从GSM信号中截获TMSI等信息的相关信令及用法

从GSM信号中截获TMSI等信息的相关信令及用法

关键字：GSM信号截获信息信令信令用法

摘要：在GSM系统中，能够标识一个移动身份的号码有很多种，其中在空中传输最频繁也最容易被截获的号码有TMSI，IMEI，IMSI三种码，本文就主要针对这三种码在空间传送时有可能被窃听的情况，对相关信令进行处理，以期获得移动用户的身份信息。本文详细讨论了三种可行性方案，第一种可以称为被动防御式，只进行监听，第二种为积极防御式，为监听创造条件，第三种为主动防御倾向，是为获得用户的IMSI信息而对MS与BTS进行欺骗，在双方不知情的情况下取得MS移动用户的身份信息。

概述：

本文主要讨论的是从GSM信号中截获TMSI、IMSI、IMEI信息的相关信令及用法，主要的参考依据是提交的附件中的《GSM信令流程讲义》，而《附录二GSM_MS_信令流程》是在参考大量资料的基础上，对《GSM信令流程讲义》中所提到的信令流程的详尽细化，并且对其中所有流程所使用的信令都进行了详细说明。

本文主要针对监听GSM信号中的TMSI、IMSI、IMEI信息提出了三种方案，第一种可以称为被动防御式，只进行监听，即在侦听设备开机后，收集环境中所有GSM 信号，从中筛选有用信息；第二种为积极防御式，因为大多数情况下要想捕获用户开机、位置更新、短信息服务等瞬间发生的事件是有困难的，这就需要侦听设备为监听创造条件，即模仿MS或MSC等设备发送相关信令，使得这些事件再现以利于侦听设备收集信息，第三种为主动防御倾向，因为GSM系统考虑了为用户保密，在所有的业务中均使用用户临时身份码TMSI，只有开机注册时才可能出现IMSI，为获得用户的IMSI信息而对MS与BTS进行欺骗，在双方不知情的情况下取得MS移动用户的身份信息。

方案一

采取被动防御的方式，在侦听设备所处环境中收集GSM信号，参照附件中《GSM信令流程讲义》，可能在空中出现TMSI、IMSI、IMEI信息的流程主要是移动主叫流程、移动被叫流程、位置更新流程三个，现进行逐一讨论。

移动主叫流程

移动主叫流程参看《GSM信令流程讲义》图3。这个流程中以下信令会包含与身份有关的信息。

1 信道要求信令（Channel Request），此时移动台（MS）随机的选5个比特作为随机参数，获得这组随机数对侦听设备以MS身份进行活动有重大意义。

2 鉴权信令参考《附录二GSM_MS_信令流程》中的第二条有关鉴权的流程，在鉴权成功流程中由MS向MSC发送的AUTHENTICATION RESPONSE中包含了一个响应数 SRES （由RAND 和 Ki 经过 A3算法计算获得），以及MSC向MS发送的AUTHENTICATION REQUEST 消息中包含的一个随机数都有利于移动用户的身份识别。

3 TMSI再分配命令与之相关的是《附录二GSM_MS_信令流程》中的第二条生在位置更新中的信令传递，BSC通过 BTS 向 MS 发送 Immediate Assignment Command，在接到此信令后，MS 发 SABM 帧接入，BTS 回 UA帧进行确认，这两帧含有所有身份识别需要的信息，包括移动用户的TMSI信息，可以截获此信息后分析剥离出。

移动被叫流程

移动被叫流程参看《GSM信令流程讲义》图4。这个流程中以下信令会包含与身份有关的信息。

1寻呼信令 MSC发送寻呼消息，它能搜索到在寻呼范围内的被叫MS，在寻呼消息中包括四种消息：消息类型、被叫用户的IMSI、被叫用户的TMSI、小区识别表。出于安全原因，如果TMSI号码被注册使用，那它便有优先级，如果网络没有使用TMSI，那么只有IMSI，寻呼消息将以UDT（单元数据）消息格式发送给BSC，截获相关信息，可以分析得到被叫用户的TMSI。

2 信道要求信令过程同移动主叫过程中的信道要求信令。

3 鉴权过程同移动主叫过程中的鉴权。

4 TMSI再分配命令过程同主教过程中的再分配。

位置更新流程

移动被叫流程参看《GSM信令流程讲义》图5。这个流程中以下信令会包含与身份有关的信息。

1 信道要求信令过程同移动主叫过程中的信道要求信令。

2 位置更新请求与之相关的是《附录二GSM_MS_信令流程》中的第二条生在位置更新中的信令传递，BSC通过 BTS 向 MS 发送 Immediate Assignment Command，在接到此信令后，MS 发 SABM 帧接入，BTS 回 UA帧进行确认，这两帧含有所有身份识别需要的信息，包括移动用户的TMSI信息，可以截获此信息后分析剥离出。

3 识别请求信令实际上这是用来检查IMEI的一个识别过程。IMEI（国际移动设备识别码）。这种请求由设备识别寄存器（EIR）发起用以控制移动台的硬件部分。通常，不是每次呼叫建立都要做；典型值（在VLR内设置）是每20次呼叫建立检查一次。网络还要求用户的IMSI以防与网络端失去联系。举个例子，移动台想通过TMSI建立一次呼叫，但网络丢失了TMSI。这种情况下，网络除了询问移动台外没有其它方法识别用户。识别请求作为一个连接确认（CC = Connection Confirm）消息发送，而作为这个请求的响应，MS必然会将相应信息发送至EIR，侦听设备可以在此时截获该信息。

方案二

从以上的一些讨论我们可以看出，在收集到一定的基本信息之后，可以通过欺骗手段，向基站设备或者是MS发送信令使其做出相应回应，从而获得所需信息。

1 信道要求信令此信令在诸多场合会出现，因而可以很容易截获，一旦截获成功，将会获得基站在信道中识别该MS设备的信息，从而可以以该设备平等的身份收发信息。

2 鉴权信令以基站身份向MS发出此信令，会得到MS向基站发送的鉴权响应AUTHENTICATION RESPONSE中包含了一个响应数 SRES（由RAND 和 Ki 经过 A3算法计算获得），利用该信息即可得到该MS在基站控制的区域内的一些活动的权限。

3 位置更新请求《附录二GSM_MS_信令流程》中侦听设备以MS身份向MSC发送位置更新请求信令，在获得鉴权通过后即可以收到由MSC分配的新TMSI码，同时真正的MS也会收到该码并且做出相应动作，亦即移动用户的正常使用是不受影响的。

4 识别请求信令该信令由设备识别寄存器（EIR）发起用以控制移动台的硬件部分。网络还要求用户的IMSI以防与网络端失去联系。侦听设备以EIR身份向MS用户发出该命令，一旦MS接受了命令，它会向基站端发送自身IMEI信息，截获此信息即可获得该移动用户的所有硬件信息。