劉彩霞，季新生，鄔江興

（1.國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002；2.軍事科學(xué)院系統(tǒng)工程研究院，北京 100091）

0 引言

移動(dòng)通信網(wǎng)作為國家最重要的信息通信基礎(chǔ)設(shè)施之一，在國家戰(zhàn)略、國計(jì)民生、國防建設(shè)等方面發(fā)揮著越來越重要的作用，尤其是進(jìn)入5G 移動(dòng)通信時(shí)代，隨著新技術(shù)的賦能，5G 網(wǎng)絡(luò)作為國家“新基建”的首選，被賦予為國家經(jīng)濟(jì)高質(zhì)量可持續(xù)發(fā)展和網(wǎng)絡(luò)強(qiáng)國建設(shè)提供新引擎的重任[1]，并為工業(yè)、能源、交通、醫(yī)療等垂直行業(yè)提供通信服務(wù)，成為移動(dòng)通信網(wǎng)的新使命，移動(dòng)通信技術(shù)發(fā)展和網(wǎng)絡(luò)建設(shè)的戰(zhàn)略意義達(dá)到空前高度。據(jù)統(tǒng)計(jì)，截至2022 年2 月，我國移動(dòng)通信用戶數(shù)達(dá)到16.48 億，其中5G 用戶達(dá)到3.84 億。

移動(dòng)通信網(wǎng)的戰(zhàn)略地位得到高度重視的同時(shí)，其安全問題也成為業(yè)界關(guān)注的焦點(diǎn)。國外以3GPP、國際電信聯(lián)盟電信標(biāo)準(zhǔn)局（ITU-T,Telecommunication Standardization Sector of the International Telecommunications Union）、全球移動(dòng)通信系統(tǒng)協(xié)會(huì)（GSMA,Global System Mobile Association），國內(nèi)以中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA,China Communications Standards Association）、IMT-2020(5G)推進(jìn)組等為代表的標(biāo)準(zhǔn)化組織均成立了專門的移動(dòng)通信安全研究組，大力開展移動(dòng)通信系統(tǒng)尤其是5G 系統(tǒng)的安全和標(biāo)準(zhǔn)化研究工作，已經(jīng)形成系列研究報(bào)告、白皮書和安全標(biāo)準(zhǔn)[2-13]，內(nèi)容涉及移動(dòng)終端、IT 化網(wǎng)絡(luò)基礎(chǔ)設(shè)施、通信網(wǎng)絡(luò)、應(yīng)用與服務(wù)、數(shù)據(jù)、運(yùn)營管理等多個(gè)方面。相對(duì)于傳統(tǒng)移動(dòng)通信網(wǎng)，新技術(shù)和新標(biāo)準(zhǔn)賦能的5G、B5G 移動(dòng)通信網(wǎng)的安全能力大大提升，尤其是2G/3G/4G移動(dòng)通信網(wǎng)普遍存在的空中接口用戶信息泄露、核心網(wǎng)缺乏訪問控制、網(wǎng)間互通缺乏有效監(jiān)管等問題得到大大改善，一定程度上彌補(bǔ)了傳統(tǒng)移動(dòng)通信網(wǎng)被業(yè)界普遍關(guān)注的安全缺陷。但是，移動(dòng)通信機(jī)理決定移動(dòng)通信網(wǎng)即使代際更新，也依然有其自身固有的通信機(jī)制，即使網(wǎng)絡(luò)架構(gòu)、協(xié)議體系、業(yè)務(wù)提供方式等發(fā)生變化，其固有的通信機(jī)制也不會(huì)改變，例如，移動(dòng)通信不會(huì)改變其無線通信的特點(diǎn)，也不會(huì)改變其“支持用戶廣泛移動(dòng)”的特點(diǎn)。根據(jù)事物矛盾的雙面性，移動(dòng)通信網(wǎng)固有的通信機(jī)制必定存在安全缺陷[14]，本文稱之為基因缺陷或者移動(dòng)通信網(wǎng)的內(nèi)生安全缺陷或者內(nèi)生安全共性問題，這些安全缺陷在理論和工程層面不可能依賴“補(bǔ)丁式”或“外掛式”安全機(jī)制徹底消除[14]，需要具有“內(nèi)生安全特性”的體制或者機(jī)制來有效規(guī)避或化解[15]。

本文基于移動(dòng)通信網(wǎng)的通信機(jī)理和固有通信機(jī)制，剖析了移動(dòng)通信網(wǎng)的內(nèi)生安全共性問題及可能帶來的安全威脅，并在鄔江興院士解決網(wǎng)絡(luò)空間內(nèi)生安全問題相關(guān)理論[14-15]的指導(dǎo)下，研究提出了解決移動(dòng)通信網(wǎng)內(nèi)生安全問題的一些思路和方法。

1 移動(dòng)通信網(wǎng)的內(nèi)生安全共性問題

“支持終端隨意移動(dòng)”和“依賴用戶實(shí)時(shí)位置提供服務(wù)”是移動(dòng)通信的本質(zhì)特征。因此，移動(dòng)通信網(wǎng)的終端接入只能依賴無線通信，而對(duì)移動(dòng)終端或用戶實(shí)施移動(dòng)性管理也是移動(dòng)通信網(wǎng)的固有功能。可以認(rèn)為，“無線通信”和“用戶移動(dòng)性管理”是移動(dòng)通信網(wǎng)的固有特性，也就是說，隨著代際發(fā)展，新技術(shù)不斷引入，網(wǎng)絡(luò)架構(gòu)、協(xié)議體系、業(yè)務(wù)提供模式等不斷演進(jìn)，移動(dòng)通信網(wǎng)的服務(wù)能力越來越強(qiáng)，但其固有特性不會(huì)改變?；凇叭魏问挛锒际敲艿慕y(tǒng)一體”這個(gè)共識(shí)[16]，移動(dòng)通信網(wǎng)在提供方便快捷和泛在通信服務(wù)的同時(shí)，其固有功能或者特性必然存在顯式的副作用或者隱式的暗功能。一些非良性的副作用或者暗功能，本文稱之為移動(dòng)通信網(wǎng)的內(nèi)生安全缺陷或者內(nèi)生安全共性問題[15]，某種意義上也可以稱之為移動(dòng)通信網(wǎng)的“基因缺陷”。這些內(nèi)生安全共性問題或者基因缺陷在外部因素的作用下，則可能產(chǎn)生“內(nèi)生安全威脅”[15]。文獻(xiàn)[17]介紹了無線環(huán)境的內(nèi)源性缺陷以及由此引發(fā)的無線內(nèi)生安全問題，本文則主要分析移動(dòng)通信網(wǎng)“移動(dòng)性管理”機(jī)制的基因缺陷以及相關(guān)缺陷可能引入的內(nèi)生安全威脅。

1.1 代理通告機(jī)制存在“信息真實(shí)性默認(rèn)”缺陷

“移動(dòng)性管理功能”是移動(dòng)通信網(wǎng)為用戶提供服務(wù)的基礎(chǔ)。為支持用戶的移動(dòng)性，避免用戶位置信息被頻繁傳遞，移動(dòng)通信網(wǎng)采用分布式管理模式，包括以下三級(jí)：歸屬域網(wǎng)絡(luò)功能，如3G 網(wǎng)絡(luò)的歸屬位置寄存器（HLR,home location register）、4G 網(wǎng)絡(luò)的歸屬用戶服務(wù)器（HSS,home subscriber server）、5G 網(wǎng)絡(luò)的用戶數(shù)據(jù)管理（UDM,user data management）功能，下文統(tǒng)一用HNF（home network function）表示；拜訪地網(wǎng)絡(luò)功能，如3G 網(wǎng)絡(luò)的拜訪位置寄存器（VLR,visitor location register）、4G 網(wǎng)絡(luò)的移動(dòng)性管理實(shí)體（MME,mobile management entity）、5G 網(wǎng)絡(luò)的接入管理功能（AMF,access management function），下文統(tǒng)一用VNF（visitor network function）表示；基站子系統(tǒng)（BSS,base station subsystem），如圖1 所示。HNF 存放用戶當(dāng)前所在的VNF 服務(wù)區(qū)信息、簽約身份標(biāo)識(shí)和簽約服務(wù)清單，后兩者在下文統(tǒng)稱為用戶身份信息；VNF 存放用戶當(dāng)前所在的基站位置區(qū)信息。

圖1 移動(dòng)通信網(wǎng)的分布式位置信息管理示意

當(dāng)用戶的位置發(fā)生變化時(shí)，如果只涉及同一個(gè)VNF 管轄的服務(wù)基站，其信息變化只在該VNF 中處理；當(dāng)用戶跨VNF 服務(wù)區(qū)移動(dòng)時(shí)（如圖2 所示），其當(dāng)前服務(wù)VNF（如圖2 中的VNF2）會(huì)依據(jù)終端發(fā)起的位置注冊或者位置更新請(qǐng)求，向用戶的歸屬HNF 通告用戶的位置變化（圖2 中的過程①），HNF收到通告后，首先向用戶先前的服務(wù)VNF（如圖2中的VNF1）發(fā)送刪除用戶位置和身份信息的通告（圖2 中的過程②），然后存儲(chǔ)用戶更新后的位置信息，并將用戶的身份標(biāo)識(shí)和部分簽約服務(wù)數(shù)據(jù)（下文簡稱部分身份信息）通報(bào)給VNF2（圖2 中的過程③）。由圖2 可知，在用戶的移動(dòng)性管理流程中，VNF2和HNF 分別作為“終端代理”間接向HNF和VNF1通告終端或者用戶的位置信息變化，而HNF 也作為“運(yùn)營商代理”向VNF2通告用戶的身份信息。本文將上述“通告”流程稱為移動(dòng)通信網(wǎng)的“代理通告”機(jī)制。

圖2 移動(dòng)通信用戶的位置更新通告流程

通過分析不難看出，移動(dòng)通信網(wǎng)對(duì)用戶身份和位置信息的“代理通告”機(jī)制會(huì)伴隨如下安全問題。

1) HNF 可以核實(shí)用戶簽約身份的真實(shí)性和合法性，但對(duì)用戶當(dāng)前所處位置信息的掌握依賴于VNF 的通告，對(duì)VNF 通告的用戶位置信息默認(rèn)其是真實(shí)準(zhǔn)確的，HNF 本身無法實(shí)時(shí)核實(shí)該用戶所處位置的準(zhǔn)確性。

2) VNF 可掌握終端上報(bào)的準(zhǔn)確位置信息，但是對(duì)HNF 通報(bào)的用戶身份信息也是默認(rèn)真實(shí)準(zhǔn)確的，在當(dāng)前的通信機(jī)制下，VNF 無法實(shí)時(shí)核實(shí)用戶身份信息的真實(shí)性。

本文稱上述問題為移動(dòng)通信網(wǎng)的信息“真實(shí)性默認(rèn)”缺陷。這種信息“真實(shí)性默認(rèn)”缺陷在電信運(yùn)營商管控的封閉環(huán)境下，安全問題難以顯現(xiàn)。但是隨著移動(dòng)通信網(wǎng)從1G/2G 發(fā)展到3G/4G 乃至5G/B5G，移動(dòng)通信網(wǎng)與互聯(lián)網(wǎng)逐漸融合走向開放，原有的封閉環(huán)境已不復(fù)存在，隨之而來的“合法網(wǎng)元被挾持攻擊”、由漏洞后門引發(fā)的“信息篡改攻擊”等暴露了這種信息“真實(shí)性默認(rèn)”缺陷極大的安全問題[18]。

為了應(yīng)對(duì)移動(dòng)通信網(wǎng)復(fù)雜開放環(huán)境下的弱信任挑戰(zhàn)，國際標(biāo)準(zhǔn)組織也在不斷努力，主要的措施集中在針對(duì)開放環(huán)境增加信任措施，例如，添加網(wǎng)絡(luò)功能間的認(rèn)證授權(quán)機(jī)制、增加信息傳遞過程的機(jī)密性和完整性保護(hù)機(jī)制等[19]，很明顯，這些機(jī)制可以在一定程度上保證網(wǎng)絡(luò)功能的合法性和網(wǎng)絡(luò)功能間信息交互的安全性，但難以保證信息的可信性，也就是說，原理上，這些安全機(jī)制無法驗(yàn)證合法的網(wǎng)絡(luò)功能假冒“代理身份”發(fā)起的虛假信息通告，也無法驗(yàn)證合法的網(wǎng)絡(luò)功能作為“代理身份”通告的信息真實(shí)性。

事實(shí)上，這種“真實(shí)性默認(rèn)”缺陷也滲透在移動(dòng)通信網(wǎng)信息訪問交流的方方面面，包括移動(dòng)通信網(wǎng)中各種網(wǎng)元設(shè)備之間交互信令消息和協(xié)議流程等都秉持默認(rèn)的真實(shí)性，只要收發(fā)消息的是“自己人”（即擁有合法網(wǎng)元身份），就不再過多分析判斷信息本身、信息行為等的合理性，伴隨網(wǎng)絡(luò)環(huán)境的開放和信任邊界的模糊，移動(dòng)通信網(wǎng)的“真實(shí)性默認(rèn)”缺陷已經(jīng)成為近年來頻頻曝光的多種移動(dòng)通信核心網(wǎng)竊密攻擊的出發(fā)點(diǎn)，事實(shí)上也成為當(dāng)前移動(dòng)通信網(wǎng)安全防護(hù)的“死穴”。

1.2 “分布式管理”機(jī)制導(dǎo)致用戶數(shù)據(jù)泛在可見

如前所述，移動(dòng)通信網(wǎng)為支持用戶移動(dòng)或者漫游，對(duì)與用戶身份和位置信息關(guān)聯(lián)的用戶數(shù)據(jù)采用分布式的三級(jí)管理機(jī)制。當(dāng)用戶移動(dòng)到一個(gè)新的基站無線信號(hào)覆蓋區(qū)或者拜訪地服務(wù)區(qū)時(shí)，不僅終端要逐級(jí)通告自身的實(shí)時(shí)位置標(biāo)識(shí)，用戶的身份標(biāo)識(shí)也會(huì)從歸屬HNF 流向用戶拜訪地的VNF；網(wǎng)絡(luò)為用戶提供服務(wù)的過程中，用戶的身份標(biāo)識(shí)、位置標(biāo)識(shí)、簽約數(shù)據(jù)、動(dòng)態(tài)業(yè)務(wù)數(shù)據(jù)等會(huì)在移動(dòng)通信網(wǎng)的不同網(wǎng)絡(luò)功能或者基站的無線覆蓋環(huán)境中傳遞和使用。也就是說，隨著用戶移動(dòng)，用戶數(shù)據(jù)可能在用戶可達(dá)的所有網(wǎng)域和網(wǎng)絡(luò)功能中廣泛傳遞、存儲(chǔ)和使用。表1 為用戶數(shù)據(jù)在3G 網(wǎng)絡(luò)不同網(wǎng)元的分布情況，表2 為用戶數(shù)據(jù)在5G 網(wǎng)絡(luò)不同網(wǎng)絡(luò)功能的分布情況。

表1 用戶數(shù)據(jù)在3G 網(wǎng)絡(luò)不同網(wǎng)元的分布情況

表2 用戶數(shù)據(jù)在5G 網(wǎng)絡(luò)不同網(wǎng)絡(luò)功能的分布情況

尤其是當(dāng)用戶漫游到境外網(wǎng)絡(luò)時(shí)，用戶的身份和位置等關(guān)聯(lián)數(shù)據(jù)也會(huì)如圖3 虛線箭頭所示，在境內(nèi)、境外網(wǎng)絡(luò)的傳輸通道以及境內(nèi)、境外網(wǎng)絡(luò)的不同網(wǎng)元設(shè)備（如圖3 中的AMF 和SMF）中傳遞、存儲(chǔ)和使用。

圖3 5G 網(wǎng)絡(luò)漫游組網(wǎng)示意

綜上可以看出，移動(dòng)通信網(wǎng)用戶數(shù)據(jù)分布式管理機(jī)制的好處是網(wǎng)絡(luò)功能在業(yè)務(wù)提供過程可以“就近取材”，減少數(shù)據(jù)使用中的檢索還原層次和頻次，缺陷是帶來用戶數(shù)據(jù)“泛在分布”，導(dǎo)致用戶數(shù)據(jù)“泛在可見”。尤其是手機(jī)等移動(dòng)通信終端通常與用戶緊密捆綁，位置和身份關(guān)聯(lián)數(shù)據(jù)直接涉及用戶隱私，因而，移動(dòng)通信用戶的隱私安全問題也是移動(dòng)通信體制機(jī)制伴隨的安全問題。

受移動(dòng)通信“效率優(yōu)先”和“服務(wù)優(yōu)?！痹O(shè)計(jì)理念以及網(wǎng)絡(luò)處理能力的限制，用戶數(shù)據(jù)的分布式管理和代理通告機(jī)制在短期內(nèi)很難改變，至少目前正在建設(shè)的5G 網(wǎng)絡(luò)依然如此。

2 移動(dòng)通信網(wǎng)內(nèi)生安全共性問題的破解之道

根據(jù)網(wǎng)絡(luò)空間內(nèi)生安全理論[15,20]，網(wǎng)絡(luò)空間內(nèi)生安全問題與其本征功能實(shí)體間是事物內(nèi)部之間互相依賴又互相排斥的矛盾性表達(dá)，具有不可分割性，只可能演進(jìn)轉(zhuǎn)化而不可能徹底消除。通過上面的分析，移動(dòng)通信網(wǎng)存在的“信息真實(shí)性默認(rèn)”“數(shù)據(jù)泛在可見”問題，本質(zhì)上是由移動(dòng)通信網(wǎng)的“代理通告”機(jī)制和用戶數(shù)據(jù)組織管理機(jī)制造成的，因而要破解這2 個(gè)安全問題，要從“通告代理”和數(shù)據(jù)組織管理機(jī)制著手，從機(jī)制層面將“默認(rèn)信任”轉(zhuǎn)化為“默認(rèn)不信任”、將“泛在可見”轉(zhuǎn)化為“限定可見”。

2.1 以零信任打破“默認(rèn)的信任”

零信任作為一種安全概念，以“默認(rèn)不信任”的安全防護(hù)理念，受到業(yè)界廣泛關(guān)注。其具有如下安全防護(hù)原則[21]。

1) 永不信任，持續(xù)驗(yàn)證——構(gòu)建以資源為中心的安全邊界，對(duì)訪問主體的身份、位置、設(shè)備、數(shù)據(jù)源、服務(wù)或工作負(fù)載等進(jìn)行持續(xù)驗(yàn)證，資源包括但不限于業(yè)務(wù)應(yīng)用、服務(wù)接口、操作功能和數(shù)據(jù)。

2) 最低權(quán)限授權(quán)訪問——基于訪問主體的屬性、業(yè)務(wù)邏輯、應(yīng)用上下文以及受訪資源的屬性和訪問控制策略進(jìn)行最小范圍授權(quán)。

3) 持續(xù)信任評(píng)估、動(dòng)態(tài)訪問控制——實(shí)時(shí)評(píng)估訪問主體和資源的安全狀態(tài)，根據(jù)安全狀態(tài)動(dòng)態(tài)設(shè)立訪問控制策略。

不難得出以下結(jié)論：用零信任的“默認(rèn)不信任”安全防護(hù)理念對(duì)抗移動(dòng)通信網(wǎng)的信息“真實(shí)性默認(rèn)”缺陷，必有化解之道。

當(dāng)前，基于零信任增強(qiáng)移動(dòng)通信網(wǎng)的安全防護(hù)能力這一思路得到業(yè)界的廣泛認(rèn)可，文獻(xiàn)[22]給出了單包授權(quán)、異常流量監(jiān)控、網(wǎng)絡(luò)功能信任評(píng)估等7 個(gè)潛在方向作為5G 核心網(wǎng)安全的零信任增強(qiáng)；文獻(xiàn)[23]給出了5G 網(wǎng)絡(luò)切片安全零信任保護(hù)機(jī)制；文獻(xiàn)[24]提出了一種基于零信任的5G 網(wǎng)絡(luò)網(wǎng)元功能信任評(píng)估方法；IMT-2020(5G)推進(jìn)組于2022 年4 月發(fā)布了“5G 零信任安全技術(shù)研究”報(bào)告[12]，給出了零信任在5G 網(wǎng)絡(luò)中的可能應(yīng)用場景和部分應(yīng)用場景的解決方案。從目前業(yè)界的研究著重點(diǎn)看，已有的移動(dòng)通信網(wǎng)零信任安全增強(qiáng)機(jī)制均意在加強(qiáng)對(duì)信息交互過程中網(wǎng)元身份、網(wǎng)元行為合法性和合理性的判定，沒有針對(duì)網(wǎng)絡(luò)中交互的信息內(nèi)容、信息行為等真實(shí)性的判別。因而，要化解移動(dòng)通信網(wǎng)信息“真實(shí)性默認(rèn)”缺陷，需要在當(dāng)前移動(dòng)通信網(wǎng)“代理通告”機(jī)制的基礎(chǔ)上，引入“信息持續(xù)核實(shí)”機(jī)制，包括信息產(chǎn)生真實(shí)性的核實(shí)和信息本身真實(shí)性的核實(shí)。

基于移動(dòng)通信網(wǎng)“合法網(wǎng)元被挾持攻擊”“信息篡改攻擊”（下文簡稱信息攻擊）等產(chǎn)生的原理，本文基于內(nèi)生安全構(gòu)造機(jī)理，通過打造具有動(dòng)態(tài)異構(gòu)冗余（DHR,dynamic heterogeneous redundancy）構(gòu)造的信息通告代理，實(shí)現(xiàn)對(duì)代理產(chǎn)生的信息內(nèi)容和信息行為的“持續(xù)核實(shí)”。

2.1.1 移動(dòng)通信網(wǎng)的信息攻擊原理

根據(jù)圖1 和圖2，基于如圖4 所示的5G 用戶終端位置更新過程，給出移動(dòng)通信網(wǎng)基于代理的信息通告一般模型，如圖5 所示。

圖4 中，5G 用戶終端發(fā)生跨AMF 服務(wù)區(qū)的位置變化，首先通告無線信號(hào)覆蓋區(qū)的5G 基站（gNB），gNB 再通告核心網(wǎng)的AMF，AMF 被授權(quán)后，訪問UDM，通過UDM 將用戶位置變化信息通告UDR，UDR 存儲(chǔ)用戶新的位置。為描述問題的針對(duì)性，圖4 省略了用戶的鑒權(quán)認(rèn)證過程和網(wǎng)絡(luò)功能的服務(wù)訪問授權(quán)過程。

基于圖4 所示的用戶終端位置更新流程，本文可以把gNB 看作終端位置信息通告的第一個(gè)代理，AMF 看作第二個(gè)代理，UDM 看作第三個(gè)代理。為此，給出移動(dòng)通信網(wǎng)基于代理的信息通告一般模型。不同的信息（行為）從觸發(fā)起點(diǎn)到信息終點(diǎn)需要經(jīng)過的代理個(gè)數(shù)K可能不同。

圖4 5G 用戶終端位置更新過程

假設(shè)信息傳遞路徑均采用機(jī)密性和完整性保護(hù)機(jī)制且可以實(shí)現(xiàn)信息防篡改，從圖5 可以看出，移動(dòng)通信網(wǎng)的信息代理通告機(jī)制產(chǎn)生的“信息攻擊”可能來自信息傳遞路徑上的任何一個(gè)信息（行為）轉(zhuǎn)發(fā)代理。事實(shí)證明，這些具備信息（行為）轉(zhuǎn)發(fā)代理功能的網(wǎng)元或者網(wǎng)絡(luò)功能，不僅可能篡改從信息（行為）觸發(fā)起點(diǎn)或者前一個(gè)信息（行為）轉(zhuǎn)發(fā)代理收到的信息數(shù)據(jù)，也可能構(gòu)造虛假的信息（行為）對(duì)信息（行為）終點(diǎn)進(jìn)行信息攻擊。

圖5 移動(dòng)通信網(wǎng)基于代理的信息通告一般模型

2.1.2 采用DHR 構(gòu)造的內(nèi)生安全代理實(shí)現(xiàn)信息核實(shí)

動(dòng)態(tài)異構(gòu)冗余架構(gòu)[15]是在功能等價(jià)條件下通過軟硬件層級(jí)化的異構(gòu)冗余資源部署，配合輸出裁決、反饋控制和多維動(dòng)態(tài)重構(gòu)等機(jī)制，實(shí)現(xiàn)“測量感知、誤差識(shí)別、反饋迭代”等，能夠同時(shí)應(yīng)對(duì)“基于暗功能的人為攻擊”和軟硬件隨機(jī)性失效引發(fā)的故障，可提供傳統(tǒng)可靠性與網(wǎng)絡(luò)安全性一體化的功能安全，其抽象模型[15]如圖6 所示?；贒HR 架構(gòu)構(gòu)造的信息系統(tǒng)也被稱為內(nèi)生安全構(gòu)造系統(tǒng)。

圖6 DHR 架構(gòu)的抽象模型

本文基于DHR 架構(gòu)的多異構(gòu)執(zhí)行體運(yùn)行環(huán)境、輸出裁決、反饋控制等機(jī)制，設(shè)計(jì)具有信息內(nèi)容和信息行為真實(shí)性核實(shí)機(jī)制的移動(dòng)通信網(wǎng)絡(luò)信息代理（網(wǎng)元或者網(wǎng)絡(luò)功能）。下面，以5G 網(wǎng)絡(luò)的UDM網(wǎng)絡(luò)功能為例，給出基于DHR 構(gòu)造的內(nèi)生安全代理的實(shí)現(xiàn)方案及信息真實(shí)性核實(shí)原理。

基于DHR 構(gòu)造的內(nèi)生安全UDM 如圖7 所示。為簡化系統(tǒng)設(shè)計(jì)，選用3 個(gè)異構(gòu)UDM 執(zhí)行體（增加異構(gòu)UDM 執(zhí)行體的數(shù)量，可以增強(qiáng)內(nèi)生安全構(gòu)造UDM 的抗攻擊能力，但也會(huì)增加系統(tǒng)的復(fù)雜性），分別執(zhí)行標(biāo)準(zhǔn)的UDM 功能，具體包括輸入信令處理；構(gòu)造新的信令數(shù)據(jù)向下一個(gè)信息代理轉(zhuǎn)發(fā)；依據(jù)信息行為操作需求，訪問UDR 數(shù)據(jù)庫；向上一個(gè)信息代理反饋信令處理結(jié)果等。其中，3 個(gè)UDM 執(zhí)行體要求盡可能避免具有相同的軟硬件漏洞或者設(shè)計(jì)缺陷，目的是盡可能降低同時(shí)被攻擊者挾持且產(chǎn)生共模攻擊的可能性。工程實(shí)現(xiàn)過程，“輸出比對(duì)”可以采用大數(shù)判決方法，即如果一個(gè)UDM執(zhí)行體的輸出與其他2 個(gè)不同，則認(rèn)為這個(gè)UDM執(zhí)行體可能發(fā)生了“信息篡改攻擊”；如果一個(gè)UDM 執(zhí)行體產(chǎn)生信令輸出，其他UDM 執(zhí)行體沒有輸出，則認(rèn)為這個(gè)UDM 執(zhí)行體可能發(fā)生了“信息行為偽造攻擊”?；谪?fù)反饋控制功能，可以根據(jù)輸出比對(duì)判別結(jié)果控制輸入代理的信令分發(fā)以及控制異構(gòu)UDM 執(zhí)行體的運(yùn)行。

圖7 基于DHR 構(gòu)造的內(nèi)生安全UDM

不難看出，基于DHR 構(gòu)造的內(nèi)生安全信息代理，不僅能夠在一定程度上保證輸出信息的真實(shí)性，還能夠監(jiān)測是否發(fā)生攻擊事件。基于DHR 構(gòu)造的網(wǎng)絡(luò)功能的工程實(shí)現(xiàn)、性能和效能評(píng)估等可以參考文獻(xiàn)[15]。

2.2 以“變隱映射”實(shí)現(xiàn)用戶數(shù)據(jù)的“限定可見”

2.2.1 用戶數(shù)據(jù)“變隱映射”機(jī)制

要實(shí)現(xiàn)用戶數(shù)據(jù)在移動(dòng)通信網(wǎng)絡(luò)中的“限定可見”，最理想的情況是對(duì)于可確認(rèn)正常的通信過程或者通信設(shè)備，用戶數(shù)據(jù)可見；對(duì)于不可確認(rèn)或者不可控的通信過程或通信設(shè)備，用戶數(shù)據(jù)不可見。而對(duì)于當(dāng)前位于公眾移動(dòng)通信網(wǎng)中的通信路徑和通信設(shè)備而言，均應(yīng)該認(rèn)為是不可控通信過程和通信設(shè)備[25]。

進(jìn)一步分析，因作為通信標(biāo)識(shí)的手機(jī)號(hào)碼對(duì)外公開，由表1 和表2 可知，在通信過程和數(shù)據(jù)存儲(chǔ)環(huán)節(jié)，手機(jī)號(hào)碼作為公開標(biāo)識(shí)（MSISDN 或GPSI）與用戶私有標(biāo)識(shí)（IMSI 或SUPI）、用戶位置標(biāo)識(shí)等其他數(shù)據(jù)全部或者部分在網(wǎng)絡(luò)中顯性直接關(guān)聯(lián)，因而，知道手機(jī)號(hào)碼，就可以從用戶數(shù)據(jù)的存儲(chǔ)、傳輸及使用過程中獲取與其關(guān)聯(lián)的其他數(shù)據(jù)。因而，要解決用戶數(shù)據(jù)的“泛在可見”問題，一個(gè)有效途徑是打破或者隱匿已知用戶數(shù)據(jù)與其他用戶數(shù)據(jù)的顯性關(guān)聯(lián)關(guān)系。

進(jìn)一步從人類行為學(xué)分析，攻擊者實(shí)施攻擊通常是以特定人、特定群體或特定網(wǎng)絡(luò)作為目標(biāo)，因而代表特定目標(biāo)的身份標(biāo)識(shí)應(yīng)該被認(rèn)為是已知信息。移動(dòng)通信用戶數(shù)據(jù)保護(hù)實(shí)質(zhì)上是保護(hù)移動(dòng)通信網(wǎng)中與特定身份標(biāo)識(shí)（用戶標(biāo)識(shí)或者網(wǎng)絡(luò)標(biāo)識(shí)）關(guān)聯(lián)的核心數(shù)據(jù)，這里的核心數(shù)據(jù)是指需要保護(hù)的用戶數(shù)據(jù)。

基于對(duì)用戶數(shù)據(jù)公開性與隱秘性共存并交織這一本質(zhì)特征的認(rèn)識(shí)，本文提出以有效隱藏并動(dòng)態(tài)改變用戶數(shù)據(jù)關(guān)聯(lián)關(guān)系為突破口，基于“變隱映射”實(shí)現(xiàn)用戶數(shù)據(jù)關(guān)聯(lián)關(guān)系主動(dòng)隱藏[25]。其核心思想是通過特定機(jī)制隱藏已知身份標(biāo)識(shí)與核心用戶數(shù)據(jù)集合間的關(guān)聯(lián)關(guān)系，并通過網(wǎng)絡(luò)或者系統(tǒng)可控的機(jī)制動(dòng)態(tài)改變該隱性關(guān)聯(lián)關(guān)系，確保非可控的通信過程或者通信設(shè)備中用戶信息呈現(xiàn)不完整、不確定、不關(guān)聯(lián)和非真實(shí)等特性。

綜上，如果用戶U 的已知身份標(biāo)識(shí)（如手機(jī)號(hào)碼）用IDU表示，其他核心數(shù)據(jù)的集合用SU表示，即表示集合中的核心數(shù)據(jù)，k表示與IDU關(guān)聯(lián)的核心用戶數(shù)據(jù)個(gè)數(shù)。通過在不可控的通信過程或者通信設(shè)備中隱匿或者打破IDU與SU或者IDU與SU的某個(gè)子集間的關(guān)聯(lián)關(guān)系，就可以大大增加攻擊者對(duì)用戶數(shù)據(jù)的攻擊難度，可以想象，如果這種關(guān)聯(lián)關(guān)系可以動(dòng)態(tài)改變，攻擊者獲取用戶數(shù)據(jù)的難度就會(huì)進(jìn)一步增強(qiáng)。因而，實(shí)現(xiàn)移動(dòng)通信用戶數(shù)據(jù)“限定可見”的核心思想就是在不可控的通信過程或者通信設(shè)備中建立IDU與SU或者IDU與SU的某個(gè)子集間的“動(dòng)態(tài)虛擬映射”，也就是通過某種機(jī)制動(dòng)態(tài)改變IDU與SU（或者SU的子集）間的顯性映射關(guān)系，以構(gòu)建不確定的“用戶數(shù)據(jù)虛擬關(guān)系譜”，進(jìn)而提高攻擊者獲取信息的難度。

進(jìn)一步，本文提出采用用戶數(shù)據(jù)“動(dòng)態(tài)變體”作為實(shí)現(xiàn)“動(dòng)態(tài)虛擬映射”的基本方法，即通過“動(dòng)態(tài)變體”特定用戶數(shù)據(jù)，使單個(gè)網(wǎng)元設(shè)備無法組合多維真實(shí)信息，確保非可控網(wǎng)元設(shè)備中用戶信息呈現(xiàn)不完整、不確定、不關(guān)聯(lián)和非真實(shí)等特性。

不難看出，建立用戶已知身份標(biāo)識(shí)與用戶核心數(shù)據(jù)集合間的“動(dòng)態(tài)虛擬映射”有2 種實(shí)現(xiàn)方式，一種是通過動(dòng)態(tài)改變用戶的已知身份標(biāo)識(shí)，隱藏用戶身份；另一種是通過動(dòng)態(tài)改變用戶的核心數(shù)據(jù)集合或者子集合，隱藏核心用戶數(shù)據(jù)，如圖8 所示。圖8(a)中的等分別表示用戶U 身份標(biāo)識(shí)的不同取值；圖8(b)中的）等分別表示用戶的某個(gè)核心數(shù)據(jù)的不同取值。

圖8 動(dòng)態(tài)虛擬映射的2 種實(shí)現(xiàn)方式

基于上述思想，進(jìn)一步需要解決的核心問題是在當(dāng)前的移動(dòng)通信機(jī)制下，用戶數(shù)據(jù)能否動(dòng)態(tài)變體以及動(dòng)態(tài)變體需要滿足什么樣的條件。

下面，本文從分析用戶數(shù)據(jù)的屬性、時(shí)空特性和時(shí)空關(guān)聯(lián)特性入手，解決上述問題。

2.2.2 用戶數(shù)據(jù)的屬性、時(shí)空特性和關(guān)聯(lián)特性

基于典型制式移動(dòng)通信網(wǎng)的通信流程和業(yè)務(wù)提供機(jī)制，本文挖掘了移動(dòng)通信用戶的手機(jī)號(hào)碼（MSISDN 或GPSI）、私有身份標(biāo)識(shí)（IMSI 或SUPI）、不同位置標(biāo)識(shí)（MSCID、BSID、CellID 或 AMFID、NR CGI、5G TAI 等）、業(yè)務(wù)路由（MSRN、MSCNUM）等用戶核心數(shù)據(jù)的本質(zhì)屬性（用A 表示）和在不同應(yīng)用場景的內(nèi)在功能（用F 表示），分析了其相互關(guān)聯(lián)使用和關(guān)聯(lián)索引的內(nèi)因。

其中，用戶數(shù)據(jù)的“本質(zhì)屬性”包括數(shù)據(jù)的定義、結(jié)構(gòu)、來源等。用戶數(shù)據(jù)的“內(nèi)在功能”根據(jù)移動(dòng)通信場景可以是身份驗(yàn)證功能、路由尋址功能、計(jì)費(fèi)功能、號(hào)碼顯示功能、定位功能、輔助功能等。相互關(guān)聯(lián)使用和關(guān)聯(lián)索引的內(nèi)因包括“正向索引需求”“反向索引需求”“雙向索引需求”。所謂“正向索引需求”指需要通過本數(shù)據(jù)，查閱或者請(qǐng)求其他數(shù)據(jù)；“反向索引需求”指需要通過其他某數(shù)據(jù)，查閱或者請(qǐng)求本數(shù)據(jù)；“雙向索引需求”指既具有“正向索引需求”，又具有“反向索引需求”。

此外，本節(jié)還分析了在特定場景和特定網(wǎng)元設(shè)備中，用戶不同數(shù)據(jù)的角色（R）及相互間關(guān)聯(lián)屬性。其中，移動(dòng)通信的特定場景可以用時(shí)間域描述，特定網(wǎng)元設(shè)備可以用空間域描述。

用戶數(shù)據(jù)在特定時(shí)空中的“角色”可用主導(dǎo)（M）、輔助（A）或者可選（O）描述，如3G 中用戶A 撥打用戶B 的場景，用戶A 的服務(wù)MSC/VLR需要利用用戶B 的MSISDN 號(hào)碼尋址用戶B 的HLR，獲取用戶B 的路由。此時(shí)，本文稱在用戶B作為被叫的場景，用戶B 的MSISDN 號(hào)碼在用戶A的服務(wù)MSC/VLR 中處于主導(dǎo)角色，而其他數(shù)據(jù)，如用戶B 的IMSI 和位置信息等，在用戶A 的服務(wù)MSC/VLR 中的主要作用是計(jì)費(fèi)，此時(shí)，本文稱在用戶B 作為被叫的場景，用戶B 的IMSI 和位置標(biāo)識(shí)在用戶A 的服務(wù)MSC/VLR 中處于輔助角色。移動(dòng)通信機(jī)制決定當(dāng)用戶數(shù)據(jù)在某個(gè)特定時(shí)空中處于主導(dǎo)角色時(shí)，該數(shù)據(jù)是不能改變的。

特定用戶的某個(gè)數(shù)據(jù)與其他數(shù)據(jù)在特定時(shí)空中的關(guān)聯(lián)屬性可用關(guān)聯(lián)和非關(guān)聯(lián)表示。例如，在用戶A 作為主叫的場景，用戶A 的IMSI 與其位置標(biāo)識(shí)在用戶A 的服務(wù)MSC/VLR 中是關(guān)聯(lián)的，而其位置標(biāo)識(shí)與簽約業(yè)務(wù)清單是不關(guān)聯(lián)的。

通過對(duì)用戶數(shù)據(jù)“內(nèi)在屬性”“內(nèi)在功能”及“關(guān)聯(lián)使用和關(guān)聯(lián)索引”的分析，可以明確定位其在不同時(shí)空坐標(biāo)中的角色以及與其他數(shù)據(jù)的關(guān)聯(lián)屬性?；谟脩魯?shù)據(jù)的時(shí)空特性和關(guān)聯(lián)特性，可以得到用戶數(shù)據(jù)的“時(shí)空關(guān)系序列”，該關(guān)系序列清楚地表示了用戶數(shù)據(jù)在特定場景、特定網(wǎng)元設(shè)備中的屬性、功能、角色以及相互關(guān)聯(lián)關(guān)系?！皶r(shí)空關(guān)系序列”為分析特定用戶數(shù)據(jù)在特定時(shí)空能否動(dòng)態(tài)變體提供了依據(jù)。

2.2.3 用戶數(shù)據(jù)動(dòng)態(tài)變體的時(shí)機(jī)和條件

基于上述分析，結(jié)合移動(dòng)通信的協(xié)議體系和業(yè)務(wù)提供模式，本節(jié)提出了用戶數(shù)據(jù)動(dòng)態(tài)變體方法。該方法描述為基于某用戶的身份標(biāo)識(shí)或者其核心數(shù)據(jù)集合中的某個(gè)（或某些）用戶數(shù)據(jù)在“時(shí)空關(guān)系譜”序列中的“來源”屬性、角色和關(guān)聯(lián)特性，對(duì)“非本地產(chǎn)生”、在網(wǎng)絡(luò)中具備“動(dòng)態(tài)變更身份”且處于“非主導(dǎo)角色”的用戶身份標(biāo)識(shí)或者核心數(shù)據(jù)進(jìn)行“動(dòng)態(tài)變體”。

所謂“非本地產(chǎn)生”是指在用戶數(shù)據(jù)的“時(shí)空關(guān)系譜”序列中，用戶數(shù)據(jù)不是當(dāng)前網(wǎng)元產(chǎn)生的，對(duì)來源為終端設(shè)備的用戶數(shù)據(jù)歸類為“本地產(chǎn)生”；具備“動(dòng)態(tài)變更身份”是指在現(xiàn)有移動(dòng)通信協(xié)議體系中，用戶終端設(shè)備或者網(wǎng)絡(luò)可以通過標(biāo)準(zhǔn)的通信流程對(duì)該數(shù)據(jù)進(jìn)行修改。

圖9 以3G 網(wǎng)絡(luò)為例，標(biāo)注了用戶數(shù)據(jù)“來源”屬性（圖9 括號(hào)中的標(biāo)示）的時(shí)空關(guān)系序列，其中，T 表示數(shù)據(jù)來自移動(dòng)終端設(shè)備，H 表示數(shù)據(jù)來自歸屬網(wǎng)絡(luò)網(wǎng)元HLR，V1表示數(shù)據(jù)來自MSC1/VLR1（主叫用戶的服務(wù)MSC/VLR），V2表示數(shù)據(jù)來自MSC2/VLR2（被叫用戶的服務(wù)MSC/VLR），O 表示數(shù)據(jù)是網(wǎng)元設(shè)備自身存儲(chǔ)的，S 表示數(shù)據(jù)是本網(wǎng)元自行臨時(shí)分配的。上述的主叫用戶特指發(fā)起語音或者其他業(yè)務(wù)呼叫的用戶，被叫用戶指與主叫用戶建立通信聯(lián)系的用戶。

圖9 3G 網(wǎng)絡(luò)中用戶數(shù)據(jù)在特定場景時(shí)空坐標(biāo)中的關(guān)系序列

下面，基于用戶作為被叫場景，示例用戶數(shù)據(jù)“動(dòng)態(tài)變體”的時(shí)機(jī)和條件。

圖9 中MSC1/VLR1中關(guān)聯(lián)了被叫用戶的手機(jī)號(hào)碼MSISDN、被叫用戶的位置信息MSCID 以及被叫用戶的路由信息MSRN，其中，MSISDN 是主叫用戶撥打的號(hào)碼，來自發(fā)起呼叫的終端設(shè)備；MSCID 是MSC1/VLR1以MSISDN 為索引，通過標(biāo)準(zhǔn)的信令流程從被叫用戶的HLR 中申請(qǐng)的；MSRN也是通過MSISDN 為索引，通過標(biāo)準(zhǔn)的信令流程經(jīng)HLR 請(qǐng)求MSC2/VLR2臨時(shí)分配的。

用戶數(shù)據(jù)“動(dòng)態(tài)變體”的一個(gè)執(zhí)行例就是根據(jù)前面分析的用戶數(shù)據(jù)屬性及角色，MSISDN 作為被撥打的號(hào)碼，在用戶作為被叫的應(yīng)用場景，其主要功能是尋址被叫用戶的HLR，處于“主導(dǎo)”角色，不具備“動(dòng)態(tài)變體”條件，而MSCID 和MSRN 作為“輔助”角色，同時(shí)滿足“非本地產(chǎn)生”“在網(wǎng)絡(luò)中具備‘動(dòng)態(tài)變更身份’”2 個(gè)條件，因而可對(duì)其進(jìn)行“動(dòng)態(tài)變體”。

通過對(duì)MSCID 和MSRN 進(jìn)行動(dòng)態(tài)變體，實(shí)現(xiàn)了在主叫用戶的服務(wù)MSC/VLR 以及通信協(xié)議傳遞路徑中用戶身份與位置信息的虛擬關(guān)聯(lián)，達(dá)到了隱匿被叫用戶真實(shí)位置和真實(shí)路由的目的。

不難分析，在所有制式移動(dòng)通信網(wǎng)的用戶位置更新場景，同樣可以通過對(duì)用戶的MSISDN 號(hào)碼（或GPSI 號(hào)碼）進(jìn)行“動(dòng)態(tài)變體”，建立虛擬用戶的數(shù)據(jù)關(guān)聯(lián)關(guān)系[26]，達(dá)到隱藏用戶真實(shí)位置、真實(shí)路由、私有標(biāo)識(shí)IMSI（或SUPI）等核心數(shù)據(jù)的目的。

此外，要對(duì)特定用戶數(shù)據(jù)進(jìn)行動(dòng)態(tài)變體，除了該數(shù)據(jù)要滿足上述條件外，還需要研究用戶數(shù)據(jù)如何動(dòng)態(tài)變體以及變體后如何保證網(wǎng)絡(luò)和用戶的正常通信，即用戶數(shù)據(jù)實(shí)現(xiàn)“變隱映射”后的工程實(shí)現(xiàn)及可行性驗(yàn)證。由于篇幅所限，本文省略了相關(guān)內(nèi)容。作者研究團(tuán)隊(duì)基于典型制式的移動(dòng)通信網(wǎng)絡(luò)，通過研制原理樣機(jī)，驗(yàn)證了本文提出的用戶數(shù)據(jù)“變隱映射”安全機(jī)制的可行性。基于MSISDN動(dòng)態(tài)變體實(shí)現(xiàn)用戶數(shù)據(jù)“限定可見”安全機(jī)制的方法、工程實(shí)現(xiàn)及安全性分析可以參考文獻(xiàn)[26]，相關(guān)方法同樣適用于5G 網(wǎng)絡(luò)對(duì)應(yīng)的應(yīng)用場景。

3 結(jié)束語

網(wǎng)絡(luò)空間內(nèi)生安全是網(wǎng)絡(luò)空間安全領(lǐng)域的新發(fā)展范式[27]，網(wǎng)絡(luò)空間內(nèi)生安全問題的研究和挖掘是網(wǎng)絡(luò)空間內(nèi)生安全體制和機(jī)制創(chuàng)新的基礎(chǔ)。本文基于移動(dòng)通信機(jī)理和移動(dòng)通信網(wǎng)絡(luò)服務(wù)特性，剖析了移動(dòng)通信網(wǎng)特有機(jī)制尤其是移動(dòng)性管理機(jī)制存在的內(nèi)生安全問題或內(nèi)生安全缺陷，指出了這些安全缺陷可能帶來的安全威脅，這些內(nèi)生安全問題或缺陷也可以認(rèn)為是移動(dòng)通信網(wǎng)存在的共性內(nèi)生安全問題。此外，本文從問題化解的角度，提出了解決這些內(nèi)生安全問題的思路和方法，開拓了移動(dòng)通信網(wǎng)安全問題研究的新視角，希望為業(yè)界開展B5G、6G 等新一代移動(dòng)通信網(wǎng)內(nèi)生安全機(jī)制研究提供思路和參考。