4G偽基站快速識別與定位研究

趙錦松+周昌林+馬驄

【摘 要】為了更好地監測偽基站，避免用戶受到騷擾而威脅到財產及隱私安全，針對4G偽基站使用的技術原理及4G偽基站的特征進行研究，優先使用系統ANR功能識別4G偽基站，當ANR功能未開啟時，則使用信令軟采數據識別偽基站，最后通過處理過的MR數據實現對4G偽基站的綜合定位。通過進行試驗證明，采用將系統ANR功能與信令軟采數據相結合的方式能夠很好地實現對偽基站的快速識別與定位。

為了更好地監測偽基站，避免用戶受到騷擾而威脅到財產及隱私安全，針對4G偽基站使用的技術原理及4G偽基站的特征進行研究，優先使用系統ANR功能識別4G偽基站，當ANR功能未開啟時，則使用信令軟采數據識別偽基站，最后通過處理過的MR數據實現對4G偽基站的綜合定位。通過進行試驗證明，采用將系統ANR功能與信令軟采數據相結合的方式能夠很好地實現對偽基站的快速識別與定位。

【關鍵詞】4G偽基站 識別與定位 ANR MR

[Abstract]Along with the rapid development of 4G， 4G terminal users， a large number of ascension， through traditional 2G pseudo base station monitoring system to monitor to the 4G pseudo base station. Pseudo base station in order to better monitoring， avoid the user from pseudo base station， this article in view of the 4G pseudo base station using the technology to study the principle and the characteristics of the 4G pseudo base station， the first 4G pseudo base station use system ANR feature recognition， when ANR function does not open， use the soft collects data to identify pseudo base station signaling， finally achieved by MR data processed by the positioning for the 4G pseudo base station. ANR the study through the system function and signaling soft combination of data， test data prove that can realize the recognition of pseudo base station and positioning.

[Key words]4G Pseudo Base Station Identification and localization Big Data ANR

1 引言

偽基站是一套獨立的網絡系統，通過仿冒移動通信網絡，利用其信號強度、位置區參數設置，使用戶在其覆蓋區域內自動接入，此時偽基站可獲取用戶位置更新消息中的IMSI和IMEI等信息。4G偽基站在獲取用戶信息后可通過拒絕位置更新或變更自身TAC等方式使手機終端重選回現網正常小區。

當前的偽基站識別與定位技術僅針對2G偽基站，通過頻繁位置更新失敗、異常LAC兩種方式來識別；根據受其干擾的小區大概計算其位置信息。在LTE時代，由于沒有LAC信息等因素，上述方案不能用來識別與定位4G偽基站。但無論是2G偽基站還是4G偽基站都有兩個共同特征：

（1）偽基站與現網正常小區沒有鄰區關系；

（2）參數設置較為極端。

本文即基于偽基站的這兩個特點來識別4G偽基站。首先，在有開啟ANR功能的區域內，使用ANR功能發現漏配鄰區；然后在沒有開啟ANR功能的區域內，使用信令軟采數據發現未在系統內的頻點與PCI；檢查漏配鄰區的小區或未在系統內的小區的參數是否異于現網，從而判斷是否為4G偽基站；最后，根據測量到偽基站RSRP且帶位置信息的MR數據，計算出偽基站的位置信息。

2 4G偽基站形態和危害

偽基站通常被不法分子用來傳播非法信息，甚至還可以被用來竊取用戶的個人信息，危害性極大。偽基站的危害性還與它的形態密切相關，隨著技術的發展，偽基站越來越便攜，隱蔽性越來越強，危害性也越來越大。

2.1 4G偽基站的形態

4G偽基站按是否可移動分為定點式與非定點式：

（1）定點式：例如公安系統的電子圍欄，大多在路口且位置固定，形態變化不大；

（2）非定點式：形態各異，發射端由原來的相對龐大發展到車載便攜、背包便攜形態，同時，控制端由筆記本電腦升級為手機甚至U盤，隱蔽性極強。

2.2 4G偽基站的危害

4G偽基站在現實生活中存在以下幾種危害：

（1）公安4G偽基站使用較大的發射功率以及與周圍小區相同的PCI，會影響附近的無線環境，造成周邊小區指標惡化，甚至會影響周邊用戶的正常通信；

（2）電信詐騙使用的偽基站會發送大量詐騙短信，威脅到人民財產安全；

（3）4G偽基站除了能夠被用于發送垃圾短信外。新型的偽基站更是實現了將偽基站與偽終端合體，采用“兩頭欺騙”的方法，在移動網絡和真正的用戶終端之間建立起了聯系，先冒充用戶發起呼叫，當網絡側要驗證用戶身份時又誘騙真正的用戶終端反饋身份信息，從而使得網絡側被欺騙。

2.3 小結

公安4G偽基站可以使用專用的移動通信設備代替；而用于違法行為的4G偽基站，經常處于移動狀態且極其隱蔽，需要及時發現、定位并通知警方抓捕。因此，對4G偽基站的快速識別與定位變得至關重要。

3 4G偽基站原理及實現手段

3.1 4G基站原理

目前GSM系統采用單項認證的體制，即只有網絡對終端的認證，不需要終端對網絡的認證。LTE鑒權過程為雙向鑒權，終端與網絡相互都要進行鑒權。因此，在GSM網絡上偽基站很容易就可以偽造成正常基站，欺騙終端駐留并偽造信令流程（如發短信）。而在LTE網絡上，這個問題將得到很大改善。而縱然LTE的NAS信令有完整性保護算法，4G偽基站依然存在。

查閱協議3GPP_TS_24.301，完整性保護算法開啟后，NAS層信令將進行完整性保護校驗，如果檢驗不通過將被丟棄，但有幾條信令不需要完整性保護校驗。其中就有【3GPP_TS_24.301】3GPP協議節選如下：

4.4.4.2 Integrity checking of NAS signalling messages in the UE

Except the messages listed below， no NAS signalling messages shall be processed by the receiving EMM entity in the UE or forwarded to the ESM entity， unless the secure exchange of NAS messages has been established for the NAS signalling connection：

- EMM messages：

- IDENTITY REQUEST （if requested identification parameter is IMSI）；

- AUTHENTICATION REQUEST；

- AUTHENTICATION REJECT；

- ATTACH REJECT；

- DETACH REQUEST；

- DETACH ACCEPT （for non switch off）；

- TRACKING AREA UPDATE REJECT；

- SERVICE REJECT.

NOTE： These messages are accepted by the UE without integrity protection， as in certain situations they are sent by the network before security can be activated.

All ESM messages are integrity protected.

Once the secure exchange of NAS messages has been established， the receiving EMM or ESM entity in the UE shall not process any NAS signalling messages unless they have been successfully integrity checked by the NAS. If NAS signalling messages， having not successfully passed the integrity check， are received， then the NAS in the UE shall discard that message. If any NAS signalling message is received as not integrity protected even though the secure exchange of NAS messages has been established by the network， then the NAS shall discard this message.

----------------------------------------------------------------------------------------------------------------------

由于LTE協議規定IDENTITYREQUEST （if requested identification parameter is IMSI）不需要完整性保護，4G偽基站即利用此實現了對用戶敏感信息的收集。

目前發現的情況主要集中于公安系統利用4G偽基站監控用戶位置和人流量。這些偽基站為了欺騙終端接入，一般會仿冒現網周邊一個小區的PCI，導致現網小區出現切換、掉線等指標惡化，并伴有出現干擾的可能（取決于偽基站是否與現網基站同步，是否使用與現網相同的時隙配比）。可采取修改PCI的臨時措施，但最終解決措施需要協調公安部門，建議其采用移動公司的信令系統進行追蹤來取代搭建偽基站的方式。

3.2 4G偽基站實現手段

（1）偽基站通過TAU獲取用戶IMSI

4G偽基站通常會設置一個異常的TAC，使處于RRC空閑態的終端重選到它上面，并請求更新路由區（TAURequest），獲取終端的GUTI；偽基站在獲取到GUTI后，可以造出特定NAS消息（Identity Request）要求終端上報其IMSI信息。

由此可見，4G偽基站可以在TAU過程中偽造Identity Request直傳信令，用于獲取用戶IMSI信息。

（2）偽基站通過與偽終端配合，獲取用戶隱私數據

1）偽基站先偽裝成正常的基站讓終端重選到它上面；

2）偽基站廣播系統消息，改變LA，使終端發起位置更新；

3）偽基站給終端分配一條SDCCH信道，并向終端查詢IMSI；

4）偽基站變身為偽終端用獲得的IMSI向正常的基站發起業務請求；

5）利用終端完成鑒權SRES的計算，并回復給網絡完成鑒權，同時獲得加密密鑰Kc；

6）偽基站向任意的目標用戶發起業務呼叫。

在整個過程中有個關鍵環節需要終端的配合，即鑒權。偽基站巧妙地通過劫持的方法將網絡的鑒權請求轉發給真正的手機，用真正手機的鑒權反饋繞過了網絡對終端的鑒權過程，使問題不可避免地產生。

4 4G偽基站的識別與定位

4.1 當前識別偽基站的技術手段及弊端

針對2G偽基站的識別，現有技術已經比較成熟；但對于識別4G偽基站，各廠家仍處于探索階段。

由于識別2G偽基站主要依靠對異常LAC的判斷，而LTE網絡中沒有該信息，因此2G偽基站的識別技術不能移植到對4G偽基站的識別中來。當前比較熱門的研究是基于系統ANR功能實現對4G偽基站的識別。

4.2 ANR基本原理

LTE系統基于自組織網絡（SON，Self Organising Network），針對鄰區提出了ANR（AutomaticNeighbor Relation）功能，實現鄰區的自配置（Self-configuration）、自優化（Self-optimization）和自操作（Self-operation）。

ANR功能開啟后可以自動發現漏配鄰區，使UE順利切換至原本系統中漏配鄰區的目標鄰區，并自動在鄰區列表中添加漏配鄰區；而基于ANR功能的受控模式，鄰區漏配將正常切換，但不會生成鄰區，能發現漏配鄰區且不改變現網鄰區情況，這為4G偽基站的識別奠定了基礎。

4.3 4G偽基站快速識別

4G偽基站快速識別流程圖如圖3所示：

步驟1

由于4G偽基站識別與定位是通過鄰區信息來判斷的，因此需在偽基站識別之前，準備好全網鄰區配置表與“服務小區-鄰區的頻點+PCI”分布模型。

鄰區配置表包括有：服務小區識別信息（例如LTE網絡的ECI、頻點、PCI），服務小區站點經緯度信息，與服務小區對應的鄰區識別信息（例如LTE網絡的ECI、頻點、PCI）；

“服務小區-鄰區的頻點+PCI”分布模型是基于全網在一定時間內（如1個小時）的MR數據建立模型。該分布模型內容包括：服務小區識別信息（例如LTE網絡的ECI、頻點、PCI），鄰區識別信息（例如LTE網絡的頻點、PCI）。同時，模型可根據需要進行更新，建議更新頻率為1天一次。

如此，通過步驟1實現了4G偽基站監控的基本條件。

步驟2

根據Uu口信息，如果發現手機上報MR消息包含鄰區CGI，則該MR的主服務小區下有UE開啟ANR功能，將主服務小區的小區標識放入有UE開啟ANR的小區表中，將漏配鄰區信息（主服務小區的小區標識、鄰區識別信息）放入漏配鄰區表中，并編號。

步驟3

對于不在有UE開啟ANR的小區表中的小區，根據這些小區Uu口的MR信息，統計MR信息中主服務小區與鄰區頻點、鄰區PCI的對應關系。對比“服務小區-鄰區的頻點+PCI”分布模型，如果發現有新增頻點和PCI，則將漏配鄰區信息（主服務小區的小區標識、鄰區識別信息）放入漏配鄰區表中，并編號；對比鄰區配置表，如果MR上報的鄰區的頻點與PCI在該服務小區的鄰區配置表中找不到對應記錄，則將漏配鄰區信息（主服務小區的小區標識、鄰區識別信息）放入漏配鄰區表中，并編號。

步驟4

每個小區分別統計，如果一個服務小區包含有漏配鄰區的MR一小時內超過某個閾值（默認設置為100條），且該漏配鄰區的RSRP存在大于-90 dBm的情況，則把該服務小區、鄰區頻點、鄰區PCI以及編號放入4G偽基站表中（主服務小區為受4G偽基站干擾小區，鄰區頻點、PCI為偽基站信息）；同時將漏配鄰區上報的RSRP大于-90 dBm的MR存入新表，與4G偽基站表中的對應數據采用同一編號，并根據指紋定位算法計算出存入MR的經緯度。

4.4 4G偽基站快速定位

通過測量到的偽基站的MR進行經緯度計算，從而實現對偽基站的定位。數據處理規則如下：

（1）以20 s內測量到某個偽基站RSRP大于-90 dBm的MR數據作為MR樣本；

（2）該偽基站的經緯度見公式（1）（Longitude， Latitude）：

μi為MR樣本中D（i）距離4G偽基站的等效空間距離，計算參考公式（3）：

（3）

δji為MR樣本中D（j）與主服務小區C0（取工參里的經緯度）的距離dj同MR樣本中D（i）與主服務小區C0（取工參里的經緯度）的距離di的差值。距離計算參考公式（4）：

distance=6371004×acos（sin（Lat1×Pi/180）×sin （Lat2×Pi/180）+cos（Lat1×Pi/180）×cos（Lat2×Pi/180）

×cos（Lon2×Pi/180-Lon1×Pi/180）） （4）

δj為MR樣本中D（j）與主服務小區C0（取工參里的經緯度）的距離dj同4G偽基站與主服務小區C0（取工參里的經緯度）的等效距離dFENB的差值，見公式（5）：

VFENB為4G偽基站的發射信號強度（dBm），默認設置為85（可配置）；β為路徑損耗參數，β默認為120 dB（范圍為110～140，參數可調）。

5 數據驗證

驗證數據選取10月8日凌晨至10月9日中午12點的36個小時的數據進行分析，區域范圍為蓮都區汽車城，采用軟件分析結果與實際現場勘測對比，最后通過拉網測試進行反復驗證。

5.1 軟件分析結果

通過軟件分析，發現分析區域內有一個偽基站，頻點為37900，PCI為422，即圖2中紅色圓點所在位置。

查詢歷史偽基站告警記錄發現，該偽基站一直長時間存在，頻點占用38400與37900這兩個目前主流的TD-LTE頻點，PCI 60分鐘左右變化一次，影響周邊約20個小區，告警信息如表1所示（請說明表1中標色突出的數據有何意義）。

NSSP通過章節4.4中的經緯度算法對偽基站位置進行定位，得出偽基站地理位置，如圖3所示（說明圖中哪個位置為偽基站）。

5.2 現場勘查結果

根據軟件分析出來的偽基站經緯度，在google earth上進行打點，偽基站位置如圖6中黃點所示。

在標記位置附近的燈桿上發現了疑似天線的裝置，如圖5所示。

通過反復拉網測試發現，距離該裝置越近，發生切換失敗的次數會曾多，頻點為37900、PCI為143的小區的RSRP顯著增強，最終重選至3G小區。當遠離該裝置時，發生切換失敗的次數降低，頻點為37900、PCI為143的小區的RSRP顯著減弱，最終回到4G網絡。因此判定該裝置為4G偽基站。偽基站PCI發生變化應該是由于偽基站的特性造成的。

通過對軟件分析的其它區域進行拉網測試，未發現有出現如上情景，因此判定該范圍內只有一個偽基站。

5.3 小結

通過軟件分析結果與現場勘查結果對比分析后發現偽基站部分特征：

（1）偽基站使用的PCI會周期性地發生變化，變化周期大約為60分鐘；使用的頻點主要為目前通用頻點38400與37900；

（2）偽基站覆蓋范圍較小，測量到的偽基站MR中電平值都較高；

（3）UE接觸偽基站會觸發A3，但是無法切換成功；

（4）正常小區MR與源小區差值一般在3以內，偽基站MR與源小區RSRP差值平均在3dBm以上。

根據以上特征，NSSP偽基站識別系統將可以在識別流程步驟4（見本文章節4.3）將偽基站識別出來，同時使用偽基站快速定位算法（見本文章節4.4）計算出偽基站經緯度。綜上所述，NSSP偽基站識別方案能夠對4G偽基站進行有效識別與精準定位。

6 結束語

本文基于鄰區自動優化功能與MR數據對4G偽基站的識別與定位展開研究，希望能給從事相關研究工作的開發人員提供一些參考。

鄰區自動優化功能可實現漏配鄰區的快速發現，而對于未開啟鄰區自動優化功能的區域，可通過對全網一定時間內的MR數據進行分析，結合新增頻點和PCI信息來發現漏配鄰區；進而結合漏配鄰區電平值和MR采樣點數等，識別出偽基站；最后通過包含偽基站的MR數據對偽基站進行定位。研究中所使用的數據具有較高的實時性，且流程簡潔，可用于偽基站的實時發現與追蹤。

參考文獻：

[1] 萬晉鵬. 偽基站：危害到底有多大[J]. 中國防偽報道， 2016（7）： 21-22.

[2] taodh_wx. LTE偽基站橫空出世，深度揭秘LTE偽基站原理[EB/OL]. （2016-07-05）. http：//www.360doc.com/content/16/0705/19/30451798_573337488.shtml.

[3] 周國有. 徹底認識4G偽基站[EB/OL]. （2016-09-03）. http：//sanwen.net/a/hnhproo.html.

[4] 曹茂虹，王大強. “偽基站”的基本原理及電子取證分析[J]. 信息安全與技術， 2015（4）： 73-75.

[5] 楊雪瑾. 淺析偽基站的工作原理和治理方法[J]. 中國無線電， 2014（3）： 15-17.

[6] 張永帥. LTE網絡中SON系統ANR功能的研究與設計[D]. 北京： 北京郵電大學， 2012.

[7] echofull淼淼. 華為LTE ANR鄰區自動優化[EB/OL]. （2014-02-25）. https：//wenku.baidu.com/view/c15e1032844769eae009edc9.html.

[8] 汪文勇，田曉霞，龍騰，等. 一種定位偽基站的方法： 中國， CN201510019110.7[P]. 2015-04-22.

[9] 周之童，夏子焱，邢佳帥，李珍妮. 偽基站系統偵測識別及定位方法研究[J]. 信息網絡安全， 2014（9）： 196-198.

[10] 李偉. 利用MR定位提高網優問題分析效率[EB]. 百度文庫， [2016-10-11]. https：//wenku.baidu.com/view/39ee20d028ea81c758f57875.html.

[11] 王新樓，郭超，紀國強. 基于MR位置指紋定位的優化算法分析和實踐[J]. 郵電設計技術， 2014（11）： 52-56.

[12] 李婷婷. 基于MR的手機定位系統的設計與實現[D]. 濟南： 山東大學， 2011.

[13] 3GPP TS 24.301 V9.0.0. Technical Specification 3rd Generation Partnership Project； Technical Specification Group Core Network and Terminals； Non-Access-Stratum （NAS） protocol for Evolved Packet System （EPS）； Stage 3 （Release 9）[S]. 2009