田野劉斐徐海東

（1 中國(guó)移動(dòng)通信集團(tuán)公司研究院， 北京 100053； 2 中國(guó)移動(dòng)通信集團(tuán)公司， 北京 100032）

新型偽基站安全分析研究

田野1劉斐1徐海東2

（1 中國(guó)移動(dòng)通信集團(tuán)公司研究院， 北京 100053； 2 中國(guó)移動(dòng)通信集團(tuán)公司， 北京 100032）

新型偽基站系統(tǒng)能夠模擬任意主叫用戶發(fā)送任意數(shù)量、任意內(nèi)容的垃圾短信， 具有嚴(yán)重的社會(huì)危害。本文分析了新型偽基站系統(tǒng)的工作原理及攻擊流程，并針對(duì)偽基站利用現(xiàn)網(wǎng)系統(tǒng)安全漏洞發(fā)起攻擊的特點(diǎn)，提出了解決辦法及建議。

移動(dòng)通信網(wǎng)絡(luò)；安全；偽基站；垃圾短信

移動(dòng)通信系統(tǒng)中，基站是具有合法運(yùn)營(yíng)資質(zhì)的電信網(wǎng)絡(luò)運(yùn)營(yíng)商部署的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。通過(guò)提供無(wú)線信號(hào)覆蓋，它為用戶終端提供無(wú)線網(wǎng)絡(luò)通信服務(wù)。然而，為了獲取用戶信息，假冒移動(dòng)通信網(wǎng)絡(luò)的偽基站在網(wǎng)絡(luò)中大量出現(xiàn)，嚴(yán)重妨礙了用戶的正常通信。最近又普遍發(fā)現(xiàn)了能夠模擬任意主叫用戶發(fā)送任意數(shù)量、任意內(nèi)容的垃圾短信偽基站系統(tǒng)，造成嚴(yán)重的社會(huì)危害。

本文對(duì)這種新型偽基站的原理進(jìn)行分析并討論偽基站問(wèn)題的解決辦法。

1 新型偽基站概述

顧名思義，偽基站就是假基站，通常它通過(guò)增大信號(hào)強(qiáng)度誘使其覆蓋范圍內(nèi)的移動(dòng)終端選擇并駐留；通過(guò)設(shè)置位置區(qū)參數(shù)，標(biāo)識(shí)請(qǐng)求迫使終端發(fā)起位置區(qū)更新，獲取用戶永久標(biāo)識(shí)IMSI及終端標(biāo)識(shí)IMEI信息。新型偽基站除了具備上述特點(diǎn)之外，還能夠通過(guò)假冒信令，強(qiáng)制用戶接收短信信息，嚴(yán)重?fù)p害了用戶的應(yīng)用體驗(yàn)。

目前，新型偽基站在GSM系統(tǒng)中頻繁出現(xiàn)，帶來(lái)的安全及社會(huì)危害主要如下。

（1） 欺騙用戶終端在偽基站駐留，導(dǎo)致終端脫離正常GSM服務(wù)網(wǎng)絡(luò)，造成用戶無(wú)法進(jìn)行主被叫，嚴(yán)重影響用戶通信業(yè)務(wù)的正常使用。

（2） 導(dǎo)致用戶終端頻繁交互信令，使得偽基站覆蓋區(qū)域無(wú)線資源緊張，嚴(yán)重影響用戶的正常通信。

（3） 騙取用戶標(biāo)識(shí)信息，進(jìn)而利用其對(duì)用戶進(jìn)行竊聽，位置跟蹤，給用戶隱私帶來(lái)威脅。

（4） 模擬任意主叫用戶號(hào)碼，發(fā)送任意數(shù)量、任意內(nèi)容短信，惡意騷擾用戶。目前發(fā)現(xiàn)的偽基站主要是發(fā)送商業(yè)廣告，但是如果偽基站被不法分子利用發(fā)送反動(dòng)短信，則將造成更為嚴(yán)重的社會(huì)危害。

2 新型偽基站原理及攻擊流程

偽基站系統(tǒng)結(jié)構(gòu)如圖1所示，主要由基站系統(tǒng)和操控平臺(tái)構(gòu)成，基站系統(tǒng)又包含基站單元和MSC功能模擬器兩個(gè)部分，整個(gè)系統(tǒng)與運(yùn)營(yíng)商正常網(wǎng)絡(luò)沒(méi)有任何連接?；締卧褪荊SM系統(tǒng)基站控制器和基站傳輸單元，完全符合GSM系統(tǒng)協(xié)議規(guī)范，仿冒合法基站向用戶終端提供空口接入。MSC功能模擬器模仿GSM核心網(wǎng)MSC實(shí)體功能，實(shí)現(xiàn)信道分配、位置更新、標(biāo)識(shí)請(qǐng)求、下行傳輸?shù)戎饕帕盍鞒?，完成用戶?biāo)識(shí)獲取，垃圾短信下發(fā)等攻擊行為。其操作過(guò)程也完全符合現(xiàn)有規(guī)范。操控平臺(tái)是偽基站的控制系統(tǒng)，具備調(diào)整基站單元發(fā)射功率，配置基站小區(qū)系統(tǒng)參數(shù)，位置區(qū)參數(shù)，編寫短信息內(nèi)容，模擬主叫號(hào)碼等功能，是攻擊者對(duì)用戶發(fā)起攻擊的平臺(tái)。

圖1 偽基站系統(tǒng)結(jié)構(gòu)

偽基站使用運(yùn)營(yíng)商GSM頻段，采取較高的發(fā)射功率吸引用戶終端駐留，之后發(fā)起攻擊，具體流程如圖2所示。偽基站設(shè)置與運(yùn)營(yíng)商相同的網(wǎng)絡(luò)號(hào)（如網(wǎng)絡(luò)號(hào)460-00），但設(shè)置不同的位置區(qū)號(hào)LAC1。終端接收到偽基站的系統(tǒng)廣播消息時(shí)，誤以為進(jìn)入新的位置區(qū)LAC1，便發(fā)起位置更新過(guò)程。此時(shí)，偽基站先后通過(guò)兩次標(biāo)識(shí)請(qǐng)求，從終端獲取IMSI及IMEI信息（A部分），然后向終端返回位置更新接受消息，確認(rèn)位置更新成功。在此之后，偽基站可以向終端發(fā)送任意數(shù)量，任意內(nèi)容，任意主叫號(hào)碼的短消息，達(dá)到濫發(fā)廣告，虛假宣傳的目的（B部分）。為了避免終端在偽基站上長(zhǎng)時(shí)間駐留引起用戶警覺，偽基站定期變更位置區(qū)號(hào)。位置區(qū)變更后，終端將再次發(fā)起位置更新。此時(shí)，對(duì)于已駐留過(guò)的終端，偽基站返回位置更新拒絕消息，將終端踢出，迫使終端重選回運(yùn)營(yíng)商正常網(wǎng)絡(luò)（C部分）。

圖2 偽基站攻擊流程

3 問(wèn)題分析

偽基站之所以能夠?qū)τ脩舭l(fā)起上述攻擊，根本原因在于基站在與用戶終端通信的過(guò)程中，終端無(wú)法檢測(cè)網(wǎng)絡(luò)身份是否合法，無(wú)法判斷所接收到的信令信息是否發(fā)自合法的基站。

GSM系統(tǒng)支持的鑒權(quán)流程僅能夠完成網(wǎng)絡(luò)對(duì)終端的單向鑒權(quán)，終端不驗(yàn)證基站的合法性及身份的真?zhèn)?。同時(shí)，GSM系統(tǒng)未采用完整性保護(hù)機(jī)制對(duì)空口信令進(jìn)行保護(hù)，終端無(wú)法鑒權(quán)網(wǎng)絡(luò)發(fā)送信令的真實(shí)性和完整性。這樣，只要接收到網(wǎng)絡(luò)發(fā)送的標(biāo)準(zhǔn)的通信信令，終端就會(huì)進(jìn)行處理和響應(yīng)，不去分辨信令的真?zhèn)?，?duì)于偽造或被篡改的信令也進(jìn)行處理。偽基站正是利用GSM系統(tǒng)存在“單向鑒權(quán)”、“空口消息無(wú)完整性保護(hù)”的安全漏洞對(duì)用戶發(fā)起攻擊。

4 解決方案

為了防止偽基站攻擊，需要系統(tǒng)支持終端對(duì)網(wǎng)絡(luò)的鑒權(quán)以及空口信令完整性保護(hù)功能。然而，GSM系統(tǒng)在設(shè)計(jì)時(shí)就不支持上述兩種功能，因此無(wú)法簡(jiǎn)單通過(guò)系統(tǒng)配置或者升級(jí)的方式解決，必須逐步廢棄GSM系統(tǒng)SIM卡、終端、接入網(wǎng)、核心網(wǎng)設(shè)備的使用。取而代之的是USIM卡，3G/LTE系統(tǒng)終端、接入網(wǎng)、核心網(wǎng)設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)與終端間的雙向鑒權(quán)并實(shí)現(xiàn)信令消息的完整性保護(hù)。

4.1 雙向鑒權(quán)

3G/LTE系統(tǒng)中，終端對(duì)網(wǎng)絡(luò)的鑒權(quán)是通過(guò)USIM卡校驗(yàn)核心網(wǎng)下發(fā)的AUTN實(shí)現(xiàn)的?；谟脩鬠SIM卡與歸屬網(wǎng)HLR/HSS預(yù)先存儲(chǔ)的共享根密鑰K， HLR/HSS計(jì)算生成AUTN，并通過(guò)合法的核心網(wǎng)及基站設(shè)備下發(fā)終端。終端側(cè)，USIM卡基于K以同樣算法生成AUTN，并與接收到的AUTN做比較，從而判斷網(wǎng)絡(luò)設(shè)備的合法性。

共享密鑰K僅被合法運(yùn)營(yíng)商和用戶擁有，因此偽基站無(wú)法偽造出有效的AUTN來(lái)通過(guò)USIM卡的鑒權(quán)。另外，由于偽基站與運(yùn)營(yíng)商網(wǎng)絡(luò)沒(méi)有連接，不能注冊(cè)至合法運(yùn)營(yíng)商網(wǎng)絡(luò)，因此也不可能從運(yùn)營(yíng)商網(wǎng)絡(luò)獲取有效的AUTN。因此不論怎樣，偽基站都無(wú)法通過(guò)終端側(cè)USIM卡對(duì)它的鑒權(quán)，無(wú)法欺騙終端。

4.2 信令完整性保護(hù)

3G/LTE系統(tǒng)在鑒權(quán)的同時(shí)還將在終端與網(wǎng)絡(luò)間協(xié)商完整性保護(hù)密鑰，對(duì)傳輸?shù)南⑦M(jìn)行保護(hù)，防止偽基站對(duì)信令消息的假冒。3G系統(tǒng)生成的完整性保護(hù)密鑰為IK，LTE系統(tǒng)采取更為復(fù)雜的密鑰結(jié)構(gòu)，生成KNAS_INT和KRRC_INT分別對(duì)NAS層和RRC層信令進(jìn)行完整性保護(hù)。LTE系統(tǒng)安全與3G系統(tǒng)安全一脈相承，這里以3G系統(tǒng)為例進(jìn)行說(shuō)明。

與AUTN類似，IK也是由HLR/HSS和USIM卡根據(jù)共享密鑰K分別計(jì)算得出下發(fā)給基站和終端的。之后終端和基站使用IK對(duì)空口傳輸?shù)男帕钸M(jìn)行完整性保護(hù)。

圖3 雙向鑒權(quán)及完整性保護(hù)流程

在終端側(cè)，對(duì)于沒(méi)有進(jìn)行完整性保護(hù)或者完整性保護(hù)校驗(yàn)失敗的信令消息，終端將不做任何處理，直接丟棄。由于偽基站無(wú)法獲得根密鑰K，不可能生成正確的IK，因此所發(fā)送的信令消息不能夠被正確地進(jìn)行完整性保護(hù)，也無(wú)法通過(guò)終端側(cè)的校驗(yàn)。圖2所示攻擊實(shí)例中偽基站傳輸?shù)臉?biāo)識(shí)請(qǐng)求、下行傳輸消息在3G系統(tǒng)中都必須進(jìn)行完整性保護(hù)，因此終端能夠鑒別其真?zhèn)?，阻止偽基站獲取其標(biāo)識(shí)，阻止偽基站為用戶推送垃圾短信信息。

上述雙向鑒權(quán)及完整性保護(hù)過(guò)程示意如圖3所示。在終端附著至網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)與終端進(jìn)行雙向鑒權(quán)并協(xié)商密鑰，此后對(duì)所傳輸?shù)男帕钸M(jìn)行完整性保護(hù)。

4.3 密鑰管理

從上述分析可以看出，防止偽基站的關(guān)鍵還在于對(duì)HLR/HSS、USIM卡預(yù)置共享根密鑰K的保護(hù)。如果根密鑰K被攻擊者獲取，那么偽基站也能夠模擬生成正確的AUTN和完整性保護(hù)密鑰，通過(guò)終端側(cè)的身份鑒權(quán)和信令完整性保護(hù)校驗(yàn)，對(duì)用戶進(jìn)行攻擊。因此運(yùn)營(yíng)商必須加強(qiáng)對(duì)用戶根密鑰K的安全管理，防止密鑰泄露。運(yùn)營(yíng)商可以在HLR/HSS上采取加密存儲(chǔ)的方式保證根密鑰K的安全，規(guī)避管理上的安全風(fēng)險(xiǎn)。

5 小結(jié)

現(xiàn)網(wǎng)中出現(xiàn)的偽基站利用了GSM系統(tǒng)存在單向鑒權(quán)、空口消息無(wú)完整性保護(hù)的固有安全漏洞通過(guò)偽造信令向用戶發(fā)起攻擊，能夠獲取用戶標(biāo)識(shí)，模擬任意主叫號(hào)碼向用戶發(fā)送任意數(shù)量、任意內(nèi)容的短信息，具有極大的社會(huì)危害。為了防止偽基站攻擊，移動(dòng)通信系統(tǒng)必須支持雙向認(rèn)證和空口完整性保護(hù)機(jī)制，因此建議逐漸廢棄GSM系統(tǒng)SIM卡、終端及網(wǎng)絡(luò)設(shè)備，逐漸使用3G/LTE系統(tǒng)USIM卡、終端、接入網(wǎng)及核心網(wǎng)設(shè)備。只有在卡、終端、網(wǎng)絡(luò)側(cè)設(shè)備功能完全匹配的情況下，才能真正實(shí)施雙向鑒權(quán)及完整性保護(hù)過(guò)程，防止偽基站攻擊。同時(shí)，運(yùn)營(yíng)商需要加強(qiáng)對(duì)用戶根密鑰的安全管理，防止密鑰泄露。

[1] 3GPP TS 33.102： 3G Security； Security Architecture[S].

[2] 3GPP TS 33.401： 3GPP System Architecture Evolution (SAE)；Security Architecture[S].

[3] 3GPP TS 23.060： General Packet Radio Server (GPRS)； Service Description[S].

[4] 3GPP TS 23.401： General Packet Radio Service (GPRS) Enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) Access[S].

Analysis of new-type fake base station

TIAN Ye1, LIU Fei1, XU Hai-dong2
(1 China Mobile Research Institute, Beijing 100053, China; 2 China Mobile Group Co., Ltd., Beijing 100032, China)

New-type fake base station allows attackers to pretend to be any originator to send any numbers of spam messages with any contents to users, which has caused serious harm to the society. In this paper, the working way and attack fl ow of the new-type fake base station are analyzed and some suggestions are given to eliminate the security vulnerability of current mobile network system.

mobile communication network; security; fake base station; spam message

TN918

A

1008-5599（2013）08-0058-04

2013-06-18