LTE 偽基站的軟件無線電識別技術(shù)

鐘文華 ，王紅光 ，劉成國

（1.武漢理工大學(xué)理學(xué)院，武漢，430070；2.中國電波傳播研究所，青島，266107；3.湖北省射頻微波應(yīng)用工程技術(shù)研究中心，武漢，430070）

引 言

2G 時代，偽基站利用全球移動通訊系統(tǒng)（Global system for mobile communications，GSM）單向認(rèn)證缺陷實現(xiàn)詐騙。早期主要通過安裝攔截軟件、改用安全性更高的手機(jī)以及即時留意手機(jī)信號等來達(dá)到預(yù)防偽基站的目的，但明顯效率低下[1]。相比之下，長期演進(jìn)（Long term evolution，LTE）增加了雙向鑒權(quán)機(jī)制，偽基站的防治得到改善，但國內(nèi)外檢測系統(tǒng)的硬件架構(gòu)體積龐大，便攜性也有所不足[2?3]。不僅如此，面對通信系統(tǒng)的更新?lián)Q代以及各種新式偽基站的層出不窮，大部分檢測系統(tǒng)由于傳統(tǒng)硬件的桎梏，升級更新緩慢，代價高昂，檢測效率也難以提升。相應(yīng)地，偽基站硬件系統(tǒng)下主要有5 種應(yīng)用識別算法?；诮邮招盘枏姸戎甘?Received signal strength indicator，RSSI）信號接收強度的識別算法，提供信號地圖的可視化界面，交互性好但對現(xiàn)實環(huán)境中的信道干擾較為敏感，需要根據(jù)多變的信道環(huán)境采取不同的檢測算法，復(fù)雜度高且依賴移動終端對于信號強度的檢測，隨著手機(jī)端硬件等設(shè)施的差異，判定結(jié)果也有所差異，識別準(zhǔn)確率較低?；谂R近小區(qū)信息列表識別算法，與第1 種算法相似，依賴移動終端獲取小區(qū)信息列表，受限較大，但不受信道環(huán)境所干擾因此性能消耗最小，用戶體驗也不錯?；陟o默短信攻擊的識別算法，該算法較為特殊，需要對終端無線通信的相關(guān)消息緩沖區(qū)字節(jié)流進(jìn)行解碼，識別率很高，但性能消耗過多且復(fù)雜度較高，同樣該算法依賴終端側(cè)的輔助?；诟檯^(qū)域碼（Tracking area code，TAC）/小區(qū)識別號（Cell identity，CID）位置更新的識別算法和基于基站信息一致性識別算法，兩種算法本質(zhì)相同，都采用信息對比方式進(jìn)行判定。前者利用偽基站工作時，手機(jī)會切斷與正?；镜倪B接進(jìn)而被偽基站捕獲，導(dǎo)致TAC、CID 等參數(shù)發(fā)生變化從而進(jìn)行識別，識別率理論上最高，用戶體驗也很不錯但依然需要外部設(shè)備的輔助。后者因為也是跟本地數(shù)據(jù)對比，準(zhǔn)確率較高但依賴基站信息數(shù)據(jù)庫，若缺乏某地域的數(shù)據(jù)，檢測將無法進(jìn)行，所以用戶體驗一般[4]。

綜上所述，偽基站識別系統(tǒng)受傳統(tǒng)硬件的桎梏存在諸多缺點，靈活性差，升級效率也低，并且現(xiàn)有識別算法的復(fù)雜度、交互性、準(zhǔn)確率以及依賴性等都相互制約，難以權(quán)衡。而相比之下，軟件無線電具有可重配置能力，升級更新靈活、運維成本低廉，還能適應(yīng)移動通信網(wǎng)絡(luò)多制式模式[5?6]。

雖然將軟件無線電技術(shù)運用在LTE 偽基站識別方面少有，但已有研究表明，將其運用在2G 偽基站系統(tǒng)中，能夠在相同的硬件基礎(chǔ)上通過軟件更新的方式來達(dá)到功能的升級，有效提高系統(tǒng)升級的效率[7?8]。除此之外，偽基站5 種識別算法當(dāng)中，大部分算法都需要借用移動終端獲取相關(guān)輔助信息，靈活性太差，而將軟件無線電技術(shù)運用在LTE 信號的接收處理當(dāng)中剛好可以輔助獲取相關(guān)信息。不僅如此，后期面對新式偽基站或者不同的信道環(huán)境，只需借助軟件無線電技術(shù)對其中的相應(yīng)模塊進(jìn)行技術(shù)上的升級即可實現(xiàn)系統(tǒng)性能的提高，大大提高了整個識別系統(tǒng)的升級效率。因此，為了形成LTE 偽基站軟件無線電識別技術(shù)原型，本文開展將軟件無線電技術(shù)用于LTE 偽基站檢測的研究。

1 原理分析

1.1 偽基站工作機(jī)制

偽基站的實施機(jī)制主要分為兩種：固定式，一般藏匿于鐘點房內(nèi)、快捷酒店等不易被人察覺的地方；流動式，布置在拉桿箱或者小型汽車內(nèi)便于流動作案。通常情況下，LTE 偽基站在獲取到附近基站的系統(tǒng)消息相關(guān)參數(shù)后會設(shè)置假冒的參數(shù)構(gòu)建新的eNodeB 基站。其中，一個偽基站eNodeB 用于干擾移動終端使其脫離當(dāng)前駐留的4G 網(wǎng)絡(luò)，稱作eNodeB_jammer。另一個偽基站叫做eNodeB_Collector，它通過設(shè)置更高的發(fā)射功率或高的頻點優(yōu)先級，強制LTE 終端用戶通過小區(qū)重選機(jī)制接入偽基站的網(wǎng)絡(luò)，取代合法運營商服務(wù)。不過，eNodeB_Collector 雖然把移動設(shè)備網(wǎng)絡(luò)代碼（Mobile network code，MNC）和移動設(shè)備國家代碼（Mobile country code，MCC）設(shè)置為當(dāng)前運營商的合法基站參數(shù)值，但是其TAC 通常設(shè)置為與正?；鞠喈惖闹担挥羞@樣eNodeB_Collector 才能偽裝成正常的基站并誘使移動終端在脫網(wǎng)后發(fā)起重連TAU_REQUEST[9?10]。不僅如此，eNodeB_Collector 的EARFCN 由于被人為的設(shè)置為4G 網(wǎng)絡(luò)區(qū)域內(nèi)的最高優(yōu)先級，因此，LTE 終端用戶在重新進(jìn)行小區(qū)搜索時就會直接落入LTE偽基站的網(wǎng)絡(luò)區(qū)域當(dāng)中，從而面臨詐騙危險。

1.2 偽基站識別算法

偽基站識別算法中，基于信息一致性識別和基于TAC/CID 位置更新的識別由于利用基站的小區(qū)相關(guān)信息中TAC 和CID 參數(shù)進(jìn)行識別，準(zhǔn)確率最高但依賴移動終端獲取相關(guān)信息，靈活性太差。與此同時，偽基站系統(tǒng)受限于傳統(tǒng)硬件擁有諸多缺點效率低下，若能借用軟件無線電技術(shù)代替?zhèn)鹘y(tǒng)硬件的同時還能通過某種手段獲取TAC 和CID 參數(shù)，那么這兩種算法的優(yōu)勢將得到進(jìn)一步提升。

（1）基于TAC/CID 位置更新的識別算法

LTE 中，TAC 用于標(biāo)識移動通信網(wǎng)絡(luò)中一定范圍的區(qū)域，且每個TAC 標(biāo)識的區(qū)域內(nèi)，基站的TAC值都相同。圖1 為蜂窩小區(qū)示意圖，左邊為正?；痉涓C小區(qū)，右邊為存在偽基站時的蜂窩小區(qū)。由圖1 可知，移動終端與正常基站（TAC?2020，CID?202 020）已連接，偽基站 eNodeB_jammer 干擾移動終端使其脫離當(dāng)前駐留的4G 網(wǎng)絡(luò)（灰色虛線）。接著eNodeB_Collector 設(shè)置了與正?；鞠嗤腡AC 和CID 參數(shù)：TAC?2020，CID?202 020，并設(shè)置更高的發(fā)射功率或高的頻點優(yōu)先級迫使移動終端與其進(jìn)行連接（藍(lán)色虛線）。最后eNodeB_Collector 更改TAC 值為2021（見圖1 中標(biāo)橙區(qū)域），從而觸發(fā)移動終端發(fā)起位置更新請求獲取用戶真實信息。因此，只要不斷獲取基站的TAC 和CID 等信息，并判斷該基站的TAC 是否發(fā)生更新便能判斷其是否為偽基站。

圖1 偽基站工作時TAC 變化示意圖Fig.1 Schematic diagram of TAC changes when the pseudo base station works

（2）基于信息一致性識別算法

如圖2 所示，該算法對當(dāng)前移動終端接入基站的CID 和TAC 進(jìn)行檢測，與基于TAC/CID 位置更新的識別算法不同的是，它在于檢測最終的TAC 值與CID 的聯(lián)合信息。首先終端側(cè)聯(lián)網(wǎng)后依靠底層接口獲取TAC 和CID 信息，然后將該信息與運營商自建數(shù)據(jù)或者第3 方開源基站信息數(shù)據(jù)庫進(jìn)行對比，若當(dāng)前接入的基站信息與數(shù)據(jù)庫有一定差異，則基本可以判定該基站為偽基站。該識別方法可離線偵測，成本低廉且準(zhǔn)確率極高。其中，第3 方開源基站信息數(shù)據(jù)庫可通過開源平臺如OpenCellID.org提供，且本文后續(xù)章節(jié)中為了提高識別效率選取該算法并使用基于移動位置服務(wù)系統(tǒng)（Location based service，LBS）中的運營商數(shù)據(jù)對基站進(jìn)行判別。

2 系統(tǒng)方案和實現(xiàn)

LTE 偽基站劫持移動終端時，其部分小區(qū)相關(guān)信息參數(shù)設(shè)置為與正?；鞠喈惖闹?。若能實時獲取到附近基站的TAC，再結(jié)合基站參數(shù)CID，便能基于基站信息一致性識別算法在LBS 系統(tǒng)中利用本地運營商數(shù)據(jù)庫作對比，找出參數(shù)異常的基站，從而識別出LTE 偽基站。因此本文提出在不借用移動終端的情況下，利用LTE 偽基站部分小區(qū)相關(guān)信息參數(shù)設(shè)置為與正?；局迪喈惖奶攸c，實現(xiàn)偽基站識別的新方案。

如圖3 所示，該方案包括硬件采集模塊、軟件解碼模塊以及識別驗證模塊。硬件采集模塊通過搭建軟件無線電平臺對4G 信號進(jìn)行采集；軟件解調(diào)解碼模塊通過建立LTE 下行系統(tǒng)廣播信息接收鏈路解碼系統(tǒng)信息塊（System information blocks 1，SIB1）獲取TAC 和CID；識別驗證模塊利用LBS 系統(tǒng)來判別基站的合法性。

圖2 基于信息一致識別算法流程Fig.2 Recognition algorithm flow based on consis?tent information

圖3 LTE 偽基站識別系統(tǒng)框圖Fig.3 LTE pseudo base station identification sys?tem block diagram

2.1 硬件采集模塊實現(xiàn)

本文分析了中國移動、電信和聯(lián)通的LTE 技術(shù)標(biāo)準(zhǔn)和主要軟件無線電硬件平臺產(chǎn)品的技術(shù)性能。選用通信設(shè)備HackRF One 作為開發(fā)支持的硬件，主要進(jìn)行信號的收發(fā)、濾波、混頻以及采樣等前端處理[11?12]。其最大頻率為 6 GHz，覆蓋了 LTE 的整個頻段且?guī)?20 MHz 剛好為 LTE 的最大帶寬，AD 采樣率最大為20 Msps也可通過變采樣理論變換到LTE 標(biāo)準(zhǔn)采樣率30.72 Msps，因此滿足本研究的需求。

在Ubuntu18.04 LTS 系統(tǒng)上結(jié)合HackRF 搭建軟件無線電平臺，開發(fā)實現(xiàn)對4G 信號的檢測和采集的控制程序。HackRF 實時采集固定頻率和時段的數(shù)字IQ 信號，通過搭建HackRF 環(huán)境生成庫文件以及hackrf_transfer 可執(zhí)行程序?qū)崿F(xiàn)。對LTE 所有頻段進(jìn)行掃描和跟蹤通過開發(fā)LTE 掃描程序?qū)崿F(xiàn)。搜索到的LTE 小區(qū)信息結(jié)合hackrf_transfer 程序?qū)崿F(xiàn)對相應(yīng)頻率的LTE 信號采集并保存為二進(jìn)制格式的IQ 數(shù)據(jù)，實現(xiàn)圖3 所示的硬件采集模塊功能，為信息鑒別程序的解調(diào)解碼提供數(shù)據(jù)。

2.2 軟件解碼模塊實現(xiàn)

軟件部分利用Matlab 建立下行系統(tǒng)廣播信息接收鏈路對SIB1 解碼，主要包括LTE 信號預(yù)處理、小區(qū)搜索、信道估計以及下行物理信道解碼等過程（見圖4）。

圖4 LTE 下行系統(tǒng)廣播信息接收鏈路Fig.4 LTE downlink system broadcast information receiving link

LTE 信號預(yù)處理中，將HackRF 采集到的8 幀數(shù)字IQ 信號轉(zhuǎn)化為Matlab 可識別的矩陣文件格式然后減去均值除去直流。由于數(shù)據(jù)采樣率設(shè)置為19.2 Msps，利用變采樣理論，在Matlab 中通過一個8 倍上升采樣低通濾波器再每隔5 個數(shù)據(jù)進(jìn)行抽取，得到完整的20 MHz 帶寬且采樣率為30.72 Msps 的LTE 信號。如圖5 所示，其中I=8，D=5。

小區(qū)搜索中通過檢測主同步信號（Primary synchronization signal，PSS）和輔同步信號（Secondary synchronization signal，SSS）信號以及解碼下行物理信道PBCH 完成，由于同步信號具有良好的自相關(guān)特性，便于接收端專門用來下行同步[13?14]。本文采用基于時域的互相關(guān)算法對PSS 信號進(jìn)行檢測，該算法對頻率偏移敏感，為了確保檢測的正確性和有效性，將本地PSS 序列加上頻率偏移，然后找到每個相應(yīng)的頻率偏移即時域上的時間偏移和各個PSS 根指數(shù)相關(guān)的峰值，從而確定。將8 幀的PBCH 數(shù)據(jù)與之前生成并且添加過頻率偏移的本地PSS 序列進(jìn)行滑動相關(guān)，檢測到的相關(guān)峰值則是PSS 所在位置的索引，計算公式為

圖5 變采樣變換Fig.5 Variable sampling transformation

式中，y[n]=h[n]?xf?PBCH+w[n]，h[n]為離散的信道響應(yīng)，xf?PBCH為添加頻偏后的本地 PBCH 離散數(shù)字IQ 數(shù)據(jù)，w[n]為加性高斯白噪聲。

由相關(guān)檢測得到的峰值可以由式(2)推算出

SSS 信號則根據(jù)式（3—7）生成公式，采用逆向解擾獲得。

式中，m0和m1為m序列的索引值，且 (m0,m1)與值相對應(yīng)，mod 為取余操作，floor 為向下取整函數(shù)。

后續(xù)利用PSS 和SSS 信號完成PBCH 的解碼。如表2 所示，主信息塊（Master information block，MIB）以40 ms 為周期在PBCH 上傳輸（同BCH）并重復(fù)傳輸4 次，每次傳輸都攜帶相同的碼塊（Coded bit）。因此，在信道質(zhì)量足夠好的情況下，只接收這40 ms 內(nèi)的其中一個就能成功解碼出MIB，為了確保其能夠解碼，前面已截取8 幀信號。

圖6 展示了 MIB 如何由信道 BCH 和 PBCH 將 bit 級信息進(jìn)行處理。MIB 的 bit 位信息為 20，經(jīng)BCH，首先添加16 位循環(huán)冗余校驗（Cyclic redundancy check，CRC）；進(jìn)行編碼和速率匹配，使得其等于PBCH 信道上40 ms 內(nèi)能夠提供的空間，接著碼塊分段等分成片段，并分別添加CRC、信道編碼以及速率匹配。最后進(jìn)行碼塊重組形成碼本送給PBCH 處理。在PBCH 處理鏈中，將碼本進(jìn)行加擾、調(diào)制、層映射、預(yù)編碼和資源網(wǎng)格映射等過程，最終由快速傅里葉逆變換（Inverse fast Fourier transform，IFFT）形成正交頻分復(fù)用（Orthogonal frequency division multiplexing，OFDM）符號[15]。在Matlab 中根據(jù)協(xié)議中的規(guī)定細(xì)節(jié)設(shè)計相應(yīng)模塊即可逆向解碼得到MIB 信息。

圖6 BCH-PBCH 處理鏈Fig.6 BCH-PBCH chain processing

整個搜索過程的具體流程如圖7 所示。小區(qū)搜索獲取到下行系統(tǒng)帶寬后便可以對整個帶寬信號進(jìn)行信道估計以消除信道的干擾，從而減弱寬帶通信時的多徑時延帶來的碼間串?dāng)_問題。在Matlab 中采用頻域信道估計算法可降低復(fù)雜度，首先利用最大似然估計法計算信道傳遞函數(shù)（Channel transfer function，CTF），然后經(jīng)過時頻域的轉(zhuǎn)換得到信道的沖激響應(yīng)[16?17]，由此得到信道估計值對CRS 的信道估計Hn。

式中，n為CRS 的數(shù)量，h為信道的沖激響應(yīng)且為向量，F(xiàn)n為對應(yīng)參考序列的離散傅里葉變換矩陣，Zn為白噪聲功率。

最后仿照PBCH 信道的解碼過程，進(jìn)行其他下行物理信道的解碼獲取SIB1 信息。LTE 中，LTE?RRC 協(xié)議都是ASN.1 文法描述，并且是PER 編碼。為了更好地解碼SIB1，本研究在Ubuntu18.04 系統(tǒng)下構(gòu)建LTE?RRC 協(xié)議編解碼器程序。利用36.331系列協(xié)議文檔生成LTE?RRC 的ASN.1 描述文件，安裝編譯 lameditor，生成 36331?ac0.asn 描述文件，然后生成LTE?RRC.ASN1 解碼程序。程序根目錄下，Progname 為 LTE ?RRC 執(zhí) 行 程 序 ，sib_info.per 為PER 編碼的SIB1 信息文件，-p 命令選項指示執(zhí)行程序要運行的文件類型為BCCH?DL?SCH?Mes?sage，即下行共享信道中傳播的系統(tǒng)廣播信息SIBs。在Matlab 中調(diào)用程序即可解碼SIB1 獲取TAC 和CID 參數(shù)。

圖7 小區(qū)搜索過程Fig.7 Cell search process

3 實測驗證

3.1 實測情況

數(shù)據(jù)采集平臺和下行接收鏈路都搭建成功后，本研究分別對青島的城市區(qū)域（測試點1）和海岸區(qū)域（測試點2）展開測試，以此驗證提取技術(shù)的性能。測試1 位于青島市城陽區(qū)，將系統(tǒng)置于樓頂；測試2 在小麥島的海洋觀測站放置系統(tǒng)，保證測試系統(tǒng)四周空曠無遮擋物，無干擾設(shè)施，測試環(huán)境良好。整個測試環(huán)境如表1 所示。

首先利用CellSearch 命令對LTE 的所有頻段進(jìn)行掃描并將跟蹤到的LTE 信號利用hackrf_transfer 程序?qū)⑵? 幀完整信號數(shù)據(jù)進(jìn)行保存；然后在Matlab 上利用下行系統(tǒng)廣播信息接收鏈路對保存下來的數(shù)據(jù)進(jìn)行處理，解碼出系統(tǒng)信息塊SIB1；最后將得到的TAC 和CID 參數(shù)利用LBS 系統(tǒng)本地數(shù)據(jù)庫進(jìn)行校驗，完成基站的定位和識別。

表1 測試環(huán)境Table 1 Measured environment

3.2 測試結(jié)果

2019 年 7 月 20 日和 2019 年 8 月 6 日在測試點 1 和測試點 2 依照實測方案對附近 LTE 基站分別進(jìn)行了驗證測試。系統(tǒng)成功地實現(xiàn)基站信息解碼。表2 給出了測試點1 得到的SIB1 的解碼信息。說明該測試點給出的5 個基站的TAC 和CID 的二進(jìn)制編碼，形成了轉(zhuǎn)化為十進(jìn)制系統(tǒng)信息的基本數(shù)據(jù)。在測試點2 的測量中，檢測到2 個基站，也得到了它們的TAC 和CID 的二進(jìn)制編碼。

將TAC 和CID 二進(jìn)制參數(shù)轉(zhuǎn)化為十進(jìn)制輸入到LBS 系統(tǒng)中進(jìn)行本地數(shù)據(jù)的對比，基于信息一致識別算法對基站進(jìn)行鑒定，其中測試點1 和測試點2 的結(jié)果如表3 所示。

由表1，測試點1 所在城區(qū)測試地點為山東省青島市城陽區(qū)景康路附近，測試點2 所在的小麥島郊區(qū)測試地點為山東省青島市嶗山區(qū)麥島路附近。因此，實際檢測到的基站坐標(biāo)理論上應(yīng)該一致。從表3 的測試結(jié)果可知，基站1，2，5 所顯示的地理坐標(biāo)與理論上的地理坐標(biāo)一致，顯然是合法基站；基站3 的地理坐標(biāo)在LBS 本地數(shù)據(jù)庫中未查詢到，基本可以確定它是偽基站，如果再結(jié)合現(xiàn)有的偽基站定位算法便可以對其進(jìn)行偵測和驗證；基站4 所顯示的地點為福建省廈門市思明區(qū)，居然與基站的理論坐標(biāo)相差幾個省市的距離，明顯存在異常。所以，該基站一定是偽基站。表3 的結(jié)果表明對于小麥島郊區(qū)基站6，7 檢測到的基站位置與理論上地理坐標(biāo)一致所以為合法基站。

表2 測試點1 中SIB1 解碼信息Table 2 SIB1 decoding information in test point 1

表3 兩個測試點中基站的識別結(jié)果Table 3 Identification results of base stations in two test points

4 結(jié)束語

本文針對當(dāng)前擾亂通信安全的偽基站問題，形成了用軟件無線電技術(shù)提取基站信息的思路，提出了構(gòu)建識別系統(tǒng)的一個新技術(shù)。論文設(shè)計了一個基于該技術(shù)的偽基站識別系統(tǒng)。系統(tǒng)用HackRF 硬件設(shè)備搭建軟件無線電平臺實現(xiàn)對LTE 信號的采集，通過軟件Matlab 建立下行系統(tǒng)廣播信息接收鏈路對采集的信號進(jìn)行解調(diào)解碼。實測驗證中分別對青島城區(qū)和郊區(qū)兩個試驗點進(jìn)行了測試。測試表明系統(tǒng)成功獲取到SIB1 參數(shù)中的CID 和TAC，并基于信息一致識別算法驗證檢測到的基站是否為偽基站。試驗表明將軟件無線電技術(shù)應(yīng)用在LTE 偽基站識別中是可行的，為后續(xù)建立低成本靈活的新型偽基站檢測系統(tǒng)研究提供基礎(chǔ)。