伪基站系统的分析定位方法及解决建议(共14页).docx

《伪基站系统的分析定位方法及解决建议(共14页).docx》由会员分享，可在线阅读，更多相关《伪基站系统的分析定位方法及解决建议(共14页).docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上伪基站系统的分析定位方法及解决建议（一） 1 伪基站系统的概述伪基站系统是指负责把移动用户手机的链接接入到伪基站，通过伪基站获取移动手机的串号IMSI/IMEI和电话号码；系统可强行让移动手机断网，或等手机用户移动过了伪基站后再连接到移动电信运营商的真基站或常规可见的基站。2 伪基站系统的影响及发现方法2.1 伪基站系统原理2.1.1 伪基站系统图本系统采用的硬件平台组成参见图1。它由信号处理子系统（伪基站和终端信号处理子系统）、用户操控平台和系统总控单元、天线和电源等部分组成。其中，伪基站子系统的功能与商用的基站工作原理相同，是终端和无线系统互连的桥头堡。终端信号处

2、理子系统用来实现对目标所在区域移动系统无线参数的侦察。系统总控单元完成对各子系统的控制与调度、信令处理、内部通信等功能。用户操控平台提供人机界面，能够进行系统状态显示、小区状态显示、目标信息数据库的存储、系统维护等功能。3 伪基站分析定位具体案例3.1 火车站伪小区导致移动用户出专网3.1.1 问题描述近期高铁覆盖测试时，测试终端多次在火车站站台未占用铁路专网，而导致铁路测试沿途不占用专网，进而产生较多掉话与未接通事件。我们通过对火车站站台区域进行详细测试，发现火车站站台存在伪小区，伪小区BCCH频点与MBOZ的BCCH频点同频。3.1.2 问题分析（空口问题分析）经过多次测试，我们发现从西侧

3、进入站台后，会通过铁通火车站MBO直接重选至伪小区，占上伪小区（CI=10，BCCH=16）。此伪小区在站台信号强度为-50dBm左右，其中在1号站台西侧最强，-40dBm左右，占上此伪小区后，进行位置更新，位置更新失败而脱网，手机会选择至大网信号。图8所示的是测试LOG截图。图8 测试LOG截图3.1.3 信令监测火车站周边小区分析由于火车站的人流量较大，从表3和图9中可以看出，LAC65534到周边小区的位置更新次数相对比较集中。表3 LAC65534到周边小区的位置更新次数情况图9 LAC65534到周边小区的位置更新次数情况3.2 主要影响因高铁使用专网进行覆盖、覆盖铁路的专网小区采用

4、单独的BSC，LAC，除边界入口外，专网小区不存在与非专网小区不存在切入与切出关系。火车站站台覆盖小区较多，火车站3/D3/D4，沈阳村D2等小区均能覆盖到火车站台，一些区域大网信号强于专网。手机一旦重选上伪小区，因无法成功进行位置更新，必然脱网，脱网后占用大网的概率较大，导致很多时候不占用专网。3.3 某收费站伪小区与GSM小区同频同BSIC导致切换差（1）问题描述乌江3切换成功率很低，测试发现乌江收费站存在伪小区，伪小区（LAC=227 CI=10 BCCH=64 BSIC=37）与乌江3同频同BSIC（见图10）。图10 问题描述（2）问题改善考虑到伪小区频点会伪基站系统随时更新，暂修改

5、乌江3小区的BSIC 37为33，乌江3小区切换成功率恢复正常（见图11）。图11 问题改善3.4 其他人流量不大的伪小区的发现方法除火车站人流量一直较大，LAC65534向移动小区发起位置更新的次数也比较多，从A口信令监测分析起来比较明显；但位置更新次数的多少与出入伪小区周边的人员和车辆有加大的关系（见表4，图12）。表4 其他人流量不大的伪小区发现方法图12 其他人流量不大的伪小区发现方法4 IMSI保护解决方案及性能分析4.1 IMSI明文传输存在问题IMSI被截取的根本原因是IMSI在传输的时候以明文形式出现，GSM网络只有在获取手机IMSI后才对手机进行认证，继而进行信道加密，才能进

6、行安全通信。要保护IMSI信息的安全，只有在发送IMSI时，将IMSI进行加密才可以保证安全，才能不被伪基站截取IMSI号。GSM系统在空中链路中以明文形式传递IMSI主要基于以下两个原因：（1）为了鉴别用户，GSM系统就必须得到用户的身份标识；而且TMSI的分配以及鉴别与密钥协商过程都是建立在网络已经知道用户的IMSI的基础之上的，因此移动用户向网络传递自己的IMSI的步骤是必不可少的。同时，由于用户与系统的鉴别信息只是存放在用户的智能卡和HLR/AC中，由图（用户位置更新流程图）可知用户和HLR/AC之间的鉴别必须在服务网络的VLR的协助下才能完成，而VLR和用户之间在初始注册时不存在任何

7、共享秘密，因此不能进行保密通信，所以才使用明文形式进行用户身份的传送。（2）当VLR要协助用户和HLR/AC两者完成鉴别过程的时候，VLR要得到足够的路由信息才能将相关的信令通过核心网传递到移动用户的归属环境。而这种必需的路由信息是包含在用户的身份标识IMSI中的。在VLR和用户之间没有建立安全关系之前，这些必需的信息一定要以明文形式传送。通过以上分析可知，如果将IMSI加密，将影响以下两个流程的实现：（1）VLR不能根据密文IMSI得到HLR/AC的路由信息，便不能将IMSI传给HLR/AC。（2）即使HLR/AC得到加密的IMSI，HLR/AC也不能通过解密函数得到IMSI，因为此时HLR

8、/AC不能根据密文IMSI从数据库中知道到对应的密钥Ki。4.2 通过双向鉴权无法解决伪基站问题（1）位置更新流程：有先鉴权后身份识别，先身份识别后鉴权，有身份识别无鉴权，有鉴权无身份识别几种（见图13）。图13 位置更新流程（2）即使运营商打开鉴权，而伪基站关闭鉴权，并使UE驻留于伪基站小区，当UE发起位置更新时，由于伪基站不发起鉴权，则UE无法识别伪基站的真伪，还是会被伪基站所截获。如此一来，也造成了GSM容易被攻击了。4.3 IMSI保护解决方案由4.1节最后分析可以看出用户之所以对VLR提供明文，是因为它提供了服务网络与移动用户建立安全关系时核心网信令传输所要用到的信息。据此分析，针对

9、IMSI明文传输的特点及原因，提出改进措施。在图（用户位置更新流程图）所示的流程图中引入HLR路由信息（HLR_R）和Ki分组号（Ki_G），两者都是GSM网络初始化时定好的，且在用户端和网络端都有备份。这两者的引入可以有效解决因给IMSI加密带来的如4.1节最后所述的两点问题。具体做法是：VLR收到HLR_R后，根据网络预先备份得到HLR_AC的路由信息，将密文IMSI传给HLR_AC，HLR_AC再根据Ki_G找到对应的密钥Ki，实现IMSI解密。另外，使用SIM卡中A3算法对（Rand|IMSI|Ki_G）进行加密。符号|表示两个二进制的串接，Rand是由用户端产生的固定长度的随机数，该

10、值在解密后弃置不用。使用随机数Rand是为了防止攻击者在连续窃听到同样的密文后，能够对同一个用户进行跟踪定位，危及用户身份的保密性。对Ki_G加密是为了对Ki_G进行完整性保护。改进后的IMSI保护方案具体实现流程如图14所示。图14 改进后IMSI保护方案的实现流程IMSI保护方案流程描述如下：（1）VLR向移动用户发出用户身份请求IMSI REQUEST。（2）移动用户将HLR路由信息（HLR_R），Ki分组号（Ki_G），加密后的IMSI：A3（Ki，（Rand|IMSI|Ki_G），发送给VLR。（3）VLR收到该消息后，根据HLR_R得到HLR地址并将Ki_G，A3（Ki，（Rand

11、|IMSI|Ki_G）发送给HLR。（4）HLR收到VLR发送过来的数据后将进行如下操作：HLR通过密钥分组号Ki_G在其数据库中找到对应的Ki并解密得到Rand，IMSI，Ki_G*。比较解密得到的Ki_G*与用户发送过来的Ki_G，看是否相等，如果相等，则表示Ki_G没有被篡改，可进行后续操作，否则终止IMSI保护流程。（5）同现有GSM协议一样，HLR发送n组（Kc，RAND，SRES）给MSC/VLR进行认证，信道加密，分配TMSI等流程。4.4 IMSI保护方案安全性分析该方案利用现有GSM体系架构中的对称密钥Ki和加密算法A3对IMSI进行加密，在加密算法A3尚未因安全原因被更替掉

12、，且网络端的有线传输信道是安全的前提下，为了最大限度保持与原有信令流程一致，增加了HLR路由信息（HLR_R），对称密钥Ki分组号（Ki_G），Rand等参数实现了对IMSI的保护，可抗主动和被动攻击，即：（1）攻击者不能对A3（Ki，（Rand|IMSI|Ki_G）进行解密，因为他不知道密钥Ki，即使攻击者截取到HLR_R和Ki_G，也无法根据这两者获知用户的身份数据。（2）A3（Ki，（Rand|IMSI|Ki_G）中加入了随机数Rand，使得攻击者不能得到每次上报数据的相关性而不能对用户进行跟踪定位。（3）HLR将解密Ki_G数据与明文Ki_G数据进行比较，保证了数据的完整性，并防止了攻

13、击者对数据的篡改。图1 伪基站系统组成示意图2.1.2 伪基站系统工作原理目前的移动通信系统（GSM）采用单项认证的体制，即只有网络对终端的认证，不需要终端对网络的认证。当条件满足时，目标用户将进入伪基站系统。该系统工作原理和流程参见图2。系统首先侦察当前目标区域的载频信息，然后不断发射相同频率的伪导频、同步及寻呼信号，寻呼一定范围内的目标手机用户，通过调整发射功率等，让目标小区的手机切换或重选到GSM伪小区中。在GSM伪小区中，通过MSC和BSC的信令模拟，完成对目标手机IMSI，IMEI的侦码和阻塞攻击、信息攻击等任务。图2 伪基站系统工作原理示意图利用伪基站系统，首先侦察当前目标区域基站

14、的载频信息，将自身系统（伪基站）的频点更改为捕获到的现网频点，并使用与现网RXLEV_MIN，CRO等参数不同的系统配置，并修改系统参数消息中的T3212（注册周期）为较小的值，加大自身系统（伪基站）的发射功率，可迅速使覆盖范围内的处于空闲状态的终端重选到或切换到系统（伪基站）网络内，在设置的注册周期内通过读取接入信道消息获得各终端的注册消息（RegistrationMessage），从中捕获终端的IMSI，IMEI等信息。2.1.3 位置更新流程及IMSI信息提取原理2.1.3.1 位置更新流程根据GSM协议，IMSI号码将在以下情况被使用：用户第一次移动接入网络；用户开机；用户发生位置区更

15、新，即手机移动前后分别与属于不同的LAC位置区的基站通信。拦截者可以通过建立伪基站的方式，在手机的空闲状态时，迫使手机从真基站转向伪基站进行通信，触发位置更新程序，继而要求手机将IMSI发给伪基站获取用户身份。位置区更新流程如图3所示，其中A位置区为旧的位置区，也可理解为真实基站，B位置区为新的位置区，即伪基站，HLR/AC是归属位置寄存器/鉴别中心，MSC/VLR是移动交换中心/访问者位置寄存器，BSC是基站控制器。当手机从A位置区进入B位置区时，移动用户与B位置区交互资源请求连接设置（RRConnection Setup），与其建立一个无线通信信道并交互位置更新流程：图3 用户位置更新流程

16、图（1）移动用户转向刚分配的无线信道并发送位置更新请求（LOCATION UPDATE REQUEST）到B MSC/VLR，其中包含A位置区的TMSI和位置区号LAI（以下简称A_TMSI和A_LAI）。（2）该流程有两种可能情况B位置区MSC/VLR收到该请求后，在数据库没有找到该A_TMSI，根据收到的A_LAI得到A位置区MSC/VLR的地址，发送IMSI请求命令IMSI REQUEST（包含A_TMSI）到A位置区MSC/VLR，A位置区MSC/VLR收到该信令后，到其数据库中找到该TMSI对应的IMSI返回给B位置区MSC/VLR，这样B位置区MSC/VLR 就得到了手机用户的IM

17、SI。B位置区MSC/VLR可以选择直接发送IMSI请求给手机，手机将直接返回IMSI号码给该B位置区MSC/VLR，如图中虚线部分流程。（3）B位置区MSC/VLR发送位置更新请求（UPDATE LOCATION）给HLR/AC，HLR/AC将做两件事：更新其数据库中的用户位置区记录。发送n组（Kc，RAND，SRES）给MSC/VLR，其中Kc是会话密钥，RAND是随机数，SRES是签署回应，这几组数据将在后续的认证过程中使用。（4）B位置区MSC/VLR收到HLR/AC的这几组认证数据后，结合双方预定好的算法（A3，A5，A8），进行用户认证。（5）B位置区MSC/VLR发送信道加密命令

18、（CIPHERING MODE COMMAND）给用户，完成信道加密，随后B位置区MSC/VLR分配给手机一个新的TMSI；至此，位置更新流程完毕，移动用户与B位置区MSC/VLR交互释放资源连接（RR Connection Release），释放其建立的无线通信信道。2.1.3.2 IMSI信息提取过程分析从以上流程分析可以看出，GSM系统存在IMSI安全漏洞。流程（2）中可以直接向手机用户发送信令IMSI请求就获取IMSI，且此时信道未被加密，未授权用户利用之并获取IMSI。因此，只要构造这样一个伪基站就可以实现对IMSI号的截取：（1）由于手机维护了一个广播频点信息列表，该列表列出了6个

19、周围合法基站的频点，信号强度C1，C2值。手机同时监测这些基站，当某基站信号强度大于目前服务基站时就转向该基站。因此，伪基站的频点要设为某个合法基站的频点。（2）伪基站的一些参数如移动国家代码MCC，移动网络代码MNC要设置成真基站一样，此外一些信道如频率校正信道FCCH，同步信道SCH都要根据GSM标准设置正确。（3）位置区号（LAI）要设成与周围真基站不同，这样才能够触发位置更新流程以获取IMSI。（4）发送位置更新拒绝（LOCATION UPDATE REJECT）消息给手机释放手机用户，使其可连接到真实基站。当伪基站工作时，周围手机检测到该伪基站，且信号最强，移动用户将与伪基站建立连接

20、，交互信令。由于伪基站位置区号LAI号与原基站不同，触发位置更行流程，伪基站根据GSM信令流程收发信号，并在流程（2）时直接发送IMSI 请求信令给手机，手机返回IMSI给伪基站，伪基站收到IMSI后，释放手机用户。2.2 伪基站系统的特点及对网络影响伪基站系统用于监测手机用户的移动信息，多安装于人员流动性大的城区出入口。伪小区模拟移动周边小区BCCH频点发射，移动手机用户通过安装伪小区的路口时，会重选占用上伪小区，因与手机存储LAC不一致，会尝试进行位置更新（位置更新肯定失败），此时手机将用户信号上报，通过伪基站系统可实现移动用户上报信息的跟踪及时掌握人员行踪等。由于伪小区的从手机尝试到伪小

21、区到恢复到正常使用状态（向伪小区发起位置更新、位置更新拒绝、手机脱网、重选到移动小区、再次位置更新及位置更新成功）需要时间通常为1020s，造成用户无法正常主被叫，严重影响用户感知。2.2.1 伪小区的特点（1）伪小区频点具有不确定性，伪基站系统跟据上报手机数量信息等，发现周边BCCH频点变动后，将同步更新相关频点。（2）伪小区的CI多为10。（3）伪小区的CRO设置较高，这样才能使其C1，C2值较高，便于小区选择。（4）手机占用伪小区时间较短，一般为1020s的时间。（5）移动手机重选占用伪小区，位置更新失败脱网，小区选择至移动网络。当手机重选至伪小区时就必然会触发位置更新且位置更新必然失败

22、。而这种类型的位置更新和网络中正常的位置更新有所不同，反映在信令中则会出现系统下发“Identity Request”，然后上传“Dentity Response”信令，此类信令的意思是：身证认证请求，MS注册或异系统间重选时会出现，交换侧可以设置是否要求验证身份。当MS跨LAC后就会出现此条消息，手机开机时也会进行此过程。此类位置更新一般都是被拒绝的，所以系统下发“Location Update reject”，“Channel Release”。2.2.2 伪小区对现有移动网络的影响（1）影响现网小区非正常重选。（2）对移动现网小区BCCH频点造成干扰。（3）影响路测接通率，未接通事件增加

23、。（4）易导致手机脱网，影响附近用户正常被叫寻呼。（5）与现网小区同频甚至同频同BSIC，影响移动小区正常切换。2.3 伪基站在现网的实际表现（1）将CRO设置较高，使得手机容易重选到伪小区上，然后通过位置更新流程中身份识别程序取得用户的IMSI信息达到目的（见图4）。图4 伪基站在现网的实际表现1（2）空口信息：手机重选到伪基站小区的位置更新过程，包括2次身份识别过程（网络使用该程序的目的是请求MS提供特定识别参数，如IMSI或IMEI信息），第一次索要IMSI信息，第二次索要IMEI信息，从而完成用户信息的提取过程（见图5）。图5 伪基站在现网的实际表现2（3）伪小区的参数设置及频点信息等

24、通过参数对比，可以发现网络小区和伪小区的相关参数；T3212，RXLEVACCESS_MIN参数在网络小区和伪小区上设置为9（96min），1（16min），直接影响周期性位置更新的周期；RXLEVACCESS_MIN分别为10和0，该参数的大小直接影响C1值的大小；RXLEVACCESS_MIN的设置和CRO的设置直接影响了用户手机终端更容易选择上伪小区网络（见图6）。图6 伪小区的参数设置及频点信息比较目前，某市移动分布有伪小区的场所主要为火车站等。使用的频点及BSIC都与现网一致，符合GSM规范；具体信息参见表1。表1 某市移动分布有伪小区场所地区的具体信息2.4 伪小区的发现方法2.4

25、.1 空口消息当手机向伪基站发起位置登记时，由于伪基站禁止漫游，位置更新被拒绝；伪基站迫使用户手机向其登记，造成用户手机脱网，脱网期间用户无法发起正常的通信业务。期间1020s无法正常主被叫；因手机不能注册到伪基站，需要脱网重新寻找网络，一般要在15s左右才能重新驻留到移动GSM小区，在脱网期间用户无法发起任何通信业务（见图7）。图7 空口消息（1）连续2次位置更新，1次正常位置更新，1次周期性或正常位置更新（由于伪小区的T3212为1，只有6min时间）；通常有1次是位置更新拒绝；期间通常有2次身份识别过程；获取用户的IMSI和IMEI信息；如果手机用户一直在伪小区附近，也会出现手机在伪网脱

26、网后重选到移动网络上频繁发起正常位置更新的情况。（2）通过一些参数可以区分，如T3212，RXLEVACCESS_MIN，LAC，CI等参数都与网络上设置有很大出入；伪小区的BCCH虽然和我们相同，但LAC，CI差别较大。（3）第一次位置更新拒绝，拒绝原因是Remote not Allowed in this Location Area；位置更新拒绝后，伪小区LAC不进行记录，随后以65534的LAC向网络发起位置更新。我们对不同的手机进行了测试，发现索爱、摩托等手机在脱网10s以内会自动重新选至移动GSM网络，此后基本不会再次进入伪基站。而诺基亚手机重新选网时间在10s以上，并且会频繁驻留到

27、伪基站中，不同型号的诺基亚手机表现也不同：进入伪基站脱网后，能重新选至GSM小区，但会再次向伪基站登记导致脱网（如N80，N81，N96）。手机设置为手动搜索网络模式，需要手动进行网络选择，且会频繁选择伪基站注册不上移动网络。如果运营商修改GSM小区频点，伪基站系统很快就会发现，再次调整伪基站频点与GSM基站相同，所以脱网问题无法解决。用户在伪基站覆盖区域内通话，如果占用的GSM小区频点和伪基站发射频点同频或者邻频，则会受到伪基站的强干扰，通话质量会非常差甚至掉话。伪基站的使用也大大增加了移动频率规划优化的难度，伪基站占用一个频点，则周边GSM基站有3个频点不能使用（同频，上、下邻频），个别伪

28、基站使用2个频点发射，则周边GSM基站有6个频点不能使用。在目前900M频率资源已非常紧张的情况下，对移动网络的质量影响非常大。2.4.2 信令监测相关判断方法由于手机从移动到伪小区的位置更新过程是在伪基站上实现的，所以相关的信令消息无法在A口呈现；A口上无法呈现手机从移动到伪基站的位置更新失败过程，只能分析手机脱网后重选到网络后发起的位置更新过程；手机在伪基站上位置更新拒绝后，不记录该LAC信息，随后以65534的LAC向网络发起周期性或正常位置更新。（1）信令监测的A口筛选条件更新前LAC使用65534。位置更新类型（正常位置更新或周期位置更新）。根据LAC65534向现网小区发起位置更新的次数，进行分析；LAC65534向现网小区位置更新次数与用户流量有直接的相关性。注意点：不是所有的65534到移动小区的位置更新都是从伪小区脱网后发起的。通过A口信令监测发现伪基站需要使用周边小区的连续趋势才可定位和判断，和伪小区周边的人流量有很大关系（见表2）。表2 伪基站的定位和判断专心-专注-专业