張建奎++郭寶++張陽

【摘 要】4G偽基站分為非法商業(yè)偽基站和公安偽基站，為減少偽基站給網(wǎng)絡(luò)與用戶感知帶來的不良影響，在闡述4G偽基站工作原理的基礎(chǔ)上，對4G偽基站的監(jiān)測定位與規(guī)避協(xié)同進(jìn)行了探討。通過實(shí)地測試、路測信令平臺以及ANR功能可以監(jiān)測并定位到4G偽基站。對于非法商業(yè)偽基站，監(jiān)測定位后需予以堅(jiān)決打擊；對于公安偽基站，可考慮通過協(xié)商配置網(wǎng)絡(luò)參數(shù)，實(shí)現(xiàn)規(guī)避協(xié)同。

【關(guān)鍵詞】非法商業(yè)偽基站 公安偽基站 跟蹤區(qū)更新 重定向 TAU拒絕原因值

1 引言

偽基站偽裝成運(yùn)營商基站，通過相對大功率及異常參數(shù)誘騙手機(jī)發(fā)生重選，在手機(jī)駐留后獲取用戶信息或趁機(jī)發(fā)送信息。偽基站根據(jù)技術(shù)類型分類，分為2G和4G兩種；根據(jù)用途分類，分為非法商業(yè)偽基站和公安偽基站。其中非法商業(yè)偽基站主要通過發(fā)送垃圾短信、詐騙短信、釣魚網(wǎng)址等信息獲取商業(yè)利益，是違法行為，需要嚴(yán)厲打擊。公安偽基站則由公安系統(tǒng)布放，主要用于移動用戶信息采集與定位，目的是維護(hù)治安穩(wěn)定?？傮w來說，由于手機(jī)終端的更新，2G終端的數(shù)量銳減，相應(yīng)的2G偽基站對用戶的影響相比早期有明顯的減輕。

目前的偽基站識別與定位技術(shù)多針對2G偽基站，對于4G偽基站目前尚無成熟的監(jiān)測定位方法。而很多2G偽基站現(xiàn)已逐漸升級為4G偽基站，為避免4G偽基站竊取用戶數(shù)據(jù)、傳播非法信息情況的發(fā)生，文章針對商業(yè)偽基站，研究其行為特征，根據(jù)信令數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測，快速定位；對公安偽基站，采取與運(yùn)營商網(wǎng)絡(luò)協(xié)同的措施，在實(shí)現(xiàn)收集用戶信息的基礎(chǔ)上，盡量減少對用戶正常使用通信業(yè)務(wù)的影響。

2 4G偽基站工作原理及危害

2.1 4G偽基站工作原理

4G偽基站設(shè)置相對簡單，采用相同的公用陸地移動網(wǎng)（PLMN，Public Land Mobile Network），設(shè)置一個(gè)現(xiàn)網(wǎng)在用的絕對無線頻率信道號（EARFCN，E-UTRA Absolute Radio Frequency Channel Number）和物理小區(qū)標(biāo)識（PCI，Physical Cell Identifier），通過發(fā)射一個(gè)較高的功率將空閑態(tài)的4G終端欺騙重選入偽基站。由于偽基站的跟蹤區(qū)碼（TAC，Tracking Area Code）與現(xiàn)網(wǎng)不一致，會觸發(fā)跟蹤區(qū)更新（TAU，Tracking Area Update）過程，從而偽基站可以獲取到用戶在所屬運(yùn)營商的全球唯一臨時(shí)標(biāo)識（GUTI，Globally Unique Temporary Identifier）。偽基站獲取到GUTI后，制造特定的非接入層消息（NAS，Non Access Stratum），即Identity Request/Response消息，進(jìn)一步獲得4G用戶的國際移動用戶標(biāo)識（IMSI，I nternational Mobile Subscriber Identity）號。概括而言，4G偽基站通過較高的功率將空閑態(tài)4G終端欺騙重選入偽基站，在TAU過程中，偽造NAS層消息Identity Request，從而獲取4G用戶的IMSI信息。

目前的非法商業(yè)偽基站通常采用4G偽基站與2G偽基站合設(shè)的方式，通過4G偽基站下發(fā)重定向至2G的消息，將4G用戶遷移至2G網(wǎng)絡(luò)，再通過2G偽基站觸發(fā)位置更新（LAU，Location Update）過程，在位置更新拒絕消息中攜帶非法信息，以短信方式發(fā)送給用戶。

2.2 4G偽基站的危害

目前已定位的4G偽基站對4G網(wǎng)絡(luò)與4G用戶都造成了不同程度的影響。其中對網(wǎng)絡(luò)的影響是帶來了較大干擾，偽基站信號落入中國移動TD-LTE頻段中，會對網(wǎng)絡(luò)信號造成明顯的干擾；另外，在4G偽基站周邊會出現(xiàn)用戶使用4G網(wǎng)絡(luò)不正常的現(xiàn)象，具體表現(xiàn)為手機(jī)進(jìn)入偽基站小區(qū)無法回到公網(wǎng)、4G用戶被遷移至2G網(wǎng)絡(luò)后才能重選回4G、用戶在偽基站小區(qū)拖死后才能選擇回公網(wǎng)等。

中國移動TD-LTE網(wǎng)絡(luò)使用頻段為F、D、E頻段，F(xiàn)頻段為1 885 MHz—1 915 MHz，D頻段為2 575 MHz—2 635 MHz，E頻段為2 320 MHz—2 370 MHz。在道路測試中發(fā)現(xiàn)，某縣城丁村路片區(qū)F頻段出現(xiàn)成片區(qū)域干擾，周邊F頻段小區(qū)均呈現(xiàn)較強(qiáng)的外部干擾，XF東寨DLF_P-3小區(qū)干擾統(tǒng)計(jì)指標(biāo)如圖1所示，橫坐標(biāo)代表100個(gè)資源塊（RB，Resource Block），縱坐標(biāo)代表上行干擾信號強(qiáng)度。

在干擾區(qū)域現(xiàn)場掃頻，發(fā)現(xiàn)了固定在路燈燈桿上的4G偽基站設(shè)備，設(shè)備頻段為1 885 MHz—1 905 MHz，正好落入移動TD-LTE網(wǎng)絡(luò)F頻段內(nèi)，信號強(qiáng)度達(dá)到-90 dBm左右，對F1頻點(diǎn)造成了嚴(yán)重的干擾。

3 4G偽基站的監(jiān)測定位

4G偽基站可通過實(shí)地測試與路測平臺信令跟蹤兩種辦法測定。實(shí)地測試一般采用測試儀表或頻譜儀；路測平臺信令跟蹤是指路測儀表經(jīng)過偽基站周邊時(shí)，由測試終端檢測到異常信號后上報(bào)到平臺，由平臺監(jiān)測定位4G偽基站。針對固定位置的偽基站，這兩種測定方法都可行。但是，對于位置變化的非法商業(yè)偽基站，這兩種方法都會比較滯后。由于非法4G偽基站個(gè)體小，隱蔽性強(qiáng)，通常采用背包方式，甚至使用一個(gè)手機(jī)終端就可實(shí)現(xiàn)偽基站效果，現(xiàn)場實(shí)地測試的方法可能無法及時(shí)實(shí)現(xiàn)對其定位；而平臺的信令跟蹤需經(jīng)過采集、匯聚、篩選等過程，也有一定的滯后性。

從4G偽基站工作原理來看，無論2G或4G偽基站都有兩個(gè)共同點(diǎn)，第一是與運(yùn)營商公網(wǎng)沒有鄰區(qū)關(guān)系，第二是參數(shù)異常。針對這兩個(gè)特點(diǎn)可采用LTE網(wǎng)絡(luò)支持的鄰區(qū)自動優(yōu)化功能（ANR，Automatic Neighbor Relation）來對偽基站進(jìn)行監(jiān)測。ANR是LTE自組織網(wǎng)絡(luò)（SON，Self-Organizing Network）中針對鄰區(qū)自動優(yōu)化提出的，包括自配置、自由化和自操作。

通過定期開啟現(xiàn)網(wǎng)TD-LTE小區(qū)的ANR功能，可檢測到偽基站的信號。由于偽基站配置的TAC與周邊站點(diǎn)不同，eNodeB ID也非現(xiàn)網(wǎng)規(guī)劃，很容易被檢測出來。通過該方式，可以提前主動識別疑似偽基站。此外，部分偽基站的幀偏設(shè)置與公網(wǎng)不一致，會造成強(qiáng)干擾，通過對干擾頻譜進(jìn)行分析，也可以識別出疑似偽基站。在發(fā)現(xiàn)疑似偽基站后，可結(jié)合現(xiàn)場排查和周邊投訴信息來進(jìn)一步確認(rèn)4G偽基站。endprint

4 4G偽基站的規(guī)避與協(xié)同

4.1 4G偽基站對抗方法

監(jiān)測定位到4G偽基站后，可采取兩種對抗偽基站的措施，分別為終端設(shè)置與網(wǎng)絡(luò)設(shè)置。終端設(shè)置的對抗方法是在4G終端內(nèi)設(shè)置判決條件，如終端監(jiān)測在TAU更新請求信息之后，且在鑒權(quán)成功之前，收到所述網(wǎng)絡(luò)側(cè)發(fā)送的重定向消息，確定所述重定向消息中是否包含重定向到2G網(wǎng)絡(luò)的信息。如果包含重定向到2G網(wǎng)絡(luò)的信息，則不響應(yīng)所述重定向請求，且在終端設(shè)置當(dāng)前駐留4G小區(qū)為4G偽基站，列入黑名單，拒絕接入。

網(wǎng)絡(luò)設(shè)置的對抗方法為：在識別出4G偽基站后，通過現(xiàn)場實(shí)地測試，確認(rèn)4G偽基站的配置信息，通過在周邊小區(qū)的廣播消息中增加黑名單（偽基站小區(qū)的頻點(diǎn)和PCI）的形式，避免用戶進(jìn)入偽基站。針對偽基站不定期修改PCI使黑名單失效的問題，網(wǎng)絡(luò)側(cè)通過開啟周邊站點(diǎn)的ANR，根據(jù)用戶自動上報(bào)的偽基站配置信息，及時(shí)更新黑名單列表，以保證用戶不受偽基站的影響，具體流程如圖2所示：

4.2 4G公安偽基站與運(yùn)營商網(wǎng)絡(luò)協(xié)同方法

（1）4G公安偽基站與運(yùn)營商網(wǎng)絡(luò)協(xié)同工作原理

4G公安偽基站與運(yùn)營商網(wǎng)絡(luò)協(xié)同是指在公安偽基站與運(yùn)營商網(wǎng)絡(luò)之間，通過參數(shù)控制的方法在實(shí)現(xiàn)4G公安偽基站采集用戶信息的同時(shí)，盡量減輕偽基站對用戶正常通信的影響。用戶只有在無線資源控制態(tài)（RRC，Radio Resource Control）為空閑態(tài)時(shí)才會重選至公安偽基站，由于公安的偽基站局部信號強(qiáng)度高，這個(gè)過程無法避免，只能使用優(yōu)化措施緩解，所以最好是在公安偽基站與用戶RRC連接釋放時(shí)做優(yōu)化。公安偽基站采集完用戶信息后，往往會通過RRC release和TAU reject將用戶遷移至移動網(wǎng)絡(luò)，一般存在兩種形式：

1）重定向：RRC release單獨(dú)下發(fā)。通過重定向的方式指定用戶在相應(yīng)頻點(diǎn)接入。該方式可以使用戶回到移動4G網(wǎng)絡(luò)，但用戶還會繼續(xù)重選至偽基站。

2）攜帶原因值：RRC連接釋放可攜帶的原因值信息，此時(shí)RRC release不攜帶重定向頻點(diǎn)，主要依靠TAU reject的信息指定用戶下一步行為。

經(jīng)查詢3GPP協(xié)議，不同TAU reject原因值下，終端UE的處理方法如表1所示，其中演進(jìn)型分組系統(tǒng)（EPS，Evolved Packet System）一般指使用4G核心網(wǎng)的業(yè)務(wù)。

原因值15適用于偽基站的TAC不修改（公安偽基站會通過定期變化TAC來規(guī)避，一般自動變化周期為2小時(shí)）的情況，會從其他跟蹤區(qū)選擇小區(qū)接入，并且不會再進(jìn)入偽基站；原因12和原因13會導(dǎo)致用戶在2G/3G網(wǎng)絡(luò)接入，再通過重選方式回到4G，感知影響相對較大；原因9和原因10可能會導(dǎo)致用戶持續(xù)接入偽基站。

綜上所述，如果TAU拒絕原因值選取15，UE可以返回4G小區(qū)，而4G的接入非?？?，在移動側(cè)接入的時(shí)間應(yīng)該在100 ms以內(nèi)，可以忽略不計(jì)，整個(gè)過程應(yīng)該在1 s左右可以全部完成，客戶應(yīng)該感受不到。

（2）4G公安偽基站與運(yùn)營商網(wǎng)絡(luò)協(xié)同工作方法

通過與偽基站設(shè)備廠商溝通，4G公安偽基站與運(yùn)營商移動網(wǎng)絡(luò)的協(xié)同方法可使用5個(gè)關(guān)鍵參數(shù)與措施，其中4處需偽基站側(cè)配置，1處需移動基站側(cè)配置，既能保證偽基站可以捕獲到用戶信息，又盡量不影響用戶感知。

1）公安偽基站頻點(diǎn)設(shè)置：偽基站頻點(diǎn)設(shè)置為E2頻點(diǎn)，PCI采用501～503，盡量與移動現(xiàn)網(wǎng)頻點(diǎn)不一致，降低對移動網(wǎng)絡(luò)的同頻干擾；

2）公安偽基站幀偏設(shè)置：偽基站小區(qū)設(shè)置幀偏置964.84 μs，與現(xiàn)網(wǎng)E頻段幀偏一致，確保不會對現(xiàn)網(wǎng)站點(diǎn)造成上行干擾；

3）公安偽基站覆蓋控制：偽基站天線采用板狀天線，且通過調(diào)整天線下傾角，盡量只覆蓋路口，偽基站發(fā)射功率盡量調(diào)低，降低對移動網(wǎng)絡(luò)影響；

4）公安偽基站返回值配置：偽基站在采集完用戶信息后盡快將用戶遷移回移動4G網(wǎng)絡(luò)，影響時(shí)間需在1 s以內(nèi)，推薦TAU Reject原因值配置為15；

5）移動基站參數(shù)配置：偽基站附近宏站添加E2頻點(diǎn)的異頻測量頻點(diǎn)，并將重選優(yōu)先級設(shè)置為7，用戶在經(jīng)過路口時(shí)，能盡快重選進(jìn)入偽基站。

偽基站頻點(diǎn)和帶寬的配置需關(guān)注以下兩點(diǎn)：

首先，偽基站的頻點(diǎn)建議選擇專用頻點(diǎn)，同時(shí)盡量避開現(xiàn)網(wǎng)頻點(diǎn)?？紤]使用E2是因?yàn)樵擃l點(diǎn)在全網(wǎng)使用較少，主要用于室分?jǐn)U容，室分射燈外打用的是E3頻點(diǎn)，故E2頻點(diǎn)可規(guī)劃給公安偽基站使用。偽基站不使用F頻點(diǎn)、D頻點(diǎn)，主要是考慮降低對現(xiàn)網(wǎng)的同頻干擾，否則在一定程度上會降低SINR值。同時(shí)，從偽基站返回公網(wǎng)的快慢與偽基站的頻點(diǎn)配置無關(guān)。

其次，帶寬方面的配置：當(dāng)前公安偽基站頻點(diǎn)設(shè)置為E2，只是中心頻點(diǎn)設(shè)置為39148，帶寬可設(shè)置為5 M、10 M、20 M等多種情況，相對比較靈活，一般來看，偽基站的帶寬設(shè)置為10 M。

綜上所述，對公安偽基站的檢測主要是通過開啟ANR功能進(jìn)行識別，并可結(jié)合現(xiàn)場排查和周邊投訴來進(jìn)行確認(rèn)。然后，建立偽基站規(guī)避機(jī)制，結(jié)合重選黑名單和基站ANR檢測功能，通過對抗進(jìn)一步與公安進(jìn)行協(xié)商。最后，通過與公安進(jìn)行參數(shù)配置方面的溝通，配置偽基站TAU reject原因值為15，同時(shí)在附近4G宏站添加偽基站頻點(diǎn)，提升重選優(yōu)先級。另外，公安新增的偽基站要提前報(bào)備，以便與運(yùn)營商雙方協(xié)商進(jìn)行參數(shù)設(shè)置。

5 結(jié)束語

當(dāng)前4G終端成為用戶使用的主流終端，前期的2G偽基站會逐步升級為4G偽基站。目前，通過實(shí)地測試、路測信令平臺以及ANR功能可以監(jiān)測并定位到4G偽基站，但是相對滯后。下一步，將會進(jìn)一步使用4G用戶上報(bào)的測量報(bào)告信息，對用戶周邊測量到的4G偽基站信號進(jìn)行精準(zhǔn)的實(shí)時(shí)監(jiān)測。

對于公安4G偽基站，運(yùn)營商需做到及時(shí)溝通，為公安偽基站規(guī)劃合理的參數(shù)，使用戶在經(jīng)過公安偽基站布設(shè)的路口時(shí)，能及時(shí)重選入偽基站，重選完成后能盡快退出公安偽基站返回運(yùn)營商網(wǎng)絡(luò)，盡量實(shí)現(xiàn)用戶感知不受影響。

參考文獻(xiàn)：

[1] 王衛(wèi)華，王長杰. 打擊“偽基站”犯罪的實(shí)踐與思考[J]. 河北公安警察職業(yè)學(xué)院學(xué)報(bào)， 2016，16（2）： 41-44.

[2] 王凱. 移動通信偽基站案例分析與探究[J]. 中國無線電， 2013（6）： 34-36.

[3] 田野，劉斐，徐海東. 新型偽基站安全分析研究[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化， 2013（8）： 58-61.

[4] 劉澤忠. 一種基于偽基站的GSM用戶分選系統(tǒng)實(shí)現(xiàn)方案[J]. 通信技術(shù)， 2013（6）： 127-129.

[5] 閆慧，韓增輝，呂傳祝. 基于大數(shù)據(jù)的偽基站準(zhǔn)實(shí)時(shí)監(jiān)控方法的研究[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化， 2016，29（12）： 22-25.

[6] 馬俊，劉燕. 淺析偽基站原理及查找方法[J]. 中國無線電， 2015（6）： 60-62.

[7] 吳卓凡. 淺談基于信令交互主動追蹤車載偽基站的新方法[J]. 中國新通信， 2016，18（4）： 32-33.

[8] 王德廣，張旭. 利用手機(jī)信息精確定位偽基站的方法研究[J]. 微型電腦應(yīng)用， 2014，30（11）： 25-27.

[9] 廖振松，馬瑞京，陳祖峰，等. 一種基于商用終端的偽基站感知識別系統(tǒng)[J]. 信息通信， 2014（6）： 184-185.

[10] 陳強(qiáng)，劉亮. 基于智能手機(jī)的偽基站檢測方法[J]. 信息安全與通信保密， 2014（12）： 131-134.

[11] 趙明偉，徐霖洲，石宙飛，等. 一種非法偽基站現(xiàn)場快速測量定位的方法[J]. 移動通信， 2016，40（8）： 18-21. ★endprint