ＧＳＭ的安全性分析

魯　駿

【摘要】文章介紹GSM系統(tǒng)的安全體系，詳細(xì)分析了系統(tǒng)中用戶鑒權(quán)的過程及TMSI對該過程的影響，闡述了GSM的保密體制及其安全漏洞和可能受到的攻擊。

【關(guān)鍵詞】GSM 認(rèn)證 TMSI 加密 攻擊

GSM移動通信系統(tǒng)在2G系統(tǒng)中占主導(dǎo)地位，是3G系統(tǒng)的基礎(chǔ)。GSM移動通信系統(tǒng)的安全機(jī)制包括：通過對用戶的認(rèn)證來防止未授權(quán)的接入，保證用戶身份不被假冒；通過對空中接口傳輸加密以防止在無線信道上用戶信息被竊聽，保護(hù)用戶的隱私；以獨立于終端的硬件設(shè)備（SIM卡）作為安全模塊，管理用戶的各種信息，增強(qiáng)安全性；在空中接口上以臨時身份標(biāo)識代替用戶永久身份，使第三方無法在無線信道上跟蹤GSM用戶。但是，GSM系統(tǒng)在安全設(shè)計上不夠完善，隨著技術(shù)的發(fā)展，其安全缺陷逐漸暴露出來，針對GSM系統(tǒng)的安全攻擊越來越多。

1 GSM網(wǎng)絡(luò)的安全體系結(jié)構(gòu)

GSM系統(tǒng)是第一個具有安全特征的移動通信系統(tǒng)，其安全目標(biāo)是使系統(tǒng)和PSTN網(wǎng)絡(luò)一樣安全。由于GSM系統(tǒng)和PSTN的主要不同點在于無線接口，其安全特征也主要集中在無線信道連接。為防止對網(wǎng)絡(luò)的欺騙性接入并保證用戶的隱私，GSM引入了以下安全功能：

通過個人化的SIM卡和PIN碼實現(xiàn)對SIM卡的訪問控制；

通過網(wǎng)絡(luò)對用戶的身份認(rèn)證和會話密鑰管理來防止非授權(quán)接入；

無線鏈路的加密，如移動臺和基站間通信的加密；

在無線鏈路上隱藏用戶的身份，如使用臨時識別號（TMSI）來代替用戶身份識別號（IMSI）。

由于GSM系統(tǒng)使用無線信道進(jìn)行連接的特點，它所使用的加密和認(rèn)證算法都是經(jīng)過專門設(shè)計的。GSM系統(tǒng)的安全特征能夠保護(hù)運營商的網(wǎng)絡(luò)資源，通過認(rèn)證阻止非授權(quán)用戶使用網(wǎng)絡(luò)資源，從而為合法用戶使用網(wǎng)絡(luò)資源提供保證，通過加密為用戶數(shù)據(jù)和信令信息提供機(jī)密性保護(hù)。GSM系統(tǒng)的安全體系結(jié)構(gòu)由三層組成，第一層是認(rèn)證層，采用“挑戰(zhàn)－響應(yīng)”機(jī)制，用A3生成用戶認(rèn)證碼；第二層是會話密鑰生成層，用A8算法為A5加密算法提供會話密鑰；第三層為加密層，用序列密碼算法A5實現(xiàn)對用戶數(shù)據(jù)和信令數(shù)據(jù)的加密。

在GSM系統(tǒng)中，涉及用戶鑒權(quán)和加密的主要安全算法有A3、A5、A8：A3算法用于產(chǎn)生認(rèn)證碼SRES， A8算法用于產(chǎn)生會話密鑰Kc，A5算法主要用于加密用戶數(shù)據(jù)和信令數(shù)據(jù)。依據(jù)系統(tǒng)各個模塊的功能，其保存的主要安全參數(shù)和算法也各不相同，GSM系統(tǒng)主要安全參數(shù)和算法分布如下：

SIM卡：IMSI、Ki、TMSI/LAI、PIN、PUK、K、Kc、A3、A8

ME：IMEI、A5

HLR/AUC：IMSI、K、RAND、SRES、Ki、A3、A8

MSC/VLR：TMSI/LAI、IMSI、K、認(rèn)證向量（RAND、SRES、Ki）

BSC：A5

EIR：IMEI

2 GSM認(rèn)證

在GSM系統(tǒng)中，用戶身份認(rèn)證的目的一方面在于防止網(wǎng)絡(luò)的非授權(quán)訪問，另一方面在于避免假冒攻擊者接入到網(wǎng)絡(luò)中。通常將GSM系統(tǒng)中的用戶身份認(rèn)證稱為用戶鑒權(quán)。

GSM02.09中定義了GSM PLMN的用戶鑒權(quán)可以被以下幾種情況激活：

VLR/HLR中用戶相關(guān)的信息被修改；

用戶請求網(wǎng)絡(luò)服務(wù)；

在MSC/VLR重啟動后的第一次訪問網(wǎng)絡(luò)。

2.1 GSM系統(tǒng)的用戶接入身份認(rèn)證

GSM系統(tǒng)的用戶鑒權(quán)過程如圖1所示（“挑戰(zhàn)－響應(yīng)”認(rèn)證）：

整個鑒權(quán)過程可以分為兩步：

（1）用戶識別

用戶識別的目的在于找出發(fā)起鑒權(quán)請求的用戶的身份，從而在鑒權(quán)過程中能夠提取關(guān)于該用戶的秘密參數(shù)，如Ki等。GSM系統(tǒng)采用多種方式對系統(tǒng)內(nèi)部的用戶進(jìn)行識別。每個移動用戶有3種識別號碼，即國際移動設(shè)備號（IMEI）、國際移動用戶號（IMSI）、臨時移動用戶號（TMSI）。其中IMSI和TMSI用于識別發(fā)起鑒權(quán)請求的用戶身份。

當(dāng)移動用戶首次啟用或進(jìn)入一個新的位置區(qū)域時，當(dāng)?shù)氐慕粨Q機(jī)會給予一個隨機(jī)號碼作為臨時用戶號（TMSI），并通過地面網(wǎng)絡(luò)從該用戶歸屬地區(qū)的HLR中取得其IMSI，把IMSI和TMSI一起保存在VLR中。TMSI只在此位置地區(qū)有效，移動用戶如果離開該區(qū)域進(jìn)入一個新的區(qū)域，會啟動位置登記并獲得一個新的TMSI。MS端會把TMSI存入SIM卡的EEPROM中，電源關(guān)閉后仍能保持TMSI。

在MS端發(fā)起一個鑒權(quán)請求時，首先將TMSI或IMSI發(fā)送給基站，基站據(jù)此在AUC保存的數(shù)據(jù)中找出該用戶身份號對應(yīng)的用戶密鑰Ki。

（2）用戶鑒權(quán)

當(dāng)網(wǎng)絡(luò)端從AUC中獲取到用戶的Ki以后，利用隨機(jī)數(shù)發(fā)生器產(chǎn)生一個128bits的隨機(jī)數(shù)RAND并經(jīng)由無線信道發(fā)送到MS端。同時，AUC根據(jù)RAND和Ki利用認(rèn)證碼生成算法A3產(chǎn)生認(rèn)證碼SRES，并和A8算法產(chǎn)生的Kc、RAND組成一個認(rèn)證向量vector=（SRES，Kc，RAND），該認(rèn)證向量通過有線信道送往基站保存。在MS端，SIM卡在接收到挑戰(zhàn)RAND后提取內(nèi)部存儲的Ki和算法A3計算出應(yīng)答信號SRES，隨后將SRES通過無線信道發(fā)送給基站。基站在接收到SRES后與從AUC傳來的認(rèn)證向量中的SRES比較，如果二者一致，則判明用戶合法，鑒權(quán)通過；否則鑒權(quán)失敗，中止二者通信過程。鑒權(quán)通過的用戶可以用A8算法計算出會話密鑰Kc，并使用A5算法進(jìn)行加密通信。

由于A3算法具有單向函數(shù)的功能，由Ki和RAND經(jīng)A3計算出SRES很容易，而由SRES和RAND反向推導(dǎo)Ki卻比較困難。

作為GSM系統(tǒng)的認(rèn)證算法，算法的接口已經(jīng)標(biāo)準(zhǔn)化，但算法本身沒有標(biāo)準(zhǔn)化，運營商可以選擇自己的認(rèn)證算法。當(dāng)移動臺開機(jī)、位置更新和享受網(wǎng)絡(luò)服務(wù)時，都要對用戶進(jìn)行認(rèn)證。

從GSM系統(tǒng)的用戶鑒權(quán)過程可以看出，網(wǎng)絡(luò)認(rèn)證的其實是SIM卡的身份，而并非用戶本身，因此合法用戶必須保證SIM卡不丟失。SIM卡則通過PIN和PUK來鑒別其持有者身份的合法性。

2.2 TMSI對鑒權(quán)過程的影響

由于MS需要將TMSI發(fā)送給網(wǎng)絡(luò)端作為鑒權(quán)請求，因此TMSI會對鑒權(quán)過程造成一定的影響，GSM系統(tǒng)必須解決用戶第一次接入網(wǎng)絡(luò)、漫游等情況下的用戶鑒權(quán)問題。GSM02.30中規(guī)定了各種情況下鑒權(quán)的過程：

（1）用戶第一次使用移動臺時

（a）MS讀取存儲在SIM卡中缺省的TMSI；

（b）MS發(fā)送缺省的TMSI到固定網(wǎng)絡(luò)端的MSC/VLR；

（c）由于MSC/VLR不知道此TMSI，因此請求MS發(fā)送IMSI；

（d）MS發(fā)送IMSI到MSC/VLR；

（e）MSC/VLR給MS分配一個新的TMSI/LAI；

（f）MS根據(jù)新的TMSI/LAI重新發(fā)起認(rèn)證請求，按上述方式進(jìn)行認(rèn)證。

（2）MS在新的VLR使用TMSI進(jìn)行位置更新時

當(dāng)MS進(jìn)入新的VLR時，通過監(jiān)聽在廣播信道中進(jìn)行廣播的位置區(qū)域標(biāo)識LAI信息，發(fā)現(xiàn)以前存儲在SIM卡中的LAI(o)（表示舊的位置區(qū)域標(biāo)識）和現(xiàn)在接收到的LAI(n)（表示新的位置區(qū)域標(biāo)識）不相同，移動臺必須進(jìn)行新的認(rèn)證。

（a）接入SDCCH信道，在SDCCH信道上MS和MSC/VLR相互通信，MS先發(fā)送LAC(o)/TMSI(o)給新的VLR(n)；

（b）VLR(n)根據(jù)收到的TMSI(o)，發(fā)送TMSI(o)到MSC/VLR(o)；

（c）MSC/VLR(o)發(fā)送未使用過的認(rèn)證3向量組給VLR(n)；

（d）VLR(n)選擇一個認(rèn)證向量組中的隨機(jī)數(shù)發(fā)送給MS，從而完成對用戶的認(rèn)證。

（3）MS在新的VLR使用IMSI進(jìn)行IMSI位置更換時

（a）在第（2）種情形中，當(dāng)原來的MSC/VLR(o)不可達(dá)時，必須使用IMSI進(jìn)行認(rèn)證，首先MS發(fā)送IMSI給VLR(n)；

（b）VLR(n)根據(jù)IMSI確定MS的歸屬MSC/AUC，并發(fā)送請求認(rèn)證3向量組；

（c）歸屬MSC/AUC接收到請求后，產(chǎn)生認(rèn)證3向量組，并發(fā)送至MSC/VLR(n)；

（d）MSC/VLR(n)選擇一個認(rèn)證向量組中的隨機(jī)數(shù)發(fā)給MS，完成對用戶的認(rèn)證。

（4）MS在新的VLR使用TMSI進(jìn)行位置更新，但TMSI在VLR(o)沒有時

（a）當(dāng)MS進(jìn)入VLR(n)時，發(fā)送認(rèn)證LAC(o)/TMSI(o)至VLR(n)；

（b）VLR(n)根據(jù)收到的LAC(o)/TMSI(o)，發(fā)送TMSI(o)給MSC/VLR(o)；

（c）MSC/VLR(o)不知道此TMSI(o)，發(fā)送此TMSI(o)不可知給VLR(n)；

（d）VLR(n)請求MS發(fā)送IMSI；

（e）MS發(fā)送IMSI；

（f）VLR(n)請求歸屬MSC/AUC發(fā)送認(rèn)證3向量組；

（g）VLR(n)根據(jù)（3）中的步驟（c）、（d），完成對用戶的認(rèn)證。

2.3 GSM系統(tǒng)增值業(yè)務(wù)中的身份認(rèn)證

GSM系統(tǒng)的增值業(yè)務(wù)包括語音信道上的增值業(yè)務(wù)（如IP電話等）和短消息信道上的增值業(yè)務(wù)（如點播類、金融業(yè)務(wù)）。目前并沒有一個統(tǒng)一的增值業(yè)務(wù)的安全規(guī)范，對于短消息信道上的增值業(yè)務(wù)，GSM標(biāo)準(zhǔn)制定組織制定了GSM03.48，在其中給出了一個作為參考的協(xié)議標(biāo)準(zhǔn)；對于語音信道上的增值業(yè)務(wù)，主要依賴用戶鑒權(quán)過程中產(chǎn)生的秘密會話密鑰Kc來保障業(yè)務(wù)的安全。

3 GSM保密機(jī)制

3.1 GSM系統(tǒng)的加密

在GSM系統(tǒng)中，用戶數(shù)據(jù)和信令信息的加密是通過加密算法A5進(jìn)行的。GSM標(biāo)準(zhǔn)制定組織設(shè)計了A5算法，但是關(guān)于該算法的內(nèi)容和詳細(xì)描述一直沒有公開。A5算法有兩個版本：A5/1和A5/2算法，其中A5/1是強(qiáng)加密算法，嚴(yán)格受密碼產(chǎn)品出口限制，只能在CEPT成員國內(nèi)使用；而A5/2是A5/1的弱版本，可以在任何國家使用，在亞洲地區(qū)的GSM系統(tǒng)中采用的是強(qiáng)度較弱的A5/2算法。除了這兩種版本外，A5算法還有另外一種實現(xiàn)方式，稱為A5/0，即采用非加密的方式。

此外，在GSM03.20中規(guī)定GSM系統(tǒng)最多可定義7個A5算法，當(dāng)MS與網(wǎng)絡(luò)建立連接時，MS應(yīng)向網(wǎng)絡(luò)端指示通信過程使用的A5算法的版本。如果MS與網(wǎng)絡(luò)端支持至少一個相同的A5加密算法，則從中選擇一個；否則，如果網(wǎng)絡(luò)端希望以非加密方式進(jìn)行連接，則可建立非加密方式的通信。

A5算法是一個序列密碼算法，通過密鑰流與明文異或來產(chǎn)生密文。在通信的另一端，通過同樣的方式與密文異或得到明文。加密過程是由固定網(wǎng)絡(luò)端控制的，為了使兩端同步，解密首先在BSS上開始，然后BSS/MSC/VLR發(fā)送一特殊的明文給MS；當(dāng)MS正確地收到這個明文后，MS開始加密和解密。最后只有在BSS端正確解密從MS發(fā)送過來的信息和幀后，BSS端的解密才開始。

A5有兩個輸入?yún)?shù)：一個是初始密鑰Kc；另一個是TDMA序列號Fn，長度為22bits。A5產(chǎn)生一組114bits的密鑰流K。在每個時隙，即4.615ms內(nèi)，在MS端，A5算法在移動設(shè)備中實現(xiàn)，產(chǎn)生的第一個114bits的分組用于解密，第二個114bits的分組用于加密。而在BSS端，A5算法在BTS實現(xiàn)，產(chǎn)生的第一個114bits的分組用于加密，第二個114bits的分組用于解密。

A5/1和A5/2算法一直沒有被公開，因而算法的安全性受到質(zhì)疑，GSM標(biāo)準(zhǔn)制定組織迫于壓力公開了算法的部分內(nèi)容。

3.2 GSM系統(tǒng)的會話密鑰生成

在GSM系統(tǒng)中，會話密鑰Kc是在用戶認(rèn)證時產(chǎn)生的，產(chǎn)生Kc的算法被稱為A8算法。A8算法的入口參數(shù)是用戶的秘密認(rèn)證密鑰Ki和隨機(jī)數(shù)RAND，出口參數(shù)是會話密鑰Kc，即Kc＝A8（Ki，RAND）。

在MS端，Kc的計算在SIM卡中進(jìn)行；在固定網(wǎng)絡(luò)端，Kc的計算在Auc中進(jìn)行。Kc將一直被存放在SIM卡和Auc中直到下一次認(rèn)證產(chǎn)生的新認(rèn)證結(jié)果代替原來的會話密鑰。GSM標(biāo)準(zhǔn)制定組織只規(guī)定了A8算法的入口和出口參數(shù)，并沒有規(guī)定具體的實現(xiàn)方式，運營商可以選擇自己的認(rèn)證算法。大部分的GSM網(wǎng)絡(luò)運營商都選用COMP128作為A3和A8算法的實現(xiàn)。

4 GSM網(wǎng)絡(luò)存在的安全缺陷及相關(guān)的攻擊方法

4.1 GSM網(wǎng)絡(luò)的主要安全缺陷

GSM系統(tǒng)的主要業(yè)務(wù)為語音通信，因此其安全服務(wù)主要針對語音數(shù)據(jù)的保護(hù)，在GSM系統(tǒng)中主要存在以下安全性缺陷：

單向身份認(rèn)證：網(wǎng)絡(luò)認(rèn)證用戶，用戶不認(rèn)證網(wǎng)絡(luò)，無法防止假基站和中間人攻擊；

用戶身份認(rèn)證密鑰不可變更，無法抗擊重放攻擊；

Kc和SRES在網(wǎng)絡(luò)中明文傳輸，易被竊取，為竊聽帶來便利；

基站和基站之間均是明文，無加密和認(rèn)證措施；

算法設(shè)計過程不公開，安全性得不到評價；

用戶數(shù)據(jù)和信令數(shù)據(jù)缺乏完整性保護(hù)機(jī)制；

用戶處于漫游狀態(tài)時，服務(wù)網(wǎng)絡(luò)采用的認(rèn)證參數(shù)與歸屬網(wǎng)絡(luò)之間沒有有效的聯(lián)系；

無法防止來自內(nèi)部的攻擊（位置信息、消息內(nèi)容等），對于位置信息缺乏必要的保護(hù)（對外部而言）；

用戶鑒權(quán)過程中IMSI可能以明文方式在無線信道上傳送；

對系統(tǒng)的安全升級及安全功能的更改沒有詳細(xì)考慮，導(dǎo)致系統(tǒng)缺乏升級能力。

4.2 對GSM的身份認(rèn)證攻擊

GSM系統(tǒng)中的身份認(rèn)證的主要目的是防止未授權(quán)的訪問網(wǎng)絡(luò)服務(wù)。身份認(rèn)證采用的是單向認(rèn)證，即只是網(wǎng)絡(luò)認(rèn)證終端，終端無法認(rèn)證網(wǎng)絡(luò)。這樣就會有入侵者通過假冒網(wǎng)絡(luò)獲得用戶的認(rèn)證響應(yīng)，假冒用戶通過網(wǎng)絡(luò)認(rèn)證。

正常認(rèn)證流程如圖4所示：

4.3 SIM卡克隆

GSM系統(tǒng)使用了“挑戰(zhàn)－應(yīng)答”方式進(jìn)行用戶鑒權(quán)，關(guān)于用戶身份的重要秘密信息（如IMSI、Ki等）都存放在SIM卡中，因此SIM卡自然也容易成為黑客攻擊GSM系統(tǒng)的重點。SIM卡克隆就是一種典型的對SIM卡的攻擊，其目的是獲取合法SIM卡上的用戶密鑰Ki和用戶身份識別碼IMSI。IMSI可以通過多種方式獲取，如基站攻擊或者直接從SIM卡上讀取，因此Ki是SIM卡克隆攻擊的關(guān)鍵點。

SIM卡克隆攻擊主要利用了GSM系統(tǒng)單向認(rèn)證的弱點，由于SIM卡在鑒權(quán)過程中處于被動地位，無法認(rèn)證挑戰(zhàn)方的身份，因此黑客可以使用讀卡器向SIM卡發(fā)送大量的假挑戰(zhàn)，通過分析輸入和輸出數(shù)據(jù)之間的關(guān)系從而分析出Ki。計算出Ki（最長128bits）大概需要150000次計算，由于SIM卡本身的設(shè)計原理，每秒最多進(jìn)行650次攻擊。

最早的攻擊始于1998年4月，當(dāng)時加州伯克利分校的研究者們首次公布了對GSM的攻擊。伯克利研究小組的攻擊途徑相當(dāng)簡單：研究者使用給定的SIM卡，有選擇地向SIM卡發(fā)起詢問，然后分析SIM的響應(yīng)并確定響應(yīng)的密鑰Ki。攻擊利用簡單的硬件進(jìn)行，包括GSM電話/SIM卡組合、標(biāo)準(zhǔn)的智能卡閱讀器以及一臺PC。提取Ki的過程在僅僅不到8小時內(nèi)就完成了。一旦攻擊成功，將允許利用同一Ki生成SIM卡，并在網(wǎng)絡(luò)上進(jìn)行欺詐呼叫。盡管最初需要對GSM手機(jī)和SIM卡進(jìn)行一段時間的物理接觸，以完成一次成功的克隆，不過研究人員后來注意到通過空中接口進(jìn)行克隆越來越有可能。

SIM卡克隆攻擊實現(xiàn)的難度取決于關(guān)鍵的鑒權(quán)算法A3的強(qiáng)度，GSM標(biāo)準(zhǔn)中建議運營商使用自己的A3算法。由于A3和A8都是單向散列算法，因此通?？梢越y(tǒng)一實現(xiàn)，稱為A3A8算法，GSM標(biāo)準(zhǔn)制定組織也提出了COMP128算法作為A3A8算法的參考算法。COMP128是一個帶密鑰的散列函數(shù)。由于沒有設(shè)計密碼算法的能力，大多數(shù)的運營商都采用了COMP128算法作為鑒權(quán)算法。不幸的是，COMP128算法的設(shè)計過程是保密的，算法的實現(xiàn)方式和結(jié)構(gòu)也沒有公布，這使得該算法的安全性被打上了問號。在20世紀(jì)90年代中期，這些算法的有關(guān)信息慢慢泄漏給了公眾領(lǐng)域。意外得到的關(guān)于這些算法的信息與GSM體系輪廓相結(jié)合，導(dǎo)致這些算法成為業(yè)余和專業(yè)密碼學(xué)家嘗試的目標(biāo)，而更大范圍的詳細(xì)研究很快暴露了算法中一些相當(dāng)嚴(yán)重的安全缺陷。

目前在國內(nèi)已有SIM卡克隆設(shè)備出售。這種方式主要目的一般不是為竊聽，而是為竊取話費或親人朋友間共享話費。

4.4 對A5算法的攻擊

SIM卡攻擊并未涉及語音加密算法（A5），因此GSM通話不易于竊聽。只要A5是安全的，就沒有空中竊聽的風(fēng)險。

對于業(yè)界而言，A5的缺陷于1999年被發(fā)現(xiàn)，對其存在比蠻力攻擊更為可行的攻擊方法， “劃分－征服”攻擊法。這種攻擊減少了蠻力攻擊的時間復(fù)雜度，比蠻力攻擊快29～512倍甚至更多。

2000年一個安全專家小組對A5/1算法進(jìn)行密碼分析后，證實能夠在幾分鐘之內(nèi)從截取的2秒鐘通信流量里破解密鑰。，A5/1算法提供的安全層次只能防止偶爾的竊聽，而A5/2則是完全不安全的。

2003年8月，Elad Barkan、Eli Biham和Nathan Keller宣布攻破A5/2，并且能夠利用GSM協(xié)議的安全缺陷對GSM系統(tǒng)進(jìn)行主動攻擊。這種針對A5/2的唯密文攻擊只需要幾十毫秒的空中鏈路加密數(shù)據(jù)，就可以利用PC機(jī)在一秒內(nèi)獲得會話密鑰Kc，然后利用GSM網(wǎng)絡(luò)系統(tǒng)的協(xié)議漏洞，對使用A5/1的網(wǎng)絡(luò)進(jìn)行攻擊。這些攻擊主要利用了GSM網(wǎng)絡(luò)協(xié)議的安全缺陷：首先，終端與網(wǎng)絡(luò)之間發(fā)送的信令數(shù)據(jù)并沒有完整性保護(hù)和數(shù)據(jù)源認(rèn)證；其次，終端中有不同安全強(qiáng)度的密碼算法，但這些密碼算法用的密鑰是相同的，一個算法被攻破意味著其他算法的密鑰可以獲得。

以前對GSM的攻擊需要一些不太現(xiàn)實的前提條件，如比較多的已知明文，而這種攻擊卻非常實用，不需要明文信息，并且需要的密文比較少。這些攻擊可以使攻擊者竊聽和解密GSM用戶的通話，也可以挾持會話，更改空中傳輸?shù)男畔⒓凹倜昂戏ㄓ脩舯I打電話等。

4.5 對信令網(wǎng)絡(luò)的攻擊

GSM系統(tǒng)的加密只在MS和BTS間進(jìn)行，在BTS之后，通信以明文形式在網(wǎng)絡(luò)上傳輸。如果攻擊者可以訪問運營商的信令網(wǎng)絡(luò)，就可以偵聽網(wǎng)絡(luò)上傳輸?shù)娜我鈹?shù)據(jù)，包括實際的通話、RAND、SRES和Kc值。訪問信令網(wǎng)絡(luò)并不很困難，盡管BTS通常通過PCM與BSC相連，但還是有一部分是通過微波或衛(wèi)星鏈路連接的，使用特定設(shè)備訪問這種鏈路相對容易。市場上可以買到的GSM竊聽設(shè)備就是利用了這個弱點。

另外，攻擊者可以攻擊特定網(wǎng)絡(luò)的HLR。如果攻擊者可以訪問HLR，他將可以獲得所有用戶的Ki。幸運的是，一般來說HLR比網(wǎng)絡(luò)的其他部分安全。

參考文獻(xiàn)

[1]楊義先, 鈕心忻. 無線通信安全技術(shù)[M]. 北京: 北京郵電大學(xué)出版社, 2005.