葉藹笙 陳瀟 史俊輝 廖祖鵬

【摘 要】對(duì)4G偽基站特征進(jìn)行深入分析，提出了基于網(wǎng)管數(shù)據(jù)挖掘的快速定位方法，結(jié)合異頻協(xié)同優(yōu)化方案，可有效解決偽基站對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的干擾。目前該方案已在廣東各地市推廣，經(jīng)驗(yàn)證效果良好，有利于及時(shí)掌握新型網(wǎng)絡(luò)隱患，主動(dòng)開(kāi)展協(xié)同優(yōu)化。

4G偽基站；兩兩小區(qū)切換；快速定位；異頻組網(wǎng)

1 引言

在2G網(wǎng)絡(luò)時(shí)代，“偽基站”利用終端連接網(wǎng)絡(luò)單向鑒權(quán)的漏洞，通過(guò)強(qiáng)信號(hào)促使終端駐留，并向用戶非法發(fā)送垃圾信息甚至詐騙短信，引起了電信運(yùn)營(yíng)商及社會(huì)各方的廣泛關(guān)注。中國(guó)電信2G網(wǎng)絡(luò)因使用CDMA制式，安全性和保密性比GSM制式好，CDMA用戶至今仍未受到較大影響。

移動(dòng)網(wǎng)絡(luò)進(jìn)入4G時(shí)代后，由于LTE網(wǎng)絡(luò)雙向均有鑒權(quán)功能，終端與網(wǎng)絡(luò)雙方均需要鑒權(quán)通過(guò)后方可正常通信，偽基站無(wú)法觸發(fā)業(yè)務(wù)，難以被非法使用。目前4G偽基站在國(guó)內(nèi)被公安等政府部門(mén)引入，主要布放在主干道及高速路口等關(guān)鍵區(qū)域，可主動(dòng)、實(shí)時(shí)地采集特定區(qū)域內(nèi)用戶的活動(dòng)情況，實(shí)現(xiàn)過(guò)往用戶精確監(jiān)控和特定人群軌跡分析，逐漸成為案件偵查等工作的有效支撐工具。

4G偽基站目前主要使用運(yùn)營(yíng)商相同的LTE頻段，用較強(qiáng)信號(hào)將用戶終端“強(qiáng)行駐留”在其網(wǎng)絡(luò)上獲取IMSI、IMEI等關(guān)鍵信息，同時(shí)會(huì)對(duì)運(yùn)營(yíng)商4G網(wǎng)絡(luò)造成嚴(yán)重干擾，導(dǎo)致相關(guān)區(qū)域覆蓋SINR異常、性能指標(biāo)惡化，并經(jīng)常會(huì)引起用戶集中投訴。4G偽基站典型設(shè)備現(xiàn)場(chǎng)實(shí)例如圖1所示。

目前4G偽基站多為公安部署用于特殊用途，沒(méi)有接入運(yùn)營(yíng)商網(wǎng)絡(luò)，并具有一定保密性?，F(xiàn)階段運(yùn)營(yíng)商仍無(wú)法全面掌握該網(wǎng)絡(luò)準(zhǔn)確的規(guī)劃信息，只能通過(guò)道路測(cè)試、用戶投訴等方式發(fā)現(xiàn)小部分受影響區(qū)域，事后被動(dòng)開(kāi)展優(yōu)化。亟需形成快速、高效、低成本的4G偽基站定位方法，同時(shí)實(shí)施有效的優(yōu)化方案，徹底消除偽基站對(duì)用戶感知的影響。

2 4G偽基站特征研究

為研究快速定位及協(xié)同優(yōu)化方案，從終端在空閑態(tài)和業(yè)務(wù)態(tài)下信令流程著手，分析總結(jié)4G偽基站典型信令特征。

2.1 空閑態(tài)信令流程

目前廣東電信已發(fā)現(xiàn)的4G偽基站均使用1.8G頻段，頻點(diǎn)與電信現(xiàn)網(wǎng)一致為1825。對(duì)已知偽基站周邊進(jìn)行現(xiàn)場(chǎng)空閑態(tài)測(cè)試，信令具體流程如下：

（1）終端在空閑態(tài)正常駐留在電信基站上，在收到來(lái)自偽基站的1825頻點(diǎn)強(qiáng)信號(hào)后，啟動(dòng)重選流程同頻/異頻重選至偽基站進(jìn)行登記。

（2）終端讀取偽基站SIB消息后，發(fā)現(xiàn)其TAC與原電信基站的TAC不一致，隨即發(fā)送TAU Request請(qǐng)求消息。

（3）偽基站沒(méi)有按正常流程回復(fù)TAU Accept消息，而是發(fā)送Identity Request請(qǐng)求消息至終端，要求終端上報(bào)身份驗(yàn)證信息（類型一般為IMSI）。

（4）終端通過(guò)Identity Response回復(fù)信息，從而將用戶身份信息IMSI上報(bào)偽基站，此時(shí)TMSI已無(wú)法起到安全保護(hù)作用。

（5）經(jīng)過(guò)約1s后，偽基站回復(fù)TAU Reject消息（原因值主要為13或15），通知終端離開(kāi)偽基站重新搜索其他網(wǎng)絡(luò)。

（6）終端重選回電信基站，再次發(fā)起TAU流程，成功后繼續(xù)駐留。

小結(jié)：終端空閑態(tài)流程反映出4G偽基站獲取用戶信息的特征，主要通過(guò)觸發(fā)TAU流程實(shí)現(xiàn)，并通過(guò)預(yù)設(shè)的TAU拒絕原因通知終端回到電信網(wǎng)絡(luò)。整個(gè)信令流程中，終端及偽基站均未與電信網(wǎng)絡(luò)進(jìn)行交互，如希望在空閑態(tài)獲取偽基站關(guān)鍵參數(shù)必須通過(guò)現(xiàn)場(chǎng)儀表測(cè)試，效率低且覆蓋不全面。

2.2 業(yè)務(wù)態(tài)信令流程

如果終端在業(yè)務(wù)態(tài)下收到偽基站強(qiáng)信號(hào)，將上報(bào)測(cè)量報(bào)告，電信基站收到后將觸發(fā)LTE系統(tǒng)內(nèi)切換流程。如果此時(shí)電信基站開(kāi)啟ANR功能，基站會(huì)下發(fā)消息要求終端上報(bào)該鄰區(qū)的ECGI、TAC、PCI等小區(qū)關(guān)鍵信息，此時(shí)網(wǎng)管將有可能獲知偽基站關(guān)鍵參數(shù)。對(duì)已知偽基站附近進(jìn)行現(xiàn)場(chǎng)業(yè)務(wù)態(tài)測(cè)試，通過(guò)網(wǎng)管進(jìn)行實(shí)時(shí)信令跟蹤，具體流程如下：

（1）終端上報(bào)包含偽基站的MR測(cè)量報(bào)告，電信基站收到后發(fā)現(xiàn)其鄰區(qū)列表不存在該小區(qū)信息，啟動(dòng)ANR流程讓終端上報(bào)偽基站ECGI、TAC、PCI等關(guān)鍵信息。

（2）終端按電信基站要求，讀取偽基站系統(tǒng)消息，并上報(bào)至電信基站，上報(bào)偽基站除PLMN=46011與電信一致外，eNBID、TAC均與電信規(guī)范不一致。

（3）電信基站向MME發(fā)起S1切換請(qǐng)求HANDOVER REQUIRED，由于電信網(wǎng)絡(luò)不存在該基站，MME回復(fù)S1切換失敗HANDOVER PREPARATION FAILURE。

（4）偽基站可被電信基站添加至候選/有效鄰區(qū)列表（與ANR設(shè)置和廠家實(shí)現(xiàn)方式有關(guān)），同時(shí)此次事件也會(huì)在性能統(tǒng)計(jì)上被記為一次切換失敗。

小結(jié)：業(yè)務(wù)態(tài)流程雖不如空閑態(tài)流程完整、信息齊全，在目前全網(wǎng)基站開(kāi)啟ANR功能條件下，終端業(yè)務(wù)態(tài)流程可被網(wǎng)管監(jiān)測(cè)到偽基站eNBID和TAC異常、S1切換全失敗的典型特征，并能在網(wǎng)管切換性能統(tǒng)計(jì)上面體現(xiàn)，為快速定位創(chuàng)造了必要條件。

3 快速定位三步法

基于4G偽基站業(yè)務(wù)態(tài)特征，借助網(wǎng)管性能數(shù)據(jù)，提出4G偽基站快速定位三步法，包括“取數(shù)據(jù)、選鄰區(qū)、定區(qū)域”三個(gè)關(guān)鍵步驟。

3.1 取數(shù)據(jù)：提取兩兩小區(qū)切換性能指標(biāo)

電信主流設(shè)備廠家網(wǎng)管可提供“兩兩小區(qū)切換”性能指標(biāo)，可統(tǒng)計(jì)主小區(qū)與鄰小區(qū)（同頻/異頻）切換嘗試、成功、失敗次數(shù)，并包含整個(gè)鄰區(qū)列表各鄰小區(qū)關(guān)鍵信息eNodeB ID、CELL ID等。開(kāi)展4G偽基站定位分析，建議從網(wǎng)管上提取至少一周的全網(wǎng)基站兩兩小區(qū)切換統(tǒng)計(jì)指標(biāo)，相當(dāng)于從全網(wǎng)所有基站一周多達(dá)數(shù)十億次切換中發(fā)現(xiàn)異常。

3.2 選鄰區(qū)：篩選符合偽基站特征的鄰區(qū)

在全網(wǎng)ANR功能開(kāi)啟條件下，偽基站所影響的終端發(fā)起切換事件后，偽基站eNBID等信息將被送至電信基站，添加至候選/有效鄰區(qū)列表。因此根據(jù)上文的分析，從兩兩小區(qū)切換統(tǒng)計(jì)指標(biāo)篩選出符合以下兩個(gè)條件的鄰小區(qū)即可判別為偽基站：

（1）條件1：鄰小區(qū)PLMN為電信46011，但eNBID為非電信網(wǎng)絡(luò)規(guī)范值；

（2）條件2：兩兩小區(qū)切換滿足一定次數(shù)，但失敗率達(dá)到100%。

3.3 定區(qū)域：分析偽基站分布區(qū)域

與偽基站鄰小區(qū)切換請(qǐng)求次數(shù)越多的電信基站，可能越靠近偽基站，周邊覆蓋的用戶受影響也越明顯。一方面結(jié)合基站小區(qū)4G工參圖層作簡(jiǎn)單打點(diǎn)/渲染處理，便可直觀一次性呈現(xiàn)全網(wǎng)受影響區(qū)域分布；另一方面結(jié)合多個(gè)受影響電信小區(qū)切換請(qǐng)求次數(shù)和方向角，可聚類分析確定4G偽基站的大致位置區(qū)域。可針對(duì)相關(guān)區(qū)域重點(diǎn)疑似道路進(jìn)行精細(xì)化路測(cè)，便可快速高效找出4G偽基站所在位置。圖2為受影響電信小區(qū)分析篩選圖，圖3為廣東某地市某行政區(qū)電信小區(qū)異常切換次數(shù)地理渲染圖。

4 異頻協(xié)同優(yōu)化方案

根據(jù)空閑態(tài)信令流程特征，與電信網(wǎng)絡(luò)存在同頻干擾的4G偽基站可通過(guò)與公安配合協(xié)同調(diào)優(yōu)、部署異頻組網(wǎng)優(yōu)化的方法來(lái)解決。一方面公安把偽基站頻點(diǎn)調(diào)整為非運(yùn)營(yíng)商在用頻段，避免對(duì)電信網(wǎng)絡(luò)產(chǎn)生同頻干擾；另一方面電信將偽基站使用的異頻頻點(diǎn)優(yōu)先級(jí)設(shè)置為最高，保證用戶可在空閑態(tài)重選到偽基站上登記，達(dá)到公安采集用戶信息的目的。結(jié)合現(xiàn)網(wǎng)調(diào)優(yōu)的大量實(shí)踐，有以下配置需要重點(diǎn)考慮。

4.1 偽基站異頻頻點(diǎn)規(guī)劃

4G偽基站一般需同時(shí)采集多家運(yùn)營(yíng)商的用戶數(shù)據(jù)，普遍支持2.1G（BAND1）或1.8G（BAND3）頻段。由于廣東三家運(yùn)營(yíng)商BAND1和BAND3頻段的大部分頻率實(shí)際上已經(jīng)在用，僅在2 165 MHz—2 170 MHz（BAND1下行）、1 875 MHz—1 880 MHz（BAND3下行）存在各5 MHz FDD空閑頻率可供偽基站使用，對(duì)應(yīng)可用規(guī)劃頻點(diǎn)分別為575和1925。

此外，大部分4G偽基站廠家設(shè)備支持同小區(qū)多PLMN技術(shù)，可考慮偽基站使用BAND1的575作為中國(guó)電信和中國(guó)聯(lián)通的統(tǒng)一規(guī)劃頻點(diǎn)，實(shí)現(xiàn)頻譜共享，以便BAND3的5 MHz空閑帶寬可用于電信容量保障場(chǎng)景下的1.8G小區(qū)20 MHz帶寬部署。

4.2 高優(yōu)先級(jí)重選門(mén)限優(yōu)化

異頻高優(yōu)先級(jí)重選門(mén)限threshX-High，華為、中興等設(shè)備廠家一般默認(rèn)設(shè)置為-110 dBm（結(jié)合q-RxLevMin計(jì)算）。偽基站在網(wǎng)絡(luò)中類似孤島站，覆蓋范圍有限且大部分用于覆蓋道路，發(fā)現(xiàn)部分廠家設(shè)備上行接收性能較差。如threshX-High設(shè)置過(guò)低，快速移動(dòng)邊緣用戶接入容易出現(xiàn)TAU Request連續(xù)發(fā)送失敗，按3GPP協(xié)議規(guī)定此時(shí)將下切3G，并可能長(zhǎng)時(shí)間無(wú)法回到4G網(wǎng)絡(luò)。

結(jié)合前期偽基站問(wèn)題的處理經(jīng)驗(yàn)，建議電信基站配置偽基站異頻頻點(diǎn)的高優(yōu)先級(jí)重選門(mén)限threshX-High默認(rèn)設(shè)置為-100 dBm，如現(xiàn)場(chǎng)測(cè)試仍發(fā)現(xiàn)有偽基站覆蓋范圍不合理，移動(dòng)用戶接入困難等問(wèn)題，可進(jìn)一步適當(dāng)調(diào)整，主動(dòng)控制偽基站的覆蓋范圍。

4.3 TAU拒絕原因配置

目前偽基站TAU Reject原因值主要設(shè)定為13或15，其中13定義為Roaming-not-allowed-in-this-tracking-area，15定義為no-Suitable-Cells-in-tracking-area。

根據(jù)3GPP協(xié)議規(guī)定，當(dāng)UE收到網(wǎng)絡(luò)回復(fù)TAU Reject消息后，原因值為15時(shí)UE將在同一個(gè)PLMN中執(zhí)行小區(qū)重選；原因值為13時(shí)UE將會(huì)執(zhí)行PLMN選擇，可能直接選擇駐留3G網(wǎng)絡(luò)，不同終端在此場(chǎng)景實(shí)現(xiàn)PLMN選擇方案可能不同。根據(jù)前期測(cè)試經(jīng)驗(yàn)，偽基站設(shè)置不同的TAU Reject原因值，對(duì)終端的影響存在以下兩方面的差異：

（1）TAU Reject原因值設(shè)置為15時(shí)，UE從離開(kāi)偽基站到重選至電信基站的回網(wǎng)時(shí)間只需約1 s；而設(shè)置為13時(shí)，由于UE執(zhí)行PLMN選擇普遍比同PLMN重選需要的時(shí)間要長(zhǎng)，回網(wǎng)時(shí)間一般需2 s～4 s。

（2）已發(fā)現(xiàn)少數(shù)部分品牌手機(jī)（如華為、魅族）個(gè)別型號(hào)在收到TAU Reject原因值13時(shí)，出現(xiàn)UE主動(dòng)下切3G網(wǎng)絡(luò)駐留的行為，可能與芯片實(shí)現(xiàn)方案有關(guān)。

綜上所述，建議4G偽基站TAU Reject原因值設(shè)置為15。

4.4 方案小結(jié)

5 應(yīng)用與推廣

5.1 應(yīng)用案例

對(duì)廣東電信某地市4G網(wǎng)絡(luò)進(jìn)行全面分析，使用某周兩兩小區(qū)切換性能指標(biāo)，按照快速定位三步法共計(jì)發(fā)現(xiàn)有467個(gè)電信小區(qū)與偽基站存在較多切換，受到影響（按日均兩者切換次數(shù)大于30次定義）。通過(guò)地理渲染分析，結(jié)合小區(qū)方向和切換請(qǐng)求次數(shù)分析，發(fā)現(xiàn)集中分布在35個(gè)區(qū)域。選取其中10個(gè)區(qū)域進(jìn)行精細(xì)路測(cè)，共計(jì)找出23個(gè)4G偽基站，其中5個(gè)為前期測(cè)試/投訴處理已確認(rèn)并協(xié)同公安調(diào)整為異頻，其余18個(gè)均為新發(fā)現(xiàn)的同頻干擾問(wèn)題點(diǎn)。

對(duì)相關(guān)問(wèn)題點(diǎn)采用異頻協(xié)同優(yōu)化方案，優(yōu)化后網(wǎng)管統(tǒng)計(jì)周邊電信小區(qū)CQI優(yōu)良比改善了15%，切換成功率提升了8%，現(xiàn)場(chǎng)路測(cè)平均SINR改善了4.2 dB，下行PDCP層吞吐率改善了11 Mb/s。圖4為部分新發(fā)現(xiàn)同頻干擾偽基站現(xiàn)場(chǎng)圖片及測(cè)試情況。

5.2 推廣建議

上述快速定位及協(xié)同優(yōu)化方案適用于中國(guó)電信和中國(guó)聯(lián)通FDD主流廠家，目前已在廣東電信推廣近半年，并取得了良好效果，后續(xù)建議全國(guó)推廣。與傳統(tǒng)道路測(cè)試和用戶投訴等方式比較，本文提出的方案可在4G偽基站主動(dòng)預(yù)警和網(wǎng)絡(luò)優(yōu)化方面產(chǎn)生以下效益：

（1）預(yù)警快：僅需網(wǎng)管性能數(shù)據(jù)，按需定期分析，可及時(shí)預(yù)警隱患，化被動(dòng)為主動(dòng)；

（2）監(jiān)控全：借助運(yùn)營(yíng)商4G基站海量數(shù)據(jù)監(jiān)控偽基站動(dòng)態(tài)，可全面掌握偽基站分布情況；

（3）效率高：快速定位三步法僅需一名網(wǎng)優(yōu)工程師，兩小時(shí)內(nèi)即可完成一個(gè)地市分析；

（4）協(xié)同好：標(biāo)準(zhǔn)化異頻組網(wǎng)優(yōu)化方案，在降低對(duì)用戶感知影響的同時(shí)盡可能滿足公安集采要求，實(shí)現(xiàn)真正雙贏局面。

6 結(jié)束語(yǔ)

移動(dòng)通信技術(shù)的發(fā)展日新月異，進(jìn)入4G時(shí)代，偽基站技術(shù)在公安等政府部門(mén)得到新應(yīng)用，同時(shí)也干擾到運(yùn)營(yíng)商網(wǎng)絡(luò)。本文提出的基于網(wǎng)管數(shù)據(jù)挖掘的快速定位方法，同時(shí)結(jié)合異頻協(xié)同優(yōu)化方案，經(jīng)現(xiàn)網(wǎng)驗(yàn)證效果良好，可進(jìn)行復(fù)制推廣。目前公安4G偽基站部署仍處于起步階段，運(yùn)營(yíng)商需主動(dòng)溝通、加強(qiáng)合作，共同完善技術(shù)方案，最終實(shí)現(xiàn)雙贏目標(biāo)。

參考文獻(xiàn)：

[1] 3GPP TS 24.301 V10.6.0. Tracking Area updating procedure； Combined tracking areaupdating procedure[S]. 2011.

[2] 3GPP TS 36.304 V10.6.0. Process and procedure descriptions； Cell selectionand reselection[S]. 2011.

[3] 中國(guó)電信股份有限公司. 中國(guó)電信LTE無(wú)線網(wǎng)絡(luò)指標(biāo)體系（試行）[Z]. 2017.

[4] 中國(guó)電信股份有限公司. LTE基站重要無(wú)線參數(shù)設(shè)置建議書(shū)（華為中興上海貝爾分冊(cè)）[Z]. 2015.

[5] 張建奎，郭寶，張陽(yáng). 4G偽基站監(jiān)測(cè)定位與規(guī)避協(xié)同分析[J]. 移動(dòng)通信， 2017，41（13）： 86-90.

[6] 華為技術(shù)有限公司. 3900系列基站參數(shù)參考（V100R012C10SPC320）[Z]. 2017.

[7] 中興通訊股份有限公司. LTE無(wú)線參數(shù)優(yōu)化指導(dǎo)書(shū)V3.0[Z]. 2016.