4G偽基站識別及防范技術專利綜述

許伶俐

（國家知識產權局專利局專利審查協作江蘇中心，江蘇 蘇州 215163）

0 引言

隨著移動通信技術的長足發展，移動通信網絡成為我們工作生活當中必不可少的一部分，移動設備已經成為必要的通信工具[1]。由于移動終端在人與人連接、人與物以及物與物連接上的廣泛普及，在4G頻段下出現了偽基站，偽基站，顧名思義，就是“假基站”，是移動通信網絡之外的非法基站，偽基站的主要組成結構如圖1所示。偽基站能強制連接用戶手機信號，并獲取相關的用戶信息，偽基站問題已經成為最嚴重的移動網絡安全問題之一。由于手機的更新，2G終端逐漸升級為4G終端，且4G網絡是目前通信網絡的主要模式，對4G用戶造成主要威脅的4G偽基站應是重點防治的對象。本文主要針對4G偽基站識別及防范技術進行專利技術綜述研究，希望借此為偽基站識別及防范技術發展提供參考。

圖1 偽基站的主要組成結構

1 4G偽基站的實現原理

目前，2G移動通信網絡中采用的單向認證機制[2]，但在4G時代，4G網絡啟用了雙向認證機制來提高移動通信網絡的安全性，即終端設備與網絡側兩端均需要認證通過后，業務才可被正常觸發，否則無法正常通信，偽基站也無法觸發業務，這也使得原有的適用于2G網絡下的通過偽基站誘發技術來獲取用戶身份信息的方法在4G網絡上不再有效。雖然4G網絡使用的雙向鑒權信令NAS具有相對完整的保護算法，但4G偽基站仍然無法杜絕。下面分析4G偽基站主要實現方式：

（1）4G偽基站通過TAU獲取用戶標識信息。4G偽基站采用相同的公用陸地移動網，偽造一個當前網絡使用的絕對無線頻率信道號和物理小區標識PCI，并發射一個高于公網基站的功率，處于空閑態的4G終端在收到該功率信號后，啟動重選流程，從而將空閑態的4G終端欺騙重選入4G偽基站進行登記。4G偽基站通過更改跟蹤區碼TAC值，并廣播該TAC值，由于該TAC值與當前網絡的TAC值不一致，從而觸發TAU，4G偽基站從該更新過程中獲取到終端的GUTI，然后偽造一個特定的IdentityRequest消息發送給4G終端，要求其上報身份驗證信息，來獲得4G終端的IMSI或者IMEI號碼。其中，在了解協議3GPP_TS_24.301之后，很容易發現在保護算法開啟之后，IdentityRequest是不需要執行完整性保護的。因此，4G偽基站會利用該信令的透明性實現用戶身份信息的收集。在4G偽基站收集到了4G終端的身份信息后，會回復TAC更新拒絕消息，通知終端離開4G偽基站重新選擇其他網絡。4G偽基站通過TAU獲取用戶IMSI的過程如圖2所示，整個過程中，4G終端和4G偽基站均未與網絡側進行交互。

圖2 4G偽基站通過TAU獲取用戶IMSI的過程

（2）通過4G和2G偽基站合作的方式，獲取用戶敏感數據。由于4G中協議規定承載短信的NAS信令必須要有NAS完整性保護，且4G偽基站還沒有實現帶NAS完整性保護的NAS信令的偽造，而直接發送沒有NAS完整性保護的信令，用戶終端會根據協議直接把信息丟棄，因此，至今為止還沒有發現能夠通過4G網絡直接發送垃圾、詐騙信息的4G偽基站。但是4G和2G偽基站合作實現攻擊，即4G偽基站先誘導4G終端，重選入4G偽基站進行登記，然后在觸發從4G到2G的重定向，在該重定向的過程中，4G偽基站在RRC釋放消息重定向功能中提前寫入2G偽基站頻點，并將該RRC釋放消息給終端，使得終端重定向至已布置好的2G偽基站的2G網絡，再通過2G偽基站獲取用戶敏感數據，同時觸發位置更新LAU過程，在位置更新拒絕消息中攜帶非法信息，以短信方式發送給用戶。

（3）4G偽基站與合法終端相互協作，通過雙向欺騙，上下行信令轉發方式，獲取用戶敏感數據。偽基站偽裝成可用于終端重選的合法基站，然后廣播系統消息，改變跟蹤區（TA），使終端發起位置更新。偽基站通過給終端分配的SDCCH信道來從終端用戶獲得IMSI，獲取IMSI后偽基站化身偽終端向正常基站發送業務請求，利用合法終端通過與網絡側鑒權過程，即利用終端完成鑒權SRES的計算，并回復給網絡完成鑒權，同時獲得加密密鑰Kc，進而向任意目標用戶發起業務呼叫。由此可見，偽基站在整個過程中與終端配合完成鑒權，巧妙地通過劫持的方法將網絡的鑒權請求轉發給真正終端，用真正終端鑒權反饋繞過了網絡側對終端的鑒權過程，成功攻破雙向鑒權網絡，使問題不可避免地產生。

2 4G偽基站的識別與防范

當前的偽基站識別及防范技術主要是針對2G偽基站，結合現有技術中的2G偽基站實現原理和上述4G偽基站的實現原理的分析，兩者的實現原理存在著不同，因此，2G偽基站的識別方案不能用來識別4G偽基站，且對于4G偽基站的監測識別方法尚在不斷的探索中，而目前很多2G偽基站現已逐漸升級為4G偽基站，為避免4G偽基站竊取用戶數據、傳播非法信息情況的發生，我們需要針對4G偽基站實現原理的特點給予相適應的對策，現本文就專利申請方面給出了一些典型的用于識別4G偽基站的方案。

（1）針對4G偽基站攻擊特征（4G-4G-2G），專利申請CN106535197A公開了一種基于網絡制式識別偽基站的方法，監聽終端設備的網絡制式。若監聽到終端設備的網絡制式發生變化，即由4G切換為2G，獲取終端設備所連接的基站的基站編號；判斷基站編號是否符合預設條件，若是，識別基站為偽基站。

（2）針對4G偽基站可以繞過網絡對終端的鑒權過程的特點：CN107466041A公開了基于4G網絡模式下的信令交互順序，來識別偽基站，移動終端在與基站交互的高制式網絡模式下的信令時，如果當前場景屬于指定的場景，判斷基站側的信令是否與該指定場景對應的信令匹配，進而可以識別出偽基站，所述指定場景包括：跟蹤區更新場景、附著場景和重定向場景；所述高制式網絡模式包括：4G、4G+；指定場景對應的信令為包括雙向認證中所述基站提供的鑒權信令。

（3）針對4G偽基站偽造小區標識PCI和更改跟蹤區碼TAC值的特點，專利申請CN107959936A公開了在云端服務器中建立核心網數據庫。核心網數據庫中包含標準小區標識信息，專門用于服務小區以及所有同頻和異頻的鄰區的標準小區標識信息和對應頻點，云端服務器的核心網數據庫與終端的預置UE數據庫進行數據庫同步，在終端接收系統消息后，將系統消息中的測量信息按預設規則處理，以生成小區標識信息，終端將小區標識信息與預置UE數據庫中的標準小區標識信息進行比對，若預置UE數據庫中不存在與所述小區標識信息匹配的標準小區標識信息，則獲取所述系統信息中的頻點信息；判斷頻點信息中各個頻點對應的跟蹤區域碼TAC是否全相同；若頻點信息中各個頻點對應的跟蹤區域碼不全相同，則所述LTE系統的小區更新事件中對應的駐留小區是偽基站小區。

（4）針對在TAU消息流程中，基于UE在偽基站下進行TAU后再返回商用網絡進行TAU時的類型與正常TAU不同的特點，CN110012470 A 20190712公開了一種基于TAU消息流程的移動通信4G偽基站識別方法。對普通的TAU場景、CSFB場景和VOLTE場景下的偽基站數據進行提取并剔除，輸出異常小區數據并識別偽基站。其中，所述普通的TAU場景下在2G/3G TAU至4G的UE，其TAU消息中的EPS update type同樣設置為combined TA/LA updating with IMSI attach（2），偽基站TAU reject后異常的TAU update type為EPS update type value（2）。

（5）針對偽基站會偽造一個特定的IdentityRequest消息發送給4G終端來獲得用戶隱私信息的特點，CN108243416A公開了用戶終端認證方法。通過在3GPP協議（3GPP TS 24.301V9.2.0（2010-03））中增加如下內容：Identity Request請求中攜帶UE和HSS的共享密鑰K（仿真基站、偽基站等無法破解的密鑰）及其產生的認證向量，用于UE解密識別；UE接收到Identity Request請求后解析其中密鑰數據，并與UE的基礎密鑰進行對比，識別是否一致，如一致則視為合法鑒權請求，可以響應鑒權，回復IMSI等相關信息，如鑒權請求無密鑰信息或者解析后的密鑰信息與共享密鑰不一致，可以拒絕響應鑒權請求，通過這樣可以避免UE的相關個人信息泄露給偽基站。

（6）針對4G偽基站采取雙向欺騙、上下行信令轉發方式來獲取用戶敏感數據的特點，CN106454842A公開了提供的防止偽基站騷擾的方法。當向基站發送用戶標識信息時，利用與基站約定的秘鑰對所述用戶標識信息進行加密。將加密后的用戶標識信息發送給所述基站，以使所述基站根據所述秘鑰對所述加密后的用戶標識信息進行解密，得到所述用戶標識信息，用戶標識信息可以是IMSI或者TMSI。當向基站發送用戶標識信息時設置定時器，在所述定時器指示的時刻達到之前，如果未接收到所述基站發送的用戶標識響應消息，則拒絕接入所述基站并將所述基站標記為偽基站。

3 結束語

本文研究了4G偽基站的工作原理并結合其特質對一些典型4G偽基站的識別方案進行梳理，為更好地主動防御4G偽基站，保證用戶安全提供了良好的導向作用。