RU2814792C1 - Method and device for countering unauthorized access to subscriber device in wireless communication network - Google Patents

Method and device for countering unauthorized access to subscriber device in wireless communication network Download PDF

Info

Publication number
RU2814792C1
RU2814792C1 RU2023123675A RU2023123675A RU2814792C1 RU 2814792 C1 RU2814792 C1 RU 2814792C1 RU 2023123675 A RU2023123675 A RU 2023123675A RU 2023123675 A RU2023123675 A RU 2023123675A RU 2814792 C1 RU2814792 C1 RU 2814792C1
Authority
RU
Russia
Prior art keywords
subscriber
subscriber device
base station
identifier
virtual base
Prior art date
Application number
RU2023123675A
Other languages
Russian (ru)
Inventor
Артём Анатольевич Задорожный
Original Assignee
Общество С Ограниченной Ответственностью "Софтайм"
Filing date
Publication date
Application filed by Общество С Ограниченной Ответственностью "Софтайм" filed Critical Общество С Ограниченной Ответственностью "Софтайм"
Application granted granted Critical
Publication of RU2814792C1 publication Critical patent/RU2814792C1/en

Links

Abstract

FIELD: wireless communication network.
SUBSTANCE: disclosed is a method of countering unauthorized access to a subscriber device in a wireless communication network, characterized by the fact that when receiving, together with the subscriber device, a receiver of a device for countering unauthorized access to the subscriber device of a request for providing a mobile subscriber identifier IMSI, the time of receiving the request and the frequency are recorded, on which the request was sent, when the threshold value of the number of such requests in the time interval is exceeded, and/or if there are signs of operation of a virtual base station in said zone, and/or when transmitting identifiers in the service area is prohibited, transmitting, using the transmitter for the virtual base station, the generated false identifier of the requested subscriber device, which does not match its real identifier IMSI, wherein the response to the request is transmitted with a signal power exceeding the power of the signal from the subscriber device for the virtual base station to ignore the real IMSI received from the subscriber device in parallel with the false identifier.
EFFECT: providing counteraction to operation of technical means designed to obtain identifiers of subscriber devices of cellular communication.
11 cl, 1 dwg

Description

Изобретения относятся к сетям беспроводной связи, а именно к способам и устройствам обеспечения информационной безопасности абонентов [H04W 4/00, H04W 12/00, H04W 12/02, H04W 12/12, H04W 12/121, H04W 12/122, H04W 12/128, H04W 12/30, H04W 12/40, H04W 12/60, H04W 12/61, H04W 12/63, H04W 12/64, H04W 12/80, H04W 60/00, H04W 60/04].The inventions relate to wireless communication networks, namely to methods and devices for ensuring information security of subscribers [H04W 4/00, H04W 12/00, H04W 12/02, H04W 12/12, H04W 12/121, H04W 12/122, H04W 12 /128, H04W 12/30, H04W 12/40, H04W 12/60, H04W 12/61, H04W 12/63, H04W 12/64, H04W 12/80, H04W 60/00, H04W 60/04].

Количество абонентских устройств сотовой связи постоянно растет. Так, по данным на 2021 год количество пользователей смартфонов во всем мире составило 3,9 миллиарда человек, при этом Россия занимает одно из ведущих мест по данному показателю. Абонентские устройства сотовой связи используются уже не только для общения, но и с целью развлечения, обучения, решения всесторонних, в том числе бизнес-задач, а также для выполнения своих функций органами государственной власти. И очевидно, что обеспечение информационной безопасности при использования абонентского устройства сотовой связи является в настоящее время одной из важнейших задач.The number of subscriber cellular devices is constantly growing. Thus, according to data for 2021, the number of smartphone users worldwide amounted to 3.9 billion people, with Russia occupying one of the leading places in this indicator. Cellular subscriber devices are no longer used only for communication, but also for the purpose of entertainment, education, solving comprehensive, including business, problems, as well as for government bodies to perform their functions. And it is obvious that ensuring information security when using a cellular subscriber device is currently one of the most important tasks.

Известны различные возможные атаки на абонентские устройства сотовой связи, которые осуществляют злоумышленники с целью получения личных данных, сведений о банковских счетах, данных о местоположении, используемых Интернет-ресурсах, для вызова сбоев связи (ухудшение связи, уменьшение скорости связи, ограничение оказываемых услуг) и т.д. Various possible attacks on subscriber cellular communication devices are known, which are carried out by attackers in order to obtain personal data, information about bank accounts, location data, used Internet resources, to cause communication failures (deterioration of communication, reduction of communication speed, limitation of services provided) and etc.

Наиболее опасные атаки выполняются злоумышленниками с использованием так называемых «виртуальных базовых станции» (ВБС, «IMSI catcher», «Fake BS»). Указанные виртуальные базовые станции «выдают» себя за легальную базовую станцию сотовой связи и далее подменяют (затмевают) команды абонентскому устройству от базовой станции с целью, например, получения постоянных идентификаторов. В телекоммуникационных беспроводных сетях 2-5 поколений в целях безопасности при передачи по беспроводному радиоканалу связи используют временные постоянно меняющиеся идентификаторы (TMSI - Temporary Mobile Subscriber Identity, GUTI = MME identifier + TMSI), а также предусмотрены и другие временные идентификаторы, например, для отправки пейджинговых сообщений в сетях LTE/NR используют временный идентификатор RNTI. Очевидно, что подмена постоянного идентификатора на временный существенно усложняет для злоумышленника адресную атаку (вычленение траффика, определение местоположения, подтверждения нахождения в локальном районе конкретного абонента и т.д.). Многочисленные исследования и практические устройства доказали, что с помощью ВБС можно получить не только временные, но и постоянные идентификаторы. The most dangerous attacks are carried out by attackers using so-called “virtual base stations” (VBS, “IMSI catcher”, “Fake BS”). These virtual base stations “impersonate” themselves as a legitimate cellular base station and then replace (eclipse) commands to the subscriber device from the base station in order, for example, to obtain permanent identifiers. In telecommunication wireless networks of 2-5 generations, for security purposes when transmitting over a wireless radio channel, temporary constantly changing identifiers are used (TMSI - Temporary Mobile Subscriber Identity, GUTI = MME identifier + TMSI), and other temporary identifiers are also provided, for example, for sending Paging messages in LTE/NR networks use a temporary RNTI. Obviously, replacing a permanent identifier with a temporary one significantly complicates a targeted attack for an attacker (singling out traffic, determining location, confirming the location of a specific subscriber in the local area, etc.). Numerous studies and practical devices have proven that using VBS it is possible to obtain not only temporary, but also permanent identifiers.

Атаки с использованием виртуальной базовой станции с целью получения постоянного идентификатора абонентского устройства известны в различных поколениях сотовой связи. Из источников [Easy 4G/LTE IMSI Catchers for Non-Programmers, Stig F. Mjlsnes and Ruxandra F. Olimid, https://www.researchgate.net/publication/318925138_Easy_4GLTE_IMSI_Catchers_for_Non-Programmers], [Practical attacks against privacy and availability in 4G/LTE mobile communication systems, Altaf Shaik, Ravishankar Borgaonkary, N. Asokanz, Valtteri Niemix and Jean-Pierre Seifert, https://www.researchgate.net/publication/283279741_Practical_attacks_against_privacy_and_availability_in_4GLTE_mobile_communication_systems] известен способ проведения атаки для выявления постоянных идентификаторов абонентских устройств, применяемых в сетях 4-го поколения (сети LTE) для которого используют одну или пару виртуальных базовых станций, где первая виртуальная базовая станция излучает сигнал на одной из приоритетных частот и с большой долей вероятности одно или несколько абонентских устройств попытаются прикрепиться ко второй виртуальной базовой станции, то есть вторая виртуальная базовая станция используется для открепления атакуемого абонентского устройства от сети. В процессе прикрепления абонентского устройства ко второй виртуальной базовой станции от нее подается запрос на абонентские устройства, подключенные в этот момент в сети к базовой станции на получение постоянного идентификатора IMSI (IDENTITY REQUEST). Таким образом злоумышленник может собрать все постоянные идентификаторы в каком-то локальном районе. Далее собранные идентификаторы могут использоваться в других атаках или действиях, направленных на ограничение законных прав и свобод пользователей абонентских устройств (например, атаки SS7, отслеживание местоположения конкретного пользователя и т.д.).Attacks using a virtual base station to obtain a permanent subscriber device identifier are known in various generations of cellular communications. From sources [Easy 4G/LTE IMSI Catchers for Non-Programmers, Stig F. Mjlsnes and Ruxandra F. Olimid, https://www.researchgate.net/publication/318925138_Easy_4GLTE_IMSI_Catchers_for_Non-Programmers], [Practical attacks against privacy and availability in 4G /LTE mobile communication systems, Altaf Shaik, Ravishankar Borgaonkary, N. Asokanz, Valtteri Niemix and Jean-Pierre Seifert, https://www.researchgate.net/publication/283279741_Practical_attacks_against_privacy_and_availability_in_4GLTE_mobile_communication_systems] known method of carrying out an attack to identify permanent identifiers of subscriber devices used in 4th generation networks (LTE networks) for which one or a pair of virtual base stations are used, where the first virtual base station emits a signal at one of the priority frequencies and with a high degree of probability one or more subscriber devices will try to attach to the second virtual base station, that is, the second virtual base station is used to detach the attacked subscriber device from the network. In the process of attaching the subscriber device to the second virtual base station, it sends a request to the subscriber devices currently connected in the network to the base station to receive a permanent IMSI identifier (IDENTITY REQUEST). In this way, an attacker can collect all persistent identifiers in some local area. Further, the collected identifiers can be used in other attacks or actions aimed at restricting the legal rights and freedoms of users of subscriber devices (for example, SS7 attacks, tracking the location of a specific user, etc.).

Виртуальные базовые станции могут использовать для наблюдения за отдельными абонентскими устройствами и их владельцами, для установления личности владельца абонентского устройства, отслеживания владельца абонентского устройства с известным IMSI в заданном районе местности, для прослушивания разговоров с использованием открепленного от реальной базовой станции абонентского устройства. Virtual base stations can be used to monitor individual subscriber devices and their owners, to establish the identity of the owner of the subscriber device, to track the owner of the subscriber device with a known IMSI in a given area, to listen to conversations using the subscriber device detached from the real base station.

Для противодействия виртуальным базовым станциям используются различные методы.Various methods are used to counter virtual base stations.

Известен СПОСОБ ОБНАРУЖЕНИЯ ФАЛЬШИВОЙ БАЗОВОЙ СТАНЦИИ [EP3298814 (A1), опубликовано: 28.03.2018], включающий идентификацию первым беспроводным устройством множества параметров, связанных с сигналом обнаружения, передаваемым вторым беспроводным устройством, причем второе беспроводное устройство объявляется в качестве контроллера базовой станции, сравнение первым беспроводным устройством множества параметров, связанных с сигналом обнаружения, переданным вторым беспроводным устройством, с набором параметров, назначенных или иным образом связанных с кластером соседних базовых станций и определение того, что второе беспроводное устройство является поддельной базовой станцией, когда несоответствие между параметрами, связанными с сигналом обнаружения, переданным вторым беспроводным устройством, и набором параметров, назначенных или иным образом связанных с кластером соседних базовых станций, превышает порог, при этом сигнал обнаружения идентифицирует одну или более возможностей базовой станции второго беспроводного устройства, и при этом определение того, что второе беспроводное устройство является поддельной базовой станцией, включает сравнение одной или более возможностей базовых станций второго беспроводного устройства с набором возможностей базовых станций, связанных с кластер соседних базовых станций, чтобы определить, несовместимы ли одна или более возможностей базовых станций второго беспроводного устройства с возможностями кластера соседних базовых станций, при этом одна или более возможностей базовых станций второго беспроводного устройства несовместимы с возможностями кластера соседних базовых станций, когда второму беспроводному устройству не хватает возможностей в наборе возможностей, связанных с кластером соседних базовых станций. There is a known METHOD FOR DETECTING A FAKE BASE STATION [EP3298814 (A1), published: 03/28/2018], including identification by the first wireless device of a plurality of parameters associated with the detection signal transmitted by the second wireless device, wherein the second wireless device is declared as a base station controller, compared by the first a wireless device of a plurality of parameters associated with a detection signal transmitted by a second wireless device with a set of parameters assigned to or otherwise associated with a cluster of neighboring base stations; and determining that the second wireless device is a rogue base station when there is a discrepancy between the parameters associated with the signal detection transmitted by the second wireless device and a set of parameters assigned to or otherwise associated with a cluster of neighboring base stations exceeds a threshold, wherein the detection signal identifies one or more base station capabilities of the second wireless device, and wherein determining that the second wireless device is a fake base station, includes comparing one or more base station capabilities of the second wireless device with a set of base station capabilities associated with a cluster of neighboring base stations to determine whether one or more base station capabilities of the second wireless device are incompatible with the capabilities of the cluster of neighboring base stations, wherein one or more base station capabilities of the second wireless device are incompatible with the capabilities of a cluster of neighboring base stations when the second wireless device lacks capabilities in the set of capabilities associated with the cluster of neighboring base stations.

Недостатком аналога является то, что указанный способ не позволяет выявить все возможные виртуальные базовые станции, так как параметры виртуальных базовых станций могут совпадать полностью с параметрами соседних базовых станций, кроме того возможна ситуация когда у легальных базовых станций некоторые параметры могут отличаться от параметров соседних легальных базовых станций, например, из-за настроек оператора.The disadvantage of the analogue is that this method does not allow identifying all possible virtual base stations, since the parameters of virtual base stations may completely coincide with the parameters of neighboring base stations, in addition, it is possible that legal base stations have some parameters that may differ from the parameters of neighboring legal base stations stations, for example, due to operator settings.

Наиболее близким по технической сущности является СПОСОБ ОПРЕДЕЛЕНИЯ СРЕДСТВА КОММУТАЦИИ И УПРАВЛЕНИЯ ЗЛОУМЫШЛЕННИКА [RU 2759156 C1, опубликовано: 09.11.2021], заключающийся в поступлении от средства связи в приемный блок идентификационной информации обслуживающего средства коммутации и управления, отличающийся тем, что дополнительно от средства связи получают значение уровня принятого сигнала обслуживающего средства коммутации и управления, осуществляют запрос по полученной идентификационной информации в базу данных для определения координат легитимного средства коммутации и управления, в блоке расчета расстояния, предназначенном для расчета расстояния от средства связи до средства коммутации и управления, получают собственные координаты от навигационного приемника средства связи, по координатам вычисляют расстояние от средства связи до средства коммутации и управления (R1), параллельно с этим передают значение уровня принятого сигнала из приемного блока в блок расчета расстояния, предназначенный для расчета расстояния от средства связи до обслуживающего средства коммутации и управления, где рассчитывают расстояние до обслуживающего средства коммутации и управления по уровню принятого сигнала (R2), полученные в блоках расчета расстояний значения передают в блок определения разности расстояний, где вычисляют разность между полученными расстояниями (ΔR), полученное значение (ΔR) передают в решающий блок, где сравнивают модуль полученного значения (|ΔR|) с заданным значение (ΔD), в случае если модуль разности рассчитанных расстояний больше заданного значения (|ΔR|>ΔD), то принимают решение, что данное средство коммутации и управления принадлежит злоумышленнику, в исполнительном блоке на основе решения, полученного от решающего блока, формируют и передают оператору средства связи оповещение о том, что обслуживающее средство коммутации и управления принадлежит злоумышленнику.The closest in technical essence is the METHOD FOR DETERMINING AN ATTACKER'S SWITCHING AND CONTROL MEANS [RU 2759156 C1, published: 09.11.2021], which consists in receiving identification information from the communication means to the receiving unit of the serving switching and control means, which differs in that in addition to the communication means receive the value of the received signal level of the serving switching and control facility, query the received identification information into the database to determine the coordinates of the legitimate switching and control facility, and obtain their own coordinates in the distance calculation block designed to calculate the distance from the communication facility to the switching and control facility from the navigation receiver of the communication means, the distance from the communication means to the switching and control means (R1) is calculated using the coordinates, in parallel with this, the value of the level of the received signal is transmitted from the receiving unit to the distance calculation block, designed to calculate the distance from the communication means to the serving switching means and control, where the distance to the serving switching and control facility is calculated based on the level of the received signal (R2), the values obtained in the distance calculation blocks are transferred to the distance difference determination block, where the difference between the received distances (ΔR) is calculated, the resulting value (ΔR) is transmitted to the decisive a block where the module of the received value (|ΔR|) is compared with the specified value (ΔD), if the module of the difference of the calculated distances is greater than the specified value (|ΔR|>ΔD), then a decision is made that this switching and control means belongs to an attacker, in the executive block, based on the decision received from the decision block, a notification is generated and transmitted to the communications operator that the servicing switching and control facility belongs to an attacker.

Основной технической проблемой прототипа является низкая эффективность идентификации виртуальной базовой станции из-за наличия заданной погрешности измерений при которой при расположении виртуальной базовой станции в непосредственной близости от легальной базовой станции, система не идентифицирует ее как виртуальную базовую станцию. Кроме того, общей технической проблемой аналога и прототипа является то, что данными способами можно только выявить работу виртуальной базовой станции, но не препятствовать ее работе. The main technical problem of the prototype is the low efficiency of identifying a virtual base station due to the presence of a given measurement error in which, when a virtual base station is located in close proximity to a legal base station, the system does not identify it as a virtual base station. In addition, a common technical problem of the analogue and the prototype is that these methods can only detect the operation of the virtual base station, but not interfere with its operation.

Задача изобретения состоит в устранении недостатков аналога и прототипа.The objective of the invention is to eliminate the disadvantages of the analogue and prototype.

Технический результат изобретения заключается в обеспечении противодействия работе специальным техническим средствам, созданных для получения идентификаторов абонентских устройств сотовой связи.The technical result of the invention is to counteract the operation of special technical means created to obtain identifiers of subscriber cellular devices.

Указанный технический результат достигается за счет того, что способ противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи, характеризующийся тем, что при получении вместе с абонентским устройством приемником устройства противодействия несанкционированному доступу к абонентскому устройству запроса на предоставление этим абонентским устройством своего международного идентификатора мобильного абонента IMSI фиксируют время получения запроса и частоту, на которой был передан запрос, по превышению порогового значения количества таких запросов в интервале времени установленным подсчетом количеством запросов от реальных базовых станций в этом интервале времени, и/или при наличии признаков работы виртуальной базовой станции в указанной зоне, и/или при запрете передачи идентификаторов в зоне обслуживания, передают с помощью передатчика на частоте получения запроса сгенерированный ложный идентификатор запрашиваемого абонентского устройства, не совпадающий с его реальным идентификатором IMSI, при этом ответ на запрос передают мощностью сигнала, превышающей мощность сигнала от абонентского устройства для игнорирования виртуальной базовой станцией реального идентификатора IMSI, полученного ею от абонентского устройства параллельно с ложным идентификатором.The specified technical result is achieved due to the fact that the method of countering unauthorized access to a subscriber device in a wireless communication network, characterized in that when, together with the subscriber device, the receiver of the device for counteracting unauthorized access to the subscriber device receives a request for this subscriber device to provide its international mobile subscriber identifier IMSIs record the time the request was received and the frequency at which the request was transmitted when the threshold value of the number of such requests in a time interval is exceeded by a set count of the number of requests from real base stations in this time interval, and/or if there are signs of a virtual base station operating in a specified area , and/or when the transmission of identifiers is prohibited in the service area, a generated false identifier of the requested subscriber device is transmitted using a transmitter at the frequency of receiving the request, which does not coincide with its real IMSI identifier, while the response to the request is transmitted with a signal power exceeding the signal power from the subscriber device for the virtual base station to ignore the real IMSI identifier it received from the subscriber device in parallel with the false identifier.

В частности, признаки работы виртуальной базовой станции в зоне обслуживания абонентского устройства выявляют программно-аппаратными средствами.In particular, signs of the operation of a virtual base station in the service area of the subscriber device are detected by software and hardware.

В частности, признаки работы виртуальной базовой станции в зоне обслуживания абонентского устройства выявляют организационными мерами, направленными на повышение информационной безопасности.In particular, signs of the operation of a virtual base station in the service area of the subscriber device are identified by organizational measures aimed at increasing information security.

В частности, в ложном идентификаторе абонентского устройства записывается информация о месте и времени формирования ложного идентификатора для определения места, времени и направления атак на абонентское устройство.In particular, information about the place and time of formation of the false identifier is recorded in the false identifier of the subscriber device to determine the place, time and direction of attacks on the subscriber device.

В частности, ложный идентификатор формируют путем выбора из базы данных реального идентификатора абонентского устройства, находящегося в это время в другом локальном районе.In particular, a false identifier is generated by selecting from the database the real identifier of the subscriber device, which is located at that time in another local area.

В частности, при выявлении запросов от виртуальных базовых станций вместе с отправкой ложного идентификатора абонентского устройства виртуальной базовой станции осуществляют рассылку на абонентские устройства, находящиеся в зоне обслуживания базовых станций о факте несанкционированных действиях на абонентские устройства.In particular, when requests from virtual base stations are detected, together with sending a false identifier of the subscriber device, the virtual base station sends messages to subscriber devices located in the service area of the base stations about the fact of unauthorized actions on subscriber devices.

Устройство противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи, характеризующееся тем, что содержит модуль управления и подключенные к нему модуль памяти для хранения баз данных реальных и ложных идентификаторов абонентских устройств, модули часов реального времени и привязки для определения времени и места запроса от виртуальной базовой станции на предоставление абонентским устройством своего идентификатора и для синхронизации точного времени для одновременной передачи сгенерированного IMSI с реальным, генератор для формирования ложных идентификаторов, счетчик запросов идентификаторов абонентских устройств, приемник позволяющий получать служебные пакеты от базовых и виртуальных базовых станций, к которым могут присоединиться абонентские устройства и передатчик способный передавать идентификаторы абонентских устройств базовым и виртуальным базовым станциям в ответ на их запрос, к приемнику и передатчику подключены соответственно приемная и передающая антенна A device for preventing unauthorized access to a subscriber device in a wireless communication network, characterized in that it contains a control module and a memory module connected to it for storing databases of real and false identifiers of subscriber devices, real-time clock modules and bindings for determining the time and location of a request from a virtual base station for the subscriber device to provide its identifier and for synchronizing the exact time for simultaneous transmission of the generated IMSI with the real one, a generator for generating false identifiers, a counter for requests for subscriber device identifiers, a receiver that allows receiving service packets from base and virtual base stations to which subscriber devices can join devices and a transmitter capable of transmitting subscriber device identifiers to base and virtual base stations in response to their request; a receiving and transmitting antenna are connected to the receiver and transmitter, respectively

В частности, приемник и передатчик могут быть выполнены в виде одного приемо-передающего модуля. In particular, the receiver and transmitter can be made in the form of a single transceiver module.

В частности, приемная и передающая антенны могут быть выполнены в виде одной приемо-передающей антенны. In particular, the receiving and transmitting antennas can be made in the form of one transmitting and receiving antenna.

В частности, модуль часов реального времени и модуль привязки могут быть выполнены в виде модуля GPS/GLONASS/Galileo/BeiDou. In particular, the real-time clock module and the binding module can be implemented as a GPS/GLONASS/Galileo/BeiDou module.

В частности, устройство противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи может быть выполнено на базе базовой станции.In particular, a device for preventing unauthorized access to a subscriber device in a wireless communication network can be based on a base station.

На фигуре схематично показан один из вариантов устройства противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи, на которой обозначено: 1 - модуль управления, 2 - модуль памяти, 3 - модуль часов реального времени, 4 - модуль привязки, 5 - генератор идентификаторов, 6 - счетчик запросов, 7 - приемник, 8 - передатчик, 9 - приемная антенна, 10 - передающая антенна, 11 - базовая станция, 12 - виртуальная базовая станция, 13 - абонентские устройства.The figure schematically shows one of the options for a device to counter unauthorized access to a subscriber device in a wireless communication network, which indicates: 1 - control module, 2 - memory module, 3 - real-time clock module, 4 - binding module, 5 - identifier generator, 6 - request counter, 7 - receiver, 8 - transmitter, 9 - receiving antenna, 10 - transmitting antenna, 11 - base station, 12 - virtual base station, 13 - subscriber devices.

Осуществление изобретения.Implementation of the invention.

Сущностью заявленного изобретения является обнаружение виртуальной базовой станции (IMSI-ловушки) по попытке получения ею идентификатора абонентского устройства и дезинформация выявленной виртуальной базовой станции ложными идентификаторами, обработка которых заставляет злоумышленника потратить дополнительное время на их обработку и дезинформирует его относительно постоянных идентификаторов абонентских устройств и определение зоны и времени действия виртуальной базовой станции. The essence of the claimed invention is the detection of a virtual base station (IMSI-trap) by its attempt to obtain the identifier of the subscriber device and misinformation of the identified virtual base station with false identifiers, the processing of which forces the attacker to spend additional time on their processing and misinforms him regarding the permanent identifiers of the subscriber devices and zone definition and the operating time of the virtual base station.

Базовая станция в радиосвязи - системный комплекс приёмопередающей аппаратуры, осуществляющей централизованное обслуживание группы оконечных абонентских устройств. Базовая станция применительно к сотовой связи - это комплекс радиопередающей аппаратуры (ретрансляторы, приёмопередатчики), осуществляющий связь с конечным абонентским устройством - сотовым телефоном. A base station in radio communications is a system complex of transceiver equipment that provides centralized service to a group of terminal subscriber devices. A base station in relation to cellular communications is a complex of radio transmitting equipment (repeaters, transceivers) that communicates with the end user device - a cell phone.

Виртуальная базовая станция представляет собой устройство, которая используется злоумышленниками, в том числе и для идентификации временной идентификации мобильного абонента (TMSI), международной идентификации мобильного абонента (IMSI) ближайшего абонентского устройства и перехвата его вызовов, а некоторые из них для определения международной идентификации мобильного оборудования (IMEI).A virtual base station is a device that is used by attackers, including to identify the temporary mobile subscriber identification (TMSI), international mobile subscriber identification (IMSI) of the nearest subscriber device and intercept its calls, and some of them to determine the international identification of mobile equipment (IMEI).

Заявленный способ позволяет ввести в заблуждение виртуальную базовую станцию и злоумышленника, управляющего ей, при этом ложные идентификаторы, собираемые виртуальной базовой станцией злоумышленника, позволяют определить абонентское устройство, являющегося целью атаки, зону и время работы виртуальной базовой станции. The claimed method allows you to mislead the virtual base station and the attacker controlling it, while false identifiers collected by the attacker's virtual base station make it possible to determine the subscriber device that is the target of the attack, the zone and operating time of the virtual base station.

Международный идентификатор мобильного абонента International Mobile Subscriber Identity (IMSI) - это индивидуальный номер абонента, ассоциированный с каждым пользователем мобильной связи стандарта GSM, UMTS или CDMA, LTE, NR. При регистрации в сети абонентское устройство передаёт IMSI, по которому происходит его идентификация. В абонентских устройствах, работающих в сети мобильной связи, идентификатор содержится на SIM-карте в элементарном файле (EF), имеющем идентификатор 6F07. Формат хранения IMSI на SIM-карте описан, например, ETSI в спецификации GSM 11.11. Кроме того, IMSI используется любой мобильной сетью, соединенной с другими сетями (в частности с CDMA или EVDO, LTE) таким же образом, как и в GSM сетях. Этот номер связан либо непосредственно с телефоном, либо с R-UIM картой (аналогом SIM карты GSM в системе CDMA).International Mobile Subscriber Identity (IMSI) is an individual subscriber number associated with each GSM, UMTS or CDMA, LTE, NR mobile phone user. When registering on the network, the subscriber device transmits an IMSI, which is used to identify it. In subscriber devices operating in a mobile communication network, the identifier is contained on the SIM card in an elementary file (EF) with the identifier 6F07. The format for storing IMSI on a SIM card is described, for example, by ETSI in the GSM 11.11 specification. In addition, IMSI is used by any mobile network connected to other networks (in particular CDMA or EVDO, LTE) in the same way as in GSM networks. This number is associated either directly with the phone or with an R-UIM card (analogous to a GSM SIM card in the CDMA system).

Длина IMSI, как правило, составляет 15 цифр, но может быть короче. Например: 250-07-ХХХХХХХХХХ. Первые три цифры это MCC (Mobile Country Code, мобильный код страны). В примере 250 - Россия (262 - Германия, 257 - Беларусь). Все операторы, предоставляющие услуги сотовой связи в определённой стране имеют одинаковый код MCC. За ним следует MNC (Mobile Network Code, код мобильной сети) - это уникальный код сотового оператора, действующий в пределах всей страны. 07 из примера - СМАРТС. Код мобильной сети может содержать две цифры по европейскому стандарту или три по североамериканскому. Все последующие цифры - непосредственно идентификатор пользователя MSIN (Mobile Subscriber Identification Number). The IMSI length is usually 15 digits, but can be shorter. For example: 250-07-ХХХХХХХХХХ. The first three digits are MCC (Mobile Country Code). In the example, 250 are Russia (262 are Germany, 257 are Belarus). All operators providing cellular services in a certain country have the same MCC code. It is followed by MNC (Mobile Network Code) - this is a unique cellular operator code valid throughout the country. 07 from the example - SMARTS. The mobile network code may contain two digits according to the European standard or three digits according to the North American standard. All subsequent numbers are directly the user ID MSIN (Mobile Subscriber Identification Number).

Мобильный код страны (MCC), мобильный код сети (MNC) передаются абонентскому устройству по беспроводной связи через сообщения SIB (Системный информационный блок) с помощью, например, базовой станции, который напрямую связывается по беспроводной сети с абонентскими устройствами. Это позволяет абонентскому устройству (UE) (User Equipment) идентифицировать оператора. Чтобы подключиться к сети, абонентское устройство отправляет базовой станции сообщение с запросом на подключение. Mobile Country Code (MCC), Mobile Network Code (MNC) are transmitted to the subscriber equipment wirelessly through SIB (System Information Block) messages using, for example, a base station that directly communicates wirelessly with the subscriber equipment. This allows the user equipment (UE) (User Equipment) to identify the operator. To connect to the network, the subscriber device sends a connection request message to the base station.

Физические и MAC-сообщения в сети беспроводной связи отправляются в виде обычного текста, а международный идентификатор мобильного абонента (IMSI) после успешной аутентификации заменяется временным идентификатором мобильной станции (TMSI) (Temporary Mobile Subscriber Identity) и используется из соображений безопасности, для сокрытия других идентификаторов абонента, а именно, во избежание передачи международного идентификатора мобильного абонента (IMSI) для защиты конфиденциальности пользователей.Physical and MAC messages in a wireless network are sent in plain text, and the International Mobile Subscriber Identity (IMSI) after successful authentication is replaced by a Temporary Mobile Subscriber Identity (TMSI) and is used for security reasons to hide other identifiers subscriber, namely to avoid transmission of the International Mobile Subscriber Identity (IMSI) to protect user privacy.

Устройство противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи содержит модуль управления 1 и подключенные к нему модуль памяти 2, модуля часов реального времени 3, модуля привязки 4, генератор идентификаторов 5, счетчик запросов 6, приемник 7, передатчика 8. К приемнику 7 и передатчику 8 подключены соответственно приемная 9 и передающая 10 антенны. Приемник 7 и передатчик 8 могут быть выполнены в виде одного приемо-передающего модуля. Приемная 9 и передающая 10 антенны могут быть также выполнены в виде одной приемо-передающей антенны. Модуль часов реального времени 3 и модуль привязки 4 могут быть выполнены в виде модуля GPS/GLONASS/Galileo/BeiDou и т.д. Модуль реального времени служит для точной синхронизации отправки подменного IMSI с реальным IMSI. Для того, чтобы такая подмена была возможна, погрешность часов не должна превышать несколько десятков микросекунд (длительность символа, например, в LTE составляет 66 мкс).The device for preventing unauthorized access to a subscriber device in a wireless communication network contains a control module 1 and a memory module 2, a real-time clock module 3, a binding module 4, an identifier generator 5, a request counter 6, a receiver 7, a transmitter 8 connected to it. To the receiver 7 and the transmitter 8 are connected to the receiving 9 and transmitting 10 antennas, respectively. The receiver 7 and the transmitter 8 can be made in the form of one transceiver module. The receiving 9 and transmitting antennas 10 can also be made in the form of one transmitting and receiving antenna. The real time clock module 3 and the binding module 4 may be designed as a GPS/GLONASS/Galileo/BeiDou etc. module. The real-time module is used to accurately synchronize the sending of the spoof IMSI with the real IMSI. In order for such a substitution to be possible, the clock error should not exceed several tens of microseconds (the duration of a symbol, for example, in LTE is 66 μs).

Устройство противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи может быть выполнено на базе базовой станции.A device for preventing unauthorized access to a subscriber device in a wireless communication network can be based on a base station.

Для недопущения сбора постоянных идентификаторов IMSI на каком-либо объекте или зоне обслуживания первоначально оценивают радиоэлектронную обстановку, а именно, с какими базовыми станциями 11 сотовой связи могут взаимодействовать абонентские устройства 13 сотовой связи. По служебным сообщениям от базовых станций 11 (сообщения RRC, MAC уровня проходят без шифрования) полученных приемником 7 через приемную антенну 9 в модуле управления 1 определяют времена и частоты, предназначенные для передачи запросов с того или иного абонентского устройства 13, а также время задержки для конкретного абонентского устройства 13. По каким-то обстоятельствам ядро сети может потерять временный идентификатор TMSI абонентского устройства 13, и тогда базовая станция 11 подаёт запрос на получение постоянного идентификатора IMSI абонентского устройства 13. Протоколом 3GPP допускается отправка IMSI до осуществления соединения абонентского устройства с базовой станцией (соответственно до шифрования), этим и пользуются злоумышленники для получения идентификаторов. To prevent the collection of permanent IMSIs at any facility or service area, the radio-electronic situation is initially assessed, namely, with which cellular base stations 11 the cellular subscriber devices 13 can interact. Based on service messages from base stations 11 (RRC, MAC level messages pass without encryption) received by the receiver 7 through the receiving antenna 9 in the control module 1, the times and frequencies intended for transmitting requests from a particular subscriber device 13 are determined, as well as the delay time for specific subscriber device 13. For some reason, the network core may lose the temporary TMSI identifier of the subscriber device 13, and then the base station 11 submits a request to receive the permanent IMSI identifier of the subscriber device 13. The 3GPP protocol allows sending IMSI before connecting the subscriber device to the base station (respectively, before encryption), this is what attackers use to obtain identifiers.

При оценке радиоэлектронной обстановки определяют среднее количество запросов за определенное время от базовых станций 11 на предоставление абонентскими устройствами 12 своих идентификаторов. О наличии виртуальной базовой станции 12 в зоне сети свидетельствует не сам единичный запрос, а увеличение количества таких запросов в анализируемый промежуток времени. Например, при анализе радиоэлектронной обстановки установили, что количество запросов от базовых станций 11 не превышает двух за 5 секунд или в другом примере, количество запросов от базовых станций 11 не превышает двадцати за один час. When assessing the radio-electronic situation, the average number of requests over a certain time from base stations 11 for subscriber devices to provide 12 their identifiers is determined. The presence of a virtual base station 12 in the network area is evidenced not by a single request itself, but by an increase in the number of such requests in the analyzed period of time. For example, when analyzing the radio-electronic situation, it was found that the number of requests from base stations 11 does not exceed two in 5 seconds, or in another example, the number of requests from base stations 11 does not exceed twenty in one hour.

Кроме того, наличие виртуальной базовой станции 12 может выявляться любым другим средством, например, программно-аппаратными средствами, выявления в зоне (районе) признаков работы виртуальной базовой станции, например, детекторами IMSI-Catcher, такими как Android IMSI-Catcher Detector, SnoopSnitch, Cell Spy Catcher (Anti Spy) и т.д., организационными мерами, направленными на повышение информационной безопасности например, такими, что в конкретной зоне (районе, объекте) запрещена передача постоянных идентификаторов и любой запрос, даже от легальной базовой станции 11 идентифицируют как подозрительный. Для того, чтобы не затруднять работу легальных базовых станций 11, устройство настраивают таким образом, чтобы оно переходило в активный режим при высокой вероятности работы (присутствия) виртуальной базовой станции 12. Для этого в модуле управления 1 устанавливают пороговое значение количества запросов от базовой станции 11 абонентским устройствам 13 на предоставление одним или нескольким абонентским устройством 13 его международного идентификатора мобильного абонента (IMSI) в заданном интервале времени. При указанном выше значении запросов не более двух за 5 секунд в модуле управления 1 пороговое значение устанавливают, например, три и более запросов за 5 секунд. При установленном количестве запросов от базовых станций 11 в другом примере, в котором такое количество запросов не превышает двадцати за один час, в модуле управления устанавливают пороговое значение количества запросов более двадцати за один час. In addition, the presence of a virtual base station 12 can be detected by any other means, for example, hardware and software, identifying signs of a virtual base station in the zone (region), for example, IMSI-Catcher detectors, such as Android IMSI-Catcher Detector, SnoopSnitch, Cell Spy Catcher (Anti Spy), etc., organizational measures aimed at increasing information security, for example, such that in a specific zone (district, facility) the transfer of permanent identifiers is prohibited and any request, even from a legal base station 11, is identified as suspicious. In order not to impede the operation of legal base stations 11, the device is configured in such a way that it goes into active mode when there is a high probability of operation (presence) of the virtual base station 12. To do this, a threshold value for the number of requests from the base station 11 is set in the control module 1 subscriber devices 13 to provide one or more subscriber device 13 with its International Mobile Subscriber Identity (IMSI) at a predetermined time interval. With the above value of requests no more than two per 5 seconds in control module 1, the threshold value is set, for example, three or more requests per 5 seconds. When the number of requests from the base stations 11 is set in another example, in which such a number of requests does not exceed twenty in one hour, the control module sets a threshold value for the number of requests of more than twenty in one hour.

Указанное пороговое значение, как указано выше, устанавливается исходя из оценки радиоэлектронной обстановки в заданной зоне обнаружения виртуальной базовой станции 12.The specified threshold value, as indicated above, is set based on an assessment of the radio-electronic situation in a given detection zone of the virtual base station 12.

Разворачивают одно или несколько устройств, каждое из которых может включать один или несколько приемников 7 с приемными антеннами 9, способными принимать служебную информацию от базовой станции и позволяющих «прослушивать» служебные пакеты от всех, либо от близлежащих базовых и виртуальных базовых станций, к которым могут присоединиться абонентские устройства 13, находящиеся на объекте (в зоне обслуживания) и один или несколько передатчиков 8 с передающими антеннами 10, способными передавать идентификаторы базовым и виртуальным базовым станциям 12 в ответ на их запрос. В соответствии с алгоритмом работы абонентских устройств в сети мобильной связи, абонентское устройство обычно выбирает базовую станцию с наиболее сильным сигналом. Таким образом виртуальная базовая станция 12 забирает абонентские устройства 13 на себя. Далее она запрашивает с абонентского устройства 13 его IMSI. Этот запрос одновременно с абонентским устройством 13 получает устройство противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи.One or more devices are deployed, each of which may include one or more receivers 7 with receiving antennas 9, capable of receiving service information from the base station and allowing to “listen” to service packets from all, or from nearby base and virtual base stations, to which they can connect subscriber devices 13 located on the site (in the service area) and one or more transmitters 8 with transmitting antennas 10 capable of transmitting identifiers to base and virtual base stations 12 in response to their request. In accordance with the algorithm for the operation of subscriber devices in a mobile communication network, the subscriber device usually selects the base station with the strongest signal. Thus, the virtual base station 12 takes over the subscriber devices 13. Next, it requests from the subscriber device 13 its IMSI. This request, simultaneously with the subscriber device 13, is received by a device for preventing unauthorized access to the subscriber device in the wireless communication network.

Обработку информации осуществляется с помощью модуля управления 1, выполненного на базе ПЭВМ, ПЛИС, мобильного устройства. Information processing is carried out using control module 1, based on a PC, FPGA, or mobile device.

Модуль управления 1 устройства получает через приемную антенну 9 и приемник 7 служебные команды сотовой связи от одной и/или нескольких базовых станций 11 в локальном районе (зоне обслуживания) и в случае превышения количества запросов, подсчитываемом счетчиком запросов 6 в заданном в модуле управления 1 интервале времени команд от базовой станции, требующей от абонентского устройства 13 раскрытия своего постоянного идентификатора, модуль управления 1 идентифицирует эту базовую станцию как виртуальную 12. Формирование ложного идентификатора IMSI осуществляют с помощью генератора идентификаторов 5, которым генерируют ложный идентификатор и через передатчик 8, посредством передающей антенны 10, одновременно с абонентским устройством передают ответ виртуальной базовой станции 12 на запрос с ложным идентификатором, не совпадающий с постоянным идентификатором абонентского устройства 13, которому был адресован запрос. Ложный идентификатор могут формировать различными способами. Например, пусть реальный IMSI абонентского устройства 250028567233451. Первые пять цифр (MCC и MNC) оставляют без изменений. Остальные 10 (может и меньше быть в зависимости от страны) подменяют случайным образом или используя базу данных, хранящуюся в модуле памяти 2 устройства с привязкой по времени и месту с помощью модуля часов реального времени 3 и модуля привязки 4 соответственно для того, чтобы по сгенерированному идентификатору впоследствии можно было определить когда и где его сформировали. Например (упрощённо), 6-7 знаки - место формирования идентификатора (например, г. Москва - 12), 8-11 знаки - время формирования (например, 16:12). И в итоге ложный идентификатор будет иметь вид 25002121612000. Могут применяться более сложные методы кодирования для последующего получения информации о времени и месте формирования идентификатора.The control module 1 of the device receives, through the receiving antenna 9 and the receiver 7, service commands of cellular communication from one and/or several base stations 11 in the local area (service area) and in case of exceeding the number of requests counted by the request counter 6 in the interval specified in the control module 1 time of commands from the base station, which requires the subscriber device 13 to disclose its permanent identifier, the control module 1 identifies this base station as virtual 12. The formation of a false IMSI identifier is carried out using an identifier generator 5, which generates a false identifier and through the transmitter 8, by means of a transmitting antenna 10, simultaneously with the subscriber device, a response from the virtual base station 12 is transmitted to a request with a false identifier that does not match the permanent identifier of the subscriber device 13 to which the request was addressed. A false identifier can be generated in various ways. For example, let the real IMSI of the subscriber device be 250028567233451. The first five digits (MCC and MNC) are left unchanged. The remaining 10 (maybe less depending on the country) are replaced randomly or using a database stored in memory module 2 of the device with time and location binding using real time clock module 3 and binding module 4, respectively, so that according to the generated The identifier could subsequently be determined when and where it was formed. For example (simplified), 6-7 characters are the place of formation of the identifier (for example, Moscow - 12), 8-11 characters are the time of formation (for example, 16:12). And as a result, the false identifier will look like 25002121612000. More complex encoding methods can be used to subsequently obtain information about the time and place of formation of the identifier.

Записывают в модуль памяти 2 сформированный ложный идентификатор для его хранения и дальнейшего использования при получении последующего запроса от виртуальной базовой станции 12 на предоставление этого ложного идентификатора IMSI чтобы определить место, время и направление атак на субъект или конкретное абонентское устройство 13. The generated false identifier is written into the memory module 2 for its storage and further use when receiving a subsequent request from the virtual base station 12 to provide this false IMSI identifier in order to determine the place, time and direction of attacks on the subject or a specific subscriber device 13.

Как уже говорилось выше, значение излучаемого ложного идентификатора может зависеть от времени и/или места передачи ложного идентификатора.As discussed above, the value of the decoy identifier emitted may depend on the time and/or location of the decoy identifier transmission.

Пусть с виртуальной базовой станции 12 в районе с кодом зоны отслеживания (TAC) 25 запрошен идентификатор IMSI. В таком случае ложный идентификатор IMSI будет содержать код зоны отслеживания «25» (либо зоны излучения могут быть выбраны по другому признаку, например, 01 - Северо-Запад Москвы, 02- Север Москвы и т.д.). Suppose an IMSI is requested from virtual base station 12 in an area with tracking area code (TAC) 25. In this case, the false IMSI identifier will contain the tracking zone code “25” (or the radiation zones can be selected based on another criterion, for example, 01 - North-West of Moscow, 02 - North of Moscow, etc.).

Таким же образом учитывают и время получения устройством запроса от виртуальной базовой станции 12. В случае повторного запроса от виртуальной базовой станции 12 абонентского устройства 13 и/или использование этого идентификатора для совершение других атак таких как, например, запрос местоположения/доступа к данным абонента с помощью интерфейса SS7/Diameter, по полученного от заявленного устройства ложному идентификатору IMSI по данным, содержащимся в указанном ложном идентификаторе, определяют в каком районе и в какое время он был передан от устройства, что может помочь в осуществлении организационных мер по поиску виртуальной базовой станции 12, определении направления атак злоумышленника и эффективном расследовании подобного инцидента.In the same way, the time the device receives a request from the virtual base station 12 is taken into account. In the case of a repeated request from the virtual base station 12 of the subscriber device 13 and/or the use of this identifier to carry out other attacks such as, for example, a request for location/access to subscriber data with using the SS7/Diameter interface, using the false IMSI identifier received from the declared device, using the data contained in the specified false identifier, it is determined in which area and at what time it was transmitted from the device, which can help in implementing organizational measures to search for a virtual base station 12 , determining the direction of an attacker’s attacks and effectively investigating such an incident.

Как уже сказано, передача ложного идентификатора заявленным устройством осуществляется одновременно с абонентским устройством 13, но с большей мощностью и виртуальная базовая станция 12 идентифицирует ответный сигнал от устройства за счет превышающей мощности излучения на свой запрос как от абонентского устройства 13.As already said, the transmission of a false identifier by the claimed device is carried out simultaneously with the subscriber device 13, but with greater power, and the virtual base station 12 identifies the response signal from the device due to the exceeding radiation power to its request as from the subscriber device 13.

Уровень мощности сигнала передатчика 8 выбирают в два и более крат превышающим мощность абонентского устройства, которая может составлять от 0,2 до 2 Вт, например, мощность сигнала передатчика 8 выбирают от 4 Вт до 8 Вт и выше, в зависимости от расстояния от устройства до абонентского устройства 13 с учетом затухания сигнала от передатчика 8 до виртуальной базовой станции 12 с возможность того, чтобы виртуальная базовая станция 12 получала сигнал от передатчика 8 устройства мощностью выше сигнала от атакуемого виртуальной базовой станцией 12 абонентского устройства 13, а сигнал меньшей мощностью от абонентского устройства 13 был ей проигнорирован.The signal power level of the transmitter 8 is selected two or more times higher than the power of the subscriber device, which can range from 0.2 to 2 W, for example, the signal power of the transmitter 8 is selected from 4 W to 8 W and higher, depending on the distance from the device to subscriber device 13, taking into account the attenuation of the signal from the transmitter 8 to the virtual base station 12 with the possibility that the virtual base station 12 receives a signal from the transmitter 8 of the device with a power higher than the signal from the subscriber device 13 attacked by the virtual base station 12, and a signal of lower power from the subscriber device 13 was ignored by her.

Для усложнения задач анализа идентификаторов IMSI злоумышленником, а также для его большей дезинформации, с устройства могут передавать реальные идентификаторы IMSI абонентских устройств 13, не находящихся в это время в сети и/или находящиеся в другом локальном районе (например, в другом городе или населенном пункте). Таким образом, при дальнейшей попытке выявить местоположение абонентского устройства в последующем, злоумышленник будет получать местоположение «реального» абонента, но не того, данные на которого собирает злоумышленник. Это еще более запутает атакующего.To complicate the task of analyzing IMSI identifiers by an attacker, as well as to further misinform him, the device can transmit real IMSI identifiers of subscriber devices 13 that are not on the network at the time and/or located in another local area (for example, in another city or town ). Thus, in a further attempt to identify the location of the subscriber device in the future, the attacker will receive the location of the “real” subscriber, but not the one for whom the attacker is collecting data. This will further confuse the attacker.

Кроме того, при выявлении запросов от виртуальных базовых станций 12 описанным выше алгоритмом, в целях дополнительной защиты абонентов сети с базовой станции 11 могут осуществлять рассылку на все абонентские устройства 13, находящиеся в зоне излучения базовых станций 11 о возможных несанкционированных действиях на абонентские устройства 13 со стороны злоумышленников (например, посредством сервисных или СМС-сообщений при помощи базовых станций мобильной связи).In addition, when identifying requests from virtual base stations 12 by the algorithm described above, for the purpose of additional protection of network subscribers, the base station 11 can send messages to all subscriber devices 13 located in the radiation zone of the base stations 11 about possible unauthorized actions on subscriber devices 13 with on the part of attackers (for example, through service or SMS messages using mobile base stations).

Модуль управления 1 может реализовать несколько алгоритмов работы замены реального идентификатора IMSI запрашиваемого абонентского устройства 13 или всех абонентских устройств 13 в зоне отслеживания TAC на ложный идентификатор IMSI, формируемый в генераторе идентификаторов 5:Control module 1 can implement several algorithms for replacing the real IMSI identifier of the requested subscriber device 13 or all subscriber devices 13 in the TAC tracking area with a false IMSI identifier generated in the identifier generator 5:

1) немедленная замена при получении команды-запроса от виртуальной базовой станции 12;1) immediate replacement upon receipt of a request command from the virtual base station 12;

2) замена при превышении заданного в модуле управления 1 количества запросов с каждой базовой станции 11 и/или во всей зоне отслеживания, счет которых осуществляется в счетчике запросов 6, подключенным к модулю управления 1;2) replacement if the number of requests specified in the control module 1 is exceeded from each base station 11 and/or in the entire tracking zone, which are counted in the request counter 6 connected to the control module 1;

3) замена в случае наличия информации о работе виртуальной базовой станции 12 в районе, полученной организационными мерами или при работе детектора IMSI-ловушек или любым другим известным способом выявления виртуальной базовой станции 12 или при наличии базовых станций 11 в районе с низким уровнем шифрования.3) replacement if there is information about the operation of the virtual base station 12 in the area, obtained through organizational measures or during the operation of the IMSI trap detector or any other known method of identifying the virtual base station 12 or if there are base stations 11 in the area with a low level of encryption.

Могут применяться все, несколько или один эти способы одновременно.All, several or one of these methods can be used simultaneously.

Запись команд-запросов от виртуальных базовых станций 12, времена их получения устройством и частоты, на которых были получены эти команды, полученные реальные идентификаторы IMSI, сгенерированные ложные идентификаторы IMSI и другие данные записываются в модуль памяти 2.A record of request commands from virtual base stations 12, the times they were received by the device and the frequencies at which these commands were received, received real IMSI identifiers, generated false IMSI identifiers and other data are recorded in memory module 2.

Устройство для противодействия работе технических средств, созданных для получения постоянных идентификаторов абонентских устройств мобильной связи позволяет: A device for counteracting the operation of technical means created to obtain permanent identifiers of subscriber mobile communication devices allows:

защитить личные данные абонента, такие как идентификаторы IMSI, местонахождение и другую конфиденциальную информацию. Злоумышленникам будет передан ложный идентификатор IMSI, вместо реального, что затруднит их способность отследить и связаться с конкретным абонентом;protect subscriber personal data such as IMSIs, location and other sensitive information. Attackers will be sent a false IMSI instead of the real one, making it difficult for them to track and contact a specific subscriber;

предотвращать отслеживания и мониторинг пользователей мобильной связи. Устройство помогает предотвратить такое отслеживание, заменяя реальный идентификатор IMSI на ложный. Это будет затруднять злоумышленникам возможность установить точное местоположение абонента и его активности;prevent tracking and monitoring of mobile users. The device helps prevent such tracking by replacing the real IMSI with a false one. This will make it difficult for attackers to determine the exact location of the subscriber and his activity;

противодействовать борьбе с массовым слежением. Устройство помогает противостоять такому массовому слежению, которое может осуществляться, например, в мошеннических целях или для массовой рассылки информации без согласия получателей (спама) обеспечивая анонимность абоненту и предоставляя контроль над его персональной информацией;counteract the fight against mass surveillance. The device helps to resist such mass tracking, which can be carried out, for example, for fraudulent purposes or for mass distribution of information without the consent of recipients (spam), providing anonymity to the subscriber and giving control over his personal information;

защиту от атак и взломов. Отправка ложного идентификатора IMSI затрудняет возможность злоумышленников осуществить атаки, связанные со слежением, мониторингом и взлом данных абонента, которые могут быть осуществлены, если злоумышленник знает идентификатор пользователя;protection from attacks and hacks. Sending a false IMSI makes it difficult for attackers to carry out tracking, monitoring and hacking attacks on subscriber data, which can be carried out if the attacker knows the user ID;

снизить риск мошенничества, связанного с использованием личной информации абонента. Злоумышленникам будет передан неверный идентификатор IMSI, что усложнит им возможность осуществить мошеннические действия, используя личные данные абонента и поможет предупреждать и максимально эффективно расследовать инциденты при попытке злоумышленника совершать атаки с перехваченными ложными идентификаторами IMSI.reduce the risk of fraud associated with the use of subscriber personal information. Attackers will be provided with an incorrect IMSI identifier, which will make it more difficult for them to carry out fraudulent activities using the subscriber’s personal data and will help prevent and most effectively investigate incidents when an attacker attempts to carry out attacks with intercepted false IMSI identifiers.

В целом, устройство для противодействия работе технических средств, созданных для получения постоянных идентификаторов абонентских устройств мобильной связи, обеспечивает защиту и анонимность абонента, предотвращает отслеживание и мониторинг, а также снижает риск мобильного мошенничества и тем самым противодействовать несанкционированному доступу к абонентскому устройству в сети беспроводной связи.In general, a device for countering the operation of technical means designed to obtain permanent identifiers of subscriber mobile communication devices provides protection and anonymity of the subscriber, prevents tracking and monitoring, and also reduces the risk of mobile fraud and thereby counteracts unauthorized access to the subscriber device in a wireless communication network .

Claims (11)

1. Способ противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи, характеризующийся тем, что при получении вместе с абонентским устройством приемником устройства противодействия несанкционированному доступу к абонентскому устройству запроса на предоставление этим абонентским устройством своего международного идентификатора мобильного абонента IMSI фиксируют время получения запроса и частоту, на которой был передан запрос, по превышению порогового значения количества таких запросов в интервале времени установленным подсчетом количеством запросов от реальных базовых станций в этом интервале времени, и/или при наличии признаков работы виртуальной базовой станции в указанной зоне, и/или при запрете передачи идентификаторов в зоне обслуживания передают с помощью передатчика для виртуальной базовой станции сгенерированный ложный идентификатор запрашиваемого абонентского устройства, не совпадающий с его реальным идентификатором IMSI, при этом ответ на запрос передают мощностью сигнала, превышающей мощность сигнала от абонентского устройства для игнорирования виртуальной базовой станцией реального идентификатора IMSI, полученного ею от абонентского устройства параллельно с ложным идентификатором.1. A method for countering unauthorized access to a subscriber device in a wireless communication network, characterized in that when, together with the subscriber device, the receiver of the device for counteracting unauthorized access to the subscriber device receives a request for this subscriber device to provide its international mobile subscriber identifier IMSI, the time of receipt of the request and the frequency are recorded , on which the request was transmitted, upon exceeding the threshold value of the number of such requests in a time interval established by counting the number of requests from real base stations in this time interval, and/or when there are signs of operation of a virtual base station in the specified area, and/or when transmission is prohibited identifiers in the service area, a generated false identifier of the requested subscriber device is transmitted using a transmitter for the virtual base station, which does not coincide with its real IMSI identifier, while the response to the request is transmitted with a signal power exceeding the signal power from the subscriber device for the virtual base station to ignore the real IMSI identifier , received by it from the subscriber device in parallel with a false identifier. 2. Способ по п.1, отличающийся тем, что признаки работы виртуальной базовой станции в зоне обслуживания абонентского устройства выявляют программно-аппаратными средствами.2. The method according to claim 1, characterized in that signs of operation of a virtual base station in the service area of the subscriber device are detected by software and hardware. 3. Способ по п.1, отличающийся тем, что признаки работы виртуальной базовой станции в зоне обслуживания абонентского устройства выявляют организационными мерами, направленными на повышение информационной безопасности.3. The method according to claim 1, characterized in that signs of operation of a virtual base station in the service area of the subscriber device are detected by organizational measures aimed at increasing information security. 4. Способ по п.1, отличающийся тем, что в ложном идентификаторе абонентского устройства записывается информация о месте и времени формирования ложного идентификатора для определения места, времени и направления атак на абонентское устройство.4. The method according to claim 1, characterized in that information about the place and time of formation of the false identifier is recorded in the false identifier of the subscriber device to determine the place, time and direction of attacks on the subscriber device. 5. Способ по п.1, отличающийся тем, что ложный идентификатор формируют путем выбора из базы данных реального идентификатора абонентского устройства, находящегося в это время в другом локальном районе.5. The method according to claim 1, characterized in that the false identifier is formed by selecting from the database the real identifier of the subscriber device, which is at that time in another local area. 6. Способ по п.1, отличающийся тем, что при выявлении запросов от виртуальных базовых станций вместе с отправкой ложного идентификатора абонентского устройства виртуальной базовой станции осуществляют рассылку на абонентские устройства, находящиеся в зоне обслуживания базовых станций, о факте несанкционированных действиях на абонентские устройства.6. The method according to claim 1, characterized in that when requests from virtual base stations are detected, together with sending a false identifier of the subscriber device of the virtual base station, a message is sent to subscriber devices located in the service area of the base stations about the fact of unauthorized actions on the subscriber devices. 7. Устройство противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи для реализации способа по п.1, характеризующееся тем, что содержит модуль управления и подключенные к нему модуль памяти для хранения баз данных реальных и ложных идентификаторов абонентских устройств, модули часов реального времени и привязки для определения времени и места запроса от виртуальной базовой станции на предоставление абонентским устройством своего идентификатора и для синхронизации точного времени для одновременной передачи сгенерированного IMSI с реальным, генератор для формирования ложных идентификаторов, счетчик запросов идентификаторов абонентских устройств, приемник, позволяющий получать служебные пакеты от базовых и виртуальных базовых станций, к которым могут присоединиться абонентские устройства, и передатчик, способный передавать идентификаторы абонентских устройств базовым и виртуальным базовым станциям в ответ на их запрос, к приемнику и передатчику подключены соответственно приемная и передающая антенна.7. A device for preventing unauthorized access to a subscriber device in a wireless communication network for implementing the method according to claim 1, characterized in that it contains a control module and a memory module connected to it for storing databases of real and false identifiers of subscriber devices, real-time clock modules and bindings for determining the time and place of a request from a virtual base station for the subscriber device to provide its identifier and for synchronizing the exact time for simultaneous transmission of the generated IMSI with the real one, a generator for generating false identifiers, a counter for requests for identifiers of subscriber devices, a receiver that allows receiving service packets from base and virtual base stations to which subscriber devices can join, and a transmitter capable of transmitting subscriber device identifiers to the base and virtual base stations in response to their request, a receiving and transmitting antenna are connected to the receiver and transmitter, respectively. 8. Устройство по п.7, отличающееся тем, что приемник и передатчик могут быть выполнены в виде одного приемо-передающего модуля. 8. The device according to claim 7, characterized in that the receiver and transmitter can be made in the form of a single transceiver module. 9. Устройство по п.7, отличающееся тем, что приемная и передающая антенны могут быть выполнены в виде одной приемо-передающей антенны. 9. The device according to claim 7, characterized in that the receiving and transmitting antennas can be made in the form of one transmitting and receiving antenna. 10. Устройство по п.7, отличающееся тем, что модуль часов реального времени и модуль привязки могут быть выполнены в виде модуля GPS/GLONASS/Galileo/BeiDou. 10. The device according to claim 7, characterized in that the real-time clock module and the binding module can be made in the form of a GPS/GLONASS/Galileo/BeiDou module. 11. Устройство по п.7, отличающееся тем, что устройство противодействия несанкционированному доступу к абонентскому устройству в сети беспроводной связи может быть выполнено на базе базовой станции.11. The device according to claim 7, characterized in that the device for preventing unauthorized access to a subscriber device in a wireless communication network can be based on a base station.
RU2023123675A 2023-09-13 Method and device for countering unauthorized access to subscriber device in wireless communication network RU2814792C1 (en)

Publications (1)

Publication Number Publication Date
RU2814792C1 true RU2814792C1 (en) 2024-03-04

Family

ID=

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180070239A1 (en) * 2014-12-19 2018-03-08 Telefonaktiebolaget Lm Ericsson (Publ) Network node and method for detecting false base stations
RU2695809C2 (en) * 2014-05-08 2019-07-29 Интердиджитал Пэйтент Холдингз, Инк. Methods and object of mobility management (mme) for redirection of user equipment (ue) to assigned node of basic network
US20220417753A1 (en) * 2020-02-25 2022-12-29 Samsung Electronics Co., Ltd. Method, management server, and base station for defending attack from fake base station in communication network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2695809C2 (en) * 2014-05-08 2019-07-29 Интердиджитал Пэйтент Холдингз, Инк. Methods and object of mobility management (mme) for redirection of user equipment (ue) to assigned node of basic network
US20180070239A1 (en) * 2014-12-19 2018-03-08 Telefonaktiebolaget Lm Ericsson (Publ) Network node and method for detecting false base stations
US20220417753A1 (en) * 2020-02-25 2022-12-29 Samsung Electronics Co., Ltd. Method, management server, and base station for defending attack from fake base station in communication network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
FABIAN VAN DEN BROEK ET AL "DEFEATING IMSI CATCHERS" опубл. октябрь 2015, Найдено в сети Интернет URL: https://web.archive.org/web/20210721151458/https://www.cs.ru.nl/~rverdult/Defeating_IMSI_Catchers-CCS_2015.pdf опубл, октябрь 2015 [подтверждено системой веб-архив web.archive.org]. *

Similar Documents

Publication Publication Date Title
US10117094B2 (en) Systems and methods for identifying rogue base stations
CN107683617B (en) System and method for pseudo base station detection
Jover LTE security, protocol exploits and location tracking experimentation with low-cost software radio
US10091715B2 (en) Systems and methods for protocol-based identification of rogue base stations
Kune et al. Location leaks on the GSM air interface
US8655312B2 (en) Wireless access point detection
EP1932294B1 (en) Rogue access point detection in wireless networks
US20220060901A1 (en) Source base station, ue, method in wireless communication system
CN104602241A (en) Determination method of pseudo base station and mobile terminal
EP1982430B1 (en) Methods of determining the direction of arrival of a locator signal of a mobile device
EP1908318B1 (en) Methods of setting up a call with, and determining the direction of, a mobile device
CN104581731A (en) Determining method and system for mobile phone terminal hijack process by pseudo base station
EP3488577A1 (en) Node and method for detecting that a wireless device has been communicating with a non-legitimate device
CN109548027A (en) The method and apparatus of pseudo-base station are identified in the terminal
Steig et al. A network based imsi catcher detection
ES2358442T3 (en) METHODS OF ESTABLISHING A CALL WITH A MOBILE DEVICE AND DETERMINATION OF THE SAME ADDRESS.
RU2814792C1 (en) Method and device for countering unauthorized access to subscriber device in wireless communication network
EP2624534B1 (en) Systems and methods for correlating cellular and WLAN identifiers of mobile communication terminals
US20220408253A1 (en) Method and System for Authenticating a Base Station
CN112087758B (en) Detection system and method for identifying pseudo base station based on terminal position information
Guezguez et al. Observation-based detection of femtocell attacks in wireless mobile networks
CN106851645A (en) A kind of power system APN private network defence methods attacked towards pseudo-base station
US20210392498A1 (en) Methods, user equipment and network node, for detection of communication with a non-legitimate device
Sørseth Location disclosure in lte networks by using imsi catcher
CN107889110A (en) A kind of method and device for preventing from accessing pseudo-base station