5G 时代，伪基站真的彻底失效了吗

伪基站，在安全圈也被称为IMSI Catcher（IMSI捕获器），是移动通信史长达三十年的顽疾。

它通过模拟合法运营商基站的信号，强制诱导周围的移动终端与之连接。一旦落入陷阱，攻击者不仅能通过位置跟踪和短信拦截窃取隐私，甚至能实施中间人攻击。

这虽然是2G时代的产物，但是随着移动通信技术的迭代，伪基站的技术也砸与时俱进。

在讨论5G之前，我们必须理解传统网络为何在伪基站面前显得弱不禁风。这主要源于标识符IMSI的暴露风险。

IMSI（国际移动用户识别码）：IMSI是用户在网络中的永久全球唯一标识。它遵循E.212标准，由MCC移动国家代码，3位）、MNC(移动网络代码，2或3位）和MSIN移动订户识别码）组成，总长度不超过15位。

2G(GSM) 的致命伤：在GSM时代，网络设计缺乏双向身份验证。这意味着基站可以要求手机证明身份，但手机却无法校验基站的真伪。伪基站只需通过发射强功率信号，手机就会在初始接入（IMSI Attach）流程中将 IMSI 以明文形式发送出去。
4G(LTE)的改进与“天窗”：4G引入了GUTI（全球临时身份标识）来替代IMSI的频繁传输。但在特定场景下，4G依然留下了被攻击的窗口,例如当设备进行初始附加，或者在跟踪区更新失败导致MME无法定位前任MME 时，网络会回退到请求IMSI的流程。此时，IMSI依然会以明文形式在空口传输，伪基站正是利用这些“同步失效”的瞬间实现捕获。

5G 架构彻底改变了身份识别的传输机制，其核心在于引入了标识符加密保护，消除了“空口明文传输”的隐患。

SUPI（用户永久标识符）：相当于5G时代的 IMSI。在5G中，SUPI永远不会在空中接口以明文形式传输。
SUCI（用户隐藏标识符）：这是5G隐私保护的关键。当终端尝试接入网络时它不再直接发送SUPI，而是生成SUCI。
SUCI 的生成机制（关键点）：终端利用预先内置在USIM卡中的归属网络公钥，结合 ECIES（椭圆曲线集成加密方案）保护方案对 SUPI 进行加密。
深度洞察：根据3GPP TS 33.501规范，终端为每次注册请求都会生成一个临时公私钥对。这意味着即使是同一个SUPI，每次生成的SUCI也是完全随机且不同的。这种机制不仅防止了身份泄露，更彻底杜绝了基于静态加密 ID 的位置跟踪。

加密信息在网络端的处理逻辑，体现了 5G 架构的严密性。

SIDF（用户识别解密功能）：该功能作为5G 安全的核心组件，位于归属网络的UDM（统一数据管理）内部。只有归属网络持有对应的私钥，SIDF负责将收到的SUCI解密还原为 SUPI。
AUSF（身份验证服务器功能）：解密后的身份信息交由AUSF处理。它是5G身份验证的“终点锚点”，负责执行5G AKA（身份验证与密钥协商）流程。
双向认证的力量：5G AKA提供了强制性的双向认证机制。如果伪基站无法提供由归属网络签名的合法认证向量，手机将直接拒绝连接。此外，5G 对 NAS（非接入层)和RRC（无线资源控制）信令实施了严格的完整性保护。这意味着伪基站发出的非法身份请求会被终端识破并丢弃。

除了SUCI带来的隐私跃迁，5G 还从以下维度增强了整体抗攻击能力：

信令完整性保护：这是抵御伪基站的核心屏障。伪基站往往通过发送虚假的系统消息来误导终端。5G 通过对NAS 和 RRC信令的签名校验，确保终端不会执行任何来自未认证来源的指令。
Multi-IMSI 与 SoR 免疫：伪基站常利用漫游协议的漏洞强制设备驻留（Camping）。在5G 时代，Multi-IMSI 技术（支持多个本地身份）结合 SIM Applet，可以实现对 SoR（漫游引导）的免疫。这意味着即使伪基站试图通过 steering 指令操控手机SIM卡也可以根据预设策略直接忽略，选择更安全的本地网络。
更精准的网络选择逻辑：5G 终端在驻留小区前会进行更严格的公共陆地移动网络校验，大幅降低了由于信号强度干扰而导致的非法“驻留”风险。

从技术架构而言，5G独立组网引入的SUCI加密、临时密钥协商以及增强型双向认证，已经让传统基于IMSI捕获和短信干扰的伪基站基本宣告失效。5G标志着移动隐私保护从“被动补漏”转向了“默认安全”。