SIM卡的技术及复制问题

SIM 卡技术简介一、概述移动电话机与 SIM卡共同构成移动通信终端设备。无论是GSM系统还是CDMA系统，数字移动电话机用户在“入网”时会得到一张 SIM 卡（ SubscriberIdentityModule ）或 UIM 卡（Useridentity Module ）。SIM卡是一张符合 GSM规范的“智慧卡”，可以插入任何一部 符合GSM规范的移动电话中，实现“电话号码随卡不随机的功能”，而且通话费用自动计入持卡用户的账单上，与手机无关。二、 SIM 卡硬件特性1、外部特征在实际使用中有两种功能相同而形式不同的SIM卡：卡片式（俗称大卡）SIM卡，这种形式的 SIM卡符合有关IC卡的ISO7816标准，类似IC 卡。嵌入式（俗称小卡）SIM卡，其大小只有25mr 15mn,是半永久性地装入到移动台设备中 的卡。“大卡”上真正起作用的是它上面的那张“小卡”， 而“小卡”上起作用的部分则是卡 面上的铜制接口及其内部胶封的卡内逻辑电路。 目前国内流行样式是“小卡”， 小卡也可以 换成“大卡”（需加装一卡托）。“大卡”和“小卡”分别适用于不同类型的GSM移动电话，早期机型如摩托罗拉 GC87C 308C等手机用的是“大卡”，而目前新出的机型基本上都使用“小卡”。2、SIM 卡接口SIM卡是通过卡面上铜制接口来连接卡内逻辑电路与移动终端的，SIM卡芯片有八个触点，通常与移动设备连接需要六个触点，具体接口定义如下图所示：数尿端口 I/O时点中L LK编程7X一=肓命RST、屯源VlLU3、内部结构SIM卡是一个装有微处理器的芯片卡，它的内部有5个模块，并且每个模块都对应一个功能：微处理器 CPU（ 8位）、程序存储器 ROM（3-8kbit ）、工作存储器 RAM（ 6-16kbit）数据存储器EEPROM128-256kbit 、和串行通信单元。这 5个模块被胶封在 SIM卡铜制接 口后与普通IC卡封装方式相同。这五个模块必须集成在一块集成电路中，否则其安全性会受到威胁。因为，芯片间的连线可能成为非法存取和盗用SIM卡的重要线索。SIM卡同手机连接时至少需要5条连接线（通常编程口未定义）数据 I/O 口（ Data）复位（RST接地端（GND电源（Vcc）时钟（CLK、如上图所示。SIM卡的供电分为5V （1998年前发行）、5V与3V兼容、3V、等，当然这些卡必须与相应的移动电话机配合使用，即移动电话机产生的 SIM卡供电电压与该 SIM卡所需的电压相匹配。卡电路中的电源 VCC地GND是卡电路工作的必要条件。卡电源用万用表就可以检测到。SIM卡插入移动电话机后，电源端口提供电源给SIM卡内各模块。检测SIM卡存在与否的信号只在开机瞬时产生，当开机检测不到 SIM卡存在时，将提示“ InsertCard （插入卡）”；如果检测 SIM 卡已存在，但机卡之间的通信不能实现，会显示“CheckCard （检查卡）”；当 SIM卡对开机检测信号没有响应时，移动电话也会提示“InsertCard （插入卡）”；当SIM卡在开机使用过程中掉电、由于松动接触不良或使用报 废卡时，移动电话会提示“ Bad Card/SIM Error ”。对于卡电路中的 SIM_I/O、SIM_CLK SIM_RST全部是由CPU的控制来实现的。虽然基 站与网络之间的数据沟通随时随地进行着， 但确定哪个时刻数据沟通往往很难。 有一点可以 肯定， 当移动电话机开机时刻与网络进行鉴权时必有数据沟通，这时尽管时间很短， 但测量一定有数据， 所以我们在判定卡电路故障时， 在这个时隙上进行监测为最佳监测时间。 正常 开机的移动电话机，在 SIM卡座上用示波器可以测量到SIM_I/O、SIM_CLK SIM_RST信号，它们一般是一个3V左右的脉冲。若检测不到，说明SIM卡座供电开关管周边电阻、电容元件脱焊、SIM卡卡座脱焊，也有可能是卡座接触不良，SIM卡表面氧化或是报废卡。当手机开机时，手机需要与SIM卡进行数据交换，用示波器可以在 SIM卡卡座上检测到 一些数据信号， 没插卡时， 这些信号不会送出。 可谓“瞬间即逝”， 但可以用示波器捕捉到， 以此判别SIM卡电路有无故障。SIM卡触点电性能表示触点低电平高电平Vcc- U=+5 10%I=10mA RSTW U +, I=200uA 4V U Vcc, l=20uA CLK U +, I=200uA U Vcc, l=200uA GND - - Vpp - +5V 10% I/O 输入 OVW U, I=1mA U Vcc, I=20uA I/O 输出 OVW U, I=1mA w U256kbit*JGkbitThorrsonST166128册SktittafI26kbitp2kbit*ST16*36伍屮I6kbit2 5 6k bit*Skbit三、SIM卡软件特性SIM卡采用新的单片机及存储器管理结构，因此处理功能大大增强。其智能特性的逻辑结构是树型结构。全部特性参数信息都是用数据字段方式表达，SIM卡中存有三类数据信息: 储在根目录下。(2) GSM应用中特有的信息，这种类型的数据存储在GSM目录下。(3) GSM应用所使用的信息，此信息可与其它电信应用或业务共享，位于电信目录下。即在根目录下有三个应用目录，一个属于行政主管部门应用目录，两个属于技术管理的应用目录，分别是GSM应用目录和电信应用目录。所有的目录下均为数据字段，有二进制的和格式化的数据字段。 数据字段中的信息有的是永存性的即不能更新的，有的是暂存的，需要更新的。每个数据字段都要表达出它的用途、更新程度、数据字段的特性(如识别符)、类型是二进制的还是格式化的等。下面按GSM勺Phasel (阶段1)和Phase2 (阶段2)两种情况对SIM卡的数据格式进行 说明：(1) Phasel GSM系统参数在阶段I时，所选GSM系统参数数据项目如图所示。其中6F38业务表中选有五项开放业务：GSM阶段1系统参数数据所选项标识符名称长度6FAD管理(Admi nistrative)36F38业务表(Service Table)46F07IMSI96F7B禁止 PLMN(Forbidden PLMN)126F7ETMSI LAI116F20Kc, n96F30PLMN选择(PLMN Selector)246F74BCCH言息(BCCH Information)166F78接入控制(Access Control)2业务 1(Servicel)PIN 码取消(PINDisabling)业务 2(Service 2):缩位拨号(Abbreviated Dialing Numbers)业务 4(Service 4):短消息存储(Short Message Storage)业务 6(Service 6):容量配置参数(Capability Configuration Parameters)业务 7(Service 7)PLMN选择(PLMN Selector)业务3、业务5和业务8在Phase 1中不开放，6F78接入控制采用低级等级。电信业务参数GSM阶段1电信业务所选项标识符名称长度6F3A缩位拨号(Abbreviated Dialing Numbers)50 X 226F3D容量配置参数(Capability Config Parameters)1 X 146F3C短消息存储(Short Message Storage)5 X 1766F39话费计数(Charging Counter)2 Phase 2 GSM系统参数在阶段2时，GSM系统参数数据所选项目如图所示。其中6F38业务表在Phasel的基础上增加的业务有：GSM阶段2系统参数数据所选项标识符名称长度6F05语种选择(Language Preference)46F07IMSI96F20Kc, n96F30PLMN选择(PLMN Selector)426F31HPLMN搜索(HPLMN Search)16F38业务表(Service Table)46F45小区广播消息标识(Cell Broad MessageID)86F74BCCH肖息(BCCH Information)166F78接入控制(Access Control)26F7B禁止 PLMN(Forbidden PLMN)126F7ETMSI LAI116FAD管理数据(Admin Data)36FAEPhase 识别(Phase Identify)2业务 9 (Service 9): MSISDN业务 10 (Service 10) :扩展 1 文件(Extension l file)业务 12 (service l2) :短消息参数(short Message Parameters)业务 13 (Service 13):最后拨号存储(Last Number Dialed)业务 14 (service 14):小区广播消息识别 (cell Broadcasting Message Identifierfi1e)业务3、业务5、业务8和业务11在Phase2中不开放,6F78接入控制采用低级等级。电信业务参数GSM阶段2电信业务所选项标识符名称6F3A缩位拨号(Abbreviated Dialing)6F3C短消息存储(Short Message Storage)6F3D容量配置参数(Capability Con fig)6D40MSISDN6F42短消息存储参数(SMS Parameters)6F43短消息存储状态(SMS Status)6F44最后拨号存储(Last Number Dialed)6F4A扩展 1 文件(Exte nsio n 1 file)四、SIM卡应用1、SIM卡编号SIM卡背面的20位数字所代表的含义如下：前6位(898600)：中国的代号；第7位：业务接入号，对应于 135、136、137、138、139中的5、6、7、8、9；第8位：SIM卡的功能位：暂定为 0；第 9、 10 位：各省的编码；第 11、 12 位：年号；第 13 位：供应商代码；第 14 19 位：用户识别码；第 20 位：校验位。2、SIM 卡密码（ 1）、PIN 码PIN 码（ PersonalIdentityNumber ）：个人识别码，也叫 PIN1 码，长 4 位，由用户自己 设定（初始值为1234或0000）,属于SIM卡的密码，用来保护 SIM卡的安全，防止 SIM卡 未经授权而被使用。初始状态是不激活的。启动该功能后，每次用户重新开机，GSM系统就要和手机之间进行自动鉴权，判断SIM卡的合法性，只有在系统认可后， 才为该用户提供服务。用户在启动PIN码保护功能后不慎将 PIN码忘记，在错误的输入三次 PIN码后SIM自动 上锁，手机无法接入网络，提示要求输入PUK码。此时若您不知道 PUK码，那么请不要再尝试输入 PIN 码了, 请携带有关凭证和手机到当地运营商的营业厅去解开, 也可拨打服务电话 获得。若您输入10次错误的PIN码，那么SIM卡的自毁程序将自动启动，将SIM烧毁，使用户得不偿失。（ 2）、PIN2 码PIN2码：PIN2码也是SIM卡的密码，它跟网络计费和SIM卡内部资料的修改有关。手机上的“计费”功能需要PIN2码支持。GSM协议支持手机随时查询已通话的支出，目前国内运营商在部分地区开通此项业务,用户可以得到自己的PIN2 码。（3）、PUK码PUK码（PINUnblockingKey ） : PUK码是解PIN码的万能锁，每张 SIM卡有各自对应的PUK码，长8位，可以交由用户自己管理，也可以由网络运营商控制。目前国内运营商基本都已开通查询PUK码的业务，用户可以自己管理PUK码。（4）、PUK2码PUK2（ PIN2 Unblocking key ）: PUK码是解PIN2码的万能锁，每张 SIM卡有各自对应的PUK2码，长8位，可以交由用户自己管理，也可以由网络运营商控制。目前国内部分地区的运营商开通了 PUK2码的业务，用户可以自己管理PUK2码。3、SIM卡使用SIM卡在日常使用中一是请勿将卡弯曲，卡上的金属芯片更应小心保护，保持金属芯片清洁（可用酒精棉球轻擦） ，避免沾染尘埃及化学物品；二是为保护金属芯片，请避免经常将SIM卡从手机中抽出；请勿将 SIM卡置于超过85度或低于-35度的环境中；在取出或放 入SIM卡前，请先关闭手机电源；三是最好不要用手去触摸那些触点，以防止静电损坏。SIM 卡的使用是有一定年限的。一般来说，它的物理寿命是取决于客户的插拔次数，约在 1 万次左右； 而集成电路芯片的寿命取决于数据存储器的写入次数，不同厂家其指标有所不同，就Motorola生产的SIM卡经试验室试验约为 5万次。SIM卡的平均寿命约为 4年。4、SIM卡知识进阶（1）、 SIM 卡内保存的数据可以归纳为以下四种类型：由 SIM 卡生产厂商存入的系统原始数据。由GSM网络运营部门或者其他经营部门在将卡发放给用户时注入的网络参数和用户数据。包括：*鉴权和加密信息Ki （ Kc算法输入参数之一密匙号）；*国际移动用户识别码（ IMSI）；*A3: IMSI认证算法;*A5:加密密匙生成算法；*A8:密匙（Kc）生成前，用户密匙（Kc）生成算法；（这三种算法均为128位）用户自己存入的数据。如短消息、固定拨号、缩位拨号、性能参数、话费记数等。用户在用卡过程中自动存入和更新的网络接续和用户信息类数据。包括最近一次位置登记时的手机所在位置区识别号（LAI），设置的周期性位置更新间隔时间，临时移动用户号（TMSI）等。这些数据都存放在各自的目录项内，第一类数据放在根目录，当电源开启后首先进入根目录，再根据指令进入相关的子目录，每种目录极其内部的数据域均有各自的识别码保护， 只有经过核对判别以后才能对数据域中的数据进行查询，读出和更新。上面第一类数据通常属永久性的数据，由SIM卡生产厂商注入以后无法更改，第二类数据只有网络运行部门的专 门机构才允许查阅和更新，再第三、四类数据中的大部分允许用户利用任何手机对其进行读/写操作。、在下一章节中需要用到国际移动设备识别码IMEI和国际移动用户识别码IMSI，这里先做一简单介绍。国际移动设备识别码IMEI（I nternatio nalMobileEquipme nt Ide ntificatio n Number）是区别移动台设备的标志，储存在移动设备中，可用于监控被窃或无效的移动设备。IMEI组成如图所示，移动终端通过键入 *#06#可以查得。其总长为 15位，每位数字仅使用 09 的数字。B位熬子Z位獄子位載宁1位数于TACTACSIRSFI IHI（ 15位数字）TAC型号装配码，由欧洲型号标准中心分配。FAC装配厂家号码。SNR产品序号，用于区别同一个TAC和FAC中的每台移动设备。SP:备用。国际移动用户识别码 IMSI(I nternatio nalMobileSubscriberlde ntificatio n Number)是区别移动用户的标志，储存在 SIM卡中，可用于区别移动用户的有效信息。 IMSI组成如 图所示，其总长度不超过15位，每位数字仅使用 0 9的数字。3&S字1或上应数字ICCCISIInsiiki()MCC移动用户所属国家代号，占3位数字，中国的 MCC规定为460。MNC移动网号码，最多由两位数字组成。用于识别移动用户所归属的移动通信网。MSIN:移动用户识别码，用以识别某一移动通信网中的移动用户。四、安全缺陷分析1、安全分析(1)、 SIM 卡SIM卡中最敏感的数据是保密算法A3 A8算法、密钥Ki、PIN、PUK和Kc。A3、A8算法是在生产SIM卡的同时写入的，一般人无法读取A3、A8算法；HN码可由客户在手机上自行设定；PUK码由运营者持有；Kc是在加密过程中由 Ki导出；Ki需要根据客户的IMSI和 写卡时用的母钥(Kki)，由运营部门提供的一种高级算法DES即Ki = DES(IMSI, Kki)，经写卡机产生并写入 SIM卡中，同时要将IMSI、Ki这一对数据送入 GSM网路单元AUC鉴权中心。如何保证Ki在传送过程中安全保密是一件非常重要的事情。Ki在写卡时生成，同时加密，然后进入 HLR/AUC后再解密，那么连写卡和HLR/AUC的操作人员也不知道 Ki的真实数据。一般流行的做法是用一高级方程DES对Ki进行加密，DES方程需要一把密钥 Kdes，加密和解密都用同一把密钥。由运营部门提供DES方程给HLR/AUC设备供应商，运营部门制定严格的保密制度，管理好密钥Kdes就能保证Ki传递的安全性，此过程如图所示。SIM卡写卡流程由此可见，SIM卡自身的加密措施是十分完备的。(2)、空中接口GSM系统为了保证通信安全， 尤其是空中接口不受侵犯， 采取了特别的鉴权与加密措施， 来确保移动台的合法性以及防止第三者对通话进行窃听。所使用的加解密算法以及安全措施从理论上来说是不可逆的。这里主要介绍SIM卡，对GSM系统对于空中接口的控制与管理就 不详细叙述了。2、SIM卡整体复制目前出现了许多 MAGICSIM SUPERSIM等手机智能卡，配合专用的SIM卡读写卡起便可实现在1张空白的卡上同时“烧”进不同地区的16个手机卡号，可供用户使用手机STK功SIM卡。设备1S 17 1614 13 12 11 10PTC 16FM、24LC16B能*随时切换使用其中任何一个号码使用，也可将一个号码“烧”进多张手机 如图所示r地VccC2C6空MCLR畋CiCTRB6RB79C4上图是这类SIM卡内部简单电路，是使用单片机PIC16F84和一片扩展存储器24LC16(2K)构成的。下面，从理论层来进行分析：F图为GSM系统设备识别程序，通过 IMEI对用户设备的合法性进行验证。在EIR中只用三种设备清单:白名单：合法的移动设备号；灰名单：是否允许使用由运营商决定;黑名单：禁止使用的移动设备号；ElkrMISCJVLR .1衣话好RE旳1移牌蛙昇识琳码|1IM KI|1 I |君储斯右披列入火*1 -呼 iqjSNMEI 隋*捡旬毗1按入f壊止荷就卿钱/停止亠呼Z注H思h二 1目前，移动运营商在用户入网时并没有对移动电话机的国际移动设备识别码（IMEI码）实行验证，其次，GSM系统为了防止非法监听进而盗用IMSI，在无线链路上需要传送IMSI时，均使用临时移动用户识别码TMSI来代替IMSI。仅在位置更新失败或 MS得不到TMSI时才使用IMSI。因此，这就对 SIM卡整体复制以及 SIM卡的非法盗用提供了先决条件。同时， 也使得GSM系统对移动台的鉴权形同虚设。实验证明：使用两部手机，一部使用原SIM卡，另一部使用 superSIM16复制卡，在一部机拔出的时候，另一部无法工作；一部机在发短息的时候，另一部无法同时发信息；两机 同时待机，短信息和电话一般会到后开机的那一部手机上；如果关闭掉其中一部手机，有可能 会出现暂时收不到短信息（信息延时）的情况，或者网络出现机主关机的情况；如两机均设置了自动选网，同号待机时等同于轮流待机（感觉为随机）*STKSTK（ SIMTOOLKIT,简称“用户识别应用发展工具”，可以理解为一组开发增值业务的命令，一种小型编程语言，它允许基于智能卡的用户身份识别模块SIM 运行自己的应用件。STK卡不是一般的通常使用的 SIM卡，而是基于Java语言平台的Simera32K卡片。STK 是一种小型编程语言的软件，可以固化在SIM卡中。它能够接收和发送 GSM勺短消息数据，起到 SIM 卡与短消息之间的接口的作用, 同时它还允许 SIM 卡运行自己的应用软件。 这些功 能经常被用于在可通过软件激活的电话显示屏上,用友好的文本菜单代替机械的“拨号- 收听- 应答”方式,从而允许用户通过按键轻松进行复杂的信息检索操作或交易。“移动梦网卡”就是是在普通STK功能上联合ICP应用服务的多功能 STK应用SIM卡。该产品将ICP短信应用服务以菜单的形式移植到STK卡中，增强了手机的通信能力，使手机不仅仅是一个孤立的通信工具, 而且成为了一种综合的信息终端, 让用户可以在手机上方便 地使用移动互联网业务。目前,“移动梦网卡”提供的功能有传情服务、IP 电话、股票助理、新闻信息、定位服务、娱乐休闲、实用工具、生活服务、全球通话费查询等,并根据需 要不断在开发新的服务项目。3、SIM 卡模拟器由于 SIM 卡内部属于单片机范畴,早在1998 年,国外就出现了使用 TurboPascal 编写的 SIM 卡模拟程序以及相应的外部接口电路。 它跳过了 SIM 卡,将手机与计算机结合到了一 起。通过外部电路将手机与计算机 RS-232 接口相连,在计算机上运行 SIM 卡模拟程序,模 拟 SIM 卡处理的全过程。SIM 卡。SIM 卡模拟器不同于 SIM 卡整体复制,它将卡内数据读出,并以数据格式保存在计算机 上。运行模拟程序时,这些以数据格式保存的卡内数据就相当与一张张实实在在的 所不同的是， 对照 SIM 卡内部的数据格式说明， 能实现对 SIM 卡内部数据的修改和 SIM 卡复 制等功能。这样一来，就使得SIM卡的安全性完全丧失，并对GSM系统的安全性造成一定的 威胁。五、总结虽然SIM卡同样存在安全隐患，但比起早期模拟通信系统来说已经有了长足的发展。SIM卡技术的引入，使得GSM系统在安全方面得到了极大改进。并使得无线电通信从不保密的禁区中解放出来。参考： 1、移动通信西安电子科技大学出版社2、部分资料来源与互联网