КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Защищенность. Разнесенные антенны
|
|
|
|
Разнесенные антенны
Хэндовер в DECT – это механизм ухода от каналов, подверженных воздействию помех, или каналов с низким уровнем сигнала. Однако хэндовер происходит недостаточно быстро, чтобы противодействовать ситуациям быстрого замирания. Для борьбы с быстрыми интерференционными замираниям (БИЗ) стандартом DECT предусматривается механизм пространственного разнесенного приема. БИЗ возникают в результате интерференции нескольких лучей в точку приема, которая перемещается относительно БС. В результате чего меняется разность хода между этими лучами и, как следствие этого, уровень суммарного сигнала претерпевает колебания, которые могут достигать 30 и более дБ. При использовании двух пространственно разнесенных антенн разность хода лучей от каждой из них в точке приема будет различной. В офисных и WLL системах к каждой БС подключаются две коммутируемые пространственно разнесенные в горизонтальной плоскости антенны, причем разнос антенн в офисных системах приблизительно равен (длине волны), а в WLL системах – 10 . Поэтому эффективность этого метода в офисных системах сказывается при малых удалениях. В системах WLL АРБ стационарны и причина замираний заключается в воздействии эффекта рефракции на разность хода прямого и отраженного лучей. Из теории известно, что при разносе антенн на 10 и более суммарные сигналы, принимаемые каждой из антенн практически не коррелированны. Переключение антенн и выбор рабочего канала происходит под управлением АРБ.
В настоящее время все больше внимания уделяется проблемам защищенности систем связи к несанкционированному доступу. Стандарт DECT предусматривает меры защиты доступности телекоммуникационных систем, характерной для беспроводной связи.
|
|
|
Перечень штатных услуг и процедур по обеспечению безопасности в системах стандарта DECT включает в себя:
- прописку АРБ;
- аутентификацию АРБ;
- аутентификацию БС;
- взаимную аутентификацию АРБ и БС;
- аутентификацию пользователя;
- шифрование данных.
Прописка – это процесс, благодаря которому система допускает конкретный АРБ к обслуживанию. Оператор сети или сервис-провайдер обеспечивает пользователя АРБ секретным ключом прописки (PIN-кодом), который должен быть введен как в КБС, так и в АРБ до начала процедуры прописки. До того, как трубка инициирует процедуру фактической прописки, она должна также знать идентификатор БС, в которую она должна прописаться (из соображений защищенности процедура прописки может быть организована даже для системы с одной БС). Время проведения процедуры обычно ограничено, и ключ прописки может быть применен только один раз, это делается специально для того, чтобы минимизировать риск несанкционированного использования.
Прописка в DECT может осуществляться “по эфиру”, после установления радиосвязи с двух сторон происходит верификация того, что используется один и тот же ключ прописки. Происходит обмен идентификационной информацией, и обе стороны просчитывают секретный аутентификационный ключ, который используется для аутентификации при каждом установлении связи. Секретный ключ аутентификации не передается по эфиру.
АРБ может быть прописан на нескольких базовых станциях. При каждом сеансе прописки, АРБ просчитывает новый ключ аутентификации, привязанный к сети, в которую он прописывается. Новые ключи и новая информация идентификации сети добавляются к списку, хранящемуся в АРБ, который используется в процессе соединения. Трубки могут подключиться только к той сети, в которую у них есть права доступа (информация идентификации сети содержится в списке).
|
|
|
В процессе аутентификации любого уровня используется криптографическая процедура ''запрос-ответ'', позволяющая выяснить, известен ли проверяемой стороне аутентификационный ключ.
Аутентификация АРБ позволяет предотвратить его неправомочное использование (например, с целью избежать оплаты услуг) или исключить возможность подключения похищенного или незарегистрированного АРБ.
Аутентификация происходит по инициативе БС при каждой попытке установления соединения (входящего и исходящего), а также во время сеанса связи. Сначала БС формирует и передает запрос, содержащий некоторый постоянный или сравнительно редко меняющийся параметр (64 бита), и случайное число (64 бита), сгенерированное для данной сессии.
Затем в БС и АРБ по одинаковым алгоритмам с использованием аутентификационного ключа К вычисляется так называемый аутентификационный ответ (32 бита). Этот вычисленный (ожидаемый) ответ в БС сравнивается с принятым от АРБ, и при совпадении результатов считается, что аутентификация АРБ прошла успешно.
Аутентификация БС исключает возможность неправомочного использования станции. С помощью этой процедуры обеспечивается защита служебной информации (например, данных о пользователе), хранящейся в АРБ и обновляемой по команде с БС. Кроме того, блокируется угроза перенаправления вызовов абонентов и пользовательских данных с целью их перехвата.
Алгоритм аутентификации БС аналогичен последовательности действий при аутентификации АРБ.
Взаимная аутентификация может осуществляться двумя способами:
- При прямом методе последовательно проводятся две процедуры аутентификации АРБ и БС;
- Косвенный метод в одном случае подразумевает комбинацию двух процедур - аутентификации АРБ и шифрования данных (поскольку для шифрования информации необходимо знание аутентификационного ключа К), а в другом - шифрование данных с использованием статического ключа SCK (Static Cipher Key), известного обеим станциям.
Аутентификация пользователя позволяет выяснить, знает ли пользователь АРБ свой персональный идентификатор. Процедура инициируется БС в начале вызова и может быть активизирована во время сеанса связи. После того, как пользователь вручную наберет свой персональный идентификатор UPI (User Personal Identity), и в АРБ с его помощью будет вычислен аутентификационный ключ К, происходит процедура, аналогичная последовательности действий при аутентификации АРБ.
|
|
|
Во всех описанных процедурах аутентификационный ответ вычисляется по аутентификационному запросу и ключу аутентификации К в соответствии со стандартным алгоритмом (DSAA-DECT Standard Authentication Algorithm) или любым другим алгоритмом, отвечающим требованиям безопасности связи. Алгоритм DSAA является конфиденциальной информацией и поставляется по контракту с ETSI. Использование другого алгоритма будет ограничивать возможности абонентских станций, так как возникнут трудности при роуминге в сетях общего пользования DECT.
Аутентификационный ключ К является производной от одной из трех величин или их комбинаций, приведенных ниже.
1. Абонентский аутентификационный ключ UAK (User Authentication Key) длиной до 128 бит. UAK является уникальной величиной, содержащейся в регистрационных данных пользователя. Он хранится в ПЗУ абонентской станции или в карточке DAM (DECT Authentication Module).
2. Аутентификационный код АС (Authentication Code) длиной 16-32 бита. Он может храниться в ПЗУ абонентской станции или вводиться вручную, когда это требуется для проведения процедуры аутентификации.
Необходимо отметить, что нет принципиальной разницы между параметрами UAK и АС. Последний обычно используется в тех случаях, когда требуется довольно частая смена аутентификационного ключа.
3. Персональный идентификатор пользователя UPI (User Personal Identity) длиной 16-32 бита. UPI не записывается в устройства памяти абонентской станции, а вводится вручную, когда это требуется для проведения процедуры аутентификации. Идентификатор UPI всегда используется вместе с ключом UAK.
Шифрование данных обеспечивает криптографическую защиту пользовательских данных и управляющей информации, передаваемых по радиоканалам между БС и АРБ.
В АРБ и БС используется общий ключ шифрования СК (Cipher Key), на основе которого формируется шифрующая последовательность KSS (Key Stream Segments), накладываемая на поток данных на передающей стороне и снимаемая на приемной. KSS вычисляется в соответствии со стандартным алгоритмом шифрования DCS (DECT Standard Cipher) или любым другим алгоритмом, отвечающим требованиям криптографической стойкости. Алгоритм DSC является конфиденциальной информацией и поставляется по контракту с ETSI.
|
|
|
В зависимости от условий применения систем DECT могут использоваться ключи шифрования двух типов: вычисляемый – DCK (Derivation Cipher Key) - и статический – SCK (Static Cipher Key). Статические ключи SCK вводятся вручную абонентом, а вычисляемые DCK обновляются в начале каждой процедуры аутентификации и являются производной от аутентификационного ключа К. В ПЗУ абонентской станции может храниться до 8 ключей.
Статический ключ обычно используется в домашних системах связи. В этом случае SCK является уникальным для каждой пары ''абонентская /базовая станция'', формирующей домашнюю систему связи. Рекомендуется менять SCK один раз в 31 день (период повторения номеров кадров), иначе риск раскрытия информации существенно возрастает.
|
|
|
|
|
Дата добавления: 2014-11-08; Просмотров: 487; Нарушение авторских прав?; Мы поможем в написании вашей работы!