劉棟， 夏凡， 苗新亮

（中國電子科技集團公司第三十研究所，四川成都610041）

技研學(xué)術(shù)·Technology & Research

一種基于屬性策略機制的安全管理系統(tǒng)實現(xiàn)方法*

劉棟， 夏凡， 苗新亮

（中國電子科技集團公司第三十研究所，四川成都610041）

一體化安全管理系統(tǒng)通常需要支撐安全防護系統(tǒng)中的各類安全設(shè)備的設(shè)備和密鑰等信息的管理，而傳統(tǒng)的安全管理系統(tǒng)在應(yīng)對安全設(shè)備類型和密鑰種類的擴展時存在一定局限。通過引入屬性策略的機制，針對這些靜態(tài)數(shù)據(jù)采用屬性策略進行描述，結(jié)合策略處理邏輯，設(shè)計并實現(xiàn)了一套靈活、可配置的屬性策略機制，能夠有效提升一體化安全管理系統(tǒng)對多元化安全設(shè)備的管理能力。

屬性策略；數(shù)據(jù)管理；安全管理系統(tǒng)

0 引言

隨著安全事件報道的不斷增多，用戶的信息安全思識不斷增強，企事業(yè)單位、政府部門逐漸增加信息安全方面的投入，安全設(shè)備的品種和數(shù)量也隨之增多。安全設(shè)備廠商的多元化、安全設(shè)備架構(gòu)的差異化和管理維護方式的多樣化，導(dǎo)致用戶的管理及維護的難度不斷加大。如何實現(xiàn)對系統(tǒng)中部署的多元化安全設(shè)備進行有效運維、可靠監(jiān)管，以及如何實現(xiàn)多樣化安全設(shè)備的一體化集中管理，是安全管理系統(tǒng)亟待解決的問題。

安全管理系統(tǒng)主要負(fù)責(zé)安全設(shè)備的設(shè)備管理、設(shè)備運維、密鑰分發(fā)、安全策略配置等管理工作。但不同類型的安全設(shè)備其管理方式往往存在其個性化的需求，難以實現(xiàn)完全的統(tǒng)一，而針對每種類型的安全設(shè)備實現(xiàn)特定的管理系統(tǒng)，又存在管理復(fù)雜度大，投入成本高等問題。

現(xiàn)有的一體化安全管理系統(tǒng)通常采用界面集成或插件式集成方式，將各種設(shè)備的管理功能糅合到一起實現(xiàn)，這種實現(xiàn)方式雖然可以實現(xiàn)設(shè)備管理的快速集成、松散耦合，但是在用戶的一體化體驗方面也存在先天不足。

1 概述

通常情況下，安全管理系統(tǒng)在進行設(shè)備信息、密鑰信息等靜態(tài)數(shù)據(jù)的管理時，需要具備以下管理功能：

1）管理安全設(shè)備的基本屬性信息，包括安全設(shè)備的名稱、類型、單位、電話號碼、IP地址等；

2）管理密鑰的基本屬性信息，包括密鑰的名稱、類型、有效期、數(shù)據(jù)長度、產(chǎn)生方式等；

3）管理安全設(shè)備和密鑰之間的關(guān)聯(lián)關(guān)系，包括一對一、一對多、多對一的關(guān)系等。

通過將以上安全設(shè)備和密鑰的基本屬性信息，以及安全設(shè)備和密鑰之間的關(guān)聯(lián)關(guān)系做更高層次的抽象，將每條基本屬性抽象為可配置的屬性字段，同時將關(guān)聯(lián)關(guān)系抽象為可配置的關(guān)系字段，即形成屬性策略。

同時，設(shè)計和實現(xiàn)一套策略處理邏輯，該邏輯負(fù)責(zé)完成屬性策略的解析、過濾、處理等功能。在屬性策略傳遞給該處理邏輯時，它首先解析屬性策略的內(nèi)容，然后按照設(shè)備屬性、密鑰屬性、設(shè)備和密鑰的關(guān)系屬性三種類型進行過濾，然后將不同類型的策略交予對應(yīng)的處理模塊進行處理。其中，設(shè)備屬性處理模塊完成設(shè)備信息的錄入、編制等功能；密鑰屬性處理模塊完成密鑰的生產(chǎn)、有效期控制等功能；關(guān)系屬性處理模塊負(fù)責(zé)安全設(shè)備的密鑰分配、更換等功能。

按照以上設(shè)計思想，在一體化安全管理系統(tǒng)中，只需針對某種類型的安全設(shè)備和密鑰配置一套屬性策略，然后結(jié)合屬性策略處理邏輯即可實現(xiàn)該類型安全設(shè)備和密鑰的管理功能。在增加管理新類型的密鑰時，只需要在屬性策略中配置對應(yīng)的密鑰屬性字段，即可實現(xiàn)該類型密鑰的管理；在增加新類型安全設(shè)備時，只需要在屬性策略中配置對應(yīng)的設(shè)備屬性字段，并根據(jù)安全設(shè)備的安全性要求配置設(shè)備和密鑰的關(guān)系字段，即可實現(xiàn)該類型密碼設(shè)備的管理功能；同時，若目前的策略處理模塊無法支持新屬性字段的處理時，可通過動態(tài)注冊處理模塊的方式實現(xiàn)新增屬性字段的處理。

因此，通過屬性策略和配套的策略處理邏輯，可實現(xiàn)一體化安全管理系統(tǒng)所管理的安全設(shè)備和密鑰的動態(tài)擴展，有效提升系統(tǒng)的擴展和管理能力。

2 生統(tǒng)設(shè)計

2.1 架構(gòu)設(shè)計

基于屬性策略機制的一體化安全管理系統(tǒng)架構(gòu)由下至上分為策略信息層、策略處理層和管理業(yè)務(wù)層三個層次，如圖1所示。

圖1 架構(gòu)設(shè)計

策略信息層描述密鑰和安全設(shè)備的基本屬性，以及密鑰、設(shè)備和系統(tǒng)之間關(guān)聯(lián)關(guān)系；策略處理層實現(xiàn)通用的策略解析和處理；管理業(yè)務(wù)層通過組合同一類型設(shè)備的策略信息實現(xiàn)某一型號安全設(shè)備的管理業(yè)務(wù)。

在安全管理系統(tǒng)進行業(yè)務(wù)管理時，其管理的對象通常存在差異，但在不同對象的管理模式上存在很多共同點。在管理的設(shè)備方面，不同類型的設(shè)備其配置信息不同，比如是否配置IP地址、電話號碼等，另外不同類型的設(shè)備其配用的證書、密鑰種類也可能存在不同；然而在設(shè)備的管理模式上，通常包括設(shè)備信息管理、設(shè)備證書管理以及監(jiān)控管理等。在管理的密鑰方面，不同密鑰的產(chǎn)生方式、生命周期、保護方式、分發(fā)方式存在不同；在密鑰的管理模式上，通常包括密鑰的產(chǎn)生、分配、保護、更換、分發(fā)等。

因此，在基于屬性策略機制的框架中，將存在差異的管理對象作為可動態(tài)配置的策略信息層，將共性的管理模式抽象為策略處理層，通過結(jié)合動態(tài)配置的策略信息和通用的策略處理邏輯，實現(xiàn)可靈活擴展的管理業(yè)務(wù)。

2.2 策略信息

2.2.1 策略組成

策略信息作為管理對象以及對象之間關(guān)系的描述，是屬性策略機制的基礎(chǔ)，也是一體化安全管理系統(tǒng)靈活擴展的支撐條件。通常策略信息可由以下三部分組成：

（1）設(shè)備屬性：用于描述設(shè)備的基本屬性信息。

設(shè)備的基本屬性通常包含型號、配用證書、名稱、IP地址、電話號碼等，例如：設(shè)備a和b的屬性信息可表示如下：

設(shè)備a=＜型號a，證書類型a，名稱，IP地址＞

設(shè)備b=＜型號b，證書類型b，名稱，電話號碼＞

其中型號、證書類型等固定信息可在策略中直接進行配置，而名稱、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)等動態(tài)信息可作為配置項，允許用戶通過頁面進行編輯。

（2）數(shù)據(jù)屬性：用于描述密鑰的基本屬性信息。

密鑰的基本屬性通常包含類型、名稱、產(chǎn)生方式、分配方式、有效期等。例如：密鑰u和v的屬性信息表示如下：

數(shù)據(jù)u=＜類型u，名稱u，產(chǎn)生方式u，分配方式u，有效期u＞

數(shù)據(jù)v=＜類型v，名稱v，產(chǎn)生方式v，分配方式v，有效期v＞

（3）關(guān)聯(lián)關(guān)系屬性：用于描述設(shè)備和密鑰之間的關(guān)聯(lián)關(guān)系。

例如：設(shè)備a配用了密鑰u，設(shè)備b配用了密鑰u、v，則關(guān)系α和關(guān)系β可表示如下：

關(guān)系α=＜a，u＞

關(guān)系β=＜b，u，v＞

基于以上策略組成的分析，在屬性策略設(shè)計機制中，通過＜u，v＞可實現(xiàn)對密鑰u和v的管理，通過＜a，u，α＞、＜b，u，v，β＞可實現(xiàn)對設(shè)備a和b的管理。

2.2.2 策略描述

完成策略設(shè)計后，需要采用易于展示和理解的語言將策略信息描述出來，同時也要方便編程語言的讀取和解析。通常，可根據(jù)軟件平臺和編程語言的特性采用多種方式實現(xiàn)策略描述，例如可采用TXT、INI、XML［1］、JSON［2］、YAML等格式。

此外，為方便編程語言進行操作，也可采用SQL語句進行描述，可按如下所示描述：

（1）設(shè)備屬性：

INSERT INTO TBL_DEVMODE VALUES

（a，＇型號a＇，證書類型a，＇＜name＞IP地址＜/name＞＜format＞ip＜/format＞＇），

（b，＇型號b＇，證書類型b，＇＜name＞電話號碼＜/name＞＜format＞phone＜/format＞＇）；

其中，TBL_DEVMODE為設(shè)備屬性表。同時，這里將設(shè)備的IP地址、電話號碼等動態(tài)可變的屬性作為屬性模板進行處理?？筛鶕?jù)設(shè)備類型不同，配置不同的屬性模板，顯示頁面通過解析屬性模板可實現(xiàn)個性化的設(shè)備信息展示。

（2）數(shù)據(jù)屬性：

INSERT INTO TBL_DATA VALUES

（u，類型u，名稱u，產(chǎn)生方式u，分配方式u，有效期u），

（v，類型v，名稱v，產(chǎn)生方式v，分配方式v，有效期v）；

其中，TBL_DATA為密鑰屬性表。

（3）關(guān)系屬性：

INSERT INTO TBL_REL_DEVDATA VALUES（a，u），（b，u），（b，v）；

其中，TBL_REL_DEVDATA為設(shè)備和密鑰關(guān)系表。

采用數(shù)據(jù)庫SQL語句進行描述的方式可將策略信息按照數(shù)據(jù)庫方式進行管理，一方面易于策略信息的可視化編輯，另一方面易于編程語言的解析處理。

2.2.3 策略處理

策略處理層主要完成兩個方面的工作：解析策略和處理策略。

對于策略解析模塊，需要根據(jù)策略信息描述的格式來實現(xiàn)相應(yīng)的解析邏輯。若采用數(shù)據(jù)庫SQL語句格式，則解析處理邏輯可采用通用的數(shù)據(jù)庫訪問中間件或開發(fā)技術(shù)實現(xiàn)，例如ODBC、JDBC、ORM［3］等。

對于策略處理模塊，可根據(jù)策略信息的種類設(shè)計實現(xiàn)通用的處理模塊?？刹捎貌寮皆O(shè)計，動態(tài)加載等技術(shù)，允許處理模塊的動態(tài)擴展。

3 應(yīng)用分析

通過引入屬性策略機制，一體化安全管理系統(tǒng)在所管理的安全設(shè)備類型和密鑰種類擴展時，若其管理方式和已有設(shè)備或密鑰相似，則僅需要增加相應(yīng)的策略信息即可，無需二次開發(fā)；即使在管理方式擴展時，也可動態(tài)增加相應(yīng)的策略處理模塊，系統(tǒng)的可修改性強。因此，在一體化安全管理系統(tǒng)中，通過引入屬性策略機制，可以提升系統(tǒng)靜態(tài)數(shù)據(jù)管理的靈活性和擴展能力。

4 結(jié)語

文中對屬性策略機制進行了詳細(xì)分析，然后介紹了該機制的架構(gòu)設(shè)計和實現(xiàn)方式。最后，簡單分析了在一體化安全管理系統(tǒng)中應(yīng)用屬性策略機制的效果?？偠灾捎脤傩圆呗詸C制后，

可通過增加策略信息實現(xiàn)對新增設(shè)備或密鑰的管理，提升了安全管理系統(tǒng)對靜態(tài)數(shù)據(jù)的擴展能力和管理能力，有效降低了統(tǒng)一安全管理系統(tǒng)在擴展管理新設(shè)備和新密鑰時的復(fù)雜性，提升了系統(tǒng)的易用性，減少了系統(tǒng)的管理成本。

［1］孫寶軍.JSON與XML的比較研究［J］.內(nèi)蒙古科技與經(jīng)濟，2009（24）：122-126.

［2］張濤，黃強，毛磊雅，高興.一個基于JSON的對象序列化算法［J］.計算機工程與應(yīng)用，2007（15）：98-100.

［3］何錚，陳志剛.對象/關(guān)系映射框架的研究與應(yīng)用［J］.計算機工程與應(yīng)用，2003（26）：188-191.

《通信技術(shù)》征稿啟示

《通信技術(shù)》是加內(nèi)創(chuàng)辦時間長、影響大的IT專業(yè)媒體，由中加電子科技集團公司主管、中加電子科技集團公司第三十研究所主辦，主要報道信源處理、傳輸、業(yè)務(wù)與系統(tǒng)、網(wǎng)絡(luò)、移動通信、信息安全等方面的先進技術(shù)、理論研究成果和最新動態(tài)。

自1967年創(chuàng)刊以來，《通信技術(shù)》一直以促進民族通信事業(yè)的發(fā)展為已任，搭建了一個聯(lián)系編讀交流、展示通信技術(shù)發(fā)展的良好平臺。在強化品質(zhì)、不斷創(chuàng)新的基礎(chǔ)上，《通信技術(shù)》將以嶄新的面貌出現(xiàn)在您的面前——更新穎的內(nèi)容、更美觀的版面、更精美的印刷。為擴大學(xué)術(shù)交流的渠道，本刊特向社會征集優(yōu)秀稿件。

熱誠歡迎通信技術(shù)領(lǐng)域從事科學(xué)、教學(xué)、技術(shù)開發(fā)、維護管理等方面的專家、學(xué)者、在校師生和相關(guān)技術(shù)人員踴躍投稿。

征稿內(nèi)容：信源處理；傳輸；業(yè)務(wù)和系統(tǒng)；網(wǎng)絡(luò)；移動通信；通信保密

在線投稿：www.txjszz.com/jwk_xxaq/ht-login.jsp

電話：028-85169918/85151528傳真：028-85151528

《通信技術(shù)》編輯部

二O一四年一月一日

Implementation of Security Management System based on Attribute Strategy Mechanism

LIU Dong，XIA Fan，MIAO Xin-liang
（No.30 Institute of CETC，Chengdu Sichuan 610041，China）

Integrated security management system usually requires the management of carious safety equipments in the security protection system，including their key information.Certain limitations often exist in the traditional security management system for its processing security equipment types and extension of key types.By introduction of attribute strategy mechanisms，the static data is described with attribute strategy，in combination of strategy processing logic，a flexible，configurable attribute strategy mechanism，is designed and implemented，and this could effectively enhance the management capability of the integrated security management systems for the diversified safety equipments.

attribute strategy；data management；security management system

TP311

A

1009-8054（2015）09-0096-03

劉 棟（1986—），男，工程師，主要研究方向為計算機應(yīng)用、信息安全；

夏 凡（1981—），男，工程師，主要研究方向為計算機應(yīng)用、信息安全；

苗新亮（1983—），男，工程師，主要研究方向為計算機應(yīng)用、信息安全。■

2015-03-12