problemy zapewnienia bezpiecze stwa informacyjnego w sieci gsm-r

PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ
z. 92
Transport
2013
Mirosaw Siergiejczyk1,2, Stanisaw Gago1,2
1
Politechnika Warszawska, Wydzia Transportu
2
Instytut Kolejnictwa
PROBLEMY ZAPEWNIENIA BEZPIECZESTWA
INFORMACYJNEGO W SIECI GSM-R
Rkopis dostarczono, kwiecie 2013
Streszczenie: W referacie przestawiono wybrane elementy wpywajce na bezpieczestwo
informacyjne w sieci cyfrowej telefonii komórkowej GSM-R. Szczególn uwag zwrócono na
wybrane problemy zwizane z zapewnieniem bezpieczestwa transmisji informacji usug
realizowanych przez sie
GSM-R. Przeanalizowano najwaniejsze problemy majce wpyw na
bezpieczestwo interfejsu radiowego oraz elementów bezporednio z nim zwizanych. W zakresie
bezpieczestwa telekomunikacyjnego przeanalizowano wybrane metody oraz mechanizmy
pozwalajce zapewni
wymagany poziom pokrycia radiowego, dostpnoci i cigoci wiadczenia
usug w sieci GSM-R.
Sowa kluczowe: system GSM-R, transport kolejowy, transmisja, bezpieczestwo
1. WSTP
Cyfrowe sieci GSM-R (Global System for Mobile Communications - Railway
or GSM-Railway) s ju wykorzystywane w wielu europejskich i poza europejskich
Zarzdach Kolejowych. Obecnie w Polsce rozpoczyna si proces budowy sieci GSM-R.
Dotychczas stosowana na polskiej kolei radioczno
analogowa, pracujca w pamie
150 MHz, zostaa wyeksploatowana technicznie, przez co nie spenia dzisiejszych
wymaga technicznych, norm i standardów oraz nie posiada wymaganej funkcjonalnoci
[11].
Zaoenia Midzynarodowego Zwizku Kolei UIC (franc. Union Internationale des
Chemins de fer) miay na uwadze gównie ujednolicenie europejskich systemów cznoci
kolejowej poprzez wprowadzenia projektu EIRENE (European Integrated Railway radio
Enhanced Network) [3],[4]. Implementacja GSM-R ma wymierne korzyci finansowe dla
segmentu kolejowego. Znacznie poprawia si przepustowo
linii kolejowych, do
minimum ograniczony jest czas przekraczania granic pastwowych. Tym samym zwiksza
si poziom wiadczonych usug (na przykad poprzez wprowadzenie monitoringu
przesyek). GSM-R jest to system cyfrowej telefonii komórkowej wykorzystywany
200
Mirosaw Siergiejczyk, Stanisaw Gago
dla potrzeb transportu kolejowego. Zapewnia cyfrow czno
gosow oraz cyfrow
transmisj danych. Oferuje on rozbudowan funkcjonalno
systemu GSM. Cechuje si
infrastruktur zlokalizowan jedynie w pobliu linii kolejowych. GSM-R ma za zadanie
wspomaga
systemy wprowadzane w Europie: ERTMS (European Rail Traffic
Management System) tj. Europejski System Zarzdzania Ruchem Kolejowym oraz ETCS
(European Train Control System), czyli Europejski System Kontroli Pocigu, który ma za
zadanie w cigy sposób zbiera
i przesya
dane dotyczce pojazdu szynowego takie jak
prdko
czy pooenie geograficzne. System GSM-R jest systemem transmisyjnym dla
ETCS, poredniczy przy przekazywaniu informacji maszynicie i innym subom
kolejowym [1]. Wdraajc wyej wymienione systemy istotnie poprawia si
bezpieczestwo ruchu kolejowego, moliwa jest diagnostyka pojazdu w czasie
rzeczywistym oraz moliwe jest wprowadzenie monitoringu przesyek i wagonów.
Ponadto poprzez precyzyjne okrelenie odlegoci midzy pocigami mona znacznie
zwikszy
przepustowo
na poszczególnych liniach [7], [8].
Rozmieszczenie stacji bazowych w systemach GSM-R moe odbywa
si na róne
sposoby w zalenoci od wymaganego bezpieczestwa wiadczonych usug
telekomunikacyjnych (przesyanie gosu i transmisja danych). Wybór sposobu
rozmieszczenia i poczenia stacji bazowych powinien by
podyktowany klas i
przeznaczeniem linii kolejowej, jej przepustowoci i wymaganym poziomem
bezpieczestwa. Wielko
komórek i ich ksztat mona zmienia
poprzez regulacj
poziomu mocy oraz stosowanie anten dookólnych, szerokoktnych bd liniowych.
System GSM-R ma zastosowanie subowe, wic nie przewidziano w nim pokrycia
radiowego terenów innych ni tereny kolejowe [9], [13].
System GSM-R jest zbudowany w oparciu o publiczny system GSM co zapewnia mu
cigy rozwój w zakresie rozwiza technicznych wynikajcych z postpu
technologicznego implementowanego w publicznych sieciach GSM. Jednoczenie naley
stwierdzi
, e system GSM-R jest narzdziem do sprawniejszego zarzdzania, kierowania i
sterowania ruchem kolejowym, co sprawia e System GSM-R ma zdecydowanie wiksz
„odpowiedzialno
” ni publiczne systemy GSM a co za tym idzie, systemy te musz mie
zaimplementowane dodatkowe rozwizania zwikszajce ich bezpieczestwo. Std te
istotnym staje si zagadnienie zapewnienia cigoci dziaania systemu, waciwego
pokrycia radiowego terenów kolejowych oraz bezpieczestwa informacyjnego.
2. BEZPIECZESTWO TRANSMISJI INFORMACJI
W SIECI GSM-R
Kluczowymi zagadnieniami majcymi wpyw na bezpieczestwo systemu jest
bezpieczestwo interfejsu radiowego oraz elementów bezporednio z nim zwizanych (np.
urzdzenia nadawczo-odbiorcze).
Kada informacja przesyana drog radiow naraona jest na podsuch i przechwycenie.
Dlatego te, poczenia powinny by
szyfrowane tak aby ich tre
nie bya jawna i
moliwa do odczytu przez przypadkowego uytkownika. Szyfrowanie nie dotyczy
Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R
201
kolejowego poczenia alarmowego REC (Railway Emergency Call), ze wzgldu na
wymagany krótki czas jego zestawienia. Szyfrowanie wymaga zastosowania
odpowiedniego algorytmu do kryptografii cyfrowej zarówno po stronie sieci jak i stacji
mobilnej. Jednak zanim informacja zostanie zaszyfrowana, sie
musi zidentyfikowa
uytkownika przeprowadzajc procedur autoryzacji zwanej równie uwierzytelnieniem.
Procedura ta oparta jest na koncepcji podpisu elektronicznego. Autoryzacja
przeprowadzana jest z udziaem rejestru AuC (Authentication Centre) i karty SIM
(Subscriber Identity Module), w których przechowywany jest klucz autoryzacji Ki. Jest to
najtajniejszy parametr uywany w sieci GSM-R, dlatego te nie jest on transmitowany na
adnym interfejsie sieciowym, a jego odczyt z karty SIM jest odpowiednio zabezpieczony.
Procedura autoryzacji rozpoczyna si po stronie sieci, wyliczeniem na podstawie klucza
autoryzacji Ki i losowo wygenerowanej liczby RAND (RANDom number), tzw. liczby
SRES (Signed RESponse). Parametr RAND przekazywany jest stacji mobilnej MS w
momencie nawizywania poczenia. Terminal przeprowadza podobn procedur jak
rejestr AuC, obliczajc liczb SRESMS na podstawie klucza szyfrujcego zapisanego na
karcie SIM oraz parametru RAND. Warto
ta przekazywana jest do centrali MSC gdzie
jest porównywana z wczeniej wyznaczonym parametrem SRES. Jeeli liczby te s sobie
równe wtedy kontynuowana jest procedura zestawiania poczenia. Kolejnym etapem jest
szyfrowanie informacji, które wymaga obliczenia zarówno w rejestrze AuC jak i po stronie
terminala klucza szyfrujcego Kc. Warto
wyliczonych wartoci musi by
zgodna, w
przeciwnym wypadku procedura szyfrowania nie bdzie kontynuowana. Szyfrowanie
dotyczy sygnau mowy, danych i sygnalizacji i jest operacj wykonywan zarówno w
czu od stacji bazowej BTS (Base Tranceiver Station), do terminala jak i odwrotnie.
Odczytanie przesyanej treci wymaga operacji deszyfrowania, realizowanej kadorazowo
przez algorytm, który jest uywany równie w procesie szyfrowania.
Kada karta SIM jest zwizana z numerem IMSI (International Mobile Subscriber
Identity), który uywany jest przez sie
w wielu procedurach m.in. zestawiania poczenia
i aktualizacji pooenia. Transmisja numeru IMSI w interfejsie radiowym bez
zabezpieczenia, mogaby doprowadzi
do okrelenia pozycji abonenta, przez osoby
niepodane. Aby unikn
tego typu niebezpiecznych sytuacji, wprowadza si dodatkowy,
tymczasowy numer abonenta ruchomego TMSI (Temporary Mobile Subscriber Identity),
którego dugo
jest o poow krótsza w stosunku do numeru IMSI. Z racji tego, i numer
TMSI jest generowany w sposób losowy w rejestrze VLR (Visitor Location Register), nie
mona z góry przewidzie
jego wartoci. Wano
numeru TMSI obowizuje tylko w
konkretnym obszarze wywoa w którym znajduje si stacja ruchoma. Oprócz numeru
IMSI do kadej karty SIM przypisany jest kod identyfikacyjny PIN (Personal
Identification Key), oraz omiocyfrowy kod odblokowujcy PUK (Personal Unblocking
Key) [12].
Wanym elementem wpywajcym na bezpieczestwo jest weryfikacja terminala.
Wszystkie terminale radiowe pracujce w sieci powinny by
monitorowane pod wzgldem
legalnoci ich uycia, a numery IMEI (International Mobile Equipment Identity)
znajdowa
si na jednej z trzech list: biaej, szarej lub czarnej. Wszystkie wymienione
wyej procesy tj. autoryzacja, szyfrowanie, zabezpieczenie przed uyciem
nieuprawnionego terminala oraz dostp do zawartoci moduu SIM wpywaj na
bezpieczestwo i s standardowymi mechanizmami funkcjonujcymi w kadej sieci GSM.
Zwikszenie bezpieczestwa przesyanych informacji w systemie GSM-R uzyskano take
202
Mirosaw Siergiejczyk, Stanisaw Gago
poprzez zastosowanie innego pasma czstotliwoci ni w systemie GSM. System GSM-R
pracuje w pamie 876 – 880 MHz (uplink – komunikacja w stron sieci) i 921 – 925 MHZ
(down link – komunikacja w kierunku terminali), co skutecznie oddziela to pasmo od
pasma publicznego systemu GSM (890 – 915 MHz i 935 – 960 MHz). Zwikszenie
pewnoci transmisji informacji poprzez system GSM-R uzyskuje si poprzez zapewnienie
odpowiedniego pokrycia radiowego wzdu drogi kolejowej uzalenionego od prdkoci
poruszania si pocigów i tak dla prdkoci mniejszych ni 220km/h poziom porycia nie
powinien by
mniejszy ni -95dBm natomiast dla prdkoci wikszych ni 280 km/h nie
powinien by
mniejszy ni -92 dBm. Prawdopodobiestwo pokrycia tymi poziomami nie
powinno by
gorsze ni 95% na kade 100 m linii kolejowej, natomiast przeczanie
midzy dwoma komórkami (handover) powinno by
realizowane wzdu linii kolejowej w
normalnych warunkach nie gorzej ni 99,5%. Poczenia o najwyszym priorytecie
(alarmowe) powinny by
realizowane w czasie krótszym ni 2s (dla 95% pocze).
W systemie GSM-R istotnym parametrem wiadczcym o poprawnoci dziaania
systemu jest jako
wiadczonych usug QoS (Quality of Service), na któr skada si
okrelone prawdopodobiestwo faszywego poczenia, opónienie transmisji
(przekazywania danych) danych, ograniczony jiter (zmiana opónienia w zaoonych
granicach), okrelona stopa bdów BER.
3. BEZPIECZESTWO TELEKOMUNIKACYJNE
SIECI GSM-R
Zadaniem kadej sieci telekomunikacyjnej jest przesanie informacji w zadanym czasie
i z okrelon stop bdów. Sie
GSM-R jest systemem telekomunikacyjnym, który musi
charakteryzowa
si wysok niezawodnoci oraz zapewnia
wysoki poziom
bezpieczestwa przekazywanych danych w rodowisku kolejowym. Niezawodny dostp
do usug telekomunikacyjnych jest bardzo wan kwesti dla Zarzdcy infrastruktury
kolejowej gdy ma to bezporedni wpyw na bezpieczestwo oraz pynno
ruchu
kolejowego.
Wspópraca, w ramach systemu ERTMS (European Railway Traffic Management
System) systemu GSM-R z systemem ETCS (European Train Control System) poziom 2
nakada na system GSM-R wymaganie, wyraone poprzez maksymalny moliwy czas
niedostpnoci systemu wynoszcy:
- dla systemu ETCS poziomu 2 i poziomu 3 – 4 godziny na 10 lat (dostpno
99,995%);
- dla innych usug gosowych i transmisji danych – 8 godzin na rok
(dostpno
99.91%).
Bezpieczestwo telekomunikacyjne rozumiane jest jako zbiór metod oraz
mechanizmów, których zastosowanie zapewnia wymagany poziom pokrycia radiowego,
dostpnoci i cigoci wiadczenia usug poprzez dobranie odpowiedniej struktury
systemu i topologii sieci. Przeznaczenie systemu GSM-R oraz jego wpyw na
Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R
203
bezpieczestwo ruchu kolejowego, nakada na projektantów obowizek zapewnienia
systemowi odpornoci na uszkodzenia i zakócenia.
Niezwykle wane jest opracowanie strategii, zapewniajcej utrzymanie niezbdnego
poziomu bezpieczestwa oraz przygotowanie planów funkcjonowania systemu w
sytuacjach szczególnych zagroe. Scenariusze te okrelane s mianem Disaster Recovery
(odtwarzanie infrastruktury po awarii) i s to procesy i procedury zwizane z
wznowieniem lub utrzymywaniem infrastruktury technicznej, krytycznej dla danej
organizacji, po wystpieniu katastrofy naturalnej lub wywoanej przez czowieka [6].
Operatorzy kolejowi musz wyspecyfikowa
strategi Disaster Recovery dla swojej
sieci, która to strategia bdzie podstaw wdroenia tej funkcjonalnoci.
Naley cile okreli
nastpujce zagadnienia oraz wymagania:
x definicja awarii;
x docelowy czas odtworzenia;
x poziom usug, które s priorytetowe po odtworzeniu (rodzaje pocze usugi
o wartoci dodanej);
x metoda odtworzenia (interwencja rczna, zdalne przeprogramowywanie,
lokalizacja personelu).
W oparciu o priorytetowy poziom usug, które po odtworzeniu musz by
zachowane,
mona zidentyfikowa
krytyczne urzdzenia systemu GSM-R i zapewni
ich redundancj.
Komponenty, których uszkodzenie w najwyszym stopniu moe wpyn
na poprawn
prac systemu, powinny by
dublowane. Nale do nich indywidualne karty i cza
telekomunikacyjne. Praktycznie zaleca si, aby redundantne byy wszystkie stacjonarne
cza telekomunikacyjne, ukady nadawczo-odbiorcze TRX (Transceiver) w stacjach
bazowych BTS (Base Transceiver Station) oraz karty w sterowniku BSC (Base Station
Controller) oraz transkoderze TRAU (TRanscoder and rate Adaptation Unit). Aktywacja
(i tam, gdzie jest to niezbdne, rekonfiguracja) redundantnych urzdze powinna by
moliwa w dziaajcym systemie, najlepiej aby bya moliwa inicjacja procedur
aktywacyjnych zdalnie z centrum eksploatacyjno - utrzymaniowego OMC (Operation
Maintenance Centre).
Architektura systemu GSM-R powinna by
zaprojektowana tak, aby uwzgldniaa
minimalne przerwy w wiadczeniu usug przy uszkodzeniu jednego lub wicej elementów.
Osiga si to poprzez kombinacj redundancji urzdze i odpornoci sieci na uszkodzenie
pojedynczych elementów sieciowych. Konsekwencj powanej awarii sieci GSM-R jest
przerwa w wiadczeniu usug na caej sieci kolejowej w duszym okresie czasu ni to
wynika ze zdefiniowanego maksymalnego czasu naprawy. To skutkuje efektem domina w
utracie zdolnoci eksploatacyjnej sieci. W wikszoci przypadków utrat t spowoduje
awaria:
x aktywnego podsystemu NSS (Network Switching Subsystem);
x sterownika BSC;
x podsystemu OMC (dla radia lub komutacji) – przy czym nie jest to bezporednie
oddziaywanie.
Planowanie Disaster Recovery jest czci wikszego procesu planowania cigoci
dziaania i powinno obejmowa
okrelenie procedur wznowienia aplikacji, danych, sprztu
i cznoci. Wyrónia si trzy podstawowe fazy wchodzce w skad dziaa dot. zdarze
katastroficznych [6]:
204
Mirosaw Siergiejczyk, Stanisaw Gago
faza przygotowa – przed wystpieniem awarii lub katastrofy;
faza przystpienia do naprawy – rozpoczynajca si w momencie
zdiagnozowania awarii lub katastrofy i podjcia pierwszych dziaa majcych na
celu przywrócenie sprawnoci systemu;
faza naprawy - rozpoczynajca si kilka dni lub tygodniu po wystpieniu awarii
lub katastrofy.
W trakcie procesu projektowania sieci zakada si pewne scenariusze, w których
poszczególne elementy systemu ulegaj awarii lub zniszczeniu np. w wyniku poaru lub
kataklizmu. Przywidywanie tego typu zdarze pozwala okreli
elementy krytyczne dla
funkcjonowania caego systemu i dobra
odpowiedni sposób ich zabezpieczenia. Naturaln
metod pozwalajc na zwikszenie niezawodnoci, bezpieczestwa i dostpnoci sieci
jest redundancja, oznaczajca nadmiarowo
, zastosowanie dodatkowych elementów.
Odnosi si ona zarówno do informacji przechowywanych w rejestrach jak i do elementów
sprztowych, które mog by
dublowane w róny sposób m.in. n+1, 1+1, 1:n. Praca tych
elementów moe przebiega
w róny sposób np. w trybie gorcej lub zimnej rezerwy.
Nadmiarowo
moe dotyczy
wykonywania kopi caoci danych lub te tylko tych,
których warto
jest szczególnie wana. Jeeli chodzi o nadmiarowo
dotyczc
skadników systemu, to redundancji moe podlega
:
x cay system;
x poszczególne podsystemy np. stacji bazowych BSS (Base Station Subsystem),
komutacyjno - sieciowy NSS, centrum eksploatacyjno - utrzymaniowe OMC;
x poszczególne elementy wchodzce w skad systemu np. centrala MSC (Mobile
Switching Centre), rejestr HLR (Home Location Register);
x poszczególne skadniki wchodzce w skad elementów systemu np. karty
procesorowe centrali MSC, interfejsy.
Oprócz dublowania poszczególnych elementów systemu, nadmiarowo
stosowana jest
równie w odniesieniu do skadników takich jak np. karty procesorowe centrali MSC czy
interfejsy. Taki rodzaj nadmiarowoci jest okrelany mianem „redundancji wewntrznej”
i jest obecnie stosowany przez wszystkich producentów sprztu GSM-R.
W zalenoci od konfiguracji i zoonoci sieci, moliwe jest przywrócenie penej
funkcjonalnoci sieci w granicach czterech godzin. Naley te pamita
, e w przypadku
braku redundantnego podsystemu NSS (brak aplikacji “disaster recovery”) wymiana
uszkodzonego NSS na nowy moe potrwa
kilka miesicy.
Przy ukadaniu planu aplikacji “disaster recovery” naley rozpatrze
kilka opcji[10]:
x zdublowanie wszystkich systemów szkieletowych sieci i umieszczenie ich w innej
odlegej lokalizacji. W tej opcji przywrócenie funkcjonalnoci sieci jest najszybsze,
cho
koszty najwiksze. Niezbdne te bd dodatkowe cza telekomunikacyjne;
x aplikacj “disaster recovery” dostarcza trzecia strona (np. operator ssiedniej
kolei). Naley przewidzie
wystpienie wszystkich moliwych komplikacji przy
przeczeniu podsystemu NSS GSM-R, gdy macierzyste systemy NSS i BSS
musz by
kompatybilne ze sob;
x budowa w odlegej lokalizacji z podczonym zasilaniem i czami
telekomunikacyjnymi, ale bez urzdze GSM-R. W przypadku podpisanej umowy
z zaufanym dostawc, przywrócenie funkcjonalnoci sieci trwaoby do kilku
tygodni;
Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R
205
x
rozproszenie wszystkich kluczowych urzdze w rónych lokalizacjach, co
ograniczy wpyw uszkodzenia pojedynczych elementów.
Na rysunku 1 przedstawiono moliwe warianty konfiguracji systemu GSM-R ze
uwzgldnieniem moliwych redundancji sprztowych. Pierwszym krokiem jest podjcie
decyzji w kwestii obiektów centralowych, co do których stosuje si mechanizmy
redundancji geograficznej. Oznacza ona umiejscowienie elementu rezerwowego w
lokalizacji innej ni podstawowy. Pozwala to na bezprzerwowe wiadczenie usug na
wypadek np. przerwy w dostawie energii elektrycznej, awarii systemu zasilania lub te
przerw wynikajcych z czynnoci eksploatacyjno - utrzymaniowych takich jak np.
wymiana oprogramowania.
Rys. 1. Przykadowy algorytm wyboru architektury systemu GSM-R [10]
Oznaczenia na rysunku:
MSC (Mobile Switching Centre) - centrala komutacyjna,
BSC (Base Station Controller) - sterownik stacji bazowych,
BTS (Base Tranceiver Station) - stacja bazowa.
Centrala MSC i rejestr HLR s podstawowymi urzdzeniami podsystemu NSS i zaleca
si by byy one zwymiarowane przy wdraaniu jako N+1. Zapewnienie redundancji
centrali MSC jest szczególnie wane ze wzgldu na dwie funkcje: grupowe poczenia
gosowe VGCS (Voice Group Call Service) ze szczególnym uwzgldnieniem kolejowych
pocze alarmowych REC oraz pocze punkt-punkt niezbdnych dla funkcjonowania
systemu ETCS. Zdublowane urzdzenie moe by
zainstalowane w stanie wyczekiwania,
fizycznie rozczone z sieci lub moe by
w stanie aktywnym i przetwarza
dane.
W przypadku zdublowania centrali MSC rozpatruje si dwa rozwizania[10]:
206
Mirosaw Siergiejczyk, Stanisaw Gago
x
Load sharing (z podziaem zasobów): kada centrala MSC jest podczona do sieci
i jest aktywna. Sterowniki BSC funkcjonujce w sieci s przypisane do
poszczególnych central MSC. Poniewa jeden, ten sam sterownik BSC moe by
podczony tylko do jednej centrali MSC, w przypadku awarii, wszystkie
podczone do niej sterowniki BSC strac zdolno
obsugi, do momentu a ruch
zostanie przekierowany do elementu rezerwowego. Rozwizanie to wymaga
rekonfiguracji rezerwowej centrali MSC i sterowników BSC, przeczenia czy
transmisyjnych oraz uaktualnienia informacji w rejestrze VLR. Sterowniki BSC
podczone do uszkodzonej centrali MSC sygnalizuj utrat usugi.
x Standby (tryb rezerwy): dodatkowa centrala MSC nie jest fizycznie poczona
z sieci i pracuje w trybie rezerwy. W przypadku uszkodzenia centrali MSC, brak
usugi wykazuj wszystkie sterowniki BSC obsugiwane przez t central.
Rozwizanie to wymaga skonfigurowania rezerwowej centrali MSC, w celu
zastpienia funkcji uszkodzonej centrali MSC (w przypadku, gdy sie
ma jedn
aktywn MSC, mona przyj
, e konfiguracja MSC bdcej w stanie oczekiwania
jest ju przygotowana), przeczenia czy transmisyjnych oraz uaktualnienia
informacji w rejestrze VLR. Sterowniki BSC podczone do uszkodzonej centrali
MSC sygnalizuj utrat usugi. Liczba sterowników BSC pozostajcych bez
obsugi jest wiksza ni w opcji load sharing, a ich konfiguracja nie jest
wymagana, poniewa rezerwowa centrala MSC zastpuje w peni t uszkodzon.
Czsto stosowanym rozwizaniem jest ciga synchronizacja rejestrów VLR (Visitor
Location Register), GCR oraz HLR, która umoliwia skrócenie czasu przeczenia na
elementy rezerwowe. W przypadku zastosowania architektury R4, oprócz rejestrów,
dublowane mog by
oba elementy skadowe centrali MSC (Serwer MSC, Brama
Medialna MGW) lub tylko jeden. Jeden Serwer MSC moe obsugiwa
kilka Bram
Medialnych MGW, zwizku z tym wanym aspektem jest zapewnienie rónych dróg
transmisyjnych. W przypadku zastosowania jednego Serwera MSC i kliku Bram
Medialnych MGW i przy zapewnieniu co najmniej jednej alternatywnej drogi
transmisyjnej, awaria którejkolwiek z bram nie spowoduje przerwy w wiadczeniu usug.
Niektóre funkcjonalnoci kluczowe dla sprawnego prowadzenia ruchu wymagaj
zastosowania pewnych elementów (np. wzów sieci inteligentnej IN) i powinny by
realizowane nawet w przypadku powanej awarii. Dublowanie elementów podsystemu
NSS powinno by
rozpatrzone przy uwzgldnieniu kluczowych usug i funkcjonalnoci.
Aby zabezpieczy
realizowanie takich funkcji jak LDA (Location Dependent Addressing),
czy REC (Railway Emergency Call), obligatoryjnych z punktu widzenia interoperacyjnoci
kolei europejskich, elementy odpowiadajce za ich realizacj powinny by
dublowane [5].
W oparciu o priorytetowy poziom usug, które po odtworzeniu musz by
zachowane,
mona zidentyfikowa
krytyczne urzdzenia systemu GSM-R i zapewni
ich redundancj.
Nale do nich indywidualne karty i cza telekomunikacyjne. Praktycznie zaleca si,
aby redundantne byy wszystkie stacjonarne cza telekomunikacyjne, ukady nadawczoodbiorcze TRX w stacjach bazowych BTS, karty w sterowniku BSC oraz karty
w transkoderze TRAU. Naturaln metod pozwalajc na zwikszenie niezawodnoci,
bezpieczestwa i dostpnoci sieci jest redundancja. Odnosi si ona zarówno do informacji
przechowywanych w rejestrach jak i do elementów sprztowych, które mog by
dublowane w róny sposób.
Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R
207
Uycie dwóch central MSC oraz jednego sterownika BSC, nie powinno by
rozwizaniem zalecanym dla cznoci kolejowej, gdy:
x w przypadku awarii centrali MSC, przywrócenie funkcjonalnoci sieci wymaga
rcznego przeczenia sterownika do centrali rezerwowej,
x w przypadku awarii sterownika BSC nastpuje awaria caego systemu GSM-R.
Redundancja podsystemu BSS w przypadku systemu GSM-R powinna by
zrealizowana z podwójnym pokryciem radiowym realizowanym przez stacje bazowe BTS
(kolokowane lub naprzemienne) na liniach kolejowych wyposaonych w system ETCS
i wielu sterowników BSC podczonych do jednej lub drugiej centrali MSC. Ilo
sterowników BSC powinna by
tak zaplanowana, by kada linia kolejowa wyposaona w
system ETCS bya podczona, co najmniej do dwóch sterowników BSC podczonych do
dwóch rónych central MSC. Na liniach kolejowych bez systemu ETCS pokrycie radiowe
moe by
pojedyncze, a stacje bazowe BTS naprzemienne podczone do dwóch rónych
sterowników BSC, w miar moliwoci podczonych do dwóch rónych central MSC
[14], [16].
System GSM-R moe by
zaimplementowany w rozmaitych topologiach (rys. 2, 3 i 4).
Naley wzi
pod uwag, e uzyskana stopa procentowa poprawnie zrealizowanych usug
typu handover musi wynosi
przynajmniej 99,5% przy standardowych warunkach
dziaania (warunki atmosferyczne, obcienie sieci, etc.).
MSC
TRAU
BSC
Rys. 2. Komórki nakadajce si z pokryciem radiowym realizowanym naprzemiennie acuchy
ródo: opracowanie wasne na podstawie [2]
Rys. 3. Komórki nakadajce si z pokryciem radiowym realizowanym przez naprzemienne
acuchy i redundancj sprztow sterowników BSC
ródo: opracowanie wasne na podstawie [2]
208
Mirosaw Siergiejczyk, Stanisaw Gago
Rys. 4. Komórki nakadajce si z pokryciem radiowym realizowanym przez naprzemienne
acuchy i pen redundancj sprztow
ródo: opracowanie wasne na podstawie [2]
Oznaczenia na rysunkach 2,3 i 4:
MSC (Mobile Switching Centre) - centrala komutacyjna
BSC (Base Station Controller) - sterownik stacji bazowych
TRAU (TRanscoder and rate Adaptation Unit) - transkoder
Redundancja jest równie wana w systemach teletransmisyjnych. Zastosowanie
struktur samonaprawialnych SDH, zapewnienie dwóch dróg optycznych jako rezerwowego
systemu transmisyjnego s przykadami nadmiarowoci sieci telekomunikacyjnej,
zwikszajcymi niezawodno
i bezpieczestwo pracy.
Struktury samonaprawialne SDH wymagaj ptli wiatowodowych. Waciciel
infrastruktury kolejowej w Polsce – Spóka PKP PLK - w ramach modernizacji linii
kolejowych ukada trakty wiatowodowe po obu stronach modernizowanych linii. Kable
wiatowodowe tj. kabel podstawowy i w kabel domykajcy ukadane s w osobnych
rurach kanalizacji kablowej po obu stronach toru kolejowego. Stwarza to moliwo
realizacji ptli wiatowodowych i tym samym samonaprawialnych ptli
teletransmisyjnych SDH. I tak dla linii kolejowej E 65 Warszawa – Gdynia
zaprojektowana jest ptla wiatowodowa tzn. zaprojektowano poczenie odpowiednich
wókien wiatowodowych znajdujcych si w kablach lecych po obu stronach toru
kolejowego. Poczenia wókien wiatowodowych dokonane bd w Warszawie i Gdyni.
W celu zwikszenia niezawodnoci ptli wiatowodowych naleaoby przewidzie
moliwo
przeczania (krosowania) wókien wiatowodowych jednego kabla z
rezerwowymi wóknami drugiego kabla w punktach porednich np. w siedzibie LCS, co
zasadniczo zwikszyoby niezawodno
(dostpno
) ptli wiatowodowej a tym samym
niezawodno
systemów teletransmisyjnych (system byby odporny nie tylko na jedn
usterk w ptli kabli wiatowodowych).
Zarzdca infrastruktury kolejowej dysponujcy okrelon kwot pienidzy, musi
okreli
jaka struktura systemu jest dla niego najkorzystniejsza, nie tylko z punktu
widzenia obcie finansowych ale i przyszej eksploatacji systemu. Zalecane jest aby na
Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R
209
liniach na których system GSM-R ma wspópracowa
z systemem ETCS poziom 2/3,
stosowane byy mechanizmy niezawodnociowe. Architektura systemu GSM-R jak i
systemy teletransmisyjne SDH, pozwalaj projektantom systemu dostosowa
uyte
rozwizania do wymaga stawianych przez system ETCS.
4. ZAKOCZENIE
System GSM-R jest skadnikiem systemu ERTMS, który stanowi o bezpiecznym
prowadzeniu ruchu pocigów. W zwizku z tym system GSM-R musi by
pewnie
dziaajcym systemem w zakresie przesyania informacji (gos i dane), która powinna by
wiksza ni w publicznym systemie GSM, i pewnoci dziaania co jest zapewnione przez
dodatkowe
rodki
(redundancja
sprztu,
odpowiednie
pokrycie
pola
elektromagnetycznego). Ponadto system GSM-R powinien by
odporny na nieuprawniony
dostp i poufno
przesyanych informacji. System powinien realizowa
poczenia,
przeczenia i przesyanie danych w zaoonych reymach czasowych. Aeby speni
powysze wymagania wanym jest nie tylko radiowa cz
systemu GSM-R ale równie
wana jest cz
cznoci przewodowej, bez której cay system GSM-R ale te i system
ERTMS nie mógby poprawnie pracowa
. Dlatego koniecznym jest stosowanie
teletransmisyjnych struktur samonaprawialnych, zapewnienie rezerwowych dróg
transmisyjnych, synchronizacji, zintegrowanego systemu zarzdzania, kontroli dostpu,
itd. Tylko kompleksowe dziaania mog zapewni
bezpieczestwo systemu GSM-R a tym
samym zwikszy
bezpieczestwo systemu ERTMS.
Literatura
1.
Biao A. Masterplan wdraania ERTMS w perspektywie krajowej i wspólnotowej. Transport i
Komunikacja 2010, nr 2.
2.
Ding Xun, Chen Xin, Jiang Wenyi: The Analysis of GSM-R Redundant Network and Reliability Models
on High-speed Railway. 2010 International Conference on Electronics and Information Engineering
(ICEIE 2010). Kyoto, Japan 2010.
International Union of Railways, Project EIRENE – Functional Requirements Specification, 2006.
International Union of Railways, Project EIRENE – System Requirements Specification, 2006.
Markowski R., Pierwsze wdroenia GSM-R w Polsce. Materiay PLK S.A.,Warszawa, 2010.
Lehrbaum M., GSM-R Disaster Recovery, GSM-R Business Operations, Warsaw October 2009.
Pawlik M. Polski Narodowy Plan Wdraania Europejskiego Systemu Zarzdzania Ruchem Kolejowym
ERTMS. Technika Transportu Szynowego 1/2007.
Przelaskowski K.: Eksploatacja systemu GSM-R w kolejnictwie europejskim. Przegld
Telekomunikacyjny Nr 2-3, 2003.
Pushparatnam L., Taylor T.: GSM-R Implementation and Procurement Guide V 1.0 15.03.2009.
Sauthier E., Poutas L.: Radio bearer capacity and planning for ETCS Solutions for BSS redundancy, 10th
December 2003.
Siergiejczyk M., Gago S.: Zagadnienia bezpieczestwa systemu GSM-R w aspekcie wspomagania
transportu kolejowego. Logistyka Nr. 6/2012. Wyd. ILiM, Pozna 2012.
Simon A., Walczyk M.: Sieci komórkowe GSM/GPRS. Usugi i bezpieczestwo. Wydawnictwo: Xylab,
Kraków 2002.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
210
Mirosaw Siergiejczyk, Stanisaw Gago
13. Urbanek A.: Komunikacja kolejowa GSM-R. Networld nr 1. IDG, Warszawa 2005.
14. Uzupenienie Studium Wykonalnoci w zakresie systemu cyfrowej cznoci radiowej GSM-R, cznoci
technologicznej i systemów teleinformatycznych zwizanych z prowadzeniem ruchu na projektowanej
linii kolejowej Pomorskiej Kolei Metropolitarnej. Opracowanie WT PW pod kierownictwem M.
Siergiejczyka, Warszawa, 2011.
15. Winter P.: International Union of Railways, compendium on ERTMS, Eurail Press, Hamburg, 2009.
16. Yuan Cao: Reliability Analysis of CTCS Based on Two GSM-R Double Layers Networks Structures
Communications and Mobile Computing, 2009. CMC '09. WRI International Conference on 6-8 Jan.
2009.
INFORMATION SECURITY PROBLEMS IN THE GSM-R NETWORK
Summary: The paper presents the selected items affecting the security of information in the digital mobile
phone network GSM-R. Particular attention was paid to some problems related to ensuring security of
information transmission in services provided by GSM-R network. There are analyzed the most important
issues affecting the security of the radio interface as well as elements directly related to it. In the frame of the
security of the communications are examined the selected methods and mechanisms to ensure the required
level of radio coverage, availability and continuity of services in the GSM-R network.
Keywords: system GSM-R, rail, transmission, security