CHƯƠNG 3 BẢO MẬT THÔNG TIN TRONG HỆ THỐNG BỘ ĐÀM KỸ THUẬT SỐ APCO25
3.1. Tổng quan về bảo mật thông tin
Giải pháp bảo mật thông tin Motorola ASTRO 25 cho phép truyền dữ liệu và thoại hai chiều được mã hóa và bảo mật. Khi mã hóa được sử dụng để bảo vệ lưu lƣợng kỹ thuật số, thiết bị truyền phát sử dụng khóa mã hóa để chuyển đổi tin nhắn kỹ thuật số rõ ràng thành mã đƣợc mã hóa.
Các thuật toán hiện đại không xáo trộn các thông điệp, nhƣng chuyển đổi các thông điệp từng chút một thành một dạng mã hóa hoàn toàn khác.
Hình 3.1 cho thấy cơ bản quá trình sử dụng để liên lạc an toàn. Người gửi sử dụng một khóa và thuật toán cụ thể để mã hóa lưu lượng rõ ràng. Lưu lượng được truyền qua phương tiện ở dạng mã hóa. Người nhận sử dụng cùng khóa và thuật toán để giải mã lưu lượng.
Hình 3.1. Mã hóa/ giải mã cơ bản
Khóa mã hóa là một chuỗi các ký tự đƣợc cả hai hoặc tất cả các bên tham gia giao tiếp biết và nó cho phép quá trình mã hóa. Mã hóa dựa trên việc đƣa các tín hiệu số hóa thành số các biến để các tín hiệu không thể đƣợc giải thích bởi bất kỳ ai trừ các bên dự định. Các đơn vị thuê bao (ví dụ: radio) không có khóa mã hóa có thể giao tiếp trong chế độ bảo mật.
Giải pháp bảo mật thoại và dữ liệu của Motorola sử dụng các thuật toán tinh vi để bảo vệ lưu lượng thoại và dữ liệu. Tùy thuộc vào thuật toán được sử dụng, một máy vô tuyến có thể đƣợc cung cấp các phím từ tổng số lựa chọn 1.1 x 1077 phím.
Bằng cách xoay các khóa một cách thường xuyên, người đánh chặn gần như không thể tìm thấy khóa chính xác và giải mã lưu lượng.
Đối với các hệ thống vô tuyến, mã hóa không ngăn chặn những người có sở thích hoặc các nhóm thù địch với Thiết bị vô tuyến kích thích đa băng tần nội bộ (IMBE) hoặc Thiết bị vô tuyến kích thích đa băng tần nâng cao (AMBE) để chặn lưu lượng. Mã hóa cũng không ngăn cản bất kỳ ai chú ý đến lượng hoạt động trên một kênh cụ thể. Tuy nhiên, mã hóa không bảo vệ thông tin khỏi bị giải mã và hiểu bởi bất kỳ ai bên ngoài tổ chức. Nếu không có thuật toán thích hợp và khóa mã hóa,
62
mọi lưu lượng bị chặn sẽ được nhận dưới dạng một bó bit kỹ thuật số bị cắt xén đƣợc gói trong các gói giao diện chung.
3.1.2. Bảo mật thoại trong hệ thống ASTRO25
Hình 3.2 cho thấy hoạt động bảo mật thông tin cơ bản giữa hai radio. Máy vô tuyến phát mã hóa giọng nói rõ ràng bằng một phím cụ thể (CKR456) và truyền giọng nói được mã hóa vào mạng. Lưu lượng thoại an toàn được định tuyến qua mạng trong khi vẫn ở dạng được mã hóa và được truyền đến người nhận dự định.
Sau đó, máy vô tuyến nhận sử dụng cùng một khóa (CKR456) để giải mã lưu lượng và cung cấp giọng nói rõ ràng cho người dùng.
Hình 3.2. Hoạt động bảo mật thông tin cơ bản
Trong hệ thống ASTRO25, bảo mật thoại đƣợc hỗ trợ theo các cách sau:
• Sử dụng thiết bị Module Bộ xử lý thoại(VPM) có khả năng bảo mật với bàn điều phối MCC 7500 dựa trên VPM. VPM thay thế card thoại, card bảo mật và phần cứng module đầu vào/đầu ra chung (GPIOM) đƣợc sử dụng trong các phiên bản trước của bàn điều phối MCC 7500.
• Cài đặt card bảo mật trong mỗi Cổng Motorola Gold Elite (MGEG) (chỉ dành cho các bản phát hành hệ thống trung kế trước). Điều này cung cấp các dịch vụ mã hóa và giải mã cho các Bàn điều phối Elite Series của CENTRACOM.
• Cài đặt hộp mực mã hóa trong mỗi DIU (chỉ dành cho hệ thống IV & D thông thường của ASTRO 3.1). Hộp mã hóa DIU cung cấp mã hóa / giải mã tất cả các hoạt động bảo mật thoại giữa radio và bảng điều khiển.
• Sử dụng radio có khả năng bảo mật đƣợc trang bị module mã hóa - Công cụ mã hóa nâng cao Motorola (MACE), module mật mã phổ quát (UCM) hoặc card modlue mã hóa (EMC). VPM có khả năng bảo mật cung cấp khả năng bảo mật thoại cho các cuộc gọi trên bàn điều phối. Khi cuộc gọi bảo mật đang diễn ra, VPM cung cấp mã hóa / giải mã tất cả hoạt động bảo mật thoại giữa hệ thống và bàn điều phối.
Hình dưới đây cho thấy một minh họa của một cuộc gọi bảo mật trên hệ thống. Radio sử dụng một khóa cụ thể để mã hóa lưu lượng thoại, sau đó truyền lưu
63
lượng được mã hóa đến hệ thống radio. Hệ thống sau đó sẽ định tuyến lưu lượng, vẫn ở dạng đƣợc mã hóa, đến Bàn điều phối MCC 7500 hoặc MGEG cho bàn điều phối Gold Elite, nơi có card an toàn hoặc mạch điện giải mã lưu lượng. MCC 7500 xử lý âm thanh cho bàn điều phối MCC 7500 và MGEG xử lý âm thanh cho bàn điều phối Gold Elite
Hình 3.3. Bảo mật thoại trong hệ thống trunking ASTRO25 Bàn điều phối MCC 7500 hỗ trợ nhiều thuật toán mã hóa và khóa bảo mật cung cấp quyền truy cập và kiểm soát các nhóm đàm thoại từ các cơ quan khác nhau, nếu cần. Gửi mã hóa các khóa từ Cơ sở quản lý khóa (KMF) đến bàn điều phối MCC 7500 có thể đƣợc thực hiện bằng cách sử dụng thiết bị Bộ tải biến đổi khóa (KVL) hoặc bằng cách gửi các khóa bằng Khóa qua Ethernet (OTEK).
3.1.3. Bảo mật dữ liệu trong hệ thống ASTRO25
Dữ liệu an toàn cho phép truyền dữ liệu giữa các mạng hữu tuyến cố định là một phần của Mạng doanh nghiệp khách hàng (CEN) và các máy khách dữ liệu không dây đƣợc kết nối qua các đơn vị thuê bao vô tuyến đến mạng truyền thông Motorola ASTRO® 25. Tính năng này đặt các khả năng tập trung vào văn phòng trong tay lực lƣợng lao động di động. Các ứng dụng khách thuê bao có thể kết nối với các ứng dụng máy chủ cƣ trú trong các mạng bên ngoài ranh giới của hệ thống vô tuyến trung kế. Các ứng dụng khách có thể được lưu trữ trong chính thuê bao hoặc trong một máy tính di động đính kèm.
Hình dưới đây cho thấy hoạt động bảo mật dữ liệu cơ bản giữa radio và CEN. Máy vô tuyến mã hóa dữ liệu rõ ràng bằng cách sử dụng một khóa cụ thể và truyền dữ liệu được mã hóa vào trong mạng. Lưu lượng dữ liệu được định tuyến qua mạng trong khi vẫn ở dạng đƣợc mã hóa và sau đó đƣợc truyền đến CEN. Sau đó, ứng dụng nhận dữ liệu sử dụng cùng một khóa để giải mã lưu lượng và cung cấp dữ liệu rõ ràng cho ứng dụng.
Trong hệ thống ASTRO 25, bảo mật dữ liệu đƣợc hỗ trợ theo các cách sau:
64
• Cài đặt Đơn vị mã hóa PDEG (cho các hệ thống IV & D của ASTRO25 Trunking)
• Cài đặt Bộ điều khiển mạng vô tuyến (RNC) và Cổng mạng không dây (WNG), để quản lý và định tuyến dữ liệu (đối với các hệ thống IV & D thông thường của ASTRO 3.1)
• Cài đặt Mô-đun mã hóa dữ liệu CAI (CDEM) để mã hóa / giải mã dữ liệu và đơn vị Cổng dữ liệu gói IV&D thông thường (PDG) để quản lý và định tuyến dữ liệu (cho các hệ thống ASTRO 25 IV&D thông thường)
Hình 3.4. Hoạt động bảo mật dữ liệu cơ bản
Các hệ thống IV&D của ASTRO25 sử dụng tính năng tích hợp dữ liệu đƣợc mã hóa (EID) để cung cấp dịch vụ mã hóa dữ liệu giữa Mạng doanh nghiệp khách hàng (CEN) và radio thuê bao. EID cung cấp mã hóa dữ liệu, giải mã và xác thực giữa mỗi radio thuê bao hỗ trợ EID và một thiết bị trong CEN đƣợc gọi là Đơn vị mã hóa PDEG bằng cách sử dụng triển khai tùy chỉnh Internet Protocol Security (IPsec) phù hợp với các mạng vô tuyến băng hẹp. IPsec xác định các quy trình mã hóa, xác thực và quản lý khóa để đảm bảo quyền riêng tƣ, tính toàn vẹn và tính xác thực của dữ liệu trong hệ thống. Thuật toán mã hóa đƣợc sử dụng là Tiêu chuẩn mã hóa nâng cao (AES) cho tiêu chuẩn Project 25 để cho phép mã hóa giọng nói. Đài phát thanh thuê bao và Mã hóa PDEG. Các khóa mã hóa dữ liệu đơn vị có thể đƣợc quản lý tập trung bằng máy chủ và máy khách KMF trong CEN
65