2024年6G天地一體化網(wǎng)絡(luò)安全技術(shù)研究報告-2030(6G)推進(jìn)組_第1頁
2024年6G天地一體化網(wǎng)絡(luò)安全技術(shù)研究報告-2030(6G)推進(jìn)組_第2頁
2024年6G天地一體化網(wǎng)絡(luò)安全技術(shù)研究報告-2030(6G)推進(jìn)組_第3頁
2024年6G天地一體化網(wǎng)絡(luò)安全技術(shù)研究報告-2030(6G)推進(jìn)組_第4頁
2024年6G天地一體化網(wǎng)絡(luò)安全技術(shù)研究報告-2030(6G)推進(jìn)組_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

目 錄第一章6G天地一體化網(wǎng)絡(luò)概述 5天地一體化網(wǎng)絡(luò)概述 5天地一體化網(wǎng)絡(luò)系統(tǒng)安全概述 7第二章6G天地一體化網(wǎng)絡(luò)安全威脅 7無線通信安全威脅 7衛(wèi)星終端接入安全威脅 7星間鏈路安全威脅 8饋電鏈路安全威脅 8認(rèn)證安全威脅 9隱私安全威脅 10衛(wèi)星安全威脅 10密鑰管理安全威脅 10數(shù)據(jù)安全威脅 移動性管理安全威脅 運維安全威脅 12第三章6G天地一體化網(wǎng)絡(luò)安全需求 12無線通信安全需求 12衛(wèi)星終端接入安全需求 12星間鏈路安全需求 12饋電鏈路安全需求 13認(rèn)證安全需求 13隱私保護(hù)需求 13衛(wèi)星安全需求 14密鑰管理安全需求 14數(shù)據(jù)安全需求 15移動性管理安全需求 15運維安全需求 15第四章6G天地一體化網(wǎng)絡(luò)安全參考架構(gòu) 16第五章6G天地一體化網(wǎng)絡(luò)安全關(guān)鍵技術(shù) 18通信安全技術(shù) 18設(shè)備接入安全 18星間鏈路安全 22饋電鏈路安全 23認(rèn)證技術(shù) 245.2.1概述 24衛(wèi)星終端標(biāo)準(zhǔn)認(rèn)證技術(shù) 24基于聚合簽名的批量認(rèn)證 24輕量化認(rèn)證機(jī)制 26假基站技術(shù)和防DoS技術(shù) 27基于區(qū)塊鏈技術(shù)的星間/星地組網(wǎng)認(rèn)證 28隱私保護(hù) 295.3.1概述 29UE身份信息保護(hù) 29UE位置信息保護(hù) 30密鑰管理 305.4.1概述 305.4.2密鑰管理安全 31移動性管理安全 31端到端數(shù)據(jù)安全 325.6.1概述 325.6.2天地一體化網(wǎng)絡(luò)中數(shù)據(jù)流轉(zhuǎn)安全保障技術(shù) 33第六章總結(jié) 34參考文獻(xiàn) 36貢獻(xiàn)單位 37圖目錄圖1 天地一體化網(wǎng)絡(luò)參考架構(gòu) 6圖2 6G天地一體化網(wǎng)絡(luò)安全參考架構(gòu) 16圖3 天地一體化網(wǎng)絡(luò)UE安全上下文管理架構(gòu) 19圖4 加權(quán)分?jǐn)?shù)階傅里葉變換通信系統(tǒng)框圖 21圖5 基于聚合簽名的批量認(rèn)證機(jī)制 25圖6 星地切換安全流程示意圖(饋電鏈路不可用情形) 32圖7 基于區(qū)塊鏈的數(shù)據(jù)流轉(zhuǎn)安全保障機(jī)制 33第一章 6G天地一體化網(wǎng)絡(luò)概述衛(wèi)星通信具有廣覆蓋、強(qiáng)災(zāi)害抵抗能力和不易受到地面環(huán)境影響的特性,可以為用戶提供廣覆蓋無差別的通信服務(wù)。隨著衛(wèi)星通信技術(shù)的創(chuàng)新和發(fā)展,高通量衛(wèi)星和低軌衛(wèi)星不斷興起,天地一體化網(wǎng)絡(luò)正積極布局發(fā)展。衛(wèi)星通信不僅是地面網(wǎng)絡(luò)的有效補(bǔ)充,而且還可以在地面網(wǎng)絡(luò)不可通達(dá)的區(qū)域或者場景中發(fā)揮重要作用。天地一體化網(wǎng)絡(luò)以衛(wèi)星和地面網(wǎng)絡(luò)基礎(chǔ)設(shè)施為基礎(chǔ),依靠星間鏈路組建全球覆蓋連通的網(wǎng)絡(luò),實現(xiàn)接入網(wǎng)到核心網(wǎng)之間流量及業(yè)務(wù)的傳輸。相比于地面?zhèn)鹘y(tǒng)網(wǎng)絡(luò),天地一體化網(wǎng)絡(luò)具有動態(tài)性、大時空尺度、資源受限等固有屬性。動態(tài)性傳統(tǒng)地面移動通信網(wǎng)絡(luò)主要以固定的網(wǎng)絡(luò)基礎(chǔ)設(shè)施為移動的用戶提供服務(wù),傳統(tǒng)的地面寬帶網(wǎng)絡(luò)主要以固定的網(wǎng)絡(luò)基礎(chǔ)設(shè)施為固定位置的用戶提供服務(wù),而衛(wèi)星網(wǎng)絡(luò)由于衛(wèi)星的繞地軌道運動,則是以移動的網(wǎng)絡(luò)基礎(chǔ)設(shè)施為具備移動性的用戶提供多樣引起鏈路通斷狀態(tài)、長度、連接關(guān)系的不斷變化,導(dǎo)致衛(wèi)星網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)渚哂懈叨鹊膭討B(tài)性;同時,衛(wèi)星是在預(yù)先設(shè)定的軌道上運動,其運動規(guī)律可預(yù)知,衛(wèi)星網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)涫强深A(yù)測的。效性的彈性天地一體化網(wǎng)絡(luò)架構(gòu)。大時空尺度衛(wèi)星網(wǎng)絡(luò)的空間尺度遠(yuǎn)超現(xiàn)有的地面網(wǎng)絡(luò),且空間衛(wèi)星網(wǎng)絡(luò)星座常常包含成千上萬顆衛(wèi)星與大量的地面節(jié)點,網(wǎng)絡(luò)的節(jié)點規(guī)模也非常龐大。一方面,大時空尺度的空間承載網(wǎng)具備全時全球覆蓋、受地形雨災(zāi)害影響小等特點,在海洋與偏遠(yuǎn)地區(qū)無線寬帶接入、搶險救災(zāi)、軍事等方面能夠提供廣闊的經(jīng)濟(jì)、社會與戰(zhàn)略價值,另一方面,巨大的空間尺度也會導(dǎo)致極高的端到端傳輸時延,我國的空間衛(wèi)星網(wǎng)絡(luò)發(fā)展還面臨著海外地面站設(shè)置受限的問題。5展的新型天地一體化網(wǎng)絡(luò)架構(gòu)。資源受限空間承載網(wǎng)絡(luò)一般由多層衛(wèi)星星座構(gòu)成,每個星座有成百上千顆通過星間鏈路相因此星上設(shè)備的運算能力、存儲容量有限,星間鏈路帶寬資源也十分有限??紤]到衛(wèi)星的資源受限情況,計算復(fù)雜的功能難以完整部署在衛(wèi)星節(jié)點上;在路由方面,考慮到衛(wèi)星網(wǎng)絡(luò)規(guī)模巨大且拓?fù)鋭討B(tài),以單顆星為粒度的路由計算量十分龐大,遠(yuǎn)超衛(wèi)星板載的計算能力;其次,星間鏈路帶寬資源有限,在大規(guī)模的空間衛(wèi)星網(wǎng)絡(luò)上通過泛洪的方式進(jìn)行網(wǎng)絡(luò)狀態(tài)的更新會消耗大量帶寬資源;最后,由于空間位置的限制,星間通信時延較大,導(dǎo)致星間路由信息同步緩慢,路由決策實時性較低。因此,需要設(shè)計高效、簡潔的管理架構(gòu),為低開銷路由方案提供基礎(chǔ)。天地一體化網(wǎng)絡(luò)由天基網(wǎng)絡(luò)和地面網(wǎng)絡(luò)組成,天基網(wǎng)絡(luò)是由各種軌道衛(wèi)星構(gòu)成,可以提供鄉(xiāng)村、海洋和山區(qū)的無縫連接;地基網(wǎng)絡(luò)是指地面蜂窩無線網(wǎng)絡(luò),可以支持圖1天地一體化網(wǎng)絡(luò)參考架構(gòu)63GPPREL195GNTN天地一體化網(wǎng)絡(luò)根據(jù)衛(wèi)星處理能力構(gòu)建分層分域的協(xié)同管理架構(gòu),通過高軌、低軌、地面三級控制器協(xié)同工作,完成端到端的網(wǎng)絡(luò)和業(yè)務(wù)管理。天地一體化網(wǎng)絡(luò)采用服務(wù)化的網(wǎng)絡(luò)架構(gòu),網(wǎng)絡(luò)功能可以根據(jù)業(yè)務(wù)和組網(wǎng)需求進(jìn)行按需部署,根據(jù)不同的部署場景以及網(wǎng)絡(luò)傳輸能力靈活適配業(yè)務(wù)場景和需求,根據(jù)業(yè)務(wù)場景和需求智能地提供彈性可重構(gòu)的網(wǎng)絡(luò)服務(wù)能力,實現(xiàn)網(wǎng)絡(luò)功能的按需重構(gòu),保證網(wǎng)絡(luò)按需服務(wù)能力。天地一體化網(wǎng)絡(luò)安全在地面移動通信系統(tǒng)安全架構(gòu)及安全機(jī)制的基礎(chǔ)上考慮衛(wèi)星通信特征帶來的新的安全風(fēng)險和安全挑戰(zhàn)。與地面移動通信系統(tǒng)相比,天地一體化網(wǎng)6G本研究報告通過分析天地一體化網(wǎng)絡(luò)面臨的安全威脅,提出了天地一體化網(wǎng)絡(luò)面臨的安全需求,并在此基礎(chǔ)上討論了天地一體化網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。第二章 6G天地一體化網(wǎng)絡(luò)安全威脅天地一體化網(wǎng)絡(luò)中的衛(wèi)星終端可能面臨如下安全威脅:UE的位置信息和設(shè)備標(biāo)識信息。DoS攻擊。UE與陸地基站的通信,UE與衛(wèi)星的通信會面臨區(qū)域更廣泛的竊聽威7脅。UEUEUE與衛(wèi)星進(jìn)行通信。UE信號更容易被竊聽。星間鏈路是指用于衛(wèi)星之間通信的鏈路。通過星間鏈路可以實現(xiàn)衛(wèi)星之間的數(shù)據(jù)傳輸。在天地一體化網(wǎng)絡(luò)中,通過星間鏈路將多顆通信衛(wèi)星互聯(lián)在一起,形成一個以衛(wèi)星作為交換節(jié)點的空間通信網(wǎng)絡(luò)。實現(xiàn)星間鏈路的技術(shù)有3種:星間微波/毫米波鏈路:具有技術(shù)相對成熟,可靠性較高,波束相對較寬,跟瞄捕獲容易等優(yōu)勢。體積較?。徊ㄊl(fā)散角較小,具有良好的抗干擾和抗截獲性能,系統(tǒng)安全性通信和激光通信的優(yōu)勢。相對于毫米波通信而言,星間太赫茲鏈路通信容量更大;波束比毫米波更窄,方向性更好。與激光鏈路相比,太赫茲波通信比光通信的能量效率更高。對于欲監(jiān)聽星間鏈路的攻擊者來說,必須進(jìn)入星間鏈路的波束內(nèi)才能實施通信監(jiān)雖然這種跟蹤非常困難,但對于個別太空技術(shù)強(qiáng)國也并非不可能。若不對星間鏈路提供適當(dāng)?shù)陌踩雷o(hù),通過星間鏈路傳輸?shù)拿舾行畔⒖赡苄孤督o具有相應(yīng)技術(shù)能力的攻擊者,從而有可能在關(guān)鍵時刻給國家或企業(yè)造成嚴(yán)重威脅或損失。衛(wèi)星饋電鏈路指衛(wèi)星和地球站(信關(guān)站)6G8了與信關(guān)站通信的波束寬度。饋電鏈路數(shù)據(jù)傳輸具有傳輸信道開放和傳輸距離跨度大的特點,從而使其面臨信號監(jiān)聽容易和干擾容易等問題。從數(shù)據(jù)安全的角度看,饋電鏈路可能面臨如下安全威脅:認(rèn)證威脅:當(dāng)衛(wèi)星與信關(guān)站之間沒有認(rèn)證機(jī)制或認(rèn)證機(jī)制不夠強(qiáng),會使衛(wèi)星接入假冒的信關(guān)站,或者信關(guān)站接入假冒的衛(wèi)星,從而使衛(wèi)星和信關(guān)站失去實現(xiàn)正確連接的窗口期。竊聽威脅:饋電鏈路的信道是開發(fā)的,且波束寬度大,使實現(xiàn)竊聽饋電鏈路通信或干擾饋電鏈路通信非常容易。若無適當(dāng)?shù)陌踩珯C(jī)制,饋電鏈路通信將面臨嚴(yán)重的竊聽攻擊風(fēng)險、錯誤信息注入攻擊風(fēng)險或數(shù)據(jù)不可用等風(fēng)險。重放攻擊:監(jiān)聽設(shè)備錄制下監(jiān)聽到的正常通信信息,然后對其重放,使接收到該信息的衛(wèi)星或信關(guān)站對其進(jìn)行正常處理,從而浪費寶貴的時間、計算和能源資源,并可阻礙對正常信息的處理。DOS塞衛(wèi)星接入正確的信關(guān)站或信關(guān)站接入正確的衛(wèi)星。UE大安全隱患和損失。天地一體化網(wǎng)絡(luò)中將會支持分布在全球的大量物聯(lián)網(wǎng)設(shè)備。這些物聯(lián)網(wǎng)設(shè)備可能缺乏充足或穩(wěn)定的能源供應(yīng)或者缺乏復(fù)雜的計算能力。若天地一體化網(wǎng)絡(luò)不能支持輕量化的認(rèn)證授權(quán)系統(tǒng),將會影響物聯(lián)網(wǎng)設(shè)備的接入。DoSUE數(shù)量,而某顆衛(wèi)星能夠UEUE不斷向衛(wèi)星發(fā)送接入請求,而衛(wèi)UEUE注冊過程,這將UEDoS攻擊結(jié)果。衛(wèi)星終端可能被非預(yù)期用戶或攻擊者使用,從而損害用戶數(shù)據(jù)的隱私和/或設(shè)備報告的數(shù)據(jù)的完整性,并可能產(chǎn)生錯誤的用戶計費結(jié)果。9處理被盜場景和緊急通信都非常重要。若不能對設(shè)備標(biāo)識進(jìn)行認(rèn)證,則可能無法正確提供某些基于設(shè)備標(biāo)識才能實現(xiàn)的服務(wù)。在天地一體化網(wǎng)絡(luò)中隱私安全方面的威脅主要體現(xiàn)在如下幾個方面:UE位置泄露:UE的能夠提供較好質(zhì)量的連續(xù)服務(wù)。基于各個國家法律法規(guī)方面的規(guī)定,UE需要上報其UE的服務(wù)轉(zhuǎn)給相應(yīng)的運營商,以便滿足相應(yīng)法律法規(guī)的規(guī)定。另外,在基于天地一體化網(wǎng)絡(luò)的位置服務(wù)中,UE播發(fā)的輔UE的位置信息。UEUE位置的過程中,若不采取適當(dāng)?shù)碾[私保護(hù)措施,UE的位置信息,使用戶的隱私權(quán)益被侵犯,并使用戶暴露于潛在的各種危險中。身份信息泄露:基于采用的技術(shù),UE在與衛(wèi)星建立連接的過程中可能需要提供其標(biāo)識信息,以UE認(rèn)證和授權(quán)。在這些過程中,UE的標(biāo)識信息可能會遭到泄露。衛(wèi)星本身會面臨如下威脅:的風(fēng)險。衛(wèi)星上系統(tǒng)需要更新或重構(gòu)時,面臨非法或有害軟件注入的風(fēng)險。衛(wèi)星本身會面臨如下威脅:衛(wèi)星系統(tǒng)使用的算法已經(jīng)不安全,面臨相關(guān)信息泄露的風(fēng)險。10密鑰存儲、更新和傳輸時,面臨密鑰泄露的風(fēng)險。數(shù)據(jù)安全的關(guān)鍵點主要包括在傳輸和處理等過程中的數(shù)據(jù)機(jī)密性和完整性。天地一體化信息網(wǎng)絡(luò)在路由選擇、數(shù)據(jù)傳輸?shù)冗\行階段面臨的威脅主要包括路由偽造或篡改、數(shù)據(jù)竊取等。數(shù)據(jù)在路由過程中可能受到篡改攻擊和偽造攻擊等安全風(fēng)險。攻擊者可能冒充合法節(jié)點加入網(wǎng)絡(luò),導(dǎo)致原有合法節(jié)點的數(shù)據(jù)傳輸異?;驍?shù)據(jù)泄露,或者攻擊者可能偽造路由信息,在網(wǎng)絡(luò)中惡意篡改路由,導(dǎo)致無效路由的產(chǎn)生,進(jìn)而造成數(shù)據(jù)傳輸延遲、傳輸開銷的大幅度增加,極大地削弱了網(wǎng)絡(luò)性能。天地一體化信息網(wǎng)絡(luò)在數(shù)據(jù)傳輸過程中,與傳統(tǒng)網(wǎng)絡(luò)一樣,也面臨同步序列編號攻擊(SynchronizeSequenceNumbers,SYN)、中間人攻擊等多種安全威脅。此外,由于天地一體化信息網(wǎng)絡(luò)具有高時延、大方差以及間歇鏈路等特性,這使得數(shù)據(jù)傳輸?shù)目煽啃越档停瑖?yán)重影響了數(shù)據(jù)傳輸?shù)男?。由于?shù)據(jù)鏈路的開放性,信息資源在天地一體化網(wǎng)絡(luò)中面臨各種安全威脅,如數(shù)據(jù)的濫用、私有數(shù)據(jù)的泄漏以及數(shù)據(jù)包的攔截等,都在加劇網(wǎng)絡(luò)安全問題的嚴(yán)重性。此外,星地通信涉及多方參與以及廣域的數(shù)據(jù)協(xié)同。然而星地通信跨地面段和跨空間段的數(shù)據(jù)傳輸,在高異構(gòu)性與動態(tài)性的設(shè)備之間頻繁交互,容易存在惡意節(jié)點篡改、偽造數(shù)據(jù)的安全風(fēng)險。同時,衛(wèi)星的廣覆蓋和高移動特性使得其在多個不同區(qū)域之間提供服務(wù),從而導(dǎo)致跨區(qū)域的服務(wù)數(shù)據(jù)與監(jiān)管數(shù)據(jù)難以實現(xiàn)高效安全的一致性同步。在天地一體化網(wǎng)絡(luò)中,終端和衛(wèi)星節(jié)點都具有移動性,涉及的切換情況可能有:終端在衛(wèi)星節(jié)點之間切換,終端在衛(wèi)星節(jié)點和地面基站之間切換,終端在地面基站之間切換。其中,終端在地面基站間切換屬于地面移動網(wǎng)絡(luò)的研究范疇,不在本研究報告的范圍內(nèi)。切換過程中可能涉及衛(wèi)星之間、衛(wèi)星與地面基站之間、核心網(wǎng)與衛(wèi)星間或核心網(wǎng)與地面基站間的信令交互。在這些切換中可能會產(chǎn)生某些安全威脅,例如在密鑰材料的傳輸和密鑰處理流程中,攻擊者可能竊聽切換信令并設(shè)法獲取切換完成后的密鑰。攻擊者可能通過篡改切換信令消息造成拒絕服務(wù);或者可能在切換過程中假冒目的衛(wèi)星或基站,使得終端連接到假冒衛(wèi)星或基站;或者可能會假冒終端連接到目的衛(wèi)星或基站。11當(dāng)衛(wèi)星搭載基站甚至核心網(wǎng)的部分或者全部功能時,可以有效降低信令和業(yè)務(wù)的處理時延、提升用戶體驗。但對于星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施(星上基站,星上核心網(wǎng))需要地面網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程運維管理,因而存在遠(yuǎn)程運維的安全風(fēng)險。非法用戶可以通過對天地一體化網(wǎng)絡(luò)運維管控中心或信關(guān)站發(fā)起攻擊,偽造合法用戶身份,獲取操作權(quán)限,下發(fā)危險操作指令。同時,與傳統(tǒng)地面網(wǎng)絡(luò)類似,也存在操作維護(hù)人員身份不確定、授權(quán)不清晰,操作不透明、過程不可控,結(jié)果無法審計、責(zé)任不明確等安全風(fēng)險,最終導(dǎo)致安全事故,影響運維安全。第三章 6G天地一體化網(wǎng)絡(luò)安全需求天地一體化網(wǎng)絡(luò)應(yīng)提供一種安全機(jī)制,以便衛(wèi)星終端能夠識別出衛(wèi)星是否為其欲連接的衛(wèi)星。天地一體化網(wǎng)絡(luò)應(yīng)提供一種安全機(jī)制,以便衛(wèi)星能夠識別出欲連接的設(shè)備是否為合法的衛(wèi)星終端。擊等保護(hù)措施。擊等保護(hù)措施。天地一體化網(wǎng)絡(luò)應(yīng)提供一種安全機(jī)制,以便衛(wèi)星或者衛(wèi)星終端具備隱藏其無線傳輸?shù)哪芰ΑP情g鏈路應(yīng)能夠支持?jǐn)?shù)據(jù)通信的機(jī)密性、完整性和抗重放保護(hù)。星間鏈路應(yīng)能夠基于控制策略對所傳輸數(shù)據(jù)提供某種數(shù)據(jù)保護(hù)或僅提供透明轉(zhuǎn)發(fā)功能(也即不提供任何保護(hù))。12星間鏈路可基于預(yù)配置密鑰建立星間鏈路安全。實現(xiàn)衛(wèi)星與其他衛(wèi)星之間衛(wèi)星間鏈路安全的密鑰應(yīng)各不相同。衛(wèi)星應(yīng)避免與假冒衛(wèi)星建立星間鏈路。衛(wèi)星饋電鏈路應(yīng)能夠支持?jǐn)?shù)據(jù)通信的機(jī)密性、完整性和抗重放保護(hù)。衛(wèi)星饋電鏈路應(yīng)能夠基于控制策略對所傳輸數(shù)據(jù)提供某種數(shù)據(jù)保護(hù)或僅提供透明轉(zhuǎn)發(fā)功能(也即不提供任何保護(hù))。衛(wèi)星應(yīng)避免與假冒信關(guān)站建立饋電鏈路。信關(guān)站應(yīng)避免與假冒衛(wèi)星建立饋電鏈路。天地一體化網(wǎng)絡(luò)應(yīng)支持基于密碼系統(tǒng)的UE與衛(wèi)星雙向認(rèn)證機(jī)制。天地一體化網(wǎng)絡(luò)應(yīng)支持基于密碼系統(tǒng)的UE與核心網(wǎng)雙向認(rèn)證機(jī)制。天地一體化網(wǎng)絡(luò)應(yīng)支持基于密碼系統(tǒng)的衛(wèi)星與衛(wèi)星雙向認(rèn)證機(jī)制。天地一體化網(wǎng)絡(luò)應(yīng)支持基于密碼系統(tǒng)的衛(wèi)星與信關(guān)站雙向認(rèn)證機(jī)制。天地一體化網(wǎng)絡(luò)采用的認(rèn)證機(jī)制應(yīng)能夠有效降低在各個認(rèn)證節(jié)點上可能發(fā)生的DoS攻擊。天地一體化網(wǎng)絡(luò)應(yīng)能夠提供增強(qiáng)的基于用戶的認(rèn)證機(jī)制,以便不同用戶可以共享一個衛(wèi)星終端。天地一體化網(wǎng)絡(luò)應(yīng)能夠支持基于密碼系統(tǒng)的衛(wèi)星終端認(rèn)證機(jī)制。當(dāng)衛(wèi)星需要UE提供位置信息時,天地一體化網(wǎng)絡(luò)應(yīng)提供減輕泄露UE位置信息的手段。天地一體化網(wǎng)絡(luò)應(yīng)提供減輕在UE與衛(wèi)星連接和注冊階段泄露用戶標(biāo)識信息的手13段。由于衛(wèi)星載荷能力有限,且星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施在電源供給等方面受限,傳統(tǒng)的防火墻和入侵檢測等安全系統(tǒng)難以在衛(wèi)星上部署。這使得星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨比地面網(wǎng)絡(luò)更加嚴(yán)峻的網(wǎng)絡(luò)攻擊挑戰(zhàn)。一旦遭受黑客攻擊,設(shè)備的可用性將受到直接影響,從而影響天地一體化網(wǎng)絡(luò)的正常運行。因此,星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)具備以下五方面的設(shè)備內(nèi)生安全增強(qiáng)能力:自檢,保證設(shè)備自身的安全。繼續(xù)加載軟件和執(zhí)行。及所處環(huán)境信息,并提供威脅情報源信息。地面站接入到星上網(wǎng)絡(luò)。DDoS對設(shè)備本身的網(wǎng)絡(luò)攻擊進(jìn)行主動防御。以上五方面的能力,可以在限制條件下,提升星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性,幫助天地一體化網(wǎng)絡(luò)應(yīng)對各類網(wǎng)絡(luò)攻擊挑戰(zhàn)。衛(wèi)星系統(tǒng)應(yīng)具有更新所使用安全算法的能力。在衛(wèi)星終端、衛(wèi)星和信關(guān)站上存儲的長期安全憑證應(yīng)存儲在基于硬件的安全模塊中。在衛(wèi)星終端、衛(wèi)星和信關(guān)站上,長期安全憑證參與的密碼運算應(yīng)在存儲長期安全憑證的安全模塊中執(zhí)行。衛(wèi)星終端、衛(wèi)星和信關(guān)站應(yīng)具有基于安全指令銷毀所存儲密鑰的能力。14數(shù)據(jù)安全是為了確保只有授權(quán)用戶可以訪問數(shù)據(jù),并防止信息泄漏給未經(jīng)授權(quán)的實體。由于傳輸?shù)臄?shù)據(jù)中含有反映用戶行為的信息,惡意攻擊者可能利用無意間泄露的信息來間接推斷敏感數(shù)據(jù)。因此,星地一體化網(wǎng)絡(luò)應(yīng)具備全生命周期的數(shù)據(jù)安全管理能力,包括數(shù)據(jù)采集、安全存儲和計算、隱私保護(hù)、數(shù)據(jù)識別、數(shù)據(jù)流轉(zhuǎn)路徑分析在天地一體化信息網(wǎng)絡(luò)中,端到端的數(shù)據(jù)傳輸需要跨越多個異構(gòu)網(wǎng)絡(luò),這使得傳輸鏈路變長、變得有大方差和高時延,同時受到星上處理能力的限制。這些問題都增加了保證數(shù)據(jù)機(jī)密性和可用性的挑戰(zhàn),因此,必須確保傳輸?shù)目煽啃院桶踩浴M瑫r,天地一體化網(wǎng)絡(luò)具備服務(wù)多個異構(gòu)網(wǎng)絡(luò)的特性,因此星地數(shù)據(jù)需要具備在不同異構(gòu)網(wǎng)絡(luò)中安全流轉(zhuǎn)的能力,保證數(shù)據(jù)全網(wǎng)可靠性、可用性及一致性。移動性管理流程需要終端、衛(wèi)星節(jié)點/地面基站、核心網(wǎng)網(wǎng)元參與。其中涉及到衛(wèi)星節(jié)點與終端間以及可能的衛(wèi)星節(jié)點與地面基站之間傳輸切換信令的安全需求有:護(hù)。重放保護(hù)。認(rèn)證過程可以是隱式的,例如切換后雙方擁有相同的密鑰。對于星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠(yuǎn)程運維管理,除了需要具備基礎(chǔ)的賬號管理、密碼管理、分權(quán)分域等安全能力之外,針對一些重要的遠(yuǎn)程運維操作,需要實施金庫模式多人執(zhí)行、多因素身份認(rèn)證、零信任認(rèn)證等方案對運維操作進(jìn)行持續(xù)評估,確保所有操作都是在授權(quán)狀態(tài)下安全執(zhí)行。15遠(yuǎn)程運維的安全能力在滿足相應(yīng)級別的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心及管理部分要求基礎(chǔ)上,最大程度發(fā)揮安全措施的保護(hù)能力。在設(shè)備上采取審計措施,對鏈路、設(shè)備和服務(wù)器運行狀況進(jìn)行監(jiān)控并能夠告警。對安全策略、惡意代碼、補(bǔ)丁升級進(jìn)行集中管理。第四章 6G天地一體化網(wǎng)絡(luò)安全參考架構(gòu)6G天地一體化網(wǎng)絡(luò)安全參考架構(gòu)如下圖所示。該參考架構(gòu)包含如下實體或域:移動設(shè)備(MobileEquipment,ME)歸屬環(huán)境(HomeEnvironment,HE)衛(wèi)星環(huán)境(SatelliteEnvironment,SE)信關(guān)站(EarthStation,ES)衛(wèi)星核心網(wǎng)(SatelliteCoreNetwork,S-CN):位于衛(wèi)星內(nèi)的核心網(wǎng)網(wǎng)元的總S-UPF(UPF相區(qū)分),輕量化的認(rèn)證功能等。衛(wèi)星基站(S-AN):衛(wèi)星上實現(xiàn)與陸地基站類似功能的實體。USIM:存儲有接入天地一體化網(wǎng)絡(luò)的認(rèn)證密鑰和相關(guān)參數(shù)的安全模塊,其可USIMUSIM圖26G天地一體化網(wǎng)絡(luò)安全參考架構(gòu)該架構(gòu)包含以下安全域:16網(wǎng)絡(luò)接入安全(I)UE能夠安全地通過天地一體化網(wǎng)絡(luò)認(rèn)證和訪問服務(wù)的一組安全特征,特別是防止對空中接口的攻擊。此外,它還包括從CN到AN的用于接入安全的安全上下文傳遞。安全功能。用戶域安全(III):確保用戶訪問移動設(shè)備的一組安全功能。應(yīng)用域安全(IV):使用戶域和提供商域中的應(yīng)用能夠安全地交換消息的一組安全功能。應(yīng)用域安全不在本報告的討論范圍。SBA域安全(V)SBA架構(gòu)的網(wǎng)絡(luò)功能能夠在服務(wù)網(wǎng)絡(luò)域內(nèi)以及與其他全方面,以及對服務(wù)接口的保護(hù)。與S-CN相關(guān)的內(nèi)容采用細(xì)虛線表示,代表相關(guān)功能為可選能力。可基于天地一體化網(wǎng)絡(luò)的部署或功能要求靈活部署。S-CN中包含的核心網(wǎng)元功能也是基于欲實現(xiàn)的功能靈活部署。例如為了支持設(shè)備直連通信(T2T)業(yè)務(wù),衛(wèi)星上可部署用戶面功能;為了支持衛(wèi)星終端輕量級認(rèn)證系統(tǒng),衛(wèi)星上可部署輕量化的網(wǎng)絡(luò)功能等。網(wǎng)絡(luò)域安全(II)包含3部分內(nèi)容:HE之間的數(shù)據(jù)安全傳輸,SEES:衛(wèi)星環(huán)境(SE)與信關(guān)站(ES)之間的數(shù)據(jù)安全傳輸,SESE:衛(wèi)星環(huán)境(SE)SBA域(V)2部分內(nèi)容:HES-CNSBA安全,S-CNS-CNSBA安全。17第五章 6G天地一體化網(wǎng)絡(luò)安全關(guān)鍵技術(shù)概述這里所謂的接入安全是指衛(wèi)星終端與衛(wèi)星之間為實現(xiàn)數(shù)據(jù)通信安全而建立的安全連接。衛(wèi)星終端接入安全可以在物理層和網(wǎng)絡(luò)層兩個層級上實現(xiàn)。5G系統(tǒng)支持空口的控制面數(shù)據(jù)和數(shù)據(jù)面數(shù)據(jù)的機(jī)密性和完整性保護(hù)。具AMFKgNBUE進(jìn)行密鑰協(xié)商,生成實現(xiàn)控制面UEUE空口安全能力的平滑切換。6G天地一體化網(wǎng)絡(luò)將是一個多連接和多維網(wǎng)的混合UE可以同時與高、中、低軌衛(wèi)星和陸地基站保持連接,基于網(wǎng)絡(luò)UE中、低軌道衛(wèi)星和陸地基站的網(wǎng)絡(luò),可以屬于不同的運營商。這種靈活的網(wǎng)絡(luò)連接和網(wǎng)絡(luò)部署方式將為實現(xiàn)完善高效的接入安全帶來重大的技術(shù)挑戰(zhàn)。在衛(wèi)星連接下,衛(wèi)星覆蓋范圍廣,接入和監(jiān)控情況復(fù)雜。因此,有必要考慮保護(hù)UE位置信息和標(biāo)識信息等隱私數(shù)據(jù)。與當(dāng)前以數(shù)據(jù)通道為單位控制數(shù)據(jù)安全的方式相對應(yīng),可以考慮采用基于數(shù)據(jù)報的安此外,與傳統(tǒng)的地面基站相比,衛(wèi)星覆蓋范圍極廣,但接入能力可能相對較弱。因此,與陸地場景相比,衛(wèi)星面臨的DoS攻擊或UE面臨的假基站威脅大大增加。以下各節(jié)將介紹未來的天地一體化網(wǎng)絡(luò)中潛在的接入安全關(guān)鍵技術(shù)。衛(wèi)星切換中安全上下文管理在當(dāng)前的移動通信系統(tǒng)中,UE在某一時刻僅能接入一個運營商?;蛘邽槠浼亦l(xiāng)18UE的接入關(guān)系相對于當(dāng)前單純的陸地網(wǎng)絡(luò)可能會有較為復(fù)雜的場景出現(xiàn),具體來說可能會有如下組合場景出現(xiàn):UE同時接入陸地通信網(wǎng)絡(luò)和衛(wèi)星通信網(wǎng)絡(luò);UEUE主要使用低軌衛(wèi)星傳送數(shù)據(jù);當(dāng)?shù)蛙壭l(wèi)星離去時,UE切換回中高軌衛(wèi)星繼續(xù)傳送數(shù)據(jù);UE運營商。為了支持上面描述的復(fù)雜的UE接入場景,天地一體化網(wǎng)絡(luò)需要設(shè)計新的UE接入安全管理機(jī)制。一種可能得UE安全上下文管理技術(shù)方案如下圖所示。圖3天地一體化網(wǎng)絡(luò)UE安全上下文管理架構(gòu)在通過其家鄉(xiāng)網(wǎng)絡(luò)或某個拜訪網(wǎng)絡(luò)完成初始注冊過程后,UE在其家鄉(xiāng)核心網(wǎng)創(chuàng)UEUEUEUEUE子安全上下文,UE子安全上下文。EEUE主安全上下文的網(wǎng)UE19子安全上下文與UE建立NAS和AS安全連接。物理層安全無線物理層安全從無線信號傳播特點入手,利用無線信道的不可測量、不可復(fù)制的內(nèi)生安全屬性,從物理層探索無線通信內(nèi)生安全機(jī)制,促進(jìn)安全與通信一體化。實現(xiàn)物理層安全的技術(shù)手段可以概括為兩大類:物理層安全傳輸技術(shù)和物理層密鑰生成技術(shù)。物理層安全傳輸技術(shù)的實質(zhì)是利用無線信道的差異設(shè)計與位置強(qiáng)關(guān)聯(lián)的信號傳輸和處理機(jī)制,使得只有在期望位置上的用戶才能正確解調(diào)信號,而在其他位置上的信號是置亂加擾、污損殘缺、不可恢復(fù)的。物理層密鑰生成技術(shù)的實質(zhì)是利用通信雙方私有的信道特征,提取無線信道“指紋”特征,提供實時生成、無需分發(fā)的快速密鑰更新手段,逼近一次一密的完美加密效果。物理層安全技術(shù)的引入,使得通信與安全不再割裂開來。有通信就有安全,兩者是共生的關(guān)系。從安全與通信共生的思路出發(fā),物理層安全能力的提升不需要像密碼機(jī)制一樣提高計算復(fù)雜度。任何有助于提高通信容量的手段,都能夠提升安全性能。物理層安全使無線通信安全問題轉(zhuǎn)化為通信資源分配和發(fā)掘問題,即安全能力的增強(qiáng)來自于通信能力的提升和通信資源的有效利用。在傳統(tǒng)的密碼算法中,復(fù)雜的密鑰生成與分發(fā)流程難以保障千兆量級通信速率的安全防護(hù),物理層密鑰生成技術(shù)的密鑰生成速率上限為無線信道容量,這無疑為高速率數(shù)據(jù)傳輸?shù)募用芴峁┝烁锩运悸贰T谔斓匾惑w化通信中,通過合理分配信息通信資源和密鑰生成資源,保證密鑰容量大于等于私密信息容量,能夠?qū)崿F(xiàn)一次一密的絕對安全愿景。星地隱蔽通信傳統(tǒng)的物理層安全技術(shù)側(cè)重于保護(hù)數(shù)據(jù)內(nèi)容,聲中進(jìn)行隱蔽信息傳輸,從而實現(xiàn)同時保護(hù)數(shù)據(jù)內(nèi)容和信號傳輸行為。直接序列擴(kuò)頻技術(shù)是應(yīng)用最廣泛的衛(wèi)星隱蔽通信技術(shù)之一,其利用偽隨機(jī)序列擴(kuò)展信號頻譜,將信號隱藏在噪聲中,,在接收端,用與發(fā)送端相同的擴(kuò)頻碼序列進(jìn)行相關(guān)解擴(kuò),把展寬的擴(kuò)頻信號恢復(fù)成原始信息。20作為一種新型時頻域分析工具,加權(quán)分?jǐn)?shù)階傅里葉變換(WFRFT)信號具有星座,領(lǐng)域。WFRFT通信系統(tǒng)框圖如下圖所示。與傳統(tǒng)的通信系統(tǒng)相比,WFRFT最大的區(qū)別就是采用了介于單載波和多載波之間的混合載波體制。圖4加權(quán)分?jǐn)?shù)階傅里葉變換通信系統(tǒng)框圖原始數(shù)據(jù)先通過基帶調(diào)制,根據(jù)系統(tǒng)的可靠性和有效性要求,選擇合適的調(diào)制方4-WFRFT變換模塊進(jìn)行加權(quán)變換,由加權(quán)參數(shù)選擇模塊決定變換的方向和加權(quán)參數(shù),然后將變換后的信號加到數(shù)字載波上,經(jīng)過D/A轉(zhuǎn)換,和濾波成型等模塊后,進(jìn)行上變頻送入信道。接收端在接收到經(jīng)過下變頻,將信號變?yōu)榛鶐盘?,然后進(jìn)行A/D轉(zhuǎn)換,消去循環(huán)前綴等,最后進(jìn)行數(shù)字載波解調(diào)以恢復(fù)出正確的信息序列。者傳輸隱蔽信息,通信的傳輸有效性與可靠性。在星地信道中,衛(wèi)星信號要穿越更遠(yuǎn)的距離,通信質(zhì)量受到自由空間損耗以及大氣、降雨和云霧的影響。對于低軌衛(wèi)星星座,與地面節(jié)點極高的相對移動速度帶來的多普勒21效應(yīng),術(shù)。概述星間鏈路是指衛(wèi)星之間建立的通信鏈路。星間鏈路安全是指為在星間鏈路上傳輸?shù)臄?shù)據(jù)提供防竊聽、防篡改等安全防護(hù)。3/異。星間微波//護(hù)機(jī)制的通信數(shù)據(jù)。星間激光鏈路:具有帶寬高,功耗、質(zhì)量、體積較小,波束發(fā)散角較小,具有良好的抗干擾和抗截獲性能,系統(tǒng)安全性高??紤]到在實際應(yīng)用中,應(yīng)用系統(tǒng)或通信系統(tǒng)已經(jīng)對敏感信息采取了必要的保護(hù)措施,因此在此機(jī)制下,星間鏈路安全可以不開啟,但應(yīng)具有隨時開啟的能力,以便在衛(wèi)星被跟蹤時開啟數(shù)據(jù)保護(hù)能力。/否開啟可根據(jù)實際應(yīng)用環(huán)境靈活配置。適用于星間鏈路的安全機(jī)制由于衛(wèi)星之間利用星歷可以準(zhǔn)確預(yù)測出彼此的位置,因此可以省去密鑰協(xié)商的過程,直接使用預(yù)置的密鑰實現(xiàn)星間鏈路的安全。例如衛(wèi)星雙方預(yù)存一組相同的對稱密鑰,并對密鑰進(jìn)行編號。使用時,發(fā)送方選定一個本次使用的密鑰,并用該密鑰對數(shù)22據(jù)包進(jìn)行數(shù)據(jù)加密和//IPSecIPSec的技術(shù)實現(xiàn)星間端到此降低星間信道所能達(dá)到的實際帶寬。當(dāng)星間鏈路傳輸?shù)臄?shù)據(jù)包為專門設(shè)計的時候,可以考慮在數(shù)據(jù)包中包含有描述安全策略的控制字段?;谠撟侄危l(wèi)星在轉(zhuǎn)發(fā)數(shù)據(jù)時,確定在其星間鏈路是否開啟某種安全保護(hù)機(jī)制,或不開啟任何安全保護(hù)機(jī)制。靈活有效的星間鏈路安全機(jī)制和控制能力將有利于衛(wèi)星計算和電力資源的有效利用,從而促進(jìn)衛(wèi)星通信能力的最大效率。概述饋電鏈路是指衛(wèi)星和地球站之間的通信鏈路。饋電鏈路是星地通信的樞紐,地面站通常部署在陸地網(wǎng)絡(luò)的關(guān)鍵節(jié)點上,部署數(shù)量少。饋電鏈路安全是指為在饋電鏈路上傳輸?shù)臄?shù)據(jù)提供防竊聽、防篡改等安全防護(hù)。電鏈路面臨比星間鏈路嚴(yán)峻得多的安全威脅。適用于饋電鏈路的安全機(jī)制/行解密和/密鑰協(xié)商獲得的密鑰更高的安全性。IPSecIPSec的技術(shù)實現(xiàn)星地端到端23需要加密或者已經(jīng)被加密的數(shù)據(jù)被重復(fù)在星間加密,浪費了衛(wèi)星資源,并且會因為此降低星地信道所能達(dá)到的實際帶寬。當(dāng)饋電鏈傳輸?shù)臄?shù)據(jù)包為專門設(shè)計的時候,可以考慮在數(shù)據(jù)包中包含有描述安全策略的控制字段?;谠撟侄?,衛(wèi)星或信關(guān)站在轉(zhuǎn)發(fā)數(shù)據(jù)時,確定在其饋電鏈路是否開啟某種安全保護(hù)機(jī)制,或不開啟任何安全保護(hù)機(jī)制。靈活有效的饋電鏈路安全機(jī)制和控制能力將有利于衛(wèi)星計算和電力資源的有效利用,從而促進(jìn)衛(wèi)星通信能力的最大效率。6G天地一體化網(wǎng)絡(luò)中,針對非核心可移動信關(guān)站,可采用基于規(guī)范的標(biāo)準(zhǔn)技術(shù)實現(xiàn)饋電鏈路通信。例如,可將信關(guān)站作為一個特殊的E6G6GRAN概述以下各節(jié)將探討未來天地一體化網(wǎng)絡(luò)中與衛(wèi)星終端認(rèn)證和衛(wèi)星認(rèn)證相關(guān)的潛在關(guān)鍵技術(shù)。UE簽約信息,通過衛(wèi)星完成對3GPP5G/6GUE認(rèn)證技術(shù)實現(xiàn)。此認(rèn)證過程與實現(xiàn)基站功能的實體位于衛(wèi)星上或陸地上無關(guān)。相關(guān)技術(shù)本報告不在贅述。在衛(wèi)星物聯(lián)網(wǎng)等場景下,當(dāng)大量終端同時接入網(wǎng)絡(luò)發(fā)起身份認(rèn)證時可能發(fā)生信令擁塞?;诰酆虾灻陌踩J(rèn)證方案將支持用戶的批量接入認(rèn)證,減輕大量終端并發(fā)接入引起的信令擁塞。聚合簽名功能可基于非對稱密算法實現(xiàn),例如橢圓曲線密碼算法。基于聚合簽名的批量認(rèn)證流程如下圖所示:24圖5基于聚合簽名的批量認(rèn)證機(jī)制以計算一系列的認(rèn)證臨時變量,隱藏終端的身份和密鑰信息,并計算認(rèn)證請求憑證,生成認(rèn)證請求向量。接入通信網(wǎng)絡(luò),獲取網(wǎng)絡(luò)資源。提取終端身份和密鑰,計算認(rèn)證請求憑證之和以及批量認(rèn)證參數(shù),批量驗證終端身份的合法性。所有消息驗證結(jié)束后,節(jié)點選取隨機(jī)數(shù)和時間戳,生成對應(yīng)的合法終端的會話密鑰和認(rèn)證響應(yīng)憑證,最后生成認(rèn)證響應(yīng)向量。息驗證通過。應(yīng)信息是否在安全的時間間隔內(nèi),并進(jìn)行重放攻擊檢查。如果驗證通過,終25端根據(jù)認(rèn)證響應(yīng)信息計算會話密鑰,并根據(jù)認(rèn)證響應(yīng)憑證驗證接入節(jié)點身份的合法性。如果對衛(wèi)星接入節(jié)點身份驗證成功,則表明雙方認(rèn)證成功并協(xié)商出一致的會話密鑰用于保證通信雙方會話的安全,從而在終端和衛(wèi)星接入節(jié)點之間建立了一條安全的傳輸通道。概述大量物聯(lián)網(wǎng)設(shè)備經(jīng)常是位于偏遠(yuǎn)地區(qū),無移動或固定網(wǎng)絡(luò)通信,無人值守,電力供給有限。通過衛(wèi)星物聯(lián)網(wǎng)技術(shù)可以有效實現(xiàn)網(wǎng)絡(luò)覆蓋,具備全天候服務(wù),不受地理3GPPUE注冊能力外,還需要提供輕量化的認(rèn)證和安全能力,以滿足物聯(lián)網(wǎng)設(shè)備和其他需要輕量化安全機(jī)制的應(yīng)用場景。UE至衛(wèi)星空口通信,多跳的星間鏈路通信,衛(wèi)星至信關(guān)站的饋電通UE的注冊過程。認(rèn)證過程時延UE認(rèn)證授權(quán)架構(gòu),簡化認(rèn)證流程,提高認(rèn)證效率。輕量化認(rèn)證授權(quán)架構(gòu)天地一體化網(wǎng)絡(luò)可以采用輕量化的認(rèn)證授權(quán)架構(gòu)來提高衛(wèi)星終端的接入效率。有兩種方式可以考慮:UE5GAMF/SEAF、AUSFUDM中與認(rèn)證和安全上下文管理的能力部署在衛(wèi)星上,從而縮短UE的認(rèn)證授權(quán)流程,降低認(rèn)證延遲和系統(tǒng)開銷負(fù)擔(dān)。3GPP認(rèn)證系統(tǒng)可以考慮設(shè)計新的認(rèn)證向量,以及認(rèn)證授權(quán)網(wǎng)元。相關(guān)認(rèn)證授權(quán)網(wǎng)元可以位于陸地核心網(wǎng)中,也可以位于衛(wèi)星上。例如將認(rèn)證相關(guān)的網(wǎng)元基于衛(wèi)星體系架構(gòu),分別部署在高、中、低軌衛(wèi)星上。26部署在陸地核心網(wǎng)或衛(wèi)星上。IPK輕量級密鑰技術(shù)公鑰安全技術(shù)IPK(IdentityPublicKey)是一種非證書標(biāo)識公鑰密碼技術(shù)。IPK可將終端標(biāo)識作為演算并分發(fā)公/私鑰因子。公鑰和私鑰通過公/私鑰因子計算產(chǎn)生。IPK是一種安全自證體系,實現(xiàn)了標(biāo)識與密鑰的關(guān)聯(lián),解決了公鑰體制下的公鑰分發(fā)和公鑰真實性證明問題。PK(PublicynstuctueP)的支持,不需要使用證書頒發(fā)機(jī)構(gòu)(CertificateAuthority,CA)數(shù)字證書的驗證,解PKI體系無法適合大規(guī)模物聯(lián)網(wǎng)應(yīng)用的難題。IPK具有無需第三方參與認(rèn)證、低PKI例如,作為物聯(lián)網(wǎng)設(shè)備的衛(wèi)星終端和衛(wèi)星之間采用基于IPK的密碼技術(shù)進(jìn)行簽名與驗證,加密與解密等安全應(yīng)用,以實現(xiàn)終端的認(rèn)證和數(shù)據(jù)通信安全。IPK是以種子密鑰為架構(gòu)的多種算法的組合來生成公/PKI體制相比,更能有效地抵御未來量子計算的攻擊。假基站技術(shù)和防DoS技術(shù)UE的正常接入操作。此UEUEDoS攻擊。UE不斷地向衛(wèi)星發(fā)送接入請求,消耗衛(wèi)星的UEDoS攻擊。3GPP不支持基于密碼算法的假基站檢測能力。而只有基于密碼算法的假基UE在決定是否接入一個衛(wèi)星之前判斷該衛(wèi)星發(fā)送的信號是否UEUE執(zhí)行后續(xù)的接入過程。用于實現(xiàn)假基站識別或非法UE檢測的密碼算法可以是基于非對稱密鑰的密碼算法,也可以是基于對稱密鑰的密碼算法。當(dāng)采用基于非對稱密碼的算法時,可以采用基于公鑰基礎(chǔ)結(jié)構(gòu)(PublicKey27Infrastructure,PKI)字簽名,UE使用基站的公鑰證書對基站廣播消息的數(shù)字簽名進(jìn)行驗證,從而確定該EEUEUE使用非對稱密碼算法的優(yōu)點是能夠確定發(fā)送消息的特定個體,缺點是計算開銷大。UE擁有相同的對稱密鑰。這UE,且密鑰管理UE需要將密鑰和相關(guān)的安全計算放在基于硬UE,密鑰管理復(fù)雜。/區(qū)塊鏈技術(shù)是利用加密鏈?zhǔn)絽^(qū)塊結(jié)構(gòu)來驗證與存儲數(shù)據(jù)、利用分布式節(jié)點共識算法來生成和更新數(shù)據(jù)、利用自動化腳本來編程和操作數(shù)據(jù)的一種全新的去中心化基礎(chǔ)架構(gòu)與分布式計算范式。區(qū)塊鏈不依賴于第三方權(quán)威機(jī)構(gòu)而是憑借著純數(shù)學(xué)算法建立了分布式信任。相比于傳統(tǒng)的中心化數(shù)據(jù)庫,區(qū)塊鏈利用哈希函數(shù)的單向性、數(shù)字簽名的防偽認(rèn)證功能和分布式共識的容錯能力,極大增加了攻擊者惡意篡改、偽造和否受到了例如金融、物聯(lián)網(wǎng)、信息安全等領(lǐng)域的廣泛關(guān)注。隨著區(qū)塊鏈在信息安全領(lǐng)域的不斷發(fā)展,區(qū)塊鏈技術(shù)可以與跨域身份認(rèn)證結(jié)合,例如基于區(qū)塊鏈網(wǎng)絡(luò)構(gòu)建分布式PKIPKI域間的跨域認(rèn)證協(xié)議。區(qū)塊鏈PKIUE可能會動UE與衛(wèi)星之間的相互認(rèn)證提供了可能性。利用UE28網(wǎng)絡(luò)發(fā)起請求認(rèn)證服務(wù),區(qū)塊鏈網(wǎng)絡(luò)查找可以為UE提供服務(wù)的衛(wèi)星,該衛(wèi)星響應(yīng)UE的客戶端請求,對UE進(jìn)行認(rèn)證鑒權(quán)之后提供通信服務(wù)。當(dāng)區(qū)塊鏈技術(shù)應(yīng)用于天地一體化網(wǎng)絡(luò)時,可以建立一個去中心化的適應(yīng)于資源受共同參與到這個網(wǎng)絡(luò)的建設(shè)和維護(hù)中來。這個聯(lián)盟鏈不僅確保了網(wǎng)絡(luò)中數(shù)據(jù)的安全性和不可篡改,還通過智能合約技術(shù),自動化地處理身份驗證和數(shù)據(jù)交換過程,大大提高了天地一體化網(wǎng)絡(luò)的運行效率。在天地一體化網(wǎng)絡(luò)中一個終端將同時從多個服務(wù)提供商簽約不同的服務(wù)。聯(lián)盟鏈里的智能合約系統(tǒng)和鏈上高效存儲技術(shù)可以實現(xiàn)將多個服務(wù)商的簽約集成到一個有效身份憑證信息里,從而使得該終端在跨越不同地區(qū)的時候,其所有簽約服務(wù)和身份信息憑借一個身份信息憑證可以在聯(lián)盟鏈網(wǎng)絡(luò)的多方節(jié)點相互認(rèn)證,而無需第三方的介入。這不僅減少了交易的時間延遲,也降低了系統(tǒng)的運行成本。其中利用智能合約技術(shù),聯(lián)盟鏈能夠自動處理身份驗證和數(shù)據(jù)交換,減少了人工介入,提高了處理速度和準(zhǔn)確性。無論用戶身處何地,只需一個身份信息憑證,便可在網(wǎng)絡(luò)中的任何節(jié)點獲得認(rèn)證和服務(wù),實現(xiàn)了真正的無縫連接。通過研究鏈上高效存儲技術(shù)也可以解決區(qū)塊鏈網(wǎng)絡(luò)賬本冗余度過高不適宜在資源受限的衛(wèi)星網(wǎng)絡(luò)中應(yīng)用的問題,通過壓縮原本區(qū)塊上的數(shù)據(jù),使得區(qū)塊中的交易可以被更快地處理,同時達(dá)到降低存儲空間提高可擴(kuò)展性的目的。此外,區(qū)塊鏈技術(shù)的引入還為天地一體化網(wǎng)概述在天地一體化網(wǎng)絡(luò)中,用戶隱私信息主要面臨如下安全威脅:用戶標(biāo)識信息的泄露UE位置信息的泄露UEUEUESUPI,以便接入網(wǎng)絡(luò)。5GUESUCIUE29的標(biāo)識信息加密傳送至核心網(wǎng)。在天地一體化網(wǎng)絡(luò)中,與5G系統(tǒng)相比,數(shù)據(jù)傳輸路徑長且復(fù)雜,UE將面臨更廣泛的監(jiān)聽或信息泄露威脅,因此,需要采取必要的安全措施來保護(hù)用戶的隱私或敏感信息。5GSUCIUDM才能解密并獲得SUPI,具有很高的安全性。因此,在天地一體化網(wǎng)絡(luò)中,可繼續(xù)采用類似5GSUCI的技術(shù)保護(hù)用戶身份信息和其他敏感信息。UEUE5G保護(hù)。在天地一體化網(wǎng)絡(luò)中,有兩種方案可供考慮:當(dāng)連接到衛(wèi)星時,UEAMFUE注冊過程。HPLMNAMFUE注冊過程。當(dāng)建立NAS安全后,UE可以采用NAS安全將精確的位置信息提供核心網(wǎng)的AMF。AMF根據(jù)UE位置將UE注冊信息轉(zhuǎn)移至目標(biāo)AMF,然后繼續(xù)進(jìn)行后續(xù)操作。概述在天地一體化系統(tǒng)中,可能采用基于密鑰的認(rèn)證技術(shù)并建立安全連接的通信類型有:終端與衛(wèi)星執(zhí)行雙向認(rèn)證,以便建立與衛(wèi)星的安全連接。終端與核心網(wǎng)執(zhí)行雙向認(rèn)證,以便安全地接入天地一體化網(wǎng)絡(luò)。衛(wèi)星與衛(wèi)星執(zhí)行雙向認(rèn)證,以便建立星間鏈路安全連接。衛(wèi)星與信關(guān)站執(zhí)行雙向認(rèn)證,以便建立饋電鏈路安全連接。衛(wèi)星處于開放空間,其被具有技術(shù)能力的敵方劫持的可能性并不是不存在,本節(jié)30討論天地一體化網(wǎng)絡(luò)中需要關(guān)注的密鑰管理技術(shù)。化系統(tǒng)密鑰管理是復(fù)雜而重要的。應(yīng)該包含所有這些密鑰管理功能。天地一體化系統(tǒng)應(yīng)著重提高目標(biāo)實體(衛(wèi)星和終端)中密鑰存儲、密鑰更新、密鑰使用和密鑰銷毀的安全性,以確保目標(biāo)系統(tǒng)中的密鑰管理功能能夠滿足系統(tǒng)預(yù)先設(shè)定的安全等級。-端向目的地面基站發(fā)起切換請求(攜帶衛(wèi)星饋電鏈路不可用的請求原因),類似的密鑰處理,流程示意圖如下所示:31圖6星地切換安全流程示意圖(饋電鏈路不可用情形)概述3GPPDN-核心網(wǎng)網(wǎng)--DN能力和環(huán)境的安全態(tài)勢,打開或關(guān)閉不同區(qū)段安全能力。開放的空間,因此所面臨的安全威脅更為嚴(yán)峻。UE的應(yīng)用層加密,空口的網(wǎng)絡(luò)層加UE和衛(wèi)星許多寶貴的計聯(lián)網(wǎng)應(yīng)用,這種資源消耗和傳輸延遲都是非常不友好的。6G天地一體化網(wǎng)絡(luò)來說,需要設(shè)計全新的通信和安全協(xié)議。UE通信的安全終結(jié)點設(shè)置在任意網(wǎng)元上,并且可UPFUEUPF要為此通道上的數(shù)據(jù)包打開額外的數(shù)據(jù)保護(hù)能力(包括星間鏈路和饋電鏈路),實現(xiàn)完全基于應(yīng)用需求打開或關(guān)閉相應(yīng)的數(shù)據(jù)保護(hù)功能。32在6G天地一體化網(wǎng)絡(luò)中,端到端數(shù)據(jù)傳輸需要跨越多個異構(gòu)網(wǎng)絡(luò)與設(shè)備,星地數(shù)據(jù)傳輸需要具備在不可靠設(shè)備之間安全傳輸?shù)哪芰?,保證數(shù)據(jù)不被篡改、偽造。同時,天地一體化網(wǎng)絡(luò)需要服務(wù)多個異構(gòu)網(wǎng)絡(luò),星地數(shù)據(jù)需要在不同異構(gòu)網(wǎng)絡(luò)中安全流轉(zhuǎn),保證數(shù)據(jù)全網(wǎng)可靠性、可用性及一致性。區(qū)塊鏈的不可篡改性和數(shù)據(jù)鏈條結(jié)構(gòu)使得數(shù)據(jù)的溯源變得容易。同時區(qū)塊鏈的智能合約可以根據(jù)預(yù)先設(shè)定的條件自動執(zhí)行數(shù)據(jù)交易或數(shù)據(jù)訪問權(quán)限控制,提高了數(shù)據(jù)流轉(zhuǎn)的效率和安全性。區(qū)塊鏈技術(shù)通過智能合約和去中心化存儲等手段簡化了數(shù)據(jù)流轉(zhuǎn)的流程,可以實現(xiàn)點對點的直接交易,降低了交易成本和復(fù)雜性。因此在6G天地一體化網(wǎng)絡(luò)中借鑒區(qū)塊鏈的技術(shù),實現(xiàn)數(shù)據(jù)流程安全。6G天地一體化數(shù)據(jù)流轉(zhuǎn)安全保障方案如下圖所示。該方案包含兩地區(qū)業(yè)務(wù)交互的衛(wèi)星組成,負(fù)責(zé)執(zhí)行域間數(shù)據(jù)處理與共識過程。圖7基于區(qū)塊鏈的數(shù)據(jù)流轉(zhuǎn)安全保障機(jī)制33pre-prepare、preparecommit階段根據(jù)域內(nèi)數(shù)據(jù)處理方案對域內(nèi)數(shù)據(jù)進(jìn)行處理(若為域間交

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論