您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 项目/工程管理 > “伪基站”的基本原理及电子取证分析
信息安全与技术·2015年4月1引言近年来,“伪基站”违法犯罪活动日益增多。不法分子利用非法生产和购买的“伪基站”,任意冒用公众服务号码,大肆进行电信诈骗、营销广告和强制推销等违法犯罪活动,社会危害性严重。360互联网安全中心发布的《2014年第一期“伪基站”短信治理报告》显示:2014年4-6月,仅360手机卫士就拦截各类“伪基站”短信12.38亿条,平均每天拦截“伪基站”短信1360万条。从伪装号码类型来看,冒用普通手机号码和伪装成“106”系列短信平台的情况最多,占比分别为32.3%和29.3%;从短信内容类型来看,广告类、违法类和诈骗类短信数量最多,占比分别为51.1%、33.3%和15.6%。2“伪基站”的基本原理2.1“伪基站”的功能和组成“伪基站”是非法无线电通信设备,采用GSM900标准,发射功率在40-43dBm之间,通过仿冒运营商移动网络发射射频信号对覆盖范围内的手机进行短信群发操作,单位时间推送短信速率高,且支持丰富的短信发送策略。“伪基站”主要由主机、操作终端(安装Linux系统的笔记本电脑)和天线组成,具有体积小、隐蔽性和流动性强等特点。“伪基站”有两种布放方式:一种是固定式,一般把主机放置在快捷酒店或短租房等流动性强的地方,天线靠窗;另一种是流动式,一般藏匿在面包车、电动车或拉杆箱内,伪装性高,可以快速部署和撤离,排查定位难度较大。2.2“伪基站”工作信令流程“伪基站”会导致手机频繁的位置更新,使所在区域的无线网络资源拥塞,影响用户的正常通信,其工作时的信令流程如图1所示。““伪基站伪基站””的基本原理及电子取证分析的基本原理及电子取证分析曹茂虹王大强(山东省淄博市临淄区人民检察院山东临淄255400)【摘要】“伪基站”违法犯罪活动是近年来出现的一种新型违法犯罪活动形式。不法分子利用“伪基站”实施电信诈骗和非法广告推销等违法犯罪活动,不仅损害群众财产权益、侵犯公民隐私,而且扰乱了国家通讯秩序和社会公共秩序。文章主要介绍了“伪基站”的功能和组成,并详细分析了“伪基站”工作的信令流程、法律适用以及电子取证的流程。【关键词】“伪基站”;信令流程;法律适用;电子取证【中图分类号】TN924【文献标识码】AAnalysisofPseudoBaseStationAboutBasicPrincipleandElectronicForensicsCaoMao-hongWangDa-qiang(People'sProcuratorateofLinziDistrictZiboCityShandongLinzi255400)【Abstract】Pseudobasestationillegalandcriminalactivitiesisanewformofillegalandcriminalactivitiesappearedinrecentyears.Criminalstheuseofpseudobasestationimplementationoftelecommunicationsfraudandillegaladvertisingandotherillegalandcriminalactivities,notonlyharmpublicpropertyrights,infringementofcitizens'privacy,butalsodisruptednationalcommunicationorderandsocialpublicorder.Thispapermainlyintroducesthefunctionandcompositionofpseudobasestation,andadetailedanalysisofthepseudobasestationworkofthesignalingprocess,applicablelawandelectronicforensicsprocess.【Keywords】pseudobasestation;signalingprocess;applicationoflaw;electronicevidencePracticalMethod·实践方法实践方法·PracticalMethod··732015年4月·信息安全与技术(1)“伪基站”通过广播控制信道(BCCH)不断广播“SystemInformationType3”(系统消息3),向周边手机用户下发带有特别参数的系统消息。系统消息3主要包含移动国家码(MCC)、移动网络号(MNC)、位置区标识(LAC),小区标识(CI)、随机接入控制信息(RACH)以及和小区重选有关的参数。“伪基站”把系统消息广播的LAC号设置在运营商正常使用的LAC号范围之外,致使“伪基站”与周边现网基站归属不同的位置区,以触发位置区更新过程。(2)手机驻留到“伪基站”的位置区(LocationArea)以后,就发起位置区更新过程,按协议要求上发“LocationUpdatingRequest”(位置区更新请求)信令。(3)“伪基站”在收到手机的“LocationUpdatingRequest”之后,下发“IdentityRequest”(身份识别请求)以获取手机的IMSI(国际移动用户识别码,存储在SIM卡、HLR和VLR中,是唯一识别移动用户所分配号码得标识),手机上报“IdentityResponse”(身份识别响应)后,伪基站下发“LocationUpdatingAccept”(位置区更新接受),完成位置区更新。(4)“伪基站”向手机发送短信数据包(CP-Data),该消息里面包含伪装的“TP-OriginatingAddress:XXXXXXXX”(发送者号码)及消息内容。(5)当手机接收完短信后又收到“伪基站”广播的“SystemInformationType3”信息,而该消息内的LAC也进行了更改,与之前收到的伪基站LAC不同。(6)由于LAC又发生了改变,手机再次发起位置更新请求消息“LocationUpdatingRequest”,消息中包含手机IMSI号和原LAC号,“伪基站”据此判断该手机已接收过短信,下发“LocationUpdatingReject”(位置区更新拒绝),拒绝手机的位置区更新请求,拒绝原因是“NoSuitableCellsinLocationArea”(位置区中没有合适的小区)。(7)手机的位置区更新请求被“伪基站”拒绝后,会重新发起到运营商现网小区的位置区更新请求。(8)现网接受手机的位置区更新请求。3“伪基站”的法律适用及电子取证3.1“伪基站”的法律适用根据《最高人民法院、最高人民检察院、公安部、国家安全部关于依法办理非法生产销售使用“伪基站”设备案件的意见》(公通字〔2014〕13号):非法生产、销售“伪基站”设备,以非法经营罪追究刑事责任;非法使用“伪基站”设备干扰公用电信网络信号,危害公共安全的以破坏公用电信设施罪追究刑事责任。实践方法·PracticalMethod··74伪基站运营商基站手机终端SystemInformationType3LocationgUpdatingRequestIdentityRequestIdentityResponseLocationgUpdatingAcceptCP-data/SMS-deliverySystemInformationType3LocationgUpdatingRequestIdentityRequestIdentityResponseLocationgUpdatingRejectCause:NoSuitableCellsinLocationAreaLocationgUpdatingRequestLocationgUpdatingAcceptabcdefgh图1野伪基站冶工作信令流程PracticalMethod窑实践方法信息安全与技术·2015年4月根据国内“伪基站”案件的审理来看,以破坏公用电信设施罪居多。根据《最高人民法院关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》(法释[2004]21号)规定,“危害公共安全”主要指“造成二千以上不满一万用户通信中断一小时以上,或者一万以上用户通信中断不满一小时的;在一个本地网范围内,网间通信全阻、关口局至某一局向全部中断或网间某一业务全部中断不满二小时或者直接影响范围不满五万(用户×小时)的。”3.2“伪基站”的电子取证3.2.1影响用户通信的判定标准根据目前各地“伪基站”案件的审理情况,判定标准存在两种声音:一种是以否发送短信为判定标准;另一种是以是否接入伪基站为判定标准。本文赞同第二种观点,因为只要用户通过位置区更新接入“伪基站”之后,就算“伪基站”使用者没有进行发送短信的操作或者手机用户暂时没有收到短信,但是很显然此时的用户已经与运营商的网络断开连接,无法使用正常的通信服务。3.2.2影响用户通信的起始时间判定根据GSM协议的规范,从Um接口(手机和基站收发信机BTS之间的接口,也称空口)信令来看,位置区更新的过程首先要提交“Request”(申请)信令,在经过身份认证后MSC(移动交换中心,也称交换机)会下发“Accept”(接受)信令(如果是拒绝,则为“Reject”信令),最后释放信道,完成位置更新。因此,有的意见认为,应该以“LocationUpdatingAccept”信令为影响用户通信的起始时间,原因是这条信令之后,网络侧才释放原信道。其实,这种说法是不对的。根据GSM协议,手机在位置区更新的过程中,SDCCH信道(独立专用控制信道,用在分配业务信道TCH之前,呼叫建立过程中传送系统信令,例如位置更新消息、短消息、鉴权消息、加密命令等)被占用,用户处于专用信道模式下,无法监听PCH信道(寻呼信道),所以收不到寻呼消息造成寻呼失败。因此会导致接入“伪基站”的手机被叫无法接通。同样,基于SDCCH信道被占用的原因,接入“伪基站”的手机在发起主叫业务时,会收到下发的“CMServiceReject”(服务拒绝)信令,拒绝原因为“IMSIunknowninVLR”(拜访位置寄存器中未知的IMSI)。与此同时,接入“伪基站”的手机也无法收发短信,因为在手机空闲状态时,要占用SDCCH信道收发短消息。综上可知,从位置区更新的第一条信令“LocationUpdatingRequest”开始,虽然原网络还没有释放信道,但是手机的正常通话和收发短信已经受影响,因此,应该以“LocationUpdatingRequest”为起始信令判定影响用户通信的起始时间。3.3.3鉴定数据的提取位置“伪基站”一般采用OpenBTS模拟基站的运行环境,跟电子取证相关的文件主要有两个:一个是目录“\var\usr\openbts”下的“send.data”文件,是“伪基站”的短信发送任务记录;另一个是目录“\var\log”下的“OpenBTS.log”文件,是“伪基站”运行的日志文件。“伪基站”在收到手机的“LocationUpdatingRequest”信令之后,会下发身份识别请求“IdentityRequest”以获取手机的IMSI,手机在随后的“IdentityResponse”信令中上报自己的IMSI,因此,在取证中我们可以根据“Openbts.log”文件中上报IMSI的多少确定影响用户通信的具体数字,如图2所示。4结束语本文从伪基站的基本原理入手,依据目前“伪基站”犯罪案件的法律适用条款,详细分析了“伪基站”影响用户的判定标准和影响用户数量的提取方法,为案件侦破和司法鉴定提供了参考。参考文献[1]杨雪瑾.浅析伪基站的工作原理和治理方法[J].中国无线电,2014,(3):15-17.[2]王冼,陈光,黄加波.基于Gb信令分析的伪基站定位方法研究[J].电信技术,2014,(9):73-76.[3]马建荣.“伪基站”的法律责任分析[J].法制博览,2014(04):65-66.作者简介:曹茂虹(1982-),男,山东淄博人,毕业于中国矿业大学,硕士研究生,检察技
本文标题:“伪基站”的基本原理及电子取证分析
链接地址:https://www.777doc.com/doc-4197008 .html