超级SIM 打造成为人人都有的安全基础设施

中国移动 ChinaMobile 超级SIM 打造成为人人都有的安全基础设施 庄严 中移互联网有限公司 2023年6月 中国移动 ChinaMobile 现状：超级SIM安全产品规划及行业发展情况 目录 未来：基于号卡安全基座的思考及建议 1.1国家有要求 中国移动 ChinaMobile 党和国家高度重视网络信息安全工作，通过发布相关政策法规，采取各项重大措施，支持推进国产商用密码 等关键安全技术的创新应用和产业发展，保障网络信息的安全可控、全程可信，推动国家安全体系和能力现代化 《国家安全法》：2015年7月1日施行，实现网络和信息核心技术 关键基础设施和重要领域信息系统及数据的安全可控口党的二十大报告：专设了第十一部分匣述国家 《网络安全法》：2017年6月1日施行，维护网络数据的完整性、保安全的重要内容，提到“安全”一词多达91次 密性、真实性和不可否认性，需要发挥密码技术的核心支撑作用等 《密码法》：2020年1月1日施行，明确密码分类管理，支持推进商口习近平总书记多次强调：没有网络安全就没有 用密码应用创新和产业发展国家安全，就没有经济社会稳定运行。 《数据安全法》（2021年9月1日）、《个人信息保护法》（2021年 11月1日）、《关键信息基础设施安全保护条例》（2021年9月1日）、 《促进商用密码产业高质量发展的若干措施》（2022年1月）、口李强总理签署第760号国务院令：公布修订后 的《商用密码管理条例》1自2023年7月1日 起施行。 中华人民共部 国家安全 中华人民无新中华人民共科 网络安全站基安全站个人信息保护 2 1.2集团有布局中国移动 ChinaMobile 作为信息科技领域的央企，中国移动肩负网信安全主力军、国家队的重要责任。2022年，新基建推进领导 小组、产品管理委员会等会议都专题研究了安全产品的布局和推进情况，充分体现了集团公司对安全工作的重视。 第九次会议（安全产品专题） 以新安全格局保障新发展格局，卡位云网安全重点集团公司新基建推进领导小组 领域，探索制订安全治理相关技术标准。 杨杰董事长 安全产品要发挥号、卡、大数据以及网络优势 CHBN全向发力。 新基建准建领导小划会议纪费 做好安全产品是当前形势下企业发展的需要 更是国家发展的需要。 安全是产品、是能力、是服务，也是责任、是 红利、是效益。 董昕总经理 产品管理委员会公议纪要 集团公司产品管理委员会 2022年第二次会议 集团安全产品业务总体规划： 践行网络安全“三重境界”理念，推动网络安全从2C：号卡认证产品、通信防护产品等。 单点可控迈向全程可信。2H：家庭安防产品、家庭网络安全解决方案等。 2B：超级SIM安全网关产品、云网安全产品、信 李慧镝副总经理创安全产品、智慧认证产品等。 3 1.3做新型安全产品的关键切入点：超级SIM卡 中国移动 ChinaMobile 要解决信息安全问题，核心是解决安全的数据连接和身份鉴权需求。而从CT时代开始，SIM卡就定位于安全 鉴权载体，升级为超级SIM卡后，可进一步实现从CT领域通信鉴权向IT领域身份鉴权的切入 国家十四五”规划中提出：“智慧政务要加强推广应用电子证照、电子合同、电子签章” 通信鉴权身份鉴权 从CT领域到IT领域 初心：为通信鉴权服务扩展：安全芯片，为数字认证服务 运营商的超级SIM卡具有四大差异化核心优势 成本最低普及度最高金融级安全便捷加载应用 通道：短信、BIP、机卡 成本：平均仅3元/张 用户：近10亿用户规模安全芯片：EAL4+认证 应用：APP、H5多渠道空中下 移动：随时随身携带基础：泛在的持卡基础国密标准：支持国密算法载 新定位：走超级SIM卡可成为全社会数智化转型中安全领域的新基石 1.4超级SIM的发展历程和功能特性 中国移动 ChinaMobile 2016年开始，SIM卡进入超级SIM时代，逐步增加安全芯片、数字证书、国密算法等能力。2021年推出的 3.0+卡具备更强的运算能力和远程升级能力。 普通SIM卡超级SIM卡 2016年后的普通2016年USIM2.0B卡2019年USIM3.0卡2021年季度USIM3.0+卡 2016年以前的 普通SIM卡 SIM卡SIM快捷SIM盾 SIM快捷SIM盾国密芯片、 SIM快SIM 国密BIP 捷卡应后卡 SIM快捷卡应用 卡应用卡应用卡应用卡应用国密牌法安用能力通道 无附加能力 具备SIM认证能力新增数字证书能力新增国产密码能力新增下载卡应用和数字证书能力 口超级SIM卡具备芯片高安全（EAL4+）、通道高可用（机卡交互）、算法更高效（国密算法）、接口更丰富 (开放API）等显著特征，超级SIM卡技术架构 必达通知SIMKEY数字身份数字货币 安全SIM认证SIM盾 产品 SIMkey 必达通知应用层SIM快递SIM盾交通卡门禁卡 能力层空间管理应用管理应用更新（BIP) 系统层操作系统文件系统指令管理JDK开发环境 短信加密通道BIP加密通道机卡加密通道卡应用更新拉起H5 安全安全芯片安全空询国密算法NFC 能力安全芯片安全空间国密算法数字证书 硬件层 通信鉴权1S07816 普通SIM卡超级SIM卡 1.5超级SIM在IT时代的新优势：行业广泛认可的国产商用密码载体 中国移动 ChinaMobile 3.0+卡带来的国密安全芯片和密钥存储能力，结合PKI非对称加密技术和国产密码算法，推动超级SIM卡成为 新型的移动端智能密码钥匙，可在人联网、物联网等应用场景提供高安全身份认证和数据加密传输等能力，实现 社会信息安全能力的全面升级。 国密局商密产品认证： 国密安全芯片“运营商内首个以超级SIM卡为安全载体获得该证书的智能密码钥匙产品。 国产密码算法 加密/签名密钥 随身携带、低成本、普及性高CA证书/用户唯一标识 清华大学王小云院士： "超级SIM卡作为密钥安 全载体具有打造国家新安全基 础设施的能力与价值。 1.6.1产品1：超级SIM安全网关 中国移动 ChinaMobile 基于运营商独有的可信身份体系，以中国移动特色的号卡能力为核心，解决传统安全网关基于账号口令带来 的安全风险，构建以“有身份、有密码、有数据”的超级SIM安全网关产品方案。 号卡安全能力超级SIM安全网关 传统安全网关有身份全业务场景“不可见” 基于账号口令的静态防护模式手机号码实名制 ：未实名 有密码升级 全网络流量“不可读” ·易泄露全栈国密超级SIM卡全访问请求“强授权” ·难溯源 有数据全用户行为“可追溯” V高安全号卡认证 通信级大数据风控 √暴露面全面收敛 V用户行为可追溯 基于国密号卡实名认证，解决传统账密 通过零信任技术，实现暴露面隐身 手机号作为实名身份标识，实现用户流 的弱密码撞库、拖库等问题。 解决暴露面被攻击的风险。 量实名化，解决匿名IP难溯源的问题。 1.6.2以超级SIM安全网关为切入点，与启明星辰建立生态合作 中国移动 ChinaMobile 互联网公司与启明星辰充分发挥自身的技术优势、产品优势和行业累积优势，共同打造以“号为人、卡为钥匙、安全网关为新型锁芯”的超级SIM安全网关产品，从欧美的“零信任”体系升级为中国特色的“可信”体系 启明星辰企业总部 国用人用户 启明星辰内部近7000名员工更换超级SIM卡启明星辰全面启用超级SIM安全网关进行网络访问控制 超级SIM安全网关通过创新融合运营商号卡身份和国密芯片，形成全新的零信任安全引擎，全面提升数据安全防护和端到端的可信能力，真正体现了运营商独特的资源票赋优势， 启明星辰严立总经理 1.6.3启明星辰对超级SIM安全网关的专业性给予高度认可 中国移动 ChinaMobile 超级SIM安全网关对传统安全网关带来的提升体现在：采用号卡认证的防护模式，用户私钥保存在SIM卡硬件载体，且使用国密算法保护，用户随身携带，无法通过云端模拟和伪造，解决传统安全网关采用账号密码的防护模式，容易通过撞库和拖库等字典攻击，非法获取到用户的访问权限等问题，大幅降低了各项网络攻击的成功率。 启明星辰高层领导对超级SIM可信认证体系的评价 ·我做了一辈子的安全，都是先 ·网络安全问题其实就是主体对客 ·超级SIM不只是一个认证方式 构建一个安全账号，再想办法去保护这个账号。现在有了号卡这一个真实的账号，安全的 体访问的问题，通过超级SIM卡来区分合法用户和可疑用户，重新构建企业访问控制的信任基础 而是一个信任体系，要把启明星辰内部的产品线都进行号卡身份升级，打造基于超级SIM 工作思路都可以重写。 的“信任产品”体系。 启明星辰严立总经理启明星辰潘柱廷首席战略官启明星辰朱向东副总裁 1.6.4行业发展：超级SIM安全网关有效完善5G政务专网的产品能力 中国移动 ChinaMobile 根据某省数字政府整体规划设计，通过将超级SIM安全网关与5G政务专网深度融合，在满足智慧政务传输速率，通信时延，覆盖范围等网络性能指标的同时，保障用户准入身份的真实性和政务数据传输的机密性，助力某省数字政府构建“端、管、云”一体化安全防护体系，打造了一张安全可控5G政务外网， 整体方案架构与应用 SM9标识算法：SM9标识算法应用于政务物超级SIM安全网关：CT+IT安全准入管控 联网系统，提供轻量化的密码服务能力保障端到端数据安全传输 5G专网政务外网 物联网终端信令流PCFUDM超级SIM安全网关 AMFSMF加密解密服务密码设备 基站数据流 UPF 二次鉴权 签名验签服务资源池化 人联网终端 超级SIM卡 SPA密钥防火墙政务应用 超级IM国密资源池 超级SIM卡：一人一号一卡一密，一张随身携带、高安全的“U超级SIM密码资源池：满足各委办 ，承载身份鉴权密钥，以号码为标识、便捷的密钥管理局政务应用系统密评密改要求 10 1.6.5超级SIM安全网关在行业的推广和落地 中国移动 ChinaMobile 云服务线条IT线条网络线条 OMZD 陈号管理SIP/合期 超级保证AERRNS SIM金库 互联网终端股入区DMZB 3入 安全RARE息 同关提权 持理安全 下发执行爱科丝安全间关 针对云服务远程移动办公的网络安全管控中国移动IT线条已规划10个省零信任升级建 需求，采用超级SIM安全网关替代现网者设，并在山东、天津、河北等省份进行POC日VPN，不断强化云服务网络安全防护机测试和落地。 制，助力MOA业务系统安全、稳定运行 为云服务“铸网行动”保驾护航。 中国移动网络线条已在福建、湖南等省 份上线测试了超级SIM安全网关，并通过集团巡检，效果得到认可。 11 1.7.1产品2：超级SIM国密资源池 行业密评密改需求源于国家标准"GB/T39786-2021”，该标准的发布标志着《中华人民共和国密码法》 中国移动 ChinaMobile 的贯彻实施，开启了针对关键基础设施系统进行“等保”和“密评”双同步的时代，两部委也针对中国移动下发 了商用密码改造和应用的要求。 密评标准体系两部委考核要求 过程指导 测评过程GM/T0116-2021《信息系 统密码应用测评过程指南》工业和信息化部办公厅中国移动需准备内容： GB/TGM/T风险判定 39786信 《信息系统密码应用测评高 ①商用密码应用工作计划 息安全技术 0115-2021 测评结果 风险判定指引》(2021) 工业和意化图办公美于印安（色年思笔 信息系统 信息系统密 电信企业营维公司网络专总安全工作专楼(2)商用密码应用方案，并按照 码应用基本 要求》 密码应用测评要求》 量化评估 《商用密码应用安全性评估 量化评估规则（2021） 联自考洋分标）（2年店注电信会业 专业会司国热专信息安全工作专校 方案进行商用密码能力建设 ④ 结果视范《信息系统密码应用安全性医点专作分标准）的通者③商用密码应用工作总结报告 测评报告报告（模板）》(2021)关键信息基础设施商用密码 使用管理情况报告 密评通过标准