6G網(wǎng)絡(luò)安全愿景

高 楓，夏俊杰，張 峰（.中國聯(lián)通智能城市研究院，北京 00048；.中國電子科技集團信息科學研究院，北京 0005）

0 引言

2019 年3 月，全球首屆6G 峰會起草了第1 份6G白皮書，闡明6G 發(fā)展的基本方向。2019 年11 月3 日，我國科技部會同國家發(fā)展改革委、教育部、工業(yè)和信息化部、中科院、自然科學基金委在北京組織召開6G技術(shù)研發(fā)工作啟動會，成立國家6G技術(shù)研發(fā)推進工作組和總體專家組，標志著我國6G技術(shù)研發(fā)工作正式啟動［1-3］。

未來6G的愿景具備泛在、無線、智能等特點，能夠提供無縫覆蓋的泛在無線連接和情景感知的智能服務(wù)與應(yīng)用。在網(wǎng)絡(luò)架構(gòu)方面，6G 將會突破地面網(wǎng)絡(luò)限制，實現(xiàn)地面、衛(wèi)星、機載網(wǎng)絡(luò)和海洋通信網(wǎng)絡(luò)的無縫覆蓋，即空天地一體化的通信網(wǎng)絡(luò)；在應(yīng)用場景方面，國際電信聯(lián)盟（ITU）最新技術(shù)報告給出了6G的七大代表用例：全息類通信、面向遠程的操控網(wǎng)絡(luò)、智能操控網(wǎng)絡(luò)、網(wǎng)絡(luò)和計算融合、數(shù)字孿生、空—地集成網(wǎng)絡(luò)、工業(yè)物聯(lián)網(wǎng)云化，并分析了網(wǎng)絡(luò)關(guān)鍵需求，其中安全需求包括隱私、可靠性、可信任度、彈性、可追溯性、合法攔截等。

未來6G 被賦予了人類生活與數(shù)字世界智慧互聯(lián)的期望，安全作為連接物理世界與數(shù)字世界的基石，承載著內(nèi)生安全、可信賴、智慧化的使命。

1 網(wǎng)絡(luò)安全愿景

移動通信技術(shù)和網(wǎng)絡(luò)架構(gòu)的演進，伴隨著2G/3G/4G/5G 移動通信網(wǎng)安全機制的成長，在數(shù)字化技術(shù)（DT）與通信技術(shù)（CT）高度融合的發(fā)展趨勢下，6G 網(wǎng)絡(luò)安全有望突破傳統(tǒng)通信安全內(nèi)涵與外延，具備內(nèi)生安全、彈性安全、情景感知安全、多維數(shù)據(jù)安全和可評估安全的能力（見圖1）。

圖1 6G網(wǎng)絡(luò)安全愿景

1.1 內(nèi)生安全

6G 網(wǎng)絡(luò)具備內(nèi)生安全能力，在架構(gòu)和協(xié)議設(shè)計方面，實現(xiàn)狹義層面的內(nèi)生安全，即除設(shè)計的本征或元功能之外，具備解決副作用、脆弱性、自然失效等因素在內(nèi)的顯式或隱式表達的非期望功能的能力；在設(shè)備和應(yīng)用設(shè)計方面，實現(xiàn)廣義層面的內(nèi)生安全，即在狹義內(nèi)生安全問題之上，具備解決蓄意讓最終用戶不可見的設(shè)計功能、或未向使用者聲明或披露過的軟硬件隱匿功能。

網(wǎng)絡(luò)架構(gòu)設(shè)計以自適應(yīng)、自生長、自愈合為核心，對網(wǎng)絡(luò)安全威脅實現(xiàn)自感知、自發(fā)現(xiàn)和自處置。

a）自適應(yīng)。在6G 網(wǎng)絡(luò)架構(gòu)設(shè)計時，考慮獨立的安全和信任功能（實體），該安全功能實體具備：

（a）調(diào)度安全資源的能力，與其他網(wǎng)絡(luò)功能實體交互，實現(xiàn)限流限速、數(shù)據(jù)攔截等。

（b）動態(tài)調(diào)整安全策略的能力，如開啟單因子/多因子認證，下發(fā)其他網(wǎng)絡(luò)功能實體安全策略調(diào)整的指令等。

（c）安全和信任評估的能力，對其他網(wǎng)絡(luò)功能實體進行安全和信任評估，對承載業(yè)務(wù)的信道進行端到端安全和信任評估等。

b）自生長。以AI 技術(shù)為基礎(chǔ)，使網(wǎng)絡(luò)具備安全自生長的能力。

（a）安全策略智能化。

（b）安全/信任評估智能化，整網(wǎng)安全動態(tài)可評估。

（c）安全態(tài)勢智能化感知。

c）自愈合。以AI技術(shù)和數(shù)字孿生技術(shù)為基礎(chǔ)，賦予網(wǎng)絡(luò)自愈合能力。

（a）基于數(shù)字孿生技術(shù)，端、邊、云、網(wǎng)、安全中心等智能協(xié)同，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢自感知，威脅預(yù)判。

（b）基于AI 技術(shù)和數(shù)字孿生技術(shù)，實現(xiàn)安全攻擊自發(fā)現(xiàn)，從協(xié)議層觸發(fā)處理機制。

（c）基于AI技術(shù)，實現(xiàn)安全事件自處置，增強智能化能力。

1.2 彈性安全

網(wǎng)絡(luò)架構(gòu)實現(xiàn)可編程級的安全彈性部署，對于未知網(wǎng)絡(luò)的威脅和攻擊，數(shù)據(jù)面與控制面/擴展平面智能聯(lián)動。

a）數(shù)據(jù)面具備可編程/動態(tài)調(diào)度的流量調(diào)度能力。

b）數(shù)據(jù)面與控制面/擴展平面具備聯(lián)合編程級調(diào)度能力。

在安全策略可配置和可視化方面，彈性適配業(yè)務(wù)場景。

1.3 情景感知安全

對于全息通信、無人駕駛、工控應(yīng)用、機器人（群）/人機（群）等場景，具備情景感知的安全能力：

a）具備智能化情景感知的安全策略定制能力。

b）在情景切換時無縫轉(zhuǎn)換安全策略。

1.4 多維數(shù)據(jù)安全

由以網(wǎng)絡(luò)為核心的安全轉(zhuǎn)向以數(shù)據(jù)為核心的安全，由單一維度的通信數(shù)據(jù)安全保護（完整性、機密性、抗重放攻擊保護）轉(zhuǎn)向時間、空間、傳感等多維度的數(shù)據(jù)安全保護。

a）在時間維度上，具備數(shù)據(jù)時空同步安全保護能力。

b）在空間維度上，具備保護位置、軌跡、行為、畫像級數(shù)據(jù)的能力。

c）在傳感維度上，具備保護非結(jié)構(gòu)化感知數(shù)據(jù)、異構(gòu)融合數(shù)據(jù)安全的能力。

在5G網(wǎng)絡(luò)研究之初，移動通信網(wǎng)即被賦予定制化隱私保護的愿景，但就目前3GPP 國際標準的制定情況，距定制化、個性化隱私保護能力還有一定差距。6G網(wǎng)絡(luò)業(yè)務(wù)場景將觸及和連接物理世界與數(shù)字世界，隱私信息的內(nèi)涵與外延延展，在兼顧各國家地區(qū)法律法規(guī)基礎(chǔ)上，對隱私具備立體化保護能力。

a）隱私信息保護范圍，可能涉及終端標識信息、用戶標識信息、生物特征信息、位置信息、軌跡信息、業(yè)務(wù)用戶畫像、全息信息、沉浸式交互信息等等。

b）支持隱私信息分類分級保護，面向不同業(yè)務(wù)場景，提供差異化保護策略。

c）支持隱私信息可配置的保護能力，在終端側(cè)、網(wǎng)絡(luò)側(cè)、設(shè)備側(cè)等，支持靈活的可配置能力。

1.5 可評估安全

3GPP 在可評估安全方面，從Release13 開始，研制了網(wǎng)絡(luò)設(shè)備安全保障系列標準，其中涵蓋4G 和5G 的主要網(wǎng)絡(luò)設(shè)備。在整網(wǎng)架構(gòu)安全、協(xié)議安全層面，尚無可評估安全相關(guān)的研究和標準工作。6G 網(wǎng)絡(luò)預(yù)期架構(gòu)、協(xié)議、關(guān)鍵技術(shù)更加多樣化，依托于數(shù)字孿生、AI等技術(shù)的發(fā)展應(yīng)用，6G網(wǎng)絡(luò)和協(xié)議在設(shè)計時有望賦予可評估安全的能力：

a）網(wǎng)絡(luò)整體架構(gòu)的安全性可評估。

b）協(xié)議簇，特別是涉及跨域、跨網(wǎng)絡(luò)接入類型的協(xié)議簇之間，具備智能化、形式化的安全評估能力。

c）網(wǎng)絡(luò)新業(yè)務(wù)場景的安全具備智能化建模能力，安全需求、安全解決方案可評估。

2 安全關(guān)鍵技術(shù)

2.1 方法論

6G 網(wǎng)絡(luò)安全需從方法論的角度，全局規(guī)劃設(shè)計安全架構(gòu)，從以下2個方面突破。

a）研制6G 移動通信網(wǎng)安全設(shè)計的方法論，以開放復(fù)雜巨系統(tǒng)理論為指引，結(jié)合移動通信網(wǎng)特點，開展方法論研究（見圖2）。

圖2 復(fù)雜巨系統(tǒng)與6G網(wǎng)絡(luò)安全

b）研究6G 網(wǎng)絡(luò)內(nèi)生安全機制與關(guān)鍵技術(shù)，將安全內(nèi)生在網(wǎng)絡(luò)架構(gòu)、協(xié)議、設(shè)備等設(shè)計之中。

此外，在2G/3G/4G/5G 國際標準研制過程中，3GPP SA1（服務(wù)組）研制移動通信網(wǎng)需求時，安全通常作為整體需求中的一部分；SA3（安全組）通?；赟A1（服務(wù)組）和SA2（架構(gòu)組）的工作，研制各代移動通信網(wǎng)絡(luò)的安全架構(gòu)、安全關(guān)鍵問題（包括安全威脅和安全需求）、安全解決方案，在6G 國際標準研制中，SA3 與SA1 應(yīng)同步開啟研究工作，在國際標準中研究安全架構(gòu)設(shè)計方法論，指導(dǎo)后續(xù)標準化制定。

2.2 網(wǎng)絡(luò)架構(gòu)

6G 網(wǎng)絡(luò)安全架構(gòu)應(yīng)由基于移動通信網(wǎng)網(wǎng)絡(luò)需求及架構(gòu)進行安全相關(guān)的研究，轉(zhuǎn)變?yōu)榘踩x網(wǎng)絡(luò)架構(gòu)，安全引領(lǐng)網(wǎng)絡(luò)需求，實現(xiàn)6G 網(wǎng)絡(luò)架構(gòu)與安全同步協(xié)同。

在協(xié)議層面，考慮將信令面和數(shù)據(jù)面擴展為信令面、數(shù)據(jù)面和安全面的“三平面”，安全平面承載安全策略編排、安全風險感知、安全處置等能力，邏輯上與信令面獨立，以實現(xiàn)內(nèi)生安全和整網(wǎng)安全智能協(xié)同。

在網(wǎng)絡(luò)功能實體方面：

a）新增獨立網(wǎng)元：聚合整網(wǎng)安全資源調(diào)度、安全策略調(diào)度、安全和信任評估等的功能。

b）各網(wǎng)元安全能力增強，考慮分層的設(shè)計，即單一網(wǎng)絡(luò)功能實體包括基礎(chǔ)功能層、安全層、增強（擴展）功能層，將安全能力內(nèi)嵌到網(wǎng)絡(luò)功能實體/設(shè)備之中。

c）專有安全設(shè)備融入網(wǎng)絡(luò)架構(gòu)：傳統(tǒng)防火墻、流量清洗、垃圾信息濾過等非通信網(wǎng)絡(luò)設(shè)備融入網(wǎng)絡(luò)架構(gòu)設(shè)計，或預(yù)留接口，實現(xiàn)增強的安全能力全網(wǎng)統(tǒng)一調(diào)用。

在信任模型方面，由用戶、設(shè)備、網(wǎng)絡(luò)的三元信任模型，轉(zhuǎn)變?yōu)榫邆湫湃卧u估能力和兼任零信任架構(gòu)的新型信任模型。

在網(wǎng)絡(luò)架構(gòu)演進方面，6G 網(wǎng)絡(luò)架構(gòu)將涵蓋由各種軌道衛(wèi)星構(gòu)成的天基網(wǎng)絡(luò)，由飛行器構(gòu)成的空基網(wǎng)絡(luò)，以及傳統(tǒng)的地基網(wǎng)絡(luò)（蜂窩無線網(wǎng)絡(luò)、衛(wèi)星地面站和移動衛(wèi)星終端以及地面的數(shù)據(jù)與處理中心等），其中安全需解決以下關(guān)鍵問題（見圖3）。

圖3 空天地一體化網(wǎng)絡(luò)安全

a）各層之間的接入安全。

b）切換安全。

c）數(shù)據(jù)傳輸安全。

d）協(xié)議解析安全。

e）云邊協(xié)同安全。

f）異構(gòu)數(shù)據(jù)融合安全。

g）時空數(shù)據(jù)同步安全。

h）跨域隱私保護等。

2.3 接入認證

在統(tǒng)一認證架構(gòu)的基礎(chǔ)上，構(gòu)建立體認證架構(gòu)，可兼任基于信任的憑證、多因子認證、生物特征、數(shù)字身份等；在認證架構(gòu)設(shè)計上，重點研究基于智能技術(shù)的無感知認證、基于數(shù)字身份、基于信任的認證等；一方面滿足多樣化應(yīng)用場景的統(tǒng)一認證需求，另一方面滿足不同層級的安全接入需求。

構(gòu)建適用于6G 網(wǎng)絡(luò)的數(shù)字身份體系。6G 網(wǎng)絡(luò)智能化的演進趨勢，虛擬數(shù)字世界將與物理世界智能連接，在通感互聯(lián)、孿生體域等方面，數(shù)字身份體系建設(shè)必不可少。

2.4 分層的安全

在網(wǎng)絡(luò)協(xié)議層，研究空天地一體化網(wǎng)絡(luò)的接入安全，不同網(wǎng)絡(luò)類型之間的切換安全，不同網(wǎng)絡(luò)類型之間的協(xié)議解析安全，合法攔截等。

在數(shù)據(jù)層，除傳統(tǒng)通信數(shù)據(jù)安全之外，研究時空同步安全、異構(gòu)數(shù)據(jù)融合安全、傳感數(shù)據(jù)安全保護、數(shù)字孿生數(shù)據(jù)安全、跨域隱私保護等。

在資源調(diào)度層（控制層），研究云邊協(xié)同安全，實現(xiàn)資源的彈性、可信任、可調(diào)度等，提升整網(wǎng)資源可靠性。

在應(yīng)用層，研制異構(gòu)數(shù)據(jù)和多源場景下的溯源機制，提升整網(wǎng)信息的可追溯性。

2.5 邊界安全

突破傳統(tǒng)網(wǎng)絡(luò)域和安全邊界，以零信任的架構(gòu)重塑整網(wǎng)邊界安全，結(jié)合動態(tài)信任評估機制，研制適合6G網(wǎng)絡(luò)的邊界安全防護機制。

2.6 形式化安全檢測

構(gòu)建網(wǎng)絡(luò)協(xié)議簇之間、關(guān)鍵信令等的形式化、智能化安全檢測能力，在網(wǎng)絡(luò)協(xié)議設(shè)計層面和跨網(wǎng)絡(luò)類型協(xié)議簇、協(xié)議應(yīng)用層面實現(xiàn)自動化、智能化的安全檢測機制，以靈敏規(guī)避網(wǎng)絡(luò)架構(gòu)演進和業(yè)務(wù)應(yīng)用擴展對現(xiàn)有網(wǎng)絡(luò)和協(xié)議帶來的潛在安全風險和漏洞。

安全檢測機制可兼容白盒、黑盒、灰盒方法，并不依賴于具體技術(shù)和實現(xiàn)算法。

2.7 信息安全

6G 網(wǎng)絡(luò)承載的信息類型將更加豐富多樣，信息安全保護范圍不斷擴展，垃圾信息形式復(fù)雜多變（由傳統(tǒng)消息、語音類，向智能方式轉(zhuǎn)變），此外，伴隨語音消息、視頻信息、浸入式信息、全息信息、傳感信息、“數(shù)字人”信息等在網(wǎng)絡(luò)業(yè)務(wù)中的使用，應(yīng)研制覆蓋多信息類型的全生命周期信息安全保護機制。

2.8 后向兼容

在整網(wǎng)安全架構(gòu)和安全功能設(shè)計時，需同步考慮與2G/3G/4G/5G 網(wǎng)絡(luò)的后向兼容問題，主要包括接入認證、回落安全、密鑰體系、加密機制、安全策略調(diào)度、網(wǎng)絡(luò)功能實體安全能力增強兼容等方面。

2.9 新技術(shù)在6G安全中的應(yīng)用

新技術(shù)應(yīng)用在6G網(wǎng)絡(luò)安全中，將有望提升網(wǎng)絡(luò)架構(gòu)和應(yīng)用安全。

a）博弈論：安全無絕對，安全機制設(shè)計本身即是與計算能力、網(wǎng)絡(luò)資源代價等的博弈，可將博弈論應(yīng)用在動態(tài)安全策略設(shè)計、信任評估等方面。

b）擬態(tài)：解決6G 網(wǎng)絡(luò)空間存在“未知的未知威脅”或不確定威脅，可應(yīng)用在整網(wǎng)安全架構(gòu)和防御能力設(shè)計中；可應(yīng)用在關(guān)鍵網(wǎng)絡(luò)功能實體之中（如尋址），強化關(guān)鍵功能防御能力。

c）AI：基于AI 技術(shù)，可提升安全策略智能化；安全/信任評估智能化，整網(wǎng)安全動態(tài)可評估；安全態(tài)勢智能化感知；實現(xiàn)安全攻擊自發(fā)現(xiàn)，從協(xié)議層觸發(fā)處理機制；實現(xiàn)安全事件自處置，增強智能化能力。

d）同態(tài)加密：可應(yīng)用在增強的邊緣服務(wù)、金融科技、數(shù)字孿生、社會治理應(yīng)用等方面，提升數(shù)據(jù)和應(yīng)用安全。

e）區(qū)塊鏈：可應(yīng)用在信息溯源方面以及網(wǎng)絡(luò)架構(gòu)演進。

f）信任：包括可信計算、信任評估、信任模型等，可應(yīng)用在網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、安全評估、認證等方面。

g）零信任：可應(yīng)用在網(wǎng)絡(luò)邊界安全方面，構(gòu)建包括智能終端（包括機器人、智能物聯(lián)設(shè)備等）認證代理機制，可信接入網(wǎng)絡(luò)功能實體，以及數(shù)字身份平臺等為一體的零信任安全架構(gòu)。

3 未來研究方向

6G 研究剛起步，安全作為連接物理世界與數(shù)字世界的基石，承載著內(nèi)生安全、可信賴、智慧化的使命。

在安全架構(gòu)方面，重點研制移動通信網(wǎng)安全設(shè)計的方法論，以開放復(fù)雜巨系統(tǒng)理論為指引，結(jié)合6G 移動通信網(wǎng)特點，開展方法論研究；研究6G 網(wǎng)絡(luò)內(nèi)生安全機制與關(guān)鍵技術(shù)，將安全內(nèi)生在網(wǎng)絡(luò)架構(gòu)、協(xié)議、設(shè)備等設(shè)計之中。

在安全關(guān)鍵技術(shù)方面，重點研制各網(wǎng)絡(luò)類型之間的接入安全、切換安全、數(shù)據(jù)傳輸安全、協(xié)議解析安全、云邊協(xié)同安全、異構(gòu)數(shù)據(jù)融合安全、時空數(shù)據(jù)同步安全、跨域隱私保護等。

產(chǎn)學研一體化研究，同時加強國際標準預(yù)研和專利布局，在ITU-T國際標準可提前開展6G網(wǎng)絡(luò)安全方法論和需求研究，在3GPP 國際標準可開展B5G 網(wǎng)絡(luò)演進安全研究，在6G 國際標準研制中，3GPP SA3 與SA1同步開啟研究工作。

4 總結(jié)

隨著5G 系統(tǒng)的全面部署，針對6G 移動蜂窩系統(tǒng)的研究已經(jīng)開始。移動通信技術(shù)和網(wǎng)絡(luò)架構(gòu)的演進，伴隨著2G/3G/4G/5G 安全機制的成長，在數(shù)字化技術(shù)（DT）與通信技術(shù)（CT）高度融合的技術(shù)發(fā)展趨勢下，6G 網(wǎng)絡(luò)安全有望突破傳統(tǒng)通信安全內(nèi)涵與外延，具備內(nèi)生安全、彈性安全、情景感知安全、時空安全、立體隱私保護、可評估安全的能力。6G 網(wǎng)絡(luò)對垂直行業(yè)的信息化和智能化需求、對個性化和智能化的通信需求、人工智能在通信網(wǎng)絡(luò)中的全面應(yīng)用、空天地海全域覆蓋等需求，不斷催生新技術(shù)發(fā)展應(yīng)用；空天地一體化技術(shù)、太赫茲通信技術(shù)、可見光通信技術(shù)、算力網(wǎng)絡(luò)、AI、區(qū)塊鏈等新技術(shù)在網(wǎng)絡(luò)架構(gòu)中的應(yīng)用等正在研究之中，相應(yīng)的安全機制需持續(xù)研究。