lecture 4 移動(dòng)通信網(wǎng)絡(luò)

1、,無(wú)線網(wǎng)絡(luò)技術(shù)、應(yīng)用及安全Lecture 4 移動(dòng)通信網(wǎng)絡(luò),鄭相涵,福州大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院,2024年3月21日,GSM Overview,蜂窩系統(tǒng)的概念和理論二十世紀(jì)六十年代就由美國(guó)貝爾實(shí)驗(yàn)室等單位提了出來(lái)。直到1979年美國(guó)在芝加哥開(kāi)通了第一個(gè)AMPS(先進(jìn)的移動(dòng)電話業(yè)務(wù))模擬蜂窩系統(tǒng)。GSM數(shù)字移動(dòng)通信系統(tǒng)起源于歐洲。1991年在歐洲開(kāi)通了第一個(gè)系統(tǒng)，同時(shí)MoU組織為該系統(tǒng)設(shè)計(jì)和注冊(cè)了市場(chǎng)商標(biāo)，將GSM更名為“

2、全球移動(dòng)通信系統(tǒng)”（Globa1 system for Mobile communications）。從此移動(dòng)通信跨入了第二代數(shù)字移動(dòng)通信系統(tǒng) 。1994年完成對(duì)GSM系統(tǒng)技術(shù)的規(guī)范,The Global Standard（全球標(biāo)準(zhǔn)）,覆蓋整個(gè)歐洲本土實(shí)現(xiàn)WW漫游用戶可以使用多重網(wǎng)絡(luò)第一個(gè)雙頻網(wǎng)絡(luò)出現(xiàn)在歐洲和亞洲,Evolution of GSM（GSM的演變）,GSM Requirements GSM 需要的條件良好的主

3、觀語(yǔ)音質(zhì)量用戶信息加密特性必須運(yùn)行在890-960MHZ工作頻段有效的頻譜支持國(guó)際漫游最小限度的修改現(xiàn)有的固定公眾網(wǎng)絡(luò)低手機(jī)服務(wù)費(fèi)用兼容ISDN（第三代兼容IP）支持大量新業(yè)務(wù)和特性,Other GSM standards（其他GSM標(biāo)準(zhǔn)）,DCS 1800GSM900和DCS1800使用一樣的標(biāo)準(zhǔn)DCS1800是GSM900標(biāo)準(zhǔn)的一個(gè)增補(bǔ)可以使用和GSM一樣的交換需要一些軟件的升級(jí)手機(jī)必需支持雙頻PCS19

4、00ETSI歐洲電信標(biāo)準(zhǔn)協(xié)會(huì) 任命ANTI T1和TIA-46組織闡述PCS1900規(guī)格,Evolution of GSM,1982 “移動(dòng)通信特別組”在CEPT內(nèi)建立1986 建立一永久核心1987 在1986年原型系統(tǒng)評(píng)價(jià)的基礎(chǔ)上,選擇了主要無(wú)線傳輸技術(shù)1987 GSM成為歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)的一個(gè)技術(shù)委員會(huì)1987 13家運(yùn)營(yíng)商簽訂協(xié)議1989

5、 廣播系統(tǒng)的原型1990 第一階段GSM900規(guī)范制定1991 英國(guó)，法國(guó)，德國(guó)和意大利介紹GSM服務(wù)1992 摩托羅拉為COMVIQ建立第一個(gè)商用系統(tǒng)1994 第二階段GSM標(biāo)準(zhǔn)發(fā)放1996 PHASE2+標(biāo)準(zhǔn)被定義,GSM900，DCS1800，PCS1900的差異,GSM900是最早的GSM系統(tǒng)，使用900MHZ頻段，手機(jī)最大輸出功率為1W到8W，覆

6、蓋范圍大。DCS1800在GSM900的基礎(chǔ)上把頻段進(jìn)行擴(kuò)展，工作頻率移到1800MHZ。移動(dòng)臺(tái)輸出功率最大功率1W，故小區(qū)范圍小，可以承受更高的用戶密度。GSM900信道從1到124，而DCS1800從512到885。PCS1900主要在美國(guó)等地使用，其工作頻率是在1900MHZ。,Technology Evolution（技術(shù)發(fā)展）,1G:AMPS（Advanced Mobile Phone Service ） TACS

7、（Total Access Communications System）JTACSNMT-450 （Nordic Mobile Telephone 北歐移動(dòng)電話系統(tǒng)）NMT-9002G:GSM900/GSM850DCS1800PCS1900NADC 北美數(shù)字通信系統(tǒng)PDC 日本通信系統(tǒng)IS95 CDMA,2G+GSM --HSCSD:High Speed Ci

8、rcuit Switch Data（高速電路交換數(shù)據(jù)）--GPRS: General Packet Radio Service（通用分組無(wú)線業(yè)務(wù)）--EDGE: Emphases Data Rates for GSM Evolution（GSM增強(qiáng)數(shù)據(jù)庫(kù)改進(jìn)） IS-95 CDMA（95B）--HSD 3G EUROPE--W-CDMA[W-CDMA for FDD/TD—CDMA for TDD] ASIA-

9、-TD-SCDMA(China) US--D-AMPS IS-136--cdma2000,GSM 2G+,HSCSD—High Speed Circuit Switched Data高速電路交換數(shù)據(jù)--數(shù)據(jù)傳輸時(shí)時(shí)隙復(fù)用 （給一個(gè)用戶同時(shí)分配四個(gè)時(shí)隙 4*14.4=57.6k）--帶寬最大64k/bit--同現(xiàn)有的GSM網(wǎng)絡(luò)基礎(chǔ)兼容GPRS—通用分組無(wú)線業(yè)務(wù)--小區(qū)用戶共享所有資源--速率大于100kbit

10、（8*21.4=171.2k）--同現(xiàn)有的GSM網(wǎng)絡(luò)基礎(chǔ)兼容（增加路由器）EDGE-（GSM增強(qiáng)數(shù)據(jù)庫(kù)改進(jìn)） --新的調(diào)制方式以獲得更高速率：3P/8 8PSK--保持200KHZ信道頻間和GSM TDMA幀結(jié)構(gòu)--與現(xiàn)有的GMSK調(diào)制服務(wù)共存,IMT—2000/3G+,IMT:International Mobile Telecommunication-2000Wireless multimedia 無(wú)線多媒體

11、Bandwidth on demand 384kGlobal coverage 全球覆蓋提高頻譜利用率（同樣是以容量換速率，使得一個(gè)小區(qū)內(nèi)的用戶非常少）,GSM網(wǎng)絡(luò)結(jié)構(gòu),,BSC,BTS,BTS,BTS,BSS,,,,,BSC,BTS,BTS,BTS,BSS,,,,MSC,MSC,,,OMC,OMC,ADC,NMC,VLR,VLR,,,,,,HLR,AUC,EIR,,,,,,,,Interface to othe

12、r network,,,MS,MS- Mobile Station (移動(dòng)臺(tái))BSS-Base Station System (基站系統(tǒng))BTS-Base Transceiver Station (基站收發(fā)臺(tái)）可把它看成是一個(gè)無(wú)線解調(diào)器。簡(jiǎn)單的說(shuō)，它也是一個(gè)天線，接收手機(jī)發(fā)出的信號(hào)，同時(shí)也向手機(jī)發(fā)出信號(hào)。它完全由BSC控制，主要負(fù)責(zé)無(wú)線傳輸，完成無(wú)線與有線的轉(zhuǎn)換、無(wú)線分集、無(wú)線信道加密、跳頻等功能。 BSC-Base Stati

13、on Controller (基站控制器)具有對(duì)一個(gè)或多個(gè)BTS進(jìn)行控制的功能，它主要負(fù)責(zé)無(wú)線網(wǎng)路資源的管理、小區(qū)配置數(shù)據(jù)管理、功率控制、定位和切換等，是個(gè)很強(qiáng)的業(yè)務(wù)控制點(diǎn)BSC通過(guò)BTS和MS來(lái)管理信道的分配，釋放及切換。一個(gè)BSC一端連接著幾個(gè)BTS,另一端連接MSC。BSC和BTS合起來(lái)叫基站子系統(tǒng)。 MSC-Mobile Switching Center (移動(dòng)業(yè)務(wù)交換中心)移動(dòng)業(yè)務(wù)交換中心，

14、 它是GSM網(wǎng)絡(luò)的心臟，主要功能是協(xié)調(diào)呼叫GSM用戶和來(lái)自GSM用戶的呼叫。 同時(shí)，它通過(guò)一些設(shè)備和其它網(wǎng)絡(luò)相連，例如與固定電話相連。 OMC-Operations and Maintenance Center(操作與維護(hù)中心)對(duì)整個(gè)GSM網(wǎng)路 進(jìn)行管理和監(jiān)控。通過(guò)它實(shí)現(xiàn)對(duì)GSM網(wǎng)內(nèi)各種部件功能的監(jiān)視、狀態(tài)報(bào)告、 故障診斷等功能。,NMC-Network Manage

15、ment Center (網(wǎng)絡(luò)管理中心)AUC-Authentication Center (鑒權(quán)中心)鑒權(quán)中心,它是HLR功能的一部份，它的作用是檢測(cè)用戶的權(quán)限和判斷用戶是否是合法的用戶。HLR-Home Location Register (歸屬位置寄存器)存儲(chǔ)管理部門(mén)用于移動(dòng)客戶管理的數(shù)據(jù)，它主要存儲(chǔ)兩類(lèi)信息：一是有關(guān)客戶的參數(shù)；二是有關(guān)客戶目前所處位置的信息，以便建立至移動(dòng)臺(tái)的呼叫路由 。VLR-Visitors L

16、ocation Register (來(lái)訪位置寄存器)來(lái)訪位置寄存器,是一個(gè)數(shù)據(jù)庫(kù)，是存儲(chǔ)MSC,為了處理所管轄區(qū)域中MS（統(tǒng)稱拜訪客戶）的來(lái)話、去話呼叫所需檢索的信息。EIR-Equipment Identity Register (設(shè)備標(biāo)識(shí)寄存器)存儲(chǔ)有關(guān)移動(dòng)臺(tái)設(shè)備參數(shù)。主要完成對(duì)移動(dòng)設(shè)備的識(shí)別、監(jiān)視、閉鎖等功能，以防止非法移動(dòng)臺(tái)的使用。PSTN-公共電話交換網(wǎng),MS-Mobile Station,在激活和關(guān)閉模式下都必須接

17、入GSM服務(wù)的設(shè)備模式：車(chē)載臺(tái)便攜臺(tái)手機(jī)重量<0.8千克大小<900厘米最小通話時(shí)間：1小時(shí)最小待機(jī)時(shí)間：10小時(shí),移動(dòng)臺(tái)的輸出功率類(lèi)型1 20瓦 車(chē)載臺(tái)和便攜臺(tái)類(lèi)型2 8瓦 便攜臺(tái)和車(chē)載臺(tái)類(lèi)型3 5瓦 手機(jī)類(lèi)型4 2瓦 手機(jī)類(lèi)型5 0.8瓦 手機(jī)手機(jī)的輸出功率決定了：小區(qū)的覆蓋范圍通話，待

18、機(jī)時(shí)間通話的輸出功率隨BTS控制而變化,International Mobile Equipment Identity ( IMEI ),IMEI:國(guó)際移動(dòng)設(shè)備識(shí)別碼IMEI是唯一的用于識(shí)別移動(dòng)設(shè)備的號(hào)碼,每臺(tái)手機(jī)都有且各不相同. 它主要用于檢測(cè)被盜和無(wú)效的這一類(lèi)手機(jī).,International Mobile Subscriber Identity ( IMSI ),IMSI是國(guó)際移動(dòng)用戶識(shí)別號(hào),每個(gè)SIM卡都有維一的IMSI

19、號(hào),它作用是移動(dòng)網(wǎng)絡(luò)用來(lái)區(qū)別移動(dòng)用戶的號(hào)碼,IMSI,=,MCC,+,MNC,+,MSIN,,NMSI,,,3 digits,2 digits,,Not more than 15 digits,,MCC = Mobile Country Code移動(dòng)國(guó)家號(hào),中國(guó)為460MNC = Mobile Network Code移動(dòng)號(hào)碼,識(shí)別移動(dòng)用戶所歸屬的移動(dòng)通信網(wǎng)MSIN = Mobile Station Iden

20、tification Number移動(dòng)用戶識(shí)別號(hào),移動(dòng)的識(shí)別一各移動(dòng)網(wǎng)絡(luò)中的移動(dòng)用戶.NMSI = National Mobile Subscriber Identity,,MSISDN：我們常說(shuō)的手機(jī)號(hào)碼是MSISDN，即手機(jī)的國(guó)際ISDN號(hào)碼，它由三部分組成。CC= Country Code NDC=National Destination Code SN=

21、 Subscriber Number 例如:手機(jī)號(hào)碼為8613011223344，其中86為中國(guó)國(guó)家號(hào)，130為國(guó)內(nèi)地區(qū)碼，11223344為移動(dòng)用戶號(hào)碼。,,Subscriber Identity Module ( SIM ),SIM 卡即個(gè)人用戶識(shí)別卡,是全球通數(shù)字移動(dòng)電話的一張個(gè)人資料卡,儲(chǔ)存著用戶的數(shù)據(jù),鑒權(quán)方法及密鑰,可供GSM系統(tǒng)對(duì)用戶身份進(jìn)行鑒別.同時(shí),用戶通過(guò)它完成與系統(tǒng)的連接和信息的交換. SIM卡有

22、大小之分,我們現(xiàn)在都用小卡,它長(zhǎng)25mm,寬15mm. SIM卡可以插入任何一部符合GSM規(guī)范的移動(dòng)電話中,而話費(fèi)則自動(dòng)計(jì)人持卡用戶的帳單上,與移動(dòng)臺(tái)無(wú)關(guān).,,SIM卡號(hào)含義:前六位(898600):為中國(guó)的代號(hào)第七位:業(yè)務(wù)接入號(hào),對(duì)應(yīng)于135,136,138, 139的5,6,8,9第八位:SIM卡功能位,一般為零第九,十位:各省的編碼 第十一,十二位:年號(hào)第十三位:供應(yīng)商代碼第

23、十四到十九位:用戶識(shí)別碼第二十位:校驗(yàn)位,4-8位PIN碼3位偽登陸區(qū)8位PUK碼10位偽登陸不可用區(qū)SIM卡的內(nèi)容：手機(jī)串號(hào) IMSI，用戶密匙鑒權(quán)，加密算法網(wǎng)絡(luò)碼PIN,PUK計(jì)費(fèi)信息日?？s寫(xiě)附加功能,3 digits,2 digits,10 digits,460,xx,12345,SIM卡的結(jié)構(gòu)和類(lèi)型 ：　　SIM卡是帶有微處理器的智能芯片卡，它

24、的構(gòu)成是以下幾個(gè)模塊： --- CPU --- 程序存儲(chǔ)器(ROM) --- 工作存儲(chǔ)器(RAM) --- 數(shù)據(jù)存儲(chǔ)器(EPROM或E2PROM) --- 串行通信單元 　　這五個(gè)模塊必須集成在一塊集成電路中，否則其安全性會(huì)受到威脅。因?yàn)椋酒g的連線可能成為非法存取和盜用SIM卡的重要線索。,SIM卡的軟件特性 　　SIM卡采用新的單片機(jī)及存儲(chǔ)器管理結(jié)構(gòu)，因此處理功能大大增強(qiáng)。SIM卡中存有三類(lèi)數(shù)據(jù)信息： 　　與

25、持卡者相關(guān)的信息以及SIM卡將來(lái)準(zhǔn)備提供的所有業(yè)務(wù)信息，這種類(lèi)型的數(shù)據(jù)存儲(chǔ)在根目錄下。 　　1）GSM應(yīng)用中特有的信息，這種類(lèi)型的數(shù)據(jù)存儲(chǔ)在GSM目錄下。 　　2）GSM應(yīng)用所使用的信息，此信息可與其它電信應(yīng)用或業(yè)務(wù)共享，位于電信目錄下。其詳細(xì)結(jié)構(gòu)如下：,3．SIM卡中的保密算法及密鑰：　　SIM卡中最敏感的數(shù)據(jù)是保密算法A3、A8算法、密約Ki、PIN、PUK和Kc。A3、A8算法是在生產(chǎn)SIM卡的同時(shí)寫(xiě)入的，一般人都無(wú)法讀

26、A3、A8算法；PIN碼可由客戶在手機(jī)上自己設(shè)定；PUK碼由運(yùn)營(yíng)者持有；Kc是在加密過(guò)程中由Ki導(dǎo)出；Ki需要根據(jù)客戶的IMSI和寫(xiě)卡時(shí)用的母鑰(Kki)，由運(yùn)營(yíng)部門(mén)提供的一種高級(jí)算法DES，即Ki＝DES(IMSI，Kki)，經(jīng)寫(xiě)卡機(jī)產(chǎn)生并寫(xiě)入SIM卡中，同時(shí)要將IMSI、Ki這一對(duì)數(shù)據(jù)送入GSM網(wǎng)路單元AUC鑒權(quán)中心。 　　如何保證Ki在傳送過(guò)程中安全保密是一件非常重要的事情。Ki在寫(xiě)卡時(shí)生成，同時(shí)加密，然后進(jìn)入HLR／AUC后

27、再解密，那么連寫(xiě)卡和HLR／AUC的操作人員也不知道Ki的真實(shí)數(shù)據(jù)。,BTS-Base Transceiver Station（基站收發(fā)信機(jī)）,BTS通常有兩根接收一根發(fā)射天線空間分集減小多徑衰落BTS 在其區(qū)域內(nèi)有一套與手機(jī)通信的收發(fā)設(shè)備一個(gè)BTS覆蓋一個(gè)地區(qū)，在0時(shí)隙BTS在其信道內(nèi)發(fā)送BCH信號(hào)，BCH幫助手機(jī)尋找網(wǎng)絡(luò)。小區(qū)的容量由能夠登錄的BTS信道數(shù)決定。在TDMA模式下每個(gè)射頻信道由8個(gè)用戶同時(shí)使用。BTS與BSC

28、通過(guò)Abis接口通信，連接速率為2MB/sGSM空中接口的數(shù)據(jù)速率為13KB/S。在混合成2MB/S的Abis接口幀速度之前4路13kb/s的信道數(shù)據(jù)合成64kb/s的信道速度。BTS從空中接口到手機(jī)的接收和發(fā)射的語(yǔ)音數(shù)據(jù)流為13KB/S.BTS指揮手機(jī)處于發(fā)射，待機(jī)和接入狀態(tài)。,BTS,所有的BTS產(chǎn)生一個(gè)BCH廣播信道，使MS找到網(wǎng)絡(luò)。BCH信號(hào)強(qiáng)度還可以用作其他目的,可以用來(lái)了解MS和BTS之間的距離，傳遞網(wǎng)絡(luò)標(biāo)識(shí)，對(duì)MS的

29、尋呼信息等。無(wú)論手機(jī)處于什么狀態(tài)，都可以接收BCH信號(hào)。每一個(gè)BCH占用的頻點(diǎn)是不同的，距離較遠(yuǎn)的地區(qū)在彼此干擾較小的情況下可以使用同一頻點(diǎn)。,,,,,,,,,,,,,,,,MSCTRAU,MS,,,,,,MS,,,,BTS,BSC,RFChannels,Abis-2MB/S,Um空中接口,（同軸電纜,光纖）,MSC-移動(dòng)交換中心,在呼叫建立，維持和切斷時(shí)進(jìn)行切換所有用戶信息特性的數(shù)據(jù)庫(kù)移動(dòng)用戶方面和BSC通信，固定電

30、話方面和PSTN通信MSC負(fù)擔(dān)所有可承載的用戶,MSC移動(dòng)交換中心,MSC是整個(gè)GSM網(wǎng)絡(luò)的核心MSC的功能有：1.本地GSM網(wǎng)絡(luò)和其他GSM網(wǎng)絡(luò)/非GSM網(wǎng)絡(luò)的接口2.呼叫管理：鑒權(quán)，位置更新，連接，計(jì)費(fèi)，路由，安全等3.網(wǎng)絡(luò)服務(wù)：呼叫轉(zhuǎn)移，SMS短消息，來(lái)電顯示，呼叫保持，呼叫協(xié)調(diào)，業(yè)務(wù)屏蔽等4.數(shù)字電路連接,VOICE,HLR-Home Location Register（歸屬位置寄存器）,MSC將所有用戶的數(shù)據(jù)儲(chǔ)存在

31、HLR中HLR中存有所有用戶的信息在呼叫建立時(shí)MSC與HLR通信以獲取用戶信息,MSC,,,,,,HLR,,HLR存有一系列用戶號(hào)碼，用戶能被激活或調(diào)用 例如：所有的IMSI號(hào)碼從404XX00000000001到404XX0000099999 一共有50,000個(gè)用戶。,,,HLR,HLR是存儲(chǔ)用戶信息的核心數(shù)據(jù)庫(kù)。在SIM卡里存儲(chǔ)的信息大多數(shù)可以在HLR中找到,VLR-Visiting Location Register

32、（訪問(wèn)位置寄存器）,處于激活模式下的用戶將在VLR中寄存VLR中存有所有處于激活模式下的用戶號(hào)碼VLR暫時(shí)存儲(chǔ)所有激活模式下的用戶信息（開(kāi)機(jī)還是關(guān)機(jī)，本地還是異地）,MSC,,,,,,,,,MSC,,,,,,,,,HLR,VLR,VLR,當(dāng)MSC發(fā)現(xiàn)有效的來(lái)自不同的MSC的用戶時(shí)，與HLR通信并在VLR中記錄,VLR,VLR是第二個(gè)存儲(chǔ)用戶信息的數(shù)據(jù)庫(kù)當(dāng)一個(gè)用戶到了另外一個(gè)網(wǎng)絡(luò)覆蓋的小區(qū)時(shí)，如果他的本地網(wǎng)絡(luò)允許其使用訪問(wèn)網(wǎng)絡(luò)，則他

33、在本地HLR中的信息將會(huì)臨時(shí)copy到訪問(wèn)網(wǎng)絡(luò)的VLR中。由于他不屬于該網(wǎng)絡(luò)，所以在訪問(wèn)網(wǎng)絡(luò)的HLR中沒(méi)有他的信息。VLR還用來(lái)存儲(chǔ)位置信息和TMSI，用來(lái)取代呼叫建立時(shí)不需要的IMSI。,TMSI：臨時(shí)用戶識(shí)別碼,AUC-Authentication Center（鑒權(quán)中心）,鑒權(quán)是SIM卡的一個(gè)認(rèn)證過(guò)程每個(gè)SIM卡都有一個(gè)IMSI和安全碼與IMSI配合使用這套IMSI和安全碼也存在于HLR中當(dāng)一個(gè)移動(dòng)臺(tái)和MSC通信時(shí)，首先就

34、是認(rèn)證其使用的SIM卡是可用的還是假的鑒權(quán)中心的作用就是對(duì)SIM卡進(jìn)行認(rèn)證移動(dòng)臺(tái)在進(jìn)行某些功能使用時(shí)將必須使用安全碼AUC經(jīng)常和HLR一同使用,MS,MSC,,,,,AUC,HLR,,,,,EIR-Equipment Identify Register（設(shè)備身份寄存器）,EIR存儲(chǔ)所有用戶的手機(jī)IMEI號(hào)在GSM系統(tǒng)中，世界上所有的手機(jī)都只有唯一的手機(jī)串號(hào)。這個(gè)串號(hào)可以幫助用戶在遺失手機(jī)的情況下鑒定手機(jī)。系統(tǒng)可以禁止沒(méi)有通過(guò)鑒定

35、的手機(jī)—黑市手機(jī)或是組裝機(jī)使用網(wǎng)絡(luò)。,EIR,EIR是手機(jī)設(shè)備數(shù)據(jù)庫(kù)所有的IMEI號(hào)以不同的標(biāo)準(zhǔn)存儲(chǔ)在EIR內(nèi)這些標(biāo)準(zhǔn)有：--允許使用的手機(jī)--走私手機(jī)--被竊手機(jī)--識(shí)別不出的手機(jī),BC—Billing Center（計(jì)費(fèi)中心）,BC為所有的用戶提供計(jì)費(fèi)設(shè)備BC可以直接和MSC通信MSC(移動(dòng)交換中心)向BC發(fā)送計(jì)費(fèi)信息（通話時(shí)間……）然后BC打出賬單計(jì)費(fèi)過(guò)程：Charging to MSC呼叫相關(guān)信息Bill

36、ing to BC 計(jì)算費(fèi)用，出賬單Accounting 分賬,OMC—Operations&Maintenance Center（運(yùn)營(yíng)維護(hù)中心）,,BTS’s,BTS’s,BTS’s,BSC’s,BSC’s,BSC’s,OMC System,MSC,,,,,,,,,,,,,,OMC 終端,OMC,,BTS’s,BTS’s,BSC’s,BSC’s,OMC System,MSC,,,OMC-Radio,OMC-System

37、,,,,,,,,,,,SMSC-Short Message Service Center（短消息服務(wù)中心）,將信息送到指定的手機(jī)中信息的傳送由SMSC進(jìn)行信息的發(fā)送通過(guò)與SMSC連接的人工終端,MS,MSC,SMSC,ManualTerminal,,,,,VMSC-Voice Mail Service Center（語(yǔ)音信箱業(yè)務(wù)中心）,是所有語(yǔ)音信箱用戶的數(shù)據(jù)庫(kù)存儲(chǔ)所有的語(yǔ)音信息,MS,PSTN,MSC,VMSC,,,,GSM空

38、中接口,GSM Air Interface,MS,MS,,,,,,,,,,,,,,,MS,,,,,,,BCH,TCH,Uplink890-915MHZ,DOWNLINK935-960MHZ,,,,,,BTS,Abisinterface,BCH:Broadcast Channel 廣播信道 單向，只有下行TCH:Traffic Channel 業(yè)務(wù)信道 雙向，上下行都有,,概述,Air InterfaceSpeech C

39、odingTypes of ChannelMaking a Phone Call空中接口語(yǔ)音編碼信道類(lèi)型建立呼叫,GSM空中接口,上行下行頻段分離上行：935-960MHZ（EGSM 925-960MHZ）下行：890-915MHZ（EGSM 880-915MHZ）0.3GMSK調(diào)制-270.833kbit/s時(shí)分復(fù)用和頻分復(fù)用--GSM124頻道（ARFCN）--200KHZ頻率間隔--時(shí)分復(fù)用狀態(tài)下8部

40、手機(jī)共用一個(gè)ARFCN 功率控制，時(shí)間提前值，跳頻等等……,工作頻段的分配,(1)工作頻段 我國(guó)陸地公用蜂窩數(shù)字移動(dòng)通信網(wǎng)GSM通信系統(tǒng)采用900MHz頻段： 　　905～915（移動(dòng)臺(tái)發(fā)、基站收） 　　950～960（基站發(fā)、移動(dòng)臺(tái)收） 　　隨著業(yè)務(wù)的發(fā)展，可視需要向下擴(kuò)展，或向1.8GHz頻段的DCSI800過(guò)渡，即1800MHz頻段： 　　1710～1785（移動(dòng)臺(tái)發(fā)、基站收） 　　1805～1880（

41、基站發(fā)、移動(dòng)臺(tái)收）,,上行信道,下行信道,,圖3-1 我國(guó)陸地蜂窩移動(dòng)體系系統(tǒng)頻段分配圖,(2）頻道間隔 相鄰兩頻道間隔為200kHz，每個(gè)頻道采用時(shí)分多址接入（TDMA）方式，分為8個(gè)時(shí)隙，即8個(gè)信道（全速率）。每信道占用帶寬200kHz／8=25kHz，與模擬網(wǎng)TACS制式每個(gè)信道占用的頻率帶寬相同。從這點(diǎn)看二者具有同樣的頻譜利用率。 將來(lái)GSM采用半速率話音編碼后，每個(gè)頻道可容納16個(gè)半速率信道。,TDMA and F

42、DMA（時(shí)分多址和頻分多址）,GSM安全體系及實(shí)現(xiàn),SIM卡GSM用戶身份識(shí)別GSM設(shè)備識(shí)別GSM鑒權(quán)GSM加密GSM安全性分析GSM系統(tǒng)SIM卡安全及第二代SIM安全方案,SIM卡,SIM=Subscriber Identity Model 客戶識(shí)別模塊；SIM卡是一個(gè)裝有微處理器（CPU）的芯片卡，它的內(nèi)部有5個(gè)模塊，并且每個(gè)模塊都對(duì)應(yīng)一個(gè)功能：微處理器CPU（8位）、程序存儲(chǔ)器ROM（3～8kbit）、工作存儲(chǔ)器RA

43、M（6～16kbit）數(shù)據(jù)存儲(chǔ)器EEPROM（16～256kbit）和串行通信單元。 SIM卡的存儲(chǔ)容量有3kB、8kB、16kB、32kB、64kB等。SIM卡能夠儲(chǔ)存多少電話號(hào)碼和短信取決于卡內(nèi)數(shù)據(jù)存儲(chǔ)器EEPROM的容量（有2KB、3KB、8KB容量），假設(shè)一張EEPROM容量為8KB的SIM卡，可儲(chǔ)存以下容量的數(shù)據(jù)：100組電話號(hào)碼及其對(duì)應(yīng)姓名、15組短信息、25組最近撥出的號(hào)碼、4位SIM卡密碼（PIN）。目前中國(guó)移動(dòng)/

44、中國(guó)聯(lián)通實(shí)際對(duì)普通用戶提供的多數(shù)是普通8K的SIM卡。,SIM卡,SIM卡可以被應(yīng)用于不同的GSM手機(jī)，實(shí)現(xiàn)了機(jī)卡分離技術(shù)，解決了原先的設(shè)備和設(shè)備使用者相互依存的問(wèn)題；SIM卡中存儲(chǔ)有持卡者的用戶數(shù)據(jù)、保密數(shù)據(jù)和鑒權(quán)加密算法等；SIM卡和設(shè)備間有一個(gè)開(kāi)放的公共接口，移動(dòng)設(shè)備通過(guò)該接口讀取SIM卡中的用戶數(shù)據(jù)，并將數(shù)據(jù)發(fā)送給GSM網(wǎng)絡(luò)，請(qǐng)求接入網(wǎng)絡(luò)。,SIM卡和手機(jī)存儲(chǔ)的相關(guān)標(biāo)識(shí),IMSI：國(guó)際移動(dòng)用戶標(biāo)識(shí)號(hào)MCC：Mobile C

45、ountry Code 移動(dòng)用戶的國(guó)家號(hào)，中國(guó)是460MNC：Mobile Network Code 移動(dòng)用戶的所屬PLMN網(wǎng)號(hào)；中國(guó)移動(dòng)為00、02，聯(lián)通為01MSIN：Mobile Subscriber Identification Number 移動(dòng)用戶標(biāo)識(shí)。NMSI：National Mobile Subscriber Identification在某一國(guó)家內(nèi)MS唯一的識(shí)別碼。IMEI：國(guó)際移動(dòng)設(shè)備身份碼 TAC：Ty

46、pe Approval Code ,型號(hào)批準(zhǔn)碼，由歐洲型號(hào)批準(zhǔn)中心分配。FAC：Final Assembly Code ,最后裝配碼，表示生產(chǎn)廠家或最后裝配所在地，由廠家進(jìn)行編碼。SNR：Serial Number ,這個(gè)數(shù)字的獨(dú)立序號(hào)碼唯一地識(shí)別每個(gè)TAC和FAC的每個(gè)移動(dòng)設(shè)備。spare：備用比特，當(dāng)手機(jī)發(fā)送時(shí)，此位要置0。,SIM卡和手機(jī)存儲(chǔ)的相關(guān)標(biāo)識(shí),LAI：區(qū)域識(shí)別碼LAC：Location Area Code位置區(qū)域

47、碼，最多不超過(guò)16位，用于識(shí)別GSM網(wǎng)絡(luò)中位置區(qū)域的固定長(zhǎng)度的碼字，由運(yùn)營(yíng)商自定義。小區(qū)識(shí)別碼：一個(gè)位置區(qū)分為若干個(gè)小區(qū)，每個(gè)小區(qū)用一個(gè)小區(qū)識(shí)別碼CI來(lái)標(biāo)識(shí)。BSIC：基站識(shí)別碼，用于區(qū)分不同地區(qū)邊界采用相同載波的相鄰基站。NCC：網(wǎng)絡(luò)色碼，用于識(shí)別相鄰的移動(dòng)通信網(wǎng)絡(luò)。BCC：基站收發(fā)臺(tái)(BTS)色碼，用于識(shí)別同一載波的不同基站。,LAI結(jié)構(gòu),3位MCC,2位MNC,小于等于16位LAC,小區(qū)識(shí)別碼結(jié)構(gòu),小于等于21位L

48、AI,小于等于16位CI,BSIC結(jié)構(gòu),3位NCC,3位BCC,SIM卡和手機(jī)存儲(chǔ)的相關(guān)標(biāo)識(shí),TMSI：臨時(shí)移動(dòng)用戶識(shí)別碼：是用戶入網(wǎng)以后，MSC/VLR（移動(dòng)交換中心/拜訪位置寄存器）為每個(gè)入網(wǎng)用戶分配的一個(gè)臨時(shí)用戶識(shí)別碼，以代替IMSI 進(jìn)行通信；TMSI具有本地性，在VLR控制的區(qū)域有效，總長(zhǎng)不超過(guò)4個(gè)字節(jié)，格式由運(yùn)營(yíng)商自定。,SIM卡中的保密算法及密鑰,保密算法：A3，A5，A8，由制造商生產(chǎn)SIM卡時(shí)寫(xiě)入，算法保密，由

49、運(yùn)營(yíng)商掌握；密鑰Ki和Kc，Ki由運(yùn)營(yíng)商寫(xiě)入，Kc加密過(guò)程中由Ki導(dǎo)出，實(shí)際通信過(guò)程中使用Kc來(lái)進(jìn)行加密；Ki生成及寫(xiě)入SIM過(guò)程：Ki由運(yùn)營(yíng)商選擇一種高級(jí)算 法DES，以用戶IMSI和母密鑰 Kki計(jì)算Ki=DES(IMSI,Kki)；Ki寫(xiě)在SIM卡中，同時(shí)也要傳送AUC；在GSM中，先將Ki利用 安全算法DES和加密密鑰Kdes 對(duì)Ki進(jìn)行加密（寫(xiě)卡過(guò)程）密文傳送給AUC/HLR，然后用 Kdes

50、解密，得到Ki（運(yùn)營(yíng)商開(kāi)卡）保護(hù)Ki的關(guān)鍵在于運(yùn)營(yíng)商保護(hù) 密鑰Kdes,DES,DES,,,DES,,,,,,Kki,Kdes,Kdes,IMSI,Ki,Ki,Edes(Ki),Ki產(chǎn)生過(guò)程,寫(xiě)卡過(guò)程,AUC/HLR注冊(cè)過(guò)程,SIM卡自我保護(hù)措施,SIM卡與手機(jī)終端之間沒(méi)有關(guān)系，容易被盜用、仿制；PIN個(gè)人身份號(hào)碼：用戶利用手機(jī)進(jìn)行設(shè)置，連續(xù)輸入三次錯(cuò)誤，PIN即被鎖，如果PIN被鎖，則無(wú)法進(jìn)行通訊（4－8位數(shù)字）；

51、PUK個(gè)人解鎖鑰：PIN被鎖后需要輸入PUK碼來(lái)解鎖，連續(xù)10次輸入錯(cuò)誤PUK碼，SIM卡報(bào)廢（0－9位數(shù)字）；,GSM用戶身份保密,IMSI是用戶唯一標(biāo)識(shí)，身份認(rèn)證時(shí)需要，如何防止被截獲呢？,加密？,只有用戶認(rèn)證通過(guò)以后，才產(chǎn)生密鑰Kc，才能進(jìn)行加密,,,,,,TMSI(臨時(shí)用戶識(shí)別碼)代替IMSI,,MS,MSC/VLR,,,,位置更新請(qǐng)求,進(jìn)入新小區(qū),,TMSI再分配完成,,,位置更新接收,TMSI再分配指令,注銷(xiāo)原TMSI,,

52、位置更新接收(含TMSI),TMSI是由VLR數(shù)據(jù)庫(kù)進(jìn)行管理的，可以代替IMSI進(jìn)行通信下列兩種情況必須使用IMSI：①SIM卡第一次入網(wǎng)②訪問(wèn)位置寄存器中與用戶有關(guān)數(shù)據(jù)丟失,GSM鑒權(quán),,存儲(chǔ)所有用戶Ki,產(chǎn)生所有用戶的鑒權(quán)三元組(RAND,SERS,Kc),A3,A8,,,,,,,,,,RAND,Ki,SRES,Kc,RAND,,,,存儲(chǔ)所有用戶的鑒權(quán)三元組(RAND,SERS,Kc)每個(gè)用戶1~10個(gè)三元組,臨

53、時(shí)存儲(chǔ)拜訪用戶的三元組(RAND,SERS,Kc)每個(gè)用戶1~7個(gè)三元組,存儲(chǔ)所有與用戶有關(guān)的信息,比較,,A3,,,,,相等允許接入,不等拒絕接入,,,RAND,Ki,SRES,SRES,AUC,HLR,MSC/VLR,MS,,發(fā)送,,請(qǐng)求接入,,送RAND,送SERS,,請(qǐng)求,,送三元組,GSM加密技術(shù),,A8,,,A5,Kc,AUC/HLR,BTS,MS,,,,,Ki,RAND,Kc,,,FrameNu

54、mber,,,明文,A5,Kc,,,FrameNumber,,,,無(wú)線信道,,,明文,密文,密文,114位工作密鑰,,,,SIM加密算法,GSM 規(guī)范A3算法，RAND=128bit(16字節(jié))，Ki=128bit ，SRES=32 bit，很顯然，這個(gè)算法要求已知 RAND 和 Ki可以很簡(jiǎn)單的算出SRES ，但是已知 RAND和SRES卻很難算出Ki；在移動(dòng)網(wǎng)絡(luò)發(fā)送 RAND 過(guò)來(lái)的時(shí)候，手機(jī)還會(huì)讓 SIM 卡對(duì) RAND 和

55、Ki 計(jì)算出另一個(gè)密鑰以供全程通信加密使用，這個(gè)密鑰的長(zhǎng)度是 64 bits, 通常叫做 Kc, 生成 Kc 的算法是 A8 ，因?yàn)?A3 和 A8 接受的輸入完全相同，所以實(shí)現(xiàn)者偷了個(gè)懶，用一個(gè)算法同時(shí)生成 SRES 和 Kc ；實(shí)際設(shè)備中使用的 A3 算法被作為高級(jí)商業(yè)機(jī)密保護(hù)起來(lái)，1999年，UC Berkeley根據(jù)一些泄漏信息，修補(bǔ)得到A3算法，即COMP128算法；IBM小組可以用6次查詢就徹底解開(kāi)Ki，普通的破解程序可

56、以在幾分鐘內(nèi)破解開(kāi)；隨著拷卡設(shè)備越來(lái)越多，運(yùn)營(yíng)商發(fā)行了COMP128 V2算法的SIM卡，目前仍然保密，目前的新卡不能用Simscan之類(lèi)軟件讀出；,SIM加密算法—A5,利用Kc進(jìn)行加密的算法，稱為A5；因?yàn)锳5的加密運(yùn)算量很巨大，但 SIM 卡的速度很慢，因此所有通信過(guò)程中的加密都是在手機(jī)上面完成的，這樣一來(lái)，除非天下所有 GSM 手機(jī)都至少支持一種相同的 A5 算法，否則就沒(méi)法漫游了，這時(shí)候運(yùn)營(yíng)商和設(shè)備商的懶惰又體現(xiàn)出來(lái)了，全

57、世界目前只有一種通用的 A5 算法，沒(méi)有其他的；Kc的 8 字節(jié)序列進(jìn)行簡(jiǎn)單的循環(huán) XOR，再和報(bào)文序號(hào)做個(gè)減法。,GSM安全分析,認(rèn)證方案缺陷只有用戶認(rèn)證，沒(méi)有網(wǎng)絡(luò)認(rèn)證，不能避免基站偽裝；安全性依賴于私鑰Ki的安全性；加密方案缺陷加密不是端到端的，只是無(wú)線信道部分，在其他信道容易被截獲；沒(méi)有考慮數(shù)據(jù)完整性；密鑰太短，密鑰生成算法固定，該算法已可被快速破解；TMSI安全問(wèn)題移動(dòng)臺(tái)第一次注冊(cè)和漫游時(shí)，仍需要明文發(fā)送IMS

58、I；訪問(wèn)位置寄存器中與用戶有關(guān)數(shù)據(jù)丟失時(shí)，網(wǎng)絡(luò)端要求用戶發(fā)送IMSI以獲得用戶真實(shí)身份；,64,GSM系統(tǒng)SIM卡安全問(wèn)題,什么是SIM卡克隆？將正式渠道發(fā)行的SIM卡信息復(fù)制到其他卡片上對(duì)鑒權(quán)重要數(shù)據(jù)KI的破解SIM卡克隆的主要目的：多個(gè)號(hào)碼的使用者（方便）市話包月號(hào)碼（一號(hào)多人公用）業(yè)務(wù)需求（一個(gè)值班電話多人分時(shí)段使用）盜打用戶電話散布廣告惡意透支獲取高額利潤(rùn),65,SIM卡克隆帶來(lái)的危害,給用戶帶來(lái)極大的損失

59、給運(yùn)營(yíng)商帶來(lái)極大的損失經(jīng)濟(jì)上的損失消費(fèi)者信心指數(shù)的減低運(yùn)營(yíng)商公信力的減低不良的社會(huì)影響與 經(jīng)濟(jì)案件的誘發(fā),66,被克隆以后的狀態(tài),67,COMP128-1 鑒權(quán)算法,先天不足，存在碰撞攻擊漏洞，可以被破解；二〇〇四年，采用了索引隨機(jī)數(shù)方案作為第一代防克隆方案。,68,,假設(shè)：Ki = “EB B5 85 B7 03 AC 8A 35 C1 CC 04 5A CF E1 D9 B2”

60、 Challenge1 = “12 DB 3F 00 F3 6F 84 D9 CD E4 A0 3A 45 B6 4A 8B” Challenge2 = “12 DB 3F 00 F3 6F D9 D9 CD E4 A0 3A 45 B6 8B 8B”,Comp128-1 算法“碰撞”攻擊（1）,RunGSMAlgo(Challenge1, Ki) = “B3 12 1B 26 C4 E1 B6

61、91 E2 17 54 00 ”RunGSMAlgo(Challenge2, Ki) = “B3 12 1B 26 C4 E1 B6 91 E2 17 54 00 ”,RunGSMAlgo,Comp128-1,,,Challenge,,Challenge,,4-Byte SRES 和 8-Byte Kc,,,,,RunGSMAlgo(Challenge1, Ki) = “B3 12 1B 26 C4 E1 B6 91 E2 17 54

62、 00 ”RunGSMAlgo(Challenge2, Ki) = “B3 12 1B 26 C4 E1 B6 91 E2 17 54 00 ”,69,“Indexed Challenges” 解決方案：基本思想：堵住“碰撞”漏洞，不允許卡發(fā)生“碰撞”，同時(shí)保證密鑰空間足夠大、實(shí)施簡(jiǎn)便易行將會(huì)引發(fā)“碰撞”的隨機(jī)數(shù)字節(jié)對(duì)預(yù)先存儲(chǔ)在SIM卡中鑒權(quán)時(shí)判斷所收到的隨機(jī)數(shù)是否包含了預(yù)存于SIM卡中的隨機(jī)數(shù)字節(jié)對(duì)，若包含了則返回一個(gè)錯(cuò)誤的鑒

63、權(quán)結(jié)果給手機(jī)，若沒(méi)有包含則正常鑒權(quán)方案優(yōu)點(diǎn)：密鑰空間足夠大：從 295.9 至 2128 (由運(yùn)營(yíng)商決定) 實(shí)施簡(jiǎn)便易行，僅需簡(jiǎn)單更改個(gè)人化流程 (運(yùn)營(yíng)商無(wú)需任何改動(dòng)) 安全性極大增強(qiáng)，能防范當(dāng)時(shí)所有的“碰撞” 攻擊工具,防克隆一代方案：索引隨機(jī)數(shù)方案,70,SIM卡克隆現(xiàn)狀,從07 年4 月開(kāi)始，網(wǎng)絡(luò)上就開(kāi)始出現(xiàn)對(duì)移動(dòng)帶索引隨機(jī)數(shù)功能的SIM卡進(jìn)行攻擊的軟件工具，有的甚至捆綁讀卡器SIM卡進(jìn)行銷(xiāo)售。克隆工具讀卡器COM

64、接口PC/SC接口軟件解碼：SIMScanner、 SIMonScan、QuickScan、Woron Scan、FDSIM卡資料讀寫(xiě)：SIMReader、SIMEditor、手機(jī)卡信息超級(jí)備份器（PC/SC）等等,71,測(cè)試結(jié)論,選取卡片市場(chǎng)上購(gòu)買(mǎi)的卡片20張。數(shù)據(jù)生成系統(tǒng)生成20組數(shù)據(jù)。測(cè)試結(jié)果市面上購(gòu)買(mǎi)的卡片全部被破解數(shù)據(jù)生成系統(tǒng)生成的20組數(shù)據(jù)也均被破解測(cè)試時(shí)間 時(shí)間軸落在2小時(shí)到8小時(shí)之間,72,破解軟件

65、示例 -SIM Scanner,73,破解軟件示例- SIMonScan v3.0,74,網(wǎng)上購(gòu)買(mǎi)示例,75,,SIM卡破解論壇示例,二代防克隆方案,已經(jīng)迫在眉睫?。?！,76,最新克隆攻擊分析,索引隨機(jī)數(shù)方案已經(jīng)堵住“2R-碰撞”漏洞?。?最新攻擊工具原理對(duì)破解過(guò)程進(jìn)行抓包分析和相應(yīng)模擬計(jì)算推斷出這些工具是利用一些選擇性隨機(jī)數(shù)字節(jié)對(duì)不斷嘗試以得到“2R-偽碰撞”進(jìn)而產(chǎn)生“3R-碰撞”甚至“4R-碰撞”然后依據(jù)碰撞計(jì)算出相對(duì)應(yīng)的1

66、個(gè)密鑰字節(jié)對(duì)得到1個(gè)密鑰字節(jié)對(duì)后就可利用“3R-碰撞”、“4R-碰撞”和“5R-碰撞”進(jìn)而得出其余的7個(gè)密鑰字節(jié)對(duì),77,兩種方案,“MAC-Challenges” 解決方案安全性極大增強(qiáng)，杜絕“碰撞” 攻擊實(shí)施簡(jiǎn)便易行，僅需簡(jiǎn)單更改鑒權(quán)隨機(jī)數(shù)生成機(jī)制完全兼容以前發(fā)行的SIM卡在設(shè)計(jì)該方案時(shí)，邀請(qǐng)沃達(dá)豐（Vodafone）的專家參與進(jìn)行論證、優(yōu)化需改動(dòng)網(wǎng)絡(luò)側(cè)鑒權(quán)隨機(jī)數(shù)生成機(jī)制需在SIM卡上實(shí)現(xiàn)一種MAC算法 基于隨機(jī)數(shù)的