4G偽基站快速識別與定位研究

趙錦松+周昌林+馬驄

【摘 要】為了更好地監(jiān)測偽基站，避免用戶受到騷擾而威脅到財產(chǎn)及隱私安全，針對4G偽基站使用的技術(shù)原理及4G偽基站的特征進行研究，優(yōu)先使用系統(tǒng)ANR功能識別4G偽基站，當(dāng)ANR功能未開啟時，則使用信令軟采數(shù)據(jù)識別偽基站，最后通過處理過的MR數(shù)據(jù)實現(xiàn)對4G偽基站的綜合定位。通過進行試驗證明，采用將系統(tǒng)ANR功能與信令軟采數(shù)據(jù)相結(jié)合的方式能夠很好地實現(xiàn)對偽基站的快速識別與定位。

為了更好地監(jiān)測偽基站，避免用戶受到騷擾而威脅到財產(chǎn)及隱私安全，針對4G偽基站使用的技術(shù)原理及4G偽基站的特征進行研究，優(yōu)先使用系統(tǒng)ANR功能識別4G偽基站，當(dāng)ANR功能未開啟時，則使用信令軟采數(shù)據(jù)識別偽基站，最后通過處理過的MR數(shù)據(jù)實現(xiàn)對4G偽基站的綜合定位。通過進行試驗證明，采用將系統(tǒng)ANR功能與信令軟采數(shù)據(jù)相結(jié)合的方式能夠很好地實現(xiàn)對偽基站的快速識別與定位。

【關(guān)鍵詞】4G偽基站 識別與定位 ANR MR

[Abstract]Along with the rapid development of 4G， 4G terminal users， a large number of ascension， through traditional 2G pseudo base station monitoring system to monitor to the 4G pseudo base station. Pseudo base station in order to better monitoring， avoid the user from pseudo base station， this article in view of the 4G pseudo base station using the technology to study the principle and the characteristics of the 4G pseudo base station， the first 4G pseudo base station use system ANR feature recognition， when ANR function does not open， use the soft collects data to identify pseudo base station signaling， finally achieved by MR data processed by the positioning for the 4G pseudo base station. ANR the study through the system function and signaling soft combination of data， test data prove that can realize the recognition of pseudo base station and positioning.

[Key words]4G Pseudo Base Station Identification and localization Big Data ANR

1 引言

偽基站是一套獨立的網(wǎng)絡(luò)系統(tǒng)，通過仿冒移動通信網(wǎng)絡(luò)，利用其信號強度、位置區(qū)參數(shù)設(shè)置，使用戶在其覆蓋區(qū)域內(nèi)自動接入，此時偽基站可獲取用戶位置更新消息中的IMSI和IMEI等信息。4G偽基站在獲取用戶信息后可通過拒絕位置更新或變更自身TAC等方式使手機終端重選回現(xiàn)網(wǎng)正常小區(qū)。

當(dāng)前的偽基站識別與定位技術(shù)僅針對2G偽基站，通過頻繁位置更新失敗、異常LAC兩種方式來識別；根據(jù)受其干擾的小區(qū)大概計算其位置信息。在LTE時代，由于沒有LAC信息等因素，上述方案不能用來識別與定位4G偽基站。但無論是2G偽基站還是4G偽基站都有兩個共同特征：

（1）偽基站與現(xiàn)網(wǎng)正常小區(qū)沒有鄰區(qū)關(guān)系；

（2）參數(shù)設(shè)置較為極端。

本文即基于偽基站的這兩個特點來識別4G偽基站。首先，在有開啟ANR功能的區(qū)域內(nèi)，使用ANR功能發(fā)現(xiàn)漏配鄰區(qū)；然后在沒有開啟ANR功能的區(qū)域內(nèi)，使用信令軟采數(shù)據(jù)發(fā)現(xiàn)未在系統(tǒng)內(nèi)的頻點與PCI；檢查漏配鄰區(qū)的小區(qū)或未在系統(tǒng)內(nèi)的小區(qū)的參數(shù)是否異于現(xiàn)網(wǎng)，從而判斷是否為4G偽基站；最后，根據(jù)測量到偽基站RSRP且?guī)恢眯畔⒌腗R數(shù)據(jù)，計算出偽基站的位置信息。

2 4G偽基站形態(tài)和危害

偽基站通常被不法分子用來傳播非法信息，甚至還可以被用來竊取用戶的個人信息，危害性極大。偽基站的危害性還與它的形態(tài)密切相關(guān)，隨著技術(shù)的發(fā)展，偽基站越來越便攜，隱蔽性越來越強，危害性也越來越大。

2.1 4G偽基站的形態(tài)

4G偽基站按是否可移動分為定點式與非定點式：

（1）定點式：例如公安系統(tǒng)的電子圍欄，大多在路口且位置固定，形態(tài)變化不大；

（2）非定點式：形態(tài)各異，發(fā)射端由原來的相對龐大發(fā)展到車載便攜、背包便攜形態(tài)，同時，控制端由筆記本電腦升級為手機甚至U盤，隱蔽性極強。

2.2 4G偽基站的危害

4G偽基站在現(xiàn)實生活中存在以下幾種危害：

（1）公安4G偽基站使用較大的發(fā)射功率以及與周圍小區(qū)相同的PCI，會影響附近的無線環(huán)境，造成周邊小區(qū)指標惡化，甚至?xí)绊懼苓呌脩舻恼Ｍㄐ牛?/p>

（2）電信詐騙使用的偽基站會發(fā)送大量詐騙短信，威脅到人民財產(chǎn)安全；

（3）4G偽基站除了能夠被用于發(fā)送垃圾短信外。新型的偽基站更是實現(xiàn)了將偽基站與偽終端合體，采用“兩頭欺騙”的方法，在移動網(wǎng)絡(luò)和真正的用戶終端之間建立起了聯(lián)系，先冒充用戶發(fā)起呼叫，當(dāng)網(wǎng)絡(luò)側(cè)要驗證用戶身份時又誘騙真正的用戶終端反饋身份信息，從而使得網(wǎng)絡(luò)側(cè)被欺騙。

2.3 小結(jié)

公安4G偽基站可以使用專用的移動通信設(shè)備代替；而用于違法行為的4G偽基站，經(jīng)常處于移動狀態(tài)且極其隱蔽，需要及時發(fā)現(xiàn)、定位并通知警方抓捕。因此，對4G偽基站的快速識別與定位變得至關(guān)重要。

3 4G偽基站原理及實現(xiàn)手段

3.1 4G基站原理

目前GSM系統(tǒng)采用單項認證的體制，即只有網(wǎng)絡(luò)對終端的認證，不需要終端對網(wǎng)絡(luò)的認證。LTE鑒權(quán)過程為雙向鑒權(quán)，終端與網(wǎng)絡(luò)相互都要進行鑒權(quán)。因此，在GSM網(wǎng)絡(luò)上偽基站很容易就可以偽造成正?；?，欺騙終端駐留并偽造信令流程（如發(fā)短信）。而在LTE網(wǎng)絡(luò)上，這個問題將得到很大改善。而縱然LTE的NAS信令有完整性保護算法，4G偽基站依然存在。

查閱協(xié)議3GPP_TS_24.301，完整性保護算法開啟后，NAS層信令將進行完整性保護校驗，如果檢驗不通過將被丟棄，但有幾條信令不需要完整性保護校驗。其中就有【3GPP_TS_24.301】3GPP協(xié)議節(jié)選如下：

4.4.4.2 Integrity checking of NAS signalling messages in the UE

Except the messages listed below， no NAS signalling messages shall be processed by the receiving EMM entity in the UE or forwarded to the ESM entity， unless the secure exchange of NAS messages has been established for the NAS signalling connection：

- EMM messages：

- IDENTITY REQUEST （if requested identification parameter is IMSI）；

- AUTHENTICATION REQUEST；

- AUTHENTICATION REJECT；

- ATTACH REJECT；

- DETACH REQUEST；

- DETACH ACCEPT （for non switch off）；

- TRACKING AREA UPDATE REJECT；

- SERVICE REJECT.

NOTE： These messages are accepted by the UE without integrity protection， as in certain situations they are sent by the network before security can be activated.

All ESM messages are integrity protected.

Once the secure exchange of NAS messages has been established， the receiving EMM or ESM entity in the UE shall not process any NAS signalling messages unless they have been successfully integrity checked by the NAS. If NAS signalling messages， having not successfully passed the integrity check， are received， then the NAS in the UE shall discard that message. If any NAS signalling message is received as not integrity protected even though the secure exchange of NAS messages has been established by the network， then the NAS shall discard this message.

----------------------------------------------------------------------------------------------------------------------

由于LTE協(xié)議規(guī)定IDENTITYREQUEST （if requested identification parameter is IMSI）不需要完整性保護，4G偽基站即利用此實現(xiàn)了對用戶敏感信息的收集。

目前發(fā)現(xiàn)的情況主要集中于公安系統(tǒng)利用4G偽基站監(jiān)控用戶位置和人流量。這些偽基站為了欺騙終端接入，一般會仿冒現(xiàn)網(wǎng)周邊一個小區(qū)的PCI，導(dǎo)致現(xiàn)網(wǎng)小區(qū)出現(xiàn)切換、掉線等指標惡化，并伴有出現(xiàn)干擾的可能（取決于偽基站是否與現(xiàn)網(wǎng)基站同步，是否使用與現(xiàn)網(wǎng)相同的時隙配比）。可采取修改PCI的臨時措施，但最終解決措施需要協(xié)調(diào)公安部門，建議其采用移動公司的信令系統(tǒng)進行追蹤來取代搭建偽基站的方式。

3.2 4G偽基站實現(xiàn)手段

（1）偽基站通過TAU獲取用戶IMSI

4G偽基站通常會設(shè)置一個異常的TAC，使處于RRC空閑態(tài)的終端重選到它上面，并請求更新路由區(qū)（TAURequest），獲取終端的GUTI；偽基站在獲取到GUTI后，可以造出特定NAS消息（Identity Request）要求終端上報其IMSI信息。

由此可見，4G偽基站可以在TAU過程中偽造Identity Request直傳信令，用于獲取用戶IMSI信息。

（2）偽基站通過與偽終端配合，獲取用戶隱私數(shù)據(jù)

1）偽基站先偽裝成正常的基站讓終端重選到它上面；

2）偽基站廣播系統(tǒng)消息，改變LA，使終端發(fā)起位置更新；

3）偽基站給終端分配一條SDCCH信道，并向終端查詢IMSI；

4）偽基站變身為偽終端用獲得的IMSI向正常的基站發(fā)起業(yè)務(wù)請求；

5）利用終端完成鑒權(quán)SRES的計算，并回復(fù)給網(wǎng)絡(luò)完成鑒權(quán)，同時獲得加密密鑰Kc；

6）偽基站向任意的目標用戶發(fā)起業(yè)務(wù)呼叫。

在整個過程中有個關(guān)鍵環(huán)節(jié)需要終端的配合，即鑒權(quán)。偽基站巧妙地通過劫持的方法將網(wǎng)絡(luò)的鑒權(quán)請求轉(zhuǎn)發(fā)給真正的手機，用真正手機的鑒權(quán)反饋繞過了網(wǎng)絡(luò)對終端的鑒權(quán)過程，使問題不可避免地產(chǎn)生。

4 4G偽基站的識別與定位

4.1 當(dāng)前識別偽基站的技術(shù)手段及弊端

針對2G偽基站的識別，現(xiàn)有技術(shù)已經(jīng)比較成熟；但對于識別4G偽基站，各廠家仍處于探索階段。

由于識別2G偽基站主要依靠對異常LAC的判斷，而LTE網(wǎng)絡(luò)中沒有該信息，因此2G偽基站的識別技術(shù)不能移植到對4G偽基站的識別中來。當(dāng)前比較熱門的研究是基于系統(tǒng)ANR功能實現(xiàn)對4G偽基站的識別。

4.2 ANR基本原理

LTE系統(tǒng)基于自組織網(wǎng)絡(luò)（SON，Self Organising Network），針對鄰區(qū)提出了ANR（AutomaticNeighbor Relation）功能，實現(xiàn)鄰區(qū)的自配置（Self-configuration）、自優(yōu)化（Self-optimization）和自操作（Self-operation）。

ANR功能開啟后可以自動發(fā)現(xiàn)漏配鄰區(qū)，使UE順利切換至原本系統(tǒng)中漏配鄰區(qū)的目標鄰區(qū)，并自動在鄰區(qū)列表中添加漏配鄰區(qū)；而基于ANR功能的受控模式，鄰區(qū)漏配將正常切換，但不會生成鄰區(qū)，能發(fā)現(xiàn)漏配鄰區(qū)且不改變現(xiàn)網(wǎng)鄰區(qū)情況，這為4G偽基站的識別奠定了基礎(chǔ)。

4.3 4G偽基站快速識別

4G偽基站快速識別流程圖如圖3所示：

步驟1

由于4G偽基站識別與定位是通過鄰區(qū)信息來判斷的，因此需在偽基站識別之前，準備好全網(wǎng)鄰區(qū)配置表與“服務(wù)小區(qū)-鄰區(qū)的頻點+PCI”分布模型。

鄰區(qū)配置表包括有：服務(wù)小區(qū)識別信息（例如LTE網(wǎng)絡(luò)的ECI、頻點、PCI），服務(wù)小區(qū)站點經(jīng)緯度信息，與服務(wù)小區(qū)對應(yīng)的鄰區(qū)識別信息（例如LTE網(wǎng)絡(luò)的ECI、頻點、PCI）；

“服務(wù)小區(qū)-鄰區(qū)的頻點+PCI”分布模型是基于全網(wǎng)在一定時間內(nèi)（如1個小時）的MR數(shù)據(jù)建立模型。該分布模型內(nèi)容包括：服務(wù)小區(qū)識別信息（例如LTE網(wǎng)絡(luò)的ECI、頻點、PCI），鄰區(qū)識別信息（例如LTE網(wǎng)絡(luò)的頻點、PCI）。同時，模型可根據(jù)需要進行更新，建議更新頻率為1天一次。

如此，通過步驟1實現(xiàn)了4G偽基站監(jiān)控的基本條件。

步驟2

根據(jù)Uu口信息，如果發(fā)現(xiàn)手機上報MR消息包含鄰區(qū)CGI，則該MR的主服務(wù)小區(qū)下有UE開啟ANR功能，將主服務(wù)小區(qū)的小區(qū)標識放入有UE開啟ANR的小區(qū)表中，將漏配鄰區(qū)信息（主服務(wù)小區(qū)的小區(qū)標識、鄰區(qū)識別信息）放入漏配鄰區(qū)表中，并編號。

步驟3

對于不在有UE開啟ANR的小區(qū)表中的小區(qū)，根據(jù)這些小區(qū)Uu口的MR信息，統(tǒng)計MR信息中主服務(wù)小區(qū)與鄰區(qū)頻點、鄰區(qū)PCI的對應(yīng)關(guān)系。對比“服務(wù)小區(qū)-鄰區(qū)的頻點+PCI”分布模型，如果發(fā)現(xiàn)有新增頻點和PCI，則將漏配鄰區(qū)信息（主服務(wù)小區(qū)的小區(qū)標識、鄰區(qū)識別信息）放入漏配鄰區(qū)表中，并編號；對比鄰區(qū)配置表，如果MR上報的鄰區(qū)的頻點與PCI在該服務(wù)小區(qū)的鄰區(qū)配置表中找不到對應(yīng)記錄，則將漏配鄰區(qū)信息（主服務(wù)小區(qū)的小區(qū)標識、鄰區(qū)識別信息）放入漏配鄰區(qū)表中，并編號。

步驟4

每個小區(qū)分別統(tǒng)計，如果一個服務(wù)小區(qū)包含有漏配鄰區(qū)的MR一小時內(nèi)超過某個閾值（默認設(shè)置為100條），且該漏配鄰區(qū)的RSRP存在大于-90 dBm的情況，則把該服務(wù)小區(qū)、鄰區(qū)頻點、鄰區(qū)PCI以及編號放入4G偽基站表中（主服務(wù)小區(qū)為受4G偽基站干擾小區(qū)，鄰區(qū)頻點、PCI為偽基站信息）；同時將漏配鄰區(qū)上報的RSRP大于-90 dBm的MR存入新表，與4G偽基站表中的對應(yīng)數(shù)據(jù)采用同一編號，并根據(jù)指紋定位算法計算出存入MR的經(jīng)緯度。

4.4 4G偽基站快速定位

通過測量到的偽基站的MR進行經(jīng)緯度計算，從而實現(xiàn)對偽基站的定位。數(shù)據(jù)處理規(guī)則如下：

（1）以20 s內(nèi)測量到某個偽基站RSRP大于-90 dBm的MR數(shù)據(jù)作為MR樣本；

（2）該偽基站的經(jīng)緯度見公式（1）（Longitude， Latitude）：

μi為MR樣本中D（i）距離4G偽基站的等效空間距離，計算參考公式（3）：

（3）

δji為MR樣本中D（j）與主服務(wù)小區(qū)C0（取工參里的經(jīng)緯度）的距離dj同MR樣本中D（i）與主服務(wù)小區(qū)C0（取工參里的經(jīng)緯度）的距離di的差值。距離計算參考公式（4）：

distance=6371004×acos（sin（Lat1×Pi/180）×sin （Lat2×Pi/180）+cos（Lat1×Pi/180）×cos（Lat2×Pi/180）

×cos（Lon2×Pi/180-Lon1×Pi/180）） （4）

δj為MR樣本中D（j）與主服務(wù)小區(qū)C0（取工參里的經(jīng)緯度）的距離dj同4G偽基站與主服務(wù)小區(qū)C0（取工參里的經(jīng)緯度）的等效距離dFENB的差值，見公式（5）：

VFENB為4G偽基站的發(fā)射信號強度（dBm），默認設(shè)置為85（可配置）；β為路徑損耗參數(shù)，β默認為120 dB（范圍為110～140，參數(shù)可調(diào)）。

5 數(shù)據(jù)驗證

驗證數(shù)據(jù)選取10月8日凌晨至10月9日中午12點的36個小時的數(shù)據(jù)進行分析，區(qū)域范圍為蓮都區(qū)汽車城，采用軟件分析結(jié)果與實際現(xiàn)場勘測對比，最后通過拉網(wǎng)測試進行反復(fù)驗證。

5.1 軟件分析結(jié)果

通過軟件分析，發(fā)現(xiàn)分析區(qū)域內(nèi)有一個偽基站，頻點為37900，PCI為422，即圖2中紅色圓點所在位置。

查詢歷史偽基站告警記錄發(fā)現(xiàn)，該偽基站一直長時間存在，頻點占用38400與37900這兩個目前主流的TD-LTE頻點，PCI 60分鐘左右變化一次，影響周邊約20個小區(qū)，告警信息如表1所示（請說明表1中標色突出的數(shù)據(jù)有何意義）。

NSSP通過章節(jié)4.4中的經(jīng)緯度算法對偽基站位置進行定位，得出偽基站地理位置，如圖3所示（說明圖中哪個位置為偽基站）。

5.2 現(xiàn)場勘查結(jié)果

根據(jù)軟件分析出來的偽基站經(jīng)緯度，在google earth上進行打點，偽基站位置如圖6中黃點所示。

在標記位置附近的燈桿上發(fā)現(xiàn)了疑似天線的裝置，如圖5所示。

通過反復(fù)拉網(wǎng)測試發(fā)現(xiàn)，距離該裝置越近，發(fā)生切換失敗的次數(shù)會曾多，頻點為37900、PCI為143的小區(qū)的RSRP顯著增強，最終重選至3G小區(qū)。當(dāng)遠離該裝置時，發(fā)生切換失敗的次數(shù)降低，頻點為37900、PCI為143的小區(qū)的RSRP顯著減弱，最終回到4G網(wǎng)絡(luò)。因此判定該裝置為4G偽基站。偽基站PCI發(fā)生變化應(yīng)該是由于偽基站的特性造成的。

通過對軟件分析的其它區(qū)域進行拉網(wǎng)測試，未發(fā)現(xiàn)有出現(xiàn)如上情景，因此判定該范圍內(nèi)只有一個偽基站。

5.3 小結(jié)

通過軟件分析結(jié)果與現(xiàn)場勘查結(jié)果對比分析后發(fā)現(xiàn)偽基站部分特征：

（1）偽基站使用的PCI會周期性地發(fā)生變化，變化周期大約為60分鐘；使用的頻點主要為目前通用頻點38400與37900；

（2）偽基站覆蓋范圍較小，測量到的偽基站MR中電平值都較高；

（3）UE接觸偽基站會觸發(fā)A3，但是無法切換成功；

（4）正常小區(qū)MR與源小區(qū)差值一般在3以內(nèi)，偽基站MR與源小區(qū)RSRP差值平均在3dBm以上。

根據(jù)以上特征，NSSP偽基站識別系統(tǒng)將可以在識別流程步驟4（見本文章節(jié)4.3）將偽基站識別出來，同時使用偽基站快速定位算法（見本文章節(jié)4.4）計算出偽基站經(jīng)緯度。綜上所述，NSSP偽基站識別方案能夠?qū)?G偽基站進行有效識別與精準定位。

6 結(jié)束語

本文基于鄰區(qū)自動優(yōu)化功能與MR數(shù)據(jù)對4G偽基站的識別與定位展開研究，希望能給從事相關(guān)研究工作的開發(fā)人員提供一些參考。

鄰區(qū)自動優(yōu)化功能可實現(xiàn)漏配鄰區(qū)的快速發(fā)現(xiàn)，而對于未開啟鄰區(qū)自動優(yōu)化功能的區(qū)域，可通過對全網(wǎng)一定時間內(nèi)的MR數(shù)據(jù)進行分析，結(jié)合新增頻點和PCI信息來發(fā)現(xiàn)漏配鄰區(qū)；進而結(jié)合漏配鄰區(qū)電平值和MR采樣點數(shù)等，識別出偽基站；最后通過包含偽基站的MR數(shù)據(jù)對偽基站進行定位。研究中所使用的數(shù)據(jù)具有較高的實時性，且流程簡潔，可用于偽基站的實時發(fā)現(xiàn)與追蹤。

參考文獻：

[1] 萬晉鵬. 偽基站：危害到底有多大[J]. 中國防偽報道， 2016（7）： 21-22.

[2] taodh_wx. LTE偽基站橫空出世，深度揭秘LTE偽基站原理[EB/OL]. （2016-07-05）. http：//www.360doc.com/content/16/0705/19/30451798_573337488.shtml.

[3] 周國有. 徹底認識4G偽基站[EB/OL]. （2016-09-03）. http：//sanwen.net/a/hnhproo.html.

[4] 曹茂虹，王大強. “偽基站”的基本原理及電子取證分析[J]. 信息安全與技術(shù)， 2015（4）： 73-75.

[5] 楊雪瑾. 淺析偽基站的工作原理和治理方法[J]. 中國無線電， 2014（3）： 15-17.

[6] 張永帥. LTE網(wǎng)絡(luò)中SON系統(tǒng)ANR功能的研究與設(shè)計[D]. 北京： 北京郵電大學(xué)， 2012.

[7] echofull淼淼. 華為LTE ANR鄰區(qū)自動優(yōu)化[EB/OL]. （2014-02-25）. https：//wenku.baidu.com/view/c15e1032844769eae009edc9.html.

[8] 汪文勇，田曉霞，龍騰，等. 一種定位偽基站的方法： 中國， CN201510019110.7[P]. 2015-04-22.

[9] 周之童，夏子焱，邢佳帥，李珍妮. 偽基站系統(tǒng)偵測識別及定位方法研究[J]. 信息網(wǎng)絡(luò)安全， 2014（9）： 196-198.

[10] 李偉. 利用MR定位提高網(wǎng)優(yōu)問題分析效率[EB]. 百度文庫， [2016-10-11]. https：//wenku.baidu.com/view/39ee20d028ea81c758f57875.html.

[11] 王新樓，郭超，紀國強. 基于MR位置指紋定位的優(yōu)化算法分析和實踐[J]. 郵電設(shè)計技術(shù)， 2014（11）： 52-56.

[12] 李婷婷. 基于MR的手機定位系統(tǒng)的設(shè)計與實現(xiàn)[D]. 濟南： 山東大學(xué)， 2011.

[13] 3GPP TS 24.301 V9.0.0. Technical Specification 3rd Generation Partnership Project； Technical Specification Group Core Network and Terminals； Non-Access-Stratum （NAS） protocol for Evolved Packet System （EPS）； Stage 3 （Release 9）[S]. 2009