首先终端发起RRC Connection Request流程,同时启动T300定时器。我们看看RRC Connection Request里面都有什么信息。
没错,里面含有TMSI,此时美女张小姐的4G伪基站第一次拿到了TMSI。此时难题留给了美女张小姐的4G伪基站,是做点什么还是什么都不做?如果什么都不做,当T300超时后,UE会告诉高层RRC连接失败,相应的流程终止,这时候可怜的美女张小姐只拿到了"毫无意义"(这是站在美女张小姐的角度看的,其实并非毫无意义)的TMSI。
好吧,看来得做点什么,那到底做点什么呢?美女张小姐在原文中有一点说的到很有趣,帮别人重启手机的时候能够拿到IMSI,可怎么在一个这样的流程中模拟手机重启呢?(别着急,就快进入到问题的实质了)
当UE发起终端侧的TAU流程请求时,同步启动定时器T3430,T3430固定15秒,一旦T3430超时后,终端就会放弃该TAU流程,同时将UE置为EU2 NOT UPDATED,表示位置更新无法完成。因此一定要在这15秒内做点什么,做点什么呢?此时,一个简单的方式,不仅需要美女张小姐的伪基站,还需要一个逻辑的伪核心网,在这15秒内伪装下发TAU REJECT,其中带有CAUSE VALUE=10(隐式分离),这样UE进入去注册的状态,会重新发起ATTACH流程。这个ATTACH流程里面含有什么呢
没错,这里会包含张小姐一直魂牵梦系的IMSI甚至IMEI。张小姐这里终于可以舒心的笑一笑了,等等,什么,这是做不到的(天塌的声音)
这是因为首先在无线侧加密流程中,伪基站就不起作用了。
我们可以看看正常网络侧安全模式指令下发的都是什么
SMC指令只下发完整性保护以及加密的算法,不不下发密钥,而且下发的算法必须是UE能够支持的,因此伪装SMC这一招其实是行不通的,而且搞不好会弄巧成拙,造成无线链路的释放。除非,伪基站能够事先计算出密钥,密钥在开卡时候就已经写死在芯片里了。能事先计算出密钥的为什么还去干伪基站这样的事情,光明正大的来运营商吧(hiahiahia)
及时总结一下,就即使美女黑客张小姐做了个4G伪基站,对于空闲态的4G用户的一般流程,然并卵。
难道美女黑客张小姐辛辛苦苦做的4G伪基站就没有用处么?其实也不尽然,天网恢恢,偶有疏漏,但是老衲不说。
至于张小姐辛辛苦苦拿到了IMSI,在文中后续却根本没用,小编没有想通,伪基站一般就是发骚扰短信小广告的,为了费劲周张发个小广告,拿IMSI干嘛,简直是杀鸡宰了牛刀。
反思:4G信令流程是否还有改进的空间,小编认为还是有的,如果所有的UL Information Transfer消息都在SMC流程之后发送,所有的NAS消息都piggybacking在UL/DL Information Transfer上,可能会更加稳妥和安全。
问题2 张小姐口述运营商奇葩的规定真的有么?
张小姐费了半天的劲,做了4G伪基站,目的还是把用户踢到2G伪基站,让2G伪基站再发个骚扰小广告(注,各位看官,就目前2G伪基站的水平也绝不可能拿到您的通话记录,顶多给您推送个房地产信息,融资贷款的小广告而已,拿到通话记录简直有点危(yi)言(pai)耸(hu)听(yan)了),大可不必如此大费周章。
不过我们更关注的是对3GPP协议理解深刻的张小姐团队口中的奇葩规定在协议中是否存在。
答案是:不存在
但是这种功能是可以实现的,现网也是有类似的功能,例如负载均衡,避免现网单基站下符合过高,可以采取这样的方式将用户分担到其他4G基站或者重定向到23G网络。
信息工程这门学科包容并蓄,博大精深,在电信行业中的从业人员其实都是当年各大高校中佼佼者,拥有着普遍高智商高学历,却甘于奉献,兢兢业业从事着最枯燥基础的网络维护优化工作,默默得甘做社会基础产业的柱石,这个行业并不如互联网,娱乐圈,金融领域那样的丰富精彩与靓丽光鲜,但是好在还有一些尽职尽责可爱的人,应该为他们的默默奉献点赞。
再送你一个回复,呵呵!