淺談OT860在偽基站查找中的應用

蔡立偉

（國家無線電監測中心云南監測站，昆明　650031）

淺談OT860在偽基站查找中的應用

蔡立偉

（國家無線電監測中心云南監測站，昆明650031）

本文介紹了偽基站查找的背景，分析了偽基站的工作原理和識別方法，并介紹了云南站利用OT860測試工具查找偽基站的經驗，最后提出了改進建議。

偽基站；OT860；C1/C2值；GSM系統；小區重選

1　引言

偽基站是偽裝成公眾移動運營商基站，以提取移動終端信息進行信息傳遞的無線電收發信電臺。偽基站非法占用頻譜資源，可以隨處移動，使手機脫離正常通信網絡，影響用戶通信質量，并且可以直接向接入的手機群發短信，偽造任意號碼，且短信內容不受任何監管，危害巨大。近年來，不法分子利用偽基站謀取利益愈演愈烈，對社會和人民生活造成了嚴重影響。如果該技術被用于涉黃、涉恐、涉政等危害社會的信息，或者用于重要地點、重要人群，可能造成難以估計的后果。造成偽基站的原因是3GPP發布的GSM網絡規范先天不足。GSM系統采用單向鑒權認證，手機不鑒權網絡的合法性，僅在網絡側對手機進行鑒權，導致手機無法有效辨別移動基站的真偽。OT860是一套應用于GSM系統的網絡分析工具，可以對任一信道和網絡參數進行測試分析。該系統可單獨使用，也可以與PC相連使用。本文對偽基站的工作原理和識別方法進行了分析，并介紹了我站利用OT860手機查找偽基站的經驗和方法，最后提出了改進建議。

2　偽基站的工作原理

偽基站存在的根本原因是GSM系統本身存在著安全漏洞，GSM系統不支持手機與基站網絡之間的雙向鑒權及空中信令的完整性保護，手機接入網絡時不對網絡的合法性判斷。偽基站通過修改系統參數，當手機在偽基站的覆蓋內時誘使手機選擇偽基站作為服務小區，再利用位置識別碼（LAI）變化時手機需要向網絡上報信息來獲取用戶識別碼（IMSI）和設備識別碼（IMEI），從而提取手機信息。偽基站可以設置任意主叫號碼并對手機發送短信，通常偽基站會頻繁修改位置區識別碼（LAI），對于已經發送過短信的手機，偽基站拒絕將手機再次連入網絡。手機選擇服務小區時，主要是根據C1 和C2值的大小。

式中，A代表下行鏈路的優劣；B代表上行鏈路的好壞。如果要發起重選，C1必須大于0。當小區手機處于待機狀態時，每5秒計算一次C2，具體公式如下：

式中，當H=0時Penalty Time-T＜0；當H=1 時Penalty Time-T＞0，可見Penalty Time決定了Temporary Offset的正負。當某一鄰區被列入最強前六位，成為小區重選候選時，T的計時器啟動，直到該小區被踢出前六位。偽基站可以通過修改參數，主要是增大基站發射功率、設置小區重選偏移量和允許手機接入的最小電頻，提高C2值，使小區內的手機接入到偽基站。偽基站獲得手機相關信息后，下發垃圾短信。然后手機發起位置更新，偽基站拒絕后返回正?；拘^（見圖1）。

圖1　偽基站工作流程圖

3　偽基站識別方法

偽基站與正?；驹趨翟O置、信令流程、業務類型等方面有著不同，這是識別偽基站的主要依據。通常，偽基站的小區選擇參數和重選參數設置的很極端，其C1/C2值比正常基站高，位置區域識別碼LAI與附近基站不同，不支持GPRS業務，手機接入時間較短，一般為10s～20s，會造成手機脫網。一般查找偽基站可通過運營商后臺數據進行分析，規劃偽基站路線，鎖定一定范圍，確定偽基站后鎖定基站廣播信道BCCH，借助監測測向設備對偽基站進行查找（見圖2）。

圖2　偽基站識別步驟

4　OT860在偽基站查找中的應用

4.1OT860簡介

SAGEM OT860是一種用于GSM/GPRS/ E-GPRS網絡測試，并可實時顯示移動網絡服務小區和6個相鄰小區數據的專用測試工具。使用者可根據具體情況，進行特定的測試，即對任何一個信道或網絡參數進行測試。同時，可通過數據接口與PC機連接，使用后臺分析軟件對測試數據進行分析。該系統主要具備跟蹤信息Trace、強制功能Forcing、掃頻功能Scanning、跟蹤信息存儲Trace storage等功能。OT860能實時掌握手機所連接的服務小區和鄰區的廣播信道BCCH值、C1/C2值、服務小區基站識別碼BSIC、最小接收門限電平值Rx、基站編號CellId、位置信息LAC、當前服務小區重選滯后值Cell Reselect Hysteresis、當前服務小區重選偏移量Cell ReselectOffset、懲罰時間Penalty Time、當前服務小區臨時偏移量Temporary Offset和GPRS等基站網絡層基本信息，這些都是識別偽基站的重要參數（見圖3）。

圖3　OT860系統界面

4.2OT860實際查找偽基站

為追求經濟利益，擴大垃圾短信的接收范圍，偽基站一般會選在人流密集的區域（如賓館、商場、車站）活動。利用運營商信令監測系統對后臺數據分析，可以確定偽基站大致出現位置。我站攜帶OT860測試工具和監測測向設備對昆明地區進行了多次偽基站查找，積累了大量數據和經驗。以下為我站利用OT860系統查找偽基站的實例。偽基站吸入手機大致分為以下四個過程：

（1）系統收到偽基站廣播。鄰區信道BCCH為58，Cell ID值為10不正常，GPRS值為NO，懲罰時間Penalty Time值為80明顯比其他小區偏大。

（2）系統工程手機的服務小區被58信道搶占，其他信道沒有數值，CellId值顯示為10（正?；緸?/4/5位數字），C1/C2值正常，GPRS值顯示為NO。

（3）系統顯示全部廣播信道沒有數值，幾秒鐘后服務小區替換為61信道，但C1，C2值仍不正常。

（4）系統測試各參數指標恢復正常，手機接入正?；尽?/p>

上述偽基站吸入手機過程時間大約持續15秒。確定偽基站廣播信道BCCH為58后，按照公式（3）計算對應58信道的頻率為901.6MHz。

f=890.2+（n-1）×0.2（3）

式中，n為BCCH信道編號。利用監測測向系統對該頻率進行測向定位，最終查找到偽基站。

值得一提的是，在偽基站查找中監測測向系統應滿足盡量攜帶方便、系統靈敏度高、天線方向性強、偽裝性好等要求。偽基站信號由于高樓建筑等反射，不易查找。在街道口，一般示向度會有明顯的變化，在無法確定偽基站的方位時，街道口的示向度可以作為一個參考，以提高查找的效率和準確性。

5　結束語

OT860系統在偽基站查找中能識別偽基站廣播信道，利用監測測向系統可以對偽基站進行查找。我站在多次的偽基站查找過程中發現偽基站所用的頻率很有可能是附近某個合法基站所用的頻率，查找逼近過程中可能會被合法基站所誤導，這對偽基站查找是個很大的麻煩，需要加以識別。另外，OT860系統應改進語音報警設置，對及時發現的信息進行預報和存儲，避免人為因素漏掉一些關鍵信息，這對實際的偽基站查找工作是很有必要的。

Analysis on the Application of OT860 in Searching Pseudo Base Station

Cai Liwei
（The State Radio Monitoring Center Yunnan Station， Kunming， 650031）

This paper introduces the background of searching pseudo base station， analysis the work principle and method for the identifcation of pseudo base station. It combines with the experience of searching pseudo base station byusing OT860 for my station， expounds the method of using OT860 to search the pseudo base station and puts forward some suggestions for improvement.

Pseudo Base Station； OT860； C1/C2 Value； GSM System； Cell Reselection

10.3969/j.issn.1672-7274.2015.02.013

TN92文獻標示碼：B

1672-7274（2015）02-0069-03

蔡立偉，男，1987年生，本科，助理工程師，畢業于昆明理工大學通信工程專業，現任職于國家無線電監測中心云南監測站，主要從事無線電監測工作。