基于4G網絡技術的偽基站工作原理及干擾排查應對措施

郄軍建，朱 青，武傳龍

（濰坊市知識產權保護中心，山東 濰坊 261100）

0 引 言

目前，國內大型通信運營商都已經實現了4G網絡全覆蓋，偽基站技術也在實時更新，日常工作中已經發現了基于4G技術的偽基站。4G偽基站通常是指移動網絡碼（Mobile Network Code，MNC）與通信運營商相同，冒充4G基站發射4G信號，將用戶終端強行吸入網絡，非法獲取用戶信息的“假基站”，已經嚴重威脅到移動通信網絡安全。需要及時排查定位4G偽基站，最大限度降低其不良影響已成為亟需解決的現實問題。因此，分析4G偽基站的工作原理并給出相應的應對措施具有重要意義[1]。

1 4G偽基站工作原理

根據3GPP協議，為了提高移動通信網絡安全性，4G移動通信網絡啟用雙向鑒權機制，即eNodeB和用戶體驗（User Experience，UE）相互認證通過后才能觸發業務，否則無法正常通信。為提升4G移動通信網絡的安全機制，4G網絡通信協議提供了多種可供選擇的加密算法和完整性保護的算法，移動終端可以在經過相應的鑒權流程后確認基站是否合法?，F在的4G偽基站只能模擬鑒權流程之前的信令，無法模擬鑒權后的電路交換（Circuit Switch，CS）域和分組交換（Packet Switch，PS）域的信令流程。4G偽基站無法像2G偽基站那樣向用戶終端發起惡意攻擊，僅能夠模擬鑒權流程之前的一些接入信令，誘導UE上報一些用戶終端的基本信息。例如，4G偽基站會導致空閑態終端的IMSI、IMEI等信息泄露，導致處于連接態的用戶終端切換失敗、掉話等，使運營商網絡指標急劇惡化，嚴重影響用戶感知。本文從空閑態和連接態詳細分析4G偽基站的工作原理。

1.1 空閑態工作原理

當UE處于空閑態時，常見的4G偽基站截取用戶IMSI、IMEI的流程如圖1所示。（1）UE與合法的運營商基站保持連接。（2）4G偽基站上電啟動之后，首先監聽通信運營商合法基站的廣播消息，測量信號的場強，解析移動通信小區的PCI等關鍵信息，進一步獲取主服務小區及相鄰服務小區的網絡參數。4G偽基站從相鄰服務小區列表中選擇一個信號場強較弱的小區作為模擬對象，設置成與其相同的物理小區標識（Physical layer Cell Identity，PCI），以高于運營商合法基站的發射強度持續進行廣播。（3）隨著UE遠離主服務小區并靠近4G偽基站，UE啟動同頻、異頻測量，發現4G偽基站的信號強度和質量均優于其他小區，滿足小區重選的條件，觸發UE啟動小區重選流程向4G偽基站登記，UE解析偽基站廣播消息，發現跟蹤區域碼（Tracking Area Code，TAC）與通信運營商合法的TAC不一致，UE隨即發起TAU Request請求。（4）4G偽基站發送Identity Request請求，要求UE上報IMSI、IMEI。（5）UE向偽基站發送IMSI、IMEI。（6）偽基站截取到IMSI、IMEI，向UE發送TAU Reject，通知UE選擇其他基站，此次TAU更新失敗。（7）UE重新與運營商的合法基站建立連接，恢復正常通信[2]。

圖1 4G偽基站截取用戶IMSI/IMEI流程

1.2 連接態工作原理

如果運營商通信網開啟了應用程序無響應（Application Not Responding，ANR）功能，當UE處于連接態時，收到4G偽基站高強度信號會導致切換失敗，具體流程如圖2所示。（1）UE處于連接態；（2）偽基站的向周圍的UE發射高強度信號；（3）UE解析偽基站的廣播消息，向原來駐留的運營商合法基站上報測量結果（Measurement Result，MR）；（4）運營商合法基站啟動ANR流程，要求UE上報偽基站的TAC、PCI等信息；（5）UE根據指示解析并上報偽基站的信息；（6）運營商合法基站向MME發起S1切換請求；（7）由于運營商合法網絡中不存在該偽基站，MME會回復S1切換失敗?？梢?，UE處于業務態時，4G偽基站會導致用戶切換失敗，影響用戶感知，同時會使網絡關鍵績效指標（Key Performance Indicator，KPI）劣化[3]。

圖2 連接態時偽基站導致切換失敗的流程

2 4G偽基站危害

現網中發現既有用于非法目的4G偽基站，也有安全部門用于合法目的4G偽基站，無論哪種4G偽基站都會對用戶信息安全造成威脅，也會嚴重干擾通信運營商的網絡，造成指標嚴重劣化。

2.1 對普通用戶的危害

對普通用戶而言，4G偽基站的危害主要在于用戶IMSI、IMEI信息的泄露，進而引發網絡詐騙。另外還會干擾用戶終端和運營商基站正常的通信行為，導致用戶通話質量變差，嚴重影響居民的生活與合法權利。

2.2 對通信運營商的危害

對于通信運營商而言，4G偽基站的存在嚴重干擾現行4G網絡。存在4G偽基站的區域信號與干擾加噪聲比（Signal to Interference plus Noise Ratio，SINR）異常，網絡KPI嚴重惡化，主要表現在鄰區切換失敗、用戶業務中斷等，由此引發客戶大量集中投訴，嚴重影響公司形象。

3 4G偽基站排查定位策略

3.1 網管指標排查

如果運營商4G網絡開啟了ANR功能，4G偽基站的存在會導致處于連接態的UE觸發S1切換失敗事件，該事件在網管系統上都有統計。因此通過華為或者愛立信網管提取全網網絡指標，根據小區鄰區切換成功率對小區進行排序，提取鄰區切換成功率低的小區進行重點排查。重點分析鄰區的PLMAN是運營商規范值，而eNodeBID是非運營商規范值，從運營商合法的基站小區到此小區的切換次數達到一定閾值且切換成功率為0的小區可以判定為4G偽基站的小區。查詢運營商網絡工參，可以快速識別定位受到4G偽基站同頻干擾的區域，然后安排網絡優化人員現場測試，進一步核實4G偽基站的存在性[4]。

3.2 路測數據排查

通信運營商一般都會定期進行路測，收集測試的log。如果分析log時發現UE頻繁上報A3事件，但是始終無法切換成功，最后報Radio Link Failur或者某個區域發生大量的RRC重新建立、頻繁掉線、上下行速率持續降低等現象，此時就有理由懷疑附近是不是存在4G偽基站，網絡優化人員可以到達現場核實[5]。

3.3 用戶投訴排查

用戶受到4G偽基站信號的強干擾，往往會伴隨著大量的掉話、重定向失敗等，必然會導致此區域用戶感知持續惡化，存在大量的用戶投訴。運營商可以綜合分析用戶投訴的類型，如果某個區域存在集中存在大量掉話、呼叫失敗的投訴，就有理由懷疑此區域是否存在4G偽基站，可以安排網絡優化人員到投訴位置測試分析。

3.4 掃頻結果排查

通信運營商高業務量高價值區域也是4G偽基站最容易安裝的區域，可以定期安排優化人員對該區域進行掃頻，重點關注運營商合法頻段內的功率異常信號。通過掃頻儀的指向定位出信號源，核實是否是4G偽基站，排除網絡安全隱患。

3.5 公安偽基站的排查

近來，網絡優化過程中發現在城區主要路口以及縣市區路口處安裝了4G偽基站，這種偽基站不屬于通信運營商，但卻是用來維護國家和人民利益，打擊犯罪，維護社會的治安，有效對目標手機進行管控，是出于合法的目的。這種偽基站分布圖都沒有公開，通信運營商可以與公安部門保持有效溝通，明確偽基站的位置[6]。

4 4G偽基站處理措施

隨著移動通信技術的發展，4G偽基站的技術也被安全部門用于合法目的，如現在正在建設的電子圍欄系統。因此，排查定位到4G偽基站位置后，首先應明確該偽基站的性質。對于非法的4G偽基站應該堅決打擊，第一時間協調公安人員到現場協調拆除。經過向相關部門求證，確實是用于合法目的的4G偽基站，運營商優化人員應該積極與相關部門對接協商，通過優化網絡參數的配置、降低發射功率等措施，既能滿足公安部門的需求，又能使偽基站對運營商網絡的影響降到最低，最大限度保證4G偽基站區域的手機用戶的通信需求[7-10]。

5 結 論

4G偽基站的存在對手機用戶的個人信息安全和通信運營商的網絡指標都造成了困擾，同時4G偽基站的技術也得到了公安等部門的合理應用。本文詳細分析了4G偽基站的工作原理，并從運營商角度給出了排查定位偽基站的方法，幫助通信運營商快速發現非法4G偽基站的同時，保證公安等部門4G偽基站的正常使用，以發揮其正常社會功能，實現雙贏的目標。