中國聯通高楓:電信能力開放安全標準化研究
責編:mhshi |2017-06-15 15:34:38
當前的OTT發展非常迅猛,移動互聯網的應用和普及,移動互聯網公司不斷創新業務模式,迅速聚集了數以億計的用戶,提供了豐富多彩的服務。這些服務有一些突出的特點,用戶黏性高、應用創新性強、覆蓋面廣。這些創新的應用中,不乏有一些應用可以替代傳統應用商的業務,蘋果的Message可以替代傳統的短彩信、蘋果的Facetime可以取代視頻電話。運營商面臨的問題就是增量不增收。互聯網加快技術創新和產品部署,形成取代傳統運營商部分業務的趨勢。隨著移動互聯網技術的發展和智能終端的普及,用戶使用移動應用的時間越來越多。移動應用包括在線視頻、游戲等等,用戶使用這些應用可以產生大量的流量。用戶使用移動互聯網應用的時間比傳統電信業務多了很多,產生了大量的流量,運營商可能面臨只是提供網絡,收取流量費用,流量不斷增大,但收入并沒有提高。
對于運營商來說,遭受OTT業務最大沖擊的是電信運營商的封閉和自我發展的模式。OTT業務的發展,使得傳統CP/SP合作伙伴的價值下降,以運營商為核心的產業鏈在解體,運營商亟待探索創新的業務模式。運營商有很好的網絡資源,又面臨增量不增收的昆劇。國內外的運營商探索電信能力開放這種創新的業務模式,以期待能夠把數字化的資產變現,提升基礎業務能力的收入。
下面分析一下運營商能力開放的現狀。以美國AT&T為例,主要是為開發者提供API,可以支持HTML5應用。歐洲主要是以沃達豐、法電、西班牙電信為代表,主要是提供移動安全服務、移動支付。Orange創新的能力開發是流量運營,跟谷歌合作,谷歌用戶訪問網站可以加速。西班牙電信主要是開放平臺,進行移動支付。
國內的運營商也在不斷探索開放,中國聯通以“Wo+”為基礎,通過移動業務平臺,提供不同的業務模式。現在主要是通給用戶提供QOS。對于金融行業的業務,可以提供不同的網絡質量保證。另外一部分是流量經營,根據不同的用戶需求,定制不同的流量套餐,可以跟移動互聯網廠商合作,開發一些流量產品。基于位置的能力開放,可以開放一些位置能力,與社交服務、生活服務類的服務合作,提高互聯網應用的用戶體驗。在固網的能力方面,探索前后向網絡加速。此外,我們還研究了一些智能專線的能力開發。目前移動用戶對于電話騷擾、短信騷擾比較反感,運營商有一定的網絡資源,可以對惡意呼叫、垃圾短信進行攔截。對于中小企業來說,按照國家的要求和運營商運維的需求,建立了一些安全系統,進行流量清洗、防病毒、移動惡意程序處理等等,可以為中小企業提供能力安全服務。
中國電信的“天翼”移動開放平臺,向上可以開放接口。向下是向開發者提供移動聚合的能力。
中國移動也在探索能力開放平臺的創新模式。去年年底,中國移動基于大連接戰略,發布了能力開放平臺白皮書,提出了三項能力、二十項功能,三項能力主要是基礎業務能力、互聯網能力和物聯網能力。
能力開放安全標準研究。作為新的業務模式,電信運營商和互聯網廠商可以獲得雙贏。電信能力是運營商的核心資產,我們應該安全的開放。因為一旦出現問題,對用戶的影響特別大,影響面特別廣。來自第三方的不安全應用和服務對運營商傳統業務系統、傳輸網和用戶信息帶來威脅。
作為新的業務模式,相應的標準也要及時跟進,進行開發和研究。相關標準組織在能力開放方面做了一些工作,國際標準組織主要是ITU-T、3GPP、GSMA、OMA。國內的技術標準主要包括對基礎業務的要求、平臺架構、總體架構、漫游架構、網源之間的邏輯功能和接口。底層是傳統運營商的網源,再往上是能力開放的平臺。這個平臺同時要求可以兼容其他國際標準組織的要求。再往上一層是API接口,包括新的應用開發。這個標準對于安全的描述主要包括兩個部分,一部分是能力開放平臺可信任之間的安全機制,包括雙向認證、業務健全、加密等級保護。另外一部分是能力開放平臺與第三方應用之間的安全機制,也是包括加密、業務健全等等安全要求。
下面主要介紹一下我們做的工作。中國聯通在ITU-T SG17組牽頭研究了Q7項目,標準已經完成,研究工作歷時2年多,作為X.1145標準發布。該標準主要是研究電信能力開放,分析一些需求,提出安全框架。
我們對電信服務能力的實體進行了抽象,對于業務伙伴來說,本身有自己的業務(在線教育、在線支付),用戶主要是通過能力開放獲得個性化的服務。我們將開放能力歸納為三部分:第一部分網絡能力,包括移動網絡能力和固網能力,還包括傳統的短彩信的能力、存儲的能力;第二部分是各大運營商都建立了數據中心,可以對外提供計算和存儲的能力;第三部分是分析能力,電信運營商的流量數據比較多,可以通過流量數據的分析,給互聯網廠商提供更加個性化的服務。合作的能力,跟第三方的業務合作方合作,開發新的業務模式。
分析電信能力開放面臨的安全威脅,修改開放的能力、非授權的訪問、木馬和病毒攻擊、泄露個人信息。
分析電信能力開放的安全需求,訪問控制,確保合法的用戶進行訪問;對用戶的真實性進行認證;業務隔離,確保能力開放的時候非開放的業務不被非法的調用;DDos/病毒的應急響應,一旦發生DDos攻擊,能夠第一時間響應;創新業務上線前的安全測試,對代碼、程序進行漏洞測試、掃描測試,確保業務是安全的;個人信息保護,對用戶的信息進行保護;物理網絡安全、虛擬網絡安全,對運營商網絡的可用性和完整性提供保護;安全審計,對開發者、業務合作者在能力開放使用過程中的行為進行安全審計。
根據安全威脅和安全需求分析,提出電信能力開放應提供的安全功能,訪問控制、認證、數字簽名、加密、事件監測、密鑰交換、安全審計、安全恢復。
安全威脅和通用模型的關系。之前列了四項安全威脅,我們把實體抽象為幾個部分,運營商、合作伙伴、開發者、個人用戶,以及運營商與開發者、運營商與合作伙伴、運營商與個人用戶之間。我們分析運營商這四種威脅都有。業務合作伙伴是木馬和病毒攻擊。合作伙伴和運營商一起開發新的業務,如果運營商的網絡沒有保護好,可能反向會影響業務合作伙伴。對于開發者也是。個人用戶主要威脅是來自于木馬病毒、個人信息安全。運營商和這三類實體之間都存在這四種威脅。安全需求和安全功能的關系,我們把剛剛提到的安全需求列了出來,又把安全功能也列了一個表格,基于提出的安全功能,這些安全需求可以得到保障。
隨著OTT的發展,運營商亟待尋求新的業務模式以解決增量不增收的問題。電信業務能力開放作為新的業務模式,有助于運營商和互聯網廠商獲得雙贏。作為運營商的核心業務能力,電信服務能力安全的開放并對其進行全方位保護。我們開展了安全框架和安全需求的研究工作,期待通過標準引導產業、運營商和互聯網廠商深入開展相關研究,使產業可以安全良性的發展。同時,有助于新的業務模式和新的應用能夠安全落地。
對于后續的研究工作,首先是要繼續開展國際標準工作的研究。根據目前的實際研究和應用情況,繼續開展安全相關的標準研究。推進行業標準進程,目前完成了國際標準的研究,之后會推進行標工作。最后是基于安全的能力開放實踐,基于標準,不斷完善能力開放建設。
