伪基站的分析及解决建议.doc

伪基站的分析及解决建议一、 伪基站的影响及发现方法伪基站只负责把你的链接接入到伪基站，伪基站获取你的手机的串号和电话号码，强行让你断网，等你过了伪基站后再连接到真基站。2.1伪基站的原理2.1.1伪基站系统图本系统采用的硬件平台组成见图1。它由信号处理子系统( 伪基站和终端信号处理子系统) 、用户操控平台和系统总控单元、天线和电源等部分组成。其中, 伪基站子系统的功能与商用的基站工作原理相同, 是终端和无线系统互连的桥头堡。终端信号处理子系统用来实现对目标所在区域移动系统无线参数的侦察。系统总控单元完成对各子系统的控制与调度、信令处理、内部通信等功能。用户操控平台提供人机界面, 能够进行系统状态显示、小区状态显示、目标信息数据库的存储、系统维护等功能。2.1.2伪基站工作原理目前的移动通信系统( GSM) 采用单项认证的体制, 即只有网络对终端的认证, 不需要终端对网络的认证。当条件满足时, 目标用户将进入伪系统。该系统工作原理和流程见上图。系统首先侦察当前目标区域的载频信息, 然后不断发射相同频率的伪导频、同步及寻呼信号, 寻呼一定范围内的目标手机用户, 通过调整发射功率等, 让目标小区的手机切换或重选到GSM 伪小区中。在GSM 伪小区中, 通过MSC 和BSC 的信令模拟, 完成对目标手机IMSI、ESN 的侦码和阻塞攻击、信息攻击等任务。利用伪基站系统, 首先侦察当前目标区域基站的载频信息, 将自身系统(伪基站)的频点更改为捕获到的现网频点, 并使用与现网RXLEV_MIN、CRO等参数不同的系统配置, 并修改系统参数消息中的T3212(注册周期) 为较小的值, 加大自身系统(伪基站)的发射功率, 可迅速使覆盖范围内的处于空闲状态的终端重选到或切换到系统(伪基站)网络内, 并在设置的注册周期内通过读取接入信道消息获得各终端的注册消息(RegistrationMessage)，从中捕获终端的IMSI、IMEI等信息。2.1.3位置更新流程及 IMSI信息提取原理位置更新流程根据GSM协议，IMSI号码将在以下情况下被使用：（1）用户第一次接入网络；（2）用户开机；（3）用户发生位置区更新，即手机移动前后分别与属于不同的位置区的基站通信。拦截者可以通过建立伪基站的方式，在手机的空闲状态时，迫使手机从真基站转向伪基站进行通信，触发位置更新程序，继而要求手机将IMSI发给伪基站获取用户身份。位置区更新流程可以描述为如图（用户位置更新流程图）所示，其中A 位置区为旧的位置区，也可理解为真实基站，B位置区为新的位置区，即伪基站,HLR/AC是归属位置寄存器/鉴别中心，MSC/VLR是移动交换中心/访问者位置寄存器，BSC是基站控制器。当手机从 A 位置区进入B 位置区时，移动用户与B 位置区交互资源请求连接设置(RRConnection Setup)，与其建立一个无线通信信道并交互位置更新流程：1) 移动用户转向刚分配的无线信道并发送位置更新请求(LOCATION UPDATE REQUEST)到B MSC/VLR，其中包含A 位置区的TMSI 和位置区号 LAI(以下简称A_TMSI 和A_LAI )；2) 该流程有两种可能情况：（a）B 位置区MSC/VLR 收到该请求后，在数据库没有找到该A_TMSI,根据收到的A_LAI 得到A 位置区MSC/VLR 的地址，发送IMSI 请求命令IMSI REQUEST（包含A_TMSI）到A 位置区MSC/VLR，A 位置区MSC/VLR 收到该信令后，到其数据库中找到该TMSI 对应的IMSI 返回给B 位置区MSC/VLR，这样B位置区MSC/VLR 就得到了手机用户的IMSI；（b）B 位置区MSC/VLR 可以选择直接发送IMSI 请求给手机，手机将直接返回IMSI 号码给该B 位置区MSC/VLR，如图中虚线部分流程；3) B 位置区MSC/VLR 发送位置更新请求 (UPDATE LOCATION)给HLR/AC， HLR/AC将做两件事：(a)更新其数据库中的用户位置区记录；（b）发送n 组（Kc,RAND,SRES）给MSC/VLR,其中Kc 是会话密钥，RAND 是随机数，SRES 是签署回应，这几组数据将在后续的认证过程中使用；4) B 位置区MSC/VLR 收到HLR/AC 的这几组认证数据后，结合双方预定好的算法（A3,A5,A8）,进行用户认证；5) B 位置区MSC/VLR 发送信道加密命令(CIPHERING MODE COMMAND)给用户，完成信道加密，随后B 位置区MSC/VLR 分配给手机一个新的TMSI；至此，位置更新流程完毕，移动用户与B 位置区MSC/VLR 交互释放资源连接(RR ConnectionRelease)，释放其建立的无线通信信道。 IMSI信息提取过程分析从以上流程分析可以看出，GSM 系统存在IMSI 安全漏洞。流程2)中可以直接向手机用户发送信令IMSI 请求就获取IMSI，且此时信道未被加密，未授权用户利用之并获取IMSI。因此，只要构造这样一个伪基站就可以实现对 IMSI 号的截取：1) 由于手机维护了一个广播频点信息列表，该列表列出了6 个周围合法基站的频点，信号强度C1,C2 值。手机同时监测这些基站，当某基站信号强度大于目前服务基站时就转向该基站。因此，伪基站的频点要设为某个合法基站的频点；2) 伪基站的一些参数如移动国家代码 MCC、移动网络代码MNC 要设置成真基站一样，此外一些信道如频率校正信道FCCH,同步信道SCH 都要根据GSM 标准设置正确；3) 位置区号（LAI）要设成与周围真基站不同，这样才能够触发位置更新流程以获取IMSI；4) 发送位置更新拒绝(LOCATION UPDATE REJECT)消息给手机释放手机用户，使其可连接到真实基站。当伪基站工作时，周围手机检测到该伪基站，且信号最强，移动用户将与伪基站建立连接，交互信令。由于伪基站位置区号LAI 号与原基站不同，触发位置更行流程,伪基站根据GSM信令流程收发信号，并在流程2)时直接发送IMSI 请求信令给手机，手机返回IMSI 给伪基站，伪基站收到IMSI 后，释放手机用户。2.2.伪基站的特点及对网络影响影响严重的伪小区是公安系统安装的用于监测移动手机用户的监控系统，多安装于城郊的治安卡口、公路收费站、长途汽车站、火车站等城区出入口。公安伪小区模拟移动周边小区BCCH频点发射，移动手机用户通过安装伪小区的路口时，会重选占用上伪小区，因与手机存储LAC不一致，会尝试进行位置更新（位置更新肯定失败），此时手机将用户信号上报，公安系统通过了解移动用户上报信息的跟踪及时了解犯罪分子行踪。公安安装的伪小区多为小型八木天线，由于摆放位置比较隐蔽，很难被发现，寻找较为困难。由于伪小区的从手机尝试到伪小区到恢复到正常使用状态（向伪小区发起位置更新、位置更新拒绝、手机脱网、重选到移动小区、再次位置更新及位置更新成功），需要时间通常为10-20秒时间，造成用户无法正常主被叫，严重影响用户感知；2.2.1公安的伪小区具有以下特点：u 伪小区频点具有不确定性，公安机关跟据上报手机数量信息等，发现周边BCCH频点变动后，将同步更新相关频点。u 伪小区的CI多为10。u 伪小区的CRO设置较高，这样才能使其C1、C2值较高，便于小区选择。u 手机占用伪小区时间较短，一般为1020秒的时间。u 移动手机重选占用伪小区，位置更新失败脱网，小区选择至移动网络。u 当手机重选至伪小区时就必然会触发位置更新且位置更新必然失败。而这种类型的位置更新和网络中正常的位置更新有所不同，反映在信令中则会出现系统下发“identity request”，然后上传“identity response”信令，此类信令的意思是：身证认证请求，MS注册或异系统间重选时会出现，交换侧可以设置是否要求验证身份。也f12dsK:JFD()本文来自移动通信网,版权所有当MS跨LAC后就会出现此条消息，另外手机开机时也会进行此过程。21a3ds也f12K:JFD()$#_*本文来自移动通信网,版权所有另外，此类位置更新一般都是被拒绝的，所以系统下发“location update reject”、“channel release”。2.2.2伪小区对现有移动网络的影响主要有以下几方面：u 影响现网小区非正常重选，如出铁路专网，u 对移动现网小区BCCH频点造成干扰；u 影响路测接通率，未接通事件增加u 易导致手机脱网，影响附近用户正常被叫寻呼；u 与现网小区同频甚至同频同BSIC，影响移动小区正常切换。2.3公安伪基站在现网的实际表现 1、 将CRO设置较高，使得手机容易重选到公安伪小区上，然后通过位置更新流程中身份识别程序取得用户的IMSI信息达到目的；2、空口信息：手机重选到公安伪小区的位置更新过程，包括2次身份识别过程（网络使用该程序的目的是请求MS提供特定识别参数，如IMSI或IMEI信息；），第一次索要IMSI信息，第二次索要IMEI信息；从而完成用户信息的提取过程；3、伪小区的参数设置及频点信息等通过参数对比，可以发现网络小区和伪小区的相关参数；T3212、RXLEVACCESS_MIN参数在网络小区和伪小区上设置为9（9*6分钟）、1（1*6分钟），直接影响周期性位置更新的周期；RXLEVACCESS_MIN分别为10和0，该参数的大小直接影响C1值的大小；RXLEVACCESS_MIN的设置和CRO的设置直接影响了用户手机终端更容易选择上伪小区网络；目前南京移动东区分布有伪小区的场所主要为南京火车站、三桥高速收费站、宁合高速星甸收费站、乌江收费站。使用的频点及BSIC都与现网一致，符合GSM规范；具体信息如下表：站点干扰频点模拟BSIC（十进制）CI火车站伪小区1474510火车站伪小区2162910三桥高速收费站532110宁合高速星甸收费站483710乌江收费站6437102.4伪小区的发现方法2.4.1空口消息：当手机向公安伪基站发起位置登记时，由于伪基站禁止漫游，位置更新被拒绝；伪基站迫使用户手机向其登记，造成用户手机脱网，脱网期间用户无法发起正常的通信业务。期间10-20秒时间无法正常主被叫；因手机不能注册到伪基站，需要脱网重新寻找网络，一般要在15S左右才能重新驻留到移动GSM小区，在脱网期间用户无法发起任何通信业务。 连续2次位置更新，1次正常位置更新，1次周期性或正常位置更新（由于伪小区的T3212为1只有6分钟时间）；通常有1次是位置更新拒绝；期间通常有2次身份识别过程；获取用户的IMSI和IMEI信息；如果手机用户一直伪小区附近，也会出现手机在伪网脱网后重选到移动网络上频繁发起正常位置更新的情况； 通过一些参数可以区分；如T3212、RXLEVACCESS_MIN、LAC、CI等参数都与网络上设置有很大出入；伪小区的BCCH虽然和我们相同，但LAC、CI差别较大； 第一次位置更新拒绝，拒绝原因是remote not allowed in this location area;位置更新拒绝后，伪小区LAC不进行记录，随后以65534的LAC向网络发起位置更新；我们对不同的手机进行了测试，发现索爱、摩托等手机在脱网10秒以内会自动重新选至移动GSM网络，此后基本不会再次进入伪基站。而诺基亚手机重新选网时间在10秒以上，并且会频繁驻留到伪基站中，不同型号的诺基亚手机表现也不同：u 或者是进入伪基站脱网后，能重新选至GSM小区，但会再次向伪基站登记导致脱网；如N80，N81，N96u 手机设置为手动搜索网络模式，则需要手动进行网络选择，且会频繁选择伪基站注册不上移动网络。如果移动公司修改GSM小区频点，公安部门很快就会发现，再次调整伪基站频点与GSM基站相同，所以脱网问题无法解决。用户在伪基站覆盖区域内通话，如果占用的GSM小区频点和伪基站发射频点同频或者邻频，则会受到伪基站的强干扰，通话质量会非常差甚至掉话。伪基站的使用也大大增加了移动频率规划优化的难度，伪基站占用一个频点，则周边GSM基站有3个频点不能使用（同频，上、下邻频），个别伪基站使用2个频点发射，则周边GSM基站有6个频点不能使用。在目前900M频率资源已非常紧张的情况下，对移动网络的质量影响非常大。2.4.2信令监测相关判断方法：由于手机从移动到公安伪小区的位置更新过程是在公安伪网上实现的，所以相关的信令消息无法在A口呈现；A口上无法呈现手机从移动到公安伪网的位置更新失败过程，只能分析手机脱网后重选到网络后发起的位置更新过程；手机在伪网上位置更新拒绝后，不记录该LAC信息，随后以65534的LAC向网络发起周期性或正常位置更新；信令监测的A口筛选条件：1、 更新前LAC使用65534;2、 位置更新类型（正常位置更新或周期位置更新）3、 根据LAC65534向现网小区发起位置更新的次数，进行分析；另外LAC65534向现网小区位置更新次数与用户流量有直接的相关性；注意点：1、不是所有的65534到移动小区的位置更新都是从伪小区脱网后发起的； 2、通过A口信令监测发现伪基站需要使用周边小区的连续趋势才可定位和判断，和伪小区周边的人流量有很大关系； LAC&CI总计平均9点10点11点20890_2458636341211 11861269117920888_75412711904 95085890320978_347032700900 2660241620528_629992672891 96096374920764_143012171724 74569173520528_629982072691 61974470920890_66981934645 68267357920978_226801930643 68962062120881_245781920640 72460059620990_622591803601 42964972520894_287011768589 69358648920978_244121734578 66056151320720_43291709570 81758031220637_249221699566 66856047120957_197501664555 69552044920978_179171643548 56554253620957_440101639546 72049442520535_12201609536 55053052920891_79201608536 51052657220888_629621557519 56252247320881_52381549516 56751946320990_627911536512 37949466320528_629611535512 56249547820891_108131532511 55148349820580_59551527509 593598336三、相关案例3.1火车站伪小区导致移动用户出专网3.1.1问题描述近期宁合铁路、京沪铁路测试时，多次在火车站台出专网，而导致铁路测试沿途不占用专网，进而产生较多掉话与未接通事件。我们通过对火车站台的区域进行详细测试，发现火车站站台存在伪小区，伪小区BCCH频点与荣宇宾馆MBOZ的BCCH频点同频。3.1.2问题分析（空口问题分析）经过多次测试，我们发现从西侧进入站台后，会通过铁通南京站MBO直接重选至伪小区，占上伪小区(CI=10,BCCH=16)。此伪小区在站台信号强度为-50dBm左右，其中在1号站台西侧最强，-40dBm左右，占上此伪小区后，进行位置更新，位置更新失败而脱网，手机会选择至大网信号。测试LOG截图：3.1.3 信令监测火车站周边小区分析由于火车站的人流量较大，从下表和图中可以看出，LAC65534到周边小区的位置更新次数相对比较集中；LAC_CI总计平均9点10点11点CellName20978_226801930643689620621曙光大酒店WH下20978_244121734578660561513迎湖饭店220957_197501664555695520449火车站WH220978_179171643548565542536曙光大酒店D120957_440101639546720494425铁通南京站MBOZ(120/300)20978_347111468489699410359火车站120978_16221194398498367329红山创业园220978_347131148383373352423火车站320978_34714795265291221283火车站D420978_3677732244357202173新庄村D120978_34051626209241221164林业大学T120978_24411580193236186158迎湖饭店120978_49410435145176120139地铁南京火车站站20978_36784311442799557新庄村D220978_36793801272198477新庄村D320957_3079033411110313794火车站WH420978_37551287961278080火车站D120978_1628263881317854红山创业园D220978_35440256857010284火车站西配楼WF20957_2000024883749183火车站WH1D20978_5494023378997757上海铁路局南京办CBO220978_1791920869945460曙光大酒店D320978_1621188631671011红山创业园120978_3414017960844748金基翠城二期CBO14栋地下室20978_547017759645756曙光大酒店WH上20978_3755217057534869火车站D2(100/250)20957_3380014548485938火车站地下室MBOD20957_3078013746444053火车站WH3D20978_1094012642493839龙蟠路隧道MBO 4、主要影响 因宁合与京沪铁路使用专网进行覆盖、覆盖铁路的专网小区采用单独的BSC、LAC，除边界入口外，专网小区不存在与非专网小区不存在切入与切出关系。南京火站台覆盖小区较多，火车站3/D3/D4、沈阳村D2等小区均能覆盖到火车站台，一些区域大网信号强于专网。手机一旦重选上伪小区，因无法成功进行位置更新，必然脱网，脱网后占用大网的概率较大，导致很多时候不占用专网。3.2乌江收费站伪小区与乌江3小区同频同BSIC导致切换差1、问题描述乌江3切换成功率很低，乌江3位于南京与巣湖边界，多方处理未能定位原因。测试发现乌江收费站存在伪小区，伪小区(LAC=227 CI=10 BCCH=64 BSIC=37)与乌江3同频同BSIC。2、问题改善考虑到伪小区频点公安会随时更新，暂修改乌江3小区的BSIC 37为33，乌江3小区切换成功率恢复正常（如下图）。3.3 其他人流量不大的伪小区的发现方法除火车站人流量一直较大，LAC65534向移动小区发起位置更新的次数也比较多，从A口信令监测分析起来比较明显；但位置更新次数的多少与出入伪小区周边的人员和车辆有加大的关系；LAC_CI总计平均_9点_10点_11点CellName20958_44112847282 299292256腾飞创新220958_53841606202 230193183胜太西路120958_44113583194 242185156腾飞创新320958_4527120568 728053文化名园120958_4411120067 697160腾飞创新120958_5381919866 657162爱涛天成D320958_4387119264 657651利源路120958_5312018060 446175江宁开发区管委会WF20958_4527216856 556449文化名园220958_4635215953 494862翠屏国际城220958_5381115752 385762爱涛天成120958_4508315251 504953通淮街320958_5381313545 514638爱涛天成320958_5407012341 206736江宁海关WF20958_4389211739 414234江宁南航西区一220958_5381210836 373239爱涛天成220958_4388210134 423425江宁南航220958_438779833 342737利源路D120958_538189030 323127爱涛天成D220958_450828829 303127通淮街220958_452778227 342820文化名园D120958_452787324 421714文化名园D220958_452736120 261619文化名园320958_538424515 171513胜太西路2四、IMSI保护解决方案及性能分析4.1 IMSI明文传输存在问题可以看出，IMSI 被截取的根本原因是IMSI 在传输的时候以明文形式出现，GSM 网络只有在获取手机IMSI 后才对手机进行认证，继而进行信道加密，才能进行安全通信。要保护IMSI 信息的安全，只有在发送IMSI 时候，将IMSI 进行加密才可以保证安全，才能不被伪基站截取IMSI 号。GSM 系统在空中链路中以明文形式传递IMSI 主要基于以下两个原因第一、为了鉴别用户，GSM 系统就必须得到用户的身份标识；而且TMSI 的分配以及鉴别与密钥协商过程都是建立在网络已经知道用户的IMSI 的基础之上的,因此，移动用户向网络传递自己的IMSI 的步骤是必不可少的。同时，由于用户与系统的鉴别信息只是存放在用户的智能卡和HLR/AC 中，由图(用户位置更新流程图)可知用户和HLR/AC 之间的鉴别必须在服务网络的VLR的协助下才能完成，而VLR 和用户之间在初始注册时不存在任何共享秘密，因此不能进行保密通信, 所以才使用明文形式进行用户身份的传送；第二、当VLR 要协助用户和HLR/AC两者完成鉴别过程的时候，VLR 要得到足够的路由信息才能将相关的信令通过核心网传递到移动用户的归属环境。而这种必需的路由信息是包含在用户的身份标识IMSI 中的。在VLR 和用户之间没有建立安全关系之前，这些必需的信息一定要以明文形式传送。通过以上分析可知，如果将IMSI 加密，将影响以下两个流程的实现：第一、VLR 不能根据密文IMSI 得到HLR/AC 的路由信息，便不能将IMSI 传给HLR/AC；第二、即使HLR/AC得到加密的IMSI，HLR/AC 也不能通过解密函数得到IMSI，因为此时HLR/AC 不能根据密文IMSI 从数据库中知道到对应的密钥Ki。4.2 通过双向鉴权无法解决伪基站问题1、位置更新流程：有如下几种；先鉴权后身份识别，先身份识别后鉴权，有身份识别无鉴权，有鉴权无身份识别；2、即使运营商打开鉴权，而伪基站关闭鉴权，并使UE驻留于伪基站小区，当UE发起位置更新时，由于伪基站不发起鉴权，则UE无法识别伪基站的真伪，还是会被伪基站所截获。如此一来，也造成了GSM容易被攻击了。4.3IMSI 保护解决方案由4.1节最后分析可以看出用户之所以对VLR提供明文，是因为它提供了服务网络与移动用户建立安全关系时核心网信令传输所要用到的信息。据此分析，针对IMSI明文传输的特点及原因，提出改进措施。在图（用户位置更新流程图）所示的流程图中引入HLR路由信息（HLR_R）和Ki分组号（Ki_G），两者都是GSM网络初始化时定好的，且在用户端和网络端都有备份。这两者的引入可以有效解决因给IMSI加密带来的如4.1节最后所述的两点问题。具体做法是：VLR收到HLR_R后，根据网络预先备份得到HLR_AC的路由信息，将密文IMSI传给HLR_AC，HL