仿真站排查和规避策略的研究

郭 宝 中国移动通信集团山西有限公司网络部高级工程师

张 阳 中国移动通信集团公司网络部高级工程师

1 引言

随着移动网络快速发展，LTE用户日益增多，为跟进捕捉用户信息，公安系统开始部署LTE仿真基站。LTE仿真基站的部署造成了用户占用到仿真基站的频率上升，用户投诉大幅攀升，直接影响了LTE网络的健康发展。然而，当前对仿真基站的排查主要通过外场扫频方式，排查效率低下；且仅能通过公安系统对仿真基站进行关闭或参数优化，有效规避手段较少。如何有效排查规避公安仿真基站迫在眉睫。

为此，本文开展了仿真站排查和规避策略的研究，深入分析仿真基站技术原理，探索出利用MRO数据与S1-U口数据的匹配以及RRC释放等指标监控快速排查定位仿真站具体位置的方法。同时，有针对性地提出了仿真站规避策略，有效解决了仿真基站造成的网络问题。

2 LTE仿真基站排查技术原理

仿真基站主要用于收集用户手机信息。当用户经过仿真基站时，如果UE处于空闲态，那么会发起TAU请求，通过位置更新重选到仿真基站小区；在TAU过程中，仿真基站会要求用户上报用户信息，完成信息收集。如果用户处于连接状态，因为运营商不会将仿真基站配置为相邻区域，用户无法与仿真基站发生切换，用户信息也就不会被捕获。

2.1 用户信息收集信令分析

仿真站手机的用户手机信息指用户SIM卡上的IMSI和IMEI信息。在整个信令流程中，用户的IMSI和IMEI信息仅会包含在两处信令中。

首先，位置更新请求TAU Request或者附着请求ATTACH Request中会携带用户的IMSI和IMEI信息。但在协议中，用户IMSI信息只有在首次开卡注册时才会被上报，因此从理论上来说，TAU Request或者ATTACH Request中携带的用户IMSI信息仿真基站是无法获取的。

其次，Identity Response中会携带用户的IMSI和IMEI信息。当网络侧通知用户上报用户信息时，会下发Identity Request给UE，随之用户会反馈身份响应信息Identity Response，携带IMSI等用户信息。仿真基站即通过该种方式收集用户信息。

2.2 仿真基站工作流程

在UE空闲态情况下，如果经过仿真基站，在满足R＆S重选准则前提下，用户会通过位置更新请求重选到仿真基站。由于仿真基站的TAC与现网运营商所有TAC均不一致，UE在重选到仿真基站后，会请求更新路由区域，即启动TAU请求；然后，仿真基站将通过NAS消息发送身份请求，要求用户反馈用户信息；用户在收到身份请求Identity Request后会反馈身份响应消息Identity Response。至此，仿真基站完成用户信息收集。

3 LTE仿真基站网络影响

从仿真基站本身来说，仿真基站不属于运营商网络，当用户重选至仿真基站小区后，语音和数据业务无法正常进行。通常为达到有效收集用户信息的目的，公安仿真基站的参数设置都优于正常运营商网络小区，在空闲态下用户更容易重选到仿真基站小区，从而在一段时间内语音和数据业务无法正常进行，严重影响用户感知度。

LTE仿真基站会与周边运营商LTE网络产生同频干扰，导致出现掉话、无法接通、切换失败等诸多问题。在下行方面，会出现同PCI MOD3干扰、重叠覆盖，造成掉话及速率降低问题；在上行方面，因帧偏置不同的原因会导致上行失步，无法接入用户。

在越来越多的LTE仿真基站部署后，经常出现用户从仿真基站被重选到2G后不能及时回到4G网络，甚至一直回不到4G网络，用户网络感知影响严重。

4 LTE仿真基站排查定位方法分析

4.1 常规仿真基站定位排查方法

当前LTE仿真站点一般都设置在大的交通路口、人流量较大的广场等场景，结合场景特点，常规的排查定位方法有：

●日常外场测试、扫频工作。在相应场景突然发现异常TAC、PCI，且该信号一般异常的强，TAU过程总是被Reject，基本可以确认到仿真基站的存在。

●结合场景信息的干扰现场扫频作业也可以定位仿真基站位置。

●利用用户投诉等用户反馈信息发现定位仿真基站。

●与当地公安机关合作沟通，获取到其仿真基站分布情况。

此4类排查定位方式都需要大量的人工，且效率不高。在当前LTE仿真基站日益增多的情况下，亟待改进。

4.2 仿真基站关联KPI指标及定位数据分析

从KPI指标层面来说，仿真基站区域RRC Release次数会出现异常增长特征。当UE在数据连接态时，由于移动性电平逐渐降低，此时若测量到仿真基站的信号并上报A2测量报告，当有邻区关系时会发生切换。因为仿真基站不属于运营商网络，运营商网络不会配置相应邻区关系，UE无法搜索到有效的切换小区，从而只能发起重定向。LTE重定向是通过RRC释放消息中的Redirected CarrierInfo信息，指示UE脱离连接态后要尝试重定向到2G。在仿真基站覆盖区域的UE会反复这个过程，RRC Connection Release次数会异常增多。因此，可通过RRC Release次数的异常增长来识别仿真站的开通。

从定位数据层面来说，仿真基站TAC与现网TAC不一致，属于异常TAC，可通过识别TAC信息结合用户经纬度信息精确定位仿真基站位置。TAC信息可在MRO数据中识别，用户经纬度信息可在S1-U口数据中获取。如图1所示，S1-U口数据与S1-MME口数据可通过IMSI进行关联；S1-MME口数据与MRO数据可通过MMEUES1APID进行关联；最终通过时间戳串联起S1-U口数据、S1-MME口数据及MRO数据，识别出具体经纬度下的TAC信息。

图1 TAC关联数据及关联方法流程图

4.3 基于KPI指标及MRO与S1接口数据的仿真基站排查定位方法

基于KPI指标及MRO与S1接口数据的仿真基站排查定位方法如下：

（1）基于KPI指标RRC释放次数初步判定仿真基站干扰区域。将RRC释放信令放置于OMC网管告警场景中，设定一定的门限，实时监控每个小区下发给终端的RRC释放次数。当小区下发次数大于设定的告警门限，就会在网管侧产生告警，从而初步判定出仿真站干扰。

（2）基于MRO数据与S1口数据识别出具体经纬度下的TAC信息，精确定位仿真基站。将MRO数据与S1-U数据、S1-MME口数据有机地结合在一起，通过S1-U用户面数据，从用户面中获取用户经纬度，结合S1-MME侧根据时间戳进行关联匹配，最终与MRO数据匹配，定位出该用户在某一区域占用某一小区经纬度下的TAC信息，进而与现网TAC进行对比，发现异常TAC，从而精确定位仿真基站。

基于MRO数据判定仿真基站流程如图2所示。第一步，通过MRO数据解析出每个手机所在位置上报的TAC数据。第二步，网络自动分析该TAC是否是现网使用的TAC；若否确定为仿真基站，若是则进行第三步。第三步，进一步分析该位置是否存在干扰，该区域小区是否存在掉话、接通、速率低等问题；若是则初步判定为仿真基站，若否则判定为现网小区。第四步，在判定为仿真基站后，利用经纬度信息进行精确定位，进而现场排查确认。

5 LTE仿真基站规避策略研究

5.1 常规规避方案

在2G网中，规避仿真基站的方法通常是修改BCH和TCH频点，或者把仿真基站BSC纳入到运营商网络。然而，LTE系统与GSM在多址方式上有很大的不同。目前，针对LTE仿真基站，常规的规避方案无法借鉴。

5.2 运营商网络侧规避措施

因为小区重选时，UE不会测量和选择系统消息中广播的黑名单小区。所以，可使用LTE基站的黑名单功能，将仿真基站小区PCI加入黑名单，使用户无法重选到仿真基站。黑名单小区包括同频和异频两种。在SIB4消息中下发同频黑名单小区；在SIB5中消息下发异频黑名单小区。

图2 MRO数据判定仿真基站流程图

这种规避方式会让公安仿真基站失去其功能，从而降低用户捕获率。然而，可以有效地防止用户驻留在不法分子所用的仿真基站中。

5.3 仿真基站侧规避措施

LTE仿真基站侧规避措施包括参数、频率、带宽、帧偏置、功率和TAU拒绝Cause设置6个方面，也是当前LTE仿真基站的主要规避方法。

●参数规划。仿真基站的TAC与运营商网络正常TAC均不一致，因此可固化仿真站的TAC，设置在运营商网络正常TAC范围之外，方便识别。同时，将仿真基站PCI进行固化，如固定为503，避免产生同PCI的MOD3干扰。

●频率规划。协调公安系统对仿真基站配置为异频频点，优先级与运营商网络频率优先级等同。

●带宽设置。公安仿真基站仅用于捕捉用户信息，带宽需求很小。因此，可将仿真基站带宽设置为1.4MHz，并统一固定在固定范围内，彻底规避对运营商网络的干扰。

●帧偏置设置。F双模区域，需要避免仿真基站下行信号干扰运营商网络上行信号保证帧同步，因此要合理设置LTE仿真基站的帧偏置。

●功率设置。为满足捕捉率要求，公安仿真基站的覆盖范围一般在30～50m左右，相对较小，因此可以降低发射功率。

●TAU拒绝Cause设置。针对当前用户从LTE仿真基站被重选到2G后不能及时回到4G网络问题，将TAU拒绝Cause设置为Code15。在UE收到原因值为Cause15的响应消息后，会保存当前的LAI/TAI信息到禁止漫游列表中直到重新开关机，可适当减少仿真基站对其信息采集，进而防止用户反复重选入仿真基站；同时，UE回到空闲态后可以在同一PLMN下选择一个不同TAC区内小区进行重选，便于快速回到4G网络。

5.4 协议流程的改进

对3GPP协议流程进行改进，新增加密解密流程，保护用户隐私和安全。具体方法为在Identity Request请求中增加UE和HSS的共享密钥K。新增的加密解密流程包括：第一步，当用户在收到鉴权请求后，首先解析出请求信息中的密钥数据；第二步，将解析出的密钥数据与共享密钥进行比较；第三步，根据对比结果响应或拒绝鉴权请求。如果解析出的密钥数据与共享密钥一致，则响应并回复信息；如果不一致或鉴权请求中没有密钥信息，则拒绝响应鉴权请求。

6 仿真基站排查和规避策略研究实践

将仿真基站排查与规避策略试点于山东德州，在用户感知、成本节约等方面获得显著收益。试点期间利用基于KPI指标及MRO与S1接口数据的仿真基站排查定位方法共排查出仿真基站135个，网络干扰排查定位效率提升10倍，所需人工数量减少7成。同时，全网的高干扰小区占比由3.1%改善至1.5%，大大提高了用户的网络感知，用户网络满意度显著提升。

图3 武城气象局-1小区RRC释放次数图

图3为仿真基站排查定位典型实例。首先，通过实时监控系统，发现LFT0460451R1_武城气象局（进修学校）-1LTE小区出现RRC释放告警，随提取统计该小区此时段前后RRC释放情况。该区域RRC释放次数明显多于其他区域，且该区域掉话率、接通率、速率等指标较差；同时，提取LFT0460451R1_武城气象局（进修学校）-1小区干扰情况，小区周边系统外干扰较为严重，初步判定存在仿真基站干扰。其次，通过MRO数据和S1-U口数据、S1-MME口数据，发现该区域终端上报的TAC信息为0，与现网所有TAC信息均不一致，进一步判定为仿真基站。最后，通过现场排查确认干扰源为公安仿真基站。经过与公安人员沟通，仿真基站带宽由20M调整到1.4M，干扰强度降低明显。

7 结束语

随着LTE用户快速发展，公安仿真基站部署越来越多，加之仿真基站一般都设置在大的交通路口、人流量较大的广场等场景，对网络质量和用户感知影响越来越大，而传统的外场扫频排查定位方法成本投入也越来越大，公安仿真基站排查定位面临着巨大挑战。本文深入分析了LTE仿真基站的工作原理，结合LTE网络信令及大数据分析，创新利用RRC释放信令、OMC网管告警、MRO数据与LTE网络数据，提出了基于KPI指标及MRO与S1接口数据的LTE仿真基站排查定位方法；深入探讨了仿真基站的参数配置等规避策略，并在实践中证明了方法的有效性。