3.11  保密措施

    大家都知道，GSM系统在安全性方面有了显著的改进，其主要是在下列部分
加强了保护：接入网路方面采用了对客户鉴权；无线路径上采用对通信信息
加密；对移动设备采用设备识别；对客户识别码用临时识别码保护；SMI卡用PIN码保护。

    (1)提供三参数组

    客户的鉴权与加密是通过系统提供的客户三参数组来完成的。客户三参数组的产生是在GSM系统的AUC(鉴权中心)中完成，如图3-39所示。每个客户在签约(注册登记)时，就被分配一个客户号码(客户电话号码)和客户识别码(IMSI)。IMSI通过SIM写卡机写入客户SIM卡中，同时在写卡机中又产生一个对应此IMSI的唯一的客户鉴权键Ki，它被分别存储在客户SIM卡和AUC中。AUC中还有个伪随机码发生器，用于产生一个不可预测的伪随机数(RAND)。RAND和Ki经AUC中的A8算法(也叫加密算法)产生一个Kc(密钥)，经A3算法(鉴权算法)产生一个响应数(SRES)。由产生Kc和SRES的RAND与Kc、SRES一起组成该客户的一个三参数组，传送给HLR，存储在该客户的客户资料库中。一般情况下，AUC一次产生5组三参数，传送给HLR，HLR自动存储。HLR可存储10组三参数，当MSC／VLR向HLR请求传送三参数组时，HLR又一次性地向MSC／VLR传5组三参数组。MSC／VLR一组一组地用，用到剩2组时，再向HLR请求传送三参数组。

图3-39 三参数组的提供

   (2) 鉴权

    鉴权的作用是保护网路，防止非法盗用。同时通过拒绝假冒合法客户的“ 入侵” 而保护GSM移动网路的客户。鉴权的程序见图3-40，当移动客户开机请求接入网路时，MSC／VLR通过控制信道将三参数组的一个参数伪随机数RAND传送给客户，SIM卡收到RAND后，用此RAND与SIM卡存储的客户鉴权键Ki，经同样的A3算法得出一个响应数SRES，传送给MSC／VLR。MSC／VLR将 收到的SRES与三参数组中的SRES进行比较。由于是同一RAND，同样的Ki和A3算法，因此结果SRES应相同。MSC／VLR比较的结果相同就允许接入，否则为非法客户，网路拒绝为此客户服务。

在每次登记、呼叫建立尝试、位置更新以及在补充业务的激活、去活、登记或删除之前均需要鉴权。

图3-40 鉴权

    (3) 加密

    GSM系统中的加密也只是指无线路径上的加密，是指BTS和MS之间交换客户信息和客户参数时不被非法个人或团体所得或监听，加密程序见图3-41所示。在鉴权程序中，当客户侧计算SRES   图3-39 三参数组的提供时，同时用另一算法(A8算法)也计算出密钥Kc。根据MSC／VLR发送出的加密命令，BTS侧和MS侧均开始使用Kc。在MS侧，由Kc、TDAM帧号和加密命令M一起经A5算法，对客户信息数据流进行加密(也叫扰码)，在无线路径上传送。在BTS侧，把从无线信道上收到加密信息数据流、TDMA帧号和Kc，再经过A5算法解密后，传送BSC和MSC。

所有的语音和数据均需加密，并且所有有关客户参数也均需加密。

图3-41 加密

    (4) 设备识别

    每个移动台设备均有设备识别码(1MEl)，移动台设备如允许进入运营网，必需经过欧洲型号认证中心认可，并分配一个十进制6位数字，占用IMEI 15位十进制数字的前6位设备识别的作用就是确保系统中使用的移动台设备不是盗用的或非法的。设备的识别是在设备识别寄存器EIR中完成。

    EIR中存有三种名单：

    白名单--- 包括已分配给可参与运营的GSM各国的所有设备识别序列号码。

    黑名单--- 包括所有应被禁用的设备识别码。

    灰名单--- 包括有故障的及未经型号认证的移动台设备，由网路运营者决定。

设备识别的程序见图3-42，MSC／VLR向MS请求IMEI，并将其发送给EIR，EIR将收到的IMEI与白、黑、灰三种表进行比较，把结果发送给MSC／VLR，以便MSC／VLR决定是否允许该移动台设备进入网路。

图3-42  设备识别

 何时需要设备识别取决于网路运营者。目前我国大部分省市的GSM网路均未配置此设备(EIR)，所以此保护措施也末采用。

    (5) 临时识别码(TMSI)

    临时识别码的设置是为了防止非法个人或团体通过监听无线路径上的信令交换而窃得移动客户真实的客户识别码(IMSI)或跟踪移动客户的位置。

    客户临时识别码(TMSI)是由MSC／VLR分配，并不断地进行更换，更换周期由网路运营者设置。更换的频次越快，起到的保密性越好，但对客户的SIM卡寿命有影响。

客户识别码保密程序见图3-43，每当MS用IMSI向系统请求位置更新、呼叫尝试或业务激活时，MSC／VLR对它进行鉴权。允许接入网路后，MSC／VLR产生一个新的TMSI，通过给IMSI分配  图3-43  位置更新TMIS的命令将其传送给移动台，写入客户SIM卡。此后，MSC／VLR和MS之间的命令交换就使用TMIS，客户实际的识别码IMSI便不再在无线路径上传送。

图3-43 位置更新

    (6) PIN码

    在GSM系统中，客户签约等信息均被记录在一个客户识别模块(SIM)中，此模块称作客户卡。客户卡插到某个GSM终端设备中，便视作自己的电话机，通话的计费帐单便记录在此客户卡户名下。为防止帐单上产生讹误计费，保证入局呼叫被正确传送，在SIM卡上设置了PIN码操作(类似计算机上的Password功能)。PIN码是由4～8位数字组成，其位数由客户自己决定。如客户输入了一个错误的PIN码，它会给客户一个提示，重新输入，若连续3次输入错误，SIM 卡就被闭锁，即使将SIM卡拔出或关掉手机电源也无济于事。闭锁后，还有个“个人解锁码”，是由8位数字组成的，若连续l0次输入错  误，SIM卡将再一次闭锁，这时只有到SIM卡管理中心，由SIM卡业务激活器予以解决。