中国联通高枫:电信能力开放安全标准化研究

高枫

当前的OTT发展非常迅猛,移动互联网的应用和普及,移动互联网公司不断创新业务模式,迅速聚集了数以亿计的用户,提供了丰富多彩的服务。这些服务有一些突出的特点,用户黏性高、应用创新性强、覆盖面广。这些创新的应用中,不乏有一些应用可以替代传统应用商的业务,苹果的Message可以替代传统的短彩信、苹果的Facetime可以取代视频电话。运营商面临的问题就是增量不增收。互联网加快技术创新和产品部署,形成取代传统运营商部分业务的趋势。随着移动互联网技术的发展和智能终端的普及,用户使用移动应用的时间越来越多。移动应用包括在线视频、游戏等等,用户使用这些应用可以产生大量的流量。用户使用移动互联网应用的时间比传统电信业务多了很多,产生了大量的流量,运营商可能面临只是提供网络,收取流量费用,流量不断增大,但收入并没有提高。

对于运营商来说,遭受OTT业务最大冲击的是电信运营商的封闭和自我发展的模式。OTT业务的发展,使得传统CP/SP合作伙伴的价值下降,以运营商为核心的产业链在解体,运营商亟待探索创新的业务模式。运营商有很好的网络资源,又面临增量不增收的昆剧。国内外的运营商探索电信能力开放这种创新的业务模式,以期待能够把数字化的资产变现,提升基础业务能力的收入。

下面分析一下运营商能力开放的现状。以美国AT&T为例,主要是为开发者提供API,可以支持HTML5应用。欧洲主要是以沃达丰、法电、西班牙电信为代表,主要是提供移动安全服务、移动支付。Orange创新的能力开发是流量运营,跟谷歌合作,谷歌用户访问网站可以加速。西班牙电信主要是开放平台,进行移动支付。

国内的运营商也在不断探索开放,中国联通以“Wo+”为基础,通过移动业务平台,提供不同的业务模式。现在主要是通给用户提供QOS。对于金融行业的业务,可以提供不同的网络质量保证。另外一部分是流量经营,根据不同的用户需求,定制不同的流量套餐,可以跟移动互联网厂商合作,开发一些流量产品。基于位置的能力开放,可以开放一些位置能力,与社交服务、生活服务类的服务合作,提高互联网应用的用户体验。在固网的能力方面,探索前后向网络加速。此外,我们还研究了一些智能专线的能力开发。目前移动用户对于电话骚扰、短信骚扰比较反感,运营商有一定的网络资源,可以对恶意呼叫、垃圾短信进行拦截。对于中小企业来说,按照国家的要求和运营商运维的需求,建立了一些安全系统,进行流量清洗、防病毒、移动恶意程序处理等等,可以为中小企业提供能力安全服务。

中国电信的“天翼”移动开放平台,向上可以开放接口。向下是向开发者提供移动聚合的能力。

中国移动也在探索能力开放平台的创新模式。去年年底,中国移动基于大连接战略,发布了能力开放平台白皮书,提出了三项能力、二十项功能,三项能力主要是基础业务能力、互联网能力和物联网能力。

能力开放安全标准研究。作为新的业务模式,电信运营商和互联网厂商可以获得双赢。电信能力是运营商的核心资产,我们应该安全的开放。因为一旦出现问题,对用户的影响特别大,影响面特别广。来自第三方的不安全应用和服务对运营商传统业务系统、传输网和用户信息带来威胁。

作为新的业务模式,相应的标准也要及时跟进,进行开发和研究。相关标准组织在能力开放方面做了一些工作,国际标准组织主要是ITU-T、3GPP、GSMA、OMA。国内的技术标准主要包括对基础业务的要求、平台架构、总体架构、漫游架构、网源之间的逻辑功能和接口。底层是传统运营商的网源,再往上是能力开放的平台。这个平台同时要求可以兼容其他国际标准组织的要求。再往上一层是API接口,包括新的应用开发。这个标准对于安全的描述主要包括两个部分,一部分是能力开放平台可信任之间的安全机制,包括双向认证、业务健全、加密等级保护。另外一部分是能力开放平台与第三方应用之间的安全机制,也是包括加密、业务健全等等安全要求。

下面主要介绍一下我们做的工作。中国联通在ITU-T SG17组牵头研究了Q7项目,标准已经完成,研究工作历时2年多,作为X.1145标准发布。该标准主要是研究电信能力开放,分析一些需求,提出安全框架。

我们对电信服务能力的实体进行了抽象,对于业务伙伴来说,本身有自己的业务(在线教育、在线支付),用户主要是通过能力开放获得个性化的服务。我们将开放能力归纳为三部分:第一部分网络能力,包括移动网络能力和固网能力,还包括传统的短彩信的能力、存储的能力;第二部分是各大运营商都建立了数据中心,可以对外提供计算和存储的能力;第三部分是分析能力,电信运营商的流量数据比较多,可以通过流量数据的分析,给互联网厂商提供更加个性化的服务。合作的能力,跟第三方的业务合作方合作,开发新的业务模式。

分析电信能力开放面临的安全威胁,修改开放的能力、非授权的访问、木马和病毒攻击、泄露个人信息。

分析电信能力开放的安全需求,访问控制,确保合法的用户进行访问;对用户的真实性进行认证;业务隔离,确保能力开放的时候非开放的业务不被非法的调用;DDos/病毒的应急响应,一旦发生DDos攻击,能够第一时间响应;创新业务上线前的安全测试,对代码、程序进行漏洞测试、扫描测试,确保业务是安全的;个人信息保护,对用户的信息进行保护;物理网络安全、虚拟网络安全,对运营商网络的可用性和完整性提供保护;安全审计,对开发者、业务合作者在能力开放使用过程中的行为进行安全审计。

根据安全威胁和安全需求分析,提出电信能力开放应提供的安全功能,访问控制、认证、数字签名、加密、事件监测、密钥交换、安全审计、安全恢复。

安全威胁和通用模型的关系。之前列了四项安全威胁,我们把实体抽象为几个部分,运营商、合作伙伴、开发者、个人用户,以及运营商与开发者、运营商与合作伙伴、运营商与个人用户之间。我们分析运营商这四种威胁都有。业务合作伙伴是木马和病毒攻击。合作伙伴和运营商一起开发新的业务,如果运营商的网络没有保护好,可能反向会影响业务合作伙伴。对于开发者也是。个人用户主要威胁是来自于木马病毒、个人信息安全。运营商和这三类实体之间都存在这四种威胁。安全需求和安全功能的关系,我们把刚刚提到的安全需求列了出来,又把安全功能也列了一个表格,基于提出的安全功能,这些安全需求可以得到保障。

随着OTT的发展,运营商亟待寻求新的业务模式以解决增量不增收的问题。电信业务能力开放作为新的业务模式,有助于运营商和互联网厂商获得双赢。作为运营商的核心业务能力,电信服务能力安全的开放并对其进行全方位保护。我们开展了安全框架和安全需求的研究工作,期待通过标准引导产业、运营商和互联网厂商深入开展相关研究,使产业可以安全良性的发展。同时,有助于新的业务模式和新的应用能够安全落地。

对于后续的研究工作,首先是要继续开展国际标准工作的研究。根据目前的实际研究和应用情况,继续开展安全相关的标准研究。推进行业标准进程,目前完成了国际标准的研究,之后会推进行标工作。最后是基于安全的能力开放实践,基于标准,不断完善能力开放建设。

上一篇:云屏科技李旭阳:企业采用云服务后面临的安全新挑战

下一篇:腾讯马劲松:WannaCry病毒事件的反思