移動通信網的內生安全共性問題及破解之道

劉彩霞，季新生，鄔江興

（1.國家數字交換系統工程技術研究中心，河南 鄭州 450002；2.軍事科學院系統工程研究院，北京 100091）

0 引言

移動通信網作為國家最重要的信息通信基礎設施之一，在國家戰略、國計民生、國防建設等方面發揮著越來越重要的作用，尤其是進入5G 移動通信時代，隨著新技術的賦能，5G 網絡作為國家“新基建”的首選，被賦予為國家經濟高質量可持續發展和網絡強國建設提供新引擎的重任[1]，并為工業、能源、交通、醫療等垂直行業提供通信服務，成為移動通信網的新使命，移動通信技術發展和網絡建設的戰略意義達到空前高度。據統計，截至2022 年2 月，我國移動通信用戶數達到16.48 億，其中5G 用戶達到3.84 億。

移動通信網的戰略地位得到高度重視的同時，其安全問題也成為業界關注的焦點。國外以3GPP、國際電信聯盟電信標準局（ITU-T,Telecommunication Standardization Sector of the International Telecommunications Union）、全球移動通信系統協會（GSMA,Global System Mobile Association），國內以中國通信標準化協會（CCSA,China Communications Standards Association）、IMT-2020(5G)推進組等為代表的標準化組織均成立了專門的移動通信安全研究組，大力開展移動通信系統尤其是5G 系統的安全和標準化研究工作，已經形成系列研究報告、白皮書和安全標準[2-13]，內容涉及移動終端、IT 化網絡基礎設施、通信網絡、應用與服務、數據、運營管理等多個方面。相對于傳統移動通信網，新技術和新標準賦能的5G、B5G 移動通信網的安全能力大大提升，尤其是2G/3G/4G移動通信網普遍存在的空中接口用戶信息泄露、核心網缺乏訪問控制、網間互通缺乏有效監管等問題得到大大改善，一定程度上彌補了傳統移動通信網被業界普遍關注的安全缺陷。但是，移動通信機理決定移動通信網即使代際更新，也依然有其自身固有的通信機制，即使網絡架構、協議體系、業務提供方式等發生變化，其固有的通信機制也不會改變，例如，移動通信不會改變其無線通信的特點，也不會改變其“支持用戶廣泛移動”的特點。根據事物矛盾的雙面性，移動通信網固有的通信機制必定存在安全缺陷[14]，本文稱之為基因缺陷或者移動通信網的內生安全缺陷或者內生安全共性問題，這些安全缺陷在理論和工程層面不可能依賴“補丁式”或“外掛式”安全機制徹底消除[14]，需要具有“內生安全特性”的體制或者機制來有效規避或化解[15]。

本文基于移動通信網的通信機理和固有通信機制，剖析了移動通信網的內生安全共性問題及可能帶來的安全威脅，并在鄔江興院士解決網絡空間內生安全問題相關理論[14-15]的指導下，研究提出了解決移動通信網內生安全問題的一些思路和方法。

1 移動通信網的內生安全共性問題

“支持終端隨意移動”和“依賴用戶實時位置提供服務”是移動通信的本質特征。因此，移動通信網的終端接入只能依賴無線通信，而對移動終端或用戶實施移動性管理也是移動通信網的固有功能。可以認為，“無線通信”和“用戶移動性管理”是移動通信網的固有特性，也就是說，隨著代際發展，新技術不斷引入，網絡架構、協議體系、業務提供模式等不斷演進，移動通信網的服務能力越來越強，但其固有特性不會改變。基于“任何事物都是矛盾的統一體”這個共識[16]，移動通信網在提供方便快捷和泛在通信服務的同時，其固有功能或者特性必然存在顯式的副作用或者隱式的暗功能。一些非良性的副作用或者暗功能，本文稱之為移動通信網的內生安全缺陷或者內生安全共性問題[15]，某種意義上也可以稱之為移動通信網的“基因缺陷”。這些內生安全共性問題或者基因缺陷在外部因素的作用下，則可能產生“內生安全威脅”[15]。文獻[17]介紹了無線環境的內源性缺陷以及由此引發的無線內生安全問題，本文則主要分析移動通信網“移動性管理”機制的基因缺陷以及相關缺陷可能引入的內生安全威脅。

1.1 代理通告機制存在“信息真實性默認”缺陷

“移動性管理功能”是移動通信網為用戶提供服務的基礎。為支持用戶的移動性，避免用戶位置信息被頻繁傳遞，移動通信網采用分布式管理模式，包括以下三級：歸屬域網絡功能，如3G 網絡的歸屬位置寄存器（HLR,home location register）、4G 網絡的歸屬用戶服務器（HSS,home subscriber server）、5G 網絡的用戶數據管理（UDM,user data management）功能，下文統一用HNF（home network function）表示；拜訪地網絡功能，如3G 網絡的拜訪位置寄存器（VLR,visitor location register）、4G 網絡的移動性管理實體（MME,mobile management entity）、5G 網絡的接入管理功能（AMF,access management function），下文統一用VNF（visitor network function）表示；基站子系統（BSS,base station subsystem），如圖1 所示。HNF 存放用戶當前所在的VNF 服務區信息、簽約身份標識和簽約服務清單，后兩者在下文統稱為用戶身份信息；VNF 存放用戶當前所在的基站位置區信息。

圖1 移動通信網的分布式位置信息管理示意

當用戶的位置發生變化時，如果只涉及同一個VNF 管轄的服務基站，其信息變化只在該VNF 中處理；當用戶跨VNF 服務區移動時（如圖2 所示），其當前服務VNF（如圖2 中的VNF2）會依據終端發起的位置注冊或者位置更新請求，向用戶的歸屬HNF 通告用戶的位置變化（圖2 中的過程①），HNF收到通告后，首先向用戶先前的服務VNF（如圖2中的VNF1）發送刪除用戶位置和身份信息的通告（圖2 中的過程②），然后存儲用戶更新后的位置信息，并將用戶的身份標識和部分簽約服務數據（下文簡稱部分身份信息）通報給VNF2（圖2 中的過程③）。由圖2 可知，在用戶的移動性管理流程中，VNF2和HNF 分別作為“終端代理”間接向HNF和VNF1通告終端或者用戶的位置信息變化，而HNF 也作為“運營商代理”向VNF2通告用戶的身份信息。本文將上述“通告”流程稱為移動通信網的“代理通告”機制。

圖2 移動通信用戶的位置更新通告流程

通過分析不難看出，移動通信網對用戶身份和位置信息的“代理通告”機制會伴隨如下安全問題。

1) HNF 可以核實用戶簽約身份的真實性和合法性，但對用戶當前所處位置信息的掌握依賴于VNF 的通告，對VNF 通告的用戶位置信息默認其是真實準確的，HNF 本身無法實時核實該用戶所處位置的準確性。

2) VNF 可掌握終端上報的準確位置信息，但是對HNF 通報的用戶身份信息也是默認真實準確的，在當前的通信機制下，VNF 無法實時核實用戶身份信息的真實性。

本文稱上述問題為移動通信網的信息“真實性默認”缺陷。這種信息“真實性默認”缺陷在電信運營商管控的封閉環境下，安全問題難以顯現。但是隨著移動通信網從1G/2G 發展到3G/4G 乃至5G/B5G，移動通信網與互聯網逐漸融合走向開放，原有的封閉環境已不復存在，隨之而來的“合法網元被挾持攻擊”、由漏洞后門引發的“信息篡改攻擊”等暴露了這種信息“真實性默認”缺陷極大的安全問題[18]。

為了應對移動通信網復雜開放環境下的弱信任挑戰，國際標準組織也在不斷努力，主要的措施集中在針對開放環境增加信任措施，例如，添加網絡功能間的認證授權機制、增加信息傳遞過程的機密性和完整性保護機制等[19]，很明顯，這些機制可以在一定程度上保證網絡功能的合法性和網絡功能間信息交互的安全性，但難以保證信息的可信性，也就是說，原理上，這些安全機制無法驗證合法的網絡功能假冒“代理身份”發起的虛假信息通告，也無法驗證合法的網絡功能作為“代理身份”通告的信息真實性。

事實上，這種“真實性默認”缺陷也滲透在移動通信網信息訪問交流的方方面面，包括移動通信網中各種網元設備之間交互信令消息和協議流程等都秉持默認的真實性，只要收發消息的是“自己人”（即擁有合法網元身份），就不再過多分析判斷信息本身、信息行為等的合理性，伴隨網絡環境的開放和信任邊界的模糊，移動通信網的“真實性默認”缺陷已經成為近年來頻頻曝光的多種移動通信核心網竊密攻擊的出發點，事實上也成為當前移動通信網安全防護的“死穴”。

1.2 “分布式管理”機制導致用戶數據泛在可見

如前所述，移動通信網為支持用戶移動或者漫游，對與用戶身份和位置信息關聯的用戶數據采用分布式的三級管理機制。當用戶移動到一個新的基站無線信號覆蓋區或者拜訪地服務區時，不僅終端要逐級通告自身的實時位置標識，用戶的身份標識也會從歸屬HNF 流向用戶拜訪地的VNF；網絡為用戶提供服務的過程中，用戶的身份標識、位置標識、簽約數據、動態業務數據等會在移動通信網的不同網絡功能或者基站的無線覆蓋環境中傳遞和使用。也就是說，隨著用戶移動，用戶數據可能在用戶可達的所有網域和網絡功能中廣泛傳遞、存儲和使用。表1 為用戶數據在3G 網絡不同網元的分布情況，表2 為用戶數據在5G 網絡不同網絡功能的分布情況。

表1 用戶數據在3G 網絡不同網元的分布情況

表2 用戶數據在5G 網絡不同網絡功能的分布情況

尤其是當用戶漫游到境外網絡時，用戶的身份和位置等關聯數據也會如圖3 虛線箭頭所示，在境內、境外網絡的傳輸通道以及境內、境外網絡的不同網元設備（如圖3 中的AMF 和SMF）中傳遞、存儲和使用。

圖3 5G 網絡漫游組網示意

綜上可以看出，移動通信網用戶數據分布式管理機制的好處是網絡功能在業務提供過程可以“就近取材”，減少數據使用中的檢索還原層次和頻次，缺陷是帶來用戶數據“泛在分布”，導致用戶數據“泛在可見”。尤其是手機等移動通信終端通常與用戶緊密捆綁，位置和身份關聯數據直接涉及用戶隱私，因而，移動通信用戶的隱私安全問題也是移動通信體制機制伴隨的安全問題。

受移動通信“效率優先”和“服務優保”設計理念以及網絡處理能力的限制，用戶數據的分布式管理和代理通告機制在短期內很難改變，至少目前正在建設的5G 網絡依然如此。

2 移動通信網內生安全共性問題的破解之道

根據網絡空間內生安全理論[15,20]，網絡空間內生安全問題與其本征功能實體間是事物內部之間互相依賴又互相排斥的矛盾性表達，具有不可分割性，只可能演進轉化而不可能徹底消除。通過上面的分析，移動通信網存在的“信息真實性默認”“數據泛在可見”問題，本質上是由移動通信網的“代理通告”機制和用戶數據組織管理機制造成的，因而要破解這2 個安全問題，要從“通告代理”和數據組織管理機制著手，從機制層面將“默認信任”轉化為“默認不信任”、將“泛在可見”轉化為“限定可見”。

2.1 以零信任打破“默認的信任”

零信任作為一種安全概念，以“默認不信任”的安全防護理念，受到業界廣泛關注。其具有如下安全防護原則[21]。

1) 永不信任，持續驗證——構建以資源為中心的安全邊界，對訪問主體的身份、位置、設備、數據源、服務或工作負載等進行持續驗證，資源包括但不限于業務應用、服務接口、操作功能和數據。

2) 最低權限授權訪問——基于訪問主體的屬性、業務邏輯、應用上下文以及受訪資源的屬性和訪問控制策略進行最小范圍授權。

3) 持續信任評估、動態訪問控制——實時評估訪問主體和資源的安全狀態，根據安全狀態動態設立訪問控制策略。

不難得出以下結論：用零信任的“默認不信任”安全防護理念對抗移動通信網的信息“真實性默認”缺陷，必有化解之道。

當前，基于零信任增強移動通信網的安全防護能力這一思路得到業界的廣泛認可，文獻[22]給出了單包授權、異常流量監控、網絡功能信任評估等7 個潛在方向作為5G 核心網安全的零信任增強；文獻[23]給出了5G 網絡切片安全零信任保護機制；文獻[24]提出了一種基于零信任的5G 網絡網元功能信任評估方法；IMT-2020(5G)推進組于2022 年4 月發布了“5G 零信任安全技術研究”報告[12]，給出了零信任在5G 網絡中的可能應用場景和部分應用場景的解決方案。從目前業界的研究著重點看，已有的移動通信網零信任安全增強機制均意在加強對信息交互過程中網元身份、網元行為合法性和合理性的判定，沒有針對網絡中交互的信息內容、信息行為等真實性的判別。因而，要化解移動通信網信息“真實性默認”缺陷，需要在當前移動通信網“代理通告”機制的基礎上，引入“信息持續核實”機制，包括信息產生真實性的核實和信息本身真實性的核實。

基于移動通信網“合法網元被挾持攻擊”“信息篡改攻擊”（下文簡稱信息攻擊）等產生的原理，本文基于內生安全構造機理，通過打造具有動態異構冗余（DHR,dynamic heterogeneous redundancy）構造的信息通告代理，實現對代理產生的信息內容和信息行為的“持續核實”。

2.1.1 移動通信網的信息攻擊原理

根據圖1 和圖2，基于如圖4 所示的5G 用戶終端位置更新過程，給出移動通信網基于代理的信息通告一般模型，如圖5 所示。

圖4 中，5G 用戶終端發生跨AMF 服務區的位置變化，首先通告無線信號覆蓋區的5G 基站（gNB），gNB 再通告核心網的AMF，AMF 被授權后，訪問UDM，通過UDM 將用戶位置變化信息通告UDR，UDR 存儲用戶新的位置。為描述問題的針對性，圖4 省略了用戶的鑒權認證過程和網絡功能的服務訪問授權過程。

基于圖4 所示的用戶終端位置更新流程，本文可以把gNB 看作終端位置信息通告的第一個代理，AMF 看作第二個代理，UDM 看作第三個代理。為此，給出移動通信網基于代理的信息通告一般模型。不同的信息（行為）從觸發起點到信息終點需要經過的代理個數K可能不同。

圖4 5G 用戶終端位置更新過程

假設信息傳遞路徑均采用機密性和完整性保護機制且可以實現信息防篡改，從圖5 可以看出，移動通信網的信息代理通告機制產生的“信息攻擊”可能來自信息傳遞路徑上的任何一個信息（行為）轉發代理。事實證明，這些具備信息（行為）轉發代理功能的網元或者網絡功能，不僅可能篡改從信息（行為）觸發起點或者前一個信息（行為）轉發代理收到的信息數據，也可能構造虛假的信息（行為）對信息（行為）終點進行信息攻擊。

圖5 移動通信網基于代理的信息通告一般模型

2.1.2 采用DHR 構造的內生安全代理實現信息核實

動態異構冗余架構[15]是在功能等價條件下通過軟硬件層級化的異構冗余資源部署，配合輸出裁決、反饋控制和多維動態重構等機制，實現“測量感知、誤差識別、反饋迭代”等，能夠同時應對“基于暗功能的人為攻擊”和軟硬件隨機性失效引發的故障，可提供傳統可靠性與網絡安全性一體化的功能安全，其抽象模型[15]如圖6 所示。基于DHR 架構構造的信息系統也被稱為內生安全構造系統。

圖6 DHR 架構的抽象模型

本文基于DHR 架構的多異構執行體運行環境、輸出裁決、反饋控制等機制，設計具有信息內容和信息行為真實性核實機制的移動通信網絡信息代理（網元或者網絡功能）。下面，以5G 網絡的UDM網絡功能為例，給出基于DHR 構造的內生安全代理的實現方案及信息真實性核實原理。

基于DHR 構造的內生安全UDM 如圖7 所示。為簡化系統設計，選用3 個異構UDM 執行體（增加異構UDM 執行體的數量，可以增強內生安全構造UDM 的抗攻擊能力，但也會增加系統的復雜性），分別執行標準的UDM 功能，具體包括輸入信令處理；構造新的信令數據向下一個信息代理轉發；依據信息行為操作需求，訪問UDR 數據庫；向上一個信息代理反饋信令處理結果等。其中，3 個UDM 執行體要求盡可能避免具有相同的軟硬件漏洞或者設計缺陷，目的是盡可能降低同時被攻擊者挾持且產生共模攻擊的可能性。工程實現過程，“輸出比對”可以采用大數判決方法，即如果一個UDM執行體的輸出與其他2 個不同，則認為這個UDM執行體可能發生了“信息篡改攻擊”；如果一個UDM 執行體產生信令輸出，其他UDM 執行體沒有輸出，則認為這個UDM 執行體可能發生了“信息行為偽造攻擊”。基于負反饋控制功能，可以根據輸出比對判別結果控制輸入代理的信令分發以及控制異構UDM 執行體的運行。

圖7 基于DHR 構造的內生安全UDM

不難看出，基于DHR 構造的內生安全信息代理，不僅能夠在一定程度上保證輸出信息的真實性，還能夠監測是否發生攻擊事件。基于DHR 構造的網絡功能的工程實現、性能和效能評估等可以參考文獻[15]。

2.2 以“變隱映射”實現用戶數據的“限定可見”

2.2.1 用戶數據“變隱映射”機制

要實現用戶數據在移動通信網絡中的“限定可見”，最理想的情況是對于可確認正常的通信過程或者通信設備，用戶數據可見；對于不可確認或者不可控的通信過程或通信設備，用戶數據不可見。而對于當前位于公眾移動通信網中的通信路徑和通信設備而言，均應該認為是不可控通信過程和通信設備[25]。

進一步分析，因作為通信標識的手機號碼對外公開，由表1 和表2 可知，在通信過程和數據存儲環節，手機號碼作為公開標識（MSISDN 或GPSI）與用戶私有標識（IMSI 或SUPI）、用戶位置標識等其他數據全部或者部分在網絡中顯性直接關聯，因而，知道手機號碼，就可以從用戶數據的存儲、傳輸及使用過程中獲取與其關聯的其他數據。因而，要解決用戶數據的“泛在可見”問題，一個有效途徑是打破或者隱匿已知用戶數據與其他用戶數據的顯性關聯關系。

進一步從人類行為學分析，攻擊者實施攻擊通常是以特定人、特定群體或特定網絡作為目標，因而代表特定目標的身份標識應該被認為是已知信息。移動通信用戶數據保護實質上是保護移動通信網中與特定身份標識（用戶標識或者網絡標識）關聯的核心數據，這里的核心數據是指需要保護的用戶數據。

基于對用戶數據公開性與隱秘性共存并交織這一本質特征的認識，本文提出以有效隱藏并動態改變用戶數據關聯關系為突破口，基于“變隱映射”實現用戶數據關聯關系主動隱藏[25]。其核心思想是通過特定機制隱藏已知身份標識與核心用戶數據集合間的關聯關系，并通過網絡或者系統可控的機制動態改變該隱性關聯關系，確保非可控的通信過程或者通信設備中用戶信息呈現不完整、不確定、不關聯和非真實等特性。

綜上，如果用戶U 的已知身份標識（如手機號碼）用IDU表示，其他核心數據的集合用SU表示，即表示集合中的核心數據，k表示與IDU關聯的核心用戶數據個數。通過在不可控的通信過程或者通信設備中隱匿或者打破IDU與SU或者IDU與SU的某個子集間的關聯關系，就可以大大增加攻擊者對用戶數據的攻擊難度，可以想象，如果這種關聯關系可以動態改變，攻擊者獲取用戶數據的難度就會進一步增強。因而，實現移動通信用戶數據“限定可見”的核心思想就是在不可控的通信過程或者通信設備中建立IDU與SU或者IDU與SU的某個子集間的“動態虛擬映射”，也就是通過某種機制動態改變IDU與SU（或者SU的子集）間的顯性映射關系，以構建不確定的“用戶數據虛擬關系譜”，進而提高攻擊者獲取信息的難度。

進一步，本文提出采用用戶數據“動態變體”作為實現“動態虛擬映射”的基本方法，即通過“動態變體”特定用戶數據，使單個網元設備無法組合多維真實信息，確保非可控網元設備中用戶信息呈現不完整、不確定、不關聯和非真實等特性。

不難看出，建立用戶已知身份標識與用戶核心數據集合間的“動態虛擬映射”有2 種實現方式，一種是通過動態改變用戶的已知身份標識，隱藏用戶身份；另一種是通過動態改變用戶的核心數據集合或者子集合，隱藏核心用戶數據，如圖8 所示。圖8(a)中的等分別表示用戶U 身份標識的不同取值；圖8(b)中的）等分別表示用戶的某個核心數據的不同取值。

圖8 動態虛擬映射的2 種實現方式

基于上述思想，進一步需要解決的核心問題是在當前的移動通信機制下，用戶數據能否動態變體以及動態變體需要滿足什么樣的條件。

下面，本文從分析用戶數據的屬性、時空特性和時空關聯特性入手，解決上述問題。

2.2.2 用戶數據的屬性、時空特性和關聯特性

基于典型制式移動通信網的通信流程和業務提供機制，本文挖掘了移動通信用戶的手機號碼（MSISDN 或GPSI）、私有身份標識（IMSI 或SUPI）、不同位置標識（MSCID、BSID、CellID 或 AMFID、NR CGI、5G TAI 等）、業務路由（MSRN、MSCNUM）等用戶核心數據的本質屬性（用A 表示）和在不同應用場景的內在功能（用F 表示），分析了其相互關聯使用和關聯索引的內因。

其中，用戶數據的“本質屬性”包括數據的定義、結構、來源等。用戶數據的“內在功能”根據移動通信場景可以是身份驗證功能、路由尋址功能、計費功能、號碼顯示功能、定位功能、輔助功能等。相互關聯使用和關聯索引的內因包括“正向索引需求”“反向索引需求”“雙向索引需求”。所謂“正向索引需求”指需要通過本數據，查閱或者請求其他數據；“反向索引需求”指需要通過其他某數據，查閱或者請求本數據；“雙向索引需求”指既具有“正向索引需求”，又具有“反向索引需求”。

此外，本節還分析了在特定場景和特定網元設備中，用戶不同數據的角色（R）及相互間關聯屬性。其中，移動通信的特定場景可以用時間域描述，特定網元設備可以用空間域描述。

用戶數據在特定時空中的“角色”可用主導（M）、輔助（A）或者可選（O）描述，如3G 中用戶A 撥打用戶B 的場景，用戶A 的服務MSC/VLR需要利用用戶B 的MSISDN 號碼尋址用戶B 的HLR，獲取用戶B 的路由。此時，本文稱在用戶B作為被叫的場景，用戶B 的MSISDN 號碼在用戶A的服務MSC/VLR 中處于主導角色，而其他數據，如用戶B 的IMSI 和位置信息等，在用戶A 的服務MSC/VLR 中的主要作用是計費，此時，本文稱在用戶B 作為被叫的場景，用戶B 的IMSI 和位置標識在用戶A 的服務MSC/VLR 中處于輔助角色。移動通信機制決定當用戶數據在某個特定時空中處于主導角色時，該數據是不能改變的。

特定用戶的某個數據與其他數據在特定時空中的關聯屬性可用關聯和非關聯表示。例如，在用戶A 作為主叫的場景，用戶A 的IMSI 與其位置標識在用戶A 的服務MSC/VLR 中是關聯的，而其位置標識與簽約業務清單是不關聯的。

通過對用戶數據“內在屬性”“內在功能”及“關聯使用和關聯索引”的分析，可以明確定位其在不同時空坐標中的角色以及與其他數據的關聯屬性。基于用戶數據的時空特性和關聯特性，可以得到用戶數據的“時空關系序列”，該關系序列清楚地表示了用戶數據在特定場景、特定網元設備中的屬性、功能、角色以及相互關聯關系。“時空關系序列”為分析特定用戶數據在特定時空能否動態變體提供了依據。

2.2.3 用戶數據動態變體的時機和條件

基于上述分析，結合移動通信的協議體系和業務提供模式，本節提出了用戶數據動態變體方法。該方法描述為基于某用戶的身份標識或者其核心數據集合中的某個（或某些）用戶數據在“時空關系譜”序列中的“來源”屬性、角色和關聯特性，對“非本地產生”、在網絡中具備“動態變更身份”且處于“非主導角色”的用戶身份標識或者核心數據進行“動態變體”。

所謂“非本地產生”是指在用戶數據的“時空關系譜”序列中，用戶數據不是當前網元產生的，對來源為終端設備的用戶數據歸類為“本地產生”；具備“動態變更身份”是指在現有移動通信協議體系中，用戶終端設備或者網絡可以通過標準的通信流程對該數據進行修改。

圖9 以3G 網絡為例，標注了用戶數據“來源”屬性（圖9 括號中的標示）的時空關系序列，其中，T 表示數據來自移動終端設備，H 表示數據來自歸屬網絡網元HLR，V1表示數據來自MSC1/VLR1（主叫用戶的服務MSC/VLR），V2表示數據來自MSC2/VLR2（被叫用戶的服務MSC/VLR），O 表示數據是網元設備自身存儲的，S 表示數據是本網元自行臨時分配的。上述的主叫用戶特指發起語音或者其他業務呼叫的用戶，被叫用戶指與主叫用戶建立通信聯系的用戶。

圖9 3G 網絡中用戶數據在特定場景時空坐標中的關系序列

下面，基于用戶作為被叫場景，示例用戶數據“動態變體”的時機和條件。

圖9 中MSC1/VLR1中關聯了被叫用戶的手機號碼MSISDN、被叫用戶的位置信息MSCID 以及被叫用戶的路由信息MSRN，其中，MSISDN 是主叫用戶撥打的號碼，來自發起呼叫的終端設備；MSCID 是MSC1/VLR1以MSISDN 為索引，通過標準的信令流程從被叫用戶的HLR 中申請的；MSRN也是通過MSISDN 為索引，通過標準的信令流程經HLR 請求MSC2/VLR2臨時分配的。

用戶數據“動態變體”的一個執行例就是根據前面分析的用戶數據屬性及角色，MSISDN 作為被撥打的號碼，在用戶作為被叫的應用場景，其主要功能是尋址被叫用戶的HLR，處于“主導”角色，不具備“動態變體”條件，而MSCID 和MSRN 作為“輔助”角色，同時滿足“非本地產生”“在網絡中具備‘動態變更身份’”2 個條件，因而可對其進行“動態變體”。

通過對MSCID 和MSRN 進行動態變體，實現了在主叫用戶的服務MSC/VLR 以及通信協議傳遞路徑中用戶身份與位置信息的虛擬關聯，達到了隱匿被叫用戶真實位置和真實路由的目的。

不難分析，在所有制式移動通信網的用戶位置更新場景，同樣可以通過對用戶的MSISDN 號碼（或GPSI 號碼）進行“動態變體”，建立虛擬用戶的數據關聯關系[26]，達到隱藏用戶真實位置、真實路由、私有標識IMSI（或SUPI）等核心數據的目的。

此外，要對特定用戶數據進行動態變體，除了該數據要滿足上述條件外，還需要研究用戶數據如何動態變體以及變體后如何保證網絡和用戶的正常通信，即用戶數據實現“變隱映射”后的工程實現及可行性驗證。由于篇幅所限，本文省略了相關內容。作者研究團隊基于典型制式的移動通信網絡，通過研制原理樣機，驗證了本文提出的用戶數據“變隱映射”安全機制的可行性。基于MSISDN動態變體實現用戶數據“限定可見”安全機制的方法、工程實現及安全性分析可以參考文獻[26]，相關方法同樣適用于5G 網絡對應的應用場景。

3 結束語

網絡空間內生安全是網絡空間安全領域的新發展范式[27]，網絡空間內生安全問題的研究和挖掘是網絡空間內生安全體制和機制創新的基礎。本文基于移動通信機理和移動通信網絡服務特性，剖析了移動通信網特有機制尤其是移動性管理機制存在的內生安全問題或內生安全缺陷，指出了這些安全缺陷可能帶來的安全威脅，這些內生安全問題或缺陷也可以認為是移動通信網存在的共性內生安全問題。此外，本文從問題化解的角度，提出了解決這些內生安全問題的思路和方法，開拓了移動通信網安全問題研究的新視角，希望為業界開展B5G、6G 等新一代移動通信網內生安全機制研究提供思路和參考。