移动通信新空口接入信号侦察与协议应用对比

吴聪，石荣，邓科，陈俊豪

（电子信息控制重点实验室，四川 成都 610036）

0 引言

随着5G移动通信网络的大规模建设，使用5G终端的用户数也在快速增加。截至2021年8月份，国内5G终端连接数近4.2亿[1]。预计在不久的将来，2G、3G网络会全面退网，清退的频率将留给4G、5G使用。5G网络也将取代4G网络的主要地位，但这两种通信制式的网络仍会在较长时间内共存发展。5G新空口支持非独立组网（Non-Stand Alone，NSA）与独立组网（Stand Alone，SA）模式，在SA模式下，终端直接从5G频段发起接入过程，而NSA模式下，终端首先从4G频段发起接入过程，后续再接入5G频段，因此对4G网络接入过程的监测仍具有重要意义。5G相比于4G，在物理信号的设计、参数配置的灵活性等方面均有较大的改善与提升。对于非合作方，在终端与基站工作状态均不可控的情况下，通过对不同运营商4G/5G空口接入过程中信号的主动侦察与信令分析，不仅能快速掌握不同运营商的用频情况与空口信号参数配置，同时也为后续管控策略的优选和终端监测设备的研制奠定基础。

移动通信接入协议基本过程涉及物理层、MAC层和RRC层等多个协议层[2]，是保证终端发起并维持通信连接必不可少的过程。物理层定义了接入时频资源及信号时序关系；MAC层负责接入过程的总体流程；RRC层用于接入参数的配置。对于4G/5G接入协议功能，在RRC连接建立、RRC连接重建、终端上行数据传输失步、调度请求失败等情况下会触发核心功能；在小区间切换、RRC恢复等情况下会触发扩展功能；同时在5G NR中新增了一些特有的扩展功能，以此来处理其他系统信息的请求、波束失败恢复等特殊事件。

文献[3]采用传统的被动无源侦察方法对4G空口信号实施监测，仅被动接收基站与终端发射的信号，通过非合作解调解码完成码流的恢复。由于被动接收的信号大部分是加密信号，可能出现信息获取不完整的情况；文献[4,5]对4G/5G接入信号的检测与流程做了相关的介绍，同时获取了相关的参数信息。由于其通信方式为合作通信，存在一定的先验信息，在非合作条件下，在信号的码流恢复时，多种参数需要非合作方根据信号的侦收来推测与计算，故所提方法可能并不适用。同时对于传统的无线通信信号监测设备和频谱监测设备，通常采用移动终端的标准信号处理流程，通过自行控制终端的网络状态来实现入网接入过程的监测与信息提取，缺点在于难于实现空口信号级分析并复现空口接入信号在时频资源的发射时机与位置，同样该方法不适用于没有合作终端的情况，具有一定的局限性。

针对上述问题，本文在对4G/5G移动终端入网接入过程简要阐述之后，在非合作条件下，针对不同电磁环境频谱利用存在差异的问题，提出了利用新空口中特征信号时频特点的新方法快速识别并获取Sub-6G频段内4G/5G信号的通信制式、复用模式、中心频点、带宽等信息。在此基础上设计了一套主动有源电子对抗侦察系统，有效解决了非合作条件下终端工作模式不可控的难点，并以4G/5G移动通信系统为实验对象，实现了对空口接入信号的主动获取、码流分析与信令解析，并对不同运营商4G/5G空口接入协议的实际应用情况作出了对比分析，不仅归纳总结了其共性特点，同时也揭示了各自不同的差异。

1 4G/5G移动终端入网接入过程概述

4G或5G移动终端从开机状态到可正常通信状态，均需要执行3个过程，即初始小区搜索过程、随机接入过程和注册入网过程。

1.1 初始小区搜索过程

初始小区搜索过程是移动终端与小区建立下行同步、确定小区的PCI（Physical Cell Identity）和获取系统信息的重要过程。主要包含三个步骤：（1）确定同步信号在频率上的位置，搜索主同步信号（Primary Synchronization Signal，PSS）[6]和辅同步信号（Secondary Synchronization Signal，SSS）[7]，获得小区的帧同步和小区PCI，在4G中共定义了504个PCI，而5G将PCI数量提升至1 008个[8]；（2）利用PCI等信息获取参考信号的时频位置，再通过解调解码物理广播信道（Physical Broadcast Channel，PBCH），获得小区无线帧号和主信息块（Master Information Block，MIB）；（3）终端在完成小区同步并获取MIB信息之后，还需要获取系统信息块（System Information Block，SIB），以此来完成小区驻留并获取与随机接入相关的信息。

1.2 随机接入过程

终端在完成初始小区搜索后，通过随机接入过程与小区建立上行连接并实现上行同步[9]。4G/5G均支持两种类型的随机接入，即基于竞争的随机接入和基于非竞争的随机接入[10,11]。当处于开机状态或者网络切换状态时，属于RRC初始建立场景，终端采用基于竞争的随机接入。基于竞争的随机接入主要分为四个步骤：（1）终端向基站发送前导码，告诉基站有一个接入请求；（2）基站检测前导码，并向终端发送随机接入响应（Random Access Response，RAR），RAR中携带为终端分配的临时小区无线网络临时标识TC-RNTI（Temporary Cell Radio Network Temporary Identifier）；（3）终端在收到RAR后通过调整上行时间同步，向基站发送终端标识信息Msg3，Msg3是与竞争解决地址相关联的信息；（4）基站成功收到Msg3后，会向终端发送竞争解决信息Msg4。终端侧通过Msg4进行接入状态判断，若获取到Msg4中携带的竞争解决地址与Msg3中的终端标识一致，则判定竞争成功，否则竞争失败，在下一次合适时机再次发送前导码，重启新的接入流程。具体步骤如图1所示。

图1 基于竞争的随机接入过程（4G/5G）

1.3 注册入网过程

在完成随机接入过程后，终端入网时会发起注册请求，其中携带有用户身份等信息；随后终端将根据基站的相关请求反馈终端身份、能力、鉴权结果等信息，完成注册入网过程。不同运营商可根据需求合理配置信息的请求顺序与类型。以一种典型的信令交互流程配置为例，该过程中的信令交互流程如图2所示。

图2 典型的4G/5G终端注册入网信令交互流程

初始小区搜索过程和随机接入过程的信号均为非加密状态，注册入网过程在基站和终端完成Security Mode Command 和Security Mode Complete 信令之前也为非加密状态。通过对接入过程中上述非加密信号的检测、解调与解码，以此来分析终端与基站之间的信息交互过程，从而能够获知不同运营商在空口接入中协议应用的共性与差异。

2 采用的侦察方法和信息提取流程

2.1 移动通信信号的时频特征与提取方法

移动通信信号频段具有数量多、分布不均匀、多制式网络并存的特点。而获取不同运营商的用频信息是后续入网接入信号分析的前提。

目前国内移动通信信号的频谱分配主要位于Sub-6G频段。基于这一信息，使用与该频段对应的通信侦察接收机进行频谱步进扫描，采用时频搜索匹配的方法快速识别并获取信号的通信制式、复用模式、中心频点、带宽等信息。具体方法是侦察方利用通信侦察接收机在扫描频段截获一段时长为50 ms的移动通信信号，经过下变频和模数转换之后成为离散数字信号，按照式（1）分别对这些侦收的离散数字信号做短时傅里叶变换（Short-time Fourier Transform，STFT），滑动窗口时长设置为71.428 μs或35.714 μs，以此来匹配4G/5G信号的帧结构。

式（1）中：l表示时间，k表示频率，N表示窗函数长度，Xm（l）表示在频段m侦收的时域离散通信信号，W(n)表示窗函数，STFTm(l,k)表示在频段m侦收信号时频图的输出结果。

在时频图中4G信号和5G信号的PSS、SSS及PBCH的时频位置具有明显差异，如图3所示。在4G中，对于TDD模式，PSS在子帧#1和子帧#6的第三个OFDM符号上发送，而SSS在子帧#0和子帧#5的最后一个OFDM符号上发送；对于FDD模式，PSS在子帧#0和子帧#5的第一个slot的最后一个OFDM符号上发送，SSS位于倒数第二个OFDM符号上；PBCH则固定在子帧#0的第2个时隙的前4个OFDM符号上传输。而在5G中，将PSS、SSS及PBCH组合为一个同步块（Synchronization Signal Block，SSB），5G频段的复用模式则可根据时频图的上下行配比进行判断。

图3 4G/5G PSS、SSS和PBCH的时频特征

通过估算4G/5G 信号的频带范围，在对应的时频网格上快速搜索同步信号/SSB 的中心频点，同时执行小区搜索过程提取PCI、MIB、SIB 等信息，即可获取不同频段的带宽、运营商等信息。

2.2 入网接入信号的主动获取

传统移动通信信号侦察是典型的被动无源侦察，仅仅被动接收外界电磁辐射源发射的信号，而目前被侦察的对象逐渐向智能化、多功能一体化方向发展，例如移动通信终端在无业务条件下通常处于待机状态[12]，不会主动对外发射信号，传统的被动无源侦察方法就会出现侦不全、察不清、辨不明的情况。

4G/5G终端是具备电磁环境感知与反应能力的目标对象，正常情况下终端通过基站信号功率测量，接入到信号质量最佳的频段，当某一制式网络信号不佳时，会切换至其他网络，然后在网络信号恢复时，终端会再次接入原制式网络并执行入网接入过程。针对这一特点，采用主动有源电子对抗侦察[13]手段来分析不同运营商终端入网接入流程异同。具体方法是侦察方根据不同运营商4G/5G频段分布特点，采用窄带干扰信号Si对目标终端实施激励，其中i∈{1,2,...,N}，N为运营商4G或5G网络所占频段的个数，对应干扰的移动通信频段记为fi。

窄带干扰信号Si功率指标设计的原则：通过侦察天线接收基站下行信号，在基带上进行OFDM解调并对时频资源上的调制符号数值进行归一化，再提取出PSS和SSS对应的符号，利用式（2）计算得到在频段fi基站下行信号的功率相对值Pi。

式（2）中，rxPSS表示时频资源归一化后的PSS符号；rxSSS表示时频资源归一化后的SSS符号；()*表示共轭运算；M表示PSS或SSS的符号个数，对于4G，M=62；对于5G，M=127。

由于侦察站和目标终端处于同一电磁环境，可近似认为侦察站测量不同频段下行信号的功率相对值与终端所处电磁环境测量结果一致。然后以测量的功率相对值Pi为引导，合成窄带干扰信号Si，不同频段的干扰信号相对功率大小关系与测量Pi的大小关系保持一致，然后通过定向天线对目标终端短暂性地发射干扰信号，干扰结束后立即开启通信侦察接收机，终端在受到干扰信号的刺激后，会改变在原频段通信连接状态，然后在无干扰信号的情况下恢复原频段连接，重新执行入网接入过程，此时通信侦察接收机即可截获到终端入网接入的信号。整个侦察系统组成框图如图4所示。

图4 侦察系统组成框图

2.3 入网接入信息的提取流程

根据前面基站下行信号的功率侦测结果，不同运营商的终端在受到干扰信号短暂刺激后，会在原制式网络信号质量最佳的频段发起入网接入过程。因此可在质量最佳的频段通过时频分析[14]快速定位入网接入过程的交互信号。

前导信号是终端发起接入的标志性信号，因此对前导信号的检测及参数提取具有关键性作用。4G/5G前导码均采用ZC序列生成，序列的根索引值是由接入的目标基站配置。对于侦察方，虽然前导信号的逻辑根索引值是未知的，但可采用逻辑根索引集合快速搜索的方法获取前导信息。具体流程为：对接收的前导信号经过下变频、滤波和去循环前缀等预处理，通过式(3)检索前导信号的逻辑根索引值。

式(3)中：Nu表示4G/5G逻辑根索引总数，为138或838；NZC表示4G/5G前导序列长度，为139或839；r(n)表示接收的前导序列，Xj(n)表示逻辑根索引为j生成的参考前导序列；FFT()表示执行快速傅里叶变换；Root(i)表示逻辑根索引搜索结果。

在接入信号码流信息的提取中，主要涉及到三个信道的解调解码，分别是物理下行控制信道（Physical Downlink Control Channel，PDCCH）、物理下行共享信道（Physical Downlink Shared Channel，PDSCH）和物理上行共享信道（Physical Uplink Shared Channel，PUSCH）[15]。PDCCH用来调度在PDSCH和PUSCH的信号传输，调度不同用户数据传输的PDCCH使用不同的C-RNTI进行扰码，当终端随机接入过程成功时C-RNTI与TC-RNTI一致[16,17]。在非合作条件下，由于时频图中的信号是由目标终端信号与其他信号共同组成，仅从时频特征上定位目标终端的信号难度较大。但是承载目标终端调度信息的多个PDCCH均采用同一数值的C-RNTI进行扰码，因此可利用盲搜索的方式来判断PDCCH承载信息是否用于调度目标终端。针对用于调度目标终端的PDCCH时频资源，按图5的处理流程即可提取DCI码流。

图5 4G/5G DCI码流提取流程

根据DCI提供的调度信息，可精确计算对应的PDSCH或PUSCH时频资源[18]，然后按照图6的信号处理流程，可提取终端入网接入过程的全部码流。侦察方可利用CRC校验的结果来判断提取码流的正确性。

图6 4G/5G 上下行用户码流提取流程

将提取的全部用户码流数据，按照3GPP标准协议进行解析[19,20]，可获得入网接入过程加密前的所有信令信息。

3 对不同运营商终端入网接入过程的实侦分析

3.1 时频资源占用的实侦对比

本文以国内三大主流运营商的4G/5G基站和4G/5G终端为实验对象，采用通信侦察接收机对成都西北面附近的无线移动通信系统开展侦察试验。实验场附近的对象场景基站分布情况如图7所示。

图7 实验场附近的基站分布情况

针对Sub-6G频段内的移动通信信号，包括：基站下行信号和终端上行信号，在进入侦察接收天线后，经过多通道变频器下变频至275-475 MHz的中频，再经过多个500 MHz的AD采样转换为数字中频信号。

按照前述方法，以侦察频段范围在2 500-2 700 MHz为例，对侦收时长为50 ms的信号执行STFT，滑动窗口时长设置为35.714 μs，在频域上对应的子载波间隔为30 kHz，其时频特征如图8所示。

图8 信号时频分析图（2 500—2 700 MHz）

从图8可以看出，在频段2 500—2 700 MHz中，共有4个信号，其频率范围分别是2 515—2 615 MHz、2 614.6—2 634.6 MHz、2 635—2 655 MHz和2 655—2 675 MHz。在信号1中可观察到8个SSB时频结构，其周期为20 ms，因此可判别信号1为5G信号；信号2—4中PSS、SSS及PBCH的时频位置可准确定位，并且在时域上是对齐的，再根据图3的信号特征，可快速识别信号2—4均为4G信号，复用模式为TDD。同时可以看出，4G和5G信号的子帧编号不是一致的，其中5G信号的子帧#0起始位置对应4G信号的子帧#3起始位置，但子帧边界均是对齐的。

按照相同方法，可识别出Sub-6G频段内的所有4G/5G移动通信信号，然后针对这些信号，在一定频段范围内的信号时频块上快速搜索同步信号/SSB的中心频点，采用已有的方法[21]提取基站的PCI、MIB和SIB等信息，主要包含带宽、运营商等信息，同时计算不同频段信号的功率相对值。由于电磁环境与不同地区运营商的基站分布、信号频谱利用有密切关系，因此侦察站位置的不同会直接影响用频监测结果。在试验地点获取的基站侧下行4G/5G信号用频监测结果如表1所示。

表1 基站侧下行4G/5G信号用频监测结果（成都西北西区）

从表1可以看出，对于4G网络，中国移动在频段2 614.6—2 634.6 MHz信号功率最强，中国联通在频段1 840—1 860 MHz信号功率最强，中国电信在频段1 860—1 880 MHz信号功率最强，因此在这样的电磁环境中，相应运营商的4G终端在初始接入时会优先选择这些频段接入，根据获取的信息，不同运营商4G网络接入前主要参数配置如表2所示。

表2 不同运营商接入前主要参数配置对比（4G）

对于5G网络，目前中国移动已商用的频段只有2 515—2 615 MHz，而中国联通和中国电信采用的共享共建的方式，共用频段3 400—3 500 MHz，此时只需对比中国移动和中国电信接入前主要参数配置，如表3所示。同时5G频段中SSB实侦图如图9所示。

表3 不同运营商接入前主要参数配置对比（5G）

图9 5G SSB突发集实侦的时频图

综上，从相同网络制式看，不同运营商在接入前部分参数配置有所差异，例如在5G中，中国移动选择配置了8个SSB波束，而中国电信只选择配置4个SSB波束，其原因在于5G通信标准协议对通信流程有严格的定义，但是在参数配置上提供了多种参数选择，不同的运营商可根据部署环境、用户终端数量等因素合理选择参数；但是在实侦的时频图中，中国电信SSB突发集只能观察到3个SSB，其原因在于5G采用的是多波束多方向时分扫描，有一个波束方向与侦察天线接收方向偏差较大，故只能观察到三个波束的SSB；同时从表2和表3可以看出，4G中接入相关的参数位于SIB2中，而5G将接入相关的参数设计在SIB1中，原因在于5G终端只需要获取SIB1的信息即可发起随机接入过程，降低接入时间。

3.2 4G接入的协议应用实侦对比

根据表1监测结果，在所有4G频段的中心频点合成多个窄带干扰信号，多个窄带干扰信号的功率差异与测量功率差异保持一致。通过干扰天线对三个不同运营商的4G终端短暂性发射干扰信号，终端在受到干扰刺激后会改变原来网络连接状态，干扰停止后，终端再次从信号功率最强的频段发起接入过程，以中国移动为例，在频段2 614.6—2 634.6 MHz可截获到终端与基站的交互信号，时频图如图10所示。

图10 接入信号时频分析图（中国移动2 614.6—2 634.6 MHz）

针对不同运营商前导信号Msg1的时频位置，按照前述方法完成前导码逻辑根索引值搜索，结果如图11所示。

图11 不同运营商前导信号逻辑根索引搜索结果（4G）

从图11可以看出，中国移动、中国联通和中国电信前导信号的逻辑根索引值分别为468、729和168，与表2中基站配置的根索引值是一致的，说明终端接入的是实验场附近的目标基站，同时也说明不同运营商在逻辑根索引的规划是不同的。结合前导时频位置，对Msg2进行解调解码，提取得到用户标识C-RNTI，然后对随机接入过程后的PDCCH信道按照图5的流程进行盲搜索，找到所有由C-RNTI扰码的PDCCH，获取对应的DCI码流，再根据DCI信息准确定位所有目标终端发射的信号时频位置，在图10中用黑色方框标注。利用Msg2承载的信息可完成Msg3和Msg4的解调解码，四步随机接入过程信号分析结果如表4所示。

表4 不同运营商随机接入过程参数与信息对比（4G）

对于四步随机接入过程后终端上报的信号，根据侦察的信息进行信道估计及补偿，恢复的星座图如图12所示。

图12 不同运营商注册入网过程终端发射信号的星座图（4G）

然后对这些调制符号进行解层映射、解调、解扰、解速率匹配、Turbo译码、解码块分割、CRC校验，得到全部终端报送信号的全部原始码流，在基站与终端配置加密前，从中解析可得到的信息如表5所示。

表5 不同运营商注册入网过程获取的信息（4G）

从表4、表5和图12可以看出，不同的运营商在各类信息参数配置中有共性也有不同，例如在Msg2-Msg4调制方式，三家运营商终端均采用QPSK进行数据调制，而配置注册入网过程终端调制方式时，中国移动选择16QAM对数据进行调制，而中国联通和中国电信选择QPSK对数据进行调制，其原因可能在于中国移动终端为了实现更高速率的传输；同时从表5可以看到，中国移动和中国联通终端上报了UE能力和鉴权结果，而中国电信终端上报了UE能力、IMEI和IMSI，其原因在于基站侧对终端询问的信令有区别。

3.3 5G接入的协议应用实侦对比

同样根据表1监测结果，在所有5G频段的SSB中心频点合成多个窄带干扰信号。通过干扰天线对中国移动和中国电信的5G终端短暂性发射干扰信号，由于目前中国移动和中国电信商用的5G频段均只有1个，因此中国移动和中国电信5G终端在受到短暂性干扰刺激并脱网之后将分别从频段2 515—2 615 MHz和3 400—3 500 MHz重新发起接入过程，利用通信侦察接收机在相应频段截获到终端与基站的交互信号即可对接入过程进行分析，以中国电信为例，接入信号时频图如图13所示。

图13 接入信号时频分析图（中国电信3 400—3 500 MHz）

与4G处理流程类似，首先通过逻辑根索引搜索完成前导码检测，如图14所示。

图14 不同运营商前导信号逻辑根索引搜索结果（5G）

结合Msg1的时频位置，通过解调解码Msg2提取用户标识C-RNTI，利用Msg2中携带的上行授权信息完成Msg3和Msg4的解调解码，5G随机接入过程信号分析结果如表6所示。

表6 不同运营商随机接入过程参数与信息对比（5G）

按照图5的流程搜索调度目标终端的PDCCH并获取DCI码流，根据DCI提供的调度信息定位所有目标终端发射的信号时频位置，经过信道估计与补偿，恢复的星座图如图15所示。

图15 不同运营商注册入网过程终端发射信号的星座图（5G）

按照图6的流程对终端发射的信号进行解层映射、解调、解扰、解速率匹配、LDPC译码、解码块分割、CRC校验，最终获取用户注册入网码流数据。在信息加密前，可提取到的信息如表7所示。

表7 不同运营商注册入网过程获取的信息（5G）

综上可以看出，5G相比于4G，各个运营商整体的接入流程没有大的差异，对于初始接入均是采用四步随机接入过程然后进行注册入网，但是从子载波间隔的配置上看，4G采用的是15 kHz，5G采用的是30 kHz，原因在于5G在信号子载波间隔的设计上提供了更多的可能，运营商可根据场景合理选择。同样从表5可以看出，不同运营商在5G接入过程中参数的配置不尽相同，例如在终端调制方式与上报信息等方面，中国移动终端在注册入网过程，调制方式为64QAM，上报信息为UE能力、IMEI和鉴权结果，而中国电信调制方式为QPSK，上报信息为UE能力、鉴权结果，其可能原因与4G接入过程的分析类似。

4 结束语

本文首先简要回顾了4G/5G移动终端入网接入过程，利用新空口中特征信号时频特点快速识别并获取Sub-6G频段内所有的4G/5G频谱信息；在非合作接收条件下，针对终端与基站间空口信号传输不可控的难点，设计了一套主动有源电子对抗侦察系统，可快速改变终端的工作状态，实现不同运营商4G/5G空口接入信号的主动截获，在此基础上对接入信道上的双向信号进行非合作解调解码与信令解析，完成了接入信号各项参数的获取与协议应用的对比分析。本文方法相对于传统无源电子对抗侦察方法来讲，实现过程快速便捷，获取目标对象的信息更加丰富全面，适用于非合作情况下快速获取多个运营商空口接入参数。最后以实际三大运营商4G/5G终端和基站开展实验，成功完成了空口中入网接入信号的各项特征参数和码流信息的提取，同时总结并分析了不同运营商空口接入协议应用的相同点与不同点，验证了所用方法的有效性与实用性，为后续移动通信终端的监测与管控设备的研制奠定了技术基础。