?
融合通信安全風(fēng)險(xiǎn)分析及防范策略研究
常玲,趙蓓,杜雪濤,吳日切夫
(中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司,北京 100080)
摘 要分析了融合通信中的各種風(fēng)險(xiǎn),包括新消息、新通話和新聯(lián)系的安全風(fēng)險(xiǎn),提出了融合通信不良信息防范策略,包括技術(shù)管控和業(yè)務(wù)管控兩個(gè)方面。
關(guān)鍵詞融合通信;富媒體;云端聯(lián)動(dòng);業(yè)務(wù)管控
中國(guó)移動(dòng)在4G時(shí)代基于新技術(shù)對(duì)通話、短彩信和通訊錄等基本通信服務(wù)全面升級(jí),為用戶(hù)帶來(lái)以“新通話”、“新消息”和“新聯(lián)系”為核心、功能完善、體驗(yàn)優(yōu)良的全新體驗(yàn),即融合通信。
融合通信以GSMA RCS 5.1規(guī)范為框架,在遵循RCS基礎(chǔ)協(xié)議和標(biāo)準(zhǔn)接口的基礎(chǔ)上,對(duì)RCS和IMS進(jìn)行裁剪、定制和優(yōu)化,以達(dá)到提升產(chǎn)品競(jìng)爭(zhēng)力,降低建設(shè)成本、運(yùn)營(yíng)和維護(hù)難度的效果。 “新通話”以VoLTE為核心,增強(qiáng)用戶(hù)通話質(zhì)量和體驗(yàn),包括高清話音、多方通話、高清視頻、通話過(guò)程中消息分享等;“新消息”以RCS為基礎(chǔ),無(wú)縫融合多種媒體和消息格式,無(wú)縫與傳統(tǒng)短/彩信互通,包括一對(duì)一多媒體消息、群聊、群發(fā)、消息云備份等;“新聯(lián)系”以真實(shí)手機(jī)號(hào)碼為前提,構(gòu)建全新的社交、公眾信息服務(wù)入口,包括個(gè)人Profile(即提供個(gè)人信息的管理和發(fā)布入口、提供二維碼名片的查看入口),云通訊錄等。此外,融合通信還包括公眾賬號(hào)、文件共享、圈子、一卡多號(hào)、VoWiFi、增強(qiáng)屏顯、二維碼名片等增強(qiáng)功能。融合通信業(yè)務(wù)的承載主要是終端原生方式,即在出廠時(shí)以“NATIVE”方式內(nèi)置“融合通信”功能的手機(jī)。初級(jí)階段也可以采用App形式。
融合通信網(wǎng)絡(luò)架構(gòu)如圖1所示,關(guān)鍵網(wǎng)元包括新通話模塊、新消息模塊、新聯(lián)系模塊、融合通信IMS Core即融合通信的呼叫路由、HSS即融合通信用戶(hù)數(shù)據(jù)存儲(chǔ)器、融合通信SBC即融合通信終端的接入、媒體處理設(shè)備。
2.1 新消息安全風(fēng)險(xiǎn)
當(dāng)用戶(hù)使用融合通信業(yè)務(wù)終端發(fā)送消息,遇到網(wǎng)絡(luò)和對(duì)端的不同場(chǎng)景如下:
(1)發(fā)送:盡可能發(fā)送新消息,在沒(méi)有VoLTE和VoWiFi網(wǎng)絡(luò)即無(wú)IP連接的情況下使用與傳統(tǒng)短彩信互通網(wǎng)關(guān)轉(zhuǎn)換為短/彩信發(fā)送;
(2)接收:如果發(fā)送的是新消息,則新消息接收,如果發(fā)送的是傳統(tǒng)短/彩信,則傳統(tǒng)短/彩信接收。
2G/3G時(shí)代的短彩信以文本形式為主,而融合通信富媒體內(nèi)容占比較高,但目前業(yè)界在音視頻識(shí)別過(guò)濾技術(shù)方面尚不成熟,對(duì)已知相似的違法違規(guī)音視頻識(shí)別準(zhǔn)確率較低,對(duì)新出現(xiàn)違法違規(guī)圖片音視頻無(wú)法有效識(shí)別,導(dǎo)致管控難度大。并且在技術(shù)不成熟情況下,高頻、低頻發(fā)送或群發(fā)消息行為的管控將面臨更大挑戰(zhàn)。
融合通信業(yè)務(wù)作為傳統(tǒng)短/彩信業(yè)務(wù)的升級(jí),可不經(jīng)用戶(hù)同意即向任意號(hào)碼發(fā)送任意內(nèi)容的富媒體消息,在目前識(shí)別過(guò)濾技術(shù)不成熟的情況下,容易被利用發(fā)送各類(lèi)商業(yè)和違法有害信息。
新消息群發(fā)更快捷,影響面更廣泛,社會(huì)動(dòng)員能力更強(qiáng),管控難度更大。并且新消息基于流量計(jì)費(fèi),價(jià)格大大低于當(dāng)前短信按條計(jì)費(fèi)價(jià)格(>5分/條)限制,其消息量將呈幾何級(jí)數(shù)增長(zhǎng),群發(fā)成本極低,加劇了垃圾消息泛濫的風(fēng)險(xiǎn)。
目前各省建立了垃圾短彩信監(jiān)控系統(tǒng),并建立了集中管控平臺(tái),實(shí)現(xiàn)了集中運(yùn)營(yíng)?,F(xiàn)有垃圾短彩信監(jiān)控系統(tǒng)的前端監(jiān)控?cái)r截模塊是從短彩信中心采集數(shù)據(jù),并進(jìn)行分析和攔截。融合通信業(yè)務(wù)用戶(hù)之間的新消息收發(fā)不再經(jīng)過(guò)短彩信中心,現(xiàn)有的垃圾短彩信監(jiān)控系統(tǒng)無(wú)法對(duì)新消息進(jìn)行監(jiān)控。
2.2 新通話安全風(fēng)險(xiǎn)
當(dāng)用戶(hù)使用融合通信業(yè)務(wù)終端發(fā)起新通話時(shí),遇到網(wǎng)絡(luò)和對(duì)端的不同場(chǎng)景如下,如圖2、圖3所示。
(1)VoLTE場(chǎng)景用戶(hù)之間的新通話;
(2)VoLTE場(chǎng)景用戶(hù)與2/3G場(chǎng)景用戶(hù)之間的新通話;
圖1 融合通信網(wǎng)絡(luò)架構(gòu)
圖2 VoLTE場(chǎng)景用戶(hù)新通話業(yè)務(wù)場(chǎng)景分析
圖3 VoWiFi場(chǎng)景用戶(hù)新通話業(yè)務(wù)場(chǎng)景分析
(3)VoWiFi場(chǎng)景用戶(hù)與VoLTE場(chǎng)景用戶(hù)之間的新通話;
(4)VoWiFi場(chǎng)景用戶(hù)與2/3G場(chǎng)景用戶(hù)之間的新通話。
新通話多方通話能力強(qiáng)大,基于APP等軟件方式很容易實(shí)現(xiàn)多方通話,并且能一鍵發(fā)起多方通話,導(dǎo)致更容易產(chǎn)生騷擾電話。目前基于省級(jí)信令監(jiān)控平臺(tái)建設(shè)了騷擾電話集中監(jiān)控系統(tǒng),新通話信令并未納入省級(jí)信令監(jiān)控平臺(tái)的監(jiān)測(cè)范圍,存在無(wú)法監(jiān)控新通話撥打騷擾電話的風(fēng)險(xiǎn)。
融合通信業(yè)務(wù)平臺(tái)采用SIM卡綁定認(rèn)證,延續(xù)了SIM卡實(shí)名制不完善帶來(lái)的風(fēng)險(xiǎn),存在溯源困難、匿名冒名使用業(yè)務(wù)帶來(lái)的風(fēng)險(xiǎn)。
2.3 新聯(lián)系安全風(fēng)險(xiǎn)
融合通信的新消息圈子、群聊、公眾賬號(hào)、文件共享等新型業(yè)務(wù)為點(diǎn)對(duì)多點(diǎn)傳播,覆蓋面廣,管控難度大。圈子風(fēng)險(xiǎn)是用戶(hù)可看到好友在朋友圈分享的所有信息,不法分子可利用圈子進(jìn)行不良信息傳播;群聊風(fēng)險(xiǎn)是用戶(hù)可在群內(nèi)實(shí)時(shí)廣播違法違規(guī)消息, 社會(huì)動(dòng)員能力強(qiáng),管控難度大;公眾賬號(hào)風(fēng)險(xiǎn)是公眾賬號(hào)可給訂閱用戶(hù)主動(dòng)推送富媒體消息,不法分子可利用其廣泛傳播不良信息;文件共享風(fēng)險(xiǎn)是用戶(hù)可利用文件共享傳播違法違規(guī)文件、病毒、木馬等。
新聯(lián)系中的主叫用戶(hù)Profile信息由用戶(hù)個(gè)人上傳和修改,存在誘導(dǎo)用戶(hù)信任陌生來(lái)電,傳播不良圖片或?qū)嵤┰p騙等風(fēng)險(xiǎn)。
由于融合通信不良信息管控難度大,因此應(yīng)借鑒微信、新浪微博的治理經(jīng)驗(yàn),按照“技管結(jié)合”的原則,在做好技術(shù)管控的同時(shí),制定合理的業(yè)務(wù)規(guī)則,綜合防范融合通信安全風(fēng)險(xiǎn)。
3.1 技術(shù)管控策略
3.1.1 擴(kuò)大監(jiān)控系統(tǒng)覆蓋范圍
在現(xiàn)有不良信息集中管控系統(tǒng)的基礎(chǔ)上,建設(shè)融合通信垃圾消息管控系統(tǒng),對(duì)采用SIP、MSRP等新型協(xié)議的多媒體消息進(jìn)行采集及監(jiān)控?cái)r截;新增VoLTE及VoWiFi呼叫信令數(shù)據(jù)源采集,納入騷擾電話集中管控系統(tǒng)監(jiān)控范圍,實(shí)現(xiàn)騷擾電話(響一聲電話)監(jiān)控;升級(jí)現(xiàn)網(wǎng)虛假主叫集中管控系統(tǒng),防止誤攔融合通信通話。
3.1.2 富媒體業(yè)務(wù)管控
針對(duì)富媒體攔截過(guò)濾技術(shù)不成熟問(wèn)題,將在監(jiān)控系統(tǒng)中引入音視頻模糊匹配、話音識(shí)別、圖像識(shí)別等新技術(shù),增強(qiáng)針對(duì)富媒體業(yè)務(wù)的監(jiān)控能力。并引入“白名單+科學(xué)封堵”模型,利用好友關(guān)系、通訊錄等用戶(hù)社交關(guān)系及用戶(hù)信譽(yù)度、用戶(hù)級(jí)別等進(jìn)行差異化監(jiān)控。
(1)圖像、音視頻模糊匹配技術(shù):在現(xiàn)有精確匹配技術(shù)基礎(chǔ)上,引入基于圖像、音視頻樣本庫(kù)進(jìn)行模糊匹配攔截,并對(duì)算法準(zhǔn)確性進(jìn)行研究提升。在基于現(xiàn)網(wǎng)淫穢文本、圖像技術(shù)的基礎(chǔ)上,引入淫穢色情識(shí)別技術(shù)。
(2)圖像、音視頻文本轉(zhuǎn)換技術(shù):在現(xiàn)有基于樣例庫(kù)識(shí)別技術(shù)基礎(chǔ)上,引入話音轉(zhuǎn)文本技術(shù)、圖像轉(zhuǎn)文本技術(shù)進(jìn)行深度識(shí)別攔截。
(3)基于用戶(hù)信譽(yù)度的分級(jí)監(jiān)控:實(shí)施用戶(hù)信譽(yù)度評(píng)估支持用戶(hù)分級(jí)監(jiān)控,對(duì)違規(guī)用戶(hù)可進(jìn)行信譽(yù)度調(diào)降,對(duì)可信用戶(hù)進(jìn)行信譽(yù)度調(diào)升。監(jiān)控平臺(tái)可依據(jù)用戶(hù)信譽(yù)級(jí)別所產(chǎn)出的多類(lèi)用戶(hù)名單進(jìn)行差異化監(jiān)控?cái)r截監(jiān)控。
(4)用戶(hù)關(guān)系認(rèn)證:對(duì)好友用戶(hù)(借用融合通信圈子好友關(guān)系、用戶(hù)通訊錄、歷史通話記錄分析結(jié)果等)之間發(fā)送消息的頻率、內(nèi)容進(jìn)行寬松監(jiān)控,其他用戶(hù)發(fā)送消息進(jìn)行嚴(yán)格監(jiān)控或甚至不允許發(fā)送。
基于以上內(nèi)容,總結(jié)出融合通信垃圾消息管控系統(tǒng)具備如表1所示功能。
3.1.3 非實(shí)時(shí)業(yè)務(wù)管控方法
為實(shí)現(xiàn)對(duì)Profile、公眾賬號(hào)、圈子、文件共享等非實(shí)時(shí)業(yè)務(wù)的管控,將部分不良信息管控能力前移到業(yè)務(wù)平臺(tái),采取先審后發(fā)等措施。
(1)公眾賬號(hào):對(duì)公眾帳號(hào)發(fā)布內(nèi)容進(jìn)行有效的的監(jiān)控和審核,基于公眾帳號(hào)信譽(yù)級(jí)別,實(shí)施先審后發(fā),防止公眾帳號(hào)發(fā)布違法有害信息。
(2)個(gè)人Profile:加強(qiáng)Profile業(yè)務(wù)的內(nèi)容真實(shí)性審核。
(3)文件共享:對(duì)用戶(hù)共享文件進(jìn)行事前病毒查殺和內(nèi)容過(guò)濾,限制文件共享類(lèi)型。
(4)圈子:對(duì)圈子中發(fā)布的內(nèi)容進(jìn)行安全監(jiān)控和審核,在出現(xiàn)違法有害內(nèi)容時(shí),可對(duì)圈子進(jìn)行刪帖,關(guān)閉用戶(hù)相應(yīng)功能。
3.1.4 云端聯(lián)動(dòng)治理方法
為引入用戶(hù)自主攔截措施,在客戶(hù)端內(nèi)置安全模塊進(jìn)行快捷舉報(bào)、基于個(gè)人黑名單等進(jìn)行個(gè)性化攔截,網(wǎng)絡(luò)側(cè)進(jìn)行內(nèi)容過(guò)濾、人工審核、二次過(guò)濾、統(tǒng)計(jì)分析、策略管理等,實(shí)現(xiàn)網(wǎng)絡(luò)側(cè)與終端側(cè)真正的“云、端”聯(lián)動(dòng)治理模式(如圖4所示)。
云側(cè)管理并部署攔截策略,對(duì)不良信息進(jìn)行監(jiān)控過(guò)濾、人工審核處置;收集用戶(hù)舉報(bào)數(shù)據(jù),優(yōu)化攔截策略;用戶(hù)數(shù)據(jù)云存儲(chǔ)與管理。
端側(cè)進(jìn)行個(gè)性化攔截、自定義黑名單、快捷舉報(bào)等。
加強(qiáng)用戶(hù)舉報(bào)的快速響應(yīng)、審核和處置,同時(shí)實(shí)現(xiàn)舉報(bào)和監(jiān)控?cái)r截的有效聯(lián)動(dòng),對(duì)審核確認(rèn)的主叫及類(lèi)似舉報(bào)樣本進(jìn)行監(jiān)控?cái)r截。
3.2 業(yè)務(wù)管控策略
由于技術(shù)管控并不能完全消除安全風(fēng)險(xiǎn),也應(yīng)對(duì)業(yè)務(wù)規(guī)則進(jìn)行調(diào)整優(yōu)化,以確保業(yè)務(wù)安全可控。業(yè)務(wù)管控應(yīng)從用戶(hù)管理、應(yīng)急管控、業(yè)務(wù)策略這三個(gè)角度出發(fā),全面評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)。
3.2.1 用戶(hù)管理
對(duì)不同用戶(hù)采用不同管控策略,落實(shí)用戶(hù)實(shí)名制,建立用戶(hù)分級(jí)管理規(guī)則。
(1)用戶(hù)實(shí)名制管理:在業(yè)務(wù)環(huán)節(jié)加強(qiáng)源頭實(shí)名身份認(rèn)證管理,實(shí)現(xiàn)源頭可追溯,降低匿名用戶(hù)使用業(yè)務(wù)風(fēng)險(xiǎn)。
(2)用戶(hù)分級(jí)管理:建立用戶(hù)分級(jí)管理規(guī)則,滿(mǎn)足用戶(hù)分級(jí)管控需求。
3.2.2 應(yīng)急管控
在敏感地域/時(shí)期對(duì)不同用戶(hù)按照業(yè)務(wù)型態(tài)、內(nèi)容類(lèi)型等進(jìn)行應(yīng)急管控。
(1)業(yè)務(wù)應(yīng)急管控:業(yè)務(wù)平臺(tái)應(yīng)支持能夠按內(nèi)容類(lèi)型(如新消息、新通話功能,甚至細(xì)化到文本、圖片、音視頻通信等子功能)、分地域、分時(shí)段、分號(hào)段進(jìn)行業(yè)務(wù)關(guān)?;蛞罁?jù)以上組合條件要求進(jìn)行業(yè)務(wù)應(yīng)急關(guān)停,以實(shí)現(xiàn)在敏感時(shí)期、敏感地區(qū),可對(duì)特定人群實(shí)施應(yīng)急管控。例如,可根據(jù)有關(guān)部門(mén)需要,在特定時(shí)期,禁止發(fā)生暴恐事件的地區(qū)發(fā)送音視頻。
表1 融合通信垃圾消息管控系統(tǒng)監(jiān)測(cè)內(nèi)容及方法
圖4 云端聯(lián)動(dòng)方案
(2)群發(fā)重點(diǎn)管控:業(yè)務(wù)平臺(tái)應(yīng)支持在全網(wǎng)、或敏感時(shí)期、敏感地區(qū),可直接關(guān)閉融合通信客戶(hù)端群發(fā)功能。以杜絕新消息功能被利用成為社會(huì)動(dòng)員工具,同時(shí)降低垃圾消息泛濫風(fēng)險(xiǎn)。
3.2.3 業(yè)務(wù)策略
調(diào)整優(yōu)化業(yè)務(wù)策略,制定用戶(hù)分時(shí)分區(qū)分功能的精細(xì)化管控規(guī)則、基于用戶(hù)分級(jí)的差異化限制策略和限制業(yè)務(wù)能力的業(yè)務(wù)策略,如表2所示。
本文分析總結(jié)出融合通信面臨的三大類(lèi)不良信息安全風(fēng)險(xiǎn),為了應(yīng)對(duì)這三大類(lèi)安全風(fēng)險(xiǎn),提出了技術(shù)管控和業(yè)務(wù)管控兩個(gè)方面的融合通信不良信息防范策略。本文所提出的防范策略能夠有效降低融合通信中的不良信息風(fēng)險(xiǎn),同時(shí)提高客戶(hù)對(duì)融合通信業(yè)務(wù)使用的感知滿(mǎn)意度。
參考文獻(xiàn)
[1]來(lái)曉陽(yáng),洪晶,杭躍斌. 手機(jī)病毒綜合治理思考[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化,2011, (10):38-41.
[2]沈昕,蔣力,施唯佳. 富媒體技術(shù)研究及在IPTV增值業(yè)務(wù)中的應(yīng)用[J]. 電信科學(xué),2011, (3):37-41.
[3]周俊茂. 移動(dòng)數(shù)據(jù)業(yè)務(wù)策略管控方法及應(yīng)用[J]. 電信科學(xué),2013, (2):49-52.
[4]邵乾. 集客信息化業(yè)務(wù)管控平臺(tái)建設(shè)[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化,2014, (6):5-10.
[5]中國(guó)移動(dòng)企業(yè)標(biāo)準(zhǔn). 融合通信業(yè)務(wù)規(guī)范V1.0.0[Z].
[6]中國(guó)移動(dòng)企業(yè)標(biāo)準(zhǔn). 融合通信安全總體技術(shù)要求V1.0.0[Z].
表2 融合通信業(yè)務(wù)策略
Research of the security risk and prevention strategies on converged communications
CHANG Ling, ZHAO Bei, DU Xue-tao, WU Riqiefu
(China Mobile Group Design Institute Co.,Ltd., Beijing 100080, China)
AbstractThis paper analyzes the risks of the converged communications, including security risk of new messages, new calls and new connections, proposes the prevention strategies of the bad information on converged communications, including the technical controls and service controls.
Keywordsconverged communications; rish media; the linkage of cloud and terminals; service controls
收稿日期:2014-12-30
文章編號(hào)1008-5599(2015)01-0010-05
文獻(xiàn)標(biāo)識(shí)碼A
中圖分類(lèi)號(hào)TN929.5
電信工程技術(shù)與標(biāo)準(zhǔn)化2015年1期