TD-LTE公安仿真站影響研究

摘要：近些年由于公共安全需求，在重要交通路口、商場、交通樞紐等人流量大的區(qū)域建設了越來越多的LTE仿真基站，目前仿真站的安裝、設置還沒有明確規(guī)范，也不屬于運營商統(tǒng)一管理，其對現有移動通信網絡產生了較大的影響，本文通過研究仿真站的數據采集機制，結合現有TD-LTE網絡優(yōu)化特點，對TD-LTE公安仿真站的優(yōu)化給出一些建議。

關鍵詞：TD-LTE LTE仿真站 IMSI TAU

Abstract：In recent years, due to the demand of public security, more and more LTE simulation base stations have been constructed in important traffic intersections, shopping malls, traffic hubs and other areas with large traffic flow. At present, the installation and setup of simulation stations have not been clearly regulated, and they are not under the unified management of operators, which has a great impact on the existing mobile communication network. This paper studies the data acquisition mechanism of the simulation station, and gives some suggestions on the optimization of the TD-LTE public security simulation station.

Keyword：TD-LTE LTE simulation base station IMSI TAU

1 認識仿真站

公安仿真基站是公安系統(tǒng)以公共安全為目的對移動用戶進行監(jiān)控的系統(tǒng)終端采集器。其功能為仿真基站覆蓋范圍的移動手機用戶在空閑狀態(tài)下強制進行系統(tǒng)登記，從而達到對安裝在各個交通要道節(jié)點移動手機用戶信息進行采集的目的。

1.1 仿真站基礎介紹

由于LTE協議規(guī)定Identity Request (if requested identification parameter is IMSI)不需要完整性保護，因此4G仿真站也就是利用這個實現了對用戶敏感信息的收集。目前發(fā)現的主要是公安系統(tǒng)利用4G仿真站監(jiān)控用戶位置和人流量。這些仿真站為了欺騙終端接入，一般會仿冒現網周邊一個小區(qū)的PCI，導致現網小區(qū)出現切換、掉線等指標惡化。并會有干擾的可能（取決于仿真站是否與現網基站同步，是否使用與現網相同的時隙配比）。

1.2 仿真站獲取IMSI過程介紹

LTE仿真基站采用和運營商TD-LTE網絡不同的TAC，且仿真基站功率一般較高，在滿足R&S重選準則后，UE空閑態(tài)發(fā)起向仿真基站的重選并請求更新路由區(qū)（TAURequest），獲取終端的GUTI，仿真站在獲取到GUTI后，可以造出特定NAS消息（Identity Request）要求終端上報其IMSI信息�？梢�，仿真站可以在TAU過程中偽造Identity Request直傳信令，用于獲取用戶IMSI信息。

仿真站給UE下發(fā)Identity Request，要求用戶上報用戶信息（如IMSI、IMEI），隨即處在EMM連接態(tài)的用戶會反饋Identity Response給網絡側，該消息中包含UE的IMSI信息，網絡側即獲取到UE的IMSI等用戶信息。由此可以看出仿真基站可通過用戶反饋的Identity Response來獲取用戶信息。仿真站提取用戶的IMSI號碼后，以隨便一個cause值拒絕TAU，并將該用戶釋放或重定向至2G。

2 仿真站造成的終端回不到4G問題研究

日常經常發(fā)現，部分用戶在從仿真站被重選到2G后不能及時回到4G網絡，甚至一直回不到4G網絡，用戶網絡感知影響嚴重，通過對該問題的研究，發(fā)現有以下集中情況。

2.1仿真站不響應

正常情況下當用戶進入仿真基站后，因為仿真基站的TAC和大網的TAC配置不同，用戶會發(fā)送TAU更新TA請求，仿真基站因為沒有連接核心網，所以直接進行TAU reject，把用戶釋放，用戶被仿真基站釋放后，重新做聯合TA/LA的更新附著請求進入4G網絡。

在異常區(qū)域進行仿真基站進行測試時，出現問題時，當用戶進入仿真基站后，因為仿真基站的TAC和大網的TAC配置不同，用戶會發(fā)送TAU更新TA請求，此時仿真基站沒有按照正常的實現觸發(fā)TAU reject來釋放用戶，而是沒有響應用戶的TAU請求消息。

按照協議實現要求，UE當時嘗試5次TAU請求，每次間隔為T3411（10s），當達到5次后，依舊無法完成TAU更新完成，發(fā)生該問題后的處理策略，協議描述如下，根據終端類型是CS/PS mode 1還是CS/PS mode 2進行不同的流程。如果終端是是CS/PS mode 1，且VOLTE功能不可用時，終端將選至2G/3G網絡，并關閉4G網絡功能，保證語音業(yè)務。如果終端是CS/PS mode 2，終端等待T3402（12min），然后重新發(fā)起聯合TA/LA更新。

從上可以看出，在異常區(qū)域仿真基站由于沒有處理用戶的TAU請求消息，導致用戶回不到4G網絡。

2.2TAU Reject原因值問題

在仿真站獲取IMSI的流程中，收到UE發(fā)送的Identity Response后，達到了搜集信息的目的，應該下發(fā)TAU Reject將用戶釋放到GSM網絡，釋放原因再TAU Reject信令中包含有一個cause值， 目前在日常平臺信令分析及測試中常見的cause主要有以下四種，通過協議定義我們可以看到攜帶不同的cause值對UE后續(xù)的影響較大：

Code 12：Tracking area not allowed

UE將EPS更新狀態(tài)更新為不允許漫游，刪除所有GUTI、上次訪問注冊的TAI、TAI列表和eKSI。UE將重置跟蹤區(qū)更新嘗試計數器，將當前的TAI存儲在“區(qū)域服務提供的禁止跟蹤區(qū)域”列表中。UE進入emm-deregistered.limited-service狀態(tài)。

Code 13：Roaming not allowed in this tracking area

UE將EPS更新狀態(tài)為不允許漫游，刪除等效PLMN列表。并將重置跟蹤區(qū)更新嘗試計數器，UE應將當前的TAI存儲在“禁止漫游的跟蹤區(qū)域”列表中，并將當前的TAI從存儲的TA列表中刪除。UE進入emm-registered.plmn-search狀態(tài)。

然后UE根據3GPP TS 23.122 [ 6 ]進行PLMN選擇，并在新的TAC中進行聯合TA / LA更新和IMSI附著。

Code 14：EPS services not allowed in this PLMN

UE將EPS更新狀態(tài)更新為不允許漫游，刪除所有GUTI、上次訪問注冊的TAI、TAI列表和eKSI。UE將重置跟蹤區(qū)更新嘗試計數器，將當前的PLMN存儲在“禁止PLMNs GPRS服務”名單。UE進入emm-deregistered.plmn-search狀態(tài)。

此時看UE終端是CS/PS1（voice centric）模式還是CS/PS2（data centric）模式，在進入該狀態(tài)后無論UE在CS/PS1模式還是CS / PS 2模式，IMSI仍然允許在非EPS進行附著。

但UE在CS/PS1模式時會選擇GERAN或UTRAN進行無線接入，在這種情況下，UE不能重選至E-UTRAN進行業(yè)務。而如果UE為CS/PS2模式則根據3GPP TS 23.122 [ 6 ]進行PLMN重新選擇并進行TA / LA聯合更新附著。

Code 15：No suitable cell in tracking area。

UE將EPS更新狀態(tài)為不允許漫游并將重置跟蹤區(qū)更新嘗試計數器，UE應將當前的TAI存儲在“禁止漫游的跟蹤區(qū)域”列表中，并將當前的TAI從存儲的TA列表中刪除。UE進入emm-deregistered.limited-service狀態(tài)。

然后UE根據3GPP TS 26.304 [21 ]在同一PLMN中的新的TA/LA區(qū)中的一個新小區(qū)進行聯合TA / LA更新和IMSI附著。

從以上四種cause值看code15理論上影響最小，重選回網絡應該會更快，不會影響UE回到4G網絡。

2.3 終端對協議參數配置理解問題

某區(qū)域仿真站頻點目前設置為高優(yōu)先級，當公網LTE小區(qū)配置的異頻參數QRxLevMin為-90dB，ThreshXHigh配置為0dB，某種終端用戶大概率重選到仿真站，后返回到GSM網絡；當異頻參數QRxLevMin配置為-120dB，ThreshXHigh配置為30dB，某種終端用戶不易重選到仿真站。同樣環(huán)境下其它終端無該現象。

從3GPP協議理解兩種配置是一致，均是仿真站信號高于-90dB時重選到仿真站小區(qū)。但該終端在兩種配置下出現不同的情況，定位為該終端對高優(yōu)先級異頻測量觸發(fā)參數的協議解讀不一致，導致其在第一種配置下存在容易重選到仿真站現象。

2.4 核心網問題

UE從仿真基站釋放到GSM網絡后，進行附著，終端在申請建立pdn連接時被拒絕，拒絕原因為Multiple pdn connections for a given APN not allowed。

該原因可能由兩種問題造成：

1、同一UE相同的APN可以有多個PDN連接，而MME不支持導致拒絕。需要MME進行排查。

2、短時間內（1min不能超過4次）同一UE申請PDN connectivity Request次數超限，被MME配置的異常信令控制生效所致。

例如下面案例中，UE使用多個APN，CMDCN、IMS、CMNET發(fā)起PDN請求，前兩次CMDCN、IMS成功了，第三次CMNET激活遇上X2切換被ENB拒絕失敗，第四次PDN激活成功后UE主動disconnect了，第五次到達MME限制次數被拒絕。

3 優(yōu)化方法總結

3.1針對仿真站對基礎問題的影響范圍和便于監(jiān)控的優(yōu)化建議

1）協調公安系統(tǒng)仿真站和周邊運營商網絡采用異頻，建議采用F頻段38500（運營商網絡F頻段為38400），其優(yōu)先級同運營商網絡頻率的優(yōu)先級；

2）運營商網絡F頻段區(qū)域，設置LTE仿真基站幀偏置以實現與周圍公網的幀同步；

3）仿真站設置固定TAC、固定PCI，納入運營商網絡的PCI規(guī)劃，避免MOD3等影響；

4）降低仿真基站功率，基站一般安裝于十字路口，覆蓋30~50m滿足捕獲率要求即可，降低對運營商網絡的影響；

6）仿真基站目的為捕獲用戶獲取信息，并非提供業(yè)務，對帶寬要求低，可以建議僅占用1.4M帶寬，將其固定在1880~1881.4 MHz之間，完全解決對運營商網絡的干擾，可以徹底規(guī)避問題。如果1.4M帶寬無法協調則至少限制在5M以內。

3.2針對終端脫網或不能及時回4G網絡的優(yōu)化建議

1）TAU拒絕Cause設置為Code 15: No suitable cell in tracking area。

2）嘗試優(yōu)化核心網相關參數，如PDN請求的限制次數等。

3）關注終端問題，通過投訴等手段搜集、收斂終端原因造成的會選不及時問題。

參考文獻

【1】《TD-LTE技術原理與系統(tǒng)設計》王映民——人民郵電出版社

【2】《TD-LTE高層信令》 ——大唐移動通信學院

【3】《3GPP協議規(guī)范》

作者：大唐移動通信設備有限公司 李超

來源：C114通信網