一、前文回望

前文《伪基站工作原理及其预防措施》中我们介绍了伪基站如何利用终端的漏洞，获得终端的标识信息，并向终端发送垃圾短信的技术方案。简单总结如下：

1、  伪基站设置为一个异常的TAC，使处于RRC空闲态的终端重选到伪基站，并请求更新路由区（TAU Request），获取终端的GUTI或IMSI；

2、  终端并不要求与网络进行双向的鉴权，使得伪基站在获取到GUTI或IMSI之后，可以构造出NAS消息DL Information Transfer伪装成路由接受（TAU Accept）消息直接发送给指定终端，并在其中携带CP-DATA（短信内容）给终端，完成垃圾消息的发送。

二、LTE伪基站来了

上文仅仅是基于GSM伪基站的工作原理去猜测LTE伪基站可能的实现技术方案。然而非常不幸的，在文章发出后不久就陆续听到有关LTE伪基站的存在。蒙一位朋友的协助，现将相关现场的信令截取情况发给大家共同学习。

1、与GSM伪基站一样，也是重选和TAU来实现与UE的第一次通信。相比于GSM通过设置CRO来增强伪基站的吸附能力。LTE更容易通过设置“系统内小区重选优先级”、“频点偏置值”和“小区偏置值”来增强伪基站的吸附能力。

2、一旦伪基站获取了UE的GUTI后，可以造出任何NAS消息（DLInformation Transfer）来伪装为TAU Accept消息用于传递数据（如CP-DATA）或要求终端上报其他信息（如UE IMSI）。

3、  从信令上识别伪基站

• 从UE侧的空口信令：没有与TAURequest对应的TAU Accept，而是DL Information Transfer。

• 从MME侧的NAS信令：UE在同一个TA以IMSI发起TAU Request，且EPS updatetype 为"TA updating"。

4、实测确认采用高通芯片的苹果iphone6，海思芯片的Mate8和联发科芯片的红米Note3均存在类似的问题。

三、LTE伪基站危害更大

如上所述，伪基站除了能够被用于发送垃圾短信外。新型的伪基站更是实现了将伪基站与伪终端合体，“采用两头欺骗的方法，在移动网络和真正的用户终端之间建立起了联系，先冒充用户发起呼叫，当网络侧要验证用户身份时又诱骗真正的用户终端反馈身份信息，从而使得网络侧被欺骗”[1]，用于做长途呼叫或者拨打声讯电话直接实现盈利。具体方法如下：

1、  伪基站先伪装成正常的基站让终端重选到伪基站；

2、  伪基站广播系统消息，改变TA，使终端发起位置更新；

3、  伪基站给终端分配一条SDCCH信道，并向终端查询IMSI；

4、  伪基站变身为伪终端用获得的IMSI向正常的基站发起业务请求；

5、  利用终端完成鉴权SRES的计算，并回复给网络完成鉴权，同时获得加密密钥Kc；

6、  伪基站向任意的目标用户发起业务呼叫。

整个过程中有两处需要终端的配合，分别是获取终端的IMSI和鉴权、加密参数。可见，只要终端没有对网络进行鉴权，整个过程就会显得非常配合，那么这样的问题就不可避免。

由于盗打国际长途可以获得更大的利益，在这个案例中，伪基站主要布设在国际机场的国际到达出口，可以直接锁定目标客户——开通国际漫游通话，且有较大的花费预存。

四、小结

从上面的分析也可以看到，为了让终端保留SDCCH信道，伪基站一般不会给终端回复LA Response消息，以便伪基站可以利用SDCCH传递短信、获取IMSI和完成鉴权等操作。对于GSM来说，终端没有对网络做鉴权的机制，即使是LTE，目前也没有看到终端有对网络进行鉴权的案例。因此上述的问题将不可避免会发生，唯一的解决方案还是在于终端，即使终端被伪基站捕获了TMSI/GUTI或IMSI，只要不保留信令信道（SDCCH或SRB），伪基站就无法发送短消息或者通过网络鉴权。具体方案如下：

• 对于GSM终端：若UE之前发起了LAURequest消息，而接收Immediate Assignment的MM消息不是LAU Accept则直接做丢弃。

• 对于LTE终端：若UE之前发起了TAURequest消息，而接收DL Information Transfer消息不是TAU Accept则直接做丢弃。

•