1、 区块链赋能的 6G 网络信任体系白皮书 Blockchain-enabled 6G Trust System Whitepaper 2023/3/9 Trust System 6G 区块链赋能的 6G 网络信任体系白皮书 iii 摘要1 信任是移动通信网络安全运行的基石,传统的中心式信任模式表现为网络与用户之间的认证和网络设备与设备之间的认证。6G 新型的业务场景和开放的网络生态,对信任体系提出了新的需求1。一方面,6G 将存在多种异构网络的融合和海量设备异构模式接入网络,传统认证机制在性能和效率上都无法统一满足所有场景。另一方面,6G 时代的网络 AI、数据服务和无线感知等新兴业务和空天地
2、立体组网需要分布式的多方协同机制。因此,6G 需要构建分布式的信任模型2。区块链是一种去中心化的分布式账本技术,可重塑现代社会的信任模式,实现从传统中心式单一可信根到基于共识的分布式信任根的演进,为构建网络信任体系提供了新的思路和更多的可能性。本白皮书提出了内生于 6G 网络的 6G 区块链和基于 6G 区块链的共识信任模式,以及共识信任模式与传统的中心式模式、背书式模式共同构筑的 6G 多模共生信任体系。另外,本白皮书还提出了多信任模式间的信任传递,从而革新通信网的共享模式,赋能网络的身份认证、数据可信管理、多方资源的分享以及存证审计等场景。本白皮书通过对 6G 新业务场景和业务模式的分析,
3、识别了 6G 所需的多种信任模式。并基于 6G 出现的分布式信任模式,以及多种信任模式的共生,针对性提出了区块链赋能的 6G 信任体系,相应地,提出了 6G 信任体系的关键使能技术。旨在引起产业界和学术界共同探讨,构筑 6G安全的信任底座。1本白皮书为国家重点研发计划重点专项“宽带通信和新型网络”项目“6G 无线网络安全架构关键技术”(项目编号:2020YFB1807500)资助成果。区块链赋能的 6G 网络信任体系白皮书 v 目录 摘要.iii 1引言.1 26G 网络信任场景和需求.2 2.1 海量异构接入重构身份管理.2 2.2 DAAS 驱动可信的数据管理.2 2.3 开放的商业生态需
4、要资源的可信共享.3 2.4 安全自证催生存证溯源和审计.4 3区块链赋能的 6G 网络信任体系.5 3.1 多信任模式共生的 6G 信任体系.5 3.1.1 多信任模式共存.5 3.1.2 跨信任模式的信任传递.6 3.2 6G 区块链构建信任体系.7 3.2.1 6G 区块链的定义与内涵.7 3.2.2 6G 区块链架构与信任赋能.8 3.3 信任体系的应用.10 3.3.1 分布式身份认证.10 3.3.2 数据全生命周期可信管理.11 3.3.3 动态资源安全共享.11 3.3.4 链上链下结合的存证与溯源.12 区块链赋能的 6G 网络信任体系白皮书 vi 46G 网络信任的关键技术
5、.14 4.1 抗量子区块链技术.14 4.2 区块链可编辑技术.15 4.3 链上隐私保护技术.16 5总结及展望.18 参考文献.19 缩略语列表.20 1 1引言 移动通信网从 1G 发展至 5G,其信任模式也一直在演变。1G 未考虑身份认证和隐私保护,也不存在运营商之间的互通和漫游。2G 考虑了漫游和互通的问题,但未考虑运营商之间的互信建立。3G 时代增加了用户和网络的双向认证,但假定了运营商在电路域是可信的,只提供了分组域的安全认证。4G 时代考虑了运营商之间的互信问题。5G 进一步统一了 3GPP 接入和非3GPP 接入的认证问题。6G 时代,异构网络的演进和海量设备的接入使得网络
6、变得更加复杂,各种基础信任建立和身份认证,需要易扩展、高鲁棒性的信任模式。同时,数据和生态等特征也呈现出新的需求,数据全生命周期中,各个参与者的互信、数据的确权、数据流转和共享、数据的一致性防护等,都需要底层的互信支撑。与此同时,AI 联邦学习和资源共享等场景也涉及到多方责任主体之间的信任构建。最后,法律法规、安全运维的要求,进一步强化了网络运营者对通信网的安全保障责任,对建立高可靠性的信任体系提出了要求3。因此,未来 6G 的信任体系应该朝着更具包容性的多模信任演进4。本白皮书第二章讨论了6G 网络信任的场景和需求;第三章提出了区块链赋能的 6G 网络信任体系;第四章讨论了 6G 信任体系的
7、关键技术。最后,第五章对全文进行了总结与展望,希望可以构建 6G 网络更健壮、更全面、可扩展的信任体系。区块链赋能的 6G 网络信任体系白皮书 2 26G 网络信任场景和需求 2.1 海量异构接入重构身份管理 2G-5G 阶段,移动通信网络对用户入网认证采用的是中心式的身份管理机制,用户与网络构成二元信任模型,由运营商统一运营管理。设备和网络功能则通过 TCP/IP 体系的安全协议完成认证,认证证书的签发者,即可信根通常为运营商或设备商运营的 CA。本质上,依然是中心式的信任机制。6G 网络将支持空基、天基、地基多种接入方式,固定、移动、卫星多种连接类型,个人、家庭、行业、社会生产生活等多种服
8、务类型,从而实现多接入、多连接、多服务融合,实现真正的万物智联。无论是多种接入方式的海量终端与网络的互信,还是异构网络之间的设备认证,都需要构建分布式的身份管理机制。首先,对于终端用户,可以打破集中式信任的单点认证,不必每一次认证都要求消息上传到核心网,简化认证流程;其次,对于海量无 SIM 卡的终端设备,可以为其提供接入网络的服务;最后,跨异构网络的认证或运营商和设备商之间的认证,也可以基于分布式的身份认证机制,降低公钥证书认证带来的冗长证书链的复杂度,提升证书系统的可审计性和可信性2。因此,身份认证的分布式化是对传统 5G 及 5G 之前认证体系的丰富和扩充,使其能够满足更多的场景和轻量化
9、的认证需求。2.2 DAAS 驱动可信的数据管理 数据是五大生产要素之一,在 6G 中的重要性不言而喻。6G 数据除了传统的用户签约数据、网络数据外,还包括了基于内生感知和内生智能两个新增能力带来的数据类型。前者包括网络感知自身状态、周围环境、以及用户/设备行为等产生的海量数据,后者包括建模分析和自动决策所需的训练数据、模型数据等。海量的数据是数据服务的基础,数据的流转是体现数据价值的重要机制。数据从产生、传递、共享和撤销,都可能涉及到多个责任主体,并需要在网络中进行安全的传输。区块链赋能的 6G 网络信任体系白皮书 3 6G 数据服务对于信任机制,存在以下四个诉求:1)在 6G 数据的全生命
10、周期中,数据的生产者、消费者、处理者、使用者可能来源于跨组织、跨地域、跨行业用户的数据服务。数据的每一个参与方需要构建多方之间的信任关系。2)数据的确权问题,数据的归属权、处理权、使用权,需要可审计的、不可篡改的可信机制进行全局视图的管理和维护。3)数据的流转和多方共享,都需要基于共识来完成关键信息的记录和跟踪,打破数据信息孤岛,并促进信息数据的多方合作。4)数据的存储需要安全的防护机制,分布式数据库的一致性、数据的不可篡改和不可抵赖性,需要通过安全可靠的存储机制来保障。综上,数据服务作为 6G 新的业务类型,需要为其构建一种去中心化的信任机制、安全不可篡改的可审计机制和全生命周期记录的存证机
11、制。2.3 开放的商业生态需要资源的可信共享 6G 网络需要将复杂的网络能力与最终用户(行业终端/APP)关联起来,依靠设备商和运营商自身是不够的,往往还需要开发者生态。6G 网络架构中,需要允许开发者对网络的能力进行编排组装,按需定义和部署网络能力,繁荣网络应用。因此,6G 的各类资源,包括通信(如频谱)、计算、存储资源都可以基于开放的生态实现资源共享。首先,频谱是无线通信的稀缺资源,传统的分配机制是由 ITU 负责分配和管理全球无线电频谱,各国在国际电联的规范之内,结合自身情况,制定国内的无线电规则。由于频谱资源宝贵且不可再生,为了提升频谱的资源利用率,6G 时代可在一定范围内推动频谱的安
12、全共享。其次,由于网络算力的泛在化分布,需要促进有效的算力聚合和协同调度,实现资源按需分配。最后,端边云一体化可为多级网络资源和服务能力的智能管控提供有力的实现途径。然而,端边云系统往往涵盖不同的场景设施,由众多的网元和节点组成,分属不同的利益体,彼此之间互不信任,从而制约了大规模异构网络的资源共享与协同。综上,6G 整个系统由多方主体组成,潜在的信任危机导致大量闲置通信、计算和存储资源难以聚合形成巨大的网络资源能力,同时也易于造成多方主体之间利益分配不公平问题。因此,资源共享作为 6G 的新型业务场景,需要多参与方之间的信任构建、共享过程的关键信息记录和公平的共享机制。区块链赋能的 6G 网
13、络信任体系白皮书 4 2.4 安全自证催生存证溯源和审计 随着 6G 网络开放性的增强,存证和审计是安全管理中不可缺少的一环。首先,在网络共建共享的场景中,异构组网技术和网络资源的不同提供者可以相互合作,每个参与方都扮演着网络资源服务贡献者和消费者的双重身份。保障 6G 网络稳定运营和价值交易流通的关键在于如何可信、精确地结算各参与方的网络资源贡献量和消费量。每一方为网络带来的与资源服务贡献量和消费量相关的数据信息必须得到安全可信的保护和存证。其次,资源开放带来的资费结算问题。参与方之间需要通过资费协议约定相互的服务,带来的资费协议的传输和签署流程慢、资费的仲裁需要层层升级等问题,亟需变革为自
14、动化的及时执行和可审计的流程记录。第三,关键网络 KPI 和日志的存证审计。KPI 指标数据是实现网络运营监管和促进网络闭环优化的关键数据,KPI 数据的上报容易受到攻击,造成被伪造、恶意篡改、丢失等严重后果。日志数据也存在被非法入侵者篡改的风险,篡改数据无法提供有效的追溯机制,无法起到安全审计的作用。因此需要一种安全不可篡改的存储机制完成校验、审计、完整性检查等工作,用于网络日志存证。综上,安全的溯源与审计一方面服务于 6G 开放的网络生态,另一方面也有助于传统场景的信任增强。因此,需要构建去中心化的信任机制和安全不可篡改的存证机制。区块链赋能的 6G 网络信任体系白皮书 5 3区块链赋能的
15、 6G 网络信任体系 3.1 多信任模式共生的 6G 信任体系 3.1.1 多信任模式共存 在 5G 和 5G 之前,通信网的信任模式主要包括两种:1)中心式信任。一方面,对于用户与运营商网络之间的信任,体现在由运营商(尤其是归属网运营商)提供对接入网络的用户的认证和授权,即通信方之间的信任关系由运营商以中心模式进行桥接传递。另一方面,对于设备与设备之间的信任,体现在由可信 CA 为设备签发身份证书,设备与设备之间基于证书的非对称密钥进行身份认证,CA是信任建立的可信根。中心式信任是通信网一直采用的信任模式,核心解决了网络的安全互联互通。2)背书式信任。指网络设备和网络服务提供方所提供设备和服
16、务的可信性需经过专业安全检测机构进行检测度量,送交网络运营方进行综合评定,作为采购、网络部署配置的参考依据。在 5G 及以前的代际中,第三方模式表现为离线工作方式,包括文件审核、功能完备性检查以及渗透测试,从检测角度已经覆盖了安全性检查要求。中心式信任和背书式信任是当前通信网的安全信任底座,未来也将持续为通信网服务。同时,如第二章所述,无线通信赋能各行各业,网络参与者和利益相关方将会更加多样化,6G 将趋于形成开放合作的商业生态,具备多方参与、专业分工、智能协同等特征,共同参与或构建网络业务,建立多方互信。因此,基于上述多方共识的需求,6G 需要在传统的两种信任模式下,提出基于多方共识的信任模
17、式,为构建和维护稳定、公平、开放合作的 6G 商业生态提供有力的安全支撑。共识模式指的是多方实体之间利用技术手段如密码学算法、分布式存储、共识算法等,达成多方互信,信任根不再依赖于集中的单点,而是由多个参与方共同组成。这种信任机制,可以服务于众多安全场景,如基于分布式身份的灵活认证、数据生命周期管理、网络资源共享、存证溯源审计等。因此,如图 1 所示,结合传统的两种模式,在未来 6G 中,中心式信任、背书式信任和共识信任各司其职,共存于网络的信任体系。区块链赋能的 6G 网络信任体系白皮书 6 图 1 三种信任模式 3.1.2 跨信任模式的信任传递 三种信任模式在网络中共生,体现在三种模式可以
18、单独使用,也可以跨模式传递信任,相互配合使用。对于网络业务的信任,包括跨运营商、跨行业用户、运营商内部跨网络、跨节点等多种,可以根据其网络运营状态等自身实际情况选择不同的信任模式。信任的传递是指建立多信任模式之间,或者相同信任模式下不同信任域之间的信任建立。不同的信任域指的是不属于同一个信任根的管理范围(可能是集中式的信任根或者基于共识的信任根)。以身份认证业务为例,大型运营商对于其设备的管理通过中心式的 CA 为其签发证书,小型运营商则可通过建立共识联盟,达成共识后,形成“共识 CA”,采用联合签名的方式共同为所属其的通信实体(如网络设备)签发设备认证的证书,以提升证书的可信性。跨两种模式的
19、设备间认证需要进行信任的传递。最简单的方式是中心式的 CA 建立与“共识 CA”的信任连接,并通过如签发交叉认证的证书等方式,实现跨域的信任传递,进而构建跨信任模式的证书持有者之间的认证通道。但是,如果两个信任根不能建立直接互信,则需要第三方进行桥接,第三方桥接可采用如图 2 所示的两种机制。一是建立中心式的跨域信任根,通过跨域信任根进行信任传递。由于信任域可能来自于不同的运营商、设备商、跨运营商和设备商的共识联盟、跨行业联盟等,中心式的跨域信任根需要一个完全可信的第三方来执行跨域的信任根。在具有多个信任根的情况下,此种模式的难度较高。二是通过共识信任模式构建跨域信任,这种机制相对开放,基于跨
20、域的联盟达成跨域的共识信任,从而实现区块链赋能的 6G 网络信任体系白皮书 7 信任传递。如由不同信任域中的节点组成跨域信任联盟,维护和建立跨域的信任基础,当信任域内节点需要建立跨域信任时,通过跨域信任共识联盟的背书,建立基础信任,完成消息互通。图 2 信任传递机制 3.2 6G 区块链构建信任体系 3.2.1 6G 区块链的定义与内涵 构建多模共生的 6G 信任体系,核心是打造基于共识的信任模式。而 6G 共识信任模式的底层逻辑可以基于区块链技术,区块链可从以下几个方面支撑共识信任模型:1)哈希、加密、签名等算法分别起到了计算原始数据的校验值保障其单向不可逆、原始数据的加密作用保障其明文不被
21、破解,以及数字签名确权作用保障不可仿冒;2)区块链的数据结构,区块链中的每个区块包含了一定数量的交易,交易通过默克尔树来保障不可篡改性。同时,区块之间通过哈希算法构造链接形成区块链,通过每一个区块环环相扣保障链的一致性;3)区块链被广播给全网所有参与方形成分布式存储,保障了即使少数参与方强行修改、删剪自己的区块数据,依然可以通过大多数节点保障数据的一致性;4)区块链的共识机制保障了链的参与者一起协作维护网络,同时引入了现实世界里必要的信任基础,共同维护链的信任模型。区块链赋能的 6G 网络信任体系白皮书 8 基于以上四点,区块链可以成为一个公共的“信任锚点”,区块链的每一个参与方,都是锚点的一
22、份子,从而达成共识信任。但是,将区块链引入 6G 网络,如果简单的以“带外”的形式独立于通信网的业务流程,将导致区块链的部署和动态管理流程、数据上链的流程和通信网的通信流程完全变成不可耦合的三个流程。区块链为 6G 构建基于共识的信任平台,接受 6G 网络的统一调度和管理,因此需要提出新的 6G 区块链架构和赋能方法,使其能够在多个层面完成信任的建立,包括跨运营商的信任、跨行业用户的信任、运营商内部跨网络、多节点之间的信任、甚至存储的信任,都可以由区块链对其进行信任赋能。因此,本白皮书提出 6G 区块链的概念,对其概念和架构进行重新定义。6G 区块链是 6G 和区块链结合后的全新定义。6G 区
23、块链具有如下特征:1)区块链能力内生。6G 区块链的基础设施为 6G 底层网络,将 UE、基站、核心网等移动通信网络节点作为区块链的基础设施节点,6G 网络能对具备区块链能力的节点进行统一调度和管理。2)6G 区块链赋能。6G 区块链服务于 6G 业务,基于 6G 区块链为业务提供安全的互信互享平台,业务也会因为区块链的引入需要重塑业务流程。3)节点异构、通信统一。通信节点的计算能力、存储能力、算力类型不同,所能够支撑的链节点能力也有不同,链的部署和调度依据 6G 通信节点的能力进行灵活匹配,通过 6G 统一的协议栈进行灵活控制。3.2.2 6G 区块链架构与信任赋能 图 3 6G 区块链整体
24、架构 区块链赋能的 6G 网络信任体系白皮书 9 6G 区块链架构如图 3 所示,由两类组件组成:区块链控制功能和区块链能力。其中,区块链控制功能位于网络侧的统一管理功能,是网络对接区块链需求和区块链能力的核心接口。区块链能力可位于网络中的各个位置,内生于 UE、基站、AF、NF 等各类型网络实体,负责作为链的节点或者客户端参与链的执行。区块链能力可根据网络实体的计算、存储、网络能力的差异匹配多种类型的链节点,如区块链客户端,区块链全节点等。当通信网节点能力不适用于区块链的全节点时,也可部署独立的服务器,如区块链一体机,专门用于承载区块链节点业务,一体机同样遵从 3GPP 协议的通信和区块链控
25、制功能的统一管理。在上述架构下,区块链控制功能负责各节点的能力发现、注册和部署,接收来自业务的区块链创建需求,分析需求并激活节点,通过向区块链能力下发激活、管理、配置指令,完成区块链的创建,为信任构建底层平台。图 4 为区块链视角的网络图和底层基础设施视角的网络图示例。底层为运行区块链的物理节点,可以包括 6G 通信网中的实体或区块链一体机。上层为从区块链视角的区块链网络,每个节点可分别映射到底层的物理节点上。为了应对第 2 章的各项需求场景,区块链控制功能可以灵活调配区块链能力节点,为其构建区块链,服务于对应场景下信任的建立。图 4 区块链视角和基础设施视角图示 区块链赋能的 6G 网络信任
26、体系白皮书 10 3.3 信任体系的应用 3.3.1 分布式身份认证 在 2G-5G 的认证模式中,网络与用户的认证和设备与设备之间认证是独立分离的两套认证体系。如今,面对新一代网络时代的到来,现阶段的身份认证技术需要在未来的 6G 网络场景下,设计一套多样设备和不同用户(涉及到人与人、人与物、物与物)的统一认证机制。如何在异网终端用户以及异网运营商的之间实现用户和设备的统一认证,是 6G 网络需要解决的问题。分布式身份认证技术具有分布式存储架构和集身份、凭证和信任于一体的透明化管理机制,具备安全性、可控性、可扩展性的特征,是上述问题的解决方案之一。数字身份请求凭证颁发凭证发行者用户/设备发送
27、验证信息/证明验证验证者凭证加密上链加密存储智能合约获取凭证信息区块链 图 5 基于区块链的分布式身份管理平台 通过将传统的集中式信任扩展为分布式多模信任的控制模式,可以建立运营商、卡商、设备商和用户等多方一体化的信任平台,进而实现统一化认证机制。为了建立用户和设备统一的身份认证,提高用户和设备的认证效率和降低其复杂度,用户可以就近认证,而无需每次返回核心网认证。同时设备也可以基于统一的身份认证规范执行设备之间的认证,从而完成入网许可认证。如图 5 所示,分布式身份可以通过自主访问控制和可披露权限来保护个人数据的隐私,进一步地,可以通过哈希、承诺、零知识证明等技术来解决个人数据的隐私问题。分布
28、式身份中实体的主要角色包括持有者、发行者和验证者。一般来说,分布式身份基于区块链的管理平台基础设施的实现方式为:持有者、发行者和验证者首先在区块链上注册自己的数字身份。接着,发行者响应用户/设备的凭证申请请求,为用户/设备颁发身份凭证。随后,根据验证者的验证需求,用户/设备选择需要验证的属性,根据不同的隐私需求,生成明文证明或基于零知识证明等密码技术区块链赋能的 6G 网络信任体系白皮书 11 生成密码证明,并将证明上链。验证者基于区块链对用户凭证中的属性进行验证,如果满足条件,则通过验证,否则验证失败5。3.3.2 数据全生命周期可信管理 数据在当今数字化现代社会中发挥着巨大的作用,6G 网
29、络对数据的全生命周期进行高效、安全、可信的管理变得尤为重要。可信数据全生命周期管理主要包括以下四个方面:1)数据参与方的信任建立:在 6G 数据的全生命周期中,数据的生产者来源于不同组织、地域、行业用户的数据服务,各数据生产者需要通过区块链构建互信关系,生成数据后及时将数据上链,在区块链中采用哈希算法等密码学手段保障数据的完整性。2)数据的流转和多方共享:在数据流转和共享的过程中,利用智能合约保证资源管理策略的自动执行,保障数据资源流转过程的安全、可信、透明、公平。通过区块链特性与密码学原理融合,构建出自主安全、高效可信的数据流转共享环境。3)数据的操作和处理:在数据的上链操作和处理过程中,区
30、块链通过节点间的共识实现了一个分布式的时间戳服务。时间戳就如同交易合同公证一样层层嵌入在区块组成的链条之中,能够显示操作记录的真实性。一旦被恶意修改,生成的哈希值就无法与之前的值进行匹配,非法的操作处理行为也会被系统监测到,保证了数据处理的合法合规。4)数据的可信存储:采用区块链链上和链下结合的分布式存储方式。在这种存储模式中,链上仅仅存储区块摘要和重要性高的数据,占比较大的区块体中的数据则是存储在链下,链上的区块头可作为指向对应链下数据部分的“指针”,可通过“指针”校验数据是否具有完整性和一致性,实现数据的不可篡改。3.3.3 动态资源安全共享 6G 通信网络的发展,势必催生智能交通、虚拟现
31、实、增强现实和数字孪生等一系列新兴服务,由此激增的数据量和计算业务与有限的网络资源将构成外在的主要矛盾。所以,6G 网络架构中,需要聚合多方力量,通过构建共赢的生态,实现通信、计算和存储在内的多维资源动态共享,以解决资源紧缺问题,提升用户的服务体验。然而,传统的资源共享方案,重点强调网络中通信、计算和存储等资源之间的共享,往往忽略了资源共享中的信任问题,如恶意节点影响公平交易、用户隐私泄露等。在万物互联的 6G 时代,网络架构、节点类型和业务特征将更加复杂多区块链赋能的 6G 网络信任体系白皮书 12 元,由于多方主体存在和联动所带来的信任危机问题也将愈发严峻,从而成为制约资源共享的重要壁垒。
32、因此,如何在海量异构设备接入和计算密集型业务激增的情况下实现多维资源动态安全共享,是 6G 网络面临的重要挑战。借助深度强化学习在分析、判断、优化和控制方面的优势,基于区块链的智能按需资源安全共享方案能够有效的解决上述挑战。6G 网络中,网络资源可以通过纵向和横向资源融合的方式,实现泛在异构网络资源的全网深度协同,最大化网络资源的利用。区块链节点可以部署于 6G 多层级网络架构下具有丰富资源的节点,其中普通节点用于传输、接收账本数据以及验证块,而共识节点用于产生块和执行块确认6。资源共享可以通过区块链系统以安全方式处理,主要存在两个过程:第一个过程是块产生,交易被打包入块;第二个过程是块共识,
33、交易共识之后将信息上链。在资源调度系统中,通过资源的协同融合和智能调度可以保障用户多样化服务需求;在区块链系统中,通过嵌入不同的隐私保护机制,比如,零知识证明和安全多方计算等,则能够保障用户的数据隐私。其中,资源调度系统和区块链系统对于网络资源的依赖,是相互关联,彼此耦合的。为此,可考虑根据可用的系统资源和不同的用户需求,从隐私保护机制的选择、块生产者的选择以及块的产生和确认等方面评估隐私保护安全策略的性能;然后,利用异步深度强化学习算法,通过联合优化隐私保护算法、块的间隔以及卸载的决策等,在降低任务处理所需资源调度开销的同时最大化系统的安全性能,使得资源分享过程当中安全和隐私性能得到极大提升
34、。3.3.4 链上链下结合的存证与溯源 在 6G 网络信任机制下,需要对参与方行为、共识漫游数据、KPI 和日志进行存证,而区块链的存储空间有限,链上和链下混合存证架构可作为提高其扩展性的有效方法。主要的做法是将大部分数据存在链下的分布式对等网络中,然后将数据的整体散列值或者数据分块后的散列值存放到区块链网络中,或者将存储数据的散列值存放到区块链上。在链上链下结合的存证模式下,溯源系统包括单链溯源模块、多链溯源模块、链下存储模块和底层技术7。底层的 P2P 节点、键值数据库、共识机制等,为溯源模块的构建提供环境。链下存储模块是用户独立的存储空间,为溯源模块提供内容支持。单链溯源和跨链溯源两个模
35、块都遵循去中心化的特性,单链溯源又分为链下语义信息抽取模块、链上索引构建模块和单链查询模块,跨链溯源分为数据整合和查询两个模块。区块链赋能的 6G 网络信任体系白皮书 13 单链溯源:6G 区块链需要在链上链下相结合的存证模式下,设计准确、快速的溯源方案。具体地,用户首先从链下存储的数据中抽取出语义信息,将语义信息与数据块寻址结构放入一个元数据中,将元数据以交易的方式提交到区块链上。收到交易后全节点们通过共识机制构建并维护一个全局的索引结构,通过索引结构提供对链上链下混合存储架构中数据的溯源功能,支持语义搜索、范围搜索以及模糊搜索。全节点可直接通过链上索引进行检索,对于只包含区块头的轻节点,则
36、只需要利用验证对象和头部信息即可对全节点返回的搜索结果进行验证。多链溯源:在多链存证的模式下,溯源还需解决跨链查询的问题,对多链信息的所属链、所属区块进行溯源。具体地,通过与单链溯源相同的方式对链下数据的语义信息进行抽取,在每条单独的链上构建索引,然后通过知识抽取的方式对不同格式的数据进行整合,整合为统一的格式之后在每条链上抽取一部分节点作为跨链委员会,不同链上的委员会之间组成一条知识链,通过委员会间的跨链共识构建跨链知识图谱,最终通过知识图谱提供跨链溯源的功能。区块链赋能的 6G 网络信任体系白皮书 14 46G 网络信任的关键技术 6G 完善的信任机制不仅需要将区块链和 6G 网络融合形成
37、 6G 区块链的新架构,还需在区块链技术上进行革新,以满足 6G 新的业务场景需求。首先,6G 中的高安全场景对区块链的密码算法提出新的需求,需要能抵抗量子攻击的区块链以稳固其信任构建的基础。其次,通过共识构建的信任体系记录了的具有数据主权的关键信息,需要 6G 区块链提供安全的数据编辑能力以保障其可删除权和可遗忘权。最后,由于用户隐私保护意识的增强及相关法律法规的要求,信任构建还需具备隐私保护的能力,6G 区块链链上数据的隐私保护将是推动信任体系走向应用的关键。4.1 抗量子区块链技术 密码技术是区块链的关键支撑技术,融入在区块链的建链、交易、共识、区块生成等各个环节。区块链中的密码技术主要
38、包括哈希、签名和加密,其中重点的是哈希和签名:1)哈希算法一方面在区块和区块之间组成区块链式结构,另一方面,区块内部交易的存储也基于默克尔哈希树的形式,目前区块链中使用的哈希算法主要有 SHA256、RIPEMD、KECCAK512 等。2)数字签名一方面,用于区块链交易过程中对交易发起方的验证,另一方面,也用于区块链节点对交易或区块的背书或确认,目前区块链中使用的数字签名方法主要有 RSA、DSA、ECDSA 等。在量子威胁下,以 SHA256 为代表的哈希算法,理论安全强度减半,量子计算机可以利用Grover 的算法来加速哈希的生成,重构整条区块链;以 RSA、ECDSA 为代表的数字签名
39、算法,其攻击强度从指数级降低为多项式级,量子计算机用 Shor 算法可以在多项式时间内进行分解。因此在高安全性的场景下,需要考虑可抵抗量子攻击的区块链。目前抗量子密码的标准化还在讨论进程中,抗量子区块链可通过公开标准选定合适的密码算法。对于数字签名和公钥加密算法,基于目前美国 NIST 的标准草案,预计在 2024 年推出的算法包括基于格的加密算法 Kyber、签名算法 Dilithium、Falcon 和基于散列函数的数字签名算法SPHINCS,以及已经在 IETF 和 NIST 完成标准化的基于散列函数的带状态数字签名算法XMSS。我国接下来也会推出抗量子密码标准,预计大概率是格密码,后续
40、也会推出 XMSS 配合国产散列算法的版本。对于哈希算法,国密标准会推出 SM3 的后继版本进一步提升安全性。区块链赋能的 6G 网络信任体系白皮书 15 区块链领域的抗量子密码迁移工作,目前最大的挑战是新算法的密钥、密文、签名尺寸远大于现在的椭圆曲线密码算法,这会对算法性能带来较大影响。因此,要结合区块链节点的硬件环境,可用资源(即内存,速度)、区块链的业务量和业务的安全级别来综合考量。如基于编码的密码系统对于密钥的管理和操作对计算资源需求很高;基于格密码的系统目前前景较好,但是对于密钥大小依然可以改进;基于多变量的公共密钥密码系统仍然需要改进,以提高解密速度并减小密钥大小等等。4.2 区块
41、链可编辑技术 当前各国都有相应的数据主权法案,典型的如欧盟的 GDPR 法案、中国的 PIPL 法案等。为防止数据控制者随意泄露个人数据、保护公民作为数据主体的合法权益,提出了数据主体对数据具有可删除权和可遗忘权的概念。区块链是天然不可篡改的数据存储平台,然而当链上数据涉及数据主权时,数据拥有者有权利要求区块链的运营者删除或修改其个人数据。因此,6G 区块链构建信任体系时,某一些链将具有可编辑特性。可编辑区块链通过特定的密码学算法重写区块内容,但不破坏区块链的一致性,典型的方案是通过使用变色龙哈希函数来完成区块内容的重写。不同于传统的哈希函数,变色龙哈希函数是一种带密钥的单向哈希函数,通过密钥
42、计算哈希碰撞,也就是说可以满足修改链的同时满足链的一致性。同时,为了区块链的安全性,区块链节点可以通过安全多方计算共同持有变色龙哈希的私钥,在多节点达成共识的条件下,才能共同修改。此外,在通过区块头的累加器对编辑历史进行记录,从而达成区块内容可修改,但仅能基于共识的修改,且修改记录可追溯的效果。既满足GDPR 的遵从性,又满足区块链的一致性和安全性8。具体链结构如图 6 所示。1)设计可编辑区块链架构和区块内容,构建横向和纵向的双向区块矩阵,通过 prev_hash和 last_hash 字段进行横向和纵向的连接,支持区块链节点对链的结构和区块内容进行编辑,利用双哈希值保障区块可修改且修改历史
43、可追溯。其中 prev_hash 采用变色龙哈希算法,保障交易修改后导致 m_root、timestamp 等包头内容发生改变,但区块头部的整体哈希值不变,保障了区块链的一致性。last_hash 采用传统哈希算法,记录同一高度的的不同区块的引用关系和区别。区块链赋能的 6G 网络信任体系白皮书 16 2)在区块头部增加 ACC(accumulater)字段,设计基于 RSA 累加器的一致性检测方法,通过将被修改过的区块插入到 RSA 累加器中,然后由区块链节点提供成员证明和非成员证明来验证区块是否被修改过,解决可编辑区块链中区块版本验证的问题。图 6 可编辑区块链结构 4.3 链上隐私保护技
44、术 6G 网络支持大量终端设备的部署和连接,将以惊人的速度和规模生成数据,形成丰富的数据资源。然而,随着个人信息保护法、GDPR 等法案的生效,为防止数据操纵者随意泄露个人数据,保护个人作为数据主体的合法权益,数据隐私保护的需求愈发强烈。在现有的数据存储和使用过程中,存在着大量的个人信息和商业敏感数据,不管是数据的监管者、使用者还是提供者或任何一环,都可能因为监管不严、安全措施不足等原因导致数据泄露,从而造成严重的社会影响。区块链以其公开透明、不可篡改等特性赢得各大企业的青睐,然而当链上数据涉及隐私时,数据拥有者有权要求对其个人数据进行隐私保护。区块链可采用基于零知识证明、安全多方计算等密码技
45、术的隐私保护智能合约来保护执行过程中的敏感数据,采用基于哈希、承诺、零知识证明等密码技术支撑链上数据的隐私保护。为了达到最大程度的自适应性和可组合性,链上数据可提供四种不同的隐私保护模式:明文模式、秘密模式、匿名模式和混淆模式,来满足使用者不同情况下的个性化隐私保护需求。隐私保护智能合约的可控执行模型包含三种执行模式:公开模式、私密模式和去中心化模式,将合约执行模式区块链赋能的 6G 网络信任体系白皮书 17 与隐私保护模式分别组合,得出可适配不同隐私保护需求的自适应、可组合的智能合约隐私保护模型。从而既满足数据保护法的隐私需求,又满足区块链数据的计算隐私性和存储隐私性需求。特别地,在分布式身
46、份系统中,用户凭证中不可避免的包含着用户个人信息,需要设计一种用户凭证信息和用户凭证验证过程的隐私保护方法。6G 区块链可以设计支持公开和隐私属性、重随机化和不可链接的可选择属性披露的凭证方案,有效地隐藏用户敏感信息和链上交易信息,实现用户凭证信息的自主控制。进一步,为提高 6G 网络隐私认证效率,可以使用结合向量承诺的零知识证明,达到批量认证效果,实现高效、按需、灵活的隐私保护。区块链赋能的 6G 网络信任体系白皮书 18 5总结及展望 本白皮书阐述了 6G 网络信任的场景和需求,提出了区块链赋能的 6G 网络信任体系,指明了 6G 网络信任的关键技术。面向未来,有待从技术研究、标准推动和产
47、业合作不同维度出发,联合产业界和学术界多方力量,推动 6G 信任体系的应用,为 6G 网络安全保驾护航。19 参考文献 1 童文,朱佩英,“6G:无线通信新征程”,北京:机械工业出版社,2022.2 IMT-2030(6G)推进组,“6G 总体愿景与潜在关键技术”,2021.3 IMT-2030(6G)推进组,“6G 网络安全愿景技术研究报告”,2021.4 刘斐,R.Sun,王东晖,C.Javali,刘鹏,“6G 原生可信”,华为研究第二期(无线专刊),2022.5 J.Yin,Y.Xiao,Q.Pei,Y.Ju,L.Liu,M.Xiao,and C.Wu,SmartDID:A Novel
48、Privacy-preserving Identity based on Blockchain for IoT,IEEE Internet of Things Journal,doi:10.1109/JIOT.2022.3145089.6 L.Liu,J.Feng,Q.Pei,C.Chen,Y.Ming,B.Shang,and M.Dong,Blockchain-Enabled Secure Data Sharing Scheme in Mobile-Edge Computing:An Asynchronous Advantage ActorCritic Learning Approach,I
49、EEE Internet of Things Journal,vol.8,no.4,pp.2342-2353,Feb.2021.7 E.Zhou,Z.Hong,Y.Xiao,D.Zhao,Q.Pei,S.Guo,and R.Akerkar,MSTDB:A Hybrid Storage-empowered Scalable Semantic Blockchain Database,IEEE Transactions on Knowledge and Data Engineering,2022.8 M.Jia,J.Chen,K.He,R.Du,L.Zheng,M.Lai,D.Wang and F.
50、Liu,Redactable Blockchain From Decentralized Chameleon Hash Functions,IEEE Transactions on Information Forensics and Security,vol.17,pp.2771-2783,2022.20 缩略语列表 缩略语 英文全名 中文解释 AI Artificial Intelligence 人工智能 CA Certificate Authority 证书权威 DaaS Data as a Service 数据即服务 SIM Subscriber Identity Module 用户身份