5G伪基站威胁分析及安全防护建议

刘长波 张敏 常力元 佟欣哲

【摘  要】5G网络架构的变革，对网络安全和用户隐私带来了新威胁。首先介绍了伪基站的概念和危害性，论述并比较不同通信制式下伪基站工作原理，然后结合3GPP相关协议规范和现网实际情况，分析在5G网络下仍可能存在的伪基站安全威胁，最后给出了相应的安全对策建议。

【关键词】5G;网络安全;伪基站

1   引言

当前全球正加速推进5G商用落地，大带宽、低时延的万物互联时代即将到来。5G技术在为用户带来更丰富的业务和更好的用户体验的同时，其面临的安全问题不容忽视。其中，伪基站就是一个巨大的安全问题。

2   伪基站背景和现状

2.1  伪基站背景

伪基站也就是假基站。伪基站是一种独立存在的设备，它可以通过模拟目标基站，依据相关协议向目标移动台发送信令，获取目标移动台相关信息。在目标基站的覆盖范围内，伪基站可以迫使目标移动台小区重选、位置更新以及切换，从而达到网络诈骗、隐私信息获取等目的。伪基站通常是由主机和笔记本电脑或手机组成的设备，其可搜寻一定半径范围内的手机卡信息。诈骗者伪装成公众服务号码主动给用户发送诈骗信息、虚假广告、推销等短信息，或发送含有木马或钓鱼网站的链接，或者监听用户通信数据（如短信验证码）等，来登陆用户手机银行账号盗走钱财。

据统计，2016年3月，国内某手机安全软件单月拦截“伪基站”短信数量高达1.1亿条[1]。因为这些诈骗短信往往含有高仿银行或机构官网的“钓鱼网站”网址链接，所以极具“杀伤力”，不但会危害人民群众的人身财产安全，还会严重扰乱社会秩序，甚至威胁国家信息安全。早在2014年，“伪基站”问题就引起了国家有關部门的关注，并由中央网信办等九部门在全国范围内部署开展了“伪基站”专项整治行动。2019年8月，全国无线电管理机构查处“伪基站”违法犯罪案件12起，缴获“伪基站”设备15台（套）[2]。

2.2  2G/3G/4G伪基站现状

实施伪基站诈骗的关键就是诱骗用户终端连入伪基站。当用户接入伪基站后，较常见的危害形式有：发送虚假或不法垃圾短信、监听并利用敏感短信（如APP登录验证码、网银转账验证码、团购兑换码）、实施钓鱼攻击和中间人攻击等。

一般来说，用户终端会依据MR（Measurement Report）选择信号强度最强的基站，通过鉴权认证过程后，接入该基站。这一过程需符合通信规范协议，伪基站正是“合理”利用规范协议来实施的。从2G到现在的4G+，伪基站也不断通过技术变革来对抗规范协议的升级和各种监管手段的实施（如表1）。

（1）2G网络（以GSM为例）的用户鉴权环节涉及RAND（随机数）、XRES（期望的应答参数，由RAND+Ki按照算法算出）和Kc（加密密钥）三个参数，是一种网络侧对用户终端的单向认证。鉴权是否成功是由网络对比判定，鉴权过程由基站发起，用户终端无法去鉴定基站的合法性。因此，伪基站只需要使用大功率强行将用户从合法基站干扰至伪基站。

（2）3G网络的用户鉴权参数升级为五个，新增的鉴权参数IK（完整性密钥）、AUTN（认证令牌，由序列号SQN、密钥AK、管理域字段AMF、认证码MAC组成），提高了鉴权过程的机密性和完整性。更重要的是，3G网络增加了用户终端对网络的鉴权认证[3]。但是，整个鉴定过程只能由网络方控制和发起，是一种被动防御方式。伪基站可以通过“取标识”的过程（即发送身份验证请求消息“身份验证请求消息取标识”的过程和发起）要求用户提交IMSI。一旦用户回复的明文IMSI信息被截取，就可用来追踪和监视手机用户，引发隐私泄露问题。

（3）在现网中，攻击者还可以利用无线资源控制RRC重定向的降级攻击方法，迫使用户连接到2G伪基站下，再实施伪基站诈骗。

（4）4G网络和3G网络在这方面的安全机制大体一致，在此不再赘述。

综上所述，结合当前伪基站实际工作原理，应当保护用户终端IMSI隐密性、增加用户终端对网络的强制鉴权、增强通信过程中信息等完整性保护，防止用户接入伪基站或被监听。

3   5G伪基站的威胁分析

3.1  用户终端身份标识

在3G/4G网络中，国际移动用户识别码IMSI会直接以明文形式暴露在空口，用户身份被公开。伪基站捕获明文IMSI后，即可追踪和监视用户终端。

5G引入用户隐藏标识符SUCI（Subscription Concealed Identifier）防止用户真实身份信息被捕获，加强用户属性的私密性[4]。对应IMSI，终端在5G中的真实身份称为用户永久标识符SUPI（Subscription Permanent Identifier）。以启动身份验证的流程为例（如图1）。利用存放在用户终端的公钥，SUPI加密成用户隐藏标识符SUCI，并经由基站gNB上传至5G核心网。在核心网内安全锚功能SEAF，由统一数据管理UDM通过调用SIDF破译SUCI得到用户正式身份SUPI。然后再根据用户选择的认证方式提取对应的鉴权密钥与鉴权结果，最后将结果反馈给用户终端，校验鉴权结果真伪[5]。有效避免用户身份信息通过明文传输方式泄露。

从3GPP协议角度看，5G SA架构才能实现这种用户身份信息隐私的保护。SUCI的生成算法可以采用椭圆曲线集成加密方案[6]，运营商可自拟方案来满足需求，甚至选择null-scheme。结合现网情况来看，实现该方法的前提是更换手机卡，运营商无法迫使所有用户换卡。因此，在多种网络制式并存的现网条件下，用户终端身份标识的安全威胁也仍然存在。

3.2  系统信息SI的“伪造”或“重放”

系统信息SI由Master Information Block （MIB）和多个System Information Blocks （SIBs）组成，包括了小区选择参数、邻区信息、信道配置信息、公共安全信息PWS等。小区周期性地向用户终端广播同步信号和系统信息[7]。处于RRC_IDLE或RRC_INACTIVE模式时，用户终端会监听系统信息SI并选择一个小区附着。这种不加密的广播形式传播的消息，容易被利用攻击（伪造消息或重放）。小区广播虚假预警消息就是一个典型的例子。

尽管3GPP TR 33.969[8]提出应用数字签名机制这个方法，但仍存在一些时间同步机制、公钥分发管理、终端开销等挑战。

3.3  数据通信中的“中继”

无法简单获取用户终端身份，伪基站还可借助恶意终端，以“中继”的形式，在用户终端和网络之间进行加密数据的透传，实现身份认证。如图2所示，在上行链路，伪基站接收正常用户终端的通信数据，并经由伪终端透传给合法基站;在下行链路，伪终端接收合法基站的通信数据，并通过伪基站将接收数据“透明转发”给合法终端。在这种情况下，通信双方都是难以感知到的[9]。不难想象，针对没有做完整性保护的信息，或在没有开启完整性保护的情况下，还可以直接篡改数据，实施中间人攻击。

4   5G伪基站的安全建议

4.1  制定统一系统信息签名机制

尽管针对系统信息SI的安全性问题在3GPP中讨论研究过，但是，考虑到各国实际监管尺度不同，对终端、设备以及消息发送机构的要求也不尽相同。因此3GPP并未制定统一的技术规范，国内也尚未形成统一签名机制。这方面的工作还有赖于国内标准组织、行业协会政策面的推动。

针对小区广播安全机制，一般会设置根密钥和消息密钥两级密钥，使用数字签名算法和杂凑算法，网络用私钥对发送信息内容的散列进行签名，终端用公钥对接收到的消息进行验证，确保消息完整性及不被伪造[10]。具体如下：

（1）两级密钥设置。根密钥由密钥管理中心KMC生成，长期有效。根私钥保存在KMC，根公钥由终端厂家设置在终端中，用于验证密钥管理消息;消息密钥由KMC生成，有固定的更新周期，可按需更新。根私钥签发消息公钥通过周期发送小区广播测试消息發给终端，并利用预置在终端中的根公钥对消息公钥进行验证。

（2）密钥分发/更新机制。根密钥可采用权威网站公布公钥及摘要，由终端厂家获取，预置在终端中。利用已有的小区广播通道下发公钥，成本低可实现。

针对重放攻击问题，建议添加时间或地理信息等，由终端对比本地时间或地理位置来判断消息的有效性。

4.2  合理利用位置信息解决中继攻击

针对认证中继攻击，可由网络侧AMF（接入和移动管理功能）比较判断用户终端和基站的位置信息匹配合理性。具体来说：

（1）在注册过程中，用户终端经由基站发送注册请求给AMF，该请求经由N2接口时会包含基站位置信息，由此AMF可以获取基站位置信息。

（2）在完成认证后，AMF发送NAS Security Mode命令给用户，让用户终端上报自己的实际位置。

（3）AMF判断两个位置信息的合理性。

此外，考虑到用户位置信息的隐私性，应限制位置信息精度范围。

4.3  主动检测识别伪基站

测量报告MR（Measurement Report）是用户终端对基站的感知，是基站切换的依据。3GPP TR 38.331提出，网络会配置用户终端进行测量，基于SSB上报每个SSB的测量结果、基于SSB的每个小区的测量结果（如信号强度）和SSB Index[11]。

当用户终端处在活跃状态时，在切换准备阶段，用户终端会测量邻区的信息并选择一个待切换的目标基站。当用户终端发生位置移动，离开源基站小区，即将进入新基站小区时，用户终端会发送测量报告给源基站。源基站根据测量报告，尝试与目标基站建立X2/Xn连接。源基站查看配置数据库，查找目标基站的IP地址信息，并建立X2/Xn连接。如果目标基站是伪基站，可能在配置数据库中没有相关信息，或建立X2/Xn连接失败，切换是无法完成的。这样就导致周边基站的切换成功率和用户体验速率下降，甚至掉线，严重影响用户感知。

基于MR上报小区信号强度、基站切换的失败记录、小区编号规则等信息，网络侧可以统计分析出信号异常（-3 dB以下）、无法正常切换的次数等伪基站判别指标。进一步，利用小区经纬度和方位角信息，还可推测出伪基站的位置信息，便于现场勘查确认。

5   结束语

依据3GPP协议规范来看，5G伪基站问题基本上已得到解决。但是，从技术规范到现网设备和终端的部署更新还需要时间，尤其是5G核心网的部署。结合现网实际来看，多种通信制式将会并存较长一段时间，设备的实际应用条件和配置情况也还未可知。此外，安全攻防对抗升级是网络安全的常态。因此，对伪基站问题仍旧不能松懈。

参考文献：

[1] 环球网. 360手机卫士发布《2016中国伪基站短信研究报告》[EB/OL]. （2016-04-22）[2019-10-01]. https：//tech.huanqiu.com/article/9CaKrnJV0kg.

[2] 无线电管理局. 2019年8月打击治理“黑广播”“伪基站”情况[EB/OL]. （2019-09-18）[2019-10-01]. http：//www.miit.gov.cn/n1146285/n1146352/n3054355/n3057735/n5790215/c7420630/content.html.

[3] 黄桂泉. 3G/4G网络能否避免“伪基站”的危害[J]. 移动通信， 2014（6）.

[4] 3GPP. 3GPP TS 33.501： Security architecture and procedures for 5G system （Release 15）[S]. 2018.

[5] UnicornTeam. 5G时代，跟IMSI-Catcher say Goodbye[EB/OL]. （2018-04-18）[2019-10-01]. https：//www.secrss.com/articles/2111.

[6] SMART N P. The exact security of ECIES in the generic group model[M]. Berlin Heidelberg： Springer， 2001： 73-84.

[7] 3GPP. 3GPP TR 33.809： Study on 5G Security Enhancement against False Base Stations （Release 16）[R]. 2018.

[8] 3GPP. 3GPP TR 33.969： Study on Security aspects of Public Warning System （PWS） （Release 15）[R]. 2015.

[9] 黄开枝，金梁，赵华. 5G安全威胁及防护技术研究[J]. 邮电设计技术， 2015（6）： 8-12.

[10] 李成. 小区广播安全机制研究[Z]. 2019.

[11] 3GPP. 3GPP TS 38.331： Radio Resource Control （RRC）; Protocol specification （Release 15）[S]. 2018.