語義通信安全研究綜述

摘要 隨著人工智能技術(shù)與無線通信領(lǐng)域的深度融合，作為一種新興的通信模式，語義通信聚焦于語義層面的信息傳輸與交互，憑借其獨(dú)特優(yōu)勢(shì)，顯著提升了通信的精確性和可靠性.在低時(shí)延、高流通密度的通信應(yīng)用場(chǎng)景中，語義通信技術(shù)突破了傳統(tǒng)基于經(jīng)典信息論的語法通信，為無線通信領(lǐng)域提供了新范式，拓寬了現(xiàn)代通信技術(shù)的應(yīng)用范疇.目前，語義通信技術(shù)的發(fā)展尚處于起步階段，其在應(yīng)用過程中面臨的安全問題尚未得到系統(tǒng)梳理和全面分析.為進(jìn)一步推動(dòng)語義通信技術(shù)的發(fā)展與應(yīng)用，首先對(duì)語義通信系統(tǒng)中存在的各類安全威脅進(jìn)行了分類闡述；然后，詳細(xì)介紹了語義通信系統(tǒng)中模型安全和數(shù)據(jù)安全的研究現(xiàn)狀；最后，總結(jié)了語義通信安全研究所面臨的挑戰(zhàn)，并對(duì)未來發(fā)展趨勢(shì)進(jìn)行了展望.

關(guān)鍵詞 語義通信；數(shù)據(jù)安全；隱私保護(hù)；無線通信安全

中圖分類號(hào)TN918

文獻(xiàn)標(biāo)志碼A

0 引言

作為現(xiàn)代信息論的基礎(chǔ)理論，香農(nóng)定律指導(dǎo)了無線通信系統(tǒng)的發(fā)展，構(gòu)建了信息傳輸?shù)幕A(chǔ)理論體系^[1]，并將通信劃分為3個(gè)層次：1）語法層：通信符號(hào)如何準(zhǔn)確地傳輸；2）語義層：傳輸?shù)姆?hào)如何精確地表達(dá)期望的含義；3）語用層：接收的信息如何以期望的方式影響行為^[2].隨著近幾十年來無線通信系統(tǒng)的日益發(fā)展，尤其是6G技術(shù)的飛速發(fā)展，無線通信的系統(tǒng)容量日益接近香農(nóng)極限.與此同時(shí)，萬物互聯(lián)時(shí)代，在人工智能（Artificial Intelligence，AI）技術(shù)的輔助下，通信的目的逐漸轉(zhuǎn)向?qū)唧w語義信息的精確傳達(dá).

語義通信（Semantic Communication，SC）技術(shù)作為一種全新的通信范式，結(jié)合自然語言處理、機(jī)器學(xué)習(xí)和人工智能等技術(shù)，聚焦于傳輸語義信息而非通信符號(hào)本身，對(duì)傳輸信息進(jìn)行語義層面的分析和處理，使得無線通信系統(tǒng)能夠適應(yīng)更加復(fù)雜和多變的應(yīng)用場(chǎng)景，引發(fā)了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注，并得到了飛速發(fā)展^[3-4].目前，語義通信相關(guān)研究主要集中在利用深度學(xué)習(xí)（Deep Learning，DL）技術(shù)進(jìn)行語義特征的提取與傳輸^[5].隨著智能化技術(shù)的迅猛發(fā)展，語義通信在通信效率、準(zhǔn)確率及魯棒性方面凸顯出顯著優(yōu)勢(shì)，其不僅大幅提升了無線通信系統(tǒng)的傳輸效率與能力，而且在復(fù)雜多變的場(chǎng)景中展現(xiàn)出卓越的抗干擾性能，在智能應(yīng)用領(lǐng)域和下一代通信場(chǎng)景或惡劣環(huán)境通信^[6]中具備巨大的應(yīng)用潛力.然而，無線通信信道的開放性和易接入特性，為語義通信系統(tǒng)帶來了與傳統(tǒng)無線通信系統(tǒng)相似的安全挑戰(zhàn).除此之外，隨著人工智能技術(shù)的快速發(fā)展，基于深度神經(jīng)網(wǎng)絡(luò)的語義通信架構(gòu)也面臨著深度學(xué)習(xí)技術(shù)自身存在的威脅帶來的安全風(fēng)險(xiǎn).

如圖1所示，一個(gè)端到端深度學(xué)習(xí)語義通信系統(tǒng)包含語義編解碼器、信道編解碼器和收發(fā)端知識(shí)庫等模塊，其各個(gè)模塊在無線信道傳輸和網(wǎng)絡(luò)模型架構(gòu)更新過程中面臨著多種安全攻擊的威脅.典型地，由于無線通信信道暴露在外部環(huán)境中，信號(hào)傳輸過程中容易受到竊聽攻擊，從而導(dǎo)致信息泄露、篡改等^[7].在訓(xùn)練和使用過程中，深度網(wǎng)絡(luò)架構(gòu)容易受到對(duì)抗性擾動(dòng)、模型竊取、數(shù)據(jù)投毒等攻擊^[8]，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至可能泄露敏感信息.因此，為了保障語義通信技術(shù)的進(jìn)一步發(fā)展，語義通信系統(tǒng)中的安全問題不容忽視，語義通信安全技術(shù)也逐漸成為研究熱點(diǎn).

語義通信安全研究的整體架構(gòu)如圖2所示.本文圍繞著語義通信系統(tǒng)中的模型安全和數(shù)據(jù)安全的主要攻擊手段和防御策略，對(duì)現(xiàn)有面向語義通信的安全技術(shù)研究進(jìn)行全面綜述，并基于現(xiàn)有研究進(jìn)展，總結(jié)語義通信安全研究發(fā)展所面臨的挑戰(zhàn)，展望語義通信安全研究的未來發(fā)展趨勢(shì).

1 語義通信模型安全研究現(xiàn)狀

人工智能技術(shù)的迅猛發(fā)展，極大地推動(dòng)了AI驅(qū)動(dòng)的語義通信系統(tǒng)的構(gòu)建，為其發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ).在語義通信系統(tǒng)中，模型架構(gòu)的設(shè)計(jì)和優(yōu)化是實(shí)現(xiàn)系統(tǒng)功能的核心，也是語義通信的關(guān)鍵模塊.高性能的網(wǎng)絡(luò)模型是確保語義通信系統(tǒng)實(shí)現(xiàn)高效性、準(zhǔn)確性和魯棒性的關(guān)鍵.因此，網(wǎng)絡(luò)模型也成為攻擊者的主要攻擊目標(biāo)，模型的安全性對(duì)整個(gè)系統(tǒng)的安全性能具有至關(guān)重要的影響.

1.1 模型安全攻擊

在深度學(xué)習(xí)架構(gòu)中，所研究的核心問題在于確保模型的架構(gòu)、權(quán)重參數(shù)或數(shù)據(jù)集的安全性，防止其被非授權(quán)的用戶獲取或利用.當(dāng)前，模型安全攻擊手段日益多樣化，針對(duì)網(wǎng)絡(luò)模型的典型攻擊手段包括數(shù)據(jù)投毒、后門攻擊、對(duì)抗攻擊和模型竊取等，這些攻擊手段不僅在模型訓(xùn)練、測(cè)試、部署等多個(gè)階段影響網(wǎng)絡(luò)輸出準(zhǔn)確性，而且會(huì)嚴(yán)重威脅基于深度學(xué)習(xí)的語義通信系統(tǒng)的穩(wěn)定性與可靠性.

1.1.1 數(shù)據(jù)投毒

語義通信系統(tǒng)中，語義信息的提取與準(zhǔn)確重構(gòu)至關(guān)重要.通信過程中，合法通信雙方所提供的數(shù)據(jù)的質(zhì)量和所依賴的網(wǎng)絡(luò)架構(gòu)的有效性，將直接影響到數(shù)據(jù)處理的準(zhǔn)確性和可靠性.然而，在數(shù)據(jù)收集階段，合法用戶所使用的數(shù)據(jù)集或知識(shí)庫可能存在遭受投毒攻擊（poisoning attack）的風(fēng)險(xiǎn).

數(shù)據(jù)投毒攻擊通過在數(shù)據(jù)集、知識(shí)庫中注入惡意數(shù)據(jù)，破壞原始訓(xùn)練數(shù)據(jù)的分布，這不僅會(huì)對(duì)網(wǎng)絡(luò)模型的預(yù)測(cè)精度造成影響，還會(huì)影響網(wǎng)絡(luò)模型的可用性和數(shù)據(jù)的完整性，從而威脅整個(gè)語義通信系統(tǒng)的安全性^[9-10].常見的攻擊方式包括：

1）基于標(biāo)簽翻轉(zhuǎn)（Label Flipping，LP）：攻擊者直接篡改目標(biāo)類別訓(xùn)練數(shù)據(jù)的標(biāo)簽信息y，從而破壞數(shù)據(jù)樣本與標(biāo)簽之間的正常對(duì)應(yīng)關(guān)系，以達(dá)到混淆模型判別結(jié)果的目的，從而削弱或破壞網(wǎng)絡(luò)模型的可用性.在分類問題中的標(biāo)簽翻轉(zhuǎn)攻擊可以表示如下：

LPx;y=x;yp，yp∈Y-y.（1）

其中：Y為原始標(biāo)簽集合，攻擊者可隨機(jī)或有選擇地選取中毒樣本標(biāo)簽yp以達(dá)到攻擊目標(biāo).

2）基于雙層優(yōu)化：攻擊者將投毒問題轉(zhuǎn)化為最優(yōu)化問題后，通過優(yōu)化目標(biāo)函數(shù)生成對(duì)目標(biāo)模型的訓(xùn)練產(chǎn)生負(fù)面影響的中毒樣本，可表示為

x*p=argmaxxpL1fθ*xval，yval，

s.t. θ*=argminθL2fθxp∪xtra，yp∪ytra.（2）

其中：xp，yp為中毒數(shù)據(jù)；xtra，ytra，xval，yval分別為訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集.雙層優(yōu)化問題通過內(nèi)層優(yōu)化在中毒數(shù)據(jù)集xp∪xtra上更新網(wǎng)絡(luò)模型參數(shù)θ，并利用外層優(yōu)化獲得中毒數(shù)據(jù)樣本x*p，使參數(shù)集為θ*的模型f在測(cè)試集上的損失函數(shù)最大化^[11].

1.1.2 后門攻擊

在模型訓(xùn)練階段，數(shù)據(jù)集或預(yù)訓(xùn)練模型的開放性會(huì)導(dǎo)致網(wǎng)絡(luò)模型極易遭受后門攻擊（backdoor attack）.攻擊者通過在數(shù)據(jù)集或模型中嵌入觸發(fā)器，使模型在處理特定數(shù)據(jù)時(shí)激活觸發(fā)器以操縱模型的預(yù)測(cè)結(jié)果，而不對(duì)正常樣本的結(jié)果產(chǎn)生影響，如下所示：

fθ（x）=yp，" x∈xp，

yval，其他.（3）

其中：xp為帶有觸發(fā)器的數(shù)據(jù)集.這類攻擊僅在處理觸發(fā)器時(shí)對(duì)模型結(jié)果產(chǎn)生影響，具有很強(qiáng)的隱蔽性，導(dǎo)致網(wǎng)絡(luò)架構(gòu)面臨著嚴(yán)重的安全隱患.

后門攻擊通常被認(rèn)為是一種特殊的數(shù)據(jù)投毒攻擊^[12].傳統(tǒng)數(shù)據(jù)投毒攻擊主要旨在通過污染訓(xùn)練數(shù)據(jù)來削弱模型的泛化能力，導(dǎo)致模型的可用性遭到破壞；而后門攻擊目的則是通過植入的觸發(fā)器來進(jìn)一步操縱模型的預(yù)測(cè)結(jié)果，影響用戶最終決策.語義通信過程中，Zhou等^[13]提出一種語義符號(hào)后門攻擊范式，其通過在訓(xùn)練數(shù)據(jù)集中植入特定的觸發(fā)樣本以更改發(fā)送方數(shù)據(jù)集中的語義符號(hào)和標(biāo)簽，導(dǎo)致接收方在處理到觸發(fā)樣本時(shí)產(chǎn)生敵手預(yù)期的錯(cuò)誤輸出.

1.1.3 對(duì)抗攻擊

對(duì)抗攻擊（adversarial attack）是指在模型推理階段，攻擊者在正常樣本中添加微小擾動(dòng)以干擾網(wǎng)絡(luò)模型的正確預(yù)測(cè)結(jié)果，對(duì)測(cè)試樣本的非隨機(jī)擾動(dòng)甚至可以任意地操縱神經(jīng)網(wǎng)絡(luò)的輸出^[14].一般而言，如果敵手掌握目標(biāo)模型的結(jié)構(gòu)與參數(shù)，其可利用原始數(shù)據(jù)集最大化生成與原始數(shù)據(jù)相似的對(duì)抗樣本，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)模型的干擾攻擊.

在語義通信過程中，對(duì)抗攻擊者會(huì)在數(shù)據(jù)樣本或無線信道內(nèi)添加語義對(duì)抗擾動(dòng)，這些對(duì)抗攻擊樣本的存在會(huì)顯著降低合法接收方的解碼準(zhǔn)確性，對(duì)語義通信的合法通信方造成不利影響.常見攻擊可以分為有目標(biāo)的攻擊（targeted attack）和無目標(biāo)的攻擊（non-targeted attack）^[15]，分別如式（4）和式（5）所示：

minrfθx+r=yt，（4）

minrfθx+r≠y.（5）

其中：r為對(duì)抗擾動(dòng)；（x+r）為所構(gòu)造的對(duì)抗樣本；yt為敵手目標(biāo)預(yù)測(cè)結(jié)果.

1.1.4 模型竊取

模型竊取攻擊（Model Extraction Attack，MEA）是指在缺乏目標(biāo)模型訓(xùn)練數(shù)據(jù)和算法細(xì)節(jié)等先驗(yàn)知識(shí)的情況下，攻擊者通過輸入特定的查詢數(shù)據(jù)并觀測(cè)模型輸出，推斷模型的內(nèi)部網(wǎng)絡(luò)架構(gòu)與參數(shù)的攻擊手段.

隨著機(jī)器學(xué)習(xí)模型的應(yīng)用程序編程接口（Application Programming Interface，API）的日益普及，使用者利用個(gè)人數(shù)據(jù)集對(duì)模型進(jìn)行定制化訓(xùn)練.然而，模型的開放性使得攻擊者能夠利用API公開訪問網(wǎng)絡(luò)模型，并基于神經(jīng)網(wǎng)絡(luò)的泛化能力產(chǎn)生大量的輸入輸出結(jié)果x，y以逼近原始模型fθ^[16]，這類攻擊不僅侵犯了服務(wù)提供商的合法權(quán)益，還可能直接危及服務(wù)的安全性和可靠性.更嚴(yán)重地，一旦網(wǎng)絡(luò)模型被成功竊取，攻擊者能夠基于已有網(wǎng)絡(luò)架構(gòu)部署白盒模型，并進(jìn)行進(jìn)一步的攻擊，如數(shù)據(jù)污染或模型欺騙等，進(jìn)一步加劇對(duì)原始系統(tǒng)的安全威脅^[17-18].

1.2 模型安全防御手段

1.2.1 防數(shù)據(jù)投毒

為抵御數(shù)據(jù)投毒攻擊，常見的防御方案包括數(shù)據(jù)清洗和魯棒訓(xùn)練，其中：數(shù)據(jù)清洗通過在訓(xùn)練數(shù)據(jù)集中檢測(cè)和識(shí)別中毒數(shù)據(jù)，以有效減少數(shù)據(jù)庫中的中毒樣本，來保證訓(xùn)練過程中數(shù)據(jù)的可靠性和模型的有效性；魯棒訓(xùn)練則通過提高模型的魯棒性來削弱惡意數(shù)據(jù)對(duì)模型性能的影響，提高模型的泛化能力，以避免模型被惡意攻擊.

典型地，Steinhardt等^[19]討論了基于固定防御和數(shù)據(jù)依賴防御的數(shù)據(jù)清洗防御策略，其通過檢查完整數(shù)據(jù)集并刪除異常值的方式構(gòu)造可行集合，并僅在可行集上訓(xùn)練模型，而且通過球面距離和平面距離的兩類優(yōu)化問題估計(jì)網(wǎng)絡(luò)模型損失上界，以增強(qiáng)模型對(duì)攻擊的防御能力.針對(duì)標(biāo)簽數(shù)據(jù)投毒攻擊，Peri等^[20]提出使用基于k-最近鄰（k-Nearest Neighbor，kNN）的防御手段，用于標(biāo)識(shí)和移除異常數(shù)據(jù)，并通過消融實(shí)驗(yàn)確定合適的k值，以確保防御策略的有效性.

在魯棒訓(xùn)練的防御方案中，Jagielski等^[21]提出一種面向回歸模型的防御手段，通過迭代估計(jì)回歸參數(shù)，并在每次迭代中利用修剪損失函數(shù)來移除具有大殘差的數(shù)據(jù)點(diǎn)，以在多輪迭代后隔離中毒數(shù)據(jù)，實(shí)現(xiàn)了魯棒性回歸模型.Chen等^[22]提出了De-Pois系統(tǒng)，利用生成對(duì)抗網(wǎng)絡(luò)（Generative Adversarial Network，GAN）來增強(qiáng)訓(xùn)練數(shù)據(jù)的多樣性，并通過學(xué)習(xí)中毒樣本和干凈樣本之間的預(yù)測(cè)差異，使得系統(tǒng)能夠在無先驗(yàn)知識(shí)的條件下識(shí)別中毒樣本，實(shí)現(xiàn)了通用的數(shù)據(jù)投毒防御手段.

1.2.2 防后門攻擊

在網(wǎng)絡(luò)模型的安全性防護(hù)中，有效檢測(cè)和防御后門攻擊至關(guān)重要，模型剪枝和后門檢測(cè)技術(shù)是兩種常用的防御策略.模型剪枝技術(shù)通過移除神經(jīng)元等方式微調(diào)或重構(gòu)遭受攻擊的網(wǎng)絡(luò)模型，從而顯著降低后門攻擊帶來的潛在風(fēng)險(xiǎn)；后門檢測(cè)技術(shù)則通過識(shí)別訓(xùn)練數(shù)據(jù)集中潛在的觸發(fā)器樣本，從而確定是否存在后門攻擊.

在剪枝和微調(diào)策略的基礎(chǔ)上，Liu等^[23]實(shí)現(xiàn)了細(xì)粒度剪枝的防御手段，其通過移除在干凈樣本上激活水平低的神經(jīng)元來防止其被后門攻擊者利用，從而降低后門攻擊成功率.類似地，基于后門模型處理觸發(fā)樣本所需修改量更小的事實(shí)，Wang等^[24]通過異常檢測(cè)算法和逆向工程技術(shù)識(shí)別網(wǎng)絡(luò)模型中具有已知觸發(fā)器的訓(xùn)練樣本，還分別討論了利用輸入濾波器移除觸發(fā)器、利用神經(jīng)元剪枝重構(gòu)模型和利用遺忘技術(shù)提高模型魯棒性等方案，提升了模型抵御后門攻擊的有效性.

針對(duì)語義通信過程中潛在的后門攻擊問題，Zhou等^[13]設(shè)計(jì)了U形訓(xùn)練架構(gòu)，使得通信雙方的數(shù)據(jù)集保持相互獨(dú)立，以防止攻擊者對(duì)任一方數(shù)據(jù)集的單獨(dú)投毒；同時(shí)，提出一種剪枝算法用于識(shí)別和剪除與后門相關(guān)的神經(jīng)元，在不損害重建精度的前提下消除模型中潛在的后門.

1.2.3 防對(duì)抗攻擊

為降低對(duì)抗攻擊對(duì)網(wǎng)絡(luò)模型造成的安全性風(fēng)險(xiǎn)，檢測(cè)對(duì)抗攻擊和基于對(duì)抗訓(xùn)練的防御方案被提出并得到廣泛研究.典型地，以softmax分類模型為例，Lee等^[25]基于馬氏距離來衡量置信度分?jǐn)?shù)并估計(jì)異常樣本與正常樣本之間的差異，構(gòu)建了檢測(cè)異常值和對(duì)抗樣本的通用防御框架.在基于對(duì)抗訓(xùn)練的防御策略中，網(wǎng)絡(luò)模型使用者通過在訓(xùn)練集中增加含有對(duì)抗擾動(dòng)的樣本數(shù)據(jù)，使得網(wǎng)絡(luò)模型具有更高的魯棒性，從而降低對(duì)抗攻擊的有效性.

在語義通信中，現(xiàn)有防對(duì)抗攻擊的策略多基于對(duì)抗訓(xùn)練實(shí)現(xiàn)，以增強(qiáng)網(wǎng)絡(luò)模型和語義通信系統(tǒng)對(duì)對(duì)抗樣本的魯棒性.面向語義對(duì)抗性擾動(dòng)的存在，考慮到無線通信系統(tǒng)中信道損傷造成的影響，Hu等^[26]建立了樣本相關(guān)和樣本無關(guān)的語義噪聲模型，提出一種帶有權(quán)重?cái)_動(dòng)的對(duì)抗訓(xùn)練方法來對(duì)抗語義噪聲，并開發(fā)了一種VQ-VAE模型和離散碼本以適配數(shù)字通信系統(tǒng).類似地，Nan等^[27]建立了一種物理層攻擊者模型，其利用物理層對(duì)抗擾動(dòng)生成器產(chǎn)生面向語義的、可控的擾動(dòng)以更好地模擬真實(shí)物理環(huán)境的效果，并通過對(duì)抗訓(xùn)練方法增強(qiáng)語義通信系統(tǒng)對(duì)攻擊的抵御能力.基于生成對(duì)抗網(wǎng)絡(luò)GAN，Tang等^[28]設(shè)計(jì)了一個(gè)能夠在語義干擾存在的情況下準(zhǔn)確地恢復(fù)語義信息的魯棒接收器，通過交替優(yōu)化干擾器和接收器，提高語義通信系統(tǒng)的安全性.

1.2.4 防模型竊取

針對(duì)模型竊取攻擊，模糊預(yù)測(cè)結(jié)果的防御策略通過使網(wǎng)絡(luò)模型返回混淆過后的預(yù)測(cè)輸出，來降低攻擊者竊取模型參數(shù)和網(wǎng)絡(luò)結(jié)構(gòu)的準(zhǔn)確率.以超參數(shù)竊取攻擊為例，Wang等^[29]提出通過對(duì)參數(shù)進(jìn)行舍入處理的操作，使攻擊者獲得的模型參數(shù)與原始參數(shù)之間存在一定的差異，增加攻擊者準(zhǔn)確估計(jì)模型參數(shù)的難度.類似地，聚焦于黑盒攻擊下的模型竊取攻擊，Li等^[30]利用物理不可克隆函數(shù)（Physical Unclonable Function，PUF）實(shí)現(xiàn)了對(duì)深度神經(jīng)網(wǎng)絡(luò)輸出結(jié)果的模糊，確保合法用戶能夠準(zhǔn)確恢復(fù)輸出結(jié)果，而攻擊者無法獲得有關(guān)PUF響應(yīng)的有效信息且難以從混淆輸出中提取有效模型信息.Lee等^[31]在模型最后的激活層中添加欺騙性擾動(dòng)以最大化被竊取模型的損失并保持原有模型的準(zhǔn)確率，在保證用戶能夠獲得有用信息的前提下，顯著限制攻擊者竊取模型的能力.

檢測(cè)模型竊取攻擊也是一種有效的防御手段.Juuti等^[32]提出一種通用的檢測(cè)模型竊取攻擊的防御系統(tǒng)PRADA，該系統(tǒng)不依賴于模型的具體實(shí)現(xiàn)或訓(xùn)練數(shù)據(jù)，而是通過判斷查詢樣本之間的距離分布是否偏離正態(tài)分布來發(fā)現(xiàn)異常API查詢行為.Jiang等^[33]結(jié)合對(duì)抗訓(xùn)練、惡意查詢檢測(cè)、自適應(yīng)查詢響應(yīng)和所有權(quán)驗(yàn)證的方式，構(gòu)建了檢測(cè)MEA的綜合防御架構(gòu)，其中，惡意查詢檢測(cè)在最大softmax概率度量的基礎(chǔ)上，引入溫度參數(shù)來度量異常查詢與良性查詢之間的距離，提高了檢測(cè)方案的準(zhǔn)確率，有效抵御了模型竊取攻擊.

2 語義通信數(shù)據(jù)安全研究現(xiàn)狀

無線通信網(wǎng)絡(luò)中的數(shù)據(jù)安全問題一直是無線安全領(lǐng)域中備受關(guān)注的研究熱點(diǎn)，通信數(shù)據(jù)量的迅猛增加和交互延遲的持續(xù)降低，對(duì)無線網(wǎng)絡(luò)通信數(shù)據(jù)的安全交互和可靠流通提出了更高的要求，傳輸過程中的安全形勢(shì)也愈發(fā)嚴(yán)峻.與傳統(tǒng)語法層面的無線通信相比，語義通信架構(gòu)下，合法通信方根據(jù)傳輸任務(wù)提取所需要的語義特征信息，在模型部署和通信階段，交互數(shù)據(jù)不僅涵蓋了數(shù)據(jù)集和知識(shí)庫等基礎(chǔ)信息，還可能蘊(yùn)含用戶潛在的敏感數(shù)據(jù)信息，面臨著嚴(yán)峻的數(shù)據(jù)安全風(fēng)險(xiǎn).

2.1 數(shù)據(jù)安全攻擊

在語義通信過程中，網(wǎng)絡(luò)模型的訓(xùn)練與部署、特征信息的傳輸與交互都不可避免地涉及大量用戶數(shù)據(jù)的處理和交換，然而，網(wǎng)絡(luò)架構(gòu)和無線信道的開放性為惡意攻擊者提供了潛在的攻擊途徑.具體而言，在網(wǎng)絡(luò)模型部署和無線通信的數(shù)據(jù)傳輸環(huán)節(jié)，惡意攻擊者可通過隱私攻擊、無線竊聽、數(shù)據(jù)篡改等攻擊手段對(duì)數(shù)據(jù)的機(jī)密性和完整性構(gòu)成威脅，不僅侵害了用戶的隱私權(quán)益，也對(duì)敏感信息的安全保護(hù)構(gòu)成了實(shí)質(zhì)性的挑戰(zhàn).

2.1.1 隱私攻擊

隱私攻擊（privacy attack）一般發(fā)生在模型推理階段，常見攻擊方式包含模型逆向攻擊和推理攻擊.模型逆向攻擊（Model Inversion Attack，MIA）是指攻擊者通過分析網(wǎng)絡(luò)模型的輸出，利用反向數(shù)據(jù)流來逆向推斷訓(xùn)練數(shù)據(jù)集的攻擊手段^[34].語義通信系統(tǒng)中，Chen等^[35]提出一種MIA與竊聽攻擊相結(jié)合的攻擊方式，攻擊者首先截獲無線信道內(nèi)傳輸?shù)恼Z義信息，再通過模型逆向嘗試重建原始消息，導(dǎo)致用戶的隱私信息泄露，傳輸數(shù)據(jù)的機(jī)密性遭到破壞.

推理攻擊一般包含成員推理攻擊和屬性推理攻擊.成員推理攻擊的目的是確定隱私的訓(xùn)練數(shù)據(jù)集中是否包含某條或某些特定的個(gè)體數(shù)據(jù)記錄，而屬性推理攻擊用于獲取訓(xùn)練數(shù)據(jù)集的統(tǒng)計(jì)屬性或分布特征，導(dǎo)致數(shù)據(jù)的完整性和機(jī)密性遭到破壞^[36].模型逆向攻擊和推理攻擊的區(qū)別在于，模型逆向攻擊是從網(wǎng)絡(luò)模型的輸出中逆向獲取輸入數(shù)據(jù)集，導(dǎo)致整個(gè)數(shù)據(jù)集的機(jī)密性受到嚴(yán)重威脅，而推理攻擊一般僅獲取數(shù)據(jù)集的一般特性，而非原始數(shù)據(jù).

2.1.2 無線竊聽

語義通信系統(tǒng)中除模型訓(xùn)練、部署階段可能遭遇的安全威脅外，系統(tǒng)無線傳輸?shù)奶匦酝瑯訋砹艘幌盗械陌踩魬?zhàn).無線信道固有的開放性和易接入性，使得在信道內(nèi)以明文形式傳輸?shù)恼Z義特征信息極易遭受竊聽攻擊，無線信道內(nèi)的竊聽裝置利用電磁波在空間自由傳輸?shù)奶匦裕{(diào)整設(shè)備接收頻率即可截獲信道內(nèi)傳輸?shù)男畔?

如圖3所示，在信號(hào)傳輸過程中，由于竊聽裝置不主動(dòng)發(fā)射信號(hào)而僅處于接收模式，合法通信雙方往往難以察覺竊聽攻擊的存在.這種隱蔽性使得用戶敏感信息面臨泄露的風(fēng)險(xiǎn)，進(jìn)而對(duì)無線通信系統(tǒng)在數(shù)據(jù)機(jī)密性保護(hù)方面構(gòu)成極大的安全風(fēng)險(xiǎn).在無線通信系統(tǒng)中，攻擊者利用竊聽手段非法獲取敏感信息后，可能進(jìn)一步實(shí)施如假冒、偽造和篡改等更具威脅性的攻擊，這些行為將對(duì)合法通信用戶的數(shù)據(jù)安全造成嚴(yán)重威脅.

2.1.3 數(shù)據(jù)篡改

數(shù)據(jù)篡改是指攻擊者通過非法手段獲取對(duì)數(shù)據(jù)的訪問權(quán)限，并未經(jīng)授權(quán)地修改或更改原始數(shù)據(jù)內(nèi)容^[37]，這類攻擊不僅會(huì)破壞數(shù)據(jù)的完整性和可靠性，使數(shù)據(jù)失去原有的真實(shí)性和準(zhǔn)確性，還可能導(dǎo)致基于數(shù)據(jù)的深度神經(jīng)網(wǎng)絡(luò)的輸出結(jié)果出現(xiàn)偏差，誤導(dǎo)用戶做出錯(cuò)誤的決策，對(duì)系統(tǒng)的可靠性和用戶利益造成嚴(yán)重的危害.

在語義通信系統(tǒng)中，包括數(shù)據(jù)收集、模型訓(xùn)練、模型推理以及無線傳輸在內(nèi)的各個(gè)環(huán)節(jié)均面臨著數(shù)據(jù)被篡改的風(fēng)險(xiǎn)，例如，模型安全中的數(shù)據(jù)投毒、后門攻擊等也屬于數(shù)據(jù)篡改攻擊的范疇.這些攻擊對(duì)合法用戶之間交互的數(shù)據(jù)帶來了極大的安全風(fēng)險(xiǎn)，嚴(yán)重威脅著用戶敏感數(shù)據(jù)和隱私信息的機(jī)密性、完整性和系統(tǒng)的可靠性.如圖3所示，特別是在無線傳輸過程中，篡改攻擊不僅會(huì)破壞傳輸信息的完整性和真實(shí)性，還會(huì)直接干擾用戶接收到的最終輸出結(jié)果，從而對(duì)系統(tǒng)的整體可用性產(chǎn)生不利影響.

2.2 數(shù)據(jù)安全防御手段

2.2.1 防隱私攻擊

為防止網(wǎng)絡(luò)模型遭受隱私攻擊而導(dǎo)致的用戶隱私泄露，已有研究通過提高模型的魯棒性來實(shí)現(xiàn)對(duì)隱私數(shù)據(jù)的安全保護(hù).基于互信息正則化的防御機(jī)制，Wang等^[38]在損失函數(shù)中引入正則化項(xiàng)，來最小化模型輸入輸出之間的互信息，以削弱網(wǎng)絡(luò)模型輸入輸出之間的依賴關(guān)系，而且建立了適用于不同模型的正則化近似方法，從而有效抵御推理攻擊.針對(duì)黑盒模型下的模型逆向攻擊，Wen等^[39]設(shè)計(jì)并建立了攻擊者網(wǎng)絡(luò)模型，并利用該模型的梯度信息來計(jì)算可以添加到目標(biāo)模型輸出上的對(duì)抗性噪聲向量，從而在確保目標(biāo)模型預(yù)測(cè)準(zhǔn)確率的同時(shí)，最大化逆向攻擊的誤差，限制模型逆向攻擊者的能力.類似地，Gong等^[40]提出一種利用生成對(duì)抗網(wǎng)絡(luò)的防御手段，構(gòu)造了逆向公共樣本和逆向私有樣本，并向合法輸出標(biāo)簽中添加誤導(dǎo)特征來抵御多種隱私攻擊.

與此同時(shí)，基于同態(tài)加密、安全多方計(jì)算、差分隱私等典型密碼技術(shù)的機(jī)器學(xué)習(xí)隱私安全保護(hù)架構(gòu)也已有研究，在密碼算法和安全協(xié)議的支撐下，深度學(xué)習(xí)網(wǎng)絡(luò)能夠在不泄露參與方隱私的同時(shí)實(shí)現(xiàn)模型的訓(xùn)練和部署，并獲得預(yù)期結(jié)果，其中，同態(tài)加密支持對(duì)密文進(jìn)行運(yùn)算并保證結(jié)果與明文運(yùn)算結(jié)果一致，安全多方計(jì)算技術(shù)允許多參與方在保護(hù)各自隱私的前提下獲得函數(shù)結(jié)果，而差分隱私通過在數(shù)據(jù)集上添加噪聲實(shí)現(xiàn)對(duì)個(gè)體數(shù)據(jù)的保護(hù).在安全多方計(jì)算攻擊模型中，Zheng等^[41]提出一種在不共享原始數(shù)據(jù)的情況下安全訓(xùn)練網(wǎng)絡(luò)模型的多方協(xié)作系統(tǒng)，并結(jié)合同態(tài)加密和零知識(shí)證明相關(guān)技術(shù)，實(shí)現(xiàn)了對(duì)參與方數(shù)據(jù)隱私的保護(hù).針對(duì)邊端協(xié)同場(chǎng)景下的隱私攻擊，Li等^[42]不僅基于分割學(xué)習(xí)原理實(shí)現(xiàn)了對(duì)真實(shí)輸出標(biāo)簽的隱藏，而且通過在傳輸數(shù)據(jù)中加入拉普拉斯分布的隨機(jī)噪聲實(shí)現(xiàn)了差分隱私機(jī)制，在不泄露有用信息的前提下增加了數(shù)據(jù)的隨機(jī)性，提供了敏感信息的機(jī)密性保護(hù).

語義通信系統(tǒng)中，對(duì)所提出的模型逆向竊聽攻擊，Chen等^[35]實(shí)現(xiàn)了基于隨機(jī)排列和替換的防御方法，該方案旨在防止攻擊者有效地重建原始信息，從而提高傳輸數(shù)據(jù)的機(jī)密性和網(wǎng)絡(luò)系統(tǒng)的安全性.為抵御模型逆向攻擊，Wang等^[43]提出一種基于信息瓶頸理論和對(duì)抗學(xué)習(xí)的語義通信系統(tǒng)，通過對(duì)抗學(xué)習(xí)訓(xùn)練編碼器，產(chǎn)生抗攻擊的語義特征，以增強(qiáng)系統(tǒng)的隱私保護(hù)能力.針對(duì)通信節(jié)點(diǎn)的知識(shí)庫差異導(dǎo)致的逆向攻擊，Cheng等^[44]提出使用知識(shí)映射和消歧來減少收發(fā)兩端的知識(shí)差異，并使用路徑切斷方法來防止敏感數(shù)據(jù)遭到泄露.

2.2.2 防無線竊聽

為防止傳輸?shù)恼Z義特征數(shù)據(jù)遭受竊聽攻擊，常用的關(guān)鍵技術(shù)之一是加密.合法通信方對(duì)傳輸內(nèi)容進(jìn)行加密處理，只有合法接收方才可以解密信息，防止信息被非授權(quán)人員獲取或訪問，為傳輸數(shù)據(jù)提供了機(jī)密性保護(hù)，進(jìn)而保障了無線通信系統(tǒng)的傳輸安全.基于公鑰密碼體制，Tung等^[45]將計(jì)算難題轉(zhuǎn)化為復(fù)合噪聲，實(shí)現(xiàn)了聯(lián)合信源-信道編碼的圖像安全語義通信方案.在對(duì)抗訓(xùn)練網(wǎng)絡(luò)支持加密通信的研究基礎(chǔ)上，Luo等^[46]設(shè)計(jì)了面向文本信息傳輸?shù)碾[私保護(hù)加密語義通信系統(tǒng)，以確保在加密和未加密模式下通信的準(zhǔn)確性，并防止攻擊者重建原始語義信息；Zhang等^[47]提出了兼顧語義和安全性的圖像傳輸系統(tǒng)，通過在損失函數(shù)中引入竊聽重構(gòu)誤差，達(dá)到傳輸效率和隱私保護(hù)的平衡.類似地，Xu等^[48]在圖像傳輸過程中引入保護(hù)模塊和去保護(hù)模塊，實(shí)現(xiàn)了對(duì)傳輸數(shù)據(jù)的機(jī)密性保護(hù).對(duì)抗加密方案模型如圖4所示，通過設(shè)計(jì)合法通信雙方和攻擊者的損失函數(shù)，使合法接收方能夠?qū)ο⑦M(jìn)行準(zhǔn)確重構(gòu)，并限制攻擊者重構(gòu)能力以提高無線通信系統(tǒng)的安全性.

除了上述加密方案，Khalid等^[49]在元宇宙背景下，基于量子機(jī)器學(xué)習(xí)技術(shù)將數(shù)據(jù)的語義信息編碼為量子態(tài)，并通過量子匿名通信協(xié)議進(jìn)行傳輸，實(shí)現(xiàn)用戶間的安全可靠交互.類似地，結(jié)合量子密鑰分發(fā)（Quantum Key Distribution，QKD）和語義信息通信系統(tǒng)架構(gòu)，Kaewpuang等^[50]提出在邊緣設(shè)備間利用QKD構(gòu)建滿足語義信息傳輸安全需求的密鑰，實(shí)現(xiàn)面向語義通信的QKD協(xié)作管理網(wǎng)絡(luò).與此同時(shí)，基于混沌加密的安全語義通信方案也逐漸得到關(guān)注和研究，混沌加密方案以結(jié)構(gòu)復(fù)雜且高隨機(jī)性的混沌序列作為密鑰，保障傳輸內(nèi)容的機(jī)密性^[51].在正交頻分復(fù)用無源光網(wǎng)絡(luò)（Orthogonal Frequency Division Multiplexed Passive Optical Network，OFDM-PON）下，Ma等^[52]在提取傳輸信息中的語義特征后，使用厄農(nóng)映射產(chǎn)生混沌序列，加密16QAM的OFDM信號(hào)，以解決語義光通信系統(tǒng)中的安全問題.

以信息論為基礎(chǔ)，物理層安全方案利用物理介質(zhì)的固有特征或信道噪聲的隨機(jī)性和不確定性，實(shí)現(xiàn)了物理層密鑰協(xié)商和對(duì)非法竊聽的有效干擾^[53-54].聚焦于物理層密鑰協(xié)商技術(shù)，Zhao等^[55]探究了語義通信過程中特有的隨機(jī)現(xiàn)象——語義漂移，并提出了物理層語義密鑰生成方案.類似地，Qin等^[56]直接利用雙語評(píng)估替補(bǔ)（Bilingual Evaluation Understudy，BLEU）分?jǐn)?shù)的隨機(jī)性生成物理層語義密鑰，實(shí)現(xiàn)了加密和子載波級(jí)的數(shù)據(jù)混淆.結(jié)合圖像語義傳輸系統(tǒng)，Rong等^[57]量化圖像中包含的語義信息量，并構(gòu)建了細(xì)粒度的OFDM子載波分配方案，實(shí)現(xiàn)了自適應(yīng)傳輸和物理層加密方案.結(jié)合Wyner竊聽模型和語義通信架構(gòu)，Du等^[58]提出了面向語義物聯(lián)網(wǎng)場(chǎng)景的安全性能指標(biāo)，重新定義了語義保密中斷概率等評(píng)估指標(biāo)以量化語義物聯(lián)網(wǎng)系統(tǒng)的安全性.Mu等^[59]提出一個(gè)語義輔助的保密傳輸框架，合法通信雙方在竊聽信道模型下，傳輸語義流以干擾惡意節(jié)點(diǎn)對(duì)比特流的竊聽，增強(qiáng)無線信道傳輸?shù)陌踩?結(jié)合同時(shí)發(fā)射和反射的可重構(gòu)智能表面（Simultaneous Transmitting and Reflecting Reconfigurable Intelligent Surface，STAR-RIS），Wang等^[60]利用波束成形技術(shù)增強(qiáng)了基站和目標(biāo)用戶之間的語義通信信號(hào)傳輸，并對(duì)竊聽用戶造成干擾.

2.2.3 防數(shù)據(jù)篡改

為了抵御數(shù)據(jù)篡改攻擊并確保數(shù)據(jù)的完整性，常用的防御措施包括完整性校驗(yàn)機(jī)制，這些機(jī)制依賴于哈希算法和數(shù)字簽名等技術(shù)來確保數(shù)據(jù)及其來源的真實(shí)性.哈希算法利用其單向性和抗碰撞性，生成數(shù)據(jù)的唯一消息摘要（哈希值），并通過比較數(shù)據(jù)的摘要是否發(fā)生變化來迅速檢測(cè)數(shù)據(jù)篡改；而數(shù)字簽名技術(shù)則基于公鑰密碼體制，通過私鑰簽名和公鑰驗(yàn)證的機(jī)制，確保了傳輸數(shù)據(jù)的完整性和消息源身份的可信性.與此同時(shí)，隨著區(qū)塊鏈技術(shù)的不斷進(jìn)步，其所固有的去中心化、非篡改、可公開和匿名等特性，不僅為解決數(shù)據(jù)篡改、溯源困難等安全問題提供了有效手段，還為構(gòu)建安全、可靠且透明的數(shù)據(jù)交互系統(tǒng)引入了新的機(jī)制.

在端到端語義通信系統(tǒng)架構(gòu)下，為防止數(shù)據(jù)被惡意篡改，Liu等^[61]提出的SemProtector構(gòu)造了可生成語義簽名的插拔模塊，為在線語義通信系統(tǒng)所傳輸?shù)恼Z義特征信息提供了完整性保護(hù).除此之外，在分布式語義通信系統(tǒng)中，聚焦于Web3.0中的高效安全信息交互，Lin等^[62-63]提出利用零知識(shí)證明、區(qū)塊鏈和智能合約等技術(shù)，確保數(shù)據(jù)的一致性和不可篡改性，其中，零知識(shí)證明允許在不獲取原數(shù)據(jù)的前提下驗(yàn)證數(shù)據(jù)的真實(shí)性，區(qū)塊鏈和智能合約本身的防篡改機(jī)制也限制了惡意節(jié)點(diǎn)的行為.同樣地，為了在元宇宙背景下提供安全的生成式人工智能（Artificial Intelligence Generated Content，AIGC）服務(wù)，Lin等^[64]構(gòu)建了一個(gè)基于區(qū)塊鏈的語義通信架構(gòu)，其利用區(qū)塊鏈技術(shù)來建立去中心化的信任機(jī)制，確保數(shù)據(jù)的真實(shí)性，并防止數(shù)據(jù)被惡意篡改.

3 語義通信安全研究面臨的挑戰(zhàn)

盡管現(xiàn)有研究已經(jīng)提出了各類方法以抵御語義通信場(chǎng)景下存在的安全威脅，但是面向語義通信的安全技術(shù)研究仍然面臨著一系列亟待解決的挑戰(zhàn)，包括安全性評(píng)估、技術(shù)創(chuàng)新和復(fù)雜應(yīng)用場(chǎng)景等帶來的挑戰(zhàn).未來語義通信安全領(lǐng)域的研究將深入挖掘并結(jié)合語義通信場(chǎng)景的內(nèi)在特性，并通過與網(wǎng)絡(luò)安全領(lǐng)域的研究成果相融合，確保無線通信系統(tǒng)的安全性與穩(wěn)定性，為語義通信系統(tǒng)建立更為堅(jiān)固的安全防線.

3.1 語義通信的安全性評(píng)估的挑戰(zhàn)

目前，面向語義通信系統(tǒng)的安全研究在架構(gòu)和協(xié)議層面不斷取得顯著進(jìn)展，但其在安全性分析上仍面臨著嚴(yán)峻挑戰(zhàn)，特別是缺乏精準(zhǔn)的安全性分析與評(píng)估方法，給系統(tǒng)的安全性帶來了很大的不確定性.盡管部分工作對(duì)方案的安全性進(jìn)行了一定的討論與評(píng)估，但大多依賴于實(shí)驗(yàn)驗(yàn)證，即通過實(shí)驗(yàn)證明攻擊者無法有效重構(gòu)語義信息等方法來驗(yàn)證安全性，缺乏一套全面和客觀的評(píng)估指標(biāo)和標(biāo)準(zhǔn).此外，這種驗(yàn)證方法通常局限于已知的攻擊模式和測(cè)試條件，而在實(shí)際應(yīng)用中可能存在未知的攻擊方式，導(dǎo)致原防御方案的安全性難以得到有效保證.因此，需綜合考慮多方面因素，包括算法的復(fù)雜性、抗攻擊的能力、隱私保護(hù)的強(qiáng)度以及對(duì)外部環(huán)境的依賴等，構(gòu)建全面衡量安全性水平的評(píng)估框架.

與此同時(shí)，語義通信系統(tǒng)中各個(gè)編解碼模塊大多基于深度神經(jīng)網(wǎng)絡(luò)架構(gòu)實(shí)現(xiàn)，這些網(wǎng)絡(luò)模型包含大量參數(shù)和復(fù)雜層級(jí)結(jié)構(gòu)，以便通過訓(xùn)練學(xué)習(xí)獲得預(yù)測(cè)結(jié)果，并準(zhǔn)確地處理數(shù)據(jù).然而，深度神經(jīng)網(wǎng)絡(luò)目前通常被認(rèn)為是黑盒模型，在預(yù)測(cè)和使用時(shí)，模型內(nèi)部的工作機(jī)制和原理難以被理解和解釋.深度學(xué)習(xí)的不可解釋性使得基于數(shù)學(xué)證明的理論分析方法，在驗(yàn)證語義通信安全性上存在困難，不能直接分析系統(tǒng)、協(xié)議或算法安全性.因此，基于深度學(xué)習(xí)的語義通信系統(tǒng)的安全研究，需要從網(wǎng)絡(luò)架構(gòu)的特性出發(fā)，設(shè)計(jì)與神經(jīng)網(wǎng)絡(luò)相適應(yīng)的安全性評(píng)估及分析方法.

另外，從性能評(píng)估角度出發(fā)，目前提出的語義通信安全方案往往都是基于網(wǎng)絡(luò)架構(gòu)的，其安全性與網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)密切相關(guān)，涉及物理層、語義層、應(yīng)用層等多層次多組件的信息交互與協(xié)同.在評(píng)估基于網(wǎng)絡(luò)架構(gòu)的語義通信安全方案的性能時(shí)，需要考慮到各個(gè)層次和組件之間的相互作用，以及安全策略的實(shí)現(xiàn)方式.與傳統(tǒng)的依賴于特定安全設(shè)備或算法以提供安全性的方案相比，語義通信安全技術(shù)的安全性能評(píng)估更為困難，需要針對(duì)其特殊性和復(fù)雜性在評(píng)估方法和度量標(biāo)準(zhǔn)上進(jìn)行適當(dāng)調(diào)整，以確保語義通信安全方案性能評(píng)估結(jié)果的準(zhǔn)確性和可信度.

3.2 語義通信安全技術(shù)層面的挑戰(zhàn)

語義通信作為一種新興的通信范式，其理論框架和技術(shù)體系尚處在不斷發(fā)展和完善的過程中.目前，研究工作主要聚焦于技術(shù)層面的深入探索和應(yīng)用領(lǐng)域的廣泛拓展.與此同時(shí)，盡管面向語義通信系統(tǒng)的安全和隱私保護(hù)技術(shù)現(xiàn)正處在快速發(fā)展的階段，但仍存在諸多技術(shù)層面上的挑戰(zhàn)亟待解決.當(dāng)前，部分研究工作主要是基于語義通信的系統(tǒng)架構(gòu)，面向新興應(yīng)用場(chǎng)景，在概念層面上提出了可供參考的模型架構(gòu)，然而，這些研究目前尚缺乏具體的、可實(shí)施的技術(shù)細(xì)節(jié)，在實(shí)際應(yīng)用中難以有效抵御安全威脅.此外，攻擊者能力和攻擊手段的不斷變化，也給語義通信系統(tǒng)的安全策略提出了更高的要求.因此，在語義通信架構(gòu)下，靈活智能的安全技術(shù)仍然需要進(jìn)一步的研究與探索，并構(gòu)建切實(shí)可行的技術(shù)路線細(xì)節(jié).

語義通信系統(tǒng)與安全技術(shù)相結(jié)合，會(huì)不可避免地帶來一定程度上的性能損失.除此之外，安全模塊的引入將會(huì)進(jìn)一步提升原有通信網(wǎng)絡(luò)模型的復(fù)雜度，而以提升安全性為目的的交互數(shù)據(jù)量的增長也可能會(huì)引入額外的信令與通信開銷，會(huì)對(duì)通信性能造成一定的影響，尤其是在低延時(shí)、高流量密度的應(yīng)用場(chǎng)景中，這種影響尤為顯著，給通信需求的權(quán)衡帶來了更復(fù)雜的挑戰(zhàn).因此，在推進(jìn)語義通信系統(tǒng)與安全技術(shù)融合的過程中，要從語義通信系統(tǒng)的實(shí)際應(yīng)用需求出發(fā)，探究解決通信安全與通信性能之間矛盾的有效策略，以實(shí)現(xiàn)安全策略與通信需求的有效平衡.

與此同時(shí)，目前語義通信安全研究往往未能充分探討語義通信系統(tǒng)自身跨層通信的結(jié)構(gòu)特點(diǎn)，多數(shù)研究僅聚焦于上層或物理層等單一層面的安全保障，跨層語義通信的安全研究尚處在相對(duì)匱乏的狀態(tài)，且不同域之間的信息交互和數(shù)據(jù)共享也需要建立跨域信任和管理機(jī)制.盡管已有研究著眼于語義通信系統(tǒng)的加密技術(shù)、物理層安全技術(shù)及隱蔽通信技術(shù)等方面，但對(duì)與特定應(yīng)用場(chǎng)景相適配的密碼算法或安全協(xié)議的深入研究仍顯不足，而且許多現(xiàn)有安全架構(gòu)尚未與語義通信系統(tǒng)實(shí)現(xiàn)有效融合，在一定程度上影響了安全策略的實(shí)施效果.因此，為構(gòu)建更為完善的語義通信安全架構(gòu)體系，需要綜合考慮并充分利用如差分隱私、同態(tài)加密、多方安全計(jì)算等多種安全技術(shù)，并建立有效的跨域信任機(jī)制，包括身份驗(yàn)證、授權(quán)和安全審計(jì)等以增強(qiáng)語義通信系統(tǒng)的安全防護(hù)能力，從而確保無線通信環(huán)境的安全性與可靠性.

3.3 語義通信安全應(yīng)用層面的挑戰(zhàn)

隨著智能技術(shù)的迅猛發(fā)展，語義通信的應(yīng)用場(chǎng)景和領(lǐng)域正不斷拓展.然而，面向?qū)嶋H應(yīng)用的語義通信模型普遍存在架構(gòu)各異的問題，尚未建立完善且統(tǒng)一的語義通信技術(shù)標(biāo)準(zhǔn)體系，這也導(dǎo)致在應(yīng)用層面上不斷出現(xiàn)更為復(fù)雜的安全挑戰(zhàn).

從信息源的角度來看，語義通信傳輸?shù)牟⒎莾H限于文本、語音、圖像、視頻等單一模態(tài)的數(shù)據(jù)，而是多種模態(tài)數(shù)據(jù)的融合.然而，目前大部分安全技術(shù)研究主要面向圖像、文本等單模態(tài)數(shù)據(jù)，多模態(tài)應(yīng)用場(chǎng)景下的安全技術(shù)研究稍顯不足.由于不同模態(tài)數(shù)據(jù)的處理與安全傳輸往往依賴于不同的安全策略，在部署安全語義通信系統(tǒng)時(shí)，必須考慮多模態(tài)數(shù)據(jù)之間的差異性與相似性，從而構(gòu)建安全高效的語義通信范式.

從應(yīng)用場(chǎng)景的角度出發(fā)，語義通信可廣泛應(yīng)用于多種智能領(lǐng)域和下一代通信場(chǎng)景中.由于不同應(yīng)用場(chǎng)景下的語義通信架構(gòu)可能存在較大差異，安全性的需求也不盡相同.這種差異會(huì)導(dǎo)致安全技術(shù)和策略難以簡單遷移，在適用性上存在一定的局限性.因此，在面向語義通信的安全技術(shù)研究過程中，必須綜合考慮具有普適性的通用安全策略和面向特定場(chǎng)景的專用安全策略，以確保安全研究的全面性與實(shí)用性.

在語義通信過程中，用戶的個(gè)人信息與隱私數(shù)據(jù)的安全至關(guān)重要.在語義通信的發(fā)展進(jìn)程中，制定相關(guān)政策與法律法規(guī)，建立合法合規(guī)的技術(shù)標(biāo)準(zhǔn)，是不可或缺的可靠前提，這些舉措也能夠進(jìn)一步推動(dòng)語義通信系統(tǒng)的持續(xù)發(fā)展，為語義通信安全提供保障.

4 結(jié)束語

目前，面向語義通信中的安全問題及其應(yīng)對(duì)策略的研究仍處在萌芽階段，如何有效保障語義通信系統(tǒng)的模型安全和傳輸數(shù)據(jù)安全仍是一個(gè)亟待解決的熱點(diǎn)問題，且尚未得到深入的研究與分析.本文主要圍繞語義通信系統(tǒng)的安全研究展開綜述，基于語義通信網(wǎng)絡(luò)架構(gòu)的獨(dú)特性，深入剖析了模型訓(xùn)練、推理、部署以及無線傳輸?shù)榷鄠€(gè)階段中語義通信系統(tǒng)所面臨的安全威脅，并概述了各類攻擊及其防御手段的研究現(xiàn)狀.最后，總結(jié)了目前語義通信安全研究在安全性評(píng)估、技術(shù)創(chuàng)新和實(shí)際應(yīng)用等多個(gè)層面所面臨的挑戰(zhàn)，并對(duì)未來語義通信系統(tǒng)下安全研究的發(fā)展方向進(jìn)行了展望.

參考文獻(xiàn)References

［1］ Shannon C E.A mathematical theory of communication[J].The Bell System Technical Journal，1948，27（3）：379-423

[2] Weaver W.The mathematical theory of communication[M].Urbana-Champaign：University of Illinois Press，1963

[3] Strinati E C，Barbarossa S.6G networks：beyond Shannon towards semantic and goal-oriented communications[J].Computer Networks，2021，190：107930

[4] Xie H Q，Qin Z J，Li G Y，et al.Deep learning enabled semantic communication systems[J].IEEE Transactions on Signal Processing，2021，69：2663-2675

[5] Qin Z J，Tao X M，Lu J H，et al.Semantic communications：principles and challenges[J].arXiv e-Print，2022，arXiv：2201.01389

[6] 王衍虎，郭帥帥.基于大語言模型的語義通信：現(xiàn)狀，挑戰(zhàn)與展望[J].移動(dòng)通信，2024，48（2）：16-21

WANG Yanhu，GUO Shuaishuai.Large language model-based semantic communications：status，challenges，and prospects[J].Mobile Communications，2024，48（2）：16-21

[7] Zou Y L，Zhu J，Wang X B，et al.A survey on wireless security：technical challenges，recent advances，and future trends[J].Proceedings of the IEEE，2016，104（9）：1727-1765

[8] He Y Z，Meng G Z，Chen K，et al.Towards security threats of deep learning systems：a survey[J].IEEE Transactions on Software Engineering，2022，48（5）：1743-1770

[9] Xia G M，Chen J，Yu C D，et al.Poisoning attacks in federated learning：a survey[J].IEEE Access，2023，11：10708-10722

[10] 姜文博.機(jī)器學(xué)習(xí)中的安全與隱私保護(hù)技術(shù)研究[D].成都：電子科技大學(xué)，2023

JIANG Wenbo.Research on security and privacy-preservation techniques in machine learning[D].Chengdu：University of Electronic Science and Technology of China，2023

[11] Mei S K，Zhu X J.Using machine teaching to identify optimal training-set attacks on machine learners[J].Proceedings of the AAAI Conference on Artificial Intelligence，2015，29（1）：2871-2877

[12] Chen X Y，Liu C，Li B，et al.Targeted backdoor attacks on deep learning systems using data poisoning[J].arXiv e-Print，2017，arXiv：1712.05526

[13] Zhou Y H，Hu R，Qian Y.Backdoor attacks and defenses on semantic-symbol reconstruction in semantic communications[J].arXiv e-Print，2024，arXiv：2404.13279

[14] Kang J W，He J Y，Du H Y，et al.Adversarial attacks and defenses for semantic communication in vehicular metaverses[J].IEEE Wireless Communications，2023，30（4）：48-55

[15] Sagduyu Y E，Erpek T，Ulukus S，et al.Is semantic communication secure？ A tale of multi-domain adversarial attacks[J].IEEE Communications Magazine，2023，61（11）：50-55

[16] Tramèr F，Zhang F，Juels A，et al.Stealing machine learning models via prediction APIs[C]//25th USENIX Security Symposium （USENIX Security 16）.August 10-12，2016，Austin，TX，USA.USENIX，2016：601-618

[17] Papernot N，McDaniel P，Goodfellow I，et al.Practical black-box attacks against machine learning[C]//Proceedings of the 2017 ACM Asia Conference on Computer and Communications Security.April 2-6，2017，Abu Dhabi，United Arab Emirates.ACM，2017：506-519

[18] 任奎，孟泉潤，閆守琨，等.人工智能模型數(shù)據(jù)泄露的攻擊與防御研究綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2021，7（1）：1-10REN Kui，MENG Quanrun，YAN Shoukun，et al.Survey of artificial intelligence data security and privacy protection[J].Chinese Journal of Network and Information Security，2021，7（1）：1-10

[19] Steinhardt J，Koh P W W，Liang P S.Certified defenses for data poisoning attacks[C]//Advances in Neural Information Processing Systems（NIPS2017）.December 4-9，2017，Long Beach，CA，USA.NIPS Foundation，2017：3520 - 3532

[20] Peri N，Gupta N，Huang W R，et al.Deep k-NN defense against clean-label data poisoning attacks[C]//European Conference on Computer Vision.August 23-28，2020，Online.Cham：Springer，2020：55-70

[21] Jagielski M，Oprea A，Biggio B，et al.Manipulating machine learning：poisoning attacks and countermeasures for regression learning[C]//2018 IEEE Symposium on Security and Privacy （SP）.May 21-23，2018，San Francisco，CA，USA.IEEE，2018：19-35

[22] Chen J，Zhang X X，Zhang R，et al.De-Pois：an attack-agnostic defense against data poisoning attacks[J].IEEE Transactions on Information Forensics and Security，2021，16：3412-3425

[23] Liu K，Dolan-Gavitt B，Garg S.Fine-pruning：defending against backdooring attacks on deep neural networks[C]//International Symposium on Research in Attacks，Intrusions，and Defenses.September 10-12，2018，Heraklion，Greece.Cham：Springer，2018：273-294

[24] Wang B L，Yao Y S，Shan S，et al.Neural cleanse：identifying and mitigating backdoor attacks in neural networks[C]//2019 IEEE Symposium on Security and Privacy （SP）.May 19-23，2019，San Francisco，CA，USA.IEEE，2019：707-723

[25] Lee K，Lee K，Lee H，et al.A simple unified framework for detecting out-of-distribution samples and adversarial attacks[J].arXiv e-Print，2018，arXiv：1807.03888

[26] Hu Q Y，Zhang G Y，Qin Z J，et al.Robust semantic communications with masked VQ-VAE enabled codebook[J].IEEE Transactions on Wireless Communications，2023，22（12）：8707-8722

[27] Nan G S，Li Z C，Zhai J L，et al.Physical-layer adversarial robustness for deep learning-based semantic communications[J].IEEE Journal on Selected Areas in Communications，2023，41（8）：2592-2608

[28] Tang R，Gao D H，Yang M X，et al.GAN-inspired intelligent jamming and anti-jamming strategy for semantic communication systems[C]//2023 IEEE International Conference on Communications Workshops （ICC Workshops）.May 28-June 1，2023，Rome，Italy.IEEE，2023：1623-1628

[29] Wang B H，Gong N Z.Stealing hyperparameters in machine learning[C]//2018 IEEE Symposium on Security and Privacy （SP）.May 20-24，2018，San Francisco，CA，USA.IEEE，2018：36-52

[30] Li D W，Liu D，Guo Y，et al.Defending against model extraction attacks with physical unclonable function[J].Information Sciences，2023，628：196-207

[31] Lee T，Edwards B，Molloy I，et al.Defending against neural network model stealing attacks using deceptive perturbations[C]//2019 IEEE Security and Privacy Workshops （SPW）.May 23，2019，San Francisco，CA，USA.IEEE，2019：43-49

[32] Juuti M，Szyller S，Marchal S，et al.PRADA：protecting against DNN model stealing attacks[C]//2019 IEEE European Symposium on Security and Privacy.June 17-19，2019，Stockholm，Sweden.IEEE，2019：512-527

[33] Jiang W B，Li H W，Xu G W，et al.A comprehensive defense framework against model extraction attacks[J].IEEE Transactions on Dependable and Secure Computing，2024，21（2）：685-700

[34] Fang H，Qiu Y X，Yu H Y，et al.Privacy leakage on DNNs：a survey of model inversion attacks and defenses[J].arXiv e-Print，2024，arXiv：2402.04013

[35] Chen Y H，Yang Q Q，Shi Z G，et al.The model inversion eavesdropping attack in semantic communication systems[C]//2023 IEEE Global Communications Conference.December 4-8，2023，Kuala Lumpur，Malaysia.IEEE，2023：5171-5177

[36] Jegorova M，Kaul C，Mayor C，et al.Survey：leakage and privacy at inference time[J].IEEE Transactions on Pattern Analysis and Machine Intelligence，2023，45（7）：9090-9108

[37] 林飛，劉佳寧，焦強(qiáng).大數(shù)據(jù)背景下信息安全問題探析[J].計(jì)算機(jī)技術(shù)與發(fā)展，2024，34（8）：1-8

LIN Fei，LIU Jianing，JIAO Qiang.Exploration of information security issues in the context of big data[J].Computer Technology and Development，2024，34（8）：1-8

[38] Wang T H，Zhang Y H，Jia R X.Improving robustness to model inversion attacks via mutual information regularization[J].Proceedings of the AAAI Conference on Artificial Intelligence，2021，35（13）：11666-11673

[39] Wen J，Yiu S M，Hui L C K.Defending against model inversion attack by adversarial examples[C]//2021 IEEE International Conference on Cyber Security and Resilience （CSR）.July 26-28，2021，Rhodes，Greece.IEEE，2021：551-556

[40] Gong X L，Wang Z Y，Li S K，et al.A GAN-based defense framework against model inversion attacks[J].IEEE Transactions on Information Forensics and Security，2023，18：4475-4487

[41] Zheng W T，Popa R A，Gonzalez J E，et al.Helen：maliciously secure coopetitive learning for linear models[C]//2019 IEEE Symposium on Security and Privacy （SP）.May 19-23，2019，San Francisco，CA，USA.IEEE，2019：724-738

[42] Li J Y，Liao G C，Chen L，et al.Roulette：a semantic privacy-preserving device-edge collaborative inference framework for deep learning classification tasks[J].IEEE Transactions on Mobile Computing，2024，23（5）：5494-5510

[43] Wang Y H，Guo S S，Deng Y Q，et al.Privacy-preserving task-oriented semantic communications against model inversion attacks[J].IEEE Transactions on Wireless Communications，2024，PP（99）：1-10

[44] Cheng S Q，Zhang X F，Sun Y，et al.Knowledge discrepancy oriented privacy preserving for semantic communication[J].IEEE Transactions on Vehicular Technology，2024，PP（99）：1-10

[45] Tung T Y，Gündüz D.Deep joint source-channel and encryption coding：secure semantic communications[C]//IEEE International Conference on Communications.May 28-June 1，2023，Rome，Italy.IEEE，2023：5620-5625

[46] Luo X L，Chen Z Y，Tao M X，et al.Encrypted semantic communication using adversarial training for privacy preserving[J].IEEE Communications Letters，2023，27（6）：1486-1490

[47] Zhang M J，Li Y，Zhang Z Z，et al.Wireless image transmission with semantic and security awareness[J].IEEE Wireless Communications Letters，2023，12（8）：1389-1393

[48] Xu J L，Ai B，Chen W，et al.Deep joint source-channel coding for image transmission with visual protection[J].IEEE Transactions on Cognitive Communications and Networking，2023，9（6）：1399-1411

[49] Khalid U，Ulum M S，F(xiàn)arooq A，et al.Quantum semantic communications for metaverse：principles and challenges[J].IEEE Wireless Communications，2023，30（4）：26-36

[50] Kaewpuang R，Xu M R，Lim W Y B，et al.Cooperative resource management in quantum key distribution （QKD） networks for semantic communication[J].IEEE Internet of Things Journal，2024，11（3）：4454-4469

[51] Matthews R.On the derivation of a “chaotic” encryption algorithm[J].Cryptologia，1989，13（1）：29-42

[52] Ma Y L，Ren J X，Liu B，et al.Secure semantic optical communication scheme based on the multi-head attention mechanism[J].Optics Letters，2023，48（16）：4408-4411

[53] Shannon C E.Communication theory of secrecy systems[J].The Bell System Technical Journal，1949，28（4）：656-715

[54] Maurer U M.Secret key agreement by public discussion from commoninformation[J].IEEE Transactions on Information Theory，1993，39（3）：733-742

[55] Zhao R，Qin Q，Xu N Y，et al.SemKey：boosting secret key generation for RIS-assisted semantic communication systems[C]//2022 IEEE 96th Vehicular Technology Conference （VTC2022-Fall）.September 26-29，2022，London，UK.IEEE，2022：1-5

[56] Qin Q，Rong Y K，Nan G S，et al.Securing semantic communications with physical-layer semantic encryption and obfuscation[C]//IEEE International Conference on Communications.May 28-June 1，2023，Rome，Italy.IEEE，2023：5608-5613

[57] Rong Y，Nan G，Zhang M，et al.Semantic entropy can simultaneously benefit transmission efficiency and channel security of wireless semantic communications[J].arXiv e-Print，2024，arXiv：2402.02950

[58] Du H Y，Wang J C，Niyato D，et al.Rethinking wireless communication security in semantic Internet of Things[J].IEEE Wireless Communications，2023，30（3）：36-43

[59] Mu X D，Liu Y W.Semantic communication-assisted physical layer security over fading wiretap channels[J].arXiv e-Print，2024，arXiv：2402.14581

[60] Wang Y，Yang W，Guan P，et al.Star-RIS-assisted privacy protection in semantic communication system[J].IEEE Transactions on Vehicular Technology，2024：1-6.DOI：10.1109/TVT.2024.3383824

[61] Liu X H，Nan G S，Cui Q M，et al.SemProtector：a unified framework for semantic protection in deep learning-based semantic communication systems[J].IEEE Communications Magazine，2023，61（11）：56-62

[62] Lin Y J，Gao Z P，Tu Y F，et al.A blockchain-based semantic exchange framework for web 3.0 toward participatory economy[J].IEEE Communications Magazine，2023，61（8）：94-100

[63] Lin Y J，Gao Z P，Du H Y，et al.A unified blockchain-semantic framework for wireless edge intelligence enabled web 3.0[J].IEEE Wireless Communications，2024，31（2）：126-133

[64] Lin Y J，Du H Y，Niyato D，et al.Blockchain-aided secure semantic communication for AI-generated content in metaverse[J].IEEE Open Journal of the Computer Society，2023，4：72-83

Semantic communication security：a survey

SHI Jiting1 ZENG Weihao1 ZHANG Qianyun1 LIU Kaige1 QIN Zhijin2 LI Shufeng3

1School of Cyber Science and Technology，Beihang University，Beijing 100191，China

2School of Information Science and Technology，Tsinghua University，Beijing 100084，China

3School of Information and Communication Engineering，Communication University of China，Beijing 100024，China

Abstract With the deep integration of artificial intelligence technology and wireless communication，semantic communication technology emerges as a vital mode focusing on semantic-level information transmission and interaction，thereby significantly enhancing communication accuracy and reliability.In the scenarios of low latency and high traffic density communication applications，semantic communication technology surpasses traditional syntactic-level communication grounded in classical information theory，presenting a new paradigm in wireless communication and expanding the application scope of modern communication technology.However，the development of semantic communication technology is still in its infancy，and the security issues it faces in the application process have not been thoroughly researched and comprehensively analyzed.To advance the development and implementation of semantic communication technology，this paper first provides an overview of various security threats in semantic communication systems;then，it details the research status of model security and data security in semantic communication systems;finally，it summarizes the challenges faced by semantic communication security research and outlooks the future trends.

Key words semantic communication （SC）;data security;privacy preservation;wireless communication security

資助項(xiàng)目媒體融合與傳播國家重點(diǎn)實(shí)驗(yàn)室（中國傳媒大學(xué)）開放課題（SKLMCC2023KF001）；中國科協(xié)青年人才托舉工程項(xiàng)目（2021QNRC001）

作者簡介施繼婷，女，博士生，研究方向?yàn)闊o線通信安全、語義通信安全、隱私保護(hù)等.shijiting@buaa.edu.cn

張騫允（通信作者），女，博士，副教授，研究方向?yàn)闊o線網(wǎng)絡(luò)安全技術(shù)研究，包括物理層安全技術(shù)、電磁頻譜高效感知與利用、無線通信理論與硬件系統(tǒng)設(shè)計(jì)等.zhangqianyun@buaa.edu.cn