Távközlési összeköttetések titkosítása CYPCOM 100 berendezés családdal

A CYPCOM100 berendezés család kifejezetten távközlési összeköttetések titkosítására kifejlesztett eszköz. A bemutatott alkalmazások mikrohullámú összeköttetések titkosítását mutatják be, de a berendezés természetesen más átviteli közegen is alkalmazható. Titkosításra olyan összeköttetések esetén van szükség, amikor az átvitt beszéd-, illetve adattartalmat kell védeni, továbbá olyan esetekben, amikor a beszéd-, illetve adattartalom már titkosított ugyan, de az átvitt vezérlő csatornákat szabotázs ellen védeni szükséges. A vezérlő csatornákat átvivő összeköttetéseket általában duplikálják például közös csatornás jelzés link átvitelekor a megfelelő megbízhatóság elérése céljából. A CYPCOM100 alkalmazkodik az így kezelt hálózati hierarchiákhoz is.

Alkalmazások

A berendezés lehetséges kiépítései a következők:

• E1-es titkosító, 1, 2 vagy 4 E1-es jelfolyam full-duplex titkosítására alkalmas, pont-pont összeköttetésben, irányonként független kulccsal.
• E1-es titkosító, pont-multipont összeköttetésben, időrés csoportok titkosítására.
• Ethernet titkosító esetén egy ethernet csatlakozással rendelkező átviteltechnikai útvonal két végpontjára kötve a teljes ethernet jelfolyamot titkosítja.
• IP titkosító esetén egy IP-s hálózat két pontján elhelyezve a titkosító végpontjait az átmenő IP-s kommunikáció hasznos adattartalmát titkosítja, az irányítási információkat (IP címek, MAC címek, port számok stb.) transzparensen átereszti, hogy a titkosított IP csomag a kívánt végponthoz odataláljon.

Mindegyik változat ugyanazokat a titkosító algoritmusokat használja és a kulcskezelés módja is megegyezik. A különbség csak a fizikai interfészekben illetve az adatcsomagok felépítésében van.

A fenti alkalmazásokat az 1., 2., illetve a 3. ábrán mutatjuk be. Az 1a. ábrán azt az esetet mutatjuk be, amikor egy tartalékolt mikrohullámú összeköttetés E1 összeköttetéseit titkosítjuk. A CYPCOM101 jelű berendezés szolgál az E1 összeköttetések titkosítására. A CYPCOM101 1+1 konfigurációjú kivitele illeszkedik az átviteli rendszer tartalékolt konfigurációjához. Az ábrán látható esetben a mikrohullámú berendezés kültéri (ODU) és beltéri egységei is tartalékolva vannak, az antenna nem tartalékolt. Az 1b. ábrán látható esetben a mikrohullámú berendezés ODU egységei és az antenna van tartalékolva. Ilyen esetben a CYPCOM101 1+0 konfigurációját alkalmazzuk. Az 1c. ábrán látható esetben tartalékolás nélküli átviteli utat mutatunk be. Alaphelyzetben a CYSCOM101 két E1 összeköttetés (4 db E1 interfész) titkosítását végzi. Az 1d. ábrán bemutatott módon négy E1 összeköttetés (8 db E1 interfész) titkosítható a berendezéssel. Az 1e. ábrán látható elv szerint egy 4 db E1 interfésszel rendelkező egység egy állomáson található két különálló mikro link összeköttetéseinek titkosítására is használható, mivel a 2 db E1 összeköttetés egymástól teljesen független, önálló kulcskezeléssel rendelkezik.

A 2. ábra szerinti elrendezés egy olyan esetet szemléltet, amelyben a titkosító berendezések nem egy mikrohullámú összeköttetés két végpontján helyezkednek el, hanem hálózati végpontokon. A titkosított szakasz így pl. az MSC és a bázisállomások között van. Takarékossági szempontok miatt igény lehet arra, hogy egy végponthoz ne egy teljes E1-es jelfolyam legyen kicsatolva a központból, hanem egy a forgalmi igények alapján meghatározott időrés csoport. Erre az elrendezésre a pont-multipont E1-es titkosító berendezések alkalmazhatók. A lehetséges időrés csoportok négy, vagy nyolc időrést foghatnak össze. Az összefogott időrés csoportoknak azonos hálózati útvonalon kell a végpontig haladni annak érdekében, hogy a csoporton belül az egyes időrések egymáshoz képest ne tolódjanak el.

A mikrohullámú berendezések az E1 összeköttetések mellett általában konfigurálható módon alkalmasak 10/100BaseT ethernet összeköttetések transzparens átvitelére. A 3a. ábrán látható módon, ha mind az E1, mind pedig az ethernet összeköttetés titkosítása szükséges a CYPCOM 102 típus jelű berendezéssel titkosítjuk az ethernet összeköttetést. A 3b. ábrán látható módon titkosítjuk a CYPCOM 102 jelű berendezéssel az IP forgalmat. A CYPCOM102 berendezést a két fajta összeköttetés titkosítására szoftver beállítástól függően tesszük alkalmassá.

Az 1+0 konfiguráció azt jelenti, hogy a tápegység, az I/O egység nem duplikált az adott E1 összeköttetésszámnál. Az egyes összeköttetések külön vezérléssel rendelkeznek, így egy berendezésen belül egy összeköttetés meghibásodása nincs hatással a többire. Az 1+1 konfiguráció esetén mind a tápegységek, mind pedig az I/O egységek duplikáltak mindkét összeköttetésre.

Üzemfelügyelet, kommunikáció a két végpont között

A berendezés végpontjai a lehetséges kiépítések esetén különböző módszerrel kommunikálnak egymással.

E1-es pont-pont mikrohullámú összeköttetést titkosító berendezés esetében az E1-es PCM keretek megfelelő bitjein történik a kommunikáció a két végpont között. A rendelkezésre álló szabad bitek közül bármelyik használható a kommunikációra. A használt (bit/bitek) a berendezés konfigurációjánál választhatók ki. Amennyiben a szabad biteket a felettes hálózat már használja valamilyen más célra, úgy lehetőség van egy speciális üzemviteli szerviz csatorna bekonfigurálására.

A hálózati végpontokon működő pont-multipontos időrés csoport titkosítók minden esetben igényelnek üzemviteli időréseket, mert a PCM keret speciális bitjeinek a transzparens átvitele nem garantált a hálózaton. Az üzemviteli kommunikáció történhet úgy, hogy a központi egységnek minden végponttal van egy dedikált üzemviteli időréses adatkapcsolata. A másik üzemviteli mód két időrést igényel. Egy multipontos csoportban lévő berendezések szerviz csatornái „gyűrűbe” vannak fűzve. Ez azt jelenti, hogy mindegyik berendezés két másikkal van kapcsolatban. Egy üzenetet mindkét irányba elküld és ugyanazt az üzenetet két irányból is kaphatja. Az üzenetben szereplő cím alapján detektálja, hogy egy üzenet neki szól. Ha nem az adott végpontnak szól az üzenet, akkor a másik irányba tovább küldi. Ez a „gyűrűs” üzemviteli mód azért biztonságos, mert bármelyik berendezés meghibásodása esetén a többi tud kommunikálni a központi egységgel. Az időrés csoport kiosztások a központi egység IP-s interfészén keresztül konfigurálhatók. A konfiguráció automatikusan letöltődik a távoli végpontokba is. Így igény esetén az időrés csoportok egy helyről átállíthatók, de a beállított konfigurációnak összhangban kell lenni a hálózati irányításokat végző egyéb berendezésekkel, pl. crossconnect csomópontok.

Ethernet titkosító esetében a két végpont gyártó specifikus (nem IP) ethernet üzenetekkel kommunikál egymással. Az üzenetek befűződnek a hasznos üzenetek közé, a sávszélesség veszteség elhanyagolható, mert az üzemviteli üzenetek nem túl sűrűn előforduló és rövid csomagok.

IP titkosító esetén UDP-re ültetett gyártó specifikus protokollal történik az üzenetváltás.

Mindhárom esetre igaz, hogy a kulcs cserével kapcsolatos üzenetek további titkosítással vannak ellátva.

A berendezések távfelügyelete, alarmjelzések küldése, státusz információk, forgalommal kapcsolatos statisztikai adatok lekérdezése a felhasználóval történő egyeztetést követően az alábbi módszerek valamelyikével történhet:

• IP-n keresztül.
• Tetszőleges E1 időrésen.
• GSM modemmel (opcionálisan).