4G偽基站識(shí)別及防范技術(shù)專利綜述

許伶俐

（國家知識(shí)產(chǎn)權(quán)局專利局專利審查協(xié)作江蘇中心，江蘇 蘇州 215163）

0 引言

隨著移動(dòng)通信技術(shù)的長足發(fā)展，移動(dòng)通信網(wǎng)絡(luò)成為我們工作生活當(dāng)中必不可少的一部分，移動(dòng)設(shè)備已經(jīng)成為必要的通信工具[1]。由于移動(dòng)終端在人與人連接、人與物以及物與物連接上的廣泛普及，在4G頻段下出現(xiàn)了偽基站，偽基站，顧名思義，就是“假基站”，是移動(dòng)通信網(wǎng)絡(luò)之外的非法基站，偽基站的主要組成結(jié)構(gòu)如圖1所示。偽基站能強(qiáng)制連接用戶手機(jī)信號(hào)，并獲取相關(guān)的用戶信息，偽基站問題已經(jīng)成為最嚴(yán)重的移動(dòng)網(wǎng)絡(luò)安全問題之一。由于手機(jī)的更新，2G終端逐漸升級(jí)為4G終端，且4G網(wǎng)絡(luò)是目前通信網(wǎng)絡(luò)的主要模式，對(duì)4G用戶造成主要威脅的4G偽基站應(yīng)是重點(diǎn)防治的對(duì)象。本文主要針對(duì)4G偽基站識(shí)別及防范技術(shù)進(jìn)行專利技術(shù)綜述研究，希望借此為偽基站識(shí)別及防范技術(shù)發(fā)展提供參考。

圖1 偽基站的主要組成結(jié)構(gòu)

1 4G偽基站的實(shí)現(xiàn)原理

目前，2G移動(dòng)通信網(wǎng)絡(luò)中采用的單向認(rèn)證機(jī)制[2]，但在4G時(shí)代，4G網(wǎng)絡(luò)啟用了雙向認(rèn)證機(jī)制來提高移動(dòng)通信網(wǎng)絡(luò)的安全性，即終端設(shè)備與網(wǎng)絡(luò)側(cè)兩端均需要認(rèn)證通過后，業(yè)務(wù)才可被正常觸發(fā)，否則無法正常通信，偽基站也無法觸發(fā)業(yè)務(wù)，這也使得原有的適用于2G網(wǎng)絡(luò)下的通過偽基站誘發(fā)技術(shù)來獲取用戶身份信息的方法在4G網(wǎng)絡(luò)上不再有效。雖然4G網(wǎng)絡(luò)使用的雙向鑒權(quán)信令NAS具有相對(duì)完整的保護(hù)算法，但4G偽基站仍然無法杜絕。下面分析4G偽基站主要實(shí)現(xiàn)方式：

（1）4G偽基站通過TAU獲取用戶標(biāo)識(shí)信息。4G偽基站采用相同的公用陸地移動(dòng)網(wǎng)，偽造一個(gè)當(dāng)前網(wǎng)絡(luò)使用的絕對(duì)無線頻率信道號(hào)和物理小區(qū)標(biāo)識(shí)PCI，并發(fā)射一個(gè)高于公網(wǎng)基站的功率，處于空閑態(tài)的4G終端在收到該功率信號(hào)后，啟動(dòng)重選流程，從而將空閑態(tài)的4G終端欺騙重選入4G偽基站進(jìn)行登記。4G偽基站通過更改跟蹤區(qū)碼TAC值，并廣播該TAC值，由于該TAC值與當(dāng)前網(wǎng)絡(luò)的TAC值不一致，從而觸發(fā)TAU，4G偽基站從該更新過程中獲取到終端的GUTI，然后偽造一個(gè)特定的IdentityRequest消息發(fā)送給4G終端，要求其上報(bào)身份驗(yàn)證信息，來獲得4G終端的IMSI或者IMEI號(hào)碼。其中，在了解協(xié)議3GPP_TS_24.301之后，很容易發(fā)現(xiàn)在保護(hù)算法開啟之后，IdentityRequest是不需要執(zhí)行完整性保護(hù)的。因此，4G偽基站會(huì)利用該信令的透明性實(shí)現(xiàn)用戶身份信息的收集。在4G偽基站收集到了4G終端的身份信息后，會(huì)回復(fù)TAC更新拒絕消息，通知終端離開4G偽基站重新選擇其他網(wǎng)絡(luò)。4G偽基站通過TAU獲取用戶IMSI的過程如圖2所示，整個(gè)過程中，4G終端和4G偽基站均未與網(wǎng)絡(luò)側(cè)進(jìn)行交互。

圖2 4G偽基站通過TAU獲取用戶IMSI的過程

（2）通過4G和2G偽基站合作的方式，獲取用戶敏感數(shù)據(jù)。由于4G中協(xié)議規(guī)定承載短信的NAS信令必須要有NAS完整性保護(hù)，且4G偽基站還沒有實(shí)現(xiàn)帶NAS完整性保護(hù)的NAS信令的偽造，而直接發(fā)送沒有NAS完整性保護(hù)的信令，用戶終端會(huì)根據(jù)協(xié)議直接把信息丟棄，因此，至今為止還沒有發(fā)現(xiàn)能夠通過4G網(wǎng)絡(luò)直接發(fā)送垃圾、詐騙信息的4G偽基站。但是4G和2G偽基站合作實(shí)現(xiàn)攻擊，即4G偽基站先誘導(dǎo)4G終端，重選入4G偽基站進(jìn)行登記，然后在觸發(fā)從4G到2G的重定向，在該重定向的過程中，4G偽基站在RRC釋放消息重定向功能中提前寫入2G偽基站頻點(diǎn)，并將該RRC釋放消息給終端，使得終端重定向至已布置好的2G偽基站的2G網(wǎng)絡(luò)，再通過2G偽基站獲取用戶敏感數(shù)據(jù)，同時(shí)觸發(fā)位置更新LAU過程，在位置更新拒絕消息中攜帶非法信息，以短信方式發(fā)送給用戶。

（3）4G偽基站與合法終端相互協(xié)作，通過雙向欺騙，上下行信令轉(zhuǎn)發(fā)方式，獲取用戶敏感數(shù)據(jù)。偽基站偽裝成可用于終端重選的合法基站，然后廣播系統(tǒng)消息，改變跟蹤區(qū)（TA），使終端發(fā)起位置更新。偽基站通過給終端分配的SDCCH信道來從終端用戶獲得IMSI，獲取IMSI后偽基站化身偽終端向正常基站發(fā)送業(yè)務(wù)請(qǐng)求，利用合法終端通過與網(wǎng)絡(luò)側(cè)鑒權(quán)過程，即利用終端完成鑒權(quán)SRES的計(jì)算，并回復(fù)給網(wǎng)絡(luò)完成鑒權(quán)，同時(shí)獲得加密密鑰Kc，進(jìn)而向任意目標(biāo)用戶發(fā)起業(yè)務(wù)呼叫。由此可見，偽基站在整個(gè)過程中與終端配合完成鑒權(quán)，巧妙地通過劫持的方法將網(wǎng)絡(luò)的鑒權(quán)請(qǐng)求轉(zhuǎn)發(fā)給真正終端，用真正終端鑒權(quán)反饋繞過了網(wǎng)絡(luò)側(cè)對(duì)終端的鑒權(quán)過程，成功攻破雙向鑒權(quán)網(wǎng)絡(luò)，使問題不可避免地產(chǎn)生。

2 4G偽基站的識(shí)別與防范

當(dāng)前的偽基站識(shí)別及防范技術(shù)主要是針對(duì)2G偽基站，結(jié)合現(xiàn)有技術(shù)中的2G偽基站實(shí)現(xiàn)原理和上述4G偽基站的實(shí)現(xiàn)原理的分析，兩者的實(shí)現(xiàn)原理存在著不同，因此，2G偽基站的識(shí)別方案不能用來識(shí)別4G偽基站，且對(duì)于4G偽基站的監(jiān)測識(shí)別方法尚在不斷的探索中，而目前很多2G偽基站現(xiàn)已逐漸升級(jí)為4G偽基站，為避免4G偽基站竊取用戶數(shù)據(jù)、傳播非法信息情況的發(fā)生，我們需要針對(duì)4G偽基站實(shí)現(xiàn)原理的特點(diǎn)給予相適應(yīng)的對(duì)策，現(xiàn)本文就專利申請(qǐng)方面給出了一些典型的用于識(shí)別4G偽基站的方案。

（1）針對(duì)4G偽基站攻擊特征（4G-4G-2G），專利申請(qǐng)CN106535197A公開了一種基于網(wǎng)絡(luò)制式識(shí)別偽基站的方法，監(jiān)聽終端設(shè)備的網(wǎng)絡(luò)制式。若監(jiān)聽到終端設(shè)備的網(wǎng)絡(luò)制式發(fā)生變化，即由4G切換為2G，獲取終端設(shè)備所連接的基站的基站編號(hào)；判斷基站編號(hào)是否符合預(yù)設(shè)條件，若是，識(shí)別基站為偽基站。

（2）針對(duì)4G偽基站可以繞過網(wǎng)絡(luò)對(duì)終端的鑒權(quán)過程的特點(diǎn)：CN107466041A公開了基于4G網(wǎng)絡(luò)模式下的信令交互順序，來識(shí)別偽基站，移動(dòng)終端在與基站交互的高制式網(wǎng)絡(luò)模式下的信令時(shí)，如果當(dāng)前場景屬于指定的場景，判斷基站側(cè)的信令是否與該指定場景對(duì)應(yīng)的信令匹配，進(jìn)而可以識(shí)別出偽基站，所述指定場景包括：跟蹤區(qū)更新場景、附著場景和重定向場景；所述高制式網(wǎng)絡(luò)模式包括：4G、4G+；指定場景對(duì)應(yīng)的信令為包括雙向認(rèn)證中所述基站提供的鑒權(quán)信令。

（3）針對(duì)4G偽基站偽造小區(qū)標(biāo)識(shí)PCI和更改跟蹤區(qū)碼TAC值的特點(diǎn)，專利申請(qǐng)CN107959936A公開了在云端服務(wù)器中建立核心網(wǎng)數(shù)據(jù)庫。核心網(wǎng)數(shù)據(jù)庫中包含標(biāo)準(zhǔn)小區(qū)標(biāo)識(shí)信息，專門用于服務(wù)小區(qū)以及所有同頻和異頻的鄰區(qū)的標(biāo)準(zhǔn)小區(qū)標(biāo)識(shí)信息和對(duì)應(yīng)頻點(diǎn)，云端服務(wù)器的核心網(wǎng)數(shù)據(jù)庫與終端的預(yù)置UE數(shù)據(jù)庫進(jìn)行數(shù)據(jù)庫同步，在終端接收系統(tǒng)消息后，將系統(tǒng)消息中的測量信息按預(yù)設(shè)規(guī)則處理，以生成小區(qū)標(biāo)識(shí)信息，終端將小區(qū)標(biāo)識(shí)信息與預(yù)置UE數(shù)據(jù)庫中的標(biāo)準(zhǔn)小區(qū)標(biāo)識(shí)信息進(jìn)行比對(duì)，若預(yù)置UE數(shù)據(jù)庫中不存在與所述小區(qū)標(biāo)識(shí)信息匹配的標(biāo)準(zhǔn)小區(qū)標(biāo)識(shí)信息，則獲取所述系統(tǒng)信息中的頻點(diǎn)信息；判斷頻點(diǎn)信息中各個(gè)頻點(diǎn)對(duì)應(yīng)的跟蹤區(qū)域碼TAC是否全相同；若頻點(diǎn)信息中各個(gè)頻點(diǎn)對(duì)應(yīng)的跟蹤區(qū)域碼不全相同，則所述LTE系統(tǒng)的小區(qū)更新事件中對(duì)應(yīng)的駐留小區(qū)是偽基站小區(qū)。

（4）針對(duì)在TAU消息流程中，基于UE在偽基站下進(jìn)行TAU后再返回商用網(wǎng)絡(luò)進(jìn)行TAU時(shí)的類型與正常TAU不同的特點(diǎn)，CN110012470 A 20190712公開了一種基于TAU消息流程的移動(dòng)通信4G偽基站識(shí)別方法。對(duì)普通的TAU場景、CSFB場景和VOLTE場景下的偽基站數(shù)據(jù)進(jìn)行提取并剔除，輸出異常小區(qū)數(shù)據(jù)并識(shí)別偽基站。其中，所述普通的TAU場景下在2G/3G TAU至4G的UE，其TAU消息中的EPS update type同樣設(shè)置為combined TA/LA updating with IMSI attach（2），偽基站TAU reject后異常的TAU update type為EPS update type value（2）。

（5）針對(duì)偽基站會(huì)偽造一個(gè)特定的IdentityRequest消息發(fā)送給4G終端來獲得用戶隱私信息的特點(diǎn)，CN108243416A公開了用戶終端認(rèn)證方法。通過在3GPP協(xié)議（3GPP TS 24.301V9.2.0（2010-03））中增加如下內(nèi)容：Identity Request請(qǐng)求中攜帶UE和HSS的共享密鑰K（仿真基站、偽基站等無法破解的密鑰）及其產(chǎn)生的認(rèn)證向量，用于UE解密識(shí)別；UE接收到Identity Request請(qǐng)求后解析其中密鑰數(shù)據(jù)，并與UE的基礎(chǔ)密鑰進(jìn)行對(duì)比，識(shí)別是否一致，如一致則視為合法鑒權(quán)請(qǐng)求，可以響應(yīng)鑒權(quán)，回復(fù)IMSI等相關(guān)信息，如鑒權(quán)請(qǐng)求無密鑰信息或者解析后的密鑰信息與共享密鑰不一致，可以拒絕響應(yīng)鑒權(quán)請(qǐng)求，通過這樣可以避免UE的相關(guān)個(gè)人信息泄露給偽基站。

（6）針對(duì)4G偽基站采取雙向欺騙、上下行信令轉(zhuǎn)發(fā)方式來獲取用戶敏感數(shù)據(jù)的特點(diǎn)，CN106454842A公開了提供的防止偽基站騷擾的方法。當(dāng)向基站發(fā)送用戶標(biāo)識(shí)信息時(shí)，利用與基站約定的秘鑰對(duì)所述用戶標(biāo)識(shí)信息進(jìn)行加密。將加密后的用戶標(biāo)識(shí)信息發(fā)送給所述基站，以使所述基站根據(jù)所述秘鑰對(duì)所述加密后的用戶標(biāo)識(shí)信息進(jìn)行解密，得到所述用戶標(biāo)識(shí)信息，用戶標(biāo)識(shí)信息可以是IMSI或者TMSI。當(dāng)向基站發(fā)送用戶標(biāo)識(shí)信息時(shí)設(shè)置定時(shí)器，在所述定時(shí)器指示的時(shí)刻達(dá)到之前，如果未接收到所述基站發(fā)送的用戶標(biāo)識(shí)響應(yīng)消息，則拒絕接入所述基站并將所述基站標(biāo)記為偽基站。

3 結(jié)束語

本文研究了4G偽基站的工作原理并結(jié)合其特質(zhì)對(duì)一些典型4G偽基站的識(shí)別方案進(jìn)行梳理，為更好地主動(dòng)防御4G偽基站，保證用戶安全提供了良好的導(dǎo)向作用。