基于 5G/6G 技术的卫星互联网一体化安全研究

本文围绕5G/6G卫星互联网的安全与融合展开研究，提出了基于密码的安全架构，并强调了闭环管理、自感知和自成长的未来网络设计。文章首先分析了5G/6G卫星互联网的组网安全问题，探讨了其在ITU提出的四种应用场景中的应用。接着，作者提出了一个以密码为基础的天地一体化网络安全架构，强调了安全资源的动态调整、网络内生安全因子的融合以及统一身份信任体系的构建。最后，文章总结了5G/6G卫星互联网未来的发展方向，即以自感知、自修复、自优化的网络实现安全与通信的深度融合。

摘 要

卫星互联网，基于5G/6G技术，整合了通信与安全功能，被视为未来网络设计的重要方向。基于对5G/6G卫星互联网组网安全的深入分析，提出了安全与通信一体化设计的总体保障思路。并提出了一种卫星互联网与安全一体化设计的总体架构方案，更进一步明确了该系统的闭环管理机制和自智成长机制，为我国卫星互联网建设提供了重要的设计参考。

内容目录：

1 5G/6G 卫星互联网组网及安全分析

1.1 ITU 提出的 4 种组网场景

1.2 5G/6G 卫星组网安全问题分析

2 卫星网络安全一体化体系研究

2.1 卫星互联网安全保障总体思路

2.2 安全总体架构

3 结 语

近年来，5G/6G与卫星网络融合的应用热度持续攀升，成为近年来推动经济数字化转型的重要战略方向。在偏远地区或灾害应急场景下，地面网络在经济性和抗灾能力方面相对逊色，且维护难度显著增加。因此，5G/6G与卫星网络的深度融合，是实现“信息随心触达，万物触手可及”的理想解决方案。

3GPP对5G/6G与卫星互联网的融合可划分为两个阶段：第一阶段是卫星系统与5G/6G核心网络的接入，即卫星作为接入网络层和传输网络层；第二阶段是卫星系统与5G/6G在空口技术层面的融合，即卫星作为5G/6G的一种空口无线接入方式。直至卫星通信空口协议与5G/6G空口协议融合，仅需在频段上稍作区分，使得卫星基站可直接成为5G/6G基站，而卫星终端同样可作为5G/6G终端使用。

综上所述，未来卫星系统将作为5G/6G网络发展的重要补充性接入方式，同时承担5G/6G网络的回传任务，构建灵活的天地一体化网络架构，确保网络覆盖的全面性。

1

5G/6G 卫星互联网组网及安全分析

1.1 ITU 提出的 4 种组网场景

ITU-R M.2460—“Core Elements for Integration of Satellite Systems into Next Generation Access Technologies” 对卫星网络的应用场景、业务范围和关键技术等内容进行了系统阐述和深入分析。报告书中阐述了星地融合应用的4种典型场景，如图1所示。

图 1 ITU 提出的 4 种卫星互联网应用场景

中继节点。通过卫星链路为本地小区站点（如3G/4G/5G蜂窝网络等）提供链路补充服务，从而优化本地业务路由，实现远程业务的互联，并降低时延。

小区回传技术借助卫星平台的多端点多播和组播功能，实现了更高效地将远端业务传输至本地网络，同时通过卫星实现了本地网络数据的稳定传输至远端业务。

卫星链路实现了与高速运行的飞机、车辆、火车和船只之间的连接，借助其覆盖范围广的性能特征，实现高效链接。

在混合多媒体通信场景中，卫星可向家庭和办公室实现服务，为家庭和办公室补充非地面宽带内容，缓解地面网络负载过重的问题，支持海量用户进行视频、高清电视以及其他非视频数据的宽带业务。

基于上述业务描述及网络拓扑图，卫星网络在ITU的4种组网场景中扮演着核心角色，在无线回传网络领域发挥着关键作用，其主要职责是实现本地数据到远方节点的双向传输。基于5G/6G融合式接入与回传方案设计，结合5G/6G技术特点，卫星网络能够轻易实现该类数据传输任务，如图2所示的5G卫星融合传输视图即为该技术方案的典型应用。

图 2 5G 卫星融合传输视图

在该场景中，一部分信号经由通信终端（包括5G终端或模组）接入卫星基站，通过卫星系统将地面数据传输至远方；另一部分地面终端设备则直接连接卫星接收传输信号。最终而言，卫星通过馈电链路系统（5G空口链路）将数据送达地面核心网，而馈电链路则采用5G空口通信方式，连接到地面5G基础设施。

对于 6G 来说，接入和回传一体化设计也是类似的原理。

1.2 5G/6G 卫星组网安全问题分析

天地一体化网络沿用现有5G的安全防护机制，然而，随着空基网络的部署，卫星的动态特性可能导致新的安全威胁。

随着5G/6G技术的发展，天地一体化网络架构得以衍生，如图所示。该架构通过卫星接入与地基接入的协同工作，实现了地基控制与星上控制的共存。接入终端可采用多模式接入方式，分别连接卫星基站和地面基站。核心网络则可划分为空基核心网络和地面核心网络，随着业务发展需求的变化，未来这两部分核心网将逐步整合形成统一的大网。

在天地一体化网络架构中，终端设备具备多模式接入能力，既可以连接至卫星基站，也可以连接至地面基站，形成了两条并行的业务链路。这两条业务链路在运行特征、安全要求等方面存在显著差异。对于不同安全级别的业务，需要分别制定相应的访问权限管理策略；由于两条链路的时序不一致，终端设备需要为每条链路分配独立的资源进行处理和存储；同时，终端还必须对自身的软件和硬件系统进行精细化的安全管控。就天基和地基业务而言，终端设备需要分别实施其通信链路的完整性保护、数据传输的机密性保障以及移动设备的安全管理等任务，这显著提升了终端设备的管理复杂度。

图 3 天地一体化网络架构

（2）实现安全的更自主化接入。天地一体化组网网络的覆盖范围更加广泛，接入网络呈现高度异构性，其安全自主性能得到显著提升。对于不同的物件组和人群组，应建立独立的具有自主安全属性和排他性的小组（小簇）；通过结合安全手段，实现小区、扇区以及异构级联网络的空口接入控制。图4所示的架构为这些小区分配独立的接入资源、小组标识符、密钥，以及数据保护方案。值得注意的是，卫星的移动性特征将导致业务安全处理的复杂性显著增加。

图 4 异构接入天地一体化网络架构

（3）网络安全高协同。星地融合网络具备新型、复杂的应用场景，并且网络结构时变，混合业务呈现复杂多变的特征，如图5所示。因此，卫星互联网调度呈现为高动态，多个链路段高度协调，共同完成高复杂度的路由，最终实现端到端业务及安全保障。

图 5 天地一体化应用业务

2

卫星网络安全一体化体系研究

随着卫星通信技术的演进，空间网络与地面网络实现了深度融合，推动应用业务、网络架构及核心网的全面融合。通过天地协同调度实现资源按需分配，确保数据最优流转，构建天地一体化网络，使得用户无需人工干预，即可实现自配置、自修复、自优化的无缝式网络服务，这将成为未来网络技术发展的主要方向。

在这样的网络规划前景下，代际网络效应愈发显著，安全措施亟需革新，不仅不能停留在传统方式，待网络系统建成之后，被动式地叠加配置安全产品，即所谓的通信/安全‘两张皮’建设模式，这样的模式在面对高动态的网络架构时将举步维艰，最终被淘汰。

在网络安全时代，安全应与网络深度融合，形成整体化设计。安全逐步成为网络的内生因子，逐步内化至网络的计算、存储等资源，最终成为网络资源的重要组成部分，与网络共同成长。安全逐步实现服务化，根据网络需求进行动态编排。

2.1 卫星互联网安全保障总体思路

展望未来，5G/6G卫星互联网的发展前景及应用场景。为构建卫星互联网安全保障的基础架构，本研究将重点围绕5G技术展开，面向6G的卫星互联网将向星地融合的新型一体化网络演进。以5G技术为基础，6G卫星互联网将向星地融合的新型一体化网络演进。该网络演进将具备自配置、自修复、自优化等特性。

2.1.1 重构安全资源

天地融合网络将在共享的网络基础设施上，为公众用户、行业用户和特殊用户提供差异化的网络服务。这表明需要整合多样化的资源以满足差异化需求，通过共享资源、统一编排的资源以及分级的安全保护来防止侧信道攻击和威胁扩散。为了适应动态的安全需求，需要将传统统一、固化的安全资源根据实际需求进行颗粒化处理，使其成为动态、异构且冗余的安全资源，以便根据具体需求灵活选择和组合。通过分级化和全资源服务化的安全资源配置，同一安全等级的安全资源能够实现共享复用：在业务启动时，部分安全资源被投入使用；当业务结束时，这些资源被释放并重新整合，以完成其他安全任务。

2.1.2 网络内生安全因子

面对不同应用场景，需要对安全资源块和网络资源块进行动态分配与编排，以完成特定任务目标。要实现这一目标，必须将安全因子以服务化的方式整合到网络架构中。首先，根据具体需求整合安全硬件实体与网络硬件实体，使其在处理器上实现融合，以适应未来网络发展的需求；其次，对安全硬件组件进行细粒度的模块化拆分，然后对每个模块进行服务化封装处理，从而降低各安全功能之间的耦合性以及可重用率；最后，通过软件定义的安全服务功能为用户应用系统提供多维度的虚拟化安全服务，确保与网络安全体系的有效互通。

2.1.3 统一身份与信任体系

5G/6G 卫星互联网将推动构建一个全面的移动和互联数字化社会，涵盖虚拟现实/增强现实、智慧城市、智慧农业、智慧远洋、无人沙漠、工业互联网、车联网、无人驾驶、智能家居、智慧医疗、无人机以及应急安全等多个领域。在卫星互联网生态系统的背景下，参与其中的角色变得愈发多样化。不仅包括2G/3G/4G网络中的业务提供商、网络运营商、设备制造商、终端用户，还涉及边缘计算服务、物联网平台服务等专用业务系统、云平台运营商、终端使用方和终端所有者等多个新增角色。因此，5G/6G 卫星互联网生态系统的复杂性显著提升。为了实现对这一生态系统的全面理解，需要构建一个安全框架，明确各类角色在系统中的具体职责和安全边界，并通过信任模型贯穿整个端到端的业务流程，将零散的卫星互联网网络有机地整合成为一个整体系统。

2.2 安全总体架构

综上所述，本文提出了一种基于密码的5G/6G天地一体化网络安全架构，如图6所示。该架构包含三层核心防护体系：基础支撑层、安全服务层和全网安全层。基础支撑层由密码资源池、身份管理、安全策略、安全服务、安全存储资源和安全计算资源组成，其中安全基因嵌入网络资源，确保网络构建过程中的安全性。同时，通过建立端到端统一身份和信任体系，实现了基础设施可信性和身份、数据可信性的双重保障。第二层为安全服务层，利用基础支撑层的资源，构建终端安全服务、接入安全服务、网络安全服务和移动安全服务，为网络各节点提供多层次安全防护。第三层为全网安全层，通过天地一体化的布局，形成全面安全防护网络，确保高动态卫星互联网终端、网元和边界实现全网一体化防护，最终以内置安全因子为核心，构建自感知、自优化的安全网络体系。

该架构将数字化、可重构的密码技术作为网络基因植入网络底层，与网络共同编排、发展，赋予网络‘先天免疫力’。同时，随着网络发展，密码技术亦随之发展，最终使安全技术实现‘后天进化’。

图 6 5G/6G 天地一体化网络安全架构

2.2.1 闭环管理

基于5G/6G天地一体化网络的安全性架构，安全资源与网络资源实现了统一架构、统一服务和统一编排。图7展示了安全网络资源的闭环管理流程。通过密码态势感知技术的应用，安全资源能够根据网络需求和网络变化进行动态调整，为其构建智能化的卫星互联安全网络提供技术支撑。

图 7 5G/6G 天地一体化网络安全资源的闭环管理

2.2.2 密码筑基，后天成长

自2G时代开始，密码技术和通信技术相互依存，伴随3G、4G、5G技术的演进不断演进。在5G时代，密码技术通过主认证技术、二次认证技术、通信技术、OAuth2.0以及机密性和完整性保护等技术手段，为通信基础设施的安全提供了坚实保障。在现有网络架构中，机密性保护和传输加密技术通常不会在安全验证阶段开启，因为安全威胁可能会影响网络运行效率，导致频谱资源利用率下降。

然而，随着网络的容量和使用率的提升，网络安全问题将不断涌现，攻击者持续破坏企业和个人的数据安全，成为眼中的“财富”。

在设计之初，就需要充分考虑5G/6G融合的卫星互联网的安全代价与网络性能之间的平衡关系。通过将密码底层数字信号处理逻辑单元与网络资源底层的计算逻辑单元、存储逻辑单元进行联动设计，从而最大限度地提升服务器硬件效能。为此需要，确保能够适应卫星互联网资源受限及高动态的属性特点，将密码作为网络质量的因子，与网络资源实现共编排、共重构，并在网络共自智、共成长的过程中，持续优化整体性能。

3

结 语

5G/6G 卫星互联网是一种新型的天、地、海、空综合网络，涵盖多领域融合发展的特点。该技术不仅整合了DOICT相关技术，还强调了安全与通信的深度融合，同时明确了其在未来发展中的战略方向。本文创新性地提出了一种基于密码的安全保障架构，通过在网络基础设施层面上构建安全因子，建立多维度协同规划机制，实现动态管理与灵活调度，从而构建起安全可靠的卫星互联网络。

展望未来，基于本文提出的架构，我们计划安全服务于卫星互联网的各个层次，即终端层、接入层、传输层和应用层，最终构建天地一体化的安全服务架构，确保卫星通信系统的安全运行。