蔡立偉

（國家無線電監(jiān)測中心云南監(jiān)測站，昆明　650031）

淺談OT860在偽基站查找中的應(yīng)用

蔡立偉

（國家無線電監(jiān)測中心云南監(jiān)測站，昆明650031）

本文介紹了偽基站查找的背景，分析了偽基站的工作原理和識別方法，并介紹了云南站利用OT860測試工具查找偽基站的經(jīng)驗(yàn)，最后提出了改進(jìn)建議。

偽基站；OT860；C1/C2值；GSM系統(tǒng)；小區(qū)重選

1　引言

偽基站是偽裝成公眾移動運(yùn)營商基站，以提取移動終端信息進(jìn)行信息傳遞的無線電收發(fā)信電臺。偽基站非法占用頻譜資源，可以隨處移動，使手機(jī)脫離正常通信網(wǎng)絡(luò)，影響用戶通信質(zhì)量，并且可以直接向接入的手機(jī)群發(fā)短信，偽造任意號碼，且短信內(nèi)容不受任何監(jiān)管，危害巨大。近年來，不法分子利用偽基站謀取利益愈演愈烈，對社會和人民生活造成了嚴(yán)重影響。如果該技術(shù)被用于涉黃、涉恐、涉政等危害社會的信息，或者用于重要地點(diǎn)、重要人群，可能造成難以估計的后果。造成偽基站的原因是3GPP發(fā)布的GSM網(wǎng)絡(luò)規(guī)范先天不足。GSM系統(tǒng)采用單向鑒權(quán)認(rèn)證，手機(jī)不鑒權(quán)網(wǎng)絡(luò)的合法性，僅在網(wǎng)絡(luò)側(cè)對手機(jī)進(jìn)行鑒權(quán)，導(dǎo)致手機(jī)無法有效辨別移動基站的真?zhèn)?。OT860是一套應(yīng)用于GSM系統(tǒng)的網(wǎng)絡(luò)分析工具，可以對任一信道和網(wǎng)絡(luò)參數(shù)進(jìn)行測試分析。該系統(tǒng)可單獨(dú)使用，也可以與PC相連使用。本文對偽基站的工作原理和識別方法進(jìn)行了分析，并介紹了我站利用OT860手機(jī)查找偽基站的經(jīng)驗(yàn)和方法，最后提出了改進(jìn)建議。

2　偽基站的工作原理

偽基站存在的根本原因是GSM系統(tǒng)本身存在著安全漏洞，GSM系統(tǒng)不支持手機(jī)與基站網(wǎng)絡(luò)之間的雙向鑒權(quán)及空中信令的完整性保護(hù)，手機(jī)接入網(wǎng)絡(luò)時不對網(wǎng)絡(luò)的合法性判斷。偽基站通過修改系統(tǒng)參數(shù)，當(dāng)手機(jī)在偽基站的覆蓋內(nèi)時誘使手機(jī)選擇偽基站作為服務(wù)小區(qū)，再利用位置識別碼（LAI）變化時手機(jī)需要向網(wǎng)絡(luò)上報信息來獲取用戶識別碼（IMSI）和設(shè)備識別碼（IMEI），從而提取手機(jī)信息。偽基站可以設(shè)置任意主叫號碼并對手機(jī)發(fā)送短信，通常偽基站會頻繁修改位置區(qū)識別碼（LAI），對于已經(jīng)發(fā)送過短信的手機(jī)，偽基站拒絕將手機(jī)再次連入網(wǎng)絡(luò)。手機(jī)選擇服務(wù)小區(qū)時，主要是根據(jù)C1 和C2值的大小。

式中，A代表下行鏈路的優(yōu)劣；B代表上行鏈路的好壞。如果要發(fā)起重選，C1必須大于0。當(dāng)小區(qū)手機(jī)處于待機(jī)狀態(tài)時，每5秒計算一次C2，具體公式如下：

式中，當(dāng)H=0時Penalty Time-T＜0；當(dāng)H=1 時Penalty Time-T＞0，可見Penalty Time決定了Temporary Offset的正負(fù)。當(dāng)某一鄰區(qū)被列入最強(qiáng)前六位，成為小區(qū)重選候選時，T的計時器啟動，直到該小區(qū)被踢出前六位。偽基站可以通過修改參數(shù)，主要是增大基站發(fā)射功率、設(shè)置小區(qū)重選偏移量和允許手機(jī)接入的最小電頻，提高C2值，使小區(qū)內(nèi)的手機(jī)接入到偽基站。偽基站獲得手機(jī)相關(guān)信息后，下發(fā)垃圾短信。然后手機(jī)發(fā)起位置更新，偽基站拒絕后返回正?；拘^(qū)（見圖1）。

圖1　偽基站工作流程圖

3　偽基站識別方法

偽基站與正?；驹趨?shù)設(shè)置、信令流程、業(yè)務(wù)類型等方面有著不同，這是識別偽基站的主要依據(jù)。通常，偽基站的小區(qū)選擇參數(shù)和重選參數(shù)設(shè)置的很極端，其C1/C2值比正?；靖撸恢脜^(qū)域識別碼LAI與附近基站不同，不支持GPRS業(yè)務(wù)，手機(jī)接入時間較短，一般為10s～20s，會造成手機(jī)脫網(wǎng)。一般查找偽基站可通過運(yùn)營商后臺數(shù)據(jù)進(jìn)行分析，規(guī)劃偽基站路線，鎖定一定范圍，確定偽基站后鎖定基站廣播信道BCCH，借助監(jiān)測測向設(shè)備對偽基站進(jìn)行查找（見圖2）。

圖2　偽基站識別步驟

4　OT860在偽基站查找中的應(yīng)用

4.1OT860簡介

SAGEM OT860是一種用于GSM/GPRS/ E-GPRS網(wǎng)絡(luò)測試，并可實(shí)時顯示移動網(wǎng)絡(luò)服務(wù)小區(qū)和6個相鄰小區(qū)數(shù)據(jù)的專用測試工具。使用者可根據(jù)具體情況，進(jìn)行特定的測試，即對任何一個信道或網(wǎng)絡(luò)參數(shù)進(jìn)行測試。同時，可通過數(shù)據(jù)接口與PC機(jī)連接，使用后臺分析軟件對測試數(shù)據(jù)進(jìn)行分析。該系統(tǒng)主要具備跟蹤信息Trace、強(qiáng)制功能Forcing、掃頻功能Scanning、跟蹤信息存儲Trace storage等功能。OT860能實(shí)時掌握手機(jī)所連接的服務(wù)小區(qū)和鄰區(qū)的廣播信道BCCH值、C1/C2值、服務(wù)小區(qū)基站識別碼BSIC、最小接收門限電平值Rx、基站編號CellId、位置信息LAC、當(dāng)前服務(wù)小區(qū)重選滯后值Cell Reselect Hysteresis、當(dāng)前服務(wù)小區(qū)重選偏移量Cell ReselectOffset、懲罰時間Penalty Time、當(dāng)前服務(wù)小區(qū)臨時偏移量Temporary Offset和GPRS等基站網(wǎng)絡(luò)層基本信息，這些都是識別偽基站的重要參數(shù)（見圖3）。

圖3　OT860系統(tǒng)界面

4.2OT860實(shí)際查找偽基站

為追求經(jīng)濟(jì)利益，擴(kuò)大垃圾短信的接收范圍，偽基站一般會選在人流密集的區(qū)域（如賓館、商場、車站）活動。利用運(yùn)營商信令監(jiān)測系統(tǒng)對后臺數(shù)據(jù)分析，可以確定偽基站大致出現(xiàn)位置。我站攜帶OT860測試工具和監(jiān)測測向設(shè)備對昆明地區(qū)進(jìn)行了多次偽基站查找，積累了大量數(shù)據(jù)和經(jīng)驗(yàn)。以下為我站利用OT860系統(tǒng)查找偽基站的實(shí)例。偽基站吸入手機(jī)大致分為以下四個過程：

（1）系統(tǒng)收到偽基站廣播。鄰區(qū)信道BCCH為58，Cell ID值為10不正常，GPRS值為NO，懲罰時間Penalty Time值為80明顯比其他小區(qū)偏大。

（2）系統(tǒng)工程手機(jī)的服務(wù)小區(qū)被58信道搶占，其他信道沒有數(shù)值，CellId值顯示為10（正?；緸?/4/5位數(shù)字），C1/C2值正常，GPRS值顯示為NO。

（3）系統(tǒng)顯示全部廣播信道沒有數(shù)值，幾秒鐘后服務(wù)小區(qū)替換為61信道，但C1，C2值仍不正常。

（4）系統(tǒng)測試各參數(shù)指標(biāo)恢復(fù)正常，手機(jī)接入正?；?。

上述偽基站吸入手機(jī)過程時間大約持續(xù)15秒。確定偽基站廣播信道BCCH為58后，按照公式（3）計算對應(yīng)58信道的頻率為901.6MHz。

f=890.2+（n-1）×0.2（3）

式中，n為BCCH信道編號。利用監(jiān)測測向系統(tǒng)對該頻率進(jìn)行測向定位，最終查找到偽基站。

值得一提的是，在偽基站查找中監(jiān)測測向系統(tǒng)應(yīng)滿足盡量攜帶方便、系統(tǒng)靈敏度高、天線方向性強(qiáng)、偽裝性好等要求。偽基站信號由于高樓建筑等反射，不易查找。在街道口，一般示向度會有明顯的變化，在無法確定偽基站的方位時，街道口的示向度可以作為一個參考，以提高查找的效率和準(zhǔn)確性。

5　結(jié)束語

OT860系統(tǒng)在偽基站查找中能識別偽基站廣播信道，利用監(jiān)測測向系統(tǒng)可以對偽基站進(jìn)行查找。我站在多次的偽基站查找過程中發(fā)現(xiàn)偽基站所用的頻率很有可能是附近某個合法基站所用的頻率，查找逼近過程中可能會被合法基站所誤導(dǎo)，這對偽基站查找是個很大的麻煩，需要加以識別。另外，OT860系統(tǒng)應(yīng)改進(jìn)語音報警設(shè)置，對及時發(fā)現(xiàn)的信息進(jìn)行預(yù)報和存儲，避免人為因素漏掉一些關(guān)鍵信息，這對實(shí)際的偽基站查找工作是很有必要的。

Analysis on the Application of OT860 in Searching Pseudo Base Station

Cai Liwei
（The State Radio Monitoring Center Yunnan Station， Kunming， 650031）

This paper introduces the background of searching pseudo base station， analysis the work principle and method for the identifcation of pseudo base station. It combines with the experience of searching pseudo base station byusing OT860 for my station， expounds the method of using OT860 to search the pseudo base station and puts forward some suggestions for improvement.

Pseudo Base Station； OT860； C1/C2 Value； GSM System； Cell Reselection

10.3969/j.issn.1672-7274.2015.02.013

TN92文獻(xiàn)標(biāo)示碼：B

1672-7274（2015）02-0069-03

蔡立偉，男，1987年生，本科，助理工程師，畢業(yè)于昆明理工大學(xué)通信工程專業(yè)，現(xiàn)任職于國家無線電監(jiān)測中心云南監(jiān)測站，主要從事無線電監(jiān)測工作。