伪基站问题解读.pptxVIP

假基站问题分析 Author/ Email: Authors name/Authors email Version: V1.0(20YYMMDD) 提纲 假基站根因分析 假基站解决方案 假基站检测方案 2G网络伪基站攻击过程分析 IP BSC MSC/VLR/HLR BTS 合法GSM网络 伪BTS 手机发起位置更新（成功） 获取IMSI 伪基站向手机发送短信（成功） 手机位置更新（失败），根据失败原因，手机出伪基站 伪基站 合法基站 手机 大功率发射，系统消息位置区与现网不同 重选到伪基站 正常网络，正常通信 再次更改系统消息位置区， 在正常网络位置更新（成功） 正常网络，正常通信 伪造基站和网络，诱使手机接入后，伪基站发送垃圾短信、诈骗短信，窃取手机IMSI/IMEI标识 伪基站攻击过程 伪BSC+CN G/C/ WLAN AP有伪基站风险，ULTD无风险 1、获取IMSI （无法阻止） 2、发垃圾短信 Page 4 附：其他可能攻击场景分析1空闲状态下的SMS下发 Page 5 附：其他可能攻击场景分析1空闲状态下的SMS下发 如上面的流程所示，在空闲模式下首先需要完成SD信道分配过程（即上面的红圈所示），即通过寻呼消息找到该MS，然后给MS分配SD信道，最终完成SMS下发，这里的寻呼是关键，必须找到MS才能进入后续的流程，但这对于伪基站来说太难了，几乎不可能完成，或者完成的代价太大，首先要知道用户的识别（即用户的IMSI/TMSI），正常基站该参数来自于核心网，对于伪基站来说，这个数据无法获取，即伪基站不知道在它基站范围内的用户的IMSI/TMSI，另外一个难点是伪基站不知道在那个空口的寻呼子信道上给特定用户下发寻呼，出于MS节电考虑，现网一般都打开DRX，即每个MS仅在自己归属的寻呼子信道上接收寻呼小区（其他寻呼子信道时间内睡眠，以达到节电目的），所以基站需要计算出每个用户对应实际寻呼子信道，具体公式参见如下：  除了跟IMSI相关，还与系统寻呼块数目（N），而N的计算来源于BSS真实的网络数据配置，这些数据显然伪基站也很难获取，因此通过标准的SMS下发流程实现对于伪基站来说太难了，所以伪基站不会考虑此方案的。 Page 6 附：其他可能攻击场景分析2通话态下SMS下发 同样技术难度在如上面的红圈所示，即伪基站要能够识别当前呼叫用户所占用的TCH信道详细信息，包括频点和时隙，然后才能在该TCH上通过构建SAPI3的SACCH信道完成SMS的下发，这对伪基站也是不可完成的任务，而且该流程仅仅完成通话态的下的SMS下发，对于伪基站来说是远远不够的。 Page 7 附：现网场景终端位置更新后网络发SMS 如红圈所示，位置更新流程同样完成一个SD信道分配过程，但是跟方案1最大的不同在于该流程是MS自主发起的（即MS一旦发现基站下发的系统消息中的LAC和MS中的SIM中不一致），改变LAC对于伪基站很容易，最大好处在于本方案避开了方案1中两个技术壁垒（用户标识IMSI/TMSI、寻呼子信道计算），所以伪基站很自然就选择了该方案，本方案全部采用GSM标准动作完成，不需要MS专门支持，不存在MS兼容性的问题，即首先通过小区重选（提升信号电平强度）吸引MS进入伪基站，通过改变LAC而触发MS自动上报位置更新流程（LAU），利用LAU流程分配的SD信道完成了对该用户的SMS的下发，上面的几个动作是GSM的标准行为，实现简单而且没有兼容性的问题，为了减小对现网和用户的影响，一般在垃圾短信发送完毕后（可能一批发送完毕后？），伪基站会再次改变LAC，MS会再次触发位置更新，本次伪基站拒绝位置更新，MS被赶回现网，后续正常可以做业务。 提纲 假基站根因分析 假基站解决方案 假基站检测方案 Page 9 GSM/GPRS假基站解决方案 终端接入假基站过程 根因：初始接入和位置更新场景下，终端不认证网络。 标准中无要求。 应对措施（2或3；1存在中间人攻击风险）： 1、终端向基站发起位置更新请求后，等待网络发起认证请求，只有认证通过后才进行后续的位置更新处理。 2、终端收到位置更新成功消息时，强制校验对方消息的完整性。 3、终端强制要求消息A5/3加密 利用的漏洞： GSMA正在调研的消减措施 用户在伪基站覆盖区域会一般发生以下过程：“伪基站小区重选-向伪基站发起位置更新-伪基站位置更新拒绝-手机重新进行现网小区重选-再次位置更新成功”，此过程至少需要25秒以上。 由于伪基站短信系统不与现网连接就能发送垃圾短信，和传统的短信群发器相比有着明显的优势。 3G/4G假基站可能性分析 Page 10 3G/4G无假基站欺骗终端风险，标准中已有防御假基站的保护措施如下 ： 1、初始接入场景：终端和网络强制双向鉴权+双向完整性保护 2、切