TETRA 系统安全技术初探(2)

主页（http://www.pttcn.net）：TETRA 系统安全技术初探(2)

2.3 组(群) 呼情况下的空中接口加密机制
在组(群)呼时接收方是多个移动台，所有接收方移动台必须使用同样密钥，即组(群) 密钥，还会用到公共(用) 密钥。

2.4 空中重新分配密钥
在TETRA系统中，允许通过空中将密钥分发给各个移动台，称为空中重新分配密钥(OverTheAirReKeying，OTAR)。在群呼中，通过网络管理中心将所有共同的GCK和CCK密钥对应地写入每一个移动台。然而，每次更新密钥仍要网络管理中心去完成， 比较繁琐。

2.5 临时身份识别码
身份识别码(ITSI)是TETRA网络用来识别某个移动台的。当移动台进行呼叫时，必须把身份识别码和有关的信令发送给网络。但是，网络入侵者可能通过用户身份识别码监视该用户对TETRA网络的使用频繁程度等。为了防止对特定用户的跟踪，TETRA网络可以发给用户临时身份识别码(ATSI)，用临时身份识别码替换TETRA的用户身份识别码。临时身份识别码与用户身份识别码的数值长度相同，但他是随机分配给用户的，仅在规定时间内有效。TETRA网络管理系统负责维护ITSI和目前分配的ATSI之间的关系。临时身份识别码的应用，能够确保网络入侵者不能跟踪某个用户或了解某个用户对TETRA网络的使用频繁程度。

3. 端对端加密（高级安全）
端对端加密适用于对保密性有特严要求的应用场合。在端对端加密中，用户保持自己特有的密钥，系统只是为用户提供透明的通信线路和标准接口，并不参与加密过程。

TETRA数字集群系统由移动台MS、基站BS、调度台DWSx、交换机DXT及TETRA互联服务器TCS等构成，端到端加密的密钥管理中心KMC作为TCS的应用开发系统连接到TETRA系统中。为在标准TETRA系统中实现端到端加密功能，必须进行以下两方面工作:

在TETRA系统中建立一个密钥管理中心(Key Management Center，KMC),KMC通过TCS的API与TETRA系统相连，通过空中接口以短数据的方式为移动台端分发通信密钥TEK，此外密钥管理中心负责密钥的产生，存储及增删等功能。

对TETRA终端设备进行改造，使其能够接受并响应KMC的密钥管理消息，并利用通信密钥来进行端对端加密。由于TETRA应用领域的特殊性，端到端加密中使用的加密算法可以是用户自行开发或是国家、行业准许的加密算法， 密钥长度也可由用户自行规定。

 结语
TETRA系统具有单、双向鉴权、空中接口加密和端到端加密等较完善的安全保密功能，随着计算机网络的快速发展，非对称密钥体制及应用发展将十分迅速。为了提高TETRA系统的安全性，除了很好的设计、实施端到端加密系统和密钥管理系统之外，还应该很好的规划和实施其安全的VPN。

此作品来源于2008摩托罗拉TETRA征文大赛