田野劉斐徐海東

（1 中國移動通信集團(tuán)公司研究院， 北京 100053； 2 中國移動通信集團(tuán)公司， 北京 100032）

新型偽基站安全分析研究

田野1劉斐1徐海東2

（1 中國移動通信集團(tuán)公司研究院， 北京 100053； 2 中國移動通信集團(tuán)公司， 北京 100032）

新型偽基站系統(tǒng)能夠模擬任意主叫用戶發(fā)送任意數(shù)量、任意內(nèi)容的垃圾短信， 具有嚴(yán)重的社會危害。本文分析了新型偽基站系統(tǒng)的工作原理及攻擊流程，并針對偽基站利用現(xiàn)網(wǎng)系統(tǒng)安全漏洞發(fā)起攻擊的特點，提出了解決辦法及建議。

移動通信網(wǎng)絡(luò)；安全；偽基站；垃圾短信

移動通信系統(tǒng)中，基站是具有合法運營資質(zhì)的電信網(wǎng)絡(luò)運營商部署的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。通過提供無線信號覆蓋，它為用戶終端提供無線網(wǎng)絡(luò)通信服務(wù)。然而，為了獲取用戶信息，假冒移動通信網(wǎng)絡(luò)的偽基站在網(wǎng)絡(luò)中大量出現(xiàn)，嚴(yán)重妨礙了用戶的正常通信。最近又普遍發(fā)現(xiàn)了能夠模擬任意主叫用戶發(fā)送任意數(shù)量、任意內(nèi)容的垃圾短信偽基站系統(tǒng)，造成嚴(yán)重的社會危害。

本文對這種新型偽基站的原理進(jìn)行分析并討論偽基站問題的解決辦法。

1 新型偽基站概述

顧名思義，偽基站就是假基站，通常它通過增大信號強(qiáng)度誘使其覆蓋范圍內(nèi)的移動終端選擇并駐留；通過設(shè)置位置區(qū)參數(shù)，標(biāo)識請求迫使終端發(fā)起位置區(qū)更新，獲取用戶永久標(biāo)識IMSI及終端標(biāo)識IMEI信息。新型偽基站除了具備上述特點之外，還能夠通過假冒信令，強(qiáng)制用戶接收短信信息，嚴(yán)重?fù)p害了用戶的應(yīng)用體驗。

目前，新型偽基站在GSM系統(tǒng)中頻繁出現(xiàn)，帶來的安全及社會危害主要如下。

（1） 欺騙用戶終端在偽基站駐留，導(dǎo)致終端脫離正常GSM服務(wù)網(wǎng)絡(luò)，造成用戶無法進(jìn)行主被叫，嚴(yán)重影響用戶通信業(yè)務(wù)的正常使用。

（2） 導(dǎo)致用戶終端頻繁交互信令，使得偽基站覆蓋區(qū)域無線資源緊張，嚴(yán)重影響用戶的正常通信。

（3） 騙取用戶標(biāo)識信息，進(jìn)而利用其對用戶進(jìn)行竊聽，位置跟蹤，給用戶隱私帶來威脅。

（4） 模擬任意主叫用戶號碼，發(fā)送任意數(shù)量、任意內(nèi)容短信，惡意騷擾用戶。目前發(fā)現(xiàn)的偽基站主要是發(fā)送商業(yè)廣告，但是如果偽基站被不法分子利用發(fā)送反動短信，則將造成更為嚴(yán)重的社會危害。

2 新型偽基站原理及攻擊流程

偽基站系統(tǒng)結(jié)構(gòu)如圖1所示，主要由基站系統(tǒng)和操控平臺構(gòu)成，基站系統(tǒng)又包含基站單元和MSC功能模擬器兩個部分，整個系統(tǒng)與運營商正常網(wǎng)絡(luò)沒有任何連接。基站單元就是GSM系統(tǒng)基站控制器和基站傳輸單元，完全符合GSM系統(tǒng)協(xié)議規(guī)范，仿冒合法基站向用戶終端提供空口接入。MSC功能模擬器模仿GSM核心網(wǎng)MSC實體功能，實現(xiàn)信道分配、位置更新、標(biāo)識請求、下行傳輸?shù)戎饕帕盍鞒?，完成用戶?biāo)識獲取，垃圾短信下發(fā)等攻擊行為。其操作過程也完全符合現(xiàn)有規(guī)范。操控平臺是偽基站的控制系統(tǒng)，具備調(diào)整基站單元發(fā)射功率，配置基站小區(qū)系統(tǒng)參數(shù)，位置區(qū)參數(shù)，編寫短信息內(nèi)容，模擬主叫號碼等功能，是攻擊者對用戶發(fā)起攻擊的平臺。

圖1 偽基站系統(tǒng)結(jié)構(gòu)

偽基站使用運營商GSM頻段，采取較高的發(fā)射功率吸引用戶終端駐留，之后發(fā)起攻擊，具體流程如圖2所示。偽基站設(shè)置與運營商相同的網(wǎng)絡(luò)號（如網(wǎng)絡(luò)號460-00），但設(shè)置不同的位置區(qū)號LAC1。終端接收到偽基站的系統(tǒng)廣播消息時，誤以為進(jìn)入新的位置區(qū)LAC1，便發(fā)起位置更新過程。此時，偽基站先后通過兩次標(biāo)識請求，從終端獲取IMSI及IMEI信息（A部分），然后向終端返回位置更新接受消息，確認(rèn)位置更新成功。在此之后，偽基站可以向終端發(fā)送任意數(shù)量，任意內(nèi)容，任意主叫號碼的短消息，達(dá)到濫發(fā)廣告，虛假宣傳的目的（B部分）。為了避免終端在偽基站上長時間駐留引起用戶警覺，偽基站定期變更位置區(qū)號。位置區(qū)變更后，終端將再次發(fā)起位置更新。此時，對于已駐留過的終端，偽基站返回位置更新拒絕消息，將終端踢出，迫使終端重選回運營商正常網(wǎng)絡(luò)（C部分）。

圖2 偽基站攻擊流程

3 問題分析

偽基站之所以能夠?qū)τ脩舭l(fā)起上述攻擊，根本原因在于基站在與用戶終端通信的過程中，終端無法檢測網(wǎng)絡(luò)身份是否合法，無法判斷所接收到的信令信息是否發(fā)自合法的基站。

GSM系統(tǒng)支持的鑒權(quán)流程僅能夠完成網(wǎng)絡(luò)對終端的單向鑒權(quán)，終端不驗證基站的合法性及身份的真?zhèn)?。同時，GSM系統(tǒng)未采用完整性保護(hù)機(jī)制對空口信令進(jìn)行保護(hù)，終端無法鑒權(quán)網(wǎng)絡(luò)發(fā)送信令的真實性和完整性。這樣，只要接收到網(wǎng)絡(luò)發(fā)送的標(biāo)準(zhǔn)的通信信令，終端就會進(jìn)行處理和響應(yīng)，不去分辨信令的真?zhèn)?，對于偽造或被篡改的信令也進(jìn)行處理。偽基站正是利用GSM系統(tǒng)存在“單向鑒權(quán)”、“空口消息無完整性保護(hù)”的安全漏洞對用戶發(fā)起攻擊。

4 解決方案

為了防止偽基站攻擊，需要系統(tǒng)支持終端對網(wǎng)絡(luò)的鑒權(quán)以及空口信令完整性保護(hù)功能。然而，GSM系統(tǒng)在設(shè)計時就不支持上述兩種功能，因此無法簡單通過系統(tǒng)配置或者升級的方式解決，必須逐步廢棄GSM系統(tǒng)SIM卡、終端、接入網(wǎng)、核心網(wǎng)設(shè)備的使用。取而代之的是USIM卡，3G/LTE系統(tǒng)終端、接入網(wǎng)、核心網(wǎng)設(shè)備，實現(xiàn)網(wǎng)絡(luò)與終端間的雙向鑒權(quán)并實現(xiàn)信令消息的完整性保護(hù)。

4.1 雙向鑒權(quán)

3G/LTE系統(tǒng)中，終端對網(wǎng)絡(luò)的鑒權(quán)是通過USIM卡校驗核心網(wǎng)下發(fā)的AUTN實現(xiàn)的?；谟脩鬠SIM卡與歸屬網(wǎng)HLR/HSS預(yù)先存儲的共享根密鑰K， HLR/HSS計算生成AUTN，并通過合法的核心網(wǎng)及基站設(shè)備下發(fā)終端。終端側(cè)，USIM卡基于K以同樣算法生成AUTN，并與接收到的AUTN做比較，從而判斷網(wǎng)絡(luò)設(shè)備的合法性。

共享密鑰K僅被合法運營商和用戶擁有，因此偽基站無法偽造出有效的AUTN來通過USIM卡的鑒權(quán)。另外，由于偽基站與運營商網(wǎng)絡(luò)沒有連接，不能注冊至合法運營商網(wǎng)絡(luò)，因此也不可能從運營商網(wǎng)絡(luò)獲取有效的AUTN。因此不論怎樣，偽基站都無法通過終端側(cè)USIM卡對它的鑒權(quán)，無法欺騙終端。

4.2 信令完整性保護(hù)

3G/LTE系統(tǒng)在鑒權(quán)的同時還將在終端與網(wǎng)絡(luò)間協(xié)商完整性保護(hù)密鑰，對傳輸?shù)南⑦M(jìn)行保護(hù)，防止偽基站對信令消息的假冒。3G系統(tǒng)生成的完整性保護(hù)密鑰為IK，LTE系統(tǒng)采取更為復(fù)雜的密鑰結(jié)構(gòu)，生成KNAS_INT和KRRC_INT分別對NAS層和RRC層信令進(jìn)行完整性保護(hù)。LTE系統(tǒng)安全與3G系統(tǒng)安全一脈相承，這里以3G系統(tǒng)為例進(jìn)行說明。

與AUTN類似，IK也是由HLR/HSS和USIM卡根據(jù)共享密鑰K分別計算得出下發(fā)給基站和終端的。之后終端和基站使用IK對空口傳輸?shù)男帕钸M(jìn)行完整性保護(hù)。

圖3 雙向鑒權(quán)及完整性保護(hù)流程

在終端側(cè)，對于沒有進(jìn)行完整性保護(hù)或者完整性保護(hù)校驗失敗的信令消息，終端將不做任何處理，直接丟棄。由于偽基站無法獲得根密鑰K，不可能生成正確的IK，因此所發(fā)送的信令消息不能夠被正確地進(jìn)行完整性保護(hù)，也無法通過終端側(cè)的校驗。圖2所示攻擊實例中偽基站傳輸?shù)臉?biāo)識請求、下行傳輸消息在3G系統(tǒng)中都必須進(jìn)行完整性保護(hù)，因此終端能夠鑒別其真?zhèn)?，阻止偽基站獲取其標(biāo)識，阻止偽基站為用戶推送垃圾短信信息。

上述雙向鑒權(quán)及完整性保護(hù)過程示意如圖3所示。在終端附著至網(wǎng)絡(luò)時，網(wǎng)絡(luò)與終端進(jìn)行雙向鑒權(quán)并協(xié)商密鑰，此后對所傳輸?shù)男帕钸M(jìn)行完整性保護(hù)。

4.3 密鑰管理

從上述分析可以看出，防止偽基站的關(guān)鍵還在于對HLR/HSS、USIM卡預(yù)置共享根密鑰K的保護(hù)。如果根密鑰K被攻擊者獲取，那么偽基站也能夠模擬生成正確的AUTN和完整性保護(hù)密鑰，通過終端側(cè)的身份鑒權(quán)和信令完整性保護(hù)校驗，對用戶進(jìn)行攻擊。因此運營商必須加強(qiáng)對用戶根密鑰K的安全管理，防止密鑰泄露。運營商可以在HLR/HSS上采取加密存儲的方式保證根密鑰K的安全，規(guī)避管理上的安全風(fēng)險。

5 小結(jié)

現(xiàn)網(wǎng)中出現(xiàn)的偽基站利用了GSM系統(tǒng)存在單向鑒權(quán)、空口消息無完整性保護(hù)的固有安全漏洞通過偽造信令向用戶發(fā)起攻擊，能夠獲取用戶標(biāo)識，模擬任意主叫號碼向用戶發(fā)送任意數(shù)量、任意內(nèi)容的短信息，具有極大的社會危害。為了防止偽基站攻擊，移動通信系統(tǒng)必須支持雙向認(rèn)證和空口完整性保護(hù)機(jī)制，因此建議逐漸廢棄GSM系統(tǒng)SIM卡、終端及網(wǎng)絡(luò)設(shè)備，逐漸使用3G/LTE系統(tǒng)USIM卡、終端、接入網(wǎng)及核心網(wǎng)設(shè)備。只有在卡、終端、網(wǎng)絡(luò)側(cè)設(shè)備功能完全匹配的情況下，才能真正實施雙向鑒權(quán)及完整性保護(hù)過程，防止偽基站攻擊。同時，運營商需要加強(qiáng)對用戶根密鑰的安全管理，防止密鑰泄露。

[1] 3GPP TS 33.102： 3G Security； Security Architecture[S].

[2] 3GPP TS 33.401： 3GPP System Architecture Evolution (SAE)；Security Architecture[S].

[3] 3GPP TS 23.060： General Packet Radio Server (GPRS)； Service Description[S].

[4] 3GPP TS 23.401： General Packet Radio Service (GPRS) Enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) Access[S].

Analysis of new-type fake base station

TIAN Ye1, LIU Fei1, XU Hai-dong2
(1 China Mobile Research Institute, Beijing 100053, China; 2 China Mobile Group Co., Ltd., Beijing 100032, China)

New-type fake base station allows attackers to pretend to be any originator to send any numbers of spam messages with any contents to users, which has caused serious harm to the society. In this paper, the working way and attack fl ow of the new-type fake base station are analyzed and some suggestions are given to eliminate the security vulnerability of current mobile network system.

mobile communication network; security; fake base station; spam message

TN918

A

1008-5599（2013）08-0058-04

2013-06-18