Спосіб організації та встановлення конфіденційного криптованого мобільного зв’язку

1. Спосіб організації та встановлення конфіденційного криптованого мобільного зв'язку, який полягає в тому, що мовні сигнали в передавальному мобільному терміналі мобільного зв'язку на передачі перетворюють в цифрову форму, кодують цифровий потік з використанням алгоритмів стискання мови, шифрують цифровий потік на ключах парного зв'язку, не відомих третім особам, у зашифрованому вигляді передають через транспортний блок мережі оператора мобільного зв'язку і відповідно розшифровують на ідентичних ключах парного зв'язку та декодують, відновлюють початкові вихідні мовні сигнали в приймаючому мобільному терміналі, який відрізняється тим, що мобільні термінали мобільної мережі об'єднують у внутрішню мережу криптованого зв'язку, забезпечують зазначені мобільні термінали додатковими засобами ідентифікації лише в межах внутрішньої мережі, встановлюють бездротовий зв'язок між мобільними терміналами і блоком керування внутрішньої мережі криптованого зв'язку, ключі парного зв'язку генерують у мобільних терміналах з використанням набору ключів-компонент, динамічно оновлюють на мобільних терміналах набори ключів-компонент з блока керування внутрішньої мережі криптованого зв'язку по бездротових каналах зв'язку. 2. Спосіб за п. 1, який відрізняється тим, що як мобільні термінали використовують стандартні телефони мобільного стільникового зв'язку форматів GSM, CDMA, WiMAX і інших форматів. U 2 (19) 1 3 жах стільникового мобільного зв'язку стандартів GSM-900, DCS-1800 (патент Російської федерації на винахід RU 2 132 597, H04Q7/32, H04L9/12 «СПОСОБ ШИФРОВАНИЯ И ПЕРЕДАЧИ ШИФРОВАННОЙ РЕЧЕВОЙ ИНФОРМАЦИИ В СЕТЯХ СОТОВОЙ ПОДВИЖНОЙ СВЯЗИ СТАНДАРТОВ GSM-900, DCS-1800», опубліковано 27.06.1999р. Російським агентством по патентам і товарним знакам), обраний за найближчий аналог. Вказаний спосіб полягає у наступному: Мовну інформацію перетворюють в цифрову форму, кодують з використанням алгоритму перетворення мови і додатково зашифровують на парних ключах, не відомих третім особам, а потім в зашифрованому вигляді передають від абонента до абонента засобами мереж стільникового мобільного зв'язку стандартів GSM-900, DCS-1800 через дуплексний канал передачі даних. Одночасно на прийомі здійснюється розшифрування та декодування (з цифрової форми в аналогову) отриманої з каналу інформації. Опції мовоперетворення і шифрування/розшифрування при цьому реалізуються в спеціальному мобільному абонентському пристрої, що сполучається зі штатними мобільними терміналами абонентів через асинхронний послідовний стик RS-232, призначений для підключення комп'ютера. У цьому випадку дуплексний (прозорий) канал передачі даних (комп'ютерних файлів), які надаються в системах зв'язку стандартів GSM-900, DCS-1800, використовується в якості транспортного середовища для передачі шифрованої мови. Недоліками вказаного способу є: виконання сеансів обміну конфіденційною інформацією між мобільними терміналами на одному рівні з мобільними терміналами інших абонентів мережі стільникового мобільного зв'язку, використання постійного набору алгоритмів для генерації парних ключів, відсутність динамічного управління безпекою конфіденційного зв'язку і як наслідок - збільшення ризику вразливості від атаки «man-in-the-middle» та клонування мобільного термінала, що призводить до зниження рівня захисту конфіденційної інформації. В основу корисної моделі покладена технічна задача створити такий спосіб організації та встановлення конфіденційного криптованого мобільного зв'язку, при якому за рахунок створення внутрішньої мережі криптованого зв'язку, встановлення бездротового зв'язку між мобільними терміналами і блоком управління внутрішньої мережі криптованого зв'язку, динамічного оновлення на мобільних терміналах наборів ключів-компонент, досягається можливість зменшити вірогідність атак і клонування мобільних терміналів та, як наслідок підвищити рівень захисту конфіденційної інформації. Поставлена технічна задача досягається шляхом створення способу організації та встановлення конфіденційного криптованого мобільного зв'язку, який полягає в тому, що мовні сигнали в передавальному мобільному терміналі мобільного зв'язку на передачі перетворюють в цифрову форму, кодують цифровий потік з використанням алгоритмів стискання мови, шифрують цифровий потік на ключах парного зв'язку не відомих третім 49545 4 особам, у зашифрованому вигляді передають через транспортний блок мережі оператора мобільного зв'язку і відповідно розшифровують на ідентичних ключах парного зв'язку та декодують, відновлюють початкові вихідні мовні сигнали в приймаючому мобільному терміналі, в якому, згідно із запропонованою корисною моделлю, мобільні термінали мобільної мережі об'єднують у внутрішню мережу криптованого зв'язку, забезпечують зазначені мобільні термінали додатковими засобами ідентифікації лише в межах внутрішньої мережі, встановлюють бездротовий зв'язок між мобільними терміналами і блоком управління внутрішньої мережі криптованого зв'язку, ключі парної зв'язку генерують у мобільних терміналах з використанням набору ключів-компонент, динамічно оновлюють на мобільних терміналах набори ключів-компонент з блоку управління внутрішньої мережі криптованого зв'язку по бездротових каналах зв'язку. Крім того як мобільні термінали можуть використовувати стандартні телефони мобільного стільникового зв'язку форматів GSM, CDMA, WiMAX і інших форматів. Корисною моделлю також передбачено, що спосіб можна реалізувати за допомогою будь-яких мереж і пристроїв VoIP зв'язку. Нарешті зв'язок точка-точка між мобільними терміналами може встановлюватися як при фіксованих IP адресах мобільних терміналів, так і при динамічно наданих в рамках мережі мобільного оператора або в мережі VoIP провайдера. Також згідно з корисною моделлю переважно, в мобільних терміналах для кожного сеансу зв'язку генерують нові ключі парного зв'язку. Відповідно до корисної моделі крім мовних сигналів можуть здійснювати передачу і прийом SMS повідомлень, голосової пошти, іншої інформації. В іншому випадку реалізації способу, з блоку управління внутрішньої мережі криптованого зв'язку по бездротових каналах зв'язку реалізують сервіси моніторингу атак, моніторингу вхідних, вихідних і втрачених викликів. В іншому варіанті здійснення корисної моделі ключі-компоненти після динамічного оновлення видаляють з блоку управління внутрішньої мережі криптованого зв'язку. Крім того можливий варіант, коли ключікомпоненти зберігають лише в кожному мобільному терміналі внутрішньої мережі окремо в області пам'яті, яка системно не доступна для зчитування будь-якими іншими засобами. В іншому варіанті реалізації корисної моделі, при передачі мовних сигналів використовують алгоритм шумозаглушення. При реалізації корисної моделі можливо, що засобами блоку управління внутрішньої мережі криптованого зв'язку організовують багаторівневу структуру дозволених з'єднань із змінними статусами мобільних терміналів і правами доступу. Перераховані ознаки складають суть корисної моделі та забезпечують досягнення технічного результату - зменшити вірогідність атак і клонування мобільних терміналів та, як наслідок підвищити рівень захисту конфіденційної інформації. 5 Причинно-наслідковий зв'язок ознак корисної моделі та технічного результату полягає в тому, що за рахунок створення внутрішньої мережі криптованого зв'язку, встановлення бездротового зв'язку між мобільними терміналами і блоком управління внутрішньої мережі криптованого зв'язку, динамічного оновлення на мобільних терміналах наборів ключів-компонент забезпечується можливість зменшити вірогідність атак і клонування мобільних терміналів та, як наслідок підвищити рівень захисту конфіденційної інформації. Запропонована корисна модель проілюстрована доданим кресленням на якому зображено структурну схему системи, яка реалізує спосіб організації та встановлення конфіденційного криптованого мобільного зв'язку. Запропонована корисна модель може бути реалізована за допомогою системи, що складається з: мобільного терміналу абонента А1 1, мобільного терміналу абонента Аі 2, поєднаних між собою через транспортний блок мережі оператора мобільного зв'язку 3, блока управління внутрішньої мережі криптованого зв'язку 4, який під час роботи пов'язаний з мобільними терміналами 1, 2 через транспортний блок мережі оператора мобільного зв'язку 3. Спосіб організації та встановлення конфіденційного криптованого мобільного зв'язку реалізується таким чином: Мовні сигнали, а також SMS повідомлення, повідомлення голосової пошти, іншу інформацію в передавальному мобільному терміналі абонента А1 1 на передачі мобільному терміналу абонента Аі 2 перетворюють в цифрову форму, кодують цифровий потік з використанням алгоритмів стискання мови, при кодуванні використовують також алгоритми шумозаглушення, шифрують цифровий потік на ключах парного зв'язку не відомих третім особам, в тому числі оператору мобільного зв'язку, у зашифрованому вигляді передають через транспортний блок мережі оператора мобільного зв'язку 3 і відповідно розшифровують на ідентичних ключах парного зв'язку та декодують, відновлюють початкові вихідні мовні сигнали в приймаючому мобільному терміналі абонента Аі 2. Мобільні термінали мобільної мережі об'єднують у внутрішню мережу криптованого зв'язку з захищеною ідентифікацією пристроїв даної мережі, в межах якої для мобільних терміналів здійснюють криптований зв'язок мовними сигналами, SMS повідомленнями, голосовою поштою, іншою інформацією. Невід'ємною складовою цієї мережі є блок управління внутрішньої мережі криптованого зв'язку 4. За допомогою блока управління внутрішньої мережі криптованого зв'язку 4 забезпечують захищений динамічний процес оновлення ключів-компонент. Ключі компоненти використовують як частково статичні (між періодами оновлення) компоненти для захисту інформації при обмінах з блоком управління внутрішньої мережі криптованого зв'язку 4 та генерації сеансових ключів парного зв'язку (іншу частину ключів-компонет для генерації сеансових ключів оновлюють та узгоджують між абонентами для кожного сеансу зв'язку окремо). Зазна 49545 6 чена внутрішня мережа криптованого зв'язку є інтернет системою, про яку треті особи, в тому числі оператор мобільного зв'язку, не мають жодної інформації. Абоненти внутрішньої мережі використовують тільки транспортний сервіс мережі оператора мобільного зв'язку і не користуються його сервісами з передачі мовних сигналів, SMS повідомлень, голосової пошти, іншої інформації. Мобільні термінали абонентів внутрішньої мережі 1, 2 використовують свої IP як додаткові засоби ідентифікації лише в межах цієї внутрішньої мережі. В деяких випадках (наприклад при застосуванні роумінгу) ці ідентифікатори надають динамічно в рамках мережі мобільного оператора або в мережі VoIP провайдера. Між мобільними терміналами 1, 2 і блоком управління внутрішньої мережі криптованого зв'язку 4 встановлюють зв'язок. Ключі парного зв'язку генерують та узгоджують алгоритмом Діффі-Хеллмана у мобільних терміналах 1, 2 з використанням набору частково статичних (які оновлюють по окремому циклу динамічного оновлення в блоці управління внутрішньою мережею криптованого зв'язку 4) та цілком динамічних (які генерують та узгоджують окремо алгоритмом Діффі-Хеллмана на кожний сеанс зв'язку) ключівкомпонент. У запропонованому способі використовують алгоритм шифрування оцифрованого мовного потоку, згідно ГОСТ 28147-89. В мобільних терміналах 1, 2 для кожного сеансу зв'язку генерують нові ключі парного зв'язку. Набори ключівкомпонент динамічно оновлюють на мобільних терміналах з блоку управління внутрішньої мережі криптованого зв'язку 4 по бездротових каналах зв'язку з використанням відповідного шифрування. При цьому передають набір ключів-компонент для мобільних терміналів всіх абонентів внутрішньої мережі, включаючи блок управління внутрішньої мережі криптованого зв'язку 4. Зазвичай періодичність такої передачі - один раз на добу. Ключікомпоненти після динамічного оновлення видаляють з блоку управління внутрішньої мережі криптованого зв'язку 4 одразу після передачі для неможливості їх перехоплення при атакуванні цього блоку. Ключі-компоненти зберігають лише в кожному мобільному терміналі внутрішньої мережі окремо в області пам'яті, яка системно не доступна для зчитування будь-якими іншими засобами. При вимкненні мобільного терміналу внутрішньої мережі передачу на нього блоком управління внутрішньої мережі криптованого зв'язку 4 набору ключів-компонент проводять автоматично одразу після включення мобільного терміналу та проходження процедури додаткової авторизації. У випадку негативного результату проходження процедури додаткової авторизації даний мобільний термінал вважають «підозрілим» та автоматично виключають із внутрішньої мережі. Подальше відновлення його функцій можливо тільки з блоку управління внутрішньої мережі криптованого зв'язку 4. Як мобільні термінали 1, 2 використовують стандартні телефони мобільного стільникового зв'язку форматів GSM, CDMA, WiMAX і інших форматів. Це надає абонентам особливої зручності, оскільки при їх виключенні з числа абонентів внутрішньої мережі криптованого зв'язку вони можуть 7 49545 продовжувати користуватися своїми телефонами як звичайними не конфіденційними засобами зв'язку. Стандартність мобільного термінала позбавляє необхідності вилучати його у виключених з внутрішньої мережі абонентів та гарантує всім абонентам внутрішньої мережі неможливість користування таким мобільним терміналом у внутрішній мережі після виключення. З блоку управління внутрішньої мережі криптованого зв'язку 4 реалізують сервіси моніторингу атак, моніторингу вхідних, вихідних і втрачених викликів. Засобами блоку управління внутрішньої мережі криптованого зв'язку 4 організовують багаторів Комп’ютерна верстка А. Рябко 8 неву структуру дозволених з'єднань із змінними статусами мобільних терміналів і правами доступу. Таким чином абонентам внутрішньої мережі встановлюють пріоритетність з'єднань між собою, заборонені з'єднання. Так, наприклад при корпоративному користуванні конфіденційним зв'язком можна встановити неможливість виклику мобільним терміналом керівника нижчого рівня мобільного терміналу вищого керівника всупереч встановленої ієрархії спілкування. В той же час можна реалізувати проходження виклику мобільним терміналом вищого керівника мобільного терміналу керівника нижчого рівня. Підписне Тираж 26 прим. Міністерство освіти і науки України Державний департамент інтелектуальної власності, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601