物联网安全场景下机卡绑定池的实现方案

［沈青欣］

1 引言

中国电信物联网业务发展迅猛，国家对物联网卡安全和卡合规愈发重视，为了加强监管，工信部、公安局为整顿市场和规范使用物联卡开展了包括但不限于“断卡”等行动。出于对终端安全和用户卡安全角度的考虑，运营商为响应政府相关政策和规定，需要通过技术手段限定物联网卡和物联网终端形成一对一或一对多的绑定关系，从而使得当用于物联网业务的物联网卡被用于其他终端使用时，运营商可以凭借技术手段拒绝终端接入网络。目前市场上的机卡绑定业务，主要实现的是物联网卡和终端之间的一对一精确绑定以此保障SIM 卡的专网专用。但在车联网场景下，类似像北纬等一些车企大客户因设备采购量较大有频繁更换终端进行机卡交叉测试的需求，例如终端设备尚在调试阶段还未交付给客户使用、终端使用过程中发生意外有损坏必须更换设备以及企业客户有监控设备安全性的要求等等原因导致物联网卡和终端间一对一的精确绑定已无法满足现在的需求。本论文致力于提出一种基于物联网安全场景下机卡绑定池的实现方案，帮助有频繁更换终端测试需求的企业客户实现终端和对应号卡的一对多绑定的需求，保障终端接入的安全性，并符合工信部安全管控需求。

物联网机卡绑定池是一种规避物联网卡的违规转售行为的机卡绑定监管手段。现有技术中，机卡绑定管控一般采用对违规的物联网机卡直接停机的手段来实现。但是如果采用这种方式管控比人联网规模大的多的物联网卡，并且客户设备非常多、IMEI 池规模也非常大，从而会导致匹配效率不高、停机后复机须人为干预而导致灵活性不够等问题。本论文从物联网机卡绑定池产品的订购流程、网络技术实现方案、IT 业务方案和连接管理平台管控方式等方面进行详细阐述，旨在提高IMEI 数据匹配效率以及对于物联网机卡断网或复机操作的灵活性。[1]

2 机卡绑定池技术实现方案

物联网机卡绑定池技术方案主要由IT、网络和平台三大块实现方案组成。在物联网IT 支撑系统订购机卡绑定池这一产品并通过物联网连接管理平台（5G CMP）发起指令给网元完成用户终端与物联网卡的机卡绑定技术。企业用户可以指定管理下的物联网卡使用在采购的固定终端中，若终端串码不在指定的终端串码池内则限制使用；若终端在指定的终端串码池内则可自动恢复使用。终端串码池的变更和展示均可以通过5G CMP 平台向用户开放查询和受理。机卡绑定池整体技术实现示意图如图1 所示。[2]

图1 机卡绑定池整体技术实现示意图

2.1 网络技术实现方案

机卡绑定池实现方法主要由物联网连接管理平台（5G CMP）和PCF（Policy Control Function，控制策略功能）、SMF（Session Management Function，会话管理功能）、UPF（User Plane Function，用户面功能）、CHF（Charging Function，计费功能）网元共同实现。物联网卡上线后，PGW 会通过Radius 消息将设备IMEI 信息传递给端到端，端到端再把IMEI 信息传递给5G CMP 平台。由CMP 平台判断终端上报的IMEI 不在机卡绑定池内，会向PCRF下发卡签约ImeiPoolBlock service 的指令，卡在PGW 上的流量都将被丢弃；如果CMP 判断终端上报的IMEI 在机卡绑定池内，会向PCRF 下发卡取消签约ImeiPoolBlock service 的指令，物联网卡在PGW 上的流量正常转发。网络原理图如图2 所示。

图2 机卡绑定池网络原理图

其中，通过与策略与计费规则功能单元PCRF 间的Sy 接口初始消费限额报告请求SLR 消息的属性值对AVP字段，获取终端的通信卡标识和设备标识，其中，所述PCRF 接收到终端的会话接入请求后，将终端的通信卡标识和设备标识映射到Sy 接口。Sy 接口处理模块，用于通过与策略与计费规则功能单元PCRF 间的Sy 接口初始消费限额报告请求SLR 消息的属性值对AVP 字段，获取终端的通信卡标识和设备标识。判断终端的设备标识是否包含在设备标识池中，若在该设备标识池内，则确定绑定关系校验通过，否则校验不通过。将校验结果映射到Sy 接口SLR 消息的策略计算状态PCS 字，以便PCRF 根据校验结果确定是否允许该终端使用数据业务。[3]

2.2 连接管理平台实现方案

物联网连接管理平台涉及的技术实现方式主要包括动态获取终端PEI、判断终端PEI是否在卡号绑定的PEI池内、业务实时阻断或恢复等主要步骤。

当物联网卡上线后，在SMF、UPF 上建立会话，UPF实时上报使用量给SMF，SMF 实时将卡的话单信息传送给CHF，话单中包含卡号和PEI 的信息。5G CMP 平台会从CHF 动态获取并存储卡号和PEI 信息，该信息作为物联网平台判断终端PEI 是否在卡号绑定的PEI 池内的依据。动态获取终端PEI 流程图如图3 所示。

图3 动态获取终端PEI 流程图

先判断终端PEI 是否在卡号绑定的PEI 池内，那么物联网平台判断卡号是否签约业务阻断规则。如果终端PEI不在绑定的PEI 池内，卡号没有签约业务阻断规则，那么物联网平台调用PCF 的SOAP 接口，将卡号在PCF 上签约业务阻断规则；否则不做任何操作。

如果终端PEI 在卡号绑定的PEI 池内，且卡号已签约业务阻断规则，那么物联网平台调用PCF 的SOAP 接口，将卡号在PCF 上取消签约业务阻断规则；否则不做任何操作。判断终端PEI 是否在卡号绑定的PEI 池内流程图如图4 所示。

图4 判断终端PEI 是否在卡号绑定的PEI 池内流程图

物联网平台通过调用PCF 的SOAP 接口将数据业务实时阻断或恢复，卡在访问业务时产生的报文优先匹配到业务阻断规则，并对报文进行丢弃优先级高于其他业务放通规则实现卡号业务的实时阻断。通过实时话单实时匹配机卡绑定情况，对物联网卡的数据连接的阻断和恢复的方式实现对卡的实际停用和恢复，无需人为干预，避免了传统机卡不一致情况下直接停机需要人工复机的过程，极大提升了生产效率同时也做到管控要求。[4]

2.3 业务订购流程方案

机卡绑定池的业务受理主要在物联网IT 系统完成，通过受理机卡绑定池产品并指定机卡绑定池白名单类型完成业务订购。物联网IT 将机卡绑定池产品资料同步至5G CMP 连接管理平台。机卡绑定池白名单由5G CMP 平台开放白名单查询和管理接口给物联网IT 提供机卡绑定池白名单管理能力。客户在5G CMP 平台也可自助修改机卡绑定池白名单信息和查询目前管理下的物联网卡机卡绑定轨迹。物联网卡实际测试时插在终端使用上线后，5G CMP 订阅端到端的Radius 会话消息，根据Radius 消息中的IMEI 信息判断是否归属白名单从而进行会话控制。机卡绑定池业务流程图如图5 所示。

图5 机卡绑定池订购业务流程图

2.4 普通机卡绑定与机卡绑定池方案对比

传统的普通机卡绑定主要为一对一机卡绑定，用于终端附着网络时自动绑定附着终端的IMEI 设备码与终端建立绑定关系或者卡指定需要绑定的终端进行一对一绑定。而机卡绑定池的概念主要为多对多机卡绑定关系，可以指定客户下的物联网卡使用在管理下一批的终端设备中。普通机卡绑定和机卡绑定池对比如表1 所示。[5]

表1 普通机卡绑定和机卡绑定池对比

3 结束语

自物联网机卡绑定池技术诞生以来，已经有越来越多的企业开始投入使用，物联网很多业务场景可以使用该技术，其中智能安防监控作为嵌入式视频服务器中的监控设备，集成了智能行为识别算法，能够对画面场景中的人或车辆的行为进行识别、判断，并在适当的条件下产生报警提示用户。[6]目前国内运营商发行的物联网卡基本都增加了机卡绑定的功能，如果更换设备就会出现机卡分离的现象，导致设备无法接入通信网络。机卡绑定池极大的满足了视频摄像头因客观因素频繁需要更换终端的需求，提升企业用户内部管控的便捷性。[7]

随着物联网业务的飞速发展，中国电信作为全国三大运营商之一，将继续全力践行“云转数改”的发展战略，推进物联网技术应用在市场各行各业能落地。物联网机卡绑定作为工信部强制要求上线的功能，必然需要迭代变更以满足企业客户的需求。[8]机卡绑定池的诞生，既符合国家对物联网卡的管控需求，也满足企业客户对物联网卡和设备能进行灵活性管理的需求，并能在实际生产应用中完成实践。充分发挥物联网在推动数字经济发展、赋能传统产业转型升级等方面的重要作用，为推进物联网新型基础设施建设做出了重要贡献。[9]