【杭州】3G上网信令揭秘
本文整理了3G上网在BSC上跟踪的信令全过程,对A11、A12接口信令做详细解析。另外,跟踪了3G连接时直接拔卡、直接关机等状态下信令,和产生的原始话单、计费话单进行对比,证明休眠时间不计费、直接拔卡关机均计费正常,并解析AAA正确得出用户休眠次数和激活上网时间的话单原理。
从测试到整理成文,我用了一个多月的时间。除了自己懒、上班时间没空整理文章等因素外,更多的原因是我真的花了很多时间去悟透BSC上跟踪到的DO上网信令。所以请相信这篇文章值得对3G感兴趣的你花时间去看。共享给大家,希望对你排障有所帮助。
感谢华为工程师帮忙修改,7月21日根据建议修改本文。加附件5,附件5是本文原稿加工程师批注,批注的内容正是我没注意的细节,没时间看本文的同志可下载附件5后查看。
一、理论知识
在解析DO上网信令之前,先介绍一下分组域网络架构和相关接口,因为在跟踪到的信令中涉及到各接口,DO网络架构如下所示:
CDMA分组域系统采用省中心模式,所有核心设备(PDSN、AAA、ANAAA)都放置在杭州。地市PCF(Packet Data Serving Node,可和BSC合设,也可是单独的设备。例如华为BSC合设PCF,北电是单独的设备RNC/PCF)通过网络设备汇聚后接入杭州的CE,通过CE访问PDSN和AAA等网元。
上图中,AT(Access Termination)是接入终端,例如手机或者上网卡;BTS是基站,BSC是基站控制器。分组域核心设备包含PDSN、AAA、ANAAA。PDSN (Packet Data Serving Node)是分组数据服务节点,是CDMA 分组网里的关键设备,它完成和无线网络(PCF)及IP网络的接口,起着桥梁的作用,PDSN和移动
终端建立PPP连接,把终端来的PPP的数据转换成标准的IP数据,路由到IP网络,同时,将网络来的IP数据封装在PPP里传送给终端,将PCF来的计费参数和自身统计的计费参数结合形成UDR格式传送给AAA;AAA(Authenticaion,Authorizaion and Acounting)对用户发起的业务进行认证、授权、计费消息采集、计费详单文件的生成,它根据用户名判断用户申请的业务类型,每个用户名代表一种业务,如用户名WAP代表用户申请WAP业务的连接,另外AAA根据用户名判断是否需要向业务网关发送计费消息,根据IMSI判断是否向归属地发送计费消息;AN-AAA是3G阶段新增加的鉴权接入设备,执行3G设备的接入认证和授权功能,在CDMA1X网络中不需要这个网元。
另外HA--Home Agent是归属地代理,负责和PDSN/FA建立Mobile IP隧道,负责解封装从反向隧道中传来的用户数据,路由到Interne。该设备在Mobile IP网络中存在,在Simple IP网络中不存在。当前现网是Simple IP网络,因此在浙江分组域网络里不存在该设备。
上图包含如下接口:
Um:空口,是终端和基站之间的接口。部分终端在BSC上无法跟踪到任何信息,因为问题终端根本没有上发空口消息,或者消息没有到BSC这一层。可用QXDM软件跟踪到终端发送和接收到消息,但该软件如何跟踪我不会用,希望会用得同志共享。
Abis:连接基站BTS和基站控制器BSC。
A8、A9:BSC内部接口,和PCF交互接口。A8是业务数据传递,A9传输信令消息。
A10、A11:PCF和PDSN接口。A10是用户业务通道,A11走信令消息。 A12:PCF与AN-AAA之间用于接入认证的信令通道接口。
另外1X网络还有BSC和MSC之间的A1口:用于传输MSC(呼叫控制和移动性管理功能)和BSC之间的信令消息。
当CDMA 1X用户拨号时,BSC内的PCF经A11口向PDSN发送建链请求,PDSN向AAA发送用户的认证请求,通过认证后PDSN给用户分配IP地址,PCF和PDSN之间建立PPP链接,用户可访问INTERNET网络。当3G用户接入时,PCF先通过A12接口向ANAAA发送接入请求,ANAAA通过用户认证后,PCF向PDSN送建链请求。另外ANAAA和HLR之间有2M线连接,以获取HLR上用户的SSD数据做用户接入认证。可见3G用户上网在分组域的认证和CDMA 1X类似,唯一的区别是:1X网络中是要先往MSC(HLR)发起基于设备的认证,DO是发起到ANAAA的基于设备的接入鉴权认证。
二、实际信令跟踪解析
BSC上跟踪信令见附件1。其中第1~263行是插入上网卡的位置登记过程,第264~304行是拨号过程,第305~2419行是DO上网过程中跟踪到的信令,第2420~2436行是断开连接时的信令。MSCE上跟踪到的信令见附件2,只在插入上网卡的位置登记过程中跟踪到相关信令(1X网络接入请求,做位置登记)。现对各过程重要信令进行解析。
在插卡1X 位置登记、3G接入认证过程,详解A12接口到ANAAA认证的信令; 在拨号过程,详解到PDSN的A11接口信息;
在上网过程,解析从激活进入休眠态、从休眠进入激活态的信令,主要解析A11接口信息;
断开连接后,解释AAA产生的原始话单各字段含义,并和企信部最终的话单进行对比,和BSC实际跟踪到的相关信息进行比对,证明休眠时间不计费,只计费激活时间。
1、插卡时,1X 位置登记、3G接入认证过程
在用户终端设置成仅DO模式时只有3g网络的接入鉴权,终端只有在混合模式的时候才会发生1x网络的接入鉴权。一般上网卡默认是混合模式,早期个别自带的客户端可设置仅DO的模式。智能手机上可设置混合模式和仅DO模式。 当前测试终端是上网卡,用集团公司统一客户端,默认混合模式状态下,因此在插入上网卡或者3G手机开机时,同时向1X网络做位置登记、向3G网络做接入鉴权认证:
? BSC通过A1口向MSCE注册1X网络:
需要说明的是,1X和DO的鉴权是独立的过程,即使在1X位置登记过程没有成功,也不影响以下DO的鉴权。例如:最初杭州首次拨通DO时,就是用6850仅开通DO功能的帐号拨测。
有条件的话,感兴趣可做如下测试验证:省内漫游号码未开通漫游功能,则在A1口会拒绝位置登记请求(原因是漫游不允许),不能1X上网;跟踪A12口则将发现BSC仍旧向省ANAAA平台发送认证请求,只要用户DO功能正常开通,则全省共用的ANAAA平台会通过用户认证。 ? BSC通过A12口向ANAAA注册3G网络:
双击第255行,查看A12口接入请求携带的信息:
由上可知向A12口发送的是用户的ESN、用户名、32位鉴权随机数和鉴权值,并不包含IMSI(虽然user-name字段由IMSI和域组成,但并不代表是IMSI字段),因此在BSC上跟踪A12口要根据ESN跟踪。鉴权值是这样获得的:对于MD5算法用户,初始值是NAI(用户名)、鉴权随机数、鉴权密码通过MD5算法获得的值;对于CAVE算法用户,初始值是IMSI、鉴权随机数、SSD、ESN(或者MEID)通过CAVE算法获得的值。另外从A12接口消息可见SSD并不在网络中传播的,分别在UIM卡和HLR或者ANAAA中有保存。
A12返回的消息A12_Access_Acept是通过请求,具体消息如下:
A12认证通过时,返回callback-id,该值是在ANAAA设置,每个帐号对应一个callback-id,即IMSI。BSC返回的A12信息里,callback-id每两位一组,第一组不读,均看每组的第二位,得到IMSI:460036060588576。
? MSCe侧跟踪到的1X网络位置登记信息
总结:(1)插卡或者开机过程,通过A1口向1X网络做位置登记,通过A12口向3G网络做认证请求;
(2) 无论是MD5算法还是CAVE算法,A12口上报参数都一样的,包含:ESN、用户名、鉴权密码、32位鉴权随机数、鉴权 auth值。ANAAA保存的数据包含:用户名、密码、ESN、SSD(如果HLR上设置用户SSD共享,则ANAAA保存SSD)。
如果用户是MD5算法,则终端根据NAI(用户名)、鉴权随机数、鉴权密码做为算法初始值,MD5算法得到鉴权值,ANAAA也根据保存的用户名、密码参数以及网络上传的随机数用MD5算法得到鉴权结果,和终端上传得鉴权值比对,一致则通过鉴权。
如果用户是CAVE算法,则终端根据NAI、鉴权随机数、SSD、ESN(或者MEID)做为算法初始值,CAVE算法得到鉴权值,ANAAA也根据保存的用户名、ESN、SSD参数以及网络上传的随机数通过CAVE算法得到结果,和终端上传的鉴权值比对,一致则通过鉴权。
(3)注意reject消息,例如:[A12] A12 Acess Reject。说明是A12接口拒绝接入,DO鉴权不通过。双击该reject消息,可查看相关原因(例如用户不存在)。 例如:A12-Access Reject拒绝消息如下: