运营商网络安全可信内生探索与实践杨凯中国移动通信有限公司研究院安全所 副所长2023年11月 CATALOGUE目 录一、技术演进带来安全新挑战二、构筑网络安全可信内生技术体系三、创新实践 技术演进带来安全新挑战PART.01 趋势一：多业态融合演进为安全技术发展注入新动力数智化时代，随着连接、算力、业务的融合演进，提出了安全新需求、也提供了安全新动力。Ø网络更开放，形成更大的暴露面ØIT化解耦，形成更多内部攻击路径Ø动态组网，形成动态边界ØDTN等6G网络新能力提供安全新动力连接(空天地)融合开放、动态、智能、服务化Ø节点，需要依据信任度选择计算方法Ø计算，需要保障过程不被攻击Ø数据，需要保障全程安全与隐私Ø更强的算力，提供更强的安全分析能力算网融合算为中心，网为根基，算网融合Ø元宇宙：虚实融合、沉浸式体验（超大流量）ØWeb3.0：协作去中心化、资产价值化Ø数字资产、内容权属和权益是关键问题新业态（元宇宙、Web3.0）用户为中心、动态互联n多身份体系认证体系互通n数据资产保护n要防护更大的攻击面n需要防护更细粒度的攻击n要形成灵活动态的安全服务n计算节点需自证安全性n计算过程需保障不被攻击n数据全生命周期安全安全要可信安全要灵活安全要内生 趋势二：新架构加大了网络安全边界泛化的程度通信网络正加速向未来网络演变，算力资源成为核心生产力 ，移动性接入增多，业务安全边界变得模糊，云上业务受攻击面扩大，传统的基于设备物理位置和网络位置的接入安全防护已难以满足移动性接入安全防护需求。未来网络通信网络算力为核心的信息数据处理网络为核心的信息交换新架构 新技术 新产业 新运营网络安全新范式固定边界融合边界扩张边界开放边界新安全传统安全 趋势三：新技术发展对既有安全防御规则形成挑战密码的安全性密钥的安全性密码算法的安全性密钥的安全性密钥管理非对称加密对称加密散列算法量子计算、人工智能等新技术在业务场景中的融合应用 ，较之传统技术而言在计算、存储、传输能力等方面带来大幅跃升 ，但可能诱发更加高效、有针对性、难于发现和追溯的网络攻击 ，对既有网络安全防御规则形成了巨大挑战。日益逼近的“量子霸权”促使密码技术向“抗量子”及“国产化”方向发展。通过AI工具进行模拟合法操作，修改设备配置，再利用中间人展开攻击。网络攻击自动化1网络攻击智能化2利用AI技术可进行自动化漏洞探测、构建恶意软件等，不仅大规模降低了攻击成本，更提升了复杂攻击的速度与执行效率。人工智能技术的发展像一把“双刃剑”，给网络安全带来挑战和风险。 大数据B-Big data人工智能A-AI能力中台I-Integration Platform算力网络C-Computility network安全S-Security6G6-6G面向“六大领域”实施“BASIC6”科创计划推进大数据价值转化加速人工智能创新突破强化网信安全能力放大“能力中台”赋能效应引领算力网络发展前瞻研发6G 国家专项(CYD、LHT、战新等) 公司战略（连接+算力+能力） 政企市场技术研发需求对内：保障大网安全对外：形成增值服务安全连接5G/6G安全数据安全AI安全...能力融合与协同调度基础技术能力融合领域方案量子密钥区块链可信计算......隐私计算信任安全 构筑网络安全可信内生技术体系PART.02 基础技术：量子密钥无线分发技术解决传输难题无线信道特征Ø随机性Ø互易性Ø空间不相关性无线传播环境Ø反射Ø折射Ø散射“取之不尽，用之不竭”的天然随机源无线信号小尺度衰落Ø时间域：多普勒频移Ø频率域：时延扩展Ø空间域：角度色散无线信道密钥技术Ø无线物理层密钥生成Ø物理层信息安全传输针对量子密钥“最后一公里”传输难题，中国移动启动了“Q波计划”：利用无线信道的“不确定性”实现量子密钥的“确定性”安全传输，促进量子通信与移动通信的融合发展。满足量子密钥大规模应用需求的“三层架构” 基于区块链与传统CA技术特点，提出多层级CA身份体上链技术；支持引入CA机构根证书与加入个体证书，解决层次化CA证书上链与互信的问题。推动ISO/IEC、ITU-T启动修订传统数字证书体系的权威国际标准ITU-T X.509。基础技术：通过区块链技术实现平权共治CA集中式架构区块链+CA分布式架构联盟1设备商1运营商1设备商2认证机构1证书1证书2根证书1证书1.1证书1.2联盟2运营商2联盟3证书3证书4用户证书批量记录至区块链，无需CA机构参与将共同信任的CA机构证书记录至区块链，兼容传统技术模式 基础技术：基于可信度量技术实现全网运行可预期基于可信度量技术构建节点可信、连接可信、运营可信的防护框架，实现计算环境可信、边界可信、网络通信可信，达到网络行为可预期管理，网络传输有保证，网络安全能力可输出的目的。可信安全管理中心可信检测分析可信策略管理AI运营可信安全能力开放可信网关边缘云可信服务器虚拟机可信应用服务可信网络移动云可信服务器虚拟机可信应用服务安全日志、可信状态、可信告警上报安全策略下发全局可信管理可信执行层 基础技术：密码与隐私计算实现多云协同下数据存算安全用户安全代理模块传统密态存储白盒密态存储隐私计算模块隐私计算模块私有云中心云边缘云密文数据密文数据在多云场景引入白盒密码和隐私计算技术，实现云上数据存算过程的安全。在中心云节点构建安全计算管理中心，用于支持密钥管理以及隐私计算调度；在云节点支持白盒密码技术以及隐私计算能力。隐私计算调度密钥管理和隐私计算调度密钥管理和隐私计算调度密文业务数据密态数据协同计算云上存储阶段：白盒密码实现密钥隐藏，保障存储安全协同计算阶段：数据在密态下进行计算，防止数据泄露边缘云 领域方案：基于安全互操作技术实现全网安全资源协同通过安全互操作技术，整合分散的安全能力，打通异构安全能力协同通道，为可信安全管理中心提供统一知识运营，实现全网安全资源协同管理。统一标准接口I 风险识别能力P 安全防御能力D 安全监测能力R 安全响应能力R 安全恢复能力Agent类安全产品主机防护网页防篡改......厂商A厂商D厂商E防护规则API数据库信息扫描APISaas类安全产品漏洞扫描云化基线扫描......厂商A厂商B厂商D漏洞扫描创建API扫描任务查询API删除任务API扫描模板API近源类安全产品异常流量监测异常流量清洗......厂商A厂商B厂商C异常流量配置API策略查看API黑洞路由策略API鉴权认证请求管理路由转发协议转换日志记录能力编排接口适配能力调度安全互操作平台可信安全管理中心 领域方案：推进5/6G内生安全技术研究增强网络自身安全在增强网络设备自身安全的基础上，配合专用的安全设备与系统，并通过智能分析、灵活编排等运维管理手段，形成可靠、灵活、至简的动态安全内生防护体系，有效地识别和防御各种网络攻击。资源编排与调度能力专用安全能力资源池安全专用设备SaaS安全能力备用安全能力资源池人工智能分析能力安全服务安全策略与配置安全能力与资源设备安全能力设备自身安全能力与配置网络内建安全服务安全管理中心5G/6G内生安全架构信任基础设施安全策略控制单元网络设备安全控制安全设备能力控制安全智能中心安全集中分析安全模型训练安全策略生成 领域方案：布局可信人工智能构建网络安全基石可信人工智能技术是帮助人工智能实现可信的基础。通过评估数据可信、模型可信和环境可信，建立安全可靠的人工智能系统。可信要求可信关键技术安全可靠让人信赖可信特征可靠可控隐私保护透明可释公平公正可信人工智能关键技术可解释性鲁棒性隐私保护公平性l事前可解释性自解释模型注意力机制l事后可解释性规则提取 模型蒸馏敏感性分析局部近似l数据检测数据溯源异常检测l模型增强对抗训练知识蒸馏l对抗噪声擦除数据压缩重构对抗样本l数据保护差分隐私l模型保护同态加密安全多方计算l分布式学习联邦学习l数据偏见因果关系检测l模型偏见反偏见算法l评估偏见公平性指标 创新实践PART.03 基于安全互操作协同，实现安全合规与注智赋能依托安全互操作技术，打破传统安全系统互联互通技术壁垒，纳管拉通O/B/S三域安全资源实现统一的大安全运营，构建集团首个“智慧中台+SDS”，助力公司网络安全高标合规和对外注智赋能。安全互操作平台安全资源安全门户S域安全能力B域安全能力省级能力开放平台O域安全能力对外安全运营管理平台对内安全管理态势感知网络安全工具信息安全工具数据安全工具安全资源池密码资源池安全能力互操作平台p对内形成智能随需的企业级安全防御体系p对外构建山东移动统一运营和管控的安全产业生态Ø实现安全能力原子化，安全能力接入效率提升一倍Ø实现跨域安全能力的拉通、复用和共享与生态能力整合Ø实现安全能力的统一接入、调度和运营 量子VoLTE高清密话，保障高安全专网通信安全保密通话对于确保高安全需求场景下话音传输的安全性具有重要意义。量子VoLTE加密通话系统将量子密码与4G VoLTE技术相结合，可实现高清语音加密通话，满足专网客户高安全等级通话的需要。量子加密呼叫量子会话密钥协商量子加密通话量子密话结束中国移动4G/5G网络 安全介质量子VoLTE加密手机 安全介质量子VoLTE加密手机VoLTE AS① 量子加密网络量子密码安全服务中心② 量子加密手机③ 量子加密业务一话一密端到端加密量子真随机高清语音 中移闽链中移香港链闽港数字资产流通平台NFT发行NFT转赠NFT收藏NFT兑换NFT销毁资产孵化IP引入授权发行NFT活动策划积分/权益兑换平台内传播第三方曝光好友圈推荐NFT收藏权益体验实物商品权益兑换NFT管理NFT钱包资产管理限制流通权益释放香港MyLink数字资产交易平台NFT发行NFT转赠NFT收藏NFT兑换NFT销毁NFT活动策划积分/权益兑换平台内传播第三方曝光好友圈推荐NFT收藏权益体验NFT管理NFT钱包资产管理NFT出海NFT交易币安NFTCoinbaseNFTNFT海外流转Magic EdenNFT自由买卖NFT兑换法币NFT自由交易区块链能力区块链能力艺术家文博场馆NFTNFTNFT2NFT3NFT4NFT1限制流通权益释放实物商品权益兑换NFT6NFT7NFT8NFT5企业资产协会组织授权NFT海外交易Open Sea......跨链服务IP上链、跨链IP上链跨链互通以太坊跨链服务企业碳汇互通NFT跨链服务，搭建数字经济合作“数字桥梁”中国移动联合香港Web3.0协会，以NFT为载体，打造“跨链协议+链适配器+智能合约”方案，通过NFT流转的业务流程实现资产数字化、价值化和证券化，基于NFT数字资产跨链跨境流通，为闽港数字经济合作搭建“数字桥梁”。 “一体五环”创新格局 核心研发机构产研协同 研发机构省公司（31）聚核心科学 → 技术强能力技术 → 产品重转化产品 → 市场构生态设计院苏研成研雄研物联网杭研上研互联网咪咕IT公司金科终端在线卓望其它专直单位清华联合研究院中关村联合研究院重点领域头部企业、科研机构、国家平台“一体五环”科技创新布局公司提出成为信息服务科技创新公司新定位持续完善”一体五环“科技创新体系，形成内外双循环的协同创新格局信安江西院研究院（含未来院）区域研究院：江苏院、浙江院、广东院使命目标做信息服务科技创新引擎成为引领全球行业技术发展的世界一流研发机构新定位：做信息服务科技创新引擎，支撑公司数智化转型定位企业与行业高端智库关键平台与能力研发技术创新与产业引领海外环外环6家中环8家内环1家合作环香港公司国资委科技创新突出贡献企业 CMMI5认证 6家高新技术企业 17家 通信行业首个企业“科协”第二批”国家双创示范基地“ 国家发改委共享经济示范平台 算力网络人工智能大数据安全6G能力中台附录：注：BASIC6科创计划（B-Big data、A-AI、S-S