运营商网络安全可信探索与实践分析报告

运营商网络安全可信内生探索与实践2023年11月一、技术演进带来安全新挑战二、构筑网络安全可信内生技术体系三、创新实践C目

录ATALOGUE技术演进带来安全新挑战PA

R

T.

0

1趋势一：多业态融合演进为安全技术发展注入新动力数智化时代，随着连接、算力、业务的融合演进，提出了安全新需求、也提供了安全新动力。连接(空天地)融合算网融合新业态（元宇宙、Web3.0）开放、动态、智能、服务化算为中心，网为根基，算网融合用户为中心、动态互联ØØØØ节点，需要依据信任度选择计算方法计算，需要保障过程不被攻击ØØØØ网络更开放，形成更大的暴露面IT化解耦，形成更多内部攻击路径动态组网，形成动态边界ØØØ元宇宙：虚实融合、沉浸式体验（超大流量）Web3.0：协作去中心化、资产价值化数字资产、内容权属和权益是关键问题数据，需要保障全程安全与隐私更强的算力，提供更强的安全分析能力DTN等6G网络新能力提供安全新动力nnn要防护更大的攻击面需要防护更细粒度的攻击要形成灵活动态的安全服务nnn计算节点需自证安全性计算过程需保障不被攻击数据全生命周期安全nn多身份体系认证体系互通数据资产保护安全要可信安全要灵活安全要内生趋势二：新架构加大了网络安全边界泛化的程度通信网络正加速向未来网络演变，算力资源成为核心生产力，移动性接入增多，业务安全边界变得模糊，云上业务受攻击面扩大，传统的基于设备物理位置和网络位置的接入安全防护已难以满足移动性接入安全防护需求。通信网络未来网络网络为核心的信息交换算力为核心的信息数据处理传统安全固定边界新安全融合边界扩张边界开放边界网络安全新范式新架构新技术新产业新运营趋势三：新技术发展对既有安全防御规则形成挑战量子计算、人工智能等新技术在业务场景中的融合应用，较之传统技术而言在计算、存储、传输能力等方面带来大幅跃升

，但可能诱发更加高效、有针对性、难于发现和追溯的网络攻击

，对既有网络安全防御规则形成了巨大挑战。密码的安全性12密码算法的安全性密钥的安全性利用AI技术可进行自动化漏洞探测、构建恶意软件等，不仅大规模降低了攻击成本，更提升了复杂攻击的速度与执行效率。通过AI工具进行模拟合法操作，修改设备配置，再利用中间人展开攻击。非对称加密密钥的安全密钥管理对称加密散列算法性日益逼近的“量子霸权”促使密码技术向“抗量子”及“国产化”方向发展。人工智能技术的发展像一把“双刃剑”，给网络安全带来挑战和风险。面向“六大领域”实施“BASIC6”科创计划大数据人工智能安全能力中台算力网络6GB-Big

dataA-AIS-SecurityI-Integration

PlatformC-Computility

network6-6G放大“能力中台”赋

引领算力网络发展能效应前瞻研发6G强化网信安全能力推进大数据价值转

加速人工智能创新化突破国家专项(CYD、LHT、战新等)公司战略（连接+算力+能力）对

对内

外政企市场需求：

：保

形障

成大

增网

值安

服全

务安全连接5G/6G安全数据安全AI安全...领域方案能力融合基础技术信任安全能力融合与协同调度技术研发量子密钥

区块链

可信计算隐私计算......构筑网络安全可信内生技术体系PA

R

T.

0

2基础技术：量子密钥无线分发技术解决传输难题针对量子密钥“最后一公里”传输难题，中国移动启动了“Q波计划”：利用无线信道的“不确定性”实现量子密钥的“确定性”安全传输，促进量子通信与移动通信的融合发展。无线传播环境Ø

反射无线信号小尺度衰落Ø

时间域：多普勒频移Ø

频率域：时延扩展Ø

空间域：角度色散Ø

折射Ø

散射“取之不尽，用之不竭”的天然随机源无线信道特征Ø

随机性无线信道密钥技术Ø

无线物理层密钥生成Ø

物理层信息安全传输Ø

互易性Ø

空间不相关性满足量子密钥大规模应用需求的“三层架构”基础技术：通过区块链技术实现平权共治基于区块链与传统CA技术特点，提出多层级CA身份体上链技术；支持引入CA机构根证书与加入个体证书，解决层次化CA证书上链与互信的问题。推动ISO/IEC、ITU-T启动修订传统数字证书体系的权威国际标准ITU-T

X.509。联盟2联盟3联盟1设备商1运营商1认证机构1设备商2运营商2证书3证书4证书1证书2根证书1将共同信任的CA机构证书记录至区块链，兼容传统技术模式证书1.1证书1.2用户证书批量记录至区块链，无需CA机构参与CA集中式架构区块链+CA分布式架构基础技术：基于可信度量技术实现全网运行可预期基于可信度量技术构建节点可信、连接可信、运营可信的防护框架，实现计算环境可信、边界可信、网络通信可信，达到网络行为可预期管理，网络传输有保证，网络安全能力可输出的目的。可信安全管理中心全局可信管理AI可信检测分析可信策略管理安全能力开放运营可信安全日志、可信状态、可信告警上报安全策略下发移动云可信服务器虚拟机可信应用服务可信执行层边缘云可信网关可信网络可信服务器虚拟机可信应用服务基础技术：密码与隐私计算实现多云协同下数据存算安全在多云场景引入白盒密码和隐私计算技术，实现云上数据存算过程的安全。在中心云节点构建安全计算管理中心，用于支持密钥管理以及隐私计算调度；在云节点支持白盒密码技术以及隐私计算能力。隐私计算模块密钥管理和隐私计算调度密钥管理和隐私计算调度边缘云用户私有云密文数据安全代理模块隐私计算模块密文数据协同计算阶段：数据在密态下进行计算，防止数据泄露中心云边缘云云上存储阶段：白盒密码实现密钥隐藏，保障存储安全领域方案：基于安全互操作技术实现全网安全资源协同通过安全互操作技术，整合分散的安全能力，打通异构安全能力协同通道，为可信安全管理中心提供统一知识运营，实现全网安全资源协同管理。可信安全管理中心统一标准接口安全互操作平台I

风险识别能力P

安全防御能力D

安全监测能力R

安全响应能力R

安全恢复能力能力编排鉴权认证请求管理接口适配路由转发协议转换日志记录能力调度异常流量配置API黑洞路由策略API策略查看API防护规则API数据库信息扫描API扫描任务查询API漏洞扫描创建API扫描模板API删除任务API异常流量监测异常流量清洗网页防篡改云化基线扫………………主机防护厂商A漏洞扫描厂商A描厂商D厂商E厂商B厂商D厂商A厂商B厂商C近源类安全产品Agent类安全产品Saas类安全产品领域方案：推进5/6G内生安全技术研究增强网络自身安全在增强网络设备自身安全的基础上，配合专用的安全设备与系统，并通过智能分析、灵活编排等运维管理手段，形成可靠、灵活、至简的动态安全内生防护体系，有效地识别和防御各种网络攻击。5G/6G内生安全架构安全管理中心安全智能中心安全服务安全集中分析安全模型训练安全策略生成信任基础设施人工智能分析能力资源编排与调度能力安全策略控制单元安全策略与配置网络设备安全控制安全设备能力控制设备安全能力专用安全能力资源池设备自身SaaS安全能力安全专用设备备用安全网络内建安全服务安全能力与配置能力资源池安全能力与资源领域方案：布局可信人工智能构建网络安全基石可信人工智能技术是帮助人工智能实现可信的基础。通过评估数据可信、模型可信和环境可信，建立安全可靠的人工智能系统。可信人工智能关键技术可信要求安全透明可释可靠让人信赖可信特征可靠可控隐私保护公平公正可解释性鲁棒性隐私保护公平性l

事前可解释性自解释模型l

数据检测l

数据保护l

数据偏见可信关键技术数据溯源异常检测差分隐私l

模型保护同态加密因果关系检测注意力机制l

模型偏见l

事后可解释性规则提取l

模型增强对抗训练反偏见算法l

评估偏见安全多方计算模型蒸馏知识蒸馏l

分布式学习公平性指标敏感性分析l

对抗噪声擦除数据压缩联邦学习局部近似重构对抗样本创新实践PA

R

T.

0

3基于安全互操作协同，实现安全合规与注智赋能安全门户p

对内形成智能随需的企业级安全防御体系对外安全运营管理平台对内安全管理态势感知p

对外构建山东移动统一运营和管控的安全产业生态省级能力开放平台安全互操作平台安全能力互操作平台Ø

实现安全能力原子化，安全能力接入效率提升一倍Ø

实现跨域安全能力的拉通、复用和共享与生态能力整合Ø

实现安全能力的统一接入、调度和运营S域安全能力O域安全能力B域安全能力安全资源安全资源池密码资源池网络安全工具信息安全工具数据安全工具量子VoLTE高清密话，保障高安全专网通信安全保密通话对于确保高安全需求场景下话音传输的安全性具有重要意义。量子VoLTE加密通话系统将量子密码与4GVoLTE技术相结合，可实现高清语音加密通话，满足专网客户高安全等级通话的需要。量子加密通话量子加密呼叫量子会话密钥协商量子密话结束Vo

LTE

AS①

量子加密网络②

量子加密手机量子密码安全服务中心中国移动4G/5G网络量子VoLTE加密手机量子VoLTE加密手机③

量子加密业务一话一密安全介质安全介质量子真随机端到端加密高清语音互通

跨链服务，搭建数字经济合作“数字桥梁”中国移动联合香港Web3.0协会，以为载体，打造“跨链协议+链适配器+智能合约”方案，通过流转的业务流程实现资产数字化、价值化和证券化，基于数字资产跨链跨境流通，为闽港数字经济合作搭建“数字桥梁”。Open

Sea12345678艺术家IP引入NFT授权发行活动策划积分/权益兑换活动策划积分/权益兑换Magic

EdenCoinbaseNFT平台内传播第三方曝光好友圈推荐文博场馆发行发行平台内传播第三方曝光好友圈推荐转赠转赠出海……协会组织企业资产闽港数字资产流通平台香港MyLink数字资产交易平台限制流通权益释放海外流转限制流通权益释放授权海外交易收藏销毁销毁收藏权益体验

收藏收藏权益体验自由买卖兑换法币交易兑换管理管理钱包资产管理实物商品权益兑换钱包资产管理兑换企业碳汇实物商品权益兑换自由交易跨链互通IP上链、跨链区块链能力区块链能力IP上链资产孵化中移香港链坊中移闽链“一体五环”创新格局新定位：做信息服务科技创新引擎，支撑公司数智化转型使命目标定位技术创新与产业引领企业与行业高端智库关键平台与能力研发做信息服务科技创新引擎成为引领全球行业技术发展的世界一流研发机构公司提出成为信息服务科技创新公司新定位持续完善”一体五环“科技创新体系，形成内外双循环的协同创新格局“一体五环”科技创新布局内环1家聚核心科学→技术核心研发机构研究院（含未来院）区域研究院：江苏院、浙江院、广东院产研协同

研发机构中环8家强能力技术→产品设计院互联网苏研咪咕杭研金科上研成研终端雄研在线物联网卓望信安IT公司江西院外环6家重转化产品→市场省公司（31）其它专直单位合作环海外环构生态清华联合研究院中关村联合研究院重点领域头部企业、科研机构、国家平台香港公司国资委