这段时间，伪基站的话题甚嚣尘上，很傻很天真的偶们到底离伪基站有多远？为了防止伪基站对我们美好单纯小幸福生活的影响，我们得先学会“做”一个伪基站，即掌握伪基站的工作原理与流程，这样，我们才能有技术手段封堵伪基站带来的影响。

先来看看伪基站的分类，从功能上看伪基站无非两个用途：

合法用途，主要是为了公共安全进行的对“特殊人群”的甄别，一般对用户生活影响不大，顶多会影响打电话，发短信

违法用途，主要是为了发一些小广告，或者一些违法诈骗，黄色信息，对善良的老百姓的生活影响还是蛮大的，一般都是如下的

遇到这样的信息我们一般的表情很难是这样的

而是这样的这样的

言归正传，以上的信息都是通过发送寻呼短信的方式下发给用户的，目前市面上的伪基站大部分都是2G伪基站，这是因为2G用户里的手机都是SIM卡，SIM卡只需要网络侧对终端进行单项鉴权即可，因此网络侧可以不受终端的控制，这样网络侧可以轻而易举的拿到用户的ID信息（IMSI），通过该信息伪基站就可以给用户下发这样那样的小短信了。具体流程说明如下:

（以上流程说明图来源于网络）

随着4G用户的大量发展，处于巨大利益的趋势，违法分子们势必将伪基站向4G网络进行延伸。不过，听闻很多业内人士都说4G用户的手机卡是终端-网络的双向鉴权，因此不用担心4G伪基站的影响。虽然双向鉴权确实是4G的标准流程，但是光有双向鉴权就能完全封堵潜在4G网络的安全漏洞么？我们先从4G的鉴权流程说起。

4G的鉴权流程只存在NAS非接入层的信令流程中，而且当NAS的信令连接存在时，才通过网络侧进行触发。什么是NAS的信令连接呢，例如ATTACH，TAU等等，都会触发，因此鉴权触发与否的决定权在网络侧，而不在UE侧。

当MME发起鉴权请求后，会启动NAS侧的timer T3460，同时等待接下来的UE反馈，如下图

当UE发送鉴权失败消息给伪核心网后，如下两图所示

无非后续有两种结果，一种是网络侧发送鉴权拒绝（AUTHENTICATION REJECT），这一般是在网络侧获得了GUTI里面的S-TMSI，并和网络侧预存的IMSI进行了关联比对之后的标准流程行为。但是伪基站一般不这么做，原因有二，一是伪基站无法将获取到的GUTI与预存的IMSI进行关联，因为伪基站本身就没有用户的IMSI信息，而是想欺骗用户注册，或者TAU获取的；二是及时伪基站获取到S-TMSI，也不会发送鉴权拒绝的，因为一旦用户收到鉴权拒绝消息后，就变为了EU3 ROAMING NOT ALLOWED状态，其实就是脱网状态，后续来自该伪基站的消息都收不到，这是伪基站不想看到的。但是，如果伪基站打破标准流程，在获取用户GUTI后，不下发鉴权拒绝行不行呢？其实也是不行的，如果伪基站迟迟不下发鉴权拒绝，无论T3418或者T3420一旦超时，UE都会在本地释放无线侧的连接，同时认为接入小区非法（Cell Barred）转而尝试接入其他正常的小区。不过在这里，其实标准流程还是有一个小小的bug的，这里留给大家做个思考喽：）快速寻呼paging

当我们基本了解了鉴权的标准流程以后，知道双向鉴权机制确实对于伪基站起到一定防止作用，但是鉴权流程一定是必须的么？我们可以看一段现网实际的信令log

除了能获得基于寻呼的S-TMSI信息，最关键的是鉴权流程没有出现，由于这是网络侧可以进行控制的，所以这块是个潜在漏洞，但是可以进行弥补的。进一步来讲，更可能潜在的漏洞其实并不在这里，这里就不细讲了，但是也并不是没有防范措施的。

总体来说，应对潜在的4G伪基站带来的风险解决方案如下

1、 无线侧开启合适的完整性保护算法；

2、 约束终端，当无线侧加密指令完成后再进行NAS PDU的piggy-backing；

3、 对终端进行非标处理，减少非法TAU的产生。

随着4G移动用户快速增长，电信网络的安全因素越来越被提上议事日程，不论是2G还是4G的伪基站，以上提到的应对措施只可能起到一定程度的缓解，很难完全屏蔽或者根除伪基站的影响，“电信黑客”与电波卫士的较量会慢慢拉开帷幕，但自古邪不压正，网络安全的未来一定是没有雾霾的清澈蓝天。

张阳，英国布鲁内尔大学（Brunel Univ.）设计与工程学院电子与计算机工程博士，高级工程师，博士阶段主要进行LTE物理层、处理优化算法研究。主要从事TD-LTE/TD-SCDMA网络优化工作。曾参加中国移动无线网络优化技术高级培训，荣获优秀学员称号，参加中国移动LTE维护优化技能竞赛，荣获一等奖。长期关注跟踪一线实际优化工作，具有丰富的理论基础及实践经验。在国内外通信期刊发表学术论文数十篇，并合著有《TD-LTE无线网络优化与应用》一书。