Xác minh thiết bị phục vụ

Một phần của tài liệu Nghiên cứu hệ thống bộ đàm kỹ thuật số APCO25 và bảo mật thông tin trong hệ thống (Trang 87 - 103)

CHƯƠNG 3 BẢO MẬT THÔNG TIN TRONG HỆ THỐNG BỘ ĐÀM KỸ THUẬT SỐ APCO25

3.6. Các đơn vị và thực thể có thể thay thế trong bảo mật thông tin

3.6.3. Xác minh thiết bị phục vụ

Sau khi thiết bị đã được bảo dưỡng và khôi phục hoạt động bình thường, hãy xác minh rằng sự cố ban đầu đã đƣợc giải quyết và tất cả các thành phần khác vẫn hoạt động bình thường.

Chú ý: Khi xác minh thiết bị, lưu ý rằng một số thiết bị đã được bảo trì có thể mất một thời gian trước khi hoạt động và phục vụ trở lại.

Kiểm tra tình trạng vật lý của thiết bị:

1. Xác minh rằng tất cả các thành phần bị ảnh hưởng đã được cài đặt đầy đủ và thích hợp.

2. Xác minh rằng tất cả hệ thống cáp đƣợc kết nối an toàn với các cổng chính xác.

3. Xác minh rằng không có công cụ hoặc phần cứng (bao gồm đai ốc, bu lông hoặc ốc vít) nằm xung quanh gần thiết bị.

4. Nghe để xác minh rằng tất cả các thiết bị cơ khí nhƣ ổ cứng, quạt và các thiết bị khác đang hoạt động đúng.

Kiểm tra đèn LED:

1. Xác minh rằng các đèn LED đang chỉ ra rằng mỗi thành phần trong tình trạng tốt và hoạt động đúng. Các chỉ báo thường cho thấy thiết bị được cấp nguồn, kích hoạt và thực hiện các hoạt động.

2. Đối với các thiết bị nhƣ bộ xử lý, thẻ mạng và ổ cứng, hãy xác minh rằng hoạt động đèn LED không bật hoặc tắt hoàn toàn. Các đèn LED hoạt động sẽ xuất hiện dao động khi lưu lượng đang được xử lý hoặc như các quá trình đang diễn ra.

Xác minh rằng thiết bị đang hoạt động đúng:

86

1. Xác minh rằng thiết bị đang hỗ trợ chức năng dự định trong hệ thống.

Sử dụng radio, PC khách hoặc thiết bị áp dụng khác để xác định rằng các dịch vụ cuộc gọi hoặc dịch vụ mạng đƣợc hỗ trợ bởi thiết bị đang hoạt động.

2. Đối với thiết bị vô tuyến cố định, sử dụng các thiết bị và công cụ kiểm tra thích hợp nhƣ Cấu hình/Phần mềm dịch vụ (CSS) để chạy kiểm tra truyền và xác định tính toàn vẹn tín hiệu.

3. Xác minh rằng các thiết bị liên quan khác tại trang web, có thể đã bị ảnh hưởng bởi Thiết bị dịch vụ, hiện đang hoạt động đúng.

3.6.4. Các thuật toán được hỗ trợ

Thuật toán mã hóa là một công thức toán học sử dụng một tập hợp các phép toán dịch chuyển bit, hoán vị và logic để chuyển đổi dữ liệu rõ ràng thành mã đƣợc mã hóa. Chỉ người nhận dự kiến mới có thể giải mã. Thuật toán sử dụng một khóa để mã hóa lưu lượng duy nhất. Mã hóa này yêu cầu người nhận phải có cùng khóa và sử dụng cùng một thuật toán để giải mã lưu lượng. Bất cứ ai đang cố gắng giải mã lưu lượng không có cùng khóa và cùng một thuật toán không thể thể phục hồi lưu lượng thoại không được mã hóa ban đầu.

Một thiết bị hỗ trợ mã hóa có thể thực hiện thuật toán nhƣ một chức năng của phần mềm, phần cứng hoặc kết hợp cả phần cứng và phần mềm. Thiết bị an toàn trong hệ thống ASTRO 25 hỗ trợ các thuật toán bổ sung và loại bỏ có thể đƣợc tải vào các thiết bị an toàn.

Phần này mô tả thuật toán hỗ trợ hệ thống ASTRO 25 sau đây:

- AES

- DES-OFB - DES-XL - DVP-XL - DVI-XL

- ADP

Chú ý:

- Không phải tất cả các thiết bị an toàn trong hệ thống đều hỗ trợ tất cả các thuật toán.

- Các thuật toán mã hóa độc quyền (DVP-XL, DVI-XL và DES-XL) không đƣợc hỗ trợ trong Chế độ TDMA.

- AES và DES-OFB là các thuật toán mã hóa tiêu chuẩn. Tất cả các thuật toán khác là Thuật toán mã hóa của Motorola độc quyền.

A.1 Tiêu chuẩn mã hóa dữ liệu (DES/DES-XL/DES-OFB)

87

Tiêu chuẩn mã hóa dữ liệu (DES) đƣợc IBM phát triển cho chính phủ liên bang và đƣợc phê duyệt để cung cấp bảo mật cho thông tin vô tuyến nhạy cảm, không đƣợc phân loại. Chuẩn này sử dụng khóa 56-bit, mỗi byte của khóa có tính chẵn lẻ (số lẻ của số nhị phân 1s). Các khóa duy nhất 7.2 x 10E16 có thể đƣợc sử dụng với thuật toán này.

Trong khi một số loại DES tồn tại, hệ thống ASTRO 25 hỗ trợ DES-XL và DES-OFB. Thuật toán DES-OFB đã đƣợc chọn làm tiêu chuẩn mã hóa kỹ thuật số APCO 25. DES-OFB sử dụng phương pháp đồng bộ hóa phản hồi đầu ra (OFB) và chỉ tương thích với các hệ thống sử dụng bộ phát âm kích thích đa băng tần (AMBE) được chỉ định APCO25. DES-OFB không tương thích với Dự đoán tuyến tính kích thích tổng vector (VSELP). Đối với DES-OFB, dữ liệu đƣợc chia thành các khối bit và đầu ra đƣợc mã hóa từ một khối dữ liệu đƣợc sử dụng làm đầu vào bổ sung để mã hóa khối dữ liệu tiếp theo. DES-OFB không tự đồng bộ hóa.

DES-XL là phiên bản nâng cao của thuật toán DES sử dụng phương thức đánh địa chỉ của đồng bộ mã hóa. Địa chỉ truy cập là một phương thức mã hóa độc quyền của Motorola gắn chuỗi bit mở đầu đồng bộ hóa lên phía trước tín hiệu giọng nói đƣợc mã hóa. Địa chỉ truy cập cũng định kỳ chèn một bản cập nhật đồng bộ hóa trong tin nhắn. Tái Đồng bộ hóa liên tục sửa các lỗi có thể làm hỏng tín hiệu và giữ liên lạc radio đồng bộ. Một bit lỗi đƣợc đƣa vào tín hiệu radio chỉ gây ra một bit đƣợc mã hóa âm thanh bị hủy (thay vì một số bit sẽ bị hủy bằng thuật toán DES gốc). Sửa lỗi cho phép radio hoạt động trong các khu vực phủ sóng ồn hoặc rìa để trải nghiệm cùng hiệu suất và chất lƣợng dịch vụ cuộc gọi ở cả hai chế độ rõ ràng và an toàn.

A.2 Tiêu chuẩn mã hóa nâng cao (AES)

Tiêu chuẩn mã hóa nâng cao (AES) là một cải tiến so với thuật toán DES, sử dụng khóa 128, 192 bit, hoặc 256 bit để mã hóa các khối lưu lượng 128 bit. Giải pháp thoại an toàn của Motorola sử dụng khóa 256- bit. AES sử dụng thuật toán Rijndael với mật mã khối đối xứng. Các khóa duy nhất có thể Từ 3.4 x 10E38 và 1.1 x 10E77 có thể được sử dụng với thuật toán này, tùy thuộc vào kích thước của khóa được sử dụng. Điều này giúp tăng cường bảo mật truyền thông bằng cách cung cấp một phạm vi ít nhất các khóa duy nhất 10E21 hơn DES. AES không tương thích với VSELP. Tiêu chuẩn mã hóa nâng cao đƣợc định nghĩa trong ấn phẩm FIPS 197.

AES cho phép khả năng tương tác, như DES-OFB.

A.3 Bảo mật giọng nói kỹ thuật số - (DVP)

Digital Voice Privacy (DVP) là một thuật toán độc quyền đƣợc phát triển bởi Motorola. Nó có tính năng kỹ thuật mã hóa phức tạp sử dụng khóa 32 bit để cung cấp bảo mật thoại kỹ thuật số cấp cao cho truyền thông radio hai chiều. Thuật toán

88

hỗ trợ tổng cộng 2.36 x 10E21 khóa. Thuật toán này chủ yếu đƣợc sử dụng bởi các cơ quan chính phủ phi liên bang, các công ty thương mại, các tổ chức quốc gia và nhà nước và chính quyền địa phương. Thuật toán DVP-XL là phiên bản nâng cao của thuật toán DVP, sử dụng phương pháp truy cập địa chỉ đồng bộ hóa. Cải tiến này thúc đẩy tỷ lệ lỗi bit thấp hơn trên phạm vi lớn hơn, cho phép radio trải nghiệm hiệu suất tương đương cho cả các cuộc gọi thoại rõ ràng và bảo mật, ngay cả trong vùng phủ sóng.

Các thuật toán mã hóa độc quyền (DVP-XL, DVI-XL và DES-XL) không đƣợc hỗ trợ trong chế độ TDMA.

A.4 Bảo mật kỹ thuật số nâng cao (Advanced Digital Privacy - ADP) ADP là một tùy chọn mã hóa, có thể đƣợc sử dụng để truyền thông bảo mật, nhƣng ở khả năng mã hóa phạm vi rộng là không cần thiết. Thuật toán và khóa cho ADP có thể đƣợc cài đặt trên radio (có hoặc không có Mô-đun mật mã phổ quát).

Các khóa đƣợc tải vào radio thông qua Phần mềm lập trình Khách hàng (CPS) hoặc KVL.

ADP sử dụng khóa 40 bit và thuật toán mã hóa RC4 để mã hóa và giải mã lưu lượng thoại. Lên đến 8 ADP các khóa có thể đƣợc tải vào radio hoặc cơ sở hạ tầng bảo toàn. ADP không hỗ trợ OTAR và không hỗ trợ thay đổi bộ khóa. ADP cũng không hỗ trợ quản lý khóa tập trung từ một cơ sở quản lý khóa.

Hình dưới đây cho thấy ví dụ về cách radio ADP dựa trên phần cứng và phần mềm có thể hoạt động trên hệ thống:

Hình 3.7. Sơ đồ truyền thông ADP

A.5 Thuật toán đơn

Radio ASTRO25 hỗ trợ khả năng mã hóa thuật toán đơn. Khả năng này là một đặc tính tùy chọn.

89

Khả năng thuật toán đơn có nghĩa là một thuật toán mã hóa đƣợc sử dụng trên toàn hệ thống. Thuật toán có thể là tiêu chuẩn hoặc một thuật toán độc quyền.

Một khóa mã hóa đơn hoặc nhiều khóa mã hóa đa có thể đƣợc sử dụng với một thuật toán đơn.

A.6 Đa thuật toán

Radio ASTRO25 hỗ trợ khả năng mã hóa đa thuật toán. Khả năng này là một đặc tính tùy chọn.

Khả năng đa thuật toán có nghĩa là bạn có thể sử dụng nhiều hơn một thuật toán mã hóa hệ thống. Đa thuật toán cung cấp sự linh hoạt cho các tổ chức lớn. Các thuật toán có thể là tiêu chuẩn hoặc độc quyền hoặc kết hợp cả hai. Khả năng đa thuật toán cho phép các tổ chức tạo ra các nhóm hoạt động riêng bằng cách sử dụng một thuật toán mã hóa khác nhau cho mỗi nhóm hoạt động.

Khả năng đa thuật toán cũng cho phép khả năng tương tác giữa các tổ chức và các nhóm hoạt động. Các tổ chức hoặc nhóm liên lạc với nhau có thể làm nhƣ vậy bằng cách sử dụng chung thuật toán mã hóa. Radio với đa thuật toán có thể hoạt động trên các cơ sở hạ tầng hệ thống khác nhau trong đó mỗi hệ thống sử dụng một thuật toán mã hóa khác nhau.

Khả năng đa thuật toán cũng cung cấp khả năng tương thích ngược trong quá trình di chuyển sang thuật toán mã hóa mới bằng cách cho phép đài phát thanh sử dụng các thuật toán mã hóa cũ và mới.

A.7 Khóa đơn

Các hệ thống mã hóa khóa đơn cung cấp khả năng mã hóa truyền giọng nói bằng một khóa mã hóa đơn. Khả năng này là một tính năng tùy chọn.

Radio có thể liên lạc với các radio khác sở hữu khóa đó. Khả năng này giúp tăng cường truyền thông tin rất nhạy cảm. Người dùng có thể nói thoải mái mà không cần quan tâm cuộc hội thoại của mình có thể được bị nghe lén bởi người nghe trái phép.

Radio có thể giao tiếp ở chế độ bảo mật với các radio khác đƣợc lập trình với cùng một khóa. Radio không có khóa mã hóa phù hợp không thể giải mã truyền đƣợc mã hóa.

Bạn có thể sử dụng mã hóa khóa đơn khi radio hoạt động trong hệ thống chỉ hỗ trợ một khóa tại một thời điểm. Mã hóa khóa đơn cũng chỉ sử dụng một thuật toán mã hóa. Khi mã hóa khóa đơn đƣợc sử dụng, OTAR và bộ khóa không đƣợc sử dụng.

A.8 Đa khóa

Hệ thống ASTRO25 có thể hỗ trợ mã hóa đa khóa. Khả năng này là một tính năng tùy chọn. Đa khóa là khả năng sử dụng các khóa bảo mật ASTRO25 khác nhau cho các nhóm trò chuyện khác nhau và các cá nhân trong toàn hệ thống. Trong

90

hệ thống ASTRO25 được trang bị đa khóa, mỗi radio người dùng có thể duy trì tới 48 CKR lưu lượng khác nhau. Thẻ mã hóa cơ sở hạ tầng có thể duy trì tới 500 khóa lưu lượng khác nhau để mã hóa và giải mã lưu lượng thoại. Trong hệ trung chuyển, các nhóm đàm thoại tách các nhóm người dùng khác nhau. Một khóa được sử dụng cho một nhóm thảo trò chuyện nhất định và tất cả các thành viên trong nhóm phải có chìa khóa đó để giao tiếp một cách an toàn. Có thể lập trình một radio cho nhiều nhóm đàm thoại, mặc dù radio chỉ có thể vận hành một nhóm đàm thoại tại một thời điểm. Radio phải có tất cả các khóa mà các nhóm đàm thoại sử dụng để người dùng radio có thể phát ra giọng nói an toàn. Cùng một khóa có thể đƣợc sử dụng cho nhiều nhóm nói chuyện.

Phần sau đây trình bày cách các khóa có thể đƣợc gán cho các nhóm đàm thoại và cách gán khóa ảnh hưởng đến khả năng giao tiếp:

Bảng 3.5. Ví dụ về việc sử dụng các khóa mã hóa với các nhóm đàm thoại

Radio 1 Radio 2 Radio 3

Nhóm đàm thoại 1 - khóa A

Nhóm đàm thoại 1 - khóa A

Nhóm đàm thoại 1 - khóa A

Nhóm đàm thoại 2 - khóa A

Nhóm đàm thoại 2 - khóa A

Không đƣợc lập trình cho Nhóm đàm thoại 2

Nhóm đàm thoại 3 - khóa B

Không đƣợc lập trình cho Nhóm đàm thoại 3

Nhóm đàm thoại 3 - khóa B

Không đƣợc lập trình cho Nhóm đàm thoại 4

Nhóm đàm thoại 4 - khóa C

Nhóm đàm thoại 4 - khóa C

- Radio 1, 2 và 3 có thể giao tiếp trên nhóm đàm thoại 1 bằng khóa A - Radio 1 và 2 có thể giao tiếp trên nhóm đàm thoại 2 bằng khóa A - Radio 1 và 3 có thể giao tiếp trên nhóm đàm thoại 3 bằng khóa B - Radio 2 và 3 có thể giao tiếp trên nhóm đàm thoại 4 bằng khóa C

Trong hệ thống ASTRO 25, mã hóa đa khóa là tiêu chuẩn cho bàn điều phối MGEG hoặc MCC7500 là một tùy chọn cho radio. Thẻ an toàn có thể lưu trữ tới 500 khóa khác nhau. Một Bộ tải biến khóa (KVL) đƣợc sử dụng để tải các khóa mã hóa trong bàn điều phối và radio. Bàn điều phối yêu cầu Trình tải biến đổi khóa hoạt động trong chế độ ASTRO25. OTAR là tùy chọn cho giải pháp đa khóa.

3.6.5. Xử lý cuộc gọi bảo mật trong hệ thống ASTRO 25 Trunking IVD Phần này mô tả các quy trình mà hệ thống ASTRO 25 Trunking IV&D thực hiện khi người dùng bắt đầu các cuộc gọi bảo mật thoại. Các loại cuộc gọi là:

- Các cuộc gọi bảo mật do người vận hành bàn điều phối khởi tạo

91

- Các cuộc gọi bảo mật do người dùng khởi tạo qua radio - Cuộc gọi kết nối điện thoại

C.1 Các cuộc gọi bảo mật được khởi tạo bởi người điều khiển bàn điều phối

Phần này thảo luận về các loại cuộc gọi khác nhau mà người vận hành bàn điều phối có thể khởi tạo. Những loại này bao gồm:

- Các cuộc gọi bảo mật đến một nhóm đàm thoại

- Các cuộc gọi bảo mật đến một người dùng radio cá nhân

C1.1 Thực hiện cuộc gọi bảo mật từ người vận hành bàn điều phối đến nhóm thoại

Phần này mô tả các sự kiện diễn ra khi người vận hành bàn điều phối thực hiện cuộc gọi bảo mật đến nhóm đàm thoại:

Điều kiện tiên quyết: Để thực hiện cuộc gọi bảo mật tới nhóm đàm thoại, bàn điều phối phải có khả năng tạo các cuộc gọi bảo mật.

Quy trình:

1. Người vận hành bàn điều phối chọn một nhóm đàm thoại.

2. Thiết bị điều khiển tạo yêu cầu dịch vụ.

3. Yêu cầu đƣợc chuyển đến bộ điều khiển vùng.

4. Bộ điều khiển vùng định vị các tài nguyên thích hợp và xác định khả năng chế độ mã hóa cho nhóm thoại đƣợc yêu cầu.

5. Bộ điều khiển vùng gửi địa chỉ đa hướng và khả năng bảo mật thoại cho cuộc gọi này đến tất cả tài nguyên RF đƣợc yêu cầu và bàn điều phối MGEG hoặc MCC 7500.

6. Xử lý giọng nói và mã hóa diễn ra:

Nếu… Thì…

Nếu bạn có MGEG Những sự kiện sau sẽ xảy ra:

a) Giọng nói của người điều hành được chuyển đổi thành PCM tại Ngân hàng điện tử trung ƣơng (CEB).

b) Âm thanh PCM đƣợc chuyển đến MGEG thông qua Ngân hàng Điện tử Đại sứ (AEB).

c) Thẻ thoại thực hiện dịch âm thanh PCM-to- ASTRO® 25 và chuyển tiếp âm thanh đến thẻ bảo mật.

d) Thẻ bảo mật mã hóa âm thanh bằng khóa mã hóa đƣợc xác định bởi MGEG cho nhóm trò chuyện cụ thể đó.

e) Thẻ bảo mật chuyển tiếp âm thanh đƣợc mã hóa,

92

thông qua quá trình chuyển đổi/thẻ thoại, nhƣ gói IP cho cơ sở hạ tầng.

f) Các gói đƣợc định tuyến và gửi đến các trang web từ xa để truyền dưới dạng trong một cuộc gọi thông thường (nghĩa là không được mã hóa).

Nếu bạn có bàn điều phối MCC 7500.

Những sự kiện sau sẽ xảy ra:

a) Giọng nói từ người điều hành được số hóa tại VPM và có nguồn gốc từ địa chỉ đa chiều đƣợc phân bổ cho cuộc gọi.

b) VPM mã hóa âm thanh với khóa mã hóa đƣợc cấu hình cho nhóm đàm thoại cụ thể đó.

C.1.2 Thực hiện cuộc gọi an toàn từ người vận hành bàn điều phối đến người dùng radio

Phần này mô tả các sự kiện diễn ra khi người vận hành bàn điều phối thực hiện cuộc gọi bảo mật đến một người dùng radio cá nhân.

Điều kiện tiên quyết: Để người vận hành bàn điều phối thực hiện cuộc gọi bảo mật tới người dùng radio, radio của người dùng phải có khả năng thực hiện cuộc gọi bảo mật.

Quy trình:

1. Người vận hành bàn điều phối chọn một Radio ID của người dùng và nhấn công tắc truyền.

Chú ý: Bàn điều phối có một số nút hoặc công tắc mà người vận hành có thể sử dụng để khởi tạo một cuộc gọi. Đây đƣợc gọi chung là các "công tắc truyền" trong các tài liệu của Motorola.

2. Thiết bị điều khiển tạo yêu cầu dịch vụ.

3. Yêu cầu đƣợc chuyển đến bộ điều khiển vùng.

4. Bộ điều khiển vùng định vị các tài nguyên thích hợp và xác định khả năng chế độ mã hóa cho người dùng radio an toàn được yêu cầu.

5. Bộ điều khiển vùng gửi địa chỉ người dùng radio bảo mật và khả năng bảo mật thoại cho cuộc gọi này tới tất cả các tài nguyên RF đƣợc yêu cầu và bàn điều phối MGEG hoặc MCC 7500.

6. Xử lý giọng nói và mã hóa diễn ra:

Nếu… Thì…

Nếu bạn có MGEG Sự kiện sau sẽ xảy ra:

Một phần của tài liệu Nghiên cứu hệ thống bộ đàm kỹ thuật số APCO25 và bảo mật thông tin trong hệ thống (Trang 87 - 103)

Tải bản đầy đủ (PDF)

(104 trang)