ICS33. 040 CCS M 11 YD 中华人民共和国通信行业标准 YD/T XXXXX—XXXX 面向电信网的软件定义边界（SDP） 技术要求 Technical requirements of software defined perimeter (SDP) for telecommunication network (点击此处添加与国际标准一致性程度的标识) （报批稿） XXXX - XX - XX 发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布 YD/T XXXXX—XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国电信集团有限公司、中兴通讯股份有限公司、中国信息通信研究院、深信服 科技股份有限公司、北京天融信网络安全技术有限公司。 本文件主要起草人：王海燚、林燕飞、郝振武、何国锋、陈方杰、梁亚舒、贺倩、葛林娜、吴安然、 王翼、游世林。 II YD/T XXXXX—XXXX 面向电信网的软件定义边界（SDP）技术要求 1范围 本文件规定了面向电信业务网、管理网的软件定义边界（SDP）的技术体系、流程和接口、参考框 架、技术要求和安全要求。 本文件适用于SDP技术研发、设备研制、系统部署和运维。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069信息安全技术术语 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3. 1 软件定义边界 software defined perimeter 种以身份为中心、基于上下文对资源实施动态访问控制的安全框架，通过对用户身份、环境、动 态权限三个层面的验证，访问者与被访问者之间实时创建加密隧道，从而降低网络系统的安全风险。 3. 2 单包授权 single packet authorization 通过发送携带一次性密码等信息的单个认证数据包实现先验证后连接的方法，在主体访问客体前， 先验证访问主体的身份。 3. 3 动态访问控制 dynamic access control 一种动态调节主体对客体执行某些操作请求的机制，能够实时调整控制策略和访问权限，用来保护 资源不被未授权的用户访问。 4缩略语 下列缩略语适用于本文件。 AI：人工智能（ArtificialIntelligence） API：应用程序接（ApplicationProgrammingInterface） BSS：业务支撑系统（Business Support System） FW：防火墙（Firewall） ID：身份标识码（Identity） IT：信息技术（InformationTechnology） MSS：管理支撑系统（Management SupportSystem） mTLS：相互传输层安全（MutualTransport Layer Security） OSS：运营支撑系统（OperationSupportSystem） SDK：软件开发工具包（SoftwareDevelopmentKit） SDP：软件定义边界（SoftwareDefinedPerimeter） SPA：单包授权（SinglePacket Authorization） TLCP：传输层密码协议（TransportLayerCryptographyProtocol） TLS：传输层安全协议（Transport Layer Security）