熊志廣，張學(xué)飛

(1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；2.中國人民解放軍96651部隊，北京 100085)

WCDMA終端控制干擾技術(shù)研究與實現(xiàn)

熊志廣1，張學(xué)飛2

(1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；2.中國人民解放軍96651部隊，北京 100085)

針對WCDMA探測干擾系統(tǒng)對終端控制干擾技術(shù)的迫切需求，提出了WCDMA終端控制與干擾的總體方案。設(shè)計了WCDMA終端的小區(qū)重選算法和引導(dǎo)控制算法，構(gòu)造了控制干擾信號，研制了WCDMA終端控制干擾原理樣機，實現(xiàn)了對WCDMA終端用戶身份標(biāo)識的獲取及有效管控。利用測試手機和陸地WCDMA基站對算法進行了試驗驗證，證明了該控制干擾算法的可行性和有效性。

WCDMA；控制干擾；位置更新

0 引言

WCDMA技術(shù)以其高容量、高數(shù)據(jù)傳輸速率、高頻譜效率、標(biāo)準(zhǔn)化以及抗干擾等明顯優(yōu)勢，成為了目前世界范圍內(nèi)應(yīng)用最廣泛的陸地移動通信技術(shù)，也在衛(wèi)星移動通信等通信系統(tǒng)中使用[1]。

雖然WCDMA體制通信系統(tǒng)的安全機制較GSM網(wǎng)絡(luò)有了較大提升，但是在特定區(qū)域中WCDMA終端的監(jiān)測控制仍有迫切需求[2]。WCDMA網(wǎng)絡(luò)采用了鑒權(quán)機制、完整性保護機制和加密機制，這使它無法像GSM網(wǎng)絡(luò)一樣，依靠假冒基站向終端發(fā)送假的信令和通過篡改終端與基站之間的信令來欺騙通信雙方，更不可能通過實時截獲并破解空中接口上傳輸?shù)臒o線信號來獲取用戶的業(yè)務(wù)內(nèi)容[3]。

本文提出的WCDMA 終端控制干擾技術(shù)利用WCDMA安全機制的漏洞實現(xiàn)對特定區(qū)域內(nèi)用戶通信終端的有效管控，使終端主動上報身份標(biāo)識信息，并持續(xù)發(fā)送信號，以達到干擾及定位的目的，同時確保管控范圍內(nèi)的終端用戶無法通信。

1 WCDMA終端的控制干擾策略

WCDMA終端控制干擾技術(shù)通過構(gòu)造偽WCDMA網(wǎng)絡(luò)，誘導(dǎo)移動終端發(fā)生位置更新。偽網(wǎng)絡(luò)發(fā)射導(dǎo)頻信道、同步信道、廣播信道及公共控制信道信號。其中，導(dǎo)頻信道的信號強度高于正常基站導(dǎo)頻信道強度，位置區(qū)標(biāo)識LAC(Link Access Control) 的設(shè)置與當(dāng)前WCDMA基站不同。偽網(wǎng)絡(luò)信號覆蓋范圍內(nèi)的移動終端將認定其跨越了位置區(qū)邊緣，從而啟動位置更新程序，請求接入該偽網(wǎng)絡(luò)。

在無線資源連接狀態(tài)下，公共控制信道(Common Control Channel，CCCH) 承載了RRC(Radio Resource Control)的連接請求消息(RRC connection request)[4]。偽網(wǎng)絡(luò)有效接收且解析出RRC 連接請求消息，則可捕獲移動終端的身份信息[5]。

WCDMA終端控制干擾流程主要包括2個階段：網(wǎng)絡(luò)參數(shù)偵察階段和控制干擾階段。

首先，偵察目標(biāo)區(qū)域內(nèi)WCDMA網(wǎng)絡(luò)協(xié)議參數(shù)，包括工作頻率、位置區(qū)編碼、主小區(qū)以及鄰小區(qū)列表等參數(shù)，依據(jù)偵察到的網(wǎng)絡(luò)參數(shù)建立偽WCDMA網(wǎng)絡(luò)，然后進入下一階段。使空閑狀態(tài)下的用戶終端進行小區(qū)重選，脫離原服務(wù)網(wǎng)絡(luò)，駐留到偽網(wǎng)絡(luò)中。

目標(biāo)區(qū)域內(nèi)的移動終端接入偽網(wǎng)絡(luò)后，利用WCDMA協(xié)議安全漏洞，對移動終端用戶的國際移動用戶識別號(IMSI)實施探測，捕獲用戶身份標(biāo)識信息[6]。獲取用戶身份標(biāo)識信息后，偽網(wǎng)絡(luò)繼續(xù)與目標(biāo)移動終端進行信令交互，誘使移動終端持續(xù)發(fā)出接入請求信號，利用該持續(xù)信號對終端進行定位。WCDMA終端控制干擾流程如圖1所示。

圖1 WCDMA終端控制干擾流程

2 控制干擾算法

2.1 小區(qū)重選算法

在空閑模式下，當(dāng)終端成功駐留到某一個小區(qū)后，會根據(jù)該小區(qū)系統(tǒng)消息的指示，進行無線信號測量[7]。測量的目的是監(jiān)測當(dāng)前小區(qū)和鄰區(qū)的信號質(zhì)量，以選擇更好的小區(qū)提供服務(wù)[8]。

小區(qū)重選遵循兩個準(zhǔn)則，即所謂的S準(zhǔn)則與R準(zhǔn)則[9]。當(dāng)服務(wù)小區(qū)的測量值滿足S準(zhǔn)則后，則終端會啟動同頻、異頻和異系統(tǒng)測量。S準(zhǔn)則的具體規(guī)則如下：

終端UE(User Equipment)執(zhí)行小區(qū)重選測量的判斷準(zhǔn)則：

Squal=Qqualmeas-Qqualmin，

Srelev=Qrxlevmeas-Qrxlevmin-Pcompensation，

式中，Qqualmeas為UE測量的服務(wù)小區(qū)的Ec/N0，Qqualmin為接入小區(qū)所需的最小信號質(zhì)量，Qrxlevmeas為UE測量的服務(wù)小區(qū)的RSCP，Qrxlevmin為接入小區(qū)所需的最小電平標(biāo)準(zhǔn)。

Pcompensation=MAX(UE_TXPW_MAX_RACH- P_MAX,0)，式中，UE_TXPW_MAX_RACH為PRACH信道隨機接入過程中的最大發(fā)射功率，P_MAX為UE最大輸出功率。

當(dāng)滿足以下條件時，UE開始執(zhí)行同頻、異頻和異系統(tǒng)測量：

① 若Sx>Sintrasearch，UE不執(zhí)行同頻小區(qū)測量；若Sx≤Sintrasearch，UE執(zhí)行同頻小區(qū)測量；若Sintrasearch未在服務(wù)小區(qū)中發(fā)送，UE執(zhí)行同頻小區(qū)測量。

② 若Sx>Sintersearch，UE不執(zhí)行異頻小區(qū)測量；若Sx≤Sintersearch，UE執(zhí)行異頻小區(qū)測量；若Sintersearch未在服務(wù)小區(qū)中發(fā)送，UE進行頻間測量。

③ 若Sx>SsearchRATm，UE不執(zhí)行異系統(tǒng)的小區(qū)測量；若Sx≤SsearchRATm，UE執(zhí)行異系統(tǒng)的小區(qū)測量；若SsearchRATm未在服務(wù)小區(qū)中發(fā)送，UE執(zhí)行異系統(tǒng)的小區(qū)測量。

其中，Sx為Squal或Srelev。對頻分網(wǎng)絡(luò)時Sx=Squal；對時分網(wǎng)絡(luò)時Sx=Srelev。

觸發(fā)測量后，UE會從SIB11中讀取鄰區(qū)信息，并通過S準(zhǔn)則篩選出6個候選小區(qū)，然后使用R準(zhǔn)則對其進行排序。R準(zhǔn)則具體計算公式如下：

Rs=Qmeas_s +Qhysts，

Rn=Qmeas_n -Qoffsets_N，

式中，Qmeas_s為服務(wù)小區(qū)接收信號測量值，Qmeas_n為鄰小區(qū)接收信號測量值，Qhysts為小區(qū)重選遲滯，Qoffsets_n為2個小區(qū)接收信號質(zhì)量要求的差值。

在進行R準(zhǔn)則時，信號的測量可以為RSCP或者Ec/N0，由系統(tǒng)消息指示。

如果在Treselection時間內(nèi)，Rn一直大于Rs，終端將重新選擇到鄰小區(qū)上。

2.2 引導(dǎo)控制算法

由終端小區(qū)重選算法可知，終端重選到某個特定的小區(qū)，只要終端所在的原服務(wù)小區(qū)的重選參數(shù)設(shè)置的不是極限值，同時偽網(wǎng)絡(luò)小區(qū)發(fā)送信號質(zhì)量較好，就能夠誘使終端進行小區(qū)重選。當(dāng)終端重選到偽小區(qū)后，會發(fā)起接入流程，偽小區(qū)利用接入流程對手機進行身份探測，并誘使目標(biāo)終端持續(xù)發(fā)送信號。

偽網(wǎng)絡(luò)小區(qū)的系統(tǒng)消息設(shè)計是引導(dǎo)控制算法的關(guān)鍵之一。偽網(wǎng)絡(luò)小區(qū)擾碼號要在終端當(dāng)前服務(wù)小區(qū)的鄰區(qū)列表中，使得終端進行小區(qū)重選時可以直接選擇偽網(wǎng)絡(luò)小區(qū)進行駐留。當(dāng)終端重選到偽小區(qū)之后，需要達到2個效果：一是終端不會重選到其他小區(qū)；二是終端持續(xù)發(fā)送信號。

確保終端駐留在偽小區(qū)有2種方法：一是增加偽小區(qū)的信號功率；二是修改偽小區(qū)的系統(tǒng)消息，提高小區(qū)重選的門限，迫使終端不能進行小區(qū)重選。

使終端持續(xù)發(fā)送信號可以從接入層(AS)和非接入層(NAS)2個層次實現(xiàn)。

在接入層，終端選擇偽小區(qū)之后，會發(fā)起RRC建立請求，首先會發(fā)送接入前導(dǎo)信號(PRACH Preamble)。在沒有收到小區(qū)發(fā)送的AICH響應(yīng)之前，終端會一直周期性地重復(fù)發(fā)送PRACH Preamble。每一次請求中Preamble最大發(fā)送次數(shù)、Preamble功率爬坡步長和Preamble請求的最大周期數(shù)等都可以通過修改小區(qū)系統(tǒng)消息來進行設(shè)置，從而控制終端發(fā)送PRACH Preamble的頻率。

非接入層可以將偽小區(qū)的LAC(Location Area Code)設(shè)置成與服務(wù)小區(qū)不同。終端選擇偽小區(qū)后，由于終端里存儲的本地小區(qū)的LAC與偽小區(qū)的不同，會觸發(fā)終端發(fā)起位置更新請求，進而觸發(fā)接入層發(fā)起RRC連接。在多次接入偽小區(qū)無果后，終端會進行小區(qū)重選，但由于偽小區(qū)信號質(zhì)量好且切換門限高，致使終端又一次選擇偽小區(qū)，重新發(fā)起NAS層的請求，周而復(fù)始，終端處于持續(xù)發(fā)送信號過程。利用終端持續(xù)發(fā)送的信號，可以對終端進行定位。

3 WCDMA控制干擾信號設(shè)計

3.1 控制干擾信號信道設(shè)計

構(gòu)造控制干擾信號是整個控制干擾系統(tǒng)重要的步驟。為了保證偽WCDMA網(wǎng)絡(luò)的控制干擾信號被移動終端識別，控制干擾信號的系統(tǒng)消息塊需要設(shè)計成與服務(wù)小區(qū)相似，擾碼號設(shè)計為終端服務(wù)小區(qū)相鄰小區(qū)的擾碼號[10]。

控制干擾信號涉及4個信道的信號，即公共導(dǎo)頻信道、同步信道、廣播信道和公共控制物理信道。只需構(gòu)造這4個信道的信號，就可以完成對終端的控制干擾。另外，控制干擾信號要構(gòu)造完整的系統(tǒng)廣播消息。若控制干擾信號發(fā)出的系統(tǒng)消息不符合3GPP標(biāo)準(zhǔn)，當(dāng)終端被強導(dǎo)頻信號誘導(dǎo)到偽小區(qū)后，將無法解析系統(tǒng)廣播消息，從而不能進行小區(qū)重選[11]。

3.2 系統(tǒng)廣播消息設(shè)計

根據(jù)對地面WCDMA網(wǎng)絡(luò)系統(tǒng)廣播消息的解析，LAC信息位于SIB1系統(tǒng)信息塊中[12]。控制干擾信號中構(gòu)造的SIB1系統(tǒng)信息塊要與原服務(wù)小區(qū)網(wǎng)絡(luò)廣播消息中的LAC值不同，終端才易于發(fā)起小區(qū)重選。

基站周期性地測量鄰小區(qū)的基站信號質(zhì)量并對其進行排序，同時把排序列表和對應(yīng)的鄰小區(qū)擾碼號在SIB11中進行廣播，而移動終端將在SIB11中接收到排序列表，并把排序第一的信號對應(yīng)的小區(qū)作為當(dāng)前服務(wù)小區(qū)[13]。因此，當(dāng)設(shè)計的控制干擾系統(tǒng)可誘導(dǎo)移動終端識別并駐留偽小區(qū)時，則將控制干擾信號的擾碼號設(shè)置為原服務(wù)小區(qū)SIB11系統(tǒng)信息塊中信號質(zhì)量排序第一的擾碼號。

4 硬件實現(xiàn)

圖2為WCDMA終端控制干擾樣機實現(xiàn)原理圖。

圖2 WCDMA終端控制干擾樣機原理圖

WCDMA終端控制干擾樣機主要分為天線、雙工器、變頻設(shè)備、偵察解調(diào)單元、協(xié)議分析單元、偽網(wǎng)絡(luò)建立單元、通信單元和顯控單元。

當(dāng)樣機工作于網(wǎng)絡(luò)參數(shù)偵察階段時，天線和低噪聲放大器完成WCDMA下行信號的接收。偵察解調(diào)單元完成WCDMA下行信號的Rake接收、解擾和解擴，將處理結(jié)果傳輸?shù)絽f(xié)議分析單元。協(xié)議分析單元完成對WCDMA信號的協(xié)議分析功能，得到WCDMA小區(qū)的網(wǎng)絡(luò)參數(shù)，并將得到的網(wǎng)絡(luò)參數(shù)傳輸?shù)斤@控單元。顯控單元將網(wǎng)絡(luò)參數(shù)傳輸?shù)絺尉W(wǎng)絡(luò)建立單元，偽網(wǎng)絡(luò)建立單元完成偽網(wǎng)絡(luò)小區(qū)建立和WCDMA上行信號的處理，進而完成對WCDMA通信系統(tǒng)終端的控制干擾。

5 試驗驗證

5.1 測試方法

對目標(biāo)終端進行控制干擾示意圖如圖3所示。

圖3 WCDMA終端控制干擾試驗示意圖

用測試手機作為目標(biāo)終端，利用WCDMA終端控制干擾設(shè)備對地面WCDMA基站和測試手機進行試驗，利用TEMS路測軟件記錄測試手機的信令流程。

5.2 測試結(jié)果分析

試驗所在地WCDMA基站小區(qū)頻點為10 713，擾碼號為341。WCDMA控制干擾設(shè)備偽裝成同頻的偽小區(qū)，偽小區(qū)的擾碼號為250。偽小區(qū)誘使測試手機進行了小區(qū)重選，捕獲了測試手機的身份標(biāo)識IMSI和IMEI，能夠使測試手機持續(xù)發(fā)送信號。利用專用軟件檢測測試手機的IMSI和IMEI與樣機捕獲的信息一致，可有效驗證本文終端控制干擾技術(shù)的正確性。

利用WCDMA控制干擾設(shè)備對15部手機進行控制干擾測試，記錄30 s內(nèi)設(shè)備捕獲的手機數(shù)量，結(jié)果如表1所示。共進行5次測試，捕獲手機總數(shù)量為68，捕獲概率為90.7%，具備工程實用性。

表1 終端捕獲測試表

6 結(jié)束語

本文在分析WCDMA網(wǎng)絡(luò)安全機制基礎(chǔ)上，提出了WCDMA終端控制干擾算法，設(shè)計了WCDMA 誘導(dǎo)控制信號，研制了控制干擾原理樣機，并進行了試驗驗證。能夠利用構(gòu)造的WCDMA 偽網(wǎng)絡(luò)，誘導(dǎo)移動終端進行小區(qū)重選，捕獲移動終端的身份信息，并使移動終端持續(xù)發(fā)送信號，進而可以實現(xiàn)對終端的精確定位。WCDMA 終端控制干擾算法的研究和實現(xiàn)，對于特定場合下移動終端的監(jiān)控管理具有重要的實際應(yīng)用價值,該控制干擾方法在公共安全等領(lǐng)域也具有廣泛的應(yīng)用前景。

[1] 莊云勝，王力男，孫 凱.WCDMA體制衛(wèi)星通信系統(tǒng)抗衰落技術(shù)研究 [J].無線電工程，2013(3)：27-29.

[2] 3G TS 25.331：Technical Specification Group Radio Access Network;Radio Resource Control(RRC)(FDD) [S].

[3] 藺 萌，陳樂然，劉正軍.WCDMA系統(tǒng)安全機制研究 [J].通信技術(shù)，2007(4)：51-53.

[4] 章 力，徐 穎.3G(WCDMA)架構(gòu)和網(wǎng)絡(luò)承載技術(shù) [J].遼寧工程技術(shù)大學(xué)學(xué)報，2006，25(3)：415-417.

[5] 王增鑫，邱 玲.一種同頻異構(gòu)網(wǎng)中上行干擾集中調(diào)度方案 [J].無線電工程，2015,45(11)：1-3.

[6] 韓 星，張華沖，熊志廣，等.全數(shù)字高速OQPSK信號解調(diào)技術(shù)分析 [J].無線電工程，2011，41(12)：18-21.

[7] 李世鴻，李方偉.3G移動通信中的安全改進 [J].重慶郵電大學(xué)學(xué)報，2002，14(4)：24-27.

[8] 鄧 巍.WCDMA移動網(wǎng)新建基站網(wǎng)絡(luò)質(zhì)量評估研究 [J].移動通信，2013(13)：11-15.

[9] 3G TS 25.212：Multiplexing and Channel Coding(FDD) [S].[10] 3G TS 25.213：Spreading and Modulation(FDD) [S].

[11] 朱 靜，錢建波，于正永.移動通信基站安防系統(tǒng)的研發(fā) [J].無線電工程，2013(1)：50-52.

[12] 顧明超，李 倩.基于FPGA實現(xiàn)的WCDMA上行Rake接收機 [J].無線電通信技術(shù)，2013，39(5)：72-75.

[13] 趙 俊，翁明俊.WCDMA虛擬多載波的實現(xiàn)研究[J].移動通信，2015，39(9)：69-72.

Research and Implementation of WCDMA Terminal Controlled Jamming Technique

XIONG Zhi-guang1,ZHANG Xue-fei2

(1.The 54th Research Institute of CETC,Shijiazhuang Hebei 050081,China； 2.Unit 96651,PLA,Beijing 100085,China)

To meet the significant requirement of user controlled jamming technology by the WCDMA detection and jamming system,a controlled jamming algorithm for the WCDMA terminal is designed.A cell reselection algorithm and a novel identification guidance algorithm are designed,and the jamming signal is constructed.The terminal’s identification is captured with the help of the constructed signal from the pseudo base station.Moreover,by using the terminal for the testing,the feasibility and effectiveness of the controlled jamming algorithm are verified.

WCDMA;controlled jam;location update

10.3969/j.issn.1003-3114.2017.03.22

熊志廣，張學(xué)飛. WCDMA終端控制干擾技術(shù)研究與實現(xiàn)[J].無線電通信技術(shù),2017,43(3): 91-94.

[XIONG Zhiguang, ZHANG Xuefei. Research and Implementation of WCDMA Terminal Controlled Jamming Technique. [J].Radio Communications Technology, 2017,43(3):91-94.]

2016-11-22

國家部委基金資助項目

熊志廣(1984—)，男，工程師,主要研究方向：通信協(xié)議分析、通信對抗、信號處理；張學(xué)飛(1985—)，男，工程師，主要研究方向：通信系統(tǒng)、裝備管理。

TN911

A

1003-3114(2017)03-91-4