中国联通高枫:电信能力开放安全标准化研究

高枫:大家下午好!很高兴有机会跟大家分享我们在电信能力开放安全标准化研究方面做的工作。

高枫

当前的OTT发展非常迅猛,移动互联网的应用和普及,移动互联网公司不断创新业务模式,迅速聚集了数以亿计的用户,提供了丰富多彩的服务。这些服务有一些突出的特点,用户黏性高、应用创新性强、覆盖面广。这些创新的应用中,不乏有一些应用可以替代传统应用商的业务,苹果的Message可以替代传统的短彩信、苹果的Facetime可以取代视频电话。运营商面临的问题就是增量不增收。互联网加快技术创新和产品部署,形成取代传统运营商部分业务的趋势。随着移动互联网技术的发展和智能终端的普及,用户使用移动应用的时间越来越多。移动应用包括在线视频、游戏等等,用户使用这些应用可以产生大量的流量。用户使用移动互联网应用的时间比传统电信业务多了很多,产生了大量的流量,运营商可能面临只是提供网络,收取流量费用,流量不断增大,但收入并没有提高。

对于运营商来说,遭受OTT业务最大冲击的是电信运营商的封闭和自我发展的模式。OTT业务的发展,使得传统CP/SP合作伙伴的价值下降,以运营商为核心的产业链在解体,运营商亟待探索创新的业务模式。运营商有很好的网络资源,又面临增量不增收的昆剧。国内外的运营商探索电信能力开放这种创新的业务模式,以期待能够把数字化的资产变现,提升基础业务能力的收入。

下面分析一下运营商能力开放的现状。以美国AT&T为例,主要是为开发者提供API,可以支持HTML5应用。欧洲主要是以沃达丰、法电、西班牙电信为代表,主要是提供移动安全服务、移动支付。Orange创新的能力开发是流量运营,跟谷歌合作,谷歌用户访问网站可以加速。西班牙电信主要是开放平台,进行移动支付。

国内的运营商也在不断探索开放,中国联通以“Wo+”为基础,通过移动业务平台,提供不同的业务模式。现在主要是通给用户提供QOS。对于金融行业的业务,可以提供不同的网络质量保证。另外一部分是流量经营,根据不同的用户需求,定制不同的流量套餐,可以跟移动互联网厂商合作,开发一些流量产品。基于位置的能力开放,可以开放一些位置能力,与社交服务、生活服务类的服务合作,提高互联网应用的用户体验。在固网的能力方面,探索前后向网络加速。此外,我们还研究了一些智能专线的能力开发。目前移动用户对于电话骚扰、短信骚扰比较反感,运营商有一定的网络资源,可以对恶意呼叫、垃圾短信进行拦截。对于中小企业来说,按照国家的要求和运营商运维的需求,建立了一些安全系统,进行流量清洗、防病毒、移动恶意程序处理等等,可以为中小企业提供能力安全服务。

中国电信的“天翼”移动开放平台,向上可以开放接口。向下是向开发者提供移动聚合的能力。

中国移动也在探索能力开放平台的创新模式。去年年底,中国移动基于大连接战略,发布了能力开放平台白皮书,提出了三项能力、二十项功能,三项能力主要是基础业务能力、互联网能力和物联网能力。

能力开放安全标准研究。作为新的业务模式,电信运营商和互联网厂商可以获得双赢。电信能力是运营商的核心资产,我们应该安全的开放。因为一旦出现问题,对用户的影响特别大,影响面特别广。来自第三方的不安全应用和服务对运营商传统业务系统、传输网和用户信息带来威胁。

作为新的业务模式,相应的标准也要及时跟进,进行开发和研究。相关标准组织在能力开放方面做了一些工作,国际标准组织主要是ITU-T、3GPP、GSMA、OMA。国内的技术标准主要包括对基础业务的要求、平台架构、总体架构、漫游架构、网源之间的逻辑功能和接口。底层是传统运营商的网源,再往上是能力开放的平台。这个平台同时要求可以兼容其他国际标准组织的要求。再往上一层是API接口,包括新的应用开发。这个标准对于安全的描述主要包括两个部分,一部分是能力开放平台可信任之间的安全机制,包括双向认证、业务健全、加密等级保护。另外一部分是能力开放平台与第三方应用之间的安全机制,也是包括加密、业务健全等等安全要求。

下面主要介绍一下我们做的工作。中国联通在ITU-T SG17组牵头研究了Q7项目,标准已经完成,研究工作历时2年多,作为X.1145标准发布。该标准主要是研究电信能力开放,分析一些需求,提出安全框架。

我们对电信服务能力的实体进行了抽象,对于业务伙伴来说,本身有自己的业务(在线教育、在线支付),用户主要是通过能力开放获得个性化的服务。我们将开放能力归纳为三部分:第一部分网络能力,包括移动网络能力和固网能力,还包括传统的短彩信的能力、存储的能力;第二部分是各大运营商都建立了数据中心,可以对外提供计算和存储的能力;第三部分是分析能力,电信运营商的流量数据比较多,可以通过流量数据的分析,给互联网厂商提供更加个性化的服务。合作的能力,跟第三方的业务合作方合作,开发新的业务模式。

分析电信能力开放面临的安全威胁,修改开放的能力、非授权的访问、木马和病毒攻击、泄露个人信息。

分析电信能力开放的安全需求,访问控制,确保合法的用户进行访问;对用户的真实性进行认证;业务隔离,确保能力开放的时候非开放的业务不被非法的调用;DDos/病毒的应急响应,一旦发生DDos攻击,能够第一时间响应;创新业务上线前的安全测试,对代码、程序进行漏洞测试、扫描测试,确保业务是安全的;个人信息保护,对用户的信息进行保护;物理网络安全、虚拟网络安全,对运营商网络的可用性和完整性提供保护;安全审计,对开发者、业务合作者在能力开放使用过程中的行为进行安全审计。

根据安全威胁和安全需求分析,提出电信能力开放应提供的安全功能,访问控制、认证、数字签名、加密、事件监测、密钥交换、安全审计、安全恢复。

安全威胁和通用模型的关系。之前列了四项安全威胁,我们把实体抽象为几个部分,运营商、合作伙伴、开发者、个人用户,以及运营商与开发者、运营商与合作伙伴、运营商与个人用户之间。我们分析运营商这四种威胁都有。业务合作伙伴是木马和病毒攻击。合作伙伴和运营商一起开发新的业务,如果运营商的网络没有保护好,可能反向会影响业务合作伙伴。对于开发者也是。个人用户主要威胁是来自于木马病毒、个人信息安全。运营商和这三类实体之间都存在这四种威胁。安全需求和安全功能的关系,我们把刚刚提到的安全需求列了出来,又把安全功能也列了一个表格,基于提出的安全功能,这些安全需求可以得到保障。

随着OTT的发展,运营商亟待寻求新的业务模式以解决增量不增收的问题。电信业务能力开放作为新的业务模式,有助于运营商和互联网厂商获得双赢。作为运营商的核心业务能力,电信服务能力安全的开放并对其进行全方位保护。我们开展了安全框架和安全需求的研究工作,期待通过标准引导产业、运营商和互联网厂商深入开展相关研究,使产业可以安全良性的发展。同时,有助于新的业务模式和新的应用能够安全落地。

对于后续的研究工作,首先是要继续开展国际标准工作的研究。根据目前的实际研究和应用情况,继续开展安全相关的标准研究。推进行业标准进程,目前完成了国际标准的研究,之后会推进行标工作。最后是基于安全的能力开放实践,基于标准,不断完善能力开放建设。

以上就是我们研究工作的介绍。

谢谢大家!

上一篇:云屏科技李旭阳:企业采用云服务后面临的安全新挑战

下一篇:公安部张振峰:《网络安全法》实施过程中大型互联网企业如何做到等保合规