的解决方案。 8 3. 系统 组网 结构 根据监管数据无线采集系统的需求,结合中国移动网络的实际情况,我们建议使用监管系统专用 AP
15、N 的解决方案 , 由覆盖全国的中 国移动 GPRS 网络 为 用户 提供透明数据传输的虚拟专用数据通信网络 , 本章主要通过分析产品设计的目标,确定产品设计的指导思想,从设备功能、 APN 及业务路由、 IP 地址分配、平台接入方式等几个方面,对整个系统提出 组网 设计和建议。 监管数据无线采集系统的建议网络 结构如下图 所示。 G P R S 网 络A 省 S G S NA 省 无 线 网B 省 S G S NB 省 无 线 网北 京 G G S N建 设 部监 管 中 心 平 台北 京 移 动M - G r o u p 系 统合 规 管 理 器黑 匣 子网 络 侦 测 器合 规 管 理
16、器黑 匣 子网 络 侦 测 器A 省 终 端全 网 专 用 A P NB 省 终 端全 网 专 用 A P N专 线全 网 专 用 A P NA A A 服 务 器图 3.1 监管数据无线采集系统逻辑 组网 结构 监管数据无线采集系统 的 数据采集点包括 合规管理器、网络侦测器、黑匣子 ,根据业务需求安装部署于 不同地市 的业务 分理处 和 管理中心 。 所有终端设备 内 均 内 置 GPRS/EDGE 通信模组 , 并 安装 中国移动为数据采集系统专门制作的 SIM 卡, 通过 分配的全网 专用 APN 接入 中国移动 GPRS 网络 。 监管中心平台接入北京移动 M-Group 集团客户
17、接入系统。 合规管理器采集 业务数据后 将首先 进行 数据处理和 协议封装 ,并发起 GPRS 连接 实现采集点和平台的实时在线连接 , 通过中国移动 GPRS 网络 将 业务数据实时地传输至 监管中心平台 , 以实现对数据的统一监控和分布式管理 。全网终端采集的数据均 通过终端所在地的 SGSN 统一汇聚至北京 GGSN,由北京 GGSN 实现至监管中心平台的业务路由 。 除了采集终端向 监管中心平台发送业务数据 的传输模式 之外, 数据采集终端和监管中心9 平台 能够 支持 多种 灵活的数据传输模式,可通过 对 采集终端 的参数 配置实现 “ 采集终端特定终端 ” 、 “采集终端 多个终端
18、 ” 的数据传输,将数据发送至其它合规管理器、 网络侦测器或 黑盒子等 终端 设备。 在 目的地为终端的 数据传输 模式下,本方案采用通过 监管中心平台 进行 中继转发的 方式,即所有业务数据 流 均由采集终端提交至监管中心平台,中心平台根据终端 提交的请求消息中的消息目的类型参数,决定是否向网内的其它终端 转发该业务数据。 在移动网内 系统内还 部署 有 AAA 服务器, 以实现终端在 向网络注册阶段 用户层面的认 证和鉴权 ,并通过该设备向监管中心平台提供终端的相关信息的查询,实时获取终端的 IP 地址。 3.1 设备功能 (1) 数据采集 终端 监管数据无线采集系统的终端 设备 包括 3
19、 类: 合规管理器 黑匣子 网络侦测器 数据采集终端 中均 内置 GPRS 通信模块及相应的通信 控制软件,通过串口 /USB 等方式与业务终端连接,其 主要 作用 包括: 采集数据 实时监测业务终端,采集并临时存储由业务终端产生的业务交易数据; 上传数据 并采集的业务 数据进行 压缩 编码 和 协议封装后 通过 GPRS 无线网络将数据 传输 至监管 中心 平台 , 接 收数据 接收其它终端 通过监管中心平台 转发 的 业务数据 ,接收监管中心平台远程下发的控制和配置指令 。 其它功能 终端同时还具有本地故障告警、数据统计等功能。 在本方案 的后续表述中如不加以特殊声明,终端设备均值 上述
20、3 类设备,不加以详细区分。 (2) 监管中心平台 监管中心平台 是 数据采集 系统的核心 网元 , 一阶段中心平台 采用 全网单点方式进行建设和部署,通过 GPRS 无线网络实现 与 数据采集 终端的通信 和互联 ,实现对终端 设备中 应用数据的远程采集功能。 监管中心平台能够根据采集终端请求将数据下发至特定的终端设备。 监管中心平台 支 持 系统管理员通过远程登陆的方式 进行终端管理 、 业务管理 、数据统计10 的功能。 (3) 北京移动 M-Group 平台 M-Group 是中国移动专门为企业应用接入提供的路由和转发平台,采用高性能、高可靠性的硬件和网络架构,能够为企业提供安全、有
21、QoS 保障的接入服务。在本方案中, M-Group平台一端通过 VLAN 方式接入北京移动 GGSN,另一端 与 应用 服务器连接 ,实现终端和监管中心平台之间 IP 数据报文的 路由和转发。 (4) AAA 服务器 AAA 服务器实现 以下 3 项功能: 终端 身份认证 AAA服务器 通过 GRE Tunnel与北 京 GGSN连接, 在终端发起 GPRS Attach阶段与 GGSN交互。 AAA 服务器将检查 终端提交的用户名 /密码 ,以确认 终端 身份, 实现 用户级别 端的 鉴权认证 功能 。认证通过后, AAA 服务器向 GGSN 返回认证通过响应,终端可以建立起 与监控中心平
22、台之间的数据 链路。 AAA 服务器还提供完善的远程管理界面, 向企业用户开放,提供远程登录、数据管理、 用户信息 更新维护 等功能。 终端 信息注册 AAA 服务器 解析 GGSN 发送的 Radius 消息, 存储 并维护通过专用 APN 发起连接的终端信息,主要包括终端 IP 地址 、 MSISDN 号码,并能够按照 IP 地址和 MSISDN 号码对数据库进行实时更新维护; 终端信息获取 AAA 服务器 对外提供统一查询接口, 能够 接收 监管中心平台 的 正向(由 MSISDN 查询IP)、反向查询(由 IP 地址查询 MSISDN) 请求,并向 监管中心平台 返回 查询结果 ; (5) 移动网络设备 主要包括 接入网网元: BTS、 BSC, GPRS 核心网网元 SGSN、 GGSN,以及底层承载的传输层路由器和交换机 。 3.2 APN 及业务路由 (1) 专用 APN 数据采集 终端 请求 接入 GPRS 网络时,涉及到 APN( Access Point Name,接入点名称)
