移動電話機與SIM卡共同構成移動通信終端設備無論是GSM

1、一、概述 移動電話機與SIM卡共同構成移動通信終端設備。無論是GSM系統(tǒng)還是CDMA系統(tǒng)，數(shù)字移動電話機用戶在“入網(wǎng)”時會得到一張SIM卡（SubscriberIdentityModule）或UIM卡（UserIdentity Module）。SIM卡是一張符合GSM規(guī)范的“智慧卡”，可以插入任何一部符合GSM規(guī)范的移動電話中，實現(xiàn)“電話號碼隨卡不隨機的功能”，而且通話費用自動計入持卡用戶的賬單上，與手機無關。 二、SIM卡硬件特性 1、外部特征在實際使用中有兩種功能相同而形式不同的SIM卡： 卡片式(俗稱大卡)SIM卡，這種形式的SIM卡符合有關IC卡的ISO7816標準，類似IC卡。 嵌入

2、式(俗稱小卡)SIM卡，其大小只有25mm×15mm，是半永久性地裝入到移動臺設備中的卡。 “大卡”上真正起作用的是它上面的那張“小卡”，而“小卡”上起作用的部分則是卡面上的銅制接口及其內(nèi)部膠封的卡內(nèi)邏輯電路。目前國內(nèi)流行樣式是“小卡”，小卡也可以換成“大卡”（需加裝一卡托）。“大卡”和“小卡”分別適用于不同類型的GSM移動電話，早期機型如摩托羅拉GC87C、308C等手機用的是“大卡”，而目前新出的機型基本上都使用“小卡”。 2、 SIM卡接口 SIM卡是通過卡面上銅制接口來連接卡內(nèi)邏輯電路與移動終端的，SIM卡芯片有八個觸點，通常與移動設備連接需要六個觸點，具體接口定義如下圖所示

3、： 3、內(nèi)部結構 SIM卡是一個裝有微處理器的芯片卡，它的內(nèi)部有5個模塊，并且每個模塊都對應一個功能：微處理器CPU（8位）、程序存儲器ROM（3-8kbit）、工作存儲器RAM（6-16kbit）數(shù)據(jù)存儲器EEPROM（128-256kbit）和串行通信單元。這5個模塊被膠封在SIM卡銅制接口后與普通IC卡封裝方式相同。這五個模塊必須集成在一塊集成電路中，否則其安全性會受到威脅。因為，芯片間的連線可能成為非法存取和盜用SIM卡的重要線索。 SIM卡同手機連接時至少需要5條連接線（通常編程口未定義） 數(shù)據(jù)I/O口（Data） 復位（RST） 接地端（GND） 電源（Vcc） 時鐘（CLK）如上

4、圖所示。 SIM卡的供電分為5V（1998年前發(fā)行）、5V與3V兼容、3V、1.8V等，當然這些卡必須與相應的移動電話機配合使用，即移動電話機產(chǎn)生的SIM卡供電電壓與該SIM卡所需的電壓相匹配。卡電路中的電源VCC、地GND是卡電路工作的必要條件?？娫从萌f用表就可以檢測到。SIM卡插入移動電話機后，電源端口提供電源給SIM卡內(nèi)各模塊。 檢測SIM卡存在與否的信號只在開機瞬時產(chǎn)生，當開機檢測不到SIM卡存在時，將提示“InsertCard（插入卡）”；如果檢測SIM卡已存在，但機卡之間的通信不能實現(xiàn)，會顯示“CheckCard（檢查卡）”；當SIM卡對開機檢測信號沒有響應時，移動電話也會提示“

5、InsertCard（插入卡）”；當SIM卡在開機使用過程中掉電、由于松動接觸不良或使用報廢卡時，移動電話會提示“Bad Card/SIM Error”。 對于卡電路中的SIM_I/O、SIM_CLK、SIM_RST，全部是由CPU的控制來實現(xiàn)的。雖然基站與網(wǎng)絡之間的數(shù)據(jù)溝通隨時隨地進行著，但確定哪個時刻數(shù)據(jù)溝通往往很難。有一點可以肯定，當移動電話機開機時刻與網(wǎng)絡進行鑒權時必有數(shù)據(jù)溝通，這時盡管時間很短，但測量一定有數(shù)據(jù)，所以我們在判定卡電路故障時，在這個時隙上進行監(jiān)測為最佳監(jiān)測時間。正常開機的移動電話機，在SIM卡座上用示波器可以測量到SIM_I/O、SIM_CLK、SIM_RST信號，它們

6、一般是一個3V左右的脈沖。若檢測不到，說明SIM卡座供電開關管周邊電阻、電容元件脫焊、SIM卡卡座脫焊，也有可能是卡座接觸不良，SIM卡表面氧化或是報廢卡。 當手機開機時，手機需要與SIM卡進行數(shù)據(jù)交換，用示波器可以在SIM卡卡座上檢測到一些數(shù)據(jù)信號，沒插卡時，這些信號不會送出?？芍^“瞬間即逝”，但可以用示波器捕捉到，以此判別SIM卡電路有無故障。SIM卡觸點電性能表示觸點低電平高電平Vcc-U=+5V±10%，I=10mA RST -0.3U+0.6V，I=200uA 4VUVcc，I=20uA CLK -0.3U+0.6V，I=200uA -2.4VUVcc，I=200uA GN

7、D - - Vpp - +5V±10% I/O輸入 0VU0.4V，I=1mA 0.7VUVcc，I=20uA I/O輸出 0VU0.8V，I=1mA 3.8VUVcc，I=20uA 電源開關時，SIM卡電氣性能為：當開啟電源期間，按以下次序激活各觸點：RST低電平狀態(tài)；Vcc加電；I/O口處于接收狀態(tài)；Vpp加電；提供穩(wěn)定的時鐘信號。當關閉電源時，按如下次序工作：RST低電平狀態(tài)；CLK低電平狀態(tài)；Vpp去電；I/O口低電平狀態(tài)；Vcc去電。 SIM卡的存儲容量有3kB、8kB、16kB、32kB、64kB等。目前多為16KB和32KB，STK卡(SIM application T

8、ool Kit)是SIM卡的一種，它能為移動電話機提供增值服務，如移動夢網(wǎng)業(yè)務等。（將在后章節(jié)具體介紹）SIM卡能夠儲存多少電話號碼取決于卡內(nèi)數(shù)據(jù)存儲器EEPROM的容量（有2K、3K、8K容量），若有8KB的存儲容量，可供儲存以下信息： *100組電話號碼及其對應的性名文字； *15組短信息（ShortMessage）； *25組以上最近撥出的號碼； *4位SIM卡密碼（PIN）。 幾種主要的SIM卡的結構數(shù)據(jù) 三、SIM卡軟件特性 SIM卡采用新的單片機及存儲器管理結構，因此處理功能大大增強。其智能特性的邏輯結構是樹型結構。全部特性參數(shù)信息都是用數(shù)據(jù)字段方式表達，SIM卡中存有三類數(shù)據(jù)信息

9、： (1)與持卡者相關的信息以及SIM卡將來準備提供的所有業(yè)務信息，這種類型的數(shù)據(jù)存儲在根目錄下。 (2)GSM應用中特有的信息，這種類型的數(shù)據(jù)存儲在GSM目錄下。 (3)GSM應用所使用的信息，此信息可與其它電信應用或業(yè)務共享，位于電信目錄下。 即在根目錄下有三個應用目錄，一個屬于行政主管部門應用目錄，兩個屬于技術管理的應用目錄，分別是GSM應用目錄和電信應用目錄。所有的目錄下均為數(shù)據(jù)字段，有二進制的和格式化的數(shù)據(jù)字段。數(shù)據(jù)字段中的信息有的是永存性的即不能更新的，有的是暫存的，需要更新的。每個數(shù)據(jù)字段都要表達出它的用途、更新程度、數(shù)據(jù)字段的特性(如識別符)、類型是二進制的還是格式化的等。 下

10、面按GSM的Phasel（階段1）和Phase2（階段2）兩種情況對SIM卡的數(shù)據(jù)格式進行說明： (1) Phasel <1> GSM系統(tǒng)參數(shù) 在階段l時，所選GSM系統(tǒng)參數(shù)數(shù)據(jù)項目如圖所示。其中6F38業(yè)務表中選有五項開放業(yè)務： GSM階段1系統(tǒng)參數(shù)數(shù)據(jù)所選項 標識符名稱長度6FAD管理(Administrative)36F38業(yè)務表(Service Table)46F07IMSI96F7B禁止PLMN(Forbidden PLMN)126F7ETMSI LAI116F20Kc, n96F30PLMN選擇(PLMN Selector)246F74BCCH信息(BCCH Infor

11、mation)166F78接入控制(Access Control)2業(yè)務1(Servicel)：PIN碼取消(PINDisabling) 業(yè)務2(Service 2)：縮位撥號(Abbreviated Dialing Numbers) 業(yè)務4(Service 4)：短消息存儲(Short Message Storage) 業(yè)務6(Service 6)：容量配置參數(shù)(Capability Configuration Parameters) 業(yè)務7(Service 7)：PLMN選擇(PLMN Selector) 業(yè)務3、業(yè)務5和業(yè)務8在Phase 1中不開放，6F78接入控制采用低級等級。 &l

12、t;2> 電信業(yè)務參數(shù) GSM階段1電信業(yè)務所選項 標識符名稱長度6F3A縮位撥號(Abbreviated Dialing Numbers)50 × 226F3D容量配置參數(shù)(Capability Config Parameters)1 × 146F3C短消息存儲(Short Message Storage)5 ×1766F39話費計數(shù)(Charging Counter)2(2) Phase 2 <1> GSM系統(tǒng)參數(shù) 在階段2時，GSM系統(tǒng)參數(shù)數(shù)據(jù)所選項目如圖所示。其中6F38業(yè)務表在Phasel的基礎上增加的業(yè)務有： GSM階段2系統(tǒng)參數(shù)數(shù)據(jù)

13、所選項 標識符名稱長度6F05語種選擇(Language Preference)46F07IMSI96F20Kc, n96F30PLMN選擇(PLMN Selector)426F31HPLMN搜索(HPLMN Search)16F38業(yè)務表(Service Table)46F45小區(qū)廣播消息標識(Cell Broad Message ID)86F74BCCH消息(BCCH Information)166F78接入控制(Access Control)26F7B禁止PLMN(Forbidden PLMN)126F7ETMSI LAI116FAD管理數(shù)據(jù)(Admin Data)36FAEPhase

14、識別(Phase Identify)2業(yè)務9 (Service 9)：MSISDN 業(yè)務10 (Service l0)：擴展1文件(Extension l file) 業(yè)務12 (service l2)：短消息參數(shù)(short Message Parameters) 業(yè)務13 (Service l3)：最后撥號存儲(Last Number Dialed) 業(yè)務14 (service l4)：小區(qū)廣播消息識別(cell Broadcasting Message Identifier fi1e) 業(yè)務3、業(yè)務5、業(yè)務8和業(yè)務11在Phase2中不開放，6F78接入控制采用低級等級。 <2&g

15、t; 電信業(yè)務參數(shù) GSM階段2電信業(yè)務所選項 標識符名稱6F3A縮位撥號(Abbreviated Dialing)6F3C短消息存儲(Short Message Storage)6F3D容量配置參數(shù)(Capability Config)6D40MSISDN6F42短消息存儲參數(shù)(SMS Parameters)6F43短消息存儲狀態(tài)(SMS Status)6F44最后撥號存儲(Last Number Dialed)6F4A擴展1文件(Extension 1 file)四、SIM卡應用 1、SIM卡編號 SIM卡背面的20位數(shù)字所代表的含義如下： 前6位（898600）：中國的代號； 第7位：業(yè)

16、務接入號，對應于135、136、137、138、139中的5、6、7、8、9； 第8位：SIM卡的功能位：暫定為0； 第9、10位：各省的編碼； 第11、12位：年號； 第13位：供應商代碼； 第1419位：用戶識別碼； 第20位：校驗位。 2、 SIM卡密碼 （1）、PIN碼 PIN碼（PersonalIdentityNumber）：個人識別碼，也叫PIN1碼，長4位，由用戶自己設定（初始值為1234或0000），屬于SIM卡的密碼，用來保護SIM卡的安全，防止SIM卡未經(jīng)授權而被使用。初始狀態(tài)是不激活的。啟動該功能后，每次用戶重新開機，GSM系統(tǒng)就要和手機之間進行自動鑒權，判斷SIM卡的合

17、法性，只有在系統(tǒng)認可后，才為該用戶提供服務。 用戶在啟動PIN碼保護功能后不慎將PIN碼忘記，在錯誤的輸入三次PIN碼后SIM自動上鎖，手機無法接入網(wǎng)絡，提示要求輸入PUK碼。此時若您不知道PUK碼，那么請不要再嘗試輸入PIN碼了，請攜帶有關憑證和手機到當?shù)剡\營商的營業(yè)廳去解開，也可撥打服務電話獲得。若您輸入10次錯誤的PIN碼，那么SIM卡的自毀程序?qū)⒆詣訂?，將SIM燒毀，使用戶得不償失。 （2）、PIN2碼 PIN2碼：PIN2碼也是SIM卡的密碼，它跟網(wǎng)絡計費和SIM卡內(nèi)部資料的修改有關。手機上的“計費”功能需要PIN2碼支持。GSM協(xié)議支持手機隨時查詢已通話的支出，目前國內(nèi)運營商在部

18、分地區(qū)開通此項業(yè)務，用戶可以得到自己的PIN2碼。 （3）、PUK碼 PUK碼（PINUnblockingKey）：PUK碼是解PIN碼的萬能鎖，每張SIM卡有各自對應的PUK碼，長8位，可以交由用戶自己管理，也可以由網(wǎng)絡運營商控制。目前國內(nèi)運營商基本都已開通查詢PUK碼的業(yè)務，用戶可以自己管理PUK碼。 （4）、PUK2碼 PUK2碼（PIN2 Unblocking key）：PUK碼是解PIN2碼的萬能鎖，每張SIM卡有各自對應的PUK2碼，長8位，可以交由用戶自己管理，也可以由網(wǎng)絡運營商控制。目前國內(nèi)部分地區(qū)的運營商開通了PUK2碼的業(yè)務，用戶可以自己管理PUK2碼。 3、SIM卡使用

19、SIM卡在日常使用中一是請勿將卡彎曲，卡上的金屬芯片更應小心保護，保持金屬芯片清潔（可用酒精棉球輕擦），避免沾染塵埃及化學物品；二是為保護金屬芯片，請避免經(jīng)常將SIM卡從手機中抽出；請勿將SIM卡置于超過85度或低于-35度的環(huán)境中；在取出或放入SIM卡前，請先關閉手機電源；三是最好不要用手去觸摸那些觸點，以防止靜電損壞。 SIM卡的使用是有一定年限的。一般來說，它的物理壽命是取決于客戶的插拔次數(shù)，約在1萬次左右；而集成電路芯片的壽命取決于數(shù)據(jù)存儲器的寫入次數(shù)，不同廠家其指標有所不同，就Motorola生產(chǎn)的SIM卡經(jīng)試驗室試驗約為5萬次。SIM卡的平均壽命約為4年。 4、SIM卡知識進階 （

20、1）、SIM卡內(nèi)保存的數(shù)據(jù)可以歸納為以下四種類型： <1>由SIM卡生產(chǎn)廠商存入的系統(tǒng)原始數(shù)據(jù)。 <2>由GSM網(wǎng)絡運營部門或者其他經(jīng)營部門在將卡發(fā)放給用戶時注入的網(wǎng)絡參數(shù)和用戶數(shù)據(jù)。包括： *鑒權和加密信息Ki（Kc算法輸入?yún)?shù)之一密匙號）； *國際移動用戶識別碼（IMSI）； *A3：IMSI認證算法； *A5：加密密匙生成算法； *A8：密匙（Kc）生成前，用戶密匙（Kc）生成算法；(這三種算法均為128位) <3>用戶自己存入的數(shù)據(jù)。如短消息、固定撥號、縮位撥號、性能參數(shù)、話費記數(shù)等。 <4>用戶在用卡過程中自動存入和更新的網(wǎng)絡接續(xù)和用戶

21、信息類數(shù)據(jù)。包括最近一次位置登記時的手機所在位置區(qū)識別號（LAI），設置的周期性位置更新間隔時間，臨時移動用戶號（TMSI）等。 這些數(shù)據(jù)都存放在各自的目錄項內(nèi)，第一類數(shù)據(jù)放在根目錄，當電源開啟后首先進入根目錄，再根據(jù)指令進入相關的子目錄，每種目錄極其內(nèi)部的數(shù)據(jù)域均有各自的識別碼保護，只有經(jīng)過核對判別以后才能對數(shù)據(jù)域中的數(shù)據(jù)進行查詢，讀出和更新。上面第一類數(shù)據(jù)通常屬永久性的數(shù)據(jù)，由SIM卡生產(chǎn)廠商注入以后無法更改，第二類數(shù)據(jù)只有網(wǎng)絡運行部門的專門機構才允許查閱和更新，再第三、四類數(shù)據(jù)中的大部分允許用戶利用任何手機對其進行讀/寫操作。 (2)、在下一章節(jié)中需要用到國際移動設備識別碼IMEI和國際

22、移動用戶識別碼IMSI，這里先做一簡單介紹。 國際移動設備識別碼IMEI(InternationalMobileEquipment Identification Number)是區(qū)別移動臺設備的標志，儲存在移動設備中，可用于監(jiān)控被竊或無效的移動設備。IMEI組成如圖所示，移動終端通過鍵入*#06#可以查得。其總長為15位，每位數(shù)字僅使用09的數(shù)字。 TAC：型號裝配碼，由歐洲型號標準中心分配。 FAC：裝配廠家號碼。 SNR：產(chǎn)品序號，用于區(qū)別同一個TAC和FAC中的每臺移動設備。 SP：備用。 國際移動用戶識別碼IMSI(InternationalMobileSubscriberIdenti

23、fication Number)是區(qū)別移動用戶的標志，儲存在SIM卡中，可用于區(qū)別移動用戶的有效信息。IMSI組成如圖所示，其總長度不超過15位，每位數(shù)字僅使用09的數(shù)字。 MCC：移動用戶所屬國家代號，占3位數(shù)字，中國的MCC規(guī)定為460。 MNC：移動網(wǎng)號碼，最多由兩位數(shù)字組成。用于識別移動用戶所歸屬的移動通信網(wǎng)。 MSIN：移動用戶識別碼，用以識別某一移動通信網(wǎng)中的移動用戶。 四、安全缺陷分析 1、安全分析 （1）、SIM卡 SIM卡中最敏感的數(shù)據(jù)是保密算法A3、A8算法、密鑰Ki、PIN、PUK和Kc。A3、A8算法是在生產(chǎn)SIM卡的同時寫入的，一般人無法讀取A3、A8算法；HN碼可由

24、客戶在手機上自行設定；PUK碼由運營者持有；Kc是在加密過程中由Ki導出；Ki需要根據(jù)客戶的IMSI和寫卡時用的母鑰(Kki)，由運營部門提供的一種高級算法DES，即KiDES(IMSI，Kki)，經(jīng)寫卡機產(chǎn)生并寫入SIM卡中，同時要將IMSI、Ki這一對數(shù)據(jù)送入GSM網(wǎng)路單元AUC鑒權中心。 如何保證Ki在傳送過程中安全保密是一件非常重要的事情。Ki在寫卡時生成，同時加密，然后進入HLRAUC后再解密，那么連寫卡和HLRAUC的操作人員也不知道Ki的真實數(shù)據(jù)。 一般流行的做法是用一高級方程DES對Ki進行加密，DES方程需要一把密鑰Kdes，加密和解密都用同一把密鑰。由運營部門提供DES方程

25、給HLRAUC設備供應商，運營部門制定嚴格的保密制度，管理好密鑰Kdes就能保證Ki傳遞的安全性，此過程如圖所示。 SIM卡寫卡流程 由此可見，SIM卡自身的加密措施是十分完備的。 （2）、空中接口 GSM系統(tǒng)為了保證通信安全，尤其是空中接口不受侵犯，采取了特別的鑒權與加密措施，來確保移動臺的合法性以及防止第三者對通話進行竊聽。所使用的加解密算法以及安全措施從理論上來說是不可逆的。這里主要介紹SIM卡，對GSM系統(tǒng)對于空中接口的控制與管理就不詳細敘述了。 2、 SIM卡整體復制 目前出現(xiàn)了許多MAGICSIM、SUPERSIM等手機智能卡，配合專用的SIM卡讀寫卡起便可實現(xiàn)在1張空白的卡上同時

26、“燒”進不同地區(qū)的16個手機卡號，可供用戶使用手機STK功能*隨時切換使用其中任何一個號碼使用，也可將一個號碼“燒”進多張手機SIM卡。設備如圖所示 上圖是這類SIM卡內(nèi)部簡單電路，是使用單片機PIC16F84和一片擴展存儲器24LC16（2K）構成的。 下面，從理論層來進行分析： 下圖為GSM系統(tǒng)設備識別程序，通過IMEI對用戶設備的合法性進行驗證。 在EIR中只用三種設備清單： 白名單：合法的移動設備號； 灰名單：是否允許使用由運營商決定； 黑名單：禁止使用的移動設備號； 目前，移動運營商在用戶入網(wǎng)時并沒有對移動電話機的國際移動設備識別碼（IMEI碼）實行驗證，其次，GSM系統(tǒng)為了防止非法

27、監(jiān)聽進而盜用IMSI，在無線鏈路上需要傳送IMSI時，均使用臨時移動用戶識別碼TMSI來代替IMSI。僅在位置更新失敗或MS得不到TMSI時才使用IMSI。因此，這就對SIM卡整體復制以及SIM卡的非法盜用提供了先決條件。同時，也使得GSM系統(tǒng)對移動臺的鑒權形同虛設。 實驗證明：使用兩部手機，一部使用原SIM卡，另一部使用superSIM16復制卡，在一部機拔出的時候,另一部無法工作；一部機在發(fā)短息的時候，另一部無法同時發(fā)信息；兩機同時待機,短信息和電話一般會到后開機的那一部手機上；如果關閉掉其中一部手機,有可能會出現(xiàn)暫時收不到短信息(信息延時)的情況,或者網(wǎng)絡出現(xiàn)機主關機的情況；如兩機均設置了自動選網(wǎng)，同號待機時等同于輪流待機（感覺為隨機）。 *STK STK（SIMTOOLKIT），簡稱“用戶識別應用發(fā)展工具”，可以理解為一組開發(fā)增值業(yè)務的命令，一種小型編程語言，它