运营商网络安全可信内生探索与实践

运营商网络安全可信内生探索与实践杨凯中国移动通信有限公司研究院安全所副所长2023年11月一、

技术演进带来安全新挑战二、

构筑网络安全可信内生技术体系三、创新实践

目

录ATALOGUEC技术演进带来安全新挑战

PA

RT

.

01

趋势一：

多业态融合演进为安全技术发展注入新动力数智化时代

，

随着连接、

算力、

业务的融合演进

，提出了安全新需求、

也提供了安全新动力。新业态（元宇宙、Web3.0）用户为中心、动态互联

元宇宙：虚实融合、沉浸式体验（超大流量）

Web3.0：协作去中心化、资产价值化

数字资产、内容权属和权益是关键问题算网融合算为中心

，网为根基

，算网融合

节点

，需要依据信任度选择计算方法

计算

，需要保障过程不被攻击

数据

，需要保障全程安全与隐私

更强的算力

，提供更强的安全分析能力连接(空天地)融合开放、动态、智能、服务化网络更开放

，形成更大的暴露面IT化解耦

，形成更多内部攻击路径动态组网

，形成动态边界DTN等6G网络新能力提供安全新动力

安全要可信

安全要灵活

安全要内生

n

多身份体系认证体系互通n

数据资产保护n

计算节点需自证安全性n

计算过程需保障不被攻击n

数据全生命周期安全要防护更大的攻击面需要防护更细粒度的攻击要形成灵活动态的安全服务

nnn趋势二：新架构加大了网络安全边界泛化的程度通信网络正加速向未来网络演变

，算力资源成为核心生产力

，移动性接入增多

，

业务安全边界变得模糊

，

云上业务受攻击面扩大

，传统的基于设备物理位置和网络位置的接入安全防护已难以满足移动性接入安全防护需求。通信网络

网络为核心的信息交换传统安全

固定边界网络安全新范式未来网络 算力为核心的信息数据处理新架构新技术新产业

新运营新安全融合边界扩张边界开放边界趋势三：

新技术发展对既有安全防御规则形成挑战量子计算、

人工智能等新技术在业务场景中的融合应用，较之传统技术而言在计算、

存储、

传输能力等方面带来大幅跃升，

但可能诱发更加高效、

有针对性、

难于发现和追溯的网络攻击，

对既有网络安全防御规则形成了巨大挑战。通过AI工具进行模拟合法操作

，修改设备配置

，再利用

中间人展开攻击。利用AI技术可进行自动化漏洞探测、构建恶意软件等

，不仅大规模降低了攻击成本

，更提升了复杂攻击的速度与执行效率。人工智能技术的发展像一把“双刃剑”

，给网络安全带来挑战和风险。日益逼近的“量子霸权”促使密码技术向“抗量子”及“国产化”方向发展。密码的安全性密码算法

的安全性密钥的安全性非对称加密对称加密网络攻击

智能化2网络攻击

自动化1密钥的安全

性散列算法密钥管理领域方案能力融合基础技术能力融合与协同调度量子密钥

区块链

可信计算隐私计算

......面向“六大领域”实施“

BASIC6”科创计划安全S-Security强化网信安全能力算力网络C-Computility

network引领算力网络发展能力中台I-Integration

Platform放大“能力中台”赋能效应人工智能A-AI加速人工智能创新突破大数据B-Big

data推进大数据价值转化6G6-6G前瞻研发6G国家专项(CYD、

LHT、

战新等)公司战略（连接+算力+能力）对外：形成增值服务对内：保障大网安全政企市场安全连接

5G/6G安全数据安全AI安全

...需求技术研发安全信任构筑网络安全可信内生技术体系

PA

RT

.

02

基础技术：

量子密钥无线分发技术解决传输难题针对量子密钥“最后一公里”传输难题

，

中国移动启动了“Q波计划”

：利用无线信道的“不确定性”实现量子密钥的“确定性”安全传输

，促进量子通信与移动通信的融合发展。无线信号小尺度衰落

时间域：多普勒频移

频率域

：时延扩展

空间域：角度色散无线信道密钥技术

无线物理层密钥生成

物理层信息安全传输无线传播环境

反射

折射

散射无线信道特征

随机性

互易性

空间不相关性“取之不尽

，

用之不竭”的天然随机源满足量子密钥大规模应用需求的“三层架构”基础技术：

通过区块链技术实现平权共治基于区块链与传统CA技术特点

，提出多层级CA身份体上链技术；

支持引入CA机构根证书与加入个体证书

，解决层次化CA证书上链与互信的问题。

推动ISO/IEC、

ITU-T启动修订传统数字证书体系的权威国际标准ITU-T

X.509。设备商1认证机构1设备商2运营商1运营商2。<>。"

".

<>。联盟2根证书1证书2将共同信任的CA机构证书记录至区块链

，兼容传统技术模式CA集中式架构

区块链+CA分布式架构用户证书批量记录至区块链

，无需CA机构参与联盟3联盟1证书1.1证书1.2证书3证书4证书1基础技术：

基于可信度量技术实现全网运行可预期基于可信度量技术构建节点可信、

连接可信、

运营可信的防护框架

，

实现计算环境可信、

边界可信、

网络通信可信，达到网络行为可预期管理

，

网络传输有保证

，

网络安全能力可输出的目的。全局可信管理可信执行层安全日志、可信状态、可信告警上报安全策略下发可信检测分析可信策略管理AI运营可信安全能力开放可信服务器

虚拟机

可信应用服务可信安全管理中心可信应用服务移动云边缘云可信服务器可信网关可信网络虚拟机基础技术：

密码与隐私计算实现多云协同下数据存算安全在多云场景引入白盒密码和隐私计算技术

，

实现云上数据存算过程的安全。

在中心云节点构建安全计算管理中心，用于支持密钥管理以及隐私计算调度；

在云节点支持白盒密码技术以及隐私计算能力。安全代理模块密文业务数据

密态数据协同计算协同计算阶段

：数据在密态下进行计算，防止数据泄露云上存储阶段：

白盒密码实现密钥隐藏，保障存储安全隐私计算模块传统密态存储白盒密态存储隐私计算调度密钥管理和隐私计算调度密钥管理和隐私计算调度隐私计算模块密文数据密文数据私有云中心云边缘云边缘云用户领域方案：

基于安全互操作技术实现全网安全资源协同通过安全互操作技术

，整合分散的安全能力

，打通异构安全能力协同通道

，为可信安全管理中心提供统一知识运营，实现全网安全资源协同管理。I风险识别能力P安全防御能力D安全监测能力

R安全响应能力R安全恢复能力鉴权认证请求管理路由转发协议转换日志记录能力编排接口适配能力调度可信安全管理中心统一标准接口安全互操作平台厂商A

厂商B

厂商C近源类安全产品防护规则API主机防护厂商A扫描任务查询API漏洞扫描创建API

扫描模板API删除任务API异常流量配置API黑洞路由策略API策略查看API云化基线扫描厂商B漏洞扫描厂商A网页防篡改厂商DAgent类安全产品异常流量监测异常流量清洗Saas类安全产品数据库信息扫描API厂商D厂商E……领域方案：

推进5/6G内生安全技术研究增强网络自身安全在增强网络设备自身安全的基础上

，

配合专用的安全设备与系统

，

并通过智能分析、

灵活编排等运维管理手段

，形成可靠、

灵活、

至简的动态安全内生防护体系

，有效地识别和防御各种网络攻击。安全智能中心安全集中分析安全模型训练安全策略生成安全策略控制单元网络设备安全控制安全设备能力控制安全服务分布式资源专用安全能力资源池SaaS安全能力安全专用设备备用安全能力资源池5G/6G内生安全架构安全管理中心资

源

编

排

与

调

度

能

力人

工

智

能

分

析

能

力设备自身安全能力与配置信任

基

础

设

施安全能力与资源安全策略与配置网络内建安全服务设备安全能力领域方案：

布局可信人工智能构建网络安全基石可信人工智能技术是帮助人工智能实现可信的基础。

通过评估数据可信、

模型可信和环境可信

，建立安全可靠的人工智能系统。鲁棒性l

数据检测

数据溯源

异常检测l

模型增强

对抗训练

知识蒸馏l

对抗噪声擦除

数据压缩重构对抗样本安全可靠让人信赖透明可释

可靠可控

隐私保护公平公正可信人工智能关键技术可解释性l

事前可解释性自解释模型

注意力机制l

事后可解释性规则提取模型蒸馏敏感性分析

局部近似l

数据保护

差分隐私l

模型保护

同态加密安全多方计算l

分布式学习联邦学习l

数据偏见因果关系检测l

模型偏见反偏见算法l

评估偏见公平性指标隐私保护

公平性可信要求可信关键技术可信特征创新实践

PA

RT

.

03

基于安全互操作协同

，

实现安全合规与注智赋能依托安全互操作技术

，打破传统安全系统互联互通技术壁垒

，纳管拉通O/B/S三域安全资源实现统一的大安全运营，构建集团首个“智慧中台+SDS”

，助力公司网络安全高标合规和对外注智赋能。

对内形成智能随需的企业级安全防御体系

对外构建山东移动统一运营和管控的安全产业生态

实现安全能力原子化

，安全能力接入效率提升一倍

实现跨域安全能力的拉通、复用和共享与生态能力整合

实现安全能力的统一接入、调度和运营安全门户安全互操作平台安全资源对内安全管理态势感知安全能力互操作平台对外安全运营管理平台S域安全能力B域安全能力O域安全能力安全资源池密码资源池网络安全工具信息安全工具数据安全工具省级能力开放平台量子VoLTE高清密话

，

保障高安全专网通信安全保密通话对于确保高安全需求场景下话音传输的安全性具有重要意义。

量子VoLTE加密通话系统将量子密码与4GVoLTE技术相结合

，

可实现高清语音加密通话

，满足专网客户高安全等级通话的需要。量子加密呼叫量子会话密钥协商量子加密通话量子密话结束量子VoLTE加密手机安全介质量子VoLTE加密手机安全介质

端到端加密①量子加密网络量子密码安全服务中心

中国移动4G/5G网络

量子真随机②量子加密手机

一话一密-I

高清语音③量子加密业务VoLTEAS互通NFT跨链服务

，

搭建数字经济合作“数字桥梁”中国移动联合香港Web3.0协会

，

以NFT为载体

，打造“跨链协议+链适配器+智能合约”方案

，通过NFT流转的业务流程实现资产数字化、

价值化和证券化

，基于NFT数字资产跨链跨境流通

，为闽港数字经济合作搭建“数字桥梁”。NFT活动策划积分/权益兑换发行平台内传播第三方曝光好友圈推荐香港MyLink数字资

产交易平台NFT收藏权益体验NFT交易NFT钱包资产管理实物商品

权益兑换NFT活动策划积分/权益兑换平台内传播第三方曝光好友圈推荐NFT收藏权益体验NFTNFT钱包

管理资产管理Ope

n

Sea币

安

N

FTMagic

Ede

n

Coi

n

base

N

FT……NFT海外流转NFT自由买卖

NFT兑换法币NFT自由交易艺术家文博场馆协会组织企业资产企业碳汇资产孵化跨链服务中移香港链IP上链、

跨链

区块链能力跨链服务以太坊中移闽链

闽港数字资产流通平台NFT3NFT7NFT4NFT8NFT1NFT5NFT2NFT6NFT收藏NFTNFT授权NFT海外交易IP引入授权发行跨链互通限制流通权益释放限制流通权益释放实物商品权益兑换区块链能力NFT兑换NFT转赠NFT转赠NFT发行NFT兑换NFT销毁NFT销毁NFT收藏NFT管理NFT出海IP上链NFT内环1家中环8家外环6家合作环海外环“一体五环”创新格局新定位：做信息服务科技创新引擎

，支撑公司数智化转型持续完善”一体五环“科技创新体系

，形成内外双循环的协同创新格局“一体五环”科技创新布局使命目标做信息服务科技创新引擎

成为引领全球行业技术发展的世界一流研发机构聚核心科学→

技术强能力技术→

产品重转化产品→

市场构生态香港公司其它专直单