4G移动终端识别系统的设计与实现

范有和++杜明玉

【摘 要】为更有效地识别4G移动终端，从而保证在特定区域内的信息安全等，提出了一种基于TD-LTE小基站的4G移动终端识别系统。该系统的实现依赖于重选机制，让移动终端重选到小基站建立的小区，同时更新TAC，诱导移动终端进行位置更新，小基站获取IMSI，最后实时上报识别结果。研究的创新点在于优化了位置更新信令处理流程、协议栈L3内部程序处理流程。测试结果表明，通过该系统小基站能够对覆盖范围内的移动终端进行准确的实时识别。

终端识别 重选 位置更新 IMSI

1 引言

当今移动通信高速发展，人们在享受4G网络带来便捷性的同时，也面临着诸多信息安全问题。部分人员不恰当地使用移动终端，将会带来严重的公共安全问题[1]。比如，在不允许使用手机的机构，通过移动网络进行非法交易，从而泄露商业机密；在考场利用移动终端传递答案，形成舞弊行为；不法分子通过移动终端实施破坏活动等。为避免非法使用移动终端带来社会安全问题的发生，有必要通过技术手段来识别移动终端，从而甄别出特定区域中正在破坏信息安全的特定人群[2]。另一方面，移动终端的识别还可应用于抢修救灾中，如判断废墟下被困人员的大致数量以及查找其所在区域，提高救援工作的效率[3-5]。目前市场上，针对2G/3G网络的主动式识别已经在公共场所得到了广泛应用。但随着4G网络的普及，越来越多的用户终端待机驻留在4G网络中，使得目前针对2G/3G网络的识别策略失效[6-10]。因此有必要对4G移动终端识别技术进行研究。本文基于TD-LTE小基站[3]，设计4G移动终端识别系统，通过获取4G移动终端IMSI（International Mobile Subscriber Identification Number，国际移动用户识别码）信息，完成终端识别，并实时上报。

2 4G移动终端识别系统设计原理

正常情况下，4G移动终端大多处于一种待机状态，持续监听基站的广播信息和寻呼信息，只有在特定情况下才发射信号，与移动网络联系。因此，如果需要实时识别出特定区域内移动终端的身份信息及数量，就必须令移动终端主动与移动网络进行联系。在移动网络中，移动终端只有在注冊、被叫、位置更新状态下，才会主动发射信号与基站取得联系。其中位置更新活动可适用于移动终端实时识别系统。4G网络通过TA（Tracking Area，跟踪区）进行位置更新管理，多个TA组成一个TA列表，同时分配给一个移动终端。当移动终端进入不在其所注册的TA列表中的新TA区域时，就会执行位置更新。移动终端位置更新时，将触发TAU（Tracking Area Update，位置更新）Request。正常信令处理流程下，该TAU Request须经过eNB（evolved Node B，演进型基站）、EPC（Evolved Packet Core，核心网）处理后，才能完成位置更新。本系统设计实现仅通过eNB进行处理，不经过EPC完成位置更新。当eNB小基站收到移动终端发出的TAU Request时，造出特定NAS（Non-Access-Stratum，非接入层）消息（即Identity Request）要求移动终端回复消息（即Identity Response），回复消息中包含了IMSI信息。协议栈获取到IMSI消息，传到底层OAM（Operation Administration and Maintenance，操作、管理、维护）部分，最后通过OAM上报IMSI到后台管理平台。IMSI是区别移动用户的标志，储存在SIM卡中，是可用于区别移动用户的有效信息。通过实时获取到的IMSI信息，可识别出特定区域内移动终端的身份信息及数量。

3 4G移动终端识别系统实现

TD-LTE小基站以其高度集成、体积小、成本适中、室外挂放、无需机房等优点，得到了广泛的应用。基于TD-LTE小基站的4G移动终端识别方案在硬件上的组成简单，网络侧只需要一台小基站，无需EPC。实现方案主要由三部分组成，如图1所示。模块一根据当前小区配置构造小基站的发射数据，外接功率放大器，依赖小区重选机制，使移动终端驻留到小基站构造的特定小区；模块二定时更新TAC（Tracking Area Code，跟踪区识别码）值，并通过SIB1（System Information Block Type1，系统消息1）广播给所有UE，诱导手机进行位置更新，实现对目标用户IMSI信息的获取；模块三OAM实时上报移动终端IMSI信息，完成移动终端身份信息识别[5]。

3.1 重选到小基站构造的小区

此流程主要是通过后台软件配置相关参数（移动网号、频段、TAC、基站发射功率等），如表1所示，根据小区重选机制，使手机驻留到小基站构造的小区。小区重选过程包括测量和重选两部分，终端根据后台软件配置的相关参数，在满足条件时发起相应的重选流程。

4G网络中的小区重选分为同频的小区重选和异频的小区重选。以同频小区测量、重选为例，来分析小区重选过程。同频小区重选的对象可以是邻小区列表中的小区，也可以是重选过程中检测到的小区。移动终端用排序的准则并基于无线链路质量来比较所有相关频率上的小区，对候选小区根据信道质量高低进行R准则（按：小区重选的判断标准，如果在检测时间内连续测得并保持Rn>Rs，则需要小区重选）排序，选择最优小区[11]。R准则表述如下：

小基站外接功率放大器并通过后台软件配置发射功率达到最大值，使得Qmeas，t值足够高，Qmeas，s值则相对较小，同时Qhyst采用值为2，Qoffset采用值为0。此时邻小区（小基站构造的小区）Rn大于服务小区Rs，并且移动终端在小基站构造的小区驻留超过1 s以上，则触发了向邻小区的重选流程，从而目标移动终端重选到小基站构造的小区。

3.2 诱导UE进行位置更新

在诱导UE进行位置更新的过程中，本系统重新优化了TAU信令处理流程以及L3协议栈的内部程序处理流程，使得该方案更适合于进行4G移动终端的识别。具体分析如下：

在2G/3G网络中，位置更新由MS/UE（Mobile Station/ User Equipment，移动台/用户设备）检测位置变化，BSC/RNC（Base Station Controller /Radio Network Controller，基站控制器/无线网络控制器）设置周期性更新时间，MSC/VLR（Mobile Switching Center/Visitor Location Register，移动交换中心/拜访位置寄存器）存储手机当前所处位置区，HLR（Home Location Register，归属位置寄存器）存储当前所处VLR。当位置发生改变时，移动终端MS/UE向2G/3G移动网络发起位置更新，请求网络注册当前用户位置信息，同时，用户的归属位置寄存器（HLR）更新用户当前拜访位置寄存器（VLR）信息，HLR会把用户的签约注册信息送到VLR[12]。

4G网络的位置更新，不同于传统2G/3G的位置更新。为了确认移动台的位置，4G网络覆盖区被分为许多个跟踪区TA，TA用TAC标识，TAC在小区的SIB1中广播。移动终端在移动过程中只要进入新TA，同时该TA不包含在TA LIST中则，则UE将发起TAU过程。

参照公网4G移动网络TAU位置更新信令交互流程[13-14]，设计适合4G移动终端识别的位置更新信令交互流程，如图2所示。与正常4G网络TAU信令处理流程相比，该部分的信令交互处理过程去掉了与EPC信令交互处理的环节，只留下移动终端与小基站信令交互的步骤。小基站会周期性地定时更新TAC值，并通过SIB1广播给所有移动终端，当移动终端进入到小基站的覆盖范围内，发生重选行为，完成下行同步后，读取SIB1，获取到当前网络的TAC，当发现位置发生改变，则触发位置更新程序，移动终端向小基站发起位置更新请求。

在位置更新过程中，RRC（Radio Resource Control，无线资源控制）Connection Complete建立完成后，小基站构造DL Information Transfer消息携带NASPDU（Non-Access-Stratum Protocol Data Unit，非接入層协议数据单元），类型为Identity Request，请求UE身份信息；移动终端回复Uplink Information Transfer携带NASPDU（类型为Identity Response），小基站对NASPDU进行解析，将IMSI保存到UE上下文中。如果NASPDU中不包含IMSI，则对该包不作处理，小基站继续构造DL Information Transfer消息。在获取移动终端身份信息后，便拒绝该UE的接入，同时释放RRC连接，让UE接入公网基站。具体协议栈L3内部处理流程如图3所示：

获取到的IMSI信息由三部分组成：MCC（Mobile Country Code，移动国家码）、MNC（Mobile Network Code，移动网号码）、MSIN（Mobile Subscriber Identification Number，移动用户的识别号码），共占十五位。其中MCC占三位，中国为460；MNC表明所属的移动通信网，由两位或者三位数字组成，移动网络为00；MSIN占十位或十一位，用来识别某一移动通信网中的移动用户。

3.3 IMSI消息上报网管

OAM部分是移动终端识别系统中的重要组成部分，其组成如图4所示。一方面要对协议栈层下发的各种消息进行转发；另一方面还负责小基站的CM（Configuration Management，配置管理）、PM（Performance Management，性能管理）、FM（Fault Management，故障管理）、SM（Security Management，安全管理）、CLI命令行等，总体上起到一个承上启下的作用。协议栈将获取到的IMSI消息，通过消息队列传到底层OAM部分，最后通过OAM实时上报到DBAgent（后台软件）。为了实现移动终端识别系统的上报功能，设计OAM上报模块oamdaq，负责接收和执行DBAgent下发的配置和命令，并将实时采集到的IMSI信息发送给DBAgent。oamdaq由三个线程组成：ProtocolHandle、Communication、RsysHandle。Communication线程负责与DBAgent进行TCP连接，建立通信链路；RsysHandle线程接收处理L3传过来的IMSI信息；ProtocolHandle线程实现各种配置参数的执行。DBAgent负责将用户的配置参数下发给小基站设备，接收OAM发送过来的IMSI信息，并实时显示识别到的移动终端信息和数量。

4 测试数据及分析

依据该设计方案，在硬件平台进行验证测试。测试硬件环境组成：4G移动终端、PC机（安装DBAgent后台软件）、TD-LTE小基站设备。令4G测试移动终端接入到公网，同时在PC机上运行DBAgent后台软件，并配置好PCI、频点、功率值、TAC、采集周期等参数。执行下发到小基站设备上，设备正常工作，开始采集IMSI信息。

通过DBAgent后台软件，可以查看小基站设备获取到的4G移动终端设备的IMSI信息、被捕获时间，号码归属地、网络类型，以及小基站设备编号，如图5所示。每个被捕获的移动终端IMSI信息，均会被保留以便于后期进一步处理。在人流密度较大的区域进行测试，该系统每分钟能够识别的4G移动终端数量可以达到1 200个。

抓取空口报文可以看出，当移动终端重选到小基站构造的小区之后，触发位置更新（TAC）请求，同时移动终端对小基站构造的Identity Request进行响应（Identity Response），小基站设备从而获取到IMSI信息。获取到用户的IMSI信息之后，拒绝该移动终端的接入，同时释放RRC连接，让UE接入公网基站。测试实验证明，基于TD-LTE小基站的4G移动终端识别系统的设计可行。

5 结束语

本文提出了一种基于TD-LTE小基站的4G移动终端识别系统，通过对获取到的移动终端的IMSI身份信息进行甄别，实现对移动终端的识别。讨论了4G网络的重选机制，优化了TAU信令处理流程，以及L3协议栈的内部程序处理流程，OAM部分新增oamdaq模块完成IMSI的上报，从而实现对小基站信号覆盖区域内4G移动终端的识别，进一步加强了小基站覆盖区域内的移动终端的通信安全。测试结果表明，使用该系统小基站设备能够对覆盖范围内的移动终端身份信息进行准确地识别获取。该策略的不足之处在于，不能实现对移动终端的精确定位[15]，只能获取到4G移动终端的IMSI信息，后期可以在此基础上，研究如何进一步实现定位功能。

参考文献：

[1] 袁田. 中国电信4G技术及业务的发展战略研究[J]. 中国新通信， 2016（1）： 31-32.

[2] 卞晓婷. 智能终端隐私泄露风险大 4G时代信息安全凸显[N]. 通信信息报， 2013-12-18.

[3] 陈川. 利用手机信号进行生命探测的研究与系统设计[D]. 成都： 成都理工大学， 2009.

[4] 江汇，金飞，姚承宗，等. 基于手机探测定位救灾系统的设计与研究[J]. 电子设计工程， 2011，19（24）： 35-37.

[5] 胥飞燕，郭大江，高嵩，等. 基于伪基站诱发技术的震区被压埋生命体分布和搜救系统研究[J]. 电子元器件应用， 2009（8）： 34-36.

[6] 潘杰，万国金，胡杰. 一种移动终端完备身份信息的识别方案[J]. 电子器件， 2015，38（4）： 953-957.

[7] 郭锐，冯志杰，张浩然. 多制式移动终端身份感知系统研究[J]. 南京信息工程大学学报： 自然科学版， 2016，8（4）： 333-337.

[8] 朱大立. 一种基于诱发技术的移动电话主动探测方案[J]. 移动通信， 2006，30（1）： 107-109.

[9] 刘泽忠. 一种基于伪基站的GSM用户分选系统实现方案[J]. 通信技术， 2013，46（6）： 127-129.

[10] 喻勇. 一种基于伪基站的TD-SCDMA用户主动探测系统方案[J]. 广东通信技术， 2013（12）： 38-42.

[11] 阴亚芳，李锋. LTE小区选择和重选的分析与研究[J]. 邮电设计技术， 2013（8）： 15-18.

[12] 杨娟. 移动通信系统中位置管理技术研究与分析[D]. 成都： 西南交通大学， 2011.

[13] 3GPP TS 36.331 （V13.3.0）. Technical Specification Group Radio Access Network； Evolved Universal Terrestrial Radio Access （E-UTRA）； Radio Resource Control （RRC）； Protocol Specification[S]. 2016.

[14] 3GPP TS 36.304 （V13.3.0）. Technical Specification Group Radio Access Network； Evolved Universal Terrestrial Radio Access （E-UTRA）； User Equipment （UE） Procedures in Idle Mode[S]. 2016.

[15] 徐波. CDMA2000移動台非合作定位关键技术研究[D]. 长沙： 国防科学技术大学， 2011.