《物联网卡安全分类管理》由会员分享,可在线阅读,更多相关《物联网卡安全分类管理(11页珍藏版)》请在金锄头文库上搜索。
1、物联网卡安全分类管理1 范围本规范规定了物联网卡安全分类管理的基本要求,主要包括:物联网卡功能定义、安全管理技术措施、分类安全管理和用户入网管理等。用户入网是指办理物联网卡开户、过户等业务。本规范适用于指导电信企业开展物联网卡安全管理工作。2 规范性引用文件工业和信息化部办公厅关于加强物联网卡安全管理工作的通知(工信厅网安20209 号)3 术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本文件。物联网卡是指基于蜂窝移动通信网络,实现人、机、物之间连接通信的用户识别卡,通常采 用物联网专用号码作为终端业务号码,承载于物联网核心网专用网元。URL统一资源定位符NB-IoT窄带物联网4G第
2、四代移动通信技术5G第五代移动通信技术HSS归属签约用户服务器IMEI国际移动设备识别码MME移动性管理实体PGWPDN 网关PDN公用数据网SCP业务控制点SSP业务交换点列缩略语适用于本文件。4 物联网卡功能定义3.2 缩略语Uniform Resource LocatorNarrow Band Internet of Things4th-Generation5th-GenerationHome Subscriber ServerInternational Mobile Equipment IdentityMobility Management EntityPDN GateWayPubli
3、c Data NetworkService Control PointService Switching Point4.1 语音功能(1)定向语音 定向语音是指使用物联网卡只能与特定号码进行语音通话,包括呼入和呼出方向。各电信 企业应按最小必要原则,严格限制语音通话的白名单号码数量,原则上语音呼入和呼出的白名 单号码数量合计不超过5个。电信企业应严格限制定向语音白名单的变更次数,对于确需变更的,电信企业应严格进行 审核,明确审核责任人,留存签字审核表。(2)非定向语音 非定向语音是指使用物联网卡进行语音通话的对象无限制,可与任意号码发生通话。4.2 短信功能(1)定向短信 定向短信是指使用物联
4、网卡仅能与短信管理平台号码之间收发短信,不允许物联网卡与物 联网卡之间、物联网卡与公众移动网电话号码之间收发短信。各物联网卡对应的短信管理平台 号码由电信企业进行分配,原则上每张物联网卡绑定的平台号码数量合计不超过5 个。电信企业应严格限制定向短信白名单的变更次数,对于需变更的,电信企业应严格进行审 核,明确审核责任人,留存签字审核表。(2)非定向短信 非定向短信是指使用物联网卡收发短信无限制,可与任意号码收发短信。4.3 流量功能 根据物联网卡流量功能是否受限,可分为定向流量和非定向流量。按照物联网卡使用流量 额度,可以分为大流量和小流量。结合安全风险,物联网卡流量功能可分为定向流量、非定向
5、大 流量和非定向小流量。(1)定向流量定向流量是指可通过技术措施限定物联网卡仅能访问特定的IP或URL地址,原则上定向流 量访问的IP或URL地址白名单数量合计不超过10个。电信企业应严格限制定向流量白名单变更次数,对于确需变更的,电信企业应严格进行审 核,明确审核责任人,留存签字审核表。(3)非定向小流量非定向小流量是指物联网卡的流量访问地址不受限制,可访问任意公网IP或URL地址,但 每月使用流量不超过 100MB。(2)非定向大流量非定向大流量是指物联网卡的流量访问地址不受限制,可访问任意公网IP或URL地址,每 月累计使用流量超过 100MB。5 物联网卡安全管理措施5.1 前置规范管
6、理5.1.1 专用号段专用号段是指工业和信息化部颁发给电信企业的用于物联网、机器通信等使用的专用码号。 电信企业在发展物联网用户时,应严格使用物联网卡专用号段,并定期对专用号段使用合规性 进行抽查。5.1.2 卡片限定 卡片限定是指通过嵌入、焊接等物理方式,实现物联网卡与终端的硬绑定,有效规避物联 网卡挪用的技术手段,主要方式包括使用贴片卡、eSIM卡和异形卡。其中异形卡是形状和大小 非规则,有别于传统手机使用的SIM卡,仅可在特定物联网终端中进行使用。5.1.3 机卡绑定机卡绑定主要是针对可插拔的普通SIM卡,通过技术方式实现物联网卡与终端的软绑定,防 范物联网卡挪用的技术手段。具体实现方式
7、可分为两类:一类是电信企业在网络侧或连接管理 平台上配置终端IMEI与物联网号码、终端IMEI池与物联网号码池的绑定关系;另一类是在终端 侧采用机卡互锁方式。物联网机卡绑定仅能由电信企业进行操作,不得由购卡用户自行操作。(一)网络侧机卡绑定:(1)单一绑定:方式一:通过HSS签约功能实现绑定: 物联网号码在HSS签约机卡绑定功能; 用户提前告知电信企业物联网终端的IMEI信息,由电信企业在网络侧进行配置,将IMEI 与相应的物联网号码进行绑定;或终端首次发生通信行为时,通过省内无线网络接入后,上报 实际设备的IMEI值到MME, MME设备将用户硬件信息上报至lHSS, HSS将设备IMEI与
8、IMSI进行 绑定; 之后,终端再次发生通信行为时,HSS核对用户的硬件信息和绑定的是否一致,如不一 致,则直接拒绝用户接入。方式二:通过连接管理平台实现绑定: 终端首次发生通信行为时,通过网络侧抓取终端设备的IMEI值,并在物联网连接管理平 台上存储该IMEI值与I MSI的对应关系; 后续物联网卡请求连接到网络时,物联网连接管理平台自动检查设备的IMEI值与I MSI 的对应关系,如不一致,则对物联网卡拒绝接入或采取停机措施。(2)IMEI池绑定:方式一:通过HSS签约功能实现绑定: 物联网号码在HSS签约机卡绑定功能; 客户提前告知企业物联网终端的IMEI信息池与物联网号码池对应关系;
9、终端发生通信行为后,PGW设备将物联网号码与终端IMEI的对应关系抄送给连接管理 平台,连接管理平台核对物联网号码与终端IMEI信息是否在同一个客户的IMEI池,如果不是则 应拒绝为用户提供服务。方式二:通过连接管理平台实现绑定: 用户提前告知电信企业物联网终端的IMEI池信息,由电信企业在连接管理平台上进行配 置,对应到相应的账户; 终端发生通信行为时,通过网络侧抓取终端设备的IMEI信息,并将抓取到的IMEI与IMEI 池进行比较。如果不在IMEI池内,则拒绝为用户提供服务。(二)终端侧机卡互锁方式 在物联网卡内单独设置一个区域,用于存储要绑定的终端IMEI值; 用户提前告知电信企业物联网
10、终端的IMEI信息,由电信企业写入物联网卡内; 终端开机后读取出物联网卡内存储的IMEI值,并与终端自身IMEI值进行比较,判断是否 一致。如判定为否,则停止通信功能服务。采用此种方式的物联网终端需要具备判断IMEI值的功能。5.2 业务功能限定5.2.1 区域限制对于终端设备位置固定的物联网场景,如水表、电表、市政监控设备、环境监测设备等,应 严格限定设置物联网卡的使用位置,如绑定基站标识或接入基站数量等。电信企业应加强对位 置异常变化的物联网卡监测和核实,对确属违规的,应及时进行处置。对于终端设备限定在一定地理范围内使用的物联网场景,电信企业应通过技术手段严格限 定其使用区域,限定维度至少
11、应为省际范围。5.2.2 限额管控限额管控是指结合使用场景和使用需求,限制物联网卡的业务使用量。电信企业应结合物 联网卡的网络制式、使用需求,对物联网卡业务使用量进行分档限额管理。对于达到限定使用 量的物联网卡,电信企业应暂停对其服务。5.2.3 定向访问(一)定向语音 定向语音的实现方式主要包括:网络侧通过智能网进行语音控制,以及其他可以实现与固定的号码进行语音通话的方式。通过智能网进行语音控制主要是通过智能网的SCP网元实现。通过智能网SCP的控制,可以 限制语音呼入和呼出的白名单,从而实现物联网卡的定向语音功能。具体来说,当主叫发起呼叫后,经过交换设备SSP(MSC/VLR),SSP查询
12、信息并发送至SCP, SCP根据SSP上报来的呼叫事件启动不同的业务逻辑,然后向SSP发出呼叫控制指令,指示SSP 进行下一步的动作,例如收号、接续、放音等等,从而实现各种智能业务。(二)定向短信 定向短信的实现方式可通过专用短信中心和专用网关控制短信收发号码,实现限制物联网卡仅向特定平台号码收发短信。点对平台定向短信的实现流程为:当行业用户申请开通短信功能时,电信企业为其分配一 个短信接入号码,即短信管理平台号码。电信企业在相关平台上配置短信接入号码后,配置后 的短信接入码自动同步至业务网关。完成配置后,告知客户短信接入信息并配合客户进行接入 联调。当物联网终端发送短信时,会经过省MSC设备
13、转发至专用短信中心,经过物联网业务网 关后发送至业务平台。(三) 定向流量定向流量的实现方式包括:专线VPDN、专用APN、网络侧设置访问白名单、接入侧控制, 以及其他可以实现定向访问固定的IP或URL地址的方式。(1) 专线 VPDN专线VPDN是通过IP承载网及传输专线的方式实现的。采用此种方式,需要客户平台通过 传输专线连接至省公司的AR设备,通过IP专网MPLS VPN+GRE (L2TP、IPsec)隧道的方式与 PGW互通。(2) 专用APN专用APN是通过各类VPN技术在公网疏通的逻辑隧道进行接入的。通过GRE方式实现企业 VPN方案,终端通过IP方式的PDP/承载激活接入到移动
14、数据网络,移动数据网络提供到客户数 据中心企业的接入,即GGSN提供到企业网的接入,移动数据网络为企业所在网络分配APN。电 信企业通过APN标识用户业务种类,同时对用户的业务访问权限进行控制。采用专用APN后, 物联网终端的访问流程为:BTS/eNodeB-BSC-SGSN/MME+SGW-专网GGSN/PGW,通过公网隧道连 接集团客户数据中心。(3) 网络侧设置访问白名单设置访问白名单的具体实现流程如下: 在物联网专网PCRF上或直接在专网PGW上设置物联网用户开户及策略控制; 用户访问网络时,PGW将首先到PCRF 上查询用户签约时的业务策略,并且使对应的业务 策略规则生效; 如果用户
15、访问的在白名单内,则继续访问特定的业务平台或应用系统;如果不在白名单 内,则停止访问。( 4)接入侧控制接入侧控制主要是通过在接入侧终端或网关中配备相应的安全能力,使得终端或网关具备 接收、执行安全策略以及上报访问行为数据等能力。其中,安全策略包括设置黑白名单列表、限 制访问能力等。接入侧控制的技术思路如下:对于加载安全能力的终端,安全管理平台将安全策略直接下 发至终端。终端访问应用平台时,自身安全能力将执行安全策略,判断目的IP地址、URL等是 否在黑白名单中。如在白名单中,则正常访问;如在黑名单中或不在白名单中,则拒绝访问。对 于已部署安全管控功能的网关,可实现流量定向访问。具体实现为:根据不同业务配置的安全 策略,当终端向网关发起流量访问请求时,网关通过自身安全能力执行安全策略,判断目的IP 地址、URL等是否在黑白名单中。如在白名单中,则正常接续访问;如在黑名单中或不在白名单 中,则拒绝接续访问。5.2.4 黑名单限制黑名单限制是指通过在网络侧设置业务访问黑名单,或者在接入侧进行安全策略控制,技 术原理及实现方式同5.2.3节。为有效防范物联网卡被违规挪用于手机上网业务,黑名单至少应 包括以下4种类型的互联网应用: 社交类网站:如微信
