М.А. Перегудов A.A. Бойко
кандидат технических наук, доцент
НИИЦ РЭБ ВУНЦ ВВС «ВВА им. проф. Н.Е Жуковского и Ю.А. Гагарина» (г. Воронеж)
ОБ АДАПТИВНОЙ ЗАЩИТЕ ТРАНКОВЫХ СЕТЕЙ СВЯЗИ СТАНДАРТА TETRA ОТ ДЕСТРУКТИВНОГО ПРОГРАММНОГО ВОЗДЕЙСТВИЯ
Предложен подход к организации адаптивной защиты транковых систем связи (ТрСС) стандарта ТЕТКА от деструктивного программного воздействия (ПВ), нацеленного на технологические уязвимости этих систем в процедуре множественного доступа к радиоканалу.
Введение
Одним из наиболее востребованных стандартов ТрСС для создания сетей связи служб безопасности, спасения, вооруженных сил, полиции в настоящее время является TETRA [1, 2]. Процедура множественного доступа абонентских терминалов (АТ) ТрСС стандарта TETRA к радиоканалу уязвима для деструктивного ПВ. Она не предусматривает аутентификации и позволяет осуществлять семантический анализ передаваемых в эфире служебных данных канального уровня эталонной модели взаимодействия открытых систем. Подходы к устранению таких технологических уязвимостей не известны. Поэтому задача разработки адаптивной защиты Тр СС стандарта TETRA от деструктивного ПВ, использующего уязвимости в процедуре множественного доступа к радиоканалу, является актуальной.
Основная часть
Процедура случайного доступа в сетях связи, построенных по принципу макро/микросотовой структуры, предназначена для инициализации передачи служебной информации от абонентов к средствам управления и коммутации сети.
Отличительными особенностями процедуры случайного доступа ТрСС стандарта TETRAab-
ляются присваивание каждому AT одного из четырех кодов доступа (A, D, С, D), с помощью которых возможно реализовать вертикаль подчиненности между AT, а также семи приоритетов сообщений сигнализации, отвечающих за инициализацию всех транзакций в сети [3]. Для адаптивного управления коллизиями в общем канале сигнализации процедурой случайного доступа предусмотрено два сообщения управления: ACCESS-DEFINE и ACCESS-ASSIGN, которые широковещательно передаются базовой станцией (БС). Вариация значений параметров указанных сообщений непосредственно влияет на эффективность функционирования ТрСС стандарта TETRA.
Сообщение ACCESS-DEFINE содержит информацию: о привязке к коду доступа приоритета сообщения сигнализации и возможных идентификационных данных AT; параметр разрешения немедленного доступа для первой передачи; время ожидания повторного запроса случайного доступа; разрешенное число повторений произвольного доступа; умножающий фактор поиска следующего кадра. Коды доступа в сообщении ACCESS-DEFINE по мере необходимости динамически меняются БС оператором сети.
Сообщение приглашения к доступу ACCESS-ASSIGN содержит карту доступа соответствующих восходящих временных интервалов для каждого кадра. Таким образом, приглашение относится только к тем AT, которым присвоен соответствующий код в ACCESS-DEFINE.
В соответствии с [3] в ТрСС стандарта TETRA процедура случайного доступа состоит из широковещательной рассылки БС в общем канале сигнализации сообщений ACCESS-ASSIGN в каждом нисходящем пакете (временном интервале) и сообщений ACCESS-DEFINE, периодичность рассылки которых определяется оператором сети связи. С учетом информации, содержащейся в данных сообщениях, AT по восходящему каналу сигнализации отправляет запрос о случайном доступе, содержащий информацию о необходимом временном ресурсе для дальнейшей отправки сообщения сигнализации зарезервированным доступом. Затем AT ожидает ответ от БС, сканируя нисходящий трафик. Получив подтверждение случайного доступа, AT отправляет сообщение сигнализации заданного приоритета в ACCESS-DEFINE в восходящем временном интервале, заданным в ACCESS-ASSIGN, и ожидает ответа от БС. Например, сообщением сигнализации может быть команда об установлении соединения или об окончании сеанса связи. В процессе передачи сообщения сигнализации одним AT возможна конфликтная ситуация, когда другой AT передает сообщение в том же временном ресурсе. БС может разрешить этот конфликт в пользу одного из AT, передав ему ответ на сообщение сигнализации. После этого процедура случайного доступа считается завершенной.
В таких условиях возможны следующие алгоритмы деструктивных ПВ.
Алгоритм 1 (фальсификация запроса на соединение).
Шаг 1. Поиск в ходе анализа трафика в нисходящем канале сигнализации ответов от БС о подтверждении доступа легитимным AT.
Шаг 2. Использование выделенного легитимной AT временного ресурса для отправки фальсифицированного сообщения сигнализации. К примеру, производится отправка сообщения с запросом на повторное установление соединения. При этом идентификационные
данные нелегитимного и легитимного AT должны отличаться. Поскольку БС не может идентифицировать AT, запрашивающий повторное соединение, она это соединение отвергает.
Шаг 3. Если время деструктивного ПВ не исчерпано, переход к шагу 1.
Алгоритм 2 (непредставление ответа на соединение).
Шаг 1. Копир ование в ходе анализа трафика в нисходящем канале сигнализации запросов о получении доступа легитимных AT.
Шаг 2. Отправка фальсифицированных запросов о доступе во временных интервалах, выделенных легитимным AT. При этом ответы на данные запросы должны прийти в нисходящих временных интервалах, определяемых восходящими временными интервалами и значениями параметра WT сообщения ACCESS-DEFINE. БС идентифицирует AT, обрабатывает полученные запросы и, не подозревая их ложность, сообщает по нисходящему каналу ответы о подтверждении случайного доступа, содержащие информацию о выделенных временных ресурсах на восходящем канале сигнализации.
Шаг 3. Игнорирование полученных ответов в течение заданного времени.
Шаг 4. Если время деструктивного ПВ не исчерпано, переход к шагу 1.
Алгоритм 3 (комбинированный).
Выполняется алгоритм 2, но вместо игнорирования ответов о подтверждении случайного доступа выполняется модифицированный алгоритм 1, в котором на БС отправляются фальсифицированные сообщения сигнализации от имени множества одних легитимных AT на установление соединений с коммутацией каналов с равным по численности множеством других легитимных AT. В результате БС отправляет сообщение о согласии на установление требуемых соединений. При этом выделяются частоты из имеющегося частотного ресурса и БС сообщает об этом легитимным AT, «инициировавшим» запрос на установление соединения. В результате множество легитимных AT, получив сообщения о выделении им частотного ресурса, игнорируют эти сообщения. Таким образом, алгоритм 3 позволяет в течение заданного времени за счет нарушения доступности легитим-
ных AT к временному и частотному ресурсу снижать эффективность функционирования ТрСС.
Исходя из этого, предлагается использовать адаптивную защиту ТрСС стандарта TETRA от деструктивных ПВ, маскирующую процедуру установления соединения AT.
Адаптивную защиту предлагается основывать на системе показателей эффективности функционирования ТрСС стандарта TETRA. Система включает интегральный, определяемый для организованной системы связи в целом, и частные показатели эффективности, определяемые для каждой конкретной процедуры использования случайного доступа AT. Для алгоритма 1 частным показателем эффективности функционирования легитимного AT будем считать отношение количества инициированных им и не блокированных запросов на доступ к общему количеству запросов этого AT в течение времени деструктивного ПВ. Для алгоритма 2 показателем эффективности легитимного AT будет результат отношения выделенного этому AT и используемого им временного ресурса к общему выделенному ему временному ресурсу в течение деструктивного ПВ. Для алгоритма 3 показатель будет определяться аналогично показателю алгоритма 2 с учетом частотного ресурса. Интегральный показатель будет определяться как среднее арифметическое всех частных показателей за интервал времени, в течение которого реализуется деструктивное ПВ. Значения показателей подсчитываются и запоминаются в БС.
Значение интегрального показателя эффективности функционирования ТрСС стандарта TETRA предлагается контролировать в режиме реального времени. Если оно станет ниже порогового значения, установленного на основе статистических данных о результатах функцио-нир ования Тр СС в нормальных условиях, то случайным образом из интервала 1..3 будет сгенерировано значение функции смещения значений кодов доступа и приоритетов сообщений сигнализации (в нормальных условиях функционирования сети данное значение будет равно нулю). Каждое значение функции смещения предлагается, не изменяя структуру кадра, присваивать значению параметра рассылаемого БС сообщения ACCESS-DEFINE, которое не используется
для управления коллизиями в процедуре случайного доступа.
Если значение обобщенной эффективности остается ниже порогового в течение заданного временного интервала, то функция смещения случайным образом меняет свое значение на любое из оставшихся чисел из интервала 1..3.
В случае превышения значением интегрального показателя эффективности порогового значения (или равенства ему), функция смещения меняет свое значение на ноль, что сигнализирует о переходе ТрСС стандарта TETRA в штатный режим функционирования.
Изменяя значения функции смещения кодов доступа и приоритетов сообщений сигнализации адаптивная защита ТрСС стандарта TETRA позволяет идентифицировать злоумышленника и блокировать направленные с его стороны деструктивные ПВ, описанные алгоритмами 1-3.
Реализация предлагаемой адаптивной защиты ТрСС стандарта TETRA, позволяющей определять изложенные выше деструктивные ПВ, может быть представлена в виде трех взаимосвязанных блоков программного кода.
В блоке 1 сравнивают содержащиеся в сообщении ACCESS-ASSIGN значения выделенных временных интервалов восходящего канала сигнализации со значениями временных интервалов, в течение которых были переданы запросы о получении случайного доступа от AT с учетом текущего значения функции смещения. Если значения совпадают, то запросы переданы легитимными AT, в противном случае имеет место фактдеструктивного ПВ.
В блоке 2 защиты сравнивают количество содержащихся в сообщении ACCESS-DEFINE временных интервалов, требуемых для отправки сообщения сигнализации с заданным приоритетом, с количеством временных интервалов, содержащихся в запросе на получение доступа AT. Если значения совпадают, то запросы переданы легитимными AT, в противном случае имеет место факт деструктивного ПВ. Для повышения достоверности распознавания запросов предлагается для каждого приоритета сообщения сигнализации ввести однозначно определяющее количество временных интервалов.
В блоке 3 сравнивают значения приоритетов сообщений сигнализации, содержащиеся в сообщениях ACCESS-DEFINE, со значениями
приоритетов сообщений, передаваемых по общему каналу сигнализации. Если значения совпадают, то сообщения переданы легитимными АТ, в противном случае имеет место факт деструктивного ПВ.
Если в восходящем временном интервале содержится запрос о получении случайного доступа АТ, то для определения его легитимности задействуются блоки 1, 2. Для блокирования деструктивного ПВ достаточно, чтобы хотя бы один из этих блоков определил фальсифицированный запрос о получении доступа. В случае определения блоком 3 в восходящем временном
интервале ложного сообщения сигнализации, БС игнорирует данное сообщение.
Заключение
Таким образом, предложен подход к организации адаптивной защиты ТрСС стандарта TETRA, позволяющий с учетом результатов контроля интегрального и частных показателей эффективности функционирования сети в режиме реального времени блокировать деструктивные ПВ, нацеленные на использование технологических уязвимостей этих систем в процедуре множественного доступа к радиоканалу.
СПИСОК ЛИТЕРАТУРЫ
1. Чивилев С. Профессиональная радиосвязь на предприятии // http://www.m-forum.ru/news/ агйс1е/0б275б.Мт [Интернет-ресурс]. Дата обращения: 02.05.13.
2. Молдаванов А. Безопасность как стиль жизни — стандарт XXI века // http://www.connect.ru/ .¡оигпа1_агсЫеуе.а8р?.|оигпа11ё=508 [Интернет-ресурс]. Дата обращения: 02.05.13.
3. EN 300 392-2 V3.4.1 (2010-08). Terrestrial Trunked Radio (TETRA). Voice plus Data (V+D). Part 2: Air Interface (AI) // http://pda.etsi.org/ [Интернет-ресурс]. Дата обращения: 15.10.2012 г.
4. Система ELETTRA. 1999 г. // http://www.osp. ru/nets/1999/04/144021/ [Интернет-ресурс]. Дата обращения: 10.09.2012 г.