集群通信系统是一种专用调度通信系统，作为无线通信的一个重要分支，近几年TETRA数字集群系统在全球得到了快速的发展。TETRA数字集群通信系统是一种基于数字时分多址（TDMA）技术的无线集群移动通信系统，具有丰富的服务功能、更高的频率利用率、高质量的通信、灵活的组网方式，许多新的应用(如车辆定位、图像传输、移动互联网、数据库查询等)都已在TETRA中得到实现。

TETRA系统作为一个满足专用移动通信用户特殊需求而开发的数字集群标准，具有业务多样化、频谱效率高、通信保密性好、兼容互联性强、呼叫建立快速、调度特性良好、直通工作方式（DMO）等特点。与其它通信系统相比，其频谱效率、兼容互联性、直通工作方式和安全性能方面的优势尤为突出。

本文将主要介绍TETRA数字集群系统可能遭受到的威胁以及鉴权、空中接口加密和端到端加密等三种安全功能。

TETRA系统可能遭受到的威胁

终端设备与网络设施之间的无线接口可能受到以下安全威胁:

1. 非法窃听

攻击者通过对无线信道的监听获取传输的消息，甚至进行被动偷听或主动会话攻击。这是对无线接口最常见的攻击方法， 这种威胁源于无线链路的开放性。

2. 非授权访问数据

攻击者伪装成合法用户访问网络资源，以期达到破坏目的；或攻击者违反安全策略，利用安全系统的缺陷非法占有系统资源和访问本应受保护的信息。必须对网络设备增加认证机制，以防止非授权用户使用网络资源。

3. 对完整性的威胁

攻击者可能修改、插入、重放或删除无线链路上合法用户的数据或信令数据。

4. 拒绝服务攻击

攻击者通过在物理上或协议上干扰用户数据、信令数据或控制数据在无线链路中的正确传输，以实现无线链路上的拒绝服务攻击。

针对以上的一些安全威胁，TETRA系统实现了系统功能和安全保密功能的一体化设计，现已具有鉴权及空中接口加密功能，并支持端到端加密。空中接口加密用于对基站和移动台间无线信道上的信息数据和信令加密保护，并保证信息不被重播，可以部分解决非法窃听及对完整性的威胁，空中接口加密能够在无线链路上对用户语音数据加密，并保护信令数据不被分析，但用户的数据信息在网络设施中是未加密的。端到端加密(这里的端到端分别指的是移动台到移动台之间和移动台到调度台之间)一般由用户自行设计实现。鉴权实现用户和网络设施间的单向或双向鉴权，用于防止非法用户接入系统和合法用户接入假冒系统，可解决非授权访问数据及拒绝服务攻击。

TETRA系统的安全技术

TETRA数字集群系统采用数字话音编码、数字传输和交换技术，实现了系统功能和安全保密功能一体化设计，具有鉴权、空中接口加密和端到端加密等三种安全功能，配置、使用灵活，具有较好的安全保密性。

1. 鉴权（低级安全）

公网运营商运营主要是保证计费，防止无权用户进入系统；一般专网则主要保证网络专供本部门的人员使用。鉴权在GSM 和CDMA公网中都具备，但它们都是单向鉴权；TETRA系统可双向鉴权。

根据TETRA系统中的设置，不仅可以实现TETRA网络对移动台、移动台对TETRA网络的单向鉴权，还可以实现TETRA网络和移动台之间的双向鉴权。在TETRA系统中均可对交换和管理基础设施（SwMI）和移动台（MS）进行鉴权。对SwMI进行鉴权的目的是为了识别合法的SwMI，从而防止移动台接入非法的TETRA网络；对移动台进行鉴权的目的是为了识别由单个TETRA用户身份识别码（ITSI）标志的用户，从而防止非法移动台接入网络。鉴权采用挑战-应答协议，即由系统鉴权中心或终端产生一个随机数，系统和终端用各自的鉴权密钥和鉴权算法对该随机数进行运算作为对挑战的应答，通过比较各自的结果和收到的应答是否一致得出鉴权的结果。

2. 空中接口加密（中级安全）

空中接口加密是终端设备与基站之间的无线通路上的加密，TETRA空中接口包括认证、加密、终端禁止、空中二次加密、伪消息产生等安全功能。TETRA系统支持多种空中接口加密算法，可为不同用户配置不同的加密算法。

2.1 单个(一对一) 呼叫的空中接口加密

单个呼叫加密是比较简单的。移动台在鉴权时会产生一个导出密钥(DCK)。这个值对于某个移动台和某次鉴权过程都是唯一的。不同的移动台和不同的鉴权过程都将会改变导出密钥的值。移动台计算出这个值，网络也计算出同样的值。导出密钥被用于加密和解密在空中传送信息，这样， 就不需要通过开放空中接口传送密钥了。移动台可以存储32个不同的密钥。

2.2 组(群) 呼叫的空中接口加密

对组呼叫的加密需要使用多个密钥，公共(用)密钥（Common Cipher Key，CCK），用于个呼和组呼的上行链路；组（群）密钥（Group Cipher Key，GCK），用于组呼的下行链路。每一个位置区域都是一种根据地理位置对系统覆盖区的分片划分，一个位置区域通常由几个相邻的基站组成。每一个区域都有一个共同的公用密钥。TETRA系统会在移动台登记时收到移动台所在位置区域的公共密钥。组(群)密钥是由TETRA系统的上层网络(SwMI)用组(群)身份识别码和随机参数计算出来的。组(群)密钥被分发到组(群)每个成员的移动台的过程可以由导出密钥加密。

2.3 组(群) 呼情况下的空中接口加密机制

在组(群)呼时接收方是多个移动台，所有接收方移动台必须使用同样密钥，即组(群) 密钥，还会用到公共(用) 密钥。

2.4 空中重新分配密钥

在TETRA系统中，允许通过空中将密钥分发给各个移动台，称为空中重新分配密钥(Over The A ir ReKeying，OTAR)。在群呼中，通过网络管理中心将所有共同的GCK和CCK密钥对应地写入每一个移动台。然而，每次更新密钥仍要网络管理中心去完成， 比较繁琐。

2.5 临时身份识别码

身份识别码(ITSI)是TETRA网络用来识别某个移动台的。当移动台进行呼叫时，必须把身份识别码和有关的信令发送给网络。但是，网络入侵者可能通过用户身份识别码监视该用户对TETRA网络的使用频繁程度等。为了防止对特定用户的跟踪，TETRA网络可以发给用户临时身份识别码(ATSI)，用临时身份识别码替换TETRA的用户身份识别码。临时身份识别码与用户身份识别码的数值长度相同，但他是随机分配给用户的，仅在规定时间内有效。TETRA网络管理系统负责维护ITSI和目前分配的ATSI之间的关系。临时身份识别码的应用，能够确保网络入侵者不能跟踪某个用户或了解某个用户对TETRA网络的使用频繁程度。

3. 端对端加密（高级安全）

端对端加密适用于对保密性有特严要求的应用场合。在端对端加密中，用户保持自己特有的密钥，系统只是为用户提供透明的通信线路和标准接口，并不参与加密过程。

TETRA数字集群系统由移动台MS、基站BS、调度台DWSx、交换机DXT及TETRA互联服务器TCS等构成，端到端加密的密钥管理中心KMC作为TCS的应用开发系统连接到TETRA系统中。为在标准TETRA系统中实现端到端加密功能， 必须进行以下两方面工作:

在TETRA系统中建立一个密钥管理中心(Key Management Center，KMC),KMC通过TCS的API与TETRA系统相连，通过空中接口以短数据的方式为移动台端分发通信密钥TEK，此外密钥管理中心负责密钥的产生，存储及增删等功能。

对TETRA终端设备进行改造，使其能够接受并响应KMC的密钥管理消息，并利用通信密钥来进行端对端加密。由于TETRA应用领域的特殊性，端到端加密中使用的加密算法可以是用户自行开发或是国家、行业准许的加密算法， 密钥长度也可由用户自行规定。

结语

TETRA系统具有单、双向鉴权、空中接口加密和端到端加密等较完善的安全保密功能，随着计算机网络的快速发展，非对称密钥体制及应用发展将十分迅速。为了提高TETRA系统的安全性，除了很好的设计、实施端到端加密系统和密钥管理系统之外，还应该很好的规划和实施其安全的VPN。