刘 欣

（西安欧亚学院，陕西 西安 710065）

1 移动通信网的重要性

1.1 从宏观层面看

在中国式现代化改革新技术阶段，我国通建立统一大市场形成了国际-国内市场双循环、城市-乡村经济双流通新发展格局。在该格局下，国家与国家、企业和企业之间的竞争已经从原来的规模化竞争转移到对“定价权”的争夺方面。在这种新的竞争环境下，移动通信网越来越受到重视并提被提高到了国家战略高度。以我国为例，明确技术赋能路径下的数字化发展方向后，近年来各行业普遍加强了移动通信网建设工作并产生了显著成效。例如，5G、B5G等新一代移动通信技术的发明及推广应用，已为“新基建”、工业、交通、医疗、能源等产业数字化转型提供了技术支持。

1.2 从微观层面看

移动通信网战略地位的确定，使其安全问题备受关注。随着中国通信标准化协会IMT-2020(5G)推进组的建立，针对移动通信安全研究的专业组织日益增多。其一方面推进了对5G技术的标准化建设，另一方面在解决4G时代网间互通监督缺乏、核心网访问控制不足、空中接口用户信息泄漏等安全缺陷的基础上，深化了对移动通信网内生安全共性问题（业界也称其为“基因缺陷”）的研讨，加强了内生安全共性管理制度与机制的完善等。因而，在当前阶段有必要对不同机制下的移动通信网内生安全问题进行分析。

2 移动通信网内生安全共性问题分析

移动通信网的本质特征是支持终端移动并在用户实时位置基础上为其提供相关服务，这一方面要依赖无线通信进行终端接入，另一方面要根据服务内容开展用户移动性管理。近几年来，移动通信技术取得突破，服务能力正在持续提升。基于固有特性的内生安全共性问题，受到外部因素影响后易造成内生安全风险及威胁。具体表现在以下两个方面：一是代理通告机制下，存在信息真实性默认缺陷；二是分布式管理机制下，用户数据泛在可见。分述如下。

2.1 信息真实性默认缺陷

移动通信企业向用户提供服务以移动性管理功能为基础，在新时期通过分布式管理模式，既规避了用户位置信息频繁传递，又为其移动性提供有效支持。该模式主要由三大部分构成：①归属域网络功能（统称为HNF）；②拜访地网络功能（统称为VNF）；③基站子系统（BBS）。

应用时，移动通信企业通常会把用户身份信息存放在HNF中，把基站位置区信息存放在VNF中。开展分布式位置信息管理时：①如果用户位置发生变化，那么HNF对应一个VNF管辖的服务基站，可借助VNF完成对信息变化的处理后。②如果用户在不同VNF服务区之间移动时，实践主体需在终端请求位置进行更新并向HNF通告已经出现的位置变化信息（包括删除前信息与存储更新信息，并将VNF1通报给VNF2，依次类推直到VNFn）。需要说明的是，在向HNF发送通信的过程中，移动通信企业会设置代理通告机制完成上述操作。

然而，在上述分布式管理模式下应用HNF、VNF功能时，会同步发生信息真实性默认风险。具体如下：①以HNF功能应用为例，通过代理通告机制核实用户签约身份信息时，需要依赖VNF核实信息的真实性与合法性。在这种前提下，即使VNF虽然默认了用户位置信息的真实性，HNF也不能独立进行精准核实。②以VNF功能应用为例，掌握BSS上报用户准确位置信息后，仅默认了用户身份信息的准确性，不能独立核实用户身份信息的真实性。③在上述两种情况下，如果电信运行商处于封闭环境不能发现代理通告机制中的真实性信息默认缺陷。事实上，在数字时代已进入开放环境，信息真实性默认缺陷已充分暴露，并此时会受到信息篡改攻击、合法网元被挟持攻击等安全问题[1]。

2.2 用户数据泛在可见风险

目前，用户使用5G网络时，移动通信网可借助不同网络功能分布方式，获取用户数据类型并为其提供服务。此类网络功能主要包括：①5G网络的接入管理功能（AMF）；②5G网络的用户数据管理（UDM）功能；③统一数据存储（UDR）功能；④网络注册功能（NRF）；⑤会话管理功能（SMF）；⑥短消息服务功能；⑦GMLC等。上述功能应用时，会生成“静态存储数据”与“动态获取数据”，用户在AMF网络条件下，无论于境内，还是境外进行网络漫游，相关用户数据均可接入网络并获得管理。SMF网络功能方面，随用户在境内、境外网络漫游，相关用户数据会遍布用户所到的全部SMF。5G网络漫游组网如图1所示。

图1 5G网络漫游组网示意图

在上述5G网络漫游组网条件下，移动通信网运用三级分布式管理机制支持用户漫游，并对其身份、位置信息相关数据进行采集、存储、传递、分析、使用等。此时的优势集中在“就地取材”式的业务处理方面，可以减少对数据的检索还原，劣势是在用户数据泛在分布时造成了其数据的泛在可见问题[2]。例如，当用户使用智能手机时，用户身份、位置、设备之间存在密切关联，用户信息被收集并接受服务的过程中，会产生用户隐私安全风险。从代理通告机制、用户数据分布式管理机制看，短期内为了确保通信效率与服务质量，不会对其机制进行根本性的改变，因而要对此类问题进行针对性处理。

3 移动通信网内生安全共性问题应对举措

邬江兴院士根据移动通信网络内生安全共性问题，提出了解决网络空间内生安全问题理论，为解决用户数据真实性默认缺陷、用户数据泛在可见问题提供了新思路与新方法。具体而言，在解决上述两个问题时，应从移动通信网代理通告和分布式管理机制出发，在技术赋能路径下选择一些适配性较高的技术，一方面把默认信任调整为默认不信任，另一方面把泛在可见转变为限定可见[3]。

3.1 依托“零信任”理念，打破默认信任

首先，应遵循“永不信任，持续验证”“最低权限授权访问”“持续信任评估、动态访问控制”三项基本的安全防护原则，探索对抗代理通告机制下真实性默认缺陷的应对举措。

其次，应分析信息攻击原理，在其基础上构造适配性较高的内生安全代理，解决信息核实问题。具体而言，当前5G用户终端位置更新过程主要在5G用户终端gNBAMFUDMUDR间进行双向信息交互，基于代理的信息通信一般模型为信息（行为）触发起点信息（行为）转发代理1信息（行为）转发代理2…信息（行为）转发代理K信息（行为终端）。其中，第一个代理为终端位置信息通告gNB，第二个代理为AMF，第三个代理为UDM。根据一般模型，其中涉及K个代理。假定在信息传递路径中设置有信息防篡改功能，具体由涵盖机密性、完整性的保护机制完成，在一般模型下信息攻击可能来自任何一个信息（行为）转发代理（1，2，3…K）。事实上，在整个路径下，代理功能的网元可以对任何一项信息数据进行篡改，并构造能够完成信息攻击的虚假信息（行为）。

最后，根据信息攻击原理可以构造基于动态异构冗余（DHR）的内生安全代理对用户身份、位置信息进行核实。具体而言，DHR架构常用的抽象模型主要由输入序列→输入代理（n/m）→执行体（1…m）→多模决裁决（n/m）→输出代理→输出序列构成，其中，负反馈控制器主要用于控制参数、裁决参数，与输入代理、多模裁决、执行体相连。在该模型基础上，可以进一步构造基于DHR的内生安全UDM（如图2所示），当信令数据输入该系统后，可以利用UDM执行体1、UDM执行体2、UDM执行体3，增强内生安全构造UDM的抗攻击能力。具体操作时每一个执行体可以根据信令数据在向下一个信息代理转发时访问UDR数据库，并将信令处理结果转发给上一个信息代理。具体配置资源时可以选择大数据判决方法，假定：①其他2个UDM执行体输出相同，剩余1个UDM执行体输出与其存在差异，此时将其定义为信息篡改攻击。②其他2个UDM执行体未产生信令输出，剩余1个UDM执行体产生了信令输出，此时将其定义为信息行为伪造攻击。另外，负反馈控制器提供的控制参数功能、裁决参数功能下，可以对输出比对结果进行判定并进行信令分发，完成向上一个信息代理的结果反馈[4]。

图2 基于DHR构造的内生安全UDM

3.2 借助变隐映射技术，限定可见用户数据

建议将泛在可见转变为限定可见时，引入变隐映射机制隐匿已知用户数据、其他用户数据之间显性关联关系。具体而言，该机制的核心思想是利用特定机制“对已知身份标识和用户数据集合关联关系”进行主动隐藏，具体操作时主要是以网络可控机制实现。例如，在当前常用的2种动态虚拟映射实现方式中，既可以选择动态改变用户已知身份标识，也能够动态改变用户的核心数据集合或者子集合[5]。

假定用户、已知身份标识、其他核心数据集合，分别为U、IDU、SU，可以将其他核心数据集合、集合中的核心数据写为,DUi=（i=1，2，3…k）。其中，k表示和IDU关联的核心用户数据个数。那么，在不可控制通信条件下，借助变隐映射技术可增加被攻击难度。进一步看，当二者的关联关系处于动态改变状态时，可以实现泛在可见向限定可见的转变。从以往的操作经验看，设计者仅需要引入变隐映射机制建立SU-IDU间的显性映射关系即可达到限定可见用户数据的目的。

4 结束语

总之，移动通信网已成为企业生产、民众生活密切不可分的重要组成部分，在新时期中国式现代化改革期间，各行业、领域应持续加强对其内生安全共性问题的研讨。结合上述分析可以看出，确立移动通信网的战略地位并对其进行推广应用后，它变得越来越重要。由于内生安全共性问题集中表现在代理通告机制、分布式管理机制方面，因而有必要选择“具体问题，具体分析，针对性解决”的方法，针对信息真实性默认缺陷和用户数据泛在可见问题，可通过“零信任”打破默认信息造成的阻碍，构造基于DHR构造的内生安全代理。同时引入变隐映射机制，有效实现对用户数据的限定可见，最终通过构建适配性较高的内生安全系统，化解其内生安全共性问题，为移动通信网的高质量发展赋能。■