4G伪基站的监测定位与规避协同分析

2017-09-29 16:30张建奎郭宝张阳
移动通信 2017年13期
关键词:重定向

张建奎++郭宝++张阳

【摘 要】4G伪基站分为非法商业伪基站和公安伪基站,为减少伪基站给网络与用户感知带来的不良影响,在阐述4G伪基站工作原理的基础上,对4G伪基站的监测定位与规避协同进行了探讨。通过实地测试、路测信令平台以及ANR功能可以监测并定位到4G伪基站。对于非法商业伪基站,监测定位后需予以坚决打击;对于公安伪基站,可考虑通过协商配置网络参数,实现规避协同。

【关键词】非法商业伪基站 公安伪基站 跟踪区更新 重定向 TAU拒绝原因值

1 引言

伪基站伪装成运营商基站,通过相对大功率及异常参数诱骗手机发生重选,在手机驻留后获取用户信息或趁机发送信息。伪基站根据技术类型分类,分为2G和4G两种;根据用途分类,分为非法商业伪基站和公安伪基站。其中非法商业伪基站主要通过发送垃圾短信、诈骗短信、钓鱼网址等信息获取商业利益,是违法行为,需要严厉打击。公安伪基站则由公安系统布放,主要用于移动用户信息采集与定位,目的是维护治安稳定。总体来说,由于手机终端的更新,2G终端的数量锐减,相应的2G伪基站对用户的影响相比早期有明显的减轻。

目前的伪基站识别与定位技术多针对2G伪基站,对于4G伪基站目前尚无成熟的监测定位方法。而很多2G伪基站现已逐渐升级为4G伪基站,为避免4G伪基站窃取用户数据、传播非法信息情况的发生,文章针对商业伪基站,研究其行为特征,根据信令数据进行实时监测,快速定位;对公安伪基站,采取与运营商网络协同的措施,在实现收集用户信息的基础上,尽量减少对用户正常使用通信业务的影响。

2 4G伪基站工作原理及危害

2.1 4G伪基站工作原理

4G伪基站设置相对简单,采用相同的公用陆地移动网(PLMN,Public Land Mobile Network),设置一个现网在用的绝对无线频率信道号(EARFCN,E-UTRA Absolute Radio Frequency Channel Number)和物理小区标识(PCI,Physical Cell Identifier),通过发射一个较高的功率将空闲态的4G终端欺骗重选入伪基站。由于伪基站的跟踪区码(TAC,Tracking Area Code)与现网不一致,会触发跟踪区更新(TAU,Tracking Area Update)过程,从而伪基站可以获取到用户在所属运营商的全球唯一临时标识(GUTI,Globally Unique Temporary Identifier)。伪基站获取到GUTI后,制造特定的非接入层消息(NAS,Non Access Stratum),即Identity Request/Response消息,进一步获得4G用户的国际移动用户标识(IMSI,I nternational Mobile Subscriber Identity)号。概括而言,4G伪基站通过较高的功率将空闲态4G终端欺骗重选入伪基站,在TAU过程中,伪造NAS层消息Identity Request,从而获取4G用户的IMSI信息。

目前的非法商业伪基站通常采用4G伪基站与2G伪基站合设的方式,通过4G伪基站下发重定向至2G的消息,将4G用户迁移至2G网络,再通过2G伪基站触发位置更新(LAU,Location Update)过程,在位置更新拒绝消息中携带非法信息,以短信方式发送给用户。

2.2 4G伪基站的危害

目前已定位的4G伪基站对4G网络与4G用户都造成了不同程度的影响。其中对网络的影响是带来了较大干扰,伪基站信号落入中国移动TD-LTE频段中,会对网络信号造成明显的干扰;另外,在4G伪基站周边会出现用户使用4G网络不正常的现象,具体表现为手机进入伪基站小区无法回到公网、4G用户被迁移至2G网络后才能重选回4G、用户在伪基站小区拖死后才能选择回公网等。

中国移动TD-LTE网络使用频段为F、D、E频段,F频段为1 885 MHz—1 915 MHz,D频段为2 575 MHz—2 635 MHz,E频段为2 320 MHz—2 370 MHz。在道路测试中发现,某县城丁村路片区F频段出现成片区域干扰,周边F频段小区均呈现较强的外部干扰,XF东寨DLF_P-3小区干扰统计指标如图1所示,横坐标代表100个资源块(RB,Resource Block),纵坐标代表上行干扰信号强度。

在干扰区域现场扫频,发现了固定在路灯灯杆上的4G伪基站设备,设备频段为1 885 MHz—1 905 MHz,正好落入移动TD-LTE网络F频段内,信号强度达到-90 dBm左右,对F1频点造成了严重的干扰。

3 4G伪基站的监测定位

4G伪基站可通过实地测试与路测平台信令跟踪两种办法测定。实地测试一般采用测试仪表或频谱仪;路测平台信令跟踪是指路测仪表经过伪基站周边时,由测试终端检测到异常信号后上报到平台,由平台监测定位4G伪基站。针对固定位置的伪基站,这两种测定方法都可行。但是,对于位置变化的非法商业伪基站,这两种方法都会比较滞后。由于非法4G伪基站个体小,隐蔽性强,通常采用背包方式,甚至使用一个手机终端就可实现伪基站效果,现场实地测试的方法可能无法及时实现对其定位;而平台的信令跟踪需经过采集、汇聚、筛选等过程,也有一定的滞后性。

从4G伪基站工作原理来看,无论2G或4G伪基站都有两个共同点,第一是与运营商公网没有邻区关系,第二是参数异常。针对这两个特点可采用LTE网络支持的邻区自动优化功能(ANR,Automatic Neighbor Relation)来对伪基站进行监测。ANR是LTE自组织网络(SON,Self-Organizing Network)中针对邻区自动优化提出的,包括自配置、自由化和自操作。

通過定期开启现网TD-LTE小区的ANR功能,可检测到伪基站的信号。由于伪基站配置的TAC与周边站点不同,eNodeB ID也非现网规划,很容易被检测出来。通过该方式,可以提前主动识别疑似伪基站。此外,部分伪基站的帧偏设置与公网不一致,会造成强干扰,通过对干扰频谱进行分析,也可以识别出疑似伪基站。在发现疑似伪基站后,可结合现场排查和周边投诉信息来进一步确认4G伪基站。endprint

4 4G伪基站的规避与协同

4.1 4G伪基站对抗方法

监测定位到4G伪基站后,可采取两种对抗伪基站的措施,分别为终端设置与网络设置。终端设置的对抗方法是在4G终端内设置判决条件,如终端监测在TAU更新请求信息之后,且在鉴权成功之前,收到所述网络侧发送的重定向消息,确定所述重定向消息中是否包含重定向到2G网络的信息。如果包含重定向到2G网络的信息,则不响应所述重定向请求,且在终端设置当前驻留4G小区为4G伪基站,列入黑名单,拒绝接入。

网络设置的对抗方法为:在识别出4G伪基站后,通过现场实地测试,确认4G伪基站的配置信息,通过在周边小区的广播消息中增加黑名单(伪基站小区的频点和PCI)的形式,避免用户进入伪基站。针对伪基站不定期修改PCI使黑名单失效的问题,网络侧通过开启周边站点的ANR,根据用户自动上报的伪基站配置信息,及时更新黑名单列表,以保证用户不受伪基站的影响,具体流程如图2所示:

4.2 4G公安伪基站与运营商网络协同方法

(1)4G公安伪基站与运营商网络协同工作原理

4G公安伪基站与运营商网络协同是指在公安伪基站与运营商网络之间,通过参数控制的方法在实现4G公安伪基站采集用户信息的同时,尽量减轻伪基站对用户正常通信的影响。用户只有在无线资源控制态(RRC,Radio Resource Control)为空闲态时才会重选至公安伪基站,由于公安的伪基站局部信号强度高,这个过程无法避免,只能使用优化措施缓解,所以最好是在公安伪基站与用户RRC连接释放时做优化。公安伪基站采集完用户信息后,往往会通过RRC release和TAU reject将用户迁移至移动网络,一般存在两种形式:

1)重定向:RRC release单独下发。通过重定向的方式指定用户在相应频点接入。该方式可以使用户回到移动4G网络,但用户还会继续重选至伪基站。

2)携带原因值:RRC连接释放可携带的原因值信息,此时RRC release不携带重定向频点,主要依靠TAU reject的信息指定用户下一步行为。

经查询3GPP协议,不同TAU reject原因值下,终端UE的处理方法如表1所示,其中演进型分组系统(EPS,Evolved Packet System)一般指使用4G核心网的业务。

原因值15适用于伪基站的TAC不修改(公安伪基站会通过定期变化TAC来规避,一般自动变化周期为2小时)的情况,会从其他跟踪区选择小区接入,并且不会再进入伪基站;原因12和原因13会导致用户在2G/3G网络接入,再通过重选方式回到4G,感知影响相对较大;原因9和原因10可能会导致用户持续接入伪基站。

综上所述,如果TAU拒绝原因值选取15,UE可以返回4G小区,而4G的接入非常快,在移动侧接入的时间应该在100 ms以内,可以忽略不计,整个过程应该在1 s左右可以全部完成,客户应该感受不到。

(2)4G公安伪基站与运营商网络协同工作方法

通过与伪基站设备厂商沟通,4G公安伪基站与运营商移动网络的协同方法可使用5个关键参数与措施,其中4处需伪基站侧配置,1处需移动基站侧配置,既能保证伪基站可以捕获到用户信息,又尽量不影响用户感知。

1)公安伪基站频点设置:伪基站频点设置为E2频点,PCI采用501~503,尽量与移动现网频点不一致,降低对移动网络的同频干扰;

2)公安伪基站帧偏设置:伪基站小区设置帧偏置964.84 μs,与现网E频段帧偏一致,确保不会对现网站点造成上行干扰;

3)公安伪基站覆盖控制:伪基站天线采用板状天线,且通过调整天线下倾角,尽量只覆盖路口,伪基站发射功率尽量调低,降低对移动网络影响;

4)公安伪基站返回值配置:伪基站在采集完用户信息后尽快将用户迁移回移动4G网络,影响时间需在1 s以内,推荐TAU Reject原因值配置为15;

5)移动基站参数配置:伪基站附近宏站添加E2频点的异频测量频点,并将重选优先级设置为7,用户在经过路口时,能尽快重选进入伪基站。

伪基站频点和带宽的配置需关注以下两点:

首先,伪基站的频点建议选择专用频点,同时尽量避开现网频点。考虑使用E2是因为该频点在全网使用较少,主要用于室分扩容,室分射灯外打用的是E3频点,故E2频点可规划给公安伪基站使用。伪基站不使用F频点、D频点,主要是考虑降低对现网的同频干扰,否则在一定程度上会降低SINR值。同时,从伪基站返回公网的快慢与伪基站的频点配置无关。

其次,带宽方面的配置:当前公安伪基站频点设置为E2,只是中心频点设置为39148,带宽可设置为5 M、10 M、20 M等多种情况,相对比较灵活,一般来看,伪基站的带宽设置为10 M。

综上所述,对公安伪基站的检测主要是通过开启ANR功能进行识别,并可结合现场排查和周边投诉来进行确认。然后,建立伪基站规避机制,结合重选黑名单和基站ANR检测功能,通过对抗进一步与公安进行协商。最后,通过与公安进行参数配置方面的沟通,配置伪基站TAU reject原因值为15,同时在附近4G宏站添加伪基站频点,提升重选优先级。另外,公安新增的伪基站要提前报备,以便与运营商双方协商进行参数设置。

5 结束语

当前4G终端成为用户使用的主流终端,前期的2G伪基站会逐步升级为4G伪基站。目前,通过实地测试、路测信令平台以及ANR功能可以监测并定位到4G伪基站,但是相对滞后。下一步,将会进一步使用4G用户上报的测量报告信息,对用户周边测量到的4G伪基站信号进行精准的实时监测。

对于公安4G伪基站,运营商需做到及时沟通,为公安伪基站规划合理的参数,使用户在经过公安伪基站布设的路口时,能及时重选入伪基站,重选完成后能尽快退出公安伪基站返回运营商网络,尽量实现用户感知不受影响。

参考文献:

[1] 王卫华,王长杰. 打击“伪基站”犯罪的实践与思考[J]. 河北公安警察职业学院学报, 2016,16(2): 41-44.

[2] 王凯. 移动通信伪基站案例分析与探究[J]. 中国无线电, 2013(6): 34-36.

[3] 田野,刘斐,徐海东. 新型伪基站安全分析研究[J]. 电信工程技术与标准化, 2013(8): 58-61.

[4] 刘泽忠. 一种基于伪基站的GSM用户分选系统实现方案[J]. 通信技术, 2013(6): 127-129.

[5] 闫慧,韩增辉,吕传祝. 基于大数据的伪基站准实时监控方法的研究[J]. 电信工程技术与标准化, 2016,29(12): 22-25.

[6] 马俊,刘燕. 浅析伪基站原理及查找方法[J]. 中国无线电, 2015(6): 60-62.

[7] 吴卓凡. 浅谈基于信令交互主动追踪车载伪基站的新方法[J]. 中国新通信, 2016,18(4): 32-33.

[8] 王德广,张旭. 利用手机信息精确定位伪基站的方法研究[J]. 微型電脑应用, 2014,30(11): 25-27.

[9] 廖振松,马瑞京,陈祖峰,等. 一种基于商用终端的伪基站感知识别系统[J]. 信息通信, 2014(6): 184-185.

[10] 陈强,刘亮. 基于智能手机的伪基站检测方法[J]. 信息安全与通信保密, 2014(12): 131-134.

[11] 赵明伟,徐霖洲,石宙飞,等. 一种非法伪基站现场快速测量定位的方法[J]. 移动通信, 2016,40(8): 18-21. ★endprint

猜你喜欢
重定向
基于数字平台的信息失范与治理:全球趋势与中国经验*
几种常用网址跳转方法的测试及分析
人工智能在药物研发中的应用专利技术分析
视觉注意在远近空间中定向与重定向的实验综述
TD-LTE CSFB实现方案分析
TD-LTE网络基于PS业务的重定向过程研究
解决安卓文件夹乱象
重复压裂裂缝重定向的措施研究
利用JavaScript重定向跳转作弊技术的研究
基于马氏体重定向的铁磁形状记忆合金本构理论分析