伪基站的基本原理及电子取证分析论文

1 引言

近年来，“伪基站”违法犯罪活动日益增多。不法分子利用非法生产和购买的“伪基站”，任意冒用公众服务号码，大肆进行、营销广告和强制推销等违法犯罪活动，社会危害性严重。360 互联网安全中心发布的《2014 年第一期“伪基站”短信治理报告》显示：2014 年4-6 月，仅360 手机卫士就拦截各类“伪基站”短信12.38亿条，平均每天拦截“伪基站”短信1360 万条。从伪装号码类型来看，冒用普通手机号码和伪装成“106”系列短信平台的情况最多，占比分别为32.3%和29.3%;从短信内容类型来看，广告类、违法类和诈骗类短信数量最多，占比分别为51.1%、33.3%和15.6%。

2 “伪基站”的基本原理

2.1“伪基站”的功能和组成“伪基站” 是非法无线电通信设备， 采用GSM 900标准，发射功率在40-43dBm 之间，通过仿冒运营商移动网络发射射频信号对覆盖范围内的手机进行短信群发操作，单位时间推送短信速率高，且支持丰富的短信发送策略。“伪基站”主要由主机、操作终端(安装Linux 系统的笔记本电脑)和天线组成，具有体积小、隐蔽性和流动性强等特点。“伪基站”有两种布放方式：一种是固定式，一般把主机放置在快捷酒店或短租房等流动性强的地方，天线靠窗;另一种是流动式，一般藏匿在面包车、电动车或拉杆箱内，伪装性高，可以快速部署和撤离，排查定位难度较大。

2.2“伪基站”工作信令流程

“伪基站”会导致手机频繁的位置更新，使所在区域的无线网络资源拥塞，影响用户的正常通信.

(1)“伪基站”通过广播控制信道(BCCH)不断广播“System Information Type 3”(系统消息3)， 向周边手机用户下发带有特别参数的系统消息。系统消息3 主要包含移动国家码(MCC)、移动网络号(MNC)、位置区标识(LAC)，小区标识(CI)、随机接入控制信息(RACH)以及和小区重选有关的参数。“伪基站” 把系统消息广播的LAC号设置在运营商正常使用的LAC号范围之外，致使“伪基站”与周边现网基站归属不同的位置区，以触发位置区更新过程。

(2)手机驻留到“伪基站”的位置区(Location Area)以后就发起位置区更新过程， 按协议要求上发“Location Updating Request”(位置区更新请求)信令。

(3)“伪基站”在收到手机的“Location UpdatingRequest”之后，下发“Identity Request”(身份识别请求)以获取手机的IMSI (国际移动用户识别码， 存储在SIM别移动用户所分配号码得标识)， 手机上报“IdentityResponse”(身份识别响应)后，伪基站下发“LocationUpdating Accept”(位置区更新接受)，完成位置区更新。

(4)“伪基站”向手机发送短信数据包(CP-Data)， 该消息里面包含伪装的“TP-Originating Address：XXXXXXXX”(发送者号码)及消息内容。

(5)当手机接收完短信后又收到“ 伪基站”广播的“System Information Type 3”信息，而该消息内的LAC 也进行了更改，与之前收到的伪基站LAC 不同。

(6)由于LAC 又发生了改变，手机再次发起位置更新请求消息“Location UpdatingRequest”，消息中包含手机IMSI 号和原LAC 号，“伪基站”据此判断该手机已接收过短信，下发“Location UpdatingReject”(位置区更新拒绝)， 拒绝手机的位置区更新请求，拒绝原因是“No Suitable Cells in Location Area”(位置区中没有合适的小区)。

(7)手机的位置区更新请求被“伪基站”拒绝后，会重新发起到运营商现网小区的位置区更新请求。(8)现网接受手机的位置区更新请求。

3 “伪基站”的法律适用及电子取证

3.1“伪基站”的法律适用

根据《最高人民法院、最高人民检察院、公安部、国家安全部关于依法办理非法生产销售使用“伪基站”设备案件的意见》(公通字〔2014〕13 号)：非法生产、销售“伪基站”设备，以非法经营罪追究刑事责任;非法使用“伪基站”设备干扰公用电信网络信号，危害公共安全的以破坏公用电信设施罪追究刑事责任。

根据国内“ 伪基站” 案件的审理来看，以破坏公用电信设施罪居多。根据《最高人民法院关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》(法释[2004]21 号)规定，“危害公共安全”主要指“造成二千以上不满一万用户通信中断一小时以上， 或者一万以上用户通信中断不满一小时的;在一个本地网范围内，网间通信全阻、关口局至某一局向全部中断或网间某一业务全部中断不满二小时或者直接影响范围不满五万(用户×小时)的。”

3.2“伪基站”的电子取证

3.2.1影响用户通信的判定标准根据目前各地“伪基站”案件的审理情况，判定标准存在两种声音：一种是以否发送短信为判定标准;另一种是以是否接入伪基站为判定标准。本文赞同第二种观点，因为只要用户通过位置区更新接入“伪基站”之后，就算“伪基站”使用者没有进行发送短信的操作或者手机用户暂时没有收到短信，但是很显然此时的用户已经与运营商的网络断开连接，无法使用正常的通信服务。

3.2.2 影响用户通信的.起始时间判定根据GSM 协议的规范，从Um 接口(手机和基站收发信机BTS 之间的接口，也称空口)信令来看，位置区更新的过程首先要提交“Request”(申请)信令，在经过身份认证后MSC(移动交换中心，也称交换机)会下发“Accept”(接受)信令(如果是拒绝，则为“Reject”信令)，最后释放信道，完成位置更新。因此，有的意见认为，应该以“Location Updating Accept”信令为影响用户通信的起始时间，原因是这条信令之后，网络侧才释放原信道。其实，这种说法是不对的。根据GSM 协议，手机在位置区更新的过程中，SDCCH 信道(独立专用控制信道，用在分配业务信道TCH 之前，呼叫建立过程中传送系统信令，例如位置更新消息、短消息、鉴权消息、加密命令等)被占用，用户处于专用信道模式下，无法监听PCH 信道(寻呼信道)，所以收不到寻呼消息造成寻呼失败。因此会导致接入“伪基站”的手机被叫无法接通。同样，基于SDCCH 信道被占用的原因，接入“伪基站”的手机在发起主叫业务时， 会收到下发的“CM ServiceReject”(服务拒绝)信令，拒绝原因为“IMSI unknown inVLR”(拜访位置寄存器中未知的IMSI)。

与此同时，接入“伪基站”的手机也无法收发短信，因为在手机空闲状态时，要占用SDCCH 信道收发短消息。

综上可知，从位置区更新的第一条信令“LocationUpdating Request”开始，虽然原网络还没有释放信道，但是手机的正常通话和收发短信已经受影响，因此，应该以“Location Updating Request”为起始信令判定影响用户通信的起始时间。3.3.3 鉴定数据的提取位置“伪基站” 一般采用OpenBTS 模拟基站的运行环境， 跟电子取证相关的文件主要有两个： 一个是目录“varusropenbts”下的“”文件，是“伪基站”的短信发送任务记录; 另一个是目录“varlog”下的“”文件，是“伪基站”运行的日志文件。“ 伪基站” 在收到手机的“Location UpdatingRequest” 信令之后， 会下发身份识别请求“IdentityRequest” 以获取手机的IMSI， 手机在随后的“IdentityResponse”信令中上报自己的IMSI，因此，在取证中我们可以根据“”文件中上报IMSI 的多少确定影响用户通信的具体数字。

4 结束语

本文从伪基站的基本原理入手，依据目前“伪基站”犯罪案件的法律适用条款，详细分析了“伪基站”影响用户的判定标准和影响用户数量的提取方法，为案件侦破和司法鉴定提供了参考。