YD_T 3947-2021 物联网基础安全 物联网卡安全分类 管理规范.pdf
《YD_T 3947-2021 物联网基础安全 物联网卡安全分类 管理规范.pdf》由会员分享,可在线阅读,更多相关《YD_T 3947-2021 物联网基础安全 物联网卡安全分类 管理规范.pdf(16页珍藏版)》请在咨信网上搜索。
1、 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 物联网基础安全 物联网卡安全分类 管理规范 Basic security of IoT-Classification management specification for security of IoT card (报批稿)-发布-实施 发 布ICS 35.110 CCS M11 目目 次次 前前 言言.-4-1 范围范围.-5-2 规范性引用文件规范性引用文件.-5-3 术语、定义和缩略语术语、定义和缩略语.-5-3.1 术语和定义.-5-3.2 缩略语.-5-4 物联网卡开通功能定义物联网卡开通功能定义.-6-4.1
2、 语音功能.-6-4.1.1 定向语音.-6-4.1.2 非定向语音.-6-4.2 短信功能.-6-4.2.1 定向短信.-6-4.2.2 非定向短信.-6-4.3 流量功能.-6-4.3.1 定向流量.-6-4.3.2 非定向小流量.-6-4.3.3 非定向大流量.-6-5 物联网卡安全管理措施物联网卡安全管理措施.-7-5.1 前置规范管理.-7-5.1.1 专用号段.-7-5.1.2 卡片限定.-7-5.1.3 机卡绑定.-7-5.1.3.1 网络侧机卡绑定.-7-5.1.3.2 终端侧机卡互锁方式.-7-5.2 业务功能限定.-7-5.2.1 区域限制.-7-5.2.2 限额管控.-7
3、-5.2.3 定向访问.-8-5.2.3.1 定向语音.-8-5.2.3.2 定向短信.-8-5.2.3.3 定向流量.-8-5.2.4 黑名单限制.-9-5.3 后向使用监测.-9-5.3.1 业务合规监测.-9-5.3.2 异常使用监测.-9-5.3.3 重点场景监测.-10-6 物联网卡安全管理基本要求物联网卡安全管理基本要求.-10-6.1 基本原则.-10-6.1.1 责任对等原则.-10-6.1.2 最小必要原则.-10-6.1.3 分类登记原则.-10-6.2 总体要求.-10-6.3 物联网卡安全分类管理要求.-10-6.3.1 开通全业务功能物联网卡.-11-6.3.2 开通
4、短信和流量功能物联网卡.-11-6.3.3 仅开通流量功能物联网卡.-12-7 物联网卡入网管理规范物联网卡入网管理规范.-14-7.1 办理渠道要求.-14-7.2 出示证件要求.-14-7.2.1 单位证件.-14-7.2.2 个人证件.-14-7.3 单位资质审核要求.-14-7.4 合同管理要求.-14-7.5 证件真实性查验要求.-15-7.6 人证一致性查验要求.-15-7.7 现场拍照留存要求.-15-7.8 日志留存要求.-15-7.9 用户登记要求.-15-7.10 用户信息保护要求.-16-前前 言言 本文件按照 GB/T 1.1-2020 的规定起草。请注意本文件的某些内
5、容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国通信标准化协会提出并归口。本文件起草单位:中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司。本文件主要起草人:林美玉、崔颖、白盼盼、杜诗雨、叶青、毛江俊、马超、闫晓睿、徐华珺。物联网基础安全物联网基础安全 物联网卡安全分类管理物联网卡安全分类管理规范规范 1 范围 本文件规定了物联网卡安全分类管理的基本要求,主要包括:物联网卡功能定义、安全管理技术措施、安全管理要求和入网管理要求等。本文件适用于指导电信企业开展物联网卡安全管理工作。其中,电信企业包括基础电信企业和移动通信转售企业。
6、2 规范性引用文件 本文件没有规范性引用文件。3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。3.1.1 物联网卡 IoT card 基于蜂窝移动通信网络,采用物联网专用号码作为终端业务号码,承载于物联网移动核心网专用网元上,用于物与物、物与人通信的用户识别卡。3.1.2 用户入网 user access to the network 用户办理物联网卡开户、过户等业务。3.1.3 专用号段 dedicated number section 行业主管部门颁发给电信企业的用于物联网、机器通信等专用码号资源。3.1.4 卡片限定 card limitation 通过嵌入、焊接
7、、非标等方式,实现物联网卡与终端物理绑定的技术手段,从而有效防止物联网卡被挪用。3.1.5 机卡绑定 machine card binding 针对可插拔的普通 SIM 卡,通过在相应的系统平台配置机卡绑定参数实现物联网卡与终端的软绑定。3.2 缩略语 下列缩略语适用于本文件。APN 接入点名称 Access Point Name eSIM 嵌入式 SIM 卡 Embedded-SIM IP 网际互连协议 Internet Protocol SIM 用户身份识别模块 Subscriber Identification Module URL 统一资源定位符 Uniform Resource Lo
8、cator VPDN 虚拟专有拨号网络 Virtual Private Dial Network 4 物联网卡开通功能定义 4.1 语音功能 4.1.1 定向语音 定向语音是指使用物联网卡只能与特定号码进行语音通话,包括呼入和呼出方向。各电信企业应按最小必要原则,严格限制语音通话的白名单号码数量,原则上语音呼入和呼出的白名单号码数量合计不超过5个。电信企业应严格限制定向语音白名单的变更次数,对于确需变更的,电信企业应加强审核,明确电信企业审核责任人,并留存签字审核表。4.1.2 非定向语音 非定向语音是指使用物联网卡可进行语音通话的对象不受限制,包括呼入和呼出。4.2 短信功能 4.2.1 定
9、向短信 定向短信是指使用物联网卡仅能与短信管理平台号码进行收发短信,不允许物联网卡与物联网卡之间、物联网卡与公众移动网电话号码之间收发短信。各物联网卡对应的短信管理平台号码由电信企业自行分配,原则上每张物联网卡绑定的平台号码数量(含发送和接收)合计不超过 5 个。电信企业应严格限制定向短信白名单的变更次数,对于确需变更的,电信企业应加强审核,明确电信企业审核责任人,并留存签字审核表。4.2.2 非定向短信 非定向短信是指使用物联网卡发送或接收短信的对象不受限制。4.3 流量功能 根据物联网卡流量功能是否受限,可分为定向流量和非定向流量。按照物联网卡使用流量额度,可以分为大流量和小流量。结合安全
10、风险,物联网卡流量功能可分为定向流量、非定向小流量和非定向大流量。4.3.1 定向流量 定向流量是指可通过技术措施限定物联网卡仅能访问特定的 IP 或 URL 地址,原则上定向流量访问的 IP 和 URL 地址白名单数量合计不超过 10 个。电信企业应严格限制定向流量白名单变更次数,对于确需变更的,电信企业应加强审核,明确电信企业审核责任人,并留存签字审核表。4.3.2 非定向小流量 非定向小流量是指使用物联网卡可访问公网 IP 或 URL 地址不受限制,且月均使用流量不超过 100MB。4.3.3 非定向大流量 非定向大流量是指使用物联网卡可访问公网 IP 或 URL 地址不受限制,且月均使
11、用流量大于100MB。5 物联网卡安全管理措施 5.1 前置规范管理 5.1.1 专用号段 电信企业在发展物联网用户时,应严格使用物联网卡专用号段,并定期对专用号段使用合规性进行抽查。5.1.2 卡片限定 卡片限定主要表现为贴片卡、eSIM卡和异形卡等,其中异形卡是通过改变SIM卡的形状和大小,仅在特定物联网终端中可以使用。5.1.3 机卡绑定 机卡绑定的具体实现方式可分为两类:一类是电信企业在网络侧签约服务器上或连接管理平台上配置终端设备唯一标识号与物联网号码、终端设备唯一标识库与物联网号码库的绑定关系;另一类是在终端侧采用机卡互锁方式。物联网机卡绑定仅能由电信企业进行操作,不得由购卡用户自
12、行操作。5.1.3.1 网络侧机卡绑定 一是通过签约服务器签约功能实现绑定。物联网号码在签约服务器签约机卡绑定功能;用户提前告知电信企业物联网终端的设备唯一标识号信息,由电信企业在网络侧进行配置,将设备唯一标识号与相应的物联网号码进行绑定;或终端首次发生通信行为时,通过省内无线网络接入后,上报实际设备的唯一标识号到核心网元设备,核心网元设备将用户硬件信息上报到签约服务器,签约服务器将设备唯一标识号与物联网号码进行绑定;之后,终端再次发生通信行为时,签约服务器核对用户的硬件信息和绑定的物联网号码是否一致,如不一致,则直接拒绝用户接入。二是通过连接管理平台实现绑定。终端首次发生通信行为时,通过网络
13、侧抓取终端设备的唯一标识号,并在电信企业物联网连接管理平台上存储该设备唯一标识号与物联网号码的对应关系,后续物联网卡请求连接到网络时,物联网连接管理平台自动检查设备的唯一标识号与物联网号码的对应关系,如不一致,则拒绝物联网卡接入。或者用户提前告知电信企业物联网终端的设备唯一标识库信息,由电信企业在物联网连接管理平台上进行配置,对应到相应的账户。当终端发生通信行为时,通过网络侧抓取终端设备的唯一标识号,并将抓取到的设备唯一标识号抄送给连接管理平台,由平台将该设备唯一标识号与设备唯一标识库进行比较。如果不在设备唯一标识库内,则拒绝为用户提供服务。5.1.3.2 终端侧机卡互锁方式 在物联网卡内单独
14、设置一个区域,用于存储要绑定的终端设备唯一标识号;用户提前告知电信企业物联网终端的设备唯一标识号信息,由电信企业写入物联网卡内;终端开机后读取出物联网卡内存储的设备唯一标识号,并与终端自身设备唯一标识号进行比较,判断是否一致。如不一致,则停止通信功能服务。采用此种方式的物联网终端需要具备判断设备唯一标识号的功能。5.2 业务功能限定 5.2.1 区域限制 对于终端设备位置固定的物联网场景,如水表、电表、市政监控设备、环境监测设备等,应严格限定物联网卡使用位置地点,如绑定基站标识或限制接入基站数量等。对于终端设备限定在一定地理范围内使用的物联网场景,电信企业应通过技术手段严格限定其使用区域,限定
15、区域不得超过省级范围。5.2.2 限额管控 限额管控是指结合使用场景和使用需求,限制物联网卡的业务使用量。电信企业应结合物联网卡的网络制式、使用需求,对物联网卡业务使用量进行分档限额管理。对于达到限定使用量的物联网卡,电信企业应及时暂停服务。5.2.3 定向访问 5.2.3.1 定向语音 定向语音的实现方式主要包括:网络侧通过智能网进行语音控制,以及其他可以实现与固定的号码进行语音通话的技术手段。通过智能网进行语音控制主要是通过智能网的业务控制设备来限制语音呼入和呼出的白名单,从而实现物联网卡的定向语音功能。具体流程为,当主叫发起呼叫后,经过信令交换设备,交换设备检测到智能语音业务后向业务控制
16、设备报告,业务控制设备根据交换设备上报来的呼叫事件启动不同的业务逻辑,并向交换设备发出呼叫控制指令,指示交换设备进行下一步动作,例如收号、接续、放音等等,从而实现各种智能业务。5.2.3.2 定向短信 定向短信的实现方式可通过专用短信中心和专用网关控制短信收发号码,实现物联网卡仅可以与特定平台号码收发短信。点对平台定向短信的实现流程为:当用户申请开通短信功能时,电信企业为其分配一个短信接入号码,即短信管理平台号码。电信企业在相关平台上配置短信接入号码后,配置后的短信接入码自动同步至业务网关。完成配置后,告知用户短信接入信息并配合用户进行接入联调。当物联网终端发送短信时,会经过省移动交换设备转发
17、至专用短信中心,经过物联网业务网关后发送至业务平台。5.2.3.3 定向流量 定向流量的实现方式包括:专线 VPDN、专用 APN、网络侧设置访问白名单、接入侧控制,以及其他可以实现仅访问固定的 IP 或 URL 地址的方式。具体实现方式描述如下:a)专线 VPDN 专线 VPDN 是通过 IP 承载网及传输专线的方式实现的。采用此种方式,需要客户平台通过传输专线连接至省公司的 AR 设备,通过 IP 专网 MPLS VPN+GRE(L2TP、IPsec)隧道的方式与物联网核心网专网设备互通。b)专用 APN 专用 APN 是通过各类 VPN 技术在公网疏通的逻辑隧道进行接入的。通过 GRE
18、方式实现企业VPN 方案,终端通过 IP 方式的 PDP/承载激活接入到移动数据网络,移动数据网络提供到客户数据中心企业的接入。电信企业通过 APN 标识用户业务种类,同时对用户的业务访问权限进行控制。c)网络侧设置访问白名单 网络侧设置访问白名单的具体实现流程如下:在物联网专用网元上设置物联网用户开户及策略控制;用户访问网络时,物联网核心网网关将首先到策略控制网元上查询用户签约时的业务策略,并且使对应的业务策略规则生效;如果用户访问的 IP 或 URL 地址在白名单内,则继续访问特定的业务平台或应用系统;如果不在白名单内,则停止访问。d)接入侧控制 接入侧控制主要是通过在接入侧终端或网关中配
19、备相应的安全能力,使得终端或网关具备接收、执行安全策略以及上报访问行为数据等能力。其中,安全策略包括设置黑白名单列表、限制访问能力等。接入侧控制的技术思路如下:对于加载安全能力的终端,安全管理平台将安全策略直接下发至终端。终端访问应用平台时,自身安全能力将执行安全策略,判断目的 IP 地址、URL 等是否在黑白名单中。如在白名单中,则正常访问;如在黑名单中或不在白名单中,则拒绝访问。对于已部署安全管控功能的网关,可实现流量定向访问。具体实现为:根据不同业务配置的安全策略,当终端向网关发起流量访问请求时,网关通过自身安全能力执行安全策略,判断目的 IP 地址、URL 等是否在黑白名单中。如在白名
20、单中,则正常接续访问;如在黑名单中或不在白名单中,则拒绝接续访问。5.2.4 黑名单限制 黑名单限制是指通过在网络侧设置业务访问黑名单,或者在接入侧进行安全策略控制,技术原理及实现方式同5.2.3节。为有效防范物联网卡被违规挪用于手机上网业务,黑名单至少应包括社交类网站、视频类网站、购物类网站、游戏类网站4种类型的互联网应用。电信企业可在此基础上,针对不同的物联网业务场景,在黑名单中增加互联网应用限制。5.3 后向使用监测 5.3.1 业务合规监测 业务合规监测包括下列监测模型:a)机卡分离监测 机卡分离是指物联网卡被从一个物联网终端中拔出,在另一个终端设备中使用的行为。电信企业应按照前置规范
21、管理要求对物联网卡与物联网终端进行机卡绑定,当物联网卡与终端的绑定关系发生变化或用在非设备唯一标识库中的终端上时,电信企业应能及时发现,并输出相关的机卡分离记录。b)跨区域使用监测 跨区域使用是指某些可以固定在某个位置或区域使用、通常不会发生位置移动的物联网设备发生通信位置变化的行为。电信企业应针对此类物联网卡进行跨区域使用监测,通过分析物联网话单数据中使用所在地的小区标识,对物联网卡使用区域进行精细化监测。如超出物联网卡使用区域,电信企业应输出相关的跨区域使用记录。可固定在某个位置使用的物联网卡使用场景包括但不限于以下场景:公共服务:电梯报警、视频监控、市政设施、智能抄表、环境监测、智慧停车
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YD_T 3947-2021 物联网基础安全 物联网卡安全分类 管理规范 3947 2021 联网 基础 安全 分类 管理 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。