伪基站的分析及解决建议.doc

伪基站的分析及解决建议_.doc伪基站的分析及解决建议
一、伪基站的影响及发现方法
伪基站只负责把你的链接接入到伪基站，伪基站获取你的手机的串号和电话号码，强行让你 断网，等你过了伪基站后再连接到真基站。


本系统采用的硬件平台组成见图1。它由信号处理子系统（伪基站和终端信号处理子系统）、 用户操控平台和系统总控单元、天线和电源等部分组成。其中，伪基站子系统的功能与商用的基 站工作原理相同，是终端和无线系统互连的桥头堡。终端信号处理子系统用来实现对目标所在区 域移动系统无线参数的侦察。系统总控单元完成对各子系统的控制与调度、信令处理、内部通信 等功能。用户操控平台提供人机界面，能够进行系统状态显示、小区状态显示、目标信息数据库 的存储、系统维护等功能。
!终B 处理了I
用户操控平秤

目前的移动通信系统（GSM）采用单项认证的体制，即只有网络对终端的认证，不需要终端 对网络的认证。当条件满足时，目标用户将进入伪系统。该系统工作原理和流程见上图。系统首 先侦察当前目标区域的载频信息，然后不断发射相同频率的伪导频、同步及寻呼信号，寻呼一定 范围内的目标手机用户，通过调整发射功率等，让目标小区的手机切换或重选到GSM伪小区 中。在GSM伪小区中，通过MSC和BSC的信令模拟，完成对目标手机IMSL ESN的侦码和阻 塞攻击、信息攻击等任务。
利用伪基站系统，首先侦察当前目标区域基站的载频信息，将自身系统（伪基站）的频点更改 为捕获到的现网频点，并使用与现网RXLEV_MIN、CRO等参数不同的系统配置，并修改系统参 数消息中的T3212（注册周期）为较小的值，加大自身系统（伪基站）的发射功率，可迅速使覆盖范 围内的处于空闲状态的终端重选到或切换到系统（伪基站）网络内，并在设置的注册周期内通过读 取接入信道消息获得各终端的注册消息（RegistrationMessage）,从中捕获终端的IMSI、IMEI等信 息。


根据GSM协议，IMSI号码将在以下情况下被使用：（1）用户第一次接入网络；（2） 用户开机；（3）用户发生位置区更新，即手机移动前后分别与属于不同的位置区的基站通 信。拦截者可以通过建立伪基站的方式，在手机的空闲状态时，迫使手机从真基站转向伪基 站进行通信，触发位置更新程序，继而要求手机将IMSI发给伪基站获取用户身份。
1)位置更新请〉＜(A 1MS1, A LAI)
2)A TMSI
w
w
IMSI
IMSI请求
IMSI
—
4)认证
彳)更新位置请求(1MS1)
n(Kc?KAND/SRES)-

」
■
加密、分配E
『MSI
.
用申位置更新流程图
B位置区MSC VLR/BSC
位置区更新流程可以描述为如图(用户位置更新流程图)所示，其中A位置区为旧的位 置区，也可理解为真实基站，B位置区为新的位置区，即伪基站,HLR/AC是归属位置寄存器/ 鉴别中心，MSC/VLR是移动交换中心/访问者位置寄存器，BSC是基站控制器。当手机从A位 置区进入B位置区时，移动用户与B位置区交互资源请求连接设置(RRConnection Setup), 与其建立一个无线通信信道并交互位置更新流程：
移动用户转向刚分配的无线信道并发送位置更新请求(LOCATION UPDATE REQUEST) 到B MSC/VLR,其中包含A位置区的TMSI和位置区号LAI (以下简称A_TMSI和A_LAI )；
该流程有两种可能情况：(a) B位置区MSC/VLR收到该请求后，在数据库没有找到 该A_TMSI,根据收到的A_LAI得到A位置区MSC/VLR的地址，发送IMSI请求命令IMSI REQUEST (包含A_TMSI)至IJA位置区MSC/VLR, A位置区MSC/VLR收到该信令后，到其数据库 中找到该TMSI对应的IMSI返回给B位置区MSC/VLR,这样B位置区MSC/VLR就得到了手机用 户的IMSI； (b) B位置区MSC/VLR可以选择直接发送IMSI请求给手机，手机将直接返回 IMSI号码给该B位置区MSC/VLR,如图中虚线部分流程；
B位置区MSC/VLR发送位置更新请求(UPDATE LOCATION)给HLR/AC, HLR/AC将做两 件事：(a)更新其数据库中的用户位置区记录；(b)发送n组(Kc, RAND, SRES)给MSC/VLR, 其中Kc是会话密钥，RAND是随机数，SRES是签署回应，这几组数据将在后续的认证过程 中使用；
B位置区MSC/VLR