2024 全球6G技術(shù)大會(huì) -10.0Q 6G安全潛在關(guān)鍵技術(shù)白皮書-中文版-cl-v1.2

3 5 5 5 6 6 7 7 7 8 9 11 11 11 12 13 14 14 14 16 16 17 17 17 18 19 20 20 20 21 21 23 23 23 24 25 26 26 26 27 28 29 29 29 30 31 32 33 34 366G網(wǎng)絡(luò)趨向復(fù)雜性、多樣性發(fā)展，網(wǎng)絡(luò)開放程度不斷增加，傳統(tǒng)網(wǎng)絡(luò)安全邊界進(jìn)一步模糊，網(wǎng)絡(luò)攻擊手段持續(xù)升級(jí)，未來網(wǎng)絡(luò)難以通過邊界隔內(nèi)生安全是一種實(shí)現(xiàn)6G安全的理念和方法，強(qiáng)調(diào)將中提出融合“信任+安全”的理念，從安全能力、安全控制和安全決策三個(gè)層次構(gòu)建本白皮書基于6G可信內(nèi)生安全架構(gòu)，從安全能力、安全控制和安全決策三個(gè)層次，對(duì)6G安全潛在關(guān)鍵技術(shù)的適用場(chǎng)景與安全需求、技術(shù)原理、應(yīng)用構(gòu)想以及相關(guān)的挑戰(zhàn)和建議進(jìn)行了詳細(xì)闡述。其中，第一章任技術(shù)、第三章泛在可信技術(shù)、第四章量子安全技術(shù)和第五章全能力層潛在關(guān)鍵技術(shù)；第六章安全能力服務(wù)化技術(shù)和第七主導(dǎo)，但大多數(shù)物聯(lián)網(wǎng)終端的處理能力有限，無法承載復(fù)雜的信令和處理開銷；并且，不可操控性，利用RIS等6G潛在關(guān)無線內(nèi)生安全技術(shù)不僅可解決無線竊聽、無線干擾、無線欺騙等底層信號(hào)域安全威足6G典型應(yīng)用場(chǎng)景的安全性和輕量級(jí)需求。例如，在海量物聯(lián)網(wǎng)等場(chǎng)景中6G新興技術(shù)提升對(duì)信道的改造定制、精確感知等能力，探索感知能力向安全通信能力度融合，進(jìn)一步提升6G安全的健壯性；面向6G安全需求，設(shè)計(jì)、測(cè)試物理層安全技6G開放的網(wǎng)絡(luò)生態(tài)、異構(gòu)融合的網(wǎng)絡(luò)架構(gòu)對(duì)信任體系提出了新的需求。一方面，。另一方面，6G網(wǎng)絡(luò)支持衛(wèi)星網(wǎng)絡(luò)、行業(yè)網(wǎng)絡(luò)、體域網(wǎng)等異構(gòu)網(wǎng)絡(luò)，來自不同組織除了利用區(qū)塊鏈構(gòu)建信任底座外，6G還需設(shè)計(jì)分布式認(rèn)證方案。電信網(wǎng)的認(rèn)證包根通常為運(yùn)營(yíng)商或設(shè)備商的CA，這是一種背書式的信任機(jī)制[6]。分布式公鑰基礎(chǔ)設(shè)施（DPKI）可能成為設(shè)備分布式認(rèn)證的備選技術(shù)，通過多方共建信任平臺(tái)，以分布式的1)底層區(qū)塊鏈模式：核心網(wǎng)區(qū)塊鏈模塊部署在網(wǎng)元或者網(wǎng)管層級(jí)，在建網(wǎng)開局之2)上層區(qū)塊鏈模式：區(qū)塊鏈架設(shè)在既有電信網(wǎng)絡(luò)架構(gòu)之上，區(qū)塊鏈功能可以根據(jù)入網(wǎng)和終端的區(qū)塊鏈能力可以由核心網(wǎng)下發(fā)，根據(jù)需求自由3)混合區(qū)塊鏈模式：區(qū)塊鏈模塊分為兩部分，一部分屬于電信網(wǎng)絡(luò)基本功能，以針對(duì)電信網(wǎng)設(shè)備之間的分布式認(rèn)證，6G網(wǎng)絡(luò)將引入基于區(qū)塊鏈的DPKI技術(shù)，利運(yùn)營(yíng)商將自己與網(wǎng)絡(luò)運(yùn)營(yíng)所需的證書、CA的證書寫入聯(lián)盟鏈，認(rèn)證時(shí)可以不提供成，無需經(jīng)過權(quán)威機(jī)構(gòu)的簽名，無需使用數(shù)字證書，簡(jiǎn)化了密鑰系統(tǒng)管理的復(fù)針對(duì)電信網(wǎng)用戶和網(wǎng)絡(luò)之間的分布式認(rèn)證，6G網(wǎng)絡(luò)將采用數(shù)字身份技術(shù)。用戶擁所有主體，不僅包含用戶的認(rèn)證，還將包含數(shù)字人、AI助理、網(wǎng)絡(luò)節(jié)點(diǎn)甚至分布式自若將區(qū)塊鏈應(yīng)用于6G網(wǎng)絡(luò)中，現(xiàn)有互聯(lián)網(wǎng)使用的區(qū)塊鏈構(gòu)型無法應(yīng)對(duì)6G大量且快速6G云邊端融合的架構(gòu)會(huì)使傳統(tǒng)的安全邊界變得模糊，需要跨域、一致的安全解決低時(shí)延的要求。6G網(wǎng)絡(luò)需要一種不依賴于攻擊先驗(yàn)知識(shí)、不影響業(yè)務(wù)處理性能、能夠?qū)τ诎踩\(yùn)維而言，可信計(jì)算為異構(gòu)的資產(chǎn)提供了統(tǒng)一的解決方案，通過相同的協(xié)影響網(wǎng)絡(luò)彈性；由于可信根位于硬件OTP資源內(nèi)，一旦可信根泄露更改成本很高。基6G時(shí)代，隨著量子計(jì)算技術(shù)的不斷成熟和發(fā)展，在移動(dòng)通信中的重要性將呈指數(shù)代密碼系統(tǒng)面臨風(fēng)險(xiǎn)。量子計(jì)算機(jī)將在不同程度上影響對(duì)稱和非對(duì)稱算法的安全強(qiáng)度，當(dāng)前主流的量子安全技術(shù)有量子密鑰分發(fā)（QKD）和后量子QKD是一種基于量子力學(xué)原理的加密通信技術(shù)，其主要目標(biāo)是在通信雙方之間安QKD協(xié)議由一對(duì)通過QKD鏈路連接的QKD模塊執(zhí)行，該QKD鏈路由經(jīng)典通道和量子通道組成。密鑰（即對(duì)稱隨機(jī)字符串）在QKD模塊之間建立。通過QKD鏈路連接的成對(duì)QKD模塊以及通過KM鏈路與QKD模塊連接的相應(yīng)密鑰管理器（KM構(gòu)成了QKDN的基礎(chǔ)。QKDN允許加密應(yīng)用程序通過適當(dāng)節(jié)點(diǎn)之間共享安全密鑰。在QKD模塊中生成的密鑰本身在整個(gè)生命周期內(nèi)（從產(chǎn)生到假設(shè)AES-256被采用，即使使用當(dāng)前已知的量子算法（例如Grover的量子算法）進(jìn)行攻擊，NIST認(rèn)為AES-256在很長(zhǎng)一段時(shí)間內(nèi)仍然是安全的，并建議當(dāng)前應(yīng)用系統(tǒng)可以國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）已于2016年啟動(dòng)一項(xiàng)征集、評(píng)估和標(biāo)準(zhǔn)化一種或多種抗量2）CRYSTALS-DILITHIUM：基于LATT4）SPHINCS+：基于無狀態(tài)HASH的數(shù)字簽名算法，安全性強(qiáng)，但是性能不如如果不考慮到成本問題，可以使用QKD在無線接入網(wǎng)與核心網(wǎng)間生點(diǎn)是6G系統(tǒng)的安全基礎(chǔ)，其中量子安全長(zhǎng)期密鑰用于對(duì)用戶進(jìn)行身份驗(yàn)證并密鑰，而量子安全PKI用于確保使用量子安全的安全協(xié)議的公鑰真實(shí)性。量子安全的IPSec、TLS和DTLS可以部署在前傳和回傳中，以在現(xiàn)有的光基礎(chǔ)設(shè)施上實(shí)現(xiàn)，但是由于光子傳輸損耗，QKD光子最大傳輸距離是有在數(shù)據(jù)采集階段，匿名化、數(shù)據(jù)脫敏和數(shù)據(jù)去標(biāo)識(shí)化是用來保護(hù)個(gè)人隱私和敏感信在數(shù)據(jù)傳輸與處理階段，對(duì)稱加密是廣泛使用的技術(shù)。發(fā)送方和接收方使用相同的密鑰來加密和解密數(shù)據(jù)，確保安全傳輸。常見的對(duì)在數(shù)據(jù)處理和分析階段，數(shù)據(jù)脫敏技術(shù)、差分隱私技術(shù)和數(shù)據(jù)去標(biāo)識(shí)化技術(shù)是用于在數(shù)據(jù)使用與共享階段，對(duì)用戶身份和權(quán)限的快速驗(yàn)證和訪問控制，例如基于角色實(shí)現(xiàn)數(shù)據(jù)的分布式共享和模型訓(xùn)練。從而實(shí)現(xiàn)數(shù)認(rèn)證，對(duì)大尺度、高動(dòng)態(tài)的細(xì)粒度跨域訪問據(jù)并進(jìn)行相關(guān)計(jì)算和分析，同時(shí)確保數(shù)據(jù)的隱應(yīng)對(duì)保護(hù)對(duì)象的多樣化。此外，為確保數(shù)據(jù)安全和隱私保護(hù)，需要建立體系化的框架。安全能力服務(wù)化的技術(shù)基礎(chǔ)是軟件定義安全（SDS將物理及虛擬的網(wǎng)絡(luò)安全設(shè)（1）業(yè)務(wù)跨域部署或遷移時(shí)，業(yè)務(wù)需要在多個(gè)子網(wǎng)或不同網(wǎng)絡(luò)間切換，安全策略（2）網(wǎng)絡(luò)動(dòng)態(tài)創(chuàng)建和網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變更時(shí)，需要根據(jù)網(wǎng)絡(luò)和安全環(huán)境的變化自動(dòng)（3）根據(jù)通用計(jì)算資源和安全計(jì)算能力的變（4）根據(jù)復(fù)雜業(yè)務(wù)的不同安全需求實(shí)現(xiàn)在網(wǎng)絡(luò)功能上的自動(dòng)化分解和映射，實(shí)現(xiàn)整網(wǎng)對(duì)安全服務(wù)的按需防護(hù)，同時(shí)在業(yè)務(wù)場(chǎng)景切換降本增效的作用，需要關(guān)注用于安全能力服務(wù)化的AI智能編排模型自身的可解釋性不足、開源漏洞等安全風(fēng)險(xiǎn)，保障用于安全能力另外，5G服務(wù)化網(wǎng)絡(luò)架構(gòu)支持網(wǎng)絡(luò)能力開放新模式，為保障其安全性，已制定了類型和不同廠商的安全能力智能化編排和按5G網(wǎng)絡(luò)實(shí)現(xiàn)了網(wǎng)絡(luò)功能服務(wù)化和基礎(chǔ)虛擬化，可快速整合各網(wǎng)絡(luò)組件功能用于新將增加系統(tǒng)風(fēng)險(xiǎn)，任何安全防護(hù)不到位都將導(dǎo)致被攻擊風(fēng)險(xiǎn)，最6G應(yīng)在支持傳統(tǒng)安全能力的同時(shí)擴(kuò)展支持可信性，囊括安構(gòu)魯棒控制結(jié)構(gòu)，即DHR。它由功能等價(jià)的異構(gòu)執(zhí)行體、輸隨著云網(wǎng)融合成為趨勢(shì)，6G網(wǎng)絡(luò)設(shè)備規(guī)模及網(wǎng)絡(luò)組成較為復(fù)雜，涉及多設(shè)備、多系統(tǒng)、多網(wǎng)絡(luò)的協(xié)同工作。6G系統(tǒng)在頂層架構(gòu)設(shè)計(jì)時(shí)可采用動(dòng)態(tài)異構(gòu)冗余（DHR）構(gòu)的高可靠、彈性服務(wù)。具體體現(xiàn)在將DHR和NFV功能進(jìn)行融合，一方面，NFV提供網(wǎng)絡(luò)全局視圖信息；另一方面，DHR通過反饋控制循環(huán)，持續(xù)監(jiān)視和分析網(wǎng)絡(luò)基礎(chǔ)設(shè)擬態(tài)防御技術(shù)也可集成在6G系統(tǒng)的內(nèi)生安全框架中，安全控制層個(gè)擬態(tài)域網(wǎng)絡(luò)切片，并在虛擬資源上生成若干NFs（包括VNF的異構(gòu)副本，網(wǎng)絡(luò)功能級(jí)的擬態(tài)裁決器），在SDN控制器的協(xié)助下，根據(jù)安全要求完成這些NFs鏈路連接、效率的前提下實(shí)現(xiàn)資源的動(dòng)態(tài)調(diào)度。2）擬態(tài)防御的裁決機(jī)制提高了系統(tǒng)安全性，但也決過程中引入AI技術(shù)來提前感知執(zhí)行體狀態(tài)，輔助提升裁決效率，減少裁決時(shí)延；二第八章AI安全管理與決策技術(shù)當(dāng)前AI技術(shù)已經(jīng)在無線接入網(wǎng)、核心網(wǎng)、網(wǎng)絡(luò)運(yùn)維等各個(gè)方面與5G網(wǎng)絡(luò)進(jìn)行融合，并在垂直行業(yè)領(lǐng)域應(yīng)用。在石油化工、建筑、礦場(chǎng)等行業(yè)通過部署5緣側(cè)通過AI技術(shù)對(duì)大規(guī)模多模態(tài)數(shù)據(jù)進(jìn)行監(jiān)控分析，實(shí)現(xiàn)智能精準(zhǔn)化異常故障預(yù)警和風(fēng)險(xiǎn)管理，進(jìn)而顯著降低生產(chǎn)故障和安全事六大關(guān)鍵應(yīng)用場(chǎng)景之一，將推動(dòng)人聯(lián)、物聯(lián)向智聯(lián)轉(zhuǎn)變。6GAI服務(wù)將支持智慧城市、面向6G多元化的業(yè)務(wù)、多源的數(shù)據(jù)，進(jìn)一步地引入AI能力，可促進(jìn)網(wǎng)絡(luò)內(nèi)生智能和自適應(yīng)性。得益于通感一體化技術(shù)，6G可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、用戶數(shù)進(jìn)一步地，6G網(wǎng)絡(luò)將通過分布式聯(lián)邦學(xué)習(xí)技術(shù)，實(shí)現(xiàn)多NWDAF與多NF之間的智能利用AI對(duì)網(wǎng)絡(luò)安全進(jìn)行智能化檢測(cè)，提高檢測(cè)效率。AI技術(shù)有助于提升6G略自適應(yīng)等方面發(fā)揮重要作用。遷移學(xué)習(xí)技術(shù)有助于解決AI分析模型訓(xùn)練數(shù)據(jù)不足的而指導(dǎo)安全控制器進(jìn)行安全措施部署和動(dòng)態(tài)防御；安全能力實(shí)施過程中借助AI模型的的安全挑戰(zhàn)?；诰W(wǎng)絡(luò)的AI安全管理與決策的可靠性、可用性等非常依賴于以用戶數(shù)據(jù)為核心的AI能力處理全鏈路過程，包括采集、分析、訓(xùn)練及推理等環(huán)節(jié)，因此面臨響AI模型的訓(xùn)練質(zhì)量與決策準(zhǔn)確性，基于零信任的、更完善的用戶認(rèn)證授權(quán)和數(shù)據(jù)治理等方法將可有效緩解該方面的威脅；對(duì)抗性攻擊則通過設(shè)計(jì)輸入數(shù)據(jù)誤導(dǎo)AI模型學(xué)窩系統(tǒng)的端到端傳輸安全機(jī)制可以有效過濾和抵制對(duì)抗性攻擊數(shù)據(jù)的威脅和侵入，對(duì)AI模型進(jìn)行有效保護(hù)；在模型傳輸與部署階段，模型反演攻擊和隱私推理攻擊則可能利用同態(tài)加密、隱私計(jì)算和模型壓縮傳遞等方法保障AI模型使用過程中的安全。通過在面向6G時(shí)代的智能網(wǎng)絡(luò)安全管理與決策領(lǐng)域，需要保障AI能力和服務(wù)的安全網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)，建議在AI訓(xùn)練的過程中制定嚴(yán)格的數(shù)據(jù)處理和保護(hù)指南，采用分級(jí)分類的保護(hù)機(jī)制，對(duì)敏感信息進(jìn)行加密、脫敏和訪問控制。此外，針對(duì)核心網(wǎng)AI應(yīng)用據(jù)全生命周期的安全；面對(duì)AI系統(tǒng)本身存在的安全風(fēng)險(xiǎn)，包括模型和算法的脆弱性，建議通過對(duì)抗性訓(xùn)練等方法增強(qiáng)AI模型的魯棒性，以識(shí)別和防御潛在的未知攻擊，確第九章DTN安全推演技術(shù)ITU-R發(fā)布的《IMT面向2030及未來發(fā)展的框架和總體目標(biāo)建議書》[10]中，提出診斷、仿真和控制，可以實(shí)現(xiàn)低成本試錯(cuò)、智能化決策、私保護(hù)等問題，孿生模型的可信性保障以及孿生網(wǎng)絡(luò)和物成相應(yīng)的孿生場(chǎng)景實(shí)例，將推演的結(jié)果（安全策面向未來6G網(wǎng)絡(luò)的九大安全關(guān)鍵技術(shù)，包括無線物理AI安全管理與決策技術(shù)、DTN安全推演技術(shù)，并對(duì)每種技術(shù)的適用場(chǎng)景與安全需求、技術(shù)原理、在6G中的應(yīng)用構(gòu)想以及相關(guān)的挑戰(zhàn)建議做了充分闡平衡，保障6G各類業(yè)務(wù)場(chǎng)景的安全可信。最后，安全標(biāo)準(zhǔn)化工作是推動(dòng)業(yè)界對(duì)于6G[9]NISTPQCStandardizationProcess:AnnouncStandardized,PlusFourrAttribute-BasedAccessApplicationProgrammingInDynamicHeterogeneousReDecentralizedIDentiEllipticCurvesCryNEANewradioEncryptionAlgorithmNFNFVNIAN