基于 5G/6G 的衛星網際網路是将安全與通信融合的網絡,它代表了未來網絡設計方向。在分析 5G/6G 衛星網際網路組網安全的基礎上,提出了安全與通信一體化設計總體保障思路,并且提出了一種衛星網際網路和安全一體化設計的總體架構,更進一步提出了其閉環管理機制及自智成長機制,為大陸衛星網際網路建設提供了設計參考。
近年來,5G/6G 和衛星網絡融合的呼聲越來越高,5G/6G 作為“新基建”之首,引發了近年來經濟的數字化轉型。在人煙稀少的偏遠地區或在災害應急情況下,地面網絡的經濟性及抗毀性都較衛星網絡差,并且維護難度大。是以,5G/6G 與衛星網絡融合是解決“資訊随心至,萬物觸可及”的最佳方案。
3GPP 對 5G/6G 和衛星網際網路的融合可以分為兩個階段 :第一個階段是衛星系統接入5G/6G的核心網,即衛星作為接入網絡和傳輸網絡;第二階段是衛星系統與5G/6G在空口技術的融合,即衛星作為 5G/6G 的一種空口無線接入方式,至此衛星通信空口協定與 5G/6G 空口協定融合,隻需在頻段上稍作區分,衛星基站即成為 5G/6G基站,衛星終端也可以是普通 5G/6G 終端。
綜上,未來衛星作為地面 5G/6G 的一種補充接入方式或者回傳方式存在,将建構靈活的天地一體化網絡,實作網絡的全面覆寫。
15G/6G 衛星網際網路組網及安全分析
1.1 ITU 提出的 4 種組網場景
ITU-R M.2460—“ K e y E l e m e n t s f o r Integration of Satellite Systems into Next Generation Access Technologies” 對衛星網絡的應用場景、業務範圍和關鍵技術等内容進行了定義和分析。報告書中提出了星地融合的 4 種應用場景,如圖 1 所示。
圖 1 ITU 提出的 4 種衛星網際網路應用場景
(1)中繼到站。利用衛星鍊路進一步向本地小區站點(如 3G/4G/5G 蜂窩網絡等)提供鍊路補充服務,使本地業務路由延長,實作與遠端業務互聯,并縮短時延。
(2)小區回傳。利用衛星點對多點的多點傳播及多點傳播功能,将遠端業務更好地傳送到本地網絡,同時将本地網絡資料通過衛星傳送到遠端。
(3)動中通。衛星鍊路提供與高速運動中的飛機、車輛、火車和船隻的連接配接,利用衛星覆寫範圍廣的性能,實作高效連結。
(4)混合多點傳播場景。在混合多媒體通信應用場景中,衛星可以向家庭和辦公室提供服務,補充地面寬帶以外的内容,解決地面網絡負載過重的問題,支援海量使用者的寬帶業務需求(視訊、高清電視以及其他非視訊資料)。
基于上述業務描述及網絡拓撲圖,衛星網絡在 ITU 的 4 種組網場景中承擔着重要的無線回傳網絡角色,負責将本地資料傳輸到遠端或将遠端資料傳輸到本地。綜合 5G/6G 無線通信技術中的接入回傳一體化設計,基于 5G/6G 技術的衛星網絡很容易實作該類傳輸,5G 衛星融合傳輸視圖如圖 2 所示。
圖 2 5G 衛星融合傳輸視圖
在這種場景下,一部分信号通過回傳終端(可以是 5G 終端、模組)接入到衛星基站,将地面資料通過衛星傳輸到遠處;另一部分地面終端直接連結衛星傳輸信号。最終衛星通過饋電鍊路(5G 空口鍊路)将資料傳輸到地面核心網,饋電鍊路複用 5G 空口通信方式,接入地面5G 基礎設施。
對于 6G 來說,接入和回傳一體化設計也是類似的原理。
1.2 5G/6G 衛星組網安全問題分析
5G/6G 與衛星網際網路融合的天地一體化網絡,可以繼承目前 5G 的安全措施,但是由于空基網絡的引入,衛星的移動性又埋下新的安全隐患。
基于 5G/6G 制式發展衍生的天地一體化網絡架構如圖 3 所示,衛星接入與地基接入互補,地基控制與星上控制并存。接入終端可以是雙連接配接,分别接入衛星基站和地面基站,核心網絡也可以有空基的核心網絡和地面核心網絡,随着業務發展需要,還可能兩部分核心網逐漸融合成一張大網 。
(1)終端安全更細分。在天地一體化網絡中,終端既可以接入到衛星基站,也可以接入到地面基站,存在兩條業務并存的情況,而這兩條業務的業務屬性、安全等級可能存在不同。對不同等級的安全業務需要注意通路控制問題;由于兩條鍊路不同步,終端需要為這兩條業務調用不同的資源來處理、存儲;終端需要對其軟體、硬體進行精細化的安全管理。此外,針對天基、地基業務,終端需要分别維護其信令、資料的完整性保護、機密性保護,以及移動安全管理等問題,大大增加了終端處理的複雜性。
圖 3 天地一體化網絡架構
(2)接入安全更自治。天地一體化組網網絡覆寫範圍更加寬廣,接入網絡高度異構,安全自治性更強。不同的物件組、人群組,需要建立獨立的具有自己安全屬性、排他性的小組(小簇);利用小區、扇區、異構級聯網絡結合安全手段進行空口接入控制,異構接入天地一體化網絡架構如圖 4 所示,為這些小區配置設定獨立的接入資源、小組 ID、小組密鑰,以及小組資料保護方式。并且,衛星的移動性将帶來接入網絡資源的頻繁切換,增加業務安全處理的複雜性的後果。
圖 4 異構接入天地一體化網絡架構
(3)網絡安全高協同。星地融合網絡具有新型、複雜的應用場景,以及網絡結構時變,混合業務複雜多變的特征,天地一體化應用業務如圖 5 所示。是以,衛星網際網路排程呈現高動态,并且多個鍊路段高度協調,以實作高複雜的路由,共同完成端到端業務及安全保障。
圖 5 天地一體化應用業務
2衛星網絡安全一體化體系研究
随着衛星通信技術的發展,空間網絡與地面網絡一體化融合演進,實作應用業務的融合、網絡架構的融合、核心網的融合,通過天地協同的資源排程實作資源按需配置設定、資料最優流轉,建構覆寫全球的天地一體化網絡,實作使用者無感的自配置、自修複、自優化的網絡是未來網絡技術的發展趨勢。
在這樣的網絡規劃前景下,網絡代際效應明顯,安全措施亟待革新,而不僅是遵循傳統的方式,待網絡建成之後再簡單疊加上安全産品,被動采用通信 / 安全“兩張皮”的建設模式,這樣的模式在高動态的網絡架構下将舉步維艱,逐漸被淘汰。
搭乘網絡大融合的風向,安全也需要與網絡融合,進行一體化設計 。安全成為網絡的内生因子,内化到網絡的計算、存儲等資源中,最終成為網絡資源的一種構成因素,與網絡共成長;安全服務化,按網絡需求共編排。
2.1 衛星網際網路安全保障總體思路
暢想未來 5G/6G 衛星網際網路發展及業務應用場景,設計衛星網際網路安全保障底座。以 5G技術為始,面向 6G 的衛星網際網路将徹底向星地融合的新型一體化網絡演進,呈現自配置、自修複、自優化等多個特性。
2.1.1 重構安全資源
天地融合網絡将在共享的網絡基礎設施上,同時為公衆使用者、行業使用者和特殊使用者提供差異化的網絡服務。這意味着需要組合多樣化的資源滿足差異化的需求,資源共享、統一編排資源,對資源進行分級的安全保護,防止側信道攻擊及威脅擴散。需要将傳統統一、固化的安全資源根據需求顆粒化,變為動态、異構、備援的安全資源,便于網絡根據不同的需求選取及重組。安全資源分級化、全資源服務化,滿足同一安全等級的安全資源可複用:當業務開始時,某些安全資源被占用;當安全業務結束時,安全資源被釋放,能夠被重組完成其他安全任務。
2.1.2 網絡内生安全因子
面對各種差異化的應用,按需對安全資源塊和網絡資源塊進行配置設定、編排完成任務。要做到這一點,需要将安全因子以一種服務的方式植入到網絡整體中。首先,根據需求整合安全硬體實體與網絡硬體實體,使其在處理器上融合适應未來網絡發展;其次,對安全硬體“細粒度”元件化拆分,然後将每個元件進行服務化封裝,以降低安全功能之間的耦合性、可重用率;最後,采用軟體定義安全服務功能為使用者應用系統提供多種虛拟化安全服務,通過定義實作與其他網絡安全互通。
2.1.3 統一身份與信任體系
5G/6G 衛星網際網路打造全移動和全連接配接的數字化社會,面向未來 VR/AR、智慧城市、智慧農業、智慧遠洋、無人沙漠、工業網際網路、車聯網、無人駕駛、智能家居、智慧醫療、無人機、應急安全,等等。是以,在衛星網際網路生态系統中,參與的角色更加複雜 。不僅包括2G/3G/4G 中的業務提供商、網絡營運商、裝置商、終端使用者,還包括邊緣計算服務、物聯網服務平台等專用業務系統、雲平台營運商、終端使用者和終端擁有者等一系列新的角色,是以,5G/6G 衛星網際網路中各生态系統變得更加複雜。需要定義安全架構刻畫 5G/6G 衛星網際網路生态系統中的各種角色,并制定角色間的安全邊界和承擔的安全任務,進而建立一個信任模型貫穿端到端的業務系統,将衛星網際網路這個分段式的網絡合成一個有機的整體。
2.2 安全總體架構
綜上,本文提出一種基于密碼的 5G/6G 的天地一體化網絡安全架構,如圖 6 所示。第一層為安全支撐層,包含密碼資源池、身份管理、安全政策、安全服務、安全存儲資源、安全計算資源,安全基因内置到網絡資源中,支撐網絡建構;同時,建立端到端統一身份和信任體系,提供基礎設施可信以及身份、資料可信的信任體系。第二層為安全服務層,利用第一層的資源建構終端安全服務、接入安全服務、網絡安全服務、移動安全服務,為網絡各個節點提供分級安全保障。第三層為全網安全層,形成天地一體化的閉環安全體系,高動态衛星網際網路的終端、網元、邊界達到全網一體化安全,最終以内置安全因子為基礎建構自感覺、自成長的安全網絡。
該架構中将數字化、可重構的密碼技術作為一種網絡基因,植入到網絡底層,随網絡共同編排、成長,建構網絡的“先天免疫”,同時随着網絡的發展,密碼技術也共同學習發展,最終實作安全技術的“後天成長”。
圖 6 5G/6G 天地一體化網絡安全架構
2.2.1 閉環管理
基 于 5G/6G 天 地 一 體 化 網 絡 安 全 架 構,安全資源與網絡資源統一架構、統一服務、統一編排。圖 7 抽象出了安全網絡資源的閉環管理過程。利用密碼态勢感覺技術,安全資源能夠根據網絡需求、網絡變化提供動态調整,為打造未來自智的衛星互聯安全網絡提供可支撐。
圖 7 5G/6G 天地一體化網絡安全資源的閉環管理
2.2.2 密碼築基,後天成長
從 2G 時代起,密碼技術就與通信技術共同存在,并且随着 3G/4G/5G 技術的發展逐漸發展,5G 時代,密碼更是通過主認證技術、二次認證技術、通信技術、Oahth2.0,以及機密性和完整性保護等技術保障通信基礎設施的安全。其應用大多在某些關鍵流程開始之前進行身份認證,作為擷取資源的一種準入技術,機密性保護及傳輸加密技術在現網中很少會開啟,原因在于安全影響了網絡效率,大大拉低了頻譜使用率。
然而,随着網絡容量和使用率的提高,網絡安全問題必将層出不窮,攻擊者不斷破壞企業和個人的資料安全,得到眼中的“财富”。
是以,5G/6G 融合的衛星網際網路在設計之初就需要考慮安全代價與網絡性能的問題。将密碼底層數字信号處理邏輯單元與網絡資源底層的計算邏輯單元、存儲邏輯單元關聯設計,最大限度地發揮伺服器硬體效能。如此才能适應衛星網際網路資源受限及高動态的屬性,将密碼作為網絡品質的因子,與網絡資源共編排,與網絡共重構,随着網絡共自智,共成長。
3結 語
5G/6G 衛星網際網路是一種天、地、海、空逐漸融合的網絡,是一種 DOICT 融合的網絡,更是一種安全與通信融合的網絡及未來網絡發展的方向。本文提出的以密碼為基礎的衛星網絡安全架構将安全因子築基于網絡基礎設施層,協同編排,靈活排程打造安全的衛星網際網路絡。
未來,以本文提供的架構為參考,安全服務于衛星網際網路的終端層、接入層、傳輸層、應用層,打造端到端天地一體化安全服務體系,為衛星通信保駕護航。
免責聲明:本文轉自資訊安全與通信保密雜志社,原作者畢敏 , 肖飛 , 石元兵。文章内容系原作者個人觀點,本公衆号編譯/轉載僅為分享、傳達不同觀點,如有任何異議,歡迎聯系我們!
轉自丨資訊安全與通信保密雜志社
作者丨畢敏 , 肖飛 , 石元兵
中國工程科技知識中心是經國家準許建設的國家工程科技領域資訊彙聚中心、資料挖掘中心和知識服務中心。
知識中心網址:https://www.ckcest.cn/entry/
中國工程科技知識中心為友善讀者組建了社群想進群請添加微信:xpcztym