2024星閃無線短距通信技術(shù)應(yīng)用場景網(wǎng)絡(luò)安全解決方案

2023年122023年12目 錄第一章線距信痛點景星短技介紹 1線距信術(shù)點場景 1閃距術(shù)紹 2第二章閃鍵景安全析 4能車景 4能端景 4第三章能車景管理決案 55置享鑰PSK方案 5換件的置享鑰PSK方案 6第四章線池理（wBMS）絡(luò)全方案 7wBMS絡(luò)全求解決案 7wBMS全信決案 8第五章能端景力設(shè)口配解方案 99于心備弱力設(shè)口配方案 9能設(shè)口直配置案 10第六章結(jié)展望 12PAGEPAGE1第一章無線短距通信技術(shù)痛點場景和星閃短距技術(shù)介紹高質(zhì)量的網(wǎng)絡(luò)連接將驅(qū)動智能汽車、物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)發(fā)展，結(jié)合云計算和人工智能，創(chuàng)造全新的經(jīng)濟生態(tài)、關(guān)鍵基礎(chǔ)設(shè)施、生產(chǎn)制造和服務(wù)體系、新型應(yīng)用和消費模式，在此過程中，會產(chǎn)生新的應(yīng)用場景和需求，由此對無線短距通信技術(shù)提出了新的要求和挑戰(zhàn)。隨著智能汽車、智能家居、智能終端和智能制造等產(chǎn)業(yè)的發(fā)展，創(chuàng)新需求和應(yīng)用不斷涌現(xiàn)，星閃無線短距通信技術(shù)（以下簡稱星閃短距技術(shù)）的部分新應(yīng)用和業(yè)務(wù)如圖1所示。圖1 星技應(yīng)場示例隨著新場景的不斷涌現(xiàn)，包括智能汽車、智能家居、智能終端和智能制造在內(nèi)的多應(yīng)用領(lǐng)域在低時延、高可靠、精同步、高速率、多并發(fā)、高信息安全和低功耗等方面都對無線短距通信技術(shù)提出了更高的通信要求?，F(xiàn)有主流無線短距通信技術(shù)存在某些技術(shù)性能的先天局限，如抗干擾性、QoS和通信時延，或者在某些方面的技術(shù)潛力已靠近天花板，如可靠性和高密度部署，導(dǎo)致其無法滿足新應(yīng)用的技術(shù)要求：接應(yīng)用逐漸普及。家居場景通信對于數(shù)據(jù)傳輸?shù)陌踩煽恳约半[私保護也有高要求，隨著家庭WiFi和藍牙設(shè)備的增加，室內(nèi)干擾增加，對傳輸可靠性也提出挑戰(zhàn)。ITOT基于上述分析，智能汽車、智能家居、智能終端和智能制造等領(lǐng)域?qū)τ跓o線短距通信提出了超低時延、高可靠、抗干擾、高安全、精準(zhǔn)同步等共性要求，而現(xiàn)有短距無線技術(shù)在這些維度存在顯著的性能差距。星閃技術(shù)是一種無線短距離通信技術(shù)，用于承載智能汽車、智能終端、智能家居、智能制造等領(lǐng)域應(yīng)用場景的數(shù)據(jù)交互。星閃無線通信系統(tǒng)由星閃接入層、基礎(chǔ)服務(wù)層以及基礎(chǔ)應(yīng)用層三部分構(gòu)成，如圖2所示。其中，星閃接入層也可被稱為星閃底層，基礎(chǔ)服務(wù)層和基礎(chǔ)應(yīng)用層構(gòu)成了星閃上層?；A(chǔ)服務(wù)層基礎(chǔ)應(yīng)用層星閃上層基礎(chǔ)服務(wù)層基礎(chǔ)應(yīng)用層星閃接入層SparkLink-LowEnergy(SLE)SparkLinkBasic（SLB)圖2星閃無線通信系統(tǒng)星閃接入層SparkLink-LowEnergy(SLE)SparkLinkBasic（SLB)星閃接入層根據(jù)實現(xiàn)功能的不同分為管理節(jié)點（G節(jié)點）和終端節(jié)點（T節(jié)點，其中G節(jié)點為其覆蓋下的T節(jié)點提供連接管理、資源分配、信息安全等接入層服務(wù)?？紤]到業(yè)務(wù)場景對于無線短距離SLB和SLE(20us)SLBSLEPolar4MHz8PSK1SLE信息安全定義了星閃設(shè)備間SLE安全通信所需的信PSK等6第二章星閃關(guān)鍵場景網(wǎng)絡(luò)安全分析根據(jù)YD/T4007-2022SLB256比特共享密鑰PSK預(yù)T節(jié)點和GT/XS10002-2022SLE支持預(yù)共享密鑰PSKSLB和星閃低功耗接入技術(shù)SLE均可以基于預(yù)共享密鑰PSK預(yù)配置共享密鑰PSK。但如何配置預(yù)共享密鑰PSKYD/T4007-2022技術(shù)要求和測試方法》和T/XS10002-2022PSK的方案。PSKPSK適合使用基于SLE（M根據(jù)YD/T4007-2022《無線短距通信車載空口技術(shù)要求和測試方法》，星閃基礎(chǔ)接入技術(shù)SLB的關(guān)聯(lián)流程中認(rèn)證憑證配置方法包括：256比特共享密鑰PSK預(yù)配置在T節(jié)點和GGT256比特共享密鑰PSK。針對智能終端場景，由于智能終端可能會和其他任意的終端建立星閃連接，因此在兩個建立星閃連接的任意智能終端上預(yù)配置密鑰較難實現(xiàn)。同時針對無輸入無輸出的設(shè)備（即弱能力設(shè)備），用戶無法在設(shè)備上直接輸入口令。因此針對弱能力設(shè)備，如何配置認(rèn)證憑證是一個難點，標(biāo)準(zhǔn)中也沒有定義。本文件將給出幾種智能終端場景弱能力設(shè)備口令配置的方案。第三章智能汽車場景密鑰管理解決方案PSK配置共享密鑰PSK配置共享密鑰PSK圖3配置共享密鑰PSK方案配置共享密鑰PSK3所示。在GT節(jié)點中都預(yù)置初始密鑰seedseedG節(jié)點和Tseed和獲得的隨機數(shù)salt1saltsalt發(fā)送給Gsalt（）的方式發(fā)送給G2、G節(jié)點把隨機數(shù)salt發(fā)送給T節(jié)點，可通過有線或者無線（例如，星閃）的方式發(fā)送。3T節(jié)點收到隨機數(shù)stTsed和隨機數(shù)stPSPS=DF(seed,salt)KDFHMAC-SM3HMAC-SHA256T節(jié)點發(fā)送確認(rèn)消息給G節(jié)點。4GseedsaltPSK，PSK=KDFseed,salt)。GT節(jié)點保存PSKseed的長度建議為256比特，salt的長度建議為256比特。PSK的長度建議為256比特。針對不同的場景，seed的粒度可以不同。比如汽車場景，seed的粒度可以是一個車型一個seed。終端場景，seed的粒度可以是一個型號一個seed。PSK圖4更換部件時的配置共享密鑰PSK方案4廠商處獲取隨機數(shù)salt，如可以通過遠程方式獲取。更換的G節(jié)點或Tseed，配置共享密鑰PSK更換G節(jié)點：1、診斷工具給Gsaltsalt（送給G2、G節(jié)點基于預(yù)置的初始密鑰seed和隨機數(shù)salt推演PSK，PSK=KDF(seed,salt)。G節(jié)點保存PSK。更換T節(jié)點：1、診斷工具給Gsaltsalt（送給G2、G節(jié)點把salt發(fā)送給T節(jié)點，可通過有線或者無線（例如，星閃）的方式發(fā)送。3T節(jié)點收到隨機數(shù)stTsed和隨機數(shù)stPSPS=DF(seed,salt)。T節(jié)點發(fā)送確認(rèn)消息給GT節(jié)點保存PSK。第四章無線電池管理系統(tǒng)（wBMS）網(wǎng)絡(luò)安全解決方案wBMSwBMSwBMS網(wǎng)絡(luò)安全，具體BS1（2）（3）（4）針對以上wBMS全生命周期各個場景的網(wǎng)絡(luò)安全需求，提出的網(wǎng)絡(luò)安全解決方案如下表所示：場景方案電池包生產(chǎn)過程灌裝內(nèi)容灌裝初始密鑰sed和隨機數(shù)s3.1使用eed和st生成PSK）Seed和PSK粒度seed一車一個PSK或一車型一個PSK灌裝方式seed/整車產(chǎn)線觸發(fā)生成PSKPSK的存儲建議使用HSMPSK；，可將PSK電池包工作過程電池包工作時基于星閃接入層網(wǎng)絡(luò)安全機制建立安全通信連接（見章節(jié)4.2），可滿足雙向身份認(rèn)證、機密性保護、完整性保護、抗重放攻擊等安全通信需求。電池包換電、倉儲階段換電站G節(jié)點和電池包建立連接seed，seedsaltseedsalt生成PSK電池包維修階段場景1：G節(jié)點損壞，更新G節(jié)點維修方法1：車廠灌裝密鑰。1saltBCU22salt，維修店工具把salt發(fā)送給共享密鑰PSKG節(jié)點T節(jié)點共享密鑰PSKBCU（有線），BCU生成PSK。場景2共享密鑰PSKG節(jié)點T節(jié)點共享密鑰PSKBCU（有線），BCU生成PSK。場景2：T節(jié)點損壞，更新T節(jié)點維修方法1：車廠灌裝密鑰。1salt22salt，維修店工具把salt發(fā)送給BCU（），BCUsalt），BCUPSK。和協(xié)商流程和協(xié)商流程 配對初始信息流程啟動安全流程密鑰刷新流程（包括暫停安全和啟動安全流程）安全控制驗證鑒權(quán)流程配對發(fā)起圖5wBMS場景的星閃SLE技術(shù)配對鑒權(quán)流程8wBMSSLESLE6PSKwBMS需求，推薦使用PSK5所示，其中消息格式參考T/XS10002-20228PAGEPAGE10第五章智能終端場景弱能力設(shè)備口令配置解決方案本章節(jié)將給出弱能力設(shè)備的幾種口令配置的方案，包括基于中心設(shè)備的弱能力設(shè)備口令配置方案和弱能力設(shè)備口令直接配置方案。圖6基于中心設(shè)備的弱能力設(shè)備口令配置方案6SLB312SLB11SLBSLB11）1ID和SLB2SLBSLB1。21IDSLB12SLB口令進行SLB關(guān)聯(lián)。廣播(G節(jié)點ID)廣播(G節(jié)點ID)關(guān)聯(lián)請求消息(ID,KEalg,KEt,SecCapabilities,NONCEt)2.安全上下文請求消息(KEg,NONCEg,KgtID,algorithm,MIClength,AUTHg)MIC安全上下文響應(yīng)消息(AUTHt)MIC關(guān)聯(lián)建立消息基于G節(jié)點ID,T節(jié)點ID,NONCEt,NONCEg生成口令T節(jié)點基于G節(jié)點ID,T節(jié)點ID,NONCEt,NONCEg生成口令G節(jié)點圖7弱能力設(shè)備口令直接配置方案7YD/T4007-2022GTIDNONCEtNONCEgGT節(jié)點基于該口令進行SLBT節(jié)點向GTNONCEt。GG=KDF(GTIDNONCEt,NONCEg)，并根據(jù)口令生成PSK，PSK=KDF（Kgt，口令TIDGIDNONCEt,NONCEg）GAUTHg=KDF(PSK，KKE,NONCEg,關(guān)32比特。G節(jié)點向TNONCEg和AUTHg。T。G=KDFGID,TID,NONCEt,NONCEg)，并根據(jù)口令生成PSK，PSK=KDF（Kgt,口令TIDGIDNONCEt,NONCEg）T節(jié)點基于PSKAUTHgAUTHgTTGAUTHtAUTHt=KDF(PSK,KKE,安全上下文請求消息,NONCEt,G節(jié)點密鑰協(xié)商算法能力)|高32位G節(jié)點驗證AUTHtG節(jié)點向TG節(jié)點和T節(jié)點保存PSK，以及PSK和對端ID的對應(yīng)關(guān)系，后續(xù)直接使用該PSK進行SLB關(guān)聯(lián)。G節(jié)點和T節(jié)點采用此種方法生成口令，