刘栋， 夏凡， 苗新亮

（中国电子科技集团公司第三十研究所，四川成都610041）

技研学术·Technology & Research

一种基于属性策略机制的安全管理系统实现方法*

刘栋， 夏凡， 苗新亮

（中国电子科技集团公司第三十研究所，四川成都610041）

一体化安全管理系统通常需要支撑安全防护系统中的各类安全设备的设备和密钥等信息的管理，而传统的安全管理系统在应对安全设备类型和密钥种类的扩展时存在一定局限。通过引入属性策略的机制，针对这些静态数据采用属性策略进行描述，结合策略处理逻辑，设计并实现了一套灵活、可配置的属性策略机制，能够有效提升一体化安全管理系统对多元化安全设备的管理能力。

属性策略；数据管理；安全管理系统

0 引言

随着安全事件报道的不断增多，用户的信息安全思识不断增强，企事业单位、政府部门逐渐增加信息安全方面的投入，安全设备的品种和数量也随之增多。安全设备厂商的多元化、安全设备架构的差异化和管理维护方式的多样化，导致用户的管理及维护的难度不断加大。如何实现对系统中部署的多元化安全设备进行有效运维、可靠监管，以及如何实现多样化安全设备的一体化集中管理，是安全管理系统亟待解决的问题。

安全管理系统主要负责安全设备的设备管理、设备运维、密钥分发、安全策略配置等管理工作。但不同类型的安全设备其管理方式往往存在其个性化的需求，难以实现完全的统一，而针对每种类型的安全设备实现特定的管理系统，又存在管理复杂度大，投入成本高等问题。

现有的一体化安全管理系统通常采用界面集成或插件式集成方式，将各种设备的管理功能糅合到一起实现，这种实现方式虽然可以实现设备管理的快速集成、松散耦合，但是在用户的一体化体验方面也存在先天不足。

1 概述

通常情况下，安全管理系统在进行设备信息、密钥信息等静态数据的管理时，需要具备以下管理功能：

1）管理安全设备的基本属性信息，包括安全设备的名称、类型、单位、电话号码、IP地址等；

2）管理密钥的基本属性信息，包括密钥的名称、类型、有效期、数据长度、产生方式等；

3）管理安全设备和密钥之间的关联关系，包括一对一、一对多、多对一的关系等。

通过将以上安全设备和密钥的基本属性信息，以及安全设备和密钥之间的关联关系做更高层次的抽象，将每条基本属性抽象为可配置的属性字段，同时将关联关系抽象为可配置的关系字段，即形成属性策略。

同时，设计和实现一套策略处理逻辑，该逻辑负责完成属性策略的解析、过滤、处理等功能。在属性策略传递给该处理逻辑时，它首先解析属性策略的内容，然后按照设备属性、密钥属性、设备和密钥的关系属性三种类型进行过滤，然后将不同类型的策略交予对应的处理模块进行处理。其中，设备属性处理模块完成设备信息的录入、编制等功能；密钥属性处理模块完成密钥的生产、有效期控制等功能；关系属性处理模块负责安全设备的密钥分配、更换等功能。

按照以上设计思想，在一体化安全管理系统中，只需针对某种类型的安全设备和密钥配置一套属性策略，然后结合属性策略处理逻辑即可实现该类型安全设备和密钥的管理功能。在增加管理新类型的密钥时，只需要在属性策略中配置对应的密钥属性字段，即可实现该类型密钥的管理；在增加新类型安全设备时，只需要在属性策略中配置对应的设备属性字段，并根据安全设备的安全性要求配置设备和密钥的关系字段，即可实现该类型密码设备的管理功能；同时，若目前的策略处理模块无法支持新属性字段的处理时，可通过动态注册处理模块的方式实现新增属性字段的处理。

因此，通过属性策略和配套的策略处理逻辑，可实现一体化安全管理系统所管理的安全设备和密钥的动态扩展，有效提升系统的扩展和管理能力。

2 生统设计

2.1 架构设计

基于属性策略机制的一体化安全管理系统架构由下至上分为策略信息层、策略处理层和管理业务层三个层次，如图1所示。

图1 架构设计

策略信息层描述密钥和安全设备的基本属性，以及密钥、设备和系统之间关联关系；策略处理层实现通用的策略解析和处理；管理业务层通过组合同一类型设备的策略信息实现某一型号安全设备的管理业务。

在安全管理系统进行业务管理时，其管理的对象通常存在差异，但在不同对象的管理模式上存在很多共同点。在管理的设备方面，不同类型的设备其配置信息不同，比如是否配置IP地址、电话号码等，另外不同类型的设备其配用的证书、密钥种类也可能存在不同；然而在设备的管理模式上，通常包括设备信息管理、设备证书管理以及监控管理等。在管理的密钥方面，不同密钥的产生方式、生命周期、保护方式、分发方式存在不同；在密钥的管理模式上，通常包括密钥的产生、分配、保护、更换、分发等。

因此，在基于属性策略机制的框架中，将存在差异的管理对象作为可动态配置的策略信息层，将共性的管理模式抽象为策略处理层，通过结合动态配置的策略信息和通用的策略处理逻辑，实现可灵活扩展的管理业务。

2.2 策略信息

2.2.1 策略组成

策略信息作为管理对象以及对象之间关系的描述，是属性策略机制的基础，也是一体化安全管理系统灵活扩展的支撑条件。通常策略信息可由以下三部分组成：

（1）设备属性：用于描述设备的基本属性信息。

设备的基本属性通常包含型号、配用证书、名称、IP地址、电话号码等，例如：设备a和b的属性信息可表示如下：

设备a=＜型号a，证书类型a，名称，IP地址＞

设备b=＜型号b，证书类型b，名称，电话号码＞

其中型号、证书类型等固定信息可在策略中直接进行配置，而名称、IP地址、子网掩码、网关等动态信息可作为配置项，允许用户通过页面进行编辑。

（2）数据属性：用于描述密钥的基本属性信息。

密钥的基本属性通常包含类型、名称、产生方式、分配方式、有效期等。例如：密钥u和v的属性信息表示如下：

数据u=＜类型u，名称u，产生方式u，分配方式u，有效期u＞

数据v=＜类型v，名称v，产生方式v，分配方式v，有效期v＞

（3）关联关系属性：用于描述设备和密钥之间的关联关系。

例如：设备a配用了密钥u，设备b配用了密钥u、v，则关系α和关系β可表示如下：

关系α=＜a，u＞

关系β=＜b，u，v＞

基于以上策略组成的分析，在属性策略设计机制中，通过＜u，v＞可实现对密钥u和v的管理，通过＜a，u，α＞、＜b，u，v，β＞可实现对设备a和b的管理。

2.2.2 策略描述

完成策略设计后，需要采用易于展示和理解的语言将策略信息描述出来，同时也要方便编程语言的读取和解析。通常，可根据软件平台和编程语言的特性采用多种方式实现策略描述，例如可采用TXT、INI、XML［1］、JSON［2］、YAML等格式。

此外，为方便编程语言进行操作，也可采用SQL语句进行描述，可按如下所示描述：

（1）设备属性：

INSERT INTO TBL_DEVMODE VALUES

（a，＇型号a＇，证书类型a，＇＜name＞IP地址＜/name＞＜format＞ip＜/format＞＇），

（b，＇型号b＇，证书类型b，＇＜name＞电话号码＜/name＞＜format＞phone＜/format＞＇）；

其中，TBL_DEVMODE为设备属性表。同时，这里将设备的IP地址、电话号码等动态可变的属性作为属性模板进行处理。可根据设备类型不同，配置不同的属性模板，显示页面通过解析属性模板可实现个性化的设备信息展示。

（2）数据属性：

INSERT INTO TBL_DATA VALUES

（u，类型u，名称u，产生方式u，分配方式u，有效期u），

（v，类型v，名称v，产生方式v，分配方式v，有效期v）；

其中，TBL_DATA为密钥属性表。

（3）关系属性：

INSERT INTO TBL_REL_DEVDATA VALUES（a，u），（b，u），（b，v）；

其中，TBL_REL_DEVDATA为设备和密钥关系表。

采用数据库SQL语句进行描述的方式可将策略信息按照数据库方式进行管理，一方面易于策略信息的可视化编辑，另一方面易于编程语言的解析处理。

2.2.3 策略处理

策略处理层主要完成两个方面的工作：解析策略和处理策略。

对于策略解析模块，需要根据策略信息描述的格式来实现相应的解析逻辑。若采用数据库SQL语句格式，则解析处理逻辑可采用通用的数据库访问中间件或开发技术实现，例如ODBC、JDBC、ORM［3］等。

对于策略处理模块，可根据策略信息的种类设计实现通用的处理模块。可采用插件式设计，动态加载等技术，允许处理模块的动态扩展。

3 应用分析

通过引入属性策略机制，一体化安全管理系统在所管理的安全设备类型和密钥种类扩展时，若其管理方式和已有设备或密钥相似，则仅需要增加相应的策略信息即可，无需二次开发；即使在管理方式扩展时，也可动态增加相应的策略处理模块，系统的可修改性强。因此，在一体化安全管理系统中，通过引入属性策略机制，可以提升系统静态数据管理的灵活性和扩展能力。

4 结语

文中对属性策略机制进行了详细分析，然后介绍了该机制的架构设计和实现方式。最后，简单分析了在一体化安全管理系统中应用属性策略机制的效果。总而言之，采用属性策略机制后，

可通过增加策略信息实现对新增设备或密钥的管理，提升了安全管理系统对静态数据的扩展能力和管理能力，有效降低了统一安全管理系统在扩展管理新设备和新密钥时的复杂性，提升了系统的易用性，减少了系统的管理成本。

［1］孙宝军.JSON与XML的比较研究［J］.内蒙古科技与经济，2009（24）：122-126.

［2］张涛，黄强，毛磊雅，高兴.一个基于JSON的对象序列化算法［J］.计算机工程与应用，2007（15）：98-100.

［3］何铮，陈志刚.对象/关系映射框架的研究与应用［J］.计算机工程与应用，2003（26）：188-191.

《通信技术》征稿启示

《通信技术》是加内创办时间长、影响大的IT专业媒体，由中加电子科技集团公司主管、中加电子科技集团公司第三十研究所主办，主要报道信源处理、传输、业务与系统、网络、移动通信、信息安全等方面的先进技术、理论研究成果和最新动态。

自1967年创刊以来，《通信技术》一直以促进民族通信事业的发展为已任，搭建了一个联系编读交流、展示通信技术发展的良好平台。在强化品质、不断创新的基础上，《通信技术》将以崭新的面貌出现在您的面前——更新颖的内容、更美观的版面、更精美的印刷。为扩大学术交流的渠道，本刊特向社会征集优秀稿件。

热诚欢迎通信技术领域从事科学、教学、技术开发、维护管理等方面的专家、学者、在校师生和相关技术人员踊跃投稿。

征稿内容：信源处理；传输；业务和系统；网络；移动通信；通信保密

在线投稿：www.txjszz.com/jwk_xxaq/ht-login.jsp

电话：028-85169918/85151528传真：028-85151528

《通信技术》编辑部

二O一四年一月一日

Implementation of Security Management System based on Attribute Strategy Mechanism

LIU Dong，XIA Fan，MIAO Xin-liang
（No.30 Institute of CETC，Chengdu Sichuan 610041，China）

Integrated security management system usually requires the management of carious safety equipments in the security protection system，including their key information.Certain limitations often exist in the traditional security management system for its processing security equipment types and extension of key types.By introduction of attribute strategy mechanisms，the static data is described with attribute strategy，in combination of strategy processing logic，a flexible，configurable attribute strategy mechanism，is designed and implemented，and this could effectively enhance the management capability of the integrated security management systems for the diversified safety equipments.

attribute strategy；data management；security management system

TP311

A

1009-8054（2015）09-0096-03

刘 栋（1986—），男，工程师，主要研究方向为计算机应用、信息安全；

夏 凡（1981—），男，工程师，主要研究方向为计算机应用、信息安全；

苗新亮（1983—），男，工程师，主要研究方向为计算机应用、信息安全。■

2015-03-12