陸海濤/LU Haitao，陳一喆/CHEN Yizhe，婁篤仕/LOU Dushi

（ 1.中興通訊股份有限公司，中國 深圳 518057；2.深圳市無線移動技術(shù)重點企業(yè)研究院（中興），中國 深圳 518055；3.深圳市5G接入網(wǎng)安全技術(shù)研究及應(yīng)用重點實驗室，中國 深圳 518055；4.南京郵電大學(xué)，中國 南京 210003 ）

第3代合作伙伴計劃（3GPP）定義了5G的三大應(yīng)用場景：增強移動寬帶（eMBB）、超可靠低時延通信（URLLC）和海量機器類通信（mMTC）。3GPP在制定5G網(wǎng)絡(luò)標準時已把安全性作為核心問題來考慮，并在5G的第一個標準R15里提出5G網(wǎng)絡(luò)安全架構(gòu)[1]，從訪問域、網(wǎng)絡(luò)域、服務(wù)化架構(gòu)（SBA）域等方面分別定義了安全功能和組件。3GPP R15標準于2018年6月被凍結(jié)，該標準主要規(guī)定了eMBB和URLLC兩大場景?；?GPP R15的網(wǎng)絡(luò)安全架構(gòu)，文獻[2]針對5G接入網(wǎng)和基站設(shè)備，從基礎(chǔ)設(shè)施、新空口（NR）、核心網(wǎng)接口和網(wǎng)管接口4個方面提出了安全解決方案。

2020年7月3GPP R16標準被凍結(jié)，該標準完善了URLLC技術(shù)特性。該技術(shù)特性使得5G可以應(yīng)用于工業(yè)、港口、地鐵等物聯(lián)網(wǎng)中，為5G面向企業(yè)（ToB）垂直行業(yè)應(yīng)用打下基礎(chǔ)。此時業(yè)界開始意識到：傳統(tǒng)的網(wǎng)絡(luò)安全防護機制是“外掛式”“補丁式”的，難以應(yīng)對未來萬物互聯(lián)所面臨的安全挑戰(zhàn)，因此需要改變傳統(tǒng)的安全防御思想，不再使用獨立安全解決方案來應(yīng)對安全問題，需要重新設(shè)計安全協(xié)議和機制，建立一套完備的信息系統(tǒng)安全體系，使系統(tǒng)具備自我免疫、內(nèi)外兼修、自我進化的特點，從網(wǎng)絡(luò)內(nèi)部增強安全防范能力，從源頭上抵制攻擊的產(chǎn)生[3]，即實現(xiàn)內(nèi)生安全。

2022年6月3GPP R17標準被凍結(jié)。該標準支持增強的工業(yè)物聯(lián)網(wǎng)、精準授時、高精度定位和車聯(lián)網(wǎng)（V2X），并引入了面向較低復(fù)雜度物聯(lián)網(wǎng)終端的RedCap，將5G擴展至幾乎全部終端和用例，為實現(xiàn)5G萬物互聯(lián)提供了重要支撐。

3GPP在2022—2026年進行5G-Advanced標準（R18/R19/R20）的研究，并將在2027—2030年開展6G標準（R21/R22/R23）的研究，繼續(xù)在移動寬帶、固定無線接入、工業(yè)物聯(lián)網(wǎng)、V2X、擴展現(xiàn)實（XR）、無人機與衛(wèi)星接入等用例方面進行空口協(xié)議演進與增強，研究和制定更高頻段的相關(guān)標準。另外，6G通信標準的服務(wù)范圍將從陸地擴展到衛(wèi)星、海底、地下，真正實現(xiàn)海、地、天三位一體通信。

1 5G接入網(wǎng)安全技術(shù)

5G通信網(wǎng)絡(luò)由終端、接入網(wǎng)、承載網(wǎng)和核心網(wǎng)組成。其中，接入網(wǎng)是指用戶終端和骨干承載網(wǎng)之間的設(shè)備和鏈路，可實現(xiàn)無線信號的接入和轉(zhuǎn)換。5G接入網(wǎng)的關(guān)鍵設(shè)備是5G基站（gNB），可實現(xiàn)3GPP定義的5G協(xié)議規(guī)范，具有大帶寬、高可靠低時延、多連接的特性。相關(guān)核心指標包括無線頻譜效率、峰值速率、用戶體驗速率、流量密度、連接密度、時延和移動性等。5G接入網(wǎng)安全技術(shù)主要包括終端安全、空口安全、基礎(chǔ)設(shè)施安全、安全日志和公鑰基礎(chǔ)設(shè)施（PKI）系統(tǒng)等，如圖1所示。這些技術(shù)是5G基站為數(shù)據(jù)處理、協(xié)議轉(zhuǎn)換、訪問控制和管理功能提供的安全支撐和重要保障。

▲圖1 5G接入網(wǎng)安全技術(shù)架構(gòu)

（1）終端安全

終端安全是指在用戶接入網(wǎng)絡(luò)時做認證和鑒權(quán)的控制，對用戶身份進行確認。長期演進技術(shù)（LTE）/5G使用了全新的雙向認證方式和配有用戶識別模塊（UIM）的全球用戶識別卡（USIM）。只有都完成網(wǎng)絡(luò)對終端認證和終端對網(wǎng)絡(luò)認證后，用戶才可接入網(wǎng)絡(luò)。5G增加了5G認證與密鑰協(xié)商協(xié)議（5G-AKA）認證，并通過向歸屬網(wǎng)絡(luò)提供用戶設(shè)備（UE）從訪客網(wǎng)絡(luò)成功認證的證明，來增強演進分組系統(tǒng)（EPS）-AKA的安全性[1]。

對5G基站而言，終端安全更側(cè)重于用戶隱私數(shù)據(jù)的保護。例如，歐盟的《通用數(shù)據(jù)保護條例》和中國的《中國個人信息保護法》都嚴格要求在收集個人數(shù)據(jù)之前要征得用戶同意，并規(guī)定了收集和處理數(shù)據(jù)的義務(wù)和責(zé)任。

5G基站數(shù)據(jù)處理所涉及的用戶隱私數(shù)據(jù)有兩種：一是執(zhí)行3GPP協(xié)議處理所涉及的協(xié)議消息內(nèi)容，如用戶永久標識（SUPI）/國際移動用戶標識（IMSI）、用戶匿名標識（SUCI）、5G全球唯一臨時標識（5G-GUTI）/臨時移動用戶識別碼（TMSI）、國際移動設(shè)備標識（IMEI）、用戶互聯(lián)網(wǎng)地址（UE IP）及位置區(qū)標識（LAI）定位信息等；二是操作維護管理所涉及的管理消息內(nèi)容，如SUPI/IMSI、UE IP等。對于所涉及的用戶隱私數(shù)據(jù)，5G基站通過采取數(shù)據(jù)加密、系統(tǒng)加固、數(shù)據(jù)脫敏等措施來保護隱私數(shù)據(jù)的安全。

（2）空口安全

空口安全主要解決終端和基站之間無線通道的安全傳輸問題。由于無線信號覆蓋在空間各處，非法用戶可以隨意截取，因此需要對空口數(shù)據(jù)進行加密和完整性保護，防止數(shù)據(jù)泄露或被篡改。

5G基站的空口安全處理包括數(shù)據(jù)加密和完整性保護。其中，數(shù)據(jù)加密是指發(fā)送方通過加密算法將明文數(shù)據(jù)轉(zhuǎn)換為密文數(shù)據(jù)，保證數(shù)據(jù)不泄露；完整性保護是指發(fā)送方通過完整性算法計算出完整的消息認證碼（MAC-I），接收方通過完整性算法計算預(yù)期的消息身份驗證代碼（X-MAC），并比較MAC-I和X-MAC是否一致，以保證數(shù)據(jù)不被篡改。5G基站在分組數(shù)據(jù)匯聚協(xié)議（PDCP）層實現(xiàn)數(shù)據(jù)加密和完整性保護功能，根據(jù)核心網(wǎng)發(fā)送的安全策略激活安全功能。加密算法由5G基站通過無線資源控制（RRC）信令發(fā)送給終端，密鑰由終端和5G基站生成。

（3）基礎(chǔ)設(shè)施安全

5G基站的基礎(chǔ)設(shè)施安全包括多個方面。（a）物理設(shè)備安全：對基站以及周圍設(shè)施保證安全，如設(shè)置門禁、監(jiān)控，配備煙霧、溫度傳感器等；（b）操作系統(tǒng)安全：定期對軟硬件進行安全威脅分析和評估，每發(fā)布一個軟件版本，都需要經(jīng)過第三方軟件的安全掃描和評估，對于發(fā)現(xiàn)的漏洞和風(fēng)險能夠及時解決；（c）禁用不安全的服務(wù)和協(xié)議：與基站應(yīng)用無關(guān)的操作系統(tǒng)（OS）服務(wù)和協(xié)議需要被關(guān)閉或移除，不使用的端口缺省也要被關(guān)掉，提供對外開放的端口/協(xié)議列表，支持端口/協(xié)議可關(guān)閉；（d）存儲安全：本地存儲的機密信息都需要加密，其中特別敏感的信息還要存放在保護區(qū)內(nèi)；（e）不使用無支持的硬件和軟件模塊：在基站產(chǎn)品開發(fā)過程中，可選擇硬件模塊或者第三方軟件模塊，但不能選用已經(jīng)沒有支持和不再升級的產(chǎn)品，因為這類產(chǎn)品往往存在安全缺陷。如果沒有支持來修補安全漏洞，基站就會暴露安全問題。

（4）系統(tǒng)安全檢測

系統(tǒng)安全檢測可保護基站正常運行，在軟硬件異?；蚬收蠒r能夠快速恢復(fù)，避免基站服務(wù)中斷。資源監(jiān)控、回收、復(fù)位、告警、日志等手段可保證業(yè)務(wù)軟件服務(wù)與硬件資源的可用性。（a）中央處理器（CPU）監(jiān)控與死鎖檢測：通過線程切換等關(guān)鍵點的時刻記錄來獲取運行時間，計算線程在一個周期內(nèi)的CPU占用率，結(jié)合線程的CPU/核占用率和主動切換次數(shù)，判斷線程是否進入死循環(huán)或處于死鎖狀態(tài)，記錄現(xiàn)場日志并恢復(fù)服務(wù)；（b）內(nèi)存泄露檢測：限定具體進程的內(nèi)存使用量，結(jié)合申請者信息和一些使用策略對內(nèi)存泄露做出判定，在監(jiān)控到這些問題發(fā)生時記錄詳細的異常日志；（c）孤島監(jiān)控與自救：當各種故障與核心網(wǎng)、網(wǎng)管等連接設(shè)備斷鏈出現(xiàn)孤島狀態(tài)時，系統(tǒng)會監(jiān)控孤島狀態(tài)，實施自救，傳輸參數(shù)回滾等以保障基站服務(wù)的可用性。

（5）傳輸安全

傳輸安全主要指5G基站數(shù)據(jù)傳輸?shù)陌踩珔f(xié)議保障，涉及5G基站之間、5G基站與LTE基站間的Xn/X2接口，5G基站與5G核心網(wǎng)及LTE核心網(wǎng)間的下一代5G（NG）/4G（S1）接口連接。傳輸網(wǎng)絡(luò)協(xié)議涉及物理層到應(yīng)用層之間的安全協(xié)議。如果這些接口的物理網(wǎng)絡(luò)非可信，則需要通過連接安全網(wǎng)關(guān)（SeGW）建立端對端的安全通信隧道，支持Internet安全協(xié)議（IPSec），保證5G基站數(shù)據(jù)傳輸?shù)陌踩?。另外，基站和網(wǎng)管間的傳輸鏈路也要支持傳輸層安全（TLS）協(xié)議，保證管理數(shù)據(jù)的安全。

由于是一個多層次的需求，在某些特定場景中數(shù)據(jù)傳輸安全還需要支持更底層的業(yè)務(wù)，例如實現(xiàn)鏈路層的額外保護。相關(guān)協(xié)議包括電氣與電子工程師協(xié)會（IEEE）制定的基于端口的訪問控制和認證協(xié)議（IEEE 802.1x）、媒體訪問控制安全（MACSec）協(xié)議等。

（6）操作維護安全

5G基站的操作維護安全涉及配置、版本、告警、診斷操作等。維護用戶是指對基站進行配置、操作和維護的使用者，用戶必須唯一識別?；镜牟僮骶S護系統(tǒng)功能包括SSH、SFTP和Web服務(wù)。授權(quán)用戶可以通過基站的本地管理口從外部遠程訪問，非授權(quán)用戶不能接入系統(tǒng)。用戶接入系統(tǒng)后還需要進行權(quán)限控制，即用戶能夠讀取/修改/執(zhí)行系統(tǒng)文件是否在授權(quán)范圍內(nèi)。系統(tǒng)需要對用戶分組，不同等級的用戶分組有不同的用戶權(quán)限。

系統(tǒng)支持集中賬戶管理和本地賬戶管理。其中，集中賬戶是指通過輕量目錄訪問協(xié)議（LDAP）等集中管理分布網(wǎng)元的賬戶，本地賬戶用于設(shè)備近端的操作維護管理。系統(tǒng)的用戶訪問控制是指對用戶授權(quán)可以訪問的對象和執(zhí)行的操作，通常通過基于角色的權(quán)限分配來實現(xiàn)。

（7）安全日志

5G基站提供安全日志，記錄用戶登錄和登出、用戶權(quán)限變更等安全事件以供審計，提供有效證據(jù)防止人員或?qū)嶓w否認執(zhí)行過的活動。同時基站實時反饋5G網(wǎng)絡(luò)系統(tǒng)的安全勢態(tài)，讓運營商了解無線系統(tǒng)的整體安全情況，提供日志查詢、安全事件關(guān)聯(lián)分析和報告等。當分析結(jié)果有潛在和可疑的活動時，系統(tǒng)會產(chǎn)生告警并調(diào)查可疑活動。

（8）PKI系統(tǒng)

5G規(guī)范引入了基于PKI的安全體系結(jié)構(gòu)。3GPP 33.310協(xié)議定義了基站數(shù)字證書的注冊機制，以及應(yīng)用數(shù)字證書與核心網(wǎng)建立安全通信鏈路的過程。PKI采用非對稱密碼算法技術(shù)實現(xiàn)可提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施，能夠為所有網(wǎng)絡(luò)應(yīng)用提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理，并提供創(chuàng)建、頒發(fā)、查詢證書的功能。

設(shè)備商為基站提供出廠生成的公私鑰對?；緯A(yù)裝由設(shè)備商簽名的數(shù)字證書、登記授權(quán)（RA）/證書授權(quán)（CA）服務(wù)器預(yù)裝設(shè)備商根證書、核心網(wǎng)SEG預(yù)裝運營商根證書。然后基站向核心網(wǎng)注冊并使用證書管理協(xié)議版本2（CMPv2）協(xié)議向RA/CA發(fā)起證書申請。RA/CA則使用設(shè)備商根證書和設(shè)備商簽名證書對基站進行身份驗證。驗證通過后基站會獲得簽發(fā)的運營商證書并返回證書響應(yīng)?；咀C書替換為運營商簽名證書，則表明基站注冊完成。隨后基站使用運營商簽名證書與核心網(wǎng)建立IPSec安全連接。

2 5G-Advanced安全增強技術(shù)

5G發(fā)展的關(guān)鍵是應(yīng)用。2021年7月，工業(yè)和信息化部等十部門聯(lián)合發(fā)布了《5G應(yīng)用“揚帆”行動計劃（2021—2023年）》，從5G應(yīng)用標準體系、面向行業(yè)需求的5G產(chǎn)品、5G應(yīng)用創(chuàng)新生態(tài)、5G應(yīng)用安全能力四大領(lǐng)域打造5G融合應(yīng)用新產(chǎn)品、新業(yè)態(tài)、新模式，為經(jīng)濟社會各領(lǐng)域的數(shù)字轉(zhuǎn)型、智能升級、融合創(chuàng)新提供堅實支撐。中國5G應(yīng)用市場發(fā)展空間巨大，根據(jù)行業(yè)互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）研究預(yù)測，到2025年全球物聯(lián)網(wǎng)市場將達到1.1萬億美元，其中中國市場占比將提升到25.9%，物聯(lián)網(wǎng)市場規(guī)模全球第一。大部分市場增長來自企業(yè)市場，這說明5G發(fā)展將從傳統(tǒng)面向個人（ToC）消費市場向ToB企業(yè)應(yīng)用轉(zhuǎn)變。5G賦能各行各業(yè)，帶動行業(yè)數(shù)字化、智能化轉(zhuǎn)型升級。

5G-Advanced是5G技術(shù)的演進版本，其目標是實現(xiàn)萬兆體驗、千億物聯(lián)、智能感知的網(wǎng)絡(luò)能力。3GPP于2021年12月將R18作為5G-Advanced第一個版本。R18的27個項目涵蓋5G傳統(tǒng)的eMBB、URLLC、V2X等場景，同時定義了新場景、新業(yè)務(wù)，如上行大容量、空口人工智能（AI）、虛擬現(xiàn)實增強業(yè)務(wù)XR、高精度定位等。相比于先前的5G版本，5G-Advanced面向ToB垂直行業(yè)應(yīng)用，在現(xiàn)有網(wǎng)絡(luò)能力的基礎(chǔ)上，進一步提升網(wǎng)絡(luò)能力，增強支持大上行（1 Gbit/s峰值速率）、極低時延（毫秒級）、更高可靠性（99.9999%）、更高可用性、更高精準授時、更高精度定位，以及通信感知、空天一體的服務(wù)保障能力。相應(yīng)地，5G-Advanced網(wǎng)絡(luò)的安全技術(shù)也要進行增強，以適應(yīng)在ToB行業(yè)的應(yīng)用推廣。

2.1 高可靠性安全

隨著5G技術(shù)的廣泛部署，行業(yè)應(yīng)用普遍對網(wǎng)絡(luò)可靠性提出確定性要求，如電網(wǎng)差動保護、港口岸橋遠程控制、橋式起重機遠程操縱等。5G-Advanced的高可靠性增強技術(shù)包括PDCP復(fù)制、混合自動重傳請求（HARQ）重傳、智能自適應(yīng)調(diào)制編碼（AMC）控制重傳和低碼率MCS調(diào)整等。涉及的安全增強技術(shù)主要是PDCP復(fù)制安全，即確保PDCP數(shù)據(jù)和復(fù)制數(shù)據(jù)均使用相同的加密完保策略和密鑰，如圖2所示。這也是跨站CA和切換場景的密鑰一致性解決方案。

▲圖2 基于載波聚合PDCP復(fù)制或雙連接PDCP復(fù)制

2.2 高可用性安全

高可用性是行業(yè)應(yīng)用的基本要求：一方面通過設(shè)備和鏈路冗余提高可用性，例如基站熱備支持節(jié)點級和網(wǎng)絡(luò)級的容災(zāi)保護，前傳光口雙上聯(lián)合環(huán)組網(wǎng)，均能保障傳輸?shù)母呖捎眯裕涣硪环矫?，要確保在通信鏈路斷開后，仍能繼續(xù)保持業(yè)務(wù)連接，例如在礦山場景中，當井下基站和地面核心網(wǎng)鏈路因事故中斷后，基站要支持斷鏈保持功能，使井下用戶終端業(yè)務(wù)不中斷。

如圖3所示，當?shù)V山場景的井下基站與地面核心網(wǎng)的連接（N2、N4）斷鏈時，為了保持業(yè)務(wù)連貫運行，井下用戶終端的正常業(yè)務(wù)不受影響，基站需要啟動5G控制面（NGC）斷鏈業(yè)務(wù)保持功能，并且要求業(yè)務(wù)不斷、安全不斷。由于對用戶的安全控制管理是在核心網(wǎng)進行的，因此當基站啟動斷鏈保持時，基站也要增強對用戶的安全控制管理。

▲圖3 5G控制面斷鏈業(yè)務(wù)保持功能示意

2.3 5G精準授時安全

工業(yè)控制、電力差動保護/精密測量單元（PMU）等業(yè)務(wù)需要嚴格的業(yè)務(wù)同步。由于工業(yè)控制有線化成本高、布放受限，工業(yè)控制網(wǎng)絡(luò)無線化是一個重點發(fā)展方向。特別是隨著5G工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)需求的迅猛發(fā)展，5G+垂直行業(yè)產(chǎn)業(yè)發(fā)展迅速，通過5G空口實現(xiàn)業(yè)務(wù)到UE側(cè)高精度時間同步成為業(yè)務(wù)系統(tǒng)的基礎(chǔ)性需要。5G基站通過空口把網(wǎng)絡(luò)同步時間傳送給UE，同時系統(tǒng)對處理時延進行相應(yīng)的誤差校準，從而實現(xiàn)全網(wǎng)UE的高精度時間同步。

5G空口授時的安全性增強主要是對系統(tǒng)信息模塊（SIB）廣播消息的增強處理。5G空口授時有兩種模式：RRC單播信令、SIB9廣播。其中，RRC單播方式擁有空口安全協(xié)商接入準入機制，并采用加密的信令對UE進行授時，具有較高的安全性。

圖4為5G空口授時的RRC單播方式?；驹诎l(fā)送授時信息時使用安全協(xié)商后得到的密鑰進行加密和完保，以保證授時信息通過空口傳輸時的機密性和完整性。

▲圖4 5G空口授時的無線資源控制單播方式

而廣播方式SIB9消息不需要接入認證就可獲取，安全性差，容易受到偽基站攻擊。因此，我們需要先考慮增強終端流程安全，確保終端收到的SIB9廣播消息的合法性，再重新獲取時間信息和使用時鐘。

2.4 5G高精度定位安全

位置服務(wù)是未來新興產(chǎn)業(yè)的重要驅(qū)動力，包括商場、車站、醫(yī)院的室內(nèi)導(dǎo)航，移動電子商務(wù)、個性化廣告的商品引導(dǎo)，救災(zāi)搶險的特殊行業(yè)人員定位等。傳統(tǒng)的衛(wèi)星定位由于受覆蓋和通信能力限制，難以滿足未來數(shù)字化社會的高精度定位服務(wù)需求。5G大規(guī)模天線、大帶寬的關(guān)鍵技術(shù)和算法突破，使得厘米級的高精度定位成為可能，不僅能保障室內(nèi)室外的無縫覆蓋，還具有強大的通信能力。因此，5G高精度定位是未來位置服務(wù)的主要手段。

5G空口定位的安全性增強主要是對定位數(shù)據(jù)的保護，需要嚴格定義數(shù)據(jù)訪問權(quán)限，防止非法訪問、防DDOS攻擊等。同時位置計算的定位引擎是高精度定位的核心。連接基站、網(wǎng)管和業(yè)務(wù)平臺需要采用不同的網(wǎng)絡(luò)平面進行隔離，以保證網(wǎng)絡(luò)安全，如圖5所示。

▲圖5 5G空口定位結(jié)構(gòu)

2.5 數(shù)據(jù)分流安全

5G行業(yè)應(yīng)用中數(shù)據(jù)安全是保障企業(yè)開展生產(chǎn)經(jīng)營活動的重要前提。各類技術(shù)資料可能含有重要的商業(yè)機密，一旦泄露將導(dǎo)致企業(yè)失去核心競爭力。此外，生產(chǎn)控制指令、工況狀態(tài)等信息若被不法分子篡改，將引發(fā)系統(tǒng)設(shè)備故障甚至生產(chǎn)安全事故，影響企業(yè)生產(chǎn)運行。企業(yè)客戶普遍提出5G網(wǎng)絡(luò)的引入需要保證數(shù)據(jù)不出園的安全需求。

由于ToB業(yè)務(wù)本地處理需求強烈，我們可通過下沉部署園區(qū)專用的本地分流網(wǎng)關(guān)來解決數(shù)據(jù)在本地處理的問題，也可根據(jù)業(yè)務(wù)場景的需要選擇基站內(nèi)置分流功能產(chǎn)品或UPF產(chǎn)品來作為本地分流網(wǎng)關(guān)，例如中興通訊的NodeEngine基站引擎就可實現(xiàn)數(shù)據(jù)分流，如圖6所示。

▲圖6 5G行業(yè)應(yīng)用數(shù)據(jù)分流示意圖

5G基站集成的數(shù)據(jù)處理引擎NodeEngine可實現(xiàn)園區(qū)業(yè)務(wù)的本地分流。這不僅使園區(qū)業(yè)務(wù)就近得到處理，提高業(yè)務(wù)處理的實時性，還可滿足園區(qū)業(yè)務(wù)不出園的安全需求。NodeEngine可以根據(jù)業(yè)務(wù)部署的需要靈活支持IP五元組/域名服務(wù)器（DNS）域名、切片標識以及公共陸地移動網(wǎng)絡(luò)（PLMN）的數(shù)據(jù)分流機制。

NodeEngine采用虛擬本地網(wǎng)（VLAN）隔離和隱藏UE IP等安全隔離措施，滿足智簡園區(qū)的組網(wǎng)安全。NodeEngine在對接基站、網(wǎng)管、企業(yè)專網(wǎng)時采用不同的網(wǎng)絡(luò)平面，各網(wǎng)絡(luò)平面采用VLAN隔離，以保證網(wǎng)絡(luò)安全；在企業(yè)專網(wǎng)內(nèi)部UE IP與運營商傳輸網(wǎng)絡(luò)IP不同的情況下，支持對專網(wǎng)UE IP進行網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），以對外隱藏UE IP。

3 6G內(nèi)生安全

6G網(wǎng)絡(luò)設(shè)計將在很多方面和5G有著顯著的不同。首先，6G可以實現(xiàn)網(wǎng)絡(luò)自動化和網(wǎng)絡(luò)即服務(wù)（NaaS），用戶可以定制網(wǎng)絡(luò)；其次，核心/無線網(wǎng)絡(luò)組件的云化網(wǎng)絡(luò)和開源軟件的快速應(yīng)用表明，未來6G將是“完全開放”的網(wǎng)絡(luò)。因此，6G安全架構(gòu)需要適應(yīng)變化，支持新的應(yīng)用和太空-空中-地面-海洋網(wǎng)絡(luò)模型的集成[4]。中國的6G相關(guān)科研工作啟動比較早。2019年6月工業(yè)和信息化部牽頭成立中國IMT-2030（6G）推進組，標志著中國6G研發(fā)正式啟動。IMT-2030（6G）推進組認為：6G將實現(xiàn)人與人、人與物、物與物的高效智能互聯(lián)，打造泛在精細、實時可信、有機整合的數(shù)字世界，實時精確地反映和預(yù)測物理世界的真實狀態(tài)，助力人類走進人機物智慧互聯(lián)、虛擬與現(xiàn)實深度融合的全新時代，最終實現(xiàn)“萬物智聯(lián)、數(shù)字孿生”的美好愿景[5]。在6G給社會經(jīng)濟生活帶來變革的同時，安全性顯得至關(guān)重要。網(wǎng)絡(luò)安全技術(shù)需要實現(xiàn)顛覆性的突破。傳統(tǒng)“外掛式”、“補丁式”的安全機制將向內(nèi)生安全演進。

IMT-2030（6G）推進組把內(nèi)生安全列為6G潛在的十大關(guān)鍵技術(shù)之一，同時定義網(wǎng)絡(luò)內(nèi)生安全的四大特征：（1）主動免疫，為網(wǎng)絡(luò)基礎(chǔ)設(shè)施、軟件等提供主動防御功能；（2）彈性自治，實現(xiàn)安全能力的動態(tài)編排和彈性部署；（3）虛擬共生，實現(xiàn)物理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)安全的統(tǒng)一與進化；（4）泛在協(xié)同，通過端、邊、網(wǎng)、云的智能協(xié)同來準確感知整個網(wǎng)絡(luò)的安全態(tài)勢[6]。本文中我們認為，輕量化也是6G內(nèi)生安全的主要特征之一，而傳統(tǒng)的接入安全技術(shù)無法滿足海量設(shè)備連接和實時傳輸，需要有輕量化的安全機制來滿足6G萬物智聯(lián)、數(shù)字孿生的應(yīng)用場景需求。

3.1 主動免疫

網(wǎng)絡(luò)安全攻擊的目的與攻擊手段在不斷變化，所以安全的風(fēng)險也會持續(xù)不斷變化。與傳統(tǒng)5G安全被動式地應(yīng)對安全攻擊和風(fēng)險不同，6G內(nèi)生安全提供了一種主動免疫的解決思想，賦予網(wǎng)絡(luò)以類似人體免疫的安全能力。因此，內(nèi)生安全也被稱為新的網(wǎng)絡(luò)安全范式。

（1）AI/機器學(xué)習(xí)（ML）安全

AI/ML將全方位賦能6G網(wǎng)絡(luò)安全?；贏I/ML的安全內(nèi)生機制使得6G網(wǎng)絡(luò)具備主動免疫、自我演進、按需提供安全服務(wù)的能力。具體來說，使用深度強化學(xué)習(xí)和深度神經(jīng)網(wǎng)絡(luò)進行入侵檢測和預(yù)防，可以有效防御網(wǎng)絡(luò)中的偽基站攻擊、IP欺騙攻擊、DDoS攻擊、控制平面飽和攻擊和主機位置劫持攻擊等；使用AI預(yù)測分析可以在攻擊發(fā)生之前預(yù)測攻擊，例如基于強化學(xué)習(xí)（RL）的智能波束成形技術(shù)可提供針對6G太赫茲和可見光通信系統(tǒng)中竊聽者攻擊的最佳波束成形策略；基于邊緣的聯(lián)邦學(xué)習(xí)能夠在6G分布式網(wǎng)絡(luò)的海量設(shè)備和數(shù)據(jù)機制中執(zhí)行網(wǎng)絡(luò)安全任務(wù)。

未來基于AI/ML的主動免疫內(nèi)生安全演進過程分為3個階段。（a）初級階段：基于AI/ML、威脅模型、關(guān)聯(lián)分析模型等，按規(guī)劃進行安全能力建設(shè)，初步形成免疫能力；（b）中級階段：進一步基于AI/ML和網(wǎng)絡(luò)空間災(zāi)害模型等提升網(wǎng)絡(luò)免疫能力，僅需要部分人工干預(yù)，使網(wǎng)絡(luò)安全建設(shè)具備一定的可控和收斂能力；（c）高級階段：網(wǎng)絡(luò)的主動免疫能力能夠量化，安全能夠彈性自治，基本不再需要人為干預(yù)[7]。

（2）區(qū)塊鏈技術(shù)

區(qū)塊鏈是一種以密碼學(xué)算法為基礎(chǔ)的分布式賬本技術(shù)，可在去中心和多中心的系統(tǒng)中實現(xiàn)不可篡改和防偽，并保證各個節(jié)點賬本的動態(tài)一致性，其本質(zhì)是一種互聯(lián)網(wǎng)共享數(shù)據(jù)庫，具有主動免疫特性，能夠幫助6G網(wǎng)絡(luò)構(gòu)建安全可信的通信環(huán)境。區(qū)塊鏈在中國受到高度重視。2021年中國的“十四五”規(guī)劃明確提出：區(qū)塊鏈是新興數(shù)字產(chǎn)業(yè)之一，需要“以聯(lián)盟鏈為重點發(fā)展區(qū)塊鏈服務(wù)平臺和金融科技、供應(yīng)鏈管理、政務(wù)服務(wù)等領(lǐng)域應(yīng)用方案”?？梢灶A(yù)見，區(qū)塊鏈將是6G時代數(shù)字化經(jīng)濟形態(tài)所覆蓋的數(shù)千萬甚至數(shù)以億計的資產(chǎn)單位或機器（物聯(lián)網(wǎng)）的分布式、安全交易模式，并有望成為6G網(wǎng)絡(luò)內(nèi)生安全的關(guān)鍵技術(shù)。文獻[8]研究了區(qū)塊鏈技術(shù)與6G頻譜管理融合發(fā)展（特別是共識機制、合約機制技術(shù)）的深入應(yīng)用，有效提高頻譜利用率，實現(xiàn)動態(tài)、高效的頻譜資源管理，為6G網(wǎng)絡(luò)營造一個安全、智能、可行的動態(tài)頻譜共享環(huán)境。文獻[9]面向6G零信任網(wǎng)絡(luò)的通信需求，以區(qū)塊鏈為“信任橋梁”，研究了6G車聯(lián)網(wǎng)邊緣計算中的可信可靠接入管理方法。該方法在不泄露車輛隱私的前提下顯著提升了車輛驗證效率，降低了基站能耗，具有更高的安全性。

6G時代的mMTC場景將實現(xiàn)去中心化轉(zhuǎn)變，以支持海量設(shè)備連接。這和區(qū)塊鏈的去中心化特征非常適配。區(qū)塊鏈具有不可篡改、全程留痕、可追溯、集體維護、公開透明等特點，可以很好地滿足內(nèi)生安全設(shè)計需求，是6G內(nèi)生安全的候選關(guān)鍵技術(shù)。區(qū)塊鏈可能是最具顛覆性的萬物互聯(lián)技術(shù)之一[10]。當然，區(qū)塊鏈要成為6G內(nèi)生安全技術(shù)，需要關(guān)注自身部署形態(tài)，尤其是在工業(yè)物聯(lián)網(wǎng)等ToB行業(yè)應(yīng)用中，區(qū)塊鏈+邊緣計算的部署形態(tài)，以保障鏈上鏈下數(shù)據(jù)的可信交互；還需要關(guān)注高可靠低時延的區(qū)塊鏈鏈上鏈下通信方式，以支持在多類型終端大數(shù)據(jù)容量和復(fù)雜網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)的高效安全傳輸，以及區(qū)塊鏈系統(tǒng)與其他系統(tǒng)之間的數(shù)據(jù)交換。

3.2 彈性自治

6G網(wǎng)絡(luò)的行業(yè)應(yīng)用場景，例如增強現(xiàn)實（AR）、虛擬現(xiàn)實（VR）等，對網(wǎng)絡(luò)時延、傳輸速率、連接數(shù)等需求差異巨大。傳統(tǒng)5G網(wǎng)絡(luò)受限于網(wǎng)絡(luò)架構(gòu)、交付方式、運維模式等，難以滿足不同行業(yè)的應(yīng)用需求。因此，6G網(wǎng)絡(luò)安全應(yīng)具備內(nèi)生彈性可伸縮的框架?；A(chǔ)設(shè)施應(yīng)具備安全服務(wù)靈活拆分與組合的能力，通過軟件定義安全、虛擬化等技術(shù)，構(gòu)建隨需取用、靈活高效的安全能力資源池，實現(xiàn)安全能力的按需定制、動態(tài)部署和彈性伸縮，適應(yīng)云化網(wǎng)絡(luò)的安全需求。

文獻[11]設(shè)計了一種6G網(wǎng)絡(luò)內(nèi)生安全架構(gòu)。該架構(gòu)包括安全管理中心、安全智能中心、安全策略控制單元、安全能力層（網(wǎng)元設(shè)備自身安全能力、專用安全能力資源池）4層，并結(jié)合信任共識設(shè)施、資源編排與調(diào)度能力、人工智能分析能力，形成體系化安全架構(gòu)，如圖7所示。

▲圖7 6G內(nèi)生安全參考架構(gòu)

在圖7所示的6G內(nèi)生安全架構(gòu)中，設(shè)備安全能力可保障設(shè)備基礎(chǔ)安全功能應(yīng)由設(shè)備自身提供，還可有效保障設(shè)備在其他安全機制失效時仍能維持基本的安全能力；專用安全能力資源池提供實現(xiàn)共性安全能力，其目標是保障安全能力高效執(zhí)行，避免系統(tǒng)中安全能力的重復(fù)建設(shè)與部署；安全策略控制單元執(zhí)行安全智能中心的安全策略下發(fā)，包括網(wǎng)元設(shè)備的安全策略、安全專用設(shè)備的安全策略；安全智能中心是安全協(xié)同的大腦，基于AI能力，與管理中心、資源編排與調(diào)度能力聯(lián)動；安全管理中心提供系統(tǒng)管理、審計管理、安全管理、集中管控等能力，并能呈現(xiàn)安全態(tài)勢等。

在安全管理中心的指導(dǎo)下，以6G網(wǎng)絡(luò)安全能力為基礎(chǔ)，配合柔性安全能力資源池，協(xié)同智能分析與編排機制，可構(gòu)建彈性自治的安全防護體系。這樣的體系具備對外安全服務(wù)能力，能夠達到主動免疫、信任共識、協(xié)同彈性的目標。

3.3 虛擬共生

相比于傳統(tǒng)5G網(wǎng)絡(luò)，6G網(wǎng)絡(luò)將打通物理世界和虛擬世界，形成物理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)相結(jié)合的數(shù)字孿生網(wǎng)絡(luò)，在工業(yè)控制、體育場館、新聞媒體、社交娛樂等領(lǐng)域有著廣泛的應(yīng)用前景。XR技術(shù)利用硬件設(shè)備并結(jié)合多種技術(shù)手段，將虛擬的內(nèi)容和真實場景融合，通過計算機技術(shù)和可穿戴設(shè)備產(chǎn)生一個真實與虛擬組合的、可人機交互的環(huán)境，包括VR、AR、混合現(xiàn)實（MR）等多種形式，不僅可以實現(xiàn)數(shù)字和物理世界的社交屬性的充分放大，還可基于共同的物理空間和虛擬空間分享信息。

個人數(shù)據(jù)的管理是XR應(yīng)用必須考慮的安全要素。通過6G網(wǎng)絡(luò)進行的數(shù)據(jù)收集、存儲、保護和共享必須遵守相應(yīng)的數(shù)據(jù)保護規(guī)范和條例。文獻[12]認為超低時延網(wǎng)絡(luò)的可靠性是解決網(wǎng)絡(luò)動態(tài)的關(guān)鍵，同時發(fā)現(xiàn)一些網(wǎng)絡(luò)攻擊過于復(fù)雜、無法防御，因此敏感和機密數(shù)據(jù)仍可以被公開。為此，文獻[13]提出一種高效的物理層安全技術(shù)——正交頻分復(fù)用（OFDM）及子載波索引選擇，通過開發(fā)聯(lián)合優(yōu)化子載波索引選擇（IS）和自適應(yīng)交織（AI）設(shè)計，最大限度地提高僅在合法接收機處的信噪比，來保護基于OFDM的波形在無線網(wǎng)絡(luò)之外免遭竊聽。該技術(shù)適用于URLLC場景的安全保護。

文獻[14]提出一個3D系統(tǒng)，針對許多XR系統(tǒng)的隱私數(shù)據(jù)威脅進行風(fēng)險建模。另外，文獻[15]提出一種基于Delta正交多址接入（D-OMA）的物理層安全方案。該方案可增強上下行無線接入網(wǎng)的安全性，能夠應(yīng)用于XR的安全解決方案，擴展6G XR設(shè)備的訪問能力，如圖8所示。

▲圖8 基于Delta正交多址接入提供的安全方法

D-OMA的安全方案是基于拼圖概念實現(xiàn)的。在上行鏈路中，每個XR設(shè)備都有代表最終簇密鑰（CK）的特定部分密鑰（PK）。在接收端，將來自同一群集中不同XR設(shè)備的PK部分組合，可最終形成完整的CK。這與多因素并行身份驗證過程類似。組合CK被視為所有設(shè)備從該集群中接收的數(shù)據(jù)的解密密鑰。在未完全確認該密鑰的情況下，系統(tǒng)將不會重構(gòu)來自所有設(shè)備的數(shù)據(jù)。也就是說，竊聽器需要以相同的時間和順序解碼所有用戶的數(shù)據(jù)。而當大量XR終端設(shè)備傳輸?shù)絾我簧闲墟溌方邮掌鲿r，這是比較難以實現(xiàn)的。只有接收基站知道運行期間所需的解碼順序以及每個XR群集的內(nèi)容，從而確保XR設(shè)備的數(shù)據(jù)安全。

3.4 泛在協(xié)同

6G時代網(wǎng)絡(luò)賦能各行各業(yè)，將傳統(tǒng)封閉的通信技術(shù)（CT）領(lǐng)域融入信息技術(shù)（IT）領(lǐng)域。在這個變革的過程中我們可以發(fā)現(xiàn)，不同于傳統(tǒng)5G通信網(wǎng)絡(luò)的特性，6G網(wǎng)絡(luò)更多地面對ToB領(lǐng)域。在確保有足夠的專業(yè)維護手段來保障網(wǎng)絡(luò)核心效果的同時，面對千行百業(yè)存在的特異性差別，行業(yè)間的技術(shù)壁壘和巨大的學(xué)習(xí)成本衍生出對端、邊、網(wǎng)、云泛在協(xié)同的智能運維的訴求。各行業(yè)在安全生產(chǎn)、傳輸高可靠性、生產(chǎn)長連接保障、網(wǎng)絡(luò)建設(shè)成本控制等方面存在剛性需求。在智慧內(nèi)生的6G網(wǎng)絡(luò)中，ML和大數(shù)據(jù)分析技術(shù)在安全方面將得到廣泛應(yīng)用。在AI技術(shù)的賦能下，6G網(wǎng)絡(luò)能夠建立端、邊、網(wǎng)、云智能主體間的泛在交互和協(xié)同機制，準確感知網(wǎng)絡(luò)安全態(tài)勢并預(yù)測潛在風(fēng)險，進而通過智能共識決策機制完成自主優(yōu)化演進，實現(xiàn)主動縱深安全防御和安全風(fēng)險自動處置[6]。

例如，中興通訊的智能數(shù)字化運維服務(wù)系統(tǒng)（iDOS），通過關(guān)聯(lián)端側(cè)、無線、傳輸?shù)雀饔驍?shù)據(jù)，以業(yè)務(wù)精準識別端到端體驗建模為核心，運用AI數(shù)據(jù)挖掘算法，實現(xiàn)對企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)指標的異常識別、故障的業(yè)務(wù)詳單和信令級回溯、端到端問題定界，關(guān)聯(lián)同時間、同維度、同域數(shù)據(jù)分析，進行故障的最終定位，協(xié)助客戶監(jiān)控業(yè)務(wù)整體運行狀況、定位故障，從而提升對整個網(wǎng)絡(luò)的運維支撐能力[16]，如圖9所示。

▲圖9 泛在協(xié)同智能運維系統(tǒng)

iDOS從運維出發(fā)，提供智能化安全態(tài)勢感知和主動故障預(yù)防機制，通過AI引擎持續(xù)在線進行ML和迭代更新，訓(xùn)練生成網(wǎng)絡(luò)健康度量模型，并應(yīng)用于實時的設(shè)備和網(wǎng)絡(luò)健康監(jiān)控，快速發(fā)現(xiàn)可能導(dǎo)致業(yè)務(wù)質(zhì)量下降的網(wǎng)絡(luò)風(fēng)險、設(shè)備故障、外部環(huán)境風(fēng)險等，提供最佳處理建議，真正做到防患于未然。通過長期監(jiān)控數(shù)據(jù)，iDOS可提前識別設(shè)備、鏈路和環(huán)境等網(wǎng)絡(luò)平穩(wěn)運行的影響因素，對健康度進行評估，精準識別潛在的風(fēng)險并預(yù)測故障發(fā)生的時間，在故障發(fā)生之前提示用戶。此外，iDOS還可通過主動預(yù)防，提前識別并更換存在隱患的硬件，指導(dǎo)運維人員針對環(huán)境風(fēng)險進行整改，從而極大降低網(wǎng)絡(luò)故障發(fā)生率，確保企業(yè)業(yè)務(wù)所需要的高可靠性[16]，如圖10所示。

▲圖10 人工智能賦能安全態(tài)勢感知

3.5 輕量化

未來6G應(yīng)用場景的通信技術(shù)將從人的通信轉(zhuǎn)變?yōu)槲锏耐ㄐ?、以下行為主轉(zhuǎn)變?yōu)樯闲袨橹?、以基站為中心轉(zhuǎn)變?yōu)槿ブ行幕?。傳統(tǒng)的接入技術(shù)無法滿足物理網(wǎng)等海量設(shè)備接入和實時傳輸，會引發(fā)網(wǎng)絡(luò)擁塞問題。另外，mMTC場景在滿足物聯(lián)網(wǎng)、工業(yè)現(xiàn)場網(wǎng)絡(luò)、智慧城市等應(yīng)用同時，也會面臨網(wǎng)絡(luò)安全挑戰(zhàn)，例如在終端、接入和數(shù)據(jù)方面的安全威脅：

（1）終端安全威脅。mMTC場景下的終端具有低功耗、低成本的特點，但海量終端的計算資源和存儲資源有限，難以支持復(fù)雜的安全防護機制和強安全加密算法，因此安全防護能力較弱，容易成為攻擊者的主要目標。

（2）接入安全威脅。mMTC場景下的設(shè)備數(shù)量龐大，海量的終端設(shè)備接入網(wǎng)絡(luò)后同時觸發(fā)接入認證流程，容易引起信令風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)擁塞并加大終端設(shè)備的能源消耗。因此，針對這類設(shè)備的認證機制需要進行簡化。采用高效而輕量化的認證機制，可減少認證時間，減輕網(wǎng)絡(luò)擁塞程度。

（3）數(shù)據(jù)安全威脅。在mMTC業(yè)務(wù)場景中，網(wǎng)絡(luò)服務(wù)、功能及數(shù)據(jù)的開放共享增加了對用戶隱私和敏感數(shù)據(jù)的完整性和機密性保護難度。如未采取必要的數(shù)據(jù)保護措施，則可能會引發(fā)數(shù)據(jù)泄露風(fēng)險。采取用戶權(quán)限管理、安全認證、安全隔離、網(wǎng)絡(luò)安全加固、審計等措施，可有效提升數(shù)據(jù)安全能力。

因此，傳統(tǒng)5G接入技術(shù)無法滿足mMTC場景海量設(shè)備連接和實時傳輸需求，需要演進為輕量化的接入和認證技術(shù)，實現(xiàn)極簡無連接和高過載傳輸?shù)暮Ａ吭O(shè)備互聯(lián)。例如，多用戶共享接入（MUSA）技術(shù)就實現(xiàn)了簡化傳輸交互流程和去中心化，以支持海量設(shè)備互聯(lián)。經(jīng)過實測，MUSA可實現(xiàn)每平方公里9 000萬次的連接，這是國際電信聯(lián)盟（ITU）定義的90倍。相應(yīng)的安全保護機制也是mMTC場景的安全關(guān)鍵技術(shù)，具體可從輕量級接入認證、輕量級密鑰管理及加解密、隱私數(shù)據(jù)保護等來尋求安全解決方案。

（1）輕量級接入認證

針對mMTC場景的MUSA技術(shù)簡化了接入信令交互流程，有時甚至只需要1條信令就能實現(xiàn)用戶接入，因此有必要建立支持大規(guī)模設(shè)備的、靈活可靠的認證機制。簡化算法和運算邏輯，完成海量設(shè)備和網(wǎng)絡(luò)側(cè)的認證，既能保證連接的安全性，又能降低對資源的使用。

物理層認證是實現(xiàn)輕量級接入認證的關(guān)鍵技術(shù)之一。利用無線網(wǎng)絡(luò)物理層的私有信道特征實現(xiàn)的低復(fù)雜度、高安全性的安全方案，分為基于設(shè)備指紋的認證和基于信道指紋的認證兩種。前者利用硬件設(shè)備的電特性差異提取設(shè)備獨有的特征，將唯一標識作為設(shè)備的認證指紋；后者不需要額外的信號提取設(shè)備，從無線信道特征入手，利用不同位置設(shè)備的信道特征之間存在的不相干性進行認證。文獻[17]提出一種在認證過程中可以使用的非監(jiān)督式學(xué)習(xí)方法，來增強物理層的安全性。

（2）輕量級密鑰管理及加解密

傳統(tǒng)密碼學(xué)技術(shù)的核心是依靠密鑰強度來保護系統(tǒng)安全，使得攻擊者在有限的時間和算力條件下無法破解密鑰。而海量終端設(shè)備由于能力受限，無法提供復(fù)雜的密鑰管理和密鑰存儲條件，導(dǎo)致傳統(tǒng)密碼學(xué)技術(shù)難以使用，因此需要引入輕量級的密鑰管理和加解密技術(shù)。

物理層密鑰生成技術(shù)也是實現(xiàn)輕量級密鑰管理和加解密的解決方案。其原理是利用發(fā)射和接收信道中的隨機熵來生成用于通信的保密密鑰[18]。通過信道的互易性、時變性、唯一性等特征，基站與用戶對信道進行探測，得到共同隨機性以生成對稱密鑰，進行輕量級的加解密處理。物理層密鑰生成可以做到一次一密（OTP），實現(xiàn)最強的密碼安全保護。

（3）隱私數(shù)據(jù)保護

終端數(shù)據(jù)傳輸保護技術(shù)包括空口加密和完整性保護、非接入層（NAS）信令加密和完整性保護、無線資源控制（RRC）信令加密和完整性保護、空口業(yè)務(wù)數(shù)據(jù)加密和完整性保護等。在mMTC場景中，諸如自動駕駛、可穿戴設(shè)備、遠程醫(yī)療終端等物聯(lián)網(wǎng)設(shè)備在日常使用中會收集、存儲和傳輸大量個人隱私數(shù)據(jù)。個人數(shù)據(jù)可以是與已識別或可識別人員直接或間接相關(guān)的任何信息，如姓名、身份證號碼、用戶位置和社交身份[19]。我們需要根據(jù)不同的業(yè)務(wù)場景和用戶對象提供差異化的隱私數(shù)據(jù)保護能力，對用戶隱私數(shù)據(jù)的請求、存儲、傳輸?shù)雀鱾€環(huán)節(jié)采取隱私保護措施。

4 結(jié)束語

在5G之前，甚至在5G-Advanced階段，安全技術(shù)都不是內(nèi)生的，而是對業(yè)務(wù)功能的補充和增強。隨著6G顛覆性技術(shù)應(yīng)用（如太赫茲和可見光通信、智能表面技術(shù)、通信感知一體化等）的發(fā)展，6G網(wǎng)絡(luò)架構(gòu)和形態(tài)將發(fā)生系統(tǒng)性變化。網(wǎng)絡(luò)安全不再是傳統(tǒng)的“外掛式”和“補丁式”，而是內(nèi)生的。這也是人們進行6G安全研究的共識。

本文中，我們回顧了5G的基礎(chǔ)安全能力和技術(shù)，以及5G-Advanced的安全技術(shù)演進，并分析了6G內(nèi)生安全特征和內(nèi)生安全關(guān)鍵技術(shù)，希望為后續(xù)6G安全技術(shù)研究提供參考。