物聯(lián)網(wǎng)安全場景下機(jī)卡綁定池的實現(xiàn)方案

［沈青欣］

1 引言

中國電信物聯(lián)網(wǎng)業(yè)務(wù)發(fā)展迅猛，國家對物聯(lián)網(wǎng)卡安全和卡合規(guī)愈發(fā)重視，為了加強(qiáng)監(jiān)管，工信部、公安局為整頓市場和規(guī)范使用物聯(lián)卡開展了包括但不限于“斷卡”等行動。出于對終端安全和用戶卡安全角度的考慮，運營商為響應(yīng)政府相關(guān)政策和規(guī)定，需要通過技術(shù)手段限定物聯(lián)網(wǎng)卡和物聯(lián)網(wǎng)終端形成一對一或一對多的綁定關(guān)系，從而使得當(dāng)用于物聯(lián)網(wǎng)業(yè)務(wù)的物聯(lián)網(wǎng)卡被用于其他終端使用時，運營商可以憑借技術(shù)手段拒絕終端接入網(wǎng)絡(luò)。目前市場上的機(jī)卡綁定業(yè)務(wù)，主要實現(xiàn)的是物聯(lián)網(wǎng)卡和終端之間的一對一精確綁定以此保障SIM 卡的專網(wǎng)專用。但在車聯(lián)網(wǎng)場景下，類似像北緯等一些車企大客戶因設(shè)備采購量較大有頻繁更換終端進(jìn)行機(jī)卡交叉測試的需求，例如終端設(shè)備尚在調(diào)試階段還未交付給客戶使用、終端使用過程中發(fā)生意外有損壞必須更換設(shè)備以及企業(yè)客戶有監(jiān)控設(shè)備安全性的要求等等原因?qū)е挛锫?lián)網(wǎng)卡和終端間一對一的精確綁定已無法滿足現(xiàn)在的需求。本論文致力于提出一種基于物聯(lián)網(wǎng)安全場景下機(jī)卡綁定池的實現(xiàn)方案，幫助有頻繁更換終端測試需求的企業(yè)客戶實現(xiàn)終端和對應(yīng)號卡的一對多綁定的需求，保障終端接入的安全性，并符合工信部安全管控需求。

物聯(lián)網(wǎng)機(jī)卡綁定池是一種規(guī)避物聯(lián)網(wǎng)卡的違規(guī)轉(zhuǎn)售行為的機(jī)卡綁定監(jiān)管手段。現(xiàn)有技術(shù)中，機(jī)卡綁定管控一般采用對違規(guī)的物聯(lián)網(wǎng)機(jī)卡直接停機(jī)的手段來實現(xiàn)。但是如果采用這種方式管控比人聯(lián)網(wǎng)規(guī)模大的多的物聯(lián)網(wǎng)卡，并且客戶設(shè)備非常多、IMEI 池規(guī)模也非常大，從而會導(dǎo)致匹配效率不高、停機(jī)后復(fù)機(jī)須人為干預(yù)而導(dǎo)致靈活性不夠等問題。本論文從物聯(lián)網(wǎng)機(jī)卡綁定池產(chǎn)品的訂購流程、網(wǎng)絡(luò)技術(shù)實現(xiàn)方案、IT 業(yè)務(wù)方案和連接管理平臺管控方式等方面進(jìn)行詳細(xì)闡述，旨在提高IMEI 數(shù)據(jù)匹配效率以及對于物聯(lián)網(wǎng)機(jī)卡斷網(wǎng)或復(fù)機(jī)操作的靈活性。[1]

2 機(jī)卡綁定池技術(shù)實現(xiàn)方案

物聯(lián)網(wǎng)機(jī)卡綁定池技術(shù)方案主要由IT、網(wǎng)絡(luò)和平臺三大塊實現(xiàn)方案組成。在物聯(lián)網(wǎng)IT 支撐系統(tǒng)訂購機(jī)卡綁定池這一產(chǎn)品并通過物聯(lián)網(wǎng)連接管理平臺（5G CMP）發(fā)起指令給網(wǎng)元完成用戶終端與物聯(lián)網(wǎng)卡的機(jī)卡綁定技術(shù)。企業(yè)用戶可以指定管理下的物聯(lián)網(wǎng)卡使用在采購的固定終端中，若終端串碼不在指定的終端串碼池內(nèi)則限制使用；若終端在指定的終端串碼池內(nèi)則可自動恢復(fù)使用。終端串碼池的變更和展示均可以通過5G CMP 平臺向用戶開放查詢和受理。機(jī)卡綁定池整體技術(shù)實現(xiàn)示意圖如圖1 所示。[2]

圖1 機(jī)卡綁定池整體技術(shù)實現(xiàn)示意圖

2.1 網(wǎng)絡(luò)技術(shù)實現(xiàn)方案

機(jī)卡綁定池實現(xiàn)方法主要由物聯(lián)網(wǎng)連接管理平臺（5G CMP）和PCF（Policy Control Function，控制策略功能）、SMF（Session Management Function，會話管理功能）、UPF（User Plane Function，用戶面功能）、CHF（Charging Function，計費功能）網(wǎng)元共同實現(xiàn)。物聯(lián)網(wǎng)卡上線后，PGW 會通過Radius 消息將設(shè)備IMEI 信息傳遞給端到端，端到端再把IMEI 信息傳遞給5G CMP 平臺。由CMP 平臺判斷終端上報的IMEI 不在機(jī)卡綁定池內(nèi)，會向PCRF下發(fā)卡簽約ImeiPoolBlock service 的指令，卡在PGW 上的流量都將被丟棄；如果CMP 判斷終端上報的IMEI 在機(jī)卡綁定池內(nèi)，會向PCRF 下發(fā)卡取消簽約ImeiPoolBlock service 的指令，物聯(lián)網(wǎng)卡在PGW 上的流量正常轉(zhuǎn)發(fā)。網(wǎng)絡(luò)原理圖如圖2 所示。

圖2 機(jī)卡綁定池網(wǎng)絡(luò)原理圖

其中，通過與策略與計費規(guī)則功能單元PCRF 間的Sy 接口初始消費限額報告請求SLR 消息的屬性值對AVP字段，獲取終端的通信卡標(biāo)識和設(shè)備標(biāo)識，其中，所述PCRF 接收到終端的會話接入請求后，將終端的通信卡標(biāo)識和設(shè)備標(biāo)識映射到Sy 接口。Sy 接口處理模塊，用于通過與策略與計費規(guī)則功能單元PCRF 間的Sy 接口初始消費限額報告請求SLR 消息的屬性值對AVP 字段，獲取終端的通信卡標(biāo)識和設(shè)備標(biāo)識。判斷終端的設(shè)備標(biāo)識是否包含在設(shè)備標(biāo)識池中，若在該設(shè)備標(biāo)識池內(nèi)，則確定綁定關(guān)系校驗通過，否則校驗不通過。將校驗結(jié)果映射到Sy 接口SLR 消息的策略計算狀態(tài)PCS 字，以便PCRF 根據(jù)校驗結(jié)果確定是否允許該終端使用數(shù)據(jù)業(yè)務(wù)。[3]

2.2 連接管理平臺實現(xiàn)方案

物聯(lián)網(wǎng)連接管理平臺涉及的技術(shù)實現(xiàn)方式主要包括動態(tài)獲取終端PEI、判斷終端PEI是否在卡號綁定的PEI池內(nèi)、業(yè)務(wù)實時阻斷或恢復(fù)等主要步驟。

當(dāng)物聯(lián)網(wǎng)卡上線后，在SMF、UPF 上建立會話，UPF實時上報使用量給SMF，SMF 實時將卡的話單信息傳送給CHF，話單中包含卡號和PEI 的信息。5G CMP 平臺會從CHF 動態(tài)獲取并存儲卡號和PEI 信息，該信息作為物聯(lián)網(wǎng)平臺判斷終端PEI 是否在卡號綁定的PEI 池內(nèi)的依據(jù)。動態(tài)獲取終端PEI 流程圖如圖3 所示。

圖3 動態(tài)獲取終端PEI 流程圖

先判斷終端PEI 是否在卡號綁定的PEI 池內(nèi)，那么物聯(lián)網(wǎng)平臺判斷卡號是否簽約業(yè)務(wù)阻斷規(guī)則。如果終端PEI不在綁定的PEI 池內(nèi)，卡號沒有簽約業(yè)務(wù)阻斷規(guī)則，那么物聯(lián)網(wǎng)平臺調(diào)用PCF 的SOAP 接口，將卡號在PCF 上簽約業(yè)務(wù)阻斷規(guī)則；否則不做任何操作。

如果終端PEI 在卡號綁定的PEI 池內(nèi)，且卡號已簽約業(yè)務(wù)阻斷規(guī)則，那么物聯(lián)網(wǎng)平臺調(diào)用PCF 的SOAP 接口，將卡號在PCF 上取消簽約業(yè)務(wù)阻斷規(guī)則；否則不做任何操作。判斷終端PEI 是否在卡號綁定的PEI 池內(nèi)流程圖如圖4 所示。

圖4 判斷終端PEI 是否在卡號綁定的PEI 池內(nèi)流程圖

物聯(lián)網(wǎng)平臺通過調(diào)用PCF 的SOAP 接口將數(shù)據(jù)業(yè)務(wù)實時阻斷或恢復(fù)，卡在訪問業(yè)務(wù)時產(chǎn)生的報文優(yōu)先匹配到業(yè)務(wù)阻斷規(guī)則，并對報文進(jìn)行丟棄優(yōu)先級高于其他業(yè)務(wù)放通規(guī)則實現(xiàn)卡號業(yè)務(wù)的實時阻斷。通過實時話單實時匹配機(jī)卡綁定情況，對物聯(lián)網(wǎng)卡的數(shù)據(jù)連接的阻斷和恢復(fù)的方式實現(xiàn)對卡的實際停用和恢復(fù)，無需人為干預(yù)，避免了傳統(tǒng)機(jī)卡不一致情況下直接停機(jī)需要人工復(fù)機(jī)的過程，極大提升了生產(chǎn)效率同時也做到管控要求。[4]

2.3 業(yè)務(wù)訂購流程方案

機(jī)卡綁定池的業(yè)務(wù)受理主要在物聯(lián)網(wǎng)IT 系統(tǒng)完成，通過受理機(jī)卡綁定池產(chǎn)品并指定機(jī)卡綁定池白名單類型完成業(yè)務(wù)訂購。物聯(lián)網(wǎng)IT 將機(jī)卡綁定池產(chǎn)品資料同步至5G CMP 連接管理平臺。機(jī)卡綁定池白名單由5G CMP 平臺開放白名單查詢和管理接口給物聯(lián)網(wǎng)IT 提供機(jī)卡綁定池白名單管理能力?？蛻粼?G CMP 平臺也可自助修改機(jī)卡綁定池白名單信息和查詢目前管理下的物聯(lián)網(wǎng)卡機(jī)卡綁定軌跡。物聯(lián)網(wǎng)卡實際測試時插在終端使用上線后，5G CMP 訂閱端到端的Radius 會話消息，根據(jù)Radius 消息中的IMEI 信息判斷是否歸屬白名單從而進(jìn)行會話控制。機(jī)卡綁定池業(yè)務(wù)流程圖如圖5 所示。

圖5 機(jī)卡綁定池訂購業(yè)務(wù)流程圖

2.4 普通機(jī)卡綁定與機(jī)卡綁定池方案對比

傳統(tǒng)的普通機(jī)卡綁定主要為一對一機(jī)卡綁定，用于終端附著網(wǎng)絡(luò)時自動綁定附著終端的IMEI 設(shè)備碼與終端建立綁定關(guān)系或者卡指定需要綁定的終端進(jìn)行一對一綁定。而機(jī)卡綁定池的概念主要為多對多機(jī)卡綁定關(guān)系，可以指定客戶下的物聯(lián)網(wǎng)卡使用在管理下一批的終端設(shè)備中。普通機(jī)卡綁定和機(jī)卡綁定池對比如表1 所示。[5]

表1 普通機(jī)卡綁定和機(jī)卡綁定池對比

3 結(jié)束語

自物聯(lián)網(wǎng)機(jī)卡綁定池技術(shù)誕生以來，已經(jīng)有越來越多的企業(yè)開始投入使用，物聯(lián)網(wǎng)很多業(yè)務(wù)場景可以使用該技術(shù)，其中智能安防監(jiān)控作為嵌入式視頻服務(wù)器中的監(jiān)控設(shè)備，集成了智能行為識別算法，能夠?qū)Ξ嬅鎴鼍爸械娜嘶蜍囕v的行為進(jìn)行識別、判斷，并在適當(dāng)?shù)臈l件下產(chǎn)生報警提示用戶。[6]目前國內(nèi)運營商發(fā)行的物聯(lián)網(wǎng)卡基本都增加了機(jī)卡綁定的功能，如果更換設(shè)備就會出現(xiàn)機(jī)卡分離的現(xiàn)象，導(dǎo)致設(shè)備無法接入通信網(wǎng)絡(luò)。機(jī)卡綁定池極大的滿足了視頻攝像頭因客觀因素頻繁需要更換終端的需求，提升企業(yè)用戶內(nèi)部管控的便捷性。[7]

隨著物聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，中國電信作為全國三大運營商之一，將繼續(xù)全力踐行“云轉(zhuǎn)數(shù)改”的發(fā)展戰(zhàn)略，推進(jìn)物聯(lián)網(wǎng)技術(shù)應(yīng)用在市場各行各業(yè)能落地。物聯(lián)網(wǎng)機(jī)卡綁定作為工信部強(qiáng)制要求上線的功能，必然需要迭代變更以滿足企業(yè)客戶的需求。[8]機(jī)卡綁定池的誕生，既符合國家對物聯(lián)網(wǎng)卡的管控需求，也滿足企業(yè)客戶對物聯(lián)網(wǎng)卡和設(shè)備能進(jìn)行靈活性管理的需求，并能在實際生產(chǎn)應(yīng)用中完成實踐。充分發(fā)揮物聯(lián)網(wǎng)在推動數(shù)字經(jīng)濟(jì)發(fā)展、賦能傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級等方面的重要作用，為推進(jìn)物聯(lián)網(wǎng)新型基礎(chǔ)設(shè)施建設(shè)做出了重要貢獻(xiàn)。[9]