主页(http://www.pttcn.net):TETRA 系统安全技术初探(2)
2.3 组(群) 呼情况下的空中接口加密机制
在组(群)呼时接收方是多个移动台,所有接收方移动台必须使用同样密钥,即组(群) 密钥,还会用到公共(用) 密钥。
2.4 空中重新分配密钥
在TETRA系统中,允许通过空中将密钥分发给各个移动台,称为空中重新分配密钥(OverTheAirReKeying,OTAR)。在群呼中,通过网络管理中心将所有共同的GCK和CCK密钥对应地写入每一个移动台。然而,每次更新密钥仍要网络管理中心去完成, 比较繁琐。
2.5 临时身份识别码
身份识别码(ITSI)是TETRA网络用来识别某个移动台的。当移动台进行呼叫时,必须把身份识别码和有关的信令发送给网络。但是,网络入侵者可能通过用户身份识别码监视该用户对TETRA网络的使用频繁程度等。为了防止对特定用户的跟踪,TETRA网络可以发给用户临时身份识别码(ATSI),用临时身份识别码替换TETRA的用户身份识别码。临时身份识别码与用户身份识别码的数值长度相同,但他是随机分配给用户的,仅在规定时间内有效。TETRA网络管理系统负责维护ITSI和目前分配的ATSI之间的关系。临时身份识别码的应用,能够确保网络入侵者不能跟踪某个用户或了解某个用户对TETRA网络的使用频繁程度。
3. 端对端加密(高级安全)
端对端加密适用于对保密性有特严要求的应用场合。在端对端加密中,用户保持自己特有的密钥,系统只是为用户提供透明的通信线路和标准接口,并不参与加密过程。
TETRA数字集群系统由移动台MS、基站BS、调度台DWSx、交换机DXT及TETRA互联服务器TCS等构成,端到端加密的密钥管理中心KMC作为TCS的应用开发系统连接到TETRA系统中。为在标准TETRA系统中实现端到端加密功能,必须进行以下两方面工作:
在TETRA系统中建立一个密钥管理中心(Key Management Center,KMC),KMC通过TCS的API与TETRA系统相连,通过空中接口以短数据的方式为移动台端分发通信密钥TEK,此外密钥管理中心负责密钥的产生,存储及增删等功能。
对TETRA终端设备进行改造,使其能够接受并响应KMC的密钥管理消息,并利用通信密钥来进行端对端加密。由于TETRA应用领域的特殊性,端到端加密中使用的加密算法可以是用户自行开发或是国家、行业准许的加密算法, 密钥长度也可由用户自行规定。
结语
TETRA系统具有单、双向鉴权、空中接口加密和端到端加密等较完善的安全保密功能,随着计算机网络的快速发展,非对称密钥体制及应用发展将十分迅速。为了提高TETRA系统的安全性,除了很好的设计、实施端到端加密系统和密钥管理系统之外,还应该很好的规划和实施其安全的VPN。
此作品来源于2008摩托罗拉TETRA征文大赛
(中国集群通信网 | 责任编辑:陈晓亮) |