1 TAU流程

1.1 TA 定义

为了确认移动台位置，LTE网络覆盖区划分为许多跟踪区TA Tracking Area。TA用TAC (Tracking Area Code) 标识。运营商用TAI (Tracking Area Identity) 作为TA的唯一标识，TAI 由MCC (Mobile Country Code) , MNC (MobileNetwork Code) 和TAC组成。例如，

表示最近一次注册的TAI是中国联通TAC为4116中的某一个小区。TA和TA List之间的关系可以通过图1表示。

图1. TA 和 TA List 关系图

TAI LIST最多可以包含16个TAI，UE附着成功时获取一组TAI LIST，移动过程中只要进入的TA没有包含在TAI LIST中就会发生位置更新，把新的TA更新到TAI LIST中；如果在移动过程中进入一个TAI LIST表中的TA时，不发生位置更新；如果表中已经存在16个TA，则替换掉最旧的那个。这个更新TA的过程称之为TAU (TA Update) 。UE发起正常TAU流程分为IDLE状态的TAU和CONNECTED状态的TAU，下一节我们将详细分析UE在CONNECTED状态下的TAU过程。

1.2 UE在CONNECTED状态下TAU流程

图2展示了UE处于CONNECTED状态下的TAU信令流程图，

图2  连接态TAU流程

连接态TAU流程说明：

• 处在RRC_CONNECTED态的UE进行Detach过程，向eNB发送UL InformationTransfer消息，包含NAS层Tau request信息；

• eNB向MME发送上行直传UPLINK NAS TRANSPORT消息，包含NAS层TAU request信息；

• MME向基站发送下行直传DOWNLINK NAS TRANSPORT消息，包含NAS层TAU accept消息；

• eNB向UE发送DLInformationTransfer消息，包含NAS层TAU accept消息；

• UE向eNB发送ULInformationTransfer消息，包含NAS层TAU complete信息；

• eNB向MME发送上行直传UPLINK NAS TRANSPORT消息，包含NAS层Tau complete信息。

2.“伪基站”工作原理

伪基站是指没有通过国家无线电发射设备型号核准，未取得进网许可的一种非法的无线电设备。伪基站硬件设备由基带控制单元、收发信机、RF双工器、天线、电源灯相关设备组成。 NodeB伪基站通过广播控制信道广播系统消息，当终端发起位置更新请求的同时，伺机获取终端编号，最终实现向终端发送短信数据包的目的。eNodeB伪基站通过小区重选和TAU来实现与终端的第一次通信，以获取终端编号的目的。下面我们以eNodeB伪基站为例来详细的分析相关的信令流程。

2.1 eNodeB 伪基站原理

图3. 伪基站TAU流程与正常基站TAU流程对比

• 伪基站首先通过工程终端，测量当前位置系统广播消息，测量邻区信号，并找到信号最弱的邻区PCI。伪基站按照驻留小区的广播消息进行伪造，使用相同的频点和最弱邻区的PCI，并使用完全不同的TAC，伪基站以较大的功率通过广播控制信道（BCCH）不断的广播“System Information Type 1”；

• 手机接收到伪基站的SIB1 消息后，判断伪基站的TAI未在自己的TAI List中，TAC发生改变，于是手机发起TAU流程，终端向伪基站发起TAU请求；

• 伪基站为了获取终端IMSI信息，下发身份识别请求消息（IdentityRequest）；

• 终端向伪基站发送回复消息（Identity Response）,其中包含IMSI相关信息；

• 伪基站获取终端IMSI信息后，拒绝用户跟踪区更新请求，将用户踢出伪基站小区；

4G系统通过双向鉴权杜绝了类似2G伪基站群发短信的可能，但不能杜绝获取用户IMSI信息。其本质原因是协议3GPP 24.301协议中完整性保护算法的漏洞。协议规定，在完整性保护算法开启后，NAS层将进行完整性保护校验，校验不通过的UE将被网络丢弃，但是有几条信令不需要完整性保护校验，其中包括 IDENTITYREQUEST (if requested identification parameter is IMSI)，eNodeB伪基站就是利用这个漏洞来实现对于用户信息的获取。

3. DT路测分析及优化方案

3.1路测LOG地理分布

以一段道路测试LOG分析，直观的说明伪基站原理。如图4所示：

图4. 道路测试LOG

基站的工程参数为PCI (63,64,65)，TAC (4116)。测试车辆从南向北行驶，测试结果显示该测试路段覆盖很好，RSRP在-95dBm以上。路段由基站（PCI=63和PCI=64）两个小区覆盖。正常情况下，终端从PCI=64的扇区切换到PCI=63的扇区。

3.2路测LOG信令分析

但是该路段的测试LOG结果显示，有一小段中断占用PCI=18的小区，且该小区TAC为异常地址92。查询现网的工程参数，该区域内无PCI=18，TAC=92的小区，初步判断该小区为伪基站。下一步分析该路段的信令，对问题路段的问题进行定位。截取一段信令，如图5所示：

图5.测试路段信令片段

为了便于阅读，我们将该段信令的详细内容列举在表1中

表1. 测试信令详细内容列表

信令	详细内容
systemInformationBlockType1	trackingAreaCode = 92，cellIdentity = 18
Tracking area update request	Tracking area update request, Last  visited registered TAI, Old GUTI, Old location area identification
Identity response	Identity response = 86, Mobile Identity  (Type of identity = IMSI, Identity Digits = 4600116******41)
Tracking area update reject	Tracking area update reject = 75

通过详细的信令内容可以看出，伪基站通过SIB1 消息广播一个异常的TAC= 92，使得终端重选到伪基站(PCI = 18)。由此导致UE发起TAU的请求，伪基站获取终端的GUTI。伪基站获取到终端GUTI后，伪造出特定的NAS消息(Identity Request)要求终端上报IMSI信息。由于LTE协议中UE侧对Identity Request不需要完整性保护，因此UE在收到该信令后回复IdentityResponse，该信令中包含了IMSI = 4600116******41(为了安全起见，部分数字我们在此采用*号标识，UE回复伪基站的是完整的IMSI)信息。伪基站获取UE信息后直接将其踢出。

3.3 优化方案

伪基站仿造运营商基站，导致网络的切换、掉线等指标恶化，直接的优化方案是找到伪基站并关停。但是，目前发现的eNodeB伪基站主要为公安部署用来监控人员流动信息。所以，为了减少伪基站对于移动网络的影响，运营商可以通过调整网络相关参数来优化网络指标。

伪基站伪造与当前小区有邻区关系的小区的PCI，在不影响现网切换关系的前提下，取消现网基站与伪基站PCI邻区关系，图6.给出了优化方案实施后现网基站的指标变化曲线。

图6.取消邻区关系后小区指标变化曲线

如图6.所示，在2018年11月13日开始，该小区同频切换成功率由100%左右降低到50%左右，切换成功率一直在50%左右波动。同时，切换成功率降低的同时，同频切换尝试次数也比之前增加了很多。

现场测试结果显示，现场测试信令与图5.给出的信令一致，由此判断该处存在伪基站。获得伪基站的PCI后，在2018年11月22日将该伪基站的PCI从现网基站的邻区列表中删除。22日后网络同频切换成功率恢复正常，且同频切换尝试次数相应的减少。

---

完

2018/11/30

eNodeB 伪基站辨识与优化相关推荐

1. rbf神经网络原理_【新书推荐】【2012.12】智能优化算法原理与应用（李士勇）...

   智能优化算法是指通过计算机软件编程模拟自然界.生物界乃至人类自身的长期演化.生殖繁衍.竞争.适应.自然选择中不断进化的机制与机理,从而实现对复杂优化问题求解的一大类算法的统称.李士勇编著的<智能 ...

2. matlab 状态空间的波特图,MATLAB：对于状态空间方程的系统辨识

   本文介绍了如何利用MATLAB辨识状态空间方程中的未知参数. 假设我们的被控系统的表达如下: 我们想要通过实验数据辨识出参数K1和K2​,方法如下: 第一步,采集实验数据. 需要的数据包括系统一段时间 ...

3. UI 智能化的原理和未来

   本文将从 GUI 中用户体验的构建开始,用高质量.可调控.交互体验创新三个部分,分别介绍如何从传统 UI 一步步迈向 UI 智能化.最后,用如何实现 UI 智能化的一些思考收尾. 本文仅代表作者个人观 ...

4. LaserMaker激光建模软件V1.6.40 更新说明

   尊敬的LaserMaker用户,LaserMaker进行了版本更新,新版本为V1.6.40,欢迎您下载使用 LaserMakerV1.6.40下载地址:LaserMaker 新增功能 1.打断线段 橡 ...

5. 2005年全国嵌入式计算机暨过程测控技术学术年会会议通知

   2005年全国嵌入式计算机暨过程测控技术学术年会定于2005年10月29-31日在天津大学召开.会议期间将有国内知名专家.教授和国内外知名厂商的代表作主题报告,并举行论文报告会以及嵌入式系统及过程测控 ...

6. 逆战服务器维护到几点,逆战2017年8月8日更新维护到几点

   最近逆战公布了8月8日的游戏更新消息,这次更新会带来大家期待的精绝兽神龙魂的枪芯,同时樱之谷的难度也会有所加强,下面是这次8月新版本更新内容介绍,大家可以了解一下. 亲爱的NZer们: 为了持续优化游 ...

7. MATLAB：对于状态空间方程的系统辨识

   MATLAB:对于状态空间方程的系统辨识 本文介绍了如何利用MATLAB辨识状态空间方程中的未知参数. 假设我们的被控系统的表达如下: X˙=[01K1K2]X+BU\dot{{X}}= \left[ ...

8. mysql优化 博客园_MySQL优化

   MySQL优化步骤 首先学会如何定位到SQL语句 1.1查看SQL语句的执行次数 在MySQL中可以通过命令查看服务器该表状态信息 show status like 'Com_______'; 如果想 ...

9. matlab最小二乘法参数辨识,基于最小二乘法的MATLAB辨识仿真实验

   <工业控制计算机>2013 年第 26 卷第 7 期基于最小二乘法的 MATLAB 辨识仿真实验 崔秀美 刘文杰 陈 澄 (苏州大学机电工程学院,江苏 苏州 215021) Experim ...

最新文章

1. 使用QT进行内存管理
2. 程序员的800字作文
3. 关于Unity中的本地存储
4. oracle资产负债表重分类吗,【好会计】讲讲资产负债表中的重分类！
5. Bootstrap CSS 编码规范之带前缀的属性
6. 短视频技术指南：国内最牛5家短视频解决方案提供
7. linqto 多个关键字模糊查询_查询函数Choose、Lookup、Hlookup、Vlookup应用技巧解读
8. 利用 Zabbix 监控数据库文件大小
9. mysql 数据字典详解_MySQL8功能详解——数据字典
10. Android 百度地图搜索框实现,仿百度地图街景实现
11. CentOS7使用yum方式安装Docker（根据官方文档安装）
12. 解决安装Visio2016 和office 2016不能兼容问题
13. linux解压zip、tar压缩包
14. 【数据结构】数据结构是什么
15. Shade4PointLights
16. 关于比尔盖茨的几点思考
17. Web3 哪个赛道最有机会？带你详解Web3基础设施赛道的“超级项目”
18. 天气选择页面html,CSS3 天气预报界面组件
19. 地图教程 | 扬州市棋牌室查询及分布地图
20. 离散数学-趣味题之一

热门文章

1. 源启企业级智能短信平台介绍
2. mysql建库带编码语句_Mysql 建库 编码
3. NNM的netmon运行小问题，No connection with master agent
4. Excel 2010 VBA 入门 048 批量替换文本中的指定字符(replayce函数和方法)
5. 李群李代数-大师兄（简化版）
6. Linux 登陆与关机
7. 东芝 B-EV4 打印机 串口打印命令
8. Redis的一点理解「基本类型」「淘汰策略」
9. IDL(ENVI/IDL) 简（jian）明（lou）教程：二、ENVI/IDL批处理入门（以投影转换为例）
10. 41-17 linux端口号与进程号