【PConline 杂谈】打开百度搜索“伪基站”你会发现,尽管严打多时但仍旧死灰不灭。低廉的成本背后却有着丰厚的利益做驱使。甚至曾有报道称,市民在逛街的过程中,曾与乔装成背包客的“伪基站”擦肩而过。那么,除了按时清理手机短信外,伪基站的工作原理以及常见陷阱又有哪些呢?本期,我们就来一同揭开伪基站的神秘面纱。
依旧“遍地开花” 揭开伪基站的神秘面纱
当然,在了解伪基站工作方式之前,我们首先要对GSM网络有个初步了解。在整个GSM网络中,手机终端侧最重要的两个标识是IMSI与MSISDN;在运营商网络侧,其核心由一个控制器(MSC)和三个数据库(HLR、VLR、AUC)组成,中间是基站系统。
GSM网络基本原理
看到这里,大家可能对图中的一些名词不太了解。图中所示IMSI,指的就是SIM卡的唯一ID,每次登记、位置更新、呼叫建立,都以IMSI作为用户标识,与居民身份证号类似;MSISDN是用户的电话号码,即便重复也不会影响正常通信。两者的对应关系被存储在运营商的HLR中,也就是归属位置数据库。
GSM通信信道与用户鉴权
关于GSM通信信道,上图已经分列的非常清晰,这里不再赘述。需要注意的是,广播控制信道BCCH向手机广播本区域频率与LAC(区域位置识别码),对实现伪基站非常重要。
GSM网络侧和SIM卡上存储相同的用户密钥Ki,用户开机准备接入网络,移动终端发送IMSI给MSC(移动业务交换中心)/VLR(拜访位置数据库);VLR将首先查看在数据库中该MSC是否有鉴权三参组,若有则直接向MSC下发鉴权命令,相反则向相应的HLR/AUC请求鉴权参数,从HLR/AUC得到三参组,然后再向MSC下发鉴权命令;MSC收到VLR发送的鉴权命令后,通过基站子系统向移动终端下发鉴权挑战请求;移动终端收到鉴权挑战请求后,利用SIM卡通过A3、A8算法计算出SRES和加密密钥KC,通过鉴权响应消息送达MSC;MSC将鉴权结果回送VLR,由VLR核对MS上报的鉴权结果和从HLR取得的鉴权参数中的结果,二者一致则准入,否则拒绝此次接入请求。
现在,我们再来说伪基站。一台笔记本电脑、一个发射器、一根天线、一部手机、一组电瓶,关于伪基站的组成已是老生常谈。其发送的短信一般分为广告与诈骗两类。其中,手机用来探测伪基站可用的工作信道(即该区域基站的信道),之后伪基站便广播控制信道,由于信号强从而诱使周围手机连接到伪基站,最后向这些手机发送垃圾短信,其攻击方式可看做中间人攻击。
伪基站的整个工作流程则包括了监听与伪装、吸引手机接入、发送短信与踢出手机四个环节。在监听与伪装环节中,不法分子使用修改过固件的手机获取邻小区BCCH频率,并选定BCCH信号最弱的小区频率,向其发射伪装后的BCCH信号。
当手机发现LAC(位置区识别码)变化要重选接入小区时,伪基站要求手机鉴权,手机发送鉴权应答信息后,伪基站直接确认成功;待手机发现接入小区变化,触发位置更新请求,伪基站向手机发起识别请求,获取IMSI、IMEI。之后,伪基站设定任意主叫号码,于独立控制信道发送任意数量短信。最后,伪基站更新LAC并广播,手机发现LAC变化重新发起位置更新请求,伪基站拒绝位置更新,手机重选小区接也就是是踢出手机。
伪基站之所以屡禁不止,原因在于其背后的高收益驱使。据了解,伪基站群发短信服务分为按条数与按小时两种:按条算,四五万条左右为5分/条,量大单价还会递减;按小时算,刚兴起的时候是1500元/小时,由于技术与购置成本以致市场竞争激烈,现在降至约500元/小时。不得不说,伪基站成就了一个不小的地下产业链。
庆幸的是,现在的3G、4G网络采用双向鉴权,通信过程使用了更强大的加密算法与完整性算法,因此,安全性更高。另外,通过统计手机的LAC位置更新频次,几秒到几十秒过频则为异常现象,而短信和语音通信也使用了端到端的加密。
