伪基站的分析及解决建议(共23页).doc
《伪基站的分析及解决建议(共23页).doc》由会员分享,可在线阅读,更多相关《伪基站的分析及解决建议(共23页).doc(23页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上 伪基站的分析及解决建议一、 伪基站的影响及发现方法伪基站只负责把你的链接接入到伪基站,伪基站获取你的手机的串号和电话号码,强行让你断网,等你过了伪基站后再连接到真基站。2.1伪基站的原理2.1.1伪基站系统图本系统采用的硬件平台组成见图1。它由信号处理子系统( 伪基站和终端信号处理子系统) 、用户操控平台和系统总控单元、天线和电源等部分组成。其中, 伪基站子系统的功能与商用的基站工作原理相同, 是终端和无线系统互连的桥头堡。终端信号处理子系统用来实现对目标所在区域移动系统无线参数的侦察。系统总控单元完成对各子系统的控制与调度、信令处理、内部通信等功能。用户操控平台提
2、供人机界面, 能够进行系统状态显示、小区状态显示、目标信息数据库的存储、系统维护等功能。2.1.2伪基站工作原理目前的移动通信系统( GSM) 采用单项认证的体制, 即只有网络对终端的认证, 不需要终端对网络的认证。当条件满足时, 目标用户将进入伪系统。该系统工作原理和流程见上图。系统首先侦察当前目标区域的载频信息, 然后不断发射相同频率的伪导频、同步及寻呼信号, 寻呼一定范围内的目标手机用户, 通过调整发射功率等, 让目标小区的手机切换或重选到GSM 伪小区中。在GSM 伪小区中, 通过MSC 和BSC 的信令模拟, 完成对目标手机IMSI、ESN 的侦码和阻塞攻击、信息攻击等任务。利用伪基
3、站系统, 首先侦察当前目标区域基站的载频信息, 将自身系统(伪基站)的频点更改为捕获到的现网频点, 并使用与现网RXLEV_MIN、CRO等参数不同的系统配置, 并修改系统参数消息中的T3212(注册周期) 为较小的值, 加大自身系统(伪基站)的发射功率, 可迅速使覆盖范围内的处于空闲状态的终端重选到或切换到系统(伪基站)网络内, 并在设置的注册周期内通过读取接入信道消息获得各终端的注册消息(RegistrationMessage),从中捕获终端的IMSI、IMEI等信息。2.1.3位置更新流程及 IMSI信息提取原理2.1.3.1位置更新流程根据GSM协议,IMSI号码将在以下情况下被使用:
4、(1)用户第一次接入网络;(2)用户开机;(3)用户发生位置区更新,即手机移动前后分别与属于不同的位置区的基站通信。拦截者可以通过建立伪基站的方式,在手机的空闲状态时,迫使手机从真基站转向伪基站进行通信,触发位置更新程序,继而要求手机将IMSI发给伪基站获取用户身份。位置区更新流程可以描述为如图(用户位置更新流程图)所示,其中A 位置区为旧的位置区,也可理解为真实基站,B位置区为新的位置区,即伪基站,HLR/AC是归属位置寄存器/鉴别中心,MSC/VLR是移动交换中心/访问者位置寄存器,BSC是基站控制器。当手机从 A 位置区进入B 位置区时,移动用户与B 位置区交互资源请求连接设置(RRCo
5、nnection Setup),与其建立一个无线通信信道并交互位置更新流程:1) 移动用户转向刚分配的无线信道并发送位置更新请求(LOCATION UPDATE REQUEST)到B MSC/VLR,其中包含A 位置区的TMSI 和位置区号 LAI(以下简称A_TMSI 和A_LAI );2) 该流程有两种可能情况:(a)B 位置区MSC/VLR 收到该请求后,在数据库没有找到该A_TMSI,根据收到的A_LAI 得到A 位置区MSC/VLR 的地址,发送IMSI 请求命令IMSI REQUEST(包含A_TMSI)到A 位置区MSC/VLR,A 位置区MSC/VLR 收到该信令后,到其数据库
6、中找到该TMSI 对应的IMSI 返回给B 位置区MSC/VLR,这样B位置区MSC/VLR 就得到了手机用户的IMSI;(b)B 位置区MSC/VLR 可以选择直接发送IMSI 请求给手机,手机将直接返回IMSI 号码给该B 位置区MSC/VLR,如图中虚线部分流程;3) B 位置区MSC/VLR 发送位置更新请求 (UPDATE LOCATION)给HLR/AC, HLR/AC将做两件事:(a)更新其数据库中的用户位置区记录;(b)发送n 组(Kc,RAND,SRES)给MSC/VLR,其中Kc 是会话密钥,RAND 是随机数,SRES 是签署回应,这几组数据将在后续的认证过程中使用;4)
7、 B 位置区MSC/VLR 收到HLR/AC 的这几组认证数据后,结合双方预定好的算法(A3,A5,A8),进行用户认证;5) B 位置区MSC/VLR 发送信道加密命令(CIPHERING MODE COMMAND)给用户,完成信道加密,随后B 位置区MSC/VLR 分配给手机一个新的TMSI;至此,位置更新流程完毕,移动用户与B 位置区MSC/VLR 交互释放资源连接(RR ConnectionRelease),释放其建立的无线通信信道。2.1.3.2 IMSI信息提取过程分析从以上流程分析可以看出,GSM 系统存在IMSI 安全漏洞。流程2)中可以直接向手机用户发送信令IMSI 请求就获
8、取IMSI,且此时信道未被加密,未授权用户利用之并获取IMSI。因此,只要构造这样一个伪基站就可以实现对 IMSI 号的截取:1) 由于手机维护了一个广播频点信息列表,该列表列出了6 个周围合法基站的频点,信号强度C1,C2 值。手机同时监测这些基站,当某基站信号强度大于目前服务基站时就转向该基站。因此,伪基站的频点要设为某个合法基站的频点;2) 伪基站的一些参数如移动国家代码 MCC、移动网络代码MNC 要设置成真基站一样,此外一些信道如频率校正信道FCCH,同步信道SCH 都要根据GSM 标准设置正确;3) 位置区号(LAI)要设成与周围真基站不同,这样才能够触发位置更新流程以获取IMSI
9、;4) 发送位置更新拒绝(LOCATION UPDATE REJECT)消息给手机释放手机用户,使其可连接到真实基站。当伪基站工作时,周围手机检测到该伪基站,且信号最强,移动用户将与伪基站建立连接,交互信令。由于伪基站位置区号LAI 号与原基站不同,触发位置更行流程,伪基站根据GSM信令流程收发信号,并在流程2)时直接发送IMSI 请求信令给手机,手机返回IMSI 给伪基站,伪基站收到IMSI 后,释放手机用户。2.2.伪基站的特点及对网络影响影响严重的伪小区是公安系统安装的用于监测移动手机用户的监控系统,多安装于城郊的治安卡口、公路收费站、长途汽车站、火车站等城区出入口。公安伪小区模拟移动周
10、边小区BCCH频点发射,移动手机用户通过安装伪小区的路口时,会重选占用上伪小区,因与手机存储LAC不一致,会尝试进行位置更新(位置更新肯定失败),此时手机将用户信号上报,公安系统通过了解移动用户上报信息的跟踪及时了解犯罪分子行踪。公安安装的伪小区多为小型八木天线,由于摆放位置比较隐蔽,很难被发现,寻找较为困难。由于伪小区的从手机尝试到伪小区到恢复到正常使用状态(向伪小区发起位置更新、位置更新拒绝、手机脱网、重选到移动小区、再次位置更新及位置更新成功),需要时间通常为10-20秒时间,造成用户无法正常主被叫,严重影响用户感知;2.2.1公安的伪小区具有以下特点:u 伪小区频点具有不确定性,公安机
11、关跟据上报手机数量信息等,发现周边BCCH频点变动后,将同步更新相关频点。u 伪小区的CI多为10。u 伪小区的CRO设置较高,这样才能使其C1、C2值较高,便于小区选择。u 手机占用伪小区时间较短,一般为1020秒的时间。u 移动手机重选占用伪小区,位置更新失败脱网,小区选择至移动网络。u 当手机重选至伪小区时就必然会触发位置更新且位置更新必然失败。而这种类型的位置更新和网络中正常的位置更新有所不同,反映在信令中则会出现系统下发“identity request”,然后上传“identity response”信令,此类信令的意思是:身证认证请求,MS注册或异系统间重选时会出现,交换侧可以设
12、置是否要求验证身份。也f12dsK:JFD()本文来自移动通信网,版权所有当MS跨LAC后就会出现此条消息,另外手机开机时也会进行此过程。21a3ds也f12K:JFD()$#_*本文来自移动通信网,版权所有另外,此类位置更新一般都是被拒绝的,所以系统下发“location update reject”、“channel release”。2.2.2伪小区对现有移动网络的影响主要有以下几方面:u 影响现网小区非正常重选,如出铁路专网,u 对移动现网小区BCCH频点造成干扰;u 影响路测接通率,未接通事件增加u 易导致手机脱网,影响附近用户正常被叫寻呼;u 与现网小区同频甚至同频同BSIC,影响
13、移动小区正常切换。2.3公安伪基站在现网的实际表现 1、 将CRO设置较高,使得手机容易重选到公安伪小区上,然后通过位置更新流程中身份识别程序取得用户的IMSI信息达到目的;2、空口信息:手机重选到公安伪小区的位置更新过程,包括2次身份识别过程(网络使用该程序的目的是请求MS提供特定识别参数,如IMSI或IMEI信息;),第一次索要IMSI信息,第二次索要IMEI信息;从而完成用户信息的提取过程;3、伪小区的参数设置及频点信息等通过参数对比,可以发现网络小区和伪小区的相关参数;T3212、RXLEVACCESS_MIN参数在网络小区和伪小区上设置为9(9*6分钟)、1(1*6分钟),直接影响周
14、期性位置更新的周期;RXLEVACCESS_MIN分别为10和0,该参数的大小直接影响C1值的大小;RXLEVACCESS_MIN的设置和CRO的设置直接影响了用户手机终端更容易选择上伪小区网络;目前南京移动东区分布有伪小区的场所主要为南京火车站、三桥高速收费站、宁合高速星甸收费站、乌江收费站。使用的频点及BSIC都与现网一致,符合GSM规范;具体信息如下表:站点干扰频点模拟BSIC(十进制)CI火车站伪小区1474510火车站伪小区2162910三桥高速收费站532110宁合高速星甸收费站483710乌江收费站6437102.4伪小区的发现方法2.4.1空口消息:当手机向公安伪基站发起位置登
15、记时,由于伪基站禁止漫游,位置更新被拒绝;伪基站迫使用户手机向其登记,造成用户手机脱网,脱网期间用户无法发起正常的通信业务。期间10-20秒时间无法正常主被叫;因手机不能注册到伪基站,需要脱网重新寻找网络,一般要在15S左右才能重新驻留到移动GSM小区,在脱网期间用户无法发起任何通信业务。 连续2次位置更新,1次正常位置更新,1次周期性或正常位置更新(由于伪小区的T3212为1只有6分钟时间);通常有1次是位置更新拒绝;期间通常有2次身份识别过程;获取用户的IMSI和IMEI信息;如果手机用户一直伪小区附近,也会出现手机在伪网脱网后重选到移动网络上频繁发起正常位置更新的情况; 通过一些参数可以
16、区分;如T3212、RXLEVACCESS_MIN、LAC、CI等参数都与网络上设置有很大出入;伪小区的BCCH虽然和我们相同,但LAC、CI差别较大; 第一次位置更新拒绝,拒绝原因是remote not allowed in this location area;位置更新拒绝后,伪小区LAC不进行记录,随后以65534的LAC向网络发起位置更新;我们对不同的手机进行了测试,发现索爱、摩托等手机在脱网10秒以内会自动重新选至移动GSM网络,此后基本不会再次进入伪基站。而诺基亚手机重新选网时间在10秒以上,并且会频繁驻留到伪基站中,不同型号的诺基亚手机表现也不同:u 或者是进入伪基站脱网后,能重
17、新选至GSM小区,但会再次向伪基站登记导致脱网;如N80,N81,N96u 手机设置为手动搜索网络模式,则需要手动进行网络选择,且会频繁选择伪基站注册不上移动网络。如果移动公司修改GSM小区频点,公安部门很快就会发现,再次调整伪基站频点与GSM基站相同,所以脱网问题无法解决。用户在伪基站覆盖区域内通话,如果占用的GSM小区频点和伪基站发射频点同频或者邻频,则会受到伪基站的强干扰,通话质量会非常差甚至掉话。伪基站的使用也大大增加了移动频率规划优化的难度,伪基站占用一个频点,则周边GSM基站有3个频点不能使用(同频,上、下邻频),个别伪基站使用2个频点发射,则周边GSM基站有6个频点不能使用。在目
18、前900M频率资源已非常紧张的情况下,对移动网络的质量影响非常大。2.4.2信令监测相关判断方法:由于手机从移动到公安伪小区的位置更新过程是在公安伪网上实现的,所以相关的信令消息无法在A口呈现;A口上无法呈现手机从移动到公安伪网的位置更新失败过程,只能分析手机脱网后重选到网络后发起的位置更新过程;手机在伪网上位置更新拒绝后,不记录该LAC信息,随后以65534的LAC向网络发起周期性或正常位置更新;信令监测的A口筛选条件:1、 更新前LAC使用65534;2、 位置更新类型(正常位置更新或周期位置更新)3、 根据LAC65534向现网小区发起位置更新的次数,进行分析;另外LAC65534向现网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基站 分析 解决 建议 23
限制150内