由于安全模式超时导致PS域掉线的问题解决案例

爱卫生

本文摘自《移动通信》2013年14期。作者：苏燕，任恩亮。苏燕：硕士，现任职于中国移动通信集团广东有限公司广州分公司，主要研究方向为移动通信。

任恩亮：硕士，现任职于中国移动通信集团广东有限公司广州分公司，主要研究方向为移动通信。

摘要：在TD-SCDMA系统中，当RNC主动向CN发送Iu Release Request信令时网络就记为一次掉话或掉线（除去由于UE无反应导致的情况）。通过对现网Iu Release Request这条信令进行分析，发现其原因大多为安全模式超时，并总结了解决安全模式超时导致掉话问题的处理方法和经验。

1 现象描述

从某RNC（Radio Network Controller，无线网络控制器）的CT文件中发现，RNC向CN发送了2115次“Iu Release Request”信令（异常掉话或掉线），分析其原因如表1所示：

由表1可见，其中由于安全模式响应超时而引起掉话或掉线占了绝大多数。查看相关信令如图1所示。

图1：相关信令示意图

以上信令大概可以分为两部分，前面手机做了一次PDP激活且从信令上来看是正常的，接着手机向网络请求位置区更新，也就是在这个更新过程中出现了异常。从后来“Iu Release Request”的原因值为“RNLC_SecurityModeRsp_TimeOut”可以看出，信令的异常应该与鉴权加密相关。

2 分析问题

正常的鉴权加密流程如图2所示。

图2 正常的鉴权加密流程

其流程具体步骤如下：

步骤1：业务请求。UE向网络申请业务请求，在这条请求信令中，手机会告诉网络它的标识号以及要申请哪种业务，包括呼叫建立、位置区更新、补充业务等；此外，手机还会向网络报告一个CKSN号（密钥序列号）。所谓的CKSN其实是CK（Ciphering Key，加密密钥）的序列号，它是移动台在上一次接入网络时由核心网下发的，存储在SIM卡中。核心网利用手机发来的CKSN号可判断是否需要进行鉴权操作：网络侧在收到业务请求信令后，将其中的CKSN号与自身保存的该用户上次所用的CKSN号进行对比，若不一致则启动鉴权过程；否则省略下面的步骤2和3。在没有CKSN号的情况下，终端也会报告给网络，接着网络触发鉴权过程。

步骤2： 鉴权请求。网络发起对手机的鉴权过程，向终端发送鉴权请求信令，信令中包括RAND（Random Number，随机数）、AUTH（Authentication Token，鉴权令牌）和CKSN三个参数，供下面的流程用。

步骤3：鉴权响应。UE接收到鉴权请求信令后，首先通过AUTH完成对网络的鉴权，然后利用RAND值通过事先定义好的三种算法分别得到SRES（Signed Response，签字响应）、CK和IK（Integrity Key，完整性密钥）的值，并将SRES值放入鉴权响应消息中发给网络（AUTH、RAND、SRES、CK和IK被称为“鉴权五元组”，它同时存于终端和网络两侧）。网络收到手机发上来的SRES值后，将其与自身保存的该值进行对比，若一致则说明该UE通过鉴权，继续步骤4；否则告诉UE鉴权失败。

步骤4：安全模式命令。网络侧通过UE的鉴权后，开始发起安全加密过程。网络通过向UE发送Security Mode Command信令，告诉终端采用哪种加密算法和一致性检查算法。之后双方所发的消息可利用加密密钥CK和一致性检查密钥IK，通过协商好的算法进行加密（这两个密钥终端是在步骤3中计算得到的，同时网络也保存同样的值）。

步骤5：安全模式响应。终端在收到Security Mode Command命令后知道了算法，然后通过自身保存的CK和IK对信息进行加密发给网络。

以上是TD-SCDMA系统中针对USIM卡的完整鉴权加密过程，针对SIM卡的过程与此过程类似，只是少了步骤3中对AUTH的鉴权（实际上是手机对网络的鉴权）和一致性检查（无需计算IK）。

下面将根据上述流程来进一步分析该案例（由于出现故障的手机是SIM卡，故分析时无需考虑AUTH和IK）：

（1）业务请求

UE向网络申请位置区更新的业务请求，并向网络报告自己的CKSN号。但从信令来看，终端并没有可用的CKSN号，说明接下来网络要发起鉴权过程，如图3所示：

图3 终端上报的CKSN号

（2）鉴权请求

从信令流程上来看，网络此时并没有发起鉴权过程，而是直接向终端发送了Security Mode Command信令。但是此时终端没有可用的CKSN号，也就是说没有CK；而且终端又没有RAND，无法算出CK。在终端只知道加密算法而不知道加密密钥的情况下，是无法对信息进行加密的。因此，终端在收到Security Mode Command后没有回复Security Mode Complete，
定时器超时后，RNC向核心网发送“Iu Release Request”释放了Iu口。

3 解决问题

通过查看核心网参数，有一个与鉴权相关的参数为AUTHENTICLAI，该参数的含义如表2所示：

当设置为0时，在进行位置区更新的情况下不执行鉴权；当设置为1时，则执行。由于在纯GSM的网络中，局内BSC（Base Station Controller，基站控制器）间重选是不需要鉴权的，故在BSC间的位置区更新时无需执行鉴权，现网设置为0。但双网融合后，RNC与BSC间的重选是需要发起鉴权的（否则UE无法获得加密密钥），然而由于共核心网的RNC与BSC间所取的LAI（Location Area Identity，位置区识别）不同，重选时需位置区更新，因此要将AUTHENTICLAI值改为1，从而保证UE在位置区更新时可以拿到加密密钥，避免安全模式无法正常完成的出现。

修改核心网该参数后，再分析原因占比，发现问题得到了解决，如表3所示。

4 总结

通过分析现网掉话原因，发现其大多为安全模式超时导致掉线。本文主要是通过前后台信令对比以及对位置区更新成功与不成功的信令对比，发现是核心网参数设置的问题。基于此，通过修改核心网的数据，再次对业务进行验证，从而问题得到了解决。

参考文献：

[1] 朱爱华,杨娜. 2G与3G移动网络接入的安全性分析[J].邮电设计技术, 2007(1): 7-11.

[2] 3GPP TS 25.304. User Equipment(UE) Procedures in Idle Mode and Procedures for Cell Reselection in Connected Mode[S]. 2008.

[3] 3GPP TS 23.009. Technical Specification Group Core Network, Handover Procedures[S]. 2005.

[4] 苗强,程晓晟. TD-SCDSMA/GSM/GPRS双模终端发展分析[J]. 电信技术, 2006(11): 88-89.

[5] 解觯. WCDMA与GSM/GPRS混合组网中的互操作分析[J]. 现代电信科技, 2006(7): 105-109.★