TETRA数字集群网安全保障体系分析
2010-09-25徐海琛
徐海琛
(北京市政务网络管理中心,北京 100053)
0 引言
TETRA是欧洲电信标准协会ETSI制定的数字集群移动通信标准,基于TDMA技术,具有组网灵活、频谱利用率高、话音质量好、安全保密性强、适于高速移动等特点;呼叫采用“一按即通”方式接续,信道建立时间小于300 ms,且“一呼百应”;终端可工作于集群通信与脱网直通两种模式;调度业务丰富,能够提供动态重组、强插强拆、用户追踪等调度功能;支持短信息、GPS定位等数据业务;支持虚拟专网划分。由于TETRA标准公开、接口开放、技术成熟,得到了许多国家和地区用户及制造商支持,成为数字集群专用移动通信主流技术。
TETRA数字集群网在欧盟国家主要应用于公共安全系统,在国内主要服务于城市管理、安全保卫、应急指挥等部门,承担着重要的指挥调度通信保障任务。作为无线移动通信网络之一,集群通信网同样面临自然灾害、人为破坏、系统故障、通信阻塞、频率干扰、非法访问、行为分析等安全威胁。
现从用户的可控性、通信的保密性、服务的可用性三个方面,对TETRA数字集群网安全保障体系进行分析探讨。
1 用户的可控性
为了确保网络为合法用户提供安全可靠服务,必须对入网用户严格管控。TETRA网络支持通过鉴权、隐藏用户识别码、允许与禁用等机制实现用户的可控性。
1.1 鉴权
鉴权是指当用户请求接入网络时,用户和网络对彼此身份和权利的识别与认证。鉴权基于对称密钥加密算法,以“询问-应答”方式,通过一系列加密计算与结果比对,向对方证明自己持有正确的鉴权密钥达到鉴权目的,可以实现用户与网络基础设施间单向或双向认证,防止非法用户接入系统和合法用户接入假冒网络[1],有效抵御非授权访问、拒绝服务、重放攻击等安全威胁。
1.1.1 鉴权密钥管理
鉴权主要涉及三个关键数据:
(1)设备序列号TEI
每部终端设备在出厂前,均由制造商分配一个全球唯一的设备序列号TEI,作为该终端的设备识别码。
(2)用户识别码ITSI
终端设备申请入网时,由入网管理机构根据其 TEI号分配一个全网唯一的用户识别码ITSI,形成TEI-ITSI配对,存储在终端设备与网络基础设施的鉴权中心数据库中。
(3)鉴权密钥K
终端设备要启用鉴权,必须首先由密钥管理机构根据其TEI号生成一个全球唯一的鉴权密钥K,形成(TEI-K)配对,存储在终端设备与鉴权中心数据库中。
经过上述过程,每一部终端设备与鉴权中心均同时存储了TEI-ITSI和TEI-K配对,建立了ITSI与K的唯一关联。
1.1.2 鉴权算法
TETRA网络提供四种鉴权算法:基础设施对终端单向/双向鉴权、终端对基础设施单向/双向鉴权,具体请参考ETSI标准[2]。
鉴权的安全性除了取决于算法强度与密钥长度外,如何保护鉴权密钥尤为关键。当终端申请接入时,首先用明文将ITSI及有关信令发送给网络;网络根据其ITSI号,从鉴权中心数据库中查出与之唯一对应的鉴权密钥K。作为核心密钥,K既不允许通过空中接口传送,也不能直接用于生成鉴权响应,而是首先结合随机数生成本次鉴权的会话密钥 KS;然后再由KS作为加密密钥以“询问-应答”方式实施鉴权。
由于每次鉴权的KS均不相同,有效抵御了算法分析,保护了核心密钥K。如果鉴权失败,用户终端会被禁止使用,可以是临时的,也可以是永久的。
1.2 隐藏用户识别码
用户识别码ITSI是入网管理机构分配的、在网内唯一识别该用户终端的身份码,同时保存在终端设备和归属用户寄存器中。用户在入网、鉴权、切换、呼叫或发送短信时,都需要将ITSI以明文方式传送给网络,容易遭受用户跟踪、行为分析等威胁。
为了保护用户的身份安全,TETRA网络支持临时身份识别码ATSI。当用户以ITSI申请入网并通过鉴权后,网络会根据其ITSI号生成一个全网唯一的ATSI分配给用户,形成ITSI-ATSI对,同时保存在终端设备和当前服务该用户的访问用户寄存器中。此后,用户与网络之间的信令交换使用ATSI替代ITSI在空中接口中明文传输。
ATSI由网络负责随机分配和维护,无法从ITSI直接推出,且在规定时限内有效;ITSI-ATSI对也仅在网络与终端设备之间共享,用户只是透明使用。因此,网络可在不通知其他用户情况下,频繁改变与ITSI对应的ATSI值,有效保护了用户真实身份。
1.3 允许与禁用
为了避免终端丢失后被非法使用,TETRA网络支持通过空中接口下达指令方式对特定终端执行“允许与禁用”操作。
(1)临时禁用与恢复
调度员可通过空中接口远程下发指令,将丢失终端临时禁用(遥毙)。在遥毙状态下,终端可以正常注册与切换,但不能发起和接收呼叫;调度员可随时追踪被遥毙终端,也可以再次下达指令解除遥毙,令终端重新恢复使用。
(2)长期禁用与启用
如果将丢失终端的ITSI号从HLR中删除,或者一并删除其鉴权密钥K,则该终端被彻底禁止入网使用,无法注册、鉴权、发起和接收呼叫。
2 通信的保密性
由于TETRA空中接口标准是公开的,加之无线信道的开放性,如果语音、数据、信令在无线信道中明文传送,容易被协议分析仪器监听,存在泄密风险。TETRA网络支持通过空中接口加密、端到端加密、虚拟专网等机制实现通信的保密性。
2.1 空中接口加密
空中接口加密是指对基站和终端之间的无线信道加密,任何通过空中接口传送的语音、数据与信令都被加密保护,并附有时间戳和校验字段,有效抵御非法窃听、通信分析、重放攻击、信息篡改等安全威胁。
2.1.1 空中接口加密密钥管理
空中接口加密主要涉及四个密钥:
(1)导出密钥DCK
由鉴权过程产生,基础设施与终端同时掌握,用在空中接口加密保护组呼的上行链路和个呼的双向链路。
(2)公共密钥CCK
由基础设施生成,每一个位置区对应一个CCK,与组密钥GCK配合使用生成MGCK,加密保护组呼的下行链路。当终端注册到某一位置区时就会请求CCK;基础设施将CCK以DCK为加密密钥经由算法TA31生成SCCK传送给终端,终端解密出CCK使用。
(3)组密钥GCK
由基础设施生成,与通话组一一对应。GCK并不直接用于空中接口加密,而是在每一个位置区经由CCK和算法TA71调整生成MGCK。当终端请求GCK时,基础设施将GCK以DCK为保护密钥经由算法TA81生成SGCK传给终端,终端解密出GCK使用。
(4)静态密钥SCK
用于在未启用鉴权情况下加密个呼和组呼信令,可工作于集群通信和脱网直通模式。SCK集共有32个密钥,均以静态方式存储于基础设施和终端中,需要事先协商具体使用哪一个密钥。
2.1.2 空中接口加密算法
空中接口加密基于对称加密算法的流密码机制:发送方的明文比特流与密钥序列发生器产生的密码序列比特流异或,生成密文比特流;只有持有相同加密密钥ECK的合法授权接收方,通过密钥序列发生器生成同样的密码序列比特流,才能与接收到的密文比特流异或解密,如图1所示。
图1 空中接口加密算法
空中接口加密并不直接使用DCK、MGCK或SCK,而是加入位置区标识、载波号、色码等参数,经由算法TB5调整生成加密密钥ECK后用于密钥发生器。初始向量IV用于在基站与终端之间建立同步,确保加密序列与解密序列的一致性,并增加了密钥序列的随机性。
ETSI为密钥发生器提供四种加密算法TEA1~TEA4:TEA1和TEA4供普通用户及制造商使用,是可以出口的算法;TEA2和 TEA3仅限于欧洲国家的安全部门,安全强度较高,严格限制出口。
空中接口加密有效保护了无线信道上的控制信令和用户业务(语音、数据),而用户业务在网络基础设施内部仍以明文方式传输。如果用户对通信安全有更高要求,就应考虑端到端加密。
2.2 端到端加密
端到端加密是指对用户终端之间传输链路的全程加密,确保用户业务在网络基础设施内部及空中接口上均得到加密保护。
端到端加密不属于ETSI标准,ETSI对端到端安全机制仅规定了一个框架,没有完整系统描述。端到端加密时,TETRA网络既不参与密钥的生成与管理,也不提供加密算法,仅提供透明传输链路。启用了端到端加密的用户,可以继续使用网络提供的空中接口加密服务,进一步增强通信的保密性。
2.2.1 端到端加密密钥管理
端到端加密主要涉及四个密钥:
(1)密钥加密密钥KEK
用于保护组密钥、信令密钥和业务密钥,由密钥管理中心分配,并通过专用密钥填充设备以带外方式加载到终端设备中。每个终端只持有一个 KEK,且各不相同;其余三个密钥经KEK加密封装后,均可以SDS-4短消息形式通过空中密钥分发协议OTAK下载或更新[3]。
(2)组密钥GEK
用于保护业务密钥。每个终端持有一个GEK,每个通话组共享一个GEK,由KEK加密封装后通过空中密钥分发下载或更新。
(3)信令密钥SEK
用于保护空中密钥分发协议所使用的 SDS-4短消息。每个终端持有一个SEK,每个通话组共享一个SEK。初始SEK可与KEK一起通过带外方式直接加载到终端,也可以通过空中密钥分发下载或更新。
(4)业务密钥TEK
用于保护端到端用户业务,由一组需要加密通信用户共享,以GEK或KEK为加密密钥经由算法E2加密封装后,通过空中密钥分发下载到终端。
2.2.2 端到端加密算法
TETRA MoU SFPG工作组提出了一系列端到端加密技术建议,将加密函数描述为“黑盒子”,即语音加密算法 E1、业务密钥加密算法E2、同步帧完整性校验算法E3、OTAK密钥管理消息加密算法 E4、短数据服务加密算法 E5、短数据服务校验算法E6,既没有规定密钥长度,也没有制定具体加密算法,完全交由用户自行定义开发。
2.3 虚拟专网
模拟集群网通常是独立建设的“专网”,一个专网仅为某一类用户群体服务,专网之间相互独立、互不连通。数字集群技术为“共网”应用提供可能,即通过网络传输交换与用户调度管理,可将一个物理网络划分为多个“虚拟专网”,分别为不同用户群体服务,并实现虚拟专网之间安全隔离与可控互通。
(1)独立管理与通信隔离
针对不同用户群体,通过组织块划分、通话组与用户号码规划、管理员权限设置,并配备专用调度台,即可建立该用户群体的虚拟专网[4],实现独立的用户管理与指挥调度,满足个性化安全需求。
(2)统一调度与互连互通
常态下,各虚拟专网之间相互独立、互不连通;突发事件时,一旦有统一指挥与协同配合需求,可启动特殊管理流程与调度措施,实现不同虚拟专网用户之间的可控互通与统一调度。
(3)网管与调度相互分离
虚拟专网划分了网络管理与调度管理界面,即运营商通过网管系统,实现对物理网络的实时监控与网络管理;调度员通过调度台,实现对所辖用户的指挥调度与用户管理,有利于界定安全责任,也有利于保护用户的应用安全。
3 服务的可用性
服务可用性是指网络除了在常态下提供 7×24小时通信服务外,在遭遇自然灾害、设备故障、人为破坏、频率干扰、严重拥堵等异常情况时,应具备一定的冗余备份与灾难恢复能力,确保服务的连续性与可用性。
鉴于 TETRA网络所服务用户群体的特殊性、所承担保障任务的重要性,及特有的指挥调度功能,越是在遭遇自然灾害、处置突发公共事件或保障重大活动时,用户使用越频繁,对网络的依赖也越大,往往出现局部区域用户大量聚集与突发大话务量等情况。此时,如何保障网络服务的可用性极其关键,取决于物理环境、系统构架、频率保护、拥堵控制等综合安全因素。
3.1 物理环境安全
物理环境安全是指通过创建安全可靠的网络运行环境,保障网络基础设施安全稳定运行,免受自然灾害、外界环境、人为破坏、电磁干扰等威胁。
3.1.1 站址位置选择
正确选择交换中心与基站站址是保障物理环境安全的前提,一定程度上决定了所面临安全威胁大小。
(1)交换中心选址
除了综合考虑地质/水文/气象条件、电磁环境、市政设施等因素外,对于规模较大的网络应考虑建设同城异地或跨省异地多个交换中心,将交换机组分散放置,并实现交换机主备配置及传输链路多路由冗余连接,提高容灾备份能力。
(2)基站选址
在满足小区规划、信号覆盖、话务量分布等设计前提下,注意:①满足结构、消防、防雷、防盗安全;②周边环境宜相对安静,避免有较大震动或强噪音,远离危险源及有害物质;③周边电磁环境应相对较好,不宜在大型雷达站、卫星地球站等附近设站,避免相互干扰。
3.1.2 边界访问控制
边界访问控制是保护物理环境安全的重要关口。通过加强交换中心与基站机房等重点区域安防措施,对内部授权人员及外部临时人员出入严格管理、全程监控,防止盗窃或恶意破坏。
交换中心应24小时有人值守,设置门禁、周界防护、视频监控等安防系统,严格管理和登记人员出入;基站机房一般无人值守,应加装防盗门、开门报警、视频监控等安防系统,并与站址业主及当地公安机关建立联动报警机制,如遇异常快速响应。
3.1.3 环境保障与监控系统
环境保障与监控系统是保障物理环境安全的重要手段。交换中心与基站机房应建立完备的环境保障与监控系统,实现对于供电、空调、消防、漏水、门禁等的实时监控与异常报警,加强对无人值守机房的远程监控、维护巡检与报警管理。
3.2 系统构架安全
系统构架安全是指从网络系统结构与体系架构的高度,充分考虑网络的容灾备份与故障恢复能力。TETRA网络主要由交换机系统、基站系统、增值应用系统、网关接口及传输网络等构成,如图2所示。
3.2.1 交换机系统架构安全
交换机系统是网络的核心基础设施,应重点考虑冗余备份问题。
图2 TETRA网络系统架构
(1)主机设备冗余备份
TETRA网络支持主备交换机冗余,即按照主用与备份交换机1:1或N:1比例,配置专用备份交换机。正常情况下,备份机与主用机连接,具备接入主用机负载能力,但不激活负载连接,也不进行话务交换。主用机的关键数据,如软件包、配置文件等,定期复制到备份机中保持同步。一旦主用机退服,立即激活备份机的配置数据,并将主用机负载全部切换到备份机上,则备份机全面接管主用机身份与功能,恢复通信服务。
(2)配置文件冗余备份
TETRA网络支持主备归属用户寄存器HLR冗余,即对应归属交换机的主用HLR,可在另一台交换机上配置备份HLR。归属交换机将静态的用户管理数据定期复制到备份 HLR;而动态的移动性管理数据则随时通过交换机间信令链路自动复制,实现主备同步。一旦归属交换机退服,立刻激活备用HLR,同时修改其他交换机的号码分析指向备用HLR,则备用HLR接替主用HLR,用户管理与移动性管理恢复正常。
(3)传输链路冗余备份
TETRA网络支持交换机间传输链路网状连接与备份路由功能。一旦某两个交换机间传输链路中断,网络会根据交换机路由表设置,自动将跨接这两个交换机的呼叫通过其它交换机间路由迂回建立,保持通信服务的连续性。鉴于传输链路的可靠性往往低于交换机,网状连接与备份路由机制可显著提高核心交换网络的整体可靠性。
3.2.2 基站系统架构安全
基站系统作为 TETRA网络的无线基础设施,在设备故障、传输中断、接入交换机退服时,也应具备冗余备份能力。
(1)双站覆盖
TETRA网络支持基站1+1冗余备份,即在单站站址上设置双基站,可成倍提高服务的可用性,但也成倍增加运营成本,仅在核心区域考虑使用。通常作法是加大网内重点或热点区域基站分布密度,利用相邻基站重叠覆盖提高该区域保障能力。同时,每一个基站都应有两条以上、独立路由的链路接入交换机,并在传输层实现SDH环保护,提高基站系统的整体可靠性。
(2)交织连接
TETRA网络支持基站“交织连接”,即将重叠覆盖的相邻基站分别接入不同交换机,实现网络在无线接入层面的互为热备。交织连接不需要额外投资,灾难时也无需人工干预,当某一交换机出现故障,周边相邻基站仍正常工作,使网络覆盖缺损减低到最小。“重叠覆盖+交织连接”组网方式,可有效提高服务可用性,缺点是会导致跨基站的呼叫量和漫游登记大大增加,加重交换机间信令与话务量负荷。
(3)伞状覆盖
TETRA网络支持在网内架设一个或多个高站,形成大区域“伞状覆盖”,并相应提高其设备配置、供电及传输链路的安全等级。常态情况下,高站不启用或仅服务某类特殊用户,避免吸引大量用户引发通信拥堵。一旦网络出现大面积通信中断,则紧急启用高站,并采取必要管控措施,确保重要用户及关键勤务通信畅通。
3.2.3 增值应用系统架构安全
TETRA网络支持增值应用服务,如短信息、GPS定位等。增值应用系统通常基于IP网络构建,容易遭受IP网络常见安全威胁,如病毒、木马、黑客等。出于网络整体安全考虑,避免“木桶效应”,应根据 TETRA网络的安全保障要求,对增值应用系统实施相应安全等级保护,并采取如下措施:
① 将增值应用系统建成为一个私有地址、星型连接、物理层或传输层隔离的专用网络,即以应用服务器为中心节点,以专线方式接入用户客户端,并与国际互联网等其他任何网络安全隔离,屏蔽外来威胁;
② 在应用服务器区,配置用户认证、入侵检测、病毒网关等安全设备,抵御内部攻击;在用户接入节点,利用防火墙、交换机等实施网段隔离,将来自用户端的安全威胁限制在局部区域内,防止威胁扩散。
3.3 频率保护安全
TETRA网络同样对无线电频谱依赖性很大,一旦发生频率干扰,尤其是上行干扰,会直接导致基站接收信噪比恶化,承载能力降低,通信质量明显下降。
由于运营商不具备查处干扰源的执法权,在遭遇干扰时比较被动,除了申告无线电管理部门外,仅能采取有限规避措施:
① 对于上行干扰,基站能够主动发现并报警,可以尝试调整基站的工作频点,避开干扰频段,或者暂时关闭基站,让用户切换到邻近正常基站下使用;
② 对于下行干扰,基站无法自主发现,只能等用户投诉后由运维人员综合判断或现场测试确定,解决办法也只能是让用户暂时离开干扰区域。
3.4 拥堵控制安全
TETRA网络作为日常城市管理、重大活动保障及突发事件处置指挥调度平台,话务量分布有一个显著特点:常态情况下,全网话务量较低,分布平稳且有典型时间统计规律;突发事件时,事件区域往往会激增大话务量,远超过该区域设计承载能力。
网络在规划设计时,虽然考虑到应对非常态情况,但是将全网承载能力指标定得很高是不现实、也不经济的,而突发事件的随机性与用户行为的不可预知性等因素,会不可避免导致网络出现局部严重拥堵。此时,应采取有效措施实施拥堵控制:
(1)基站载波紧急扩容
TETRA网络单基站满配置为8载波,相比4载波配置,信道数量增加1倍,话务量承载能力增加1.5倍(2%呼损)。在拥堵基站尚未满配且有扩容空间条件下,实施载波扩容,能迅速缓解拥堵。同时,可紧急调派移动基站车赶赴现场,帮助分担用户和话务量。
(2)调整基站覆盖范围
如果拥堵基站周边有负荷较轻的邻站,可通过缩小拥堵基站有效覆盖范围,将部分用户移交到邻站下使用,减轻拥堵基站负荷。宜采用提高拥堵基站接入电平阈值方法,达到缩小覆盖范围效果,避免直接降低发射功率引起终端接收信噪比下降;同时,适度提高邻站发射功率,扩大覆盖范围,帮助吸引用户和话务量。
(3)限制数据业务应用
目前TETRA网络的数据业务应用,需要主控信道传输。频繁发送的业务数据会与用户呼叫请求竞争主控信道资源,导致呼叫信令得不到及时处理产生排队。因此,对于 TETRA网络上开展的数据业务应用,必须严格遵循“话音优先”原则,确保各种应用对信令信道带宽占用总和不超过主控信道最大负荷的 70%[5]。一旦发现因数据业务应用导致主控信道繁忙,应能够通过空中接口远程调整用户端应用参数,降低发送频率或关闭应用,缓解主控信道压力。
4 国内现状、存在问题及建议
对于TETRA数字集群网技术,中国没有自主知识产权,也尚不具备商业化生产网络系统设备的产业能力。目前,国内部署的TRTRA网络全部依赖进口,在鉴权、空中接口加密、端到端加密应用上存在一定安全风险:一方面,国外厂商对核心算法保密,仅提供“黑匣子”供用户使用;另一方面,中国对于进口密码产品有严格管理规定,无论其安全强度如何都不允许直接使用。国内TETRA网络普遍启用了基站对终端单向鉴权,因为鉴权的主要目的是识别合法与非法用户,并不涉及通信业务的具体内容,中国密码管理部门没有强制要求使用自主研发的鉴权算法;对于空中接口和端到端加密,除了军队,采用加密手段的基本没有[6]。
笔者认为,只要加强安全管理,在国内应用 TETRA数字集群网还是安全的:①相比其他移动通信网络,数字集群网的核心竞争力在于快速、灵活、丰富的“语音调度”功能,而非强调网络带宽与数据传输能力。TETRA网络虽然广泛应用于涉密部门,但业务应用也仅限于语音调度或短数据,并不用于传送涉密文件;②指挥调度的最大特点是调度指令的“时效性”,虽然空中接口开放,存在被监听风险,但是每一条调度指令在无线信道的生存时间很短,平均十秒左右,事后分析则丧失其安全时效性。加之TETRA网络的准传输集群模式与隐藏用户识别码等功能,能有效抵御用户跟踪与完整通话监听;③对于通信安全有特殊要求的用户或应用场合,应采用“密语”通话,严禁明话传达涉密信息。
关于如何加强国内 TETRA数字集群网安全保障体系建设,有以下几点建议:
① 加大对于鉴权、加密等核心算法的研发和产品化投入力度,建立健全相应的密钥管理与网络信任体系;在引进国外TETRA网络设备时,要求设备厂商承诺为集成国内自主研发加密产品提供授权与技术支持;加强对于进口TETRA协议分析仪器的审批、监管和登记备案;
② 对于政府部门使用TETRA网络,应严格遵照公安部、国家保密局《关于开展全国重要信息系统安全等级保护定级工作的通知》相关要求,实施网络安全等级保护,加强安全管理、隐患排查与风险评估,及时消除或降低不安全因素;
③ 加强通信安全应急响应能力建设,针对可能出现的安全事件、网络故障、通信拥堵等情况,制定切实可行的应急预案,加强应急演练,提高队伍素质,做好备品备件及移动基站车、直放站、油机等物资储备,提升应急通信保障能力。
5 结语
TETRA数字集群网安全保障体系建设是一个贯穿其整个生命周期的系统工程,遵照中国信息安全保障工作关于“积极防御、综合防范”基本方针,在网络规划设计阶段,就应从信息安全整体全局的高度出发,立足长远、统筹规划,明确界定服务对象的用户范围与安全定位,充分认识所面临的安全形势与风险威胁,研究制定安全保障体系的目标、策略和保护等级;在网络建设与运营阶段,应立足国情、综合平衡,坚持管理制度、安全技术与人才培养三要素有机结合与均衡发展,不断跟踪研究国内外政治局势、安全态势、科技发展等对网络安全的影响及应对措施,构筑适用完备、整体安全、可持续发展的安全保障体系。
[1] 虞忠辉.TETRA数字集群移动通信系统的安全保密研究[J].通信技术,2003(05):87-88.
[2] ETS 300 392-7. Radio Equipment and SystemsTrans-European Trunked Radio Voice plus Data(V+D) Part 7: Security[S].France:EuropeanTelecommunications Standards Institute,1996.
[3] 罗冠洲,葛春宇,吴喆.TETRA系统端到端加密方式中的密钥管理[J].信息安全与通信保密,2008(08):97-101.
[4] 孙昕.TETRA数字集群系统的虚拟专网[J].移动通信,2002(05):34-39.
[5] 范文跃,詹志强.TETRA数字集群增值应用研究[J].信息安全与通信保密,2006(10):155-157.
[6] 郑祖辉.简析TETRA系统的安全性[J]. 电信快报,2003(09):5-7.
