TD-LTE公安仿真站影響研究

摘要：近些年由于公共安全需求，在重要交通路口、商場(chǎng)、交通樞紐等人流量大的區(qū)域建設(shè)了越來(lái)越多的LTE仿真基站，目前仿真站的安裝、設(shè)置還沒(méi)有明確規(guī)范，也不屬于運(yùn)營(yíng)商統(tǒng)一管理，其對(duì)現(xiàn)有移動(dòng)通信網(wǎng)絡(luò)產(chǎn)生了較大的影響，本文通過(guò)研究仿真站的數(shù)據(jù)采集機(jī)制，結(jié)合現(xiàn)有TD-LTE網(wǎng)絡(luò)優(yōu)化特點(diǎn)，對(duì)TD-LTE公安仿真站的優(yōu)化給出一些建議。

關(guān)鍵詞：TD-LTE LTE仿真站 IMSI TAU

Abstract：In recent years, due to the demand of public security, more and more LTE simulation base stations have been constructed in important traffic intersections, shopping malls, traffic hubs and other areas with large traffic flow. At present, the installation and setup of simulation stations have not been clearly regulated, and they are not under the unified management of operators, which has a great impact on the existing mobile communication network. This paper studies the data acquisition mechanism of the simulation station, and gives some suggestions on the optimization of the TD-LTE public security simulation station.

Keyword：TD-LTE LTE simulation base station IMSI TAU

1 認(rèn)識(shí)仿真站

公安仿真基站是公安系統(tǒng)以公共安全為目的對(duì)移動(dòng)用戶進(jìn)行監(jiān)控的系統(tǒng)終端采集器。其功能為仿真基站覆蓋范圍的移動(dòng)手機(jī)用戶在空閑狀態(tài)下強(qiáng)制進(jìn)行系統(tǒng)登記，從而達(dá)到對(duì)安裝在各個(gè)交通要道節(jié)點(diǎn)移動(dòng)手機(jī)用戶信息進(jìn)行采集的目的。

1.1 仿真站基礎(chǔ)介紹

由于LTE協(xié)議規(guī)定Identity Request (if requested identification parameter is IMSI)不需要完整性保護(hù)，因此4G仿真站也就是利用這個(gè)實(shí)現(xiàn)了對(duì)用戶敏感信息的收集。目前發(fā)現(xiàn)的主要是公安系統(tǒng)利用4G仿真站監(jiān)控用戶位置和人流量。這些仿真站為了欺騙終端接入，一般會(huì)仿冒現(xiàn)網(wǎng)周邊一個(gè)小區(qū)的PCI，導(dǎo)致現(xiàn)網(wǎng)小區(qū)出現(xiàn)切換、掉線等指標(biāo)惡化。并會(huì)有干擾的可能（取決于仿真站是否與現(xiàn)網(wǎng)基站同步，是否使用與現(xiàn)網(wǎng)相同的時(shí)隙配比）。

1.2 仿真站獲取IMSI過(guò)程介紹

LTE仿真基站采用和運(yùn)營(yíng)商TD-LTE網(wǎng)絡(luò)不同的TAC，且仿真基站功率一般較高，在滿足R&S重選準(zhǔn)則后，UE空閑態(tài)發(fā)起向仿真基站的重選并請(qǐng)求更新路由區(qū)（TAURequest），獲取終端的GUTI，仿真站在獲取到GUTI后，可以造出特定NAS消息（Identity Request）要求終端上報(bào)其IMSI信息�？梢�(jiàn)，仿真站可以在TAU過(guò)程中偽造Identity Request直傳信令，用于獲取用戶IMSI信息。

仿真站給UE下發(fā)Identity Request，要求用戶上報(bào)用戶信息（如IMSI、IMEI），隨即處在EMM連接態(tài)的用戶會(huì)反饋Identity Response給網(wǎng)絡(luò)側(cè)，該消息中包含UE的IMSI信息，網(wǎng)絡(luò)側(cè)即獲取到UE的IMSI等用戶信息。由此可以看出仿真基站可通過(guò)用戶反饋的Identity Response來(lái)獲取用戶信息。仿真站提取用戶的IMSI號(hào)碼后，以隨便一個(gè)cause值拒絕TAU，并將該用戶釋放或重定向至2G。

2 仿真站造成的終端回不到4G問(wèn)題研究

日常經(jīng)常發(fā)現(xiàn)，部分用戶在從仿真站被重選到2G后不能及時(shí)回到4G網(wǎng)絡(luò)，甚至一直回不到4G網(wǎng)絡(luò)，用戶網(wǎng)絡(luò)感知影響嚴(yán)重，通過(guò)對(duì)該問(wèn)題的研究，發(fā)現(xiàn)有以下集中情況。

2.1仿真站不響應(yīng)

正常情況下當(dāng)用戶進(jìn)入仿真基站后，因?yàn)榉抡婊�站的TAC和大網(wǎng)的TAC配置不同，用戶會(huì)發(fā)送TAU更新TA請(qǐng)求，仿真基站因?yàn)闆](méi)有連接核心網(wǎng)，所以直接進(jìn)行TAU reject，把用戶釋放，用戶被仿真基站釋放后，重新做聯(lián)合TA/LA的更新附著請(qǐng)求進(jìn)入4G網(wǎng)絡(luò)。

在異常區(qū)域進(jìn)行仿真基站進(jìn)行測(cè)試時(shí)，出現(xiàn)問(wèn)題時(shí)，當(dāng)用戶進(jìn)入仿真基站后，因?yàn)榉抡婊�站的TAC和大網(wǎng)的TAC配置不同，用戶會(huì)發(fā)送TAU更新TA請(qǐng)求，此時(shí)仿真基站沒(méi)有按照正常的實(shí)現(xiàn)觸發(fā)TAU reject來(lái)釋放用戶，而是沒(méi)有響應(yīng)用戶的TAU請(qǐng)求消息。

按照協(xié)議實(shí)現(xiàn)要求，UE當(dāng)時(shí)嘗試5次TAU請(qǐng)求，每次間隔為T(mén)3411（10s），當(dāng)達(dá)到5次后，依舊無(wú)法完成TAU更新完成，發(fā)生該問(wèn)題后的處理策略，協(xié)議描述如下，根據(jù)終端類型是CS/PS mode 1還是CS/PS mode 2進(jìn)行不同的流程。如果終端是是CS/PS mode 1，且VOLTE功能不可用時(shí)，終端將選至2G/3G網(wǎng)絡(luò)，并關(guān)閉4G網(wǎng)絡(luò)功能，保證語(yǔ)音業(yè)務(wù)。如果終端是CS/PS mode 2，終端等待T3402（12min），然后重新發(fā)起聯(lián)合TA/LA更新。

從上可以看出，在異常區(qū)域仿真基站由于沒(méi)有處理用戶的TAU請(qǐng)求消息，導(dǎo)致用戶回不到4G網(wǎng)絡(luò)。

2.2TAU Reject原因值問(wèn)題

在仿真站獲取IMSI的流程中，收到UE發(fā)送的Identity Response后，達(dá)到了搜集信息的目的，應(yīng)該下發(fā)TAU Reject將用戶釋放到GSM網(wǎng)絡(luò)，釋放原因再TAU Reject信令中包含有一個(gè)cause值， 目前在日常平臺(tái)信令分析及測(cè)試中常見(jiàn)的cause主要有以下四種，通過(guò)協(xié)議定義我們可以看到攜帶不同的cause值對(duì)UE后續(xù)的影響較大：

Code 12：Tracking area not allowed

UE將EPS更新?tīng)顟B(tài)更新為不允許漫游，刪除所有GUTI、上次訪問(wèn)注冊(cè)的TAI、TAI列表和eKSI。UE將重置跟蹤區(qū)更新嘗試計(jì)數(shù)器，將當(dāng)前的TAI存儲(chǔ)在“區(qū)域服務(wù)提供的禁止跟蹤區(qū)域”列表中。UE進(jìn)入emm-deregistered.limited-service狀態(tài)。

Code 13：Roaming not allowed in this tracking area

UE將EPS更新?tīng)顟B(tài)為不允許漫游，刪除等效PLMN列表。并將重置跟蹤區(qū)更新嘗試計(jì)數(shù)器，UE應(yīng)將當(dāng)前的TAI存儲(chǔ)在“禁止漫游的跟蹤區(qū)域”列表中，并將當(dāng)前的TAI從存儲(chǔ)的TA列表中刪除。UE進(jìn)入emm-registered.plmn-search狀態(tài)。

然后UE根據(jù)3GPP TS 23.122 [ 6 ]進(jìn)行PLMN選擇，并在新的TAC中進(jìn)行聯(lián)合TA / LA更新和IMSI附著。

Code 14：EPS services not allowed in this PLMN

UE將EPS更新?tīng)顟B(tài)更新為不允許漫游，刪除所有GUTI、上次訪問(wèn)注冊(cè)的TAI、TAI列表和eKSI。UE將重置跟蹤區(qū)更新嘗試計(jì)數(shù)器，將當(dāng)前的PLMN存儲(chǔ)在“禁止PLMNs GPRS服務(wù)”名單。UE進(jìn)入emm-deregistered.plmn-search狀態(tài)。

此時(shí)看UE終端是CS/PS1（voice centric）模式還是CS/PS2（data centric）模式，在進(jìn)入該狀態(tài)后無(wú)論UE在CS/PS1模式還是CS / PS 2模式，IMSI仍然允許在非EPS進(jìn)行附著。

但UE在CS/PS1模式時(shí)會(huì)選擇GERAN或UTRAN進(jìn)行無(wú)線接入，在這種情況下，UE不能重選至E-UTRAN進(jìn)行業(yè)務(wù)。而如果UE為CS/PS2模式則根據(jù)3GPP TS 23.122 [ 6 ]進(jìn)行PLMN重新選擇并進(jìn)行TA / LA聯(lián)合更新附著。

Code 15：No suitable cell in tracking area。

UE將EPS更新?tīng)顟B(tài)為不允許漫游并將重置跟蹤區(qū)更新嘗試計(jì)數(shù)器，UE應(yīng)將當(dāng)前的TAI存儲(chǔ)在“禁止漫游的跟蹤區(qū)域”列表中，并將當(dāng)前的TAI從存儲(chǔ)的TA列表中刪除。UE進(jìn)入emm-deregistered.limited-service狀態(tài)。

然后UE根據(jù)3GPP TS 26.304 [21 ]在同一PLMN中的新的TA/LA區(qū)中的一個(gè)新小區(qū)進(jìn)行聯(lián)合TA / LA更新和IMSI附著。

從以上四種cause值看code15理論上影響最小，重選回網(wǎng)絡(luò)應(yīng)該會(huì)更快，不會(huì)影響UE回到4G網(wǎng)絡(luò)。

2.3 終端對(duì)協(xié)議參數(shù)配置理解問(wèn)題

某區(qū)域仿真站頻點(diǎn)目前設(shè)置為高優(yōu)先級(jí)，當(dāng)公網(wǎng)LTE小區(qū)配置的異頻參數(shù)QRxLevMin為-90dB，ThreshXHigh配置為0dB，某種終端用戶大概率重選到仿真站，后返回到GSM網(wǎng)絡(luò)；當(dāng)異頻參數(shù)QRxLevMin配置為-120dB，ThreshXHigh配置為30dB，某種終端用戶不易重選到仿真站。同樣環(huán)境下其它終端無(wú)該現(xiàn)象。

從3GPP協(xié)議理解兩種配置是一致，均是仿真站信號(hào)高于-90dB時(shí)重選到仿真站小區(qū)。但該終端在兩種配置下出現(xiàn)不同的情況，定位為該終端對(duì)高優(yōu)先級(jí)異頻測(cè)量觸發(fā)參數(shù)的協(xié)議解讀不一致，導(dǎo)致其在第一種配置下存在容易重選到仿真站現(xiàn)象。

2.4 核心網(wǎng)問(wèn)題

UE從仿真基站釋放到GSM網(wǎng)絡(luò)后，進(jìn)行附著，終端在申請(qǐng)建立pdn連接時(shí)被拒絕，拒絕原因?yàn)镸ultiple pdn connections for a given APN not allowed。

該原因可能由兩種問(wèn)題造成：

1、同一UE相同的APN可以有多個(gè)PDN連接，而MME不支持導(dǎo)致拒絕。需要MME進(jìn)行排查。

2、短時(shí)間內(nèi)（1min不能超過(guò)4次）同一UE申請(qǐng)PDN connectivity Request次數(shù)超限，被MME配置的異常信令控制生效所致。

例如下面案例中，UE使用多個(gè)APN，CMDCN、IMS、CMNET發(fā)起PDN請(qǐng)求，前兩次CMDCN、IMS成功了，第三次CMNET激活遇上X2切換被ENB拒絕失敗，第四次PDN激活成功后UE主動(dòng)disconnect了，第五次到達(dá)MME限制次數(shù)被拒絕。

3 優(yōu)化方法總結(jié)

3.1針對(duì)仿真站對(duì)基礎(chǔ)問(wèn)題的影響范圍和便于監(jiān)控的優(yōu)化建議

1）協(xié)調(diào)公安系統(tǒng)仿真站和周邊運(yùn)營(yíng)商網(wǎng)絡(luò)采用異頻，建議采用F頻段38500（運(yùn)營(yíng)商網(wǎng)絡(luò)F頻段為38400），其優(yōu)先級(jí)同運(yùn)營(yíng)商網(wǎng)絡(luò)頻率的優(yōu)先級(jí)；

2）運(yùn)營(yíng)商網(wǎng)絡(luò)F頻段區(qū)域，設(shè)置LTE仿真基站幀偏置以實(shí)現(xiàn)與周?chē)�公網(wǎng)的幀同步；

3）仿真站設(shè)置固定TAC、固定PCI，納入運(yùn)營(yíng)商網(wǎng)絡(luò)的PCI規(guī)劃，避免MOD3等影響；

4）降低仿真基站功率，基站一般安裝于十字路口，覆蓋30~50m滿足捕獲率要求即可，降低對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的影響；

6）仿真基站目的為捕獲用戶獲取信息，并非提供業(yè)務(wù)，對(duì)帶寬要求低，可以建議僅占用1.4M帶寬，將其固定在1880~1881.4 MHz之間，完全解決對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的干擾，可以徹底規(guī)避問(wèn)題。如果1.4M帶寬無(wú)法協(xié)調(diào)則至少限制在5M以內(nèi)。

3.2針對(duì)終端脫網(wǎng)或不能及時(shí)回4G網(wǎng)絡(luò)的優(yōu)化建議

1）TAU拒絕Cause設(shè)置為Code 15: No suitable cell in tracking area。

2）嘗試優(yōu)化核心網(wǎng)相關(guān)參數(shù)，如PDN請(qǐng)求的限制次數(shù)等。

3）關(guān)注終端問(wèn)題，通過(guò)投訴等手段搜集、收斂終端原因造成的會(huì)選不及時(shí)問(wèn)題。

參考文獻(xiàn)

【1】《TD-LTE技術(shù)原理與系統(tǒng)設(shè)計(jì)》王映民——人民郵電出版社

【2】《TD-LTE高層信令》 ——大唐移動(dòng)通信學(xué)院

【3】《3GPP協(xié)議規(guī)范》

作者：大唐移動(dòng)通信設(shè)備有限公司 李超

來(lái)源：C114通信網(wǎng)