本文从终端被迫进行TAC更新,UE上报信息等通过空口消息将其诱惑用户过程予以解析;
3GPP规范规定,当移动终端检测到一个新的TAC时必须发起TAU;在TAU过程中,终端需将其IMEI,TMSI和GUTI等关键信息上报给核心网;核心网更新其归属等信息,以便UE后续业务的进行;而伪基站正是通过截取用户IMSI等关键信息,还原号码;然后通过其发射单元向用户发布广告,诈骗等危害社会的不良信息。在现网中伪基站获取用户信息主要分为三个阶段:
一、诱惑终端发起切换(or重选)
伪基站采用现网相同的PLMN号、EARFCN、PCI等基础信息,伪基站通过持续发射无线信号或者设置极端的重选参数(如优先级设置为最高级别)将UE进行诱导;UE测量到小区信息,对比服务小区电平后进行小区切换(重选);而伪基站小区所设置TAC与现网不同,UE发起TAC更新请求,随后TAU被伪基站拒绝,UE将会发起附着过程;
在对伪基站的测试中,发现终端多次在连接态上异常切换至伪基站,下面就UE在连接态异常切换现象进行分析。
当伪基站设置了现网小区的邻区为其PCI时,伪基站的机制为:UE测量到伪基站小区的PCI并上报,在重配置消息中发起切换到伪基站小区,UE在伪基站小区上接入,并发起TAU,并在Identity Response中上报UE的IMSI。伪基站小区在DLInformationTransfer消息中对TAU Reject,原因值为Cause:(13) Roaming not allowed in this tracking area UE回到Idle,发起小区选择回到LTE网络,重新发起业务。在实际的场景中,由于伪基站小区集中放置,一般为3个小区,分别为D、F、E,其优先级为7,比周边的小区都高。这样会产生在小区重选时反复在3个伪基站小区间重选,T311超时后,回到Idle。
UE测量到(PCI=220)伪小区,RSRP=(-71dbm)69高于服务小区62(-78dbm), 满足A3条件,eNB下发重配置消息向伪基站小区切换。
1.1 UE发起向伪小区(PCI=220)RRC重建
UE发起向目标小区切换(伪基站小区)接入,随后出现RLF(无线链路失败)、切换失败。启动RRC重建流程,启动T311定时器,进行小区选择。直到T311超时,RRC release,UE回到Idle,重新进行小区选择。
二、终端在伪基站进行TAU
2.1 UE发起TAU(伪小区)请求,携带T_IMSI、T_IMEI、T_GUTI等信息;
2.2 UE与伪小区消息直传 UE在伪小区的RRC连接建立后携带自身内容进行消息直传;
2.3 UE与伪小区信息交互
伪小区发送身份查询(IDENTITY REQ),UE响应回复上报自身T_IMSI等关键内容;伪基站真实目的已实现。
三、TAU拒绝 UE被释放
因伪基站与运营商核心网无连接,终端上报其用户信息后TAU被拒绝;随后伪小区释放分配给终端RRC连接。伪基站小区的优先级高于现网小区,UE会首先尝试在伪基站小区接入,由于UE已经在伪基站上报过TAU,报文包含IMSI,伪基站小区不能驻留,UE开始在现网的最强小区上做随机接入,但是受到伪基站小区的干扰,随机接入失败多次,最后接入后,UE做Service Request 恢复业务。
至此,被骗的终端重新读取现网小区系统消息重新进行TAU;然后再进行中断的业务流程。
四、遗留问题
伪基站小区使用与现网不同的TAC,利用3GPP规范TAU流程中UE上报自身信息的机会获取终端身份信息;伪基站与运营商核心网没有S1链路连接TAU被拒绝,终端返回运营商的LTE网络重新申请TAU流程;期间造成业务态下终端切换失败,空闲态下的终端接入失败。
伪小区采用与LTE网络相同的频段、PLMN仍将诱惑空闲态的终端发起向伪小区接入请求,这在网络侧暂时无法进行操作和处理。
