主题:【原创】论山寨手机与Android联姻的技术基础 -- 邓侃
- 复 且慢下结论
家园 我知道的也就这些了 除了这个开源的以外,还有运营商商品化的例子。
att用这个东西弥补空白点, Microcell
http://gizmodo.com/5363880/att-3g-microcell-site-live-home-base-station-boosts-spotty-coverage
http://gizmodo.com/5363938/att-microcell-3g-should-users-in-known-dead-spots-get-one-free
如果你住在基站信号不好的地方,可以买一个这种小基站在家里或办公室,就不要运营商的基站了,直接连internet voip.
用这个打电话可以省点钱,att可以省一点基站的频道。
中国做一个有一点点用。生产山寨4频手机销往美国的,可以用这个测试一下能否入网。或者住在乡下信号差的地方可以用用。但中国有互联网入户连接线而没有手机信号的情况几乎不存在。
或者美国华人回国可以带一个,把美国的手机机继续在中国用。不过只能在家周围用用。
其他想不出有什么用了。
家园 玩基站不一定是要建网。 据说有人在破解GSM的通讯,搞个接收型基站可以玩“监听”,反腐“大杀器”。
家园 好像是暴力破解法,还在搞网格计算收集数据呢 不过这个网格项目要真的做成了,gsm就死的很惨了。。。
家园 这个不暴力 暴力破解法有人在做,纯算法破解。但这个不是这样的。
这个是自己建一个基站,cover住中国移动的信号,然后这个地区的
手机就通过你的基站连接。你只要直接拿电话去听就行了,根本不需要
破解。
暴力破解的还没有真正可行的面市。但自己建个伪基站转接信号是目前
可行的。
- 复 这个不暴力
家园 啊?这么简单? 问题是,手机拿着移动(联通)的密钥与你的伪基站怎么握手呢?基站之间的通讯不需要认证身份吗?
- 复 啊?这么简单?
家园 你的伪基站不再入移动的网了,而是 由voip转接到对方,即转到voip呼叫对方号码。
基站与基站之间,基站与phone之间的内容都是加密的。但你可以重定向
呼叫的号码,不暴力破解。你由voip开个三方电话会议。
手机与基站之间的通讯内容是保密的,这个密钥不去破解。你的伪基站也是标准基站,可以接受phone的信号并向外呼叫的。
也不太容易,比如如何让你要接收的手机连接伪基站而cover掉中国移动的信号。
家园 但是仍然需要解决手机与假基站的握手问题 我简单查了一下GSM协议,发现手机在线时会产生一个周期性改变的临时身份号TMSI防止有人从空中截获信号盗话,这个TMSI是由基站的鉴权中心AUC与SIM卡的IMSI,Ki等数据共同完成鉴权的。由于SIM卡上的数据是无线服务商私有的,所以联通的基站没法完成对移动手机的鉴权。同理,你的伪基站似乎也没有办法完全按照GSM协议鉴权。
是不是还有什么其他方法绕过去?类似于用voip绕过基站间通讯一样。
家园 Cellphone Encryption Code Is http://www.nytimes.com/2009/12/29/technology/29hack.html?_r=1&partner=rss&emc=rss
BERLIN — A German computer engineer said Monday that he had deciphered and published the secret code used to encrypt most of the world’s digital mobile phone calls, saying it was his attempt to expose weaknesses in the security of global wireless systems.
The action by the encryption expert, Karsten Nohl, aimed to question the effectiveness of the 21-year-old G.S.M. algorithm, a code developed in 1988 and still used to protect the privacy of 80 percent of mobile calls worldwide. (The abbreviation stands for global system for mobile communication.)
“This shows that existing G.S.M. security is inadequate,” Mr. Nohl, 28, told about 600 people attending the Chaos Communication Congress, a four-day conference of computer hackers that runs through Wednesday in Berlin. “We are trying to push operators to adopt better security measures for mobile phone calls.”
另外感兴趣的可以去看看这两个。
http://en.wikipedia.org/wiki/A5/1#Attacks_on_A5.2F1_as_used_in_GSM
http://www.blackhat.com/presentations/bh-dc-08/Steve-DHulton/Presentation/bh-dc-08-steve-dhulton.pdf
家园 我不太知道GSM细节,大体理解是这样的 你自己就是基站。你自己的基站就是鉴权中心。
Ki是和sim卡和电话号码相关的,是为了验证“手机”不会被copy.有人用copy的sim卡是可以截听信号的。但新一代sim加密
更严,大部分无法算出Ki。Ki主要是验证电话号码和sim卡号的
绑定.
而你自己就是基站,你是发出信号与sim验证的发起方。你不需要算这个Ki。
算Ki是为了copy sim卡,自己伪装成某个电话号码。这个问题对伪基站是没有的。
当然如果伪基站要跟其他移动基站连接,可能是要另外验证的。但你不需要再连入其他移动基站,你直接呼叫voip
家园 两年前有卖空白sim卡的 里面就有算Ki的程序。就是为了复制sim卡的。但新的sim加密
算法加强了,这种复制sim的方法不再有效。
家园 小点声,俺们这是给联通,移动放风呢。 2G(gsm)很不安全,大家赶快升级到3G。这鸡屁股又给抬起来了一点两点。
家园 用软件无线电就可以窃听gsm吧 有开源的软件无线电,还有对应设备卖.看那个网页很牛啊,还可以用软件无线电做合成孔径雷达,gnu radio也可以做基站,被动雷达探测,不过估计很多是号称,实际上不知道有没有作出东西来.
家园 【原创】【6】MTK手机的基带芯片 【6】MTK手机的基带芯片
MTK的硬件技术的核心,在于它的基带芯片。为了降低成本,同时缩减手机主板的面积,基带芯片中除了CPU以外,还集成了很多外设控制器。Feature Phone的功能,基本上取决于基带芯片所支持的外设功能。
最早的MT6205方案,只有GSM的基本语音功能,不支持GPRS数据通信、没有WAP、MP3等功能。
随后MT6218在MT6205基础上,增加了GPRS数据通信、WAP浏览、MP3功能。
接着MT6219在MT6218基础上,又增加了内置1.3M照相/摄像功能,同时还增加了MP4功能。
MTK再接再厉,在MT6219基础上进一步优化,开发了MT622x系列产品。例如,MT6226是一款性价比相当高的产品,内置VGA照相/摄相处理,支持 GPRS、WAP、MP3、MP4等。同时,还开发了多款衍生品,例如,MT6226M支持1.3M相机的。MT6227支持2M相机。而MT6228不仅增加了电视输出功能,同时还支持3.0M相机,等等。
从已经淡出市场的MT6205,MT6217,MT6218,MT6219,到现在仍然在市场销售的MT6223,MT6225,MT6226,MT6227,MT6228,MTK生产的所有Feature Phone的基带芯片,均采用ARM7的内核。
外链图片需谨慎,可能会被源头改Figure 34. 以MT6225基带芯片为核心的MTK主板 [30]
Courtesy http://farm3.static.flickr.com/2625/4194503831_d5fbf67d28_o.png
外链图片需谨慎,可能会被源头改Figure 35. MT6225 Architecture [31,32,33,34]
Courtesy http://farm3.static.flickr.com/2735/4210933610_15de4f53c2_o.png
在Figure 34中,整个MTK手机主板的核心,是红线标出的MT6225基带芯片。虽然MT6225芯片的尺寸很小,但是它包含的功能却不少,参见Figure 35。
以MT6225基带芯片为核心,加上电源管理芯片(PMIC)例如MT6318,还有射频芯片例如MT6139,另外再加上Flash存储芯片,就构成了 MTK手机主板的基石。把这些芯片的引脚,连接上天线,LCD显示屏,SIM卡槽,扬声器麦克风等等外围设备,就实现了一个完整的Feature Phone的基本功能。
MT6225芯片的核心,是ARM7EJ-S微处理器(Micro Controller Unit,MCU)。ARM7EJ-S微处理器的基本任务,是执行最基本的计算机指令(Instruction Set),例如move,add,branch,shift,and,push/pop等等[34],学过汇编语言的同学应该不陌生。
外链图片需谨慎,可能会被源头改Figure 36. ARMv5TEJ CPU Core Block Diagram[34]
Courtesy http://farm3.static.flickr.com/2600/4216312750_de8d884003_o.png
在ARM7EJ-S微处理器内部,又可以细分为多个模块。其中,负责执行机器指令的模块,是ARMv5TEJ CPU内核。
指令执行的物理实现方式,决定了CPU内核的结构。CPU内核结构的设计,包括如何设置memory和register,如何读入数据以及移出数据,如何处理address,interrupt,exception,等等。ARMv5TEJ CPU内核的物理结构,如Figure 36所示。图中显示了CPU内部各个物理模块,以及各个模块之间相互勾连的组织方式。其中包括数据处理模块,如load/move,算术运算模块,如 add/multiply,以及数位操作模块,如shift/rotate,等等。
ARMv5TEJ这个CPU内核型号中,v5代表第5号版本的ARM指令集,以及相应的CPU内核物理结构。ARMv5TEJ CPU内核被运用在多款微处理器中,包括ARM7EJ-S和ARM926EJ-S。StrongARM系列微处理器的CPU内核是v4,ARM11系列的CPU大多是v6,而ARM Cortex的CPU则是v7[36,37,38]。
虽然ARM有不同版本的指令集,但是这些指令的物理意义大同小异,不同之处在于指令数量的多寡,以及指令的语法规则的调整。不管是哪一个版本,ARM的指令集都属于精简指令集RISC系列。RISC(Reduced Instruction Set Computer)的设计宗旨,是把逻辑复杂的指令,分解为一连串简单的基本指令,而RISC指令集只包含这些基本指令。RISC的好处是,逻辑电路简单,体积小,同时可以通过提高频率的办法,提高CPU运行速度。但是代价是增加了CPU与Memory之间数据交换的负担。
有些人不同意RISC的思路,他们认为,单纯提高CPU的频率,并不能提高整个系统的运行效率,理由是Memory的IO速度比CPU慢,拖了整个系统的后腿。所以,为了提高系统的运行效率,应该设法降低CPU与Memory之间的数据交换。这种批评来自于老牌的CISC阵营。CISC代表(Complex Instruction Set Computer)复杂指令集。从名称中就可以猜到,CISC与RISC的主要区别,在于CPU指令的数量。RISC主张减少指令数量,以便精简CPU物理结构。而CISC主张增加CPU指令的数量,提高CPU运行效率[39],例如Intel的x86 CPU系列。
来自CISC阵营的批评很有道理。于是,ARM的设计者们在两个方面改进了ARM微处理器的设计,1. 扩展指令集,2. 添加memory管理的模块。
1. 扩展指令集。
前文说到,ARMv5TEJ是一款CPU内核的型号名称,其中v5代表第5版本的CPU内核,T代表Thumb指令集,J代表Java bytecode指令集。
ARM原有的指令都是32-bit,而Thumb指令只有16-bit。Thumb指令集基本上是原有ARM指令集的一个子集,通过压缩参数数量的办法,降低指令长度。降低指令长度的目的,是变相降低CPU与Memory之间的IO,从而提高运行效率。但是压缩参数数量,等同于弱化了微处理器的灵活性,降低了它的功能。为了解决这个问题,ARM采取了同时支持原有ARM指令集以及Thumb指令集的办法。通过识别指令的类别,对这两个指令集,分别处理。
除了支持Thumb指令集以外,ARMv5TEJ微处理器还同时支持8-bit的Java bytecode。负责执行Java bytecode指令的,是Jazelle模块。
至于ARMv5TEJ中那个“E”,意思是该微处理器还支持专为数字信号处理(DSP)设计的特殊指令集。
2. 添加memory管理的模块。
前文还说到,ARMv5TEJ CPU内核被运用在多款微处理器中,包括ARM7EJ-S和ARM926EJ-S。这两款微处理器的型号中都带有“-S”后缀,代表可合成(Synthesis),意味着购买此微处理器技术的客户,可以自行对微处理器结构做进一步修改,例如改变频率,扩展指令集等等。例如,前面Figure 35描述了MT6225芯片的内部结构,其中包括嵌入的ARM7EJ-S微处理器部分。
外链图片需谨慎,可能会被源头改Figure 37. Comparison of ARM7EJ-S and ARM926EJ-S Architectures [36].
Courtesy http://farm3.static.flickr.com/2547/4215334659_3c87870224_o.png
Figure 37对比了ARM7EJ-S与ARM926EJ-S两款微处理器的逻辑结构。ARM7EJ-S微处理器的逻辑结构,如Figure 37中左侧所示。这款微处理器的结构很简单,以ARMv5TEJ为CPU内核,辅以数据总线接口,用来接收来自外部的控制指令,以及交换数据。另外,还设有与其它芯片协同工作的接口,以及Embedded Trace Macrocell(ETM)接口,用来跟踪和调试CPU内部工作状态。
Figure 37中右侧图,显示的是ARM926EJ-S微处理器的逻辑结构。对比ARM7EJ-S与ARM926EJ-S,后者复杂很多。但是概括一下,ARM926EJ-S结构的调整,着力于两个方面,1. ARM7遵循的是冯诺依曼结构,而ARM9转变成了Harvard结构,也就是把指令与数据分开处理[45]。2. 增添了核内缓存(Cache),以及与紧致内存(Tightly Coupled Memory,TCM)的接口[46,47],此外,还增添了MMU(Memory Management Unit),强化对内存的管理。
由于ARM7系列微处理器内部没有MMU,所以ARM7系列无法实现虚拟内存。没有虚拟内存的后果是,系统和应用程序运行在同一个空间中。这样一来,就无法限制应用程序的权限,从而有可能让恶意程序钻空子,获取整个操作系统的控制权,然后为所欲为。典型的案例就是死机短信[49],这条短信利用了短信处理程序中的bug,造成黑屏和抖动,让手机系统失常。
从ARM的网站上可以查到,MTK直接从ARM购买的生产许可证,仅限于ARM7系列,包括ARM7TDMI,ARM7TDMI-S,ARM7EJ-S[40]。这个局面,一直延续到2007年9月10日才发生改变,当时MTK收购了ADI旗下SoftFone手机芯片系列。MTK此举的目的,主要是着眼于ADI在3G上的专利,但是MTK同时间接获得了ARM9和ARM9E系列的生产许可证,可谓一箭双雕。
从此MTK基带芯片产品,有两个系列,嫡系的MT系列与兼并来的SoftFone系列[42]。在MT系列中,编号小于MT6235的各款芯片,内核均为ARM7系列。而SoftFone系列各款芯片中,有的以ARM7系列为内核,也有的以ARM9系列为内核,ARM9系列中使用最多的,是ARM926EJ-S这一款微处理器[43]。
回顾历史,MTK通过不断地优化升级自己的芯片,从而确定并扩大自己的市场地位。延续这一做法,是否能够保持MTK的发展势头呢?不一定。MTK的传统领地在于Feature Phone,但是Feature Phone正在迅速地被Smart Phone淘汰。MTK如何跟上Smart Phone浪潮呢?且听下回分解。
Reference,
[30] 山寨手机存活的理由。(http://tech.sina.com.cn/mobile/n/2008-06-12/10122253121.shtml)
[31] MT6225芯片简介。(http://www.study-kit.com/list.asp?ProdId=0203)
[32] MTK6225内部结构简述。(http://weboch.cn.alibaba.com/athena/offerdetail/sale/weboch-50910-483309568.html)
[33] AM7EJ-S Introduction. (http://www.arm.com/products/CPUs/ARM7EJSCore.html)
[34] ARM7EJ-S Technical Reference Manual. (http://infocenter.arm.com/help/topic/com.arm.doc.ddi0214b/index.html)
[35] ARM926EJ-S Technical Reference Manual. (http://infocenter.arm.com/help/topic/com.arm.doc.ddi0222b/index.html)
[36] ARM Processor Survey. (http://en.wikipedia.org/wiki/ARM_architecture)
[37] ARM Processor Selector. (http://www.arm.com/products/CPUs/core_selector.html)
[38] ARM Core Overview. (http://digital.knu.ac.kr/lecture/%EC%82%BC%EC%84%B1%ED%85%8C%ED%81%AC%EB%85%B8MBA/2_arm_core.pdf)
[39] RISC vs CISC. (http://www.pic24micro.com/cisc_vs_risc.html)
[40] ARM Processor Licensees. (http://www.arm.com/products/licensing/licencees.html)
[41] MTK收购ADI手机芯片产品线。(http://www.esmchina.com/ART_8800078804_1400_2101_3101_4300_b1c7f2ad.HTM)
[42] MTK Product Lines. (http://www.mediatek.com/en/product/list.php?cata1=1)
[43] MTK SoftFone Product Line. (http://www.mediatek.com/en/product/list.php?cata3=2)
[44] MTK常用术语缩写。(http://www.mtkmtk.com/html/download/mtkmmi/2009/0717/4109.html)
[45] Difference of ARM9 from ARM7. (http://en.wikipedia.org/wiki/ARM9)
[46] 对ARM紧致内存的理解。(http://hi.bccn.net/space-21499-do-blog-id-15164.html)
[47] ARM Technical Reference, Tightly Coupled Memory (TCM). (http://infocenter.arm.com/help/topic/com.arm.doc.ddi0338g/Chdhbjjb.html)
[48] Introduction to MMU. (http://en.wikipedia.org/wiki/Memory_management_unit)
[49] 让你手机死机黑屏的短信。(http://www.177hy.com/bbs/viewthread.php?tid=69038)