4G偽基站快速定位及協(xié)同優(yōu)化方案研究

葉藹笙 陳瀟 史俊輝 廖祖鵬

【摘 要】對4G偽基站特征進(jìn)行深入分析，提出了基于網(wǎng)管數(shù)據(jù)挖掘的快速定位方法，結(jié)合異頻協(xié)同優(yōu)化方案，可有效解決偽基站對運營商網(wǎng)絡(luò)的干擾。目前該方案已在廣東各地市推廣，經(jīng)驗證效果良好，有利于及時掌握新型網(wǎng)絡(luò)隱患，主動開展協(xié)同優(yōu)化。

4G偽基站；兩兩小區(qū)切換；快速定位；異頻組網(wǎng)

1 引言

在2G網(wǎng)絡(luò)時代，“偽基站”利用終端連接網(wǎng)絡(luò)單向鑒權(quán)的漏洞，通過強(qiáng)信號促使終端駐留，并向用戶非法發(fā)送垃圾信息甚至詐騙短信，引起了電信運營商及社會各方的廣泛關(guān)注。中國電信2G網(wǎng)絡(luò)因使用CDMA制式，安全性和保密性比GSM制式好，CDMA用戶至今仍未受到較大影響。

移動網(wǎng)絡(luò)進(jìn)入4G時代后，由于LTE網(wǎng)絡(luò)雙向均有鑒權(quán)功能，終端與網(wǎng)絡(luò)雙方均需要鑒權(quán)通過后方可正常通信，偽基站無法觸發(fā)業(yè)務(wù)，難以被非法使用。目前4G偽基站在國內(nèi)被公安等政府部門引入，主要布放在主干道及高速路口等關(guān)鍵區(qū)域，可主動、實時地采集特定區(qū)域內(nèi)用戶的活動情況，實現(xiàn)過往用戶精確監(jiān)控和特定人群軌跡分析，逐漸成為案件偵查等工作的有效支撐工具。

4G偽基站目前主要使用運營商相同的LTE頻段，用較強(qiáng)信號將用戶終端“強(qiáng)行駐留”在其網(wǎng)絡(luò)上獲取IMSI、IMEI等關(guān)鍵信息，同時會對運營商4G網(wǎng)絡(luò)造成嚴(yán)重干擾，導(dǎo)致相關(guān)區(qū)域覆蓋SINR異常、性能指標(biāo)惡化，并經(jīng)常會引起用戶集中投訴。4G偽基站典型設(shè)備現(xiàn)場實例如圖1所示。

目前4G偽基站多為公安部署用于特殊用途，沒有接入運營商網(wǎng)絡(luò)，并具有一定保密性。現(xiàn)階段運營商仍無法全面掌握該網(wǎng)絡(luò)準(zhǔn)確的規(guī)劃信息，只能通過道路測試、用戶投訴等方式發(fā)現(xiàn)小部分受影響區(qū)域，事后被動開展優(yōu)化。亟需形成快速、高效、低成本的4G偽基站定位方法，同時實施有效的優(yōu)化方案，徹底消除偽基站對用戶感知的影響。

2 4G偽基站特征研究

為研究快速定位及協(xié)同優(yōu)化方案，從終端在空閑態(tài)和業(yè)務(wù)態(tài)下信令流程著手，分析總結(jié)4G偽基站典型信令特征。

2.1 空閑態(tài)信令流程

目前廣東電信已發(fā)現(xiàn)的4G偽基站均使用1.8G頻段，頻點與電信現(xiàn)網(wǎng)一致為1825。對已知偽基站周邊進(jìn)行現(xiàn)場空閑態(tài)測試，信令具體流程如下：

（1）終端在空閑態(tài)正常駐留在電信基站上，在收到來自偽基站的1825頻點強(qiáng)信號后，啟動重選流程同頻/異頻重選至偽基站進(jìn)行登記。

（2）終端讀取偽基站SIB消息后，發(fā)現(xiàn)其TAC與原電信基站的TAC不一致，隨即發(fā)送TAU Request請求消息。

（3）偽基站沒有按正常流程回復(fù)TAU Accept消息，而是發(fā)送Identity Request請求消息至終端，要求終端上報身份驗證信息（類型一般為IMSI）。

（4）終端通過Identity Response回復(fù)信息，從而將用戶身份信息IMSI上報偽基站，此時TMSI已無法起到安全保護(hù)作用。

（5）經(jīng)過約1s后，偽基站回復(fù)TAU Reject消息（原因值主要為13或15），通知終端離開偽基站重新搜索其他網(wǎng)絡(luò)。

（6）終端重選回電信基站，再次發(fā)起TAU流程，成功后繼續(xù)駐留。

小結(jié)：終端空閑態(tài)流程反映出4G偽基站獲取用戶信息的特征，主要通過觸發(fā)TAU流程實現(xiàn)，并通過預(yù)設(shè)的TAU拒絕原因通知終端回到電信網(wǎng)絡(luò)。整個信令流程中，終端及偽基站均未與電信網(wǎng)絡(luò)進(jìn)行交互，如希望在空閑態(tài)獲取偽基站關(guān)鍵參數(shù)必須通過現(xiàn)場儀表測試，效率低且覆蓋不全面。

2.2 業(yè)務(wù)態(tài)信令流程

如果終端在業(yè)務(wù)態(tài)下收到偽基站強(qiáng)信號，將上報測量報告，電信基站收到后將觸發(fā)LTE系統(tǒng)內(nèi)切換流程。如果此時電信基站開啟ANR功能，基站會下發(fā)消息要求終端上報該鄰區(qū)的ECGI、TAC、PCI等小區(qū)關(guān)鍵信息，此時網(wǎng)管將有可能獲知偽基站關(guān)鍵參數(shù)。對已知偽基站附近進(jìn)行現(xiàn)場業(yè)務(wù)態(tài)測試，通過網(wǎng)管進(jìn)行實時信令跟蹤，具體流程如下：

（1）終端上報包含偽基站的MR測量報告，電信基站收到后發(fā)現(xiàn)其鄰區(qū)列表不存在該小區(qū)信息，啟動ANR流程讓終端上報偽基站ECGI、TAC、PCI等關(guān)鍵信息。

（2）終端按電信基站要求，讀取偽基站系統(tǒng)消息，并上報至電信基站，上報偽基站除PLMN=46011與電信一致外，eNBID、TAC均與電信規(guī)范不一致。

（3）電信基站向MME發(fā)起S1切換請求HANDOVER REQUIRED，由于電信網(wǎng)絡(luò)不存在該基站，MME回復(fù)S1切換失敗HANDOVER PREPARATION FAILURE。

（4）偽基站可被電信基站添加至候選/有效鄰區(qū)列表（與ANR設(shè)置和廠家實現(xiàn)方式有關(guān)），同時此次事件也會在性能統(tǒng)計上被記為一次切換失敗。

小結(jié)：業(yè)務(wù)態(tài)流程雖不如空閑態(tài)流程完整、信息齊全，在目前全網(wǎng)基站開啟ANR功能條件下，終端業(yè)務(wù)態(tài)流程可被網(wǎng)管監(jiān)測到偽基站eNBID和TAC異常、S1切換全失敗的典型特征，并能在網(wǎng)管切換性能統(tǒng)計上面體現(xiàn)，為快速定位創(chuàng)造了必要條件。

3 快速定位三步法

基于4G偽基站業(yè)務(wù)態(tài)特征，借助網(wǎng)管性能數(shù)據(jù)，提出4G偽基站快速定位三步法，包括“取數(shù)據(jù)、選鄰區(qū)、定區(qū)域”三個關(guān)鍵步驟。

3.1 取數(shù)據(jù)：提取兩兩小區(qū)切換性能指標(biāo)

電信主流設(shè)備廠家網(wǎng)管可提供“兩兩小區(qū)切換”性能指標(biāo)，可統(tǒng)計主小區(qū)與鄰小區(qū)（同頻/異頻）切換嘗試、成功、失敗次數(shù)，并包含整個鄰區(qū)列表各鄰小區(qū)關(guān)鍵信息eNodeB ID、CELL ID等。開展4G偽基站定位分析，建議從網(wǎng)管上提取至少一周的全網(wǎng)基站兩兩小區(qū)切換統(tǒng)計指標(biāo)，相當(dāng)于從全網(wǎng)所有基站一周多達(dá)數(shù)十億次切換中發(fā)現(xiàn)異常。

3.2 選鄰區(qū)：篩選符合偽基站特征的鄰區(qū)

在全網(wǎng)ANR功能開啟條件下，偽基站所影響的終端發(fā)起切換事件后，偽基站eNBID等信息將被送至電信基站，添加至候選/有效鄰區(qū)列表。因此根據(jù)上文的分析，從兩兩小區(qū)切換統(tǒng)計指標(biāo)篩選出符合以下兩個條件的鄰小區(qū)即可判別為偽基站：

（1）條件1：鄰小區(qū)PLMN為電信46011，但eNBID為非電信網(wǎng)絡(luò)規(guī)范值；

（2）條件2：兩兩小區(qū)切換滿足一定次數(shù)，但失敗率達(dá)到100%。

3.3 定區(qū)域：分析偽基站分布區(qū)域

與偽基站鄰小區(qū)切換請求次數(shù)越多的電信基站，可能越靠近偽基站，周邊覆蓋的用戶受影響也越明顯。一方面結(jié)合基站小區(qū)4G工參圖層作簡單打點/渲染處理，便可直觀一次性呈現(xiàn)全網(wǎng)受影響區(qū)域分布；另一方面結(jié)合多個受影響電信小區(qū)切換請求次數(shù)和方向角，可聚類分析確定4G偽基站的大致位置區(qū)域?？舍槍ο嚓P(guān)區(qū)域重點疑似道路進(jìn)行精細(xì)化路測，便可快速高效找出4G偽基站所在位置。圖2為受影響電信小區(qū)分析篩選圖，圖3為廣東某地市某行政區(qū)電信小區(qū)異常切換次數(shù)地理渲染圖。

4 異頻協(xié)同優(yōu)化方案

根據(jù)空閑態(tài)信令流程特征，與電信網(wǎng)絡(luò)存在同頻干擾的4G偽基站可通過與公安配合協(xié)同調(diào)優(yōu)、部署異頻組網(wǎng)優(yōu)化的方法來解決。一方面公安把偽基站頻點調(diào)整為非運營商在用頻段，避免對電信網(wǎng)絡(luò)產(chǎn)生同頻干擾；另一方面電信將偽基站使用的異頻頻點優(yōu)先級設(shè)置為最高，保證用戶可在空閑態(tài)重選到偽基站上登記，達(dá)到公安采集用戶信息的目的。結(jié)合現(xiàn)網(wǎng)調(diào)優(yōu)的大量實踐，有以下配置需要重點考慮。

4.1 偽基站異頻頻點規(guī)劃

4G偽基站一般需同時采集多家運營商的用戶數(shù)據(jù)，普遍支持2.1G（BAND1）或1.8G（BAND3）頻段。由于廣東三家運營商BAND1和BAND3頻段的大部分頻率實際上已經(jīng)在用，僅在2 165 MHz—2 170 MHz（BAND1下行）、1 875 MHz—1 880 MHz（BAND3下行）存在各5 MHz FDD空閑頻率可供偽基站使用，對應(yīng)可用規(guī)劃頻點分別為575和1925。

此外，大部分4G偽基站廠家設(shè)備支持同小區(qū)多PLMN技術(shù)，可考慮偽基站使用BAND1的575作為中國電信和中國聯(lián)通的統(tǒng)一規(guī)劃頻點，實現(xiàn)頻譜共享，以便BAND3的5 MHz空閑帶寬可用于電信容量保障場景下的1.8G小區(qū)20 MHz帶寬部署。

4.2 高優(yōu)先級重選門限優(yōu)化

異頻高優(yōu)先級重選門限threshX-High，華為、中興等設(shè)備廠家一般默認(rèn)設(shè)置為-110 dBm（結(jié)合q-RxLevMin計算）。偽基站在網(wǎng)絡(luò)中類似孤島站，覆蓋范圍有限且大部分用于覆蓋道路，發(fā)現(xiàn)部分廠家設(shè)備上行接收性能較差。如threshX-High設(shè)置過低，快速移動邊緣用戶接入容易出現(xiàn)TAU Request連續(xù)發(fā)送失敗，按3GPP協(xié)議規(guī)定此時將下切3G，并可能長時間無法回到4G網(wǎng)絡(luò)。

結(jié)合前期偽基站問題的處理經(jīng)驗，建議電信基站配置偽基站異頻頻點的高優(yōu)先級重選門限threshX-High默認(rèn)設(shè)置為-100 dBm，如現(xiàn)場測試仍發(fā)現(xiàn)有偽基站覆蓋范圍不合理，移動用戶接入困難等問題，可進(jìn)一步適當(dāng)調(diào)整，主動控制偽基站的覆蓋范圍。

4.3 TAU拒絕原因配置

目前偽基站TAU Reject原因值主要設(shè)定為13或15，其中13定義為Roaming-not-allowed-in-this-tracking-area，15定義為no-Suitable-Cells-in-tracking-area。

根據(jù)3GPP協(xié)議規(guī)定，當(dāng)UE收到網(wǎng)絡(luò)回復(fù)TAU Reject消息后，原因值為15時UE將在同一個PLMN中執(zhí)行小區(qū)重選；原因值為13時UE將會執(zhí)行PLMN選擇，可能直接選擇駐留3G網(wǎng)絡(luò)，不同終端在此場景實現(xiàn)PLMN選擇方案可能不同。根據(jù)前期測試經(jīng)驗，偽基站設(shè)置不同的TAU Reject原因值，對終端的影響存在以下兩方面的差異：

（1）TAU Reject原因值設(shè)置為15時，UE從離開偽基站到重選至電信基站的回網(wǎng)時間只需約1 s；而設(shè)置為13時，由于UE執(zhí)行PLMN選擇普遍比同PLMN重選需要的時間要長，回網(wǎng)時間一般需2 s～4 s。

（2）已發(fā)現(xiàn)少數(shù)部分品牌手機(jī)（如華為、魅族）個別型號在收到TAU Reject原因值13時，出現(xiàn)UE主動下切3G網(wǎng)絡(luò)駐留的行為，可能與芯片實現(xiàn)方案有關(guān)。

綜上所述，建議4G偽基站TAU Reject原因值設(shè)置為15。

4.4 方案小結(jié)

5 應(yīng)用與推廣

5.1 應(yīng)用案例

對廣東電信某地市4G網(wǎng)絡(luò)進(jìn)行全面分析，使用某周兩兩小區(qū)切換性能指標(biāo)，按照快速定位三步法共計發(fā)現(xiàn)有467個電信小區(qū)與偽基站存在較多切換，受到影響（按日均兩者切換次數(shù)大于30次定義）。通過地理渲染分析，結(jié)合小區(qū)方向和切換請求次數(shù)分析，發(fā)現(xiàn)集中分布在35個區(qū)域。選取其中10個區(qū)域進(jìn)行精細(xì)路測，共計找出23個4G偽基站，其中5個為前期測試/投訴處理已確認(rèn)并協(xié)同公安調(diào)整為異頻，其余18個均為新發(fā)現(xiàn)的同頻干擾問題點。

對相關(guān)問題點采用異頻協(xié)同優(yōu)化方案，優(yōu)化后網(wǎng)管統(tǒng)計周邊電信小區(qū)CQI優(yōu)良比改善了15%，切換成功率提升了8%，現(xiàn)場路測平均SINR改善了4.2 dB，下行PDCP層吞吐率改善了11 Mb/s。圖4為部分新發(fā)現(xiàn)同頻干擾偽基站現(xiàn)場圖片及測試情況。

5.2 推廣建議

上述快速定位及協(xié)同優(yōu)化方案適用于中國電信和中國聯(lián)通FDD主流廠家，目前已在廣東電信推廣近半年，并取得了良好效果，后續(xù)建議全國推廣。與傳統(tǒng)道路測試和用戶投訴等方式比較，本文提出的方案可在4G偽基站主動預(yù)警和網(wǎng)絡(luò)優(yōu)化方面產(chǎn)生以下效益：

（1）預(yù)警快：僅需網(wǎng)管性能數(shù)據(jù)，按需定期分析，可及時預(yù)警隱患，化被動為主動；

（2）監(jiān)控全：借助運營商4G基站海量數(shù)據(jù)監(jiān)控偽基站動態(tài)，可全面掌握偽基站分布情況；

（3）效率高：快速定位三步法僅需一名網(wǎng)優(yōu)工程師，兩小時內(nèi)即可完成一個地市分析；

（4）協(xié)同好：標(biāo)準(zhǔn)化異頻組網(wǎng)優(yōu)化方案，在降低對用戶感知影響的同時盡可能滿足公安集采要求，實現(xiàn)真正雙贏局面。

6 結(jié)束語

移動通信技術(shù)的發(fā)展日新月異，進(jìn)入4G時代，偽基站技術(shù)在公安等政府部門得到新應(yīng)用，同時也干擾到運營商網(wǎng)絡(luò)。本文提出的基于網(wǎng)管數(shù)據(jù)挖掘的快速定位方法，同時結(jié)合異頻協(xié)同優(yōu)化方案，經(jīng)現(xiàn)網(wǎng)驗證效果良好，可進(jìn)行復(fù)制推廣。目前公安4G偽基站部署仍處于起步階段，運營商需主動溝通、加強(qiáng)合作，共同完善技術(shù)方案，最終實現(xiàn)雙贏目標(biāo)。

參考文獻(xiàn)：

[1] 3GPP TS 24.301 V10.6.0. Tracking Area updating procedure； Combined tracking areaupdating procedure[S]. 2011.

[2] 3GPP TS 36.304 V10.6.0. Process and procedure descriptions； Cell selectionand reselection[S]. 2011.

[3] 中國電信股份有限公司. 中國電信LTE無線網(wǎng)絡(luò)指標(biāo)體系（試行）[Z]. 2017.

[4] 中國電信股份有限公司. LTE基站重要無線參數(shù)設(shè)置建議書（華為中興上海貝爾分冊）[Z]. 2015.

[5] 張建奎，郭寶，張陽. 4G偽基站監(jiān)測定位與規(guī)避協(xié)同分析[J]. 移動通信， 2017，41（13）： 86-90.

[6] 華為技術(shù)有限公司. 3900系列基站參數(shù)參考（V100R012C10SPC320）[Z]. 2017.

[7] 中興通訊股份有限公司. LTE無線參數(shù)優(yōu)化指導(dǎo)書V3.0[Z]. 2016.