Problemy zapewnienia bezpieczeństwa informacyjnego w sieci GSM-R Information Security Problems in the GSM-R Network

Pełen tekst

(1)PRACE NAUKOWE POLITECHNIKI WARSZAWSKIEJ z. 92. Transport. 2013. Mirosaw Siergiejczyk1,2, Stanisaw Gago1,2 1. Politechnika Warszawska, Wydzia Transportu 2 Instytut Kolejnictwa. PROBLEMY ZAPEWNIENIA BEZPIECZE STWA INFORMACYJNEGO W SIECI GSM-R Rkopis dostarczono, kwiecie 2013. Streszczenie: W referacie przestawiono wybrane elementy wp ywajce na bezpieczestwo informacyjne w sieci cyfrowej telefonii komórkowej GSM-R. Szczególn uwag zwrócono na wybrane problemy zwizane z zapewnieniem bezpieczestwa transmisji informacji us ug realizowanych przez sie GSM-R. Przeanalizowano najwaniejsze problemy majce wp yw na bezpieczestwo interfejsu radiowego oraz elementów bezporednio z nim zwizanych. W zakresie bezpieczestwa telekomunikacyjnego przeanalizowano wybrane metody oraz mechanizmy pozwalajce zapewni wymagany poziom pokrycia radiowego, dostpnoci i cig oci wiadczenia us ug w sieci GSM-R. Sowa kluczowe: system GSM-R, transport kolejowy, transmisja, bezpieczestwo. 1. WSTP Cyfrowe sieci GSM-R (Global System for Mobile Communications - Railway or GSM-Railway) s ju wykorzystywane w wielu europejskich i poza europejskich Zarzdach Kolejowych. Obecnie w Polsce rozpoczyna si proces budowy sieci GSM-R. Dotychczas stosowana na polskiej kolei radio czno analogowa, pracujca w pamie 150 MHz, zosta a wyeksploatowana technicznie, przez co nie spe nia dzisiejszych wymaga technicznych, norm i standardów oraz nie posiada wymaganej funkcjonalnoci [11]. Za oenia Midzynarodowego Zwizku Kolei UIC (franc. Union Internationale des Chemins de fer) mia y na uwadze g ównie ujednolicenie europejskich systemów cznoci kolejowej poprzez wprowadzenia projektu EIRENE (European Integrated Railway radio Enhanced Network) [3],[4]. Implementacja GSM-R ma wymierne korzyci finansowe dla segmentu kolejowego. Znacznie poprawia si przepustowo linii kolejowych, do minimum ograniczony jest czas przekraczania granic pastwowych. Tym samym zwiksza si poziom wiadczonych us ug (na przyk ad poprzez wprowadzenie monitoringu przesy ek). GSM-R jest to system cyfrowej telefonii komórkowej wykorzystywany.

(2) 200. Miros aw Siergiejczyk, Stanis aw Gago. dla potrzeb transportu kolejowego. Zapewnia cyfrow czno g osow oraz cyfrow transmisj danych. Oferuje on rozbudowan funkcjonalno systemu GSM. Cechuje si infrastruktur zlokalizowan jedynie w pobliu linii kolejowych. GSM-R ma za zadanie wspomaga systemy wprowadzane w Europie: ERTMS (European Rail Traffic Management System) tj. Europejski System Zarzdzania Ruchem Kolejowym oraz ETCS (European Train Control System), czyli Europejski System Kontroli Pocigu, który ma za zadanie w cig y sposób zbiera i przesy a dane dotyczce pojazdu szynowego takie jak prdko czy po oenie geograficzne. System GSM-R jest systemem transmisyjnym dla ETCS, poredniczy przy przekazywaniu informacji maszynicie i innym s ubom kolejowym [1]. Wdraajc wyej wymienione systemy istotnie poprawia si bezpieczestwo ruchu kolejowego, moliwa jest diagnostyka pojazdu w czasie rzeczywistym oraz moliwe jest wprowadzenie monitoringu przesy ek i wagonów. Ponadto poprzez precyzyjne okrelenie odleg oci midzy pocigami mona znacznie zwikszy przepustowo na poszczególnych liniach [7], [8]. Rozmieszczenie stacji bazowych w systemach GSM-R moe odbywa si na róne sposoby w zalenoci od wymaganego bezpieczestwa wiadczonych us ug telekomunikacyjnych (przesy anie g osu i transmisja danych). Wybór sposobu rozmieszczenia i po czenia stacji bazowych powinien by podyktowany klas i przeznaczeniem linii kolejowej, jej przepustowoci i wymaganym poziomem bezpieczestwa. Wielko komórek i ich kszta t mona zmienia poprzez regulacj poziomu mocy oraz stosowanie anten dookólnych, szerokoktnych bd liniowych. System GSM-R ma zastosowanie s ubowe, wic nie przewidziano w nim pokrycia radiowego terenów innych ni tereny kolejowe [9], [13]. System GSM-R jest zbudowany w oparciu o publiczny system GSM co zapewnia mu cig y rozwój w zakresie rozwiza technicznych wynikajcych z postpu technologicznego implementowanego w publicznych sieciach GSM. Jednoczenie naley stwierdzi , e system GSM-R jest narzdziem do sprawniejszego zarzdzania, kierowania i sterowania ruchem kolejowym, co sprawia e System GSM-R ma zdecydowanie wiksz „odpowiedzialno ” ni publiczne systemy GSM a co za tym idzie, systemy te musz mie. zaimplementowane dodatkowe rozwizania zwikszajce ich bezpieczestwo. Std te istotnym staje si zagadnienie zapewnienia cig oci dzia ania systemu, w aciwego pokrycia radiowego terenów kolejowych oraz bezpieczestwa informacyjnego.. 2. BEZPIECZE STWO TRANSMISJI INFORMACJI W SIECI GSM-R Kluczowymi zagadnieniami majcymi wp yw na bezpieczestwo systemu jest bezpieczestwo interfejsu radiowego oraz elementów bezporednio z nim zwizanych (np. urzdzenia nadawczo-odbiorcze). Kada informacja przesy ana drog radiow naraona jest na pods uch i przechwycenie. Dlatego te, po czenia powinny by szyfrowane tak aby ich tre nie by a jawna i moliwa do odczytu przez przypadkowego uytkownika. Szyfrowanie nie dotyczy.

(3) Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R. 201. kolejowego po czenia alarmowego REC (Railway Emergency Call), ze wzgldu na wymagany krótki czas jego zestawienia. Szyfrowanie wymaga zastosowania odpowiedniego algorytmu do kryptografii cyfrowej zarówno po stronie sieci jak i stacji mobilnej. Jednak zanim informacja zostanie zaszyfrowana, sie musi zidentyfikowa. uytkownika przeprowadzajc procedur autoryzacji zwanej równie uwierzytelnieniem. Procedura ta oparta jest na koncepcji podpisu elektronicznego. Autoryzacja przeprowadzana jest z udzia em rejestru AuC (Authentication Centre) i karty SIM (Subscriber Identity Module), w których przechowywany jest klucz autoryzacji Ki. Jest to najtajniejszy parametr uywany w sieci GSM-R, dlatego te nie jest on transmitowany na adnym interfejsie sieciowym, a jego odczyt z karty SIM jest odpowiednio zabezpieczony. Procedura autoryzacji rozpoczyna si po stronie sieci, wyliczeniem na podstawie klucza autoryzacji Ki i losowo wygenerowanej liczby RAND (RANDom number), tzw. liczby SRES (Signed RESponse). Parametr RAND przekazywany jest stacji mobilnej MS w momencie nawizywania po czenia. Terminal przeprowadza podobn procedur jak rejestr AuC, obliczajc liczb SRESMS na podstawie klucza szyfrujcego zapisanego na karcie SIM oraz parametru RAND. Warto ta przekazywana jest do centrali MSC gdzie jest porównywana z wczeniej wyznaczonym parametrem SRES. Jeeli liczby te s sobie równe wtedy kontynuowana jest procedura zestawiania po czenia. Kolejnym etapem jest szyfrowanie informacji, które wymaga obliczenia zarówno w rejestrze AuC jak i po stronie terminala klucza szyfrujcego Kc. Warto wyliczonych wartoci musi by zgodna, w przeciwnym wypadku procedura szyfrowania nie bdzie kontynuowana. Szyfrowanie dotyczy sygna u mowy, danych i sygnalizacji i jest operacj wykonywan zarówno w czu od stacji bazowej BTS (Base Tranceiver Station), do terminala jak i odwrotnie. Odczytanie przesy anej treci wymaga operacji deszyfrowania, realizowanej kadorazowo przez algorytm, który jest uywany równie w procesie szyfrowania. Kada karta SIM jest zwizana z numerem IMSI (International Mobile Subscriber Identity), który uywany jest przez sie w wielu procedurach m.in. zestawiania po czenia i aktualizacji po oenia. Transmisja numeru IMSI w interfejsie radiowym bez zabezpieczenia, mog aby doprowadzi do okrelenia pozycji abonenta, przez osoby niepodane. Aby unikn tego typu niebezpiecznych sytuacji, wprowadza si dodatkowy, tymczasowy numer abonenta ruchomego TMSI (Temporary Mobile Subscriber Identity), którego d ugo jest o po ow krótsza w stosunku do numeru IMSI. Z racji tego, i numer TMSI jest generowany w sposób losowy w rejestrze VLR (Visitor Location Register), nie mona z góry przewidzie jego wartoci. Wano numeru TMSI obowizuje tylko w konkretnym obszarze wywo a w którym znajduje si stacja ruchoma. Oprócz numeru IMSI do kadej karty SIM przypisany jest kod identyfikacyjny PIN (Personal Identification Key), oraz omiocyfrowy kod odblokowujcy PUK (Personal Unblocking Key) [12]. Wanym elementem wp ywajcym na bezpieczestwo jest weryfikacja terminala. Wszystkie terminale radiowe pracujce w sieci powinny by monitorowane pod wzgldem legalnoci ich uycia, a numery IMEI (International Mobile Equipment Identity) znajdowa si na jednej z trzech list: bia ej, szarej lub czarnej. Wszystkie wymienione wyej procesy tj. autoryzacja, szyfrowanie, zabezpieczenie przed uyciem nieuprawnionego terminala oraz dostp do zawartoci modu u SIM wp ywaj na bezpieczestwo i s standardowymi mechanizmami funkcjonujcymi w kadej sieci GSM. Zwikszenie bezpieczestwa przesy anych informacji w systemie GSM-R uzyskano take.

(4) 202. Miros aw Siergiejczyk, Stanis aw Gago. poprzez zastosowanie innego pasma czstotliwoci ni w systemie GSM. System GSM-R pracuje w pamie 876 – 880 MHz (uplink – komunikacja w stron sieci) i 921 – 925 MHZ (down link – komunikacja w kierunku terminali), co skutecznie oddziela to pasmo od pasma publicznego systemu GSM (890 – 915 MHz i 935 – 960 MHz). Zwikszenie pewnoci transmisji informacji poprzez system GSM-R uzyskuje si poprzez zapewnienie odpowiedniego pokrycia radiowego wzd u drogi kolejowej uzalenionego od prdkoci poruszania si pocigów i tak dla prdkoci mniejszych ni 220km/h poziom porycia nie powinien by mniejszy ni -95dBm natomiast dla prdkoci wikszych ni 280 km/h nie powinien by mniejszy ni -92 dBm. Prawdopodobiestwo pokrycia tymi poziomami nie powinno by gorsze ni 95% na kade 100 m linii kolejowej, natomiast prze czanie midzy dwoma komórkami (handover) powinno by realizowane wzd u linii kolejowej w normalnych warunkach nie gorzej ni 99,5%. Po czenia o najwyszym priorytecie (alarmowe) powinny by realizowane w czasie krótszym ni 2s (dla 95% po cze). W systemie GSM-R istotnym parametrem wiadczcym o poprawnoci dzia ania systemu jest jako wiadczonych us ug QoS (Quality of Service), na któr sk ada si okrelone prawdopodobiestwo fa szywego po czenia, opónienie transmisji (przekazywania danych) danych, ograniczony jiter (zmiana opónienia w za oonych granicach), okrelona stopa b dów BER.. 3. BEZPIECZE STWO TELEKOMUNIKACYJNE SIECI GSM-R Zadaniem kadej sieci telekomunikacyjnej jest przes anie informacji w zadanym czasie i z okrelon stop b dów. Sie GSM-R jest systemem telekomunikacyjnym, który musi charakteryzowa si wysok niezawodnoci oraz zapewnia wysoki poziom bezpieczestwa przekazywanych danych w rodowisku kolejowym. Niezawodny dostp do us ug telekomunikacyjnych jest bardzo wan kwesti dla Zarzdcy infrastruktury kolejowej gdy ma to bezporedni wp yw na bezpieczestwo oraz p ynno ruchu kolejowego. Wspó praca, w ramach systemu ERTMS (European Railway Traffic Management System) systemu GSM-R z systemem ETCS (European Train Control System) poziom 2 nak ada na system GSM-R wymaganie, wyraone poprzez maksymalny moliwy czas niedostpnoci systemu wynoszcy: - dla systemu ETCS poziomu 2 i poziomu 3 – 4 godziny na 10 lat (dostpno. 99,995%); - dla innych us ug g osowych i transmisji danych – 8 godzin na rok (dostpno 99.91%). Bezpieczestwo telekomunikacyjne rozumiane jest jako zbiór metod oraz mechanizmów, których zastosowanie zapewnia wymagany poziom pokrycia radiowego, dostpnoci i cig oci wiadczenia us ug poprzez dobranie odpowiedniej struktury systemu i topologii sieci. Przeznaczenie systemu GSM-R oraz jego wp yw na.

(5) Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R. 203. bezpieczestwo ruchu kolejowego, nak ada na projektantów obowizek zapewnienia systemowi odpornoci na uszkodzenia i zak ócenia. Niezwykle wane jest opracowanie strategii, zapewniajcej utrzymanie niezbdnego poziomu bezpieczestwa oraz przygotowanie planów funkcjonowania systemu w sytuacjach szczególnych zagroe. Scenariusze te okrelane s mianem Disaster Recovery (odtwarzanie infrastruktury po awarii) i s to procesy i procedury zwizane z wznowieniem lub utrzymywaniem infrastruktury technicznej, krytycznej dla danej organizacji, po wystpieniu katastrofy naturalnej lub wywo anej przez cz owieka [6]. Operatorzy kolejowi musz wyspecyfikowa strategi Disaster Recovery dla swojej sieci, która to strategia bdzie podstaw wdroenia tej funkcjonalnoci. Naley cile okreli nastpujce zagadnienia oraz wymagania: x definicja awarii; x docelowy czas odtworzenia; x poziom us ug, które s priorytetowe po odtworzeniu (rodzaje po cze us ugi o wartoci dodanej); x metoda odtworzenia (interwencja rczna, zdalne przeprogramowywanie, lokalizacja personelu). W oparciu o priorytetowy poziom us ug, które po odtworzeniu musz by zachowane, mona zidentyfikowa krytyczne urzdzenia systemu GSM-R i zapewni ich redundancj. Komponenty, których uszkodzenie w najwyszym stopniu moe wp yn na poprawn prac systemu, powinny by dublowane. Nale do nich indywidualne karty i cza telekomunikacyjne. Praktycznie zaleca si, aby redundantne by y wszystkie stacjonarne cza telekomunikacyjne, uk ady nadawczo-odbiorcze TRX (Transceiver) w stacjach bazowych BTS (Base Transceiver Station) oraz karty w sterowniku BSC (Base Station Controller) oraz transkoderze TRAU (TRanscoder and rate Adaptation Unit). Aktywacja (i tam, gdzie jest to niezbdne, rekonfiguracja) redundantnych urzdze powinna by. moliwa w dzia ajcym systemie, najlepiej aby by a moliwa inicjacja procedur aktywacyjnych zdalnie z centrum eksploatacyjno - utrzymaniowego OMC (Operation Maintenance Centre). Architektura systemu GSM-R powinna by zaprojektowana tak, aby uwzgldnia a minimalne przerwy w wiadczeniu us ug przy uszkodzeniu jednego lub wicej elementów. Osiga si to poprzez kombinacj redundancji urzdze i odpornoci sieci na uszkodzenie pojedynczych elementów sieciowych. Konsekwencj powanej awarii sieci GSM-R jest przerwa w wiadczeniu us ug na ca ej sieci kolejowej w d uszym okresie czasu ni to wynika ze zdefiniowanego maksymalnego czasu naprawy. To skutkuje efektem domina w utracie zdolnoci eksploatacyjnej sieci. W wikszoci przypadków utrat t spowoduje awaria: x aktywnego podsystemu NSS (Network Switching Subsystem); x sterownika BSC; x podsystemu OMC (dla radia lub komutacji) – przy czym nie jest to bezporednie oddzia ywanie. Planowanie Disaster Recovery jest czci wikszego procesu planowania cig oci dzia ania i powinno obejmowa okrelenie procedur wznowienia aplikacji, danych, sprztu i cznoci. Wyrónia si trzy podstawowe fazy wchodzce w sk ad dzia a dot. zdarze katastroficznych [6]:.

(6) 204. Miros aw Siergiejczyk, Stanis aw Gago. . faza przygotowa – przed wystpieniem awarii lub katastrofy; faza przystpienia do naprawy – rozpoczynajca si w momencie zdiagnozowania awarii lub katastrofy i podjcia pierwszych dzia a majcych na celu przywrócenie sprawnoci systemu; faza naprawy - rozpoczynajca si kilka dni lub tygodniu po wystpieniu awarii lub katastrofy. W trakcie procesu projektowania sieci zak ada si pewne scenariusze, w których poszczególne elementy systemu ulegaj awarii lub zniszczeniu np. w wyniku poaru lub kataklizmu. Przywidywanie tego typu zdarze pozwala okreli elementy krytyczne dla funkcjonowania ca ego systemu i dobra odpowiedni sposób ich zabezpieczenia. Naturaln metod pozwalajc na zwikszenie niezawodnoci, bezpieczestwa i dostpnoci sieci jest redundancja, oznaczajca nadmiarowo , zastosowanie dodatkowych elementów. Odnosi si ona zarówno do informacji przechowywanych w rejestrach jak i do elementów sprztowych, które mog by dublowane w róny sposób m.in. n+1, 1+1, 1:n. Praca tych elementów moe przebiega w róny sposób np. w trybie gorcej lub zimnej rezerwy. Nadmiarowo moe dotyczy wykonywania kopi ca oci danych lub te tylko tych, których warto jest szczególnie wana. Jeeli chodzi o nadmiarowo dotyczc sk adników systemu, to redundancji moe podlega : x ca y system; x poszczególne podsystemy np. stacji bazowych BSS (Base Station Subsystem), komutacyjno - sieciowy NSS, centrum eksploatacyjno - utrzymaniowe OMC; x poszczególne elementy wchodzce w sk ad systemu np. centrala MSC (Mobile Switching Centre), rejestr HLR (Home Location Register); x poszczególne sk adniki wchodzce w sk ad elementów systemu np. karty procesorowe centrali MSC, interfejsy. Oprócz dublowania poszczególnych elementów systemu, nadmiarowo stosowana jest równie w odniesieniu do sk adników takich jak np. karty procesorowe centrali MSC czy interfejsy. Taki rodzaj nadmiarowoci jest okrelany mianem „redundancji wewntrznej” i jest obecnie stosowany przez wszystkich producentów sprztu GSM-R. W zalenoci od konfiguracji i z oonoci sieci, moliwe jest przywrócenie pe nej funkcjonalnoci sieci w granicach czterech godzin. Naley te pamita , e w przypadku braku redundantnego podsystemu NSS (brak aplikacji “disaster recovery”) wymiana uszkodzonego NSS na nowy moe potrwa kilka miesicy. Przy uk adaniu planu aplikacji “disaster recovery” naley rozpatrze kilka opcji[10]: x zdublowanie wszystkich systemów szkieletowych sieci i umieszczenie ich w innej odleg ej lokalizacji. W tej opcji przywrócenie funkcjonalnoci sieci jest najszybsze, cho koszty najwiksze. Niezbdne te bd dodatkowe cza telekomunikacyjne; x aplikacj “disaster recovery” dostarcza trzecia strona (np. operator ssiedniej kolei). Naley przewidzie wystpienie wszystkich moliwych komplikacji przy prze czeniu podsystemu NSS GSM-R, gdy macierzyste systemy NSS i BSS musz by kompatybilne ze sob; x budowa w odleg ej lokalizacji z pod czonym zasilaniem i czami telekomunikacyjnymi, ale bez urzdze GSM-R. W przypadku podpisanej umowy z zaufanym dostawc, przywrócenie funkcjonalnoci sieci trwa oby do kilku tygodni;.

(7) Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R. 205. x. rozproszenie wszystkich kluczowych urzdze w rónych lokalizacjach, co ograniczy wp yw uszkodzenia pojedynczych elementów. Na rysunku 1 przedstawiono moliwe warianty konfiguracji systemu GSM-R ze uwzgldnieniem moliwych redundancji sprztowych. Pierwszym krokiem jest podjcie decyzji w kwestii obiektów centralowych, co do których stosuje si mechanizmy redundancji geograficznej. Oznacza ona umiejscowienie elementu rezerwowego w lokalizacji innej ni podstawowy. Pozwala to na bezprzerwowe wiadczenie us ug na wypadek np. przerwy w dostawie energii elektrycznej, awarii systemu zasilania lub te przerw wynikajcych z czynnoci eksploatacyjno - utrzymaniowych takich jak np. wymiana oprogramowania.. Rys. 1. Przyk adowy algorytm wyboru architektury systemu GSM-R [10] Oznaczenia na rysunku: MSC (Mobile Switching Centre) - centrala komutacyjna, BSC (Base Station Controller) - sterownik stacji bazowych, BTS (Base Tranceiver Station) - stacja bazowa.. Centrala MSC i rejestr HLR s podstawowymi urzdzeniami podsystemu NSS i zaleca si by by y one zwymiarowane przy wdraaniu jako N+1. Zapewnienie redundancji centrali MSC jest szczególnie wane ze wzgldu na dwie funkcje: grupowe po czenia g osowe VGCS (Voice Group Call Service) ze szczególnym uwzgldnieniem kolejowych po cze alarmowych REC oraz po cze punkt-punkt niezbdnych dla funkcjonowania systemu ETCS. Zdublowane urzdzenie moe by zainstalowane w stanie wyczekiwania, fizycznie roz czone z sieci lub moe by w stanie aktywnym i przetwarza dane. W przypadku zdublowania centrali MSC rozpatruje si dwa rozwizania[10]:.

(8) 206. Miros aw Siergiejczyk, Stanis aw Gago. x. Load sharing (z podziaem zasobów): kada centrala MSC jest pod czona do sieci i jest aktywna. Sterowniki BSC funkcjonujce w sieci s przypisane do poszczególnych central MSC. Poniewa jeden, ten sam sterownik BSC moe by. pod czony tylko do jednej centrali MSC, w przypadku awarii, wszystkie pod czone do niej sterowniki BSC strac zdolno obs ugi, do momentu a ruch zostanie przekierowany do elementu rezerwowego. Rozwizanie to wymaga rekonfiguracji rezerwowej centrali MSC i sterowników BSC, prze czenia czy transmisyjnych oraz uaktualnienia informacji w rejestrze VLR. Sterowniki BSC pod czone do uszkodzonej centrali MSC sygnalizuj utrat us ugi. x Standby (tryb rezerwy): dodatkowa centrala MSC nie jest fizycznie po czona z sieci i pracuje w trybie rezerwy. W przypadku uszkodzenia centrali MSC, brak us ugi wykazuj wszystkie sterowniki BSC obs ugiwane przez t central. Rozwizanie to wymaga skonfigurowania rezerwowej centrali MSC, w celu zastpienia funkcji uszkodzonej centrali MSC (w przypadku, gdy sie ma jedn aktywn MSC, mona przyj , e konfiguracja MSC bdcej w stanie oczekiwania jest ju przygotowana), prze czenia czy transmisyjnych oraz uaktualnienia informacji w rejestrze VLR. Sterowniki BSC pod czone do uszkodzonej centrali MSC sygnalizuj utrat us ugi. Liczba sterowników BSC pozostajcych bez obs ugi jest wiksza ni w opcji load sharing, a ich konfiguracja nie jest wymagana, poniewa rezerwowa centrala MSC zastpuje w pe ni t uszkodzon. Czsto stosowanym rozwizaniem jest cig a synchronizacja rejestrów VLR (Visitor Location Register), GCR oraz HLR, która umoliwia skrócenie czasu prze czenia na elementy rezerwowe. W przypadku zastosowania architektury R4, oprócz rejestrów, dublowane mog by oba elementy sk adowe centrali MSC (Serwer MSC, Brama Medialna MGW) lub tylko jeden. Jeden Serwer MSC moe obs ugiwa kilka Bram Medialnych MGW, zwizku z tym wanym aspektem jest zapewnienie rónych dróg transmisyjnych. W przypadku zastosowania jednego Serwera MSC i kliku Bram Medialnych MGW i przy zapewnieniu co najmniej jednej alternatywnej drogi transmisyjnej, awaria którejkolwiek z bram nie spowoduje przerwy w wiadczeniu us ug. Niektóre funkcjonalnoci kluczowe dla sprawnego prowadzenia ruchu wymagaj zastosowania pewnych elementów (np. wz ów sieci inteligentnej IN) i powinny by. realizowane nawet w przypadku powanej awarii. Dublowanie elementów podsystemu NSS powinno by rozpatrzone przy uwzgldnieniu kluczowych us ug i funkcjonalnoci. Aby zabezpieczy realizowanie takich funkcji jak LDA (Location Dependent Addressing), czy REC (Railway Emergency Call), obligatoryjnych z punktu widzenia interoperacyjnoci kolei europejskich, elementy odpowiadajce za ich realizacj powinny by dublowane [5]. W oparciu o priorytetowy poziom us ug, które po odtworzeniu musz by zachowane, mona zidentyfikowa krytyczne urzdzenia systemu GSM-R i zapewni ich redundancj. Nale do nich indywidualne karty i cza telekomunikacyjne. Praktycznie zaleca si, aby redundantne by y wszystkie stacjonarne cza telekomunikacyjne, uk ady nadawczoodbiorcze TRX w stacjach bazowych BTS, karty w sterowniku BSC oraz karty w transkoderze TRAU. Naturaln metod pozwalajc na zwikszenie niezawodnoci, bezpieczestwa i dostpnoci sieci jest redundancja. Odnosi si ona zarówno do informacji przechowywanych w rejestrach jak i do elementów sprztowych, które mog by. dublowane w róny sposób..

(9) Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R. 207. Uycie dwóch central MSC oraz jednego sterownika BSC, nie powinno by. rozwizaniem zalecanym dla cznoci kolejowej, gdy: x w przypadku awarii centrali MSC, przywrócenie funkcjonalnoci sieci wymaga rcznego prze czenia sterownika do centrali rezerwowej, x w przypadku awarii sterownika BSC nastpuje awaria ca ego systemu GSM-R. Redundancja podsystemu BSS w przypadku systemu GSM-R powinna by. zrealizowana z podwójnym pokryciem radiowym realizowanym przez stacje bazowe BTS (kolokowane lub naprzemienne) na liniach kolejowych wyposaonych w system ETCS i wielu sterowników BSC pod czonych do jednej lub drugiej centrali MSC. Ilo. sterowników BSC powinna by tak zaplanowana, by kada linia kolejowa wyposaona w system ETCS by a pod czona, co najmniej do dwóch sterowników BSC pod czonych do dwóch rónych central MSC. Na liniach kolejowych bez systemu ETCS pokrycie radiowe moe by pojedyncze, a stacje bazowe BTS naprzemienne pod czone do dwóch rónych sterowników BSC, w miar moliwoci pod czonych do dwóch rónych central MSC [14], [16]. System GSM-R moe by zaimplementowany w rozmaitych topologiach (rys. 2, 3 i 4). Naley wzi pod uwag, e uzyskana stopa procentowa poprawnie zrealizowanych us ug typu handover musi wynosi przynajmniej 99,5% przy standardowych warunkach dzia ania (warunki atmosferyczne, obcienie sieci, etc.). MSC. TRAU. BSC. Rys. 2. Komórki nak adajce si z pokryciem radiowym realizowanym naprzemiennie acuchy ród o: opracowanie w asne na podstawie [2]. Rys. 3. Komórki nak adajce si z pokryciem radiowym realizowanym przez naprzemienne acuchy i redundancj sprztow sterowników BSC ród o: opracowanie w asne na podstawie [2].

(10) 208. Miros aw Siergiejczyk, Stanis aw Gago. Rys. 4. Komórki nak adajce si z pokryciem radiowym realizowanym przez naprzemienne acuchy i pe n redundancj sprztow ród o: opracowanie w asne na podstawie [2] Oznaczenia na rysunkach 2,3 i 4: MSC (Mobile Switching Centre) - centrala komutacyjna BSC (Base Station Controller) - sterownik stacji bazowych TRAU (TRanscoder and rate Adaptation Unit) - transkoder. Redundancja jest równie wana w systemach teletransmisyjnych. Zastosowanie struktur samonaprawialnych SDH, zapewnienie dwóch dróg optycznych jako rezerwowego systemu transmisyjnego s przyk adami nadmiarowoci sieci telekomunikacyjnej, zwikszajcymi niezawodno i bezpieczestwo pracy. Struktury samonaprawialne SDH wymagaj ptli wiat owodowych. W aciciel infrastruktury kolejowej w Polsce – Spó ka PKP PLK - w ramach modernizacji linii kolejowych uk ada trakty wiat owodowe po obu stronach modernizowanych linii. Kable wiat owodowe tj. kabel podstawowy i w kabel domykajcy uk adane s w osobnych rurach kanalizacji kablowej po obu stronach toru kolejowego. Stwarza to moliwo. realizacji ptli wiat owodowych i tym samym samonaprawialnych ptli teletransmisyjnych SDH. I tak dla linii kolejowej E 65 Warszawa – Gdynia zaprojektowana jest ptla wiat owodowa tzn. zaprojektowano po czenie odpowiednich w ókien wiat owodowych znajdujcych si w kablach lecych po obu stronach toru kolejowego. Po czenia w ókien wiat owodowych dokonane bd w Warszawie i Gdyni. W celu zwikszenia niezawodnoci ptli wiat owodowych nalea oby przewidzie. moliwo prze czania (krosowania) w ókien wiat owodowych jednego kabla z rezerwowymi w óknami drugiego kabla w punktach porednich np. w siedzibie LCS, co zasadniczo zwikszy oby niezawodno (dostpno ) ptli wiat owodowej a tym samym niezawodno systemów teletransmisyjnych (system by by odporny nie tylko na jedn usterk w ptli kabli wiat owodowych). Zarzdca infrastruktury kolejowej dysponujcy okrelon kwot pienidzy, musi okreli jaka struktura systemu jest dla niego najkorzystniejsza, nie tylko z punktu widzenia obcie finansowych ale i przysz ej eksploatacji systemu. Zalecane jest aby na.

(11) Problemy zapewnienia bezpieczestwa informacyjnego w sieci GSM-R. 209. liniach na których system GSM-R ma wspó pracowa z systemem ETCS poziom 2/3, stosowane by y mechanizmy niezawodnociowe. Architektura systemu GSM-R jak i systemy teletransmisyjne SDH, pozwalaj projektantom systemu dostosowa uyte rozwizania do wymaga stawianych przez system ETCS.. 4. ZAKO CZENIE System GSM-R jest sk adnikiem systemu ERTMS, który stanowi o bezpiecznym prowadzeniu ruchu pocigów. W zwizku z tym system GSM-R musi by pewnie dzia ajcym systemem w zakresie przesy ania informacji (g os i dane), która powinna by. wiksza ni w publicznym systemie GSM, i pewnoci dzia ania co jest zapewnione przez dodatkowe rodki (redundancja sprztu, odpowiednie pokrycie pola elektromagnetycznego). Ponadto system GSM-R powinien by odporny na nieuprawniony dostp i poufno przesy anych informacji. System powinien realizowa po czenia, prze czenia i przesy anie danych w za oonych reymach czasowych. Aeby spe ni. powysze wymagania wanym jest nie tylko radiowa cz systemu GSM-R ale równie wana jest cz cznoci przewodowej, bez której ca y system GSM-R ale te i system ERTMS nie móg by poprawnie pracowa . Dlatego koniecznym jest stosowanie teletransmisyjnych struktur samonaprawialnych, zapewnienie rezerwowych dróg transmisyjnych, synchronizacji, zintegrowanego systemu zarzdzania, kontroli dostpu, itd. Tylko kompleksowe dzia ania mog zapewni bezpieczestwo systemu GSM-R a tym samym zwikszy bezpieczestwo systemu ERTMS.. Literatura 1.. Bia o A. Masterplan wdraania ERTMS w perspektywie krajowej i wspólnotowej. Transport i Komunikacja 2010, nr 2.. 2.. Ding Xun, Chen Xin, Jiang Wenyi: The Analysis of GSM-R Redundant Network and Reliability Models on High-speed Railway. 2010 International Conference on Electronics and Information Engineering (ICEIE 2010). Kyoto, Japan 2010. International Union of Railways, Project EIRENE – Functional Requirements Specification, 2006. International Union of Railways, Project EIRENE – System Requirements Specification, 2006. Markowski R., Pierwsze wdroenia GSM-R w Polsce. Materia y PLK S.A.,Warszawa, 2010. Lehrbaum M., GSM-R Disaster Recovery, GSM-R Business Operations, Warsaw October 2009. Pawlik M. Polski Narodowy Plan Wdraania Europejskiego Systemu Zarzdzania Ruchem Kolejowym ERTMS. Technika Transportu Szynowego 1/2007. Przelaskowski K.: Eksploatacja systemu GSM-R w kolejnictwie europejskim. Przegld Telekomunikacyjny Nr 2-3, 2003. Pushparatnam L., Taylor T.: GSM-R Implementation and Procurement Guide V 1.0 15.03.2009. Sauthier E., Poutas L.: Radio bearer capacity and planning for ETCS Solutions for BSS redundancy, 10th December 2003. Siergiejczyk M., Gago S.: Zagadnienia bezpieczestwa systemu GSM-R w aspekcie wspomagania transportu kolejowego. Logistyka Nr. 6/2012. Wyd. ILiM, Pozna 2012. Simon A., Walczyk M.: Sieci komórkowe GSM/GPRS. Us ugi i bezpieczestwo. Wydawnictwo: Xylab, Kraków 2002.. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12..

(12) 210. Miros aw Siergiejczyk, Stanis aw Gago. 13. Urbanek A.: Komunikacja kolejowa GSM-R. Networld nr 1. IDG, Warszawa 2005. 14. Uzupe nienie Studium Wykonalnoci w zakresie systemu cyfrowej cznoci radiowej GSM-R, cznoci technologicznej i systemów teleinformatycznych zwizanych z prowadzeniem ruchu na projektowanej linii kolejowej Pomorskiej Kolei Metropolitarnej. Opracowanie WT PW pod kierownictwem M. Siergiejczyka, Warszawa, 2011. 15. Winter P.: International Union of Railways, compendium on ERTMS, Eurail Press, Hamburg, 2009. 16. Yuan Cao: Reliability Analysis of CTCS Based on Two GSM-R Double Layers Networks Structures Communications and Mobile Computing, 2009. CMC '09. WRI International Conference on 6-8 Jan. 2009.. INFORMATION SECURITY PROBLEMS IN THE GSM-R NETWORK Summary: The paper presents the selected items affecting the security of information in the digital mobile phone network GSM-R. Particular attention was paid to some problems related to ensuring security of information transmission in services provided by GSM-R network. There are analyzed the most important issues affecting the security of the radio interface as well as elements directly related to it. In the frame of the security of the communications are examined the selected methods and mechanisms to ensure the required level of radio coverage, availability and continuity of services in the GSM-R network. Keywords: system GSM-R, rail, transmission, security.

(13)