2024全球6G技术大会：6G安全潜在关键技术白皮书

目录 前言3 第一章无线物理层安全技术5 1.1场景与安全需求5 1.2技术原理5 1.3技术应用构想6 1.4挑战和建议6 第二章分布式信任技术7 2.1场景与安全需求7 2.2技术原理7 2.3技术应用构想8 2.4挑战和建议9 第三章泛在可信技术11 3.1场景与安全需求11 3.2技术原理11 3.3技术应用构想12 3.4挑战和建议13 第四章量子安全技术14 4.1场景与安全需求14 4.2技术原理14 4.3技术应用构想16 4.4挑战和建议16 第五章隐私保护技术17 5.1场景与安全需求17 5.2技术原理17 5.3技术应用构想18 5.4挑战和建议19 第六章安全能力服务化技术20 6.1场景与安全需求20 6.2技术原理20 6.3技术应用构想21 6.4挑战和建议21 第七章拟态防御技术23 7.1场景与安全需求23 7.2技术原理23 7.3技术应用构想24 7.4挑战和建议25 第八章AI安全管理与决策技术26 8.1场景与安全需求26 8.2技术原理26 8.3技术应用构想27 8.4挑战和建议28 第九章DTN安全推演技术29 9.1场景与安全需求29 9.2技术原理29 9.3技术应用构想30 9.4挑战和建议31 总结32 参考文献33 缩略语34 编写单位36 前言 6G网络趋向复杂性、多样性发展，网络开放程度不断增加，传统网络安全边界进一步模糊，网络攻击手段持续升级，未来网络难以通过边界隔离、外挂安全能力等被动防护模式来保障安全。因此，6G网络应具备内生安全基因，全方位保障6G网络端到端的安全可信。 内生安全是一种实现6G安全的理念和方法，强调将安全性作为核心要素和基本特征融入6G网络全生命周期内，安全根植于6G网络并与网络共生，使6G网络具备自我保护、自我修复和自我适应的能力，通过内在机制主动应对各种威胁和攻击，提升6G网络整体的安全性和可靠性。 6G网络架构重构为建立新的安全体系提供了机会和窗口期。IMT-2030（6G）推进组在《6G网络安全愿景技术研究报告》[1]中指出，6G网络安全应具备“主动免疫、弹性自治、虚拟共生、泛在协同”四个特征；在《6G可信内生安全架构研究报告》[2]中提出融合“信任+安全”的理念，从安全能力、安全控制和安全决策三个层次构建6G可信内生安全架构，协同数字孪生网络、人工智能分析能力以及资源编排与调度能力，以安全面的形式为6G网络提供内生安全基因，实现6G网络的安全性和可靠性。 图16G可信内生安全架构示意图 本白皮书基于6G可信内生安全架构，从安全能力、安全控制和安全决策三个层次，对6G安全潜在关键技术的适用场景与安全需求、技术原理、应用构想以及相关的挑战和建议进行了详细阐述。其中，第一章无线物理层安全技术、第二章分布式信任技术、第三章泛在可信技术、第四章量子安全技术和第五章隐私保护技术，属于安 全能力层潜在关键技术；第六章安全能力服务化技术和第七章拟态防御技术，属于安全控制层潜在关键技术；第八章AI安全管理与决策技术和第九章DTN安全推演技术，属于安全决策层潜在关键技术。以上三类技术将围绕信任和安全的目标，支撑整体6G可信内生安全体系设计。 第一章无线物理层安全技术 1.1场景与安全需求 未来6G终端的种类和数量持续增加，种类繁多、能力各异的物联网设备逐渐占据主导，但大多数物联网终端的处理能力有限，无法承载复杂的信令和处理开销；并且，分布于各种不同的开放电磁环境中，在无线安全方面面临严峻挑战[3]。无线物理层安全技术利用无线信道的各点异性、随机时变性和第三方测不准特性等天然的安全属性，提供可融合但不依赖于传统密码的安全能力，有望为6G万物互联的信息安全提供轻量级安全能力[4]。无线内生安全技术以物理层安全理论为内核，通过进一步挖掘和利用无线信道的内生安全属性，可实现通信和安全“内源性”一体化设计，在智能超表面（RIS）、通感一体化等新技术的激发下，可进一步精细认知、优化定制和精细操控电磁环境，主动塑造对抗无线扰动的最优环境，为6G提供自适应的安全能力。 1.2技术原理 （1）物理层密钥生成 物理层密钥生成技术利用信道互易性，通信双方可以获得一致的信道特征，如信道状态信息、接收信号强度等，并基于此生成一致的物理层密钥。但，自然无线信道具有不可操控性，利用RIS等6G潜在关键技术可以主动改造无线环境，不但能够优化通信的信道条件，而且还能降低合法信道与窃听信道相关性，增加信道的随机时变性，增大信道作为随机源的熵，从而大大提升密钥生成性能。 （2）物理层安全传输 物理层安全传输技术根据无线信道特征设计安全波束赋形，或进一步结合人工噪声注入，使得保密信息在期望信道空间中可靠传输，而人工噪声尽量在期望空间的零空间传输，最大化保密传输容量。同时，可利用RIS优化定制无线环境，增大合法信道与窃听信道质量差异，实现安全传输。 （3）信道指纹认证 信道指纹认证利用无线信道的唯一性和时空特异性，通过连续信道比对或相干时间内的信道比对，实现对节点身份或数据包的认证。本质上，利用信道特征对用户加盖“位置戳”，不仅增加了可信根的长度，还把传统基于身份信息索引的可信根比对认证机制 拓展到对无线信号的认证，抵御未知无线接入攻击。 1.3技术应用构想 无线内生安全技术不仅可解决无线窃听、无线干扰、无线欺骗等底层信号域安全威胁，构建6G空口物理层安全原子能力，还可融入上层安全能力层，形成一体化安全能力，向上层应用提供安全和可信的基础，满足差异化的安全保障需求。无线内生安全机制能够提供不依赖于计算复杂度的安全能力，降低对于终端能耗和处理能力的要求，满足6G典型应用场景的安全性和轻量级需求。例如，在海量物联网等场景中，可将物理层密钥生成技术与上层密钥体系或轻量级加密算法结合，减轻密钥分发/管理负担，提升安全性的同时降低计算复杂度。 同时，利用超大规模天线、RIS、通感一体化技术等6G潜在关键技术，主动调控和精细感知无线环境，挖掘并定制无线信道信息，在提高通信质量的同时辅助提升无线安全性能。 图2无线内生安全技术应用构想示意图 1.4挑战和建议 借助6G内在的感知、控制信道能力，有望构建主动智能内生的无线物理层安全新技术，然而，相关研究仍处于起步阶段，亟待开展如下探索：利用RIS、通感一体化等6G新兴技术提升对信道的改造定制、精确感知等能力，探索感知能力向安全通信能力的赋能机理，实现通信、感知、安全一体化设计；利用物理层安全和上层安全机制的深度融合，进一步提升6G安全的健壮性；面向6G安全需求，设计、测试物理层安全技术性能测评标准、方法及实验分析，为其工程化应用奠定基础，构建无线内生安全性能评价体系。 第二章分布式信任技术 2.1场景与安全需求 6G开放的网络生态、异构融合的网络架构对信任体系提出了新的需求。一方面， 6G网络具有跨网络、跨行业以及生态各方深度参与的特点。6G网络将支持多方资源共享，频谱资源、算力资源将在6G时代成为可由多方进行动态、按需共享的网络资源，以实现资源共享、价值转移和变现。因此，需要一个去中心化、公开透明、不可篡改的运行机制，能够凝聚多方共识，处理资源竞争问题，使得整个过程公开透明、真实可信 [5]。 另一方面，6G网络支持卫星网络、行业网络、体域网等异构网络，来自不同组织机构的设备之间需要建立安全、可靠的信任关系。传统电信网主要采用中心式、背书式等信任模式，未来6G网络需要引入基于共识的信任模式，由参与网络的多方实体之间利用技术手段达成多方互信，使得信任根不再依赖于集中的单点，而是由多个参与方共同组成[6]。 2.2技术原理 区块链是实现分布式信任的基础。区块链技术本质上是一个去中心化的数据库，其将信息写入一个区块，通过各个区块相连形成区块的链，每个区块都包含有之前相连接区块的信息，并通过哈希算法等密码学手段防止区块内容和连接关系被篡改。区块链具有去中心化、公开透明、可追溯和不可篡改的特点[5]。实现区块链的关键技术可以总结为P2P协议、共识算法、账本结构、激励机制、智能合约、密码算法等。 根据参与者的访问系统授权方式，区块链系统可分为两类：无许可区块链系统，任何人都可以在未经授权的情况下访问该系统，参与者不受信任；许可区块链系统，参与者只有在被认证后才能访问该系统，参与者之间并不完全信任（半信任）。根据区块链的使用范围不同，许可区块链系统又分为联盟链和私有链。联盟链是由若干个机构共同参与管理的区块链[6]。 除了利用区块链构建信任底座外，6G还需设计分布式认证方案。电信网的认证包含两个部分，其一是电信网设备之间的认证。当前主要采用基于公钥证书的方式，可信根通常为运营商或设备商的CA，这是一种背书式的信任机制[6]。分布式公钥基础设施 （DPKI）可能成为设备分布式认证的备选技术，通过多方共建信任平台，以分布式的 方式存储证书和证书验证的过程，可以实现证书的跨域验证，提升CA可信性和可靠性。 其二为电信网用户与网络之间的认证。当前一般通过用户与运营商签约创建一个可认证的身份，所有身份都是运营商集中创建、维护和管理的，本质上这是一种中心式的认证方案。数字身份可能成为用户分布式认证的备选技术，W3C定义的去中心化身份（DID）就是一种可验证的、去中心化的数字身份。DID由控制者持有，与中心式的注册机构、身份提供者和证书颁发机构解耦，无需任何其他方的背书。 2.3技术应用构想 （1）6G区块链 6G区块链将基于6G网络作为基础设施，移动通信网络节点作为区块链的基础设施节点。6G区块链服务于6G业务，围绕“多方信任”这个核心功能，为上层业务提供安全的互信互享平台，业务也会因为区块链的引入需要重塑业务流程[7]。根据区块链在电信网络发挥的作用不同，区块链部署在网络不同位置，分为三种部署模式，下图是示意图： 图3区块链部署示意图 1)底层区块链模式：核心网区块链模块部署在网元或者网管层级，在建网开局之后生成区块链初始节点，承担着区块链建链维护和区块链节点权限认证的功能；接入网和终端的区块链能力预置，接入网络后即可使用。区块链随着网络的建立存在，可以实现区块链赋能的用户认证鉴权、核心网服务发现等功能。 2)上层区块链模式：区块链架设在既有电信网络架构之上，区块链功能可以根据需求插拔。在核心网以网络功能的形式部署区块链功能，独立演进，快速迭代；接 入网和终端的区块链能力可以由核心网下发，根据需求自由配置区块链能力组成。 3)混合区块链模式：区块链模块分为两部分，一部分属于电信网络基本功能，以底层模式部署，只包含身份认证等基本信任功能；另一部分属于电信网络服务功能，以上层模式部署，按需加减额外功能。 （2）分布式认证 针对电信网设备之间的分布式认证，6G网络将引入基于区块链的DPKI技术，利用区块链的公开透明、多方共识、不可篡改的特性构建信任联盟，实现基于区块链的证书和身份管理、透明审计和跨域验证。主要有三种技术路径：第一种，将证书的真实值存储到存储系统中，证书的哈希存储到区块链中，由区块链维护数据的完整性，从而避免由于存储系统中的节点被攻击失效而造成的危害；第二种，运营商组成联盟链，每个运营商将自己与网络运营所需的证书、CA的证书写入联盟链，认证时可以不提供完整的证书，只需携带证书在区块链上对应的标识；第三种，设备公钥基于身份标识信息生成，无需经过权威机构的签名，无需使用数字证书，简化了密钥系统管理的复杂性[7]。针对电信网用户和网络之间的分布式认证，6G网络将采用数字身份技术。用户拥 有自己的数字身份，可以自主掌控身份在不同信任域或业务的使用范围，选择性地分享特定的身份信息给需要验证的实体。数字身份可以支持匿名身份验证，用户在需要验证身份的情况下可以提供必要的身份信息，同时保护个人隐私；身份认证拓展到网络中的所有主体，不仅包含用户的认证，还将包含数字人、AI助理、网络节点甚至分布式自治网络整体的认证；将数字身份与智能合约结合，可以实现自动化的身份验证和权限控制。 2.4挑战