ICS 33.040 CCS M 11 YD 中 华 人 民 共 和 国 通 信行 业 标 准 YD/T XXXXX—XXXX 面向电信网的软件定义边界（ SDP） 技术要求 Technical requirements of software defined perimeter (SDP) for telecommunication network (点击此处添加与国际标准一致性程度的标识 ) （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部   发布 YD/T XXXXX—XXXX I目次 前 言 ............................................................................ II 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 1 5 技术体系 ............................................................................. 2 5.1 体系结构 ......................................................................... 2 5.2 流程描述 ......................................................................... 2 5.3 接口描述 ......................................................................... 3 6 会话发起端 ........................................................................... 4 6.1 参考框架 ......................................................................... 4 6.2 技术要求 ......................................................................... 4 7 控制模块 ............................................................................. 4 7.1 参考框架 ......................................................................... 4 7.2 技术要求 ......................................................................... 5 8 会话接收端 ........................................................................... 5 8.1 参考框架 ......................................................................... 5 8.2 技术要求 ......................................................................... 6 9 通用技术要求 ......................................................................... 6 10 安全要求 ............................................................................ 6 10.1 系统安全 ........................................................................ 6 10.2 数据安全 ........................................................................ 6 10.3 应用安全 ........................................................................ 6 10.4 管理安全 ........................................................................ 7 附 录 A （资料性） 面向电信网的 SDP应用场景示例 ..................................... 8 YD/T XXXXX—XXXX II 前言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：中国电信集团有限公司、中兴通讯股份有限公司、 中国信息通信研究院、深信服 科技股份有限公司、北京天融信网络安全技术有限公司 。 本文件主要起草人 ：王海燚、林燕飞、郝振武、何国锋、陈方杰、梁亚舒、贺倩、葛林娜、吴安然、 王龑、游世林。 YD/T XXXXX—XXXX 1 面向电信网的软件定义边界（ SDP）技术要求 1　范围 本文件规定了面向电信业务网、管理网的软件定义边界（ SDP）的技术体系、流程和接口、参考框 架、技术要求和安全要求。 本文件适用于 SDP技术研发、设备研制、系统部署和运维。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本 文件。 GB/T 25069 信息安全技术 术语 3　术语和定义 GB/T 25069界定的以及下列术语和定义适用于本文件。 3.1　 软件定义边界 software defined perimeter 一种以身份为中心 、基于上下文对资源实施动态访问控制的安全框架 ，通过对用户身份 、环境、动 态权限三个层面的验证，访问者与被访问者之间实时创建加密隧道，从而降低网络系统的安全风险。 3.2　 单包授权 single packet authorization 通过发送携带一次性密码等信息的单个认证数据包实现先验证后连接的方法，在主体访问客体前， 先验证访问主体的身份。 3.3　 动态访问控制 dynamic access control 一种动态调节主体对客体执行某些操作请求的机制 ，能够实时调整控制策略和访问权限 ，用来保护 资源不被未授权的用户访问。 4　缩略语 下列缩略语适用于本文件。 AI：人工智能（ Artificial Intelligence ） API：应用程序接口（ Application Programming Interface ） BSS：业务支撑系统（ Business Support System） FW：防火墙（ Firewall ） ID：身份标识码（ Identity ） IT：信息技术（ Information Technology ） MSS：管理支撑系统（ Management Support System） mTLS：相互传输层安全（ Mutual Transport Layer Security ） OSS：运营支撑系统（ Operation Support System） SDK：软件开发工具包（ Software Development Kit） SDP：软件定义边界（ Software Defined Perimeter ） SPA：单包授权（ Single Packet Authorization ） TLCP：传输层密码协议（ Transport Layer Cryptography Protocol ） TLS：传输层安全协议（ Transport Layer Sec