值得信賴的GT800安全性
2019-11-03 09:18:17
供稿:網(wǎng)友
華為技術(shù)有限公司
一、概述
GT800是我國擁有自主知識(shí)產(chǎn)權(quán),基于時(shí)分多址的專業(yè)數(shù)字集群新技術(shù)。GT800結(jié)合蜂窩技術(shù),通過創(chuàng)造性地對(duì)TDMA和TD-SCDMA技術(shù)的優(yōu)化與融合,提供專業(yè)用戶所需的高性能、大容量的集群業(yè)務(wù)和功能,可持續(xù)發(fā)展能力強(qiáng)。GT800構(gòu)造了值得信賴的集群安全解決方案,適用于公共安全、政府及其它對(duì)安全性要求高的集群應(yīng)用領(lǐng)域。
GT800針對(duì)集群應(yīng)用的特點(diǎn)和需求,提供了一整套完善的安全機(jī)制:用于系統(tǒng)和用戶相互確認(rèn)的雙向身份鑒權(quán)機(jī)制、確保無線空間傳輸?shù)脑捯艋驍?shù)據(jù)信息保密的機(jī)密性機(jī)制、確保整個(gè)體系框架內(nèi)傳輸信令不受到破壞的完整性機(jī)制、滿足組呼需求的群組安全機(jī)制、端對(duì)端保密機(jī)制、特殊情況下脫離基站直通保密機(jī)制等。
二、GT800安全性機(jī)制
GT800提供了完善的安全保護(hù)機(jī)制,能夠有效防范集群網(wǎng)絡(luò)受到的非法使用、竊聽以及破壞等攻擊行為。
1、雙向身份鑒權(quán)機(jī)制
GT800提供雙向鑒權(quán)機(jī)制,包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施對(duì)移動(dòng)終端的鑒權(quán),終端對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的鑒權(quán)、鑒權(quán)機(jī)制通過質(zhì)詢-應(yīng)答機(jī)制來實(shí)現(xiàn),兩者之間的相互鑒權(quán)通過兩次質(zhì)詢-應(yīng)答實(shí)現(xiàn),基本原理是檢驗(yàn)被質(zhì)詢方是否掌握基本密鑰K。
通過雙向鑒權(quán)過程實(shí)現(xiàn)了集群系統(tǒng)中網(wǎng)絡(luò)和用戶之間的雙向身份鑒權(quán)流程,有效避免了用戶不能確定網(wǎng)絡(luò)合法性的缺陷。
2、空中接口信息加密機(jī)制
作為一種無線通信系統(tǒng),集群應(yīng)用的話音和數(shù)據(jù)信息會(huì)在開放的空間傳輸。GT800提供空中接口信息機(jī)密性保護(hù)機(jī)制,用于保護(hù)MS和BS之間無線信道的安全。采用流密碼算法空口加密,保證信息的實(shí)時(shí)處理,通過安全機(jī)制保證安全性。GT800密鑰長度不少于128bit,采用了比GSM安全性更強(qiáng)的加密算法。
3、信令完整性保護(hù)機(jī)制
在GT800安全機(jī)制中提供了傳輸信令的完整性保護(hù)。通過采用完整性保護(hù),可以防止信令被有效破壞,例如被篡改、刪除、增加等。完整性保護(hù)通過收發(fā)方的數(shù)字簽名以及簽名驗(yàn)證來實(shí)現(xiàn)。
GT800的完整性保護(hù)是雙向的,發(fā)方既可以是網(wǎng)絡(luò)也可以是終端,雙方的實(shí)現(xiàn)過程一致。通過完整性保護(hù),保證了集群系統(tǒng)中控制信令的有效性。
4、 直通加密機(jī)制
GT800提供直通加密機(jī)制,密碼算法可由用戶選擇,同步控制信息使用轉(zhuǎn)換幀傳送,發(fā)送端利用會(huì)話密鑰和初始化向量生成密鑰序列,并與明文信息流模二相加,接收端用相同的流密碼算法產(chǎn)生器產(chǎn)生密鑰流,與密文再次模二相加進(jìn)行解密。
5、 端對(duì)端加密機(jī)制
GT800支持端對(duì)端加密。對(duì)使用同步流加密方式的加密體系,使用轉(zhuǎn)換信道進(jìn)行同步。允許傳送與加密相關(guān)或其它信令信息。
話音加密及解密基于同步流加密原則。接收方與發(fā)送方具有相同的加密單元。加密單元的輸入為一個(gè)密鑰和一個(gè)初始值,輸出與空中接口加密類似的密鑰流。初始值為一時(shí)變參數(shù),用于初始化加密單元的同步。將明文比特與密鑰流進(jìn)行運(yùn)算,生成密文流。接收到密文后進(jìn)行識(shí)別并提供同步,將已加密的比特流與密鑰流進(jìn)行運(yùn)算,生成解密的比特流。
三 GT800密鑰管理機(jī)制
在安全應(yīng)用中,密鑰管理是一個(gè)關(guān)鍵因素,GT800中針對(duì)不同的安全應(yīng)用提供了完善的密鑰管理機(jī)制。GT800主要涉及的密鑰有:基本密鑰K、加密密鑰CK、完整性保護(hù)密鑰IK、組密鑰GK、組加密密鑰GCK、組完整性保護(hù)密鑰GIK、空口加密密鑰GKA等。加密密鑰CK和完整性密鑰IK的管理伴隨在鑒權(quán)過程中。
1、組密鑰管理
當(dāng)群組的成員調(diào)整的時(shí)候,如某個(gè)終端因丟失而被取消組權(quán)限,或新加入組成員時(shí),都必須更新組密鑰;組密鑰有一定的使用周期,可以定期不定期地更新組密鑰。
當(dāng)網(wǎng)絡(luò)側(cè)決定發(fā)起組密鑰更新和組密鑰分發(fā)時(shí),生成一個(gè)隨機(jī)序列作為新的GK和處于激活狀態(tài)的組成員列表。網(wǎng)絡(luò)側(cè)取得特定組成員加密密鑰和表示用戶組密鑰序列號(hào)。計(jì)算相關(guān)參數(shù),網(wǎng)絡(luò)側(cè)發(fā)送攜帶相關(guān)參數(shù)的組密鑰更新信令到組成員,用戶用自己的加密密鑰解密,用戶更新組密鑰成功后,發(fā)送組密鑰更新成功信令到網(wǎng)絡(luò)側(cè)。對(duì)于當(dāng)前未處于激活狀態(tài)的組成員,可以在其進(jìn)行位置登記時(shí)進(jìn)行組密鑰更新,也可以在組成員發(fā)起組密鑰請(qǐng)求后下發(fā)。
對(duì)于新增組成員更新組密鑰,使用舊的組密鑰替代單個(gè)用戶的CK,用最大值序列號(hào)代替用戶現(xiàn)有序列號(hào),然后將生成的密鑰更新信息通過廣播信道通知每一個(gè)原來的組成員,接收方用舊的組密鑰進(jìn)行解密。新加入成員的組密鑰更新相同。如果組成員沒有變化,也可以采用同樣的方法更新組密鑰,減少網(wǎng)絡(luò)側(cè)的計(jì)算量和通信量,提高組密鑰更新的效率。
2、 直通方式密鑰管理機(jī)制
直通密鑰管理機(jī)制的作用是協(xié)商直通加密方案中使用的密鑰。根據(jù)不同的安全等級(jí),GT800提供靜態(tài)密鑰、集中密鑰和動(dòng)態(tài)協(xié)商等三種管理方式。
靜態(tài)密鑰管理主要是滿足低密級(jí)用戶的需求,在這種管理方式下,所有的用戶都共享一個(gè)或多個(gè)密鑰,這些密鑰預(yù)存在加密模塊中,進(jìn)行直通方式通話時(shí)通過密鑰標(biāo)識(shí)號(hào)選擇其中的一個(gè)密鑰進(jìn)行加解密。
集中密鑰管理方式安全級(jí)別較高,通過GT800密鑰管理中心提供密鑰管理功能。用戶在進(jìn)行端到端加密通信前,由密鑰管理中心生成會(huì)話密鑰,并分別加密后傳送給通話雙方,由通話方解密得到會(huì)話密鑰。
動(dòng)態(tài)協(xié)商與集中管理方式相似,每次通話的密鑰需要經(jīng)過協(xié)商產(chǎn)生,不同的是會(huì)話密鑰由參與通話的終端自行協(xié)商,網(wǎng)絡(luò)側(cè)不能掌握最終的密鑰。該機(jī)制的安全性最高,也最復(fù)雜。
四、加密算法
GT800所采用的密碼算法均為高安全強(qiáng)度算法,所有算法的密鑰長度不低于128bit。為了保證特殊領(lǐng)域的需求,加密算法均選用國內(nèi)相關(guān)部門指定的加密算法,同時(shí)GT800也提供公開的、經(jīng)過充分的安全性驗(yàn)證的其它算法。
五、結(jié)論
GT800支持空中接口加密、信令完整性保護(hù)以及端對(duì)端加密,定義了端到端用戶加密接口和流程,支持多種終端加密模塊開發(fā)以及終端密鑰管理機(jī)制。根據(jù)不同行業(yè)對(duì)安全性的需求,GT800提供不同級(jí)別的安全性保障,最大限度保證集群用戶的安全,是國內(nèi)安全性值得信賴的數(shù)字集群解決方案。
由CHINA通信網(wǎng)組稿
