蔡立偉

（國(guó)家無(wú)線(xiàn)電監(jiān)測(cè)中心云南監(jiān)測(cè)站，昆明　650031）

淺談OT860在偽基站查找中的應(yīng)用

蔡立偉

（國(guó)家無(wú)線(xiàn)電監(jiān)測(cè)中心云南監(jiān)測(cè)站，昆明650031）

本文介紹了偽基站查找的背景，分析了偽基站的工作原理和識(shí)別方法，并介紹了云南站利用OT860測(cè)試工具查找偽基站的經(jīng)驗(yàn)，最后提出了改進(jìn)建議。

偽基站；OT860；C1/C2值；GSM系統(tǒng)；小區(qū)重選

1　引言

偽基站是偽裝成公眾移動(dòng)運(yùn)營(yíng)商基站，以提取移動(dòng)終端信息進(jìn)行信息傳遞的無(wú)線(xiàn)電收發(fā)信電臺(tái)。偽基站非法占用頻譜資源，可以隨處移動(dòng)，使手機(jī)脫離正常通信網(wǎng)絡(luò)，影響用戶(hù)通信質(zhì)量，并且可以直接向接入的手機(jī)群發(fā)短信，偽造任意號(hào)碼，且短信內(nèi)容不受任何監(jiān)管，危害巨大。近年來(lái)，不法分子利用偽基站謀取利益愈演愈烈，對(duì)社會(huì)和人民生活造成了嚴(yán)重影響。如果該技術(shù)被用于涉黃、涉恐、涉政等危害社會(huì)的信息，或者用于重要地點(diǎn)、重要人群，可能造成難以估計(jì)的后果。造成偽基站的原因是3GPP發(fā)布的GSM網(wǎng)絡(luò)規(guī)范先天不足。GSM系統(tǒng)采用單向鑒權(quán)認(rèn)證，手機(jī)不鑒權(quán)網(wǎng)絡(luò)的合法性，僅在網(wǎng)絡(luò)側(cè)對(duì)手機(jī)進(jìn)行鑒權(quán)，導(dǎo)致手機(jī)無(wú)法有效辨別移動(dòng)基站的真?zhèn)?。OT860是一套應(yīng)用于GSM系統(tǒng)的網(wǎng)絡(luò)分析工具，可以對(duì)任一信道和網(wǎng)絡(luò)參數(shù)進(jìn)行測(cè)試分析。該系統(tǒng)可單獨(dú)使用，也可以與PC相連使用。本文對(duì)偽基站的工作原理和識(shí)別方法進(jìn)行了分析，并介紹了我站利用OT860手機(jī)查找偽基站的經(jīng)驗(yàn)和方法，最后提出了改進(jìn)建議。

2　偽基站的工作原理

偽基站存在的根本原因是GSM系統(tǒng)本身存在著安全漏洞，GSM系統(tǒng)不支持手機(jī)與基站網(wǎng)絡(luò)之間的雙向鑒權(quán)及空中信令的完整性保護(hù)，手機(jī)接入網(wǎng)絡(luò)時(shí)不對(duì)網(wǎng)絡(luò)的合法性判斷。偽基站通過(guò)修改系統(tǒng)參數(shù)，當(dāng)手機(jī)在偽基站的覆蓋內(nèi)時(shí)誘使手機(jī)選擇偽基站作為服務(wù)小區(qū)，再利用位置識(shí)別碼（LAI）變化時(shí)手機(jī)需要向網(wǎng)絡(luò)上報(bào)信息來(lái)獲取用戶(hù)識(shí)別碼（IMSI）和設(shè)備識(shí)別碼（IMEI），從而提取手機(jī)信息。偽基站可以設(shè)置任意主叫號(hào)碼并對(duì)手機(jī)發(fā)送短信，通常偽基站會(huì)頻繁修改位置區(qū)識(shí)別碼（LAI），對(duì)于已經(jīng)發(fā)送過(guò)短信的手機(jī)，偽基站拒絕將手機(jī)再次連入網(wǎng)絡(luò)。手機(jī)選擇服務(wù)小區(qū)時(shí)，主要是根據(jù)C1 和C2值的大小。

式中，A代表下行鏈路的優(yōu)劣；B代表上行鏈路的好壞。如果要發(fā)起重選，C1必須大于0。當(dāng)小區(qū)手機(jī)處于待機(jī)狀態(tài)時(shí)，每5秒計(jì)算一次C2，具體公式如下：

式中，當(dāng)H=0時(shí)Penalty Time-T＜0；當(dāng)H=1 時(shí)Penalty Time-T＞0，可見(jiàn)Penalty Time決定了Temporary Offset的正負(fù)。當(dāng)某一鄰區(qū)被列入最強(qiáng)前六位，成為小區(qū)重選候選時(shí)，T的計(jì)時(shí)器啟動(dòng)，直到該小區(qū)被踢出前六位。偽基站可以通過(guò)修改參數(shù)，主要是增大基站發(fā)射功率、設(shè)置小區(qū)重選偏移量和允許手機(jī)接入的最小電頻，提高C2值，使小區(qū)內(nèi)的手機(jī)接入到偽基站。偽基站獲得手機(jī)相關(guān)信息后，下發(fā)垃圾短信。然后手機(jī)發(fā)起位置更新，偽基站拒絕后返回正?；拘^(qū)（見(jiàn)圖1）。

圖1　偽基站工作流程圖

3　偽基站識(shí)別方法

偽基站與正?；驹趨?shù)設(shè)置、信令流程、業(yè)務(wù)類(lèi)型等方面有著不同，這是識(shí)別偽基站的主要依據(jù)。通常，偽基站的小區(qū)選擇參數(shù)和重選參數(shù)設(shè)置的很極端，其C1/C2值比正?；靖?，位置區(qū)域識(shí)別碼LAI與附近基站不同，不支持GPRS業(yè)務(wù)，手機(jī)接入時(shí)間較短，一般為10s～20s，會(huì)造成手機(jī)脫網(wǎng)。一般查找偽基站可通過(guò)運(yùn)營(yíng)商后臺(tái)數(shù)據(jù)進(jìn)行分析，規(guī)劃偽基站路線(xiàn)，鎖定一定范圍，確定偽基站后鎖定基站廣播信道BCCH，借助監(jiān)測(cè)測(cè)向設(shè)備對(duì)偽基站進(jìn)行查找（見(jiàn)圖2）。

圖2　偽基站識(shí)別步驟

4　OT860在偽基站查找中的應(yīng)用

4.1OT860簡(jiǎn)介

SAGEM OT860是一種用于GSM/GPRS/ E-GPRS網(wǎng)絡(luò)測(cè)試，并可實(shí)時(shí)顯示移動(dòng)網(wǎng)絡(luò)服務(wù)小區(qū)和6個(gè)相鄰小區(qū)數(shù)據(jù)的專(zhuān)用測(cè)試工具。使用者可根據(jù)具體情況，進(jìn)行特定的測(cè)試，即對(duì)任何一個(gè)信道或網(wǎng)絡(luò)參數(shù)進(jìn)行測(cè)試。同時(shí)，可通過(guò)數(shù)據(jù)接口與PC機(jī)連接，使用后臺(tái)分析軟件對(duì)測(cè)試數(shù)據(jù)進(jìn)行分析。該系統(tǒng)主要具備跟蹤信息Trace、強(qiáng)制功能Forcing、掃頻功能Scanning、跟蹤信息存儲(chǔ)Trace storage等功能。OT860能實(shí)時(shí)掌握手機(jī)所連接的服務(wù)小區(qū)和鄰區(qū)的廣播信道BCCH值、C1/C2值、服務(wù)小區(qū)基站識(shí)別碼BSIC、最小接收門(mén)限電平值Rx、基站編號(hào)CellId、位置信息LAC、當(dāng)前服務(wù)小區(qū)重選滯后值Cell Reselect Hysteresis、當(dāng)前服務(wù)小區(qū)重選偏移量Cell ReselectOffset、懲罰時(shí)間Penalty Time、當(dāng)前服務(wù)小區(qū)臨時(shí)偏移量Temporary Offset和GPRS等基站網(wǎng)絡(luò)層基本信息，這些都是識(shí)別偽基站的重要參數(shù)（見(jiàn)圖3）。

圖3　OT860系統(tǒng)界面

4.2OT860實(shí)際查找偽基站

為追求經(jīng)濟(jì)利益，擴(kuò)大垃圾短信的接收范圍，偽基站一般會(huì)選在人流密集的區(qū)域（如賓館、商場(chǎng)、車(chē)站）活動(dòng)。利用運(yùn)營(yíng)商信令監(jiān)測(cè)系統(tǒng)對(duì)后臺(tái)數(shù)據(jù)分析，可以確定偽基站大致出現(xiàn)位置。我站攜帶OT860測(cè)試工具和監(jiān)測(cè)測(cè)向設(shè)備對(duì)昆明地區(qū)進(jìn)行了多次偽基站查找，積累了大量數(shù)據(jù)和經(jīng)驗(yàn)。以下為我站利用OT860系統(tǒng)查找偽基站的實(shí)例。偽基站吸入手機(jī)大致分為以下四個(gè)過(guò)程：

（1）系統(tǒng)收到偽基站廣播。鄰區(qū)信道BCCH為58，Cell ID值為10不正常，GPRS值為NO，懲罰時(shí)間Penalty Time值為80明顯比其他小區(qū)偏大。

（2）系統(tǒng)工程手機(jī)的服務(wù)小區(qū)被58信道搶占，其他信道沒(méi)有數(shù)值，CellId值顯示為10（正?；緸?/4/5位數(shù)字），C1/C2值正常，GPRS值顯示為NO。

（3）系統(tǒng)顯示全部廣播信道沒(méi)有數(shù)值，幾秒鐘后服務(wù)小區(qū)替換為61信道，但C1，C2值仍不正常。

（4）系統(tǒng)測(cè)試各參數(shù)指標(biāo)恢復(fù)正常，手機(jī)接入正?；尽?/p>

上述偽基站吸入手機(jī)過(guò)程時(shí)間大約持續(xù)15秒。確定偽基站廣播信道BCCH為58后，按照公式（3）計(jì)算對(duì)應(yīng)58信道的頻率為901.6MHz。

f=890.2+（n-1）×0.2（3）

式中，n為BCCH信道編號(hào)。利用監(jiān)測(cè)測(cè)向系統(tǒng)對(duì)該頻率進(jìn)行測(cè)向定位，最終查找到偽基站。

值得一提的是，在偽基站查找中監(jiān)測(cè)測(cè)向系統(tǒng)應(yīng)滿(mǎn)足盡量攜帶方便、系統(tǒng)靈敏度高、天線(xiàn)方向性強(qiáng)、偽裝性好等要求。偽基站信號(hào)由于高樓建筑等反射，不易查找。在街道口，一般示向度會(huì)有明顯的變化，在無(wú)法確定偽基站的方位時(shí)，街道口的示向度可以作為一個(gè)參考，以提高查找的效率和準(zhǔn)確性。

5　結(jié)束語(yǔ)

OT860系統(tǒng)在偽基站查找中能識(shí)別偽基站廣播信道，利用監(jiān)測(cè)測(cè)向系統(tǒng)可以對(duì)偽基站進(jìn)行查找。我站在多次的偽基站查找過(guò)程中發(fā)現(xiàn)偽基站所用的頻率很有可能是附近某個(gè)合法基站所用的頻率，查找逼近過(guò)程中可能會(huì)被合法基站所誤導(dǎo)，這對(duì)偽基站查找是個(gè)很大的麻煩，需要加以識(shí)別。另外，OT860系統(tǒng)應(yīng)改進(jìn)語(yǔ)音報(bào)警設(shè)置，對(duì)及時(shí)發(fā)現(xiàn)的信息進(jìn)行預(yù)報(bào)和存儲(chǔ)，避免人為因素漏掉一些關(guān)鍵信息，這對(duì)實(shí)際的偽基站查找工作是很有必要的。

Analysis on the Application of OT860 in Searching Pseudo Base Station

Cai Liwei
（The State Radio Monitoring Center Yunnan Station， Kunming， 650031）

This paper introduces the background of searching pseudo base station， analysis the work principle and method for the identifcation of pseudo base station. It combines with the experience of searching pseudo base station byusing OT860 for my station， expounds the method of using OT860 to search the pseudo base station and puts forward some suggestions for improvement.

Pseudo Base Station； OT860； C1/C2 Value； GSM System； Cell Reselection

10.3969/j.issn.1672-7274.2015.02.013

TN92文獻(xiàn)標(biāo)示碼：B

1672-7274（2015）02-0069-03

蔡立偉，男，1987年生，本科，助理工程師，畢業(yè)于昆明理工大學(xué)通信工程專(zhuān)業(yè)，現(xiàn)任職于國(guó)家無(wú)線(xiàn)電監(jiān)測(cè)中心云南監(jiān)測(cè)站，主要從事無(wú)線(xiàn)電監(jiān)測(cè)工作。