基于微服务的多网络融合通信平台

姜西斌 徐乐 刘光耀 公安部第一研究所

引言

当前，各地公安用户已建设多种无线通信系统，这些系统相互独立、通信手段离散、业务不互通、无法形成互补、资源未能高效整合利用，影响了公安通信效率和协作效率。随着移动通信新技术和警务活动需求的发展，个别地市探索建设多网融合通信系统，但缺少对音视频通信业务的服务化改造，没有形成基础共性通信服务能力，通信资源很难共享，容易导致重复建设，技术实现方式不统一，通信业务较难实现跨网络、跨平台、跨区域互通，缺少统一访问服务接口，有些厂家的融合通信系统只能对接自有应用软件或自有组件。现有移动警务服务总线在音视频通信服务共享和媒体流等非结构化数据安全可信传输方面还需完善，许多地市移动警务服务总线未能将音视频通信的能力用统一服务接口的方式供上层各业务系统调用，众多移动警务应用无法访问融合通信服务，融合通信资源没有被充分共享应用。

依据“十四五”国家和公安信息化规划，各地公安机关相继开展移动警务平台升级和公安一体化融合通信研究，规划将多种无线通信手段有机融合、互联互通。结合公安领域无线通信、移动警务和融合通信等方面的发展现状，以政策规划为导向，按照通信资源服务化的设计理念构建基于微服务的多网络融合通信平台。系统借助移动警务平台综合多种无线通信系统的通信业务能力，屏蔽各种通信手段的底层差异，以标准化接口横向融合、上下贯通，采用微服务架构对多种通信系统的通信业务能力做服务化改造，将丰富的通信资源统一接入移动警务平台，集中配置、统一调控，采用服务总线技术把通信服务能力用统一服务接口方式提供给上层各业务系统调用，为公安移动应用提供融合通信服务能力，为各警种提供优质服务，满足用户警务实战中快速、高效地指挥调度和智能协同作战的迫切需求。

一、整体架构

基于微服务的多网络融合通信平台采用分层设计理念，逻辑结构分为基础支撑层、融合汇聚层、通信总线层、业务应用层。

其中，基础支撑层是系统运行的网络和设备基础，包括多种无线通信网络和各类移动终端。通信网络包括公安移动信息网、视频专网、PDT集群专网、宽带集群专网等。移动终端包括移动警务终端、PDT终端、宽带终端、执法记录仪、网关终端等。

融合汇聚层实现对不同通信网络提供的各项通信能力进行融合。通过公安移动信息网连通PDT集群专网、宽带集群专网以及视频专网实现网络互联，实现不同制式通信网络之间的信令协议转换、音视频媒体编解码、音视频数据加解密、用户号码规则转换、QoS服务等级映射、业务接入控制以及路由寻址功能，解决不同制式通信系统之间数据、音视频业务交互对接的问题。融合汇聚层负责对不同通信系统的通信资源做服务化改造，形成音视频点呼服务、集群对讲服务、移动视频服务、位置服务、即时通信服务、视频会商服务等丰富融合通信服务集群。

通信总线层负责将多种融合通信服务统一接入移动警务平台，集中配置、统一调控，负责融合通信服务的全生命周期管理，把通信的能力用统一通信服务接口的方式提供上层各业务系统调用，为移动警务应用提供安全可信、标准统一的融合通信服务。通信总线层提供低时延、高通量的业务数据传输通道，支持授权访问服务应用模式，保障音视频业务和媒体数据安全可信传输，支撑通信资源共享使用。通信总线层负责不同网域之间的通信业务能力转发，支持部省市多级级联组网，完成上下级之间互联互通和通信业务能力转发。通信总线层提供身份和访问控制功能，阻止服务请求方违规使用融合通信服务，全量记录服务调用者行为，实现日志审计功能，增加网络互联及业务互通的安全性。

业务应用层涵盖多种业务系统和丰富的移动警务应用，通过调用通信总线层提供的统一服务接口获取语音、视频、数据业务通信能力，实现单呼、组呼、即时通信、视频推送、视频会商等多种融合通信业务，承载可视化信息展示以及用户交互功能，快速构建移动指挥调度、移动执法、移动视频应用等多种警务应用。

二、关键技术

基于微服务的多网络融合通信平台采用微服务架构、全双工通信协议、实时传输协议、零信任、路由寻址和协议适配等多项技术，实现多种通信系统对接以及通信资源服务化改造，构建低延时、高通量的传输通道，解决通信资源共享和跨系统路由寻址问题。

（一）通信资源的服务化改造和治理

采用微服务架构技术整合无线通信网的音视频业务资源，形成多种基础共性融合通信服务，再将通信服务能力统一接入移动警务平台，统一管控服务全生命周期。微服务架构具有构建简单、松耦合、高可伸缩和高扩展性等优点，能保障各融合通信服务稳定可靠、弹性扩展、易维护。利用微服务化技术对各通信网络的通信资源进行服务化改造，生成语音融合服务、视频融合服务、位置融合服务等各种融合通信服务，将融合通信的能力以标准统一的服务接口的方式提供给移动应用调用，服务使用方使用各项通信服务能力时不需要关注不同制式网络之间的协议差异、功能差异和接口差异。

（二）低时延、高通量的授权访问通道

采用全双工通信协议、实时传输协议和零信任安全思想构建低时延、高通量的授权访问通道，保障通信能力提供者与通信服务使用者之间安全、高效对接，保障融合通信能力被各业务系统高效共享使用。全双工通信协议支持客户端和服务器之间双向数据传输，允许服务端主动向客户端推送数据，实时进行通讯，相对于请求服务模式时延明显更少。实时传输协议提供端到端网络传输功能，为具有实时特性的音视频数据提供端到端交付服务，支撑音视频通信服务资源和媒体流等非结构化数据的实时传输。为保障融合通信服务数据安全可信传输，引入零信任技术，基于永不信任、始终验证的原则对设备、用户和网络流量进行认证和鉴权，基于身份认证和授权构建动态访问控制机制，依据应用需求设置最小化访问权限，以数据为核心构建微分段安全域，确保授权访问通道的身份认证和应用鉴权功能不缺失。

（三）跨系统路由寻址

整合现有异构集群通信网络的号码资源，基于统一用户解决跨系统路由寻址。各种通信系统有各自独立的一套号码体系，没有统一的号码规则，为构建一体化的融合通信平台，系统整合现有各种通信网络的号码资源和编号规则。基于用户身份建立统一的号码标识，以便进行高效的呼叫路由寻址。号码标识分为三个部分，分别为区号段、归属段、业务码段，区号段可以用来区分身份号码所属地区，归属段可以用来区分身份号码隶属的通信系统，业务码段可以用来区分身份号码不同身份。

（四）各通信系统间的通信对接

不同制式通信网络之间存在协议差异、功能差异和接口差异，融合通信需要实现各通信系统间的通信对接，完成不同制式通信网络之间的协议转换、音视频编码格式转化、数据加解密处理等适配工作。本系统在对接不同的通信系统时，需遵循对接系统使用的协议和接口，如表1所示。

?

三、功能实现

基于微服务的多网络融合通信平台主要包含通信总线、融合汇聚和融合通信业务三方面功能，如图2所示。

（一）通信总线功能

通信总线功能主要包括通信服务管理功能和业务通道管理功能。

通信服务管理功能负责通信资源微服务化治理，实现对融合通信服务的全生命周期管理，包括服务注册、审核、发布、更新、下线等全生命周期管理，并将服务信息统一存储于资源服务目录中。借助服务目录信息进行服务路由调度，接收到服务调用者的服务请求后，按照路由表进行路由匹配，匹配成功后按照路由规则引导请求寻址至对应的服务提供者处理该请求，并将服务响应结果传输给服务调用者。

业务通道管理功能为通信业务提供低时延、高通量、大数据量的资源共享通道，支持授权访问服务应用模式，负责将融合通信服务能力输出，为移动警务应用提供融合通信服务访问通道。业务通道由数据请求通道、通知消息通道和媒体流通道三个子通道构成。数据请求通道支持请求响应式访问方式，支持HTTP通信协议。通知消息通道是终端侧和服务端侧之间双向通信通道，支持WebSocket通信协议，服务端侧可以接收终端侧发送的请求数据，还可以主动将服务端侧的数据推动到终端侧。媒体数据通道支持媒体数据端到端传输，支持RTP通信协议，发送端发出的数据包携带访问凭证，接收端验证访问令牌合法性。三个子通道在业务上相互依存关联，形成逻辑层面的通信资源共享通道，在身份与访问控制功能的配合下，保障融合通信服务信令面和数据面的安全可信。

（二）融合汇聚功能

融合汇聚功能主要包括通信对接功能和资源聚合功能。

通信对接功能负责与不同通信系统对接互通，主要完成协议适配、音视频编解码转化、数据加解密处理，支持按需灵活扩展协议适配类型或SDK对接模块，支撑集群对讲系统、会议系统、视频监控系统等接入多网络融合通信平台。

资源聚合功能包括用户统一账号管理、业务接入控制管理和呼叫路由寻址管理。

（三）融合通信业务功能

融合通信业务包括语音业务、视频业务、数据业务和会商业务四类业务功能。语音业务包括语音单呼、语音组呼功能。视频业务包括视频点呼、视频上传、视频监控、视频分发功能。数据业务包括短信、彩信、GIS订阅及上报等功能。会商业务包括会议相关的创建、发起、加入、会议控制等业务功能。

四、安全机制

多网络融合通信平台的安全机制以移动警务应用支撑平台的统一认证、统一授权为基础，遵循零信任安全体系的全面身份化、最小授权、动态访问控制原则，采用国密算法的鉴权和加密手段，实现网络隐藏、身份认证和授权管理、动态访问控制、安全态势评估和风险阻断、加密传输和日志审计等安全能力，保障系统信息安全。

（一）网络隐藏

在网络环境中隐藏服务器主机地址，只有通过认证的设备才可以访问服务网络，不响应未通过认证的设备请求，最小化服务接口暴露面，可有效防范扫描、漏洞、DDos攻击等多种安全风险。

（二）身份认证和授权管理

对于用户、终端、设备、应用、后台服务，提供身份信息的全生命周期管理、身份属性定义和身份标识管理，通过对接移动警务应用支撑平台的统一认证，完成用户、设备、应用等主体的身份认证管理。授权管理以应用支撑的统一授权为基础，对用户使用应用、应用访问数据、终端接入网络的权限进行统一管理，为鉴权服务请求提供依据。

（三）动态访问控制

基于可信的身份认证和授权，构建安全的访问控制。通过解析服务请求数据识别设备身份、用户身份、应用身份和业务类型，依据已有访问控制策略对服务请求对象进行身份验证和权限检查，受理合法请求，对于越权访问予以拒绝。访问控制既支持对应用的权限审查，也支持对访问发起用户的权限检查，确保用户合法使用应用，应用合法访问资源，保障服务访问安全。基于永不信任、始终验证的原则对所有的设备、用户和网络流量进行认证和鉴权，所有访问源在接入网络和发起访问请求前，需要先经过身份验证和鉴权，未通过验证授权的访问主体看不到服务资源，无法调用融合通信服务。

（四）安全态势评估和风险阻断

在调用者访问通信服务过程中持续信任评估，根据用户、设备、行为、路径等多个方面的信息进行检测和判断，持续监控和测量系统的安全状态，对各类环境风险进行判断和响应，对发生的风险事件采取相应控制措施，阻断风险。风险事件的识别依据自身预置的风险识别策略或授权策略进行自我风险识别。

（五）加密传输

支持信源加密和信道加密等安全功能，有效防止数据传输时被截获监听及破解篡改。

（六）日志审计

所有访问信息必留痕，实现操作可追溯，全量记录服务调用者行为，提供审计功能。

五、在公安指挥调度中的应用

聚焦公安指挥调度的实战需求，基于微服务的多网络融合通信平台把PDT集群专网、宽带专网、4G/5G公网等多种通信方式融为一体，把移动警务终端、PDT对讲机、执法记录仪、智能宽带终端、无人机等设备安全有效连接在一起，不同系统和终端间互联互通，将音频、视频、数据进行融合和联动，从单纯语音调度向多媒体多业务融合调度演进，业务部门在指挥调度工作中，不再需要来回切换系统、不停更换通信设备和手段。

在应急事件现场，分散在不同网络的警员之间可以通过移动警务终端、PDT对讲机、执法记录仪等设备直接沟通、统一会商，实现全员对事件信息的共享，通过设备及时上报现场情况、位置信息和音视频画面等多维度数据，指挥中心获取及时、准确、客观的信息，对各类型信息变化进行全方位的可视化监控，全面直观掌握现场态势、聚焦紧迫险情、辅助快速决策，利用一键调度、一体联动、一屏统览、一呼百应、地图定位等综合指挥调度功能，达到即时接报、迅速调度、快速解决的警务实战效果。

六、结语

本文对基于微服务的多网络融合通信平台的整体架构、关键技术、功能实现、安全机制以及应用效果进行了分析和介绍。平台依托移动警务将多种无线通信手段有机融合，打破通信壁垒，实现了跨网络、跨平台、跨系统的通信业务互通以及资源高效共享，统一标准的通信服务接口简化移动警务应用对接开发工作，丰富公安可视化指挥调度的通信渠道、终端类型，提升指挥命令通达范围、渠道和效率，帮助公安客户实现高效沟通和协同作战，提升民警工作效率。本平台设计思路可以为各地公安机关融合通信系统建设提供参考借鉴，推动警务应用深入发展。