公众移动通信网络深度包检测（DPI）数据加解密技术要求

■制定 □修订

□IDT □MOD □NEQ

□FTP

35.020

中国联合网络通信集团有限公司、中国移动通信集团有限公司

中国信息通信研究院,恒安嘉新（北京）科技股份公司,郑州信大捷安信息技术股份有限公司,新华三技术有限公司,北京邮电大学

2021年9月我国发布了《中华人民共和国数据安全法》，明确指出“依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展”。同时强调“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。 随着电信大数据应用场景不断拓展加深，行业内外应用需求持续增涨，电信大数据的数据安全变得至关重要。公众移动通信网络DPI数据是电信大数据中的一类数据，属于网络OSS域数据，数据特点是体量巨大（三大运营商DPI数据量日均超3PB）、传输速率要求高、应用时效性强，数据内容包含用户的信令数据和上网行为数据。然而公众移动通信网络DPI数据在省端采集、传输及存储、业务使用等多个环节中，用户敏感信息都处于明文状态，存在个人信息泄露风险。 当前公众移动通信网络DPI数据存在于多家运营商，每个运营商内存在多个采集方、管理方、应用方，没有统一的密码应用技术标准，缺乏公众移动通信网络DPI数据密码应用技术标准可能导致以下问题： 1）用户个人信息泄露隐患：由于当前DPI数据在采集之后，进行明文传输、明文存储、明文使用，一旦发生网络攻击或数据泄露，用户个人信息(包括手机号、IMSI、IMEI、GNSS、上网行为等)，将以明文形式流出。 2）DPI数据的加密安全性无法确保：由于没有对DPI数据加密流程、加密范围、加密规则、加密算法、加密功能进行统一、明确的定义和要求，无法统一各DPI数据采集方的数据加密安全实施。 3）DPI数据加密后使用效率低：由于没有对DPI数据加密流程、加密范围、加密规则、加密算法、加密性能指标进行统一、明确的定义和要求，各DPI数据采集方的加密方案可能存在较大差异，当DPI数据应用方需要融合关联各采集方的数据时，数据解密将耗费大量额外的计算时间与计算资源。 4）DPI数据密钥管理不统一：由于没有对DPI数据加密算法、密钥生成、密钥传输、密钥接收、密钥更新进行统一、明确的定义和要求，各DPI数据采集方、管理方、应用方在密钥使用和管理上可能存在较大差异，从而导致行业内DPI数据密钥管理混乱而影响加密效果和安全性。 建立标准化的公众移动通信网络DPI数据密码应用技术要求，将促进业内DPI数据加密方案的规范及统一，并在保证数据使用效率的前提下，提升数据本身及传输过程的安全性，从而降低数据中个人信息泄露风险。因此，建议制定面向公众移动通信网络DPI数据的密码应用技术要求行业标准。

本标准规范了公众移动通信网络深度包检测（DPI）数据加解密技术要求，内容包括深度包检测（DPI）数据加解密技术的应用需求、流程要求、功能要求、性能要求、安全要求。 本标准适用于公众移动通信网络深度包检测（DPI）数据加解密技术相关的方案制定、开发、实施等。 本标准的逻辑结构分为： 1、 加解密应用需求 主要内容：机密性、完整性、真实性、不可否认性 2、 加解密流程要求 主要内容：数据加密流程、数据解密流程、密钥管理流程 3、 加解密功能要求 主要内容跟：加密算法、加密话单、加密字段、密钥切换 4、 解密技术性能要求 主要内容：加密时延、加密设备性能开销、密文数据传输效率、密文数据存储开销、解密时延、解密设备性能开销 5、 安全要求 主要内容：个人信息保护、管理制度、人员管理、建设运行、应急处理

1、目前行业标准中与电信大数据安全及本标准较为相关的有2项： 1）YD/T 3802-2020《电信网和互联网数据安全通用要求》 2）YD/T 3801-2020《电信运营商大数据安全风险及需求》 以上项行业标准均在通用场景下对电信大数据安全相关内容进行了规定，内容主要为安全通用要求、安全风险及需求，并未对公众移动通信网络DPI数据密码应用技术进行规定，其场景、内容等与拟立项的行业标准都有较大差异。 2、目前国家标准中与密码应用及本标准较为相关的有1项： 1）GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》 以上国家标准主要面向于信息系统密码应用，并未包含与公众移动通信网络DPI数据相关的密码应用技术要求。 3、目前国际标准中没有针对公众移动通信网络DPI数据密码应用技术或方案的相关标准。