problemy zapewnienia bezpiecze stwa informacyjnego w sieci gsm-r
Transkrypt
problemy zapewnienia bezpiecze stwa informacyjnego w sieci gsm-r
PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ z. 92 Transport 2013 Mirosaw Siergiejczyk1,2, Stanisaw Gago1,2 1 Politechnika Warszawska, Wydzia Transportu 2 Instytut Kolejnictwa PROBLEMY ZAPEWNIENIA BEZPIECZESTWA INFORMACYJNEGO W SIECI GSM-R Rkopis dostarczono, kwiecie 2013 Streszczenie: W referacie przestawiono wybrane elementy wpywajce na bezpieczestwo informacyjne w sieci cyfrowej telefonii komórkowej GSM-R. Szczególn uwag zwrócono na wybrane problemy zwizane z zapewnieniem bezpieczestwa transmisji informacji usug realizowanych przez sie GSM-R. Przeanalizowano najwaniejsze problemy majce wpyw na bezpieczestwo interfejsu radiowego oraz elementów bezporednio z nim zwizanych. W zakresie bezpieczestwa telekomunikacyjnego przeanalizowano wybrane metody oraz mechanizmy pozwalajce zapewni wymagany poziom pokrycia radiowego, dostpnoci i cigoci wiadczenia usug w sieci GSM-R. Sowa kluczowe: system GSM-R, transport kolejowy, transmisja, bezpieczestwo 1. WSTP Cyfrowe sieci GSM-R (Global System for Mobile Communications - Railway or GSM-Railway) s ju wykorzystywane w wielu europejskich i poza europejskich Zarzdach Kolejowych. Obecnie w Polsce rozpoczyna si proces budowy sieci GSM-R. Dotychczas stosowana na polskiej kolei radioczno analogowa, pracujca w pamie 150 MHz, zostaa wyeksploatowana technicznie, przez co nie spenia dzisiejszych wymaga technicznych, norm i standardów oraz nie posiada wymaganej funkcjonalnoci [11]. Zaoenia Midzynarodowego Zwizku Kolei UIC (franc. Union Internationale des Chemins de fer) miay na uwadze gównie ujednolicenie europejskich systemów cznoci kolejowej poprzez wprowadzenia projektu EIRENE (European Integrated Railway radio Enhanced Network) [3],[4]. Implementacja GSM-R ma wymierne korzyci finansowe dla segmentu kolejowego. Znacznie poprawia si przepustowo linii kolejowych, do minimum ograniczony jest czas przekraczania granic pastwowych. Tym samym zwiksza si poziom wiadczonych usug (na przykad poprzez wprowadzenie monitoringu przesyek). GSM-R jest to system cyfrowej telefonii komórkowej wykorzystywany 200 Mirosaw Siergiejczyk, Stanisaw Gago dla potrzeb transportu kolejowego. Zapewnia cyfrow czno gosow oraz cyfrow transmisj danych. Oferuje on rozbudowan funkcjonalno systemu GSM. Cechuje si infrastruktur zlokalizowan jedynie w pobliu linii kolejowych. GSM-R ma za zadanie wspomaga systemy wprowadzane w Europie: ERTMS (European Rail Traffic Management System) tj. Europejski System Zarzdzania Ruchem Kolejowym oraz ETCS (European Train Control System), czyli Europejski System Kontroli Pocigu, który ma za zadanie w cigy sposób zbiera i przesya dane dotyczce pojazdu szynowego takie jak prdko czy pooenie geograficzne. System GSM-R jest systemem transmisyjnym dla ETCS, poredniczy przy przekazywaniu informacji maszynicie i innym subom kolejowym [1]. Wdraajc wyej wymienione systemy istotnie poprawia si bezpieczestwo ruchu kolejowego, moliwa jest diagnostyka pojazdu w czasie rzeczywistym oraz moliwe jest wprowadzenie monitoringu przesyek i wagonów. Ponadto poprzez precyzyjne okrelenie odlegoci midzy pocigami mona znacznie zwikszy przepustowo na poszczególnych liniach [7], [8]. Rozmieszczenie stacji bazowych w systemach GSM-R moe odbywa si na róne sposoby w zalenoci od wymaganego bezpieczestwa wiadczonych usug telekomunikacyjnych (przesyanie gosu i transmisja danych). Wybór sposobu rozmieszczenia i poczenia stacji bazowych powinien by podyktowany klas i przeznaczeniem linii kolejowej, jej przepustowoci i wymaganym poziomem bezpieczestwa. Wielko komórek i ich ksztat mona zmienia poprzez regulacj poziomu mocy oraz stosowanie anten dookólnych, szerokoktnych bd liniowych. System GSM-R ma zastosowanie subowe, wic nie przewidziano w nim pokrycia radiowego terenów innych ni tereny kolejowe [9], [13]. System GSM-R jest zbudowany w oparciu o publiczny system GSM co zapewnia mu cigy rozwój w zakresie rozwiza technicznych wynikajcych z postpu technologicznego implementowanego w publicznych sieciach GSM. Jednoczenie naley stwierdzi , e system GSM-R jest narzdziem do sprawniejszego zarzdzania, kierowania i sterowania ruchem kolejowym, co sprawia e System GSM-R ma zdecydowanie wiksz „odpowiedzialno ” ni publiczne systemy GSM a co za tym idzie, systemy te musz mie zaimplementowane dodatkowe rozwizania zwikszajce ich bezpieczestwo. Std te istotnym staje si zagadnienie zapewnienia cigoci dziaania systemu, waciwego pokrycia radiowego terenów kolejowych oraz bezpieczestwa informacyjnego. 2. BEZPIECZESTWO TRANSMISJI INFORMACJI W SIECI GSM-R Kluczowymi zagadnieniami majcymi wpyw na bezpieczestwo systemu jest bezpieczestwo interfejsu radiowego oraz elementów bezporednio z nim zwizanych (np. urzdzenia nadawczo-odbiorcze). Kada informacja przesyana drog radiow naraona jest na podsuch i przechwycenie. Dlatego te, poczenia powinny by szyfrowane tak aby ich tre nie bya jawna i moliwa do odczytu przez przypadkowego uytkownika. Szyfrowanie nie dotyczy Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R 201 kolejowego poczenia alarmowego REC (Railway Emergency Call), ze wzgldu na wymagany krótki czas jego zestawienia. Szyfrowanie wymaga zastosowania odpowiedniego algorytmu do kryptografii cyfrowej zarówno po stronie sieci jak i stacji mobilnej. Jednak zanim informacja zostanie zaszyfrowana, sie musi zidentyfikowa uytkownika przeprowadzajc procedur autoryzacji zwanej równie uwierzytelnieniem. Procedura ta oparta jest na koncepcji podpisu elektronicznego. Autoryzacja przeprowadzana jest z udziaem rejestru AuC (Authentication Centre) i karty SIM (Subscriber Identity Module), w których przechowywany jest klucz autoryzacji Ki. Jest to najtajniejszy parametr uywany w sieci GSM-R, dlatego te nie jest on transmitowany na adnym interfejsie sieciowym, a jego odczyt z karty SIM jest odpowiednio zabezpieczony. Procedura autoryzacji rozpoczyna si po stronie sieci, wyliczeniem na podstawie klucza autoryzacji Ki i losowo wygenerowanej liczby RAND (RANDom number), tzw. liczby SRES (Signed RESponse). Parametr RAND przekazywany jest stacji mobilnej MS w momencie nawizywania poczenia. Terminal przeprowadza podobn procedur jak rejestr AuC, obliczajc liczb SRESMS na podstawie klucza szyfrujcego zapisanego na karcie SIM oraz parametru RAND. Warto ta przekazywana jest do centrali MSC gdzie jest porównywana z wczeniej wyznaczonym parametrem SRES. Jeeli liczby te s sobie równe wtedy kontynuowana jest procedura zestawiania poczenia. Kolejnym etapem jest szyfrowanie informacji, które wymaga obliczenia zarówno w rejestrze AuC jak i po stronie terminala klucza szyfrujcego Kc. Warto wyliczonych wartoci musi by zgodna, w przeciwnym wypadku procedura szyfrowania nie bdzie kontynuowana. Szyfrowanie dotyczy sygnau mowy, danych i sygnalizacji i jest operacj wykonywan zarówno w czu od stacji bazowej BTS (Base Tranceiver Station), do terminala jak i odwrotnie. Odczytanie przesyanej treci wymaga operacji deszyfrowania, realizowanej kadorazowo przez algorytm, który jest uywany równie w procesie szyfrowania. Kada karta SIM jest zwizana z numerem IMSI (International Mobile Subscriber Identity), który uywany jest przez sie w wielu procedurach m.in. zestawiania poczenia i aktualizacji pooenia. Transmisja numeru IMSI w interfejsie radiowym bez zabezpieczenia, mogaby doprowadzi do okrelenia pozycji abonenta, przez osoby niepodane. Aby unikn tego typu niebezpiecznych sytuacji, wprowadza si dodatkowy, tymczasowy numer abonenta ruchomego TMSI (Temporary Mobile Subscriber Identity), którego dugo jest o poow krótsza w stosunku do numeru IMSI. Z racji tego, i numer TMSI jest generowany w sposób losowy w rejestrze VLR (Visitor Location Register), nie mona z góry przewidzie jego wartoci. Wano numeru TMSI obowizuje tylko w konkretnym obszarze wywoa w którym znajduje si stacja ruchoma. Oprócz numeru IMSI do kadej karty SIM przypisany jest kod identyfikacyjny PIN (Personal Identification Key), oraz omiocyfrowy kod odblokowujcy PUK (Personal Unblocking Key) [12]. Wanym elementem wpywajcym na bezpieczestwo jest weryfikacja terminala. Wszystkie terminale radiowe pracujce w sieci powinny by monitorowane pod wzgldem legalnoci ich uycia, a numery IMEI (International Mobile Equipment Identity) znajdowa si na jednej z trzech list: biaej, szarej lub czarnej. Wszystkie wymienione wyej procesy tj. autoryzacja, szyfrowanie, zabezpieczenie przed uyciem nieuprawnionego terminala oraz dostp do zawartoci moduu SIM wpywaj na bezpieczestwo i s standardowymi mechanizmami funkcjonujcymi w kadej sieci GSM. Zwikszenie bezpieczestwa przesyanych informacji w systemie GSM-R uzyskano take 202 Mirosaw Siergiejczyk, Stanisaw Gago poprzez zastosowanie innego pasma czstotliwoci ni w systemie GSM. System GSM-R pracuje w pamie 876 – 880 MHz (uplink – komunikacja w stron sieci) i 921 – 925 MHZ (down link – komunikacja w kierunku terminali), co skutecznie oddziela to pasmo od pasma publicznego systemu GSM (890 – 915 MHz i 935 – 960 MHz). Zwikszenie pewnoci transmisji informacji poprzez system GSM-R uzyskuje si poprzez zapewnienie odpowiedniego pokrycia radiowego wzdu drogi kolejowej uzalenionego od prdkoci poruszania si pocigów i tak dla prdkoci mniejszych ni 220km/h poziom porycia nie powinien by mniejszy ni -95dBm natomiast dla prdkoci wikszych ni 280 km/h nie powinien by mniejszy ni -92 dBm. Prawdopodobiestwo pokrycia tymi poziomami nie powinno by gorsze ni 95% na kade 100 m linii kolejowej, natomiast przeczanie midzy dwoma komórkami (handover) powinno by realizowane wzdu linii kolejowej w normalnych warunkach nie gorzej ni 99,5%. Poczenia o najwyszym priorytecie (alarmowe) powinny by realizowane w czasie krótszym ni 2s (dla 95% pocze). W systemie GSM-R istotnym parametrem wiadczcym o poprawnoci dziaania systemu jest jako wiadczonych usug QoS (Quality of Service), na któr skada si okrelone prawdopodobiestwo faszywego poczenia, opónienie transmisji (przekazywania danych) danych, ograniczony jiter (zmiana opónienia w zaoonych granicach), okrelona stopa bdów BER. 3. BEZPIECZESTWO TELEKOMUNIKACYJNE SIECI GSM-R Zadaniem kadej sieci telekomunikacyjnej jest przesanie informacji w zadanym czasie i z okrelon stop bdów. Sie GSM-R jest systemem telekomunikacyjnym, który musi charakteryzowa si wysok niezawodnoci oraz zapewnia wysoki poziom bezpieczestwa przekazywanych danych w rodowisku kolejowym. Niezawodny dostp do usug telekomunikacyjnych jest bardzo wan kwesti dla Zarzdcy infrastruktury kolejowej gdy ma to bezporedni wpyw na bezpieczestwo oraz pynno ruchu kolejowego. Wspópraca, w ramach systemu ERTMS (European Railway Traffic Management System) systemu GSM-R z systemem ETCS (European Train Control System) poziom 2 nakada na system GSM-R wymaganie, wyraone poprzez maksymalny moliwy czas niedostpnoci systemu wynoszcy: - dla systemu ETCS poziomu 2 i poziomu 3 – 4 godziny na 10 lat (dostpno 99,995%); - dla innych usug gosowych i transmisji danych – 8 godzin na rok (dostpno 99.91%). Bezpieczestwo telekomunikacyjne rozumiane jest jako zbiór metod oraz mechanizmów, których zastosowanie zapewnia wymagany poziom pokrycia radiowego, dostpnoci i cigoci wiadczenia usug poprzez dobranie odpowiedniej struktury systemu i topologii sieci. Przeznaczenie systemu GSM-R oraz jego wpyw na Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R 203 bezpieczestwo ruchu kolejowego, nakada na projektantów obowizek zapewnienia systemowi odpornoci na uszkodzenia i zakócenia. Niezwykle wane jest opracowanie strategii, zapewniajcej utrzymanie niezbdnego poziomu bezpieczestwa oraz przygotowanie planów funkcjonowania systemu w sytuacjach szczególnych zagroe. Scenariusze te okrelane s mianem Disaster Recovery (odtwarzanie infrastruktury po awarii) i s to procesy i procedury zwizane z wznowieniem lub utrzymywaniem infrastruktury technicznej, krytycznej dla danej organizacji, po wystpieniu katastrofy naturalnej lub wywoanej przez czowieka [6]. Operatorzy kolejowi musz wyspecyfikowa strategi Disaster Recovery dla swojej sieci, która to strategia bdzie podstaw wdroenia tej funkcjonalnoci. Naley cile okreli nastpujce zagadnienia oraz wymagania: x definicja awarii; x docelowy czas odtworzenia; x poziom usug, które s priorytetowe po odtworzeniu (rodzaje pocze usugi o wartoci dodanej); x metoda odtworzenia (interwencja rczna, zdalne przeprogramowywanie, lokalizacja personelu). W oparciu o priorytetowy poziom usug, które po odtworzeniu musz by zachowane, mona zidentyfikowa krytyczne urzdzenia systemu GSM-R i zapewni ich redundancj. Komponenty, których uszkodzenie w najwyszym stopniu moe wpyn na poprawn prac systemu, powinny by dublowane. Nale do nich indywidualne karty i cza telekomunikacyjne. Praktycznie zaleca si, aby redundantne byy wszystkie stacjonarne cza telekomunikacyjne, ukady nadawczo-odbiorcze TRX (Transceiver) w stacjach bazowych BTS (Base Transceiver Station) oraz karty w sterowniku BSC (Base Station Controller) oraz transkoderze TRAU (TRanscoder and rate Adaptation Unit). Aktywacja (i tam, gdzie jest to niezbdne, rekonfiguracja) redundantnych urzdze powinna by moliwa w dziaajcym systemie, najlepiej aby bya moliwa inicjacja procedur aktywacyjnych zdalnie z centrum eksploatacyjno - utrzymaniowego OMC (Operation Maintenance Centre). Architektura systemu GSM-R powinna by zaprojektowana tak, aby uwzgldniaa minimalne przerwy w wiadczeniu usug przy uszkodzeniu jednego lub wicej elementów. Osiga si to poprzez kombinacj redundancji urzdze i odpornoci sieci na uszkodzenie pojedynczych elementów sieciowych. Konsekwencj powanej awarii sieci GSM-R jest przerwa w wiadczeniu usug na caej sieci kolejowej w duszym okresie czasu ni to wynika ze zdefiniowanego maksymalnego czasu naprawy. To skutkuje efektem domina w utracie zdolnoci eksploatacyjnej sieci. W wikszoci przypadków utrat t spowoduje awaria: x aktywnego podsystemu NSS (Network Switching Subsystem); x sterownika BSC; x podsystemu OMC (dla radia lub komutacji) – przy czym nie jest to bezporednie oddziaywanie. Planowanie Disaster Recovery jest czci wikszego procesu planowania cigoci dziaania i powinno obejmowa okrelenie procedur wznowienia aplikacji, danych, sprztu i cznoci. Wyrónia si trzy podstawowe fazy wchodzce w skad dziaa dot. zdarze katastroficznych [6]: 204 Mirosaw Siergiejczyk, Stanisaw Gago faza przygotowa – przed wystpieniem awarii lub katastrofy; faza przystpienia do naprawy – rozpoczynajca si w momencie zdiagnozowania awarii lub katastrofy i podjcia pierwszych dziaa majcych na celu przywrócenie sprawnoci systemu; faza naprawy - rozpoczynajca si kilka dni lub tygodniu po wystpieniu awarii lub katastrofy. W trakcie procesu projektowania sieci zakada si pewne scenariusze, w których poszczególne elementy systemu ulegaj awarii lub zniszczeniu np. w wyniku poaru lub kataklizmu. Przywidywanie tego typu zdarze pozwala okreli elementy krytyczne dla funkcjonowania caego systemu i dobra odpowiedni sposób ich zabezpieczenia. Naturaln metod pozwalajc na zwikszenie niezawodnoci, bezpieczestwa i dostpnoci sieci jest redundancja, oznaczajca nadmiarowo , zastosowanie dodatkowych elementów. Odnosi si ona zarówno do informacji przechowywanych w rejestrach jak i do elementów sprztowych, które mog by dublowane w róny sposób m.in. n+1, 1+1, 1:n. Praca tych elementów moe przebiega w róny sposób np. w trybie gorcej lub zimnej rezerwy. Nadmiarowo moe dotyczy wykonywania kopi caoci danych lub te tylko tych, których warto jest szczególnie wana. Jeeli chodzi o nadmiarowo dotyczc skadników systemu, to redundancji moe podlega : x cay system; x poszczególne podsystemy np. stacji bazowych BSS (Base Station Subsystem), komutacyjno - sieciowy NSS, centrum eksploatacyjno - utrzymaniowe OMC; x poszczególne elementy wchodzce w skad systemu np. centrala MSC (Mobile Switching Centre), rejestr HLR (Home Location Register); x poszczególne skadniki wchodzce w skad elementów systemu np. karty procesorowe centrali MSC, interfejsy. Oprócz dublowania poszczególnych elementów systemu, nadmiarowo stosowana jest równie w odniesieniu do skadników takich jak np. karty procesorowe centrali MSC czy interfejsy. Taki rodzaj nadmiarowoci jest okrelany mianem „redundancji wewntrznej” i jest obecnie stosowany przez wszystkich producentów sprztu GSM-R. W zalenoci od konfiguracji i zoonoci sieci, moliwe jest przywrócenie penej funkcjonalnoci sieci w granicach czterech godzin. Naley te pamita , e w przypadku braku redundantnego podsystemu NSS (brak aplikacji “disaster recovery”) wymiana uszkodzonego NSS na nowy moe potrwa kilka miesicy. Przy ukadaniu planu aplikacji “disaster recovery” naley rozpatrze kilka opcji[10]: x zdublowanie wszystkich systemów szkieletowych sieci i umieszczenie ich w innej odlegej lokalizacji. W tej opcji przywrócenie funkcjonalnoci sieci jest najszybsze, cho koszty najwiksze. Niezbdne te bd dodatkowe cza telekomunikacyjne; x aplikacj “disaster recovery” dostarcza trzecia strona (np. operator ssiedniej kolei). Naley przewidzie wystpienie wszystkich moliwych komplikacji przy przeczeniu podsystemu NSS GSM-R, gdy macierzyste systemy NSS i BSS musz by kompatybilne ze sob; x budowa w odlegej lokalizacji z podczonym zasilaniem i czami telekomunikacyjnymi, ale bez urzdze GSM-R. W przypadku podpisanej umowy z zaufanym dostawc, przywrócenie funkcjonalnoci sieci trwaoby do kilku tygodni; Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R 205 x rozproszenie wszystkich kluczowych urzdze w rónych lokalizacjach, co ograniczy wpyw uszkodzenia pojedynczych elementów. Na rysunku 1 przedstawiono moliwe warianty konfiguracji systemu GSM-R ze uwzgldnieniem moliwych redundancji sprztowych. Pierwszym krokiem jest podjcie decyzji w kwestii obiektów centralowych, co do których stosuje si mechanizmy redundancji geograficznej. Oznacza ona umiejscowienie elementu rezerwowego w lokalizacji innej ni podstawowy. Pozwala to na bezprzerwowe wiadczenie usug na wypadek np. przerwy w dostawie energii elektrycznej, awarii systemu zasilania lub te przerw wynikajcych z czynnoci eksploatacyjno - utrzymaniowych takich jak np. wymiana oprogramowania. Rys. 1. Przykadowy algorytm wyboru architektury systemu GSM-R [10] Oznaczenia na rysunku: MSC (Mobile Switching Centre) - centrala komutacyjna, BSC (Base Station Controller) - sterownik stacji bazowych, BTS (Base Tranceiver Station) - stacja bazowa. Centrala MSC i rejestr HLR s podstawowymi urzdzeniami podsystemu NSS i zaleca si by byy one zwymiarowane przy wdraaniu jako N+1. Zapewnienie redundancji centrali MSC jest szczególnie wane ze wzgldu na dwie funkcje: grupowe poczenia gosowe VGCS (Voice Group Call Service) ze szczególnym uwzgldnieniem kolejowych pocze alarmowych REC oraz pocze punkt-punkt niezbdnych dla funkcjonowania systemu ETCS. Zdublowane urzdzenie moe by zainstalowane w stanie wyczekiwania, fizycznie rozczone z sieci lub moe by w stanie aktywnym i przetwarza dane. W przypadku zdublowania centrali MSC rozpatruje si dwa rozwizania[10]: 206 Mirosaw Siergiejczyk, Stanisaw Gago x Load sharing (z podziaem zasobów): kada centrala MSC jest podczona do sieci i jest aktywna. Sterowniki BSC funkcjonujce w sieci s przypisane do poszczególnych central MSC. Poniewa jeden, ten sam sterownik BSC moe by podczony tylko do jednej centrali MSC, w przypadku awarii, wszystkie podczone do niej sterowniki BSC strac zdolno obsugi, do momentu a ruch zostanie przekierowany do elementu rezerwowego. Rozwizanie to wymaga rekonfiguracji rezerwowej centrali MSC i sterowników BSC, przeczenia czy transmisyjnych oraz uaktualnienia informacji w rejestrze VLR. Sterowniki BSC podczone do uszkodzonej centrali MSC sygnalizuj utrat usugi. x Standby (tryb rezerwy): dodatkowa centrala MSC nie jest fizycznie poczona z sieci i pracuje w trybie rezerwy. W przypadku uszkodzenia centrali MSC, brak usugi wykazuj wszystkie sterowniki BSC obsugiwane przez t central. Rozwizanie to wymaga skonfigurowania rezerwowej centrali MSC, w celu zastpienia funkcji uszkodzonej centrali MSC (w przypadku, gdy sie ma jedn aktywn MSC, mona przyj , e konfiguracja MSC bdcej w stanie oczekiwania jest ju przygotowana), przeczenia czy transmisyjnych oraz uaktualnienia informacji w rejestrze VLR. Sterowniki BSC podczone do uszkodzonej centrali MSC sygnalizuj utrat usugi. Liczba sterowników BSC pozostajcych bez obsugi jest wiksza ni w opcji load sharing, a ich konfiguracja nie jest wymagana, poniewa rezerwowa centrala MSC zastpuje w peni t uszkodzon. Czsto stosowanym rozwizaniem jest ciga synchronizacja rejestrów VLR (Visitor Location Register), GCR oraz HLR, która umoliwia skrócenie czasu przeczenia na elementy rezerwowe. W przypadku zastosowania architektury R4, oprócz rejestrów, dublowane mog by oba elementy skadowe centrali MSC (Serwer MSC, Brama Medialna MGW) lub tylko jeden. Jeden Serwer MSC moe obsugiwa kilka Bram Medialnych MGW, zwizku z tym wanym aspektem jest zapewnienie rónych dróg transmisyjnych. W przypadku zastosowania jednego Serwera MSC i kliku Bram Medialnych MGW i przy zapewnieniu co najmniej jednej alternatywnej drogi transmisyjnej, awaria którejkolwiek z bram nie spowoduje przerwy w wiadczeniu usug. Niektóre funkcjonalnoci kluczowe dla sprawnego prowadzenia ruchu wymagaj zastosowania pewnych elementów (np. wzów sieci inteligentnej IN) i powinny by realizowane nawet w przypadku powanej awarii. Dublowanie elementów podsystemu NSS powinno by rozpatrzone przy uwzgldnieniu kluczowych usug i funkcjonalnoci. Aby zabezpieczy realizowanie takich funkcji jak LDA (Location Dependent Addressing), czy REC (Railway Emergency Call), obligatoryjnych z punktu widzenia interoperacyjnoci kolei europejskich, elementy odpowiadajce za ich realizacj powinny by dublowane [5]. W oparciu o priorytetowy poziom usug, które po odtworzeniu musz by zachowane, mona zidentyfikowa krytyczne urzdzenia systemu GSM-R i zapewni ich redundancj. Nale do nich indywidualne karty i cza telekomunikacyjne. Praktycznie zaleca si, aby redundantne byy wszystkie stacjonarne cza telekomunikacyjne, ukady nadawczoodbiorcze TRX w stacjach bazowych BTS, karty w sterowniku BSC oraz karty w transkoderze TRAU. Naturaln metod pozwalajc na zwikszenie niezawodnoci, bezpieczestwa i dostpnoci sieci jest redundancja. Odnosi si ona zarówno do informacji przechowywanych w rejestrach jak i do elementów sprztowych, które mog by dublowane w róny sposób. Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R 207 Uycie dwóch central MSC oraz jednego sterownika BSC, nie powinno by rozwizaniem zalecanym dla cznoci kolejowej, gdy: x w przypadku awarii centrali MSC, przywrócenie funkcjonalnoci sieci wymaga rcznego przeczenia sterownika do centrali rezerwowej, x w przypadku awarii sterownika BSC nastpuje awaria caego systemu GSM-R. Redundancja podsystemu BSS w przypadku systemu GSM-R powinna by zrealizowana z podwójnym pokryciem radiowym realizowanym przez stacje bazowe BTS (kolokowane lub naprzemienne) na liniach kolejowych wyposaonych w system ETCS i wielu sterowników BSC podczonych do jednej lub drugiej centrali MSC. Ilo sterowników BSC powinna by tak zaplanowana, by kada linia kolejowa wyposaona w system ETCS bya podczona, co najmniej do dwóch sterowników BSC podczonych do dwóch rónych central MSC. Na liniach kolejowych bez systemu ETCS pokrycie radiowe moe by pojedyncze, a stacje bazowe BTS naprzemienne podczone do dwóch rónych sterowników BSC, w miar moliwoci podczonych do dwóch rónych central MSC [14], [16]. System GSM-R moe by zaimplementowany w rozmaitych topologiach (rys. 2, 3 i 4). Naley wzi pod uwag, e uzyskana stopa procentowa poprawnie zrealizowanych usug typu handover musi wynosi przynajmniej 99,5% przy standardowych warunkach dziaania (warunki atmosferyczne, obcienie sieci, etc.). MSC TRAU BSC Rys. 2. Komórki nakadajce si z pokryciem radiowym realizowanym naprzemiennie acuchy ródo: opracowanie wasne na podstawie [2] Rys. 3. Komórki nakadajce si z pokryciem radiowym realizowanym przez naprzemienne acuchy i redundancj sprztow sterowników BSC ródo: opracowanie wasne na podstawie [2] 208 Mirosaw Siergiejczyk, Stanisaw Gago Rys. 4. Komórki nakadajce si z pokryciem radiowym realizowanym przez naprzemienne acuchy i pen redundancj sprztow ródo: opracowanie wasne na podstawie [2] Oznaczenia na rysunkach 2,3 i 4: MSC (Mobile Switching Centre) - centrala komutacyjna BSC (Base Station Controller) - sterownik stacji bazowych TRAU (TRanscoder and rate Adaptation Unit) - transkoder Redundancja jest równie wana w systemach teletransmisyjnych. Zastosowanie struktur samonaprawialnych SDH, zapewnienie dwóch dróg optycznych jako rezerwowego systemu transmisyjnego s przykadami nadmiarowoci sieci telekomunikacyjnej, zwikszajcymi niezawodno i bezpieczestwo pracy. Struktury samonaprawialne SDH wymagaj ptli wiatowodowych. Waciciel infrastruktury kolejowej w Polsce – Spóka PKP PLK - w ramach modernizacji linii kolejowych ukada trakty wiatowodowe po obu stronach modernizowanych linii. Kable wiatowodowe tj. kabel podstawowy i w kabel domykajcy ukadane s w osobnych rurach kanalizacji kablowej po obu stronach toru kolejowego. Stwarza to moliwo realizacji ptli wiatowodowych i tym samym samonaprawialnych ptli teletransmisyjnych SDH. I tak dla linii kolejowej E 65 Warszawa – Gdynia zaprojektowana jest ptla wiatowodowa tzn. zaprojektowano poczenie odpowiednich wókien wiatowodowych znajdujcych si w kablach lecych po obu stronach toru kolejowego. Poczenia wókien wiatowodowych dokonane bd w Warszawie i Gdyni. W celu zwikszenia niezawodnoci ptli wiatowodowych naleaoby przewidzie moliwo przeczania (krosowania) wókien wiatowodowych jednego kabla z rezerwowymi wóknami drugiego kabla w punktach porednich np. w siedzibie LCS, co zasadniczo zwikszyoby niezawodno (dostpno ) ptli wiatowodowej a tym samym niezawodno systemów teletransmisyjnych (system byby odporny nie tylko na jedn usterk w ptli kabli wiatowodowych). Zarzdca infrastruktury kolejowej dysponujcy okrelon kwot pienidzy, musi okreli jaka struktura systemu jest dla niego najkorzystniejsza, nie tylko z punktu widzenia obcie finansowych ale i przyszej eksploatacji systemu. Zalecane jest aby na Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R 209 liniach na których system GSM-R ma wspópracowa z systemem ETCS poziom 2/3, stosowane byy mechanizmy niezawodnociowe. Architektura systemu GSM-R jak i systemy teletransmisyjne SDH, pozwalaj projektantom systemu dostosowa uyte rozwizania do wymaga stawianych przez system ETCS. 4. ZAKOCZENIE System GSM-R jest skadnikiem systemu ERTMS, który stanowi o bezpiecznym prowadzeniu ruchu pocigów. W zwizku z tym system GSM-R musi by pewnie dziaajcym systemem w zakresie przesyania informacji (gos i dane), która powinna by wiksza ni w publicznym systemie GSM, i pewnoci dziaania co jest zapewnione przez dodatkowe rodki (redundancja sprztu, odpowiednie pokrycie pola elektromagnetycznego). Ponadto system GSM-R powinien by odporny na nieuprawniony dostp i poufno przesyanych informacji. System powinien realizowa poczenia, przeczenia i przesyanie danych w zaoonych reymach czasowych. Aeby speni powysze wymagania wanym jest nie tylko radiowa cz systemu GSM-R ale równie wana jest cz cznoci przewodowej, bez której cay system GSM-R ale te i system ERTMS nie mógby poprawnie pracowa . Dlatego koniecznym jest stosowanie teletransmisyjnych struktur samonaprawialnych, zapewnienie rezerwowych dróg transmisyjnych, synchronizacji, zintegrowanego systemu zarzdzania, kontroli dostpu, itd. Tylko kompleksowe dziaania mog zapewni bezpieczestwo systemu GSM-R a tym samym zwikszy bezpieczestwo systemu ERTMS. Literatura 1. Biao A. Masterplan wdraania ERTMS w perspektywie krajowej i wspólnotowej. Transport i Komunikacja 2010, nr 2. 2. Ding Xun, Chen Xin, Jiang Wenyi: The Analysis of GSM-R Redundant Network and Reliability Models on High-speed Railway. 2010 International Conference on Electronics and Information Engineering (ICEIE 2010). Kyoto, Japan 2010. International Union of Railways, Project EIRENE – Functional Requirements Specification, 2006. International Union of Railways, Project EIRENE – System Requirements Specification, 2006. Markowski R., Pierwsze wdroenia GSM-R w Polsce. Materiay PLK S.A.,Warszawa, 2010. Lehrbaum M., GSM-R Disaster Recovery, GSM-R Business Operations, Warsaw October 2009. Pawlik M. Polski Narodowy Plan Wdraania Europejskiego Systemu Zarzdzania Ruchem Kolejowym ERTMS. Technika Transportu Szynowego 1/2007. Przelaskowski K.: Eksploatacja systemu GSM-R w kolejnictwie europejskim. Przegld Telekomunikacyjny Nr 2-3, 2003. Pushparatnam L., Taylor T.: GSM-R Implementation and Procurement Guide V 1.0 15.03.2009. Sauthier E., Poutas L.: Radio bearer capacity and planning for ETCS Solutions for BSS redundancy, 10th December 2003. Siergiejczyk M., Gago S.: Zagadnienia bezpieczestwa systemu GSM-R w aspekcie wspomagania transportu kolejowego. Logistyka Nr. 6/2012. Wyd. ILiM, Pozna 2012. Simon A., Walczyk M.: Sieci komórkowe GSM/GPRS. Usugi i bezpieczestwo. Wydawnictwo: Xylab, Kraków 2002. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 210 Mirosaw Siergiejczyk, Stanisaw Gago 13. Urbanek A.: Komunikacja kolejowa GSM-R. Networld nr 1. IDG, Warszawa 2005. 14. Uzupenienie Studium Wykonalnoci w zakresie systemu cyfrowej cznoci radiowej GSM-R, cznoci technologicznej i systemów teleinformatycznych zwizanych z prowadzeniem ruchu na projektowanej linii kolejowej Pomorskiej Kolei Metropolitarnej. Opracowanie WT PW pod kierownictwem M. Siergiejczyka, Warszawa, 2011. 15. Winter P.: International Union of Railways, compendium on ERTMS, Eurail Press, Hamburg, 2009. 16. Yuan Cao: Reliability Analysis of CTCS Based on Two GSM-R Double Layers Networks Structures Communications and Mobile Computing, 2009. CMC '09. WRI International Conference on 6-8 Jan. 2009. INFORMATION SECURITY PROBLEMS IN THE GSM-R NETWORK Summary: The paper presents the selected items affecting the security of information in the digital mobile phone network GSM-R. Particular attention was paid to some problems related to ensuring security of information transmission in services provided by GSM-R network. There are analyzed the most important issues affecting the security of the radio interface as well as elements directly related to it. In the frame of the security of the communications are examined the selected methods and mechanisms to ensure the required level of radio coverage, availability and continuity of services in the GSM-R network. Keywords: system GSM-R, rail, transmission, security