移動通信新空口接入信號偵察與協(xié)議應(yīng)用對比

吳聰，石榮，鄧科，陳俊豪

（電子信息控制重點實驗室，四川 成都 610036）

0 引言

隨著5G移動通信網(wǎng)絡(luò)的大規(guī)模建設(shè)，使用5G終端的用戶數(shù)也在快速增加。截至2021年8月份，國內(nèi)5G終端連接數(shù)近4.2億[1]。預(yù)計在不久的將來，2G、3G網(wǎng)絡(luò)會全面退網(wǎng)，清退的頻率將留給4G、5G使用。5G網(wǎng)絡(luò)也將取代4G網(wǎng)絡(luò)的主要地位，但這兩種通信制式的網(wǎng)絡(luò)仍會在較長時間內(nèi)共存發(fā)展。5G新空口支持非獨立組網(wǎng)（Non-Stand Alone，NSA）與獨立組網(wǎng)（Stand Alone，SA）模式，在SA模式下，終端直接從5G頻段發(fā)起接入過程，而NSA模式下，終端首先從4G頻段發(fā)起接入過程，后續(xù)再接入5G頻段，因此對4G網(wǎng)絡(luò)接入過程的監(jiān)測仍具有重要意義。5G相比于4G，在物理信號的設(shè)計、參數(shù)配置的靈活性等方面均有較大的改善與提升。對于非合作方，在終端與基站工作狀態(tài)均不可控的情況下，通過對不同運營商4G/5G空口接入過程中信號的主動偵察與信令分析，不僅能快速掌握不同運營商的用頻情況與空口信號參數(shù)配置，同時也為后續(xù)管控策略的優(yōu)選和終端監(jiān)測設(shè)備的研制奠定基礎(chǔ)。

移動通信接入?yún)f(xié)議基本過程涉及物理層、MAC層和RRC層等多個協(xié)議層[2]，是保證終端發(fā)起并維持通信連接必不可少的過程。物理層定義了接入時頻資源及信號時序關(guān)系；MAC層負(fù)責(zé)接入過程的總體流程；RRC層用于接入?yún)?shù)的配置。對于4G/5G接入?yún)f(xié)議功能，在RRC連接建立、RRC連接重建、終端上行數(shù)據(jù)傳輸失步、調(diào)度請求失敗等情況下會觸發(fā)核心功能；在小區(qū)間切換、RRC恢復(fù)等情況下會觸發(fā)擴(kuò)展功能；同時在5G NR中新增了一些特有的擴(kuò)展功能，以此來處理其他系統(tǒng)信息的請求、波束失敗恢復(fù)等特殊事件。

文獻(xiàn)[3]采用傳統(tǒng)的被動無源偵察方法對4G空口信號實施監(jiān)測，僅被動接收基站與終端發(fā)射的信號，通過非合作解調(diào)解碼完成碼流的恢復(fù)。由于被動接收的信號大部分是加密信號，可能出現(xiàn)信息獲取不完整的情況；文獻(xiàn)[4,5]對4G/5G接入信號的檢測與流程做了相關(guān)的介紹，同時獲取了相關(guān)的參數(shù)信息。由于其通信方式為合作通信，存在一定的先驗信息，在非合作條件下，在信號的碼流恢復(fù)時，多種參數(shù)需要非合作方根據(jù)信號的偵收來推測與計算，故所提方法可能并不適用。同時對于傳統(tǒng)的無線通信信號監(jiān)測設(shè)備和頻譜監(jiān)測設(shè)備，通常采用移動終端的標(biāo)準(zhǔn)信號處理流程，通過自行控制終端的網(wǎng)絡(luò)狀態(tài)來實現(xiàn)入網(wǎng)接入過程的監(jiān)測與信息提取，缺點在于難于實現(xiàn)空口信號級分析并復(fù)現(xiàn)空口接入信號在時頻資源的發(fā)射時機(jī)與位置，同樣該方法不適用于沒有合作終端的情況，具有一定的局限性。

針對上述問題，本文在對4G/5G移動終端入網(wǎng)接入過程簡要闡述之后，在非合作條件下，針對不同電磁環(huán)境頻譜利用存在差異的問題，提出了利用新空口中特征信號時頻特點的新方法快速識別并獲取Sub-6G頻段內(nèi)4G/5G信號的通信制式、復(fù)用模式、中心頻點、帶寬等信息。在此基礎(chǔ)上設(shè)計了一套主動有源電子對抗偵察系統(tǒng)，有效解決了非合作條件下終端工作模式不可控的難點，并以4G/5G移動通信系統(tǒng)為實驗對象，實現(xiàn)了對空口接入信號的主動獲取、碼流分析與信令解析，并對不同運營商4G/5G空口接入?yún)f(xié)議的實際應(yīng)用情況作出了對比分析，不僅歸納總結(jié)了其共性特點，同時也揭示了各自不同的差異。

1 4G/5G移動終端入網(wǎng)接入過程概述

4G或5G移動終端從開機(jī)狀態(tài)到可正常通信狀態(tài)，均需要執(zhí)行3個過程，即初始小區(qū)搜索過程、隨機(jī)接入過程和注冊入網(wǎng)過程。

1.1 初始小區(qū)搜索過程

初始小區(qū)搜索過程是移動終端與小區(qū)建立下行同步、確定小區(qū)的PCI（Physical Cell Identity）和獲取系統(tǒng)信息的重要過程。主要包含三個步驟：（1）確定同步信號在頻率上的位置，搜索主同步信號（Primary Synchronization Signal，PSS）[6]和輔同步信號（Secondary Synchronization Signal，SSS）[7]，獲得小區(qū)的幀同步和小區(qū)PCI，在4G中共定義了504個PCI，而5G將PCI數(shù)量提升至1 008個[8]；（2）利用PCI等信息獲取參考信號的時頻位置，再通過解調(diào)解碼物理廣播信道（Physical Broadcast Channel，PBCH），獲得小區(qū)無線幀號和主信息塊（Master Information Block，MIB）；（3）終端在完成小區(qū)同步并獲取MIB信息之后，還需要獲取系統(tǒng)信息塊（System Information Block，SIB），以此來完成小區(qū)駐留并獲取與隨機(jī)接入相關(guān)的信息。

1.2 隨機(jī)接入過程

終端在完成初始小區(qū)搜索后，通過隨機(jī)接入過程與小區(qū)建立上行連接并實現(xiàn)上行同步[9]。4G/5G均支持兩種類型的隨機(jī)接入，即基于競爭的隨機(jī)接入和基于非競爭的隨機(jī)接入[10,11]。當(dāng)處于開機(jī)狀態(tài)或者網(wǎng)絡(luò)切換狀態(tài)時，屬于RRC初始建立場景，終端采用基于競爭的隨機(jī)接入?；诟偁幍碾S機(jī)接入主要分為四個步驟：（1）終端向基站發(fā)送前導(dǎo)碼，告訴基站有一個接入請求；（2）基站檢測前導(dǎo)碼，并向終端發(fā)送隨機(jī)接入響應(yīng)（Random Access Response，RAR），RAR中攜帶為終端分配的臨時小區(qū)無線網(wǎng)絡(luò)臨時標(biāo)識TC-RNTI（Temporary Cell Radio Network Temporary Identifier）；（3）終端在收到RAR后通過調(diào)整上行時間同步，向基站發(fā)送終端標(biāo)識信息Msg3，Msg3是與競爭解決地址相關(guān)聯(lián)的信息；（4）基站成功收到Msg3后，會向終端發(fā)送競爭解決信息Msg4。終端側(cè)通過Msg4進(jìn)行接入狀態(tài)判斷，若獲取到Msg4中攜帶的競爭解決地址與Msg3中的終端標(biāo)識一致，則判定競爭成功，否則競爭失敗，在下一次合適時機(jī)再次發(fā)送前導(dǎo)碼，重啟新的接入流程。具體步驟如圖1所示。

圖1 基于競爭的隨機(jī)接入過程（4G/5G）

1.3 注冊入網(wǎng)過程

在完成隨機(jī)接入過程后，終端入網(wǎng)時會發(fā)起注冊請求，其中攜帶有用戶身份等信息；隨后終端將根據(jù)基站的相關(guān)請求反饋終端身份、能力、鑒權(quán)結(jié)果等信息，完成注冊入網(wǎng)過程。不同運營商可根據(jù)需求合理配置信息的請求順序與類型。以一種典型的信令交互流程配置為例，該過程中的信令交互流程如圖2所示。

圖2 典型的4G/5G終端注冊入網(wǎng)信令交互流程

初始小區(qū)搜索過程和隨機(jī)接入過程的信號均為非加密狀態(tài)，注冊入網(wǎng)過程在基站和終端完成Security Mode Command 和Security Mode Complete 信令之前也為非加密狀態(tài)。通過對接入過程中上述非加密信號的檢測、解調(diào)與解碼，以此來分析終端與基站之間的信息交互過程，從而能夠獲知不同運營商在空口接入中協(xié)議應(yīng)用的共性與差異。

2 采用的偵察方法和信息提取流程

2.1 移動通信信號的時頻特征與提取方法

移動通信信號頻段具有數(shù)量多、分布不均勻、多制式網(wǎng)絡(luò)并存的特點。而獲取不同運營商的用頻信息是后續(xù)入網(wǎng)接入信號分析的前提。

目前國內(nèi)移動通信信號的頻譜分配主要位于Sub-6G頻段?；谶@一信息，使用與該頻段對應(yīng)的通信偵察接收機(jī)進(jìn)行頻譜步進(jìn)掃描，采用時頻搜索匹配的方法快速識別并獲取信號的通信制式、復(fù)用模式、中心頻點、帶寬等信息。具體方法是偵察方利用通信偵察接收機(jī)在掃描頻段截獲一段時長為50 ms的移動通信信號，經(jīng)過下變頻和模數(shù)轉(zhuǎn)換之后成為離散數(shù)字信號，按照式（1）分別對這些偵收的離散數(shù)字信號做短時傅里葉變換（Short-time Fourier Transform，STFT），滑動窗口時長設(shè)置為71.428 μs或35.714 μs，以此來匹配4G/5G信號的幀結(jié)構(gòu)。

式（1）中：l表示時間，k表示頻率，N表示窗函數(shù)長度，Xm（l）表示在頻段m偵收的時域離散通信信號，W(n)表示窗函數(shù)，STFTm(l,k)表示在頻段m偵收信號時頻圖的輸出結(jié)果。

在時頻圖中4G信號和5G信號的PSS、SSS及PBCH的時頻位置具有明顯差異，如圖3所示。在4G中，對于TDD模式，PSS在子幀#1和子幀#6的第三個OFDM符號上發(fā)送，而SSS在子幀#0和子幀#5的最后一個OFDM符號上發(fā)送；對于FDD模式，PSS在子幀#0和子幀#5的第一個slot的最后一個OFDM符號上發(fā)送，SSS位于倒數(shù)第二個OFDM符號上；PBCH則固定在子幀#0的第2個時隙的前4個OFDM符號上傳輸。而在5G中，將PSS、SSS及PBCH組合為一個同步塊（Synchronization Signal Block，SSB），5G頻段的復(fù)用模式則可根據(jù)時頻圖的上下行配比進(jìn)行判斷。

圖3 4G/5G PSS、SSS和PBCH的時頻特征

通過估算4G/5G 信號的頻帶范圍，在對應(yīng)的時頻網(wǎng)格上快速搜索同步信號/SSB 的中心頻點，同時執(zhí)行小區(qū)搜索過程提取PCI、MIB、SIB 等信息，即可獲取不同頻段的帶寬、運營商等信息。

2.2 入網(wǎng)接入信號的主動獲取

傳統(tǒng)移動通信信號偵察是典型的被動無源偵察，僅僅被動接收外界電磁輻射源發(fā)射的信號，而目前被偵察的對象逐漸向智能化、多功能一體化方向發(fā)展，例如移動通信終端在無業(yè)務(wù)條件下通常處于待機(jī)狀態(tài)[12]，不會主動對外發(fā)射信號，傳統(tǒng)的被動無源偵察方法就會出現(xiàn)偵不全、察不清、辨不明的情況。

4G/5G終端是具備電磁環(huán)境感知與反應(yīng)能力的目標(biāo)對象，正常情況下終端通過基站信號功率測量，接入到信號質(zhì)量最佳的頻段，當(dāng)某一制式網(wǎng)絡(luò)信號不佳時，會切換至其他網(wǎng)絡(luò)，然后在網(wǎng)絡(luò)信號恢復(fù)時，終端會再次接入原制式網(wǎng)絡(luò)并執(zhí)行入網(wǎng)接入過程。針對這一特點，采用主動有源電子對抗偵察[13]手段來分析不同運營商終端入網(wǎng)接入流程異同。具體方法是偵察方根據(jù)不同運營商4G/5G頻段分布特點，采用窄帶干擾信號Si對目標(biāo)終端實施激勵，其中i∈{1,2,...,N}，N為運營商4G或5G網(wǎng)絡(luò)所占頻段的個數(shù)，對應(yīng)干擾的移動通信頻段記為fi。

窄帶干擾信號Si功率指標(biāo)設(shè)計的原則：通過偵察天線接收基站下行信號，在基帶上進(jìn)行OFDM解調(diào)并對時頻資源上的調(diào)制符號數(shù)值進(jìn)行歸一化，再提取出PSS和SSS對應(yīng)的符號，利用式（2）計算得到在頻段fi基站下行信號的功率相對值Pi。

式（2）中，rxPSS表示時頻資源歸一化后的PSS符號；rxSSS表示時頻資源歸一化后的SSS符號；()*表示共軛運算；M表示PSS或SSS的符號個數(shù)，對于4G，M=62；對于5G，M=127。

由于偵察站和目標(biāo)終端處于同一電磁環(huán)境，可近似認(rèn)為偵察站測量不同頻段下行信號的功率相對值與終端所處電磁環(huán)境測量結(jié)果一致。然后以測量的功率相對值Pi為引導(dǎo)，合成窄帶干擾信號Si，不同頻段的干擾信號相對功率大小關(guān)系與測量Pi的大小關(guān)系保持一致，然后通過定向天線對目標(biāo)終端短暫性地發(fā)射干擾信號，干擾結(jié)束后立即開啟通信偵察接收機(jī)，終端在受到干擾信號的刺激后，會改變在原頻段通信連接狀態(tài)，然后在無干擾信號的情況下恢復(fù)原頻段連接，重新執(zhí)行入網(wǎng)接入過程，此時通信偵察接收機(jī)即可截獲到終端入網(wǎng)接入的信號。整個偵察系統(tǒng)組成框圖如圖4所示。

圖4 偵察系統(tǒng)組成框圖

2.3 入網(wǎng)接入信息的提取流程

根據(jù)前面基站下行信號的功率偵測結(jié)果，不同運營商的終端在受到干擾信號短暫刺激后，會在原制式網(wǎng)絡(luò)信號質(zhì)量最佳的頻段發(fā)起入網(wǎng)接入過程。因此可在質(zhì)量最佳的頻段通過時頻分析[14]快速定位入網(wǎng)接入過程的交互信號。

前導(dǎo)信號是終端發(fā)起接入的標(biāo)志性信號，因此對前導(dǎo)信號的檢測及參數(shù)提取具有關(guān)鍵性作用。4G/5G前導(dǎo)碼均采用ZC序列生成，序列的根索引值是由接入的目標(biāo)基站配置。對于偵察方，雖然前導(dǎo)信號的邏輯根索引值是未知的，但可采用邏輯根索引集合快速搜索的方法獲取前導(dǎo)信息。具體流程為：對接收的前導(dǎo)信號經(jīng)過下變頻、濾波和去循環(huán)前綴等預(yù)處理，通過式(3)檢索前導(dǎo)信號的邏輯根索引值。

式(3)中：Nu表示4G/5G邏輯根索引總數(shù)，為138或838；NZC表示4G/5G前導(dǎo)序列長度，為139或839；r(n)表示接收的前導(dǎo)序列，Xj(n)表示邏輯根索引為j生成的參考前導(dǎo)序列；FFT()表示執(zhí)行快速傅里葉變換；Root(i)表示邏輯根索引搜索結(jié)果。

在接入信號碼流信息的提取中，主要涉及到三個信道的解調(diào)解碼，分別是物理下行控制信道（Physical Downlink Control Channel，PDCCH）、物理下行共享信道（Physical Downlink Shared Channel，PDSCH）和物理上行共享信道（Physical Uplink Shared Channel，PUSCH）[15]。PDCCH用來調(diào)度在PDSCH和PUSCH的信號傳輸，調(diào)度不同用戶數(shù)據(jù)傳輸?shù)腜DCCH使用不同的C-RNTI進(jìn)行擾碼，當(dāng)終端隨機(jī)接入過程成功時C-RNTI與TC-RNTI一致[16,17]。在非合作條件下，由于時頻圖中的信號是由目標(biāo)終端信號與其他信號共同組成，僅從時頻特征上定位目標(biāo)終端的信號難度較大。但是承載目標(biāo)終端調(diào)度信息的多個PDCCH均采用同一數(shù)值的C-RNTI進(jìn)行擾碼，因此可利用盲搜索的方式來判斷PDCCH承載信息是否用于調(diào)度目標(biāo)終端。針對用于調(diào)度目標(biāo)終端的PDCCH時頻資源，按圖5的處理流程即可提取DCI碼流。

圖5 4G/5G DCI碼流提取流程

根據(jù)DCI提供的調(diào)度信息，可精確計算對應(yīng)的PDSCH或PUSCH時頻資源[18]，然后按照圖6的信號處理流程，可提取終端入網(wǎng)接入過程的全部碼流。偵察方可利用CRC校驗的結(jié)果來判斷提取碼流的正確性。

圖6 4G/5G 上下行用戶碼流提取流程

將提取的全部用戶碼流數(shù)據(jù)，按照3GPP標(biāo)準(zhǔn)協(xié)議進(jìn)行解析[19,20]，可獲得入網(wǎng)接入過程加密前的所有信令信息。

3 對不同運營商終端入網(wǎng)接入過程的實偵分析

3.1 時頻資源占用的實偵對比

本文以國內(nèi)三大主流運營商的4G/5G基站和4G/5G終端為實驗對象，采用通信偵察接收機(jī)對成都西北面附近的無線移動通信系統(tǒng)開展偵察試驗。實驗場附近的對象場景基站分布情況如圖7所示。

圖7 實驗場附近的基站分布情況

針對Sub-6G頻段內(nèi)的移動通信信號，包括：基站下行信號和終端上行信號，在進(jìn)入偵察接收天線后，經(jīng)過多通道變頻器下變頻至275-475 MHz的中頻，再經(jīng)過多個500 MHz的AD采樣轉(zhuǎn)換為數(shù)字中頻信號。

按照前述方法，以偵察頻段范圍在2 500-2 700 MHz為例，對偵收時長為50 ms的信號執(zhí)行STFT，滑動窗口時長設(shè)置為35.714 μs，在頻域上對應(yīng)的子載波間隔為30 kHz，其時頻特征如圖8所示。

圖8 信號時頻分析圖（2 500—2 700 MHz）

從圖8可以看出，在頻段2 500—2 700 MHz中，共有4個信號，其頻率范圍分別是2 515—2 615 MHz、2 614.6—2 634.6 MHz、2 635—2 655 MHz和2 655—2 675 MHz。在信號1中可觀察到8個SSB時頻結(jié)構(gòu)，其周期為20 ms，因此可判別信號1為5G信號；信號2—4中PSS、SSS及PBCH的時頻位置可準(zhǔn)確定位，并且在時域上是對齊的，再根據(jù)圖3的信號特征，可快速識別信號2—4均為4G信號，復(fù)用模式為TDD。同時可以看出，4G和5G信號的子幀編號不是一致的，其中5G信號的子幀#0起始位置對應(yīng)4G信號的子幀#3起始位置，但子幀邊界均是對齊的。

按照相同方法，可識別出Sub-6G頻段內(nèi)的所有4G/5G移動通信信號，然后針對這些信號，在一定頻段范圍內(nèi)的信號時頻塊上快速搜索同步信號/SSB的中心頻點，采用已有的方法[21]提取基站的PCI、MIB和SIB等信息，主要包含帶寬、運營商等信息，同時計算不同頻段信號的功率相對值。由于電磁環(huán)境與不同地區(qū)運營商的基站分布、信號頻譜利用有密切關(guān)系，因此偵察站位置的不同會直接影響用頻監(jiān)測結(jié)果。在試驗地點獲取的基站側(cè)下行4G/5G信號用頻監(jiān)測結(jié)果如表1所示。

表1 基站側(cè)下行4G/5G信號用頻監(jiān)測結(jié)果（成都西北西區(qū)）

從表1可以看出，對于4G網(wǎng)絡(luò)，中國移動在頻段2 614.6—2 634.6 MHz信號功率最強，中國聯(lián)通在頻段1 840—1 860 MHz信號功率最強，中國電信在頻段1 860—1 880 MHz信號功率最強，因此在這樣的電磁環(huán)境中，相應(yīng)運營商的4G終端在初始接入時會優(yōu)先選擇這些頻段接入，根據(jù)獲取的信息，不同運營商4G網(wǎng)絡(luò)接入前主要參數(shù)配置如表2所示。

表2 不同運營商接入前主要參數(shù)配置對比（4G）

對于5G網(wǎng)絡(luò)，目前中國移動已商用的頻段只有2 515—2 615 MHz，而中國聯(lián)通和中國電信采用的共享共建的方式，共用頻段3 400—3 500 MHz，此時只需對比中國移動和中國電信接入前主要參數(shù)配置，如表3所示。同時5G頻段中SSB實偵圖如圖9所示。

表3 不同運營商接入前主要參數(shù)配置對比（5G）

圖9 5G SSB突發(fā)集實偵的時頻圖

綜上，從相同網(wǎng)絡(luò)制式看，不同運營商在接入前部分參數(shù)配置有所差異，例如在5G中，中國移動選擇配置了8個SSB波束，而中國電信只選擇配置4個SSB波束，其原因在于5G通信標(biāo)準(zhǔn)協(xié)議對通信流程有嚴(yán)格的定義，但是在參數(shù)配置上提供了多種參數(shù)選擇，不同的運營商可根據(jù)部署環(huán)境、用戶終端數(shù)量等因素合理選擇參數(shù)；但是在實偵的時頻圖中，中國電信SSB突發(fā)集只能觀察到3個SSB，其原因在于5G采用的是多波束多方向時分掃描，有一個波束方向與偵察天線接收方向偏差較大，故只能觀察到三個波束的SSB；同時從表2和表3可以看出，4G中接入相關(guān)的參數(shù)位于SIB2中，而5G將接入相關(guān)的參數(shù)設(shè)計在SIB1中，原因在于5G終端只需要獲取SIB1的信息即可發(fā)起隨機(jī)接入過程，降低接入時間。

3.2 4G接入的協(xié)議應(yīng)用實偵對比

根據(jù)表1監(jiān)測結(jié)果，在所有4G頻段的中心頻點合成多個窄帶干擾信號，多個窄帶干擾信號的功率差異與測量功率差異保持一致。通過干擾天線對三個不同運營商的4G終端短暫性發(fā)射干擾信號，終端在受到干擾刺激后會改變原來網(wǎng)絡(luò)連接狀態(tài)，干擾停止后，終端再次從信號功率最強的頻段發(fā)起接入過程，以中國移動為例，在頻段2 614.6—2 634.6 MHz可截獲到終端與基站的交互信號，時頻圖如圖10所示。

圖10 接入信號時頻分析圖（中國移動2 614.6—2 634.6 MHz）

針對不同運營商前導(dǎo)信號Msg1的時頻位置，按照前述方法完成前導(dǎo)碼邏輯根索引值搜索，結(jié)果如圖11所示。

圖11 不同運營商前導(dǎo)信號邏輯根索引搜索結(jié)果（4G）

從圖11可以看出，中國移動、中國聯(lián)通和中國電信前導(dǎo)信號的邏輯根索引值分別為468、729和168，與表2中基站配置的根索引值是一致的，說明終端接入的是實驗場附近的目標(biāo)基站，同時也說明不同運營商在邏輯根索引的規(guī)劃是不同的。結(jié)合前導(dǎo)時頻位置，對Msg2進(jìn)行解調(diào)解碼，提取得到用戶標(biāo)識C-RNTI，然后對隨機(jī)接入過程后的PDCCH信道按照圖5的流程進(jìn)行盲搜索，找到所有由C-RNTI擾碼的PDCCH，獲取對應(yīng)的DCI碼流，再根據(jù)DCI信息準(zhǔn)確定位所有目標(biāo)終端發(fā)射的信號時頻位置，在圖10中用黑色方框標(biāo)注。利用Msg2承載的信息可完成Msg3和Msg4的解調(diào)解碼，四步隨機(jī)接入過程信號分析結(jié)果如表4所示。

表4 不同運營商隨機(jī)接入過程參數(shù)與信息對比（4G）

對于四步隨機(jī)接入過程后終端上報的信號，根據(jù)偵察的信息進(jìn)行信道估計及補償，恢復(fù)的星座圖如圖12所示。

圖12 不同運營商注冊入網(wǎng)過程終端發(fā)射信號的星座圖（4G）

然后對這些調(diào)制符號進(jìn)行解層映射、解調(diào)、解擾、解速率匹配、Turbo譯碼、解碼塊分割、CRC校驗，得到全部終端報送信號的全部原始碼流，在基站與終端配置加密前，從中解析可得到的信息如表5所示。

表5 不同運營商注冊入網(wǎng)過程獲取的信息（4G）

從表4、表5和圖12可以看出，不同的運營商在各類信息參數(shù)配置中有共性也有不同，例如在Msg2-Msg4調(diào)制方式，三家運營商終端均采用QPSK進(jìn)行數(shù)據(jù)調(diào)制，而配置注冊入網(wǎng)過程終端調(diào)制方式時，中國移動選擇16QAM對數(shù)據(jù)進(jìn)行調(diào)制，而中國聯(lián)通和中國電信選擇QPSK對數(shù)據(jù)進(jìn)行調(diào)制，其原因可能在于中國移動終端為了實現(xiàn)更高速率的傳輸；同時從表5可以看到，中國移動和中國聯(lián)通終端上報了UE能力和鑒權(quán)結(jié)果，而中國電信終端上報了UE能力、IMEI和IMSI，其原因在于基站側(cè)對終端詢問的信令有區(qū)別。

3.3 5G接入的協(xié)議應(yīng)用實偵對比

同樣根據(jù)表1監(jiān)測結(jié)果，在所有5G頻段的SSB中心頻點合成多個窄帶干擾信號。通過干擾天線對中國移動和中國電信的5G終端短暫性發(fā)射干擾信號，由于目前中國移動和中國電信商用的5G頻段均只有1個，因此中國移動和中國電信5G終端在受到短暫性干擾刺激并脫網(wǎng)之后將分別從頻段2 515—2 615 MHz和3 400—3 500 MHz重新發(fā)起接入過程，利用通信偵察接收機(jī)在相應(yīng)頻段截獲到終端與基站的交互信號即可對接入過程進(jìn)行分析，以中國電信為例，接入信號時頻圖如圖13所示。

圖13 接入信號時頻分析圖（中國電信3 400—3 500 MHz）

與4G處理流程類似，首先通過邏輯根索引搜索完成前導(dǎo)碼檢測，如圖14所示。

圖14 不同運營商前導(dǎo)信號邏輯根索引搜索結(jié)果（5G）

結(jié)合Msg1的時頻位置，通過解調(diào)解碼Msg2提取用戶標(biāo)識C-RNTI，利用Msg2中攜帶的上行授權(quán)信息完成Msg3和Msg4的解調(diào)解碼，5G隨機(jī)接入過程信號分析結(jié)果如表6所示。

表6 不同運營商隨機(jī)接入過程參數(shù)與信息對比（5G）

按照圖5的流程搜索調(diào)度目標(biāo)終端的PDCCH并獲取DCI碼流，根據(jù)DCI提供的調(diào)度信息定位所有目標(biāo)終端發(fā)射的信號時頻位置，經(jīng)過信道估計與補償，恢復(fù)的星座圖如圖15所示。

圖15 不同運營商注冊入網(wǎng)過程終端發(fā)射信號的星座圖（5G）

按照圖6的流程對終端發(fā)射的信號進(jìn)行解層映射、解調(diào)、解擾、解速率匹配、LDPC譯碼、解碼塊分割、CRC校驗，最終獲取用戶注冊入網(wǎng)碼流數(shù)據(jù)。在信息加密前，可提取到的信息如表7所示。

表7 不同運營商注冊入網(wǎng)過程獲取的信息（5G）

綜上可以看出，5G相比于4G，各個運營商整體的接入流程沒有大的差異，對于初始接入均是采用四步隨機(jī)接入過程然后進(jìn)行注冊入網(wǎng)，但是從子載波間隔的配置上看，4G采用的是15 kHz，5G采用的是30 kHz，原因在于5G在信號子載波間隔的設(shè)計上提供了更多的可能，運營商可根據(jù)場景合理選擇。同樣從表5可以看出，不同運營商在5G接入過程中參數(shù)的配置不盡相同，例如在終端調(diào)制方式與上報信息等方面，中國移動終端在注冊入網(wǎng)過程，調(diào)制方式為64QAM，上報信息為UE能力、IMEI和鑒權(quán)結(jié)果，而中國電信調(diào)制方式為QPSK，上報信息為UE能力、鑒權(quán)結(jié)果，其可能原因與4G接入過程的分析類似。

4 結(jié)束語

本文首先簡要回顧了4G/5G移動終端入網(wǎng)接入過程，利用新空口中特征信號時頻特點快速識別并獲取Sub-6G頻段內(nèi)所有的4G/5G頻譜信息；在非合作接收條件下，針對終端與基站間空口信號傳輸不可控的難點，設(shè)計了一套主動有源電子對抗偵察系統(tǒng)，可快速改變終端的工作狀態(tài)，實現(xiàn)不同運營商4G/5G空口接入信號的主動截獲，在此基礎(chǔ)上對接入信道上的雙向信號進(jìn)行非合作解調(diào)解碼與信令解析，完成了接入信號各項參數(shù)的獲取與協(xié)議應(yīng)用的對比分析。本文方法相對于傳統(tǒng)無源電子對抗偵察方法來講，實現(xiàn)過程快速便捷，獲取目標(biāo)對象的信息更加豐富全面，適用于非合作情況下快速獲取多個運營商空口接入?yún)?shù)。最后以實際三大運營商4G/5G終端和基站開展實驗，成功完成了空口中入網(wǎng)接入信號的各項特征參數(shù)和碼流信息的提取，同時總結(jié)并分析了不同運營商空口接入?yún)f(xié)議應(yīng)用的相同點與不同點，驗證了所用方法的有效性與實用性，為后續(xù)移動通信終端的監(jiān)測與管控設(shè)備的研制奠定了技術(shù)基礎(chǔ)。