基于Web Service的網絡安全設備管理協議*

黃 興，秦曉娜，許光利

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著信息技術的不斷進步，信息系統面臨的網絡安全威脅愈發復雜。防火墻、入侵檢測、漏洞掃描以及防病毒等網絡安全設備協同配合，共同組成了網絡安全風險的防護屏障。為了對不同安全設備進行統一管理，安全管理系統應運而生。安全管理系統為使用者提供了安全設備數據統一采集和呈現平臺，通過不同設備的統一調度構建有效的防御手段。本文分析安全運維管理的需求，探討設備管理協議中的關鍵技術，提出了數據交換格式模型。

1 安全管理需求

業界普遍認為，網絡安全由技術、管理和運維3部分組成，且其長期效能主要取決于安全運維管理水平[1]。安全運維管理的好壞對網絡安全體系的整體效能具有重要影響。

1.1 管理運維需求

在網絡安全體系中，不同安全設備各司其職，協作實現安全防護。安全管理系統通過高效的管理運維，起到協調調度的作用。管理運維需求主要包括設備狀態的統一監控、安全風險的及時呈現、安全威脅的高效處置以及安全策略的迅速調整[2]。

1.2 數據交換需求

安全運維過程中，安全管理系統與安全設備間存在大量的數據交換需求。不同安全設備形態各異、技術體制不一，形成了異構的數據環境。安全管理系統對各種安全設備進行統一運維管理，必須設計跨平臺的通用傳輸協議，以降低系統間耦合度，實現安全防護數據的互聯互通，從而為運維人員進行決策提供更好的支撐。為了保證管理協議的平臺的無關性和可擴展性，需要定義通用的安全信息描述機制和數據格式。

1.3 安全性需求

安全運維管理過程中，為了防止外部攻擊者獲取敏感信息，使用的傳輸協議必須通過加密等手段進行安全性保護。

2 關鍵技術

2.1 XML

可擴展標記語言（eXtensible Markup Language，XML）是一種用于標記電子文件使其具有結構性的標記語言。它遵循W3C規范的語法要求，形式與內容分離，具有良好的自描述性，同時易于擴展，擁有豐富的第三方開發庫，非常適合在不同架構的系統之間進行信息傳輸使用。隨著XML的應用越來越廣泛，在眾多應用場景下，XML憑借其優點已經成為事實上的數據交換標準。

2.2 Web Service

Web Service是一種跨編程語言、跨操作系統平臺的遠程調用技術。Web Service技術的典型特點是平臺無關性和開放性。運行在不同系統上的異構應用無須借助專門的第三方軟硬件，就可相互交換數據或實現集成。不同應用之間只要共同遵循了Web Service規范，無論它們所使用的語言、平臺或內部協議是什么，都可以實現數據的相互交換。

2.3 SOAP

簡單對象訪問協議（Simple Object Access Protocol，SOAP）是一種基于XML的輕量數據交換協議規范，能夠在不同信息系統之間交換結構化數據，是Web Service的一種主流實現形式。

SOAP基于HTTP協議定義了一個框架，描述消息中的內容是什么、是誰發送的、誰應當接受并處理它以及如何處理它們。它通過定義SOAP信封（Envelop）實現數據格式的標準化，將XML數據封裝于信封之中進行信息交互，使得異構的系統間能夠進行互操作。

2.4 IDEA

國際數據加密算法（International Data Encryption Algorithm，IDEA）是一種對稱加密算法，由中國學者來學嘉和密碼專家Massey共同設計[3]。它的原理為來自不同代數群的混合運算。加密過程由8圈迭代和1次輸出變換組成，密鑰長度為128位，對計算資源要求不高，能夠在不同平臺上實現高速加解密。

IDEA的工作流程如圖1所示，其加密和解密使用同樣的密鑰K。發送方將明文P使用密鑰K進行加密后得到密文C，然后通過網絡將密文C傳輸給接收方。接收方使用同樣的密鑰K進行逆運算，解密后得到明文P，以實現信息傳遞時的安全性保護。

與其他傳統加密算法相比，IDEA在混淆性、擴散性、安全性以及加解密效率等方面具有較為明顯的優勢，目前已經在各種有加密需要的信息交換場景下得到了廣泛應用。

3 管理協議設計

3.1 服務開設

安全管理系統和安全設備分別通過發布Web服務描述語言（Web Services Description Language，WSDL），對外提供基于SOAP的Web Service。雙方基于該WSDL實現對方發布的Web Service的客戶端，通過互相訪問實現信息的上行/下行傳輸。

3.2 數據定義

信息數據報文作為安全管理信息的載體，是安全管理系統和安全設備進行信息交互的核心。數據交換格式是系統間信息交換的編碼規范，是保證安全防護體系中各系統實現互連互通的基礎[4]。

為了信息數據報文的通用性和可擴展性，在安全管理協議中，所有數據報文都以XML的格式描述。XML具有高可擴展性[5]。使用XML對安全信息進行描述既能滿足基礎管理需求，也便于根據需要進行擴展，以實現管理協議的高效、通用，同時能滿足靈活、易擴展等需求。

如表1所示，根據報文作用的不同，將安全管理系統與安全設備之間的數據報文分為以下幾類。

表1 數據報文分類

針對報文類型的不同，安全管理系統和安全設備在進行信息傳輸時調用不同的接口方法，實現數據的分類處理。通過報文分類，方便安全設備的快速適配，同時便于后續擴展。

在設計管理協議時，需要充分考慮不同安全設備的相同點與差異性，同時協議設計需要有可擴展性，為后續新安全設備的加入留出空間。數據報文分為所有設備都應遵循的通用數據格式（如設備運行狀態視圖）和針對某類設備的專用數據格式（如防火墻的網絡訪問控制策略）。所有數據報文均以語義化的方式進行描述，便于理解，也易于程序進行處理。

XML Schema定 義（XML Schema Definition，XSD）是一種對XML文件的構造進行定義的規范，能夠檢查給定的XML文件是否符合XSD的定義。安全管理協議對所有數據報文定義均通過XSD進行格式限制，以實現信息的規范化描述，同時便于接收方驗證信息的合法性，防止格式不正確的非法報文對系統性能造成影響。

3.3 交互流程

設備管理協議的交互流程如圖2所示。通過服務探測與配置信息發布，安全管理系統與安全設備建立管理關系。

步驟（1）安全管理系統訪問安全設備對外發布的Web Service地址，確認服務正常；

步驟（2）安全管理系統向安全設備發送參數配置報文，告訴安全設備與安全管理系統進行信息交互時需要的必要信息；安全設備收到報文后，根據其中內容將相關信息進行持久化保存，并向安全管理系統回復接收成功；

步驟（3）完成步驟（2）后，設備根據參數配置報文中定義的各類數據上報模式和時間間隔，定期向安全管理系統上報數據。當參數配置、安全策略有變化時，安全管理系統主動向安全設備下發，安全設備根據報文進行解析執行。

3.4 傳輸加密

為了確保管理數據在信息交換時的安全性，安全管理協議要求通信雙方在發送數據前，通過IDEA算法對數據報文進行加密，并使用加密后的密文進行信息交互。

安全管理系統會為每個設備分配唯一的加解密密鑰。即使單個設備的密鑰泄露，攻擊者在不知道其他設備密鑰的情況下，無法對其他設備的通信報文進行解密。

3.5 接口報文示例

安全管理系統和安全設備分別部署安全管理Web Service通信服務，通過互相訪問實現安全設備視圖、策略、事件、日志上報和參數、策略下發等功能。一個典型的Web Service接口描述如下：

int reportInfo(String devID,String dataType,String xml).

該接口由安全管理系統發布，供安全設備調用，主要包含3個參數[6]。第1個參數為安全設備的唯一標識。安全管理系統通過該參數區分來自不同設備的數據，并以此為依據生成IDEA加解密使用的密鑰。第2個參數為加密后的數據報文標識，用以區分上報數據的具體類型，供接收方判斷應該通過哪種方法對數據進行針對性處理。第3個參數為加密后的報文數據，包含安全管理業務的真正數據。接口的返回值為int型數據，根據不同的返回值，可以判斷接口調用是否成功或具體的錯誤類型。

下面是一個“通信參數配置”報文的具體實現，以此為例說明數據格式的結構與含義。

報文以XML格式封裝：第1行表示數據報文由UTF-8編碼方式進行編碼；第2行表示本報文的類型屬于配置報文，需要接收者按照配置報文的解析方式進行解析；第3行表示本報文具體類型屬通信參數配置，主要用于約束安全管理系統與安全設備間如何進行通信；第4行表示安全管理系統的IP地址是192.168.11.250；第5行表示安全管理系統開放的端口是8080；第6行表示安全管理系統給安全設備分配了一個唯一的設備ID，在后續通信中，安全設備需要將該設備ID作為自身的標識信息。安全設備收到該報文后進行解析，即可得知安全管理系統的IP地址、端口與分配給自己的身份標識。后續可利用該身份標識與安全管理系統進行通信。

3.6 效能分析

通過以上對報文各字段的分析可知，管理協議報文基于應用層，以語義化的方式，通過定義不同字段名與該字段含義來表示不同的內容。因此，可以針對不同安全設備特點定義不同的數據格式，實現安全管理信息的上傳和下發，不存在系統平臺適配或轉換問題。

本文設計的網絡安全設備管理協議已經在某大型安全防護系統中應用，供安全管理系統和安全設備進行信息交互時使用。該安全防護系統廣泛部署于國內各點位，多年來穩定運行。經過驗證，它能夠支撐安全管理系統與安全設備之間的通信需要，保障運維人員對整個網絡空間的統一安全管理。

4 結 語

安全運維管理的核心是安全數據的交互。本文從安全運維管理的現狀及需求出發，提出了一種網絡安全設備管理協議，分析涉及的關鍵技術，設計數據交換格式模型，能夠解決安全管理系統和網絡安全設備的數據交互問題。后續的工作主要包括進行數據壓縮優化設計、提升編碼效率和傳輸性能等。