Documente Academic
Documente Profesional
Documente Cultură
Autenticacin
La prestacin de autenticacin permite al sistema Dimetra validar que los terminales que pretenden registrase y acceder a los servicios del sistema son genuinos. El sistema Dimetra soporta dos tipos de autenticaciones: Autenticacin explcita Autenticacin implcita
Autenticacin
AUTENTICACIN EXPLCITA
Autenticacin explcita: se basa en un proceso de desafo-respuesta-resultado para verificar la validez de un terminal. La autenticacin explcita tiene xito cuando la entidad desafiada demuestra el conocimiento de la clave de autenticacin (clave K). La autenticacin explcita se inicia desde la infraestructura del sistema y se realiza durante las siguientes acciones: Encendido y registro del terminal Actualizacin de posicin
Autenticacin
AUTENTICACIN EXPLCITA
Autenticacin
AUTENTICACIN IMPLCITA
La autenticacin implcita verifica la validez de los terminales en base al cifrado de la interfaz aire esttico. La autenticacin implcita tiene xito cuando el terminal demuestra conocer la clave de cifrado esttica actualmente en uso.
Definicin de claves
DCK (Derived Cipher Key): clave utilizada para cifrar/descifrar el trfico y la sealizacin individual en la interfaz aire cuando se usa cifrado dinmico.
Definicin de claves
Definicin de claves
Definicin de claves
System Key: clave de sistema generada en el KVL. Es necesario que el AuC, PrC y KVL de un mismo sistema tengan la misma System Key. Master Key: clave utilizada por el AuC/PrC para cifrar la informacin sensible de sus bases de datos. Se genera en el KVL y se carga en el mdulo de cifrado (Crypto Card) del AuC/PrC. UKEK (Unique Key Encryption Key): esta clave se utiliza establecer comunicaciones seguras entre el KVL y el AuC/PrC
Definicin de claves
SCK
Definicin de claves
Ki KEKm KS, KS
ZC
Kis KEKz
Authentication Centre
Kis
KVL
DCK
AuC
Kis
KS, KS
TSC BRC
NDICE
1
2 3 4 5 6 7
Los dispositivos y bases de datos utilizados en la activacin del Proceso de Seguridad en un sistema DIMETRA son los siguientes: Provisioning Centre (PrC) Authentication Centre Terminal de mano KVL Base de datos UCS Base de datos ZCM
Equipamiento necesario
PROVISIONING CENTRE
El Provisioning Centre es un ordenador aislado de la red Dimetra. Las funciones principales del PrC son las siguientes: Permite importar las claves K y SCK Permite generar manualmente las claves K y SCK Permite generar automticamente las claves Ks Permite exportar las parejas K-REF Proporciona almacenamiento seguro (cifrado) de las claves mediante la Master Key Permite la carga y descarga de claves de forma segura (cifrada) a otros dispositivos Muestra informacin actualizada del estado de las claves de los terminales del sistema
Equipamiento necesario
AUTHENTICATION CENTRE
El Authentication Centre es un servidor redundado integrado en la red Dimetra. Las funciones principales del AuC son las siguientes: Permite importar las parejas K-REF y las claves SCK Genera el material de autenticacin (KS, KS) y las claves CCK, KEKm, KEKz y Ki Proporciona almacenamiento seguro (cifrado) de las claves mediante la Master Key Distribuye las claves actualizadas a la infraestructura bajo demanda o en base a un calendario previamente establecido
Equipamiento necesario
AUTHENTICATION CENTRE
Equipamiento necesario
NDICE
1
2 3 4 5 6 7
El sistema Dimetra permite diferentes modos de trabajo en funcin de la configuracin de varios parmetros de las bases de datos UCS y ZDS.
Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin
Procedimiento de Activacin en un sistema Dimetra Parmetros base de datos de sistema (UCS) y de zona (ZDS)
Procedimiento de Activacin en un sistema Dimetra Parmetros base de datos de sistema (UCS) y de zona (ZDS)
Procedimiento de Activacin en un sistema Dimetra Parmetros base de datos de sistema (UCS) y de zona (ZDS)
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Parmetros base de datos de sistema (UCS) y de zona (ZDS)
RANGO DE SECRAFONA: POSIBLES ESCENARIOS
LLAMADAS DE GRUPO Radio A: TG-ENC: NO ISSI ENC TG-NO ENC: SI (Las Radios B y D muestran en el display D que la llamada es en claro) TG-ENC TG-NO ENC Radio B: TG-ENC: SI (Las Radios A y C no reciben la comunicacin) TG-NO ENC: SI (Las radios B y D muestran en el display que la llamada es en claro) LLAMADAS PRIVADAS Radio A Radio C: SI, en claro Radio B Radio D: SI, cifrada Radio A Radio D: SI, en claro (La Radio D muestra en el display que la llamada es en claro)
ISSI NO ENC
A TG-ENC TG-NO ENC
ISSI ENC B TG-ENC TG-NO ENC ISSI NO ENC C TG-ENC TG-NO ENC
Base StationSite
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Parmetros base de datos de sistema (UCS) y de zona (ZDS) BASE DE DATOS ZDS
Objeto: EBTS Ficha: EBTS AUTHENTICATION
ACCESO AL PrC
Doble click en el icono del PrC en el escritorio Introducir Login y Password Login: Mot-user1 Password: Motorola_03 Aparece la ventana principal del PrC
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Carga de Claves en Terminales
Una vez transferidas las claves K y SCK al KVL3000 se pueden cargar en los terminales.
Una vez que se hayan cargado las claves en los terminales es necesario conectar de nuevo el KVL3000 al PrC para descargar los acknowledges de los terminales. Se usa el Proc. 5-9 anterior.
Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin
Procedimiento de Activacin en un sistema Dimetra Transferencia de K-REF al Centro de Autenticacin ACCESO AL AuC
Doble click en el icono del AuC en el escritorio Introducir Login y Password Login AuC1: Mot-user1 Password AuC1: motorola_01 Login AuC2: Mot-user1 Pasword AuC2: motorola_02 Aparece la ventana principal del AuC
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Generacin de Claves en el AuC GENERACIN DE LAS CLAVES Ki
Las claves Ki se generan automticamente una vez que los controladores de zona y las EBTS han sido reconocidos por el AuC. En ciertas situaciones puede ser necesario generar una nueva clave Ki para un controlador o una EBTS.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Procedimiento 4-5: How to Assign a New Ki to a Zone or EBTS
Tambin es posible generar nuevamente la misma clave Ki para un controlador o EBTS en caso de que la actual se haya corrompido o perdido.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Procedimiento 4-6: How to Resend an Exinting Ki to a Zone or EBTS
Aunque se describe en los procedimientos anteriores es importante resaltar que la modificacin de las claves Ki exige la carga local del dispositivo afectado.
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Generacin de Claves en el AuC GENERACIN DE LAS CLAVES KEKm, KEKz Y CCK
Las claves KEKm, KEKz y CCK se generan utilizando el siguiente procedimiento.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Booklet10-2: Managing Authentication, Encryption and Provisioning Procedimiento 4-12: How to Perform Immediate Key Updates for a Key Type
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Generacin de Claves en el AuC
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Generacin de Claves en el AuC
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Distribucin de claves Ki al ZC y a las EBTS
Todas las claves generadas en el AuC excepto las claves Ki se distribuyen al resto de elementos de la red a travs de la infraestructura Dimetra. Las claves Ki se distribuyen a travs del KVL a los controladores de zona y a las EBTS (TSC y BRC). El procedimiento para la distribucin de claves Ki a los controladores y EBTS es el especificado en el apartado Generacin de las Claves Ki visto anteriormente. Una vez descargadas las claves Ki en los diferentes dispositivos es necesario volver a conectar el KVL al AuC para transferir los acknowledges.
Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Configuracin del codeplug de terminales
NDICE
1
2 3 4 5 6 7
Se puede establecer un calendario de renovacin de claves de secrafona y autenticacin. Como punto de partida se puede considerar la siguiente recomendacn proporcionada por el fabricante Motorola.
NDICE
1
2 3 4 5 6 7
X X
A partir de MR 3.0
X X X X X
X X
A partir de MR 3.0
Implicaciones: El sistema puede configurarse para manejar diferentes modelos y versiones de terminales. Las estaciones base en las que estn registrados terminales de primera generacin trabajarn en el modo de secrafona Clase 2, ya que el modo de trabajo de la estacin vendr dado por el terminal de perfil de secrafona inferior. Analizar si merece la pena configurar el sistema para trabajar en modo de Secrafona Clase 3.