赵锦松+周昌林+马骢

【摘 要】为了更好地监测伪基站，避免用户受到骚扰而威胁到财产及隐私安全，针对4G伪基站使用的技术原理及4G伪基站的特征进行研究，优先使用系统ANR功能识别4G伪基站，当ANR功能未开启时，则使用信令软采数据识别伪基站，最后通过处理过的MR数据实现对4G伪基站的综合定位。通过进行试验证明，采用将系统ANR功能与信令软采数据相结合的方式能够很好地实现对伪基站的快速识别与定位。

為了更好地监测伪基站，避免用户受到骚扰而威胁到财产及隐私安全，针对4G伪基站使用的技术原理及4G伪基站的特征进行研究，优先使用系统ANR功能识别4G伪基站，当ANR功能未开启时，则使用信令软采数据识别伪基站，最后通过处理过的MR数据实现对4G伪基站的综合定位。通过进行试验证明，采用将系统ANR功能与信令软采数据相结合的方式能够很好地实现对伪基站的快速识别与定位。

【关键词】4G伪基站 识别与定位 ANR MR

[Abstract]Along with the rapid development of 4G， 4G terminal users， a large number of ascension， through traditional 2G pseudo base station monitoring system to monitor to the 4G pseudo base station. Pseudo base station in order to better monitoring， avoid the user from pseudo base station， this article in view of the 4G pseudo base station using the technology to study the principle and the characteristics of the 4G pseudo base station， the first 4G pseudo base station use system ANR feature recognition， when ANR function does not open， use the soft collects data to identify pseudo base station signaling， finally achieved by MR data processed by the positioning for the 4G pseudo base station. ANR the study through the system function and signaling soft combination of data， test data prove that can realize the recognition of pseudo base station and positioning.

[Key words]4G Pseudo Base Station Identification and localization Big Data ANR

1 引言

伪基站是一套独立的网络系统，通过仿冒移动通信网络，利用其信号强度、位置区参数设置，使用户在其覆盖区域内自动接入，此时伪基站可获取用户位置更新消息中的IMSI和IMEI等信息。4G伪基站在获取用户信息后可通过拒绝位置更新或变更自身TAC等方式使手机终端重选回现网正常小区。

当前的伪基站识别与定位技术仅针对2G伪基站，通过频繁位置更新失败、异常LAC两种方式来识别；根据受其干扰的小区大概计算其位置信息。在LTE时代，由于没有LAC信息等因素，上述方案不能用来识别与定位4G伪基站。但无论是2G伪基站还是4G伪基站都有两个共同特征：

（1）伪基站与现网正常小区没有邻区关系；

（2）参数设置较为极端。

本文即基于伪基站的这两个特点来识别4G伪基站。首先，在有开启ANR功能的区域内，使用ANR功能发现漏配邻区；然后在没有开启ANR功能的区域内，使用信令软采数据发现未在系统内的频点与PCI；检查漏配邻区的小区或未在系统内的小区的参数是否异于现网，从而判断是否为4G伪基站；最后，根据测量到伪基站RSRP且带位置信息的MR数据，计算出伪基站的位置信息。

2 4G伪基站形态和危害

伪基站通常被不法分子用来传播非法信息，甚至还可以被用来窃取用户的个人信息，危害性极大。伪基站的危害性还与它的形态密切相关，随着技术的发展，伪基站越来越便携，隐蔽性越来越强，危害性也越来越大。

2.1 4G伪基站的形态

4G伪基站按是否可移动分为定点式与非定点式：

（1）定点式：例如公安系统的电子围栏，大多在路口且位置固定，形态变化不大；

（2）非定点式：形态各异，发射端由原来的相对庞大发展到车载便携、背包便携形态，同时，控制端由笔记本电脑升级为手机甚至U盘，隐蔽性极强。

2.2 4G伪基站的危害

4G伪基站在现实生活中存在以下几种危害：

（1）公安4G伪基站使用较大的发射功率以及与周围小区相同的PCI，会影响附近的无线环境，造成周边小区指标恶化，甚至会影响周边用户的正常通信；

（2）电信诈骗使用的伪基站会发送大量诈骗短信，威胁到人民财产安全；

（3）4G伪基站除了能够被用于发送垃圾短信外。新型的伪基站更是实现了将伪基站与伪终端合体，采用“两头欺骗”的方法，在移动网络和真正的用户终端之间建立起了联系，先冒充用户发起呼叫，当网络侧要验证用户身份时又诱骗真正的用户终端反馈身份信息，从而使得网络侧被欺骗。

2.3 小结

公安4G伪基站可以使用专用的移动通信设备代替；而用于违法行为的4G伪基站，经常处于移动状态且极其隐蔽，需要及时发现、定位并通知警方抓捕。因此，对4G伪基站的快速识别与定位变得至关重要。

3 4G伪基站原理及实现手段

3.1 4G基站原理

目前GSM系统采用单项认证的体制，即只有网络对终端的认证，不需要终端对网络的认证。LTE鉴权过程为双向鉴权，终端与网络相互都要进行鉴权。因此，在GSM网络上伪基站很容易就可以伪造成正常基站，欺骗终端驻留并伪造信令流程（如发短信）。而在LTE网络上，这个问题将得到很大改善。而纵然LTE的NAS信令有完整性保护算法，4G伪基站依然存在。

查阅协议3GPP_TS_24.301，完整性保护算法开启后，NAS层信令将进行完整性保护校验，如果检验不通过将被丢弃，但有几条信令不需要完整性保护校验。其中就有【3GPP_TS_24.301】3GPP协议节选如下：

4.4.4.2 Integrity checking of NAS signalling messages in the UE

Except the messages listed below， no NAS signalling messages shall be processed by the receiving EMM entity in the UE or forwarded to the ESM entity， unless the secure exchange of NAS messages has been established for the NAS signalling connection：

- EMM messages：

- IDENTITY REQUEST （if requested identification parameter is IMSI）；

- AUTHENTICATION REQUEST；

- AUTHENTICATION REJECT；

- ATTACH REJECT；

- DETACH REQUEST；

- DETACH ACCEPT （for non switch off）；

- TRACKING AREA UPDATE REJECT；

- SERVICE REJECT.

NOTE： These messages are accepted by the UE without integrity protection， as in certain situations they are sent by the network before security can be activated.

All ESM messages are integrity protected.

Once the secure exchange of NAS messages has been established， the receiving EMM or ESM entity in the UE shall not process any NAS signalling messages unless they have been successfully integrity checked by the NAS. If NAS signalling messages， having not successfully passed the integrity check， are received， then the NAS in the UE shall discard that message. If any NAS signalling message is received as not integrity protected even though the secure exchange of NAS messages has been established by the network， then the NAS shall discard this message.

----------------------------------------------------------------------------------------------------------------------

由于LTE協议规定IDENTITYREQUEST （if requested identification parameter is IMSI）不需要完整性保护，4G伪基站即利用此实现了对用户敏感信息的收集。

目前发现的情况主要集中于公安系统利用4G伪基站监控用户位置和人流量。这些伪基站为了欺骗终端接入，一般会仿冒现网周边一个小区的PCI，导致现网小区出现切换、掉线等指标恶化，并伴有出现干扰的可能（取决于伪基站是否与现网基站同步，是否使用与现网相同的时隙配比）。可采取修改PCI的临时措施，但最终解决措施需要协调公安部门，建议其采用移动公司的信令系统进行追踪来取代搭建伪基站的方式。

3.2 4G伪基站实现手段

（1）伪基站通过TAU获取用户IMSI

4G伪基站通常会设置一个异常的TAC，使处于RRC空闲态的终端重选到它上面，并请求更新路由区（TAURequest），获取终端的GUTI；伪基站在获取到GUTI后，可以造出特定NAS消息（Identity Request）要求终端上报其IMSI信息。

由此可见，4G伪基站可以在TAU过程中伪造Identity Request直传信令，用于获取用户IMSI信息。

（2）伪基站通过与伪终端配合，获取用户隐私数据

1）伪基站先伪装成正常的基站让终端重选到它上面；

2）伪基站广播系统消息，改变LA，使终端发起位置更新；

3）伪基站给终端分配一条SDCCH信道，并向终端查询IMSI；

4）伪基站变身为伪终端用获得的IMSI向正常的基站发起业务请求；

5）利用终端完成鉴权SRES的计算，并回复给网络完成鉴权，同时获得加密密钥Kc；

6）伪基站向任意的目标用户发起业务呼叫。

在整个过程中有个关键环节需要终端的配合，即鉴权。伪基站巧妙地通过劫持的方法将网络的鉴权请求转发给真正的手机，用真正手机的鉴权反馈绕过了网络对终端的鉴权过程，使问题不可避免地产生。

4 4G伪基站的识别与定位

4.1 当前识别伪基站的技术手段及弊端

针对2G伪基站的识别，现有技术已经比较成熟；但对于识别4G伪基站，各厂家仍处于探索阶段。

由于识别2G伪基站主要依靠对异常LAC的判断，而LTE网络中没有该信息，因此2G伪基站的识别技术不能移植到对4G伪基站的识别中来。当前比较热门的研究是基于系统ANR功能实现对4G伪基站的识别。

4.2 ANR基本原理

LTE系统基于自组织网络（SON，Self Organising Network），针对邻区提出了ANR（AutomaticNeighbor Relation）功能，实现邻区的自配置（Self-configuration）、自优化（Self-optimization）和自操作（Self-operation）。

ANR功能开启后可以自动发现漏配邻区，使UE顺利切换至原本系统中漏配邻区的目标邻区，并自动在邻区列表中添加漏配邻区；而基于ANR功能的受控模式，邻区漏配将正常切换，但不会生成邻区，能发现漏配邻区且不改变现网邻区情况，这为4G伪基站的识别奠定了基础。

4.3 4G伪基站快速识别

4G伪基站快速识别流程图如图3所示：

步骤1

由于4G伪基站识别与定位是通过邻区信息来判断的，因此需在伪基站识别之前，准备好全网邻区配置表与“服务小区-邻区的频点+PCI”分布模型。

邻区配置表包括有：服务小区识别信息（例如LTE网络的ECI、频点、PCI），服务小区站点经纬度信息，与服务小区对应的邻区识别信息（例如LTE网络的ECI、频点、PCI）；

“服务小区-邻区的频点+PCI”分布模型是基于全网在一定时间内（如1个小时）的MR数据建立模型。该分布模型内容包括：服务小区识别信息（例如LTE网络的ECI、频点、PCI），邻区识别信息（例如LTE网络的频点、PCI）。同时，模型可根据需要进行更新，建议更新频率为1天一次。

如此，通过步骤1实现了4G伪基站监控的基本条件。

步骤2

根据Uu口信息，如果发现手机上报MR消息包含邻区CGI，则该MR的主服务小区下有UE开启ANR功能，将主服务小区的小区标识放入有UE开启ANR的小区表中，将漏配邻区信息（主服务小区的小区标识、邻区识别信息）放入漏配邻区表中，并编号。

步骤3

对于不在有UE开启ANR的小区表中的小区，根据这些小区Uu口的MR信息，统计MR信息中主服务小区与邻区频点、邻区PCI的对应关系。对比“服务小区-邻区的频点+PCI”分布模型，如果发现有新增频点和PCI，则将漏配邻区信息（主服务小区的小区标识、邻区识别信息）放入漏配邻区表中，并编号；对比邻区配置表，如果MR上报的邻区的频点与PCI在该服務小区的邻区配置表中找不到对应记录，则将漏配邻区信息（主服务小区的小区标识、邻区识别信息）放入漏配邻区表中，并编号。

步骤4

每个小区分别统计，如果一个服务小区包含有漏配邻区的MR一小时内超过某个阈值（默认设置为100条），且该漏配邻区的RSRP存在大于-90 dBm的情况，则把该服务小区、邻区频点、邻区PCI以及编号放入4G伪基站表中（主服务小区为受4G伪基站干扰小区，邻区频点、PCI为伪基站信息）；同时将漏配邻区上报的RSRP大于-90 dBm的MR存入新表，与4G伪基站表中的对应数据采用同一编号，并根据指纹定位算法计算出存入MR的经纬度。

4.4 4G伪基站快速定位

通过测量到的伪基站的MR进行经纬度计算，从而实现对伪基站的定位。数据处理规则如下：

（1）以20 s内测量到某个伪基站RSRP大于-90 dBm的MR数据作为MR样本；

（2）该伪基站的经纬度见公式（1）（Longitude， Latitude）：

μi为MR样本中D（i）距离4G伪基站的等效空间距离，计算参考公式（3）：

（3）

δji为MR样本中D（j）与主服务小区C0（取工参里的经纬度）的距离dj同MR样本中D（i）与主服务小区C0（取工参里的经纬度）的距离di的差值。距离计算参考公式（4）：

distance=6371004×acos（sin（Lat1×Pi/180）×sin （Lat2×Pi/180）+cos（Lat1×Pi/180）×cos（Lat2×Pi/180）

×cos（Lon2×Pi/180-Lon1×Pi/180）） （4）

δj为MR样本中D（j）与主服务小区C0（取工参里的经纬度）的距离dj同4G伪基站与主服务小区C0（取工参里的经纬度）的等效距离dFENB的差值，见公式（5）：

VFENB为4G伪基站的发射信号强度（dBm），默认设置为85（可配置）；β为路径损耗参数，β默认为120 dB（范圍为110～140，参数可调）。

5 数据验证

验证数据选取10月8日凌晨至10月9日中午12点的36个小时的数据进行分析，区域范围为莲都区汽车城，采用软件分析结果与实际现场勘测对比，最后通过拉网测试进行反复验证。

5.1 软件分析结果

通过软件分析，发现分析区域内有一个伪基站，频点为37900，PCI为422，即图2中红色圆点所在位置。

查询历史伪基站告警记录发现，该伪基站一直长时间存在，频点占用38400与37900这两个目前主流的TD-LTE频点，PCI 60分钟左右变化一次，影响周边约20个小区，告警信息如表1所示（请说明表1中标色突出的数据有何意义）。

NSSP通过章节4.4中的经纬度算法对伪基站位置进行定位，得出伪基站地理位置，如图3所示（说明图中哪个位置为伪基站）。

5.2 现场勘查结果

根据软件分析出来的伪基站经纬度，在google earth上进行打点，伪基站位置如图6中黄点所示。

在标记位置附近的灯杆上发现了疑似天线的装置，如图5所示。

通过反复拉网测试发现，距离该装置越近，发生切换失败的次数会曾多，频点为37900、PCI为143的小区的RSRP显著增强，最终重选至3G小区。当远离该装置时，发生切换失败的次数降低，频点为37900、PCI为143的小区的RSRP显著减弱，最终回到4G网络。因此判定该装置为4G伪基站。伪基站PCI发生变化应该是由于伪基站的特性造成的。

通过对软件分析的其它区域进行拉网测试，未发现有出现如上情景，因此判定该范围内只有一个伪基站。

5.3 小结

通过软件分析结果与现场勘查结果对比分析后发现伪基站部分特征：

（1）伪基站使用的PCI会周期性地发生变化，变化周期大约为60分钟；使用的频点主要为目前通用频点38400与37900；

（2）伪基站覆盖范围较小，测量到的伪基站MR中电平值都较高；

（3）UE接触伪基站会触发A3，但是无法切换成功；

（4）正常小区MR与源小区差值一般在3以内，伪基站MR与源小区RSRP差值平均在3dBm以上。

根据以上特征，NSSP伪基站识别系统将可以在识别流程步骤4（见本文章节4.3）将伪基站识别出来，同时使用伪基站快速定位算法（见本文章节4.4）计算出伪基站经纬度。综上所述，NSSP伪基站识别方案能够对4G伪基站进行有效识别与精准定位。

6 结束语

本文基于邻区自动优化功能与MR数据对4G伪基站的识别与定位展开研究，希望能给从事相关研究工作的开发人员提供一些参考。

邻区自动优化功能可实现漏配邻区的快速发现，而对于未开启邻区自动优化功能的区域，可通过对全网一定时间内的MR数据进行分析，结合新增频点和PCI信息来发现漏配邻区；进而结合漏配邻区电平值和MR采样点数等，识别出伪基站；最后通过包含伪基站的MR数据对伪基站进行定位。研究中所使用的数据具有较高的实时性，且流程简洁，可用于伪基站的实时发现与追踪。

参考文献：

[1] 万晋鹏. 伪基站：危害到底有多大[J]. 中国防伪报道， 2016（7）： 21-22.

[2] taodh_wx. LTE伪基站横空出世，深度揭秘LTE伪基站原理[EB/OL]. （2016-07-05）. http：//www.360doc.com/content/16/0705/19/30451798_573337488.shtml.

[3] 周国有. 彻底认识4G伪基站[EB/OL]. （2016-09-03）. http：//sanwen.net/a/hnhproo.html.

[4] 曹茂虹，王大强. “伪基站”的基本原理及电子取证分析[J]. 信息安全与技术， 2015（4）： 73-75.

[5] 杨雪瑾. 浅析伪基站的工作原理和治理方法[J]. 中国无线电， 2014（3）： 15-17.

[6] 张永帅. LTE网络中SON系统ANR功能的研究与设计[D]. 北京： 北京邮电大学， 2012.

[7] echofull淼淼. 华为LTE ANR邻区自动优化[EB/OL]. （2014-02-25）. https：//wenku.baidu.com/view/c15e1032844769eae009edc9.html.

[8] 汪文勇，田晓霞，龙腾，等. 一种定位伪基站的方法： 中国， CN201510019110.7[P]. 2015-04-22.

[9] 周之童，夏子焱，邢佳帅，李珍妮. 伪基站系统侦测识别及定位方法研究[J]. 信息网络安全， 2014（9）： 196-198.

[10] 李伟. 利用MR定位提高网优问题分析效率[EB]. 百度文库， [2016-10-11]. https：//wenku.baidu.com/view/39ee20d028ea81c758f57875.html.

[11] 王新楼，郭超，纪国强. 基于MR位置指纹定位的优化算法分析和实践[J]. 邮电设计技术， 2014（11）： 52-56.

[12] 李婷婷. 基于MR的手机定位系统的设计与实现[D]. 济南： 山东大学， 2011.

[13] 3GPP TS 24.301 V9.0.0. Technical Specification 3rd Generation Partnership Project； Technical Specification Group Core Network and Terminals； Non-Access-Stratum （NAS） protocol for Evolved Packet System （EPS）； Stage 3 （Release 9）[S]. 2009

移动通信2017年5期