运营商网络安全可信内生探索与实践2023年11月

运营商网络安全可信内生探索与实践 杨凯 中国移动通信有限公司研究院安全所副所长2023年11月 C目录 一、技术演进带来安全新挑战 二、构筑网络安全可信内生技术体系 ATALOGUE 三、创新实践 技术演进带来安全新挑战 PART.01 趋势一：多业态融合演进为安全技术发展注入新动力 数智化时代，随着连接、算力、业务的融合演进，提出了安全新需求、也提供了安全新动力。 连接(空天地)融合 开放、动态、智能、服务化 网络更开放，形成更大的暴露面 IT化解耦，形成更多内部攻击路径 动态组网，形成动态边界 DTN等6G网络新能力提供安全新动力 算网融合 算为中心，网为根基，算网融合 节点，需要依据信任度选择计算方法 计算，需要保障过程不被攻击 数据，需要保障全程安全与隐私 更强的算力，提供更强的安全分析能力 新业态（元宇宙、Web3.0） 用户为中心、动态互联 元宇宙：虚实融合、沉浸式体验（超大流量） Web3.0：协作去中心化、资产价值化 数字资产、内容权属和权益是关键问题 要防护更大的攻击面 需要防护更细粒度的攻击 要形成灵活动态的安全服务 计算节点需自证安全性 计算过程需保障不被攻击 数据全生命周期安全 多身份体系认证体系互通 数据资产保护 安全要可信安全要灵活安全要内生 趋势二：新架构加大了网络安全边界泛化的程度 通信网络正加速向未来网络演变，算力资源成为核心生产力，移动性接入增多，业务安全边界变得模糊，云上业务受攻击面扩大，传统的基于设备物理位置和网络位置的接入安全防护已难以满足移动性接入安全防护需求。 传统安全 固定边界 未来网络 通信网络 网络为核心的信息交换 算力为核心的信息数据处理 新安全 融合边界扩张边界开放边界 网络安全新范式 新架构新技术新产业新运营 趋势三：新技术发展对既有安全防御规则形成挑战 量子计算、人工智能等新技术在业务场景中的融合应用，较之传统技术而言在计算、存储、传输能力等方面带来大 幅跃升，但可能诱发更加高效、有针对性、难于发现和追溯的网络攻击，对既有网络安全防御规则形成了巨大挑战。 密码的安全性 密钥的安全性 密码算法的安全性 密钥的安全性 密钥管理 非对称加密 对称加密 散列算法 日益逼近的“量子霸权”促使密码技术向“抗量子”及 “国产化”方向发展。 网络攻击自动化 1 网络攻击智能化 2 利用AI技术可进行自动化漏洞探 测、构建恶意软件等，不仅大规模降低了攻击成本，更提升了复 杂攻击的速度与执行效率。 通过AI工具进行模拟合法操 作，修改设备配置，再利用 中间人展开攻击。 人工智能技术的发展像一把“双刃剑”，给网络安全带 来挑战和风险。 大数据 B-Bigdata 推进大数据价值转化 加速人工智能创新突破 人工智能 A-AI 放大“能力中台”赋能效应 能力中台 I-IntegrationPlatform 引领算力网络发展 算力网络 C-Computilitynetwork 6G 6-6G 前瞻研发6G 面向“六大领域”实施“BASIC6”科创计划 安全 S-Security 强化网信安全能力 国家专项 (CYD、LHT、战新等) 公司战略 （连接+算力+能力） 政企市场需求 领域方案 安全连接5G/6G安全数据安全AI安全... 能力融合信任 能力融合与协同调度安全技术 对外：形成增值服务 对内：保障大网安全 基础技术 量子密钥区块链可信计算 隐私计算 ......研发 构筑网络安全可信内生技术体系 PART.02 基础技术：量子密钥无线分发技术解决传输难题 针对量子密钥“最后一公里”传输难题，中国移动启动了“Q波计划”：利用无线信道的“不确定性”实现量子密钥的“确定性”安全传输，促进量子通信与移动通信的融合发展。 无线传播环境 反射 折射 散射 无线信号小尺度衰落 时间域：多普勒频移 频率域：时延扩展 空间域：角度色散 “取之不尽，用之不竭”的天然随机源 无线信道特征 随机性 互易性 空间不相关性 无线信道密钥技术 无线物理层密钥生成 物理层信息安全传输 满足量子密钥大规模应用需求的“三层架构” 基础技术：通过区块链技术实现平权共治 基于区块链与传统CA技术特点，提出多层级CA身份体上链技术；支持引入CA机构根证书与加入个体证书，解决层次化CA证书上链与互信的问题。推动ISO/IEC、ITU-T启动修订传统数字证书体系的权威国际标准ITU-TX.509。 联盟2 联盟1 联盟3 证书1 证书2 根证书1 证书3 证书4 用户证书批量记录至区块链，无需CA机构参与 证书1.1 证书1.2 将共同信任的CA机构证书记录至区块链，兼容传统技术模式 运营商2 设备商2 认证机构1 运营商1 设备商1 CA集中式架构区块链+CA分布式架构 基础技术：基于可信度量技术实现全网运行可预期 基于可信度量技术构建节点可信、连接可信、运营可信的防护框架，实现计算环境可信、边界可信、网络通信可信，达到网络行为可预期管理，网络传输有保证，网络安全能力可输出的目的。 全局可信安全管理中心 可信 运营可信 管理可信检测分析可信策略管理AI 安全能力开放 安全日志、可信状态、可信告警上报安全策略下发 移动云 可信可信服务器虚拟机可信应用服务 执行层 可信网关边缘云 可信网络 可信服务器虚拟机可信应用服务 基础技术：密码与隐私计算实现多云协同下数据存算安全 在多云场景引入白盒密码和隐私计算技术，实现云上数据存算过程的安全。在中心云节点构建安全计算管理中心，用于支持密钥管理以及隐私计算调度；在云节点支持白盒密码技术以及隐私计算能力。 用户私有云 密钥管理和隐私计算调度 密文业务数据 密文数据 边缘云 密钥管理和隐私计算调度 态存储 白盒密 态存储 传统密 安全代理模块密文数 据 中心云 隐私 计算 模块 隐私 隐私计算调度 计算 模块 密态数据 协同计算 边缘云 协同计算阶段：数据在密态下进行计算，防止数据泄露 云上存储阶段：白盒密码实现密钥隐藏，保障存储安全 领域方案：基于安全互操作技术实现全网安全资源协同 可信安全管理中心 I风险识别能力 P安全防御能力 统一标准接口 安全互操作平台 D安全监测能力 R安全响应能力 R安全恢复能力 鉴权认证 请求管理 路由转发 协议转换 日志记录 能力编排 接口适配 能力调度 异常流量配置API 黑洞路由策略API策略查看API 防护规则API 数据库信息扫描API 扫描任务查询API 漏洞扫描创建API扫描模板API删除任务API 通过安全互操作技术，整合分散的安全能力，打通异构安全能力协同通道，为可信安全管理中心提供统一知识运营，实现全网安全资源协同管理。 异常流量监测 异常流量清洗 厂商A厂商B厂商C 近源类安全产品 网页防篡改 主机防护 …… …… 厂商A厂商D厂商E Agent类安全产品 云化基线扫描 漏洞扫描 …… 厂商A厂商B厂商D Saas类安全产品 领域方案：推进5/6G内生安全技术研究增强网络自身安全 在增强网络设备自身安全的基础上，配合专用的安全设备与系统，并通过智能分析、灵活编排等运维管理手段，形成可靠、灵活、至简的动态安全内生防护体系，有效地识别和防御各种网络攻击。 5G/6G内生安全架构 安全管理中心 安全服务 安全智能中心 安全集中分析 安全模型训练 安全策略生成 安全策略与配置 安全策略控制单元 网络设备安全控制 安全设备能力控制 设备安全能力 专用安全能力资源池 设备自身安全能力与配置 网络内建安全服务 SaaS安全能力 安全能力与资源 安全专用设备 备用安全能力资源池 人 信 工 任资 基源 础编智 设排能 施与分 调析 度能 能力 力 领域方案：布局可信人工智能构建网络安全基石 可信人工智能技术是帮助人工智能实现可信的基础。通过评估数据可信、模型可信和环境可信，建立安全可靠的 人工智能系统。 可信人工智能关键技术 要求 可信安全可靠让人信赖 特征 可信透明可释 可靠可控隐私保护 公平公正 可解释性鲁棒性隐私保护公平性 可事前可解释性 信自解释模型 关 注意力机制 事后可解释性 键规则提取 技模型蒸馏 术敏感性分析 局部近似 数据检测 数据溯源异常检测 模型增强 对抗训练知识蒸馏 对抗噪声擦除 数据压缩 重构对抗样本 数据保护 差分隐私 模型保护 同态加密 安全多方计算 分布式学习 联邦学习 数据偏见 因果关系检测 模型偏见 反偏见算法 评估偏见 公平性指标 创新实践 PART.03 基于安全互操作协同，实现安全合规与注智赋能 依托安全互操作技术，打破传统安全系统互联互通技术壁垒，纳管拉通O/B/S三域安全资源实现统一的大安全运营，构建集团首个“智慧中台+SDS”，助力公司网络安全高标合规和对外注智赋能。 对外安全运营管理平台 对内安全管理态势感知 省级能力开放平台 安全能力互操作平台 S域安全能力 O域安全能力 B域安全能力 密码资源池 安全资源池 安全门户 安全互操作平台 安全资源 对内形成智能随需的企业级安全防御体系 对外构建山东移动统一运营和管控的安全产业生态 实现安全能力原子化，安全能力接入效率提升一倍 实现跨域安全能力的拉通、复用和共享与生态能力整合 实现安全能力的统一接入、调度和运营 网络安 信息安 数据安 全工具 全工具 全工具 量子VoLTE高清密话，保障高安全专网通信安全 保密通话对于确保高安全需求场景下话音传输的安全性具有重要意义。量子VoLTE加密通话系统将量子密码与4GVoLTE技术相结合，可实现高清语音加密通话，满足专网客户高安全等级通话的需要。 量子加密呼叫量子会话密钥协商量子加密通话量子密话结束 量子VoLTE加密手机 安全介质 ②量子加密手机 VoLTEAS 量子VoLTE加密手机 安全介质 ①量子加密网络 量子密码安全服务中心 中国移动4G/5G网络 ③量子加密业务 量子真随机 端到端加密 一话一密 高清语音 互通NFT跨链服务，搭建数字经济合作“数字桥梁” 中国移动联合香港Web3.0协会，以NFT为载体，打造“跨链协议+链适配器+智能合约”方案，通过NFT流转的业 务流程实现资产数字化、价值化和证券化，基于NFT数字资产跨链跨境流通，为闽港数字经济合作搭建“数字桥梁”。 艺术家 文博场馆 协会组织 企业资产 企业碳汇 资产孵化 IP引入授权发行 NFT1 平台内传播第三方曝光好友圈推荐 NFT 转赠 NFT2 NFT 发行 NFT3 NFT活动策划积分/权益兑换 NFT4 NFT5 平台内传播第三方曝光好友圈推荐 NFT 转赠 NFT6 NFT 发行 NFT7 NFT活动策划积分/权益兑换 NFT 出海 NFT8 OpenSea币安NFT MagicEdenCoinbaseNFT …… 授权NFT海外交易 NFT收藏权益体验 NFT 收藏 闽港数字资产流通平台 NFT 销毁 限制流通权益释放 NFT收藏 NFT 收藏 香港MyLink数字资产交易平台 NFT 销毁 限制流通权益释放 NFT海外流转 NFT钱包资产管理 NFT 管理 NFT 兑换 实物商品权益兑换 权益体验 NFT钱包资产管理 NFT 管理 NFT 兑换 NFT 交易 实物商品权益兑换 NFT自由买卖NFT兑换法币 NFT自由交易 IP上链、跨链 区块链能力 跨链互通 区块链能力 IP上链 服务 服务 NFT 中移闽链跨链 中移香港链 NFT 跨链以太坊 “一体五环”创新格局 新定位：做信息服务科技创新引擎，支撑公司数智化转型 使命目标定位 做信息服务科技创新引擎成为引领全球行业技术发展的世界一流研发机构 技术创新与产业引领 企业与行业高端智库 关键平台与能力研发 公司提出成为信息服务科技创新公司新定位 持续完善”一体五环“科技创新体系，形成内外双循环的协同创