TETRA网络的安全问题及其解决方案

TETRA网络的安全问题及其解决方案
周俊
北京邮电大学计算机学院移动通信系，北京（100086）
E-mail：junzion@
摘要：本文从信息系统安全体系的角度，对 TETRA系统安全进行了分类归纳，从风险分析、安全需求、安全服务、安全管理等方面对TETRA系统安全体系进行了阐述，井对TETRA系统中主要应用的鉴权、终端激活/禁用、空中接口加密、端到端加密等安全机制进行了重点研究，同时针对实际应用中出现的安全性问题提出了解决方法。

关键词：集群通信系统，TETRA，网络安全
中图分类号：TN929.52
1.引言
TETRA即陆地集群无线电系统，是基于数字时分复用（TDMA）技术的数字集群移动通信系统，它可以提供组呼调度、脱网直通 (DMO )、全双工电话、分组数据服务、数据短信息服务等业务，支持空中接口加密和端到端加密功能，既适合公安、消防、机场、铁路、城市交通管理等专业部门调度指挥专用，也可满足社会共用集群网的设计要求。

2.TETRA系统风险分析
2.1 TETRA系统风险分析介绍
一般认为，在信息系统风险是指系统脆弱性和/或漏洞，以及以系统为目标的威胁和攻击的总称。

系统脆弱性和/或漏洞是风险产生的原因，威胁和攻击是风险的结果[1]。

TETRA作为一种专用移动通信系统，与一般信息系统相比，其系统风险既有共性，也有自身特点。

只有对TETRA系统的风险进行恰当的分析，才能构建一个合理的系统安全体系。

2.2 TETRA系统风险分类
对TETRA通信系统存在的风险可以分为三类：
第一，与信息内容有关的风险
与用户之间、网络运营商之间、用户与服务提供商之间传输的个人信息相关的风险就属于这类风险。

第二，与用户有关的风险
指的是与用户的日常行为相关的风险，如查找他们何时、何地、在干什么。

第三，与系统有关的风险
指的是与系统完整性相关的风险。

对风险或潜在攻击进行评估应当着重考虑以下几个方而:
一、可能将风险变为现实的攻击方式
二、可能的攻击突破点，例如:
1.移动台和基地台之间的空中接口
2.到终端的有线接口
3.TETRA网络内部的传输链路
4.网络管理和维护接口
5.在TETRA网络中类似数据库和网络节点的其它组件
三、可能实施攻击的人，例如:
1.合法用户
2.系统维护人员
3.外部人员
四、攻击者的动机和可能获得的利益，例如:
1.获得对有价值信息的非法授权访问
2 不经授权和/或付费而获得服务
3.欺骗用户
4.竞争对手实施的对正常服务的阻碍和干扰
五、攻击的难度(实施攻击所需要的专业知识和资源)
六、利用公开、有效的系统知识，任何人都可以做到的事项:
1.精通内部知识
2.使用有效的商用设备
3.制造或改造所需设备
七、构造可以有助于防止攻击的有效机制
2.3 与信息内容相关的风险
可分为三种:
一、窃听 (interception)
二、篡改(manipulation)
三、抵赖 (repudiation)
2.3.1 窃听
这种风险是指未授权方可能获悉在TETRA系统中传输或存贮的信息。

根据突破点可将风险划分为:
1) 空中接口窃听
TETRA系统的无线电特征，导致这种风险的攻击比较简单。

获得敏感数据使用权的可能攻击方式是连续监听空中的数据，并且冒充空中接口两边的任何一个实体。

“空中”的话音和数据可以用下面的方法进行监听(原始通信不会受到妨害)：
·利用扫描仪窃听
·利用无线电台(可能是改装或偷窃的)窃听
·冒充其它用户(或终端)窃听信息
·冒充基地台与移动台通信(代价昂贵，除非有巨大利益驱动)
攻击者获得的利益与他窃听的信息种类有关:
·话音和用户数据
窃听有用的机密信息。

·控制数据
获得用户的呼号、组号、优先级、位置、使用习惯等信息，为以后假冒其它用户或
篡改数据攻击所用。

·管理数据
获取计费信息、加密密钥和鉴权密钥等，用于假冒攻击。

目前的安全机制还不能做到对空中数据监听进行检侧或预防。

利用加密可以保证信息原意只能被指定用户了解，而不能被其它用户知晓。

借助于鉴权机制可以防止假冒攻击[2]。

2) 在网络固定端进行窃听
在网络固定位置窃听信息，可以实施与空中接口窃听相同的攻击种类。

不同之处在于从物理上接入TETRA系统的一个实体、有线网络或类似PSTN的连接网络。

可以用下面的方法进行监听(原始通信不会受到妨害):
·在任何一个系统接口(六个标准接口)的有线部分进行录音，然后进行协议分析。

·通过在物理上接入一个网络节点，可以窃听系统实体中处理或存贮的所有信息。

攻击者可能是了解网络互连知识的内部网络维护或操作人员。

假冒攻击的可能性同样存在。

对付这种风险的应对措施同空中接口窃听采取的措施相同，就是利用加密和鉴权机制。

2.3.2 篡改
这种风险是指未授权方可能有能力改变TETRA系统中的信息。

不同种类的篡改都必须考虑，如:
·简单改变(如，对数据位求反)
·删除或插入部分信息内容或文件
·删除整个信息内容或文件
·插入新的数据或话音信号(经过攻击者精心挑选)
·对信息内容重新排序
·重放预先录制的数据或话音信号
其中，前五条可以合并为一条“修改”。

根据突破点可将风险划分为:
1) 在空中接口篡改
TETRA系统的无线电特征，决定了这种攻击实现起来比较简单。

可能的攻击是修改空中发送的数据和冒充其它用户。

在下面的情况下可以修改空中的数据:一个发射机与一个移动台使用相同的频率发射信号，但是发射功率更大，这样将会将这个移动台的信号淹没。

·在偶然情况下也可能实现这种篡改，例如:使用相同的频率和时隙，移动台MS 1向基地台BS 1发送信号，移动台MS 2向基地台BS 2发送信号。

当MS 1走入无线电盲区时，MS2的信号被BS 1收到。

在一个非常弱的信号电平下，如果不能区分移动台，BS 1将会把来自MS 2的数据当作来自MS 1的数据来处理。

·攻击者也可以利用自己的专业知识，有意识地对信息实现篡改。

不过，在无线电接口中，并非以上列举的所有类型修改都能在信号“飞行”(传输)过程中实现。

信息内容不能重新排序，话音和数据只能直接删除(错误太多，接收机将会把整个数据包抛弃)。

插入也只能在发射的间隙进行。

2) 在网络固定端篡改
与空中接口不同，在网络的固定端所有类型的篡改都是可能的:数据的删除、重新排序和插入都可能不受限制。

这种潜在的攻击在原理上与空中接口篡改基本相同。

但比在空中接口筹改更加有效，例如有些管理数据是不经过空中接口传输的。

篡改能够以下面的方式进行:
·攻击者使用一些设备潜入任一系统接口，慕改经此接口传输的数据和话音。

·在物理上切断(如剪断有线线路)或修改路由、删除信息。

·攻击者进入一个系统实体(如基站)，同样可以篡改正在处理或存贮的数据或话音。

依靠特定算法的安全机制不能防止这种篡改攻击，目前可以做到的就是使信息的接受方尽可能去监测信息是否被篡改。

2.3.3 抵赖
抵赖指的是参与通信的一方对此予以否认。

抵赖可划分为两种:接收抵赖和发送抵赖。

潜在的攻击者可能是系统中的合法用户，也可能是某些信息的发送方或接受方。

1）接收抵赖
接收抵赖会出现在以下情形:一个人已经给另一个人发送过信息，而且信息也已被第二个人收到，但是后来收信者否认收过信息。

这种攻击可以采用加密手段予以阻止:发送人得到一个不可否认的接收方肯定收到数据的证据，而且这个证据可取信于第三方。

在多数情况下，也可以采用以下非加密手段:由一个可信赖的中心将通信业务全部录音(可结合可靠的用户鉴权措施共同使用)。

2）发送抵赖
发送抵赖会出现在以下情形:一个人己经给另一个人发送过信息，而且信息也已被第二个人收到，但是后来发信者否认曾发过信息。

这种攻击可以采用与接收抵核相类似的加密手段来阻止。

也可采用由可信任中心录音的方式。

2.4 与用户相关的风险
可分为两种:业务流分析、观测。

通过业务流分析可获得信息传输的速率、长度、用户身份码等信息。

通过信息填充、插入冗余信息和对信息内容、控制数据进行加密，可防止业务流分析。

通过观测，攻击者可以获得他感兴趣的东西:用户通话地点、用户组、优先级、计费信息等。

对付观测攻击的对策主要是进行匿名通信。

2.5 与系统相关的风险
可分为两种:拒绝服务、非授权使用资源。

拒绝服务:攻击者使一种服务遭到严重损害或使其失效。

这种攻击很难防范，一般的应对措施是对主要设备进行备份，并提高系统的适应性。

非授权使用资源:主要指使用禁止使用的资源和越权使用资源。

在这里资源指的是无线信道、设备、服务或系统数据库等。

使用鉴权和访问控制机制，以及对系统重要活动进行全面审计，可防止这种攻击。

3. TETRA系统安全需求和安全服务
3.1 安全需求
根据上一章的系统风险分析，对 TETRA系统中的网络运营商、调度员、用户、生产厂家和系统维护人员来说，基本安全需求可汇总如下:
·鉴权
·通信机密性——通信内容不被非授权用户知悉。

对TETRA专网非常重要。

·通信完整性——通信内容不被篡改。

·私密性——保护用户的私人数据不被误用。

·业务流机密性
·监视——专网的常规要求。

·资源保护
·安全性管理
·抗抵赖
3.2 安全服务
通过风险分析和安全需求可知，TETRA系统安全服务应当涉及以下领域[2]：
1)端到端安全
2)空中接口安全
3)信令安全
4)端到端密钥管理
5)空中接口密钥管理
6)本地密钥管理:指用户和终端之间的密钥管理
7)端到端鉴权
8)空中接口鉴权
9)本地鉴权
10)对服务的访问控制
11)抗抵赖
12)系统(不同TETRA系统)互联安全
13)堵塞对策
14)正确计费
15)系统管理
以上TETRA系统需要提供的安全服务可简单归纳为三类:机密性服务、鉴权和密钥管理服务、完整性服务。

1、机密性服务
TETRA系统机密性服务的目标是为了保护重要数据，无论它是在存贮状态，还是在故意或偶然泄漏给未授权知悉数据原意的个人、实体或进程的传输过程中。

该服务可以保护话音、身份码和信令信息的机密性。

2、鉴权和密钥管理服务
实体鉴权指的是收到该实体真实身份的证据。

鉴权可以是双方的，也可以是单向的.
密钥管理指的是密钥的产生、分配、选择、销毁和管理，此密钥用于鉴权和所有通信信道中信息加密。

3、完整性服务
完整性服务指的是保证源发数据与接收端保存的数据完全相同。

利用数据源鉴别，可保证信令数据的完整性。

4. TETRA数字集群系统安全体系
4.1 TETRA系统安全的含义和研究方法
TETRA系统安全是确保以电磁信号为主要形式的、在TETRA通信网络中进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存贮和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、环境有关的技术安全、机构安全和管理安全的总和。

TETRA系统安全是一个多维、多层次、多因素、多目标的体系。

不能脱离系统安全体系，而孤立地和单纯地去寻求直接保护信息内容的方法。

TETRA系统建设作为一项系统工程，在系统功能的实现过程中，系统相应组成部件可能存在自身固有的脆弱性、缺陷和漏洞、以及可能遭遇的来自系统内部和外部的干扰、入侵、对信息的窃听、截获、注入和修改等威胁和攻击。

针对上述问题，TETRA系统安全性工程应从物理安全、环境安全、通信安全、传输安全、应用安全以及用户安全等方面，针对系统的相应部件恰当地采用各种安全技术机制，构建安全框架，直接或间接地提供必要的安全
服务。

另外，要注意系统各部件所提供的安全服务的强度级别应高于或等于系统总的安全强度级别。

对TETRA系统安全体系的研究者和设计者来讲，其最高目标就是:从研究系统风险的一般规律入手，认识和掌握系统风险状态和分布情况的变化规律，提出安全需求，建立起具有自适应能力的安全模型，从而驾驭风险，使系统风险被控制在可接受的最小限度内，并渐进于零风险。

实际上，零风险永远是一个可期不可达的目标，因此TETRA系统安全的成功标志是风险的最小化、收效性和可控性，而不是零风险。

4.2 TETRA系统安全体系结构的形成和目标
研究TETRA系统安全体系结构的目的，就是将信息系统安全体系普遍研究性原理与TETRA系统相结合，形成满足TETRA系统安全需求的安全体系结构。

安全体系结构的形成主要是根据所要保护的系统资源，对资源攻击者的假设及其攻击的目的、技术手段以及造成的后果来分析系统所受到的已知的、可能的和系统有关的威胁，并且考虑到构成系统各部件的缺陷和隐患共同形成的风险，然后建立起系统的安全需求。

一个恰当的安全需求，应该把注意力集中到系统最高权力机关认为必须注意的那些方面，以最大限度体现系统资源拥有者或管理者的安全管理意志。

安全需求和策略应尽可能地对抗所预见的系统及其变化，在“风险——安全——投资”的平衡关系制约下具有持续能力。

平衡关系的维持有两个参考标准，一是把风险降低到可以接受的程度，二是威胁和/或攻击系统所花的代价大于所获得的现实的和潜在的价值。

从而为系统提供有效的安全服务，保证系统有效地安全运行。

安全体系结构的目标，就是从管理和技术上保证安全策略得以完整准确地实现，安全需求全面准确地得以满足，包括确定必需的安全服务、安全机制和技术管理以及它们在系统上的合理部署和关系配置。

4.3 TETRA 系统安全体系结构
《信息处理系统 开放系统互连 基本参考模型——第二部分:安全体系结构GB/T9387.2-1995》（等同于IS07498-2），给出了基于OSI 参考模型的七层协议之上的信息安全体系结构，它对 TETRA 系统安全体系结构同样具有指导意义。

其核心内容是:为了保证异构计算机进程与进程之间远距离交换信息的安全，它定义了五大类安全服务，以及提供这些服务的八类安全机制，和相应的OSI 安全管理，并可根据具体系统适当配置于OSI 模型的七层协议中。

4.4 TETRA 安全体系框架
TETRA 系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息荃础设施安全、与公共信息安全的总和，其中网络安全、数据安全、信息内容安全等可以通过安全体系提供的安全服务、安全机制及其管理获得，但这仅解决了与通信和互连有关的安全问题，而涉及与系统构成组件及其运行环境有关的其它问题 (如物理安全、系统安全等)还需要从技术措施和管理措施两方面结合上来考虑解决方案。

一般情况下，可以考虑 TETRA 系统安全体系是由技术体系、组织机构体系和管理体系共同构建.体系的结构框架下表所示[1]：
表1 TETRA 系统安全体系框架
Tab.1 TETRA system security architectur framework TETRA 系统安全体系框架
安全服务 状态 检测 入侵 监控 安全 管理 安全机制 物理 安全 系统 安全 培训 安全策略与服务 密钥管理 审计 安全技术 运行环境 及系统安全技术
技术管理 技 术 机 制
制度
技 术 体 系 机构 岗位
人事
管
理
体
系
法律 组 织 体 系
1、 技术体系
技术体系是全面提供系统安全保护的技术保障系统。

TETRA 安全体系通过技术管理将技术机制提供的安全服务，分别或同时在一层或多个协议层上，为数据、信息内容、通信连接提供机密性、完整性和可用性保护，为通信实体、通信连接、通信进程提供身份鉴权、访问控制、审计和抗抵赖保护，这些安全服务分别作用在通信平台、网络平台和应用平台上。

针对TETRA 系统的安全需求，安全技术涉及以下几个方面:
1） 物理环境安全
通过物理机械强度标准的控制使系统的建筑物、机房条件、及硬件设备条件满足系统
的机械防护安全;通过对电力供应设备以及系统组件采取抗电磁干扰和电磁泄露措施保持系统正常运行。

物理安全技术运用于物理保障环境。

针对 TETRA系统的特点，其物理安全的重点是控制中心机房和无线基站机房的物理保护。

对进入以上机房的人员和时间进行记录和限制，要建立一套完替的报普监控系统，特别是对外围无人值守基站，要有相关设备运行、机房环境、电力设施、现场图像等报警监控系统。

2）链路安全
TETRA系统链路安全主要是指基站与移动台之间的无线链路、与公网和专网相连接的有线链路、无线基站与控制中心之间的链路上话音和数据传输的安全.所采取的链路安全技术一般为无线空中接口（AI）加密和有线传输骨干网加密。

3) 网络结构安全
在条件许可的情况下，TETRA系统无线网络结构在设计上应保证每个基站有两条以上路由到达控制中心机房，提高网络连接的抗毁自愈能力。

单纯的星形或链状连接都不能保证无线网络的安全，最好采取星形和链状相结合的混合网络结构来构建TETRA无线网络。

TETRA系统基站具有故障弱化功能，当网络控制交换设备出现问题时，单独基站仍可完成最墓本的调度指挥任务。

为满足TETRA共网系统中各专网用户相对独立的操作和应用需求，使用用户虚拟专网(VPN)功能，使多个专网用户既共享数字集群网络通信平台，又具备与专网一致的独立性和特殊性。

4）主机系统安全
主机系统安全包括硬件安全和软件安全两部分。

在 TETRA系统中，主机系统包含控制中心和无线基站的网络管理和无线通信系统。

在做好主机系统物理安全防护的基础上，对系统管理和维护要进行记录以备审计。

对主机操作系统，要采取相应的安全性选择措施，使系统各组件的软件平台达到相应的安全等级。

5）应用安全
TETRA系统应用安全遵循一般通信系统应用所规定的安全准则。

应用安全中最主要的危害是使用中发生的终端失窃或丢失问题，因此除采用鉴权机制外，终端激活和禁用机制、密钥管理机制也是必不可少的重要手段。

在以上安全技术中，机房报警监控、加密、鉴权和密钥管理等措施都属于主动安全防御子系统。

在TETRA系统安全建设中，应重点加强。

2、组织机构体系
组织机构体系是系统安全的组织保障系统，可按照机构、岗位和人事三个模块构成一个体系。

对于无线政务专用网络，TETRA系统安全组织机构体系架构可设计如下:
1）管理机构设置分为三个层次:决策层、管理层和执行层。

决策层是决定TETRA系统安全重大事宜的领导机构，由主管此项工作的单位负责人为首，组建一个由机要保密部门、系统管理部门负责人参与的领导小组。

管理层是决策层的日常管理机关，负责规划和实施安全方案，制定安全策略，处理安全事故等。

执行层是在管理层协调下具体负责安全事务的群体，以系统管理和运行维护人员为主。

2）岗位是系统安全管理机关根据系统安全需要设定的负责一个或某几个安全事务的职位，岗位在系统内部一般是具有垂直领导关系的若干层次的一个序列，如安全管理办公室主
任、安全管理员等。

一个人可以负责多个岗位，但不得同时兼任安全岗位所对应的系统管理或具体业务岗位。

3）人事机构是根据管理机构设定的岗位，对岗位上在职、待职和离职的雇员进行素质教育、业绩考核和安全监管的机构.由于在本单位TETRA系统为专用系统，所有雇员要求均为内部工作人员，归现有人事部门管理，可不必设置专门的人事机构。

3、管理体系
管理是系统安全的灵魂。

系统安全的管理体系由法律管理、制度管理和培训管理三部分组成。

1）法律管理是根据相关的国家法律、法规对系统主体及其与外界关联行为的规范和约束. 2）制度管理是系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度，例如:保密通信器材的使用和管理制度;系统运行维护和管理规定;机房管理制度;灾难和突发应急通信方案，等等。

3）培训管理是确保系统安全的前提，培训的内容包括:法律法规、内部制度、岗位操作、普遍安全意识、业务素质与技能技巧等。

TETRA系统培训的对象主要有系统管理员、调度员、用户三人类，在专网系统中，这三者一般都是内部工作人员。

TETRA系统的培训内容应包括:系统安装和维护培训;调度操作培训:终端使用培训;内部管理制度培训;安全法规培训，等等.
5. 结论
本文通过分析TETRA网络的系统风险，提出了TETRA系统安全需求和所需的相应安全服务。

并且通过这些理论分析，从技术、组织机构和管理三个角度，建立了一个TETRA 数字集群系统安全体系。

参考文献
[1]戴宗坤，罗万伯，唐三平，等（et al）．《信息系统安全》［M］，金城出版社，2000.9
[2]ETR 086－3，Trans European Trunked Radio(TETRA) system，Technical requirements specification Part 3:
Security aspects ［S］， January 1994，
Security Research and Solution of TETRA Network System
Zho Junu
Beijing’s University of Posts and Telecommunications，Beijing （100876）
Abstract
From the point of view of the information system security architecture, the auther classified and concluded the TETRA system security, and introduced system security from the aspects of threat analysis, security requirements, security services and secuirty management etc. The mechanism of Authentication, terminal enable and disable, air interface encrytion, end-to-end encryption used in TETRA is the key research in this paper. To the security question of practical application, the relevant research methods and ways are provided too.
Keywords：Trunking mobile communication system，TETRA，network security。