eNodeB 伪基站辨识与优化

1 TAU流程

1.1 TA 定义

为了确认移动台位置，LTE网络覆盖区划分为许多跟踪区TA Tracking Area。TA用TAC (Tracking Area Code) 标识。运营商用TAI (Tracking Area Identity) 作为TA的唯一标识，TAI 由MCC (Mobile Country Code) , MNC (MobileNetwork Code) 和TAC组成。例如，

表示最近一次注册的TAI是中国联通TAC为4116中的某一个小区。TA和TA List之间的关系可以通过图1表示。

图1. TA 和 TA List 关系图

TAI LIST最多可以包含16个TAI，UE附着成功时获取一组TAI LIST，移动过程中只要进入的TA没有包含在TAI LIST中就会发生位置更新，把新的TA更新到TAI LIST中；如果在移动过程中进入一个TAI LIST表中的TA时，不发生位置更新；如果表中已经存在16个TA，则替换掉最旧的那个。这个更新TA的过程称之为TAU (TA Update) 。UE发起正常TAU流程分为IDLE状态的TAU和CONNECTED状态的TAU，下一节我们将详细分析UE在CONNECTED状态下的TAU过程。

 

1.2 UE在CONNECTED状态下TAU流程

图2展示了UE处于CONNECTED状态下的TAU信令流程图，

 

图2  连接态TAU流程

连接态TAU流程说明：

• 处在RRC_CONNECTED态的UE进行Detach过程，向eNB发送UL InformationTransfer消息，包含NAS层Tau request信息；

• eNB向MME发送上行直传UPLINK NAS TRANSPORT消息，包含NAS层TAU request信息；

• MME向基站发送下行直传DOWNLINK NAS TRANSPORT消息，包含NAS层TAU accept消息；

• eNB向UE发送DLInformationTransfer消息，包含NAS层TAU accept消息；

• UE向eNB发送ULInformationTransfer消息，包含NAS层TAU complete信息；

• eNB向MME发送上行直传UPLINK NAS TRANSPORT消息，包含NAS层Tau complete信息。

   

   

2.“伪基站”工作原理

伪基站是指没有通过国家无线电发射设备型号核准，未取得进网许可的一种非法的无线电设备。伪基站硬件设备由基带控制单元、收发信机、RF双工器、天线、电源灯相关设备组成。 NodeB伪基站通过广播控制信道广播系统消息，当终端发起位置更新请求的同时，伺机获取终端编号，最终实现向终端发送短信数据包的目的。eNodeB伪基站通过小区重选和TAU来实现与终端的第一次通信，以获取终端编号的目的。下面我们以eNodeB伪基站为例来详细的分析相关的信令流程。

 

2.1 eNodeB 伪基站原理

图3. 伪基站TAU流程与正常基站TAU流程对比

• 伪基站首先通过工程终端，测量当前位置系统广播消息，测量邻区信号，并找到信号最弱的邻区PCI。伪基站按照驻留小区的广播消息进行伪造，使用相同的频点和最弱邻区的PCI，并使用完全不同的TAC，伪基站以较大的功率通过广播控制信道（BCCH）不断的广播“System Information Type 1”；

• 手机接收到伪基站的SIB1 消息后，判断伪基站的TAI未在自己的TAI List中，TAC发生改变，于是手机发起TAU流程，终端向伪基站发起TAU请求；

• 伪基站为了获取终端IMSI信息，下发身份识别请求消息（IdentityRequest）；

• 终端向伪基站发送回复消息（Identity Response）,其中包含IMSI相关信息；

• 伪基站获取终端IMSI信息后，拒绝用户跟踪区更新请求，将用户踢出伪基站小区；

 

4G系统通过双向鉴权杜绝了类似2G伪基站群发短信的可能，但不能杜绝获取用户IMSI信息。其本质原因是协议3GPP 24.301协议中完整性保护算法的漏洞。协议规定，在完整性保护算法开启后，NAS层将进行完整性保护校验，校验不通过的UE将被网络丢弃，但是有几条信令不需要完整性保护校验，其中包括 IDENTITYREQUEST (if requested identification parameter is IMSI)，eNodeB伪基站就是利用这个漏洞来实现对于用户信息的获取。

3. DT路测分析及优化方案

3.1路测LOG地理分布

以一段道路测试LOG分析，直观的说明伪基站原理。如图4所示：

图4. 道路测试LOG

基站的工程参数为PCI (63,64,65)，TAC (4116)。测试车辆从南向北行驶，测试结果显示该测试路段覆盖很好，RSRP在-95dBm以上。路段由基站（PCI=63和PCI=64）两个小区覆盖。正常情况下，终端从PCI=64的扇区切换到PCI=63的扇区。

 

3.2路测LOG信令分析

但是该路段的测试LOG结果显示，有一小段中断占用PCI=18的小区，且该小区TAC为异常地址92。查询现网的工程参数，该区域内无PCI=18，TAC=92的小区，初步判断该小区为伪基站。下一步分析该路段的信令，对问题路段的问题进行定位。截取一段信令，如图5所示：

图5.测试路段信令片段

为了便于阅读，我们将该段信令的详细内容列举在表1中

 

表1. 测试信令详细内容列表

信令	详细内容
systemInformationBlockType1	trackingAreaCode = 92，cellIdentity = 18
Tracking area update request	Tracking area update request, Last  visited registered TAI, Old GUTI, Old location area identification
Identity response	Identity response = 86, Mobile Identity  (Type of identity = IMSI, Identity Digits = 4600116******41)
Tracking area update reject	Tracking area update reject = 75

通过详细的信令内容可以看出，伪基站通过SIB1 消息广播一个异常的TAC= 92，使得终端重选到伪基站(PCI = 18)。由此导致UE发起TAU的请求，伪基站获取终端的GUTI。伪基站获取到终端GUTI后，伪造出特定的NAS消息(Identity Request)要求终端上报IMSI信息。由于LTE协议中UE侧对Identity Request不需要完整性保护，因此UE在收到该信令后回复IdentityResponse，该信令中包含了IMSI = 4600116******41(为了安全起见，部分数字我们在此采用*号标识，UE回复伪基站的是完整的IMSI)信息。伪基站获取UE信息后直接将其踢出。

 

3.3 优化方案

伪基站仿造运营商基站，导致网络的切换、掉线等指标恶化，直接的优化方案是找到伪基站并关停。但是，目前发现的eNodeB伪基站主要为公安部署用来监控人员流动信息。所以，为了减少伪基站对于移动网络的影响，运营商可以通过调整网络相关参数来优化网络指标。

 

伪基站伪造与当前小区有邻区关系的小区的PCI，在不影响现网切换关系的前提下，取消现网基站与伪基站PCI邻区关系，图6.给出了优化方案实施后现网基站的指标变化曲线。

图6.取消邻区关系后小区指标变化曲线

如图6.所示，在2018年11月13日开始，该小区同频切换成功率由100%左右降低到50%左右，切换成功率一直在50%左右波动。同时，切换成功率降低的同时，同频切换尝试次数也比之前增加了很多。

现场测试结果显示，现场测试信令与图5.给出的信令一致，由此判断该处存在伪基站。获得伪基站的PCI后，在2018年11月22日将该伪基站的PCI从现网基站的邻区列表中删除。22日后网络同频切换成功率恢复正常，且同频切换尝试次数相应的减少。

 

 

---

 完

2018/11/30