基于 5G6G 技术的卫星互联网一体化安全研究

近年来，5G/6G和卫星网络融合的呼声越来越高，5G/6G作为“新基建”之首，引发了近年来经济的数字化转型。在人烟稀少的偏远地区或在灾害应急情况下，地面网络的经济性及抗毁性都较卫星网络差，并且维护难度大。因此，5G/6G与卫星网络融合是解决“信息随心至，万物触可及”的最佳方案。3GPP对5G/6G和卫星互联网的融合可以分为两个阶段：第一个阶段是卫星系统接入5G/6G的核心网，即卫星作为接入网络和传输网络；第二阶段是卫星系统与5G/6G在空口技术的融合，即卫星作为5G/6G的一种空口无线接入方式，至此卫星通信空口协议与5G/6G空口协议融合，只需在频段上稍作区分，卫星基站即成为5G/6G基站，卫星终端也可以是普通5G/6G终端。综上，未来卫星作为地面5G/6G的一种补充接入方式或者回传方式存在，将构建灵活的天地一体化网络，实现网络的全面覆盖。15G/6G卫星互联网组网及安全分析1.1ITU提出的4种组网场景ITU-RM.2460—“KeyElementsfor

IntegrationofSatelliteSystemsintoNextGenerationAccessTechnologies”

对卫星网络的应用场景、业务范围和关键技术等内容进行了定义和分析。报告书中提出了星地融合的4种应用场景，如图1所示。图1ITU提出的4种卫星互联网应用场景（1）中继到站。利用卫星链路进一步向本地小区站点（如3G/4G/5G蜂窝网络等）提供链路补充服务，使本地业务路由延长，实现与远端业务互联，并缩短时延。（2）小区回传。利用卫星点对多点的多播及组播功能，将远端业务更好地传送到本地网络，同时将本地网络数据通过卫星传送到远端。（3）动中通。卫星链路提供与高速运动中的飞机、车辆、火车和船只的连接，利用卫星覆盖范围广的性能，实现高效链接。（4）混合多播场景。在混合多媒体通信应用场景中，卫星可以向家庭和办公室提供服务，补充地面宽带以外的内容，解决地面网络负载过重的问题，支持海量用户的宽带业务需求（视频、高清电视以及其他非视频数据）。基于上述业务描述及网络拓扑图，卫星网络在ITU的4种组网场景中承担着重要的无线回传网络角色，负责将本地数据传输到远端或将远端数据传输到本地。综合5G/6G无线通信技术中的接入回传一体化设计，基于5G/6G技术的卫星网络很容易实现该类传输，5G卫星融合传输视图如图2所示。图25G卫星融合传输视图在这种场景下，一部分信号通过回传终端（可以是5G终端、模组）接入到卫星基站，将地面数据通过卫星传输到远处；另一部分地面终端直接链接卫星传输信号。最终卫星通过馈电链路（5G空口链路）将数据传输到地面核心网，馈电链路复用5G空口通信方式，接入地面5G基础设施。对于6G来说，接入和回传一体化设计也是类似的原理。1.25G/6G卫星组网安全问题分析5G/6G与卫星互联网融合的天地一体化网络，可以继承目前5G的安全措施，但是由于空基网络的引入，卫星的移动性又埋下新的安全隐患。基于5G/6G制式发展衍生的天地一体化网络架构如图3所示，卫星接入与地基接入互补，地基控制与星上控制并存。接入终端可以是双连接，分别接入卫星基站和地面基站，核心网络也可以有空基的核心网络和地面核心网络，随着业务发展需要，还可能两部分核心网逐步融合成一张大网。（1）终端安全更细分。在天地一体化网络中，终端既可以接入到卫星基站，也可以接入到地面基站，存在两条业务并存的情况，而这两条业务的业务属性、安全等级可能存在不同。对不同等级的安全业务需要注意访问控制问题；由于两条链路不同步，终端需要为这两条业务调用不同的资源来处理、存储；终端需要对其软件、硬件进行精细化的安全管理。此外，针对天基、地基业务，终端需要分别维护其信令、数据的完整性保护、机密性保护，以及移动安全管理等问题，大大增加了终端处理的复杂性。图3天地一体化网络架构（2）接入安全更自治。天地一体化组网网络覆盖范围更加宽广，接入网络高度异构，安全自治性更强。不同的物件组、人群组，需要建立独立的具有自己安全属性、排他性的小组（小簇）；利用小区、扇区、异构级联网络结合安全手段进行空口接入控制，异构接入天地一体化网络架构如图4所示，为这些小区分配独立的接入资源、小组ID、小组密钥，以及小组数据保护方式。并且，卫星的移动性将带来接入网络资源的频繁切换，增加业务安全处理的复杂性的后果。图4异构接入天地一体化网络架构（3）网络安全高协同。星地融合网络具有新型、复杂的应用场景，以及网络结构时变，混合业务复杂多变的特征，天地一体化应用业务如图5所示。因此，卫星互联网调度呈现高动态，并且多个链路段高度协调，以实现高复杂的路由，共同完成端到端业务及安全保障。图5天地一体化应用业务2卫星网络安全一体化体系研究随着卫星通信技术的发展，空间网络与地面网络一体化融合演进，实现应用业务的融合、网络架构的融合、核心网的融合，通过天地协同的资源调度实现资源按需分配、数据最优流转，构建覆盖全球的天地一体化网络，实现用户无感的自配置、自修复、自优化的网络是未来网络技术的发展趋势。在这样的网络规划前景下，网络代际效应明显，安全措施亟待革新，而不仅是遵循传统的方式，待网络建成之后再简单叠加上安全产品，被动采用通信/安全“两张皮”的建设模式，这样的模式在高动态的网络架构下将举步维艰，逐步被淘汰。搭乘网络大融合的风向，安全也需要与网络融合，进行一体化设计。安全成为网络的内生因子，内化到网络的计算、存储等资源中，最终成为网络资源的一种构成因素，与网络共成长；安全服务化，按网络需求共编排。2.1卫星互联网安全保障总体思路畅想未来5G/6G卫星互联网发展及业务应用场景，设计卫星互联网安全保障底座。以5G技术为始，面向6G的卫星互联网将彻底向星地融合的新型一体化网络演进，呈现自配置、自修复、自优化等多个特性。2.1.1重构安全资源天地融合网络将在共享的网络基础设施上，同时为公众用户、行业用户和特殊用户提供差异化的网络服务。这意味着需要组合多样化的资源满足差异化的需求，资源共享、统一编排资源，对资源进行分级的安全保护，防止侧信道攻击及威胁扩散。需要将传统统一、固化的安全资源根据需求颗粒化，变为动态、异构、冗余的安全资源，便于网络根据不同的需求选取及重组。安全资源分级化、全资源服务化，满足同一安全等级的安全资源可复用：当业务开始时，某些安全资源被占用；当安全业务结束时，安全资源被释放，能够被重组完成其他安全任务。2.1.2网络内生安全因子面对各种差异化的应用，按需对安全资源块和网络资源块进行分配、编排完成任务。要做到这一点，需要将安全因子以一种服务的方式植入到网络整体中。首先，根据需求整合安全硬件实体与网络硬件实体，使其在处理器上融合适应未来网络发展；其次，对安全硬件“细粒度”组件化拆分，然后将每个组件进行服务化封装，以降低安全功能之间的耦合性、可重用率；最后，采用软件定义安全服务功能为用户应用系统提供多种虚拟化安全服务，通过定义实现与其他网络安全互通。2.1.3统一身份与信任体系5G/6G卫星互联网打造全移动和全连接的数字化社会，面向未来VR/AR、智慧城市、智慧农业、智慧远洋、无人沙漠、工业互联网、车联网、无人驾驶、智能家居、智慧医疗、无人机、应急安全，等等。因此，在卫星互联网生态系统中，参与的角色更加复杂。不仅包括2G/3G/4G中的业务提供商、网络运营商、设备商、终端用户，还包括边缘计算服务、物联网服务平台等专用业务系统、云平台运营商、终端使用者和终端拥有者等一系列新的角色，因此，5G/6G卫星互联网中各生态系统变得更加复杂。需要定义安全框架刻画5G/6G卫星互联网生态系统中的各种角色，并制定角色间的安全边界和承担的安全任务，从而建立一个信任模型贯穿端到端的业务系统，将卫星互联网这个分段式的网络合成一个有机的整体。2.2安全总体架构综上，本文提出一种基于密码的5G/6G的天地一体化网络安全架构，如图6所示。第一层为安全支撑层，包含密码资源池、身份管理、安全策略、安全服务、安全存储资源、安全计算资源，安全基因内置到网络资源中，支撑网络构建；同时，建立端到端统一身份和信任体系，提供基础设施可信以及身份、数据可信的信任体系。第二层为安全服务层，利用第一层的资源构建终端安全服务、接入安全服务、网络安全服务、移动安全服务，为网络各个节点提供分级安全保障。第三层为全网安全层，形成天地一体化的闭环安全体系，高动态卫星互联网的终端、网元、边界达到全网一体化安全，最终以内置安全因子为基础构建自感知、自成长的安全网络。该架构中将数字化、可重构的密码技术作为一种网络基因，植入到网络底层，随网络共同编排、成长，构建网络的“先天免疫”，同时随着网络的发展，密码技术也共同学习发展，最终实现安全技术的“后天成长”。图65G/6G天地一体化网络安全架构2.2.1闭环管理基于5G/6G天地一体化网络安全架构，安全资源与网络资源统一架构、统一服务、统一编排。图7抽象出了安全网络资源的闭环管理过程。利用密码态势感知技术，安全资源能够根据网络需求、网络变化提供动态调整，为打造未来自智的卫星互联安全网络提供可支撑。图75G/6G天地一体化网络安全资源的闭环管理2.2.2密码筑基，后天成长从2G时代起，密码技术就与通信技术共同存在，并且随着3G/4G/5G技术的发展逐步发展，5G时代，密码更是通过主认证技术、二次认证技术、通信技术、Oahth2.0，以及机密性和完整性保护等技术保障通信基础设施的安全。其应用大多在某些关键流程开始之前进行身份认证，作为获取资源的一种准入技术，机密性保护及传输加密技术在现网中很少会开启，原因在于安全影响了网络效率，大大拉低了频谱利用率。然而，随着网络容量和利用率的提高，网络安全问题必将层出不穷，攻击者不断破坏企业和个人的数据安全，得到眼中的“财富”。因此，5G/6G融合的卫星互联网在设计之初就需要考虑安全代价与网络性能的问题。将密码底层数字信号处理逻辑单元与网络资源底层的计算逻辑单元、存储逻辑单元联动设计，最大限度地发挥服务器硬件效能。如此才能适应卫星互联网资源受限及高动态的属性，将密码作为网络质量的因子