可定義的6G安全架構*

劉國榮，沈軍，白景鵬

（1.中國電信股份有限公司研究院，廣東 廣州 510630；2.移動互聯網系統與應用安全國家工程實驗室，上海 200120）

0 引言

隨著新一輪科技革命和產業變革加速演進，數字經濟蓬勃發展，信息化、數字化正深刻改變人們的生產生活方式，在應對疫情影響方面，新一代信息技術作為數字經濟的重要引擎，作用更加凸顯。5G作為信息化關鍵基礎設施，也在如火如荼地開展網絡建設，當前已進入規模商用階段。

按照移動通信發展大約10年一代的規律，5G商用開啟的同時，各國也開啟了6G預研，在新的賽道展開競爭，2018年7月，國際電信聯盟成立了2030網絡技術的研究組，我國工信部、科技部也已于2019年組織成立了國內的研發團隊開啟了研究。

雖然當前業界對6G尚無統一定義，但對6G研究、發展方向已部分趨同或形成共識[1-2]，如覆蓋廣度的提升，推動衛星通信與地面通信的融合，全面覆蓋陸海空天；網絡傳輸速率的進一步提升，利用更寬的頻譜通信，如鈦赫茲頻段、可見光通信；網絡智能化提升，網絡與計算融合、AI大規模的應用；網絡采用更簡潔、更靈活的架構。

安全是信息化、數字化發展的關鍵基礎，6G對社會生產生活的深入滲透，對安全提出了更高的要求，也是6G研究的重點方向。

1 6G發展與安全需求

1.1 6G發展與需求驅動

6G網絡將實現全場景的萬物互聯，包括陸海空天在內的全球無縫覆蓋，數字世界與物理世界深度融合。社會管理、經濟生產、生活服務等各類活動將愈發依賴可靠的網絡運行，如智能交通、智慧醫療等智能城市管理服務，以分布式制造、規模化定制生產為特征的工業4.0等。大量涉及社會管理、經濟運行的重要數據和個人隱私信息通過網絡傳輸存儲，對安全提出了更高的要求。

新技術的發展與成熟，將有望在6G網絡得以應用，如柔性網絡與SDN、SDSec技術、網絡智能化與AI技術、空天地一體化與衛星通信技術[3]、去中心化網絡與區塊鏈等新型網絡架構和技術。新技術的應用在提升網絡能力的同時，也增加了網絡防護難度，對安全提出了新的要求，而AI、量子計算對攻擊能力的提升，將使6G網絡面臨諸多前所未有的安全挑戰。

另一方面，區塊鏈、零信任、軟件定義安全、基于AI的安全防御、免疫安全等安全技術和理念的發展，也為6G安全提供了新的防護手段，提升6G安全能力。

1.2 6G安全需求

6G除延續傳統移動網絡的認證、密鑰管理、空口安全等基礎安全需求外[4]，需針對新業務、新架構、新技術及安全形勢的變化，進一步將網絡安全模式向可定義、能力原生、自主決策、協同控制等方向演進[5]，提供靈活可擴展的安全架構、動態適配的差異化安全能力、智能自適應的安全決策和泛在協同的安全控制，并針對新技術提供可信與安全增強，以適應復雜業務和柔性網絡的安全需求。

（1）可擴展的安全架構：傳統移動網絡采用單一集中控制架構，中心化架構存在擴展性、性能瓶頸等問題，難以應對復雜網絡、業務及海量終端安全需求。6G網絡需支持從體域網、行業定制專網、行業互聯網絡到衛星網絡在內的各種異構網絡和海量終端，需要提供可擴展的安全架構。

（2）安全能力原生支持：傳統網絡采用補丁、外掛式的安全，安全能力在網絡之上疊加，不僅投入成本大，且防護效果有限。6G網絡中，安全將成為網絡架構設計時同步考慮的因素，成為與網絡功能高度融合的原生能力。

（3）差異化安全能力的靈活適配：為支持萬物互聯及復雜業務場景，6G網絡將異構、融合多種技術體系，需要提供差異化的安全能力，并根據網絡柔性、動態擴展的特點，要求安全能力能夠適配網絡、終端環境和業務場景的動態需求，按需進行快速調度、彈性部署。

（4）智能泛在的安全協同：AI、大規模協同計算等新技術在6G中的廣泛應用將提升攻擊能力，形成局部難以防范的攻擊威脅，要求6G網絡具備安全能力的智能化調度，實現安全防護能力的協同，共同應對復雜攻擊。同時，6G網絡智能化、無處不在的算力資源，也為智能協同提供了基礎。

綜上，為滿足深入使能全連接世界的發展愿景，6G網絡應具備柔性、靈活、動態等特性，網絡應可靈活定義和定制，相應地，安全也需具備靈活定義、定制能力。

2 可定義的6G安全架構初探

2.1 可定義的6G安全架構模型

網絡安全原生的愿景，不能脫離網絡而存在，為闡述安全與網絡的關系，首先設想具備網絡定義、智能決策、協同控制、高效轉發等特征的6G網絡架構模型，圖1左側為6G網絡架構模型、右側為相應的安全架構模型。

圖1 可定義的6G網絡與安全架構模型

為滿足6G向千行百業深度賦能的愿景、適應需求迥異的各類場景，網絡應是柔性、可彈性伸縮和靈活擴展的[6]，并且面向不同場景的網絡是可協同發展的，因此網絡應具備可定義的能力，能夠基于底層基礎設施，包括基礎承載網絡、計算和存儲等資源，定制出不同網絡/網絡切片。網絡定義、演進的基礎，稱之為網絡定義面。定義/定制出來的網絡，稱為一個網絡實例。

當前5G網絡具備數據面、控制面，6G將在此基礎上發展并支持高效轉發、協同控制等特性，并基于計算網絡、AI、平行伴生網絡[7]等技術，定制出智能決策面，為網絡運營、運維提供決策支持。數據面、控制面、智能決策面對應圖1垂直方向的三個平面，共同組成了一個網絡實例示意。

相應地，安全也是可定義、定制的，且和網絡同步定制、原生支持，圖1示意的網絡實例定義了縱向集成于網絡的三個安全能力平面：信任、防御、監測，橫向發展出的與網絡決策、控制平面相對應的安全決策、安全能力控制兩個支撐面，以及面向多網絡協同，實現跨域、跨網協同的協作平面。

2.2 安全平面的組成和作用

安全各個平面側重解決或支撐解決某類安全問題，如信任面面向客戶，側重于解決用戶與網絡之間的信任、信任域邊界隔離、網絡可信方面的問題，防御面針對攻擊者，側重于解決網絡受到攻擊時的防御能力調度、事件響應和處置，監測面面向運維，側重于解決全網安全可視化問題，并為決策提供數據支持。網絡定義及安全定義面向業務，可針對不同業務應用/場景按需定義、定制出網絡實例，及其原生的安全實例。安全決策、安全能力控制、協作面等幾個支撐面，則支撐各安全能力面的運轉和協作。

上述所謂安全平面，是由基礎安全能力/技術組合而成，并以多種方式內嵌于網絡，既可是網絡協議的一部分，如與網絡協議同時定義的身份驗證、傳輸加密等能力，也可是網絡動態定義、組合的控制點，將安全能力動態加載、集成到該控制點，或者將業務流程引入基礎安全能力池，組合形成安全控制體系。

2.3 安全平面間及與網絡的協作

安全各個平面不能孤立存在，與網絡平面之間也具有緊密關系。

安全定義面是整個網絡定義面的一個子集，與網絡定義能力共同作用，并通過網絡定義能力，定義、定制出網絡+安全實例，實例的安全能力作為網絡的一部分能力原生于網絡。

安全決策、安全能力控制兩個支撐平面，作為網絡實例的安全能力決策、控制中樞，一方面需要監測平面的數據支持，同時，也通過安全能力控制平面，將安全策略反饋到各安全能力平面，將安全能力動態集成到各安全能力平面，作用于網絡。

各安全能力平面雖各有側重，但需交互協作，共同保障網絡的整體安全。其中，信任是網絡運作、業務正常開展的基礎，也是安全監測/防御體系的基礎，防御能力持續為網絡提供安全保障，并通過監測能力感知網絡安全狀態，為安全決策提供依據，當網絡環境、安全狀態發生變化時，安全決策做出響應指示，安全能力控制指示安全防御做出策略調整，或調用安全防御能力進行響應、處置，各安全能力的共同作用，形成“檢測、響應、預測、預防”一體化的自適應安全體系[8]。

安全作為網絡原生能力，作用過程同樣需要通過網絡能力統一、集成調度，如安全監測作為網絡監測體系的一部分，監測數據需統一定制和分流，安全決策需要網絡智能決策面的支持，安全能力控制面作為整個網絡控制平面的一部分，對各安全能力的策略下發、能力調度，同樣需要通過網絡控制能力統一作用。

3 基于軟件定義的安全架構

可定義的6G安全架構模型的實現，要求安全能力與底層實現解耦、動態編排和調度管理，軟件定義安全的理念可實現6G安全能力靈活定義的訴求。

軟件定義安全是從軟件定義網絡引申而來[9]，原理是將物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行了解耦，底層抽象為安全資源池里的資源，頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理，以完成相應的安全功能，從而實現靈活的安全能力體系。基于軟件定義網絡和軟件定義安全技術，可構建可定義、靈活的6G網絡與安全架構，形成差異化的、可定義的、快速調度部署的原生安全能力，實現安全能力、業務環節、客戶需求之間的高效聯動與協同效應。

（1）安全資源池化與統一編排管理

利用虛擬化技術、軟件定義網絡和安全技術，定義統一的、標準化的安全設備類型、能力、應用接口，實現安全能力抽象和資源池化，將差異化的安全設備抽象為多個具有不同安全能力的統一資源池，集中管理，統一部署。安全設備資源池化打破了傳統硬件資源的封閉性，為不同設備廠商、不同功能的安全設備提供了管理和部署方面的便利，有助于上層安全控制平臺根據策略需求動態調度和編排安全能力，滿足6G多場景下的差異化安全保護需求。

圖2 基于軟件定義的6G安全架構

（2）基于軟件定義的安全架構

通過將安全的控制平面和數據平面分離，構建以安全決策控制為核心的軟件定義安全架構，架構由安全資源層、安全定義層、安全能力層、安全決策控制層組成。安全定義層和資源層進行交互，對安全資源池進行管理和調度，并提供封裝后的安全能力，同時與網絡控制器、云、網絡/安全管理平臺等互通。安全定義層內部標準化定義資源管理、應用管理、策略解析等基礎功能模塊，并能夠按需通過軟件編程創建定制的功能模塊。

（3）安全控制與網絡控制聯動協同

在業務網絡層面，安全與網絡實例通過策略聯動，將相應的策略下發到基礎網絡的資源抽象與管理編排，安全策略控制指令通過標準接口與網絡資源抽象與管理編排層進行交互，實現底層流量的安全檢測和策略的下發和控制。網絡SDN控制器根據來自安全控制層的策略，對流量進行編排、管理。MANO系統實現對安全功能需要的虛擬化資源的編排、管理，以及虛擬安全網元的生命周期管理。安全控制與網絡控制聯動協同，可保證網絡層面流量和策略的一致性、高效性。

（4）安全域間控制協同

對于劃分了多個安全域的網絡、或者跨網絡的協同需求，可在每個網絡域構建專屬的SDN和SDS架構，部署專用的網絡控制器和安全控制器。各安全域的域間控制協同可通過東西向接口進行實時交互，或由集中的安全管理控制系統對各域的子系統進行統一的策略分發、資源編排管理。在進行域間協同防御時，可通過情報傳遞、服務請求的方式請求其它安全域同步部署安全檢測防護措施。

4 結束語

6G使能全連接世界、推進社會信息化和數字化的發展的愿景，需要柔性、靈活、可擴展的網絡和安全架構滿足差異化的業務和安全需求，軟件定義的理念，將在6G網絡和安全中發揮重要作用，通過基礎網絡資源與業務邏輯的解耦，定義定制滿足各類需求的網絡和安全實例，滿足6G適應各類差異化的場景需求。在此基礎上，與AI、算力網絡等技術和理念結合，將進一步推動網絡朝著智能化、自動化等方向發展，實現網絡的自適應、自演進，為社會信息化發展提供更大的動能。