1 TAU流程1.1 TA 定义为了确认移动台位置,LTE网络覆盖区划分为许多跟踪区TA Tracking Area。TA用TAC (Tracking Area Code) 标识。运营商用TAI (Tracking Area Identity) 作为TA的唯一标识,TAI 由MCC (Mobile Country Code) , MNC (MobileNetwork Code) 和TAC组成。例如, 表示最近一次注册的TAI是中国联通TAC为4116中的某一个小区。TA和TA List之间的关系可以通过图1表示。 图1. TA 和 TA List 关系图 TAI LIST最多可以包含16个TAI,UE附着成功时获取一组TAI LIST,移动过程中只要进入的TA没有包含在TAI LIST中就会发生位置更新,把新的TA更新到TAI LIST中;如果在移动过程中进入一个TAI LIST表中的TA时,不发生位置更新;如果表中已经存在16个TA,则替换掉最旧的那个。这个更新TA的过程称之为TAU (TA Update) 。UE发起正常TAU流程分为IDLE状态的TAU和CONNECTED状态的TAU,下一节大家将详细分析UE在CONNECTED状态下的TAU过程。
1.2 UE在CONNECTED状态下TAU流程图2展示了UE处于CONNECTED状态下的TAU信令流程图,
图2 连接态TAU流程 连接态TAU流程说明: 处在RRC_CONNECTED态的UE进行Detach过程,向eNB发送UL InformationTransfer消息,包含NAS层Tau request信息; eNB向MME发送上行直传UPLINK NAS TRANSPORT消息,包含NAS层TAU request信息; MME向基站发送下行直传DOWNLINK NAS TRANSPORT消息,包含NAS层TAU accept消息; eNB向UE发送DLInformationTransfer消息,包含NAS层TAU accept消息; UE向eNB发送ULInformationTransfer消息,包含NAS层TAU complete信息; eNB向MME发送上行直传UPLINK NAS TRANSPORT消息,包含NAS层Tau complete信息。
2.“伪基站”工作原理伪基站是指没有通过国家无线电发射设备型号核准,未取得进网许可的一种非法的无线电设备。伪基站硬件设备由基带控制单元、收发信机、RF双工器、天线、电源灯相关设备组成。 NodeB伪基站通过广播控制信道广播系统消息,当终端发起位置更新请求的同时,伺机获取终端编号,最终实现向终端发送短信数据包的目的。eNodeB伪基站通过小区重选和TAU来实现与终端的第一次通信,以获取终端编号的目的。下面大家以eNodeB伪基站为例来详细的分析相关的信令流程。
2.1 eNodeB 伪基站原理图3. 伪基站TAU流程与正常基站TAU流程对比 伪基站首先通过工程终端,测量当前位置系统广播消息,测量邻区信号,并找到信号最弱的邻区PCI。伪基站按照驻留小区的广播消息进行伪造,使用相同的频点和最弱邻区的PCI,并使用完全不同的TAC,伪基站以较大的功率通过广播控制信道(BCCH)不断的广播“System Information Type 1”; 手机接收到伪基站的SIB1 消息后,判断伪基站的TAI未在自己的TAI List中,TAC发生改变,于是手机发起TAU流程,终端向伪基站发起TAU请求; 伪基站为了获取终端IMSI信息,下发身份识别请求消息(IdentityRequest); 终端向伪基站发送回复消息(Identity Response),其中包含IMSI相关信息; 伪基站获取终端IMSI信息后,拒绝用户跟踪区更新请求,将用户踢出伪基站小区;
4G系统通过双向鉴权杜绝了类似2G伪基站群发短信的可能,但不能杜绝获取用户IMSI信息。其本质原因是协议3GPP 24.301协议中完整性保护算法的漏洞。协议规定,在完整性保护算法开启后,NAS层将进行完整性保护校验,校验不通过的UE将被网络丢弃,但是有几条信令不需要完整性保护校验,其中包括 IDENTITYREQUEST (if requested identification parameter is IMSI),eNodeB伪基站就是利用这个漏洞来实现对于用户信息的获取。 3. DT路测分析及优化方案3.1路测LOG地理分布以一段道路测试LOG分析,直观的说明伪基站原理。如图4所示: 图4. 道路测试LOG 基站的工程参数为PCI (63,64,65),TAC (4116)。测试车辆从南向北行驶,测试结果显示该测试路段覆盖很好,RSRP在-95dBm以上。路段由基站(PCI=63和PCI=64)两个小区覆盖。正常情况下,终端从PCI=64的扇区切换到PCI=63的扇区。
3.2路测LOG信令分析但是该路段的测试LOG结果显示,有一小段中断占用PCI=18的小区,且该小区TAC为异常地址92。查询现网的工程参数,该区域内无PCI=18,TAC=92的小区,初步判断该小区为伪基站。下一步分析该路段的信令,对问题路段的问题进行定位。截取一段信令,如图5所示: 图5.测试路段信令片段 为了便于阅读,大家将该段信令的详细内容列举在表1中
表1. 测试信令详细内容列表 信令 | | systemInformationBlockType1 | trackingAreaCode = 92,cellIdentity = 18 | Tracking area update request | Tracking area update request, Last visited registered TAI, Old GUTI, Old location area identification | | Identity response = 86, Mobile Identity (Type of identity = IMSI, Identity Digits = 4600116******41) | Tracking area update reject | Tracking area update reject = 75 |
通过详细的信令内容可以看出,伪基站通过SIB1 消息广播一个异常的TAC= 92,使得终端重选到伪基站(PCI = 18)。由此导致UE发起TAU的请求,伪基站获取终端的GUTI。伪基站获取到终端GUTI后,伪造出特定的NAS消息(Identity Request)要求终端上报IMSI信息。由于LTE协议中UE侧对Identity Request不需要完整性保护,因此UE在收到该信令后回复IdentityResponse,该信令中包含了IMSI = 4600116******41(为了安全起见,部分数字大家在此采用*号标识,UE回复伪基站的是完整的IMSI)信息。伪基站获取UE信息后直接将其踢出。
3.3 优化方案伪基站仿造运营商基站,导致网络的切换、掉线等指标恶化,直接的优化方案是找到伪基站并关停。但是,目前发现的eNodeB伪基站主要为公安部署用来监控人员流动信息。所以,为了减少伪基站对于移动网络的影响,运营商可以通过调整网络相关参数来优化网络指标。
伪基站伪造与当前小区有邻区关系的小区的PCI,在不影响现网切换关系的前提下,取消现网基站与伪基站PCI邻区关系,图6.给出了优化方案实施后现网基站的指标变化曲线。 图6.取消邻区关系后小区指标变化曲线 如图6.所示,在2018年11月13日开始,该小区同频切换成功率由100%左右降低到50%左右,切换成功率一直在50%左右波动。同时,切换成功率降低的同时,同频切换尝试次数也比之前增加了很多。 现场测试结果显示,现场测试信令与图5.给出的信令一致,由此判断该处存在伪基站。获得伪基站的PCI后,在2018年11月22日将该伪基站的PCI从现网基站的邻区列表中删除。22日后网络同频切换成功率恢复正常,且同频切换尝试次数相应的减少。
完
2018/11/30
| 
1
发表于 2018-11-30 13:49:28