|
|
  |
Главная страница / Архитектура отрасли Информационная безопасность в сетях профессиональной мобильной радиосвязиПод безопасностью информации в системах радиосвязи стандарта TETRA понимается исключение несанкционированного использования системы и обеспечение секретности переговоров подвижных абонентов. Стандарт TETRA обеспечивает два уровня безопасности передаваемой информации: стандартный уровень, использующий шифрование в радиоканале, и высокий уровень, обеспечиваемый с помощью сквозного шифрования с применением оригинальных криптографических алгоритмов. Основными механизмами обеспечения безопасности информации в стандарте TETRA являются: аутентификация абонентов; шифрование информации; обеспечение секретности абонентов. Под аутентификацией абонента обычно подразумевают механизм удостоверения его подлинности. Процедуры аутентификации применяются для исключения несанкционированного использования ресурсов системы связи. В стандарте TETRA реализуется концепция аутентификации с использованием шифрования. Общий принцип аутентификации через шифрование состоит в том, что в текст передаваемого сообщения включается пароль, представляющий собой фиксированный или зависящий от передаваемых данных код, который знают отправитель и получатель или который они могут выделить в процессе передачи. Получатель расшифровывает сообщение и путем сравнения получает удостоверение, что принимаемые данные являются именно данными санкционированного отправителя.Обобщенная процедура аутентификации Для выполнения процедуры аутентификации каждый абонент на время пользования системой связи получает стандартный электронный модуль подлинности абонента (SIM-карту), содержащий запоминающее устройство с записанным в нем индивидуальным ключом аутентификации и контроллер, который обеспечивает выполнение алгоритма аутентификации. С помощью заложенной в SIM-карту или в терминал информации в результате взаимного обмена данными между мобильной и базовой станциями осуществляется полный цикл аутентификации и разрешается доступ абонента к сети. Процесс проверки подлинности абонента в сети стандарта TETRA происходит следующим образом. Базовая станция посылает случайное число на мобильную станцию, которая производит над ним некоторую операцию, определяемую стандартным криптографическим преобразованием ТА 12 с использованием индивидуального ключа идентификации абонента, и формирует значение отклика. Это значение мобильная станция отправляет на базовую станцию. Она сравнивает полученное значение отклика с вычисленным с помощью аналогичного преобразования ТА 12 ожидаемым результатом. Если значения совпадают, процедура аутентификации завершается, и мобильная станция получает возможность передавать сообщения. В противном случае связь прерывается, и индикатор мобильной станции показывает сбой процедуры аутентификации. Важно отметить, что в процессе аутентификации, наряду со значением отклика, на основе случайного числа и индивидуального ключа идентификации абонента формируется так называемый выделенный ключ шифра DCK (Derived Cipher Key), который может использоваться в дальнейшем при ведении связи в зашифрованном режиме. Описанная процедура может применяться и для аутентификации сети абонентом. Обычно процедура аутентификации сети абонентом используется при регистрации абонента в определенной зоне сети связи, хотя может вызываться и в любое другое время после регистрации. Соединение обеих процедур определяет взаимную аутентификацию абонента и сети.Процедура аутентификации с использованием сеансовых ключей Описанная обобщенная процедура аутентификации обладает недостатком, обусловленным необходимостью хранения в базовой станции индивидуальных ключей аутентификации всех абонентов. При компрометации одной из базовых станций радиодезинформатор может получить доступ к системе связи. Для решения этой проблемы в системах стандарта TETRA используется иерархическая система ключей, в которой одни ключи защищаются другими. Процесс аутентификации аналогичен изображенному на рис. 1, однако вместо ключа аутентификации применяется так называемый сеансовый ключ аутентификации, который вычисляется по криптографическому алгоритму из ключа аутентификации и некоторого случайного кода. Распределение сеансовых ключей аутентификации по базовым станциям обеспечивается центром аутентификации, надежно защищенным от вероятных радиодезинформаторов. При аутентификации сети абонентом формирование сеансового ключа осуществляется по сертифицированному алгоритму ТА21, а вычисление отклика и выделенного ключа шифра DCK2 – на основе алгоритма ТА22.Шифрование информации Для обеспечения секретности передаваемой по радиоканалу информации применяется ее шифрование, которое активизируется только после успешного проведения процедуры аутентификации и предназначено для защиты речи и данных, а также данных сигнализации. В стандарте TETRA используется поточный метод шифрования, при котором формируемая ключевая псевдослучайная последовательность побитно складывается с потоком данных. Зная ключ и начальное значение псевдослучайной последовательности, получатель информации имеет возможность сформировать такую же последовательность и расшифровать закодированное сообщение при сохранении синхронизации между передающей и приемной сторонами. Поточное шифрование имеет определенное преимущество перед другими методами шифрования, заключающееся в отсутствии размножения ошибок в канале с помехами, т. е. ошибка приема одного бита зашифрованного текста дает также только один ошибочный бит расшифрованного текста и не приводит к нескольким ошибкам. Главная страница / Архитектура отрасли |