隨著移動通信的快速發(fā)展，移動終端用戶迅猛增加，由此引起的移動終端信息泄密隱患日益凸顯。對于移動終端的監(jiān)管，特別是涉密場所內(nèi)移動終端的監(jiān)管，具有廣闊的市場應(yīng)用前景和積極的社會意義。針對移動終端的監(jiān)管分為監(jiān)視和管理兩大部分，無論監(jiān)視還是管理，都必須以實現(xiàn)對移動終端的探測為前提。傳統(tǒng)的移動終端探測系統(tǒng)只能實現(xiàn)對單個用戶的探測，并且只適用于一種制式的通信網(wǎng)絡(luò)環(huán)境，存在一定的局限性[1]。針對傳統(tǒng)終端探測系統(tǒng)的不足，結(jié)合GSM（Global System of Mobile communication）和CDMA（Code Division Multiple Access）網(wǎng)絡(luò)制式的特點，設(shè)計出一種雙模移動終端主動探測系統(tǒng)，該系統(tǒng)通過構(gòu)造并發(fā)射有別于當(dāng)前服務(wù)基站所處位置區(qū)的偽基站強導(dǎo)頻信號，迫使服務(wù)基站區(qū)域內(nèi)的移動終端發(fā)生位置更新，完成對設(shè)備作用范圍內(nèi)所有GSM和CDMA終端用戶身份信息的捕獲，具有一定的實際應(yīng)用價值[2]。
    考慮到該主動探測系統(tǒng)是雙模系統(tǒng)，因而對于基帶信號處理板的設(shè)計必須綜合考慮數(shù)字信號芯片的處理能力和基帶信號處理板對數(shù)據(jù)處理的吞吐能力。為此，選用高速數(shù)字信號處理芯片TMS320C6416作為核心處理器，能夠在很大程度上提高系統(tǒng)的處理效率。此外，對于接口的設(shè)計，通過EMIF（External Memory Interface）接口實現(xiàn)DSP核心處理器對基帶信號的接收，采用改進型乒乓緩存機制實現(xiàn)數(shù)據(jù)存儲功能，從而保證數(shù)據(jù)的完整性，同時提高DSP的CPU利用率和系統(tǒng)實時處理能力。
1 系統(tǒng)基本原理
    主動探測系統(tǒng)通過構(gòu)造并發(fā)射偽基站強導(dǎo)頻信號，迫使服務(wù)基站區(qū)域內(nèi)的移動終端進行位置更新操作。移動終端在進行位置更新后會主動上報身份信息，由此可實現(xiàn)對移動終端身份信息的捕獲。該主動探測系統(tǒng)的工作原理如圖1所示。

    對于GSM網(wǎng)絡(luò)制式，主動探測系統(tǒng)的工作流程如下：
    (1)探測系統(tǒng)對當(dāng)前服務(wù)基站以及鄰小區(qū)基站的廣播信息進行解析，其目的是構(gòu)造誘使移動終端產(chǎn)生位置更新所需要的具有不同位置區(qū)識別碼LAI（Location Area Identifition）的偽基站模板[3]。
    (2)移動終端不斷地監(jiān)聽鄰近基站的信號，當(dāng)檢測到其中某一基站的廣播信號強度高于其他基站信號強度時，將對工作頻點作相應(yīng)調(diào)整，在隨機接入信道RACH（Random Access Channel）上發(fā)送小區(qū)切換請求，移動終端從當(dāng)前服務(wù)小區(qū)切換至偽基站所處小區(qū)。
    (3)探測設(shè)備接收來自移動終端的RACH參數(shù)，利用這些參數(shù)構(gòu)造相應(yīng)的準(zhǔn)許接入信道AGCH（Access Grant Channel）信息并進行發(fā)射，移動終端對下行信號中的AGCH信息進行分析。若AGCH信息為該移動終端的信道描述信息，則移動終端通過獨立專用控制信道SDCCH（Stand-Alone Dedicated Control Channel）發(fā)送含有身份信息的SABM幀。由此，探測系統(tǒng)可得到移動終端的身份信息，一般是臨時移動臺識別碼TMSI（Temporary Mobile Subscriber Identity）或國際移動用戶識別碼IMSI（International Mobile Subscriber Identification Number），進而實現(xiàn)對移動終端的探測。
    對于CDMA網(wǎng)絡(luò)制式，主動探測系統(tǒng)的工作流程如下：
    (1)探測設(shè)備首先接收服務(wù)基站下前向鏈路中的導(dǎo)頻信道F_PICH、同步信道F_SYNCH、尋呼信道F_PCH等信號并進行解析，獲取當(dāng)前小區(qū)的系統(tǒng)信息并實現(xiàn)全網(wǎng)同步。
    (2)根據(jù)當(dāng)前基站的配置信息，以探測系統(tǒng)作為偽基站，構(gòu)造并發(fā)送強導(dǎo)頻、同步消息和系統(tǒng)消息，誘使周邊移動終端進行空閑切換，完成系統(tǒng)初始化過程，進入空閑狀態(tài)[4]。
    (3)移動終端根據(jù)偽基站配置的注冊參數(shù)(如注冊周期REG_PRD、登記區(qū)域碼REG_ZONE等)向偽基站發(fā)送注冊信息。探測設(shè)備通過截獲該注冊信息，獲取移動終端的身份信息(例如臨時移動臺識別碼TMSI、永久移動臺識別碼IMSI、電子序列號ESN等)，實現(xiàn)對移動終端的探測。

2 系統(tǒng)設(shè)計
    主動探測系統(tǒng)的硬件平臺組成如圖2所示，主要包括PC控制平臺、GSM探測模塊、CDMA探測模塊、電源和網(wǎng)絡(luò)等五部分。在GSM探測模塊中，本文針對GSM900和DCS1800兩個頻段分別設(shè)計了相應(yīng)的射頻收發(fā)信機。其中，GSM在900 MHz頻段分為P-GSM和E-GSM，本文統(tǒng)稱為GSM900。另外，PC控制平臺可通過網(wǎng)絡(luò)實現(xiàn)對探測系統(tǒng)的遠(yuǎn)程操作和可視化界面操作(包括總體控制、信令交互等)，實現(xiàn)對探測系統(tǒng)的管理和維護。

    主動探測系統(tǒng)硬件架構(gòu)如圖3所示，其由射頻收發(fā)信機、數(shù)字中頻收發(fā)信機和基帶處理板構(gòu)成?；鶐幚戆逡訢SP模塊為信號處理核心，輔以FPGA模塊、ARM模塊等組成。
    主動探測系統(tǒng)的主要工作流程如下：
    (1)基帶處理板將經(jīng)過射頻板和中頻板后的GSM或CDMA基帶信號傳輸至FPGA1，并經(jīng)由FPGA1的FIFO緩存?zhèn)鬏斨罝SP1。
    (2)DSP1對所接收基帶信號進行下行同步、系統(tǒng)消息解析等處理得到當(dāng)前小區(qū)的系統(tǒng)廣播消息，并將該系統(tǒng)信息傳輸至ARM，用于進行信令交互和管理。
    (3)ARM將系統(tǒng)廣播信息發(fā)送至DSP3，DSP3據(jù)此構(gòu)造有別于當(dāng)前服務(wù)基站LAI和BSIC的偽基站強導(dǎo)頻信息（簡稱強導(dǎo)頻信息）。
    (4)DSP3不斷地向FPGA2發(fā)送強導(dǎo)頻信息，經(jīng)由中頻板、射頻板和功率放大器，通過天線進行信號發(fā)射，誘導(dǎo)移動終端進行位置更新操作。
    (5)DSP2對工作于主頻點的上行信道進行檢測，確認(rèn)是否存在RACH信息，若存在則對該信息所屬類型進行判斷。
    (6)若步驟(5)判斷所得消息類型為位置更新請求信息，則將解析所得RACH信息參數(shù)經(jīng)由ARM發(fā)送至DSP3；否則返回(5)重復(fù)操作。
    (7)DSP3根據(jù)接收到的RACH相關(guān)信息參數(shù)，構(gòu)造對應(yīng)的發(fā)送信息予以發(fā)射，誘使移動終端進行位置更新操作。
    (8)DSP2對移動終端發(fā)射的上行信號予以接收，并解析得出對應(yīng)的身份信息，進而完成主動探測系統(tǒng)功能。
3 主動探測算法的DSP設(shè)計
    為了滿足GSM和CDMA主動探測算法的需求，對硬件的數(shù)字信號處理能力提出了較高的要求。因此，本系統(tǒng)采用性能強大的TMS320C6416數(shù)字信號處理器對核心算法進行處理[5]。
    DSP通過EMIFA接口收發(fā)基帶數(shù)據(jù)，并進行算法處理。GSM核心算法流程如圖4所示。DSP1主要負(fù)責(zé)下行信道信息的解析工作，主要包括FCCH粗同步、SCH精同步、頻偏估計與校正、SCH和BCCH譯碼等步驟；DSP2主要負(fù)責(zé)RACH信號的監(jiān)聽和上行SDCCH信道的解析工作；DSP3主要負(fù)責(zé)根據(jù)DSP1解析的廣播信息進行相應(yīng)的導(dǎo)頻信號的構(gòu)造，誘導(dǎo)手機進行位置更新；ARM模塊負(fù)責(zé)DSP之間的參數(shù)傳遞和指令協(xié)調(diào)工作。

    CDMA核心算法流程如圖5所示。DSP1主要負(fù)責(zé)下行信道信息的解析工作，主要包括導(dǎo)頻搜索（粗同步、精同步）、下行信道頻偏估計與校正、PCH幀頭確定、SCH和PCH去擾解擴以及解碼等步驟；DSP2主要負(fù)責(zé)上信道時延搜索、同步、最佳解調(diào)以及ACH消息解析；DSP3主要負(fù)責(zé)根據(jù)DSP1解析的基站配置信息進行相應(yīng)的導(dǎo)頻信號的構(gòu)造，誘導(dǎo)手機進行位置更新；ARM模塊負(fù)責(zé)DSP之間的參數(shù)傳遞和指令協(xié)調(diào)工作。

4.1 雙模FIFO接口傳輸速率設(shè)計
    DSP讀寫FIFO數(shù)據(jù)的速率大小由輸出時鐘ECLKOUT1和控制寄存器CECTL1決定。C6000系列DSP異步接口時序具有很強的可編程性。EMIFA接口每個讀寫周期是通過配置控制寄存器CECTL1完成的[6]。每個讀寫周期由3個階段組成：建立時間(Setup)、觸發(fā)時間(Strobe)、保持時間(Hold)。建立時間是從存儲器訪問周期開始（片選，地址有效）到讀寫選通有效之前的時間；觸發(fā)時間是讀寫選通信號從有效到無效之間的時間；保持時間則是從讀寫無效到訪問周期結(jié)束之間的時間。配置每個讀寫周期為5，即建立時間Setup=2，觸發(fā)時間Strobe=2，保持時間Hold=1。由于ECLKOUT1的輸出時鐘頻率為100 MHz，接口數(shù)據(jù)位寬為16，所有DSP讀寫FIFO數(shù)據(jù)的速率為100×2/5=40 MB/s。經(jīng)測試，接口可以完成數(shù)據(jù)的正確傳輸，DSP讀寫FIFO時序如圖7所示。

4.2 改進FIFO數(shù)據(jù)讀寫及數(shù)據(jù)處理方法
    本系統(tǒng)采用增強型直接內(nèi)存存取(EDMA)傳輸方式實現(xiàn)對FIFO數(shù)據(jù)的讀寫。當(dāng)FPGA1接收射頻前端數(shù)據(jù)使FPGA1中FIFO半滿時，F(xiàn)PGA1發(fā)送一個下降沿信號，觸發(fā)DSP的外部中斷4，DSP啟動外部中斷4對應(yīng)的EDMA通道，接收一幀數(shù)據(jù)。當(dāng)FPGA2發(fā)送數(shù)據(jù)給射頻端時，F(xiàn)PGA2中FIFO半空時，F(xiàn)PGA2發(fā)送一個下降沿信號，觸發(fā)DSP3的外部中斷4，DSP3啟動外部中斷4對應(yīng)的EDMA通道，發(fā)送一幀數(shù)據(jù)給FPGA2。FPGA1發(fā)送給DSP1和DSP2的數(shù)據(jù)需要進行實時處理。在傳統(tǒng)的實時性處理系統(tǒng)中，使用乒乓緩存方式進行數(shù)據(jù)傳輸處理，即在片內(nèi)開辟2個緩存：乒緩存和乓緩存。2個緩存可以同時被訪問，當(dāng)EDMA正在給乒緩存?zhèn)鬏敂?shù)據(jù)時，CPU對乓緩存區(qū)數(shù)據(jù)進行算法處理，反之亦然。傳統(tǒng)的乒乓緩存機制存在如下兩方面的缺點：
    (1)乒乓兩塊緩存數(shù)據(jù)長度不能滿足算法要求，給算法處理增加復(fù)雜度；
    (2)如緩存區(qū)空間太大，對FPGA和DSP芯片內(nèi)部ROM提出了更高的要求；若太小，發(fā)生中斷4周期短，增加處理中斷時間，減少CPU處理數(shù)據(jù)時間，不利于系統(tǒng)實時性處理。
    針對這一問題，設(shè)計了一種更靈活的數(shù)據(jù)傳輸和處理機制，即開辟多塊連續(xù)緩存。EDMA搬移和算法處理流程如圖8所示。

    DSP在片內(nèi)L2存儲器內(nèi)開辟了256 KB的緩存buffer，EDMA使用了鏈?zhǔn)絺鬏?。C6416有64個EDMA傳輸通道。外部中斷4對應(yīng)的EDMA通道號為4，通道4載入通道參數(shù)，目的地址指向buffer首地址0x60000，每次中斷接收一幀8 KB數(shù)據(jù)，總共傳輸32幀。完成一次32幀傳輸后，通過EDMA配置，DSP再次載入鏈接通道參數(shù)，接收數(shù)據(jù)再次從buffer空間開始位置存放數(shù)據(jù)。每次觸發(fā)中斷4，中斷函數(shù)執(zhí)行計數(shù)器m加1。傳輸數(shù)據(jù)的總長度為（8×m）KB。CPU對m值進行監(jiān)測和判斷，如果已傳輸數(shù)據(jù)長度滿足某一階段算法處理需求，則進行該階段的算法處理，然后進入下一次判斷，直到所有算法處理完成，解出需要信息，計數(shù)器m清零。
5 測試及結(jié)果分析
    本文測試主要完成系統(tǒng)的功能測試，驗證整個系統(tǒng)可以進行實時性處理，完成主動探測捕獲移動終端身份信息的功能。系統(tǒng)測試環(huán)境為一個30 m×20 m教研室，覆蓋有GSM和CDMA通信網(wǎng)絡(luò)信號。設(shè)備經(jīng)過執(zhí)行自動控制、掃頻、基站信息解析，進入主動探測功能。探測設(shè)備工作后捕獲身份信息情況如圖9所示，驗證了系統(tǒng)探測功能的有效性。手機檢測到偽基站發(fā)射的信號，通過RACH發(fā)起位置更新請求。從圖中可以看到設(shè)備捕獲到手機發(fā)送的RACH。同時，可以通過捕獲到的RACH說明當(dāng)前設(shè)備作用范圍內(nèi)有手機存在。在96 s內(nèi)，探測設(shè)備解出了10個TMSI、1個IMSI和1個更新PDP上下文成功消息。由于手機的IMSI是全球唯一，所以可以通過捕獲的IMSI判斷當(dāng)前設(shè)備作用范圍內(nèi)手機的數(shù)量。從而，驗證了系統(tǒng)的探測功能，說明DSP設(shè)計可以滿足系統(tǒng)的實時性處理要求。

    本文介紹了基于GSM和CDMA通信網(wǎng)絡(luò)的雙模移動終端主動探測系統(tǒng)，描述了系統(tǒng)的基本原理、系統(tǒng)的整體架構(gòu)、模塊設(shè)計和工作流程；給出了主動探測系統(tǒng)實現(xiàn)的DSP核心算法流程；為了滿足系統(tǒng)的實時性處理，設(shè)計了基于異步的FIFO接口，并對FIFO接口接收數(shù)據(jù)進行了優(yōu)化；最后進行現(xiàn)場測試，成功捕獲到移動終端的身份信息。本文所設(shè)計的雙模移動終端主動探測系統(tǒng)是基于2G通信網(wǎng)絡(luò)的。由于3G通信網(wǎng)絡(luò)已經(jīng)得到廣泛普及，如何設(shè)計并實現(xiàn)基于3G通信網(wǎng)絡(luò)的移動終端主動探測系統(tǒng)將是下一步研究的工作重點。
參考文獻
[1] 胥飛燕，郭大江，高嵩，等.基于偽基站誘發(fā)技術(shù)的震區(qū)被壓埋生命體分布和搜救系統(tǒng)研究[J].電子元器件應(yīng)用，2009，11(8)：34-36.
[2] 丁有志，田崢濤，唐燁.基于偽基站的CDMA移動通信系統(tǒng)對抗技術(shù)研究[J].通信對抗，2008(2)：41-43.
[3] 3rd Generation Partnership Project.Technical specification group GSM/EDGE radio access network；Mobile radio interface layer 3 specifcation；Radio Resource Control(RRC)protocol (Release 9)[S]，2007.
[4] 3GPP2 C.S0005-A_v6.0，upper layer(Layer 3) signaling standard for cdma2000 spread spectrum systems-release a addendum 2[S]，2007.
[5] 周非，亓英杰，劉永康，等.TD_SCDMA終端探測設(shè)備的DSP設(shè)計與實現(xiàn)[J].電子應(yīng)用技術(shù)，2012，38(4)：16-19.
[6] 董宏成，余利成，李小文.TD-LTE中基于EMIF的數(shù)據(jù)采集系統(tǒng)設(shè)計[J].微電子學(xué)，2012，42(5)：688-691.