概述
LTE(Long Term Evolution,长期演进)是 3GPP 组织制定的第四代移动通信标准。理解 LTE 的系统架构、关键术语和协议机制,是进行蜂窝网络安全研究的基础。
系统架构缩写
| 缩写 |
全称 |
说明 |
| UMTS |
Universal Mobile Telecommunications System |
UMTS = UE + UTRAN + CN |
| LTE/EPS |
Evolved Packet System |
EPS = UE + E-UTRAN + EPC |
| EPC |
Evolved Packet Core |
演进的核心网 |
| E-UTRAN |
Evolved Universal Terrestrial Radio Access Network |
由 eNodeB 组成的接入网 |
PLMN 类型
| PLMN 类型 |
全称 |
说明 |
| RPLMN |
Registered PLMN |
终端在上次关机或脱网前登记上的 PLMN,临时保存在 USIM 卡 |
| HPLMN |
Home PLMN |
用户 USIM 对应 IMSI 的 PLMN |
| EHPLMN |
Equivalent Home PLMN |
HPLMN 对应的运营商不同号段(如中国移动有 46000、46002、46007),运营商烧卡时写入 USIM 卡 |
| EPLMN |
Equivalent PLMN |
在 MSC 或 MME 上配置,与当前网络 HPLMN 对等的 PLMN。归属地 EPLMN=EHPLMN,漫游地 EPLMN≠EHPLMN |
| UPLMN |
User Controlled PLMN |
终端在用户手工选网时选择的 PLMN,USIM 卡会存储 |
| OPLMN |
Operator Controlled PLMN |
运营商烧卡时将签署漫游协议的运营商 PLMN 写入 USIM 卡 |
| FPLMN |
Forbidden PLMN |
被禁止访问的 PLMN,终端尝试接入被拒绝后加入此列表 |
关键术语速查
双工与天线技术
| 缩写 |
全称 |
中文 |
| FDD |
Frequency Division Duplexing |
频分双工 |
| TDD |
Time Division Duplexing |
时分双工 |
| SISO |
Single-Input Single-Output |
单输入单输出 |
| MIMO |
Multi-Input Multi-Output |
多输入多输出 |
网络实体与协议
| 缩写 |
全称 |
中文 |
| UE |
User Equipment |
用户终端 |
| eNodeB |
Evolved Node B |
演进型基站 |
| NAS |
Non-Access Stratum |
非接入层 |
| SAE |
System Architecture Evolution |
系统架构演进 |
| DCI |
Downlink Control Indicator |
下行控制指示 |
| EMM |
EPS Mobility Management |
EPS 移动性管理 |
| ECM |
EPS Connection Management |
EPS 连接管理 |
信道与信号
| 缩写 |
全称 |
中文 |
| BCH |
Broadcast Channel |
广播信道 |
| BCCH |
Broadcast Control Channel |
广播控制信道 |
| CCCH |
Common Control Channel |
公共控制信道 |
| DCCH |
Dedicated Control Channel |
专用控制信道 |
| DTCH |
Dedicated Traffic Channel |
专用业务信道 |
| PCCH |
Paging Control Channel |
寻呼控制信道 |
| PBCH |
Physical Broadcast Channel |
物理广播信道 |
| PRACH |
Physical Random Access Channel |
物理随机接入信道 |
| PHICH |
Physical Hybrid ARQ Indicator Channel |
物理混合自动重传指示信道 |
| PDSCH |
Physical Downlink Shared Channel |
物理下行共享信道 |
| PUSCH |
Physical Uplink Shared Channel |
物理上行共享信道 |
| PCFICH |
Physical Control Format Indicator Channel |
物理控制格式指示信道 |
| PDCCH |
Physical Downlink Control Channel |
物理下行控制信道 |
| PSS |
Primary Synchronization Signal |
主同步信号 |
| SSS |
Secondary Synchronization Signal |
辅同步信号 |
| PCI |
Physical Cell Identity |
物理小区标识 |
| RSSI |
Received Signal Strength Indicator |
接收信号强度 |
| DMRS |
Demodulation Reference Signal |
解调参考信号 |
| MIB |
Master Information Block |
主信息块 |
| SIBs |
System Information Blocks |
系统信息块 |
数据单元
| 缩写 |
全称 |
中文 |
| SDU |
Service Data Unit |
服务数据单元 |
| PDU |
Protocol Data Unit |
协议数据单元 |
RNTI 标识符
| 缩写 |
全称 |
用途 |
| SI-RNTI |
System Information RNTI |
用于 SIB 传输,对应 BCCH |
| P-RNTI |
Paging RNTI |
用于解析寻呼信息,对应 PCCH |
| RA-RNTI |
Random Access RNTI |
用于 PRACH 响应 |
| C-RNTI |
Cell RNTI |
用于传输 UE 的业务信息 |
| T-CRNTI |
Temporary C-RNTI |
临时 C-RNTI,主要在 RACH 中使用 |
| TPC-PUCCH-RNTI |
Transmit Power Control PUCCH RNTI |
用于解析 PUCCH 上行功率控制信息 |
| TPC-PUSCH-RNTI |
Transmit Power Control PUSCH RNTI |
用于解析 PUSCH 上行功率控制信息 |
| SPS-C-RNTI |
Semi Persistence Scheduling C-RNTI |
半持续调度的 C-RNTI |
| M-RNTI |
MBMS RNTI |
多媒体广播多播服务 RNTI |
EARFCN 与载波频率
EARFCN 概念
EARFCN(E-UTRA Absolute Radio Frequency Channel Number)是 LTE 系统中用于标识载波频率的绝对频率号,取值范围 0-65535。
计算公式
下行载波频率:
1
| F_DL = F_DL_low + 0.1 × (N_DL - N_Offs_DL) [MHz]
|
上行载波频率:
1
| F_UL = F_UL_low + 0.1 × (N_UL - N_Offs_UL) [MHz]
|
其中:
F_DL_low / F_UL_low:Band 下行/上行起始频率N_DL / N_UL:下行/上行 EARFCNN_Offs_DL / N_Offs_UL:Band 对应的 EARFCN 偏移量
常用 LTE Band
| Band |
名称 |
模式 |
下行频率 (MHz) |
上行频率 (MHz) |
带宽 (MHz) |
双工间距 (MHz) |
区域 |
| 1 |
2100 |
FDD |
2110-2170 |
1920-1980 |
60 |
190 |
全球 |
| 3 |
1800+ |
FDD |
1805-1880 |
1710-1785 |
75 |
95 |
全球 |
| 7 |
2600 |
FDD |
2620-2690 |
2500-2570 |
70 |
120 |
EMEA |
| 8 |
900 GSM |
FDD |
925-960 |
880-915 |
35 |
45 |
全球 |
| 20 |
800 DD |
FDD |
791-821 |
832-862 |
30 |
-41 |
EMEA |
| 38 |
TD 2600 |
TDD |
2570-2620 |
— |
50 |
— |
EMEA |
| 39 |
TD 1900+ |
TDD |
1880-1920 |
— |
40 |
— |
中国 |
| 40 |
TD 2300 |
TDD |
2300-2400 |
— |
100 |
— |
中国 |
| 41 |
TD 2600+ |
TDD |
2496-2690 |
— |
194 |
— |
全球 |
完整 Band 列表参考:LTE Frequency Bands 及 EARFCN Calculator
SAE 系统架构
架构概述
SAE(System Architecture Evolution)是 3GPP 制定的 LTE 核心网标准,基于 GPRS 核心网演进。
与传统架构的主要差别:
- 简化架构:去除了 RNC 节点,eNodeB 直连核心网
- 全 IP 支持:端到端 IP 化,不再支持电路交换
- 更高吞吐量和低延迟:扁平化架构减少转发节点
- 多异构网络互通:支持 3GPP 和非 3GPP 接入
核心网实体
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| ┌─────────┐
│ HSS │
└────┬────┘
│ S6a
┌───────┐ ┌─────┴─────┐ ┌─────────┐
│ UE │──────│ MME │──────│ ANDSF │
└───┬───┘ └─────┬─────┘ └─────────┘
│ │ S11
│ ┌─────┴─────┐
│──────────│ S-GW │
│ S1-U └─────┬─────┘
│ │ S5/S8
┌────┴────┐ ┌─────┴─────┐ ┌──────────┐
│ eNodeB │ │ P-GW │─────│ Internet │
└─────────┘ └─────┬─────┘ └──────────┘
│
┌─────┴─────┐
│ ePDG │
└───────────┘
|
| 网元 |
全称 |
核心功能 |
| MME |
Mobility Management Entity |
空闲模式 UE 跟踪与寻呼、NAS 信令终点、鉴权、安全密钥管理、2G/3G 切换信令 |
| S-GW |
Serving Gateway |
用户数据路由转发、eNodeB 间中继锚点、空闲态下行数据寻呼触发 |
| P-GW |
PDN Gateway |
UE 与公共数据网网关、策略实施、计费、3GPP/非 3GPP 移动性锚点 |
| HSS |
Home Subscriber Server |
用户信息和订阅服务中央数据库、HLR/AuC 的扩展 |
| ANDSF |
Access Network Discovery and Selection Function |
提供 3GPP/非 3GPP 接入网信息、协助 UE 发现和选择接入网络 |
| ePDG |
Evolved Packet Data Gateway |
确保 UE 通过不可信非 3GPP 接入连接到 EPC、建立 IPsec 隧道 |
接口说明
| 接口 |
连接实体 |
用途 |
| S1-MME |
eNodeB ↔ MME |
控制面信令 |
| S1-U |
eNodeB ↔ S-GW |
用户面数据 |
| S5/S8 |
S-GW ↔ P-GW |
GTP/PMIP 隧道 |
| S6a |
MME ↔ HSS |
用户数据查询与鉴权 |
| S11 |
MME ↔ S-GW |
控制面信令 |
| S3 |
MME ↔ SGSN |
2G/3G 切换信令 |
| S4 |
S-GW ↔ SGSN |
2G/3G 用户面 |
| X2 |
eNodeB ↔ eNodeB |
基站间接口,切换与负载均衡 |
RRC 协议
功能概述
RRC(Radio Resource Control,无线资源控制)协议的核心功能:
- 为 NAS 层提供连接管理和消息传递服务
- 对接入网底层协议实体提供参数配置功能
- 负责 UE 移动性管理相关的测量和控制功能
RRC 状态
| 状态 |
特征 |
| RRC_IDLE |
PLMN 选择、系统信息广播和寻呼、邻小区测量与小区重选、UE 获取 TA 区内唯一标识、eNB 内无终端上下文 |
| RRC_CONNECTED |
网络侧有 UE 上下文信息、网络侧知道 UE 所处小区、可收发数据、网络控制移动性 |
信令无线承载(SRB)
| SRB |
逻辑信道 |
承载消息 |
具体内容 |
| SRB0 |
CCCH |
RRC 消息 |
RRC 连接请求/建立/拒绝/重建请求/重建/重建拒绝 |
| SRB1 |
DCCH |
RRC + 部分 NAS 消息 |
RRC 连接建立完成/重建完成/重配置/重配置完成/释放等 |
| SRB2 |
DCCH |
NAS 消息 |
上下行直传消息 |
RRC 连接建立过程
1
2
3
4
5
6
7
| UE(IDLE) eNB
| |
|--- RRC 连接请求 (UL_CCCH, SRB0) -------------->| Msg3: UE标识+建立原因
|<-- RRC 连接建立 (DL_CCCH, SRB0) ---------------| Msg4: SRB1完整配置
|--- RRC 连接建立完成 (UL_DCCH, SRB1) ----------->| 携带NAS消息
| | (Attach/TAU/Service/Detach Req)
| ===== RRC 连接建立完成, eNB发起S1口建立 ===== |
|
RRC 连接重建过程
当 RRC 连接态出现以下情况时触发:
- 切换失败
- 无线链路失败
- 完整性保护失败
- RRC 重配置失败
1
2
3
4
5
| UE(CONNECTED, 异常) eNB
| |
|--- RRC连接重建请求 (UL_CCCH, SRB0) ----------->| AS层标识+重建原因
|<-- RRC连接重建 (DL_CCCH, SRB0) ----------------| SRB1完整配置
|--- RRC连接重建完成 (UL_DCCH, SRB1) ------------>| 确认消息
|
如果 eNB 无 UE 上下文信息,则回复 RRC 连接重建拒绝。
RRC 连接重配置与释放
重配置:当需要管理 SRB/DRB、配置底层参数、执行切换或测量控制时触发。若 UE 无法执行重配置内容,则回退到收到消息前的配置,并发起重建过程。
释放:网络希望解除与 UE 的 RRC 连接时触发。
- 可选携带 重定向信息 和 专用优先级分配信息
- 本地释放:UE 的 RRC 层根据 NAS 层指示主动释放连接(如鉴权未通过),不通知网络侧进入空闲态
相关知识
LTE 是当前移动通信安全研究中最重要的技术标准之一。理解 LTE 的系统架构(SAE/EPC)、空口协议(RRC)和频率规划(EARFCN),对于使用 srsRAN、srsLTE、OpenLTE 等开源工具进行蜂窝网络安全实验至关重要。本文与 5G、srsRAN、srsLTE、OpenLTE、RRC-Redirection、移动网络等文章共同构成蜂窝网络安全研究的知识体系。