TETRA 系統(tǒng)安全技術初探

集群通信系統(tǒng)是一種專用調度通信系統(tǒng)，作為無線通信的一個重要分支，近幾年TETRA數字集群系統(tǒng)在全球得到了快速的發(fā)展。TETRA數字集群通信系統(tǒng)是一種基于數字時分多址（TDMA）技術的無線集群移動通信系統(tǒng)，具有豐富的服務功能、更高的頻率利用率、高質量的通信、靈活的組網方式，許多新的應用(如車輛定位、圖像傳輸、移動互聯網、數據庫查詢等)都已在TETRA中得到實現。

TETRA系統(tǒng)作為一個滿足專用移動通信用戶特殊需求而開發(fā)的數字集群標準，具有業(yè)務多樣化、頻譜效率高、通信保密性好、兼容互聯性強、呼叫建立快速、調度特性良好、直通工作方式（DMO）等特點。與其它通信系統(tǒng)相比，其頻譜效率、兼容互聯性、直通工作方式和安全性能方面的優(yōu)勢尤為突出。

本文將主要介紹TETRA數字集群系統(tǒng)可能遭受到的威脅以及鑒權、空中接口加密和端到端加密等三種安全功能。

TETRA系統(tǒng)可能遭受到的威脅

終端設備與網絡設施之間的無線接口可能受到以下安全威脅:

1. 非法竊聽

攻擊者通過對無線信道的監(jiān)聽獲取傳輸的消息，甚至進行被動偷聽或主動會話攻擊。這是對無線接口最常見的攻擊方法， 這種威脅源于無線鏈路的開放性。

2. 非授權訪問數據

攻擊者偽裝成合法用戶訪問網絡資源，以期達到破壞目的；或攻擊者違反安全策略，利用安全系統(tǒng)的缺陷非法占有系統(tǒng)資源和訪問本應受保護的信息。必須對網絡設備增加認證機制，以防止非授權用戶使用網絡資源。

3. 對完整性的威脅

攻擊者可能修改、插入、重放或刪除無線鏈路上合法用戶的數據或信令數據。

4. 拒絕服務攻擊

攻擊者通過在物理上或協議上干擾用戶數據、信令數據或控制數據在無線鏈路中的正確傳輸，以實現無線鏈路上的拒絕服務攻擊。

針對以上的一些安全威脅，TETRA系統(tǒng)實現了系統(tǒng)功能和安全保密功能的一體化設計，現已具有鑒權及空中接口加密功能，并支持端到端加密�？罩薪涌诩用苡糜趯�基站和移動臺間無線信道上的信息數據和信令加密保護，并保證信息不被重播，可以部分解決非法竊聽及對完整性的威脅，空中接口加密能夠在無線鏈路上對用戶語音數據加密，并保護信令數據不被分析，但用戶的數據信息在網絡設施中是未加密的。端到端加密(這里的端到端分別指的是移動臺到移動臺之間和移動臺到調度臺之間)一般由用戶自行設計實現。鑒權實現用戶和網絡設施間的單向或雙向鑒權，用于防止非法用戶接入系統(tǒng)和合法用戶接入假冒系統(tǒng)，可解決非授權訪問數據及拒絕服務攻擊。

TETRA系統(tǒng)的安全技術

TETRA數字集群系統(tǒng)采用數字話音編碼、數字傳輸和交換技術，實現了系統(tǒng)功能和安全保密功能一體化設計，具有鑒權、空中接口加密和端到端加密等三種安全功能，配置、使用靈活，具有較好的安全保密性。

1. 鑒權（低級安全）

公網運營商運營主要是保證計費，防止無權用戶進入系統(tǒng)；一般專網則主要保證網絡專供本部門的人員使用。鑒權在GSM 和CDMA公網中都具備，但它們都是單向鑒權；TETRA系統(tǒng)可雙向鑒權。

根據TETRA系統(tǒng)中的設置，不僅可以實現TETRA網絡對移動臺、移動臺對TETRA網絡的單向鑒權，還可以實現TETRA網絡和移動臺之間的雙向鑒權。在TETRA系統(tǒng)中均可對交換和管理基礎設施（SwMI）和移動臺（MS）進行鑒權。對SwMI進行鑒權的目的是為了識別合法的SwMI，從而防止移動臺接入非法的TETRA網絡；對移動臺進行鑒權的目的是為了識別由單個TETRA用戶身份識別碼（ITSI）標志的用戶，從而防止非法移動臺接入網絡。鑒權采用挑戰(zhàn)-應答協議，即由系統(tǒng)鑒權中心或終端產生一個隨機數，系統(tǒng)和終端用各自的鑒權密鑰和鑒權算法對該隨機數進行運算作為對挑戰(zhàn)的應答，通過比較各自的結果和收到的應答是否一致得出鑒權的結果。

2. 空中接口加密（中級安全）

空中接口加密是終端設備與基站之間的無線通路上的加密，TETRA空中接口包括認證、加密、終端禁止、空中二次加密、偽消息產生等安全功能。TETRA系統(tǒng)支持多種空中接口加密算法，可為不同用戶配置不同的加密算法。

2.1 單個(一對一) 呼叫的空中接口加密

單個呼叫加密是比較簡單的。移動臺在鑒權時會產生一個導出密鑰(DCK)。這個值對于某個移動臺和某次鑒權過程都是唯一的。不同的移動臺和不同的鑒權過程都將會改變導出密鑰的值。移動臺計算出這個值，網絡也計算出同樣的值。導出密鑰被用于加密和解密在空中傳送信息，這樣， 就不需要通過開放空中接口傳送密鑰了。移動臺可以存儲32個不同的密鑰。

2.2 組(群) 呼叫的空中接口加密

對組呼叫的加密需要使用多個密鑰，公共(用)密鑰（Common Cipher Key，CCK），用于個呼和組呼的上行鏈路；組（群）密鑰（Group Cipher Key，GCK），用于組呼的下行鏈路。每一個位置區(qū)域都是一種根據地理位置對系統(tǒng)覆蓋區(qū)的分片劃分，一個位置區(qū)域通常由幾個相鄰的基站組成。每一個區(qū)域都有一個共同的公用密鑰。TETRA系統(tǒng)會在移動臺登記時收到移動臺所在位置區(qū)域的公共密鑰。組(群)密鑰是由TETRA系統(tǒng)的上層網絡(SwMI)用組(群)身份識別碼和隨機參數計算出來的。組(群)密鑰被分發(fā)到組(群)每個成員的移動臺的過程可以由導出密鑰加密。

2.3 組(群) 呼情況下的空中接口加密機制

在組(群)呼時接收方是多個移動臺，所有接收方移動臺必須使用同樣密鑰，即組(群) 密鑰，還會用到公共(用) 密鑰。

2.4 空中重新分配密鑰

在TETRA系統(tǒng)中，允許通過空中將密鑰分發(fā)給各個移動臺，稱為空中重新分配密鑰(Over The A ir ReKeying，OTAR)。在群呼中，通過網絡管理中心將所有共同的GCK和CCK密鑰對應地寫入每一個移動臺。然而，每次更新密鑰仍要網絡管理中心去完成， 比較繁瑣。

2.5 臨時身份識別碼

身份識別碼(ITSI)是TETRA網絡用來識別某個移動臺的。當移動臺進行呼叫時，必須把身份識別碼和有關的信令發(fā)送給網絡。但是，網絡入侵者可能通過用戶身份識別碼監(jiān)視該用戶對TETRA網絡的使用頻繁程度等。為了防止對特定用戶的跟蹤，TETRA網絡可以發(fā)給用戶臨時身份識別碼(ATSI)，用臨時身份識別碼替換TETRA的用戶身份識別碼。臨時身份識別碼與用戶身份識別碼的數值長度相同，但他是隨機分配給用戶的，僅在規(guī)定時間內有效。TETRA網絡管理系統(tǒng)負責維護ITSI和目前分配的ATSI之間的關系。臨時身份識別碼的應用，能夠確保網絡入侵者不能跟蹤某個用戶或了解某個用戶對TETRA網絡的使用頻繁程度。

3. 端對端加密（高級安全）

端對端加密適用于對保密性有特嚴要求的應用場合。在端對端加密中，用戶保持自己特有的密鑰，系統(tǒng)只是為用戶提供透明的通信線路和標準接口，并不參與加密過程。

TETRA數字集群系統(tǒng)由移動臺MS、基站BS、調度臺DWSx、交換機DXT及TETRA互聯服務器TCS等構成，端到端加密的密鑰管理中心KMC作為TCS的應用開發(fā)系統(tǒng)連接到TETRA系統(tǒng)中。為在標準TETRA系統(tǒng)中實現端到端加密功能， 必須進行以下兩方面工作:

在TETRA系統(tǒng)中建立一個密鑰管理中心(Key Management Center，KMC),KMC通過TCS的API與TETRA系統(tǒng)相連，通過空中接口以短數據的方式為移動臺端分發(fā)通信密鑰TEK，此外密鑰管理中心負責密鑰的產生，存儲及增刪等功能。

對TETRA終端設備進行改造，使其能夠接受并響應KMC的密鑰管理消息，并利用通信密鑰來進行端對端加密。由于TETRA應用領域的特殊性，端到端加密中使用的加密算法可以是用戶自行開發(fā)或是國家、行業(yè)準許的加密算法， 密鑰長度也可由用戶自行規(guī)定。

結語

TETRA系統(tǒng)具有單、雙向鑒權、空中接口加密和端到端加密等較完善的安全保密功能，隨著計算機網絡的快速發(fā)展，非對稱密鑰體制及應用發(fā)展將十分迅速。為了提高TETRA系統(tǒng)的安全性，除了很好的設計、實施端到端加密系統(tǒng)和密鑰管理系統(tǒng)之外，還應該很好的規(guī)劃和實施其安全的VPN。