6G天地一体化信息网络内生安全技术

6G天地一体化信息网络面临因网络高度暴露、节点高速运动、计算资源受限等特点带来的安全挑战,且新架构、新应用、新技术也将引入新的安全问题,亟须提出普适性安全理论,一体化解决其功能安全及网络安全问题。为此,首先阐述网络空间内生安全主要理论基础,提出6G天地一体化信息网络内生安全架构;然后,在网络空间内生安全理论的指导下,从星载系统、6G地面移动网、星地链路探讨相关安全理论与技术构想;最后,从安全认证、高安全通信加密等方面分析天地一体化信息网络通信/安全一体化的认证加密机制,及传统安全与内生安全技术的交叉融合。

专题导读

高通量卫星快速发展以及火箭发射成本的降低,带来卫星宽带技术的普及。当前各个国家正加速部署低轨道卫星互联网项目,卫星互联网将迎来大面积入网的局面。同时卫星互联网的发展也面临巨大的技术挑战,特别是在信息安全领域,设施建设数量越大,融合程度越深,系统的安全隐患越大,卫星互联网被控制、被瘫痪的可能性也越大。如何在新技术不断应用于卫星互联网各种场景的同时,保证国家重要卫星通信网络的信息安全,将是一个长期的核心技术课题。

基于哈希方法的物理层认证机制

现有物理层挑战-响应认证机制使用无线信道信息掩藏密钥生成认证响应,一旦攻击方获得合法信道信息,则可直接破解密钥。针对上述问题,该文借鉴曲线匹配原理,提出一种基于哈希方法的物理层认证机制。首先,认证双方提取无线信道特征,并和认证密钥组合得到初始认证向量,该向量被等效为一条曲线;随后,采用具有容错性的单向哈希函数将该曲线映射为低维的哈希矢量,用作认证响应;最后,认证方根据需求设置认证门限,并根据响应的匹配结果进行判决。性能分析表明,所采用的哈希方法实质为欠定方程组,攻击方无法根据低维哈希矢量还原曲线信息,从而无法破解密钥;仿真结果表明,在攻击方窃取了合法信道信息的条件下,在4 d B时,现有挑战-响应机制攻击率约为0.5,该文所提机制可实现攻击率小于510-。

异构备份式的虚拟网映射方法研究

在云计算和数据中心环境中,底层单个物理服务器的失效将对上层虚拟网络的服务性能造成很大的影响,现有利用冗余备份的方法能够在一定程度上降低底层物理设备失效带来的影响,但未考虑到物理服务器的同构性所带来的问题,为此,该文提出一种异构备份式的虚拟网映射方法。首先,只对关键的虚拟机进行冗余备份,降低备份资源的开销;然后,确保提供备份虚拟机的物理服务器与原物理服务器的系统类型的异构性,提高虚拟网的弹性能力;最后,以最小化链路资源开销作为虚拟网的映射目标,进一步降低备份资源的开销。实验表明,该方法在保证虚拟网络映射性能的前提下,能够大大提高虚拟网络的弹性能力。

一种基于NTRU的5G移动通信网络切片认证方法

通过分析第三代合作伙伴计划(3GPP)现行的标准,发现3GPP在R16版本中新增了切片认证功能,但只是把认证框架定义为可扩展认证协议(EAP)框架,并未定义认证算法。为解决现行3GPP R16标准在切片认证标准化工作中尚未规范认证方法的问题,提出了一种可以实现相互认证的基于数论研究单元(NTRU)的切片认证方法。用形式化的GNY逻辑对该方法的安全性进行证明,证明了方法可以达到其设定的安全目标。在Free 5GC平台上对方案进行效率分析,实验结果表明该认证方法具有良好的运行效率。

天地一体化信息网络安全防护技术的新思考

天地一体化信息网络是国家面向2030的重大科技工程,安全防护是保障其运行的关键。由于能够主动适应用户、网络和业务的快速变化,可以实现网络技术与安全的共生演进,天地一体化信息网络成为近年来国内外学术界和产业界普遍关注的重要方向。在分析天地一体化信息网络面临的安全威胁和现有防护技术思路的基础上,探讨了内生式安全防御技术在天地网络架构、关键信息系统中的应用设想,相关技术思路和设计可为内生安全的天地一体化网络安全防护体系建设提供参考。

一种面向安全的虚拟网络功能动态异构调度方法

网络功能虚拟化(NFV)为服务链构建带来了灵活性与动态性,然而,软件化与虚拟化环境可能存在软件漏洞、后门等安全风险,对服务链(SC)的安全产生影响。为此,该文提出一种服务链上虚拟网络功能(VNF)调度方法。首先,为虚拟网络功能构建异构镜像池,避免利用共模漏洞的大范围攻击;随后,以特定周期选择服务链虚拟网络功能进行调度,加载异构镜像对该网络功能的执行实体进行替换;最后,考虑调度对网络功能性能的影响,应用斯坦科尔伯格博弈对攻防过程建模,以最优化防御者收益为目标求解服务链上各网络功能的调度概率。实验表明,该方法能够降低攻击者攻击成功率,同时将调度产生的开销控制在可接受范围内。

内生安全赋能网络弹性研究

引言,随着数字化转型的深入及数字经济的蓬勃发展,网络空间迅速扩张到生产生活的方方面面。网络技术的普及与进步,一方面降低了成本,促进了生产;另一方面,网络空间因其复杂的依赖关系又呈现出前所未有的不稳定性和风险。网络威胁表现出的不可预测性。

6G发展趋势与候选关键技术分析

为适应未来垂直行业和用户对无线网络的多维度需求,6G需要在5G的基础上对多项技术性能指标实现量级提升。为达到6G预期的关键性能指标,需要从网络架构、空口传输、安全与智能等多层面进一步发展5G技术,推动向6G关键技术的平滑演进。文章首先对6G愿景与发展现状进行梳理,介绍6G关键性能指标需求,然后,对6G使能技术进行分析,遴选6G在网络架构、空口传输、网络安全和智慧内生等方面的潜在使能技术。这些使能技术将为实现6G愿景提供有力的支撑。

宽带移动网络的分等级安全体系架构设计

从用户数据的集中管理机制、异构无线接入网络的访问机制等方面分析、评估了新型移动网络架构的脆弱性以及对终端和网络带来的安全威胁。并基于此提出了分等级设计思想,设计了宽带移动网络的分等级安全体系架构,从而为不同的用户、不同的业务需求提供不同的安全级别。

基于安全等级的虚拟机动态迁移方法

侧信道攻击是当前云计算与数据中心环境下多租户间信息泄露的主要途径,现有基于虚拟机动态迁移的防御方法存在迁移算法收敛时间长,开销大的问题,为此,提出一种基于安全等级的虚拟机动态迁移方法。首先,对虚拟机进行安全等级分类,减少虚拟机动态迁移的数量;然后采用相应的虚拟机映射策略,降低虚拟机迁移的频率。实验表明,与现有基于虚拟机动态迁移的防御方法相比,该方法能够降低虚拟机迁移算法的收敛时间和迁移开销。

局部拓扑信息耦合促进网络演化

为了研究局部拓扑信息耦合对网络演化的促进作用,该文提出一种局部拓扑加权方法,用于表征节点间联系的紧密性及拓扑信息的耦合程度,并从演化模型的宏观统计和实际网络数据测试两方面验证了局部拓扑信息耦合促进网络演化的有效性。首先将该加权方法应用于BA模型,提出Tw BA模型及局域世界模型Tw LW。仿真实验表明,Tw BA的度分布随连边数目的增多,迅速从指数分布转变为幂律分布,验证了现实网络加速增长产生幂律分布的现象,并基于此提出一种加速演化的Tw BA模型,其在不同的加速率下呈现出幂律分布;而Tw LW则展现了从广延指数分布到幂律分布变化的形式。然后将加权方法拓展到链路预测方法,提出3个加权相似性指标。实际网络数据测试表明,该方法能够大幅度地提高基本算法的预测精度,部分甚至高于全局性指标。

基于微博网络的影响力最大化算法

由于影响范围的重叠效应,单纯的影响力度量算法并不能解决微博网络中的影响力最大化问题,针对这一研究现状,提出一种用于微博网络中Top-K节点挖掘的算法GABE。通过归纳决定微博用户影响力的关键因素,提出了节点间影响率的概念,进而建立了用于用户影响力度量的WIR算法;根据得到的WIR值提出了符合微博特性的影响力传播模型,运用贪婪算法挖掘出微博网络中的Top-K节点。以爬取到的新浪微博数据进行了模拟验证,结果发现GABE在影响范围上与传统的最大化算法和影响力度量算法相比分别提高了7.7%和20%。这表明通过引入微博特性和贪婪思想,GABE较好地解决了微博网络中的影响力最大化问题。

基于公钥的可证明安全的异构无线网络认证方案

该文针对3G-WLAN异构网络的接入安全,对异构网络的实体进行抽象,建立了一种通用的认证模型。在该模型的基础上,利用Canetti-Krawczyk(CK)模型设计了一种新的接入认证与密钥协商方案。该方案利用公钥基础设施分配公钥,简化接入端服务器和归属端服务器间的认证过程和认证信息;利用椭圆曲线密码机制,减少了移动终端的认证计算量;最后利用CK模型对提出的协议进行了形式化分析和证明。分析表明该方案是安全有效的。

基于行为预测的微博网络信息传播建模

研究微博网络中的信息传播及扩散机制在市场营销、舆情管控等方面具有重要意义。当前的传播模型大多忽视了用户间的个体差异。为解决这一问题,提取了影响转发行为的四类特征,利用机器学习中的逻辑回归模型分析预测个体转发行为,并在此基础上融入用户个体差异,建立了一种基于行为预测的信息传播模型。实验表明,该模型能较好地模拟真实网络中的信息传播过程。

基于用户分布感知的移动P2P快速位置匿名算法

针对移动点对点(P2P)结构下位置隐私保护匿名区形成存在着通信开销大、匿名效率低以及成功率低等问题,提出了一种移动P2P结构下用户分布感知方案,用户在邻域内共享邻域加权密度参数,获取邻域用户实时分布信息,根据用户分布特征为用户推荐隐私参数及候选用户查找半径,帮助用户快速形成匿名区.仿真结果表明,该算法通信开销小,在满足移动P2P网络移动设备节能需求的同时,匿名区生成时间平均在500ms以下,平均成功率达到92%以上.

面向物联网无线携能通信系统的机会安全传输方案

针对物联网无线携能通信系统中能量输送和信息传输的差异性需求,提出了一种"信息-能量"动态切换的机会安全传输方案。首先,考虑多小区、多用户、多窃听者的时域切换型携能通信网络模型,发送端根据信道状态在能量输送与信息传输之间动态切换,改变了传统能量输送与信息传输的固定分配方案,从而满足能量输送和信息传输的差异性需求。在此基础上,综合分析了能量传输和信息传输的性能,包括能量传输的稳定性和效率以及在窃听者独立窃听、联合窃听场景下信息传输的可靠性和安全性。然后,分析了切换门限对系统性能的影响,并在能量约束条件下,为兼顾系统安全性和可靠性,设计了最大化保密吞吐量的切换门限优化算法。最后,仿真证明了所提方案的有效性。

异构无线网络中基于标识的匿名认证协议

针对异构无线网络中的认证协议的安全问题,提出一种基于CPK算法和改进的ECDH算法的双向认证和密钥协商协议,引入用户的临时认证身份和临时通信身份实现用户的身份匿名;提出采用临时通信身份有序对防止重认证过程中的重放攻击,并且在协议设计中规避了密钥泄漏带来的风险。分析表明该协议具有身份认证、会话密钥安全、匿名性等安全属性。

基于关联规则的网络信息内容安全事件发现及其Map-Reduce实现

针对网络中信息内容安全事件的发现问题,该文提出一种基于关联规则的多维度用户行为特征关联分析法;对于存在的虚警问题,提出了基于邦弗朗尼校正的检验准则;为满足在海量数据中的应用需求,提出了一种Map-Reduce框架下的分布式幂集Apriori算法。实验结果表明,该文提出的方法及相应算法,并行运算能力强,在低虚警率和漏检率的情况下,具有较好的检测率,且运行时间短,收敛速度快。

基于联合备份的服务功能链可靠性保障的部署方法

在网络功能虚拟化(NFV)环境中,针对服务功能链(SFC)部署时的可靠性问题,该文提出对备份虚拟网络功能选择、备份实例放置和服务功能链部署的联合优化方法。首先,定义一个单位开销可靠性提高值的虚拟网络功能衡量标准,改进备份虚拟网络功能选择方法;其次,采用联合备份的方式调整相邻备份实例之间的放置策略,以降低带宽资源开销;最后,将整个服务功能链可靠性保障的部署问题构建成整数线性规划模型,并提出一种基于最短路径的启发式算法,克服整数线性规划求解的复杂性。仿真结果表明,该方法在优先满足网络服务可靠性需求的同时,优化资源配置,提高了请求接受率。