CN113099455A - 一种lte终端用户手机号码的捕获以及抗捕获方法 - Google Patents

Abstract

本发明属于移动通信安全技术领域，涉及一种LTE终端用户手机号码的捕获以及抗捕获方法；所述捕获方法包括检测终端测量目标终端周围小区的通信环境，获取相应的通信环境参数；配置出LTE伪基站和2G伪基站；LTE伪基站隐蔽定点吸入目标终端后，发出拒绝消息触发修改后的RRC连接释放信息；根据RRC连接释放信息中指定的重定向基站参数，将目标终端重定向至2G伪基站；2G伪基站配合攻击终端发起中间人攻击，让攻击终端替代目标终端在真实网络中的合法位置；攻击终端向已知手机号码的测试终端拨号，捕获目标终端的手机号码；本发明中LTE伪基站诱导目标以异频小区高优先级重选原则被吸入，通过中间人系统监听和转发信令，能高效获取用户手机号码。

Description

一种LTE终端用户手机号码的捕获以及抗捕获方法

技术领域

本发明属于移动通信安全技术领域，涉及伪基站技术以及中间人攻击技术；具体涉及一种LTE终端用户手机号码的捕获以及抗捕获方法。

背景技术

与只具备单向网络鉴权以及弱密码算法等设计缺陷的GSM网络相比，LTE网络采用了双向鉴权认证机制以及加强的加解密算法等多项升级的安全措施，对移动通信网络的安全架构进行了重新设计。其中，VoLTE技术的出现，更是解决了LTE网络用户在进行通话服务时需要回落至2/3G网络的情况，避免了低级网络对用户隐私安全的威胁。

然而，在LTE网络中，用户终端与网络端之间通过空中接口传输的部分信令，如Identity Request、Tracking Area Update Reject、Authentication Reject以及AttachReject等，却可以在未加密且未进行完整性保护校验的情况下被终端直接接受。攻击者利用这一安全漏洞，通过截获、修改以及转发这些信令即可对目标发起各种攻击，对移动用户造成了极大的安全威胁。因此，揭示安全漏洞，并进行攻击验证，对移动通信网络的安全演进具有推动意义。

国际移动用户识别码(international mobile subscriber identity简称IMSI)是国际上为唯一识别一个移动用户所分配的号码。IMSI由15位二进制编码的十进制数字表示，在这15位十进制数字中，前3位表示移动设备国家地区代码(MCC)，随后的2或3位表示移动设备网络代码(MNC)，剩余的10或9位十进制值数字为移动用户识别号码(MSIN)。

MSISDN(Mobile Station international ISDN number)：移动用户的ISDN(Integrated Service Digital Network)号码，在公共交换电话网交换网络编号计划中，MSISDN是唯一能识别移动用户的号码，简而言之，MSISDN就是手机号码。MSISDN和IMSI之间有一种特定的映射规则，这种映射规则仅存储于USIM(Universal subscriber identityModule)卡和运营商中。根据3GPP(3rd Generation Partnership Project)标准规定，终端设备并不会通过空口直接向网络端发送自己的手机号码，而只有当终端发起电话呼叫或短信业务时，移动网络运营商才会根据核心网中的映射规则将其IMSI翻译成相对应的MSISDN来提供呼叫者识别服务。

然而，LTE网络的安全架构以及其采用的基于IP的VoLTE技术，使得在LTE网络下无法直接捕获终端用户的手机号码。而只有通过终端强制降级的方式，绕过LTE网络的安全机制，使终端暴露在安全性较差的低级网络下，才能对终端用户的手机号码进行捕获操作。

发明内容

基于现有技术存在的问题，本发明考虑到在LTE网络中，用户手机号码并不会直接暴露在空中接口中，而是只有在发起电话呼叫或短信业务时，运营商才会将用户IMSI映射为相对应的手机号码；因此本发明公开了一种利用LTE伪基站和2G中间人系统的捕获LTE用户手机号码的方法。本发明提出的捕获方案旨在揭示LTE网络存在的安全漏洞，强调低级网络的低安全性对终端用户的隐私安全威胁，有助于推动移动通信网络向着更加安全更加完善的方向发展。

本发明的技术方案包括如下：

在本发明的第一方面，本发明提供了一种LTE终端用户手机号码的捕获方法，所述方法包括：

检测终端测量目标终端周围小区的通信环境，并获取相应的通信环境参数；

根据获取到的所述通信环境参数配置出LTE伪基站和2G伪基站；

所述LTE伪基站隐蔽定点吸入所述目标终端后，发出拒绝消息触发修改后的RRC连接释放信息；

根据所述RRC连接释放信息中指定的重定向基站参数，将目标终端重定向至2G伪基站；

所述2G伪基站配合攻击终端发起中间人攻击，让所述攻击终端替代目标终端在真实网络中的合法位置；

攻击终端向已知手机号码的测试终端拨号，捕获目标终端的手机号码。

在本发明的第二方面，针对本发明的第一方面，本发明还提供了一种LTE终端用户手机号码的抗捕获方法，所述抗捕获方法包括：

目标终端驻留在LTE基站时，采集当前驻留小区和其他邻居小区的重选优先级信息以及信号质量，通过预判断函数重选其中一个小区进行信号服务；

在预设的第一条件和第二条件下，当监测到的信号质量大于第一预设阈值，或者其他邻居小区的重选优先级信息高于当前驻留小区的优先级时，将预判断函数中的状态函数变更为真，并重选出相应的小区；

若重选后的小区向目标终端发送包含有重定向基站的RRC连接释放消息，则判定所述重选后的小区为LTE伪基站；所述目标终端拦截此消息，并将该LTE伪基站更新到禁止小区列表中，重新执行小区重选操作，将状态参数恢复为假；

若重选后的小区未向目标终端发送RRC连接释放消息，通过双向鉴权过程，将状态参数恢复为假。

本发明的有益效果：

本发明基于重定向攻击及中间人攻击，与现有的技术相比，本发明的LTE用户手机号码捕获方法使用的是异频小区高优先级重选原则吸入的目标终端，并结合中间人系统进行信令的监听以及转发，这使得现有的LTE网络无法采取有效措施对抗该攻击。本发明获取参数是采用被动监听的方式，在参数采集以及后续的信令转发期间，目标终端以及网络运营商均将保持正常工作状态；而针对本发明的第一方面，本发明的抗捕获方法利用预判断函数将能够有效避免利用信号强度高或高优先级小区重选漏洞的伪基站发起的利用RRC连接释放消息的降级攻击，从而能够让LTE终端的手机号码抗伪基站的捕获。。

附图说明

图1是本发明实施例中捕获过程涉及的架构图；

图2是本发明实施例中一种LTE终端用户手机号码的捕获方法流程图；

图3是本发明实施例中采用的重定向流程图；

图4是本发明实施例中采用中间人攻击的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是本发明实施例中捕获过程涉及的架构图，如图1所示，本发明中，主要是通过LTE伪基站和2G伪基站来捕获目标终端的手机号码；首先说明一下正常的通信过程，在正常的通信过程中，目标终端与显示目标终端手机号码的被呼叫方终端(测试终端)通过真实的2G基站进行通信；而在本发明中，为了捕获目标终端的手机号码，本发明通过2G中间人系统来捕获目标终端通过真实2G基站进行信息传递时的所显示出的号码，该2G中间人系统由2G伪基站和攻击终端构成。

图2是本发明实施例中的LTE终端用户手机号码的捕获方法流程图，如图2所示，所述捕获方法包括以下步骤：

S1、检测终端测量目标终端周围小区的通信环境，并获取相应的通信环境参数；

在本发明实施例中，利用现有的技术获取目标终端周围的通信环境，这些通信环境参数包括目标终端所在小区，其他邻居小区的信号强度、跟踪区域码TAC、载波频点号EARFCN等。

需要说明的是，本发明实施例中涉及的检测终端以及目标终端可以是具有向用户提供短信收发功能或者语音通话功能的无线终端设备，也可以是具有向用户提供短信收发功能或者语音通话功能的有限终端设备，例如可以是移动终端，例如可以是智能手机，和具有移动终端的计算机，例如可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。

S2、根据获取到的所述通信环境参数配置出LTE伪基站和2G伪基站；

伪基站又称假基站、假基地台，是一种利用移动通信网络安全漏洞的非法无线电通信设备，主要由主机和笔记本电脑组成，能够搜取以其为中心、一定半径范围内的移动电话信息。

在本发明实施例中，通过软件定义无线电硬件USRP B210设备配合装有LTE开源软件srsLTE的笔记本电脑搭建出LTE伪基站，并根据检测到的目标终端周围各邻居小区的参数信息，将LTE伪基站的TAC值设置为与目标终端周围所有邻居小区均不同的值-1，同时将其载波频点号EARFCN设置为与所有邻居小区均不同的值1650，并设置其小区重选优先级为最高值7。另外，通过USRP B210配合装有GSM开源软件OpenBTS的笔记本电脑搭建出2G伪基站，以供后续使用。

S3、所述LTE伪基站隐蔽定点吸入所述目标终端后，发出拒绝消息触发修改后的RRC连接释放信息；

在本发明实施例中，目标终端通过异频小区高优先级重选原则被吸入到LTE伪基站中；这里的吸入方式为隐蔽定点吸入方式，目标终端被吸入时将与LTE伪基站建立RRC连接，由于检测到LTE伪基站的TAC值与之前所驻留的小区的TAC值不同，目标终端首先向LTE伪基站发起跟踪区域更新请求TAU Request，所述LTE伪基站回复TAU Reject消息拒绝该更新请求；收到拒绝消息后，目标终端发送Attach Request消息尝试重新附着，LTE伪基站回复Attach Reject消息拒绝此附着请求；两次拒绝后，所述LTE伪基站向目标终端发送此前修改过的RRC连接释放信息，以释放与目标终端建立的RRC连接。

S4、根据所述RRC连接释放信息中指定的重定向基站参数，将目标终端重定向至2G伪基站；

图3给出了本发明实施例中重定向的流程图，如图3所示，所述重定向的流程包括：

LTE伪基站吸入目标终端并完成了RRC连接；

目标终端向LTE伪基站发起跟踪区域更新请求；

LTE伪基站回复消息，并拒绝其更新请求；

目标终端向LTE伪基站发起附着请求尝试重新附着；

LTE伪基站回复消息，并拒绝其附着请求；

两次拒绝后，LTE伪基站向目标终端发送修改后的RRC连接释放信息以释放其RRC连接。

目标终端在接收到被修改过参数的RRC Connection Release消息后，被转移至其中包含的Redirected CarrierInfo参数中指定的2G基站，即此前配置的2G伪基站中。

需要说明的是，与所述检测终端和所述目标终端类似，本发明实施例中涉及的攻击终端也可以是具有向用户提供短信收发功能或者语音通话功能的无线终端设备，也可以是具有向用户提供短信收发功能或者语音通话功能的有限终端设备，例如可以是移动终端，例如可以是智能手机，和具有移动终端的计算机，例如可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。

S5、所述2G伪基站配合攻击终端发起中间人攻击，让所述攻击终端替代目标终端在真实网络中的合法位置。

同样可以参考图1，2G中间人系统发起攻击时，由于已经根据RRC连接释放信息中指定的重定向基站参数，将目标终端重定向至2G伪基站；因此2G中间人系统将会以目标终端的在真实网络中的合法位置与真实2G基站进行通信；而真实2G基站作为目标终端与测试终端的通信桥梁，会认为通信的双方都是合法用户，把测试终端的手机号码发送给目标终端，把目标终端的手机号码发送给测试终端；在这个过程中，2G中间人系统就可以捕获目标终端的手机号码。

图4给出了本发明实施例中中间人攻击的流程图，如图4所示，所述中间人攻击的流程包括：

目标终端向2G伪基站发起位置更新请求；

2G伪基站回复身份请求消息以捕获目标终端的IMSI；

收到目标终端的IMSI后，通过socket通信将目标终端的IMSI传递给攻击终端；

攻击终端以目标终端的IMSI向真实网络发起位置更新请求；

攻击终端接收到到来自真实网络的包含鉴权向量的鉴权请求信息；

通过socket通信将鉴权请求信息传递给目标终端，所述目标终端利用其中包含的鉴权向量计算出鉴权响应向量并传递给攻击终端；

攻击终端向真实网络发送包含鉴权响应向量的鉴权响应消息，并收到来自网络的位置更新同意消息，成功替代目标终端在真实网络中的位置。

在本发明实施例中，攻击终端和2G伪基站构成2G中间人系统，监听并传递目标终端与真实网络之间的通信消息。

目标终端被转移至2G伪基站后，由于首次接入该基站，目标终端首先向2G伪基站发起位置更新请求，2G伪基站以身份请求消息获取其IMSI，并通过socket通信将IMSI传递给攻击终端，攻击终端以目标终端的IMSI为身份向真实网络发起位置更新请求，并成功触发网络的鉴权认证过程，收到来自真实网络的包含鉴权向量的鉴权请求消息并传递给目标终端，目标终端根据其中包含的鉴权响应信息进行鉴权认证，计算出鉴权响应向量RES，并传递给攻击终端。攻击终端向真实网络发送包含鉴权响应向量RES的鉴权响应消息后，网络端通过匹配攻击终端发送的RES值与自身计算的RES值，完成对攻击终端的鉴权，并向其发送位置更新同意消息；此时，攻击终端即完全代替了目标终端在真实网络中的合法位置；

S6、攻击终端向已知手机号码的测试终端拨号，捕获目标终端的手机号码。

攻击终端向已知手机号码的测试终端拨打电话，在攻击终端的终端显示已接收到振铃通知消息时，测试终端的显示屏上即显示被捕获的尾号为目标终端的手机号码，即完成了对目标终端手机号码的捕获。

在一个具体的实施例中，本实施例以中国移动用户为例，以尾号为5089的手机作为目标终端，实施捕获目标终端手机号码的过程如下：

步骤1、使用测试UE中的CelluarZ软件检测目标终端周围的通信环境，包括各邻居小区的信号强度、跟踪区域码TAC以及频点等参数信息；

步骤2、根据检测到的各邻居小区的参数信息，配置由srsLTE开源软件搭建的LTE伪基站，将其TAC以及载波频点号EARFCN均设置为与目标终端所有邻居小区均不同的值，并设置其重选优先级高于其他所有的邻居小区；另外，配置由openBTS开源软件搭建的2G伪基站，并根据此2G伪基站的参数信息，包括band indicator以及起始频率starting ARFCN等参数，配置LTE伪基站的RRC Connection Release消息中的Redirected CarrierInfo参数，以供后续使用。

具体的，将USRP B210设备连接运行SrsLTE的笔记本电脑构成LTE伪基站，连接运行OpenBTS的笔记本电脑构成2G伪基站，并修改LTE伪基站的RRC连接释放消息。

步骤3、目标终端通过异频小区高优先级重选原则吸入到LTE伪基站并完成RRC连接后，由于检测到LTE伪基站的TAC值与之前所驻留的小区的TAC值不同，目标终端首先向LTE伪基站发起跟踪区域更新请求TAU Request，LTE伪基站回复TAU Reject消息以原因值9拒绝了此更新请求；收到拒绝消息后，目标终端发送Attach Request消息尝试重新附着，LTE伪基站回复Attach Reject消息以原因值17拒绝了此附着请求；两次拒绝后，LTE伪基站向目标终端发送此前修改过的RRC Connection Release消息，以释放与目标终端建立的RRC连接；

步骤4、目标终端在接收到被修改过参数的RRC Connection Release消息后，被转移至其中包含的Redirected CarrierInfo参数中指定的2G基站，即此前配置的2G伪基站中；使用OsmocomBB开源软件配置的摩托罗拉C118手机构成的攻击终端和2G伪基站构成2G中间人系统，监听并传递目标终端与真实网络之间的通信消息；

步骤5、目标终端被转移至2G伪基站后，由于首次接入该基站，目标终端首先向2G伪基站发起位置更新请求Location Update Request，2G伪基站以身份请求消息IdentityRequest获取其IMSI，并通过socket通信将IMSI传递给攻击终端，攻击终端以目标终端的IMSI为身份向真实网络发起位置更新请求Location Update Request，并成功触发网络的鉴权认证过程，收到来自真实网络的包含鉴权向量RAND的鉴权请求消息AuthenticationRequest并传递给目标终端，目标终端根据其中包含的RAND进行鉴权认证，计算出鉴权响应向量RES，并传递给攻击终端；

步骤6、攻击终端向真实网络发送包含鉴权响应向量RES的鉴权响应消息Authentication Response后，网络端通过匹配攻击终端发送的RES值与自身计算的RES值，完成对攻击终端的鉴权，并向其发送位置更新同意消息Location Update Accept；此时，攻击终端即完全代替了目标终端在真实网络中的合法位置；

步骤7、通过OsmocomBB配合攻击终端，向已知手机号码的测试手机拨打电话，即捕获到目标终端的手机号码。

具体的，攻击终端向尾号为3816的测试UE拨打电话，在攻击终端的终端显示已接收到振铃通知消息时，测试UE的显示屏上即显示被捕获的尾号为5089的目标终端的手机号码，即完成了对目标手机号码的捕获。

由于本专利提出的捕获方式是将目标终端隐蔽地吸入到LTE伪基站中并利用修改后的RRC连接释放消息将目标终端从4G网络强制降级到2G网络，而基站作为LTE网络中默认的合法中继，缺乏与终端的相互认证机制，用户终端无法对基站的合法性进行预判断。因此，对于一个优先级高于当前驻留基站的伪基站，目标终端将会直接被吸入，这为本专利提出的捕获方法的可靠性提供了前提。

在本发明的另一些实施例中，为了防止LTE终端用户手机号码被捕获，针对上述实施例，本发明还提出了一种对应的LTE终端用户手机号码的抗捕获方法，一种LTE终端用户手机号码的抗捕获方法包括：

目标终端驻留在LTE基站时，采集当前驻留小区和其他邻居小区的重选优先级信息以及信号质量，通过预判断函数重选其中一个小区进行信号服务；

在本步骤中，目标终端驻留在某个LTE基站时，可能会进入空闲态，此时，目标终端仍然会通过监测邻居小区和当前驻留小区的信号质量以选择一个最好的小区提供服务信号；若当前驻留小区的信号质量一直强于邻居小区的信号质量，则预判断函数不会被触发。

其中，目标终端所采集的信息除了重选优先级信息以及信号质量以外，还可以从传感器以及基带处收集各类信息，如位置信息、基准信号接收功率RSRP以及重选优先级参数等。

其中，这个预判断函数中包含两个状态参数judge_state1以及judge_state2，这两个参数均为布尔型，即只有真true和假false两种状态，初始状态均为false(即0)。

在预设的第一条件和第二条件下，当监测到的信号质量大于第一预设阈值，或者其他邻居小区的重选优先级高于当前驻留小区的优先级时，目标终端将会自动重选到相应的小区，此时状态参数judge_state1将变更为true；

在本实施例中，所述第一条件包括目标终端的位置未在预设时间段内发生预设偏移距离的移动。所述第二条件包括目标终端所在的当前驻留区域中的信号质量保持在预设范围内。举个例子，第一条件可以是在终端位置未发生短时间内大范围移动(设定时间阈值为1s，位置偏离阈值为1km)，第二条件可以是当前驻留小区信号质量稳定(小区ID未发生变化，RSRP的波动范围为正负10dBm，且驻留时间超过1s)。

在这两个条件被满足后，也就是在第一条件和第二提交的前提下，突然出现了一个信号质量特别高(信号强度阈值为-85dBm)的小区或者重选优先级特别高(阈值设定为7，重选优先级默认最大值为7)的小区时，状态参数judge_state1均将变更为true，他情况均保持默认false。

若重选后的小区向目标终端发送包含有2G重定向基站的RRC连接释放消息，目标终端将自动释放与该LTE基站的RRC连接，并被重定向至该消息中指定的2G基站。由于目标终端属于首次接入重定向基站，因此会向该基站发起位置更新请求，而当该基站并未按照正常流程对目标终端发起鉴权请求，转而发送身份识别请求，以获取目标终端的IMSI时，状态参数judge_state2将变更为true，即判断所述重定向后的2G基站为2G伪基站。当两个状态参数均变更为true后，目标终端将忽略算法判定为恶意的基站发送的一切消息，并重新执行小区重选操作，而两个状态参数也将恢复为false状态。

在本步骤中，由于发现重选后的小区中存在重定向基站的RRC连接释放消息，那么就说明LTE伪基站隐蔽定点吸入所述目标终端后，可能发出过拒绝消息来触发修改后的RRC连接释放信息，为了避免LTE伪基站中所存在的RRC连接释放信息中指定的重定向基站参数被重定向至2G伪基站，让2G伪基站与攻击终端形成中间人系统攻击目标终端，本发明实施例中通过判断重定向后基站是否出现异常流程的信令交互，即是否绕过了本应发送的鉴权请求而出现了异常的身份请求，来判断该重定向2G基站为2G伪基站，从而使得中间人系统不能获取到目标终端的IMSI，以实现后续的LTE终端用户手机号码的抗捕获。

若重选后的LTE基站未向目标终端发送RRC连接释放消息，且通过了双向鉴权认证过程，状态参数judge_state1将恢复为false状态。若重定向后的2G基站未出现异常信令流程，且目标终端成功通过了网络的鉴权认证过程，状态参数judge_state2将保持为false状态。

重选后的基站没有向目标终端发送RRC连接释放消息，则表明该小区可能不会对目标终端发起强制降级，因此本实施例中按照双向鉴权过程确定该基站的身份，鉴权完成以后恢复该状态参数judge_state1，可以继续按照预判断函数执行重选过程。如果重选后的基站向目标终端发送了RRC连接释放消息，则目标终端将重定向至该消息中指定的重定向2G基站，当重定向2G基站按照正常流程完成了对目标终端的鉴权认证过程，则表明该基站不会对目标终端的包括IMSI、手机号码在内的身份信息进行捕获，因此本实施例确认该基站的身份，鉴权完成以后保持状态参数judge_state2为false，并跳出此预判断函数。

本发明的抗捕获方法可以有效控制目标终端因异常小区或者恶意RRC重定向所导致的被陷入捕获攻击的危险。

在本发明的描述中，需要理解的是，术语“同轴”、“底部”、“一端”、“顶部”、“中部”、“另一端”、“上”、“一侧”、“顶部”、“内”、“外”、“前部”、“中央”、“两端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明中，除非另有明确的规定和限定，术语“安装”、“设置”、“连接”、“固定”、“旋转”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (10)

1.一种LTE终端用户手机号码的捕获方法，其特征在于，所述方法包括：

检测终端测量目标终端周围小区的通信环境，并获取相应的通信环境参数；

根据获取到的所述通信环境参数配置出LTE伪基站和2G伪基站；

所述LTE伪基站隐蔽定点吸入所述目标终端后，发出拒绝消息触发修改后的RRC连接释放信息；

根据所述RRC连接释放信息中指定的重定向基站参数，将目标终端重定向至2G伪基站；

所述2G伪基站配合攻击终端发起中间人攻击，让所述攻击终端替代目标终端在真实网络中的合法位置；

攻击终端向已知手机号码的测试终端拨号，捕获目标终端的手机号码。

2.根据权利要求1所述的一种LTE终端用户手机号码的捕获方法，其特征在于，所述通信环境参数包括各邻居小区的信号强度、跟踪区域码TAC、载波频点号EARFCN等。

3.根据权利要求1所述的一种LTE终端用户手机号码的捕获方法，其特征在于，所述LTE伪基站设置为相对于各邻居小区的高优先级异频小区，即所述目标终端所在的小区的重选优先级高于其他所有的邻居小区。

4.根据权利要求1所述的一种LTE终端用户手机号码的捕获方法，其特征在于，所述发出拒绝消息触发修改后的RRC连接释放信息包括目标终端向所述LTE伪基站发起跟踪区域更新请求，所述LTE伪基站回复TAU Reject消息拒绝该更新请求；收到拒绝消息后，目标终端发送Attach Request消息尝试重新附着，LTE伪基站回复Attach Reject消息拒绝此附着请求；两次拒绝后，所述LTE伪基站向目标终端发送此前修改过的RRC连接释放信息，以释放与目标终端建立的RRC连接。

5.根据权利要求1所述的一种LTE终端用户手机号码的捕获方法，其特征在于，所述将目标终端重定向至2G伪基站包括目标终端接收到被修改过参数的RRC连接释放信息后，被转移至包括重定向参数中指定的2G伪基站。

6.根据权利要求1所述的一种LTE终端用户手机号码的捕获方法，其特征在于，所述2G伪基站配合攻击终端发起中间人攻击包括目标终端向2G伪基站发起位置更新请求，所述2G伪基站以身份请求信息获取所述目标终端的IMSI，并将所述目标终端的IMSI发送给攻击终端，所述攻击终端以所述目标终端的IMSI为身份向真实网络发起位置更新请求，并成功触发所述真实网络的鉴权认证过程；收到来自真实网络的包含鉴权向量的鉴权请求消息并传递给目标终端，目标终端根据其中包含的鉴权向量进行鉴权认证，计算出鉴权响应向量，并传递给攻击终端。

7.根据权利要求1所述的一种LTE终端用户手机号码的捕获方法，其特征在于，让所述攻击终端替代目标终端在真实网络中的合法位置包括攻击终端向真实网络发送包含鉴权响应向量的鉴权响应信息，网络端通过匹配攻击终端发送的鉴权响应向量值与自身计算的鉴权响应向量值，完成对攻击终端的鉴权，并向其发送位置更新同意消息，替代目标终端在真实网络中的合法位置。

8.一种LTE终端用户手机号码的抗捕获方法，其特征在于，所述方法包括：

目标终端驻留在LTE基站时，采集当前驻留小区和其他邻居小区的重选优先级信息以及信号质量，通过预判断函数重选其中一个小区进行信号服务；

在预设的第一条件和第二条件下，当监测到的信号质量大于第一预设阈值，或者其他邻居小区的重选优先级信息高于当前驻留小区的优先级时，将预判断函数中的状态函数变更为真，并重选出相应的小区；

若重选后的小区向目标终端发送包含有重定向基站的RRC连接释放消息，则判定所述重选后的小区为LTE伪基站；所述目标终端拦截此消息，并将该LTE伪基站更新到禁止小区列表中，重新执行小区重选操作，将状态参数恢复为假；

若重选后的小区未向目标终端发送RRC连接释放消息，通过双向鉴权过程，将状态参数恢复为假。

9.根据权利要求8所述的一种LTE终端用户手机号码的抗捕获方法，其特征在于，所述第一条件包括目标终端的位置未在预设时间段内发生预设偏移距离的移动。

10.根据权利要求9所述的一种LTE终端用户手机号码的抗捕获方法，其特征在于，所述第二条件包括目标终端所在的当前驻留区域中的信号质量保持在预设范围内。

Images