物联网基础安全物联网卡安全分类管理规范
1范围
本文件规定了物联网卡安全分类管理的基本要求,主要包括:物联网卡功能定义、安全管理技术措施、安全管理要求和入网管理要求等。
2规范性引用文件
本文件没有规范性引用文件。
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
物联网卡IoT card
基于蜂窝移动通信网络,采用物联网专用号码作为终端业务号码,承载于物联网移动核心网专用网元上,用于物与物、物与人通信的用户识别卡。
3.1.2
用户入网user access to the network
用户办理物联网卡开户、过户等业务。
3.1.3
专用号段dedicated number section
行业主管部门颁发给电信企业的用于物联网、机器通信等专用码号资源。
3.1.4
卡片限定card limitation
通过嵌入、焊接、非标等方式,实现物联网卡与终端物理绑定的技术手段,从而有效防止物联网卡被挪用。
3.1.5
机卡绑定machine card binding
针对可插拔的普通SIM卡,通过在相应的系统平台配置机卡绑定参数实现物联网卡与终端的软绑定。
3.2缩略语
下列缩略语适用于本文件。
APN 接入点名称Access Point Name
eSIM 嵌入式SIM卡Embedded-SIM
IP 网际互连协议Internet Protocol
SIM 用户身份识别模块Subscriber Identification Module
URL统一资源定位符Uniform Resource Locator
VPDN虚拟专有拨号网络Virtual Private Dial Network
4物联网卡开通功能定义
4.1语音功能
4.1.1定向语音
定向语音是指使用物联网卡只能与特定号码进行语音通话,包括呼入和呼出方向。各电信企业应按最小必要原则,严格限制语音通话的白名单号码数量,原则上语音呼入和呼出的白名单号码数量合计不超过5个。
电信企业应严格限制定向语音白名单的变更次数,对于确需变更的,电信企业应加强审核,明确电信企业审核责任人,并留存签字审核表。
4.1.2非定向语音
非定向语音是指使用物联网卡可进行语音通话的对象不受限制,包括呼入和呼出。
4.2短信功能
4.2.1定向短信
定向短信是指使用物联网卡仅能与短信管理平台号码进行收发短信,不允许物联网卡与物联网卡之间、物联网卡与公众移动网电话号码之间收发短信。各物联网卡对应的短信管理平台号码由电信企业自行分配,原则上每张物联网卡绑定的平台号码数量(含发送和接收)合计不超过5个。
电信企业应严格限制定向短信白名单的变更次数,对于确需变更的,电信企业应加强审核,明确电信企业审核责任人,并留存签字审核表。
4.2.2非定向短信
非定向短信是指使用物联网卡发送或接收短信的对象不受限制。
4.3流量功能
根据物联网卡流量功能是否受限,可分为定向流量和非定向流量。按照物联网卡使用流量额度,可以分为大流量和小流量。结合安全风险,物联网卡流量功能可分为定向流量、非定向小流量和非定向大流量。
4.3.1定向流量
定向流量是指可通过技术措施限定物联网卡仅能访问特定的IP或URL地址,原则上定向流量访问的IP和URL地址白名单数量合计不超过10个。
电信企业应严格限制定向流量白名单变更次数,对于确需变更的,电信企业应加强审核,明确电信企业审核责任人,并留存签字审核表。
4.3.2非定向小流量
非定向小流量是指使用物联网卡可访问公网IP或URL地址不受限制,且月均使用流量不超过100MB。
4.3.3非定向大流量
非定向大流量是指使用物联网卡可访问公网IP或URL地址不受限制,且月均使用流量大于100MB。
5物联网卡安全管理措施
5.1前置规范管理
5.1.1专用号段
电信企业在发展物联网用户时,应严格使用物联网卡专用号段,并定期对专用号段使用合规性进行抽查。
5.1.2卡片限定
卡片限定主要表现为贴片卡、eSIM卡和异形卡等,其中异形卡是通过改变SIM卡的形状和大小,仅在特定物联网终端中可以使用。
5.1.3机卡绑定
机卡绑定的具体实现方式可分为两类:一类是电信企业在网络侧签约服务器上或连接管理平台上配置终端设备唯一标识号与物联网号码、终端设备唯一标识库与物联网号码库的绑定关系;另一类是在终端侧采用机卡互锁方式。物联网机卡绑定仅能由电信企业进行操作,不得由购卡用户自行操作。
5.1.3.1网络侧机卡绑定
一是通过签约服务器签约功能实现绑定。物联网号码在签约服务器签约机卡绑定功能;用户提前告知电信企业物联网终端的设备唯一标识号信息,由电信企业在网络侧进行配置,将设备唯一标识号与相应的物联网号码进行绑定;或终端首次发生通信行为时,通过省内无线网络接入后,上报实际设备的唯一标识号到核心网元设备,核心网元设备将用户硬件信息上报到签约服务器,签约服务器将设备唯一标识号与物联网号码进行绑定;之后,终端再次发生通信行为时,签约服务器核对用户的硬件信息和绑定的物联网号码是否一致,如不一致,则直接拒绝用户接入。
二是通过连接管理平台实现绑定。终端首次发生通信行为时,通过网络侧抓取终端设备的唯一标识号,并在电信企业物联网连接管理平台上存储该设备唯一标识号与物联网号码的对应关系,后续物联网卡请求连接到网络时,物联网连接管理平台自动检查设备的唯一标识号与物联网号码的对应关系,如不一致,则拒绝物联网卡接入。或者用户提前告知电信企业物联网终端的设备唯一标识库信息,由电信企业在物联网连接管理平台上进行配置,对应到相应的账户。当终端发生通信行为时,通过网络侧抓取终端设备的唯一标识号,并将抓取到的设备唯一标识号抄送给连接管理平台,由平台将该设备唯一标识号与设备唯一标识库进行比较。如果不在设备唯一标识库内,则拒绝为用户提供服务。
5.1.3.2终端侧机卡互锁方式
在物联网卡内单独设置一个区域,用于存储要绑定的终端设备唯一标识号;用户提前告知电信企业物联网终端的设备唯一标识号信息,由电信企业写入物联网卡内;终端开机后读取出物联网卡内存储的设备唯一标识号,并与终端自身设备唯一标识号进行比较,判断是否一致。如不一致,则停止通信功能服务。采用此种方式的物联网终端需要具备判断设备唯一标识号的功能。
5.2业务功能限定
5.2.1区域限制
对于终端设备位置固定的物联网场景,如水表、电表、市政监控设备、环境监测设备等,应严格限定物联网卡使用位置地点,如绑定标识或限制接入数量等。
对于终端设备限定在一定地理范围内使用的物联网场景,电信企业应通过技术手段严格限定其使用区域,限定区域不得超过省级范围。
5.2.2限额管控
限额管控是指结合使用场景和使用需求,限制物联网卡的业务使用量。电信企业应结合物联网卡的网络制式、使用需求,对物联网卡业务使用量进行分档限额管理。对于达到限定使用量的物联网卡,电信企业应及时暂停服务。
5.2.3定向访问
5.2.3.1定向语音
定向语音的实现方式主要包括:网络侧通过智能网进行语音控制,以及其他可以实现与固定的号码进行语音通话的技术手段。
通过智能网进行语音控制主要是通过智能网的业务控制设备来限制语音呼入和呼出的白名单,从而实现物联网卡的定向语音功能。
具体流程为,当主叫发起呼叫后,经过信令交换设备,交换设备检测到智能语音业务后向业务控制设备报告,业务控制设备根据交换设备上报来的呼叫事件启动不同的业务逻辑,并向交换设备发出呼叫控制指令,指示交换设备进行下一步动作,例如收号、接续、放音等等,从而实现各种智能业务。
5.2.3.2定向短信
定向短信的实现方式可通过专用短信中心和专用网关控制短信收发号码,实现物联网卡仅可以与特定平台号码收发短信。
点对平台定向短信的实现流程为:当用户申请开通短信功能时,电信企业为其分配一个短信接入号码,即短信管理平台号码。电信企业在相关平台上配置短信接入号码后,配置后的短信接入码自动同步至业务网关。完成配置后,告知用户短信接入信息并配合用户进行接入联调。当物联网终端时,会经过省移动交换设备转发至专用短信中心,经过物联网业务网关后发送至业务平台。
5.2.3.3定向流量
定向流量的实现方式包括:专线VPDN、专用APN、网络侧设置访问白名单、接入侧控制,以及其他可以实现仅访问固定的IP或URL地址的方式。
具体实现方式描述如下:
a)专线VPDN
专线VPDN是通过IP承载网及传输专线的方式实现的。采用此种方式,需要客户平台通过传输专线连接至省公司的AR设备,通过IP专网MPLS VPN+GRE(L2TP、IPsec)隧道的方式与物联网核心网专网设备互通。
b)专用APN
专用APN是通过各类VPN技术在公网疏通的逻辑隧道进行接入的。通过GRE方式实现企业VPN方案,终端通过IP方式的PDP/承载激活接入到移动数据网络,移动数据网络提供到客户数据中心企业的接入。电信企业通过APN标识用户业务种类,同时对用户的业务访问权限进行控制。
c)网络侧设置访问白名单
网络侧设置访问白名单的具体实现流程如下:在物联网专用网元上设置物联网用户开户及策略控制;用户访问网络时,物联网核心网网关将首先到策略控制网元上查询用户签约时的业务策略,并且使对应的业务策略规则生效;如果用户访问的IP或URL地址在白名单内,则继续访问特定的业务平台或应用系统;如果不在白名单内,则停止访问。
d)接入侧控制
接入侧控制主要是通过在接入侧终端或网关中配备相应的安全能力,使得终端或网关具备接收、执行安全策略以及上报访问行为数据等能力。其中,安全策略包括设置黑白名单列表、限制访问能力等。
接入侧控制的技术思路如下:对于加载安全能力的终端,安全管理平台将安全策略直接下发至终端。终端访问应用平台时,自身安全能力将执行安全策略,判断目的IP地址、URL等是否在黑白名单中。如在白名单中,则正常访问;如在黑名单中或不在白名单中,则拒绝访问。
对于已部署安全管控功能的网关,可实现流量定向访问。具体实现为:根据不同业务配置的安全策略,当终端向网关发起流量访问请求时,网关通过自身安全能力执行安全策略,判断目的 IP 地址、URL等是否在黑白名单中。如在白名单中,则正常接续访问;如在黑名单中或不在白名单中,则拒绝接续访问。
5.2.4黑名单限制
黑名单限制是指通过在网络侧设置业务访问黑名单,或者在接入侧进行安全策略控制,技术原理及实现方式同5.2.3节。为有效防范物联网卡被违规挪用于手机上网业务,黑名单至少应包括社交类网站、视频类网站、购物类网站、游戏类网站4种类型的互联网应用。
电信企业可在此基础上,针对不同的物联网业务场景,在黑名单中增加互联网应用限制。
5.3后向使用监测
5.3.1业务合规监测
业务合规监测包括下列监测模型:
a)机卡分离监测
机卡分离是指物联网卡被从一个物联网终端中拔出,在另一个终端设备中使用的行为。电信企业应按照前置规范管理要求对物联网卡与物联网终端进行机卡绑定,当物联网卡与终端的绑定关系发生变化或用在非设备唯一标识库中的终端上时,电信企业应能及时发现,并输出相关的机卡分离记录。
b)跨区域使用监测
跨区域使用是指某些可以固定在某个位置或区域使用、通常不会发生位置移动的物联网设备发生通信位置变化的行为。电信企业应针对此类物联网卡进行跨区域使用监测,通过分析物联网话单数据中使用所在地的小区标识,对物联网卡使用区域进行精细化监测。如超出物联网卡使用区域,电信企业应输出相关的跨区域使用记录。
可固定在某个位置使用的物联网卡使用场景包括但不限于以下场景:
─公共服务:电梯报警、视频监控、市政设施、智能抄表、环境监测、智慧停车等;
─零售服务:智能广告等;
─智慧农业:环境监测等;
─智慧工业:采集类设备、视频监控等;
─智慧物流:智能快递柜、仓储视频监控等。
c)超阈值使用监测
超阈值使用是指物联网卡每个月的短信、流量实际使用量超过开户时选择的使用量阈值的行为。电信企业应对物联网卡超阈值使用的行为进行监测,且在发现物联网卡超阈值使用后,输出相关的超阈值使用记录。
d)超白名单使用监测
超白名单使用是指物联网卡的语音主被叫号码超出开户时设定的语音白名单号码、短信收发号码超出开户时设定的短信白名单号码、访问的IP或URL地址超出定向访问白名单号码的通信行为。电信企业应对
物联网卡超白名单使用的情况进行监测,且在发现物联网卡超白名单使用后,输出相关的超白名单使用记录。
5.3.2异常使用监测
异常使用监测包括下列监测模型:
a)手机终端使用监测
手机终端使用是指物联网卡被放置在手机终端上使用的行为。电信企业应基于各企业内部的手机终端设备唯一标识库,对物联网卡所使用的终端设备唯一标识号进行监测。当发现物联网卡被使用在手机终端上时,应输出相关的手机终端使用记录。
b)异常使用行为监测电信查流量
异常使用行为是指对于特定物联网场景使用的物联网卡发生典型人联网应用访问的行为。电信企业应通过分析物联网卡实际访问的URL地址,查看其是否访问了典型人联网应用。当发现
发布评论