基于4G网络技术的伪基站工作原理及干扰排查应对措施

郄军建，朱 青，武传龙

（潍坊市知识产权保护中心，山东 潍坊 261100）

0 引 言

目前，国内大型通信运营商都已经实现了4G网络全覆盖，伪基站技术也在实时更新，日常工作中已经发现了基于4G技术的伪基站。4G伪基站通常是指移动网络码（Mobile Network Code，MNC）与通信运营商相同，冒充4G基站发射4G信号，将用户终端强行吸入网络，非法获取用户信息的“假基站”，已经严重威胁到移动通信网络安全。需要及时排查定位4G伪基站，最大限度降低其不良影响已成为亟需解决的现实问题。因此，分析4G伪基站的工作原理并给出相应的应对措施具有重要意义[1]。

1 4G伪基站工作原理

根据3GPP协议，为了提高移动通信网络安全性，4G移动通信网络启用双向鉴权机制，即eNodeB和用户体验（User Experience，UE）相互认证通过后才能触发业务，否则无法正常通信。为提升4G移动通信网络的安全机制，4G网络通信协议提供了多种可供选择的加密算法和完整性保护的算法，移动终端可以在经过相应的鉴权流程后确认基站是否合法。现在的4G伪基站只能模拟鉴权流程之前的信令，无法模拟鉴权后的电路交换（Circuit Switch，CS）域和分组交换（Packet Switch，PS）域的信令流程。4G伪基站无法像2G伪基站那样向用户终端发起恶意攻击，仅能够模拟鉴权流程之前的一些接入信令，诱导UE上报一些用户终端的基本信息。例如，4G伪基站会导致空闲态终端的IMSI、IMEI等信息泄露，导致处于连接态的用户终端切换失败、掉话等，使运营商网络指标急剧恶化，严重影响用户感知。本文从空闲态和连接态详细分析4G伪基站的工作原理。

1.1 空闲态工作原理

当UE处于空闲态时，常见的4G伪基站截取用户IMSI、IMEI的流程如图1所示。（1）UE与合法的运营商基站保持连接。（2）4G伪基站上电启动之后，首先监听通信运营商合法基站的广播消息，测量信号的场强，解析移动通信小区的PCI等关键信息，进一步获取主服务小区及相邻服务小区的网络参数。4G伪基站从相邻服务小区列表中选择一个信号场强较弱的小区作为模拟对象，设置成与其相同的物理小区标识（Physical layer Cell Identity，PCI），以高于运营商合法基站的发射强度持续进行广播。（3）随着UE远离主服务小区并靠近4G伪基站，UE启动同频、异频测量，发现4G伪基站的信号强度和质量均优于其他小区，满足小区重选的条件，触发UE启动小区重选流程向4G伪基站登记，UE解析伪基站广播消息，发现跟踪区域码（Tracking Area Code，TAC）与通信运营商合法的TAC不一致，UE随即发起TAU Request请求。（4）4G伪基站发送Identity Request请求，要求UE上报IMSI、IMEI。（5）UE向伪基站发送IMSI、IMEI。（6）伪基站截取到IMSI、IMEI，向UE发送TAU Reject，通知UE选择其他基站，此次TAU更新失败。（7）UE重新与运营商的合法基站建立连接，恢复正常通信[2]。

图1 4G伪基站截取用户IMSI/IMEI流程

1.2 连接态工作原理

如果运营商通信网开启了应用程序无响应（Application Not Responding，ANR）功能，当UE处于连接态时，收到4G伪基站高强度信号会导致切换失败，具体流程如图2所示。（1）UE处于连接态；（2）伪基站的向周围的UE发射高强度信号；（3）UE解析伪基站的广播消息，向原来驻留的运营商合法基站上报测量结果（Measurement Result，MR）；（4）运营商合法基站启动ANR流程，要求UE上报伪基站的TAC、PCI等信息；（5）UE根据指示解析并上报伪基站的信息；（6）运营商合法基站向MME发起S1切换请求；（7）由于运营商合法网络中不存在该伪基站，MME会回复S1切换失败。可见，UE处于业务态时，4G伪基站会导致用户切换失败，影响用户感知，同时会使网络关键绩效指标（Key Performance Indicator，KPI）劣化[3]。

图2 连接态时伪基站导致切换失败的流程

2 4G伪基站危害

现网中发现既有用于非法目的4G伪基站，也有安全部门用于合法目的4G伪基站，无论哪种4G伪基站都会对用户信息安全造成威胁，也会严重干扰通信运营商的网络，造成指标严重劣化。

2.1 对普通用户的危害

对普通用户而言，4G伪基站的危害主要在于用户IMSI、IMEI信息的泄露，进而引发网络诈骗。另外还会干扰用户终端和运营商基站正常的通信行为，导致用户通话质量变差，严重影响居民的生活与合法权利。

2.2 对通信运营商的危害

对于通信运营商而言，4G伪基站的存在严重干扰现行4G网络。存在4G伪基站的区域信号与干扰加噪声比（Signal to Interference plus Noise Ratio，SINR）异常，网络KPI严重恶化，主要表现在邻区切换失败、用户业务中断等，由此引发客户大量集中投诉，严重影响公司形象。

3 4G伪基站排查定位策略

3.1 网管指标排查

如果运营商4G网络开启了ANR功能，4G伪基站的存在会导致处于连接态的UE触发S1切换失败事件，该事件在网管系统上都有统计。因此通过华为或者爱立信网管提取全网网络指标，根据小区邻区切换成功率对小区进行排序，提取邻区切换成功率低的小区进行重点排查。重点分析邻区的PLMAN是运营商规范值，而eNodeBID是非运营商规范值，从运营商合法的基站小区到此小区的切换次数达到一定阈值且切换成功率为0的小区可以判定为4G伪基站的小区。查询运营商网络工参，可以快速识别定位受到4G伪基站同频干扰的区域，然后安排网络优化人员现场测试，进一步核实4G伪基站的存在性[4]。

3.2 路测数据排查

通信运营商一般都会定期进行路测，收集测试的log。如果分析log时发现UE频繁上报A3事件，但是始终无法切换成功，最后报Radio Link Failur或者某个区域发生大量的RRC重新建立、频繁掉线、上下行速率持续降低等现象，此时就有理由怀疑附近是不是存在4G伪基站，网络优化人员可以到达现场核实[5]。

3.3 用户投诉排查

用户受到4G伪基站信号的强干扰，往往会伴随着大量的掉话、重定向失败等，必然会导致此区域用户感知持续恶化，存在大量的用户投诉。运营商可以综合分析用户投诉的类型，如果某个区域存在集中存在大量掉话、呼叫失败的投诉，就有理由怀疑此区域是否存在4G伪基站，可以安排网络优化人员到投诉位置测试分析。

3.4 扫频结果排查

通信运营商高业务量高价值区域也是4G伪基站最容易安装的区域，可以定期安排优化人员对该区域进行扫频，重点关注运营商合法频段内的功率异常信号。通过扫频仪的指向定位出信号源，核实是否是4G伪基站，排除网络安全隐患。

3.5 公安伪基站的排查

近来，网络优化过程中发现在城区主要路口以及县市区路口处安装了4G伪基站，这种伪基站不属于通信运营商，但却是用来维护国家和人民利益，打击犯罪，维护社会的治安，有效对目标手机进行管控，是出于合法的目的。这种伪基站分布图都没有公开，通信运营商可以与公安部门保持有效沟通，明确伪基站的位置[6]。

4 4G伪基站处理措施

随着移动通信技术的发展，4G伪基站的技术也被安全部门用于合法目的，如现在正在建设的电子围栏系统。因此，排查定位到4G伪基站位置后，首先应明确该伪基站的性质。对于非法的4G伪基站应该坚决打击，第一时间协调公安人员到现场协调拆除。经过向相关部门求证，确实是用于合法目的的4G伪基站，运营商优化人员应该积极与相关部门对接协商，通过优化网络参数的配置、降低发射功率等措施，既能满足公安部门的需求，又能使伪基站对运营商网络的影响降到最低，最大限度保证4G伪基站区域的手机用户的通信需求[7-10]。

5 结 论

4G伪基站的存在对手机用户的个人信息安全和通信运营商的网络指标都造成了困扰，同时4G伪基站的技术也得到了公安等部门的合理应用。本文详细分析了4G伪基站的工作原理，并从运营商角度给出了排查定位伪基站的方法，帮助通信运营商快速发现非法4G伪基站的同时，保证公安等部门4G伪基站的正常使用，以发挥其正常社会功能，实现双赢的目标。