運營商網絡安全可信探索與實踐分析報告

運營商網絡安全可信內生探索與實踐2023年11月一、技術演進帶來安全新挑戰(zhàn)二、構筑網絡安全可信內生技術體系三、創(chuàng)新實踐C目

錄ATALOGUE技術演進帶來安全新挑戰(zhàn)PA

R

T.

0

1趨勢一：多業(yè)態(tài)融合演進為安全技術發(fā)展注入新動力數智化時代，隨著連接、算力、業(yè)務的融合演進，提出了安全新需求、也提供了安全新動力。連接(空天地)融合算網融合新業(yè)態(tài)（元宇宙、Web3.0）開放、動態(tài)、智能、服務化算為中心，網為根基，算網融合用戶為中心、動態(tài)互聯????節(jié)點，需要依據信任度選擇計算方法計算，需要保障過程不被攻擊????網絡更開放，形成更大的暴露面IT化解耦，形成更多內部攻擊路徑動態(tài)組網，形成動態(tài)邊界???元宇宙：虛實融合、沉浸式體驗（超大流量）Web3.0：協(xié)作去中心化、資產價值化數字資產、內容權屬和權益是關鍵問題數據，需要保障全程安全與隱私更強的算力，提供更強的安全分析能力DTN等6G網絡新能力提供安全新動力nnn要防護更大的攻擊面需要防護更細粒度的攻擊要形成靈活動態(tài)的安全服務nnn計算節(jié)點需自證安全性計算過程需保障不被攻擊數據全生命周期安全nn多身份體系認證體系互通數據資產保護安全要可信安全要靈活安全要內生趨勢二：新架構加大了網絡安全邊界泛化的程度通信網絡正加速向未來網絡演變，算力資源成為核心生產力，移動性接入增多，業(yè)務安全邊界變得模糊，云上業(yè)務受攻擊面擴大，傳統(tǒng)的基于設備物理位置和網絡位置的接入安全防護已難以滿足移動性接入安全防護需求。通信網絡未來網絡網絡為核心的信息交換算力為核心的信息數據處理傳統(tǒng)安全固定邊界新安全融合邊界擴張邊界開放邊界網絡安全新范式新架構新技術新產業(yè)新運營趨勢三：新技術發(fā)展對既有安全防御規(guī)則形成挑戰(zhàn)量子計算、人工智能等新技術在業(yè)務場景中的融合應用，較之傳統(tǒng)技術而言在計算、存儲、傳輸能力等方面帶來大幅躍升

，但可能誘發(fā)更加高效、有針對性、難于發(fā)現和追溯的網絡攻擊

，對既有網絡安全防御規(guī)則形成了巨大挑戰(zhàn)。密碼的安全性12密碼算法的安全性密鑰的安全性利用AI技術可進行自動化漏洞探測、構建惡意軟件等，不僅大規(guī)模降低了攻擊成本，更提升了復雜攻擊的速度與執(zhí)行效率。通過AI工具進行模擬合法操作，修改設備配置，再利用中間人展開攻擊。非對稱加密密鑰的安全密鑰管理對稱加密散列算法性日益逼近的“量子霸權”促使密碼技術向“抗量子”及“國產化”方向發(fā)展。人工智能技術的發(fā)展像一把“雙刃劍”，給網絡安全帶來挑戰(zhàn)和風險。面向“六大領域”實施“BASIC6”科創(chuàng)計劃大數據人工智能安全能力中臺算力網絡6GB-Big

dataA-AIS-SecurityI-Integration

PlatformC-Computility

network6-6G放大“能力中臺”賦

引領算力網絡發(fā)展能效應前瞻研發(fā)6G強化網信安全能力推進大數據價值轉

加速人工智能創(chuàng)新化突破國家專項(CYD、LHT、戰(zhàn)新等)公司戰(zhàn)略（連接+算力+能力）對

對內

外政企市場需求：

：保

形障

成大

增網

值安

服全

務安全連接5G/6G安全數據安全AI安全...領域方案能力融合基礎技術信任安全能力融合與協(xié)同調度技術研發(fā)量子密鑰

區(qū)塊鏈

可信計算隱私計算......構筑網絡安全可信內生技術體系PA

R

T.

0

2基礎技術：量子密鑰無線分發(fā)技術解決傳輸難題針對量子密鑰“最后一公里”傳輸難題，中國移動啟動了“Q波計劃”：利用無線信道的“不確定性”實現量子密鑰的“確定性”安全傳輸，促進量子通信與移動通信的融合發(fā)展。無線傳播環(huán)境?

反射無線信號小尺度衰落?

時間域：多普勒頻移?

頻率域：時延擴展?

空間域：角度色散?

折射?

散射“取之不盡，用之不竭”的天然隨機源無線信道特征?

隨機性無線信道密鑰技術?

無線物理層密鑰生成?

物理層信息安全傳輸?

互易性?

空間不相關性滿足量子密鑰大規(guī)模應用需求的“三層架構”基礎技術：通過區(qū)塊鏈技術實現平權共治基于區(qū)塊鏈與傳統(tǒng)CA技術特點，提出多層級CA身份體上鏈技術；支持引入CA機構根證書與加入個體證書，解決層次化CA證書上鏈與互信的問題。推動ISO/IEC、ITU-T啟動修訂傳統(tǒng)數字證書體系的權威國際標準ITU-T

X.509。聯盟2聯盟3聯盟1設備商1運營商1認證機構1設備商2運營商2證書3證書4證書1證書2根證書1將共同信任的CA機構證書記錄至區(qū)塊鏈，兼容傳統(tǒng)技術模式證書1.1證書1.2用戶證書批量記錄至區(qū)塊鏈，無需CA機構參與CA集中式架構區(qū)塊鏈+CA分布式架構基礎技術：基于可信度量技術實現全網運行可預期基于可信度量技術構建節(jié)點可信、連接可信、運營可信的防護框架，實現計算環(huán)境可信、邊界可信、網絡通信可信，達到網絡行為可預期管理，網絡傳輸有保證，網絡安全能力可輸出的目的?？尚虐踩芾碇行娜挚尚殴芾鞟I可信檢測分析可信策略管理安全能力開放運營可信安全日志、可信狀態(tài)、可信告警上報安全策略下發(fā)移動云可信服務器虛擬機可信應用服務可信執(zhí)行層邊緣云可信網關可信網絡可信服務器虛擬機可信應用服務基礎技術：密碼與隱私計算實現多云協(xié)同下數據存算安全在多云場景引入白盒密碼和隱私計算技術，實現云上數據存算過程的安全。在中心云節(jié)點構建安全計算管理中心，用于支持密鑰管理以及隱私計算調度；在云節(jié)點支持白盒密碼技術以及隱私計算能力。隱私計算模塊密鑰管理和隱私計算調度密鑰管理和隱私計算調度邊緣云用戶私有云密文數據安全代理模塊隱私計算模塊密文數據協(xié)同計算階段：數據在密態(tài)下進行計算，防止數據泄露中心云邊緣云云上存儲階段：白盒密碼實現密鑰隱藏，保障存儲安全領域方案：基于安全互操作技術實現全網安全資源協(xié)同通過安全互操作技術，整合分散的安全能力，打通異構安全能力協(xié)同通道，為可信安全管理中心提供統(tǒng)一知識運營，實現全網安全資源協(xié)同管理?？尚虐踩芾碇行慕y(tǒng)一標準接口安全互操作平臺I

風險識別能力P

安全防御能力D

安全監(jiān)測能力R

安全響應能力R

安全恢復能力能力編排鑒權認證請求管理接口適配路由轉發(fā)協(xié)議轉換日志記錄能力調度異常流量配置API黑洞路由策略API策略查看API防護規(guī)則API數據庫信息掃描API掃描任務查詢API漏洞掃描創(chuàng)建API掃描模板API刪除任務API異常流量監(jiān)測異常流量清洗網頁防篡改云化基線掃………………主機防護廠商A漏洞掃描廠商A描廠商D廠商E廠商B廠商D廠商A廠商B廠商C近源類安全產品Agent類安全產品Saas類安全產品領域方案：推進5/6G內生安全技術研究增強網絡自身安全在增強網絡設備自身安全的基礎上，配合專用的安全設備與系統(tǒng)，并通過智能分析、靈活編排等運維管理手段，形成可靠、靈活、至簡的動態(tài)安全內生防護體系，有效地識別和防御各種網絡攻擊。5G/6G內生安全架構安全管理中心安全智能中心安全服務安全集中分析安全模型訓練安全策略生成信任基礎設施人工智能分析能力資源編排與調度能力安全策略控制單元安全策略與配置網絡設備安全控制安全設備能力控制設備安全能力專用安全能力資源池設備自身SaaS安全能力安全專用設備備用安全網絡內建安全服務安全能力與配置能力資源池安全能力與資源領域方案：布局可信人工智能構建網絡安全基石可信人工智能技術是幫助人工智能實現可信的基礎。通過評估數據可信、模型可信和環(huán)境可信，建立安全可靠的人工智能系統(tǒng)?？尚湃斯ぶ悄荜P鍵技術可信要求安全透明可釋可靠讓人信賴可信特征可靠可控隱私保護公平公正可解釋性魯棒性隱私保護公平性l

事前可解釋性自解釋模型l

數據檢測l

數據保護l

數據偏見可信關鍵技術數據溯源異常檢測差分隱私l

模型保護同態(tài)加密因果關系檢測注意力機制l

模型偏見l

事后可解釋性規(guī)則提取l

模型增強對抗訓練反偏見算法l

評估偏見安全多方計算模型蒸餾知識蒸餾l

分布式學習公平性指標敏感性分析l

對抗噪聲擦除數據壓縮聯邦學習局部近似重構對抗樣本創(chuàng)新實踐PA

R

T.

0

3基于安全互操作協(xié)同，實現安全合規(guī)與注智賦能安全門戶p

對內形成智能隨需的企業(yè)級安全防御體系對外安全運營管理平臺對內安全管理態(tài)勢感知p

對外構建山東移動統(tǒng)一運營和管控的安全產業(yè)生態(tài)省級能力開放平臺安全互操作平臺安全能力互操作平臺?

實現安全能力原子化，安全能力接入效率提升一倍?

實現跨域安全能力的拉通、復用和共享與生態(tài)能力整合?

實現安全能力的統(tǒng)一接入、調度和運營S域安全能力O域安全能力B域安全能力安全資源安全資源池密碼資源池網絡安全工具信息安全工具數據安全工具量子VoLTE高清密話，保障高安全專網通信安全保密通話對于確保高安全需求場景下話音傳輸的安全性具有重要意義。量子VoLTE加密通話系統(tǒng)將量子密碼與4GVoLTE技術相結合，可實現高清語音加密通話，滿足專網客戶高安全等級通話的需要。量子加密通話量子加密呼叫量子會話密鑰協(xié)商量子密話結束Vo

LTE

AS①

量子加密網絡②

量子加密手機量子密碼安全服務中心中國移動4G/5G網絡量子VoLTE加密手機量子VoLTE加密手機③

量子加密業(yè)務一話一密安全介質安全介質量子真隨機端到端加密高清語音互通

跨鏈服務，搭建數字經濟合作“數字橋梁”中國移動聯合香港Web3.0協(xié)會，以為載體，打造“跨鏈協(xié)議+鏈適配器+智能合約”方案，通過流轉的業(yè)務流程實現資產數字化、價值化和證券化，基于數字資產跨鏈跨境流通，為閩港數字經濟合作搭建“數字橋梁”。Open

Sea12345678藝術家IP引入NFT授權發(fā)行活動策劃積分/權益兌換活動策劃積分/權益兌換Magic

EdenCoinbaseNFT平臺內傳播第三方曝光好友圈推薦文博場館發(fā)行發(fā)行平臺內傳播第三方曝光好友圈推薦轉贈轉贈出?！瓍f(xié)會組織企業(yè)資產閩港數字資產流通平臺香港MyLink數字資產交易平臺限制流通權益釋放海外流轉限制流通權益釋放授權海外交易收藏銷毀銷毀收藏權益體驗

收藏收藏權益體驗自由買賣兌換法幣交易兌換管理管理錢包資產管理實物商品權益兌換錢包資產管理兌換企業(yè)碳匯實物商品權益兌換自由交易跨鏈互通IP上鏈、跨鏈區(qū)塊鏈能力區(qū)塊鏈能力IP上鏈資產孵化中移香港鏈坊中移閩鏈“一體五環(huán)”創(chuàng)新格局新定位：做信息服務科技創(chuàng)新引擎，支撐公司數智化轉型使命目標定位技術創(chuàng)新與產業(yè)引領企業(yè)與行業(yè)高端智庫關鍵平臺與能力研發(fā)做信息服務科技創(chuàng)新引擎成為引領全球行業(yè)技術發(fā)展的世界一流研發(fā)機構公司提出成為信息服務科技創(chuàng)新公司新定位持續(xù)完善”一體五環(huán)“科技創(chuàng)新體系，形成內外雙循環(huán)的協(xié)同創(chuàng)新格局“一體五環(huán)”科技創(chuàng)新布局內環(huán)1家聚核心科學→技術核心研發(fā)機構研究院（含未來院）區(qū)域研究院：江蘇院、浙江院、廣東院產研協(xié)同

研發(fā)機構中環(huán)8家強能力技術→產品設計院互聯網蘇研咪咕杭研金科上研成研終端雄研在線物聯網卓望信安IT公司江西院外環(huán)6家重轉化產品→市場省公司（31）其它專直單位合作環(huán)海外環(huán)構生態(tài)清華聯合研究院中關村聯合研究院重點領域頭部企業(yè)、科研機構、國家平臺香港公司國資委