- •Принципи побудови та функціонування систем абонентського радіодоступу стандарту dect
- •Зміст роботи
- •Теоретичні відомості
- •1. Загальний опис стандарту dect.
- •1.1 Історія виникнення.
- •1.2 Особливості стандарту
- •1.3 Області використання
- •2. Основні принципи роботи системи стандарту dect.
- •2.1 Принцип mc/tdma/tdd
- •2.2 Використання радіоспектру
- •2.3 Безперервна передача сигналу
- •2.4 Динамічний вибір і динамічне виділення каналу
- •2.5 Встановлення зв'язку
- •2.6 Хендовер
- •2.8 Захищеність
- •2.9 Прописка
- •2.10 Аутентифікація
- •2.11 Шифрування
- •2.12 Профілі додатків dect
2.9 Прописка
Прописка- це процес, завдяки якому система допускає конкретний мобільний DECT-термінал до обслуговування.
Оператор мережі або сервіс-провайдер забезпечує користувача АРБ секретним ключем прописки (PIN-кодом), що повинен бути введений як у БРБ, так і в АРБ до початку процедури. До того, як термінал ініціює процедуру фактичної прописки, він повинен також знати ідентифікацію БРБ, у якій він повинен прописатися (з розумінь захищеності область прописки може бути обмежена навіть однію виділеною (малопотужню) БРБ системою). Час проведення процедури звичайно обмежено, і ключ прописки може бути застосований тільки один раз, це робиться спеціально для того, щоб мінімізувати ризик несанкціонованого використання.
Прописка в DECT може здійснюватися "через ефір", після встановлення радіозв'язку з двох сторін відбувається перевірка того, чи використовується той самий ключ прописки. Відбувається обмін ідентифікаційною інформацією, і обидві сторони прораховують секретний аутентифікаційний ключ, що використовується для аутентифікації при кожному встановленні зв'язку. Секретний ключ аутентифікації не передається через ефір.
Мобільний DECT-термінал може бути прописаний на декількох базових станціях. При кожному сеансі прописки, АРБ прораховує новий ключ аутентифікації, прив'язаний до мережі, у яку він прописується. Нові ключі і нова інформація ідентифікації мережі додаються до списку, що зберігається в АРБ, і використовується в процесі з'єднання. Термінали можуть підключитися тільки до тієї мережі, до якої в них є права доступу (інформація ідентифікації мережі зберігається в списку).
2.10 Аутентифікація
В процесі аутентифікації любого рівня використовується криптографічна процедура «запит -відповідь», яка дозволяє вияснити чи відомий аутентифікаційний ключ на перевіряючій стороні.
Аутентифікація АРБ дозволяє запобігти його неправомірне використання (наприклад, з метою уникнути оплати послуги) або виключити можливість підключення вкраденої або незареєстрованої АРБ. Аутентифікація проходить за ініціативою БРБ при кожній спробі встановлення з'єднання (вхідного чи вихідного), а також під час сеансу зв'язку. Спочатку БРБ формує і передає запит, який містить деякий постійний або не часто змінний параметр (64 біти), і випадкове число (64 біти), згенероване для даної сесії.
Після цього в БРБ і АРБ за однаковими алгоритмами з використанням аутентифікаційного ключа К вираховується так звана аутентифікаційна відповідь (32 біти). Ця порахована (очікувана) відповідь в БРБ зрівнюється з прийнятою від АРБ, і при співпадінні результатів вважається що аутентифікація АРБ пройшла успішно.
Аутентифікація БРБ - виключає можливість неправомірного використання станції. За допомогою цієї процедури забезпечується захист службової інформації (наприклад, данних про користувача), яка зберігається в АРБ і оновлюється по команді з БРБ. Крім того, блокується загроза перенаправлення викликів абонентів і користувацьких даних з метою їх перехоплення. Алгоритм аутентифікації БРБ аналогічний послідовності дій при аутентифікації АРБ.
Взаємна аутентифікація може здійснюватися двома способами:
При прямому методі послідовно проводяться дві процедури аутентифікації АРБ і БРБ.
Непрямий метод, в одному випадку це комбінація двох процедур - аутентифікації АРБ і
шифрування даних (оскільки для шифрування інформації необхідно знати аутентифікаційний ключ К), а в другому випадку - шифрування даних з використанням статичного ключа SCK (Static Cipher Key), який є відомий для обох станцій.
Аутентифікація користувача дозволяє вияснити, чи знає користувач АРБ свій персональний ідентифікатор. Процедура ініціюється БРБ на початку виклику і може бути активована під час сеансу зв'язку. Після того як користувач вручну набере свій персональний ідентифікатор UPI (User Personal Identity), і в АРБ за його допомогою буде вирахуваний аутентифікаційний ключ К, проходить процедура, аналогічна до послідовності дій при аутентифікації АРБ.
У всіх описаних процедурах аутентифікаційна відповідь вираховується по аутентифікаційному запиту, а також ключ аутентифікації К у відповідності з стандартним алгоритмом (DS^A-DECT Standard Authentication Algorithm) або будь яким іншим алгоритмом, що відповідає вимогам з безпеки зв'язку. Алгоритм DSAA являється конфіденційною інформацією і поставляється по контракту з ETS1. Використання іншого алгоритму буде обмежувати можливості абонентських станцій, так як з'являться труднощі при роумінгу в мережах публічного використання DECT.
Аутентифікаційний ключ К являється похідною від двох величин або їх комбінації, приведених нижче. Абонентський Аутентифікаційний ключ UAK (User Authentication Key) довжиною до 128 біт. UAK є унікальною величиною, яка знаходиться в реєстраційних даних користувача. Він зберігається в пам'яті абонентської станції або вводиться вручну, коли треба провести процедуру аутентифікації.
Слід зазначити, що немає принципового значення між параметрами UAK і АРБ. Останні зазвичай використовуються в тих випадках, коли потрібна доволі часта процедура зміни аутентифікаційного ключа. Персональний ідентифікатор користувача UPI (User Personal Identity) довжиною 16-32 біти UPI не записується в пам'яті абонентської станції, а вводиться вручну, коли треба провести процедуру аутентифікації. Ідентифікатор UPI завжди використовується разом з ключем UAK.