Každý nový terminál sítě PEGAS, než se dostane koncovému uživateli do ruky, musí na začátku projít procedurou programování. Je to z důvodu správné funkce požadovaných služeb sítě, ale také dodržení zásad bezpečné komunikace. Každý terminál, který má být v síti PEGAS provozován, musí projít tzv. personalizací. Tj. musí do něj být nahráno několik základních a pro provoz v síti nezbytných, nastavení. To se provádí na specializovaném pracovišti označeným TPS (Terminal Programming Station) vybaveným stejnojmenným programem.

Personalizace terminálu

Krok 1.

Stanoviště TPS má v softwaru základní projekt, to znamená nastavení sítě PEGAS to znamená globální seznam dostupných kanálů pro příslušnou flotilu, možnosti a funkce, které bude možné případně aktivovat později u konkrétního uživatele.

Programování terminálů po krocích
Krok 2.

Do stanice se nahrávají první základní personalizační informace. Mimo základních informací o nastavení sítě je zapsáno vlastní unikátní číslo radiostanice v síti s označením RFSI („Region Flotila Skupina Individuální číslo“) s obdobným významem jako tel. číslo mobilního telefonu.

Unikátní číslo v síti je složenina několika následujících identifikátorů ve tvaru: RRR F GG NNN

  • R – je 3 ciferné číslo regionální sítě, ke které stanice přísluší (viz tabulka v kapitole 2.).
  • F – je číslo tzv. flotily neboli služby, ke které stanice náleží (viz tabulka v kapitole 2.).
  • G – je dvouciferné číslo označující skupinu. V případě terminálu HZS se jedná o označení kraje dle standardů selektivních voleb v analogových radiových sítích. V případě PČR nebo ARMY se označují policejní oddělení nebo složky.
  • N – je samotné unikátní číslo stanice v rámci okresu, kraje nebo oddělení.

Síť umožňuje přímé multi-flotilové, multi-regionální volání bez ohledu na to, ke kterým RBS jsou volající stanice připojeny. Pro přímé volání mezi účastníky stačí, aby volající znal číslo RFSI protistanice nebo jej měl uloženo v paměti terminálu. Číslo RFSI nahrazuje svou podstatou telefonní číslo účastníka, je tedy ve své funkci pevně svázáno se základnovou, mobilní či ruční stanicí konkrétní osoby. Pokud tedy dojde k výměně radiostanice ať již z důvodu neopravitelného poškození či výměny za jiný, číslo RFSI zůstává. Znamená to tedy, že je původní terminál s původním číslem oficiálně zlikvidován a nahrazen novým, ale se stejným číslem RFSI. Dvě stanice se stejným RFSI už z principu nemohou v síti existovat, jelikož by došlo při autorizaci do sítě ke kolizi přihlašovacích údajů (viz Autorizace v praxi).

Krok 3.

Dalším důležitým krokem je zápis šifrovacích klíčů do terminálu. O tuto část programování se stará stanoviště KMC (Key Management Center) pomocí zařízení KLU (Key Loader Unit). Jedná se o počítač, který má k dispozici potřebné šifrovací klíče. Do každého terminálu se nahrávají 3 základní šifrovací klíče.

První základní klíč s označením PK (Personalisation Key) slouží k dešifrování identifikace sítě a radiostanic. PK je scramblovací klíč, kterým jsou zašifrována identifikační data sítě (identifikace RBS) a provozní data. Tento klíč je stejný pro všechny řídící kanály RBS v síti. Pokud by došlo k zásadní změně v infrastruktuře, jak tomu došlo například při přechodu z první na druhou generaci sítě PEGAS, je tento klíč změněn. Každá síť Tetrapol používá jiný klíč PK, není tedy možné naprogramovat stanici, která by například příslušela k české síti PEGAS a současně slovenské síti SITNO. Do stanice jsou nahrávány dva klíče PK, jeden slouží pro maskování dat sítě a druhý pro maskování identifikace stanice v simplexním provozu. Opět zde platí, že stanice z různých sítí, používající stejný kmitočet pro direktní mód, ale jiný PK si nedokáží vzájemně rozluštit provozní data (vysílané RFSI, hovorové identifikanty apod.).

Druhý klíč se označuje jako DMK (Direct Mode Key). Jedná se o hovorový šifrovací klíč pro komunikaci mimo síť, tedy v DIR nebo IDR provozu. Všechny terminály mají DMK klíč stejný, jelikož je nutné, aby se na IZS direktním kanálu nebo převaděči IDR všechny stanice vzájemně domluvily, ale současně, aby byly hovory zašifrované. Pokud by všechny stanice komunikující na DIR (IDR) vypnuly šifrování, byla by komunikace mezi účastníky možná, ale s příslušným hardwarovým nebo softwarovým vybavením odposlouchávatelná. Pokud je aktivováno použití klíče DMK, autorizované stanice napříč flotilami mohou komunikovat, ale pro potenciální posluchače bez autorizace je hovor zašifrovaný.

Zajímavostí je, že radiostanice jako taková nepozná, zda je v hovoru použito šifrování nebo ne a hovorová data „hloupě“ přešifruje nebo nepřešifruje podle toho, zda je tato funkce aktivní nebo ne. Ačkoliv vysílající radiostanice posílá provozní informace o tom jaký klíč (jeho pořadí) se používá popřípadě zda vůbec, terminály tyto informace ignorují a řídí se vlastním nastavením.

Terminály (pokud tuto funkci má uživatel povolenu) umožňují přešifrování direktního klíče. K dispozici je ovšem oslabená šifrovací varianta, která umožňuje použít pouze 9 dekadických cifer (počet možných kódů je tedy jen 999 999 999) oproti originálnímu klíči DMK (který umožňuje výběr z 281 biliónů kódů). Pro zamezení odposlechu v rámci vlastní služby v direktním provozu, je ovšem volba 9 cifer vlastního šifrovacího klíče naprosto dostačující. Na druhou stranu není tato funkce pro běžné uživatele příliš vhodná, jelikož by koncový uživatel mohl vlastní neznalostí omylem vyřadit terminál z direktní komunikace tím, že by změnil klíč a pak by terminál nebyl schopen vrátit do původního nastavení.

Třetí a nejdůležitější šifrovací klíč se označuje jako TMK (Teminal Master Key). Jedná se o klíč, kterým se terminál autorizuje do sítě, bez něj se terminál nemůže korektně identifikovat. Tento klíč má časově omezenou platnost tzv. kryptoperiodu. U stanic PČR je platnost klíče 2 roky, u HZS jsou to 4 roky. V praxi to znamená, že minimálně jednou za dva roky musí terminál do servisu, kde se do něj nahraje nový TMK z množiny klíčů určených pro danou flotilu. Klíč TMK se mění i v případě, kdy se terminál dostane na stůl pro jinou technickou závadu (nepočítám-li výměnu vadného přepínače kanálů či slabé baterie). Končící kryptoperioda klíče je identifikována na terminálu jako chybové hlášení a pak je jen na uživateli, aby nechal terminál přeprogramovat. Pokud by tak uživatel neučinil, po skončení platnosti klíče, by mu byly omezeny služby sítě a terminál by nebylo možné používat. Každá služba (flotila) používající terminály sítě PEGAS, má vlastní množinu vygenerovaných TMK klíčů a každému terminálu je přidělen vlastní jedinečný šifrovací klíč, který není použit u žádného jiného v síti.

Krok 4.

Po kompletním zápisu všech klíčů do stanice, je vygenerován konfigurační soubor daného terminálu. Tento soubor je přenesen na stanici taktického dohledu TWP (Tactical Working Position). Stanice TPS i TWP mohou být fyzicky na jednom počítači. Na této stanici se dle typu uživatele přiřadí terminálu standardní dostupné služby v rámci sítě (seznam skupin v síti, dostupné DIR a IDR kanály) a nadstandardní (např. možnost připojení k telefonní síti, možnost přenosu uživatelských dat skrz terminál do sítě, možnost posílání stavových či textových zpráv, možnost otevírání hovorových skupin v síti apod.).

Krok 5.

Definiční soubor vlastností terminálu jsou opět přeneseny na stanici TPS a zapsány do terminálu. Navíc k těmto informacím se ještě přiřazuje tzv. registrační třída. To je nastavení úrovně priority při přihlašování terminálu do sítě (viz Autorizace terminálů v praxi). Současně je vytvořen protokol o konfiguraci radiostanice, který slouží pro registraci stanice do sítě. Tímto krokem je terminál personalizován. Zbývá ještě aktivovat přístup terminálu k síti.

Krok 6.

Stanice TWP, která je připojena na páteřní síť (OMN – Operational and Management Network) aktualizuje databázi uživatelů v příslušném MSW v kraji (nebo oblasti), kam stanice náleží. Terminál se od tohoto momentu může autorizovat v síti.

Praktický provoz

Po zapnutí, začne terminál vyhledávat síť. Pokud „zaslechne“ datový kanál nejbližší RBS (Radio Base Station), automaticky se začne přihlašovat. Jako první kritérium pro vyhledávání je použití poslední buňky. Terminál tedy nejprve zkouší najít poslední používanou RBS. Pokud není poslední buňka v dosahu, začne hledání nejsilnějšího řídícího kanálu CCH (Control CHannel) v celém pásmu. Na každém řídícím kanálu každé buňky neustále rotuje několik základních provozních informací důležitých pro terminály. Jednak je to informace o síti a buňce (číslo sítě, číslo buňky), ale také informace o okolních buňkách, na kterých kmitočtech jsou jejich řídící kanály. Další důležitou informací je registrační třída.

Síť PEGAS má vlastní ochranu proti přetížení sítě. Jedná se použití registračních tříd. Každý terminál má nastavenou při programování vlastní třídu (chcete-li „prioritu“) pro přihlašování do sítě. V případě, že velkého zatížení sítě, může MSW nastavit vyšší registrační třídu a terminál s nižší registrační autoritou se nemůže plně autorizovat a musí počkat, až se priorita sníží.

Pokud tedy není ve stavu vysokého zatížení, terminál se na vstupním kmitočtu nalezeného řídícího kanálu ohlásí. Sít přiřazuje terminálu dočasný zkrácený identifikant TTI (Temporary Terminal Identification), tedy jednoduché číslo, kterým MSW „volá“ koncový terminál a určuje tím, že jsou informace určeny pro něj.

MSW si vyžádá autorizační údaje od terminálu. Radiostanice posílá za účelem autorizace vlastní číslo RFSI a sériové číslo hardwaru (význam podobný jako IMEI u mobilních telefonů). Třetí část autorizace je pomocí klíče TMK. MSW vygeneruje řetězec (session), který terminál zašifruje pomocí TMK a odešle zpět. Zpětným dešifrováním řetězce na straně MSW je ověřena platnost klíče TMK.

Pokud se jedná o stanici příslušející do stejného regionu, oprávnění vyřizuje místní regionální MSW, pokud ale o přístup do sítě žádá terminál z jiného regionu, MSW posílá dotaz po páteřní síti na příslušný MSW, kam terminál patří. Vzdálený MSW zpětně odešle potvrzení, že byl terminál identifikován, a že má přístup k síti. O zbytek se postará již místní MSW a identifikaci terminálu si dočasně ukládá do vlastní paměti.

Pokud je terminál korektně identifikován, dostává ze sítě příkaz, že může aktivovat uživateli povolené funkce. Současně je do paměti terminálu nahráno několik časově omezených šifrovacích klíčů. Základním z nich je aktuální šifrovací klíč TKK (Terminal Key of Key), neboli klíč, který slouží k dešifrování dalších distribuovaných klíčů.

Poté následuje zápis hovorových šifrovacích klíčů:

  • NNK ( National Network Key) skupinový hovorový klíč používaný všemi flotilami v síti
  • RNK (Regional Network Key) skupinový hovorový klíč používaný službami, které nemají působnost mimo region (např. Městská policie)
  • FRNK (Fleet Regional Network Key) skupinový hovorový klíč flotily v rámci regionu
  • FAK (Fleet Authorisation Key) autorizační klíč terminálu pro autorizaci direktního hovoru

Klíče NNK, RNK a FRNK mají časově omezenou platnost (v řádech hodin). Do radiostanice se nahrává několik klíčů a jejich číselná identifikace (KEY INDEX). Pokud tedy probíhá hovor na síti určený pro daný terminál, na řídícím kanálu rotují informace nejen o aktivní skupině a číslu hovorového kanálu, ale také s jakým typem šifrovacího klíče (NNK,RNK,FRNK) a jeho identifikace.

Síť jednou za pár hodin provádí obměnu klíčů tak, že si zavolá hromadně všechny radiostanice (pomocí jejich TTI) přihlášené na příslušnou buňku a všem nahraje do paměti novou sadu klíčů, popřípadě jen jednotlivé klíče. To samé se provádí, pokud je terminál nově registrován na buňku mimo region, nebo nebyl delší dobu přihlášen do sítě a nemá v paměti nahrány aktuální sady šifrovacích klíčů. Síť provádí také jednou za hodinu dotaz na přítomnost stanic i když nejsou aktivní v nějaké hovorové skupině, jsou jen takříkajíc „na poslechu“.

Po migraci sítě na systém hovorových skupin došlo ke změně linkování aktivních hovorů. Pokud není na buňce přihlášen nikdo v aktivní skupině, nebo jsou přihlášeny v jiných (neaktivních) skupinách, buňka nevysílá aktivní hovory. Na řídícím kanálu ovšem rotuje informace o tom, že na okolních buňkách probíhá hovor. Je to z důvodu rychlejšího přeregistrování mobilních stanic. Když se přihlásí aktivní stanice, nebo dojde k přehlášení na aktivní skupinu, dojde okamžitě k aktivaci hovorového kanálu (TCH) a přesměrování terminálu(ů) na něj. Toto anoncování aktivních hovorů se může týkat nejen terminálů lokální sítě (lokální skupiny), hovory některých uživatelů, kteří mají působnost po celé ČR, mohou anoncovány napříč celou sítí.

Aby bylo zamezeno náhodnému odposlechu hovorů, pokud by například stanice „omylem“ zůstala na poslechu na TCH i když pro ni skončil hovor, popřípadě pokud by se stanice přeladila „omylem“ na jiný kmitočet, jsou hovorová data navíc dodatečně maskována scrambling kódem. Ten je odlišný jak na vstupním kmitočtu a tak na výstupním kmitočtu a mění se s každou relací resp. s každým korektně ukončeným skupinovým hovorem. To znamená, že i když budou hovořit dvakrát po sobě stejné stanice, na stejné skupině i na stejné frekvenci, (došlo ovšem mezi relacemi ke krátkému výpadku skupinového hovoru) budou používat již jiný scrambling kód. Tento kód určuje síť a informace o něm rotuje současně s informací o hovoru na řídícím kanálu. Běžný hovor je tedy šifrován několika způsoby – jednak časově omezeným hovorovým klíčem (NNK,RNK nebo FRNK) a současně ještě jednoúčelovým scrambling kódem, který se s každým hovorem mění. Scrambling kódem jsou maskována i uživatelská data, pokud jsou přenášena přes TCH.

Nevýhodou systému Tetrapol obecně je neexistující handover, jak je tomu třeba v civilní síti Tetra, nebo u mobilních telefonů GSM. Pokud se mobilní stanice Tetra pohybuje v terénu a má v dosahu více buněk, automaticky sleduje okolní buňky a může mezi nimi přecházet, aniž by došlo ke ztrátě spojení k síti. Síť sama si může dynamicky terminály „přehazovat“ mezi RBS dle potřeb (síla signálu, obsazení buňky, priorita). To u sítě Tetrapol nefunguje. Terminál je tak dlouho přihlášen na buňce, dokud nedojde k úplné ztrátě přijímaného signálu, nebo pokud terminál vysílá a již se do sítě nedovolá. Teprve poté je vyhledávána další RBS a to ještě musí být signál hledané nové buňky o 15 dB silnější, než byl u buňky, kterou terminál opouští. Je tedy běžnou praxí, že je mobilní uživatel v autě přihlášen na 20 km vzdálenou buňku, ačkoliv projíždí přímo pod převaděčem a může to být z toho důvodu, že je původní buňka umístěna vysoko a její signál je stále slyšet.

DATUM: