[技术讨论] LTE伪基站横空出世，深度揭秘LTE伪基站原理

From：http://bbs.c114.net/thread-914440-1-1.html

1  GSM与LTE基站鉴权信令对比

1.1 关于SIM卡的单向鉴权

SIM卡执行单向鉴权，即网络验证终端，终端不验证网络：

1.2  关于USIM卡的双向鉴权流程

1、MME发送AuthenticationDataRequest消息给HSS，消息中需要包含IMSI，网络ID，如MCC+MNC和网络类型，如E-UTRAN

2、HSS收到MME的请求后，使用authenticationresponse消息将鉴权向量(RAND,AUTN,XRES,KASME)发送给MME

3、MME向UE发送UserAuthenticationRequest消息，对用户进行鉴权，消息中包含RAND和AUTN这两个参数

4、UE收到MME发来的请求后，先验证AUTN是否可接受，UE首先通过对比自己计算出来的XMAC和来自网络的MAC（包含在AUTN内）以对网络进行认证，如果不一致，则UE认为这是一个非法的网络。如果一致，然后计算RES值，并通过UserAuthenticationResponse消息发送给MME。MME检查RES和XRES的是否一致，如果一致，则鉴权通过。

结论：GSM的鉴权过程为单向鉴权，终端不对网络进行鉴权；LTE鉴权过程为双向鉴权，终端与网络相互都要进行鉴权。因此，在GSM网络上伪基站很容易就可以伪造成正常基站，欺骗终端驻留并伪造信令流程（如：发短信）。而在LTE网络上，这种问题将得到很大改善。

2   LTE鉴权过程及LTE伪基站流程分析

2.1  LTE鉴权过程

LTE网络中，终端在Attch阶段将进行双向鉴权，并触发安全模式流程。

结论：LTE相比GSM有双向鉴权，且在鉴权后，NAS层将开启信令的完整性保护算法，秘钥只有HSS和USIM上保存，伪基站是无法获取的，也就不能篡改信令。

2.2  LTE网络NAS信令完整性保护分析

既然LTE的NAS信令有完整性保护算法，那为什么还有4G伪基站呢？

查阅协议3GPP_TS_24.301，完整性保护算法开启后，NAS层信令将进行完整性保护校验，如果检验不通过将被丢弃，但有几条信令不需要完整性保护校验。其中就有IDENTITYREQUEST (if requested identification parameter is IMSI)，4G伪基站也就是利用这个实现了对用户敏感信息的收集。

4.4.4.2     Integritychecking of NAS signalling messages in the UE

Except the messages listedbelow, no NAS signalling messages shall be processed by the receiving EMMentity in the UE or forwarded to the ESM entity, unless the secure exchange ofNAS messages has been established for the NAS signalling connection:

-     EMM messages:
-     IDENTITY REQUEST (if requested identification parameter isIMSI);
-     AUTHENTICATION REQUEST;
-     AUTHENTICATION REJECT;
-     ATTACH REJECT;
-     DETACH REQUEST;
-     DETACH ACCEPT (for non switch off);
-     TRACKING AREA UPDATE REJECT;
-     SERVICE REJECT.

NOTE:      These messages are accepted by the UE without integrityprotection, as in certain situations they are sent by the network beforesecurity can be activated.

All ESM messages are integrityprotected.

Once the secure exchange ofNAS messages has been established, the receiving EMM or ESM entity in the UEshall not process any NAS signalling messages unless they have beensuccessfully integrity checked by the NAS. If NAS signalling messages, havingnot successfully passed the integrity check, are received, then the NAS in theUE shall discard that message. If any NAS signalling message is received as notintegrity protected even though the secure exchange of NAS messages has beenestablished by the network, then the NAS shall discard this message.

2.3      4G伪基站利用TAU获取信息

1、伪基站设置为一个异常的TAC，使处于RRC空闲态的终端重选到伪基站，并请求更新路由区（TAURequest），获取终端的GUTI。

2、伪基站在获取到GUTI后，可以造出特定NAS消息（Identity Request）要求终端上报其IMSI信息。

可见，伪基站可以在TAU过程中伪造Identity Request直传信令，用于获取用户IMSI信息。

2.4        现网基站利用Identiy Request获取信息

在北京现网中，部分LTE基站开启了IMSI采集功能，也是通过eNB仿冒核心网发Identiy Request收集用户的IMSI信息。


结论：由于LTE协议规定IDENTITYREQUEST (if requested identification parameter is IMSI)不需要完整性保护，因此4G伪基站也就是利用这个实现了对用户敏感信息的收集。目前发现的主要是公安系统利用4G伪基站监控用户位置和人流量。这些伪基站为了欺骗终端接入，一般会仿冒现网周边一个小区的PCI，导致现网小区出现切换、掉线等指标恶化。并会有干扰的可能（取决于伪基站是否与现网基站同步，是否使用与现网相同的时隙配比），临时措施——修改PCI，最终解决措施——协调公安部门，采用移动公司的信令系统进行追踪，而不是搭建伪基站。

3         更大危害的伪基站

伪基站除了能够被用于发送垃圾短信外。新型的伪基站更是实现了将伪基站与伪终端合体，“采用两头欺骗的方法，在移动网络和真正的用户终端之间建立起了联系，先冒充用户发起呼叫，当网络侧要验证用户身份时又诱骗真正的用户终端反馈身份信息，从而使得网络侧被欺骗”。具体方法如下：

1、伪基站先伪装成正常的基站让终端重选到伪基站；

2、伪基站广播系统消息，改变LA，使终端发起位置更新；

3、伪基站给终端分配一条SDCCH信道，并向终端查询IMSI；

4、伪基站变身为伪终端用获得的IMSI向正常的基站发起业务请求；

5、利用终端完成鉴权SRES的计算，并回复给网络完成鉴权，同时获得加密密钥Kc；

6、伪基站向任意的目标用户发起业务呼叫。

整个过程中有个关键环节需要终端的配合：鉴权。伪基站巧妙的通过劫持的方法将网络的鉴权请求转发给真正的手机，用真正手机的鉴权反馈绕过了网络对终端的鉴权过程，那么问题就不可避免。

GSM现网的LAU过程：

GSM语音起呼流程：

可见，只要按照图中标号的顺序，伪基站就可以绕过网络对终端的鉴权，拨打电话。

结论：2G新型伪基站可以通过和核心网交互，同时模拟基站和终端，骗取鉴权信息，从而达到接入网络的目的，从流程上是可以实现的，而且根据集团公司的公文市通[2016]125号，在上海浦东机场已发现类似问题。

4         思考及建议

对于新出现的2G盗打电话的伪基站，一般会出现在国际机场周边，用户往往都会开着国际漫游功能，为盗打国际长途创造了条件。这种伪基站是利用了GSM协议的漏洞实现的盗打国际长途，这种伪基站位置一般会比较固定，建议加强伪基站的监控，重点关注相关用户投诉所处的小区位置附近进行排查。

目前出现的LTE伪基站都来自公安系统，主要通过仿冒现网周边一个现网小区PCI的形式存在，导致现网小区出现切换、掉线等指标恶化，并会有干扰的可能。临时可通过修改现网小区PCI处理，最终还需协调公安部门关停解决。