GSM后伪基站的入侵探讨

严　康，刘伟骏

（国家无线电监测中心福建监测站，厦门 361001）



GSM后伪基站的入侵探讨

严康，刘伟骏

（国家无线电监测中心福建监测站，厦门 361001）

摘要：本文简介了从GSM到4G系统的安全性能发展情况，从GSM后移动通信的安全缺陷角度分析了将来伪基站可能的入侵方式。

关键词：伪基站；GSM后；安全缺陷

刘伟骏， 男，1990年生，硕士，毕业于厦门大学信号与信息处理专业，现任国家无线电监测中心福建监测站助理工程师，主要从事超短波信号监测与研究工作。

1 引言

本文由GSM伪基站作为引入，从3G/4G安全缺陷的角度探讨了在GSM后，“伪基站”可能入侵的方式。

2 GSM伪基站

伪基站主要利用了GSM的以下几大缺陷：GSM系统中的认证是单向的，只有网络对用户的认证，而没用用户对网络的认证；GSM系统中的加密不是端到端的，只是在无线信道部分（MS和BTS之间）进行加密；GSM没有数据的完整性保护；GSM加密算法的缺陷。

3 3G网络安全与伪基站的入侵方式预测

3.1 3G系统安全体系结构

3G系统使用非对称密钥对实现数据加密，如图1所示，f8算法相比A5算法复杂度高，不易破解。当用户从高级别网络漫游到低级别网络（3G→GSM），会被通知当前访问网络提供的安全级别，如此不易被伪基站捕获。

3.2 伪基站对3G系统的入侵方式预测

（1）对SQN的依赖：从图1可以看出，3G系统加密密钥CK的新鲜性主要取决于随机数的新鲜性，而随机数的新鲜性又取决于SQN的新鲜性。以WCDMA系统为例，若伪基站模拟发射WCDMA鉴权向量信号，那么伪基站就很有可能对该网络进行攻击。

（2）拒绝服务攻击：3GPP协议中，用户的IMSI （SIM卡的身份信息）完全可能在无加密的条件下传输。若伪基站具有双重身份，一方面伪装用户制作带有其IMSI的USIM卡，实施拒绝服务攻击，并发出错误的RES（用户域的应答信息），这样具有相同IMSI的合法用户在网络侧的资源将被非正常释放掉，另一方面伪基站可吸引被释放掉的合法用户达到攻击用户域的目的。

（3）用户数据的完整性保护：3G系统对部分数据具有完整性保护，但只在UE和RNC（无线网络控制器）之间信令数据传输中，没有提供用户数据的完整性保护。如果伪基站破坏了用户数据的完整性且差错控制机制无法对此进行修复，伪基站也就对用户数据构成攻击。

图1　GSM与3G加密方式

4 4G网络安全与伪基站的入侵预测

LTE/SAE中用户永久身份信息（IMSI）不能再无线链路中被窃听。在某一区域中，用户的存在和到达不能通过无线链路侦听被判断，用户的身份机密性可以通过为用户终端分配临时身份标识（TMSI）来实现，这样伪基站在LTE/SAE中的拒绝网络服务攻击就变得更加难以实现。

LTE/SAE沿用了3G系统的认证机制，将图1中的CK密钥变为了生成密钥KASME，并采用了四类算法——NULL加密算法、NULL完整性保护算法、128bit加密算法和128bit完整性保护算法，其加密算法应用方式见图2，可见LTE/SAE的加密机制与3G非常相似，只是参数的生成方式与密钥比特数的中间生成存在差异。由于该算法具有完整性保护功能，在一定程度上对信令具有更强的保护作用，伪基站不易对其进行攻击。

图2　LTE/SAE加密方式

在4G系统中，采用了TMSI实现用户身份机密性，而TMSI的随机性使伪基站伪装用户进行攻击拒绝服务攻击是较为困难的。考虑到用户数据具有低延时的特性，而若对数据进行完整性保护必定会对低延时造成影响，因此在4G系统也未对用户数据进行较为完整的保护。

5 结束语

在GSM系统中，由于认证的单向性，伪基站极易入侵。而在3G/4G系统中，认证鉴权为双向，在一定程度上加大了伪基站入侵的难度、增加了伪基站的成本（需要发射专门的鉴权向量信号）。从GSM 到4G，其完整性保护逐渐加强，但由于无法同时满足数据的完整性保护与低延迟的特性，用户数据的完整性始终无法保证，伪基站利用该缺陷可能从中窃取相关数据。GSM加密算法存在较大缺陷，即使是4G系统中的加密算法也不是十全十美的，存在被攻破的可能。随着各类网络的融合，伪基站将从更广的方面对无线通信网乃至核心网安全进行攻击。

伪基站的危害众所周知，本文从移动通信更新换代后的安全缺陷角度，分析了目前伪基站的工作原理，探讨了将来伪基站可能的入侵方式。对待伪基站，我们丝毫不能松懈，必须具有能随时应对的能力，这样才能让伪基站无处遁形。■

Study of the Intrusion by Pseudo Base Station beyond GSM

Yan Kang, Liu Weijun
（The State Radio Monitoring Center Fujian Station, Xiamen, 361001）

Abstract:This paper gives a brief introduce about the development of safety performance from GSM to 4G, and analyzes ways of intrusion on Pseudo Base Station from the point of security faw beyond GSM.

Keywords:Pseudo Base Station； Beyond GSM； Security Flaw

doi：10.3969/J.ISSN.1672-7274.2016.06.021

中图分类号：TN92

文献标识码：A 文章编码：1672-7274（2016）06-0053-02

作者简介：严 康， 男，1989年生，硕士，毕业于北京邮电大学电子与通信工程专业，现任国家无线电监测中心福建监测站助理工程师，主要从事超短波信号监测与研究工作。