TD-LTE公安仿真站影響研究

摘要：近些年由于公共安全需求，在重要交通路口、商場、交通樞紐等人流量大的區(qū)域建設了越來越多的LTE仿真基站，目前仿真站的安裝、設置還沒有明確規(guī)范，也不屬于運營商統(tǒng)一管理，其對現(xiàn)有移動通信網(wǎng)絡產(chǎn)生了較大的影響，本文通過研究仿真站的數(shù)據(jù)采集機制，結合現(xiàn)有TD-LTE網(wǎng)絡優(yōu)化特點，對TD-LTE公安仿真站的優(yōu)化給出一些建議。

關鍵詞：TD-LTE LTE仿真站 IMSI TAU

Abstract：In recent years, due to the demand of public security, more and more LTE simulation base stations have been constructed in important traffic intersections, shopping malls, traffic hubs and other areas with large traffic flow. At present, the installation and setup of simulation stations have not been clearly regulated, and they are not under the unified management of operators, which has a great impact on the existing mobile communication network. This paper studies the data acquisition mechanism of the simulation station, and gives some suggestions on the optimization of the TD-LTE public security simulation station.

Keyword：TD-LTE LTE simulation base station IMSI TAU

1 認識仿真站

公安仿真基站是公安系統(tǒng)以公共安全為目的對移動用戶進行監(jiān)控的系統(tǒng)終端采集器。其功能為仿真基站覆蓋范圍的移動手機用戶在空閑狀態(tài)下強制進行系統(tǒng)登記，從而達到對安裝在各個交通要道節(jié)點移動手機用戶信息進行采集的目的。

1.1 仿真站基礎介紹

由于LTE協(xié)議規(guī)定Identity Request (if requested identification parameter is IMSI)不需要完整性保護，因此4G仿真站也就是利用這個實現(xiàn)了對用戶敏感信息的收集。目前發(fā)現(xiàn)的主要是公安系統(tǒng)利用4G仿真站監(jiān)控用戶位置和人流量。這些仿真站為了欺騙終端接入，一般會仿冒現(xiàn)網(wǎng)周邊一個小區(qū)的PCI，導致現(xiàn)網(wǎng)小區(qū)出現(xiàn)切換、掉線等指標惡化。并會有干擾的可能（取決于仿真站是否與現(xiàn)網(wǎng)基站同步，是否使用與現(xiàn)網(wǎng)相同的時隙配比）。

1.2 仿真站獲取IMSI過程介紹

LTE仿真基站采用和運營商TD-LTE網(wǎng)絡不同的TAC，且仿真基站功率一般較高，在滿足R&S重選準則后，UE空閑態(tài)發(fā)起向仿真基站的重選并請求更新路由區(qū)（TAURequest），獲取終端的GUTI，仿真站在獲取到GUTI后，可以造出特定NAS消息（Identity Request）要求終端上報其IMSI信息�？梢�，仿真站可以在TAU過程中偽造Identity Request直傳信令，用于獲取用戶IMSI信息。

仿真站給UE下發(fā)Identity Request，要求用戶上報用戶信息（如IMSI、IMEI），隨即處在EMM連接態(tài)的用戶會反饋Identity Response給網(wǎng)絡側，該消息中包含UE的IMSI信息，網(wǎng)絡側即獲取到UE的IMSI等用戶信息。由此可以看出仿真基站可通過用戶反饋的Identity Response來獲取用戶信息。仿真站提取用戶的IMSI號碼后，以隨便一個cause值拒絕TAU，并將該用戶釋放或重定向至2G。

2 仿真站造成的終端回不到4G問題研究

日常經(jīng)常發(fā)現(xiàn)，部分用戶在從仿真站被重選到2G后不能及時回到4G網(wǎng)絡，甚至一直回不到4G網(wǎng)絡，用戶網(wǎng)絡感知影響嚴重，通過對該問題的研究，發(fā)現(xiàn)有以下集中情況。

2.1仿真站不響應

正常情況下當用戶進入仿真基站后，因為仿真基站的TAC和大網(wǎng)的TAC配置不同，用戶會發(fā)送TAU更新TA請求，仿真基站因為沒有連接核心網(wǎng)，所以直接進行TAU reject，把用戶釋放，用戶被仿真基站釋放后，重新做聯(lián)合TA/LA的更新附著請求進入4G網(wǎng)絡。

在異常區(qū)域進行仿真基站進行測試時，出現(xiàn)問題時，當用戶進入仿真基站后，因為仿真基站的TAC和大網(wǎng)的TAC配置不同，用戶會發(fā)送TAU更新TA請求，此時仿真基站沒有按照正常的實現(xiàn)觸發(fā)TAU reject來釋放用戶，而是沒有響應用戶的TAU請求消息。

按照協(xié)議實現(xiàn)要求，UE當時嘗試5次TAU請求，每次間隔為T3411（10s），當達到5次后，依舊無法完成TAU更新完成，發(fā)生該問題后的處理策略，協(xié)議描述如下，根據(jù)終端類型是CS/PS mode 1還是CS/PS mode 2進行不同的流程。如果終端是是CS/PS mode 1，且VOLTE功能不可用時，終端將選至2G/3G網(wǎng)絡，并關閉4G網(wǎng)絡功能，保證語音業(yè)務。如果終端是CS/PS mode 2，終端等待T3402（12min），然后重新發(fā)起聯(lián)合TA/LA更新。

從上可以看出，在異常區(qū)域仿真基站由于沒有處理用戶的TAU請求消息，導致用戶回不到4G網(wǎng)絡。

2.2TAU Reject原因值問題

在仿真站獲取IMSI的流程中，收到UE發(fā)送的Identity Response后，達到了搜集信息的目的，應該下發(fā)TAU Reject將用戶釋放到GSM網(wǎng)絡，釋放原因再TAU Reject信令中包含有一個cause值， 目前在日常平臺信令分析及測試中常見的cause主要有以下四種，通過協(xié)議定義我們可以看到攜帶不同的cause值對UE后續(xù)的影響較大：

Code 12：Tracking area not allowed

UE將EPS更新狀態(tài)更新為不允許漫游，刪除所有GUTI、上次訪問注冊的TAI、TAI列表和eKSI。UE將重置跟蹤區(qū)更新嘗試計數(shù)器，將當前的TAI存儲在“區(qū)域服務提供的禁止跟蹤區(qū)域”列表中。UE進入emm-deregistered.limited-service狀態(tài)。

Code 13：Roaming not allowed in this tracking area

UE將EPS更新狀態(tài)為不允許漫游，刪除等效PLMN列表。并將重置跟蹤區(qū)更新嘗試計數(shù)器，UE應將當前的TAI存儲在“禁止漫游的跟蹤區(qū)域”列表中，并將當前的TAI從存儲的TA列表中刪除。UE進入emm-registered.plmn-search狀態(tài)。

然后UE根據(jù)3GPP TS 23.122 [ 6 ]進行PLMN選擇，并在新的TAC中進行聯(lián)合TA / LA更新和IMSI附著。

Code 14：EPS services not allowed in this PLMN

UE將EPS更新狀態(tài)更新為不允許漫游，刪除所有GUTI、上次訪問注冊的TAI、TAI列表和eKSI。UE將重置跟蹤區(qū)更新嘗試計數(shù)器，將當前的PLMN存儲在“禁止PLMNs GPRS服務”名單。UE進入emm-deregistered.plmn-search狀態(tài)。

此時看UE終端是CS/PS1（voice centric）模式還是CS/PS2（data centric）模式，在進入該狀態(tài)后無論UE在CS/PS1模式還是CS / PS 2模式，IMSI仍然允許在非EPS進行附著。

但UE在CS/PS1模式時會選擇GERAN或UTRAN進行無線接入，在這種情況下，UE不能重選至E-UTRAN進行業(yè)務。而如果UE為CS/PS2模式則根據(jù)3GPP TS 23.122 [ 6 ]進行PLMN重新選擇并進行TA / LA聯(lián)合更新附著。

Code 15：No suitable cell in tracking area。

UE將EPS更新狀態(tài)為不允許漫游并將重置跟蹤區(qū)更新嘗試計數(shù)器，UE應將當前的TAI存儲在“禁止漫游的跟蹤區(qū)域”列表中，并將當前的TAI從存儲的TA列表中刪除。UE進入emm-deregistered.limited-service狀態(tài)。

然后UE根據(jù)3GPP TS 26.304 [21 ]在同一PLMN中的新的TA/LA區(qū)中的一個新小區(qū)進行聯(lián)合TA / LA更新和IMSI附著。

從以上四種cause值看code15理論上影響最小，重選回網(wǎng)絡應該會更快，不會影響UE回到4G網(wǎng)絡。

2.3 終端對協(xié)議參數(shù)配置理解問題

某區(qū)域仿真站頻點目前設置為高優(yōu)先級，當公網(wǎng)LTE小區(qū)配置的異頻參數(shù)QRxLevMin為-90dB，ThreshXHigh配置為0dB，某種終端用戶大概率重選到仿真站，后返回到GSM網(wǎng)絡；當異頻參數(shù)QRxLevMin配置為-120dB，ThreshXHigh配置為30dB，某種終端用戶不易重選到仿真站。同樣環(huán)境下其它終端無該現(xiàn)象。

從3GPP協(xié)議理解兩種配置是一致，均是仿真站信號高于-90dB時重選到仿真站小區(qū)。但該終端在兩種配置下出現(xiàn)不同的情況，定位為該終端對高優(yōu)先級異頻測量觸發(fā)參數(shù)的協(xié)議解讀不一致，導致其在第一種配置下存在容易重選到仿真站現(xiàn)象。

2.4 核心網(wǎng)問題

UE從仿真基站釋放到GSM網(wǎng)絡后，進行附著，終端在申請建立pdn連接時被拒絕，拒絕原因為Multiple pdn connections for a given APN not allowed。

該原因可能由兩種問題造成：

1、同一UE相同的APN可以有多個PDN連接，而MME不支持導致拒絕。需要MME進行排查。

2、短時間內(nèi)（1min不能超過4次）同一UE申請PDN connectivity Request次數(shù)超限，被MME配置的異常信令控制生效所致。

例如下面案例中，UE使用多個APN，CMDCN、IMS、CMNET發(fā)起PDN請求，前兩次CMDCN、IMS成功了，第三次CMNET激活遇上X2切換被ENB拒絕失敗，第四次PDN激活成功后UE主動disconnect了，第五次到達MME限制次數(shù)被拒絕。

3 優(yōu)化方法總結

3.1針對仿真站對基礎問題的影響范圍和便于監(jiān)控的優(yōu)化建議

1）協(xié)調(diào)公安系統(tǒng)仿真站和周邊運營商網(wǎng)絡采用異頻，建議采用F頻段38500（運營商網(wǎng)絡F頻段為38400），其優(yōu)先級同運營商網(wǎng)絡頻率的優(yōu)先級；

2）運營商網(wǎng)絡F頻段區(qū)域，設置LTE仿真基站幀偏置以實現(xiàn)與周圍公網(wǎng)的幀同步；

3）仿真站設置固定TAC、固定PCI，納入運營商網(wǎng)絡的PCI規(guī)劃，避免MOD3等影響；

4）降低仿真基站功率，基站一般安裝于十字路口，覆蓋30~50m滿足捕獲率要求即可，降低對運營商網(wǎng)絡的影響；

6）仿真基站目的為捕獲用戶獲取信息，并非提供業(yè)務，對帶寬要求低，可以建議僅占用1.4M帶寬，將其固定在1880~1881.4 MHz之間，完全解決對運營商網(wǎng)絡的干擾，可以徹底規(guī)避問題。如果1.4M帶寬無法協(xié)調(diào)則至少限制在5M以內(nèi)。

3.2針對終端脫網(wǎng)或不能及時回4G網(wǎng)絡的優(yōu)化建議

1）TAU拒絕Cause設置為Code 15: No suitable cell in tracking area。

2）嘗試優(yōu)化核心網(wǎng)相關參數(shù)，如PDN請求的限制次數(shù)等。

3）關注終端問題，通過投訴等手段搜集、收斂終端原因造成的會選不及時問題。

參考文獻

【1】《TD-LTE技術原理與系統(tǒng)設計》王映民——人民郵電出版社

【2】《TD-LTE高層信令》 ——大唐移動通信學院

【3】《3GPP協(xié)議規(guī)范》

作者：大唐移動通信設備有限公司 李超

來源：C114通信網(wǎng)