侧边栏壁纸
博主头像
hotben

2008年涉足通信行业,致力于无线通信智能化。

  • 累计撰写 14 篇文章
  • 累计创建 5 个标签
  • 累计收到 1 条评论
标签搜索

5G网络如何防范伪基站

hotben
2022-03-08 / 0 评论 / 0 点赞 / 3,298 阅读 / 4,299 字
温馨提示:
如果本文对您有帮助,请点赞或评论让我们知道!部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

1 .信息摘要

通过本文,您可以了解:

  • 伪基站是什么?
  • 2G/3G/4G/5G时代分别面临什么样的伪基站威胁?
  • 现有的伪基站识别手段有哪些?

2. 伪基站是什么?

伪基站通常由简易无线设备和专用开源软件组成。**它可以通过模拟目标基站,依据相关协议向目标终端发送信令,获取目标终端相关信息。**如图2-1所示,在目标基站的覆盖范围内,伪基站可以迫使目标终端小区重选、位置更新以及切换,从而达到网络诈骗、隐私信息获取等目的。

伪基站对终端进行欺骗性攻击的同时会干扰网络与终端之间的正常通信,对网络的性能造成影响,如导致切换失败、异常掉话等。

图2-1 典型伪基站

image-20220308161530037

3. 2G/3G/4G时代的伪基站威胁

依据3GPP协议规范,用户终端会依据 MR(Measurement Report)选择信号强度最强的基站,在通过鉴权认证过程后,接入该基站,伪基站正是通过“合理”利用上述协议规范来实现的。

**伪基站诞生于2G时代,****2G的系统设计中仅设计了网络对终端的单向认证,终端无法判断接入的基站和网络是否可信。**攻击者可以伪冒基站和网络,让用户连接到恶意网络,从而实现进一步攻击。例如,给用户发送短信诱骗用户点击恶意链接、下载恶意软件或者伪冒服务电话对用户实施诈骗等。

3G 和 4G 在网络设计时,已经实现了双向认证,其中4G网络双向鉴权过程如图3-1所示。

图3-1 4G网络双向鉴权过程
image-20220308161731850

但对于多模手机来说,存在用户回落到2G网络的场景。**攻击者可以利用这个特点,制造条件让终端回落到 2G 的伪基站,实现相同的攻击。**详细请参见表3-1 。

表3-1 不同通信制式下的协议规范相关特征和伪基站手段

制式 IMSI 鉴权方向 鉴权发起 鉴权参数 伪基站手段
2G 明文 单向 网络 RAND、XRES、Kc 大功率干扰
3G 明文 双向 网络 RAND、XRES、CK、IK、AUTH 规避终端发起鉴权,获取明文IMSI,降级至2G
4G 明文 双向 网络 RAND、XRES、Kasme、AUTH 规避终端发起鉴权,获取明文IMSI,降级至2G
IMSI:International Mobile Subscriber Identity,国际移动用户识别码

对于3G、4G网络,虽然完整性保护算法开启后,NAS层信令将进行完整性保护校验,**但仍有信令不需要进行完整性保护校验,**4G伪基站可以利用这个漏洞实现对用户敏感信息的收集。2016年,就有团队发现了LTE网络的漏洞可被用作伪基站的攻击对象。该漏洞可用于窃取UE的IMSI信息,流程如下:

  1. 伪基站设置为一个异常的TAC,使处于RRC空闲态的终端重选到伪基站,并请求更新路由区(TAU Request),获取终端的GUTI。
  2. 伪基站在获取到GUTI后,可以造出特定NAS消息(IdentityRequest)要求终端上报其IMSI信息。
  3. 终端向伪基站发送回复消息(Identity Response),其中包含IMSI相关信息。

上述过程对应的信令流程如图3-2所示。

image-20220308161801233

该漏洞同时也可以用于发起重定向攻击,让终端回落到2G的伪基站,实现进一步的攻击。具体流程如图3-3所示。

图3-3 伪基站发起重定向攻击的信令流程

image-20220308162051708

4. 5G时代的伪基站威胁

从2G到4G,伪基站不断通过技术变革来对抗规范协议的升级和各种监管手段的实施。那么5G所面临的伪基站威胁有哪些呢?

  1. 用户终端身份标识泄露

    对应 IMSI,终端在5G中的真实身份称为用户永久标识符 SUPI(Subscription Permanent Identifier),5G引入用户隐藏标识符 SUCI(Subscription Concealed Identifier)防止用户真实身份信息被捕获,加强用户属性的私密性,如[图4-1](javascript:void(0);)所示。

    图4-1 5G的终端身份标识加密
    image-20220308161923227

    但从3GPP协议角度看,5G SA架构才能实现这种用户身份信息隐私的保护。且结合现网情况来看,实现该方法的前提是更换SIM卡,运营商无法迫使所有用户换卡。因此,在多种网络制式并存的现网条件下,用户终端身份标识泄露的安全威胁对5G也仍然存在。

    • 若伪基站对用户实施降阶攻击,使用户降回 4G(5G 不允许降阶接入 2G/3G 网络),则仍然可以实施类似攻击,从而导致用户隐私泄露。
    • 5G 初始部署阶段,运营商可能允许用户不更换SIM卡直接接入 5G 网络,仍然有可能泄露用户 IMSI。
    • 当前仍有 4G/5G 无法覆盖的地区,而用户接入策略中很难对用户进行区域限制,因此运营商可能不得不允许用户回到 2G/3G 网络,仍然存在降阶攻击的可能。
  2. 系统信息SI的“伪造”或“重放”

    系统信息SI由 Master Information Block(MIB)和多个System Information Blocks(SIBs)组成,包括了小区选择参数、邻区信息、信道配置信息、公共安全信息等。小区周期性地向用户终端广播同步信号和系统信息。处于RRC_IDLE或RRC_INACTIVE模式时,用户终端会监听系统信息SI并选择一个小区附着。这种不加密的广播形式传播的消息,容易被利用攻击(伪造消息或重放),小区广播虚假预警消息就是一个典型的例子。

  3. 数据通信中的“中继”

    无法简单获取用户终端身份,伪基站还可借助恶意终端,以“中继”的形式,在用户终端和网络之间进行加密数据的透传,实现身份认证。如[图4-2](javascript:void(0);)所示:

    • 在上行链路,伪基站接收正常用户终端的通信数据,并经由伪终端透传给合法基站。
    • 在下行链路,伪终端接收合法基站的通信数据,并通过伪基站将接收数据“透明转发”给合法终端。

    在这种情况下,通信双方都是难以感知到的。不难想象,针对没有做完整性保护的信息,或在没有开启完整性保护的情况下,还可以直接篡改数据,实施中间人攻击。

    图4-2 中继攻击
    image-20220308162109825

5. 如何识别伪基站?

针对伪基站问题,现有的识别伪基站的手段从网络侧和终端侧两个方面出发:

  • 网络侧采用邻区测量和异常事件记录的方法,利用伪基站吸附终端过程中产生的异常事件以及相关的特征数据进行统计,分析可能存在的伪基站,并可通过异常事件与MR的关联定位UE发生异常事件的位置,从而估算伪基站的位置,对伪基站进行地理化呈现。
  • 终端侧识别伪基站包含基站系统消息检测和用户私有内容识别两个方法。
    • 基站系统消息检测方法提取伪基站小区信号中广播消息的特征,建立伪基站特征库,对符合这些特征的小区进行拦截。
    • 用户私有内容识别方法则是提取伪基站发送的短信息特征,建立伪基站特征库,对这些符合特征的短信息进行拦截,并告知终端离开伪基站小区。

5.1 网络侧

​ 攻击者利用伪基站进行攻击之前,通常会先扫描现网使用的频点,然后调整伪基站频点为现网的频点,使得终端更容易被伪基站吸附。除了频点以外,伪基站还可能仿冒现网基站的一些系统信息,如PCI、ECGI、TAC等,其中PCI和ECGI的仿冒会对现网小区间的切换/小区重选有影响,影响现网的KPI指标(主要是切换/掉话指标)。

网络侧的伪基站识别记录如下数据源:

  • 小区话统数据,包含切换类话统、干扰类话统等;
  • 网元配置数据,包含小区频点、PCI以及邻区信息等;
  • 外部CHR数据,主要涉及PRIVATE_INTRA_RAT_HO_OUT事件中的切换结果记录;
  • 规划数据输入,如eNB标识、小区标识、TAC、PCI等;

​ 网络在记录上述数据源的基础上开启ANR测量,真实基站会触发ANR测量将伪基站加入邻区列表,从而触发到伪基站的切换。但由于真实基站和伪基站之间没有信令交互而导致切换失败,此时指向某一邻区切换成功率变差就可以作为过滤甄别伪基站小区的条件。

同时ANR测量过程中UE上报的测量报告中包含ECGI 和 TAC:

  • PLMN、eNB ID(ECGI中包含PLMN和eNB ID)明显跟现网的不符,则很可能是伪基站。
  • TAC与周围基站不一致,也很可能是伪基站,因为伪基站经常会利用TAC不同对UE发起IMSI Catch攻击。

5.2 终端侧

​ 基站发出的信号可分为两部分,前面的是公共广播部分,内容是本小区信道参数、邻区配置参数、小区选择及切换参数等,发送给本小区的所有手机。后面跟着的是用户私有内容部分,发送给每部手机的内容就不一样了。

1)基站系统消息检测

​ 伪基站经常是流动的,每到一处就要假冒当地真基站的参数,大量参数的经常性更换是个非常复杂和繁琐的工作,因此伪基站在能欺骗终端的前提下通常都只是抓取复制少量的真基站参数。而基站系统消息监测模式对参数的验证非常全面,既然伪基站的参数编造得跟真基站不是一模一样的,那就肯定能够检查出来。而一旦检查出来是伪基站,其后面跟随的私有内容也就统统被拒绝了,这些诈骗内容根本就进不了门。

​ 基站系统消息检测具体的做法是提取伪基站小区信号中广播消息的特征,建立伪基站特征库,对符合这些特征的小区进行拦截。特征库根据网络大数据定期更新,然后从云端知会手机定期更新,这样保持对伪基站小区的实时最新的拦截状态。

​ 但是这种模式对终端厂商有很高的技术要求,首先需要掌握现网大量的公共广播信息配置的特征,没有很强的通信能力积累、大量的现网测试部署、深入的输入分析,是达不到这个门槛的。其次还得有手机通信基带处理的芯片设计能力,才能把基站特征参数的处理策略固化在芯片中,两种能力缺一不可。

2)用户私有内容识别

​ 伪基站发送的诈骗短信都有明确目的,也因此不可避免地带有一些共性的内容特征,终端厂商可以通过采集形成诈骗短信内容特征库,作为鉴别伪基站的依据。

​ 具体做法就是通过提取伪基站发送的诈骗短信特征,建立特征库,对这些符合特征的短信进行拦截,并刷新维护这类信息的特征库。

用户私有内容识别是互联网终端厂商普遍采用的模式,它不管基站的真伪,而是先把所有传来的信号统统收下,然后根据短信的内容特征判断基站的真伪。少数终端厂商更进了一步,在识别出伪基站的消息后,通过接口通知底层基带,告知终端此小区为伪基站,从而发起小区迁移,使终端离开伪基站小区。

6. 参考文献

  1. 刘长波,张敏,常力元,等. 5G伪基站威胁分析及安全防护建议[J]. 移动通信, 2019,43(10): 58-61.
  2. Lin Huang. LTE Redirection Attack - Forcing Targeted LTE Cellphone into Unsafe Network.
  3. 李振华.伪基站电信诈骗的大规模识别与定位[J].中国教育网络,2017.
  4. GSMA Mobile Security Hall of Fame:https://www.gsma.com/security/gsma-mobile-security-hall-of-fame/
  5. 《伪基站识别与检测》
0

评论区