主頁（http://www.130131.com）：TETRA 系統(tǒng)安全技術初探(2)

2.3 組(群) 呼情況下的空中接口加密機制
在組(群)呼時接收方是多個移動臺，所有接收方移動臺必須使用同樣密鑰，即組(群) 密鑰，還會用到公共(用) 密鑰。

2.4 空中重新分配密鑰
在TETRA系統(tǒng)中，允許通過空中將密鑰分發(fā)給各個移動臺，稱為空中重新分配密鑰(OverTheAirReKeying，OTAR)。在群呼中，通過網(wǎng)絡管理中心將所有共同的GCK和CCK密鑰對應地寫入每一個移動臺。然而，每次更新密鑰仍要網(wǎng)絡管理中心去完成， 比較繁瑣。

2.5 臨時身份識別碼
身份識別碼(ITSI)是TETRA網(wǎng)絡用來識別某個移動臺的。當移動臺進行呼叫時，必須把身份識別碼和有關的信令發(fā)送給網(wǎng)絡。但是，網(wǎng)絡入侵者可能通過用戶身份識別碼監(jiān)視該用戶對TETRA網(wǎng)絡的使用頻繁程度等。為了防止對特定用戶的跟蹤，TETRA網(wǎng)絡可以發(fā)給用戶臨時身份識別碼(ATSI)，用臨時身份識別碼替換TETRA的用戶身份識別碼。臨時身份識別碼與用戶身份識別碼的數(shù)值長度相同，但他是隨機分配給用戶的，僅在規(guī)定時間內(nèi)有效。TETRA網(wǎng)絡管理系統(tǒng)負責維護ITSI和目前分配的ATSI之間的關系。臨時身份識別碼的應用，能夠確保網(wǎng)絡入侵者不能跟蹤某個用戶或了解某個用戶對TETRA網(wǎng)絡的使用頻繁程度。

3. 端對端加密（高級安全）
端對端加密適用于對保密性有特嚴要求的應用場合。在端對端加密中，用戶保持自己特有的密鑰，系統(tǒng)只是為用戶提供透明的通信線路和標準接口，并不參與加密過程。

TETRA數(shù)字集群系統(tǒng)由移動臺MS、基站BS、調(diào)度臺DWSx、交換機DXT及TETRA互聯(lián)服務器TCS等構成，端到端加密的密鑰管理中心KMC作為TCS的應用開發(fā)系統(tǒng)連接到TETRA系統(tǒng)中。為在標準TETRA系統(tǒng)中實現(xiàn)端到端加密功能，必須進行以下兩方面工作:

在TETRA系統(tǒng)中建立一個密鑰管理中心(Key Management Center，KMC),KMC通過TCS的API與TETRA系統(tǒng)相連，通過空中接口以短數(shù)據(jù)的方式為移動臺端分發(fā)通信密鑰TEK，此外密鑰管理中心負責密鑰的產(chǎn)生，存儲及增刪等功能。

對TETRA終端設備進行改造，使其能夠接受并響應KMC的密鑰管理消息，并利用通信密鑰來進行端對端加密。由于TETRA應用領域的特殊性，端到端加密中使用的加密算法可以是用戶自行開發(fā)或是國家、行業(yè)準許的加密算法， 密鑰長度也可由用戶自行規(guī)定。

 結語
TETRA系統(tǒng)具有單、雙向鑒權、空中接口加密和端到端加密等較完善的安全保密功能，隨著計算機網(wǎng)絡的快速發(fā)展，非對稱密鑰體制及應用發(fā)展將十分迅速。為了提高TETRA系統(tǒng)的安全性，除了很好的設計、實施端到端加密系統(tǒng)和密鑰管理系統(tǒng)之外，還應該很好的規(guī)劃和實施其安全的VPN。

此作品來源于2008摩托羅拉TETRA征文大賽