隨著移動通信的快速發展，移動終端用戶迅猛增加，由此引起的移動終端信息泄密隱患日益凸顯。對于移動終端的監管，特別是涉密場所內移動終端的監管，具有廣闊的市場應用前景和積極的社會意義。針對移動終端的監管分為監視和管理兩大部分，無論監視還是管理，都必須以實現對移動終端的探測為前提。傳統的移動終端探測系統只能實現對單個用戶的探測，并且只適用于一種制式的通信網絡環境，存在一定的局限性[1]。針對傳統終端探測系統的不足，結合GSM（Global System of Mobile communication）和CDMA（Code Division Multiple Access）網絡制式的特點，設計出一種雙模移動終端主動探測系統，該系統通過構造并發射有別于當前服務基站所處位置區的偽基站強導頻信號，迫使服務基站區域內的移動終端發生位置更新，完成對設備作用范圍內所有GSM和CDMA終端用戶身份信息的捕獲，具有一定的實際應用價值[2]。
    考慮到該主動探測系統是雙模系統，因而對于基帶信號處理板的設計必須綜合考慮數字信號芯片的處理能力和基帶信號處理板對數據處理的吞吐能力。為此，選用高速數字信號處理芯片TMS320C6416作為核心處理器，能夠在很大程度上提高系統的處理效率。此外，對于接口的設計，通過EMIF（External Memory Interface）接口實現DSP核心處理器對基帶信號的接收，采用改進型乒乓緩存機制實現數據存儲功能，從而保證數據的完整性，同時提高DSP的CPU利用率和系統實時處理能力。
1 系統基本原理
    主動探測系統通過構造并發射偽基站強導頻信號，迫使服務基站區域內的移動終端進行位置更新操作。移動終端在進行位置更新后會主動上報身份信息，由此可實現對移動終端身份信息的捕獲。該主動探測系統的工作原理如圖1所示。

    對于GSM網絡制式，主動探測系統的工作流程如下：
    (1)探測系統對當前服務基站以及鄰小區基站的廣播信息進行解析，其目的是構造誘使移動終端產生位置更新所需要的具有不同位置區識別碼LAI（Location Area Identifition）的偽基站模板[3]。
    (2)移動終端不斷地監聽鄰近基站的信號，當檢測到其中某一基站的廣播信號強度高于其他基站信號強度時，將對工作頻點作相應調整，在隨機接入信道RACH（Random Access Channel）上發送小區切換請求，移動終端從當前服務小區切換至偽基站所處小區。
    (3)探測設備接收來自移動終端的RACH參數，利用這些參數構造相應的準許接入信道AGCH（Access Grant Channel）信息并進行發射，移動終端對下行信號中的AGCH信息進行分析。若AGCH信息為該移動終端的信道描述信息，則移動終端通過獨立專用控制信道SDCCH（Stand-Alone Dedicated Control Channel）發送含有身份信息的SABM幀。由此，探測系統可得到移動終端的身份信息，一般是臨時移動臺識別碼TMSI（Temporary Mobile Subscriber Identity）或國際移動用戶識別碼IMSI（International Mobile Subscriber Identification Number），進而實現對移動終端的探測。
    對于CDMA網絡制式，主動探測系統的工作流程如下：
    (1)探測設備首先接收服務基站下前向鏈路中的導頻信道F_PICH、同步信道F_SYNCH、尋呼信道F_PCH等信號并進行解析，獲取當前小區的系統信息并實現全網同步。
    (2)根據當前基站的配置信息，以探測系統作為偽基站，構造并發送強導頻、同步消息和系統消息，誘使周邊移動終端進行空閑切換，完成系統初始化過程，進入空閑狀態[4]。
    (3)移動終端根據偽基站配置的注冊參數(如注冊周期REG_PRD、登記區域碼REG_ZONE等)向偽基站發送注冊信息。探測設備通過截獲該注冊信息，獲取移動終端的身份信息(例如臨時移動臺識別碼TMSI、永久移動臺識別碼IMSI、電子序列號ESN等)，實現對移動終端的探測。

2 系統設計
    主動探測系統的硬件平臺組成如圖2所示，主要包括PC控制平臺、GSM探測模塊、CDMA探測模塊、電源和網絡等五部分。在GSM探測模塊中，本文針對GSM900和DCS1800兩個頻段分別設計了相應的射頻收發信機。其中，GSM在900 MHz頻段分為P-GSM和E-GSM，本文統稱為GSM900。另外，PC控制平臺可通過網絡實現對探測系統的遠程操作和可視化界面操作(包括總體控制、信令交互等)，實現對探測系統的管理和維護。

    主動探測系統硬件架構如圖3所示，其由射頻收發信機、數字中頻收發信機和基帶處理板構成。基帶處理板以DSP模塊為信號處理核心，輔以FPGA模塊、ARM模塊等組成。
    主動探測系統的主要工作流程如下：
    (1)基帶處理板將經過射頻板和中頻板后的GSM或CDMA基帶信號傳輸至FPGA1，并經由FPGA1的FIFO緩存傳輸至DSP1。
    (2)DSP1對所接收基帶信號進行下行同步、系統消息解析等處理得到當前小區的系統廣播消息，并將該系統信息傳輸至ARM，用于進行信令交互和管理。
    (3)ARM將系統廣播信息發送至DSP3，DSP3據此構造有別于當前服務基站LAI和BSIC的偽基站強導頻信息（簡稱強導頻信息）。
    (4)DSP3不斷地向FPGA2發送強導頻信息，經由中頻板、射頻板和功率放大器，通過天線進行信號發射，誘導移動終端進行位置更新操作。
    (5)DSP2對工作于主頻點的上行信道進行檢測，確認是否存在RACH信息，若存在則對該信息所屬類型進行判斷。
    (6)若步驟(5)判斷所得消息類型為位置更新請求信息，則將解析所得RACH信息參數經由ARM發送至DSP3；否則返回(5)重復操作。
    (7)DSP3根據接收到的RACH相關信息參數，構造對應的發送信息予以發射，誘使移動終端進行位置更新操作。
    (8)DSP2對移動終端發射的上行信號予以接收，并解析得出對應的身份信息，進而完成主動探測系統功能。
3 主動探測算法的DSP設計
    為了滿足GSM和CDMA主動探測算法的需求，對硬件的數字信號處理能力提出了較高的要求。因此，本系統采用性能強大的TMS320C6416數字信號處理器對核心算法進行處理[5]。
    DSP通過EMIFA接口收發基帶數據，并進行算法處理。GSM核心算法流程如圖4所示。DSP1主要負責下行信道信息的解析工作，主要包括FCCH粗同步、SCH精同步、頻偏估計與校正、SCH和BCCH譯碼等步驟；DSP2主要負責RACH信號的監聽和上行SDCCH信道的解析工作；DSP3主要負責根據DSP1解析的廣播信息進行相應的導頻信號的構造，誘導手機進行位置更新；ARM模塊負責DSP之間的參數傳遞和指令協調工作。

    CDMA核心算法流程如圖5所示。DSP1主要負責下行信道信息的解析工作，主要包括導頻搜索（粗同步、精同步）、下行信道頻偏估計與校正、PCH幀頭確定、SCH和PCH去擾解擴以及解碼等步驟；DSP2主要負責上信道時延搜索、同步、最佳解調以及ACH消息解析；DSP3主要負責根據DSP1解析的基站配置信息進行相應的導頻信號的構造，誘導手機進行位置更新；ARM模塊負責DSP之間的參數傳遞和指令協調工作。

4.1 雙模FIFO接口傳輸速率設計
    DSP讀寫FIFO數據的速率大小由輸出時鐘ECLKOUT1和控制寄存器CECTL1決定。C6000系列DSP異步接口時序具有很強的可編程性。EMIFA接口每個讀寫周期是通過配置控制寄存器CECTL1完成的[6]。每個讀寫周期由3個階段組成：建立時間(Setup)、觸發時間(Strobe)、保持時間(Hold)。建立時間是從存儲器訪問周期開始（片選，地址有效）到讀寫選通有效之前的時間；觸發時間是讀寫選通信號從有效到無效之間的時間；保持時間則是從讀寫無效到訪問周期結束之間的時間。配置每個讀寫周期為5，即建立時間Setup=2，觸發時間Strobe=2，保持時間Hold=1。由于ECLKOUT1的輸出時鐘頻率為100 MHz，接口數據位寬為16，所有DSP讀寫FIFO數據的速率為100×2/5=40 MB/s。經測試，接口可以完成數據的正確傳輸，DSP讀寫FIFO時序如圖7所示。

4.2 改進FIFO數據讀寫及數據處理方法
    本系統采用增強型直接內存存取(EDMA)傳輸方式實現對FIFO數據的讀寫。當FPGA1接收射頻前端數據使FPGA1中FIFO半滿時，FPGA1發送一個下降沿信號，觸發DSP的外部中斷4，DSP啟動外部中斷4對應的EDMA通道，接收一幀數據。當FPGA2發送數據給射頻端時，FPGA2中FIFO半空時，FPGA2發送一個下降沿信號，觸發DSP3的外部中斷4，DSP3啟動外部中斷4對應的EDMA通道，發送一幀數據給FPGA2。FPGA1發送給DSP1和DSP2的數據需要進行實時處理。在傳統的實時性處理系統中，使用乒乓緩存方式進行數據傳輸處理，即在片內開辟2個緩存：乒緩存和乓緩存。2個緩存可以同時被訪問，當EDMA正在給乒緩存傳輸數據時，CPU對乓緩存區數據進行算法處理，反之亦然。傳統的乒乓緩存機制存在如下兩方面的缺點：
    (1)乒乓兩塊緩存數據長度不能滿足算法要求，給算法處理增加復雜度；
    (2)如緩存區空間太大，對FPGA和DSP芯片內部ROM提出了更高的要求；若太小，發生中斷4周期短，增加處理中斷時間，減少CPU處理數據時間，不利于系統實時性處理。
    針對這一問題，設計了一種更靈活的數據傳輸和處理機制，即開辟多塊連續緩存。EDMA搬移和算法處理流程如圖8所示。

    DSP在片內L2存儲器內開辟了256 KB的緩存buffer，EDMA使用了鏈式傳輸。C6416有64個EDMA傳輸通道。外部中斷4對應的EDMA通道號為4，通道4載入通道參數，目的地址指向buffer首地址0x60000，每次中斷接收一幀8 KB數據，總共傳輸32幀。完成一次32幀傳輸后，通過EDMA配置，DSP再次載入鏈接通道參數，接收數據再次從buffer空間開始位置存放數據。每次觸發中斷4，中斷函數執行計數器m加1。傳輸數據的總長度為（8×m）KB。CPU對m值進行監測和判斷，如果已傳輸數據長度滿足某一階段算法處理需求，則進行該階段的算法處理，然后進入下一次判斷，直到所有算法處理完成，解出需要信息，計數器m清零。
5 測試及結果分析
    本文測試主要完成系統的功能測試，驗證整個系統可以進行實時性處理，完成主動探測捕獲移動終端身份信息的功能。系統測試環境為一個30 m×20 m教研室，覆蓋有GSM和CDMA通信網絡信號。設備經過執行自動控制、掃頻、基站信息解析，進入主動探測功能。探測設備工作后捕獲身份信息情況如圖9所示，驗證了系統探測功能的有效性。手機檢測到偽基站發射的信號，通過RACH發起位置更新請求。從圖中可以看到設備捕獲到手機發送的RACH。同時，可以通過捕獲到的RACH說明當前設備作用范圍內有手機存在。在96 s內，探測設備解出了10個TMSI、1個IMSI和1個更新PDP上下文成功消息。由于手機的IMSI是全球唯一，所以可以通過捕獲的IMSI判斷當前設備作用范圍內手機的數量。從而，驗證了系統的探測功能，說明DSP設計可以滿足系統的實時性處理要求。

    本文介紹了基于GSM和CDMA通信網絡的雙模移動終端主動探測系統，描述了系統的基本原理、系統的整體架構、模塊設計和工作流程；給出了主動探測系統實現的DSP核心算法流程；為了滿足系統的實時性處理，設計了基于異步的FIFO接口，并對FIFO接口接收數據進行了優化；最后進行現場測試，成功捕獲到移動終端的身份信息。本文所設計的雙模移動終端主動探測系統是基于2G通信網絡的。由于3G通信網絡已經得到廣泛普及，如何設計并實現基于3G通信網絡的移動終端主動探測系統將是下一步研究的工作重點。
參考文獻
[1] 胥飛燕，郭大江，高嵩，等.基于偽基站誘發技術的震區被壓埋生命體分布和搜救系統研究[J].電子元器件應用，2009，11(8)：34-36.
[2] 丁有志，田崢濤，唐燁.基于偽基站的CDMA移動通信系統對抗技術研究[J].通信對抗，2008(2)：41-43.
[3] 3rd Generation Partnership Project.Technical specification group GSM/EDGE radio access network；Mobile radio interface layer 3 specifcation；Radio Resource Control(RRC)protocol (Release 9)[S]，2007.
[4] 3GPP2 C.S0005-A_v6.0，upper layer(Layer 3) signaling standard for cdma2000 spread spectrum systems-release a addendum 2[S]，2007.
[5] 周非，亓英杰，劉永康，等.TD_SCDMA終端探測設備的DSP設計與實現[J].電子應用技術，2012，38(4)：16-19.
[6] 董宏成，余利成，李小文.TD-LTE中基于EMIF的數據采集系統設計[J].微電子學，2012，42(5)：688-691.