摘要:近些年由于公共安全需求,在重要交通路口、商场、交通枢纽等人流量大的区域建设了越来越多的LTE仿真基站,目前仿真站的安装、设置还没有明确规范,也不属于运营商统一管理,其对现有移动通信网络产生了较大的影响,本文通过研究仿真站的数据采集机制,结合现有TD-LTE网络优化特点,对TD-LTE公安仿真站的优化给出一些建议。
关键词:TD-LTE LTE仿真站 IMSI TAU
Abstract:In recent years, due to the demand of public security, more and more LTE simulation base stations have been constructed in important traffic intersections, shopping malls, traffic hubs and other areas with large traffic flow. At present, the installation and setup of simulation stations have not been clearly regulated, and they are not under the unified management of operators, which has a great impact on the existing mobile communication network. This paper studies the data acquisition mechanism of the simulation station, and gives some suggestions on the optimization of the TD-LTE public security simulation station.
Keyword:TD-LTE LTE simulation base station IMSI TAU
1 认识仿真站
公安仿真基站是公安系统以公共安全为目的对移动用户进行监控的系统终端采集器。其功能为仿真基站覆盖范围的移动手机用户在空闲状态下强制进行系统登记,从而达到对安装在各个交通要道节点移动手机用户信息进行采集的目的。
1.1 仿真站基础介绍
由于LTE协议规定Identity Request (if requested identification parameter is IMSI)不需要完整性保护,因此4G仿真站也就是利用这个实现了对用户敏感信息的收集。目前发现的主要是公安系统利用4G仿真站监控用户位置和人流量。这些仿真站为了欺骗终端接入,一般会仿冒现网周边一个小区的PCI,导致现网小区出现切换、掉线等指标恶化。并会有干扰的可能(取决于仿真站是否与现网基站同步,是否使用与现网相同的时隙配比)。
1.2 仿真站获取IMSI过程介绍
LTE仿真基站采用和运营商TD-LTE网络不同的TAC,且仿真基站功率一般较高,在满足R&S重选准则后,UE空闲态发起向仿真基站的重选并请求更新路由区(TAURequest),获取终端的GUTI,仿真站在获取到GUTI后,可以造出特定NAS消息(Identity Request)要求终端上报其IMSI信息。可见,仿真站可以在TAU过程中伪造Identity Request直传信令,用于获取用户IMSI信息。
仿真站给UE下发Identity Request,要求用户上报用户信息(如IMSI、IMEI),随即处在EMM连接态的用户会反馈Identity Response给网络侧,该消息中包含UE的IMSI信息,网络侧即获取到UE的IMSI等用户信息。由此可以看出仿真基站可通过用户反馈的Identity Response来获取用户信息。仿真站提取用户的IMSI号码后,以随便一个cause值拒绝TAU,并将该用户释放或重定向至2G。
2 仿真站造成的终端回不到4G问题研究
日常经常发现,部分用户在从仿真站被重选到2G后不能及时回到4G网络,甚至一直回不到4G网络,用户网络感知影响严重,通过对该问题的研究,发现有以下集中情况。
2.1仿真站不响应
正常情况下当用户进入仿真基站后,因为仿真基站的TAC和大网的TAC配置不同,用户会发送TAU更新TA请求,仿真基站因为没有连接核心网,所以直接进行TAU reject,把用户释放,用户被仿真基站释放后,重新做联合TA/LA的更新附着请求进入4G网络。
在异常区域进行仿真基站进行测试时,出现问题时,当用户进入仿真基站后,因为仿真基站的TAC和大网的TAC配置不同,用户会发送TAU更新TA请求,此时仿真基站没有按照正常的实现触发TAU reject来释放用户,而是没有响应用户的TAU请求消息。
按照协议实现要求,UE当时尝试5次TAU请求,每次间隔为T3411(10s),当达到5次后,依旧无法完成TAU更新完成,发生该问题后的处理策略,协议描述如下,根据终端类型是CS/PS mode 1还是CS/PS mode 2进行不同的流程。如果终端是是CS/PS mode 1,且VOLTE功能不可用时,终端将选至2G/3G网络,并关闭4G网络功能,保证语音业务。如果终端是CS/PS mode 2,终端等待T3402(12min),然后重新发起联合TA/LA更新。
从上可以看出,在异常区域仿真基站由于没有处理用户的TAU请求消息,导致用户回不到4G网络。
2.2TAU Reject原因值问题
在仿真站获取IMSI的流程中,收到UE发送的Identity Response后,达到了搜集信息的目的,应该下发TAU Reject将用户释放到GSM网络,释放原因再TAU Reject信令中包含有一个cause值, 目前在日常平台信令分析及测试中常见的cause主要有以下四种,通过协议定义我们可以看到携带不同的cause值对UE后续的影响较大:
Code 12:Tracking area not allowed
UE将EPS更新状态更新为不允许漫游,删除所有GUTI、上次访问注册的TAI、TAI列表和eKSI。UE将重置跟踪区更新尝试计数器,将当前的TAI存储在“区域服务提供的禁止跟踪区域”列表中。UE进入emm-deregistered.limited-service状态。
Code 13:Roaming not allowed in this tracking area
UE将EPS更新状态为不允许漫游,删除等效PLMN列表。并将重置跟踪区更新尝试计数器,UE应将当前的TAI存储在“禁止漫游的跟踪区域”列表中,并将当前的TAI从存储的TA列表中删除。UE进入emm-registered.plmn-search状态。
然后UE根据3GPP TS 23.122 [ 6 ]进行PLMN选择,并在新的TAC中进行联合TA / LA更新和IMSI附着。
Code 14:EPS services not allowed in this PLMN
UE将EPS更新状态更新为不允许漫游,删除所有GUTI、上次访问注册的TAI、TAI列表和eKSI。UE将重置跟踪区更新尝试计数器,将当前的PLMN存储在“禁止PLMNs GPRS服务”名单。UE进入emm-deregistered.plmn-search状态。
此时看UE终端是CS/PS1(voice centric)模式还是CS/PS2(data centric)模式,在进入该状态后无论UE在CS/PS1模式还是CS / PS 2模式,IMSI仍然允许在非EPS进行附着。
但UE在CS/PS1模式时会选择GERAN或UTRAN进行无线接入,在这种情况下,UE不能重选至E-UTRAN进行业务。而如果UE为CS/PS2模式则根据3GPP TS 23.122 [ 6 ]进行PLMN重新选择并进行TA / LA联合更新附着。
Code 15:No suitable cell in tracking area。
UE将EPS更新状态为不允许漫游并将重置跟踪区更新尝试计数器,UE应将当前的TAI存储在“禁止漫游的跟踪区域”列表中,并将当前的TAI从存储的TA列表中删除。UE进入emm-deregistered.limited-service状态。
然后UE根据3GPP TS 26.304 [21 ]在同一PLMN中的新的TA/LA区中的一个新小区进行联合TA / LA更新和IMSI附着。
从以上四种cause值看code15理论上影响最小,重选回网络应该会更快,不会影响UE回到4G网络。
2.3 终端对协议参数配置理解问题
某区域仿真站频点目前设置为高优先级,当公网LTE小区配置的异频参数QRxLevMin为-90dB,ThreshXHigh配置为0dB,某种终端用户大概率重选到仿真站,后返回到GSM网络;当异频参数QRxLevMin配置为-120dB,ThreshXHigh配置为30dB,某种终端用户不易重选到仿真站。同样环境下其它终端无该现象。
从3GPP协议理解两种配置是一致,均是仿真站信号高于-90dB时重选到仿真站小区。但该终端在两种配置下出现不同的情况,定位为该终端对高优先级异频测量触发参数的协议解读不一致,导致其在第一种配置下存在容易重选到仿真站现象。
2.4 核心网问题
UE从仿真基站释放到GSM网络后,进行附着,终端在申请建立pdn连接时被拒绝,拒绝原因为Multiple pdn connections for a given APN not allowed。
该原因可能由两种问题造成:
1、同一UE相同的APN可以有多个PDN连接,而MME不支持导致拒绝。需要MME进行排查。
2、短时间内(1min不能超过4次)同一UE申请PDN connectivity Request次数超限,被MME配置的异常信令控制生效所致。
例如下面案例中,UE使用多个APN,CMDCN、IMS、CMNET发起PDN请求,前两次CMDCN、IMS成功了,第三次CMNET激活遇上X2切换被ENB拒绝失败,第四次PDN激活成功后UE主动disconnect了,第五次到达MME限制次数被拒绝。
3 优化方法总结
3.1针对仿真站对基础问题的影响范围和便于监控的优化建议
1)协调公安系统仿真站和周边运营商网络采用异频,建议采用F频段38500(运营商网络F频段为38400),其优先级同运营商网络频率的优先级;
2)运营商网络F频段区域,设置LTE仿真基站帧偏置以实现与周围公网的帧同步;
3)仿真站设置固定TAC、固定PCI,纳入运营商网络的PCI规划,避免MOD3等影响;
4)降低仿真基站功率,基站一般安装于十字路口,覆盖30~50m满足捕获率要求即可,降低对运营商网络的影响;
6)仿真基站目的为捕获用户获取信息,并非提供业务,对带宽要求低,可以建议仅占用1.4M带宽,将其固定在1880~1881.4 MHz之间,完全解决对运营商网络的干扰,可以彻底规避问题。如果1.4M带宽无法协调则至少限制在5M以内。
3.2针对终端脱网或不能及时回4G网络的优化建议
1)TAU拒绝Cause设置为Code 15: No suitable cell in tracking area。
2)尝试优化核心网相关参数,如PDN请求的限制次数等。
3)关注终端问题,通过投诉等手段搜集、收敛终端原因造成的会选不及时问题。
参考文献
【1】《TD-LTE技术原理与系统设计》王映民——人民邮电出版社
【2】《TD-LTE高层信令》 ——大唐移动通信学院
【3】《3GPP协议规范》
作者:大唐移动通信设备有限公司 李超
来源:C114通信网