RED DIMETRA

AUTENTICACION RED DIMETRA

Autenticacin

La prestacin de autenticacin permite al sistema Dimetra validar que los terminales que pretenden registrase y acceder a los servicios del sistema son genuinos. El sistema Dimetra soporta dos tipos de autenticaciones: Autenticacin explcita Autenticacin implcita

Autenticacin

AUTENTICACIN EXPLCITA
Autenticacin explcita: se basa en un proceso de desafo-respuesta-resultado para verificar la validez de un terminal. La autenticacin explcita tiene xito cuando la entidad desafiada demuestra el conocimiento de la clave de autenticacin (clave K). La autenticacin explcita se inicia desde la infraestructura del sistema y se realiza durante las siguientes acciones: Encendido y registro del terminal Actualizacin de posicin

La clave de cifrado derivada (DCK) se genera durante la sesin de autenticacin.

Autenticacin

AUTENTICACIN EXPLCITA

Autenticacin

AUTENTICACIN IMPLCITA
La autenticacin implcita verifica la validez de los terminales en base al cifrado de la interfaz aire esttico. La autenticacin implcita tiene xito cuando el terminal demuestra conocer la clave de cifrado esttica actualmente en uso.

Definicin de claves

CLAVES DE SECRAFONA Y AUTENTICACIN

K (Authentication Key ): clave generada en el Provisioning Centre (PrC) que se asigna de manera nica a cada terminal. Esta clave se carga posteriormente en el Authentication Centre (AuC) junto con su referencia asociada (REF). K-REF: pareja de parmetros que identifican una radio en el AuC. La referencia (REF) de cada clave K se genera en el KVL al cargar la clave K en cada terminal. La pareja K-REF la utiliza el AuC para generar el material de autenticacin (KS y KS) para cada terminal. KS y KS: claves utilizadas para llevar a cabo la autenticacin explcita. Estas claves se generan en el AuC y se envan a los controladores de zona cifradas mediante la clave KEKm. SCK (Static Cipher Key): clave utilizada para cifrar/descrifrar las comunicaciones en la interfaz aire cuando se usa el cifrado esttico.

DCK (Derived Cipher Key): clave utilizada para cifrar/descifrar el trfico y la sealizacin individual en la interfaz aire cuando se usa cifrado dinmico.

Definicin de claves

CLAVES DE SECRAFONA Y AUTENTICACIN

CCK (Common Cipher Key): clave utilizada para cifrar/descifrar el trfico y la sealizacin de grupo en la interfaz aire cuando se usa cifrado dinmico. Es una clave comn para todas las EBTS y terminales del sistema y se distribuye desde las EBTS a los terminales cifrada con la clave DCK. KEK (Key Encryption Key): clave utilizada para cifrar/descrifar claves de trfico (KS, KS, SCK, DCK, CCK). Se generan en el AuC para el sistema (KEKm) y para cada zona (KEKz). KEKm: la usa el controlador de zona para cifrar/descifrar el material de Autenticacin (KS, KS) cuando se enva a travs de la infraestructura y para cifrar/descrifrar las claves DCK cuando se envan a otro controlador. KEKz: la usan las EBTS para cifrar/descifrar las claves SCK y CCK y el controlador de zona para cifrar/descrifrar las claves DCK cuando se envan a las EBTS.

Definicin de claves

CLAVES DE SECRAFONA Y AUTENTICACIN

Ki (Infraestructure Key): clave utilizada para cifrar/descifrar la KEK cuando se transporta por la red Dimetra. Se asigna una Ki nica a cada controlador de zona y EBTS (TSC y BRC) del sistema. La Ki se genera en el AuC y se carga en los dispositivos mencionados anteriormente a travs del KVL.

Definicin de claves

CLAVES DE SECRAFONA Y AUTENTICACIN

System Key: clave de sistema generada en el KVL. Es necesario que el AuC, PrC y KVL de un mismo sistema tengan la misma System Key. Master Key: clave utilizada por el AuC/PrC para cifrar la informacin sensible de sus bases de datos. Se genera en el KVL y se carga en el mdulo de cifrado (Crypto Card) del AuC/PrC. UKEK (Unique Key Encryption Key): esta clave se utiliza establecer comunicaciones seguras entre el KVL y el AuC/PrC

Definicin de claves

FLUJO DE CLAVES (I)

SCK

Definicin de claves

FLUJO DE CLAVES (II)

PrC Server
K-REF SCK

Ki KEKm KS, KS

ZC

Kis KEKz

Authentication Centre

Kis

KVL

DCK

AuC
Kis

KS, KS

SCK DCK CCK Ki KEKm KEKz

Ki KEKz SCK, CCK

TSC BRC

NDICE

1
2 3 4 5 6 7

Concepto y tipos de secrafona

Autenticacin Definicin de claves Equipamiento necesario Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2

Recomendaciones para la renovacin de claves

Consideraciones sobre compatibilidad en infraestructura y terminales

Equipamiento necesario para secrafona y autenticacin

Los dispositivos y bases de datos utilizados en la activacin del Proceso de Seguridad en un sistema DIMETRA son los siguientes: Provisioning Centre (PrC) Authentication Centre Terminal de mano KVL Base de datos UCS Base de datos ZCM

Equipamiento necesario

PROVISIONING CENTRE
El Provisioning Centre es un ordenador aislado de la red Dimetra. Las funciones principales del PrC son las siguientes: Permite importar las claves K y SCK Permite generar manualmente las claves K y SCK Permite generar automticamente las claves Ks Permite exportar las parejas K-REF Proporciona almacenamiento seguro (cifrado) de las claves mediante la Master Key Permite la carga y descarga de claves de forma segura (cifrada) a otros dispositivos Muestra informacin actualizada del estado de las claves de los terminales del sistema

Equipamiento necesario
AUTHENTICATION CENTRE
El Authentication Centre es un servidor redundado integrado en la red Dimetra. Las funciones principales del AuC son las siguientes: Permite importar las parejas K-REF y las claves SCK Genera el material de autenticacin (KS, KS) y las claves CCK, KEKm, KEKz y Ki Proporciona almacenamiento seguro (cifrado) de las claves mediante la Master Key Distribuye las claves actualizadas a la infraestructura bajo demanda o en base a un calendario previamente establecido

Equipamiento necesario

AUTHENTICATION CENTRE

Equipamiento necesario

TERMINAL DE MANO KVL3000

Las funciones principales del terminal KVL son las siguientes: Generacin de las claves System Key, Master Key y UKEK Carga de claves en terminales, controladores de zona y estaciones base Reconocimientos en PrC y AuC una vez cargadas las claves en los diferentes dispositivos Almacenamiento seguro de claves Proteccin del equipo por password de acceso (dos niveles de seguridad Supervisor y Operador)

NDICE

1
2 3 4 5 6 7

Concepto y tipos de secrafona

Autenticacin Definicin de claves Equipamiento necesario Procedimiento de Activacin en un sistema Dimetra

Recomendaciones para la renovacin de claves

Consideraciones sobre compatibilidad en infraestructura y terminales

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 - NDICE

Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8

Generacin de claves en el AuC

Distribucin de Claves Ki al ZC y a las EBTS Configuracin del codeplug de terminales

Procedimiento de Activacin Seguridad en un sistema Dimetra Modos de Operacin

El sistema Dimetra permite diferentes modos de trabajo en funcin de la configuracin de varios parmetros de las bases de datos UCS y ZDS.

Procedimiento de Activacin en un sistema Dimetra Modos de Operacin

Procedimiento de Activacin en un sistema Dimetra - NDICE

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8

Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin

Generacin de claves en el AuC

Distribucin de Claves Ki al ZC y a las EBTS Configuracin del codeplug de terminales

Procedimiento de Activacin en un sistema Dimetra Parmetros base de datos de sistema (UCS) y de zona (ZDS)

BASE DE DATOS UCS

Objeto: SYSTEM Ficha: CONFIGURATION

Procedimiento de Activacin en un sistema Dimetra Parmetros base de datos de sistema (UCS) y de zona (ZDS)

Procedimiento de Activacin en un sistema Dimetra Parmetros base de datos de sistema (UCS) y de zona (ZDS)

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Parmetros base de datos de sistema (UCS) y de zona (ZDS)
RANGO DE SECRAFONA: POSIBLES ESCENARIOS
LLAMADAS DE GRUPO Radio A: TG-ENC: NO ISSI ENC TG-NO ENC: SI (Las Radios B y D muestran en el display D que la llamada es en claro) TG-ENC TG-NO ENC Radio B: TG-ENC: SI (Las Radios A y C no reciben la comunicacin) TG-NO ENC: SI (Las radios B y D muestran en el display que la llamada es en claro) LLAMADAS PRIVADAS Radio A Radio C: SI, en claro Radio B Radio D: SI, cifrada Radio A Radio D: SI, en claro (La Radio D muestra en el display que la llamada es en claro)

ISSI NO ENC
A TG-ENC TG-NO ENC

ISSI ENC B TG-ENC TG-NO ENC ISSI NO ENC C TG-ENC TG-NO ENC

Base StationSite

Base Station Site

EMPLAZAMIENTO MAESTRO (SwMI)

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Parmetros base de datos de sistema (UCS) y de zona (ZDS) BASE DE DATOS ZDS
Objeto: EBTS Ficha: EBTS AUTHENTICATION

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 - NDICE

Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8

Generacin de claves en el AuC

Distribucin de Claves Ki al ZC y a las EBTS Configuracin del codeplug de terminales

Procedimiento de Activacin un sistema Dimetra Generacin de Claves en el PrC

ACCESO AL PrC
Doble click en el icono del PrC en el escritorio Introducir Login y Password Login: Mot-user1 Password: Motorola_03 Aparece la ventana principal del PrC

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 - NDICE

Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8

Generacin de claves en el AuC

Distribucin de Claves Ki al ZC y a las EBTS Configuracin del codeplug de terminales

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Carga de Claves en Terminales

TRANSFERENCIA DE CLAVES DEL PrC AL KVL3000

Para poder cargar las claves K y SCK en los terminales es necesario transferirlas previamente al KVL3000.

Una vez transferidas las claves K y SCK al KVL3000 se pueden cargar en los terminales.

Una vez que se hayan cargado las claves en los terminales es necesario conectar de nuevo el KVL3000 al PrC para descargar los acknowledges de los terminales. Se usa el Proc. 5-9 anterior.

Procedimiento de Activacin en un sistema Dimetra - NDICE

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8

Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin

Generacin de claves en el AuC

Distribucin de Claves Ki al ZC y a las EBTS Configuracin del codeplug de terminales

Procedimiento de Activacin en un sistema Dimetra Transferencia de K-REF al Centro de Autenticacin ACCESO AL AuC
Doble click en el icono del AuC en el escritorio Introducir Login y Password Login AuC1: Mot-user1 Password AuC1: motorola_01 Login AuC2: Mot-user1 Pasword AuC2: motorola_02 Aparece la ventana principal del AuC

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 - NDICE

Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8

Generacin de claves en el AuC

Distribucin de Claves Ki al ZC y a las EBTS Configuracin del codeplug de terminales

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Generacin de Claves en el AuC GENERACIN DE LAS CLAVES Ki
Las claves Ki se generan automticamente una vez que los controladores de zona y las EBTS han sido reconocidos por el AuC. En ciertas situaciones puede ser necesario generar una nueva clave Ki para un controlador o una EBTS.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Procedimiento 4-5: How to Assign a New Ki to a Zone or EBTS

Tambin es posible generar nuevamente la misma clave Ki para un controlador o EBTS en caso de que la actual se haya corrompido o perdido.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Procedimiento 4-6: How to Resend an Exinting Ki to a Zone or EBTS

Aunque se describe en los procedimientos anteriores es importante resaltar que la modificacin de las claves Ki exige la carga local del dispositivo afectado.

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Generacin de Claves en el AuC GENERACIN DE LAS CLAVES KEKm, KEKz Y CCK
Las claves KEKm, KEKz y CCK se generan utilizando el siguiente procedimiento.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Booklet10-2: Managing Authentication, Encryption and Provisioning Procedimiento 4-12: How to Perform Immediate Key Updates for a Key Type

GENERACIN DEL MATERIAL DE AUTENTICACIN (KS Y KS)

El AuC no genera automticamente el material de autenticacin para cada terminal cuando se reconocen inicialmente en la base de datos del AuC y se introducen las K-REF. Es necesario generar este material de autenticacin inicialmente. Una vez generado por primera vez y si se activa la opcin de actualizacin de claves cada vez que se haga una actualizacin manual o automtica se generar nuevo material de autenticacin.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Procedimiento 4-13: How to Assign New Authentication Material for a MS

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Generacin de Claves en el AuC

GENERACIN DE LAS CLAVES SCK

Las claves SCK introducidas en el AuC deben ser las mismas que las generadas en el PrC. El AuC permite importar un archivo con las claves SCK deseadas. Es necesario que el archivo contenga las 32 claves SCK permitidas.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Procedimiento 4-17: How to Import SCK into AUC

Tambin es posible generar manualmente las claves SCK.

6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Procedimiento 4-18: How to Modify an SCK in the AuC

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Generacin de Claves en el AuC

GENERACIN DE LAS CLAVES SCK

Una vez generadas las claves SCK es necesario especificar cual ser la clave activa en el sistema y cual ser la siguiente clave activa, que entrar en vigor en caso que haya una actualizacin de claves manual o programada.
6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Procedimiento 4-19: Setting the Next Active SCK in the AuC

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 - NDICE

Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8

Generacin de claves en el AuC

Distribucin de Claves Ki al ZC y a las EBTS Configuracin del codeplug de terminales

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Distribucin de claves Ki al ZC y a las EBTS

Todas las claves generadas en el AuC excepto las claves Ki se distribuyen al resto de elementos de la red a travs de la infraestructura Dimetra. Las claves Ki se distribuyen a travs del KVL a los controladores de zona y a las EBTS (TSC y BRC). El procedimiento para la distribucin de claves Ki a los controladores y EBTS es el especificado en el apartado Generacin de las Claves Ki visto anteriormente. Una vez descargadas las claves Ki en los diferentes dispositivos es necesario volver a conectar el KVL al AuC para transferir los acknowledges.

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 - NDICE

Modos de Operacin
Parmetros bases de datos de sistema (UCS) y zona (ZDS) Generacin de Claves en el PrC Carga de Claves en Terminales Transferencia de K-REF al Centro de Autenticacin

5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8

Generacin de claves en el AuC

Distribucin de Claves Ki al ZC y a las EBTS Configuracin del codeplug de terminales

Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2 Configuracin del codeplug de terminales

Definicin de parmetros de autenticacin y secrafona en el codeplug de la radio

NDICE

1
2 3 4 5 6 7

Concepto y tipos de secrafona

Autenticacin Definicin de claves Equipamiento necesario para secrafona y autenticacin Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2

Recomendaciones para la renovacin de claves

Consideraciones sobre compatibilidad en infraestructura y terminales

Recomendaciones para la renovacin de claves

Se puede establecer un calendario de renovacin de claves de secrafona y autenticacin. Como punto de partida se puede considerar la siguiente recomendacn proporcionada por el fabricante Motorola.

Recomendaciones para la renovacin de claves

Procedimiento para configurar actualizaciones de claves programadas en el AuC:

6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Booklet10-2: Managing Authentication, Encryption and Provisioning Procedimiento 4-11: How to Schedule Key Updates for a Key Type

Procedimiento para actualizar manualmente las claves en el AuC:

6802800U11-Volume10_AuthenticationEncryptionandProvisioning_D52.pdf Booklet10-2: Managing Authentication, Encryption and Provisioning Procedimiento 4-12: How to Perform Immediate Key Updates for a Key Type

NDICE

1
2 3 4 5 6 7

Concepto y tipos de secrafona

Autenticacin Definicin de claves Equipamiento necesario para secrafona y autenticacin Procedimiento para activar la secrafona y autenticacin en un sistema Dimetra 5.2

Recomendaciones para la renovacin de claves

Consideraciones sobre compatibilidad en infraestructura y terminales

Consideraciones sobre compatibilidad en infraestructura y terminales

Autenticacin SwMI R5.2 MTH800 MTM700 MTP200/300 MTM300

Secrafona Clase 2 (Claves estticas)

Secrafona Clase 3 (Claves dinmicas)

X X
A partir de MR 3.0

X X X X X

X X
A partir de MR 3.0

Implicaciones: El sistema puede configurarse para manejar diferentes modelos y versiones de terminales. Las estaciones base en las que estn registrados terminales de primera generacin trabajarn en el modo de secrafona Clase 2, ya que el modo de trabajo de la estacin vendr dado por el terminal de perfil de secrafona inferior. Analizar si merece la pena configurar el sistema para trabajar en modo de Secrafona Clase 3.

CURSO DE SECRAFONA RED DIMETRA 5.2

CURSO DE SECRAFONA RED DIMETRA 5.2

Jess Garcs Febrero 2006