TA：Tracking Area; 这块的概念主要是混在cell里面,容易乱. TA/TAI这块以及相关内容在LTE环境下伪基站,降级攻击这块使用是相当广泛的.联系上tracking area update request, reject. TA只要用途是方面核心网MME对用户的追踪,因为一般UE不会一直保持connect的状态,此时要是来了一个电话或者其他信息的时候,MME会将依据TA向该UE进行Paging． 一开始注册入网的时候，UE发起Attach Request,而后MME会回应Attach accept,会给UE分配一个初始的TAI List(大小在1~16),要是在这个区域

Read More

做了大半年的LTE/5G相关，算是基本入门了。因为概念、内容比较多，整个经历比较痛苦。一开始啃文档，实在看不懂+看不下去。转而看论文，舒服了很多，再转向文档也清晰了很多。后续可以捣鼓sdr，在看完文档后调sdr简直太舒服了，尽管oai的代码风格，一言难尽。。。 整个过程比较常规： 网络整体架构+控制面消息+历史研究+协议标准捡漏+sdr实验验证。 将以前的部分内容用空余时间给整理了一下。慢慢整理。 目录 * 5G安全-概念之TATAI * 5G安全-发现的几个小问题 * 5G安全-RRCConnectionRelease Redirected分析

Read More

在看协议的时候发现了几个小问题,其实当时也没觉得是什么问题,有个问题是在1月份的左右发现,也没咋关注了,到了6,7月整理内容的时候想着整理一下信息给3GPP报一下,发现给最新的文档竟然给修了. 感觉挺诧异的……分享一下,危害不大,攻击成本太高. EN-DC UE Capbility Information问题 这个是在看EN-DC，非独立组网的注册流程发现．详细可以参考： https://www.eventhelix.com/5G/non-standalone-access-en-dc/en-dc-secondary-node-addition.pdf 其中有一个流程是基站给UE发送UE

Read More

这个问题是在16年被国内研究员发现提出，并实现了完整的攻击。因为这是一个很经典的问题，在学习LTE/5G安全过程中复现一下也是很有必要的。我大概是在今年初分析复现这个问题。 RRCConnectionRelease在5GNR中是RRCRelease. RRCConnectionRelease正常的使用是： 由基站发给UE，作用包括释放一个rrc connection… 基本原理 当在nas层reject当前连接后，ue接收后，会触发基站发送rrcconnectionrelease给UE，此时UE会对rrcconnectionrelease包进行解析，因为本身也是连接出现问题才会触发

Read More