Christine Wireless: Тактическое устройство управления ключами (TKMD)

Рассмотрено тактическое устройство управления ключами (TKMD), представляющее недорогое, одноблочное устройство проекта 25 с функцией беспроводной перепрошивки (OTAR) для переносных, автономных или сетевых кампусных приложений. Рассмотрены режимы работы TKMD, совместимость оборудования и базовых IP-станций, сетевые режимы работы TKMD и возможности, подключение TKMD, свойства и его особенности.

Содержание

1 Тактическое устройство управления ключами (TKMD)

Тактическое устройство управления ключами (TKMD) - это недорогое, одноблочное устройство проекта 25 с функцией беспроводной перепрошивки (OTAR) для переносных, автономных или сетевых кампусных приложений (Кампусная система — это совокупность технических систем, в основе которых лежат карточные технологии, предусматривающие применение многофункциональных именных интеллектуальных карт с идентификационными и финансовыми приложениями).

1.1 Режимы работы TKMD

Автономная работа:

В качестве автономного средства управления ключами (KMF) TKMD подключается напрямую или через подключение по IP-протоколу к РЧ ресурсам, используемым в системе OTAR.

TKMD в этом режиме будет поддерживать OTAR в среде кампуса (пример: аэропорт, посольство и т. д.). Будучи автономным KMF, TKMD также может  поддерживать мобильные полевые операции, такие как инциденты первого реагирования, SWAT (особо вооружённая штурмовая группа) и другие потребности в быстром распространении ключей совместимости.

Сетевая работа - Распределенная или централизованная:

В традиционной системе OTAR центральный KMF обслуживает все радиостанции в системе и, следовательно, требует постоянного подключения данных ко всем радиочастотным ресурсам этой системы. Для большой системы с потенциальными десятками тысяч абонентских устройств поддержание этой связи, а также возможностей иметь достаточные ресурсы KMF для обработки нескольких одновременных операций OTAR абонентских устройств могут быть сложными задачами и приводить к частым сбоям или задержке операций OTAR.

TKMD в сетевой среде представляет собой распределенную систему OTAR, в которой каждый из распределенных TKMD поддерживает только абонентские устройства в диапазоне ресурсов RF, назначенных этому TKMD. Для базовой работы OTAR подключение к IP-сети не требуется. Подключение к IP-сети требуется только для импорта новых Key Kettle файлов (при обновлении материала ключей), для совместного использования зашифрованных обновленных файлов абонентских устройств после операций OTAR (если установлен и включен этот режим) или для запроса файла подписчика из сети, если неизвестное абонентское устройство пытается выполнить регистрацию OTAR на локальном узле.

ТКМД может работать в следующих режимах:

1. OTAR KMF: В этом режиме TKMD может работать как средство управления ключами (KMF) для автономной или сетевой системы Проекта 25 OTAR. Отдельный ТКМД может поддерживать до 500 (и опционально до 3000) абонентских радиоблоков. Сеть ТКМД с центральным сервером может поддерживать практически неограниченное количество абонентских радиостанций.
2. Абонентский блок OTAR: В этом режиме TKMD может участвовать в качестве абонентского блока OTAR Проекта 25 и взаимодействовать с другими средствами управления ключами для получения ключевого материала от этих KMF. При желании этот ключевой материал может быть перераспределен другим абонентским устройствам, при условии, что TKMD работает как ОТАР KMF.
3. Прием загрузчика ключей: TKMD может работать в качестве абонентского устройства и получать материал ключа от устройств загрузки ключей (KFD), совместимых с Проектом 25.
4. Устройство загрузки ключа: TKMD может выступать в качестве устройства загрузки ключей для любого абонентского устройства, соответствующего Проекту 25.

1.2 Совместимость оборудования

1.3 Совместимое оборудование базовых IP-станций

1.4 Сетевые TKMD

1.4.1 О сетевом режиме работы TKMD и его возможностях

• Обмен файлами состояния абонентов. При каждом OTAR обновлении абонентской радиостанции результаты обновления могут быть отправлены в виде зашифрованного файла всем TKMD, назначенным для совместного использования.
• Обновленный файл ключа. Зашифрованный файл, содержащий обновленный ключевой материал, может быть распространен через IP на все сетевые TKMD.
• Неизвестный абонентский блок. Если абонент не найден в локальной базе данных абонентов, всем сетевым TKMD отправляется «Запрос», чтобы узнать, содержится ли неизвестный абонент в какой-либо сетевой базе данных TKMD. Если это так, файл шифруется и отправляется запрашивающему ТКМД для разрешения операции OTAR для неизвестного абонента.
• Дополнительный сервер. Дополнительный сервер хранит все зашифрованные файлы подписчиков из сетевых TKMD. Эти файлы отправляются только после завершения операции OTAR с соответствующей абонентской радиостанцией и поэтому самый последний файл является самой последней и самой правильной записью. Имена файлов содержат беспроводной идентификатор абонентской радиостанции. Серверу нужно только сохранить зашифрованный файл и предоставить его по запросу запрашивающему ТКМД. Поэтому этому серверу не нужно расшифровывать файл и сервер может быть простым облачным ресурсом данных.

1.5 Подключения TKMD

1.6 Свойства и особенности TKMD

• Автономная или сетевая работа. TKMD может использоваться в автономной или сетевой среде или может быть частью IP-сети с другими TKMD. В сетевой среде зашифрованные, подписные и ключевые файлы могут быть безопасно распространены на все TKMD через отдельно зашифрованный IP-адрес.
• Мониторинг и настройка веб-страниц. Защищенные веб-страницы используются для доступа к TKMD. Страницы зашифрованы (https) и требуют, чтобы оператор (Crypto Officer) ввел действительное имя пользователя и пароль для доступа к веб-страницам. Войдя на веб-страницы TKMD, специалист по шифрованию может просматривать текущее рабочее состояние и состояние смены ключей всех подготовленных абонентских радиостанций.
• Автономная работа. После создания баз данных ключей и абонентов (либо вручную специалистом по шифрованию, либо путем импорта зашифрованных файлов данных по защищенному IP-адресу) TKMD работает автоматически. В режиме KMF (средство управления ключами), когда абонентское радиоустройство пытается зарегистрироваться в TKMD, соответствующие базы данных (абонентский и ключевой материал) будут проверены и при необходимости действия ОТАР будут автоматически выполнены TKMD.
• Ввод материалов криптографического ключа. Материал криптографического ключа можно ввести в TKMD одним из трех способов:
• Ручной ввод. Специалист по шифрованию может войти в TKMD и создать ключевой материал либо путем ввода значений, либо с помощью встроенного генератора случайных ключей.
• Ввод с помощью устройств загрузки ключей (KFD). Для ввода одного или нескольких ключей в TKMD можно использовать: KVL-3000™, KVL-4000™ или (KVL-5000™).
• Импорт файла ключа. Зашифрованный файл, содержащий ключевой материал и связанные данные, можно импортировать в TKMD через зашифрованный IP-адрес. Этот файл импортируется автоматически при его получении (если этот режим включен). Материал расшифрованного ключа используется для обновления соответствующих ключей во внутренней базе данных TKMD.
• Ручная операция. При желании криптограф может инициировать любую поддерживаемую операцию OTAR с абонентской радиостанцией и отслеживать результат.
• Загрузчик ключей. TKMD имеет встроенное устройство загрузки ключа Project 25 (KFD), которое можно использовать для начальной подготовки ключей шифрования (KEK) абонентских радиостанций, необходимой до начала операций OTAR.
• FIPS 140-2. В настоящее время TKMD находится в процессе получения сертификата NIST FIPS 140-2.
• Поддержка AES/DES. TKMD поддерживает AES как в режимах FIPS и DES так и в режиме без FIPS.