偽基站的基本原理及電子取證分析論文

　　1 引言

　　近年來(lái)，“偽基站”違法犯罪活動(dòng)日益增多。不法分子利用非法生產(chǎn)和購買(mǎi)的“偽基站”，任意冒用公眾服務(wù)號碼，大肆進(jìn)行、營(yíng)銷(xiāo)廣告和強制推銷(xiāo)等違法犯罪活動(dòng)，社會(huì )危害性嚴重。360 互聯(lián)網(wǎng)安全中心發(fā)布的《2014 年第一期“偽基站”短信治理報告》顯示：2014 年4-6 月，僅360 手機衛士就攔截各類(lèi)“偽基站”短信12.38億條，平均每天攔截“偽基站”短信1360 萬(wàn)條。從偽裝號碼類(lèi)型來(lái)看，冒用普通手機號碼和偽裝成“106”系列短信平臺的情況最多，占比分別為32.3%和29.3%;從短信內容類(lèi)型來(lái)看，廣告類(lèi)、違法類(lèi)和詐騙類(lèi)短信數量最多，占比分別為51.1%、33.3%和15.6%。

　　2 “偽基站”的基本原理

　　2.1“偽基站”的功能和組成“偽基站” 是非法無(wú)線(xiàn)電通信設備， 采用GSM 900標準，發(fā)射功率在40-43dBm 之間，通過(guò)仿冒運營(yíng)商移動(dòng)網(wǎng)絡(luò )發(fā)射射頻信號對覆蓋范圍內的手機進(jìn)行短信群發(fā)操作，單位時(shí)間推送短信速率高，且支持豐富的短信發(fā)送策略�！皞位�站”主要由主機、操作終端(安裝Linux 系統的筆記本電腦)和天線(xiàn)組成，具有體積小、隱蔽性和流動(dòng)性強等特點(diǎn)�！皞位�站”有兩種布放方式：一種是固定式，一般把主機放置在快捷酒店或短租房等流動(dòng)性強的地方，天線(xiàn)靠窗;另一種是流動(dòng)式，一般藏匿在面包車(chē)、電動(dòng)車(chē)或拉桿箱內，偽裝性高，可以快速部署和撤離，排查定位難度較大。

　　2.2“偽基站”工作信令流程

　　“偽基站”會(huì )導致手機頻繁的位置更新，使所在區域的無(wú)線(xiàn)網(wǎng)絡(luò )資源擁塞，影響用戶(hù)的正常通信.

　　(1)“偽基站”通過(guò)廣播控制信道(BCCH)不斷廣播“System Information Type 3”(系統消息3)， 向周邊手機用戶(hù)下發(fā)帶有特別參數的系統消息。系統消息3 主要包含移動(dòng)國家碼(MCC)、移動(dòng)網(wǎng)絡(luò )號(MNC)、位置區標識(LAC)，小區標識(CI)、隨機接入控制信息(RACH)以及和小區重選有關(guān)的參數�！皞位�站” 把系統消息廣播的LAC號設置在運營(yíng)商正常使用的LAC號范圍之外，致使“偽基站”與周邊現網(wǎng)基站歸屬不同的位置區，以觸發(fā)位置區更新過(guò)程。

　　(2)手機駐留到“偽基站”的位置區(Location Area)以后就發(fā)起位置區更新過(guò)程， 按協(xié)議要求上發(fā)“Location Updating Request”(位置區更新請求)信令。

　　(3)“偽基站”在收到手機的“Location UpdatingRequest”之后，下發(fā)“Identity Request”(身份識別請求)以獲取手機的IMSI (國際移動(dòng)用戶(hù)識別碼， 存儲在SIM別移動(dòng)用戶(hù)所分配號碼得標識)， 手機上報“IdentityResponse”(身份識別響應)后，偽基站下發(fā)“LocationUpdating Accept”(位置區更新接受)，完成位置區更新。

　　(4)“偽基站”向手機發(fā)送短信數據包(CP-Data)， 該消息里面包含偽裝的“TP-Originating Address：XXXXXXXX”(發(fā)送者號碼)及消息內容。

　　(5)當手機接收完短信后又收到“ 偽基站”廣播的“System Information Type 3”信息，而該消息內的LAC 也進(jìn)行了更改，與之前收到的偽基站LAC 不同。

　　(6)由于LAC 又發(fā)生了改變，手機再次發(fā)起位置更新請求消息“Location UpdatingRequest”，消息中包含手機IMSI 號和原LAC 號，“偽基站”據此判斷該手機已接收過(guò)短信，下發(fā)“Location UpdatingReject”(位置區更新拒絕)， 拒絕手機的位置區更新請求，拒絕原因是“No Suitable Cells in Location Area”(位置區中沒(méi)有合適的小區)。

　　(7)手機的位置區更新請求被“偽基站”拒絕后，會(huì )重新發(fā)起到運營(yíng)商現網(wǎng)小區的位置區更新請求。(8)現網(wǎng)接受手機的位置區更新請求。

　　3 “偽基站”的法律適用及電子取證

　　3.1“偽基站”的法律適用

　　根據《最高人民法院、最高人民檢察院、公安部、國家安全部關(guān)于依法辦理非法生產(chǎn)銷(xiāo)售使用“偽基站”設備案件的意見(jiàn)》(公通字〔2014〕13 號)：非法生產(chǎn)、銷(xiāo)售“偽基站”設備，以非法經(jīng)營(yíng)罪追究刑事責任;非法使用“偽基站”設備干擾公用電信網(wǎng)絡(luò )信號，危害公共安全的以破壞公用電信設施罪追究刑事責任。

　　根據國內“ 偽基站” 案件的審理來(lái)看，以破壞公用電信設施罪居多。根據《最高人民法院關(guān)于審理破壞公用電信設施刑事案件具體應用法律若干問(wèn)題的解釋》(法釋[2004]21 號)規定，“危害公共安全”主要指“造成二千以上不滿(mǎn)一萬(wàn)用戶(hù)通信中斷一小時(shí)以上， 或者一萬(wàn)以上用戶(hù)通信中斷不滿(mǎn)一小時(shí)的;在一個(gè)本地網(wǎng)范圍內，網(wǎng)間通信全阻、關(guān)口局至某一局向全部中斷或網(wǎng)間某一業(yè)務(wù)全部中斷不滿(mǎn)二小時(shí)或者直接影響范圍不滿(mǎn)五萬(wàn)(用戶(hù)×小時(shí))的�！�

　　3.2“偽基站”的電子取證

　　3.2.1影響用戶(hù)通信的判定標準根據目前各地“偽基站”案件的審理情況，判定標準存在兩種聲音：一種是以否發(fā)送短信為判定標準;另一種是以是否接入偽基站為判定標準。本文贊同第二種觀(guān)點(diǎn)，因為只要用戶(hù)通過(guò)位置區更新接入“偽基站”之后，就算“偽基站”使用者沒(méi)有進(jìn)行發(fā)送短信的操作或者手機用戶(hù)暫時(shí)沒(méi)有收到短信，但是很顯然此時(shí)的用戶(hù)已經(jīng)與運營(yíng)商的網(wǎng)絡(luò )斷開(kāi)連接，無(wú)法使用正常的通信服務(wù)。

　　3.2.2 影響用戶(hù)通信的起始時(shí)間判定根據GSM 協(xié)議的規范，從Um 接口(手機和基站收發(fā)信機BTS 之間的接口，也稱(chēng)空口)信令來(lái)看，位置區更新的過(guò)程首先要提交“Request”(申請)信令，在經(jīng)過(guò)身份認證后MSC(移動(dòng)交換中心，也稱(chēng)交換機)會(huì )下發(fā)“Accept”(接受)信令(如果是拒絕，則為“Reject”信令)，最后釋放信道，完成位置更新。因此，有的意見(jiàn)認為，應該以“Location Updating Accept”信令為影響用戶(hù)通信的起始時(shí)間，原因是這條信令之后，網(wǎng)絡(luò )側才釋放原信道。其實(shí)，這種說(shuō)法是不對的。根據GSM 協(xié)議，手機在位置區更新的過(guò)程中，SDCCH 信道(獨立專(zhuān)用控制信道，用在分配業(yè)務(wù)信道TCH 之前，呼叫建立過(guò)程中傳送系統信令，例如位置更新消息、短消息、鑒權消息、加密命令等)被占用，用戶(hù)處于專(zhuān)用信道模式下，無(wú)法監聽(tīng)PCH 信道(尋呼信道)，所以收不到尋呼消息造成尋呼失敗。因此會(huì )導致接入“偽基站”的手機被叫無(wú)法接通。同樣，基于SDCCH 信道被占用的原因，接入“偽基站”的手機在發(fā)起主叫業(yè)務(wù)時(shí)， 會(huì )收到下發(fā)的“CM ServiceReject”(服務(wù)拒絕)信令，拒絕原因為“IMSI unknown inVLR”(拜訪(fǎng)位置寄存器中未知的IMSI)。

　　與此同時(shí)，接入“偽基站”的手機也無(wú)法收發(fā)短信，因為在手機空閑狀態(tài)時(shí)，要占用SDCCH 信道收發(fā)短消息。

　　綜上可知，從位置區更新的第一條信令“LocationUpdating Request”開(kāi)始，雖然原網(wǎng)絡(luò )還沒(méi)有釋放信道，但是手機的正常通話(huà)和收發(fā)短信已經(jīng)受影響，因此，應該以“Location Updating Request”為起始信令判定影響用戶(hù)通信的起始時(shí)間。3.3.3 鑒定數據的提取位置“偽基站” 一般采用OpenBTS 模擬基站的運行環(huán)境， 跟電子取證相關(guān)的文件主要有兩個(gè)： 一個(gè)是目錄“varusropenbts”下的“send.data”文件，是“偽基站”的短信發(fā)送任務(wù)記錄; 另一個(gè)是目錄“varlog”下的“OpenBTS.log”文件，是“偽基站”運行的日志文件�！� 偽基站” 在收到手機的“Location UpdatingRequest” 信令之后， 會(huì )下發(fā)身份識別請求“IdentityRequest” 以獲取手機的IMSI， 手機在隨后的“IdentityResponse”信令中上報自己的IMSI，因此，在取證中我們可以根據“Openbts.log”文件中上報IMSI 的多少確定影響用戶(hù)通信的具體數字。

　　4 結束語(yǔ)

　　本文從偽基站的基本原理入手，依據目前“偽基站”犯罪案件的法律適用條款，詳細分析了“偽基站”影響用戶(hù)的判定標準和影響用戶(hù)數量的提取方法，為案件偵破和司法鑒定提供了參考。

【偽基站的基本原理及電子取證分析論文】相關(guān)文章：

移動(dòng)通信基站布點(diǎn)規劃技術(shù)分析論文08-01

電子商務(wù)安全分析論文07-29

數據通信軟件開(kāi)發(fā)與基本原理分析論文07-08

電子檔案信息安全管理分析論文10-28

電子設備接地技術(shù)分析論文10-23

移動(dòng)通信基站布局規劃研究論文06-24

電子商務(wù)教學(xué)改革分析論文10-22

電子信息工程的技術(shù)應用分析論文08-27

電子取證流程與基本原則06-16

電子信息軟件工程的發(fā)展分析論文06-18