公安移动警务系统解决方案.doc

《公安移动警务系统解决方案.doc》由会员分享，可在线阅读，更多相关《公安移动警务系统解决方案.doc（77页珍藏版）》请在麦多课文档分享上搜索。

1、 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 1 页 共 75 页 移移 动动 警警 务务 系系 统统 解解 决决 方方 案案 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 2 页 共 75 页 目 录 目 录 2 1. 引言 . 4 2. 系统概述 . 6 2.1. 系统描述 6 2.2. 系统应用形式 7 2.3. 设计原则 7 2

2、.4. 设计依据 8 2.5. 技术路线 9 3. 系统总体架构 10 3.1. 系统组成 10 3.2. 系统总体架构 11 3.3. 系统接入模式 12 3.4. 系统网络拓扑 14 3.5. 系统应用示意 17 4. 系统功能描述 18 4.1. 移动警务安全接入平台 18 4.1.1. 安全体系 18 4.1.2. 安全功能实现 20 4.2. 移动警务应用平台 41 4.2.1. 短消息终端应用 41 4.2.2. GPRS/EDGE/WCDMA 在线终端应用 . 45 4.2.3. 笔记本终端在线应用 58 4.3. 移动警务信息管 理平台 59 5. 系统配置清单 60 5.1.

3、 硬件配置清单 60 5.2. 软件配置清单 62 5.3. 设备选型参考表 63 6. 系统建设 65 6.1. 建设模式 65 6.1.1. 公安系统出资建设 65 6.1.2. 运营商出资建设 65 6.1.3. 合作建设模式 65 6.2. 机房建设要求 65 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 3 页 共 75 页 6.2.1. 机房基本要求 65 6.2.2. UPS 电源 66 6.2.3. 机房空调 66 6.2.4. 机房防雷 67 6.

4、2.5. 接地系统 67 6.2.6. 消防系统 68 6.3. 实施安排 68 6.3.1. 项目分工 68 6.3.2. 进度安排 69 7. 售后服务 72 7.1. 售后服务承诺 72 7.2. 培训方案 72 7.3. 培训具体安排 72 7.4. 培训相关事宜 73 8. 力扬视讯移动警务系统特点 . 74 8.1. 安全可靠 74 8.2. 双向协同 74 8.3. 支持多媒体 75 8.4. 应用全方位 75 8.5. 功能积木式 75 附：力扬视讯公司简介 . 76 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)6297153

5、1 / 62971532 传真 :(010)82781836 第 4 页 共 75 页 1. 引言 近几年来，随着科技强警战略的实施和“金盾工程”建设的开展， 各地公安行业 在治安、刑侦、交巡警等部门分别建成了各自的信息管理系统，这些信息系统的建设和应用，提高了公安信息资源的综合利用水平，为公安各部门之间实现信息共享提供了数据基础。针对基层民警的警务活动具有移动性强、突发性强、任务紧急性强等特点，民警在实战中更多地是在移动的状态下来面对不同警情和大量复杂信息进行综合性分析，因而迫切需要公安信息应用向无线方向延伸。 根据公安在工作中面临的问题和现实需求， 公安部门早在 2003 年 就 建 设了

6、一套通过手机短信息进行公安信息查询和传递的公安移动警务应用系统，但是随着计算技术和通信技术的发展，以及公安业务对新的技术手段（图片、图像）的应用，现有的短信警务系统已经不能满足 公安行业 日益增长的信息查询、上传以及各种图片图像资料的传递需求。所以，如何在新的形式下，为 公安一线民警配备一种便于携带、操作简单又能解决实际问题的移动警务信息终端，一线民警工作时可使用手持终端通过 GPRS/EDGE/WCDMA 网络接入公安信息网，进行警务信息的查询、传 递和交互，实时对现场数据进行采集、与数据可数据进行比对以及对现场事故进行处罚处理等操作，实现民警现场执法取证和源头化管理。提高一线民警的工作效率

7、、减轻工作压力，更好的服务于城市的社会管理和交通管理。 同时由于一线民警需要查询和交互的警务信息运行于公安信息网中，这就需要民警使用移动终端通过移动公网访问公安信息网的公安、车辆信息系统进行信息和数据的交互。这样一个数据存取和交互的过程将给公安信息系统带来可能的隐患： 在基于公用 移动 通信网络的 民警信息交互过程 中，非法用户在能够接收到无线移动信号的任何地方都可以通过公共 移动网络发起对 公安信息网 的攻击，无须授权即可使用网络服务，这不仅会占用宝贵的无线信道资源，降低合法用户的服务质量，并且别有用心的人还可以利用这一漏洞进入到 公安信息网 内部窃取敏感信息 ，给公安工作增加可怕地隐患和危

8、险 。 因此，要实现和满足公安行业移动应用的要求，首先要解决好移动设备的安保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 5 页 共 75 页 全接入和信息的安全交互问题。 建立符合公安部要求的安全接入系统，通过实时在线方式等多种通讯方式和接入方式下，完成终端通过公网接入，实现公安信息网基于 GSM/GPRS/EDGE/WCDMA 等公网的移动延伸和拓展，可满足警务信息的查询 、录入需求，完成公安信息综合查询、刑侦信息、交通管理、社区警务等基本警务功能。 本方案将依据

9、国家相关政策、法规和标准、规范，仅仅围绕公安行业移动信息化需求，结合我公司多年来在公安行业移动应用建设积累的宝贵经验进行描述，供系统建设单位决策、参考。保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 6 页 共 75 页 2. 系统 概述 2.1. 系统描述 公安信息移动接入及应用系统通常称为“ 警务通”，是公安信息综合业务系统的无线延伸，依托公用移动通信网络（ GSM/GPRS/CDMA/3G）为通道，以便于携带的手机、 PDA、笔记本电脑为终端，通过多媒体（包括文

10、本、图片、语音、视频等数据）形式，在保障安全的前提下，实现公安综合业务信息的无线沟通和无线传递 ,使公安信息能够覆盖凡是移动通信网络通达的任何地方，达到公安部“三 A”要求，即：任何地点，任何时间及任何方式都能够保障信息畅通，是金盾工程的重要建设内容之一。 公安信息移动接入及应用系统是科技强警的具体体现。系统投资经济、应用广泛，既可以通过支持 GPRS/EDGE/WCDMA 无线传输功能的智能手机、 PDA 和笔记本电脑，实现实时在线的综合查询和业务处理；也可以利用现有装备更换一 枚安全手机卡 ,为每个公安干警提供移动警务信息服务。系统可使公安干警如虎添翼，大大提升工作效率，在维护治安、震慑犯

11、罪、服务百姓等方面发挥巨大的作用。 整个系统分为移动 警务安全 接入平台和移动警务 应用平台两部分。技术规范和标准符合公安部下发的公安信息移动接入及应用系统建设技术指导书 和 移动警务 B/S 应用安全接入规范 的规定。 移动 警务安全接入平台 采用由国家密码管理局批准生产的 , 由公安部信通局主持， 力扬视讯 承担研发的“ SQY42 公网移动接入及安全认证系统”。该系统采用国家密码管理局配发的公安专用密码算法；采用 符合国家商用密码产品标准保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010

12、)82781836 第 7 页 共 75 页 的 安全 SIM 卡、安全智能 TF 卡、 USB 安全存储加密卡 等终端产品；终端设备可采用普通手机、智能手机、 PDA、专用设备、笔记本电脑等。共分为三种接入模式： SQY42 A 短消息安全接入系统、 SQY42 B GPRS/CDMA 安全接入系统、SQY42 C IP 安全接入系统。 移动警务应用平台 根据公安业务的需要确定功能。目前， 移动警务 主要的应用功能包括：公安信息综合查询及业务查询功能、交通违法信息实时录入与处理功能、社区警务功能、治安警务功能、短信群呼和协查通报功能、公安信息公众服务功能、公安信息自动语音查询功能等，其中公安

13、信息综合查询是移动警务必须提供的基本功能。整个系统由系统硬件、系统软件和应用软件组成。 2.2. 系统应用形式 1、应用方式： 手机短消息应用 GPRS/EDGE/WCDMA 实时在线应用 无线 笔记本实时在线应用 2、安全接入方式 短消息安全接入 GPRS/EDGE/WCDMA 安全接入 IP 安全接入 3、支持终端类型 普通手机 智能手机、 PDA 无线 笔记本 及上网本 车载终端 2.3. 设计 原则 标准 化、 规范化原则 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781

14、836 第 8 页 共 75 页 系统 设计 严格遵循公安部、省公安厅相关政策、法规和标准、规范。 保密安全性原则 系统 设计 依照公安部相关要求，建立严格、可靠的安全管理机制 ，确保 系统的高安全性。 稳定高效性原则 系统 设计 采用先进的技术手段和体系架构， 确保产品的高稳定性和高效性。 先进兼容性原则 系统 设计 充分考虑设备、终端的异构性、高中低端 需求，能够尽可能多的兼容现有设备、终端。 便捷可扩展性原则 系统 设计 便于 用户 使用，不需要进行长期、复杂的培训即可方便应用。同时系统建设要具有一定的扩展性，以满足不同用户的个性化需求。 统一规划、分步实施 原则 系统建设宜采用统一规划

15、，分步实施的建设原则。 逐步完善、分步实施来完成公安信息的 应用，以应用带发展，以效益促应用，逐步实现公安信息移动应用的各种功能。 2.4. 设计 依据 公安信息公网移动接入及应用系统建设技术指导书及公安信息移动接入及应用系统建设技术指导书管理暂行规定（公信通 2006541 号） 移动警务 B/S 应用安全接入规范 国家密码管理局商用密码产品使用管理规定（ 2007 年第 8 号文） 金盾工程总体方案设计 金盾工程安全保障体 系总体设计方案 公安部综合查询系统建设任务书 公网（ GPRS/CDMA）移动应用信息系统试点项目实施方案 公网（ GPRS/CDMA）移动应用信息系统试点建设任务书

16、公安部 69 号令道路交通安全违法行为处理程序规定 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 9 页 共 75 页 公安部 111 号令机动车驾驶证申领和使用规定 公安部 72 号令机动车登记规定 2.5. 技术路线 系统采用了基于 SOA 架构的 web service 和移动 VPN 技术相结合的第三代移动访问技术，使得系统的安全性和交互能力有了极大的提高。 系统同时融合了无线接入、身份认证、信息加密等多种移动通讯、信息处理和计算机网络的最新的前沿技术，以专

17、网和无线通讯技术为依托，为一线值勤警务执法人员提供了一种跨业务数据库、跨地理阻隔的现代化移动办公机制。 建立全方位、多层次的安全服务体系，确保系统的身份认证、访问控制、信息安全、网络隔离、日志审计、病毒防范以及系统管理的安全机制。 采用多层应用体系结构，采用中间件、组件等先进技术来进行移动终端应用程序、接入系 统管理平台、后台信息交换系统的建设。 具有丰富的移动接入终端支持，提供通用普通手机、智能手机、 PDA、笔记本等多种模式的 警务通 应用。 系统严格按照公安信息公网移动接入及应用系统建设技术指导书 、公安信息移动接入及应用系统建设技术指导书管理暂行规定 及 移动警务 B/S应用安全接入规

18、范 进行设计，采用通用的标准和接口规范，可无缝集成不同厂商的应用系统，具有良好的扩展性和兼容性。保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 10 页 共 75 页 3. 系统 总体架构 3.1. 系统组成 移动警务安全 接入及应用系统 由 移动终端、移动通信网、移动接入区、安全隔离区 、公安信息网 等五大部分组成。 移 动 终 端移 动 通 信 网移 动 接 入 区安 全 隔 离 区公 安 信 息 网图 3.1 移动警务安全 接入及应用系统组成示意图 移动 终端

19、： 包括 普通手机、 智能手机、具备无线功能的 PDA、便 携电脑、车载移动设备等可移动的终端； 移动通信网 ： 采用 基础运营商 的 GSM/GPRS/EDGE/WCDMA 移动通信网络 ； 移动接入 区 ： 由移动 接入服务平台和移动应用服务平台组成，实现移动安全接入及移动应用服务； 安全隔离 区 ： 是采用经国家保密部门认证并由公安部有关部门同意使用的安全隔离产品； 公安信息网 ： 为移动应用提供信息和服务支持。 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第

20、11 页 共 75 页 3.2. 系统总体架构 图 3.2 移动警务安全 接入及应用系统 总体架构 第一层是 终端接入层： 包括 公安信息移动应用所使用 的普通手机、智能 手机、PDA、车载移动设备、便携电脑等各种移动终端设备。 第二层是移动通信网络 ： 采用 基础运营商 的 GSM/GPRS/EDGE/WCDMA 移动通信网络 。 第三层是移动 接入 服务 平台 ， 负责警务移动终端的安全接入，同时将移动终端的各种业务请求传递到接入网的应用服务平台，并转换成网络安全隔离设备要求的数据格式，提交给网络安全隔离设备，进入公安内网的应用服务平台实现直接访问服务，同时还提供身份验证、安全审计、防病毒

21、、入侵检测等网络安全服务。 第四层是放在移动接入网内的移动应用服务平台，位于网络安全隔离层外，由网络安全隔离数据接口、移动接入服务平台数据接口、统一移动终端验证、用户身份认证代理、数据包封装 /解析、会话管理、安全审计、数据接口、服务接保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 12 页 共 75 页 口、系统管理等功能模块构成，负责处理来自移动接入平 台的移动应用请求的转递和应答。 第五层是网络安全隔离层，它使得公安信息网与移动接入网在任何一个时刻都不会直接相互

22、连接。它在实现公安信息网和移动接入网的隔离的同时，还负责公安信息网和移动接入网之间的数据传递和转发。 第六层是放在公安信息网内的移动应用服务平台和移动数据同步模块。位于网络安全隔离层内，移动应用服务平台响应并处理来自移动接入网的移动应用请求，移动数据同步模块向外网应用数据库提供数据。移动应用服务平台依托各类公安信息应用系统，共同完成各种移动业务的处理。公安信息移动接入及应用系统也可通过请求服务或者 数据接口的方式获得公安信息网内已有应用系统的服务支持。 第七层是应用支撑平台，它是面向应用程序的，是为应用系统提供运行环境。应用支撑平台中的认证系统对用户提供统一认证，实现一点登录全网漫游。 第八层

23、是系统运行环境：包括计算机网络、主机、数据库、应用中间件环境，它为公安公网移动接入及应用系统提供了物理上的保证。 图中左、右、中三部分分别为安全保障体系、运行管理体系和标准规范体系，它们始终贯穿于该图的各个层面。对各层面的访问操作、运行管理、开发设计进行有效的控制和规范，保证和维护各个层次正常有序地工作。 3.3. 系统接 入模式 A 模式 ：移动应用所需的数据放在移动接入网内，移动终端只能访问移动接入网内的数据，移动接入网数据通过数据同步更新机制完成数据更新；该模式有较好的系统响应性能，但由于移动接入网内数据库和公安信息网内数据库之间要通过网络安全隔离设备定时刷新、同步，所以数据的新鲜度和应

24、用范围受到影响。 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 13 页 共 75 页 图 3.3 A 模式应用示意图 B 模式 ：移动应用所需的数据放在公安信息网内，移动终端通过访问移动接入网内的应用代理服务器，获得数据服务；应用代理服务器通过网络隔离设备访问公安信息网；该模式提供信息的新鲜度比较高，应用范围大，它实时获取公安信息网内的数据，通过移动终端采集到的业务数据也能够及时提交到公安信息网内数据库，但由于所有请求和结果都要通过中间的代理服务器和网络安全隔离设

25、备转发，所以，对系统的响应性能有影响。 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 14 页 共 75 页 图 3.4 B 模式应用示意图 综合考虑系统的响应性能以及数据的新鲜度和应用范围，本系统建设中应将A、 B 两种接入模式组合使用，一般查询类使用 A 模式， 如综合查询等业务， 所需的数据放在 设置于 移动接入 网 内 的数据库服务器中，终端可直接访问 接入区内的数据，有较好的系统响应性能； 考虑到业务处理时对实时性的要求，对 业务处理类 应用 使用 B 模

26、式 ： 应用所需的数据放在公安信息网内， 终端通过访问 接入区内的应用代理服务器，获得数据服务，应用代理服务器通过网络隔离设备访问公安信息网。 这种模式 提供信息的 新鲜度比较高，应用范围广，它实时获取公安信息网内的数据，通过 终端采集 到的业务数据也能够及时提交到公安信息网内数据库，但由于所有请求和结果都要通过中间的代理服务器和网络安全隔离设备转发，所以，对系统的响应性能 稍 有影响。 3.4. 系统网络拓扑 依据 公安信息公网移动接入及应用系统建设技术指导书及公安信息移动接入及应用系统建设技术指导书管理暂行规定（公信通 2006541 号） 、 移保密 地址 :北京市海淀区上地五街 7 号

27、昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 15 页 共 75 页 动警务 B/S 应用安全接入规范 ，公安移动警务安全接入及应用系统的网络拓扑结构如下图所示： 图 3.5 移动警务安全 接入及应用系统 网络拓扑 由上图可以看出，移动警务安全接入与应用系统 由 移动 接入终端、移动通信网络、安全 接入区、安全隔离区 与 公安信息网 等五大部分组成。 移动警务安全接入和应用设备包括移动终端与安全组件 （安全 SIM 卡、安全智能 TF 卡、 USB 安全存储加密卡、车载密码卡） 、防火墙、接入网关群组、 B

28、/S应用管理系统 、 B/S 应用代理 系统、设备证书管理中心、鉴别评估管理系统、隔离网闸、监控管理探针、监控管理与级联系统 、移动应用服务器群组和数据应用代理 系统 。上述设备分为移动警务安全接入设备和移动警务应用设备，其中安全接入设备又分为专用安全设备和通用安全设备。 专用安全设备包括终端安全组件、接入网关、 B/S 应用管理系统 、 B/S 应用代理系统、鉴别评估管理系统、监控管理探针、监控管理与级联系统等。其中，保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第

29、16 页 共 75 页 终端安全组件、接入网关、鉴别评估管理系统构成的加密传输系统已经 获得国家密码管理局批准的商用密码产品型号证 书，所有专用安全设备严格 遵循公安部科技信息化局的相关技术规范，并通过 了 公安部科技信息化局的认可和备案。 通 用安全设备包括防火墙、设备证书管理中心、隔离网闸等，这些设备均采用已获得计算机信息系统安全专用产品销售许可证和 商用密码产品型号证书 的厂家品牌，并经过公安部相关部门 认可 。各地公安认为必要时，可以增加其它的安全防护设备。 该网络拓扑结构有如下特点： 网络边界划分明确，在每一个网络边界都提供良好的安全保障 ； 当地 基础运营商 对公安移动查询用户提供

30、了专用虚网，只有绑定的手机用户才可以连接到公安移动应用服务网络 ； 公安移动接入网络通过路由器和专线连接到当地 基础运营商 的移动服务主干网络 ； 公安移动终端用户拨号到专用 APN，经当地 基础运营商 提供的虚拟专用私网连 接 到公安移动接入网；当地 基础运营商 给公安移动接入网服务器分配的 IP 地址是私网地址，不是公网地址，无法直接和Internet 相连，这种方式的优点是加强了系统的安全性，不会直接受到互联网用户的攻击 ； 公安移动接入网中的移动应用服务器受到 SQY42 安全接入系统 的接入保护，没有经过认证的移动终端即使能连接到接入网，也无法访问相应的应用服务 ； 移动接入网和当地

31、公安信息网通过 安全隔离与信息交换系统 实现逻辑隔离，保证公安信息网络不受外部攻击 ； 这种方案充分利用了当地 基础运营商 的安全措施，但系统的安全性能主要靠 终端安全组件、安全接入系统 、 安全隔离与信息交 换系统等设备的保护，符合公安部的指导思想。 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 17 页 共 75 页 3.5. 系统 应用示意 图 3.6 力扬视讯 移动警务安全接入平台应用示意 首先，配置了安全加密卡和安装了安全客户端的各类移动终端通过移动通信网

32、络以不同的通信方式（短消息、 GPRS/EDGE/WCDMA 在线 ）通过终端发送链接请求； 安全接入网关在收到终端的连接请求后，在 鉴别评估管理系统 的配合下对移动终端进行身份认证； 终端身份认证通过后，安全接入网关与移动终端协商会话密钥（即本次通信采用何种加密算法 ，通常采用国密算法 SM1。 ）； 密钥协商完成后，安全接入网关建立了一条移动终端到 移动 应用服务器之间的加密安全通道； 通过部署在 移动 应用服务器的各类应用服务模块，移动终端和 移动 应用服务器之间实现了数据的安全通信和传输。 同时，针对笔记本终端的可信安全防护，根据公安部及用户的实际安全要求，配置一定的安全防护策略， 鉴

33、别评估管理系统 通过部署在笔记本终端的可信终端安全防护程序实时监测笔记本终端的运行情况，及时阻止笔记本的非法行为。保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 18 页 共 75 页 4. 系统功能描述 公安信息移动 接入及应用系统通常称为“警务通”，是公安信息综合 业务系统的无线延伸，依托公用移动通信网络（ GSM/GPRS/EDGE/WCDMA）为通道，以便于携带的手机、 PDA、笔记本电脑为终端，通过多媒体（包括文本、图片、语音、视频等数据）形式，在保障安全的

34、前提下，实现公安综合业务信息无线沟通和无线传递，使公安信息能够覆盖凡是移动通信网络通达的任何地方，是金盾工程的重要建设内容之一。 根据公安部下发的公安信息移动接入及应用系统建设技术指导书和 移动警务 B/S应用安全接入规范 中的技术规范和标准，通过对公安行业对移动应用的真实需求，整个系统分为 移动警务 安全接入平台 、 移动警务 应用 平台 、 移动警务 信息管理 平台 三 部分。 4.1. 移动警务 安全 接入平台 移动警务 作为公安这一特殊行业信息的移动应用 ,保障其信息传输的安全是系统建设的首要条件。公安部公金盾 2004 240号关于做好公安信息移动接入及应用系统安全建设的通知明确指出

35、：“公安信息化和公安工作的特点决定了公安机关建设公安信息移动接入及应用系统的必要性，要建设移动接入及应用系统就必须解决好安全和加密问题。” 4.1.1. 安全体系 由于终端的移动性、使用场景的开放性和不可监督性、无线传输安全的脆弱性、网络环境的复杂性，这就要求移动警务安全接入采用包括“终端加固”、“信道加密”、“认证接入”、“访问控制”、“网闸隔离”、“级联监控”和“安全管理”等七大安全措施，见图 4.1。七大安全措施环环相扣，缺一不可，共同构成独立完整的安全接入体系。 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 629

36、71532 传真 :(010)82781836 第 19 页 共 75 页 图 4.1 公安信息公网移动接入安全体系架构 终端加固。 基于硬件密码对终端进行安全加固，保证终端计算环境、资源和网络访问的安全和控制。 信道加密。 基于我国密码管理局批准公安机关专用的密码算法实现移动终端到移动接入区端到端的通信加密，保证公安信息在传输过程中的机密性和完整性。加密信道建立在 基础运营商 提供的辅助安全措施（ APN）之上。 认证接入。 基于移动警务身份证书实现移动终端和移动接入区接入设备之间的双向身份认证，保证持有合法身份证书的移动终端才能接入移动接入区，防止合法移动终端接入非法网络。 访问控制。 在

37、移动警务 B/S 应用模式下，访问控制保证公安信息网资源只能被授权的终端访问，并对异常的访问进行阻断。 网闸隔离。 实现 移动接入区和公安信息网之间的网络隔 离。针对移动警务B/S 应用模式，对 出入公安信息网的 HTTP 数据进行协议剥离和内容过滤 ；针对移动警务 C/S 应用模式，实现移动接入区和公安信息网之间的 数据信息交换。 安全管理。 对移动警务系统的安全策略进行统一管理，保证系统安全策略的安全性和一致性。 级联监控。 对移动警务系统进行统一监控、审计和管理，发现系统异常，及时调整系统安全策略，确保整个系统的安全。向移动警务监管中心上报相关信息。保密 地址 :北京市海淀区上地五街 7

38、 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 20 页 共 75 页 4.1.2. 安全功能实现 力扬视讯 移动警务 安全接入平台围绕 SQY42 安全体系，从可信终端、终端接入、安全认证与管理、网络监管、边界安全等方面建立起了多层次、全方位的安全接入平台。保证了整个平台从终端接入、终端访问、通信应用、网络行为等的整体安全。 4.1.2.1. 移动终端 安全 移动终端安全主要通过配备移动终端安全 组件 来保证终端的安全可信。 针对普通手机、智能手机或 PDA、笔记本、车载终端等不同类型的移动终端，我公司

39、分别生产了 安全 SIM 卡 、安全 智能 TF 卡 、 USB 安全存储加密 卡 、车载加密卡等安全组件。 安全 SIM 卡 、安全 智能 TF 卡 、 USB 安全存储加密 卡 、车载加密卡是 SQY42安全接入系统的重要组成部分，也是 SQY42 系统的基本组成部分。作为移动终端的安全承载模块， 安全 SIM 卡 、安全 智能 TF 卡 、 USB 安全存储加密 卡 、车载加密卡不仅配合后台 鉴别评估管理系统 完成移动终端的安全接入与身份认证功能，还与 SQY42 密码机共同完成信息传送中的加解密功能；同时负责移动终端的通讯功能，包括语音、短消息、数据传送、 IP 包形式的无线上网等移动

40、终端的正常通讯功能。 4.1.2.1.1 手机终端安全 一、 手机终端分类 移动终端是移动警务应用的具体承载者之一，主要包括：手持设备、车载专用终端和笔记本三类。手持设备包括：普通手机、智能手机 /PDA 和专用手持设备等；车载专用终端指配置在标准警用巡逻车上的专用信息终端设备；笔记本指笔记本电脑和各种上网本。 1、 手机终端 按照手机功能可以分为： 普通手机： 具备基本的短信、语音通话功能。 智能手机 /PDA： 拥有操作系统平台和丰富的扩展接口，支持存储扩展卡、蓝保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971

41、532 传真 :(010)82781836 第 21 页 共 75 页 牙、 GPRS 等基本功能。 2、按照使用的移动网络类型，手机终端又可分为： GSM 手机终端： 指支持并使用 GSM 网络的手机终端。 GRPS 手机终端： 指支持 GPRS/EDGE 网络的手机终端。 3G 手机终端： 指支持 WCDMA 网络 的手机终端。 3、按照手机终端所使用的操作系统类型，手机终端又可分为： Windows Mobile 手机终端： 指使用 Window Mobile 操作系统的手机终端，系统目前支持 Window Mobile5.0 以上版本。 Window CE 手机终端 ： 指使用 Win

42、dow CE 操作系统的手机终端 ，系统目前可支持 Window CE 6.0 以上版本。 Symbian 手机终端 ： 指使用 Symbian 操作系统的手机终端 ，系统目前可支持Symbian S60 第 3 版。 Andriod 手机终端： 指使用 Andriod 操作系统的手机终端 。 其它手机终端： 指使用其它操作系统的智能手机终端，如 使用 Linux、 Briew等操作系统的手机终端 。 二、移动终端安全组件 移动终端安全组件提供对移动接入的密码服务和系统安全加固功能，包括 终端安全卡 和安全加固组件。移动警务以 B/S 应用模式工作时，必须配置终端安全加固组件。 终端安全卡用于

43、配合各种移动终端完成数据加解密、数字签名和签名验证、消息摘要和消息完整性检验等操作。卡内必须支持商用分组密码 算法 SM1 和RSA 公钥密码算法。为适应不同类型的移动终端，移动警务接入终端安全卡目前有安全 SIM 卡、 TF 和 USB 等接口形式安全卡。 移动 终端 通过安装终端加固组件实现安全防护，安全防护措施不能被旁路或失效。 1、普通手机安全 普通手机安全主要通过配置安全 SIM 卡来实现。 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 22 页 共 75

44、 页 安全 SIM 卡由 力扬视讯 与制卡商共同开发完成，并通过国家商业密码局的安全审核，除具备普通 SIM 卡的正常通讯功能外，在卡上集成了加密芯片与身份认证芯片，负责完成 SQY42 安全接入系统中的 -A 短消息子系统安全接入功能，负责移动终端端的身份认证与数据加解密的工作。 安全 SIM 卡中采用国家密码管理局对 SQY42 系统审核批复的商业密码算法，符合国家对信息公网安全移动接入的规定与规范。 安全 SIM 卡在不增加终端设备的情况下完成移动数据接入中的短消息、GPRS 方式下的安全接入和移动应用，支持市场上主流终端，无移动接入网络的限制；同时，简单的更换安全 SIM 卡成本投入相

45、对很少，在移动电子政务 /电子商务大面积的应用推广中有很强的优势。 2、 智能手机 /PDA 终端安全 智能手机 /PDA 终端安全主要通过配置 安全智能 TF 卡 来实现。 安全智能 TF 卡是用于对 PC、 PDA、智能终端数据进行安全处理的 TF 卡，与终端配合工作。 安全智能 TF 卡经国家密码管理局安全审查通过，配用 SM1 算法。安全 TF 卡保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 23 页 共 75 页 提供的主要密码服务包括： (1)用于存储个

46、人数字身份证书和签名私钥，为移动终端提供数字签名、签名验证和数据加解密等密码服务； (2)用于实现 SM1 算法和密钥管理，为移动终端提供基于 SM1 算法的数据加解密服务。 智能手机 /PDA 终端配备了安全智能 TF 卡，安装安全客户端软件后，将具备以下功能： 1、用户识别功能 安全智能 TF 卡提供基于 PIN 码的用户识别功能，合法用户可以设置和修改用户口令，非法用户无法通过口令验证，因而也无法使用移动应用功能；此外，PIN 码验证提供防暴力破解功能，口令最多连续重试 3 次，连续 3 次以上错误输入口令将导致安全 TF 卡 PIN 码被锁定。 2、信息安全存储功能 安全智能 TF 卡

47、通过访问控制应提供两个层次的安全存储功能。一种是密钥等关键信息的安全存储，该信息的存储对访问进行了特殊标记；对称密钥信息加密存储，必须通过用户身份识别后才能进行读写。另一种是用户敏感信息的安全存储，只有通过验证的合法用户才能访 问加密信息。 3、密码学运算功能 安全智能 TF 卡主要提供的密码学运算主要有：随机数生成、 SM1 加解密，HASH 计算， HMAC 计算等。支持 1024 位 RSA 算法产生、加解密及签名功能。 4、信息加解密封装 安全智能 TF 卡对需要加解密的信息利用 SM1 密钥和 SM1 加解密功能按照定义的格式进行完整性和机密性封状和解封，该功能实现信息加密。 5、

48、SM1 密钥协商 安全智能 TF 卡通过证书与 SSL 安全接入网关进行身份认证，并用专有的安全认证密钥协商协议进行 SM1 密钥协商，该功能是实现信息加密的基础。 支持终端平台类型： Window Mobile5.0 以上 Symbian S60 第三版 、第五版 Window CE6.0 以上 Brwe3.15 保密 地址 :北京市海淀区上地五街 7 号昊海大厦一层 邮编 :100085 电话 :(010)62971531 / 62971532 传真 :(010)82781836 第 24 页 共 75 页 Andriod1.5/2.0/2.2 4.1.2.1.2 车载终端安全 由于车载终端是通过借助 GPRS/EDGE/WCDMA 网络实现无线安全接入的，可以通过安全客户端通过 SQY42-B 安全接入网关实现安全接入。 车载 终端安全主要通过配置 车载保密卡 来实现。 车载保密卡是专门针对车载移动设备开发研制的具备加密、通信功能的安全保密卡。 除了不具备存储功能外，其它身份认证和信息加解密功能和安全智能TF