“伪基站”的基本原理及分析

1、“伪基站”的基本原理及分析“伪基站”的基本原理及电子取证分析1引言近年来，“伪基站”违法犯罪活动日益增多。不法分子利用 非法生产和购买的“伪基站”，任意冒用公众服务号码，大肆进行电 信诈骗、营销广告和强制推销等违法犯罪活动，社会危害性严重。360 互联网安全中心发布的2014年第一期“伪基站”短信治理报告 显示：2014年4-6刀，仅360手机卫士就拦截各类“伪基站”短信 12. 38亿条，平均每天拦截“伪基站”短信1360万条。从伪装号码 类型来看，冒用普通手机号码和伪装成“106”系列短信平台的情况 最多，占比分别为32.3%和29. 3%;从短信内容类型来看，广告类、违 法类和诈骗类短信

2、数量最多，占比分别为51. 1%、33. 3%和15. 6%o2 “伪基站”的基本原理21 “伪基站”的功能和组成“伪基站”是非法无线电通信 设备，采用gsm 900标准，发射功率在40-43dbm之间，通过仿冒 运营商移动网络发射射频信号对覆盖范围内的手机进行短信群发操 作，单位时间推送短信速率高，且支持丰富的短信发送策略。“伪基 站”主要由主机、操作终端(安装linux系统的笔记本电脑)和天线 组成，具有体积小、隐蔽性和流动性强等特点。“伪基站”有两种布 放方式：一种是固定式，一般把主机放置在快捷酒店或短租房等流动 性强的地方，天线靠窗;另一种是流动式，一般藏匿在面包车、电动 车或拉杆箱内

3、，伪装性高，可以快速部署和撤离，排查定位难度较大。2.2 “伪基站”工作信令流程“伪基站”会导致手机频繁的位置更新，使所在区域的无线 网络资源拥塞，影响用户的正常通信.(1) “伪基站”通过广播控制信道(bcch)不断广播“system information type 3”(系统消息3),向周边手机用户下发带有特 别参数的系统消息。系统消息3主要包含移动国家码(mcc)、移动网 络号(mnc)、位置区标识(lac),小区标识(ci)、随机接入控制信息 (rach)以及和小区重选有关的参数。“伪基站”把系统消息广播的 lac号设置在运营商正常使用的lac号范围之外，致使“伪基站”与 周边现网基

4、站归属不同的位置区，以触发位置区更新过程。(2) 手机驻昭到“伪基站”的位置区(location area)以后就 发起位置区更新过程， 按协议要求上发“location updating request”(位置区更新请求)信令。(3) “伪基站”在收到手机的"location updatingrequestv 之后,下发“ identity request?(身份识别请求) 以获取手机的imsi (国际移动用户识别码，存储在sim别移动用户 所分配号码得标识)，手机上报“identityresponse”(身份识别响 应)后，伪基站下发"locationupdating

5、accept” (位置区更新接 受)，完成位置区更新。(4) “伪基站”向手机发送短信数据包(cp-data),该消息里 面包含伪装的 “tp-originating address： xxxxxxxxv (发送者号码) 及消息内容。(5) 当手机接收完短信后又收到“伪基站”广播的“system information type 3”信息,而该消息内的lac也进行了更改,与 之前收到的伪基站lac不同。(6) 由于lac又发生了改变，手机再次发起位置更新请求消 息、“location updatingrequest，消息中包含手机 imsi 号和原 lac 号，“伪基站”据此判断该手机已接收过

6、短信，下发“location updatingreject”(位置区更新拒绝),拒绝手机的位置区更新请求, 拒绝原因是"no suitable cells in location area” (位置区中没 有合适的小区)。(7) 手机的位置区更新请求被“伪基站”拒绝后，会重新发起 到运营商现网小区的位置区更新请求。(8)现网接受手机的位置区更 新请求。3 “伪基站”的法律适用及电子取证3.1 "伪基站”的法律适用根据最高人民法院、最高人民检察院、公安部、国家安全 部关于依法办理非法生产销售使用“伪基站”设备案件的意见（公 通字2014） 13号）：非法生产、销售“伪基站”设

7、备，以非法经营 罪追究刑事责任;非法使用“伪基站”设备干扰公用电信网络信号， 危害公共安全的以破坏公用电信设施罪追究刑事责任。根据国内“伪基站”案件的审理来看，以破坏公用电信设 施罪居多。根据最高人民法院关于审理破坏公用电信设施刑事案件 具体应用法律若干问题的解释（法释2004121号）规定，“危害公 共安全”主要指“造成二千以上不满一万用户通信中断一小时以上， 或者一万以上用户通信中断不满一小吋的;在一个本地网范围内，网 间通信全阻、关口局至某一局向全部中断或网间某一业务全部中断不 满二小时或者直接影响范围不满五万（用户×小时）的。”3.2 “伪基站”的电子取证3. 2.

8、1影响用户通信的判定标准根据目前各地“伪基站”案 件的审理情况，判定标准存在两种声音：一种是以否发送短信为判定 标准;另一种是以是否接入伪基站为判定标准。本文赞同第二种观点, 因为只要用户通过位置区更新接入“伪基站”之后，就算“伪基站” 使用者没有进行发送短信的操作或者手机用户暂时没有收到短信，但 是很显然此时的用户已经与运营商的网络断开连接，无法使用正常的 通信服务。3. 2.2影响用户通信的起始时间判定根据gsm协议的规范， 从um接口（手机和基站收发信机bts之间的接口，也称空口）信令来 看，位置区更新的过程首先要提交“request”（申请）信令，在经过 身份认证后msc（移动交换中心

9、，也称交换机）会下发“accept"（接 受）信令（如果是拒绝，则为“ reject ”信令），最后释放信道，完成 位置更新。因此，有的意见认为，应该以ulocation updating accept"信令为影响用户通信的起始时间，原因是这条信令之后，网 络侧才释放原信道。其实，这种说法是不对的。根据gsm协议，手 机在位置区更新的过程中，sdccii信道（独立专用控制信道，用在分 配业务信道tch之前，呼叫建立过程中传送系统信令，例如位置更 新消息、短消息、鉴权消息、加密命令等）被占用，用户处于专用信 道模式下，无法监听pch信道（寻呼信道），所以收不到寻呼消息造 成寻

10、呼失败。因此会导致接入“伪基站”的手机被叫无法接通。同样, 基于sdcch信道被占用的原因，接入“伪基站”的手机在发起主叫 业务时，会收到下发的“cm servicereject"（服务拒绝）信令，拒 绝原因为“imsi unknown invlr"（拜访位置寄存器中未知的imsi）。与此同时，接入“伪基站”的手机也无法收发短信，因为在 手机空闲状态时，要占用sdcch信道收发短消息。综上可知，从位置区更新的笫一条信令“locationupdating request"开始，虽然原网络还没有释放信道，但是手机的正常通话 和收发短信已经受影响，因此，应该以uloca

11、tion updating request"为起始信令判定影响用户通信的起始时间。3. 3.3鉴定数 据的提取位置“伪基站” 一般采用openbts模拟基站的运行环境， 跟电子取证相关的文件主要有两个： 一个是目录 "varusropenbts” 下的"send, data” 一文件，是"伪基站”的短 信发送任务记录；另一个是目录"varlog"下的"openbts. log" 文件，是“伪基站”运行的fl志文件。“伪基站”在收到手机的 “location updatingrequest?,信令之后，会下发身份识别请求 “identityrequest” 以获取手机的imsi , 手机在