Síť PEGAS III. – provoz

Každý nový terminál sítě PEGAS, než se dostane koncovému uživateli do ruky, musí na začátku projít celkem složitou procedurou programování. Je to z důvodu správné funkce požadovaných služeb sítě, ale také dodržení zásad bezpečné komunikace. Každý terminál, který má být v síti PEGAS provozován, musí projít tzv. personalizací. Tj. musí do něj být nahráno několik základních a pro provoz v síti nezbytných, nastavení. To se provádí na speciálním počítačovém pracovišti označeným TPS (Terminal Programming Station) vybaveným stejnojmenným programem.

Personalizace terminálu

Krok 1.

Do stanice TPS se nahraje základní projekt to znamená nastavení sítě PEGAS tj. globální seznam dostupných kanálů pro příslušnou flotilu, možnosti a funkce, které bude možné případně aktivovat později u konkrétního uživatele.

Krok 2.

Do stanice se nahrávají první základní personalizační informace. Mimo základních informací o nastavení sítě je zapsáno vlastní unikátní číslo radiostanice v síti s označením RFSI („Region Flotila Skupina Individuální číslo“) s obdobným významem jako tel. číslo na SIM kartě mobilního telefonu.

Unikátní číslo v síti je složenina několika následujících identifikátorů ve tvaru: RRR F GG NNN

  • R – je 3 ciferné číslo regionální sítě, ke které stanice přísluší (viz tabulka v kapitole 2.).
  • F – je číslo tzv. flotily neboli služby, ke které stanice náleží (viz tabulka níže).
  • G – je dvouciferné číslo označující skupinu. V případě terminálu HZS se jedná o označení kraje dle standardů selektivních voleb v analogových radiových sítích. V případě PČR se označují policejní oddělení.
  • N – je samotné unikátní číslo stanice v rámci kraje nebo oddělení.

Rozdělení skupin uživatelů (tzv. flotily) v síti PEGAS druhé generace:

  • 1 – PČR s působností po celé ČR (LS, OÚČ, NCPOZ, URNA …)
  • 2 – PČR okresní
  • 3 – Celní správa
  • 4 – Městské policie, nestátní subjekty
  • 5 – Hasičský záchranný sbor profesionální
  • 6 – Hasičský záchranný sbor dobrovolný
  • 7 – Zdravotnická záchranná služba
  • 8 – Armáda ČR, Vojenská policie
  • 9 – Bezpečnostní informační služba
  • 0 – MV, školy a servis sítě

Síť umožňuje přímé multi-flotilové, multi-regionální volání bez ohledu na to, ke kterým RBS jsou volající stanice připojeny. Pro přímé volání mezi účastníky stačí, aby volající znal číslo RFSI protistanice nebo jej měl uloženo v paměti terminálu. Číslo RFSI nahrazuje svou podstatou telefonní číslo účastníka, je tedy ve své funkci pevně svázáno se základnovou, mobilní či ruční stanicí konkrétní osoby. Pokud tedy dojde k výměně radiostanice ať již z důvodu neopravitelného poškození či výměny za nový z nové generace, číslo RFSI zůstává. Znamená to tedy, že je původní terminál s původním číslem oficiálně zlikvidován a nahrazen novým, ale se stejným číslem RFSI. Dvě stanice se stejným RFSI už z principu nemohou v síti existovat, jelikož by došlo při autorizaci do sítě ke kolizi přihlašovacích údajů (viz Autorizace v praxi).

Krok 3.

Dalším důležitým krokem je zápis šifrovacích klíčů do terminálu. O tuto část programování se stará stanoviště KMC (Key Management Center). Jedná se o počítač, který má k dispozici potřebné šifrovací klíče. Do každého terminálu se nahrávají 3 základní šifrovací klíče.

První základní klíč s označením PK (Personalisation Key) slouží k dešifrování identifikace sítě a radiostanic. PK je scramblovací klíč, kterým jsou zašifrována identifikační data sítě (identifikace RBS) a provozní data. Tento klíč je stejný pro všechny řídící kanály RBS v síti. Pokud by došlo k zásadní změně v infrastruktuře, jak tomu došlo například při přechodu z první na druhou generaci sítě PEGAS, je tento klíč změněn. Každá síť Tetrapol používá jiný klíč PK, není tedy možné naprogramovat stanici, která by například příslušela k české síti PEGAS a současně slovenské síti SITNO. Do stanice jsou nahrávány dva klíče PK, jeden slouží pro zašifrování dat sítě a druhý pro zašifrování identifikace stanice v simplexním provozu. Opět zde platí, že stanice z různých sítí, používající stejný kmitočet pro direktní mód, ale jiný PK si nedokáží vzájemně rozluštit provozní data (vysílané RFSI, hovorové identifikanty apod.).

Druhý klíč se označuje jako DMK (Direct Mode Key). Jedná se o hovorový šifrovací klíč pro komunikaci mimo síť v DIR nebo IDR provozu. Všechny terminály mají DMK klíč v rámci sítě stejný. Jelikož je nutné, aby se na IZS direktním kanálu nebo převaděči IDR všechny stanice vzájemně domluvily, musí všichni používat stejný šifrovací klíč. Zajímavostí je, že radiostanice nepozná, zda je v hovoru použito šifrování nebo ne a hovorová data “hloupě” přešifruje nebo nepřešifruje podle toho, zda je tato funkce aktivní nebo ne, ačkoliv vysílající radiostanice posílá provozní informace o tom jaký klíč se používá popřípadě zda vůbec. Terminály (pokud tuto funkci má uživatel povolenu) umožňují změnu hovorového direktního klíče na libovolný, uživatelem definovatelný. K dispozici je ovšem oslabená šifrovací varianta, která umožňuje použít pouze 9 dekadických cifer (počet možných kódů je tedy jen 999 999 999) oproti originálnímu klíči DMK (který umožňuje výběr z 281 biliónů kódů). Pro zamezení odposlechu v rámci vlastní služby v direktním provozu, je ovšem volba 9 cifer vlastního šifrovacího klíče naprosto dostačující.

Třetí a nejdůležitější šifrovací klíč se označuje jako TMK (Teminal Master Key). Jedná se o klíč, kterým se terminál autorizuje do sítě, bez něj se terminál nemůže korektně identifikovat. Tento klíč má časově omezenou platnost tzv. kryptoperiodu. U stanic PČR je platnost klíče 2 roky, u HZS jsou to 4 roky. V praxi to tedy znamená, že minimálně jednou za dva roky musí terminál do servisu, kde se do něj nahraje nový TMK z množiny klíčů určených pro danou flotilu. Klíč TMK se mění i v případě, kdy se terminál dostane na stůl pro jinou technickou závadu (nepočítám-li výměnu vadného přepínače kanálů či slabé baterie). Končící kryptoperioda klíče je identifikována na terminálu jako chybové hlášení a pak je jen na uživateli, aby nechal terminál přeprogramovat. Pokud by tak uživatel neučinil, po skončení platnosti klíče, by mu byly omezeny služby sítě a terminál by nebylo možné používat. Každá služba (flotila) používající terminály sítě PEGAS, má vlastní množinu vygenerovaných klíčů a každému terminálu je přidělen vlastní jedinečný šifrovací klíč.

Krok 4.

Po kompletním zápisu všech klíčů do stanice, je vygenerován konfigurační soubor daného terminálu. Tento soubor je přenesen na stanici taktického dohledu TWP (Tactical Working Position). Stanice TPS i TWP mohou být fyzicky na jednom počítači. Na této stanici se dle typu uživatele přiřadí terminálu standardní dostupné služby v rámci sítě (seznam skupin v síti, dostupné DIR a IDR kanály) a nadstandardní (např. možnost připojení k telefonní síti, možnost přenosu uživatelských dat skrz terminál do sítě, možnost posílání stavových či textových zpráv, možnost otevírání hovorových skupin v síti apod.).

Krok 5.

Definiční soubor vlastností terminálu jsou opět přeneseny na stanici TPS a zapsány do terminálu. Navíc k těmto informacím se ještě přiřazuje tzv. registrační třída. To je nastavení úrovně priority při přihlašování terminálu do sítě (viz Autorizace terminálů v praxi). Současně je vytvořen protokol o konfiguraci radiostanice, který slouží pro registraci stanice do sítě. Tímto krokem je terminál personalizován. Zbývá ještě aktivovat přístup terminálu k síti.

Krok 6.

Stanice TWP, která je připojena na páteřní síť (OMN – Operational and Management Network) aktualizuje databázi uživatelů v příslušném MSW, kam stanice náleží. Terminál se od tohoto momentu může autorizovat v síti.

Praktický provoz

Po zapnutí, začne terminál vyhledávat síť. Pokud „zaslechne“ datový kanál nejbližší RBS (Radio Base Station), automaticky se začne přihlašovat. Jako první kritérium pro vyhledávání buňěk je použití poslední buňky. Terminál tedy nejprve zkouší najít poslední používanou RBS. Pokud není poslední buňka v dosahu, začne hledání nejsilnějšího řídícího kanálu CCH (Control CHannel) v celém pásmu. Na každém řídícím kanálu každé buňky neustále rotuje několik základních provozních informací důležitých pro terminály. Jednak je to informace o síti a buňce (číslo sítě, číslo buňky), ale také informace o okolních buňkách, na kterých kmitočtech jsou jejich řídící kanály.

Terminál se na vstupním kmitočtu nalezeného CCH ohlásí. Sít přiřazuje terminálu dočasný zkrácený identifikant TTI (Temporary Terminal Identification), tedy jednoduché číslo, kterým MSW “volá” koncový terminál a určuje tím, že jsou informace určeny pro něj. MSW si vyžádá autorizační údaje od terminálu. Radiostanice posílá za účelem autorizace vlastní číslo RFSI a sériové číslo hardwaru (význam podobný jako IMEI u mobilních telefonů). Třetí část autorizace je pomocí klíče TMK. MSW vygeneruje řetězec, který terminál zašifruje pomocí TMK a odešle zpět. Zpětným dešifrováním řetězce na straně sítě je ověřena platnost klíče TMK.

Pokud se jedná o stanici příslušející do stejného regionu, oprávnění vyřizuje místní regionální MSW, ale pokud o přístup do sítě žádá terminál z jiného regionu, MSW posílá dotaz po páteřní síti na příslušný MSW, kam terminál patří. Vzdálený MSW zpětně odešle potvrzení, že byl terminál identifikován, a že má přístup k síti. O zbytek se postará již místní MSW a identifikaci terminálu si dočasně ukládá do vlastní paměti.

Síť PEGAS má vlastní ochranu proti přetížení sítě. Jedná se použití registračních tříd. Každý terminál má nastavenou při programování vlastní třídu (chcete-li „prioritu“) pro přihlašování do sítě. V případě, že velkého zatížení sítě, může MSW nastavit vyšší registrační třídu (to je také jedna z informací, která je vysílána periodicky na CCH) terminál s nižší registrační autoritou se nemůže plně autorizovat a musí počkat, až se priorita sníží.

Pokud je tedy terminál korektně identifikován, dostává ze sítě příkaz, že může aktivovat uživateli povolené funkce. Současně je do paměti terminálu nahráno několik časově omezených šifrovacích klíčů. Základním z nich je aktuální šifrovací klíč TKK (Terminal Key of Key), neboli klíč, který slouží k dešifrování dalších distribuovaných klíčů.

Poté následuje zápis hovorových šifrovacích klíčů:

  • NNK ( National Network Key) skupinový hovorový klíč používaný všemi flotilami v síti
  • RNK (Regional Network Key) skupinový hovorový klíč používaný službami, které nemají působnost mimo region (např. MP)
  • FRNK (Fleet Regional Network Key) skupinový hovorový klíč flotily v rámci regionu
  • FAK (Fleet Authorisation Key) autorizační klíč terminálu pro sestavení direktního hovoru

Klíče NNK, RNK a FRNK mají časově omezenou platnost (v řádech hodin). Do radiostanice se nahrává několik klíčů a jejich číselná identifikace (KEY INDEX). Pokud tedy probíhá hovor na síti určený pro daný terminál, na řídícím kanálu rotují informace nejen o aktivní skupině a kmitočtu (přesněji číslo hovorového kanálu), ale také s jakým typem šifrovacího klíče (NNK,RNK,FRNK) a jeho identifikace.

Síť jednou za pár hodin provádí obměnu klíčů tak, že si zavolá hromadně všechny radiostanice (pomocí jejich TTI) přihlášené na příslušnou buňku a všem nahraje do paměti novou sadu klíčů, popřípadě jen jednotlivé klíče. To samé se provádí, pokud je terminál nově registrován na buňku mimo region, nebo nebyl delší dobu přihlášen do sítě a nemá v paměti nahrány aktuální sady šifrovacích klíčů. Síť provádí také jednou za hodinu dotaz na všechny přítomné stanice i když nejsou aktivní v nějaké hovorové skupině, jsou jen takříkajíc “na poslechu”.

Po migraci sítě na systém hovorových skupin došlo ke změně linkování aktivních hovorů. Pokud není na buňce přihlášen nikdo v aktivní skupině, nebo jsou přihlášeny v jiných (neaktivních) skupinách, přes buňku nejsou linkovány aktivní hovory. Na řídícím kanálu ovšem rotuje informace o tom, že na okolních buňkách probíhá hovor. Je to z důvodu rychlejšího přeregistrování mobilních stanic. Když se přihlásí aktivní stanice, nebo dojde k přehlášení na aktivní skupinu, dojde okamžitě k aktivaci hovorového kanálu (TCH) a přesměrování hovorů na něj.

Aby bylo zamezeno náhodnému odposlechu hovorů, pokud by například stanice “omylem” zůstala na poslechu na TCH i když pro ni skončil hovor, popřípadě pokud by se stanice přeladila “omylem” na jiný kmitočet, jsou hovorová data navíc dodatečně šifrována scrambling kódem. Ten je jednak jiný na vstupním kmitočtu a jiný na výstupním kmitočtu a mění se s každou relací resp. s každým korektně ukončeným skupinovým hovorem. To znamená, že i když budou hovořit dvakrát po sobě stejné stanice, na stejné skupině i na stejné frekvenci, (došlo ovšem mezi relacemi ke krátkému výpadku skupinového hovoru) budou používat jiný scrambling kód. Tento kód určuje síť a informace o něm rotuje současně s informací o hovoru na řídícím kanálu. Běžný hovor je tedy šifrován několika způsoby – jednak časově omezeným hovorovým klíčem (NNK,RNK nebo FRNK) a současně ještě jednoúčelovým scrambling kódem, který se s každým hovorem mění. Scrambling kódem jsou šifrována i uživatelská data, pokud jsou přenášena přes TCH a scrambling kód (i když tentokrát neměnný) se používá i při simplexních hovorech v DIR módu. To je proto, aby bylo zamezen odposlech hovorů stanic z různých sítí, pokud  by pracovaly na stejných frekvencích s vypnutým šifrováním.

Nevýhodou systému Tetrapol obecně je neexistující handover, jak je tomu třeba v civilní síti Tetra, nebo u mobilních telefonů GSM. Pokud se mobilní stanice Tetra pohybuje v terénu a má v dosahu více buněk, automaticky sleduje okolní buňky a může mezi nimi přecházet, aniž by došlo ke ztrátě spojení k síti. Síť sama si může dynamicky terminály „přehazovat“ mezi RBS dle potřeb (síla signálu, obsazení buňky, priorita). To u sítě Tetrapol nefunguje. Terminál je tak dlouho přihlášen na buňce, dokud nedojde k úplné ztrátě přijímaného signálu, nebo pokud terminál vysílá a již se do sítě nedovolá. Teprve poté je vyhledávána další RBS a to ještě musí být signál hledané nové buňky o 15 dB silnější, než byl u buňky, kterou terminál opouští. Je tedy běžnou praxí, že je mobilní uživatel v autě přihlášen na 20 km vzdálenou buňku, ačkoliv projíždí přímo pod převaděčem a je to z toho důvodu, že je původní buňka umístěna vysoko a její signál je stále slyšet.