2024年OPPO 6G安全白皮书-6G安全架构:构建基于零信任的智能安全.pdf
《2024年OPPO 6G安全白皮书-6G安全架构:构建基于零信任的智能安全.pdf》由会员分享,可在线阅读,更多相关《2024年OPPO 6G安全白皮书-6G安全架构:构建基于零信任的智能安全.pdf(41页珍藏版)》请在咨信网上搜索。
1、6G 安全架构:构建基于零信任的智能安全6G SECURITYOPPO 6G 安全白皮书目录O1前言6784025G 安全双向信任模型5G 安全架构5G 传输安全机制2.12.22.35G 安全小结12131517036G 时代的发展趋势及安全需求192004零信任背景基于零信任构建智能安全4.14.2基于零信任的6G 智能安全架构新业务的安全需求新终端的安全需求新连接的安全需求新架构的安全需求3.13.23.33.4056G 时代关键安全技术区块链与 6G 安全基于区块链的多方信任区块链支持分布式身份管理与数据授权区块链支持高可靠的频谱共享物理层安全与 6G 安全无线环境与空口技术6G 典型
2、场景下物理层安全功能6G 时代的 AI 安全安全的在 6G 中使用 AI 技术智能的安全策略后量子安全量子计算所带来的安全威胁后量子安全技术研究5.15.1.15.1.25.1.35.25.2.15.2.25.35.3.15.3.25.45.4.15.4.224242729313232343435363636373806结语参考文献01前言前言6G 时代以工业互联网、泛在的人工智能(Artificial Intelligence,AI)、零功耗通信、通感一体化(Integrated Sensing and Communication,ISAC)为代表的新业务、新终端、新连接、新架构的发展趋势会
3、对当前的通信模式带来巨大改变,越来越多的数据开始从终端侧收集,再传输到网络侧,成为人工智能必不可少的数字资源,6G 系统将针对这些高价值数据资产进行管理。因此,6G 安全的最大变化趋势是保护的重点从传输逐渐演变为数据与隐私。在使用高价值数据资产的同时,需要高效的数据授权,防止归属于不同利益相关方的数据资产价值被滥用。考虑到 6G 系统业务和数据来源的多样性,需要考虑多方信任模式,针对多源的、分布式的数据,进行分布式的数据授权,同时针对个人相关数据,做好隐私保护。随着新终端、新连接技术的发展,数据传输不仅仅局限于传统高层协议,数据安全保护的能力也需要从传统的高层保护向底层保护迁移,从而匹配6G
4、新终端、新空口技术的安全需求。根据“极简多能”的 6G 系统概念设计,对于不同子系统的数据资产,安全保护机制也需多元化,需要对 6G 系统安全功能进行动态的安全编排,用智能安全架构满足不同场景的安全需求。本文将通过分析 6G 新业务、新终端、新连接、新架构的发展趋势和安全需求,在传统蜂窝安全机制的基础上,探索区块链、物理层安全、AI 安全、后量子安全等技术,提出基于零信任的 6G 智能安全架构。01OPPO 6G 安全白皮书4025G安全小结5G 安全双向信任模型5G 安全架构5G 传输安全机制2.13GPP 5G 安全1中定义了双向信任模型,如图 2-1 所示,即 UE(User Equip
5、ment用户设备)和运营商 HE(Home Environment 归属环境)双方共享用户根密钥,作为双向信任的安全可信根。5G 中的安全可信根承载在 UE 的物理防篡改通用集成电路或 UICC(Universal Integrated Circuit Card 通用集成电路卡)中。在网络侧,安全可信根承载在核心网的 UDM(Unified Data Management 统一数据管理)和 ARPF(Authentication Credential Repository and Processing Function认证凭证存储库和处理功能)网元中。随着网络层层向外部署,网元逐渐远离核心网,
6、信任级别降低,其他网元不能再存储安全可信根,同时在这些网元进行的通信处理需要更周全的安全保护。当用户设备接入移动网络使用网络资源的时候,用户和移动网络根据用户根密钥执行双向认证。用户和移动网络各自根据用户根密钥进行密钥衍生计算,得到一系列保护密钥,对双向传输的信令和数据进行加密保护和完整性保护。除了上述双向信任架构,3GPP 中还存在不同利益相关者(即用户、服务提供方、设备和网络)之间的双向信任关系,这些信任关系未体现在 5G 信任模型中。例如,还有用户和服务提供方、或服务提供方与移动网络之间的双向服务合约和交互,如何为设备分发身份和凭证,如何基于上述身份和凭证在网络和设备之间进行相互身份验证
7、等。这些利益相关者之间的信任构成了 5G 服务的基础,但是 5G 中的信任模型都是双向信任模型,5G 不支持这些利益相关者之间的多方信任。5G 安全双向信任模型图 2-1:5G 双向信任模型USIMMEUDMAPRFDUCUAMFSEAFAUSFOPPO 6G 安全白皮书62.25G 安全架构5G安全架构仅包含了归属运营商网络内的安全域,对于漫游服务,归属运营商网络需要与另一个漫游网络交换与漫游相关的UE信息,网络之间通过位于运营商网络边缘的网络功能SEEP(Security Edge Protection Proxy安全边缘保护代理)交互消息。5G 安全架构还定义了五个独立的安全功能域2,如
8、图 2-2 所示,即:网络接入域安全(I)一组安全功能,为用户提供对服务的安全访问并防止对(无线)接入链路的攻击。网络域安全(II)一组安全功能,使网络节点能够安全地交换信令、用户数据(接入网和服务网络之间以及接入网内部),并防止有线网络受到攻击。用户域安全(III)保护对终端设备的访问的一组安全功能。应用域安全(IV)一组安全功能,使用户和提供商域中的应用程序能够安全地交换消息。安全的可见性和可配置性(V)一组功能,使用户能够获知自己安全功能是否正在运行,以及服务的使用和提供是否应依赖于该安全功能。图 2-2:5G 安全架构User ApplicationMEUSIMSNProvider A
9、pplicationApplicationStratumHome Stratum/Serving StratumTransportStratum(IV)(I)(I)(I)(I)(V)(II)(III)(I)(I)(II)HE3GPP ANNon-3GPP AN7OPPO 6G 安全白皮书2.35G 传输安全机制在网络接入域中,UE 通过 AN(Access Network 接入网)接入 5G 网络。接入层(Access Stratum,AS)的安全是基于 5G 密钥层次结构中最低层的密钥和三种密码算法之一(即 AES、Snow 3G、ZUC)实现,对信令面和用户面进行加密和完整性保护。非接入层
10、(Non-Access Stratum,NAS)信令的保护是基于 NAS 层的密钥实现。网络域安全(Network Domain Security,NDS)是指同一运营商网络内不同网元之间的安全保护,使用 3GPP 指定的 NDS 协议。NDS/IP 使用的是 IETF 标准中的IPSec(IP Security)和 特 定 的 3GPP 配 置 文 件。5G 网 络 中 服 务 化 架 构(Service-Based Architecture,SBA)安全将网络域内的保护提升到更高的协议层,即传输层和应用层,即 5G 网络利用 IETF 定义的 TLS 1.3 进行传输层保护,以及应用层端到
11、端的保护。5G 支持灵活性和多样化的服务,AF(Application function 应用功能)或服务器可以通过 5G 网络直接向用户提供服务,用户和 AF 之间的应用域安全性仍基于 5G 安全 可 信 根,由 5G 网 络 和 UE 基 于 接 入 认 证(5G Authentication and Key Agreement,5G AKA)生成密钥材料,来保护用户和 AF 之间的端到端应用,从而使得 AF 无需向 UE 提供所需的安全凭证和密钥材料。OPPO 6G 安全白皮书86G 时代的发展趋势及安全需求新业务的安全需求新终端的安全需求新连接的安全需求新架构的安全需求036G 时代万
12、物互联,新业务形态、新终端设备、新连接方式呈多样化发展:以上这些发展趋势会对当前的通信模式带来巨大改变,可以看到越来越多的数据开始从终端侧收集,再传输到网络侧,成为人工智能必不可少的数字资源,6G 系统将针对这些高价值数据资产进行管理。因此,6G 安全的最大变化趋势是保护的重点从传输逐渐演变为数据与隐私。6G 系统中对数据进行收集、处理、存储、分析、应用、共享时,这些数据归属于不同的利益相关方,需要解决如何保护数字资产价值,防止数字资源被滥用。此外,当数据从个人终端侧进行收集时,极有可能会涉及到个人终端数据,研究如何在高效的使用这些数据的同时保护好用户隐私,在 6G 中会更加重要。6G 系统中
13、,存在多样化的终端服务于不同的业务,在 6G 业务、6G 网络、6G 终端之间分享不同的业务数据,因此需要考虑 6G 系统的多信任模式,为不同的终端以及不同的业务数据建立安全域,在高效传输数据的同时保证多源数据按归属进行隔离,防止数据被滥用。此外,在工业场景中会使用海量物联网终端设备,其中很大一部分物联网终端设备会是低成本零功耗终端3,功耗、存储和处理能力受限,对于这一类终端,需要考虑如何提供安全保护的同时适配轻量级的设备限制。同时,在使用通感一体化技术时,需要考虑感知信号和传统连接的差别,感知业务利用底层信号进行对物理世界的探索,因此要考虑底层信号的安全保护。如果底层信号感知的是个人敏感信息
14、,还需考虑隐私保护。6G 将在 5G 基础上进一步赋能各个垂直行业,助力人类社会实现“万物智联、数字孪生”的美好愿景。除了提供个人穿戴、数字健康等以人为本的服务外,6G 能够支持更加多样化的垂直行业与场景部署,如工业互联网、零功耗通信、智能交通、智能物流等。03业务多样化:相对传统的 2C(To Consumer)业务,新型 2C 业务和 2B(To Business)业务迅猛发展,如数字健康、扩展现实(Extended reality,XR)、智能交通、智能家居、工业互联网、智能物流等。终端多样化:上述新业务需要的终端设备形态丰富,如可穿戴设备、零功耗物联网设备、智能汽车等。连接多样化:终端
15、设备在 6G 时代会使用通感一体化技术,进一步扩展数字世界对物理世界的探索。大规模连接和频谱共享等新连接形式也会出现。OPPO 6G 安全白皮书1001针对 6G 业务、终端及连接多样化趋势,OPPO 6G 白皮书提出极简多能的 6G 新架构,6G=极简核心+N 个子系统,由一个最小化的极简核心提供内生智能、安全、灵活频谱管理等共性能力;在一个极简的共性技术核心上,设计若干有限融合的子系统,容许各个场景的 6G 系统适度解绑、各自优化,实现一个“能力按需分配、功能灵活组合”的“极简多能”的 6G 系统4。6G 系统可以通过多种 AI 算法的切换和组合,实现多个子系统的切换和组合。在面对多源的业
16、务数据时,同样需要对安全功能进行智能安全编排,满足不同场景的多样化安全需求。6G 系统未来承载的业务应用和数据价值将得到极大提升,驱动着 6G 系统安全技术的发展。6G 安全应重点保护行业数据资产的价值和用户隐私,适配物联网终端的分布式和轻量级安全机制,对新连接进行底层保护,使用 AI 编排智能安全策略,如图 3-1 所示。接下来会对 6G 安全的关键需求进行讨论,包括新业务的安全需求新终端的安全需求新连接的安全需求新架构的安全需求图 3-1:6G 安全需求概览11OPPO 6G 安全白皮书数据流转新架构极简多能内生智能新连接通感一体化超大规模连接频谱共享新业务行业数字化新终端万物互联零功耗通
17、信核心安全功能数据流转AI使能智能安全策略新构架安全 新连接安全 智能安全编排 底层连接安全 多信任模式 分布式安全 轻量级安全 新终端安全 聚焦数据保护 新业务安全 AI安全 区块链 物理层安全随着工业互联网的发展,大量的物联网终端设备可以部署于生产线、仓储管理和物流运输等各业务领域。数据在物联网设备处采集、生成,并通过网络发送给相应的处理网元和业务服务器,从而达到监测、自动化控制、优化工业流程的有益效果。随着传感器、人工智能和通信技术的发展,6G 系统将为数字健康带来巨大的潜力,开启新应用场景:(1)多维感知远程医疗:采集用户健康信息,实现远程监测与诊断,提供丰富的诊疗数据。(2)数据积累
18、与分析:利用人工智能提升健康数据分析的效率,同时提供高质量数据集。(3)数字孪生:基于数据、模型和接口对人体进行分析、诊断、模拟和控制,构建人体的数字化镜像,用于模拟患者的生理特点,分析健康状况,预测疾病进展。该业务旨在扩展多感官信息的完全模拟和实时交互,创造以人为中心的沉浸式人机交互体验,应用包括:(1)沉浸式 XR 体验:如娱乐、社交和办公等日常活动,通过虚拟现实(Virtual reality,VR)和增强现实(Augmented Reality,AR)技术加强用户沉浸感。(2)多维感知交互:结合触觉、味觉、嗅觉等感官信息,用于增强医疗领域、或娱乐体验。(3)全息通信:利用全息技术实现
19、3D 场景的实时互动,适用于娱乐、全息会议等。随着人工智能与机器学习技术的普及与快速发展,图像、语音识别和自然语言翻译技术已被广泛应用于智能终端,渗透到通信系统,并对用户的生产生活产生了深刻影响。6G 系统中将存在大量具备模型训练、模型推理能力的智能节点,这些节点参与执行本地或分布式的计算过程。OPPO 提出的 AI-Cube 白皮书6中描述了通过 AI 功能面、AI 用户面、和 AI 控制面,共同赋予 6G 系统精准决策能力、AI 推理能力、自演进能力和迁移学习能力。016G 通过大量先进的传感器的部署和人工智能技术的运用,将扩展现实世界在数字世界的应用5。人工智能将赋能工业互联网、数字健康
20、、数字孪生、XR:新业务的安全需求3.1在工业互联网、智能物流等场景中,如果未经授权的通信实体获取到物联网设备的上行业务数据,或者上行传输数据被攻击者窃听,会导致业务数据的泄漏,有损数据拥有者的权利,对业务造成危害。在数字健康、沉浸式多媒体和多感官互动等场景中,如果泄露的数据涉及个人隐私,这不仅损害了用户的权利,也可能会造成业务运营者或网络运营者的合规风险或法律风险。因此,新业务安全保护的重点从传统的传输逐渐演变为面向新业务的数据与隐私。安全保护的重点从传输逐渐演变为数据与隐私 新业务的安全需求包括以下内容:OPPO 6G 安全白皮书12通信与 AI 融合工业互联网场景数字健康场景沉浸式多媒体
21、和多感官互动场景026G 的大规模通信用例包括智慧城市、交通、物流、卫生、能源、环境监测、农业以及许多其他领域的扩展和新应用,需要各种无电池或长寿命电池的新型物联网设备7,新终端可应用于以下典型场景与技术:新终端的安全需求3.213OPPO 6G 安全白皮书随着数字化和自动化技术的发展,智能物流利用物联网、大数据、人工智能与机器学习等技术,正在转变资产和劳动力的管理方式。例如,通过在设备、产品、车辆和工人间的精准数据交换,能够支持物流节点和仓库中高效的货物的流转、存储、装卸与盘点操作。6G 系统将支持超大规模的连接和精确的位置定位,提高系统容量,使货物实时追踪成为可能,使能物流自动化和智能化的
22、实现。智能物流场景装备了传感器、摄像头和 AI 算法的智能汽车能够自主导航、检测周围环境、防止碰撞,甚至在复杂市区道路状况中自行驾驶。车辆的传感器、车与车之间、或车与路边基础设施之间的数据,可以用于车与云端的协同计算,从而能够提升车辆的路况检测能力,提前预警潜在危险,优化行驶路径,提升整体交通的效率和安全性。智能交通场景该场景主要面向人流密集的办公楼、机场和商场,以提供导航,优化人流分布,提升服务效率。该场景还还可以应用于工厂和物流中心,提供精准定位支持智能货物管理和追踪,降低成本。6G 时代,基于大规模天线、大宽带、零功耗通信等技术,有望实现室内厘米级的定位精度,满足更高的精准定位需求。室内
23、定位场景该场景正在推动物联网朝着能量高效和可持续发展进发。该场景主要建立在三个核心技术基础之上:射频能量采集、反向散射和低功耗计算。这些技术允许物联网终端通过捕获环境中存在的无线电波来收集能量,并利用这些能量通信,减少对传统供电方式的需求3。同时,通过精简的射频和基带电路设计,不仅能够降低生产成本和设备尺寸,还能显著降低电路运行时的能耗。国际标准组织 3GPP 已经识别出了零功耗(即 Ambient IoT,环境供能的物联网)通信的一些潜在应用场景8:(1)智慧城市建设和工业互联网领域的远程监测;(2)物流和仓储管理中的盘存任务;(3)智能家居环境下的物品定位和智能控制。零功耗通信场景0102
24、03由于零功耗设备的极简设计、环境供能和超低能耗特性,传统的安全通信机制因高计算复杂性而面临挑战。相比其他类型的物联网设备,如 NB-IoT(Narrow Band Internet of Things 窄带物联网)设备和 RedCap(Reduced Capability)设备,零功耗设备的协议栈设计复杂度与计算能力更低。因此,设计轻量级的安全技术成为保障零功耗通信安全的关键。安全功能应遵循轻量级的设计思路,满足以下安全需求:多样化的终端设备通过 6G 网络服务于不同的业务,需要在 6G 业务、6G 网络、6G终端之间分享不同的业务数据、模型、指令等消息,对于不同的业务,需要确保使用数据资产
25、的正当权限,即保证其服务于正确的数据拥有者,不能被其他业务和网元滥用。为了保障 6G 系统对多样化终端设备的多源数据进行分类处理,需要考虑 6G 系统的多信任模式,为不同的终端以及不同的业务数据建立安全域,在高效传输数据的同时保证多源数据按归属进行隔离,防止数据被滥用。新终端的安全需求包括以下内容:简化的数据传输安全:为避免攻击者在数据传输过程中窃取数据,以及适配低成本的终端特点,需要简化的传输安全保护机制;资源受限条件下的可信接入与数据授权:因此,需要研究与极低复杂度终端能力相适配的低成本安全可信接入与数据授权机制;能够抵御拦截、伪造、重播等网络攻击。OPPO 6G 安全白皮书14零功耗设备
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2024年OPPO 6G安全白皮书-6G安全架构:构建基于零信任的智能安全 2024 OPPO 安全 白皮书 架构 构建 基于 信任 智能
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。