Защищенность
В настоящее время все больше внимания уделяется проблемам защищенности систем связи к несанкционированному доступу. Стандарт DECT предусматривает меры защиты доступности телекоммуникационных систем, характерной для беспроводной связи.
Перечень штатных услуг и процедур по обеспечению безопасности в системах стандарта DECT включает в себя:
- прописку АРБ;
- аутентификацию АРБ;
- аутентификацию БС;
- взаимную аутентификацию АРБ и БС;
- аутентификацию пользователя;
- шифрование данных.
Прописка – это процесс, благодаря которому система допускает конкретный АРБ к обслуживанию. Оператор сети или сервис-провайдер обеспечивает пользователя АРБ секретным ключом прописки (PIN-кодом), который должен быть введен как в КБС, так и в АРБ до начала процедуры прописки. До того, как трубка инициирует процедуру фактической прописки, она должна также знать идентификатор БС, в которую она должна прописаться (из соображений защищенности процедура прописки может быть организована даже для системы с одной БС). Время проведения процедуры обычно ограничено, и ключ прописки может быть применен только один раз, это делается специально для того, чтобы минимизировать риск несанкционированного использования.
Прописка в DECT может осуществляться “по эфиру”, после установления радиосвязи с двух сторон происходит верификация того, что используется один и тот же ключ прописки. Происходит обмен идентификационной информацией, и обе стороны просчитывают секретный аутентификационный ключ, который используется для аутентификации при каждом установлении связи. Секретный ключ аутентификации не передается по эфиру.
АРБ может быть прописан на нескольких базовых станциях. При каждом сеансе прописки, АРБ просчитывает новый ключ аутентификации, привязанный к сети, в которую он прописывается. Новые ключи и новая информация идентификации сети добавляются к списку, хранящемуся в АРБ, который используется в процессе соединения. Трубки могут подключиться только к той сети, в которую у них есть права доступа (информация идентификации сети содержится в списке).
В процессе аутентификации любого уровня используется криптографическая процедура ''запрос-ответ'', позволяющая выяснить, известен ли проверяемой стороне аутентификационный ключ.
Аутентификация АРБ позволяет предотвратить его неправомочное использование (например, с целью избежать оплаты услуг) или исключить возможность подключения похищенного или незарегистрированного АРБ.
Аутентификация происходит по инициативе БС при каждой попытке установления соединения (входящего и исходящего), а также во время сеанса связи. Сначала БС формирует и передает запрос, содержащий некоторый постоянный или сравнительно редко меняющийся параметр (64 бита), и случайное число (64 бита), сгенерированное для данной сессии.
Затем в БС и АРБ по одинаковым алгоритмам с использованием аутентификационного ключа К вычисляется так называемый аутентификационный ответ (32 бита). Этот вычисленный (ожидаемый) ответ в БС сравнивается с принятым от АРБ, и при совпадении результатов считается, что аутентификация АРБ прошла успешно.
Аутентификация БС исключает возможность неправомочного использования станции. С помощью этой процедуры обеспечивается защита служебной информации (например, данных о пользователе), хранящейся в АРБ и обновляемой по команде с БС. Кроме того, блокируется угроза перенаправления вызовов абонентов и пользовательских данных с целью их перехвата.
Алгоритм аутентификации БС аналогичен последовательности действий при аутентификации АРБ.
Взаимная аутентификация может осуществляться двумя способами:
- При прямом методе последовательно проводятся две процедуры аутентификации АРБ и БС;
- Косвенный метод в одном случае подразумевает комбинацию двух процедур - аутентификации АРБ и шифрования данных (поскольку для шифрования информации необходимо знание аутентификационного ключа К), а в другом - шифрование данных с использованием статического ключа SCK (Static Cipher Key), известного обеим станциям.
Аутентификация пользователя позволяет выяснить, знает ли пользователь АРБ свой персональный идентификатор. Процедура инициируется БС в начале вызова и может быть активизирована во время сеанса связи. После того, как пользователь вручную наберет свой персональный идентификатор UPI (User Personal Identity), и в АРБ с его помощью будет вычислен аутентификационный ключ К, происходит процедура, аналогичная последовательности действий при аутентификации АРБ.
Во всех описанных процедурах аутентификационный ответ вычисляется по аутентификационному запросу и ключу аутентификации К в соответствии со стандартным алгоритмом (DSAA-DECT Standard Authentication Algorithm) или любым другим алгоритмом, отвечающим требованиям безопасности связи. Алгоритм DSAA является конфиденциальной информацией и поставляется по контракту с ETSI. Использование другого алгоритма будет ограничивать возможности абонентских станций, так как возникнут трудности при роуминге в сетях общего пользования DECT.
Аутентификационный ключ К является производной от одной из трех величин или их комбинаций, приведенных ниже.
1. Абонентский аутентификационный ключ UAK (User Authentication Key) длиной до 128 бит. UAK является уникальной величиной, содержащейся в регистрационных данных пользователя. Он хранится в ПЗУ абонентской станции или в карточке DAM (DECT Authentication Module).
2. Аутентификационный код АС (Authentication Code) длиной 16-32 бита. Он может храниться в ПЗУ абонентской станции или вводиться вручную, когда это требуется для проведения процедуры аутентификации.
Необходимо отметить, что нет принципиальной разницы между параметрами UAK и АС. Последний обычно используется в тех случаях, когда требуется довольно частая смена аутентификационного ключа.
3. Персональный идентификатор пользователя UPI (User Personal Identity) длиной 16-32 бита. UPI не записывается в устройства памяти абонентской станции, а вводится вручную, когда это требуется для проведения процедуры аутентификации. Идентификатор UPI всегда используется вместе с ключом UAK.
Шифрование данных обеспечивает криптографическую защиту пользовательских данных и управляющей информации, передаваемых по радиоканалам между БС и АРБ.
В АРБ и БС используется общий ключ шифрования СК (Cipher Key), на основе которого формируется шифрующая последовательность KSS (Key Stream Segments), накладываемая на поток данных на передающей стороне и снимаемая на приемной. KSS вычисляется в соответствии со стандартным алгоритмом шифрования DCS (DECT Standard Cipher) или любым другим алгоритмом, отвечающим требованиям криптографической стойкости. Алгоритм DSC является конфиденциальной информацией и поставляется по контракту с ETSI.
В зависимости от условий применения систем DECT могут использоваться ключи шифрования двух типов: вычисляемый – DCK (Derivation Cipher Key) - и статический – SCK (Static Cipher Key). Статические ключи SCK вводятся вручную абонентом, а вычисляемые DCK обновляются в начале каждой процедуры аутентификации и являются производной от аутентификационного ключа К. В ПЗУ абонентской станции может храниться до 8 ключей.
Статический ключ обычно используется в домашних системах связи. В этом случае SCK является уникальным для каждой пары ''абонентская /базовая станция'', формирующей домашнюю систему связи. Рекомендуется менять SCK один раз в 31 день (период повторения номеров кадров), иначе риск раскрытия информации существенно возрастает.
Дата добавления: 2015-04-07; просмотров: 898;