轨道交通宽窄带集群通信网络信息安全

superempty

TETRA集群系统信息安全讨论

1                                    背景

TETRA数字集群通信系统是一种基于数字时分多址(DTMA)技术的无线集群移动通信系统。TETRA数字集群通信系统可在同一技术平台上提供指挥调度、数据传输和电话服务，它不仅提供多群组的调度功能，而且还可以提供短数据信息服务、分组数据服务以及数字化的全双工移动电话服务。TETRA数字集群系统还支持功能强大的移动台脱网直通(DMO)方式，并可实现鉴权、空中接口加密和端对端加密。TETRA数字集群系统同时还具有虚拟专网功能，可以使一个物理网络为互不相关的多个组织机构服务。TETRA数字集群系统具有丰富的服务功能、高频率利用率、高通信质量、灵活的组网方式，许多新的应用(如车辆定位、图像传输、移动互联网、数据库查询等)都已在TETRA中得到实现。

2                                    研究现状

2.1                          本公司对于TETRA集群系统的开发研究现状

从设备功能讲，系统由无线通信设备(TETRA交换机、基站、通信终端、调度台等核心设备)、场强覆盖设备(泄漏电缆和天馈设备)和系统监控设备三部分构成。从产品来源讲，系统由直接采购产品、二次开发产品和自行设计产品三部分构成。

                              

2.1.1                         本公司目前已经完成的调度分系统有：

1)   行车调度子系统：供行车调度员、列车司机、车站值班员、站台值班员之间进行通信联络，满足行车需要；

2)   维修调度子系统：供维修调度员与现场值班员之间进行通信联络，满足线路、设备日常维护及抢修需要；

3)   防灾调度子系统：供环控调度员、车站值班员、现场指挥人员及相关人员之间进行通信联络，满足事故抢险及防灾需要；

4)   车辆段/停车场调度子系统：供车辆段/停车场信号楼值班员、列检库运转值班员、列车司机、场内作业人员之间进行通信联络，满足车辆段/停车场内调车及车辆维修需要。

2.1.2                         后期依据不同项目随时定制的硬件产品有：

1)       二次开发车载台

列车车载台子系统与调度子系统配合工作向列车司机提供满足8号线地铁无线通信子系统需求的专门调度功能。车载台以摩托罗拉MTM800E为平台，加装车载台控制盒、电源滤波电路、电源变换电路及附属设备，提高了无线用户终端的语音、数据通信、信息显示能力和对列车内工作环境的适应能力。车载台控制盒还为列车上的其它设备提供所需的接口。

2)       二次开发车站固定台

车站固定台子系统与调度子系统配合工作向车站值班人员提供满足北京地铁8号线无线通信子系统需求的专门调度和通话功能。固定台以摩托罗拉MTM800E为平台，加装固定台控制盒、电源变换电路及附属设备，提高了无线用户终端的语音、数据通信、信息显示能力和对车站工作环境的适应能力。车站固定台示意图如下所示。

2.2                          TETRA数字集群系统信息安全技术研究现状

TETRA数字集群系统采用数字话音编码、数字传输和交换技术，实现了系统功能和安全保密功能一体化设计，具有鉴权、空中接口加密和端到端加密等三种安全功能，配置、使用灵活，具有较好的安全保密性。　　

2.2.1                         鉴权（低级安全）　　

公网运营商运营主要是保证计费，防止无权用户进入系统；一般专网则主要保证网络专供本部门的人员使用。鉴权在GSM 和CDMA公网中都具备，但它们都是单向鉴权；TETRA系统可双向鉴权。　　

根据TETRA系统中的设置，不仅可以实现TETRA网络对移动台、移动台对TETRA网络的单向鉴权，还可以实现TETRA网络和移动台之间的双向鉴权。在TETRA系统中均可对交换和管理基础设施（SwMI）和移动台（MS）进行鉴权。对SwMI进行鉴权的目的是为了识别合法的SwMI，从而防止移动台接入非法的TETRA网络；对移动台进行鉴权的目的是为了识别由单个TETRA用户身份识别码（ITSI）标志的用户，从而防止非法移动台接入网络。鉴权采用挑战-应答协议，即由系统鉴权中心或终端产生一个随机数，系统和终端用各自的鉴权密钥和鉴权算法对该随机数进行运算作为对挑战的应答，通过比较各自的结果和收到的应答是否一致得出鉴权的结果。　　

2.2.2                         空中接口加密（中级安全）　　

空中接口加密是终端设备与基站之间的无线通路上的加密，TETRA空中接口包括认证、加密、终端禁止、空中二次加密、伪消息产生等安全功能。TETRA系统支持多种空中接口加密算法，可为不同用户配置不同的加密算法。　　

2.2.2.1                     单个(一对一) 呼叫的空中接口加密　　

单个呼叫加密是比较简单的。移动台在鉴权时会产生一个导出密钥(DCK)。这个值对于某个移动台和某次鉴权过程都是唯一的。不同的移动台和不同的鉴权过程都将会改变导出密钥的值。移动台计算出这个值，网络也计算出同样的值。导出密钥被用于加密和解密在空中传送信息，这样， 就不需要通过开放空中接口传送密钥了。　　

2.2.2.2                     组(群) 呼叫的空中接口加密　　

对组呼叫的加密需要使用多个密钥，公共(用)密钥（Common Cipher Key，CCK），用于个呼和组呼的上行链路；组（群）密钥（Group Cipher Key，GCK），用于组呼的下行链路。每一个位置区域都是一种根据地理位置对系统覆盖区的分片划分，一个位置区域通常由几个相邻的基站组成。每一个区域都有一个共同的公用密钥。TETRA系统会在移动台登记时收到移动台所在位置区域的公共密钥。组(群)密钥是由TETRA系统的上层网络(SwMI)用组(群)身份识别码和随机参数计算出来的。组(群)密钥被分发到组(群)每个成员的移动台的过程可以由导出密钥加密。　　

2.2.2.3                     组(群) 呼情况下的空中接口加密机制　　

在组(群)呼时接收方是多个移动台，所有接收方移动台必须使用同样密钥，即组(群) 密钥，还会用到公共(用) 密钥。　　

2.2.2.4                     空中重新分配密钥　　

在TETRA系统中，允许通过空中将密钥分发给各个移动台，称为空中重新分配密钥(Over The A ir ReKeying，OTAR)。在群呼中，通过网络管理中心将所有共同的GCK和CCK密钥对应地写入每一个移动台。然而，每次更新密钥仍要网络管理中心去完成， 比较繁琐。　　

2.2.2.5                      临时身份识别码　　

身份识别码(ITSI)是TETRA网络用来识别某个移动台的。当移动台进行呼叫时，必须把身份识别码和有关的信令发送给网络。但是，网络入侵者可能通过用户身份识别码监视该用户对TETRA网络的使用频繁程度等。为了防止对特定用户的跟踪，TETRA网络可以发给用户临时身份识别码(ATSI)，用临时身份识别码替换TETRA的用户身份识别码。临时身份识别码与用户身份识别码的数值长度相同，但他是随机分配给用户的，仅在规定时间内有效。TETRA网络管理系统负责维护ITSI和目前分配的ATSI之间的关系。临时身份识别码的应用，能够确保网络入侵者不能跟踪某个用户或了解某个用户对TETRA网络的使用频繁程度。　　

2.2.3                         端对端加密（高级安全）　　

端对端加密适用于对保密性有特严要求的应用场合。在端对端加密中，用户保持自己特有的密钥，系统只是为用户提供透明的通信线路和标准接口，并不参与加密过程。　　

3                                    存在的安全问题

3.1                          对传递信息的威胁

这类威胁直接针对在系统中传输的个人消息，例如系统中的两个用户之间、网络运行商之间、用户和服务提供商之间的消息。主要表现的手段为侦听、篡改、抵赖。

侦听，是指非授权方可能获悉传输或存储在TETRA系统中的信息，空中接口和固定网络的信息都存在被非法侦听的威胁。

篡改，是指非授权方更改系统中的各种信息，主要指信息的非法修改和重放，自重信息的非法修改包括简单更改、删除或插入部分消息或文件、删除整个消息或文件、插入新数据或语音信号、调整信息顺序。同在在TETRA的无线接口和固定网络中的信息都存在被篡改的威胁。

抵赖，是指参与通信的一方否认或部分否认他的行为，分为接收抵赖或源发抵赖。其中接收抵赖是指接收到信息的用户否认他接收到了信息；源发抵赖是指发宗信息的用户否认发送了信息。潜在的攻击者是系统中发送或接收 消息的正常用户。在公共网络和私有网络，如果用户之间无法相互信任，则存在这种威胁。

3.2                          对用户的威胁

这种威胁不是针对某个单独消息，而是直接对系统中的用户造成的威胁，例如流量分析和监视。

流量分析，是指分析网络中的通信流量，包括信息速率、消息长度、接收者和发送者的标识等。

监视，是指监视一个特殊用户的行为，攻击者可能要了解这个用户在核实在何地使用哪个呼叫，属于哪个组织或具有哪些优先权等，也可能对计费信息进行分析。

3.3                          对通信系统的威胁

对通信系统的威胁包括直接针对整个系统或系统的一部分的威胁，而不是针对某个用户或单个消息。可分为拒绝废物和资源的非授权使用。

拒绝服务，是指系统内部或外语的非法攻击者故意削弱系统的服务能力，或使系统无法提供服务。攻击者可能通过删除经过某个特殊接口的所有消息，使某个方向或双向的消息产生延迟、发型大量的消息导致系统溢出、篡改系统配置或物理破坏使得某个节点无法与系统连接、在无线信道上造成拥塞、滥用增值服务等导致系统拒绝对正常用户的服务。

资源的非授权访问，是指使用禁用资源或越权使用无线信道、设备、服务或系统数据库等系统资源。

禁用资源是，指用户根本不允许使用的资源。例如攻击者伪装成其他用户，执行该用户的访问权力，企图访问禁止使用的资源。攻击者使用偷来的或未被认可的设。攻击者了解系统的内部工作，可能获得附加的访问权限或绕开访问控制机制等。

越权使用资源，是指用户允许使用一些资源，但是该用户所访问的资源超出了其权限范围。可能的共计手段包括：攻击者滥用某些信息，例如网络运行人员或服务提供商可能滥用用户的个人信息；攻击者越权使用借用的设备等；攻击者企图独占系统资源，如总是首先强占信道等。

4                                    建议

对于侦听，可以通过使用加密机制使接货的信息只能够被合法的接收者做理解，可以通过使用鉴权机制防止伪装攻击。

对于篡改攻击，不能通过使用安全机制来防止，但可以采用某种机制使信号的接收者以更大的概率监测到篡改。

对于抵赖攻击，可以采用密码安全机制来防止也可以采用一个可信中兴全面记录所有的通信情况。

对于流量分析，可对消息内容和可能的控制信息进行加密。如消息填充和出插入虚假消息作为补充。

对于监视，主要可以使用假名来实现匿名发送、接收和计费。

对于拒绝服务的攻击比较困难，可以采用全面审计的方法来阻止某些潜在的攻击。

对于禁用资源和越权使用资源，可以对用户和操作员进行身份鉴别、合理设计管理员的访问权限和实施强制的访问控制技术等。

TD-LTE无线宽带集群系统信息安全讨论

1、背景

无线宽带集群不同于类似TETRA传统集群，无线宽带集群需要提供大带宽、高速率、可传输语音、数据、图像、视频。时至今日，轨道交通行业对集群通信的需求已经发生了变化，不但需要出色的语音功能，还需要高速数据传输功能，特别是对包括视频在内的多媒体通信能力有着十分迫切的需求;但传统的接入技术难以同时满足宽带多媒体和移动通信两方面的技术要求。新技术、新业务以及新的运营模式的出现，都是为了满足客户日益变化的需求。

2、研究现状

2.1 本公司对与TD-LTE无线宽带集群的研究现状

本公司正在针对轨道交通中高宽带多业务集群需求，结合通信设备商的宽带无线通信网络以及通信终端设备进行着具有语音、视频通话调度业务的宽带集群系统二次开发。包括行车调度台、维修调度台、防灾调度台、车辆段停车场调度台四个分系统和集中网管、车载台、固定台的二次开发。

2.2 TE-LTE无线宽带集群系统信息安全研究现状

对于轨道交通专网用户来说，通话和网络的安全性非常重要，宽带集群必须满足安全性的需要。宽带集群系统可以提供双向鉴权，空中接口加密，端到端加密不同层次的安全业务保障。其中基础设施安全系统部分采用专门的服务器，并且提供开发接口给有加密资质的单位，由加密单位提供加密算法和密钥。终端中预留有SIM卡接口、串口，或者预留专用的接口、端到端加密芯片等，提供开发接口给有加密资质的单位，由加密单位提供加密算法和密钥。

3、存在的安全问题

因TD-LTE无线宽带集群与传统TETRA系统的业务系统基本相同，但在网络结构上稍有区别，具有着扁平化的网络结构、全IP化、高带宽与终端智能化的特点。由于LTE网络架构和业务特征的变化，使得LTE集群系统面临特定的安全威胁。

（1）扁平的网络结构

缺少对在回传网上的数据的保护，数据存在泄漏风险；来自终端和eNB的攻击可直达EPC。

（2）全IP化

无连接及开放的IP网络使攻击更容易；任何一个网络节点都容易进入到整个网络的内部，包括接入层、汇聚层还是核心层。

（3）高带宽与终端智能化

高带宽使得攻击移动终端成为可能，移动终端面临成为DDoS的攻击工具的风险；终端的智能化及应用的多样化，使 得信令风暴愈演愈烈，针对SCTP和GTP的攻击增多。

4、建议

在现有双向鉴权，空中接口加密，端到端加密的安全保障的手段基础上，针对业务系统，尤其二次开发的业务系统上配套研发对应的安全加密机制、业务系统感应检测机制；以及对二次开发设备侧开发嵌入式硬件加密机制，实现无论在无线空口部分还是实际物理层面均达到即防又监的目标。