YD T 3947-2021 物联网基础安全 物联网卡安全分类 管理规范.pdf

1、 YD 中华人民共和国通信行业标准 YD/T 物联网基 础安全 物 联网卡安 全分类 管理 规范 Basic security of IoT - Classification management specification for security of IoT card （报批 稿） -发布 -实施 发 布 ICS 35.110 CCS M11 目 次 前 言 . - 4 - 1 范围 . - 5 - 2 规范性引用文件 . - 5 - 3 术语、定义和缩略语 . - 5 - 3.1 术 语和 定义 . - 5 - 3.2 缩 略语 . - 5 - 4 物联网卡开通功能定义 . - 6 -

2、 4.1 语 音功 能 . - 6 - 4.1.1 定 向语 音 . - 6 - 4.1.2 非 定向 语音 . - 6 - 4.2 短 信功 能 . - 6 - 4.2.1 定 向短 信 . - 6 - 4.2.2 非 定向 短信 . - 6 - 4.3 流 量功 能 . - 6 - 4.3.1 定 向流 量 . - 6 - 4.3.2 非 定向 小流 量 . - 6 - 4.3.3 非 定向 大流 量 . - 6 - 5 物联网卡安全管理措施 . - 7 - 5.1 前 置规 范管 理 . - 7 - 5.1.1 专 用号 段 . - 7 - 5.1.2 卡 片限 定 . - 7 - 5.

3、1.3 机 卡绑 定 . - 7 - 5.1.3.1 网 络侧 机卡 绑定 . - 7 - 5.1.3.2 终 端侧 机卡 互锁 方 式 . - 7 - 5.2 业 务功 能限 定 . - 7 - 5.2.1 区 域限 制 . - 7 - 5.2.2 限 额管 控 . - 7 - 5.2.3 定 向访 问 . - 8 - 5.2.3.1 定 向语 音 . - 8 - 5.2.3.2 定 向短 信 . - 8 - 5.2.3.3 定 向流 量 . - 8 - 5.2.4 黑 名单 限制 . - 9 - 5.3 后 向使 用监 测 . - 9 - 5.3.1 业 务合 规监 测 . - 9 - 5

4、.3.2 异 常使 用监 测 . - 9 - 5.3.3 重 点场 景监 测 . - 10 - 6 物联网卡安全管理基本 要求 . - 10 - 6.1 基 本原 则 . - 10 - 6.1.1 责 任对 等原 则 . - 10 - 6.1.2 最 小必 要原 则 . - 10 - 6.1.3 分 类登 记原 则 . - 10 - 6.2 总 体要 求 . - 10 - 6.3 物 联网 卡安 全分 类管 理要求 . - 10 - 6.3.1 开 通全 业务 功 能 物 联网卡 . - 11 - 6.3.2 开 通短 信和 流量 功 能物联 网卡 . - 11 - 6.3.3 仅 开通 流量

5、 功能 物 联网卡 . - 12 - 7 物联网卡入网管理规范 . - 14 - 7.1 办 理渠 道要 求 . - 14 - 7.2 出 示证 件要 求 . - 14 - 7.2.1 单 位证 件 . - 14 - 7.2.2 个 人证 件 . - 14 - 7.3 单 位资 质审 核要 求 . - 14 - 7.4 合 同管 理要 求 . - 14 - 7.5 证 件真 实性 查验 要求 . - 15 - 7.6 人 证一 致性 查验 要求 . - 15 - 7.7 现 场拍 照留 存要 求 . - 15 - 7.8 日 志留 存要 求 . - 15 - 7.9 用 户登 记要 求 . -

6、 15 - 7.10 用户 信息 保护 要求 . - 16 - 前 言 本文件 按 照 GB/T 1.1-2020 的规定 起草 。 请注意 本文 件的 某些 内容 可能涉 及专 利。 本文 件的 发布机 构不 承担 识别 专利 的责任 。 本文件 由中 国通 信标 准化 协会提 出并 归口 。 本文件起 草单位：中国信息通信研 究院、中国电信集团有限 公司、中国移动通信集团 有限 公司、 中国 联合 网络 通信 集团有 限公 司 。 本文件主 要起草人： 林美玉、崔颖 、白盼盼、杜诗雨、 叶青 、毛江俊 、马超 、闫晓睿 、徐 华珺 。 物联网基础安全 物 联 网 卡 安 全 分类 管 理

7、规范 1 范围 本文件规 定了物联网卡安全 分类管 理的基本要求， 主要包括 ：物联网卡功能定义、安 全管 理技术 措施 、安 全管 理要求 和入 网管 理要求 等 。 本文件适 用于指导电信 企业开展物 联网卡 安全 管理工作。其 中，电信企业包括基础电 信企 业和移 动通 信转 售企 业。 2 规范性 引用 文件 本文件 没有 规范 性引 用文 件 。 3 术语、 定义 和缩 略语 3.1 术语和 定义 下列术 语和 定义 适用 于本 文件。 3.1.1 物联网 卡 IoT card 基于蜂窝 移动通信网络，采用 物联 网 专用号码作为终端业务 号码，承载于物联网移动 核心 网专用 网元

8、上， 用于 物与 物、物 与人 通信 的用 户识 别卡 。 3.1.2 用户入 网 user access to the network 用户办理 物 联网 卡开 户、 过户等 业务 。 3.1.3 专用号 段 dedicated number section 行业主 管部 门颁 发给 电信 企业的 用于 物联 网、 机器 通信等 专用 码号 资源 。 3.1.4 卡片限 定 card limitation 通过嵌入 、焊接、非标等方式，实 现物联网卡与终端物理绑 定的技术手段， 从而有效 防止 物联网 卡被 挪用 。 3.1.5 机卡绑 定 machine card binding 针对可

9、插拔 的普 通 SIM 卡 ， 通 过在 相应 的系 统平 台 配置机 卡绑 定参 数实 现物 联网卡 与终 端 的软绑 定。 3.2 缩略语 下列缩 略语 适用 于本 文件 。 APN 接入点 名称 Access Point Name eSIM 嵌入 式 SIM 卡 Embedded-SIM IP 网际互 连协 议 Internet Protocol SIM 用户身 份识 别模 块 Subscriber Identification Module URL 统一资 源定 位符 Uniform Resource Locator VPDN 虚拟专 有拨 号网 络 Virtual Private D

10、ial Network 4 物联网 卡 开 通功 能定 义 4.1 语音功 能 4.1.1 定向语 音 定向语音 是指 使用物联网卡只能与 特定号码进行语音通话 ， 包括呼入和呼出 方向。各 电信 企业应按最小 必要原则，严格限制语音 通话的白名单号码数量， 原则上语音呼入和呼出的 白名 单号码 数量 合计 不超 过5 个 。 电信企 业应 严格 限制 定向 语音白 名单 的变 更次 数 ， 对于 确需 变更 的 ， 电 信企 业 应 加强审核， 明确电 信企 业审 核责 任人 ，并留存 签字 审 核表 。 4.1.2 非定向 语音 非定向 语音 是指 使用 物联 网卡可 进行 语音 通话 的

11、 对 象不受 限制 ，包 括呼 入和 呼出。 4.2 短信功 能 4.2.1 定向短 信 定向短信 是指 使用物联网卡仅能与 短信管理平台号码进行收 发短信，不允许物联网卡 与物 联网卡之间、 物联网卡与 公众移动网电 话号码 之间 收发短信。各 物联网卡 对应的短信 管理 平台 号码由电信企 业 自行分配 ，原则上每张 物联网卡绑定的 平台号码 数量 （含发送和接收） 合 计不 超过5 个。 电信企 业应 严格 限制 定向 短信白 名单 的变 更次 数 ， 对于 确需 变更 的 ， 电 信企 业 应 加强审核， 明确电 信企 业审 核责 任人 ，并留存 签字 审 核表 。 4.2.2 非定向

12、 短信 非定向 短信 是指 使用 物联 网卡发 送或 接收 短信 的对 象不受 限制 。 4.3 流量功 能 根据物联 网卡流量功能是否受限， 可分为定向流量和非定向 流量。按照物联网卡使用 流量 额度，可以分 为大流量和小流量。结合 安全风险，物联网卡流量 功能可分为定向流量、非 定向 小流量 和非 定向 大流 量。 4.3.1 定向流 量 定 向流 量是 指 可 通过 技术 措施限 定物 联网 卡仅 能访 问特定 的 IP 或URL 地址 ， 原则上 定向 流 量访问 的 IP 和URL 地址 白 名单数 量 合 计不 超 过10 个。 电信企业 应严格限制定向流量白名 单变更次数， 对于

13、确需变 更 的，电信企业 应加强审 核， 明确电 信企 业审 核责 任人 ，并留存 签字 审 核表 。 4.3.2 非定向 小流 量 非定向 小流 量是 指使 用物 联网卡 可访 问公 网 IP 或URL 地 址不 受限 制， 且 月均 使用流 量不 超 过100MB 。 4.3.3 非定向 大流 量 非定向 大 流 量是 指 使 用物 联网卡 可访 问公 网 IP 或URL 地 址不 受限 制， 且 月均 使用流 量大 于 100MB 。 5 物联网 卡安 全管 理措 施 5.1 前置规 范管 理 5.1.1 专用号 段 电信企业 在发展物联网用户时，应 严格使用物联网卡专用号 段，并定期对

14、专用号段使 用合 规性进 行抽 查。 5.1.2 卡片限 定 卡片限 定主要表现为贴 片卡、eSIM 卡和异形卡等，其中异 形卡是通过改变SIM 卡的形状 和 大小， 仅在 特定 物联 网终 端中可 以使 用。 5.1.3 机卡绑 定 机卡绑定 的具体实现方式可分为两 类：一类是电信企业在网 络侧 签约服务器上 或连接 管理 平台上 配置终 端设备唯一标识号与物联 网号码、终端设备唯一标 识库与物联网号码库的绑 定关 系；另一类是 在终端侧采用 机卡互锁方 式。 物联网 机卡绑定仅能 由电信企业 进行 操作，不 得由 购卡用户 自行 操 作。 5.1.3.1 网络侧 机卡 绑定 一是通过 签约

15、服务器签约功能实现 绑定。物联网号码在签约 服务器签约机卡绑定功能 ；用 户提前告知电 信企业物联网终端的设备 唯一标识号信息，由电信 企业在网络侧进行配置， 将设 备唯一标识号 与相应的物联网号码进行 绑定；或终端首次发生通 信行为时，通过省内无线 网络 接入后，上报 实际设备的唯一标识号到 核心网元设备，核心网元 设备将用户硬件信息上报 到签 约服务器，签 约服务器将设备唯一标识 号与物联网号码进行绑定 ；之后，终端再次发生通 信行 为时，签约 服 务器核对用户的硬件信息 和绑定的 物联网号码 是否 一致，如不一致，则直接 拒绝 用户接 入。 二是通过 连接管理平台实现绑定。 终端首次发生

16、通信行为时 ，通过网络侧抓取终端设 备的 唯一标识号， 并在电信企业物联网连接 管理平台上存储该设备唯 一标识号与物联网号码的 对应 关系，后续物 联网卡请求连接到网络时 ，物联网连接管理平台自 动检查设备的唯一标识号 与物 联网号码的对 应关系，如不一致，则拒绝 物联网卡接入。或者用 户提前告知电信企业物联 网终 端的设 备唯 一标 识库 信息 ， 由电信 企业 在物 联网 连接 管理平 台上 进行 配置 ， 对应 到相应 的账 户 。 当终端发生通 信行为时 ，通过网络侧抓 取终端设备的唯一标识号 ，并将抓取到的设备唯一 标识 号抄送给连接 管理平台，由平台将该设 备唯一标识号与设备唯一

17、标识库进行比较。如果不 在设 备唯一 标识 库内 ，则 拒绝 为用户 提供 服务 。 5.1.3.2 终端侧 机卡 互锁 方式 在物联网 卡内单独设置一个区域， 用于存储要绑定的终端设 备唯一标识号；用户提前 告知 电信企业物联 网终端的设备唯一标识号 信息，由电信企业写入物 联网卡内；终端开机后读 取出 物联网卡内存 储的设备唯一标识号，并 与终端自身设备唯一标识 号进行比较，判断是否一 致。 如不一致 ，则 停止通信功能服务。采用 此种方式的物联网终端需 要具备判断设备唯一标识 号的 功能。 5.2 业务功 能限 定 5.2.1 区域限 制 对于终端 设备位置固定的物联网场 景，如水表、电

18、表、市政 监控设备、环境监测设备 等， 应严格 限定 物联 网卡 使用 位置地 点， 如绑 定基站 标 识或限 制接 入基 站数 量等 。 对于终端 设备限定在一定地理范围 内 使用的物联网场景，电 信企业应通过技术手段 严 格限 定其使 用区 域， 限定 区域 不得超 过 省 级范 围 。 5.2.2 限额管 控 限额管控 是指结合使用场景和使用 需求，限制物联网卡的业 务使用量。电信企业应结 合物 联网卡的网络 制式、使用需求，对物联 网卡业务使用量进行分档 限额管理。对于达到限定 使用 量的物 联网 卡， 电信 企业 应及时 暂停 服务 。 5.2.3 定向访 问 5.2.3.1 定向语

19、 音 定向语音 的实现方式主要包括：网 络侧通过智能网进行语音 控制，以及其他可以实现 与固 定的号 码进 行语 音通 话的 技术手 段。 通过智能 网进行语音控制主要是通 过智能网的 业务控制设备 来 限制语音呼入和呼出的 白名 单，从 而实 现物 联网 卡的 定向语 音功 能。 具体流程 为，当主叫发起呼叫后， 经过 信令交换设备 ，交换 设备检测到智能语音业务 后向 业务控制设备 报告，业务控制设备根据 交换设备上报来的呼叫事 件启动不同的业务逻辑， 并向 交换设备发出 呼叫控制指令，指示交换 设备进行下一步动作， 例 如收号、接续、放音等等 ，从 而实现 各种 智能 业务 。 5.2.

20、3.2 定向短 信 定向短信 的实现方式可通过专用短 信中心和专用网关控制短 信收发号码，实现物联网 卡仅 可以与 特定 平台 号码 收发 短信。 点对平台 定向短信的实现流程为： 当用户申请开通短信功能 时，电信企业为其分配一 个短 信接入号码， 即短信管理平台号码。电 信企业在相关平台上配置 短信接入号码后，配置后 的短 信接入 码自 动同 步至 业务 网关 。 完 成配 置后 ， 告知 用 户短信 接入 信息 并配 合用 户进行 接入 联调 。 当物联网终端 发送短信时，会经过省 移 动交换 设备转发至专用短 信中心，经过物联网业务 网关 后发送 至业 务平 台。 5.2.3.3 定向流

21、 量 定向流 量的 实现 方式 包括 ：专线 VPDN 、专用 APN 、 网络侧 设置 访问 白名 单、 接入侧 控制 ， 以及其 他可 以实 现仅 访问 固定 的 IP 或URL 地 址的 方 式。 具体实 现方 式描 述如 下： a ）专线 VPDN 专线 VPDN 是通过 IP 承 载 网及传 输专 线的 方式 实现 的。采 用此 种方 式， 需要 客户平 台通 过 传输专 线连 接至 省公 司 的AR 设 备， 通过IP 专网MPLS VPN+GRE （L2TP、IPsec ） 隧道的 方式 与 物 联网核 心网 专网 设备 互通 。 b ）专用 APN 专用 APN 是通 过各 类

22、 VPN 技术在 公网 疏通 的逻 辑隧 道进行 接入 的。 通 过 GRE 方式实 现企 业 VPN 方 案 ， 终 端通 过IP 方 式的PDP/ 承载 激活 接入 到 移动数 据网 络 ， 移 动数 据 网络提 供到 客户 数 据中心 企业 的接 入。 电信 企业通 过 APN 标识 用户 业 务种类 ，同 时对 用户 的业 务访问 权限 进行 控 制。 c ） 网 络侧 设置 访问 白名 单 网络侧设 置访问白名单的具体实现 流程如下：在物联网专 用 网元上 设置物联网用户开 户及 策略控制；用 户访问网络时， 物联网核 心网网关 将首先到 策略控 制网元 上查询用户签约时 的业 务策

23、略 ， 并 且使 对应 的业 务策略 规则 生效 ； 如 果用 户访问 的 IP 或URL 地址 在 白名单 内， 则继 续 访问特 定的 业务 平台 或应 用系统 ；如 果不 在白 名单 内，则 停止 访问 。 d ）接 入侧 控制 接入侧控 制主要是通过 在接入侧终 端或网关中配备相应的安 全能力，使得终端或网关 具备 接收、执行安 全策略以及上报访问行为 数据等能力。其中，安全 策略包括设置黑白名单列 表、 限制访 问能 力等 。 接入侧控 制的技术思路如下：对于 加载安全能力的终端，安 全管理平台将安全策略直 接下 发至终 端。 终端 访问 应用 平台时 ，自 身安 全能 力将 执行安

24、 全策 略， 判断 目的IP 地址 、URL 等是 否在黑白名单 中。如在白名单中，则正 常访问；如在黑名单中或 不在白名单中，则拒绝访 问。 对于已部署安 全管控功能的网关，可实 现流量定向访问。具体实 现为：根据不同业务配置 的安 全策略 ， 当终 端向 网关 发起 流 量访 问请 求时 ， 网关 通过 自身安 全能 力执 行安 全策 略， 判断 目的 IP 地址、URL 等是否 在黑 白名 单中。 如在 白名 单中， 则 正常接 续访 问； 如在 黑名 单中或 不在 白名 单 中，则 拒绝 接续 访问 。 5.2.4 黑名单 限制 黑名单限 制是指通过在网络侧设置 业务访问黑名单，或者在 接入侧进行安全策略控制 ，技 术原理 及实 现方 式同5.2.3 节。 为有 效防 范物 联网 卡 被违规 挪用 于手 机上 网业 务， 黑名 单至 少应 包括 社 交类 网站 、视 频类 网站 、 购物 类网 站 、 游戏 类网站4种 类型 的互 联网 应 用。