Các biện pháp bảo mật chung

Một phần của tài liệu Nghiên cứu hệ thống bộ đàm kỹ thuật số APCO25 và bảo mật thông tin trong hệ thống (Trang 70 - 75)

CHƯƠNG 3 BẢO MẬT THÔNG TIN TRONG HỆ THỐNG BỘ ĐÀM KỸ THUẬT SỐ APCO25

3.3. Các biện pháp bảo mật chung

3.3.1. Hệ thống cơ sở quản lý khóa (KMF)

KMF là kho lưu trữ trung tâm của các khóa mã hóa và cung cấp phương pháp chiến lƣợc để quản lý tất cả tài nguyên bảo mật trong hệ thống ASTRO 25.

KMF cho phép bạn quản lý các khóa và bảo mật dữ liệu đƣợc sử dụng bởi tất cả các thiết bị trong hệ thống. KMF gồm:

- Máy chủ và máy khách KFM chạy trên Windows Server 2008 với mã hóa KMF kết nối

- Máy khách KMF chạy trên Windows 7 3.3.1.1 KMF Server

KMF Server chứa ứng dụng KMF Server, xử lý các thông điệp quản lý khóa (KMMs), quản lý các hoạt động khóa lại qua vô tuyến (OTAR), đồng thời lưu trữ tất cả cài đặt cấu hình và vật liệu khóa.

KMF Client truy cập thông tin quản lý khóa bằng cách đăng nhập vào máy chủ. Từ phía khách hàng, bạn có thể cấu hình thông tin quản lý khóa và tải khóa lên KMF Server. KMF Server xử lý các hoạt động khóa lại qua vô tuyến (OTAR), bao gồm các yêu cầu khóa lại, cập nhật đầy đủ, cập nhật CKR, hello mã hóa và rõ ràng, số không hóa, ức chế, kích hoạt và các lệnh chuyển đổi tập khóa. KMF Server duy trì thông tin lưu hành cho tất cả các lệnh và thực hiện khả năng thử lại cho các thiết bị đích mà chƣa nhận lệnh.

KMF Server cung cấp các dịch vụ đóng gói và mã hóa cho tất cả các thông điệp quản lý khóa (KMMs) thông qua KMF CryptR. KMF CryptR hỗ trợ kết nối thứ tự cho khóa tải đến một KVL đƣợc kết nối cục bộ. Cổng UDP/IP Ethernet kết nối với CEN (Customer Enterprise Network - Mạng doanh nghiệp khách hàng) để hỗ trợ tất cả KMM trong và ngoài nước. Cổng Ethernet cũng hỗ trợ lưu lượng giữa KMF Server và các KMF Client. Ổ đĩa DVD-RW có sẵn để cài đặt phần mềm, tải các khóa từ file, và lưu trữ dữ liệu vào DVD.

3.3.1.2 KMF CryptR

KMF CryptR cung cấp dịch vụ mã hóa cho cơ sở quản lý khóa. Nó lưu trữ bảo mật các khóa chủ trong KMF và sử dụng các khóa này thực hiện hoạt động mã hóa cho cả việc lưu trữ khóa và tạo tin nhắn OTAR/OTEK.

Khi thiết bị đích cần cập nhật khóa, KMF CryptR sẽ nhận tài liệu khóa đƣợc mã hòa từ KMF Server. Tiếp đó, KMF CryptR sẽ giải mã tài liệu với khóa chủ của KMF. Sau đó, KMF CryptR mã hóa tài liệu khóa với KEK của thiết bị đích (khóa mã hóa khóa), sinh ra một thông điệp quản lý khóa đƣợc mã hóa thêm (KMM) với

69

TEK của thiết bị đích (khóa mã hóa lưu lượng), đồng thời gửi KMM đã được mã hóa tới KMF Server. KMF Server gửi KMM qua một giao diện thích hợp đến thiết bị đích. Đối với các KMM, chúng không chứa tài liệu khóa, KMF CryptR vẫn có thể mã hóa KMM, tùy vào thông điệp.

Để kích hoạt các dịch vụ mã hóa cho KMF Server, KMF CryptR đƣợc kết nối với KMF Server sử dụng cáp chéo Ethernet. Khi KMF CryptR cần tải với khóa chủ hoặc cần chấp nhận các khóa thay cho KMF Server, KVL đƣợc kết nối với KMF CryptR sử dụng cáp tải khóa.

Hình 3.6. Kết nối KMF CryptR 3.3.1.3 KMF Client

KMF Client cung cấp giao diện người sử dụng chính trong hệ thống con KMF. Cho phép tới 65 người sử dụng đồng thời tại các địa điểm vật lý khác nhau để truy cập vào KMF Server và thực hiện bất kỳ quản lý khóa cần thiết, cấu hình thiết bị bảo mật và các lệnh OTAR. Những lệnh này bao gồm cập nhật đầy đủ, cập nhật CKR, hello mã hóa và rõ ràng, số không hóa, ức chế, kích hoạt và các lệnh chuyển đổi tập khóa. Ứng dụng KMF Client cho phép nhiều mối quan hệ phức tạp giữa các bộ đàm, nhóm và các khóa giải mã cho quản lý bởi người dùng. Ứng dụng KMF Client có giao diện tích hợp để hỗ trợ trunking ASTRO25.

3.3.2. Đơn vị mã hóa PDEG

Đơn vị mã hóa Motorola PDEG là giải pháp cổng kết nối mạng riêng ảo IPSec bảo mật cao, chất lƣợng cao, cho phép giao tiếp bảo mật đầu-cuối giữa các ứng dụng trong CEN và các ứng dụng di động đối với mạng Motorola ASTRO25.

PDEG cài đặt dễ dàng với các cổng tiêu chuẩn RJ-45 Ethernet cho các giao diện mạng mặt đỏ (rõ ràng) và mặt đen (đƣợc mã hóa). Đơn vị mã hóa PDEG đƣợc xác nhận bởi Viện tiêu chuẩn quốc gia và công nghệ FIPS cấp độ 3. Các khóa mã hóa dữ liệu trong đơn vị mã hóa PDEG có thể đƣợc quản lý tập trung sử dụng máy chủ cơ sở quản lý khóa (KMF) trong mạng doanh nghiệp khách hàng (CEN).

70

PDEG Encryption Unit (đơn vị mã hóa PDEG) gồm tính năng dữ liệu tích hợp đƣợc mã hóa (EID) trong CEN. Tính năng EID cung cấp các dịch dụ mã hóa dữ liệu cho các ứng dụng hệ thống ASTRO25 giữa CEN và thuê bao. Tính năng EID sử dụng IPsec để cung cấp mã hóa AES, giải mã và xác thực dữ liệu gói giữa mỗi EID và PDEG Encryption Unit. Sử dụng tính năng EID, tổ chức của bạn có thể đƣợc bảo mật.

Các tính năng chính của PDEG Encryption Unit:

- Truyền dữ liệu ASTRO25 đƣợc bảo vệ qua mạng và trong cơ sở hạ tầng mạng vô tuyến.

- Mã hóa, giải mã, và xác thực lưu lượng dữ liệu vào và ra CEN sử dụng AES.

- Chứng nhận FIPS.

Các đặc điểm nổi bật của PDEG Encryption Unit:

- Bảo mật vật lý tích hợp - Chống giả mạo cao - Bảo mật FIPS mức độ 3

Chú ý: EID không hỗ trợ mã hóa dữ liệu cho các tính năng hay dịch vụ dưới đây:

- Dịch vụ dữ liệu hiệu suất cao (HPD) ASTRO25 - Lưu lượng dữ liệu phát sóng ASTRO25

- Quá 25 dữ liệu

Những tính năng trên có thể tồn tại trong hệ thống khi EID cũng tồn tại, nhƣng EID không thể đƣợc sử dụng để mã hóa dữ liệu cho các tính năng này.

3.3.3. Cổng phân vùng - Border Gateway

Border Gateway đóng vai trò là ranh giới giữa mạng ngoại vi và cơ sở hạ tầng mạng Motorola Radio (RNI). Một mặt của Border Gateway cung cấp giao diện với CEN, mặt kia gắn với mạng ngoại vi để giao tiếp với các thiết bị nhƣ một phần của RNI.

3.3.4. Tường lửa – Firewall

Tường lửa là một thiết bị bảo mật mạng cung cấp cưỡng chế ranh giới mạng và tính năng phát hiện tấn công. Tường lửa hạn chế lưu lượng tới các nguồn, đích và giao thức định trước, dựa trên máy chủ lưu trữ và các dịch vụ được chỉ định trong cấu hình tường lửa. Tất cả các lưu lượng không được xác định sẽ bị loại bỏ.

Tường lửa có thể được quản lý bởi phần mềm quản lý bảo mật và mạng nằm trên Máy chủ quản lý tường lửa, nếu có trong hệ thống, với giao diện người sử dụng

71

đồ họa đặt tại Máy chủ quản lý bảo mật trung tâm (CSMS) hoặc một máy chủ Windows khác tại trang web chủ trong cơ sở hạ tầng radio.

3.3.5. Đơn vị mã hóa bộ điều khiển mạng vô tuyến

Đơn vị mã hóa RNC là một thiết bị bên ngoài kết nối với Bộ điều khiển mạng vô tuyến (RNC) để hỗ trợ các dịch vụ dữ liệu bảo mật cho các hệ thống ASTRO®3.1 Conventional IV&D. Tối đa 5 đơn vị mã hóa đƣợc kết nối với RNC.

Đơn vị mã hóa cho phép RNC mã hóa hoặc giải mã lưu lượng dữ liệu bảo mật (không bao gồm các thông điệp quản lý khóa) khi lưu lượng đang được chuyển qua giữa radio thông dụng và mạng máy chủ của khách hàng. Đơn vị mã hóa sẽ mã hóa dữ liệu bên ngoài từ máy tính chủ trên mạng để phân phối qua không trung tới các bộ đàm. Đơn vị mã hóa cũng giải mã dữ liệu bảo mật bên trong, cho phép dữ liệu rõ ràng đƣợc gửi đến các máy tính chủ cố định trên mạng khách hàng.

3.3.6. Mô-đun mã hóa dữ liệu CAI (CDEM)

CDEM là thành phần cung cấp dịch vụ mã hóa và giải mã dữ liệu bảo mật cho ASTRO®25 tiêu chuẩn với tính năng Dữ liệu tích hợp. CDEM đƣợc đặt trong cơ sở hạ tầng mạng vô tuyến (RNI) và kết nối với thành phần Cổng mạng vô tuyến (RNG) của Máy ảo cổng Dữ liệu gói (PDG) thông qua cáp chéo Ethernet. Khi PDG nhận dữ liệu từ Mạng doanh nghiệp khách hàng (CEN) hoặc từ một thuê bao thông qua thiết bị RF chuẩn, nó chuyển dữ liệu đó đến CDEM nếu cần các dịch vụ bảo mật. CDEM thực hiện hoạt động mã hóa hoặc giải mã mong muốn rồi gửi dữ liệu trở lại PDG để truyền đến đích cuối cùng.

Các tính năng chính của CDEM:

- Dễ dàng cài đặt với các cổng Ethernet chuẩn RJ-45 cho giao diện mạng - Dễ dàng cấu hình

- Sự tiêu thụ ít điện năng

- Kích thước nhỏ / trọng lượng nhẹ

- Hỗ trợ thuật toán mã hóa DES-OFB và AES 256

- Đƣợc chứng nhận cho Viện Tiêu chuẩn và Công nghệ Quốc gia FIPS 140-2 cấp độ 3

- Khóa mã hóa dữ liệu có thể đƣợc quản lý tập trung bằng cách sử dụng Cơ sở quản lý khóa (KMF)

3.3.7. Bàn điều phối MCC 7500 với VPM

Bàn điều phối MCC 7500 với thiết bị bảng điều khiển module xử lý giọng nói (VPM) bao gồm:

- Bảng điều gửi đi MCC 7500

72

- Module bộ xử lý giọng nói (VPM)

- Phần cứng ngoại vi liên kết nhƣ microphone và loa

VPM kết nối với bộ chuyển mạch LAN của trang web bảng điều khiển và liên lạc với PC bảng điều khiển phân phối hoặc máy chủ giao diện Lưu trữ (AIS) thông qua Ethernet.

Máy chủ Giao diện Lưu trữ (AIS) cung cấp giao diện giữa hệ thống vô tuyến Motorola và máy ghi nhật ký.

3.3.8. Radio bảo mật kỹ thuật số ASTRO 25

Motorola cung cấp radio có khả năng bảo mật tương thích để sử dụng với hệ thống ASTRO 25. Bộ đàm có khả năng bảo mật bao gồm bộ đàm hai chiều APX, bộ đàm cầm tay XTS 5000, máy bộ đàm XTL 5000. Một số radio đƣợc cài đặt trước đó cũng có thể sử dụng tính năng bảo mật thoại trên hệ thống ASTRO 25.

3.3.8.1 Mô-đun mã hóa vô tuyến

Bộ đàm có khả năng bảo mật đƣợc trang bị một mô-đun mã hóa tùy chọn xử lý tất cả mã hóa, giải mã và tải khóa cho radio. Radio có thể là máy mật mã nâng cao Motorola (Motorola Advanced Crypto Engine - MACE), một Mô-đun mã hóa toàn cầu (Universal Crypto Module – ECM) hoặc Thẻ mô-đun mã hóa (Encryption Module Card - EMC) đƣợc cài đặt để thực hiện hoạt động mã hóa. Mô-đun này kết nối trực tiếp với PCB bên trong radio và giao diện với mạch phát âm trong radio để mã hóa và giải mã lưu lượng thoại. Khi những chiếc radio này được cung cấp đúng cách, họ có thể tham gia vào các cuộc gọi riêng bảo mật, các cuộc gọi nhóm và điện thoại trên hệ thống.

Chú ý: Phần cứng mã hóa EMC chỉ đƣợc hỗ trợ trong các bộ đàm đƣợc cài đặt trong dải tần số 800 MHz, không có trong radio VHF/UHF được cài đặt trước đó.

Mô-đun mã hóa lưu trữ các thuật toán và tài liệu khóa ở dạng được mã hóa bằng cách sử dụng khóa bảo vệ sinh ra ngẫu nhiên tạo (KPK). Tài liệu khóa đƣợc lưu trữ ở dạng bảo mật bộ nhớ flash hỗ trợ pin giả. Chế độ bảo vệ giả mạo cho radio có thể đƣợc bật hoặc tắt thông qua tham số duy trì khóa vô hạn trong phần mềm lập trình radio. Khi chế độ bảo vệ giả mạo đƣợc bật, radio sẽ xóa tất cả các tài liệu khóa khi cơ chế nhạy áp lực trên mô-đun mã hóa bị xáo trộn hoặc mô-đun mã hóa bị xóa khỏi radio.

3.3.8.2 Cài đặt radio bảo mật

Để hoạt động đúng, các cài đặt phải khớp với các tham số đƣợc xác định trong Trình quản lý cung cấp và các khóa/thuật toán phải khớp với các tham số

73

đƣợc xác định trong KMF. Đối với hoạt động OTAR, lập trình radio cho khả năng dữ liệu gói và cung cấp địa chỉ đầy đủ của KMF đƣợc định cấu hình (bao gồm địa chỉ KMF UDP/IP và RSI).

Trờn radio, biểu tƣợng ỉ biểu thị bảo mật thoại và biểu tƣợng O biểu thị không bảo mật thoại. Bảo mật thoại đƣợc chọn trên radio bằng cách bật nút chọn thành ỉ (hoặc nhấn nỳt ỉ). Khụng bảo mật thoại đƣợc chọn bằng cỏch bật nỳt chọn thành O (hoặc nhấn nút O). Sử dụng phần mềm lập trình máy bộ đàm (CPS), các nút khác trên radio di động có thể đƣợc lập trình để chọn bảo mật thoại. Khi bảo mật thoại đƣợc chọn, biểu tƣợng ỉ đƣợc hiển thị trờn màn hỡnh. Biểu tƣợng ỉ nhấp nháy trên màn hình khi radio đang nhận đƣợc một cuộc gọi bảo mật. Khi chọn khả năng bảo mật thoại, màn hình radio sẽ hiển thị bí danh cho khóa nếu bí danh đã đƣợc xác định trong CPS. Một thông báo FAIL KEY xuất hiện nếu có bất kỳ lỗi chính nào xảy ra. Nếu hội thoại nhóm đƣợc chọn không đƣợc cấu hình cho dịch vụ bảo mật, thông báo CLR TX ONLY sẽ xuất hiện.

Radio có thể khởi tạo các yêu cầu cấp lại khóa (REKY), xóa khóa (ERAS) và thay đổi bộ khóa (KSET) thông qua menu trên màn hình. Đối với yêu cầu cấp lại khóa, radio sẽ gửi yêu cầu tới KMF và KMF đáp ứng với một bản cập nhật cấp lại khóa. Khi xóa khóa được chọn từ menu của radio, người dùng radio có thể chọn một khóa duy nhất để xóa hoặc chọn xóa tất cả các khóa. Khi xóa tất cả các khóa, radio sẽ xóa tất cả tài liệu khóa được lưu trữ, bao gồm cả khóa đã mất khóa (KLK).

Khi thay đổi bộ khóa được chọn từmenu, người dùng radio có thể chọn bộ khóa để hoạt động (KSET1 hoặc KSET2).

Khi radio đăng ký với hệ thống trong khi bật nguồn, radio sẽ cố gắng thiết lập kết nối dữ liệu với KMF. Radio cung cấp cho KMF địa chỉ IP của radio và RSI.

Khi mà KMF nhận đƣợc tin nhắn của radio, KMF gửi bất kỳ lệnh gõ cấp lại khóa đang chờ xử lý hoặc các thông điệp thông điệp quản lý khóa khác. Khi cần thiết, KMF có thể cố gắng gửi các lệnh cấp lại khóa hoặc các thông điệp quản lý khóa khác cho radio bất cứ lúc nào, miễn là đài vẫn đƣợc đăng ký với mạng.

Radio phải đƣợc lập trình đúng để thực hiện bảo mật và đƣợc cung cấp các thuật toán chính xác cũng nhƣ tài liệu khóa. Đối với các hệ thống hỗ trợ thuật toán Bảo mật kỹ thuật số nâng cao (ADP), các cài đặt tải khóa và bảo mật chính cung cấp thông qua phần mềm Lập trình khách hàng radio. ADP không hỗ trợ OTAR.

Bất kỳ bộ đàm nào được cài đặt trước đó đang hoạt động trong chế độ quản lý khóa PID không hỗ trợ OTAR trung chuyển.

Một phần của tài liệu Nghiên cứu hệ thống bộ đàm kỹ thuật số APCO25 và bảo mật thông tin trong hệ thống (Trang 70 - 75)

Tải bản đầy đủ (PDF)

(104 trang)