Обеспечение безопасности связи

     Использование технологии радиодоступа, предоставляющей мобильность, подразумевает значительный риск в отношении защищенности. Стандарт DECT предусматривает меры противодействия естественным дефектам защищенности, свойственным беспроводной связи. Для предотвращения несанкционированного доступа были введены эффективные протоколы прописки и аутентификации, а концепция усовершенствованного кодирования обеспечивает защиту от прослушивания.

Прописка - это процесс, благодаря которому система допускает конкретную мобильную DECT-трубку к обслуживанию. Оператор сети или сервис-провайдер обеспечивает пользователя АРБ секретным ключом прописки (PIN-кодом), который должен быть введен как в БРБ, так и в АРБ до начала процедуры. До того, как трубка инициирует процедуру фактической прописки, она должна также знать идентификацию БРБ, в которой она должна прописаться (из соображений защищенности область прописки может быть ограничена даже одной выделенной (маломощной) БРБ системы). Время проведения процедуры обычно ограничено, и ключ прописки может быть применен только один раз, это делается специально для того, чтобы минимизировать риск несанкционированного использования.

Прописка в DECT может осуществляться "по эфиру", после установления радиосвязи с двух сторон происходит верификация того, что используется один и тот же ключ прописки. Происходит обмен идентификационной информацией, и обе стороны просчитывают секретный аутентификационный ключ, который используется для аутентификации при каждом установлении связи. Секретный ключ аутентификации не передается по эфиру.

Мобильная DECT-трубка может быть прописана на нескольких базовых станциях. При каждом сеансе прописки, АРБ просчитывает новый ключ аутентификации, привязанный к сети, в которую он прописывается. Новые ключи и новая информация идентификации сети добавляются к списку, хранящемуся в АРБ, который используется в процессе соединения. Трубки могут подключиться только к той сети, в которую у них есть права доступа (информация идентификации сети содержится в списке).

Аутентификация трубки может осуществляться как стандартная процедура при каждом установлении связи. Во время сеанса аутентификации базовая станция проверяет аутентификационный ключ, не передавая его по эфиру.

Принцип нераскрытия идентификационной информации по эфиру заключается в следующем: БРБ посылает трубке случайное число, которое называется "запрос". Трубка рассчитывает "ответ", комбинируя аутентификационный ключ с полученным случайным числом, и передает "ответ" базовой станции. БРБ также просчитывает ожидаемый "ответ" и сравнивает его с полученным "ответом". В результате сравнения происходит либо продолжение установления связи либо разъединение.

Если кто-то подслушивает по эфирному интерфейсу, для того чтобы украсть аутентификационный ключ, ему необходимо знать алгоритм для выявления ключа из "запроса" и "ответа". Этот "обратный" алгоритм требует огромной компьютерной мощности. Поэтому стоимость извлечения ключа подслушиванием процедуры аутентификации невероятно высока.

Процесс аутентификации использует алгоритм для вычисления "ответа" из "запроса" и аутентификационный ключ в трубке и на базовой станции. Он представляет собой способ отправки идентификационной информации пользователя в зашифрованной форме по эфиру для предотвращения кражи идентификационной информации. Этот же принцип может быть применен для данных пользователя (например, для передачи речи). Во время аутентификации обе стороны также просчитывают ключ шифрования. Этот ключ используется для шифрования данных, передаваемых по эфиру. Получающая сторона использует тот же ключ для расшифровки информации. В DECT процесс шифрования является частью стандарта (хотя и необязательной).


Hosted by uCoz