首页 > 应用 > 人工智能

一些对公安仿真站的研究

2019-08-30

摘要:近些年由于公共安全需求,在重要交通路口、商场、交通枢纽等人流量大的区域建设了越来越多的LTE仿真基站,目前仿真站的安装、设置还没有明确规范,也不属于运营商统一管理,其对现有移动通信网络产生了较大的影响,本文通过研究仿真站的数据采集机制,结合现有TD-LTE网络优化特点,对TD-LTE公安仿真站的优化给出一些建议。Fop电子头条

 Fop电子头条
1 认识仿真站Fop电子头条

Fop电子头条
 Fop电子头条
公安仿真基站是公安系统以公共安全为目的对移动用户进行监控的系统终端采集器。其功能为仿真基站覆盖范围的移动手机用户在空闲状态下强制进行系统登记,从而达到对安装在各个交通要道节点移动手机用户信息进行采集的目的。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
1.1 仿真站基础介绍Fop电子头条

Fop电子头条
 Fop电子头条
由于LTE协议规定Identity Request (if requested identification parameter is IMSI)不需要完整性保护,因此4G仿真站也就是利用这个实现了对用户敏感信息的收集。目前发现的主要是公安系统利用4G仿真站监控用户位置和人流量。这些仿真站为了欺骗终端接入,一般会仿冒现网周边一个小区的PCI,导致现网小区出现切换、掉线等指标恶化。并会有干扰的可能(取决于仿真站是否与现网基站同步,是否使用与现网相同的时隙配比)。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
1.2 仿真站获取IMSI过程介绍Fop电子头条

Fop电子头条
 Fop电子头条
LTE仿真基站采用和运营商TD-LTE网络不同的TAC,且仿真基站功率一般较高,在满足R&S重选准则后,UE空闲态发起向仿真基站的重选并请求更新路由区(TAURequest),获取终端的GUTI,仿真站在获取到GUTI后,可以造出特定NAS消息(Identity Request)要求终端上报其IMSI信息。可见,仿真站可以在TAU过程中伪造Identity Request直传信令,用于获取用户IMSI信息。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
仿真站给UE下发Identity Request,要求用户上报用户信息(如IMSI、IMEI),随即处在EMM连接态的用户会反馈Identity Response给网络侧,该消息中包含UE的IMSI信息,网络侧即获取到UE的IMSI等用户信息。由此可以看出仿真基站可通过用户反馈的Identity Response来获取用户信息。仿真站提取用户的IMSI号码后,以随便一个cause值拒绝TAU,并将该用户释放或重定向至2G。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
2 仿真站造成的终端回不到4G问题研究Fop电子头条

Fop电子头条
 Fop电子头条
日常经常发现,部分用户在从仿真站被重选到2G后不能及时回到4G网络,甚至一直回不到4G网络,用户网络感知影响严重,通过对该问题的研究,发现有以下集中情况。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
2.1仿真站不响应Fop电子头条

Fop电子头条
 Fop电子头条
正常情况下当用户进入仿真基站后,因为仿真基站的TAC和大网的TAC配置不同,用户会发送TAU更新TA请求,仿真基站因为没有连接核心网,所以直接进行TAU reject,把用户释放,用户被仿真基站释放后,重新做联合TA/LA的更新附着请求进入4G网络。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
在异常区域进行仿真基站进行测试时,出现问题时,当用户进入仿真基站后,因为仿真基站的TAC和大网的TAC配置不同,用户会发送TAU更新TA请求,此时仿真基站没有按照正常的实现触发TAU reject来释放用户,而是没有响应用户的TAU请求消息。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
按照协议实现要求,UE当时尝试5次TAU请求,每次间隔为T3411(10s),当达到5次后,依旧无法完成TAU更新完成,发生该问题后的处理策略,协议描述如下,根据终端类型是CS/PS mode 1还是CS/PS mode 2进行不同的流程。如果终端是是CS/PS mode 1,且VOLTE功能不可用时,终端将选至2G/3G网络,并关闭4G网络功能,保证语音业务。如果终端是CS/PS mode 2,终端等待T3402(12min),然后重新发起联合TA/LA更新。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
从上可以看出,在异常区域仿真基站由于没有处理用户的TAU请求消息,导致用户回不到4G网络。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
2.2TAU Reject原因值问题Fop电子头条

Fop电子头条
 Fop电子头条
在仿真站获取IMSI的流程中,收到UE发送的Identity Response后,达到了搜集信息的目的,应该下发TAU Reject将用户释放到GSM网络,释放原因再TAU Reject信令中包含有一个cause值, 目前在日常平台信令分析及测试中常见的cause主要有以下四种,通过协议定义我们可以看到携带不同的cause值对UE后续的影响较大:Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
Code 12:Tracking area not allowedFop电子头条

Fop电子头条
 Fop电子头条
UE将EPS更新状态更新为不允许漫游,删除所有GUTI、上次访问注册的TAI、TAI列表和eKSI。UE将重置跟踪区更新尝试计数器,将当前的TAI存储在“区域服务提供的禁止跟踪区域”列表中。UE进入emm-deregistered.limited-service状态。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
Code 13:Roaming not allowed in this tracking areaFop电子头条
 Fop电子头条

Fop电子头条
UE将EPS更新状态为不允许漫游,删除等效PLMN列表。并将重置跟踪区更新尝试计数器,UE应将当前的TAI存储在“禁止漫游的跟踪区域”列表中,并将当前的TAI从存储的TA列表中删除。UE进入emm-registered.plmn-search状态。Fop电子头条

Fop电子头条
 Fop电子头条
然后UE根据3GPP TS 23.122 [ 6 ]进行PLMN选择,并在新的TAC中进行联合TA / LA更新和IMSI附着。Fop电子头条

Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
Code 14:EPS services not allowed in this PLMNFop电子头条

Fop电子头条
 Fop电子头条
UE将EPS更新状态更新为不允许漫游,删除所有GUTI、上次访问注册的TAI、TAI列表和eKSI。UE将重置跟踪区更新尝试计数器,将当前的PLMN存储在“禁止PLMNs GPRS服务”名单。UE进入emm-deregistered.plmn-search状态。Fop电子头条

Fop电子头条
 Fop电子头条
此时看UE终端是CS/PS1(voice centric)模式还是CS/PS2(data centric)模式,在进入该状态后无论UE在CS/PS1模式还是CS / PS 2模式,IMSI仍然允许在非EPS进行附着。Fop电子头条

Fop电子头条
 Fop电子头条
但UE在CS/PS1模式时会选择GERAN或UTRAN进行无线接入,在这种情况下,UE不能重选至E-UTRAN进行业务。而如果UE为CS/PS2模式则根据3GPP TS 23.122 [ 6 ]进行PLMN重新选择并进行TA / LA联合更新附着。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
Code 15:No suitable cell in tracking area。Fop电子头条

Fop电子头条
 Fop电子头条
UE将EPS更新状态为不允许漫游并将重置跟踪区更新尝试计数器,UE应将当前的TAI存储在“禁止漫游的跟踪区域”列表中,并将当前的TAI从存储的TA列表中删除。UE进入emm-deregistered.limited-service状态。Fop电子头条

Fop电子头条
 Fop电子头条
然后UE根据3GPP TS 26.304 [21 ]在同一PLMN中的新的TA/LA区中的一个新小区进行联合TA / LA更新和IMSI附着。Fop电子头条

Fop电子头条
 Fop电子头条
从以上四种cause值看code15理论上影响最小,重选回网络应该会更快,不会影响UE回到4G网络。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
2.3 终端对协议参数配置理解问题Fop电子头条

Fop电子头条
 Fop电子头条
某区域仿真站频点目前设置为高优先级,当公网LTE小区配置的异频参数QRxLevMin为-90dB,ThreshXHigh配置为0dB,某种终端用户大概率重选到仿真站,后返回到GSM网络;当异频参数QRxLevMin配置为-120dB,ThreshXHigh配置为30dB,某种终端用户不易重选到仿真站。同样环境下其它终端无该现象。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
从3GPP协议理解两种配置是一致,均是仿真站信号高于-90dB时重选到仿真站小区。但该终端在两种配置下出现不同的情况,定位为该终端对高优先级异频测量触发参数的协议解读不一致,导致其在第一种配置下存在容易重选到仿真站现象。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
2.4 核心网问题Fop电子头条

Fop电子头条
 Fop电子头条
UE从仿真基站释放到GSM网络后,进行附着,终端在申请建立pdn连接时被拒绝,拒绝原因为Multiple pdn connections for a given APN not allowed。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
该原因可能由两种问题造成:Fop电子头条

Fop电子头条
 Fop电子头条
1、同一UE相同的APN可以有多个PDN连接,而MME不支持导致拒绝。需要MME进行排查。Fop电子头条
 Fop电子头条
2、短时间内(1min不能超过4次)同一UE申请PDN connectivity Request次数超限,被MME配置的异常信令控制生效所致。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
例如下面案例中,UE使用多个APN,CMDCN、IMS、CMNET发起PDN请求,前两次CMDCN、IMS成功了,第三次CMNET激活遇上X2切换被ENB拒绝失败,第四次PDN激活成功后UE主动disconnect了,第五次到达MME限制次数被拒绝。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
3 优化方法总结Fop电子头条

Fop电子头条
 Fop电子头条
3.1针对仿真站对基础问题的影响范围和便于监控的优化建议Fop电子头条

Fop电子头条
 Fop电子头条
1)协调公安系统仿真站和周边运营商网络采用异频,建议采用F频段38500(运营商网络F频段为38400),其优先级同运营商网络频率的优先级;Fop电子头条
 Fop电子头条
2)运营商网络F频段区域,设置LTE仿真基站帧偏置以实现与周围公网的帧同步;Fop电子头条
 Fop电子头条
3)仿真站设置固定TAC、固定PCI,纳入运营商网络的PCI规划,避免MOD3等影响;Fop电子头条
 Fop电子头条
4)降低仿真基站功率,基站一般安装于十字路口,覆盖30~50m满足捕获率要求即可,降低对运营商网络的影响;Fop电子头条
 Fop电子头条
6)仿真基站目的为捕获用户获取信息,并非提供业务,对带宽要求低,可以建议仅占用1.4M带宽,将其固定在1880~1881.4 MHz之间,完全解决对运营商网络的干扰,可以彻底规避问题。如果1.4M带宽无法协调则至少限制在5M以内。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条
3.2针对终端脱网或不能及时回4G网络的优化建议Fop电子头条

Fop电子头条
 Fop电子头条
1)TAU拒绝Cause设置为Code 15: No suitable cell in tracking area。Fop电子头条
 Fop电子头条
2)尝试优化核心网相关参数,如PDN请求的限制次数等。Fop电子头条
 Fop电子头条
3)关注终端问题,通过投诉等手段搜集、收敛终端原因造成的会选不及时问题。Fop电子头条
 Fop电子头条
 Fop电子头条
 Fop电子头条