2G 偽基站識別技術(shù)專利綜述

許伶俐

（國家知識產(chǎn)權(quán)局專利局專利審查協(xié)作江蘇中心，蘇州 215163）

1 2G 偽基站

隨著移動通信技術(shù)的長足發(fā)展，移動通信網(wǎng)絡(luò)成為我們工作生活當(dāng)中必不可少的一部分，移動設(shè)備已經(jīng)成為必要的通信工具[1]。由于移動終端在人與人連接、人與物以及物與物連接上的廣泛普及，在GSM 頻段下出現(xiàn)了偽基站，偽基站是移動通信網(wǎng)絡(luò)之外的非法基站，英語譯為“pseudo base-station”，其能強制連接用戶手機信號，并獲取相關(guān)的用戶信息，偽基站問題已經(jīng)成為最嚴重的移動網(wǎng)絡(luò)安全問題之一，而且2G 偽基站給GSM網(wǎng)絡(luò)中的移動用戶終端造成了嚴重影響。本文主要針對2G 偽基站識別技術(shù)進行專利技術(shù)綜述研究，希望借此為偽基站識別技術(shù)發(fā)展提供參考。

2 2G 偽基站的實現(xiàn)原理

2G 偽基站的工作流程如圖1所示：

圖1 2G偽基站的工作流程

實現(xiàn)2G 偽基站攻擊的具體信令流程如圖2所示，其大概可以歸納如下：

2.1 監(jiān)聽與偽裝

首先攻擊者利用工程手機，獲取當(dāng)前環(huán)境下運營商的網(wǎng)絡(luò)信息（如LAC、CellID、頻點、場強等），獲取到合法信息后，2G 偽基站將偽裝的BCCH 信號廣播出去，等待移動用戶的接入。

2.2 吸入手機

2G 偽基站吸入手機獲取用戶標(biāo)識信息的過程主要通過以下四個步驟實現(xiàn)的：

（1）小區(qū)重選：2G 偽基站會增強其信號強度及設(shè)置相關(guān)參數(shù)，當(dāng)信號功率足夠大時，用戶終端就被“吸”過去了，這樣使得終端認為自己進入了新的位置區(qū)，然后啟動小區(qū)重選流程。在小區(qū)重選的過程中，涉及兩個重要參數(shù)C1和C2。其中，當(dāng)終端開始啟動或從盲區(qū)進入網(wǎng)絡(luò)覆蓋區(qū)時，終端對移動通信網(wǎng)絡(luò)中的周邊多個小區(qū)頻點進行掃描，從小區(qū)中選擇C1值最大的小區(qū)作為服務(wù)小區(qū)，而在終端空閑狀態(tài)下，小區(qū)重選則取決于C2值，終端會將C2 值最大的小區(qū)作為優(yōu)先駐留的對象，因此，2G 偽基站將允許終端接入的最小電平RXLEV_ACCESS_MIN 設(shè)置的很低，小區(qū)重選偏置CRO 設(shè)置很高，這樣參數(shù)C1和C2的值較高，便于觸發(fā)小區(qū)重選。

（2）位置更新：由于手機終端僅僅是小區(qū)重選而沒有進行位置更新，是不會上報用戶身份信息的，2G 偽基站此時也不能獲取到用戶身份信息，此時2G 偽基站還需要觸發(fā)位置更新流程。手機終端啟動位置更新的方式如下：

①正常位置更新：在手機終端發(fā)現(xiàn)自身的LAI 發(fā)生變化時，便會啟動位置更新請求。而2G 偽基站則可以借助該特性，設(shè)置極端的LAC 來觸發(fā)手機終端啟動位置更新過程。

②周期性位置更新：設(shè)置計時器T3212，手機終端周期性的主動發(fā)起位置更新請求[2]。

（3）鑒權(quán)：位置更新發(fā)起后，2G 偽基站向手機終端下發(fā)標(biāo)示請求，要求手機終端上傳其TMSI（臨時識別碼），IMSI（用戶識別碼），還有IMEI（設(shè)備識別碼）等信息，啟動鑒權(quán)流程。2G 偽基站接收到手機終端上傳的上述信息后，則直接發(fā)送鑒權(quán)通過信息。

（4）獲取用戶信息：2G 偽基站獲取的用戶信息包括IMSI、TMSI 和IMEI。

2.3 發(fā)送短信

2G 偽基站先會判斷手機終端的IMSI，如果該IMSI之前沒有被發(fā)過欺騙短信，那么，2G 偽基站就會發(fā)出欺騙短信，發(fā)信人設(shè)置為其想要的任何號碼，例如95555，10086，95588或12315等，如果之前已經(jīng)騙過，那么就進入下一步。

2.4 踢出手機，迫使手機終端返回正常網(wǎng)絡(luò)

2G 偽基站如果判斷手機終端的IMSI 是已經(jīng)騙過的，就會拒絕再次接入。此時手機終端會重新選擇，接入正常的合法基站。當(dāng)然2G 偽基站經(jīng)常處于移動狀態(tài)，如果2G 偽基站的信號不再覆蓋手機終端，手機終端也會正常接入合法基站。為了防止用戶發(fā)現(xiàn)手機連接偽基站，同時為了向更多的手機終端發(fā)送垃圾短信，2G 偽基站劫持手機終端的時間通常會持續(xù)10 s–20 s，即劫持手機、發(fā)送短信、踢出手機的步驟通常在10 s–20 s 內(nèi)完成。

圖2 2G偽基站攻擊信令流

3 2G 偽基站的識別

根據(jù)對2G 偽基站系統(tǒng)結(jié)構(gòu)和其工作原理的研究，專利申請針對2G 偽基站的攻擊各個環(huán)節(jié)步驟體現(xiàn)出的特征都給出相應(yīng)的識別對策。

（1）針對通信基站的切換和切換后瞬時內(nèi)發(fā)送短信息是當(dāng)前利用2G 偽基站詐騙、非法廣告等行為的必要過程的特點。專利申請CN103763690 A 公開了一種檢測偽基站向移動終端發(fā)送短信息的方法，監(jiān)測與終端通信的基站的切換事件；在監(jiān)測到基站由第一基站切換到第二基站后，檢測終端是否接收到來自第二基站的短信息；若檢測到終端接收到短信息，判斷短信息的相關(guān)信息是否符合預(yù)設(shè)規(guī)則；對于符合預(yù)設(shè)規(guī)則的短信息，在終端的操作系統(tǒng)上查詢短信息對應(yīng)的短信息中心號碼的呼叫轉(zhuǎn)移狀態(tài)是否可用，若不可用，則識別第二基站為偽基站。

（2）針對GSM 網(wǎng)絡(luò)的單向認證原理[3]給出了相應(yīng)的識別和防護措施。比如借助鑒權(quán)時機由運營商網(wǎng)絡(luò)配置以及偽基站不具備鑒權(quán)能力，不與電信運營商核心網(wǎng)進行交互且直接確認鑒權(quán)成功的特點。專利申請CN103874068 A 公開了一種識別偽基站的方法應(yīng)用于GSM，移動終端當(dāng)進入新的位置區(qū)時，向網(wǎng)絡(luò)側(cè)發(fā)送位置更新請求消息，并攜帶用于使網(wǎng)絡(luò)側(cè)進行鑒權(quán)處理的標(biāo)識；在預(yù)設(shè)時間到時，若未接收到所述網(wǎng)絡(luò)側(cè)發(fā)起的鑒權(quán)請求，則確定當(dāng)前接入的基站為偽基站。若接收到網(wǎng)絡(luò)側(cè)發(fā)起的鑒權(quán)請求，向網(wǎng)絡(luò)側(cè)發(fā)送鑒權(quán)響應(yīng)，在鑒權(quán)響應(yīng)中攜帶的全球用戶識別模塊計算出的簽名響應(yīng)（SRES）為按預(yù)設(shè)規(guī)則處理后的SRES；當(dāng)接收到鑒權(quán)成功的消息時，確定當(dāng)前接入的基站為偽基站。比如借助真基站具有用戶真?zhèn)舞b別技術(shù)，可自動識別到手機的SIM 卡無效，而偽基站不能分辨SIM 卡是否無效，不論手機的SIM 卡是否有效，均會連網(wǎng)的特點。專利申請CN105472620A 通過設(shè)有無效SIM 卡的手機自動搜索基站，一旦與偽基站連網(wǎng)成功，手機從脫網(wǎng)狀態(tài)轉(zhuǎn)為連網(wǎng)狀態(tài)，即可判定該基站為偽基站。

（3）針對2G 偽基站多是偽裝成特定的號碼給用戶發(fā)送一些詐騙或商業(yè)推廣短信的特點。專利申請CN103796241A 通過根據(jù)關(guān)鍵字和手機號判斷終端接收的短信是否為垃圾短信。若是，則立即觸發(fā)短信或語音業(yè)務(wù)；若網(wǎng)絡(luò)不通，就判斷此處為偽基站疑似覆蓋區(qū)。

（4）針對2G 偽基站在劫持手機時，通常會有較極端的參數(shù)的特點。CN107683617A 公開了用戶設(shè)備（UE）或基站（BS）的第一無線設(shè)備可以識別與由第二無線設(shè)備發(fā)送的發(fā)現(xiàn)信號相關(guān)聯(lián)的多個參數(shù)，第二無線設(shè)備作為BS 進行廣告。第一無線設(shè)備可以將多個參數(shù)與分配給相鄰BS 集群或與相鄰BS 集群相關(guān)聯(lián)的參數(shù)集合進行比較，并且當(dāng)所述多個參數(shù)與所述與相鄰BS 集群相關(guān)聯(lián)的參數(shù)集合之間的不一致性超過閾值時，確定第二無線設(shè)備是偽BS。多個參數(shù)可以包括小區(qū)標(biāo)識符、位置區(qū)域碼、接收功率級別、發(fā)現(xiàn)信號可被檢測到的持續(xù)時間、發(fā)現(xiàn)信號的加密級別、由發(fā)現(xiàn)信號廣告的服務(wù)級別、接收發(fā)現(xiàn)信號的頻率、由所述發(fā)現(xiàn)信號廣告的基站能力集合或其他參數(shù)。

4 結(jié)束語

本文研究了2G 偽基站的工作原理并結(jié)合其特質(zhì)對一些典型2G 偽基站的識別方案進行梳理，為更好地主動防御2G偽基站，保證用戶安全提供了很好的參考作用。