上行干扰之伪基站分析定位

上行干扰之伪基站分析定位

刘善兵

南京欣网通信科技股份有限公司  江苏南京  210032

摘要：伪基站，是非运营商提供的一种在一定半径内获取该区域移动用户信息或强行向移动用户发送推销、诈骗等信息，用户在驻留时不能连接到公用电信网络，不能正常的通话和上网，导致大量的投诉，其周边小区存在上行干扰，KPI指标恶化。通常，我们利用受控ANR识别伪基站，结合网管指标和反向频谱定位伪基站，经过路测（DT\CQT）和使用扫频仪找出伪基站所在位置，上报并配合运营商、无委会、公安等部门彻底消除非法伪基站。

关键词：上行干扰、伪基站、ANR、反向频谱定位、扫频

引言：随着移动LTE-TDD&FDD网络的建设发展，移动运营商至力于解决网络覆盖、干扰、容量等网络基础性的问题，干扰问题尤其是上行干扰问题对于LTE网络影响非常大，特别是对上行受限的TDD网络。目前上行干扰问题分析中，伪基站导致的干扰问题尤为严重，然而伪基站在站点选址上具有一定隐蔽性，在相关参数设置上与运营商的设置规范也不同，例如火车站、机场等一些重点场景，一旦发生干扰问题，影响会非常严重，而且难以定位。本文通过介绍伪基站干扰原理，定位方法，包括具体的案例分析来详细介绍伪基站的处理流程，从而提升用户感知，提升用户满意度。

1伪基站介绍

1.1 伪基站作用

伪基站是公安电子围栏系统的一部分，关于电子围栏系统，其主要作用包括：

（1）针对特殊地域人员在本地活动情况的记录；

（2）针对特殊人员的反常活动监控，无论是个体还是群体；

（3）掌握城市关键人群的过往记录情况和活动轨迹；

（4）针对相关特殊人群的电子布控；

（5）在特定的范围内进行无线屏蔽、实现通讯管制；

（6）提升和充实本地的情报系统等。

1.2 伪基站工作原理

伪基站有机可乘，在于3GPP协议考虑到复杂的2345G网络互操作和各种业务情况，为更好地兼容网络和服务用户造成的。如4G手机TAU跟踪区更新过程，类似GSM系统的LAC，包括连接态和空闲态（要求承载建立）、空闲态（核心网要求认证和安全模式）、空闲态（无承载建立）等形态，4G伪基站获取用户信息则发生在空闲态（核心网要求认证）这一环节。

RRC空闲态的手机能够重选到伪基站，在于伪基站内设置的异常TAC跟踪码，通过UE上报的跟踪区更新请求（TAURequest），来获取用户的GUTI（全球唯一用户临时标识，减少IMSI的使用次数），并进一步获取用户的IMSI（国际移动用户识别码，可算出手机号码）。

这样就通过伪基站获取移动用户的位置信息，并通过大数据描绘其行动轨迹，但是因为系统后续的安全认证机制，伪基站却无法伪造4G业务实现对用户的欺骗。

1.3 伪基站对用户和运营商的影响

电子围栏系统通过抓取UE（手机）进行流动人员信息采集，其抓取周期可以调整（30min、60min等），在抓取用户信息后会马上释放，则对网络影响很小；而有些设备抓取用户信息后无法及时释放，会造成4G脱网（实现对通信网络的屏蔽）。对于用户来说，4G脱网使得无法使用4G业务，其影响最大。对于运营商来说，4G伪基站频点、PCI（物理小区识别码，只有504个，需要按一定规则复用）设置不当，会对运营商的4G网络造成严重干扰；影响4G小区切换成功率等KPI考核指标；因用户4G脱网，还会产生大量的用户投诉。

2伪基站问题现象

2.1 伪基站用户信息收集

从协议看，有两处UE会上报IMSI信息。

第一处：TAU Request或者Attach Request中携带的“EPS mobile identity”信元中包含用户IMSI。UE携带共有三种标识场景，信元分别提供用户标识IMSI、GUTI和IMEI， UE首次附着时携带IMSI，由核心网侧创建用户信息，核心网附着后，将分配GUTI作为UE的临时标识，用于后续的UE附着，在紧急呼叫且没有USIM卡时，UE使用IMEI进行附着。在Attach Request或TAU Request协议流程中，以上三种场景，在用户首次开机注册网络上报IMSI时，伪基站不能获取用户的IMSI信息。第二处：当网络侧下发Identity Request，要求上报用户信息，网络侧收到用户反馈的Identity Response，其中包含IMSI、IMEI等用户信息，伪基站用户信息的获得也正来自于这第二处用户反馈的Identity Response。

2.2 伪基站信令流程

1、TAU更新进入LTE伪基站信令流程

伪基站TAC与现网LTE站点TAC不一致，UE需发起TAC位置更新进入伪基站。之后UE发起RRC连接流程，RRC连接流程完成后，伪基站下发Identity获取UE信息后，TAC位置更新并携带原因值13降UE回到GSM网络。

LTE伪基站的信令主要区别在于正常基站信令RRC建立完成后会进行鉴权并且完成TAU，伪基站信令是在RRC建立完成后下发身份识别请求，获取用户IMSI后直接回复TAC拒绝。

2、Attach附着请求进入LTE伪基站信令流程

UE发起Attach附着请求主动脱离LTE基站进入伪基站。之后UE发起RRC连接流程，RRC连接流程完成后伪基站下发I dentity获取UE信息后，Attach拒绝并携带原因值13降UE回到GSM网络。

3、GSM位置更新进入GSM伪基站信令流程

2.3 伪基站主要问题

1、用户释放-信令风险

4G伪基站下发RRC Release时携带LTE异频信息时，UE接受到消息后会重定向到指定频点小区；RRC Release时未携带LTE异频信息时，UE会根据SIB5进行小区选择，选信号最强小区。通常，伪基站下发的RRC Release原因值为负荷均衡、CSFB和other。

如果伪基站下发RRC Release时携带的是2G频点，UE就会重定向到指定2G频点小区。

2、用户掉话

例如，VOLTE用户占用某小区RSRP=-92dbm，由于伪基站信号强度为-63dbm，且未配置D频点帧偏置，对该小区产生同频干扰，最终导致VOLTE用户掉话。伪基站的多项优化参数设置异常，尤其是当伪基站使用D频点却不配置帧偏置时会造成周边4G小区干扰。

3、伪基站导致用户数据业务切换失败

在切换过程中，由于邻区中收到伪基站信号，会对现网产生较强的同频干扰，导致UE切换失败，UE切换失败后在伪基站上发起重建，重建失败后小区选择占用伪基站。

3伪基站问题主要识别方法

3.1利用受控ANR识别伪基站

1、开启受控ANR：开启系统内时间ANR，采用受控模式，开启时长大于24小时。

2、ANR结果分析：目标小区eNodeBid与现网站点无法匹配（现网不存在的eNodeBid），则为疑似伪基站，过滤目标小区异常eNodeBid，上报次数由大到小排序。

3、图层渲染定位区域：根据次数制作MAPinfo专题渲染图层定位大致位置。

4、干扰区域精准定位：外场扫频精准找伪基站位置。

3.2 网管指标+反向频谱定位伪基站

例行提取劣化时段对比同时段网管性能干扰指标，筛选干扰大于-110dbm，且同时段的劣化5个db以上小区，针对干扰劣化小区程度制作Mapinfo专题渲染图层，然后开启ANR、对干扰区域采集反向频谱确认干扰频点和PCI、针对干扰最严重区域进行外场扫频等手段，快速定位排查伪基站产生的干扰。

4伪基站问题主要优化手段

4.1 协调伪基站移频

电子围栏设备和周边运营商网络采用异频；F频段一般采用38275(1880-1885)、D频段一般使用41015(2630-2635)。

4.2 缩减带宽

电子围栏设备带宽设置为5M,最大化减少现网影响。

4.3 覆盖方案

降低电子围栏的设备功率，覆盖30～50m满足捕获率要求，降低对移动网络影响；调整设备挂高、下倾角、方位角，控制覆盖范围，高度建议在2～3米和机械下倾角大于6度。

4.4 帧偏方案

F频段电子围栏设备帧偏置与运营商站点设置相同，避免交叉时隙干扰；

4.5 参数方案

1、PCI选择503，协同运营商网络的PCI规划，避免MOD3干扰影响；

2、TAC在某个区域内保持固定（0001-2000），如TAC动态变化，周期不小于半小时；

3、RRC release携带频点：37900；

4、设置其优先级高于现网站点，运营商网络周边小区增加公安电子围栏设备异频频点；

5案例分析

5.1 问题现象

某区域周边小区E2出现全RB干扰，E1后50个RB凸起，E3全RB凸起，用户投诉多。

5.2 问题分析与定位

1、故障及设备排查

查询干扰小区及周边站点告警情况，未发现GPS告警、时钟参考源等故障信息。

初步怀疑新老室分合路问题导致，因室分覆盖区域干扰较强，现场激活新型室分小区，E1与E3干扰恢复正常，E2底噪下降10db,但大概1小时后干扰又抬升到最初水平。

2、参数核查

现场核查参数配置均正确。

3、KPI与反向频谱核查定位

站点小区级组网情况：本地4（E1）、44（E2）、144（E3）小区受到强干扰。三个受干扰小区共RRU，覆盖同一扇区。同站同频点的其余小区无干扰，干扰只集中在RRU所在扇区,频点38950小区只有4小区存在强干扰，39148频点只有44小区受到强干扰，E3频点144小区干扰强度最高，不分闲忙时。

反向频谱数据分析三个受干扰小区都呈现出LTE系统内RS导频特征，本地小区4时域上呈现RS导频特征，频域上呈现出左低右高特征。本地小区44时域上呈现导频特征，频域上属于全频段干扰。干扰源PCI检测结果，干扰源PCI=161的小区峰均比高达90，本地144小区时域上呈现导频特征，频域上呈现左高右低。因此干扰源确定为LTE伪基站干扰。

经核查，目前现网不存在PCI=161的站点，PCI为161为之前扩容小区，现网已不存在该小区，初步怀疑是脱管站或者伪基站，故恢复该小区数据后去激活，干扰仍然存在，因此怀疑存在伪基站，需现场测试排查干扰源。

4、现场扫频

安排测试人员使用测试设备进行测试，发现PCI 161小区去激活的情况下仍然占用该小区，怀疑存在伪基站干扰，携带扫频仪，进行现场扫频进一步确认，发现存在外部干扰源，某大厅天花上装了一个高清摄像头，天花里面有类似交换机的设备，里面有较多天线。

经过排查确认问题区域为伪基站干扰导致，本次排查出的伪基站存在三大特点：

1、位置隐蔽，肉眼难以辨别：本次排查出的伪基站位于大厅天花内的高清摄像头旁边，所在位置处于视野盲区且体积较小，肉眼基本无法看到，只能通过扫频进行排查确认。

2、影响波及频段范围大，本次排查出的伪基站影响E1，E2,E3三个频段,对于主小区及扩容小区都有不同程度影响，此外伪基站位于重点场景，人流密集，严重影响用户体验。

3、传统干扰参数优化无法解决问题：针对在初期发现的干扰问题，尝试在基站侧修改相应的抗干扰参数进行处理，修改干扰问题无明显改善，需要协调伪基站厂家处理。

5.3 处理结果

协调联系相关部门和伪基站厂家后，表示将此设备频点设置为D1:37900，帧偏设置为277560，返回原因值设置为13；第二次获取信息的时间间隔设置为30分钟。运营商增加该设备为邻区，方便接入用户的同时，也不影响用户感知，上行干扰问题得到解决。

6结束语

目前伪基站在现网有增多趋势，伪基站对于现网的各项指标都存在明显负增益，对于用户感知影响较大。通过伪基站探究、问题现象分析，给出伪基站的识别方法及优化手段，可有效指导后续伪基站问题的优化处理。

参考文献

[1]. 石志同; 李宗璋;牛海涛等 降低LTE仿真基站影响的方法研究; 2016年10月

[2]. 李学平; 电子围栏对4G网络干扰影响及解决方案; 2020年2月