(电子信息控制重点实验室，成都 610036)

0 引 言

近年来，运营商不断加快5G网络的建设[1]。移动通信技术的升级换代给人民群众带来了生活上的便利，同时也给国家安全部门对非法5G移动通信终端的监测与管控带来了新的挑战，严重时会对公共领域正常通信秩序的维护和国家信息安全的保障产生威胁。例如，在军工企业或国防部队召开涉密会议时，不法分子利用5G移动通信终端进行窃密和泄密活动，对企业的利益和国家的安全造成重大危害[2]。另外，公安部门在打击犯罪分子和暴恐分子时，在不影响普通群众正常通信的条件下需要对犯罪分子和暴恐分子所使用的移动通信终端实施精准管控[3]。因此，各地的公安部门、国防部门和各级无线电管理机构均提出了对不同制式无线通信空口的监测和移动终端的管控要求。随机接入过程是移动通信终端与基站建立上行同步与入网验证的关键过程，所以对随机接入过程的交互信号实施监测并提取信息，不仅能够实现随机接入过程中信号特征信息的分析，同时也是后续研制5G终端管控设备的基础与前提。

传统的无线通信空口监测设备通常采用5G终端和5G基站标准的信号处理流程，在终端处于开机入网状态时，通过同步栅格搜索获取物理小区ID及主信息块(Main Information Block，MIB)的信息，利用MIB的信息完成下行控制信息(Downlink Control Information，DCI)和系统信息块1(System Information Block1，SIB1)的接收，由SIB1通知随机接入参数，确定前导码的选取以及前导码传输的时频资源，在此基础上完成后续随机接入过程。这种信号处理方式不仅计算速度慢，而且过程繁琐[4-5]。本文在非合作条件下利用时频快速搜索匹配检测方法准确获取随机接入过程中交互信号的时频位置，采用通信侦察中包络检波和时频分析等手段快速完成前导码格式及子载波间隔的判断，再通过逻辑根索引快速搜索的方法提取前导码所使用的逻辑根索引及循环移位值；然后利用前导码时频位置等信息完成Msg2的解调解码，实现对RAR信息的提取；最后通过RAR中的上行授权信息完成Msg3、Msg4的解调解码，提取出携带的信令信息。

1 5G随机接入过程的步骤与规范

随机接入过程是移动通信终端入网验证的关键步骤，由此终端可以与基站建立无线链路连接并实现上行同步[6]。5G-NR支持两种类型的随机接入过程[7]，分别是基于竞争的随机接入(Contention Based Random Access，CBRA)和基于非竞争的随机接入(Contention Free Random Access，CFRA)。根据业务场景的不同，选择相应的随机接入模式，主要类型和触发场景如表1所示。

表1 随机接入过程的主要类型和触发场景

表1中所述的CFRA的触发场景是典型情况，在某些情况下也可以转换至CBRA。

基于竞争的随机接入过程从物理层的角度分为四个步骤[8]，如图1(a)所示：首先是用户设备(User Equipment，UE)在PRACH上发送随机接入前导(Msg1)；然后UE在PDCCHPDSCH上接收随机接入响应(Msg2)；随后UE通过RAR中上行授权(UL Grant)的调度信息在PUSCH上发送Msg3；最后UE在PDCCHPDSCH上接收竞争解决消息(Msg4)。

图1 随机接入过程

基于非竞争的随机接入过程如图1(b)所示，包括随机接入前导的分配(Msg0)、随机接入前导(Msg1)的发送和随机接入响应(Msg2)。

由于基于竞争随机接入的步骤包括基于非竞争随机接入的主要步骤，对于目标终端和目标基站相关参数的获取更为重要，因此本文重点研究基于竞争随机接入过程的监测与信息提取。

对处于合作通信条件下的5G终端来讲，基于竞争随机接入过程的机制如下：

第一步，UE根据小区广播的SIB1通知的随机接入参数，确定前导码的选取和PRACH时频资源并发送随机接入前导，告知基站有一个随机接入请求；

第二步，UE在RAR时间窗内监听基站在PDCCH传输的信号，由DCI指示接收承载在PDSCH的随机接入响应(Msg2)，获取定时提前量命令字(Timing Advance Command，TAC)、上行授权、临时小区无线网络临时标识(Temporary Cell Radio Network Temporary Identifier，TC-RNTI)等信息；

第三步，UE根据随机接入响应分配的上行资源发送Msg3，携带与UE竞争解决地址相关联的信息；

第四步，UE在固定的时间窗口监听基站在PDCCH传输的信号，由DCI指示接收承载在PDSCH并携带有UE竞争解决地址的Msg4，UE将接收的UE竞争解决地址与Msg3发送的信息进行对比，如果两者相同，则判定竞争成功，并将TC-RNTI升级为C-RNTI；如果两者不相同，则判定竞争失败，在合适的时机重新发起随机接入过程。

2 采用的侦察方法和信息提取流程

在5G-NR系统设计中，为了保证终端能快速完成随机接入过程并接入网络，终端与基站信号的交互必须在相对短暂的时间内完成，因此随机接入过程的信号在时频图上具有突发性、非周期性、连续性的特点。针对这些特点，在非合作条件下采用时频快速搜索匹配检测方法高效截获随机接入过程中的交互信号，并准确获取其时频资源的位置。具体流程是通信侦察方以50 ms时长作为观察窗口，循环不断对截获的5G时域信号做短时傅里叶变换(Short Time Fourier Transform，STFT)，通过公式(1)计算：

(1)

式中：x(τ)表示5G时域信号，ω(τ)为短时傅里叶变换的窗函数，y(t,f)表示5G信号STFT的结果。再根据随机接入过程中交互信号的时频特点，精确定位其时频资源位置。

2.1 Msg1和Msg2的侦察与信息提取

5G-NR随机接入前导码采用Zadoff-Chu(ZC)序列，每个小区有64个可用的前导，通过ZC序列进行不同的循环移位来获得不同的前导码，由公式(2)和公式(3)生成:

xu,v(n)=xu((n+Cv)modLRA)，

(2)

(3)

式中：Cv表示循环移位；u表示物理根索引，与逻辑根索引iL存在一对一的映射关系；LRA表示序列的长度(当前导码为长序列时，u取值为0～837，LRA=839；当前导码为短序列时，u取值为0～137，LRA=139)。

NR支持多种PRACH格式[9]，不同的PRACH格式所占据的时频资源不同，以前导码为长序列为例，如表2所示，其中ΔfRA表示随机接入前导的子载波间隔，ΔfPUSCH表示物理上行共享信道的子载波间隔。

表2 PRACH前导格式占用的时频资源(LRA=839)

根据时频图的导引，对截获的前导信号(Msg1)采用通信侦察中包络检波的方法提取包络信息，通过记录包络的起始时刻和终止时刻计算前导信号的时间宽度估计值TPRACH。在此基础上，利用时频分析的方法对包含前导的时域信号做STFT，同时设置频域的子载波间隔为30 kHz，记录前导在时频图中起始的子载波序号和终止的子载波序号计算前导信号在频域上占用的子载波数Ncarrier，再根据公式(4)计算出前导在频域上占用的资源块(Resource Block，RB)数NRB。综合前导信号的时间宽度估计值TPRACH和频域上占用的RB数NRB并结合表2可快速完成PRACH前导格式和子载波间隔ΔfRA的判断。

(4)

式中：「⎤表示向上取整。

由于前导序列具有良好的自相关性和互相关性，由相同根索引生成的前导序列经过相关运算会产生相关峰，不同根索引生成的前导序列经过相关运算不产生相关峰。利用这一性质，采用逻辑根索引快速搜索的方法，将上述接收的前导信号经过下变频与滤波等预处理，根据循环前缀定时结果与前导使用的PRACH前导格式截去对应长度的循环前缀，然后执行快速傅里叶变换(Fast Fourier Transform,FFT)，通过子载波映射提取频域前导序列，与备选可能逻辑根索引生成的本地前导序列进行相关运算，通过峰值检测获取接收前导信号使用的逻辑根索引iL。在此基础上，利用逻辑根索引iL生成一个无循环移位的本地频域前导序列，将此序列与接收的频域前导序列经过快速傅里叶逆变换(Inverse FFT,IFFT)并进行相关操作，通过峰值检测获取接收前导信号的循环移位值。信号处理流程如图2所示。

图2 前导信号参数的提取流程

Msg2是基站下发至终端的下行信号，根据随机接入过程的信号具有连续性与非周期性的特点。Msg2在时频图的位置邻近Msg1并位于其后，且信号占用的时频资源不同于基站周期下发的广播信号。针对这些特征，通过时频分析可准确定位随机接入响应(Msg2)的时频资源，其中承载Msg2调度信息的PDCCH和承载Msg2的PDSCH均使用随机接入无线网络临时标识(Random Access Radio Network Temporary Identifier，RA-RNTI)进行加扰，其值根据公式(5)计算：

RA-RNTI=1+sid+14×tid+14×80×fid+

14×80×8×ul_carrierid。

(5)

式中：sid表示PRACH时机的第一个OFDM符号索引(0≤sid<14)；tid表示PRACH帧内的PRACH时机的第一个时隙索引(0≤tid<80)；fid表示在频域上PRACH时机的索引(0≤fid<8)；ul_carrierid表示随机接入前导所在的上行载波，正常上行载波取值为0，补充上行载波取值为1。

sid、tid和ul_carrierid的取值均可以通过前导信号在时频图的位置确定，由于前导信号在频域的起始偏移未知，因此fid无法判断具体值，只能采用候选值快速搜索的方法，通过对承载Msg2调度信息的PDCCH进行QPSK解调、解扰、解速率匹配、子块解交织、极化码译码、CRC校验，依据CRC校验是否为0来验证RA-RNTI候选值的正确性，同时获取DCI。以一个典型的时频资源配置为例，当PDCCH占据216个调制符号，DCI格式长度39 b，信号处理流程如图3(a)所示。当CRC校验通过，可确定RA-RNTI的正确值，再对DCI的码流进行信令解析，获得PDSCH的调度信息和调制编码方案。根据调度信息指示和时频分析提取PDSCH对应的时频资源，通过解层映射、解调、解扰、解速率匹配、LDPC译码、解码块分割、CRC校验获取Msg2的码流。以一个典型的时频资源配置为例，当PDSCH占据360个调制符号、调制方式为QPSK、码率为0.117 2时，信号处理流程如图3(b)所示。

(a)典型的调度Msg2的DCI码流提取流程

Msg2在MAC层由MAC PDU(Protocol Data Unit)承载，一个MAC PDU包括一个或多个MAC subPDU，可同时对多个UE进行随机接入响应，具体信息包括回退指示(Backoff Indicator，BI)、随机接入前导ID(RAPID)、RAR。针对只有一个UE发起随机接入的情况，Msg2的信息格式如图3(c)所示。其中，E用于指示后续是否还有其他MAC subPDU，T用于指示本字节中是否有BI，R是保留比特。RAR具有固定尺寸，包含12 b的TAC、27 b的UL Grant和16 b的TC-RNTI，其中UL Grant的具体信息字段及比特数如表3所示。

表3 UL Grant的具体信息字段及比特数

采用以上通信侦察的方法及信号处理流程，可以完成对Msg1相关参数及Msg2信息的提取。

2.2 Msg3和Msg4的侦察与信息提取

Msg3是UE根据Msg2中UL Grant指示的时频资源及调制编码方案发送的上行信息，由PUSCH承载，在时频图的位置邻近Msg2并位于其后，因此可以通过时频分析并结合UL Grant完成对Msg3的码流提取。以一个典型的时频资源配置为例，当PUSCH占据396个调制符号、调制方式为QPSK、码率为0.188 5时，信号处理流程如图4所示。

图4 典型的Msg3码流提取流程

对于初始接入场景，Msg3携带RRC层生成的RRC建立请求消息，在公共控制信道(Common Control Channel，CCCH)上传输，其中CCCH SDU(Service Data Unit)的大小为48 b，是与UE竞争解决地址相关联的信息。RRC建立请求消息的具体内容如表4所示。

表4 RRC建立请求消息内容

由于Msg4与Msg2的信号传输方式相同，因此其码流可以通过图3(a)～(b)的流程提取。唯一的区别在于提取Msg2时PDCCH和PDSCH的解扰和CRC校验使用RA-RNTI处理，提取Msg4时PDCCH和PDSCH的解扰和CRC校验使用TC-RNTI处理。Msg4携带有48 b的UE竞争解决地址，若CCCH SDU与UE竞争解决地址一致，说明UE竞争成功，将TC-RNTI升级为C-RNTI，并获取RRC建立消息；否则竞争失败。RRC建立消息的具体内容如表5所示。

表5 RRC建立消息内容

3 针对实际5G终端开展的实验结果

本文以中国电信的5G基站和5G终端为实验对象，5G基站位于实验场附近，如图5(a)所示；5G终端型号为Redmi K30 5G，运行内存为8 GB，处理器为高通骁龙765G，操作系统版本为Android 11，配置参数如图5(b)所示。

图5 5G基站实物图与5G终端参数配置

终端的5G网络模式为SA模式，当终端处于开机入网状态时，此时的接入模式为基于竞争的随机接入，利用通信侦察接收机对3 400～3 500 MHz频段范围内的中国电信5G信号进行实地侦收，其中通信侦察接收机的性能与功能参数如下：接收频段范围为600～6 000 MHz；侦察接收天线为棒状全向天线，增益大于3 dB；下变频通道的增益在0～50 dB范围可调；中频频率为375 MHz，中频带宽为200 MHz/100 MHz/20 MHz可选；采样频率为500 MHz；具有OFDM信号的参数提取、解调、码流分析等功能。在对侦收的信号下变频至中频后，经过500 MHz的AD采样变为数字中频信号。

按照已有方法[10-11]对下行链路信号分析，完成同步定时后快速得到物理小区ID为775和信号子载波间隔为30 kHz。在此基础上，采用时频快速搜索匹配检测方法并结合随机接入过程中交互信号的时频特点，准确获取随机接入过程中交互信号的时频位置，如图6所示。

图6 随机接入过程中交互信号的时频图

从图6可以看出，当子载波间隔为30 kHz，随机接入前导(Msg1)在频域上占用子载波数Ncarrier=36，可以计算得到在频域上占用的RB数NRB=3，通过协议[9]可以确定前导码采用的是长序列，序列长度为839。再根据时频图的导引，截取出包含随机接入前导的时域信号，并做包络检波，结果如图7所示。

图7 随机接入过程中部分交互信号的包络检波图

从图7可以看出，随机接入前导(Msg1)的时间宽度估计值TPRACH≈904 μs，结合表2可以推断出前导码采用的是格式0，子载波间隔ΔfRA=1.25 kHz，从而快速完成PRACH前导格式和子载波间隔的判断。

在此基础上，将接收的前导信号经过滤波、下变频等预处理，按照图2的流程进行处理，结果如图8所示。

(a)逻辑根索引搜索结果图

从图8(a)可以看到，将接收的前导序列与备选可能逻辑根索引生成的本地前导序列进行相关运算，在图中横坐标逻辑根索引iL=420处产生峰值，说明接收的前导序列是由逻辑根索引为420生成，根据映射关系[9]，可以得到对应的物理根索引u=209。从图8(b)可以看到，将接收的前导序列与逻辑根索引为420生成的本地序列(无循环移位)进行相关运算，在图中横坐标循环移位Cv=192处产生峰值，说明接收前导序列的循环移位Cv为192。

在解调解码Msg2之前，从已完成定时同步的时频图图6可以看到，随机接入前导在时频图的起始横坐标为113，表示前导信号时域的起始位置位于某无线帧内第113个OFDM符号，且子载波间隔为30 kHz，通过计算可以得到前导信号位于某无线帧的第5个子帧，子帧索引为4，在该子帧内的起始OFDM符号索引为0。由于接收的前导信号PRACH格式为0，PRACH OFDM符号按子载波间隔为15 kHz计算，且一个子帧内的PRACH时隙个数为1，因此通过折算，PRACH时机的第一个OFDM符号索引sid=0，PRACH帧内的PRACH时机的第一个时隙索引tid=4，同时前导信号位于正常上行载波，故ul_carrierid=0。但由于前导信号在频域的起始偏移未知，故RA-RNTI一共有8个候选值，然后按照图3(a)的流程进行处理，结果发现当fid=0即RA-RNTI为57时，CRC校验通过，可以说明在频域上PRACH时机的索引为0；同时提取出39 b的DCI码流并解析信息[12]，DCI的解析内容如表6所示。

表6 调度Msg2的DCI解析内容

根据DCI的调度信息并结合时频图，由协议[13]可以计算得到承载Msg2的时频资源在时域上占用13个连续的OFDM符号，在频域上占用3个连续的RB；再根据MCS信息可以确定承载Msg2的PDSCH采用的调制方式为QPSK，码率为0.117 2。PDCCH和PDSCH的时频资源如图9所示。

图9 PDCCH和PDSCH的时频资源图(Msg2)

针对PDSCH的时频资源块，按照图3(b)的流程进行处理，经过解层映射、解调、解扰、解速率匹配、LDPC译码、解码块分割等过程之后，通过CRC校验提取得到80 b的码流，去除8 b的尾部可按照图3(c)的信息格式对Msg2进行信息提取，得到RAPID为6，TAC为3，TC-RNTI为4202，其中RAR中UL Grant的信息内容如表7所示。

表7 UL Grant的信息解析内容

在此基础上，根据RAR中UL Grant提供的PUSCH调度信息并结合时频图，计算得到承载Msg3的时频资源在时域上占用14个连续的OFDM符号，在频域上占用3个连续的RB；再根据MCS信息可以确定承载Msg3的PUSCH采用的调制方式为QPSK，码率为0.188 5。PUSCH的时频资源如图10所示。

图10 PUSCH的时频资源图(Msg3)

针对PUSCH的时频资源块，按照图4的流程进行处理，经过解层映射、解调、解扰、解速率匹配、LDPC译码、解码块分割等过程之后，通过CRC校验提取得到144 b的码流，其中包含48 b的CCCH SDU，转换为16进制为1F85C4C3DE46，并对其进行解析[14]，提取得到RRC建立请求消息内容，如表8所示。

表8 RRC建立请求消息解析内容

从表8可以看到，RRC建立请求消息中建立原因是mo-Signalling，表示初始入网，与实际5G终端RRC建立原因是一致的，同时也验证了信息提取的正确性。

由于Msg4与Msg2的信号传输方式相同，对于DCI码流的提取可以按照图3(a)的流程进行处理，并在解扰和CRC校验时用RAR分配的TC-RNTI进行处理，经过CRC校验，提取出39 b的DCI码流并解析信息，DCI的解析内容如表9所示。

表9 调度Msg4的DCI解析内容

根据DCI提供的调度信息并结合时频图，计算得到承载Msg4的时频资源在时域上占用9个连续的OFDM符号，在频域上占用28个连续的RB；再根据MCS信息可以确定承载Msg4的PDSCH采用的调制方式为QPSK，码率为0.117 2。PDCCH和PDSCH的时频资源如图11所示。

图11 PDCCH和PDSCH的时频资源图(Msg4)

针对PDSCH的时频资源块，按照图3(b)的流程进行处理，并在解扰和CRC校验时用RAR分配的TC-RNTI进行处理，通过CRC校验提取得到480 b的码流，其中包含48 b的UE竞争解决地址，转换为16进制为1F85C4C3DE46，与Msg3中的CCCH SDU一致，说明实验的5G终端竞争成功，并获取RRC建立消息。部分信息内容如表10所示。

由此可以看出，Msg4主要用于竞争解决，当终端竞争成功时，终端与基站建立SRB1(Signalling Radio Bearer)，对SRB逻辑信道、传输信道、物理信道等进行相关配置，并将TC-RNTI升级为C-RNTI，完成RRC建立。

4 结 论

本文在简要回顾5G随机接入过程的步骤与规范的基础上，通过研究随机接入过程中交互信号在时频图上的特点，在非合作条件下采用时频快速搜索匹配检测方法准确获取接入过程中交互信号的时频位置；并在不依赖系统信息块SIB1的情况下快速对前导信号的配置参数进行提取，然后利用前导信号的时频位置，完成Msg2的解调解码，实现对RAR信息的提取。在此基础上通过RAR中的上行授权信息完成Msg3、Msg4的解调解码，提取出携带的信令信息。本文方法相对于传统方法来讲，计算量更小，处理流程更加简洁。以实际中国电信的5G基站和5G终端为研究对象开展实验，在SA模式下成功完成了随机接入过程的监测与交互码流信息的提取，验证了所用方法的有效性与实用性，为后续5G-NR终端管控设备的研制奠定了技术基础。