ICS33.040 CCS M 11 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 面向电信网的软件定义边界(SDP) 技术要求 Technical requirements of software defined perimeter (SDP) for telemunication network 行业标准信息服务平台 (点击此处添加与国际标准一致性程度的标识) (报批稿) XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXX-XXXX 目次 前 言 1范围 2规范性引用文件 3术语和定义 4缩略语 5技术体系.. 5.1体系结构 5.2流程描述 5.3接口描述 6会话发起端, 6.1参考框架 6.2技术要求 7控制模块, 7.1参考框架 7.2技术要求 8会话接收端 8.1参考框架 8.2技术要求 9通用技术要求 10安全要求 10.1系统安全 10.2数据安全 10.3应用安全 10.4管理安全 附录A(资料性)面向电信网的SDP应用场景示例 息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位中国电信集团有限公司、中兴通讯股份有限公司、中国信息通信研究院、深信服 科技股份有限公司、北京天融信网络安全技术有限公司.
本文件主要起草人王海、林燕飞、郝振武、何国锋、陈方杰、梁亚舒、贺倩、葛林娜、吴安然、 王、游世林.
行业标准信息服务平台 II
YD/T XXXXX-XXXX 面向电信网的软件定义边界(SDP)技术要求 1范围 本文件规定了面向电信业务网、管理网的软件定义边界(SDP)的技术体系、流程和接口、参考框 架、技术要求和安全要求.
本文件适用于SDP技术研发、设备研制、系统部署和运维.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T25069信息安全技术术语 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件.
3. 1 软件定义边界softwaredefinedperimeter 一种以身份为中心、基于上下文对资源实施动态访问控制的安全框架,通过对用户身份、环境、动 态权限三个层面的验证,访问者与被访问者之间实时创建加密隧道,从而降低网络系统的安全风险.
3. 2 单包授权single packetauthorization 通过发送携带一次性密码等信息的单个认证数据包实现先验证后连接的方法,在主体访问客体前, 先验证访问主体的身份.
3.3 动态访问控制dynamicaccess control 一种动态调节主体对客体执行某些操作请求的机制,能够实时调整控制策略和访问权限,用来保护 资源不被未授权的用户访问.
4缩略语 下列缩略语适用于本文件.
AI:人工智能(ArtificialIntelligence) API:应用程序接口(Application ProgramingInterface) BSS:业务支撑系统(Business Support System) 服务平台 F:防火墙(Firewal1) ID:身份标识码(Identity) IT:信息技术(Information Technology) MSS:管理支撑系统(Management Support System) mTLS:相互传输层安全(MutualTransport Layer Security) OSS:运营支撑系统(Operation Support System) SDK:软件开发工具包(Software Development Kit) SDP:软件定义边界(Software Defined Perimeter) SPA:单包授权(Single Packet Authorization) TLCP:传输层密码协议(Transport Layer Cryptography Protocol) TLS:传输层安全协议(Transport Layer Security)
YD/T xXXXX-XXXX 5技术体系 5.1体系结构 面向电信网的软件定义边界技术涉及会话发起端、控制模块、会话接收端、应用资源等多个部分, 并需要由身份认证系统支撑,以完成身份验证.
身份认证系统面向员工、合作伙伴、客户等合法用户, 对用户身份、权限、物理设备、应用程序/服务等进行对应匹配,实现不同身份、不同设备、不同应用 程序/服务、不同场景的统一管控.
完成身份验证后,控制模块向会话接收端下发允许会话发起端的接 入指令,使会话发起端与应用资源建立连接.
软件定义边界在电信网络的应用场景示例参见附录A,体 系结构示意图见图1.
控制模块 身份认证系统 IC接口 会话发起端 CR接口 IR接口 会话接收端 应用资源 图1软件定义边界体系结构 软件定义边界体系结构的组成部分具体说明如下: a) 会话发起端(Sessioninitiator):一种安装在授权终端的代理或软件,启动并发起建立连 接请求,与控制模块通信以请求可连接的应用列表,在服务提供之前,控制模块应从会话发 起端请求硬件或软件清单之类的信息.
b) 控制模块(Controller):一种设备或进程,它确保用户/设备是经过身份验证和授权、通信 是安全建立的、网络中的用户流量和管理流量是独立的,从而确保对应用资源的安全访问.
c)会话接收端(SessionReceiver):为授权用户和设备提供对应用资源的安全访问,应对连接 进行监控和审计.
d)IC接口:会话发起端和控制模块之间的接口.
e)CR接口:控制模块与会话接收端之间的接口.
f)IR接口:会话发起端与会话接收端之间的接口.
5.2流程描述 软件定义边界通用访问流程如下(流程图如图2所示): 信息服务平台 2