直传消息传递的实现方式介绍

直传消息是UE和CN之间进行的一系列包括鉴权、加密、业务请求、连接建立在内的NAS层信令交互，在这个过程中RNC对这些消息不进行处理，只进行转发传递，所以称为直传消息。直传消息是在RRC连接建立完成之后，以Initial Direct Transfer消息将UE和CN之间的信令连接建立在SCCP之上的。

直传消息信令流程如图3-4所示。

图3-4 直传消息信令流程

在接下来对信令的解析过程中，会根据网络中实际的信令情况解释一些没有出现在标准信令流程中的消息，这些消息是网络根据自身业务建立的必要性而设置的，起着相当重要的作用，如出现在此过程中的测量控制、终端身份识别等。

1.Initial Direct Transfer消息

①表示UE申请的业务是R99的电路域CS业务。

②初始直传消息将Service Request消息封装起来进行传递，这是需要在CN域进行解包的消息代码。

2.Ranap Initial UE Message消息

①表示UE申请的业务是电路域CS业务。

②位置区识别码LAI是由MCC、MNC和LAC组成，信令中显示的LAI为46001+55552。

③SAI称为服务区标识，组成如下：SAI=PLMN-ID+LAC+SAC，服务区域标识用于定义一个由一个或多个属于同一位置区域小区组成的区域，这个区域称为服务区域，用于向核心网指示UE的位置，信令中显示的SAI为46001+55552+502。

④直传给核心网的消息：service-request。

⑤服务请求的原因：mobile-originating-call-establishment-or-packet-mode-connection-establishment，即终端发起了初始呼叫或者需要进行分组业务连接。

⑥手机能力支持A51加密算法。

⑦手机能力支持R99及之后协议版本。

⑧手机能力支持点对点彩信。

⑨手机标识：tMSI-P-TMSI。

⑩tmsi-or-p-tmsi编号为2718989730（十进制）。

⑪信令连接标识，表示一个CN节点参与的IU信令连接，在IU信令连接期间RNC会保持并记住这个标识，对应于SCCP面向连接业务的一个连接号码。

⑫小区所属的RNCID为1408。

此直传消息中内容为UE终端的能力信息，部分内容可详见3.2.3节第5部分。

3.Measurement Control消息

①测量控制下发的原因是建立，不是修改或其他原因；同时显示的内容为同频邻区列表，主要包括邻小区的扰码、是否读取SFN的指示以及发射分集指示等信息。在空闲状态下，邻区是通过SIB11消息下发下来的，那么在连接状态，邻区则是通过测量控制消息下发下来的。

②同频测量的层三滤波系数，根据协议3GPP TS 25.331，测量值的滤波采用如下公式进行计算。本参数为公式中的k：F_n=（1-a）∗F_n-1+a∗M_n，a=（1/2）的（k/2）次幂。其中，F_n为经过滤波处理，更新的滤波结果；F_n-1为经过滤波处理，上一时刻旧的滤波结果；M_n为从物理层接收到的最近的测量值；当a设为1时，意味着没有层三滤波。信令中显示fc3表示此处层三滤波系数为3。该参数越大，对信号平滑作用越强，抗快衰落能力越强，但对信号变化的跟踪能力越弱，切换不及时导致掉话；该值设置过小，会增加不必要的软切换以及乒乓切换。

③表示同频测量准则为EcNo。

④此处指的是在网络侧打开MR周期性测量后，UE在进行业务过程中上报的MR测量报告的内容，即上报cellSynchronisationInfoReportingIndicator（同步指示），cpich-Ec-NO-report-ingIndicator（EcIo）和cpich-RSCP-reportingIndicator（RSCP）；不上报cellIdentity-report-ingIndicator（小区ID）和pathloss-reportingIndicator（路径损耗）。激活集、监视集和检测集上报的内容一致。

⑤1a事件参数配置。

triggeringCondition表示是只监视集中的小区可以进行1a事件从而加入激活集或检测集中的小区都可以，信令中显示的是监视集和检测集中的小区都可以成为1a事件的对象从而加入激活集中的。

reportingRange即1a事件中的相对门限，步长为0.5，配置为6的话实际是3dB。也就是说，当激活集外小区的信号比激活集中最好小区的信号高于其减去3dB的值的时候触发1a事件，参数设置决定了软切换区域的大小和软切换用户比例。若门限较大，则目标小区加入激活集容易，不容易掉话，处于软切换状态的UE比例增大，但前向资源占用严重。若门限较小，则目标小区加入激活集困难，通信质量得不到保证。

w为切换时的权值，按照协议规定，软切换时1a事件所遵循的公式如下：

所以w所起的作用是对激活集中最优小区和激活集综合质量进行加权，一般情况下w取0，即不考虑激活集的综合质量，这种情况下只参考激活集中最好小区的质量。如果w不为0，则切换时考虑了激活集的综合质量。

reportDeactivationThreshold为1a事件的去激活门限，当激活集中的小区个数达到这个门限时，将不再触发1a事件，该值过大，会导致激活集平均数目过大，手机不容易掉话，但是浪费基站资源较多；该值过小，会导致激活集平均数目较小，手机有可能受到比较大的干扰，影响通信质量，但占用资源会比较少。

reportingAmount为1a周期上报总数，当上报的1a事件次数超过此参数后将停止上报1a事件，配置为16次。

reportingInterval表示的是当1a事件转为周期性报告后，所发送测量报告之间的时间间隔，单位为s，0表示不进行周期性的测量报告。此处设置为4s。

hysteresis为1a事件上报时所使用计算公式中的迟滞，即上式中的H_1a，设置过大相当于缩小了切换范围，同时也避免了乒乓切换的问题，设置为0，表示不进行迟滞的设置。

timeToTrigger为1a事件的触发时间，单位为ms。此处设置为200ms。触发时间的设置可以有效减少平均切换次数和误切换次数，防止不必要切换的发生。延迟触发时间越大，平均切换次数越小，但延迟触发时间的增大会增加掉话的风险，反之则平均切换次数增大，速度加快。

reportingCellStatus表示测量结果中的小区组成，信令中显示测量报告中进行上报的小区范围包括激活集、监视集和检测集，并且最大上报的小区数目为6个。

⑥1b事件参数配置。

triggeringCondition表示只激活集中的小区可以进行1b事件从而删除激活集或检测集中的小区都可以，信令中显示的是只有激活集中的小区能够成为1b事件的对象从而删除激活集中的。

reportingRange即1b事件中的相对门限，步长为0.5，因为配置为12的话实际是6dB。也就是说，当激活集中小区的信号比最好小区的信号低6dB的时候触发1b事件，参数设置决定了软切换区域的大小和软切换用户比例。若门限较大，则激活集中信号差小区不容易删除出激活集，不容易掉话，处于软切换状态的UE比例增大，但前向资源占用严重。若门限较小，则激活集中信号差小区易删除出激活集，通信质量得不到保证。

w为切换时的权值，按照协议规定，软切换时1b所遵循的公式如下：

所以w所起的作用是对激活集中最优小区和激活集综合质量进行加权，一般情况下w取0，即不考虑激活集的综合质量，这种情况下只参考激活集中最好小区的质量。如果w不为0，则切换时考虑了激活集的综合质量。

hysteresis为1b事件上报时所使用计算公式中的迟滞，即上式中的H_1b，设置过大相当于延后了信号差小区出激活集的时间，增加了其难度；设置为0，表示不进行迟滞的设置。

timeToTrigger为1b事件的触发时间，单位为ms。此处设置为640ms。触发时间的设置可以有效减少信号差小区频繁地出入激活集，减少乒乓切换。延迟触发时间越大，信号差小区出激活集时间越长，掉话风险减小，反之则信号差小区出激活集越迅速，但掉话风险增大。

reportingCellStatus表示测量结果中的小区组成，信令中显示测量报告中进行上报1b的小区范围只包括激活集，并且最大上报的小区数目为3个。

⑦1c事件参数配置。

replacementActivationThreshold为1c事件的去激活门限，表示当激活集中的小区个数达到该门限时，则开始触发1c事件，信令中显示该值为3。该值过大，会导致激活集平均数目较大，手机不易掉话，但占用资源较多；该值过小，会导致激活集平均数目较小，掉话风险增大，但占用资源相对较小。

reportingAmount为1c周期上报总数，当上报的1c事件次数超过此参数后将停止上报1c事件，配置为16次。

reportingInterval表示的是当1c事件转为周期性报告后，所发送测量报告之间的时间间隔，单位为s，0表示不进行周期性的测量报告。此处设置为4s。

hysteresis为1c事件上报时所使用计算公式中的迟滞，即下式中的H_1c：

M_new≥M_InAS+H_1c/2

由于1c事件的触发是在激活集大小达到最大值时进行，此时切换的延迟发生不会导致恶劣的后果，所以参数配置应尽量减小乒乓导致的信令交互，因此参数调整时可适当增大，所以信令中显示配置为8，即4dB。

timeToTrigger为1c事件的触发时间，单位为ms。此处设置为640ms。该值过小，新导频能够更快加入激活集并替换差导频，但在复杂环境中会导致过多切换；该值过大，新导频接入激活集并替换差导频的速度变慢，但是会避免不必要的切换。

reportingCellStatus表示测量结果中的小区组成，信令中显示测量报告中进行上报的小区范围包括激活集、监视集和检测集，并且最大上报的小区数目为6个。

⑧1d事件的参数配置。

hysteresis为1d事件上报时所使用计算公式中的迟滞，即下式中的H_1d：

M_Notbest≥M_Best+H_1d/2

由于切换的所有策略都是基于最优小区的，通常最优小区的变更会导致测量控制的更新，因此1d事件的报告应尽量减小乒乓更换和误判，参数调整时可适当增大，所以信令中显示配置为8，即4dB。

timeToTrigger为1d事件的触发时间，单位为ms。此处设置为320ms。1d事件的发生伴随着新小区测量控制的下发，因此此事件的频繁发生会导致信令负荷的上升。该值过小会使1d事件容易发生，但UE会收到最新小区测量控制中下发的邻区列表，该值过大会使1d事件发生困难，但不会有那么多的信令消息。

reportingCellStatus表示测量结果中的小区组成，信令中显示测量报告中进行上报的小区范围包括激活集和监视集，并且最大上报的小区数目为3个。

⑨1f事件参数配置。1f事件指激活集小区CPICH Ec/No或RSCP测量值低于绝对门限而触发的事件；1f事件用于触发紧急盲切换，如果激活集最优小区上报1f事件，标明激活集质量已经很差，这时触发盲切换，以便在掉话前做最后的尝试。

triggeringCondition表示只对激活集中的小区进行1f事件的评估，还是其他小区集合也参与，信令中显示的是只有激活集中的小区能够成为1f事件评估的对象。

thresholdUsedFrequency为1f事件报告使用的Ec/No绝对门限：-24dB。此门限设置越高，则盲切换越容易被触发，门限设置越低，则盲切换触发越困难。

hysteresis为1f事件上报时所使用计算公式中的迟滞，即下式中的H_1f：

M_new≤T_1f-H_1f/2

同样1f事件的迟滞也是以避免乒乓切换为目的的，信令中显示配置为8，即4dB。

timeToTrigger为1f事件的触发时间，单位为ms。此处设置为640ms。该值过小，1f事件越容易发生；该值过大，1f事件越不容易发生。

reportingCellStatus表示测量结果中的小区组成，信令中显示测量报告中进行上报的小区范围只包括激活集，并且最大上报的小区数目为3个。

⑩测量报告的触发方式是以事件的形式触发，而非周期方式。

4.Ranap Common Id消息

①这条消息中最重要的是核心网返回给RNC终端的IMSI号：460015920603910，读取方法是每两个数字一组，翻转组合，如5129读取的时候就应该读作1592。此条消息的另外一个作用在于对单个UE进行信令跟踪时，Common Id之前的消息都缓存在RNC中，缓存大小是只能保存一定数目的信令消息。如果之前有比较多的信令，大于缓存的大小，则有些信令消息有可能被丢掉而不能在后面显示，包括前面的RRC请求和建立消息等也都是在Common Id拿到之后才根据里面的IMSI来排列显示的，否则网络是无法在海量的消息中显示某一单个UE的信令消息的。

5.Ranap Direct Transfer消息

①显示本直传消息传递的是鉴权请求消息内容。

②这是网络侧发给终端的重要鉴权参数RAND（Random Chanllenge），终端根据这个参数通过f1、f2、f3、f4和f5算法进行鉴权。在网络侧，RAND通过f0算法产生，之后RAND参与f1算法生成消息鉴权码MAC，参与f2算法产生RES，参与f3算法产生CK，参与f4算法产生IK，参与f5算法产生AK，然后在此消息中把RAND发给终端的USIM；在终端侧，UE会根据此参数在f5算法中得到AK，在f1算法中得到XMAC，在f2算法中得到RES，在f3算法中得到CK，在f4算法中得到IK，之后USIM将XMAC和网络侧发送过来的MAC进行比较，如果一致，则鉴权成功。

③AUTN也是鉴权过程中一个重要的参数，它是通过SQN、AK、AMF和MAC计算得到的。在此条消息中从网络侧发送到终端侧，在终端侧经过相关算法的计算后会恢复出包含在AUTN中的SQN、AK、AMF和MAC参数，之后比较SQN是否在有效值范围，如果在有效范围，则鉴权通过。

6.RRC DI Direct Transfer

①RNC通过此条消息把鉴权参数RAND和AUTN传送给终端进行解析。

7.Authentication Request消息

(https://www.xing528.com)

①这是终端侧解析出来的鉴权参数RAND，关于其作用及相关计算见3.2.4节第5部分。

②这是终端侧解析出来的鉴权参数AUTN，关于其作用及相关计算见3.2.4节第5部分。

8.Authentication Response消息

①在USIM卡中，终端通过f2算法以及K和RAND得到RES，当检查AUTN参数并通过终端对于网络侧的鉴权后，会在此消息中将计算出的RES参数发送回网络侧，网络侧在收到此参数后，会与之前保存的XRES参数进行比较，如果一致，则表示通过了网络侧对终端的鉴权，此时鉴权流程结束。因此可以看出，WCDMA网络的鉴权是双向的，既包含终端侧对网络的鉴权，也包含网络侧对终端的鉴权。

9.RRC UI Direct Transfer消息

①此消息中包含的NAS层消息即是上条消息中的RES参数，通过此条消息发送给核心网进行解析鉴权。

10.Ranap Direct Transfer消息（1）

①此信令内容显示的是此条直传消息所传递的内容为鉴权响应。

②鉴权响应消息中从终端侧发送给核心网侧的RES鉴权参数。

11.Ranap Direct Transfer消息（2）

①这是核心网下发给终端的用于进行终端身份识别的直传消息，消息内容是identity-re-quest，即身份验证请求。

②这里显示身份验证的内容是进行IMEI的验证，即对终端进行的一种验证，用于核心网对终端进行鉴别或通过IMEI使用新功能。

12.RRC DI Direct Transfer消息

①RNC把核心网对终端身份识别的消息以NAS层消息直传给UE。

13.Identity Request消息

①UE在UU口收到的核心网关于对终端进行身份识别的identity-request消息，消息内容显示是对终端的IMEI进行识别，IMEI码由GSM（全球移动通信协会）统一分配，授权BABT（英国通信认证管理委员会）审受。IMEI由15位数字组成，其组成为：前6位数（TAC）是“型号核准号码”，一般代表机型；接着的2位数（FAC）是“最后装配号”，一般代表产地；之后的6位数（SNR）是“串号”，一般代表生产顺序号；最后1位数（SP）通常是0，为检验码，目前暂备用。

IMEI码具有唯一性，贴在手机背面的标志上，并且读写于手机内存中。它也是该手机在厂家的“档案”和“身份证号”。TAC（设备型号核准号码）由欧洲型号认证中心分配。TAC码前三位在不同的时期会发生变化，而且即使同一部手机在不同的时期也会有不同的TAC码。因此过去所说的只要是同一型号的手机TAC码一定一样的说法是不够准确的。我们知道这些区别后就可以通过TAC码来进行“设备识别”了。

FAC（工厂装配码）由厂家编码，通常表示生产厂家及其装配地。有时FAC也不能完全证明手机是否是行货，FAC码也不是一成不变的，即使同一产地的产品，FAC被和TAC合并在一起，FAC码的数字统一从00开始，因此无论什么型号什么品牌其第7、8位均是00、01、02或03这样向后编排，TAC码的真正含义正在于此设备型号核准。

SNR码即序号码，也由厂家分配，用来识别每个TAC和FAC中的某个设备。每一部手机的SNR都不会一样。简单地说，该号码可以说明手机出产日期的先后，通常数值越大说明该机型出厂时间越晚。

SP即备用码，其号码由厂家做设置，可忽略。

14.Identity Response消息

①UE对身份识别消息进行回复，并且上报终端的IMEI号给核心网进行识别，IMEI号码为354387024675170。可以看出这是一款诺基亚终端。

15.RRC UI Direct Transfer消息

①RNC把UE的IMEI号码通过NAS层消息直传给核心网。

16.Ranap Direct Transfer消息（3）

①直传给核心网的显示终端对于身份识别的响应消息，内容为identity-response。

②身份识别响应消息显示是对终端IMEI的响应。

③此处显示的是终端对于身份识别消息的响应，即上报IMEI号码的内容。

17.Ranap Security Mode Command消息

①指明所使用的完整性保护性算法是UIA1，完整性保护算法原理如图3-5所示。

IK由核心网在Security Mode Command消息中给出，并在终端和核心网中同时保存；COUNT-1由HFN和RRC消息的序号SN构成，而HFN从业务建立过程中RRC连接最后一条消息RRC Con-nection Setup Complete消息中得到；DIRECTION为了避免上下行完整性保护算法的输入内容相同，上行设置为0，下行设置为1；FRESH参数是由RNC产生的，通过Security Mode Command消息发送给终端；MESSAGE即为需要进行完整性保护的信令消息。最终根据f9算法计算出一个MAC-1的结果，并且添加到需要进行完整性保护的RRC消息中。在对端会进行相同的计算，得到另一个结果XMAC-1，两者相比若相同，则通过完整性保护检查。

②此键值即上面完整性保护算法中的IK，总共128bit。

③指明所使用的加密算法是UEA1和不加密两种，加密算法原理如图3-6所示。

图3-5 完整性保护算法原理

图3-6 加密算法原理

与完整性保护算法类似，加密算法的CK由核心网在Security Mode Command消息中给出，并在终端和核心网中同时保存；COUNT-C由HFN和RRC消息的序号SN构成，而HFN从业务建立过程中RRC连接最后一条消息RRC Connection Setup Complete消息中得到；DIRECTION为了避免上下行加密算法的输入内容相同，上行设置为0，下行设置为1；LENGTH用于指示生成的Keystream的长度；BEARER是每个无线承载的标识，用于区别所有无线承载使用同一组加密参数；最终根据f8算法计算出一个结果，这个结果会应用于需要加密的数据，从而完成加密过程。

④此键值即上面加密算法中的CK，总共128bit。

18.RRC Security Mode Command消息

①cipheringAlgorithmCap为3表示UE既支持加密也支持不加密，如果为1则表示不加密，如果为2则表示加密；integrityProtectionAlgorithmCap为2表示进行完整性保护算法，如果为1表示不进行完整性保护算法。

②指出根据核心网下发的加密算法RNC侧选择了加密算法UEA1。

③表示加密算法的启动时间，这个时间是以RRC消息的SN来表示的。

④这是RNC产生的FRESH参数，发送给UE用于进行完整性保护算法的计算。

⑤指出RNC侧所使用的完整性保护算法为UIA1。

⑥指出UE在GSM网络所支持的加密算法为A5。

19.Security Mode Command消息

①这是终端解析出来的安全模式信令消息的内容，此处表示使用加密算法UEA0和UEA1两种，UEA0表示不进行加密。

②此处表示使用的完整性保护算法UIA1。

③信令消息中的start表示加密是重新启动的，不是修改类。

④表示完整性保护是重新启动的。

⑤表示终端支持的GSM加密算法是A5-1。

此条安全模式信令与上一条即第18条相同，其余内容详见上一条。

20.Security Mode Complete消息

这条消息是终端发给RNC的。

①表示完整性保护算法的启动时间，这个时间是以RRC消息的SN来表示的。

②表示加密算法的启动时间，这个时间是以RRC消息的SN来表示的。

21.RRC Security Mode Complete消息

这条消息是RNC收到UE发给它的安全模式消息，内容与上一条消息相同。

22.Ranap Security Mode Complete消息

这条消息是RNC发给核心网的安全模式消息，指明终端接收的加密算法和完整性保护算法分别为UEA1和UIA1。

23.Setup消息

这是上行的一条直传消息。

①表示建立的传输模式是电路域业务。

②表示建立的业务类型是会话型业务。

③表示被叫号码为019。

④被叫终端支持的系统包括GSM和UMTS，以及它们分别可以支持的编码类型，对于GSM而言，支持的编码包括HR AMR、FR AMR、GSM EFR、GSM HR、GSM FR；对于UMST而言，支持的编码包括UMTS AMR 2和UMTS AMR。

24.Call Proceeding消息

①这是核心网下发给主叫的一条消息，消息内容为call-proceeding，表示被叫正在接续中。