運(yùn)營商網(wǎng)絡(luò)安全可信內(nèi)生探索與實(shí)踐楊凱中國移動(dòng)通信有限公司研究院安全所副所長2023年11月一、

技術(shù)演進(jìn)帶來安全新挑戰(zhàn)二、

構(gòu)筑網(wǎng)絡(luò)安全可信內(nèi)生技術(shù)體系三、創(chuàng)新實(shí)踐

目

錄ATALOGUEC技術(shù)演進(jìn)帶來安全新挑戰(zhàn)

PA

RT

.

01

趨勢(shì)一：

多業(yè)態(tài)融合演進(jìn)為安全技術(shù)發(fā)展注入新動(dòng)力數(shù)智化時(shí)代

，

隨著連接、

算力、

業(yè)務(wù)的融合演進(jìn)

，提出了安全新需求、

也提供了安全新動(dòng)力。新業(yè)態(tài)（元宇宙、Web3.0）用戶為中心、動(dòng)態(tài)互聯(lián)

元宇宙：虛實(shí)融合、沉浸式體驗(yàn)（超大流量）

Web3.0：協(xié)作去中心化、資產(chǎn)價(jià)值化

數(shù)字資產(chǎn)、內(nèi)容權(quán)屬和權(quán)益是關(guān)鍵問題算網(wǎng)融合算為中心

，網(wǎng)為根基

，算網(wǎng)融合

節(jié)點(diǎn)

，需要依據(jù)信任度選擇計(jì)算方法

計(jì)算

，需要保障過程不被攻擊

數(shù)據(jù)

，需要保障全程安全與隱私

更強(qiáng)的算力

，提供更強(qiáng)的安全分析能力連接(空天地)融合開放、動(dòng)態(tài)、智能、服務(wù)化網(wǎng)絡(luò)更開放

，形成更大的暴露面IT化解耦

，形成更多內(nèi)部攻擊路徑動(dòng)態(tài)組網(wǎng)

，形成動(dòng)態(tài)邊界DTN等6G網(wǎng)絡(luò)新能力提供安全新動(dòng)力

安全要可信

安全要靈活

安全要內(nèi)生

n

多身份體系認(rèn)證體系互通n

數(shù)據(jù)資產(chǎn)保護(hù)n

計(jì)算節(jié)點(diǎn)需自證安全性n

計(jì)算過程需保障不被攻擊n

數(shù)據(jù)全生命周期安全要防護(hù)更大的攻擊面需要防護(hù)更細(xì)粒度的攻擊要形成靈活動(dòng)態(tài)的安全服務(wù)

nnn趨勢(shì)二：新架構(gòu)加大了網(wǎng)絡(luò)安全邊界泛化的程度通信網(wǎng)絡(luò)正加速向未來網(wǎng)絡(luò)演變

，算力資源成為核心生產(chǎn)力

，移動(dòng)性接入增多

，

業(yè)務(wù)安全邊界變得模糊

，

云上業(yè)務(wù)受攻擊面擴(kuò)大

，傳統(tǒng)的基于設(shè)備物理位置和網(wǎng)絡(luò)位置的接入安全防護(hù)已難以滿足移動(dòng)性接入安全防護(hù)需求。通信網(wǎng)絡(luò)

網(wǎng)絡(luò)為核心的信息交換傳統(tǒng)安全

固定邊界網(wǎng)絡(luò)安全新范式未來網(wǎng)絡(luò) 算力為核心的信息數(shù)據(jù)處理新架構(gòu)新技術(shù)新產(chǎn)業(yè)

新運(yùn)營新安全融合邊界擴(kuò)張邊界開放邊界趨勢(shì)三：

新技術(shù)發(fā)展對(duì)既有安全防御規(guī)則形成挑戰(zhàn)量子計(jì)算、

人工智能等新技術(shù)在業(yè)務(wù)場(chǎng)景中的融合應(yīng)用，較之傳統(tǒng)技術(shù)而言在計(jì)算、

存儲(chǔ)、

傳輸能力等方面帶來大幅躍升，

但可能誘發(fā)更加高效、

有針對(duì)性、

難于發(fā)現(xiàn)和追溯的網(wǎng)絡(luò)攻擊，

對(duì)既有網(wǎng)絡(luò)安全防御規(guī)則形成了巨大挑戰(zhàn)。通過AI工具進(jìn)行模擬合法操作

，修改設(shè)備配置

，再利用

中間人展開攻擊。利用AI技術(shù)可進(jìn)行自動(dòng)化漏洞探測(cè)、構(gòu)建惡意軟件等

，不僅大規(guī)模降低了攻擊成本

，更提升了復(fù)雜攻擊的速度與執(zhí)行效率。人工智能技術(shù)的發(fā)展像一把“雙刃劍”

，給網(wǎng)絡(luò)安全帶來挑戰(zhàn)和風(fēng)險(xiǎn)。日益逼近的“量子霸權(quán)”促使密碼技術(shù)向“抗量子”及“國產(chǎn)化”方向發(fā)展。密碼的安全性密碼算法

的安全性密鑰的安全性非對(duì)稱加密對(duì)稱加密網(wǎng)絡(luò)攻擊

智能化2網(wǎng)絡(luò)攻擊

自動(dòng)化1密鑰的安全

性散列算法密鑰管理領(lǐng)域方案能力融合基礎(chǔ)技術(shù)能力融合與協(xié)同調(diào)度量子密鑰

區(qū)塊鏈

可信計(jì)算隱私計(jì)算

......面向“六大領(lǐng)域”實(shí)施“

BASIC6”科創(chuàng)計(jì)劃安全S-Security強(qiáng)化網(wǎng)信安全能力算力網(wǎng)絡(luò)C-Computility

network引領(lǐng)算力網(wǎng)絡(luò)發(fā)展能力中臺(tái)I-Integration

Platform放大“能力中臺(tái)”賦能效應(yīng)人工智能A-AI加速人工智能創(chuàng)新突破大數(shù)據(jù)B-Big

data推進(jìn)大數(shù)據(jù)價(jià)值轉(zhuǎn)化6G6-6G前瞻研發(fā)6G國家專項(xiàng)(CYD、

LHT、

戰(zhàn)新等)公司戰(zhàn)略（連接+算力+能力）對(duì)外：形成增值服務(wù)對(duì)內(nèi)：保障大網(wǎng)安全政企市場(chǎng)安全連接

5G/6G安全數(shù)據(jù)安全AI安全

...需求技術(shù)研發(fā)安全信任構(gòu)筑網(wǎng)絡(luò)安全可信內(nèi)生技術(shù)體系

PA

RT

.

02

基礎(chǔ)技術(shù)：

量子密鑰無線分發(fā)技術(shù)解決傳輸難題針對(duì)量子密鑰“最后一公里”傳輸難題

，

中國移動(dòng)啟動(dòng)了“Q波計(jì)劃”

：利用無線信道的“不確定性”實(shí)現(xiàn)量子密鑰的“確定性”安全傳輸

，促進(jìn)量子通信與移動(dòng)通信的融合發(fā)展。無線信號(hào)小尺度衰落

時(shí)間域：多普勒頻移

頻率域

：時(shí)延擴(kuò)展

空間域：角度色散無線信道密鑰技術(shù)

無線物理層密鑰生成

物理層信息安全傳輸無線傳播環(huán)境

反射

折射

散射無線信道特征

隨機(jī)性

互易性

空間不相關(guān)性“取之不盡

，

用之不竭”的天然隨機(jī)源滿足量子密鑰大規(guī)模應(yīng)用需求的“三層架構(gòu)”基礎(chǔ)技術(shù)：

通過區(qū)塊鏈技術(shù)實(shí)現(xiàn)平權(quán)共治基于區(qū)塊鏈與傳統(tǒng)CA技術(shù)特點(diǎn)

，提出多層級(jí)CA身份體上鏈技術(shù)；

支持引入CA機(jī)構(gòu)根證書與加入個(gè)體證書

，解決層次化CA證書上鏈與互信的問題。

推動(dòng)ISO/IEC、

ITU-T啟動(dòng)修訂傳統(tǒng)數(shù)字證書體系的權(quán)威國際標(biāo)準(zhǔn)ITU-T

X.509。設(shè)備商1認(rèn)證機(jī)構(gòu)1設(shè)備商2運(yùn)營商1運(yùn)營商2。<>。"

".

<>。聯(lián)盟2根證書1證書2將共同信任的CA機(jī)構(gòu)證書記錄至區(qū)塊鏈

，兼容傳統(tǒng)技術(shù)模式CA集中式架構(gòu)

區(qū)塊鏈+CA分布式架構(gòu)用戶證書批量記錄至區(qū)塊鏈

，無需CA機(jī)構(gòu)參與聯(lián)盟3聯(lián)盟1證書1.1證書1.2證書3證書4證書1基礎(chǔ)技術(shù)：

基于可信度量技術(shù)實(shí)現(xiàn)全網(wǎng)運(yùn)行可預(yù)期基于可信度量技術(shù)構(gòu)建節(jié)點(diǎn)可信、

連接可信、

運(yùn)營可信的防護(hù)框架

，

實(shí)現(xiàn)計(jì)算環(huán)境可信、

邊界可信、

網(wǎng)絡(luò)通信可信，達(dá)到網(wǎng)絡(luò)行為可預(yù)期管理

，

網(wǎng)絡(luò)傳輸有保證

，

網(wǎng)絡(luò)安全能力可輸出的目的。全局可信管理可信執(zhí)行層安全日志、可信狀態(tài)、可信告警上報(bào)安全策略下發(fā)可信檢測(cè)分析可信策略管理AI運(yùn)營可信安全能力開放可信服務(wù)器

虛擬機(jī)

可信應(yīng)用服務(wù)可信安全管理中心可信應(yīng)用服務(wù)移動(dòng)云邊緣云可信服務(wù)器可信網(wǎng)關(guān)可信網(wǎng)絡(luò)虛擬機(jī)基礎(chǔ)技術(shù)：

密碼與隱私計(jì)算實(shí)現(xiàn)多云協(xié)同下數(shù)據(jù)存算安全在多云場(chǎng)景引入白盒密碼和隱私計(jì)算技術(shù)

，

實(shí)現(xiàn)云上數(shù)據(jù)存算過程的安全。

在中心云節(jié)點(diǎn)構(gòu)建安全計(jì)算管理中心，用于支持密鑰管理以及隱私計(jì)算調(diào)度；

在云節(jié)點(diǎn)支持白盒密碼技術(shù)以及隱私計(jì)算能力。安全代理模塊密文業(yè)務(wù)數(shù)據(jù)

密態(tài)數(shù)據(jù)協(xié)同計(jì)算協(xié)同計(jì)算階段

：數(shù)據(jù)在密態(tài)下進(jìn)行計(jì)算，防止數(shù)據(jù)泄露云上存儲(chǔ)階段：

白盒密碼實(shí)現(xiàn)密鑰隱藏，保障存儲(chǔ)安全隱私計(jì)算模塊傳統(tǒng)密態(tài)存儲(chǔ)白盒密態(tài)存儲(chǔ)隱私計(jì)算調(diào)度密鑰管理和隱私計(jì)算調(diào)度密鑰管理和隱私計(jì)算調(diào)度隱私計(jì)算模塊密文數(shù)據(jù)密文數(shù)據(jù)私有云中心云邊緣云邊緣云用戶領(lǐng)域方案：

基于安全互操作技術(shù)實(shí)現(xiàn)全網(wǎng)安全資源協(xié)同通過安全互操作技術(shù)

，整合分散的安全能力

，打通異構(gòu)安全能力協(xié)同通道

，為可信安全管理中心提供統(tǒng)一知識(shí)運(yùn)營，實(shí)現(xiàn)全網(wǎng)安全資源協(xié)同管理。I風(fēng)險(xiǎn)識(shí)別能力P安全防御能力D安全監(jiān)測(cè)能力

R安全響應(yīng)能力R安全恢復(fù)能力鑒權(quán)認(rèn)證請(qǐng)求管理路由轉(zhuǎn)發(fā)協(xié)議轉(zhuǎn)換日志記錄能力編排接口適配能力調(diào)度可信安全管理中心統(tǒng)一標(biāo)準(zhǔn)接口安全互操作平臺(tái)廠商A

廠商B

廠商C近源類安全產(chǎn)品防護(hù)規(guī)則API主機(jī)防護(hù)廠商A掃描任務(wù)查詢API漏洞掃描創(chuàng)建API

掃描模板API刪除任務(wù)API異常流量配置API黑洞路由策略API策略查看API云化基線掃描廠商B漏洞掃描廠商A網(wǎng)頁防篡改廠商DAgent類安全產(chǎn)品異常流量監(jiān)測(cè)異常流量清洗Saas類安全產(chǎn)品數(shù)據(jù)庫信息掃描API廠商D廠商E……領(lǐng)域方案：

推進(jìn)5/6G內(nèi)生安全技術(shù)研究增強(qiáng)網(wǎng)絡(luò)自身安全在增強(qiáng)網(wǎng)絡(luò)設(shè)備自身安全的基礎(chǔ)上

，

配合專用的安全設(shè)備與系統(tǒng)

，

并通過智能分析、

靈活編排等運(yùn)維管理手段

，形成可靠、

靈活、

至簡(jiǎn)的動(dòng)態(tài)安全內(nèi)生防護(hù)體系

，有效地識(shí)別和防御各種網(wǎng)絡(luò)攻擊。安全智能中心安全集中分析安全模型訓(xùn)練安全策略生成安全策略控制單元網(wǎng)絡(luò)設(shè)備安全控制安全設(shè)備能力控制安全服務(wù)分布式資源專用安全能力資源池SaaS安全能力安全專用設(shè)備備用安全能力資源池5G/6G內(nèi)生安全架構(gòu)安全管理中心資

源

編

排

與

調(diào)

度

能

力人

工

智

能

分

析

能

力設(shè)備自身安全能力與配置信任

基

礎(chǔ)

設(shè)

施安全能力與資源安全策略與配置網(wǎng)絡(luò)內(nèi)建安全服務(wù)設(shè)備安全能力領(lǐng)域方案：

布局可信人工智能構(gòu)建網(wǎng)絡(luò)安全基石可信人工智能技術(shù)是幫助人工智能實(shí)現(xiàn)可信的基礎(chǔ)。

通過評(píng)估數(shù)據(jù)可信、

模型可信和環(huán)境可信

，建立安全可靠的人工智能系統(tǒng)。魯棒性l

數(shù)據(jù)檢測(cè)

數(shù)據(jù)溯源

異常檢測(cè)l

模型增強(qiáng)

對(duì)抗訓(xùn)練

知識(shí)蒸餾l

對(duì)抗噪聲擦除

數(shù)據(jù)壓縮重構(gòu)對(duì)抗樣本安全可靠讓人信賴透明可釋

可靠可控

隱私保護(hù)公平公正可信人工智能關(guān)鍵技術(shù)可解釋性l

事前可解釋性自解釋模型

注意力機(jī)制l

事后可解釋性規(guī)則提取模型蒸餾敏感性分析

局部近似l

數(shù)據(jù)保護(hù)

差分隱私l

模型保護(hù)

同態(tài)加密安全多方計(jì)算l

分布式學(xué)習(xí)聯(lián)邦學(xué)習(xí)l

數(shù)據(jù)偏見因果關(guān)系檢測(cè)l

模型偏見反偏見算法l

評(píng)估偏見公平性指標(biāo)隱私保護(hù)

公平性可信要求可信關(guān)鍵技術(shù)可信特征創(chuàng)新實(shí)踐

PA

RT

.

03

基于安全互操作協(xié)同

，

實(shí)現(xiàn)安全合規(guī)與注智賦能依托安全互操作技術(shù)

，打破傳統(tǒng)安全系統(tǒng)互聯(lián)互通技術(shù)壁壘

，納管拉通O/B/S三域安全資源實(shí)現(xiàn)統(tǒng)一的大安全運(yùn)營，構(gòu)建集團(tuán)首個(gè)“智慧中臺(tái)+SDS”

，助力公司網(wǎng)絡(luò)安全高標(biāo)合規(guī)和對(duì)外注智賦能。

對(duì)內(nèi)形成智能隨需的企業(yè)級(jí)安全防御體系

對(duì)外構(gòu)建山東移動(dòng)統(tǒng)一運(yùn)營和管控的安全產(chǎn)業(yè)生態(tài)

實(shí)現(xiàn)安全能力原子化

，安全能力接入效率提升一倍

實(shí)現(xiàn)跨域安全能力的拉通、復(fù)用和共享與生態(tài)能力整合

實(shí)現(xiàn)安全能力的統(tǒng)一接入、調(diào)度和運(yùn)營安全門戶安全互操作平臺(tái)安全資源對(duì)內(nèi)安全管理態(tài)勢(shì)感知安全能力互操作平臺(tái)對(duì)外安全運(yùn)營管理平臺(tái)S域安全能力B域安全能力O域安全能力安全資源池密碼資源池網(wǎng)絡(luò)安全工具信息安全工具數(shù)據(jù)安全工具省級(jí)能力開放平臺(tái)量子VoLTE高清密話

，

保障高安全專網(wǎng)通信安全保密通話對(duì)于確保高安全需求場(chǎng)景下話音傳輸?shù)陌踩跃哂兄匾饬x。

量子VoLTE加密通話系統(tǒng)將量子密碼與4GVoLTE技術(shù)相結(jié)合

，

可實(shí)現(xiàn)高清語音加密通話

，滿足專網(wǎng)客戶高安全等級(jí)通話的需要。量子加密呼叫量子會(huì)話密鑰協(xié)商量子加密通話量子密話結(jié)束量子VoLTE加密手機(jī)安全介質(zhì)量子VoLTE加密手機(jī)安全介質(zhì)

端到端加密①量子加密網(wǎng)絡(luò)量子密碼安全服務(wù)中心

中國移動(dòng)4G/5G網(wǎng)絡(luò)

量子真隨機(jī)②量子加密手機(jī)

一話一密-I

高清語音③量子加密業(yè)務(wù)VoLTEAS互通NFT跨鏈服務(wù)

，

搭建數(shù)字經(jīng)濟(jì)合作“數(shù)字橋梁”中國移動(dòng)聯(lián)合香港Web3.0協(xié)會(huì)

，

以NFT為載體

，打造“跨鏈協(xié)議+鏈適配器+智能合約”方案

，通過NFT流轉(zhuǎn)的業(yè)務(wù)流程實(shí)現(xiàn)資產(chǎn)數(shù)字化、

價(jià)值化和證券化

，基于NFT數(shù)字資產(chǎn)跨鏈跨境流通

，為閩港數(shù)字經(jīng)濟(jì)合作搭建“數(shù)字橋梁”。NFT活動(dòng)策劃積分/權(quán)益兌換發(fā)行平臺(tái)內(nèi)傳播第三方曝光好友圈推薦香港MyLink數(shù)字資

產(chǎn)交易平臺(tái)NFT收藏權(quán)益體驗(yàn)NFT交易NFT錢包資產(chǎn)管理實(shí)物商品

權(quán)益兌換NFT活動(dòng)策劃積分/權(quán)益兌換平臺(tái)內(nèi)傳播第三方曝光好友圈推薦NFT收藏權(quán)益體驗(yàn)NFTNFT錢包

管理資產(chǎn)管理Ope

n

Sea幣

安

N

FTMagic

Ede

n

Coi

n

base

N

FT……NFT海外流轉(zhuǎn)NFT自由買賣

NFT兌換法幣NFT自由交易藝術(shù)家文博場(chǎng)館協(xié)會(huì)組織企業(yè)資產(chǎn)企業(yè)碳匯資產(chǎn)孵化跨鏈服務(wù)中移香港鏈IP上鏈、

跨鏈

區(qū)塊鏈能力跨鏈服務(wù)以太坊中移閩鏈

閩港數(shù)字資產(chǎn)流通平臺(tái)NFT3NFT7NFT4NFT8NFT1NFT5NFT2NFT6NFT收藏NFTNFT授權(quán)NFT海外交易IP引入授權(quán)發(fā)行跨鏈互通限制流通權(quán)益釋放限制流通權(quán)益釋放實(shí)物商品權(quán)益兌換區(qū)塊鏈能力NFT兌換NFT轉(zhuǎn)贈(zèng)NFT轉(zhuǎn)贈(zèng)NFT發(fā)行NFT兌換NFT銷毀NFT銷毀NFT收藏NFT管理NFT出海IP上鏈NFT內(nèi)環(huán)1家中環(huán)8家外環(huán)6家合作環(huán)海外環(huán)“一體五環(huán)”創(chuàng)新格局新定位：做信息服務(wù)科技創(chuàng)新引擎

，支撐公司數(shù)智化轉(zhuǎn)型持續(xù)完善”一體五環(huán)“科技創(chuàng)新體系

，形成內(nèi)外雙循環(huán)的協(xié)同創(chuàng)新格局“一體五環(huán)”科技創(chuàng)新布局使命目標(biāo)做信息服務(wù)科技創(chuàng)新引擎

成為引領(lǐng)全球行業(yè)技術(shù)發(fā)展的世界一流研發(fā)機(jī)構(gòu)聚核心科學(xué)→

技術(shù)強(qiáng)能力技術(shù)→

產(chǎn)品重轉(zhuǎn)化產(chǎn)品→

市場(chǎng)構(gòu)生態(tài)香港公司其它專直單