石荣 邓科 王学华 黄书晴

【摘  要】对移动通信信号进行侦收与监控，不仅是维护正常移动通信秩序的重要保障，而且也是确保电磁空间安全的必要手段。针对5G移动通信新空口信号的时频域特点，利用电子对抗中的通信侦察方法，采用时域包络检波、时频特征综合判别、相位直线辅助解调等手段，快速实现了5G-NR下行同步与小区物理层ID的计算，在此基础上对PBCH物理广播信道传输的信号进行了解调解码，获取了主信息块的传输内容。最后利用通信侦察接收机实际采集5G-NR信号进行处理，验证了所用方法的有效性。不仅为后续5G信号监控应用中各种信道传输信号的分析处理奠定了重要基础，而且也为5G移动通信终端的信号处理新方法研究提供了重要参考。

【关键词】5G移动通信;通信侦察;时频特征;符号同步;主同步信号;辅同步信号;广播信号;主信息块

doi：10.3969/j.issn.1006-1010.2020.10.010        中图分类号：TN929.5

文献标志码：A        文章编号：1006-1010（2020）10-0054-07

引用格式：石荣，邓科，王学华，等. 采用通信侦察方法实现5G-NR下行同步与广播信息获取的研究[J]. 移动通信， 2020，44（10）： 54-60.

0   引言

5G移动通信商业化应用的逐步推广，不仅给广大人民群众的生产生活提供了巨大的便利，而且也促进了世界各国国民经济的高速发展[1-2]，但与此同时也给社会公共安全领域中无线通信终端的监管和正常通信秩序的维护带来了新的挑战。一方面社会中的犯罪份子与暴恐份子同样也会使用5G移动通信设备来进行非法信息的传递;另一方面，各种非法5G移动通信伪基站的使用也会扰乱广大人民群众正常的无线通信秩序，所以世界各国的国安、公安和各级无线电管理委员会等职能部门都提出了对于各种无线通信空口实施监管的需求。在非合作条件下采用通信侦察与无线电频谱监测等技术手段来实现各种无线通信信号和频谱使用的监管成为解决这一问题的重要途径之一[3-4]，而研制的监管设备要达到上述目标，第一步就是要实现5G-NR下行信号的同步，并获取各个5G基站广播的信息。

传统的无线通信信号和頻谱使用监管设备通常采用5G手机终端的信号处理方法，按照标准的手机开机和接入基站的流程来进行同步信号的搜索与信息的获取[5]，不仅速度较慢，而且处理过程繁杂。而本文采用通信侦察领域中非合作信号截获与处理方法，在对4G与5G同步信号差异对比的基础上，结合5G信号的时频域特点以及PSS（Primary Synchronization Signal）主同步信号与SSS（Secondary Synchronization Signal）辅同步信号的频谱特征，实现了5G基站下行广播信号的快速捕获和符号级同步。在完成小区物理层ID解算与解调参考信号比对的基础上，推算出所截获到的SSB（Synchronization Signal/PBCH Block）同步广播块信号在子帧中的准确位置，实现了子帧的同步。最后通过主信息块的解码，获得半帧标志与帧序号数值，从而实现了完整的帧同步与帧计数。从而为5G无线通信监管设备中针对其它物理信道进一步的信号分析与信息提取操作奠定了较好的基础。上述实现过程详细阐述如下。

1   5G与4G同步信号的差异及其特点

4G移动通信信号统一采用15 kHz子载波间隔，3种PSS与168种SSS的序列长度均为63，PSS使用Zadoff-Chu序列，SSS使用两个交叉映射的m序列，PSS和SSS的序列都在两端以5个零进行扩展，最后映射到所在频段正中央的73个子载波上，从而提供504个不同的小区物理层标识[6-7]。PSS与SSS中心载波频率位于100 kHz载波栅格上，即载波中心频率可以表示为m×100 kHz，其中m是一个整数[8];PSS与SSS在一帧之中所在的相对时间位置也是固定的，所以采用信号侦察方法对4G移动通信中PSS与SSS进行截获与检测是比较容易实现的。

在5G移动通信中子载波间隔增加至5种，分别是15 kHz、30 kHz、60 kHz、120 kHz和240 kHz，而且PSS与SSS在半帧之中所在的相对时间位置分别有4、8和64种，其同步信号的频率栅格如表1所示[5，9]。这样组合起来，可供PSS和SSS选择的时频位置数量巨大，这虽然为各种应用提供了非常灵活的选择自由度，但是手机终端开机之后要与基站同步，就需要在上述可能的时频位置上进行搜索，实施信号相关运算与检测评判，其计算量是非常巨大的，所以5G移动通信终端开机入网相对于4G来讲要慢一些，但目前智能手机开关机的频率大大降低，所以这一问题并不会严重影响用户的使用体验。

但是对于5G移动通信监管设备来讲，其需要对不同运营商的不同服务小区进行监管，其同步操作比较频繁，所以需要利用5G同步信号的时频特点研究新的快速同步方法。在5G下行链路中PSS和SSS与PBCH是紧密捆绑在一起的，它们共同组成了SSB同步广播块，一个SSB在时间轴上占据4个连续的OFDM符号，在频率轴上占据240个连续的子载波区域。其中PSS位于第1个OFDM符号中第57至183个子载波;SSS位于第3个OFDM符号中第57至183个子载波;第2与4个OFDM符号中的240个子载波全部为PBCH信号（含DMRS（Demodulation Reference Signal）解调参考信号），且第3个OFDM符号中的第1至48和193至240个子载波同样为PBCH信号（含解调参考信号）。一个SSB的基本时频结构如图1所示[10]，图1中没有颜色标识的部分为零子载波。

3种PSS序列定义如下：

由式（2）和（3）可见，1 008个SSS与1 008个之间具有一一映射关系，只要检测出SSS信号即可计算出小区物理层ID[11]。

2   基于包络检波的符号定时粗同步

虽然5G与4G信号一样都以10 ms长度的帧为单位进行排列，1帧又分为10个1 ms的子帧，但5G与4G信号的不同之处在于：5G对时隙进行了重新定义，按照不同的子载波间隔，1个子帧包含不同数量的时隙，且在常规循环前缀条件下每个时隙都只包含14个OFDM符号，如表2所示：

在表2中子载波间隔、子帧中时隙数和OFDM符号数的后续几行均是第1行的2u倍，所以表2中的参数u=0，1，…，4定义了一个指数数量关系。于是1个子帧包含的OFDM符号编号为0，1，…，14×2u-1，每个符号本体时长为2048×2-uTs，除了第0和第7×2u个符号的循环前缀时长为（144×2-u+16）Ts之外，其余符号的循环前缀时长均为144×2-u×Ts，其中Ts=1/15/2 048 ms。

在5G移动通信R15标准中上下行链路所占用的时间资源分配以OFDM符号为单位，一共定义了56种时隙分配情形，虽然数量众多，情况复杂，但上下行链路之间的切换，多用户时频资源的调配等都精确到了符号级别，这就使得5G信号时域波形包络幅度的变化在相邻OFDM符号过渡之间表现得特别明显。利用上述特点，通信侦察方以1 ms时长作为观察窗口，循环不断地对截获到的每1 ms的5G信號的时域波形包络进行突发脉冲包络起始点和结束点出现时刻的统计，并记在1 ms时长范围内出现统计峰值的时刻点依次为TA，k，k=1，2，…，于是相邻两个时刻点之间的差值TD，k为：

TD，min便是当前所截获到的5G信号中一个带有循环前缀的OFDM符号的时间宽度，由此即可立即判断出该信号的子载波间隔值对应的是表2中的哪一种。由表2与前述分析的内容可知，不同子载波间隔存在2u的倍数关系，对应的不同OFDM符号时长之间也近似地存在着2-u的倍数关系。与传统方法相比，通过时域包络检波和时频特征综合判别来估计所截获到的5G信号的子载波间隔不仅简洁快速，而且鲁棒性较强。另一方面，前述所统计出的峰值时刻点TA，k对应了各个OFDM符号的起始时刻点，这样在时域上还实现了OFDM符号的定时粗同步。

3   基于PSS和SSS时频特征的快速精同步与小区物理层ID的获取

在获得OFDM符号定时粗同步的基础上，就能够按照时长2048×2-uTs为尺度，从时域上将每一个OFDM符号截取出来，并记为Si（t），下标i=1，2，…表示时域上连续的OFDM符号数。将Si（t）通过傅里叶变换转换至频域并取其模值，即可观察到频域中的各个子载波的幅度值。

根据图1所示的一个SSB时频结构特点，PSS在频域中有连续的127个等幅的非零子载波，其左侧至少有56个零子载波，右侧至少有57个零子载波。在间隔一个OFDM符号之后的SSS在频域中的同样位置处也有连续的127个等幅的非零子载波，而且其左侧刚好有8个零子载波，右侧刚好有9个零子载波。PSS与SSS所具有的上述时频域幅度特征在整个5G信号体系中是唯一的，所以利用这一特点，依次对Si（t）的频域特征进行搜索比对，即可比较容易地完成PSS和SSS的时频位置搜索，从而获得PSS和SSS的127个子载波的准确频率位置。

由前述式（1）与（2）可知，PSS和SSS的子载波的频域相位只有2种取值，分别是0和。根据文献[3]的分析，在有定时误差的情况下，由傅里叶变换的性质可知，时域位移等效于频域产生线性相移，于是PSS和SSS的127个子载波的相位在解模糊之后在相位平面内表现为2条直线方程，其中相位取值为0时满足式（6），相位取值为时满足式（7），通过相位点所在的直线即可实现解调，从而通过解调的序列符号直接比对获得和的数值，并按照式（3）计算出小区物理层ID：

式（6）和（7）中θ0为处理过程中引入的相位常数，?f表示子载波间隔，?t表示定时误差。与传统解调技术相比，上述处理方法更加简洁，可以在实现解调的同时，通过计算直线的斜率来得到定时误差?t的数值，从而实现符号的定时精同步。

4   广播信息的提取

按照5G的R15标准中PBCH（Physical Broadcast Channel）物理广播信道的信号产生与传输流程，逆向对PBCH中的信号进分析，即可最终提取出MIB（Main Information Block）主信息块所包含的32比特的信息，如表3所示[12]：

如图1所示，PBCH中除去PSS和SSS后还有576个QPSK调制的子载波，其中144个子载波为DM-RS解调参考信号，剩余的432个子载波承载有信息。所以DM-RS是每间隔3个子载波就循环出现一次，其在频域中的偏移位置v=mod4。通过对DM-RS序列的搜索与比对，可以推断出当前SSB在半帧中的位置，从而获得准确的半帧定时。

在确定了DM-RS之后，可对432个QPSK信息子载波进行解调从而得到864 bit数据，在对其进行解扰之后会发现：1～352 bit与513～864 bit是完全相同的，所以864 bit中只有前512 bit具有独立的信息。于是截取前512 bit进行32个分块的块解交织之后，再进行极化码的解码，从而得到解码之后的56 bit数据。对这56 bit进行解交织，便会得到32 bit数据及其附加的24 bit的CRC数据。如果上述整个操作处理流程准确无误，则可以通过CRC校验，这也成为第三方侦察方判断自己解调、解码、解扰、解交织的整个处理流程正确与否的重要标志。

将经过CRC校验的32 bit数据再次进行解交织与解扰，则可以获得如表3所示的32 bit的MIB主信息块数据。通过MIB中的HalfFrameBit半帧标识，则可以判断当前SSB所在时段是位于一帧中的前半帧，还是后半帧，从而获得准确的帧定时。由表3可见，MIB中还包含有10 bit的systemFrameNumber系统帧号，于是还可判断出当前SSB所在的系统帧号，从而获得以10.24 s为周期的系统帧定时。

上述整个针对PBCH中信号的解调、解码、解扰、解交织等操作流程总结如图2所示：

由上可见，采用通信侦察方法可以在快速捕获PSS和SSS的基础上，实现对PBCH中MIB所含信息的有效提取，从而实现5G-NR下行信号的符号同步、帧同步和系统帧同步，为后续针对其它物理信道上的信号的分析与处理奠定了基础。

5   针对实际5G信号的实验验证

利用通用通信侦察接收机对3 400—3 500 MHz频段范围的中国电信5G信号进行实地侦收，将其下变频至550—650 MHz的中频，再经过2 400 MHz的ADC采样之后成为数字中频信号。

按照前面提出的方法，对该数字中频信号进行时域包络检波，并以1 ms时长的观察窗口为单位对包络检波结果进行累积统计分析，记录各个突发脉冲包络起始点和结束点的时刻。图3展示了其中一个1 ms窗口内实侦信号的包络检波结果，从图3中可以明显观察到脉冲突发特性，各个突发脉冲的起始时刻点与结束时刻点清晰可见。

对上述统计结果中的峰值时刻点进行相邻点的差值计算，求得上述差值中的最小值TD，min≈36 μs。实际上从图3中也能够明显观察到最小时宽约为36 μs的脉冲信号，这对应了当前信号中1个OFDM符号的宽度。依据表2所示信息可立即推断出该5G-NR信号的子载波间隔为30 kHz，并且这些脉冲信号包络的起始时刻点就是OFDM符号的起始时刻点，于是便快速实现了时域符号级的定时粗同步。

在OFDM符号定时粗同步基础上，在时域上按1 024×Ts为时宽可准确截取每一个OFDM符号对应的信号样本，将其变换至频域后可获得其频谱特征。按照前面提出的方法，可搜索得到满足PSS和SSS频谱特征的信号，如图4所示。

由图4可见，第1个OFDM符号对应的是PSS，127个子载波清晰可见;第3个OFDM符号对应的是SSS，不仅中间的127个子載波清晰可见，而且左右两侧各48个PBCH中的子载波也十分明显;第2个与第4个OFDM符号中PBCH中的240个子载波位置准确，显然这段实侦信号中连续4个OFDM符号对应信号的频域局部幅度谱特征完全复合图1所示特征，上述连续4个OFDM符号组成了一个完整的SSB同步广播块。这样我们就快速完成了SSB的240个子载波在时频域中的准确定位。

按照前面所提出的方法，在将时域信号变换至频域之后，不仅可以得到其幅度谱，同时也可以得到其相位谱。于是上述4个OFDM符号中与SSB的子载波对应的局部相位谱展示如图5所示。显然由图5（a）和图5（b）可以直接解调出PSS和SSS对应的序列值，从而得到=90和=0，于是由式（3）可计算出小区物理层ID值=270，与此同时通过直线序列估计和定时误差补偿，可实现符号的定时精同步。实际上从图5所示的4个符号的相位谱中可明显看出PSS和SSS的子载波采用的0和π的二相调制，而PBCH中剩余的其它的子载波采用的是QPSK四相调制，根据上述特征也可以由图5实现各个子载波的快速解调。

根据小区物理层ID可知PBCH中DM-RS解调参考信号在频域中的偏移位置v=2。通过对DM-RS序列的搜索与比对，可得参数issb=1，也就推断出当前SSB位于半帧中第2个规定位置上，这意味着PSS信号的起始时刻点往前间隔8个OFDM符号宽度即是半帧的起始时刻点，这样便获得了精确的半帧定时。

在此基础上利用DM-RS按照图2所示的流程对PBCH中的信号进行处理，在解调、解扰、解交织和解极化码的步骤之后，获得了包含主信息块的56 bit数据，用十六进制表示为{125A3CAAB0386A}，经过再解交织与CRC24校验通过，验证了上述整个处理流程的正确性。在去掉24 bit的CRC数据之后，剩余的32 bit数据再次进行解交织与解扰，则可以获得如表3所示的32 bit的MIB主信息块数据。其中半帧标识HalfFrameBit=0，表示该SSB位于前半帧，于是刚才得到的半帧起始时刻点同时也是1帧信号的起始时刻点，这就实现了精确的帧同步定时。因为在解调出的MIB中得到10 bit的系统帧号为：1011010100，对应的十进制数为724，这意味着在10.24 s的系统帧周期循环中前面已经过去了7.24 s。到此为止，按照前面所阐述的通信侦察方法针对实际侦收的5G信号，完成了下行链路的同步，并获取了广播信道中传输的MIB主信息块的所有信息。

6   结束语

本文在对5G与4G同步信号差异概要对比的基础上，总结了5G同步广播块信号的主要时频特征，并利用电子对抗中的通信侦察方法，基于时域信号的包络检波与脉冲起始点特征统计分析实现了符号定时粗同步，通过对PSS和SSS时频特征的搜索比对实现了符号定时的快速精同步，并计算出了小区物理层ID。在对PBCH物理广播信道中的信号解调解码之后获得了主信息块传输的内容，并同时完成了帧周期同步。最后利用通信侦察接收机对中国电信的5G信号开展了实际侦察试验，验证了上述信号处理方法与数据处理流程的合理性与有效性。不仅为后续5G信号监控应用中各种信道传输信号的分析处理奠定了重要基础，而且也为5G移动通信终端的信号处理新方法研究提供了重要参考。

参考文献：

[1]    J Rodriguez. 5G：开启移动网络新时代[M]. 江甲沫，韩秉君，沈霞，等，译. 北京： 电子工业出版社， 2016.

[2]    杨峰义，谢伟良，张建敏. 5G无线网络及关键技术[M]. 北京： 人民邮电出版社， 2017.

[3]    石荣，李潇，杜宇，等. TD-LTE下行链路侦收中小区物理层ID的快速获取[J]. 电子信息对抗技术， 2017，32（6）： 48-53，86.

[4]    石荣，李潇，徐剑韬. TD-LTE下行链路侦收中广播信道传输信息的获取[J]. 电子信息对抗技术， 2018，33（5）： 7-11，25.

[5]    刘晓峰，孙韶辉，杜忠达，等. 5G无线系统设计与国际标准[M]. 北京： 人民邮电出版社， 2019.

[6]    曹志刚. 通信原理与应用：系统案例部分[M]. 北京： 高等教育出版社， 2015： 3-23.

[7]    E Dahlman， S Parkvall， J Skold. 4G移动通信技术权威指南LTE与LTE-Advanced （第2版）[M]. 朱敏，堵庆育，余峰，译. 北京： 人民邮电出版社， 2015.

[8]     S Sesia， I Toufik， M Baker. LTE/ LTE-Advanced – UMTS 长期演进理论与实践（第二版）[M]. 马霓，夏斌，译. 北京： 人民邮电出版社， 2012.

[9]     A Zaidi， F Athley， J Medbo， et al. 5G NR物理层技术详解：原理、模型和组件[M]. 刘阳，李蕾，张增洁，译. 北京： 机械工业出版社， 2019.

[10]   3GPP. 3GPP TS 38.211： 5G NR Physical channels and modulation， V15.7.0[S]. 2019.

[11]   3GPP. 3GPP TS 38.212： 5G NR Multiplexing and channel coding， V15.7.0[S]. 2019.

[12]   3GPP. 3GPP TS 38.331： 5G NR Radio Resource Control （RRC） Protocol specification， V15.7.0[S]. 2019.