YD T 3950-2021 物联网卡安全监测与管理平台协同处置接口规范.pdf

资源描述

1、 I YD 中华人民共和国通信行业标准 YD/T 物联网卡安全监测与管理平台协同处置接口规范 The interface co-processing for card of IoT security management platform （报批稿） - 发布 - 实施发布 ICS 35.110 CCS M11 I 目次前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 1 4 网络架构 . 2 5 接口协议 . 2 6 接口定义

2、 . 2 6.1 协同处置推送消息 . 2 6.2 协同处置推送消息响应 . 4 6.3 协同处置结果反馈消息 . 4 6.4 协同处置结果反馈消息响应 . 5 7 业务流程 . 5 7.1 协同处置推送流程 . 5 7.1.1 成功处理 . 5 7.1.2 失败处理 . 6 7.2 协同处置结果反馈流程 . 6 7.2.1 成功处理 . 6 7.2.2 失败处理 . 6 8 安全要求 . 6 附录 A （资料性） JSON 封装样例 . 7 A.1 协同处置推送消息 JSON 封装样例 . 7 A.2 协同处置反馈消息 J

3、SON 封装样例 . 7 II 前言本文件按照GB/T 1.1 2020 标准化工作导则第1 部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中国通信标准化协会提出并归口。本文件起草单位：中国信息通信研究院、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司。本文件主要起草人：林美玉、毕然、邓东丰、崔颖、

4、白盼盼、芦玥、张敏、刘涛、尹娜、王一鸣、全建斌、闫晓睿、王淑玲、张聪毅。 III 1 物联网卡安全监测与管理平台协同处置接口规范 1 范围本文件规定了物联网卡安全监测与管理平台与电信企业物联网卡管理平台之间协同处置接口，包括网络架构、接口协议、接口定义、业务流程等内容。本文件适用于指导电信企业物联网卡管理平台与物联网卡安全监测与管理平台的数据对接工作。 2 规范性引用文件本文件没有规范性引用文件。 3 术语、定义和缩略语 3

5、.1 术语和定义下列术语和定义适用于本文件。 3.1.1 物联网卡 IoT card 基于蜂窝移动通信网络，采用物联网专用号码作为终端业务号码，承载于物联网移动核心网专用网元上，用于物与物、物与人通信的用户识别码。 3.1.2 物联网卡安全监测与管理平台 IoT security management platform 用于实现对物联网卡集中管理、安全态势感知、风险预警和应急处置等行业监管的平台，以下简称 “安全监管平台 ” 。 3.1.3 电信企业物联网卡管理平台 IoT

6、management platform 该系统为电信企业集团/ 物联网公司集中建设、对物联网卡进行集中管理的平台，可通过专线连接为安全监管平台提供物联网用户的开户数据、网络留存数据、安全态势感知数据、企业监测结果数据，并与安全监测与管理平台联动实现协同处置。 3.1.4 协同处置接口 interface co-processing for card 安全监管平台与电信企业物联网卡管理平台间进行协同处置和应急管理消息推送、并反馈协同处置结果的接口。 3.2 缩略语下列缩

7、略语适用于本文件。 HTTPS: 安全的超文本传输协议（Hyper Text Transfer Protocol over Secure Socket Layer ） JSON ：JavaScript 对象简谱（JavaScript Object Notation ） 2 TLS ：传输层安全协议（Transport Layer Security ） UTF-8：万国码（8-bit Unicode Transformation Format ） 4 网络架构安全监管平台与电信企业物联网卡管理平台之间的连接如图 1 所示。电信企业物

8、联网行业卡管理平台协同处置接口安全监管平台专线图1 协同处置接口连接图安全监管平台通过协同处置接口向电信企业物联网卡管理平台推送协同处置、应急管理消息，并且接收协同处置结果消息。安全监管平台与电信企业物联网卡管理平台之间采用传输专线连接。 5 接口协议安全监管平台协同处置接口为同步接口，采用基于 HTTPS 的 REST 式 WebService 提供服务，并采用 TLS 加密算法对应用层数据进行加密。 6 接口定义本节涉及表格中 “条件” 字段取值标

9、注如下： -M ：本信息字段为强制型，必须存在并赋值； -C ：本信息字段为条件可选型，在满足一定条件下必须存在并赋值。如果没有规定条件，则在能够得到的情况下必须携带； -O ：本信息字段为可选型。 6.1 协同处置推送消息该消息的推送方式为 Https POST application/json ，采用 UTF-8 编码，报文采用 JSON 格式（格式参见附录 A ）封装并加密传输，查询请求参数如表 1 所示。表1 协同处置推送消息序号

10、信息字段（英文）信息字段（中文）类型条件备注 1 Auth 认证信息 object M 内容见表2 3 2 PushId 推送消息标识 string M 协同处置推送消息标识，用于区分不同的推送消息，其格式为 UUID 。 UUID 为全局唯一标识，格式为 32 位全球标准 3 MessageType 推送消息类型 string M 1 表示协同处置消息； 2 表示预警消息。 4 MessageContent 推送消息内容 object M 若消息类型为 1 时见表3 ；若消息类型为 2 时见表5 。表 2 认

11、证信息序号信息字段（英文）信息字段（中文）类型条件备注 1 PlatformId 平台标识 string M 用于区分与安全监管平台对接的各系统平台的标识，由安全监管平台分配 2 SignNature 签名值 string M 平台标识+ 密码的 SM3 值，密码由安全监管平台分配表3 协同处置消息内容序号信息字段（英文）信息字段（中文）类型条件备注 1 PhoneNumber 手机号码 string M 2 ViolationType 违规类型 string M 内容见表4 3 Violati

12、onInfo 违规信息 string M JSON 编码形式的违规话单数据 4 ProcessingDemand 处理要求 string C 1 表示停机处理， 2 表示关闭语音功能，3 表示关闭短信功能，4 表示关闭流量功能 5 ProcessingTime 处理期限 string M 处置消息的处理时限，时间格式： YYYYMMDDHHMI 。 6 DynamicRiskLevel 动态风险等级 string M 由安全监管平台评定风险等级，用于为电信企业作为参考。其中，0 表示安全用户，1

13、表示低风险用户，2 表示中风险用户，3 表示高风险用户。表4 违规类型编码编码描述 00 机卡分离 01 手机端使用 02 跨地区使用 11 超出短信使用量 4 20 超出语音白名单号码 21 超出短信白名单号码 22 超出IP 地址/ 域名访问 30 不合理使用 31 异常流量使用 32 异常短信使用 33 漫游至敏感区域使用表5 预警消息内容序号信息字段（英文）信息字段（中文）类型条件备注 1 PhoneNumber 手机号码 string M 2 AbnormalType 异常类型 string

14、 M 31 表示流量使用异常 32 表示短信使用异常 33 表示漫游至敏感区域使用 3 AbnormalInfo 异常信息 string M 文字描述 5 DynamicRiskLevel 动态风险等级 string M 由安全监管平台评定风险等级，用于为运营商作为参考 6 DynamicRiskDetails 动态风险等级详情 Array M 由安全监管平台评定风险等级的详情，用于为运营商作为参考 6.2 协同处置推送消息响应推送消息响应消息采用 JSON 格式封装，响应

15、消息字段信息如表 6 所示。表6 推送消息响应序号信息字段（英文）信息字段（中文）类型条件备注 1 ResultCode 响应结果 string M 见表 7 表7 处理结果编码号码描述说明 200 OK 消息正常完成 400 bad request 消息格式错误，或参数错误 401 unauthorized 认证不通过 500 internal error 内部错误 6.3 协同处置结果反馈消息该消息的推送方式为 Https POST application/json ，采用 UTF-8 编码，报文采用

16、 JSON 格式封装并加密传输，查询请求参数如表 8 所示。表8 协同处置结果消息序号信息字段（英文）信息字段（中文）类型条件备注 1 Auth 认证信息 object M 内容参见6.1 节表 2 5 2 PushId 推送消息标识 string M 当推送消息为违规处置消息和应急管理消息时，需反馈协同处置推送消息中所携带的推送消息标识 4 MessageContent 结果消息内容 object M 内容见表9 表9 结果消息内容序号信息字段（英文）信息字段（中文）类型条件备注 1 Dispo

17、seState 处理状态 string M 1 为已处理；2 为未处理 2 DisposeTime 处理完成时间 string C 处理状态为 1 时有效，时间格式： YYYYMMDDHHMI 。 3 DisposeWay 处理方式 string M 详见表10 4 DisposeRelate 处理情况描述 string M 文字描述处理情况 4 NonDisposeRelate 未处理描述 string C 当处理状态为 2 时有效，文字描述未处理原因表10 处理方式编码编码描述 100 停机处理 101 已整改完成 102

18、此条消息核实为未违规 103 已关闭对应通信功能 6.4 协同处置结果反馈消息响应推送消息响应消息采用JSON 格式封装，响应消息字段信息如表11 所示。表 11 结果消息响应序号信息字段（英文）信息字段（中文）类型条件备注 1 ResultCode 响应结果 string M 见 6.2 7 业务流程 7.1 协同处置推送流程 7.1.1 成功处理安全监管平台向电信企业物联网卡管理平台推送协同处置消息时执行本流程，成功处理流程如图 2 所示。安全监管平台电信企业物联网卡管理

19、平台 1 协同处置推送消息 2 推送消息响应图2 协同处置推送业务流程 6 协同处置推送业务流程如下： 1）安全监管平台向电信企业物联网卡管理平台发送协同处置推送消息。 2）电信企业物联网卡管理平台接收到协同处置推送消息后，在 10 秒内返回推送消息响应给安全监管平台。 7.1.2 失败处理若安全监管平台在 10 秒内未收到推送消息响应，安全监管平台应重新发送一次协同处置推送消息，若 10 秒后仍未接收到推送消息响应，安全监管平台在本地产

20、生告警。若电信企业物联网卡管理平台对接收到协同处置推送消息认证未通过，返回失败推送消息响应，失败原因为“ 认证不通过” 。若电信企业物联网卡管理平台对接收到协同处置推送消息解析错误，返回失败推送消息响应，失败原因为 “消息格式错误，或参数错误 ” 。若电信企业物联网卡管理平台因系统异常等原因无法处理接收的协同处置推送消息，返回失败推送消息响应，失败原因为“ 内部错误” 。 7.2 协同处置结果反馈流程 7.2.1 成功处理电信企业物联网卡管理平台向安全监管平台反

21、馈协同处置消息时执行本流程，成功处理流程如图 3 所示。安全监管平台电信企业物联网卡管理平台 1 协同处置反馈消息 2 结果消息响应图3 协同处置反馈业务流程协同处置反馈业务流程如下： 1）电信企业物联网卡管理平台向安全监管平台发送协同处置结果反馈消息。 2）安全监管平台接收到协同处置结果反馈消息后，在 10 秒内返回结果消息响应给电信企业物联网卡管理平台。 7.2.2 失败处理若电信企业物联网卡管理平台在 10 秒内未收到结果消息响应，应

22、重新发送一次协同处置结果反馈消息，若 10 秒后仍未接收到结果消息响应，电信企业物联网卡管理平台在本地产生告警。若安全监管平台对接收到协同处置结果反馈消息认证未通过，返回失败结果消息响应，失败原因为 “认证不通过” 。若安全监管平台对接收到协同处置结果推送消息解析错误，返回失败结果消息响应，失败原因为 “ 消息格式错误，或参数错误 ” 。若安全监管平台对接收到协同处置结果推送消息解析错误，因系统异常等原因无法处理接收的协同处置结果推

23、送消息，返回失败推送消息响应，失败原因为 “内部错误” 。 8 安全要求为保证数据传输安全，业务流程中至少支持对传输数据在应用层加密，在应用层使用 Https 协议加密传输。 7 附录 A （资料性） JSON 封装样例 A.1 协同处置推送消息JSON 封装样例 Object1: subKey1: subValue1, subKey2: subValue2 , Key1: Value1, Object2: subKey1: subValue1, subKey2: subValue2 A.2 协同处置反馈消息JSON封装样例 Object1: subKey1: subValue1, subKey2: subValue2 , Key1: Value1, Object2: subKey1: subValue1, subKey2: subValue2

展开阅读全文