51学通信

深度解析 3GPP TR 33.898:1 Scope (范围) - 划定5G+AI安全研究的“四至”边界

18分钟阅读

好的,这是系列文章的第二篇,我们将开始对规范正文的逐章拆解。

深度解析 3GPP TR 33.898:1 Scope (范围) - 划定5G+AI安全研究的“四至”边界

本文技术原理深度参考了3GPP TR 33.898 V18.0.1 (2023-07) Release 18规范中,关于“Chapter 1 Scope”的核心章节,旨在为读者精准剖析这份前瞻性技术报告的研究边界、核心目标与工作前提,理解3GPP为5G赋能AI划定的“安全责任区”。

引言:为“智行一号”的征途设定“安全航道”

在上一篇综述中,我们认识了未来的自动驾驶汽车“智行一号”和它的安全架构师陈思。我们知道,为了让“智行一号”更智能、更安全地行驶,5G网络需要化身为一个强大的“辅助决策系统”,向AI应用(AF)提供各种网络洞察和UE状态信息。然而,这个过程伴随着严峻的安全与隐私挑战。

任何一项严谨的研究,都始于对其“范围(Scope)”的精确界定。对于TR 33.898这份开创性的研究报告而言,其Scope章节就如同为“智行一号”的未来征途,在波涛汹涌的技术海洋中,用浮标清晰地划定出了一条安全、可行的“研究航道”。

它明确了:我们的研究基于什么前提?我们的核心目标是什么?为了达成目标,我们需要完成哪些具体的子任务?今天,我们将跟随陈思的视角,逐句剖析这短短的一章,精准理解3GPP为5G与AI的融合,划定的“四至”边界。

1. 研究的基石:站在巨人肩膀上

规范在Scope章节的开篇,首先明确了本次研究并非天马行空的幻想,而是牢牢地建立在3GPP已有的、坚实的工作基础之上。

The present document will study, based on requirements as specified in clauses 6.40 and 7.10 of TS 22.261 and architecture and key issues captured in TR 23.700-80, 5GS assistance to support Artificial Intelligence (AI) / Machine Learning (ML) model distribution, transfer, training for various applications, e.g. video/speech recognition, robot control, automotive, etc.

深度解析:

这段话为整个研究铺设了两块最重要的“基石”:

  1. 需求基石:TS 22.261 - 5G系统业务需求

    • TS 22.261 是5G系统的“Stage 1”需求规范,它从业务和用户的角度,定义了5G系统应该具备哪些能力。其中的6.40和7.10章节,正是首次将“支持AI/ML”明确列为了5G网络的一项业务需求
    • 陈思的理解:这意味着,让5G网络更好地服务于“智行一号”这样的AI应用,不再仅仅是一个“可以有”的锦上添花,而是3GPP体系内一个必须满足的、有明确定义的业务目标。TR 33.898的所有安全研究,都是为了支撑这个既定目标的实现。

  2. 架构基石:TR 23.700-80 - 5G系统支持AI/ML服务的研究

    • TR 23.700-80 是SA2(系统架构工作组)进行的一项先行研究,它探讨了为了支持AI/ML,5G的系统架构需要做出哪些增强,并识别出了相关的“关键问题(Key Issues)”。
    • 陈思的理解:SA2的这份报告,已经为5G如何赋能AI画出了“架构草图”。例如,它定义了NWDAF如何向AF提供分析数据,定义了哪些信息可以作为“辅助信息”。TR 33.898(由SA3安全工作组主导)的任务,则是在SA2画出的这张草图上,用“安全的画笔”,添上所有必需的认证、授权、加密和隐私保护机制,确保这张蓝图在现实中是安全、可信的。

结论:Scope的开篇就清晰地表明,TR 33.898的研究,是需求驱动、架构先行的。它不是在创造问题,而是在为已经明确的业务需求和系统架构,解决其内生的安全与隐私挑战。

2. 核心使命:四个必须攻克的“安全堡垒”

在明确了研究基础之后,Scope章节的核心部分,系统性地阐述了本次研究的四大核心目标。这四大目标,如同四个必须被逐一攻克的“安全堡垒”,共同构成了为5G+AI服务提供全面安全保障的宏伟蓝图。

The scope of this study is on how to provide security and privacy to the AI/ML-based service and applications in 5G based on the following objectives of identifying key issues, potential threats, requirements, and solutions to enable:

2.1 堡垒一:安全的“数据高速公路”

  1. 5G system assistance for the security management which requires data transmission support for application layer AI/ML operation over the 5G system.
  • 目标剖析:为应用层的AI/ML操作,提供安全的端到端数据传输支持。
  • 陈思的场景化解读
    • 当“智行一号”(UE)将其海量的传感器数据,通过5G网络上传给AF(AI大脑)进行模型训练时,这条“数据高速公路”必须是完全加密、防窃听、防篡改的。
    • 当AF将训练好的最新AI模型,下发给“智行一号”时,必须保证这个模型在传输过程中没有被“投毒”或替换。
  • 安全要素:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。

2.2 堡垒二:严密的“授权与隐私门禁”

  1. The authentication and authorization involving data collection and sharing among UE, AF and the network to take part in application layer AI/ML operation, i.e., UE and network privacy protections to support application AI/ML services over 5G system.
  • 目标剖析:在UE、AF和网络之间进行数据收集与共享时,建立可靠的认证(Authentication)授权(Authorization)机制,并保护UE和网络的隐私
  • 陈思的场景化解读:这直面了她在引言中的核心焦虑。
    • 认证:当一个AF向网络请求数据时,网络必须能百分之百确认这个AF是谁,它是否是经过合法注册、有权访问网络资源的应用。
    • 授权:即使AF的身份是真的,它也不意味着可以访问任何数据。网络必须根据车主(陈思)的同意和运营商的策略,来决定:这个AF是否有权访问“智行一号”的实时位置?是否有权访问它的历史轨迹?访问的精度是米级还是公里级?
    • 隐私保护:网络在向AF提供辅助信息(如附近车辆列表)时,是否可以进行匿名化或泛化处理,以在满足AI应用需求的同时,最大限度地保护每辆车的隐私。

2.3 堡垒三:可信的“AI服务本身”

  1. UE and 5G system to secure AI/ML based services and operations.
  • 目标剖析:确保UE和5G系统自身,在使用和执行AI/ML服务时的安全。
  • 陈思的场景化解读:这关注的是AI/ML服务在落地执行阶段的风险。
    • 模型的真实性:“智行一号”在加载一个从网络下载的AI模型时,它必须有一种机制来验证这个模型的来源是可信的,且内容是完整的,未经篡改。这可能需要引入数字签名、安全启动链等机制。
    • 操作的安全性:当“智行一号”在执行一个AI/ML操作(如一次本地模型推理)时,其运行环境(如车机操作系统)必须是安全的,能够抵御恶意软件的干扰和窃取。

2.4 堡垒四:安全的“外部情报供应”

  1. Secure provisioning of the external parameter required for AI/ML (e.g., expected UE activity behaviors, expected UE mobility, etc.)
  • 目标剖析:安全地提供AI/ML所需的外部参数。这里的“外部参数”,主要指的就是5GC的辅助信息
  • 陈思的场景化解读:这个目标与第二个堡垒(授权与隐私)紧密相连,但它更侧重于**供应过程(provisioning)**的安全性。
    • 当NWDAF向AF提供“智行一号”未来15分钟的“预期移动轨迹预测”时,这个数据的真实性、完整性和时效性必须得到保证。
    • 如果一个黑客能够攻陷NWDAF,向AF提供一个错误的轨迹预测,就可能诱导AF为“智行一’号”规划出一条危险的驾驶路径。
  • 安全要素:数据源认证、传输保护、防重放攻击。

3. 总结:一张定义清晰的“作战地图”

通过对第一章“Scope”的深度解读,我们不再认为它只是一段简单的开场白。它是一张极其重要的“作战地图”,为TR 33.898这项复杂的研究,精准地划定了“四至”边界:

  • 向后看,有坚实的基础:研究立足于SA1的业务需求和SA2的架构研究。
  • 向前看,有清晰的目标:必须攻克“安全传输”、“授权隐私”、“服务可信”和“情报安全”这四大堡垒。

这张地图,确保了安全工作组(SA3)的研究能够聚焦核心、不偏离航道,与其他工作组(SA1, SA2)的成果紧密协同。它为陈思这样的行业从业者,提供了一个清晰的框架,来理解和审视5G+AI融合生态中的每一个安全环节。

有了这张地图的指引,我们就可以满怀信心地进入下一章,开始探索和分析地图上那些具体的“地形”和“关隘”了。

FAQ 环节

Q1:为什么Scope中要特别区分“UE隐私”和“网络隐私”?它们分别指什么? A1:这是一个非常精妙的区分,体现了安全研究的全面性。

  • UE隐私:主要指与终端用户直接关联的隐私信息。例如,“智行一号”的精确位置、行驶速度、车主身份(SUPI)等。这是我们通常理解的个人隐私。
  • 网络隐私:主要指与运营商网络自身状态和拓扑相关的敏感信息。例如,某个基站的实时负载、网络切片的容量、核心网NF(网络功能)的拓扑结构等。这些信息如果泄露给未经授权的AF,可能会被攻击者利用来发动针对网络的攻击(如DDoS攻击、网络资源探测)。

Q2:Scope中的四个目标,哪个是本次研究的重中之重? A2:从TR 33.898的整体篇幅和结构来看,第二个目标——认证、授权和隐私保护,是绝对的重中之重。这从第四章将“KI #1: Privacy and authorization for 5GC assistance information exposure to AF”作为唯一的核心关键问题,以及第五章提出了六个解决方案来专门应对它,就可以看出来。因为数据传输的安全,在5G系统中已经有比较成熟的机制,而AI服务本身的安全更多涉及应用和终端层面,但“网络数据如何安全、合规地开放给AI应用”,是5G+AI融合带来的一个全新的、亟待解决的核心命题

Q3:这份报告的研究范围,是否包含了对AI算法本身的攻击,比如“对抗性攻击”? A3:不直接包含,但与之相关。TR 33.898的Scope主要聚焦于5G系统层面的安全保障,即保障数据在“端-管-云”之间的安全流动和访问控制。而“对抗性攻击”(Adversarial Attacks,即通过对输入数据进行微小扰动,导致AI模型做出错误判断)等针对AI模型和算法本身的攻击,通常被认为是AI/ML应用层安全的研究范畴。但是,两者是相关的。例如,目标3“确保AI/ML服务本身安全”,就要求UE在加载模型时能验证其完整性,这可以在一定程度上防止模型被恶意替换为有后门的、易受对抗性攻击的模型。

Q4:Scope中提到了很多应用例子,如自动驾驶、机器人等,这份报告对它们的覆盖程度一样吗? A4:不一样。这些例子主要是为了说明AI/ML应用场景的广泛性。报告本身并不会为每一种应用都设计一套专门的安全方案。相反,它会提炼出这些应用场景中共通的安全需求和架构模式,并围绕这个共通模式(即AF需要5GC辅助信息)来展开研究。因此,报告中提出的解决方案,具有很好的通用性,可以作为自动驾驶、机器人、智慧医疗等各种5G+AI应用在设计其安全方案时的“通用参考架构”。

Q5:基于这份Scope,我作为一个应用开发者(AF开发者),需要关注什么? A5:作为AF开发者,您需要重点关注:

  1. 合规性:您的应用在向5G网络请求任何用户或网络数据之前,必须通过一个标准化的、严格的授权流程(如CAPIF)。
  2. 数据最小化:您只能请求您的AI/ML服务所必需的最小数据集和数据精度,并需要向网络和用户明确说明您的“数据使用意图”。
  3. 用户同意:对于任何涉及用户隐私的数据请求,您必须依赖于一个可验证的用户同意机制
  4. 安全交互:您与5G网络(NEF)之间的所有API调用,都必须是经过加密和认证的。 这份Scope实际上为您划定了一条清晰的“安全开发红线”。

关系图谱