劉彩霞，季新生，鄔江興

（1.國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002；2.軍事科學院系統(tǒng)工程研究院，北京 100091）

0 引言

移動通信網(wǎng)作為國家最重要的信息通信基礎(chǔ)設施之一，在國家戰(zhàn)略、國計民生、國防建設等方面發(fā)揮著越來越重要的作用，尤其是進入5G 移動通信時代，隨著新技術(shù)的賦能，5G 網(wǎng)絡作為國家“新基建”的首選，被賦予為國家經(jīng)濟高質(zhì)量可持續(xù)發(fā)展和網(wǎng)絡強國建設提供新引擎的重任[1]，并為工業(yè)、能源、交通、醫(yī)療等垂直行業(yè)提供通信服務，成為移動通信網(wǎng)的新使命，移動通信技術(shù)發(fā)展和網(wǎng)絡建設的戰(zhàn)略意義達到空前高度。據(jù)統(tǒng)計，截至2022 年2 月，我國移動通信用戶數(shù)達到16.48 億，其中5G 用戶達到3.84 億。

移動通信網(wǎng)的戰(zhàn)略地位得到高度重視的同時，其安全問題也成為業(yè)界關(guān)注的焦點。國外以3GPP、國際電信聯(lián)盟電信標準局（ITU-T,Telecommunication Standardization Sector of the International Telecommunications Union）、全球移動通信系統(tǒng)協(xié)會（GSMA,Global System Mobile Association），國內(nèi)以中國通信標準化協(xié)會（CCSA,China Communications Standards Association）、IMT-2020(5G)推進組等為代表的標準化組織均成立了專門的移動通信安全研究組，大力開展移動通信系統(tǒng)尤其是5G 系統(tǒng)的安全和標準化研究工作，已經(jīng)形成系列研究報告、白皮書和安全標準[2-13]，內(nèi)容涉及移動終端、IT 化網(wǎng)絡基礎(chǔ)設施、通信網(wǎng)絡、應用與服務、數(shù)據(jù)、運營管理等多個方面。相對于傳統(tǒng)移動通信網(wǎng)，新技術(shù)和新標準賦能的5G、B5G 移動通信網(wǎng)的安全能力大大提升，尤其是2G/3G/4G移動通信網(wǎng)普遍存在的空中接口用戶信息泄露、核心網(wǎng)缺乏訪問控制、網(wǎng)間互通缺乏有效監(jiān)管等問題得到大大改善，一定程度上彌補了傳統(tǒng)移動通信網(wǎng)被業(yè)界普遍關(guān)注的安全缺陷。但是，移動通信機理決定移動通信網(wǎng)即使代際更新，也依然有其自身固有的通信機制，即使網(wǎng)絡架構(gòu)、協(xié)議體系、業(yè)務提供方式等發(fā)生變化，其固有的通信機制也不會改變，例如，移動通信不會改變其無線通信的特點，也不會改變其“支持用戶廣泛移動”的特點。根據(jù)事物矛盾的雙面性，移動通信網(wǎng)固有的通信機制必定存在安全缺陷[14]，本文稱之為基因缺陷或者移動通信網(wǎng)的內(nèi)生安全缺陷或者內(nèi)生安全共性問題，這些安全缺陷在理論和工程層面不可能依賴“補丁式”或“外掛式”安全機制徹底消除[14]，需要具有“內(nèi)生安全特性”的體制或者機制來有效規(guī)避或化解[15]。

本文基于移動通信網(wǎng)的通信機理和固有通信機制，剖析了移動通信網(wǎng)的內(nèi)生安全共性問題及可能帶來的安全威脅，并在鄔江興院士解決網(wǎng)絡空間內(nèi)生安全問題相關(guān)理論[14-15]的指導下，研究提出了解決移動通信網(wǎng)內(nèi)生安全問題的一些思路和方法。

1 移動通信網(wǎng)的內(nèi)生安全共性問題

“支持終端隨意移動”和“依賴用戶實時位置提供服務”是移動通信的本質(zhì)特征。因此，移動通信網(wǎng)的終端接入只能依賴無線通信，而對移動終端或用戶實施移動性管理也是移動通信網(wǎng)的固有功能。可以認為，“無線通信”和“用戶移動性管理”是移動通信網(wǎng)的固有特性，也就是說，隨著代際發(fā)展，新技術(shù)不斷引入，網(wǎng)絡架構(gòu)、協(xié)議體系、業(yè)務提供模式等不斷演進，移動通信網(wǎng)的服務能力越來越強，但其固有特性不會改變?；凇叭魏问挛锒际敲艿慕y(tǒng)一體”這個共識[16]，移動通信網(wǎng)在提供方便快捷和泛在通信服務的同時，其固有功能或者特性必然存在顯式的副作用或者隱式的暗功能。一些非良性的副作用或者暗功能，本文稱之為移動通信網(wǎng)的內(nèi)生安全缺陷或者內(nèi)生安全共性問題[15]，某種意義上也可以稱之為移動通信網(wǎng)的“基因缺陷”。這些內(nèi)生安全共性問題或者基因缺陷在外部因素的作用下，則可能產(chǎn)生“內(nèi)生安全威脅”[15]。文獻[17]介紹了無線環(huán)境的內(nèi)源性缺陷以及由此引發(fā)的無線內(nèi)生安全問題，本文則主要分析移動通信網(wǎng)“移動性管理”機制的基因缺陷以及相關(guān)缺陷可能引入的內(nèi)生安全威脅。

1.1 代理通告機制存在“信息真實性默認”缺陷

“移動性管理功能”是移動通信網(wǎng)為用戶提供服務的基礎(chǔ)。為支持用戶的移動性，避免用戶位置信息被頻繁傳遞，移動通信網(wǎng)采用分布式管理模式，包括以下三級：歸屬域網(wǎng)絡功能，如3G 網(wǎng)絡的歸屬位置寄存器（HLR,home location register）、4G 網(wǎng)絡的歸屬用戶服務器（HSS,home subscriber server）、5G 網(wǎng)絡的用戶數(shù)據(jù)管理（UDM,user data management）功能，下文統(tǒng)一用HNF（home network function）表示；拜訪地網(wǎng)絡功能，如3G 網(wǎng)絡的拜訪位置寄存器（VLR,visitor location register）、4G 網(wǎng)絡的移動性管理實體（MME,mobile management entity）、5G 網(wǎng)絡的接入管理功能（AMF,access management function），下文統(tǒng)一用VNF（visitor network function）表示；基站子系統(tǒng)（BSS,base station subsystem），如圖1 所示。HNF 存放用戶當前所在的VNF 服務區(qū)信息、簽約身份標識和簽約服務清單，后兩者在下文統(tǒng)稱為用戶身份信息；VNF 存放用戶當前所在的基站位置區(qū)信息。

圖1 移動通信網(wǎng)的分布式位置信息管理示意

當用戶的位置發(fā)生變化時，如果只涉及同一個VNF 管轄的服務基站，其信息變化只在該VNF 中處理；當用戶跨VNF 服務區(qū)移動時（如圖2 所示），其當前服務VNF（如圖2 中的VNF2）會依據(jù)終端發(fā)起的位置注冊或者位置更新請求，向用戶的歸屬HNF 通告用戶的位置變化（圖2 中的過程①），HNF收到通告后，首先向用戶先前的服務VNF（如圖2中的VNF1）發(fā)送刪除用戶位置和身份信息的通告（圖2 中的過程②），然后存儲用戶更新后的位置信息，并將用戶的身份標識和部分簽約服務數(shù)據(jù)（下文簡稱部分身份信息）通報給VNF2（圖2 中的過程③）。由圖2 可知，在用戶的移動性管理流程中，VNF2和HNF 分別作為“終端代理”間接向HNF和VNF1通告終端或者用戶的位置信息變化，而HNF 也作為“運營商代理”向VNF2通告用戶的身份信息。本文將上述“通告”流程稱為移動通信網(wǎng)的“代理通告”機制。

圖2 移動通信用戶的位置更新通告流程

通過分析不難看出，移動通信網(wǎng)對用戶身份和位置信息的“代理通告”機制會伴隨如下安全問題。

1) HNF 可以核實用戶簽約身份的真實性和合法性，但對用戶當前所處位置信息的掌握依賴于VNF 的通告，對VNF 通告的用戶位置信息默認其是真實準確的，HNF 本身無法實時核實該用戶所處位置的準確性。

2) VNF 可掌握終端上報的準確位置信息，但是對HNF 通報的用戶身份信息也是默認真實準確的，在當前的通信機制下，VNF 無法實時核實用戶身份信息的真實性。

本文稱上述問題為移動通信網(wǎng)的信息“真實性默認”缺陷。這種信息“真實性默認”缺陷在電信運營商管控的封閉環(huán)境下，安全問題難以顯現(xiàn)。但是隨著移動通信網(wǎng)從1G/2G 發(fā)展到3G/4G 乃至5G/B5G，移動通信網(wǎng)與互聯(lián)網(wǎng)逐漸融合走向開放，原有的封閉環(huán)境已不復存在，隨之而來的“合法網(wǎng)元被挾持攻擊”、由漏洞后門引發(fā)的“信息篡改攻擊”等暴露了這種信息“真實性默認”缺陷極大的安全問題[18]。

為了應對移動通信網(wǎng)復雜開放環(huán)境下的弱信任挑戰(zhàn)，國際標準組織也在不斷努力，主要的措施集中在針對開放環(huán)境增加信任措施，例如，添加網(wǎng)絡功能間的認證授權(quán)機制、增加信息傳遞過程的機密性和完整性保護機制等[19]，很明顯，這些機制可以在一定程度上保證網(wǎng)絡功能的合法性和網(wǎng)絡功能間信息交互的安全性，但難以保證信息的可信性，也就是說，原理上，這些安全機制無法驗證合法的網(wǎng)絡功能假冒“代理身份”發(fā)起的虛假信息通告，也無法驗證合法的網(wǎng)絡功能作為“代理身份”通告的信息真實性。

事實上，這種“真實性默認”缺陷也滲透在移動通信網(wǎng)信息訪問交流的方方面面，包括移動通信網(wǎng)中各種網(wǎng)元設備之間交互信令消息和協(xié)議流程等都秉持默認的真實性，只要收發(fā)消息的是“自己人”（即擁有合法網(wǎng)元身份），就不再過多分析判斷信息本身、信息行為等的合理性，伴隨網(wǎng)絡環(huán)境的開放和信任邊界的模糊，移動通信網(wǎng)的“真實性默認”缺陷已經(jīng)成為近年來頻頻曝光的多種移動通信核心網(wǎng)竊密攻擊的出發(fā)點，事實上也成為當前移動通信網(wǎng)安全防護的“死穴”。

1.2 “分布式管理”機制導致用戶數(shù)據(jù)泛在可見

如前所述，移動通信網(wǎng)為支持用戶移動或者漫游，對與用戶身份和位置信息關(guān)聯(lián)的用戶數(shù)據(jù)采用分布式的三級管理機制。當用戶移動到一個新的基站無線信號覆蓋區(qū)或者拜訪地服務區(qū)時，不僅終端要逐級通告自身的實時位置標識，用戶的身份標識也會從歸屬HNF 流向用戶拜訪地的VNF；網(wǎng)絡為用戶提供服務的過程中，用戶的身份標識、位置標識、簽約數(shù)據(jù)、動態(tài)業(yè)務數(shù)據(jù)等會在移動通信網(wǎng)的不同網(wǎng)絡功能或者基站的無線覆蓋環(huán)境中傳遞和使用。也就是說，隨著用戶移動，用戶數(shù)據(jù)可能在用戶可達的所有網(wǎng)域和網(wǎng)絡功能中廣泛傳遞、存儲和使用。表1 為用戶數(shù)據(jù)在3G 網(wǎng)絡不同網(wǎng)元的分布情況，表2 為用戶數(shù)據(jù)在5G 網(wǎng)絡不同網(wǎng)絡功能的分布情況。

表1 用戶數(shù)據(jù)在3G 網(wǎng)絡不同網(wǎng)元的分布情況

表2 用戶數(shù)據(jù)在5G 網(wǎng)絡不同網(wǎng)絡功能的分布情況

尤其是當用戶漫游到境外網(wǎng)絡時，用戶的身份和位置等關(guān)聯(lián)數(shù)據(jù)也會如圖3 虛線箭頭所示，在境內(nèi)、境外網(wǎng)絡的傳輸通道以及境內(nèi)、境外網(wǎng)絡的不同網(wǎng)元設備（如圖3 中的AMF 和SMF）中傳遞、存儲和使用。

圖3 5G 網(wǎng)絡漫游組網(wǎng)示意

綜上可以看出，移動通信網(wǎng)用戶數(shù)據(jù)分布式管理機制的好處是網(wǎng)絡功能在業(yè)務提供過程可以“就近取材”，減少數(shù)據(jù)使用中的檢索還原層次和頻次，缺陷是帶來用戶數(shù)據(jù)“泛在分布”，導致用戶數(shù)據(jù)“泛在可見”。尤其是手機等移動通信終端通常與用戶緊密捆綁，位置和身份關(guān)聯(lián)數(shù)據(jù)直接涉及用戶隱私，因而，移動通信用戶的隱私安全問題也是移動通信體制機制伴隨的安全問題。

受移動通信“效率優(yōu)先”和“服務優(yōu)?！痹O計理念以及網(wǎng)絡處理能力的限制，用戶數(shù)據(jù)的分布式管理和代理通告機制在短期內(nèi)很難改變，至少目前正在建設的5G 網(wǎng)絡依然如此。

2 移動通信網(wǎng)內(nèi)生安全共性問題的破解之道

根據(jù)網(wǎng)絡空間內(nèi)生安全理論[15,20]，網(wǎng)絡空間內(nèi)生安全問題與其本征功能實體間是事物內(nèi)部之間互相依賴又互相排斥的矛盾性表達，具有不可分割性，只可能演進轉(zhuǎn)化而不可能徹底消除。通過上面的分析，移動通信網(wǎng)存在的“信息真實性默認”“數(shù)據(jù)泛在可見”問題，本質(zhì)上是由移動通信網(wǎng)的“代理通告”機制和用戶數(shù)據(jù)組織管理機制造成的，因而要破解這2 個安全問題，要從“通告代理”和數(shù)據(jù)組織管理機制著手，從機制層面將“默認信任”轉(zhuǎn)化為“默認不信任”、將“泛在可見”轉(zhuǎn)化為“限定可見”。

2.1 以零信任打破“默認的信任”

零信任作為一種安全概念，以“默認不信任”的安全防護理念，受到業(yè)界廣泛關(guān)注。其具有如下安全防護原則[21]。

1) 永不信任，持續(xù)驗證——構(gòu)建以資源為中心的安全邊界，對訪問主體的身份、位置、設備、數(shù)據(jù)源、服務或工作負載等進行持續(xù)驗證，資源包括但不限于業(yè)務應用、服務接口、操作功能和數(shù)據(jù)。

2) 最低權(quán)限授權(quán)訪問——基于訪問主體的屬性、業(yè)務邏輯、應用上下文以及受訪資源的屬性和訪問控制策略進行最小范圍授權(quán)。

3) 持續(xù)信任評估、動態(tài)訪問控制——實時評估訪問主體和資源的安全狀態(tài)，根據(jù)安全狀態(tài)動態(tài)設立訪問控制策略。

不難得出以下結(jié)論：用零信任的“默認不信任”安全防護理念對抗移動通信網(wǎng)的信息“真實性默認”缺陷，必有化解之道。

當前，基于零信任增強移動通信網(wǎng)的安全防護能力這一思路得到業(yè)界的廣泛認可，文獻[22]給出了單包授權(quán)、異常流量監(jiān)控、網(wǎng)絡功能信任評估等7 個潛在方向作為5G 核心網(wǎng)安全的零信任增強；文獻[23]給出了5G 網(wǎng)絡切片安全零信任保護機制；文獻[24]提出了一種基于零信任的5G 網(wǎng)絡網(wǎng)元功能信任評估方法；IMT-2020(5G)推進組于2022 年4 月發(fā)布了“5G 零信任安全技術(shù)研究”報告[12]，給出了零信任在5G 網(wǎng)絡中的可能應用場景和部分應用場景的解決方案。從目前業(yè)界的研究著重點看，已有的移動通信網(wǎng)零信任安全增強機制均意在加強對信息交互過程中網(wǎng)元身份、網(wǎng)元行為合法性和合理性的判定，沒有針對網(wǎng)絡中交互的信息內(nèi)容、信息行為等真實性的判別。因而，要化解移動通信網(wǎng)信息“真實性默認”缺陷，需要在當前移動通信網(wǎng)“代理通告”機制的基礎(chǔ)上，引入“信息持續(xù)核實”機制，包括信息產(chǎn)生真實性的核實和信息本身真實性的核實。

基于移動通信網(wǎng)“合法網(wǎng)元被挾持攻擊”“信息篡改攻擊”（下文簡稱信息攻擊）等產(chǎn)生的原理，本文基于內(nèi)生安全構(gòu)造機理，通過打造具有動態(tài)異構(gòu)冗余（DHR,dynamic heterogeneous redundancy）構(gòu)造的信息通告代理，實現(xiàn)對代理產(chǎn)生的信息內(nèi)容和信息行為的“持續(xù)核實”。

2.1.1 移動通信網(wǎng)的信息攻擊原理

根據(jù)圖1 和圖2，基于如圖4 所示的5G 用戶終端位置更新過程，給出移動通信網(wǎng)基于代理的信息通告一般模型，如圖5 所示。

圖4 中，5G 用戶終端發(fā)生跨AMF 服務區(qū)的位置變化，首先通告無線信號覆蓋區(qū)的5G 基站（gNB），gNB 再通告核心網(wǎng)的AMF，AMF 被授權(quán)后，訪問UDM，通過UDM 將用戶位置變化信息通告UDR，UDR 存儲用戶新的位置。為描述問題的針對性，圖4 省略了用戶的鑒權(quán)認證過程和網(wǎng)絡功能的服務訪問授權(quán)過程。

基于圖4 所示的用戶終端位置更新流程，本文可以把gNB 看作終端位置信息通告的第一個代理，AMF 看作第二個代理，UDM 看作第三個代理。為此，給出移動通信網(wǎng)基于代理的信息通告一般模型。不同的信息（行為）從觸發(fā)起點到信息終點需要經(jīng)過的代理個數(shù)K可能不同。

圖4 5G 用戶終端位置更新過程

假設信息傳遞路徑均采用機密性和完整性保護機制且可以實現(xiàn)信息防篡改，從圖5 可以看出，移動通信網(wǎng)的信息代理通告機制產(chǎn)生的“信息攻擊”可能來自信息傳遞路徑上的任何一個信息（行為）轉(zhuǎn)發(fā)代理。事實證明，這些具備信息（行為）轉(zhuǎn)發(fā)代理功能的網(wǎng)元或者網(wǎng)絡功能，不僅可能篡改從信息（行為）觸發(fā)起點或者前一個信息（行為）轉(zhuǎn)發(fā)代理收到的信息數(shù)據(jù)，也可能構(gòu)造虛假的信息（行為）對信息（行為）終點進行信息攻擊。

圖5 移動通信網(wǎng)基于代理的信息通告一般模型

2.1.2 采用DHR 構(gòu)造的內(nèi)生安全代理實現(xiàn)信息核實

動態(tài)異構(gòu)冗余架構(gòu)[15]是在功能等價條件下通過軟硬件層級化的異構(gòu)冗余資源部署，配合輸出裁決、反饋控制和多維動態(tài)重構(gòu)等機制，實現(xiàn)“測量感知、誤差識別、反饋迭代”等，能夠同時應對“基于暗功能的人為攻擊”和軟硬件隨機性失效引發(fā)的故障，可提供傳統(tǒng)可靠性與網(wǎng)絡安全性一體化的功能安全，其抽象模型[15]如圖6 所示?；贒HR 架構(gòu)構(gòu)造的信息系統(tǒng)也被稱為內(nèi)生安全構(gòu)造系統(tǒng)。

圖6 DHR 架構(gòu)的抽象模型

本文基于DHR 架構(gòu)的多異構(gòu)執(zhí)行體運行環(huán)境、輸出裁決、反饋控制等機制，設計具有信息內(nèi)容和信息行為真實性核實機制的移動通信網(wǎng)絡信息代理（網(wǎng)元或者網(wǎng)絡功能）。下面，以5G 網(wǎng)絡的UDM網(wǎng)絡功能為例，給出基于DHR 構(gòu)造的內(nèi)生安全代理的實現(xiàn)方案及信息真實性核實原理。

基于DHR 構(gòu)造的內(nèi)生安全UDM 如圖7 所示。為簡化系統(tǒng)設計，選用3 個異構(gòu)UDM 執(zhí)行體（增加異構(gòu)UDM 執(zhí)行體的數(shù)量，可以增強內(nèi)生安全構(gòu)造UDM 的抗攻擊能力，但也會增加系統(tǒng)的復雜性），分別執(zhí)行標準的UDM 功能，具體包括輸入信令處理；構(gòu)造新的信令數(shù)據(jù)向下一個信息代理轉(zhuǎn)發(fā)；依據(jù)信息行為操作需求，訪問UDR 數(shù)據(jù)庫；向上一個信息代理反饋信令處理結(jié)果等。其中，3 個UDM 執(zhí)行體要求盡可能避免具有相同的軟硬件漏洞或者設計缺陷，目的是盡可能降低同時被攻擊者挾持且產(chǎn)生共模攻擊的可能性。工程實現(xiàn)過程，“輸出比對”可以采用大數(shù)判決方法，即如果一個UDM執(zhí)行體的輸出與其他2 個不同，則認為這個UDM執(zhí)行體可能發(fā)生了“信息篡改攻擊”；如果一個UDM 執(zhí)行體產(chǎn)生信令輸出，其他UDM 執(zhí)行體沒有輸出，則認為這個UDM 執(zhí)行體可能發(fā)生了“信息行為偽造攻擊”?；谪摲答伩刂乒δ?，可以根據(jù)輸出比對判別結(jié)果控制輸入代理的信令分發(fā)以及控制異構(gòu)UDM 執(zhí)行體的運行。

圖7 基于DHR 構(gòu)造的內(nèi)生安全UDM

不難看出，基于DHR 構(gòu)造的內(nèi)生安全信息代理，不僅能夠在一定程度上保證輸出信息的真實性，還能夠監(jiān)測是否發(fā)生攻擊事件?；贒HR 構(gòu)造的網(wǎng)絡功能的工程實現(xiàn)、性能和效能評估等可以參考文獻[15]。

2.2 以“變隱映射”實現(xiàn)用戶數(shù)據(jù)的“限定可見”

2.2.1 用戶數(shù)據(jù)“變隱映射”機制

要實現(xiàn)用戶數(shù)據(jù)在移動通信網(wǎng)絡中的“限定可見”，最理想的情況是對于可確認正常的通信過程或者通信設備，用戶數(shù)據(jù)可見；對于不可確認或者不可控的通信過程或通信設備，用戶數(shù)據(jù)不可見。而對于當前位于公眾移動通信網(wǎng)中的通信路徑和通信設備而言，均應該認為是不可控通信過程和通信設備[25]。

進一步分析，因作為通信標識的手機號碼對外公開，由表1 和表2 可知，在通信過程和數(shù)據(jù)存儲環(huán)節(jié)，手機號碼作為公開標識（MSISDN 或GPSI）與用戶私有標識（IMSI 或SUPI）、用戶位置標識等其他數(shù)據(jù)全部或者部分在網(wǎng)絡中顯性直接關(guān)聯(lián)，因而，知道手機號碼，就可以從用戶數(shù)據(jù)的存儲、傳輸及使用過程中獲取與其關(guān)聯(lián)的其他數(shù)據(jù)。因而，要解決用戶數(shù)據(jù)的“泛在可見”問題，一個有效途徑是打破或者隱匿已知用戶數(shù)據(jù)與其他用戶數(shù)據(jù)的顯性關(guān)聯(lián)關(guān)系。

進一步從人類行為學分析，攻擊者實施攻擊通常是以特定人、特定群體或特定網(wǎng)絡作為目標，因而代表特定目標的身份標識應該被認為是已知信息。移動通信用戶數(shù)據(jù)保護實質(zhì)上是保護移動通信網(wǎng)中與特定身份標識（用戶標識或者網(wǎng)絡標識）關(guān)聯(lián)的核心數(shù)據(jù)，這里的核心數(shù)據(jù)是指需要保護的用戶數(shù)據(jù)。

基于對用戶數(shù)據(jù)公開性與隱秘性共存并交織這一本質(zhì)特征的認識，本文提出以有效隱藏并動態(tài)改變用戶數(shù)據(jù)關(guān)聯(lián)關(guān)系為突破口，基于“變隱映射”實現(xiàn)用戶數(shù)據(jù)關(guān)聯(lián)關(guān)系主動隱藏[25]。其核心思想是通過特定機制隱藏已知身份標識與核心用戶數(shù)據(jù)集合間的關(guān)聯(lián)關(guān)系，并通過網(wǎng)絡或者系統(tǒng)可控的機制動態(tài)改變該隱性關(guān)聯(lián)關(guān)系，確保非可控的通信過程或者通信設備中用戶信息呈現(xiàn)不完整、不確定、不關(guān)聯(lián)和非真實等特性。

綜上，如果用戶U 的已知身份標識（如手機號碼）用IDU表示，其他核心數(shù)據(jù)的集合用SU表示，即表示集合中的核心數(shù)據(jù)，k表示與IDU關(guān)聯(lián)的核心用戶數(shù)據(jù)個數(shù)。通過在不可控的通信過程或者通信設備中隱匿或者打破IDU與SU或者IDU與SU的某個子集間的關(guān)聯(lián)關(guān)系，就可以大大增加攻擊者對用戶數(shù)據(jù)的攻擊難度，可以想象，如果這種關(guān)聯(lián)關(guān)系可以動態(tài)改變，攻擊者獲取用戶數(shù)據(jù)的難度就會進一步增強。因而，實現(xiàn)移動通信用戶數(shù)據(jù)“限定可見”的核心思想就是在不可控的通信過程或者通信設備中建立IDU與SU或者IDU與SU的某個子集間的“動態(tài)虛擬映射”，也就是通過某種機制動態(tài)改變IDU與SU（或者SU的子集）間的顯性映射關(guān)系，以構(gòu)建不確定的“用戶數(shù)據(jù)虛擬關(guān)系譜”，進而提高攻擊者獲取信息的難度。

進一步，本文提出采用用戶數(shù)據(jù)“動態(tài)變體”作為實現(xiàn)“動態(tài)虛擬映射”的基本方法，即通過“動態(tài)變體”特定用戶數(shù)據(jù)，使單個網(wǎng)元設備無法組合多維真實信息，確保非可控網(wǎng)元設備中用戶信息呈現(xiàn)不完整、不確定、不關(guān)聯(lián)和非真實等特性。

不難看出，建立用戶已知身份標識與用戶核心數(shù)據(jù)集合間的“動態(tài)虛擬映射”有2 種實現(xiàn)方式，一種是通過動態(tài)改變用戶的已知身份標識，隱藏用戶身份；另一種是通過動態(tài)改變用戶的核心數(shù)據(jù)集合或者子集合，隱藏核心用戶數(shù)據(jù)，如圖8 所示。圖8(a)中的等分別表示用戶U 身份標識的不同取值；圖8(b)中的）等分別表示用戶的某個核心數(shù)據(jù)的不同取值。

圖8 動態(tài)虛擬映射的2 種實現(xiàn)方式

基于上述思想，進一步需要解決的核心問題是在當前的移動通信機制下，用戶數(shù)據(jù)能否動態(tài)變體以及動態(tài)變體需要滿足什么樣的條件。

下面，本文從分析用戶數(shù)據(jù)的屬性、時空特性和時空關(guān)聯(lián)特性入手，解決上述問題。

2.2.2 用戶數(shù)據(jù)的屬性、時空特性和關(guān)聯(lián)特性

基于典型制式移動通信網(wǎng)的通信流程和業(yè)務提供機制，本文挖掘了移動通信用戶的手機號碼（MSISDN 或GPSI）、私有身份標識（IMSI 或SUPI）、不同位置標識（MSCID、BSID、CellID 或 AMFID、NR CGI、5G TAI 等）、業(yè)務路由（MSRN、MSCNUM）等用戶核心數(shù)據(jù)的本質(zhì)屬性（用A 表示）和在不同應用場景的內(nèi)在功能（用F 表示），分析了其相互關(guān)聯(lián)使用和關(guān)聯(lián)索引的內(nèi)因。

其中，用戶數(shù)據(jù)的“本質(zhì)屬性”包括數(shù)據(jù)的定義、結(jié)構(gòu)、來源等。用戶數(shù)據(jù)的“內(nèi)在功能”根據(jù)移動通信場景可以是身份驗證功能、路由尋址功能、計費功能、號碼顯示功能、定位功能、輔助功能等。相互關(guān)聯(lián)使用和關(guān)聯(lián)索引的內(nèi)因包括“正向索引需求”“反向索引需求”“雙向索引需求”。所謂“正向索引需求”指需要通過本數(shù)據(jù)，查閱或者請求其他數(shù)據(jù)；“反向索引需求”指需要通過其他某數(shù)據(jù)，查閱或者請求本數(shù)據(jù)；“雙向索引需求”指既具有“正向索引需求”，又具有“反向索引需求”。

此外，本節(jié)還分析了在特定場景和特定網(wǎng)元設備中，用戶不同數(shù)據(jù)的角色（R）及相互間關(guān)聯(lián)屬性。其中，移動通信的特定場景可以用時間域描述，特定網(wǎng)元設備可以用空間域描述。

用戶數(shù)據(jù)在特定時空中的“角色”可用主導（M）、輔助（A）或者可選（O）描述，如3G 中用戶A 撥打用戶B 的場景，用戶A 的服務MSC/VLR需要利用用戶B 的MSISDN 號碼尋址用戶B 的HLR，獲取用戶B 的路由。此時，本文稱在用戶B作為被叫的場景，用戶B 的MSISDN 號碼在用戶A的服務MSC/VLR 中處于主導角色，而其他數(shù)據(jù)，如用戶B 的IMSI 和位置信息等，在用戶A 的服務MSC/VLR 中的主要作用是計費，此時，本文稱在用戶B 作為被叫的場景，用戶B 的IMSI 和位置標識在用戶A 的服務MSC/VLR 中處于輔助角色。移動通信機制決定當用戶數(shù)據(jù)在某個特定時空中處于主導角色時，該數(shù)據(jù)是不能改變的。

特定用戶的某個數(shù)據(jù)與其他數(shù)據(jù)在特定時空中的關(guān)聯(lián)屬性可用關(guān)聯(lián)和非關(guān)聯(lián)表示。例如，在用戶A 作為主叫的場景，用戶A 的IMSI 與其位置標識在用戶A 的服務MSC/VLR 中是關(guān)聯(lián)的，而其位置標識與簽約業(yè)務清單是不關(guān)聯(lián)的。

通過對用戶數(shù)據(jù)“內(nèi)在屬性”“內(nèi)在功能”及“關(guān)聯(lián)使用和關(guān)聯(lián)索引”的分析，可以明確定位其在不同時空坐標中的角色以及與其他數(shù)據(jù)的關(guān)聯(lián)屬性。基于用戶數(shù)據(jù)的時空特性和關(guān)聯(lián)特性，可以得到用戶數(shù)據(jù)的“時空關(guān)系序列”，該關(guān)系序列清楚地表示了用戶數(shù)據(jù)在特定場景、特定網(wǎng)元設備中的屬性、功能、角色以及相互關(guān)聯(lián)關(guān)系?！皶r空關(guān)系序列”為分析特定用戶數(shù)據(jù)在特定時空能否動態(tài)變體提供了依據(jù)。

2.2.3 用戶數(shù)據(jù)動態(tài)變體的時機和條件

基于上述分析，結(jié)合移動通信的協(xié)議體系和業(yè)務提供模式，本節(jié)提出了用戶數(shù)據(jù)動態(tài)變體方法。該方法描述為基于某用戶的身份標識或者其核心數(shù)據(jù)集合中的某個（或某些）用戶數(shù)據(jù)在“時空關(guān)系譜”序列中的“來源”屬性、角色和關(guān)聯(lián)特性，對“非本地產(chǎn)生”、在網(wǎng)絡中具備“動態(tài)變更身份”且處于“非主導角色”的用戶身份標識或者核心數(shù)據(jù)進行“動態(tài)變體”。

所謂“非本地產(chǎn)生”是指在用戶數(shù)據(jù)的“時空關(guān)系譜”序列中，用戶數(shù)據(jù)不是當前網(wǎng)元產(chǎn)生的，對來源為終端設備的用戶數(shù)據(jù)歸類為“本地產(chǎn)生”；具備“動態(tài)變更身份”是指在現(xiàn)有移動通信協(xié)議體系中，用戶終端設備或者網(wǎng)絡可以通過標準的通信流程對該數(shù)據(jù)進行修改。

圖9 以3G 網(wǎng)絡為例，標注了用戶數(shù)據(jù)“來源”屬性（圖9 括號中的標示）的時空關(guān)系序列，其中，T 表示數(shù)據(jù)來自移動終端設備，H 表示數(shù)據(jù)來自歸屬網(wǎng)絡網(wǎng)元HLR，V1表示數(shù)據(jù)來自MSC1/VLR1（主叫用戶的服務MSC/VLR），V2表示數(shù)據(jù)來自MSC2/VLR2（被叫用戶的服務MSC/VLR），O 表示數(shù)據(jù)是網(wǎng)元設備自身存儲的，S 表示數(shù)據(jù)是本網(wǎng)元自行臨時分配的。上述的主叫用戶特指發(fā)起語音或者其他業(yè)務呼叫的用戶，被叫用戶指與主叫用戶建立通信聯(lián)系的用戶。

圖9 3G 網(wǎng)絡中用戶數(shù)據(jù)在特定場景時空坐標中的關(guān)系序列

下面，基于用戶作為被叫場景，示例用戶數(shù)據(jù)“動態(tài)變體”的時機和條件。

圖9 中MSC1/VLR1中關(guān)聯(lián)了被叫用戶的手機號碼MSISDN、被叫用戶的位置信息MSCID 以及被叫用戶的路由信息MSRN，其中，MSISDN 是主叫用戶撥打的號碼，來自發(fā)起呼叫的終端設備；MSCID 是MSC1/VLR1以MSISDN 為索引，通過標準的信令流程從被叫用戶的HLR 中申請的；MSRN也是通過MSISDN 為索引，通過標準的信令流程經(jīng)HLR 請求MSC2/VLR2臨時分配的。

用戶數(shù)據(jù)“動態(tài)變體”的一個執(zhí)行例就是根據(jù)前面分析的用戶數(shù)據(jù)屬性及角色，MSISDN 作為被撥打的號碼，在用戶作為被叫的應用場景，其主要功能是尋址被叫用戶的HLR，處于“主導”角色，不具備“動態(tài)變體”條件，而MSCID 和MSRN 作為“輔助”角色，同時滿足“非本地產(chǎn)生”“在網(wǎng)絡中具備‘動態(tài)變更身份’”2 個條件，因而可對其進行“動態(tài)變體”。

通過對MSCID 和MSRN 進行動態(tài)變體，實現(xiàn)了在主叫用戶的服務MSC/VLR 以及通信協(xié)議傳遞路徑中用戶身份與位置信息的虛擬關(guān)聯(lián)，達到了隱匿被叫用戶真實位置和真實路由的目的。

不難分析，在所有制式移動通信網(wǎng)的用戶位置更新場景，同樣可以通過對用戶的MSISDN 號碼（或GPSI 號碼）進行“動態(tài)變體”，建立虛擬用戶的數(shù)據(jù)關(guān)聯(lián)關(guān)系[26]，達到隱藏用戶真實位置、真實路由、私有標識IMSI（或SUPI）等核心數(shù)據(jù)的目的。

此外，要對特定用戶數(shù)據(jù)進行動態(tài)變體，除了該數(shù)據(jù)要滿足上述條件外，還需要研究用戶數(shù)據(jù)如何動態(tài)變體以及變體后如何保證網(wǎng)絡和用戶的正常通信，即用戶數(shù)據(jù)實現(xiàn)“變隱映射”后的工程實現(xiàn)及可行性驗證。由于篇幅所限，本文省略了相關(guān)內(nèi)容。作者研究團隊基于典型制式的移動通信網(wǎng)絡，通過研制原理樣機，驗證了本文提出的用戶數(shù)據(jù)“變隱映射”安全機制的可行性。基于MSISDN動態(tài)變體實現(xiàn)用戶數(shù)據(jù)“限定可見”安全機制的方法、工程實現(xiàn)及安全性分析可以參考文獻[26]，相關(guān)方法同樣適用于5G 網(wǎng)絡對應的應用場景。

3 結(jié)束語

網(wǎng)絡空間內(nèi)生安全是網(wǎng)絡空間安全領(lǐng)域的新發(fā)展范式[27]，網(wǎng)絡空間內(nèi)生安全問題的研究和挖掘是網(wǎng)絡空間內(nèi)生安全體制和機制創(chuàng)新的基礎(chǔ)。本文基于移動通信機理和移動通信網(wǎng)絡服務特性，剖析了移動通信網(wǎng)特有機制尤其是移動性管理機制存在的內(nèi)生安全問題或內(nèi)生安全缺陷，指出了這些安全缺陷可能帶來的安全威脅，這些內(nèi)生安全問題或缺陷也可以認為是移動通信網(wǎng)存在的共性內(nèi)生安全問題。此外，本文從問題化解的角度，提出了解決這些內(nèi)生安全問題的思路和方法，開拓了移動通信網(wǎng)安全問題研究的新視角，希望為業(yè)界開展B5G、6G 等新一代移動通信網(wǎng)內(nèi)生安全機制研究提供思路和參考。