近些年由于公共安全需求，在重要交通路口、商場、交通樞紐等人流量大的區(qū)域建設(shè)了越來越多的LTE仿真基站，目前仿真站的安裝、設(shè)置還沒有明確規(guī)范，也不屬于運營商統(tǒng)一管理，其對現(xiàn)有移動通信網(wǎng)絡(luò)產(chǎn)生了較大的影響，本文通過研究仿真站的數(shù)據(jù)采集機制，結(jié)合現(xiàn)有TD-LTE網(wǎng)絡(luò)優(yōu)化特點，對TD-LTE公安仿真站的優(yōu)化給出一些建議。

1 認識仿真站

公安仿真基站是公安系統(tǒng)以公共安全為目的對移動用戶進行監(jiān)控的系統(tǒng)終端采集器。其功能為仿真基站覆蓋范圍的移動手機用戶在空閑狀態(tài)下強制進行系統(tǒng)登記，從而達到對安裝在各個交通要道節(jié)點移動手機用戶信息進行采集的目的。

1.1 仿真站基礎(chǔ)介紹

由于LTE協(xié)議規(guī)定Identity Request (if requested identification parameter is IMSI)不需要完整性保護，因此4G仿真站也就是利用這個實現(xiàn)了對用戶敏感信息的收集。目前發(fā)現(xiàn)的主要是公安系統(tǒng)利用4G仿真站監(jiān)控用戶位置和人流量。這些仿真站為了欺騙終端接入，一般會仿冒現(xiàn)網(wǎng)周邊一個小區(qū)的PCI，導致現(xiàn)網(wǎng)小區(qū)出現(xiàn)切換、掉線等指標惡化。并會有干擾的可能（取決于仿真站是否與現(xiàn)網(wǎng)基站同步，是否使用與現(xiàn)網(wǎng)相同的時隙配比）。

1.2 仿真站獲取IMSI過程介紹

LTE仿真基站采用和運營商TD-LTE網(wǎng)絡(luò)不同的TAC，且仿真基站功率一般較高，在滿足R&S重選準則后，UE空閑態(tài)發(fā)起向仿真基站的重選并請求更新路由區(qū)（TAURequest），獲取終端的GUTI，仿真站在獲取到GUTI后，可以造出特定NAS消息（Identity Request）要求終端上報其IMSI信息?？梢?，仿真站可以在TAU過程中偽造Identity Request直傳信令，用于獲取用戶IMSI信息。

仿真站給UE下發(fā)Identity Request，要求用戶上報用戶信息（如IMSI、IMEI），隨即處在EMM連接態(tài)的用戶會反饋Identity Response給網(wǎng)絡(luò)側(cè)，該消息中包含UE的IMSI信息，網(wǎng)絡(luò)側(cè)即獲取到UE的IMSI等用戶信息。由此可以看出仿真基站可通過用戶反饋的Identity Response來獲取用戶信息。仿真站提取用戶的IMSI號碼后，以隨便一個cause值拒絕TAU，并將該用戶釋放或重定向至2G。

2 仿真站造成的終端回不到4G問題研究

日常經(jīng)常發(fā)現(xiàn)，部分用戶在從仿真站被重選到2G后不能及時回到4G網(wǎng)絡(luò)，甚至一直回不到4G網(wǎng)絡(luò)，用戶網(wǎng)絡(luò)感知影響嚴重，通過對該問題的研究，發(fā)現(xiàn)有以下集中情況。

2.1仿真站不響應(yīng)

正常情況下當用戶進入仿真基站后，因為仿真基站的TAC和大網(wǎng)的TAC配置不同，用戶會發(fā)送TAU更新TA請求，仿真基站因為沒有連接核心網(wǎng)，所以直接進行TAU reject，把用戶釋放，用戶被仿真基站釋放后，重新做聯(lián)合TA/LA的更新附著請求進入4G網(wǎng)絡(luò)。

在異常區(qū)域進行仿真基站進行測試時，出現(xiàn)問題時，當用戶進入仿真基站后，因為仿真基站的TAC和大網(wǎng)的TAC配置不同，用戶會發(fā)送TAU更新TA請求，此時仿真基站沒有按照正常的實現(xiàn)觸發(fā)TAU reject來釋放用戶，而是沒有響應(yīng)用戶的TAU請求消息。

按照協(xié)議實現(xiàn)要求，UE當時嘗試5次TAU請求，每次間隔為T3411（10s），當達到5次后，依舊無法完成TAU更新完成，發(fā)生該問題后的處理策略，協(xié)議描述如下，根據(jù)終端類型是CS/PS mode 1還是CS/PS mode 2進行不同的流程。如果終端是是CS/PS mode 1，且VOLTE功能不可用時，終端將選至2G/3G網(wǎng)絡(luò)，并關(guān)閉4G網(wǎng)絡(luò)功能，保證語音業(yè)務(wù)。如果終端是CS/PS mode 2，終端等待T3402（12min），然后重新發(fā)起聯(lián)合TA/LA更新。

從上可以看出，在異常區(qū)域仿真基站由于沒有處理用戶的TAU請求消息，導致用戶回不到4G網(wǎng)絡(luò)。

2.2TAU Reject原因值問題

在仿真站獲取IMSI的流程中，收到UE發(fā)送的Identity Response后，達到了搜集信息的目的，應(yīng)該下發(fā)TAU Reject將用戶釋放到GSM網(wǎng)絡(luò)，釋放原因再TAU Reject信令中包含有一個cause值， 目前在日常平臺信令分析及測試中常見的cause主要有以下四種，通過協(xié)議定義我們可以看到攜帶不同的cause值對UE后續(xù)的影響較大：

Code 12：Tracking area not allowed

UE將EPS更新狀態(tài)更新為不允許漫游，刪除所有GUTI、上次訪問注冊的TAI、TAI列表和eKSI。UE將重置跟蹤區(qū)更新嘗試計數(shù)器，將當前的TAI存儲在“區(qū)域服務(wù)提供的禁止跟蹤區(qū)域”列表中。UE進入emm-deregistered.limited-service狀態(tài)。

Code 13：Roaming not allowed in this tracking area

UE將EPS更新狀態(tài)為不允許漫游，刪除等效PLMN列表。并將重置跟蹤區(qū)更新嘗試計數(shù)器，UE應(yīng)將當前的TAI存儲在“禁止漫游的跟蹤區(qū)域”列表中，并將當前的TAI從存儲的TA列表中刪除。UE進入emm-registered.plmn-search狀態(tài)。

然后UE根據(jù)3GPP?TS 23.122 [ 6 ]進行PLMN選擇，并在新的TAC中進行聯(lián)合TA / LA更新和IMSI附著。

Code 14：EPS services not allowed in this PLMN

UE將EPS更新狀態(tài)更新為不允許漫游，刪除所有GUTI、上次訪問注冊的TAI、TAI列表和eKSI。UE將重置跟蹤區(qū)更新嘗試計數(shù)器，將當前的PLMN存儲在“禁止PLMNs?GPRS服務(wù)”名單。UE進入emm-deregistered.plmn-search狀態(tài)。

此時看UE終端是CS/PS1（voice centric）模式還是CS/PS2（data centric）模式，在進入該狀態(tài)后無論UE在CS/PS1模式還是CS / PS 2模式，IMSI仍然允許在非EPS進行附著。

但UE在CS/PS1模式時會選擇GERAN或UTRAN進行無線接入，在這種情況下，UE不能重選至E-UTRAN進行業(yè)務(wù)。而如果UE為CS/PS2模式則根據(jù)3GPP TS 23.122 [ 6 ]進行PLMN重新選擇并進行TA / LA聯(lián)合更新附著。

Code 15：No suitable?cell?in tracking area。

UE將EPS更新狀態(tài)為不允許漫游并將重置跟蹤區(qū)更新嘗試計數(shù)器，UE應(yīng)將當前的TAI存儲在“禁止漫游的跟蹤區(qū)域”列表中，并將當前的TAI從存儲的TA列表中刪除。UE進入emm-deregistered.limited-service狀態(tài)。

然后UE根據(jù)3GPP TS 26.304 [21 ]在同一PLMN中的新的TA/LA區(qū)中的一個新小區(qū)進行聯(lián)合TA / LA更新和IMSI附著。

從以上四種cause值看code15理論上影響最小，重選回網(wǎng)絡(luò)應(yīng)該會更快，不會影響UE回到4G網(wǎng)絡(luò)。

2.3 終端對協(xié)議參數(shù)配置理解問題

某區(qū)域仿真站頻點目前設(shè)置為高優(yōu)先級，當公網(wǎng)LTE小區(qū)配置的異頻參數(shù)QRxLevMin為-90dB，ThreshXHigh配置為0dB，某種終端用戶大概率重選到仿真站，后返回到GSM網(wǎng)絡(luò)；當異頻參數(shù)QRxLevMin配置為-120dB，ThreshXHigh配置為30dB，某種終端用戶不易重選到仿真站。同樣環(huán)境下其它終端無該現(xiàn)象。

從3GPP協(xié)議理解兩種配置是一致，均是仿真站信號高于-90dB時重選到仿真站小區(qū)。但該終端在兩種配置下出現(xiàn)不同的情況，定位為該終端對高優(yōu)先級異頻測量觸發(fā)參數(shù)的協(xié)議解讀不一致，導致其在第一種配置下存在容易重選到仿真站現(xiàn)象。

2.4 核心網(wǎng)問題

UE從仿真基站釋放到GSM網(wǎng)絡(luò)后，進行附著，終端在申請建立pdn連接時被拒絕，拒絕原因為Multiple pdn connections for a given APN not allowed。

該原因可能由兩種問題造成：

1、同一UE相同的APN可以有多個PDN連接，而MME不支持導致拒絕。需要MME進行排查。

2、短時間內(nèi)（1min不能超過4次）同一UE申請PDN connectivity Request次數(shù)超限，被MME配置的異常信令控制生效所致。

例如下面案例中，UE使用多個APN，CMDCN、IMS、CMNET發(fā)起PDN請求，前兩次CMDCN、IMS成功了，第三次CMNET激活遇上X2切換被ENB拒絕失敗，第四次PDN激活成功后UE主動disconnect了，第五次到達MME限制次數(shù)被拒絕。

3 優(yōu)化方法總結(jié)

3.1針對仿真站對基礎(chǔ)問題的影響范圍和便于監(jiān)控的優(yōu)化建議

1）協(xié)調(diào)公安系統(tǒng)仿真站和周邊運營商網(wǎng)絡(luò)采用異頻，建議采用F頻段38500（運營商網(wǎng)絡(luò)F頻段為38400），其優(yōu)先級同運營商網(wǎng)絡(luò)頻率的優(yōu)先級；

2）運營商網(wǎng)絡(luò)F頻段區(qū)域，設(shè)置LTE仿真基站幀偏置以實現(xiàn)與周圍公網(wǎng)的幀同步；

3）仿真站設(shè)置固定TAC、固定PCI，納入運營商網(wǎng)絡(luò)的PCI規(guī)劃，避免MOD3等影響；

4）降低仿真基站功率，基站一般安裝于十字路口，覆蓋30~50m滿足捕獲率要求即可，降低對運營商網(wǎng)絡(luò)的影響；

6）仿真基站目的為捕獲用戶獲取信息，并非提供業(yè)務(wù)，對帶寬要求低，可以建議僅占用1.4M帶寬，將其固定在1880~1881.4 MHz之間，完全解決對運營商網(wǎng)絡(luò)的干擾，可以徹底規(guī)避問題。如果1.4M帶寬無法協(xié)調(diào)則至少限制在5M以內(nèi)。

3.2針對終端脫網(wǎng)或不能及時回4G網(wǎng)絡(luò)的優(yōu)化建議

1）TAU拒絕Cause設(shè)置為Code 15: No suitable cell in tracking area。

2）嘗試優(yōu)化核心網(wǎng)相關(guān)參數(shù)，如PDN請求的限制次數(shù)等。

3）關(guān)注終端問題，通過投訴等手段搜集、收斂終端原因造成的會選不及時問題。