陈春海

（天津京信通信系统有限公司广州分公司，广州 510663）

随着移动通信高速发展，人们在享受4G网络带来便捷性的同时，也面临诸多信息安全问题。但随着4G网络的普及，大部分的用户终端都是驻留在4G网络中，使得目前针对2G/3G网络的识别策略失效。参考文献[1]提出一种4G移动终端识别系统，该系统是通过获取4G移动终端IMSI（International Mobile Subscriber Identification Number，国际移动用户识别码）信息，完成终端识别，本文提出一种新型4G终端识别系统，可以同时获取IMSI和MAC（Medium/Media Access Control）地址信息，MAC地址是全球唯一标识移动终端设备的，因此可以提供更为完备的身份识别（移动用户身份和移动终端设备双重识别）。

1 一种新型4G终端识别系统的实现分析

本文提到的新型4G终端识别系统硬件上是基于一种4G模拟基站，它主要由4G用户IMSI采集模块、Wi-Fi探针模块和数据收集及回传模块构成。其中4G用户IMSI采集模块的功能是完成经过其覆盖范围内移动终端IMSI信息采集并传送给数据收集及回传模块；Wi-Fi探针模块的功能是完成经过其覆盖范围内移动终端MAC地址扫描采集并传送给数据数据及回传模块；数据收集及回传模块的功能是将4G用户IMSI采集模块和Wi-Fi探针模块发过来的数据进行收集打包并通过传输网络传送给公共安全部门的后台数据分析系统。

下面对IMSI采集和MAC地址采集分别分析说明：

（1）IMSI采集。4G移动终端经过4G模拟基站覆盖区有可能处于空闲态，也有可能处于连接态。

对于空闲态的用户：当其从宏网进入4G模拟基站覆盖范围内，发生重选行为，完成下行同步后，读取4G模拟基站广播的SIB1（System Information Block Type1，系统消息1），SIB1消息中包含当前网络的TAC值，当移动终端发现TAC值已发生改变时，就触发位置更新流程，向4G模拟基站发起位置更新请求（TAU Request），基站收到移动终端发出的TAU Request时，造出特定NAS消息（即Identity Resquest）要求移动终端回复消息（即Identity Response），回复消息中包含了IMSI信息，从而获取到移动终端的IMSI信息了。

对于连接态用户：对于新接入的用户，基站可以在加密之前，发起明文的Identity Request身份请求NAS消息给移动终端，要求移动上报IMSI号；但是，对于切入的用户而言，切入时，NAS信令都会处于加密状态，且切换信令中也不会携带IMSI信息，因此，无法直接获取IMSI号。本系统采用的方案是：当移动终端切入4G模拟基站，直接采用重定向方式（即RRC连接释放），使用户选择4G模拟基站做业务，进而在4G模拟基站中获取IMSI信息；根据参考文献[3]分析，为了避免终端被释放后直接转为空闲态，而无法获取IMSI号，要求4G模拟基站在下发RRCConnectionRelease消息时，对应的releaseCause填写为“loadBalancingTAURequired”，且携带4G模拟基站的频点，从而要求终端在释放后，重新接入4G模拟基站，并主动触发TAU更新过程，进而在4G模拟基站获取IMSI号。

（2）MAC地址采集。终端的Wi-Fi状态也有很多种，不同状态采集结果不一样，根据对终端的空口数据抓包分析得知：

①终端在打开Wi-Fi不关联AP（Access Point，本文中Wi-Fi探针模块）的情况下，AP能接收到终端的探测请求数据包（Probe req）大约每10秒广播一次；

②终端在熄屏状态下，即使打开Wi-Fi，也会停止发送探测请求帧；

③手机在没有安装APP的情况下，只有在进入Wi-Fi的配置界面，才会每个一段时间发送探测帧，一旦退出配置界面，则停止发送探测帧；

④部分APP有控制手机Wi-Fi的功能，在一些APP的界面里操作时，也会发送探测帧。

2 结束语

本文提出了一种基于4G基站和Wi-Fi探针技术的新型4G移动终端识别系统，通过该系统可以获取4G模拟基站覆盖范围内移动终端的IMSI和MAC地址信息，同时识别移动用户身份和移动终端设备，为安全监管部门提供更为完备的移动终端身份识别。该系统有一个不足之处，就是不能对移动终端所有状态（比如不开启Wi-Fi、息屏状态）都能获取到MAC地址信息，后续还需研究优化。