(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111547942.8 (22)申请日 2021.12.16 (71)申请人 南京理工大 学 地址 210094 江苏省南京市玄武区孝陵卫 200号 (72)发明人 俞研　张吉元　邓芳伟　付安民　 王婷婷　 (74)专利代理 机构 南京理工大 学专利中心 32203 专利代理师 封睿 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于软件 无线电的LTE网络控制面漏洞分析 方法及系统 (57)摘要 本发明提出了一种基于软件 无线电的LTE网 络控制面漏洞分析方法及系统， 选取可用性和隐 私性作为判定LTE控制面安全属性的指标； 构建 隐私性攻击模 型和可用性攻击模 型； 选取用于漏 洞分析的移动设备测试SIM卡和核心网侧的用户 服务器， 并写入测试数据； 模拟攻击过程， 对移动 设备、 仿真基站和仿真核心网进行信息采集， 获 取移动设备的状态信息和核心网侧的信令信息； 进行异常状态判断， 确定可用性和隐私性是否受 到攻击。 本发明可以对LTE网络控制面协议栈中 的潜在安全漏洞进行全面的检测 测试。 权利要求书2页 说明书6页 附图3页 CN 114553459 A 2022.05.27 CN 114553459 A 1.一种基于软件无线电的LTE网络控制面漏洞分析 方法， 其特 征在于， 包括如下步骤： 第一步， 选取可用性和隐私性作为判定LTE网络控制面 安全属性的指标； 第二步， 构建隐私性 攻击模型和可用性 攻击模型； 第三步， 选取用于漏洞分析的移动设备测试SIM卡和核心网侧的用户服务器， 并写入测 试数据； 第四步， 模拟攻击过程， 对移动设备、 仿真基站和仿真核心网进行信息采集， 获取移动 设备的状态信息和核心网侧的信令信息； 第五步， 进行异常状态判断， 确定可用性和隐私性是否受到攻击 。 2.根据权利要求1所述的基于软件无线电的LTE网络控制面漏洞分析方法， 其特征在 于， 第二步， 构建隐私性 攻击模型和可用性 攻击模型， 具体为： 隐私性攻击模型包括： 1)基于TAU过程嗅探IMSI： 将测试UE 置于空闲态并打开eNB， 使 UE进入新的跟踪区； 测试UE发起TAU流 程并进行随机 接入， 发起R RC连接请求； 核心网响应R RC连接请求并向UE发送TAU  Reject信令； UE接收TAU Reject信令， 并向eNB发送包 含UE的IMSI 号码的at tach_request信令； 使用Wireshark监听eNB与MME之间的S1接口获取控制面信令数据包， 在 InitialUEMessage数据包中获取UE的IMSI 号码； 2)基于RRC连接和TAU过程获取位置信息： 准备两个具有不同小区ID的eNB1和eNB2且打开eNB1； UE与eNB1建立连接后关闭eNB1， 等待UE的T310计时器超时后打开具有更高功率的 eNB2； eNB2向UE发送R RC Connection Reconfigurati on信令； UE接收RRC Connection  Reconfiguration信令并计算来自临近小区的频率和信号强 度； UE向eNB2发送测量报告， 在测 量报告中检索locationInfo ‑r10字段， 该字段包含UE的 GPS坐标； 可用性攻击模型包括： 1)基于RRC连接的eNB资源消耗： 使用srsUE来模拟恶意UE， 并在核心网数据库中写入若干IMSI 号码； 使用具备不同IMSI 号码的UE执 行随机接入过程， 生成R RC连接； 核心网识别UE的at tach_request请求， 并发送NAS  Authenticati on信令； UE收到核心网的NAS  Authentication信令后重新启动随机接入过程 并建立新的RRC连 接； 2)基于去附着过程的服 务拒绝： 将测试UE连接 到核心网 并读取UE的IMSI 号码； 核心网下发decath_request信令； UE接收decath_request信令并与核心网断开连接； 3)基于TAU过程的服 务降级：权　利　要　求　书 1/2 页 2 CN 114553459 A 2测试UE与核心网建立连接并发 RRC连接请求； UE发起发起TAU流 程并发送R RC Connection Setup Complet信令； 核心网下发TAU  Reject信令； UE接收TAU Reject信令并被驱逐 出4G网络； UE被迫搜索并接入3G或GSM网络 。 3.根据权利要求1所述的基于软件无线电的LTE网络控制面漏洞分析方法， 其特征在 于， 第三步， 写入的测试 数据包括 IMSI和秘钥 信息。 4.根据权利要求1所述的基于软件无线电的LTE网络控制面漏洞分析方法， 其特征在 于， 第四步， 模拟攻击过程， 对移动设备、 仿真基站和仿真核心网进行信息采集， 具体方法 为： 使用SCAT工具采集移动设备的基带诊断信息； 使用Wireshark工具抓取U u接口、 X2接口、 S1接口及S6a接口 的数据包。 5.根据权利要求1所述的基于软件无线电的LTE网络控制面漏洞分析方法， 其特征在 于， 第四步， 获取移动设备的状态信息和核心网侧的信令信息， 其中移动设备的状态信息包 括： 1)UE是否正常搜索到核心网并注册； 2)UE是否正常使用LTE网络服务， 具有实时网络速 度； 3)UE是否显示连接到LTE网络而非3G或GSM网络； 核心网侧的信令信息包括： 1) Connection  Setup信令； 2)attach_request(IMSI,UE'security  capabilities)信令； 3) authenticati on信令； 4)pa ging(GUTI/IMSI)信令 。 6.根据权利要求1所述的基于软件无线电的LTE网络控制面漏洞分析方法， 其特征在 于， 第五步， 进行异常状态判断， 确定可用性和隐私性是否受到攻击， 具体方法为： 若满足如下 所有条件， 则判断可用性受到攻击： 1)移动设备状态显示无服务； 2)移动设备状态显示已连接到3G或GSM网络； 3)核心网侧 attched UEs、 connectedUEs与实际连接UE数量 不符； 若满足如下 所有条件， 则判断隐私性受到攻击： 1)在S1接口获取的InitialUEMessage数据包中存有UE的IMSI号码； 2)在UE向eNB2发送 的测量报告中检索到l ocationInfo‑r10字段。 7.根据权利要求1所述的基于软件无线电的LTE网络控制面漏洞分析方法， 其特征在 于， 还包括显示过程， 将移动设备的状态信息和核心网侧的信令信息生成二 维信令图， 进 行 实时可视化显示。 8.一种基于软件无线电的LTE网络控制面漏洞分析系统， 其特征在于， 基于权利要求1 ‑ 7任一项所述的基于软件无线电的LTE网络控制面漏洞分析方法， 实现基于软件无线电的 LTE网络控制面漏洞分析。权　利　要　求　书 2/2 页 3 CN 114553459 A 3