1 TAU流程

1.1 TA 定義

為了確認(rèn)移動(dòng)臺(tái)位置，LTE網(wǎng)絡(luò)覆蓋區(qū)劃分為許多跟蹤區(qū)TA Tracking Area。TA用TAC (Tracking Area Code) 標(biāo)識(shí)。運(yùn)營商用TAI (Tracking Area Identity) 作為TA的唯一標(biāo)識(shí)，TAI 由MCC (Mobile Country Code) , MNC (MobileNetwork Code) 和TAC組成。例如，

表示最近一次注冊的TAI是中國聯(lián)通TAC為4116中的某一個(gè)小區(qū)。TA和TA List之間的關(guān)系可以通過圖1表示。

圖1. TA 和 TA List 關(guān)系圖

TAI LIST最多可以包含16個(gè)TAI，UE附著成功時(shí)獲取一組TAI LIST，移動(dòng)過程中只要進(jìn)入的TA沒有包含在TAI LIST中就會(huì)發(fā)生位置更新，把新的TA更新到TAI LIST中；如果在移動(dòng)過程中進(jìn)入一個(gè)TAI LIST表中的TA時(shí)，不發(fā)生位置更新；如果表中已經(jīng)存在16個(gè)TA，則替換掉最舊的那個(gè)。這個(gè)更新TA的過程稱之為TAU (TA Update) 。UE發(fā)起正常TAU流程分為IDLE狀態(tài)的TAU和CONNECTED狀態(tài)的TAU，下一節(jié)我們將詳細(xì)分析UE在CONNECTED狀態(tài)下的TAU過程。

1.2 UE在CONNECTED狀態(tài)下TAU流程

圖2展示了UE處于CONNECTED狀態(tài)下的TAU信令流程圖，

圖2  連接態(tài)TAU流程

連接態(tài)TAU流程說明：

• 處在RRC_CONNECTED態(tài)的UE進(jìn)行Detach過程，向eNB發(fā)送UL InformationTransfer消息，包含NAS層Tau request信息；

• eNB向MME發(fā)送上行直傳UPLINK NAS TRANSPORT消息，包含NAS層TAU request信息；

• MME向基站發(fā)送下行直傳DOWNLINK NAS TRANSPORT消息，包含NAS層TAU accept消息；

• eNB向UE發(fā)送DLInformationTransfer消息，包含NAS層TAU accept消息；

• UE向eNB發(fā)送ULInformationTransfer消息，包含NAS層TAU complete信息；

• eNB向MME發(fā)送上行直傳UPLINK NAS TRANSPORT消息，包含NAS層Tau complete信息。

2.“偽基站”工作原理

偽基站是指沒有通過國家無線電發(fā)射設(shè)備型號(hào)核準(zhǔn)，未取得進(jìn)網(wǎng)許可的一種非法的無線電設(shè)備。偽基站硬件設(shè)備由基帶控制單元、收發(fā)信機(jī)、RF雙工器、天線、電源燈相關(guān)設(shè)備組成。 NodeB偽基站通過廣播控制信道廣播系統(tǒng)消息，當(dāng)終端發(fā)起位置更新請求的同時(shí)，伺機(jī)獲取終端編號(hào)，最終實(shí)現(xiàn)向終端發(fā)送短信數(shù)據(jù)包的目的。eNodeB偽基站通過小區(qū)重選和TAU來實(shí)現(xiàn)與終端的第一次通信，以獲取終端編號(hào)的目的。下面我們以eNodeB偽基站為例來詳細(xì)的分析相關(guān)的信令流程。

2.1 eNodeB 偽基站原理

圖3. 偽基站TAU流程與正常基站TAU流程對比

• 偽基站首先通過工程終端，測量當(dāng)前位置系統(tǒng)廣播消息，測量鄰區(qū)信號(hào)，并找到信號(hào)最弱的鄰區(qū)PCI。偽基站按照駐留小區(qū)的廣播消息進(jìn)行偽造，使用相同的頻點(diǎn)和最弱鄰區(qū)的PCI，并使用完全不同的TAC，偽基站以較大的功率通過廣播控制信道（BCCH）不斷的廣播“System Information Type 1”；

• 手機(jī)接收到偽基站的SIB1 消息后，判斷偽基站的TAI未在自己的TAI List中，TAC發(fā)生改變，于是手機(jī)發(fā)起TAU流程，終端向偽基站發(fā)起TAU請求；

• 偽基站為了獲取終端IMSI信息，下發(fā)身份識(shí)別請求消息（IdentityRequest）；

• 終端向偽基站發(fā)送回復(fù)消息（Identity Response）,其中包含IMSI相關(guān)信息；

• 偽基站獲取終端IMSI信息后，拒絕用戶跟蹤區(qū)更新請求，將用戶踢出偽基站小區(qū)；

4G系統(tǒng)通過雙向鑒權(quán)杜絕了類似2G偽基站群發(fā)短信的可能，但不能杜絕獲取用戶IMSI信息。其本質(zhì)原因是協(xié)議3GPP 24.301協(xié)議中完整性保護(hù)算法的漏洞。協(xié)議規(guī)定，在完整性保護(hù)算法開啟后，NAS層將進(jìn)行完整性保護(hù)校驗(yàn)，校驗(yàn)不通過的UE將被網(wǎng)絡(luò)丟棄，但是有幾條信令不需要完整性保護(hù)校驗(yàn)，其中包括 IDENTITYREQUEST (if requested identification parameter is IMSI)，eNodeB偽基站就是利用這個(gè)漏洞來實(shí)現(xiàn)對于用戶信息的獲取。

3. DT路測分析及優(yōu)化方案

3.1路測LOG地理分布

以一段道路測試LOG分析，直觀的說明偽基站原理。如圖4所示：

圖4. 道路測試LOG

基站的工程參數(shù)為PCI (63,64,65)，TAC (4116)。測試車輛從南向北行駛，測試結(jié)果顯示該測試路段覆蓋很好，RSRP在-95dBm以上。路段由基站（PCI=63和PCI=64）兩個(gè)小區(qū)覆蓋。正常情況下，終端從PCI=64的扇區(qū)切換到PCI=63的扇區(qū)。

3.2路測LOG信令分析

但是該路段的測試LOG結(jié)果顯示，有一小段中斷占用PCI=18的小區(qū)，且該小區(qū)TAC為異常地址92。查詢現(xiàn)網(wǎng)的工程參數(shù)，該區(qū)域內(nèi)無PCI=18，TAC=92的小區(qū)，初步判斷該小區(qū)為偽基站。下一步分析該路段的信令，對問題路段的問題進(jìn)行定位。截取一段信令，如圖5所示：

圖5.測試路段信令片段

為了便于閱讀，我們將該段信令的詳細(xì)內(nèi)容列舉在表1中

表1. 測試信令詳細(xì)內(nèi)容列表

通過詳細(xì)的信令內(nèi)容可以看出，偽基站通過SIB1 消息廣播一個(gè)異常的TAC= 92，使得終端重選到偽基站(PCI = 18)。由此導(dǎo)致UE發(fā)起TAU的請求，偽基站獲取終端的GUTI。偽基站獲取到終端GUTI后，偽造出特定的NAS消息(Identity Request)要求終端上報(bào)IMSI信息。由于LTE協(xié)議中UE側(cè)對Identity Request不需要完整性保護(hù)，因此UE在收到該信令后回復(fù)IdentityResponse，該信令中包含了IMSI = 4600116******41(為了安全起見，部分?jǐn)?shù)字我們在此采用*號(hào)標(biāo)識(shí)，UE回復(fù)偽基站的是完整的IMSI)信息。偽基站獲取UE信息后直接將其踢出。

3.3 優(yōu)化方案

偽基站仿造運(yùn)營商基站，導(dǎo)致網(wǎng)絡(luò)的切換、掉線等指標(biāo)惡化，直接的優(yōu)化方案是找到偽基站并關(guān)停。但是，目前發(fā)現(xiàn)的eNodeB偽基站主要為公安部署用來監(jiān)控人員流動(dòng)信息。所以，為了減少偽基站對于移動(dòng)網(wǎng)絡(luò)的影響，運(yùn)營商可以通過調(diào)整網(wǎng)絡(luò)相關(guān)參數(shù)來優(yōu)化網(wǎng)絡(luò)指標(biāo)。

偽基站偽造與當(dāng)前小區(qū)有鄰區(qū)關(guān)系的小區(qū)的PCI，在不影響現(xiàn)網(wǎng)切換關(guān)系的前提下，取消現(xiàn)網(wǎng)基站與偽基站PCI鄰區(qū)關(guān)系，圖6.給出了優(yōu)化方案實(shí)施后現(xiàn)網(wǎng)基站的指標(biāo)變化曲線。

圖6.取消鄰區(qū)關(guān)系后小區(qū)指標(biāo)變化曲線

如圖6.所示，在2018年11月13日開始，該小區(qū)同頻切換成功率由100%左右降低到50%左右，切換成功率一直在50%左右波動(dòng)。同時(shí)，切換成功率降低的同時(shí)，同頻切換嘗試次數(shù)也比之前增加了很多。

現(xiàn)場測試結(jié)果顯示，現(xiàn)場測試信令與圖5.給出的信令一致，由此判斷該處存在偽基站。獲得偽基站的PCI后，在2018年11月22日將該偽基站的PCI從現(xiàn)網(wǎng)基站的鄰區(qū)列表中刪除。22日后網(wǎng)絡(luò)同頻切換成功率恢復(fù)正常，且同頻切換嘗試次數(shù)相應(yīng)的減少。

 完

2018/11/30