内容分发网络服务信息安全管理系统接口规范(报批稿)xx1024.doc

内容分发网络服务信息安全管理系统接口规范(报批稿)xx1024 1内容分发网络服务信息安全管理系统接口规范1范围本标准规定了内容分发网络类服务相关信息安全管理系统与电信管理部门依照国家法律法规授权建设的信息安全管理系统间接口的功能要求、数据通信要求及数据交换格式等。 本标准适用于为互联网信息服务提供者提供包括但不限于网页加速、下载加速、流媒体加速等服务的CDN业务经营者所建设的业务信息安全管理系统。 2规范性引用文件下列文件对于本标准的应用是必不可少的。 凡是注日期的引用文件，仅所注日期的版本适用于本标准。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。 YD/T3165-xx内容分发网络服务信息安全管理系统技术要求3术语和定义下列术语和定义适用于本文件。 3.1安全监管系统security monitormanagement system电信管理部门依照国家法律法规授权建设的信息安全监管系统。 3.2信息安全管理系统information securitymanagement system业务经营者建设的符合本标准所规定信息安全管理系统要求的所有软、硬件系统的集合。 3.3内容分发网络content deliverywork增值电信业务，定义详见电信业务分类目录（xx版）。 3.4互联网数据中心inter datacenter增值电信业务，定义详见电信业务分类目录（xx版）。 3.5互联网接入服务inter serviceprovider增值电信业务，定义详见电信业务分类目录（xx版）。 注本标准中所有未指明的ISP均特指互联网接入服务。 23.6互联网信息服务inter contentprovider增值电信业务，定义详见电信业务分类目录（xx版）。 3.7IDC业务机房the roomof IDCservice IDC业务经营者利用既有的互联网通信线路、带宽资源及辅助设施（如，温湿度控制、除尘、消防、供配电、安防等），建立具有标准化电信级业务的环境和放置业务相关设备的场所。 3.8ISP业务节点the nodeof ISPservice ISP业务经营者利用接入服务器和相应的软硬件资源建立的、为客户提供接入互联网服务的业务节点。 3.9业务客户customer CDN业务的客户，包括通过CDN服务商获得网页加速、下载加速、流媒体加速等服务的业务客户。 3.10访问用户aess user访问使用CDN网络进行内容加速的有关网站和应用的外部用户。 3.11源IP sourceIP访问用户所使用的IP地址。 3.12目的IP destinationIP CDN业务客户所使用的IP地址。 3.13加速域名speedup domain需要进行内容分发的网站或应用所使用的域名，即使用CDN加速服务的域名。 3.14CDN子网CDN sub- AME的顶级域名。 AME又称别名记录，即源站域名所对应的内容分发网络别名。 3.153源站source存储用户原始数据的主机。 使用内容分发网络加速的内容从源站获取。 4缩略语下列缩略语适用于本文件。 CDN内容分发网络Content DeliveryNetwork FTP文件传输协议File Transfer Protocol 超文本传输协议Hyper TextTransfer ProtocolICP互联网信息服务Inter ContentProvider IDC互联网数据中心Inter DataCenter IP互联网协议Inter ProtocolISMI信息安全管理接口Information SecurityManagement InterfaceISMS信息安全管理系统Information SecurityManagement SystemISP互联网服务提供商Inter ServiceProvider NAT网络地址转换Network AddressTranslation POP3邮政协议-第3版Post OfficeProtocol-version3SMMS安全监管系统Security MonitorManagement SystemSMTP简单邮件传输协议Simple MailTransferProtocolTCP传输控制协议Transmission ControlProtocol UDP用户数据报协议User DatagramProtocol URL统一资源定位符Uniform ResourceLocator XLS可扩展电子表格格式eXtensible LanguageStylesheet XML可扩展标记语言eXtensible MarkupLanguage5概述CDN信息安全管理接口（ISMI）是CDN企业侧信息安全管理系统（ISMS）与电信管理部门侧安全监管系统（SMMS）之间的接口，主要功能包括基础数据管理、业务状态监测、信息安全管理、访问日志管理、疑似数据与异常数据处置、代码表发布等。 ISMI包括命令通道和数据通道。 SMMS通过命令通道下发指令给ISMS，ISMS通过数据通道上传数据给SMMS。 ISMI与ISMS、SMMS之间的关系如图1所示4图1ISMS与SMMS关系示意图每个CDN业务经营者应建设一个统一的ISMS，并通过一个ISMI与SMMS对接，以实现对其所管辖范围内所有CDN业务节点的管理。 本标准仅规定了ISMI的功能要求、接口流程、接口方法及数据交换格式定义，ISMS系统技术要求见YD/T3165-xx。 本标准中未明确的技术细节由ISMS根据SMMS的要求实现。 SMMS的技术要求不在本标准中规定。 6接口功能要求6.1基础数据管理基础数据上报查询企业侧系统在本地新增基础数据或更新基础数据后同步将新增数据记录或含修改内容的数据记录通过接口上报给SMMS，SMMS能根据企业上报的基础数据信息进行核验并通过接口向企业侧系统反馈数据接收信息；SMMS通过接口向企业侧系统以下发基础数据查询指令的方式实施查询特定基础数据信息，如图2所示。 图2基础数据管理6.2访问日志管理SMMS通过接口向企业侧系统下发访问日志查询指令并接收企业侧系统上报的访问日志数据，如图3。 图3访问日志管理6.3信息安全管理违法违规网站管理SMMS通过接口接收企业侧系统违法违规网站监测处置记录，如图4。 CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）基础数据上报与查询ISMS主动上报基础资源数据新增或者变更的数据部系统核验存有异常的基础资源数据ISMS对部系统核验存有异常的基础资源数据重新上报ISMS根据部系统查询需求上报基础资源数据部系统实时查询基础资源数据CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）SMMS下发访问日志指令访问日志管理ISMS根据SMMS查询需求上报访问日志CDN业务经营者电信管理部门CDN业务信息安全管理接口(ISMI)5图4信息安全管理违法信息监测SMMS通过接口接收企业侧系统上报的违法信息监测记录，如图5。 图5信息安全管理违法信息过滤SMMS通过接口接收企业侧系统上报的违法信息过滤记录，如图6。 图6信息安全管理6.4业务状态监测SMMS通过接口接收企业侧系统上报的业务状态监测记录；SMMS针对业务状态查询并接收反馈数据，如图7。 图7业务状态监测功能6.5代码表发布功能CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）违法违规网站管理ISMS定时主动上报违法违规网站记录CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）违法信息监测SMMS下发监测指令ISMS根据SMMS指令要求将监测记录实时自动上报给SMMS CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）违法过滤处置SMMS下发过滤指令ISMS根据SMMS指令要求将违法信息进行过滤并将记录自动实时上报给SMMS CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）业务状态监测管理ISMS定时主动上报业务状态监测记录6SMMS通过接口将系统所用代码全量下发给企业侧系统，企业系统根据下发的代码更新本地代码，如图8。 图8代码表发布功能6.6疑似数据与异常数据疑似数据与异常数据推送指令SMMS将收集后的疑似数据与异常数据推送给企业侧系统，企业根据下发内容进行相应本地操作，如图9。 图9疑似数据与异常数据推送疑似数据与异常数据指令反馈企业侧系统在针对SMMS推送的疑似与异常数据进行处理后，对SMMS进行数据反馈，如图10。 图10疑似数据与异常数据反馈疑似数据与异常数据反馈处理SMMS针对企业侧反馈后的数据进行核验，核验通过的数据进行归档操作，核验未通过的数据退回给企业侧系统，如图11。 图11疑似数据与异常数据反馈处理7接口流程CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）SMMS下代码表指令代码表发布CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）SMMS下代码表指令疑似数据与异常数据推送CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）疑似数据与异常数据反馈ISMS反馈指令处理内容CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）SMMS下代码表指令疑似数据与异常数据反馈处理77.1通信方式ISMI包括命令通道和数据通道命令通道采用WebService方式，SMMS通过调用ISMI接口方法将管理指令等下发给ISMS，管理指令处理流程见7.2，查询指令流程见7.3，推送指令流程见7.4，接口方法见8. 1、8.2；数据通道采用FTP方式，ISMS使用FTP协议或SFTP协议将数据文件上报给SMMS，数据上报流程见7.5，接口方法见8.3。 7.2管理指令处理流程SMMS通过管理指令完成对ISMS基础数据核验处理、违法网站列表管理、违法信息监测和处置指令管理等功能。 SMMS将管理指令发送到ISMS后，等待接收ISMS反馈的指令生效反馈信息。 管理指令处理流程如下（见图12）1)SMMS系统调用cdn_mand()方法，将指令下发至ISMS。 指令以XML文件的格式封装。 2)ISMS接收SMMS下发指令，进行认证和信息校验，完成信息校验后保存指令，并在同一连接内及时反馈指令接收是否成功的信息（见11.16）；如果ISMS没有成功收到下发命令，SMMS则需要重新下发指令。 3)ISMS在约定时间内执行指令，将指令生效的结果信息通过调用cdn_mandack()方法返回给SMMS，返回的内容是以XML文件的格式封装的结果（见11.15）。 4)SMMS接收ISMS的指令生效结果信息，完成信息校验后进行保存，并在同一连接内及时反馈接收情况（见11.16）；如SMMS没有成功收到指令生效信息，ISMS需要重新上报指令生效结果信息。 5)如果下发的指令需要上报数据，则ISMS调用数据上报流程上报数据。 图12管理指令处理流程示意7.3查询指令处理流程SMMS通过查询指令查询ISMS的基础数据记录、访问日志记录等。 符合查询条件的数据记录通过数据上报流程异步上报到SMMS。 SMMS将查询指令下发ISMS后，等待接收ISMS按条件查询后的反馈信息。 查询指令处理流程如下（见图13）1)SMMS系统调用cdn_mand()方法，将查询指令下发至ISMS。 指令以XML文件的格式封装。 2)ISMS接收SMMS下发的查询指令，对指令进行信息校验。 完成校验后保存查询指令，并在同一连接内及时反馈指令接收情况（见11.16）；如ISMS没有成功接收到下发命令，SMMS则需要重新下发。 3)查询的结果信息通过调用数据上报流程返回查询结果。 CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）1.cdn_mand2.cdn_mand返回5.file_load4.cdn_mandack返回 1、 2、 3、4使用指令通道，用WebService实现；5使用数据通道，用FTP方式实现 1、2使用指令通道，用WebService实现；3使用数据通道，用FTP方式实现3.cdn_mandack8图13查询流程示意7.4推送指令处理流程SMMS通过指令推送ISMS的代码表发布、疑似与异常数据推送和处理数据等。 ISMS接收推送指令处理后的数据记录通过数据上报流程异步上报到SMMS。 SMMS将推送指令发送给ISMS后，等待接收ISMS按指令处理后的反馈信息。 推送指令处理流程如下（见图14）1)SMMS系统调用cdn_mand()方法，将推送指令下发至ISMS。 指令以XML文件的格式封装。 2)ISMS接收SMMS下发的推送指令，对指令进行信息校验。 完成校验后保存推送指令，并在同一连接内及时反馈指令接收情况（见11.16）；如ISMS没有成功接收到下发命令，SMMS则需要重新下发。 3)如果下发的指令需要上报数据，则ISMS调用数据上报流程上报数据。 图14推送流程示意7.5数据上报流程数据上报流程中上报的数据包括基础数据记录、访问日志记录、业务状态监测记录、违法违规网站监测记录、违法信息监测和处置记录、疑似与异常数据反馈记录等。 SMMS为每个ISMS创建一个根目录，为便于描述，下文用cdn_home表示该目录，ISMS负责维护自己的根目录。 上报数据文件的存放路径规则为/cdn_home/上报数据类型代码/上报日期/。 其中，上报数据类型共计9种，对应的代码表见表1，日期采用yyyy-MM-dd的格式编写。 文件以生成时间命名且应带有.xml后缀名，生成时间用1970年1月1日到文件生成时的毫秒数与4位随机数结合表示（如，“生成时间1234.xml”形式）。 ISMS通过数据通道，将上报的数据放到SMMS的相应目录下。 数据上报文件大小的要求为单个上报数据文件应小于12M字节，如上报数据量较大，可分拆为多个文件。 每个根目录下除了表1中所列的数据上报目录以外，还应有一个名为999的目录，用来存放SMMS生成的上报文件处理结果。 特定上报文件的处理结果文件存放路径为/cdn_home/999/数据类型代码-对应的文件CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）1.cdn_mand2.cdn_mand返回3.file_load CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）1.cdn_mand2.cdn_mand返回3.file_load 1、2使用指令通道，用WebService实现；3使用数据通道，用FTP方式实现9原名-处理结果代码。 SMMS生成数据上报处理结果为UTF-8编码的纯文本文件，文件内容为处理结果的必要描述，文件原名不含后缀（如，“上报数据类型代码-上报数据文件名-处理结果代码”形式）。 其中，数据类型代码见表1，处理结果代码见表2。 表1数据上报类型代码表代码上报数据类型1基础数据记录2（保留）3访问日志查询记录4违法信息监测记录5违法信息过滤记录6疑似与异常数据反馈记录7业务状态监测记录8违法信息过滤管理指令申诉记录9违法违规网站监测记录表2上报文件处理结果代码代码上报数据类型0处理完成1文件解密失败2文件校验失败3文件解压缩失败4文件格式异常5文件内容异常（版本错误）51文件内容异常上报类型错误52文件内容异常节点/子节点长度错误53文件内容异常节点/子节点类型错误54文件内容异常节点/子节点内容错误55文件内容异常节点/子节点缺漏900其他异常（存在其他错误，需重新上报）999其他异常（处理中）每个ISMS在数据上报目录下有新建和写入权限，无删除权限；而在上报文件处理结果目录下有删除权限，无新建和写入权限。 数据上报的具体流程如下（见图15）a）ISMS产生上报数据并以XML文件的格式封装，ISMS调用file_load方法（见8.3），将原始的上报数据经过压缩加密封装后仍以XML格式传送至SMMS；b）SMMS对上报的数据信息进行信息认证，如果认证成功则对上报的信息进行解密、解压等过程，得到原始上报数据，并进行相应处理；c）处理结束后，SMMS应生成相应的处理结果文件；d）ISMS应在完成上报数据文件传送后及时获取SMMS对相应上报数据的处理结果，解决文件处理过程中产生的错误和异常，并重新进行数据上报流程。 通常情况下，SMMS对上报数据处理的时长不超过10min（如遇极端情况，SMMS应在10min内通过代码“999”的处理结果文件告知ISMS相应上报数据仍在处理过程中）。 10图15数据上报流程8接口方法定义8.1cdn_mand()方法8.1.1方法原型public Stringcdn_mand(String cdnId,String randVal,String pwdHash,String mand，String mandHash，Int mandType，Long mandSequence,Int encryptAlgorithm,Int hashAlgorithm,Int pressionFormat，String mandVersion)。 8.1.2服务请求地址ISMS服务器IP地址/CDNWebService/cdnCommand?wsdl。 8.1.3参数描述本方法共使用11个参数，各项参数的描述如表3所示。 表3cdn_mand()方法参数参数名称参数类型参数描述cdnId字符串CDN/ISP许可证号，长度上限是18字节randVal字符串SMMS调用该方法时生成的随机字符串，长度上限是20字节pwdHash字符串将用户口令和随机字符串连接后使用hashAlgorithm指定的哈希算法进行哈希运算，然后进行base64编码得到的结果。 用户口令由设备所在SMMS维护管理，长度至少为6字节，最多32字节mand字符串对指令文件使用pressionFormat指定的压缩算法进行压缩，再对压缩后的信息按照encryptAlgorithm参数的要求进行加密，然后进行base64编码运算得到的结果；指令包括基础数据查询指令（见11.2）、基础数据核验处理指令（见11.4）、访问日志查询指令（见11.12）、违法网站列表指令（见11.6）、代码表发布指令（见11.14）、违法信息监测过滤指指令（见11.12）疑似数据与异常数据推送指令（见11.17）和疑似数据与异常数据反馈处理指令（见11.17）mandHash字符串对指令文件使用pressionFormat指定的压缩算法进行压缩，压缩后串接消息认证密钥，然后使用hashAlgorithm指定的哈希算法进行哈希运算得到哈希值，并对哈希值进行base64编码运算形成mandHash，用于验证完整性。 消息认证密钥由SMMS与ISMS事先配置确定，长度至少为20字节，最多32字节mandType整型指令类型如下。 0基础数据管理指令（基础数据核验处理指令）；1访问日志查询指令；2信息安全管理指令（违法网站列表管理指令、违法信息监测和处置指令）；3信息安全管理指令（违法信息处置管理指令申诉反馈）；4代码表发布指令；5基础数据查询指令（基础数据记录查询指令）；6保留；7:疑似数据与异常数据推送指令；CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）1.file_load2.处理结果文件下载使用数据通道，用FTP方式实现118:疑似数据与异常数据反馈处理指令mandSequence长整型本次指令下发的惟一编号encryptAlgorithm整型对称加密算法。 0不进行加密，明文传输；1AES加密算法。 加密密钥由SMMS与ISMS事先配置确定，长度至少为20字节，最多32字节。 ISMS应根据SMMS的要求完成加密算法的具体实现。 ISMS至少应支持采用CBC模式、PKCS7Padding补码方式实现AES加密算法，并可根据SMMS的要求设置AES密钥长度、加密偏移量等参数。 hashAlgorithm整型哈希算法如下。 0无hash；1MD5；2SHA-1；ISMS应根据SMMS的要求完成哈希算法的具体实现pressionFormat整型压缩格式如下。 0无压缩；1Zip压缩格式；ISMS应根据SMMS的要求完成压缩算法的具体实现mandVersion字符串接口方法版本。 符合本文件所规定要求的ISMI接口方法为“v1.0”，长度4字节8.1.4方法描述SMMS调用该方法向ISMS下发管理指令、查询指令、推送指令。 SMMS调用该接口方法下发指令时，同时完成认证和对指令文件的压缩加密处理。 ISMS指令文件认证和处理过程中哈希计算结果应采用十六进制字符串（英文字母小写）形式。 认证过程如下a）SMMS产生长度上限为20的随机字符串（字符串由数字和大、小写字母构成），将该字符串与SMMS中存储的用户口令进行连接（例如，口令是字符串“1234567890”，生成的随机字符串是“abcdefghij”，那么连接后的结果即字符串“1234567890abcdefghij”）。 SMMS将连接后的字符串使用hashAlgorithm定义的哈希算法进行哈希计算，再将其结果进行base64编码，得到参数pwdHash值即为SMMS的认证信息。 b）ISMS采用同样的方法产生pwdHash值，将其与收到的值进行比较，如果一致，则ISMS对SMMS的认证通过。 指令文件处理过程如下a）SMMS对原始指令XML文件使用参数pressionFormat指定的压缩格式进行压缩；对压缩的信息串接消息认证密钥后使用参数hashAlgorithm指定的哈希算法计算哈希值，并对哈希值进行base64编码运算形成mandHash；对压缩后的信息使用参数encryptAlgorithm指定的加密算法加密，并对加密结果进行base64编码运算形成mand。 b）ISMS收到指令文件后，首先对mand进行base64反解码，然后采用参数encryptAlgorithm指定的加密算法对解码后的数据进行解密处理，得到data；针对data串接消息认证密钥后，使用hashAlgorithm指定的哈希算法计算哈希值，将得到的哈希值与收到的mandHash进行比较，如果一致，则对指令文件的完整性校验通过。 进一步按照pressionFormat指定的压缩格式对data进行解压后即得到指令信息。 128.1.5方法返回值该方法返回一个XML数据流，数据格式详见11.16，其描述了本次操作的结果代码、结果描述等信息。 8.2cdn_mandack()方法8.2.1方法原型public Stringcdn_mandack(String cdnId,String randVal,String pwdHash,String result,String resultHash,Int encryptAlgorithm,Int hashAlgorithm,Int pressionFormat)。 8.2.2服务请求地址SMMS服务器IP地址/CDNWebService/mandack?wsdl。 8.2.3参数描述本方法共使用9个参数，各项参数的描述如表4所示。 表4cdn_mandack()方法参数说明参数名称参数类型参数描述cdnId字符串CDN许可证号randVal字符串ISMS调用该方法时生成的随机字符串，长度上限是20pwdHash字符串将用户口令和随机字符串连接后使用hashAlgorithm指定的哈希算法进行哈希运算，然后进行base64编码得到的结果。 用户口令由设备所在SMMS维护管理，长度至少为6位，最多32位result字符串对指令执行结果（见11.15）使用pressionFormat指定的压缩算法进行压缩，再对压缩后的信息按照encryptAlgorithm参数的要求进行加密，然后进行base64编码运算得到的结果，包括基础数据管理指令、信息安全管理指令的执行结果resultHash字符串对指令指令结果使用pressionFormat指定的压缩算法进行压缩，压缩后串接消息认证密钥，然后使用hashAlgorithm指定的哈希算法进行哈希运算得到哈希值，并对哈希值进行base64编码运算形成mandHash，用于验证完整性。 消息认证密钥由SMMS与ISMS事先配置确定，长度至少为20位，最多32位encryptAlgorithm整型对称加密算法如下。 0不进行加密，明文传输；1AES加密算法；加密密钥由SMMS与ISMS事先配置确定，长度至少为20字节，最多32字节。 ISMS应根据SMMS的要求完成加密算法的具体实现。 ISMS至少应支持采用CBC模式、PKCS7Padding补码方式实现AES加密算法，并可根据SMMS的要求设置AES密钥长度、加密偏移量等参数。 hashAlgorithm整型哈希算法如下。 0无hash；1MD5；2SHA-1；ISMS应根据SMMS的要求完成哈希算法的具体实现pressionFormat整型压缩格式如下。 0无压缩；1Zip压缩格式；ISMS应根据SMMS的要求完成压缩算法的具体实现mandVersion字符串接口方法版本。 符合本文件所规定要求的ISMI接口方法为“v1.0”，长度4字节8.2.4方法描述13ISMS接收到SMMS下发的基础数据管理指令、信息安全管理指令，并将所有指令执行完成后，需要调用本方法，将已执行的指令结果信息发送给SMMS，同时完成认证和对指令文件的压缩加密处理功能。 ISMS指令文件认证和处理过程中哈希计算结果应采用十六进制字符串（英文字母小写）形式。 认证过程如下a）ISMS产生长度上限为20的随机字符串（字符串由数字和大、小写字母构成），将该字符串与ISMS中配置的用户口令进行连接（例如，口令是字符串“1234567890”，生成的随机字符串是“abcdefghij”，那么连接后的结果是字符串“1234567890abcdefghij”）。 ISMS将连接后的字符串使用hashAlgorithm定义的哈希算法进行哈希计算，再将其结果进行base64编码，得到参数pwdHash值即为ISMS的认证信息。 b）SMMS采用同样的方法产生pwdHash值，将其与收到的进行比较，如果一致，则SMMS对ISMS的认证通过。 执行结果文件的处理过程如下a）ISMS对执行结果XML文件使用参数pressionFormat指定的压缩格式进行压缩；对压缩的信息串接消息认证密钥后使用参数hashAlgorithm指定的哈希算法计算哈希值，并对哈希值进行base64编码运算形成resultHash；对压缩后的信息使用参数encryptAlgorithm指定的加密算法加密，并对加密结果进行base64编码运算形成result。 b）SMMS收到执行结果文件后，首先对result进行base64反解码，然后采用参数encryptAlgorithm指定的加密算法对解码后的数据进行解密处理，得到data；针对data串接消息认证密钥后，使用hashAlgorithm指定的哈希算法计算哈希值，将得到的哈希值base64编码与收到的resultHash值进行比较，如果一致，则对指令文件的完整性校验通过。 进一步按照pressionFormat指定的压缩格式对data进行解压后即得到执行结果。 8.2.5返回值该方法返回一个XML数据流，数据格式详见11.16，其描述了本次操作的结果代码、结果描述等信息。 8.3file_load方法8.3.1参数描述file_load方法采用xml格式上报数据，对原始的上报数据进行加密封装，封装的格式及参数定义见表5，各节点的格式应符合11.1的要求，具体格式另见xsd示例文件。 表5数据上报的加密封装格式（节点fileLoad）编号节点节点名称必填数据类型最大长度描述1cdnId CDN许可证号必填字符串128CDN许可证号2dataUpload数据上报内容必填字符串/使用参数pressionFormat指定的压缩格式对需要上报的数据进行压缩；对压缩后的信息使用参数encryptAlgorithm指定的加密算法加密，并对加密结果进行base64编码运算后得到的结果。 上报的数据包括基础数据、访问日志查询结果、监测日志、过滤日志、违法违规网站监测记录以及业务状态监测记录等（数据内容见第11章）。 压缩前的上报数据应符合11章相应的数据上报内容要求，且小于12M143encryptAlgorithm对称加密算法必填整型/对称加密算法如下。 0不进行加密，明文传输；1AES加密算法。 加密密钥由SMMS与ISMS事先配置确定，长度至少为20字节，最多32字节。 ISMS应根据SMMS的要求完成加密算法的具体实现。 ISMS至少应支持采用CBC模式、PKCS7Padding补码方式实现AES加密算法，并可根据SMMS的要求设置AES密钥长度、加密偏移量等参数。 4pressionFormat压缩格式必填整型/压缩格式如下。 0无压缩；1Zip压缩格式。 ISMS应根据SMMS的要求完成压缩算法的具体实现5hashAlgorithm哈希算法必填整型/哈希算法如下。 0无hash；1MD5；2SHA-1。 ISMS应根据SMMS的要求完成哈希算法的具体实现6dataHash数据的哈希结果选填字符串64将上报的数据按照pressionFormat要求进行压缩后串接消息认证密钥，再根据hashAlgorithm参数进行哈希运算，并进行base64编码后的数据结果。 消息认证密钥由SMMS和ISMS通过配置确定，长度至少为20位，最多32位7mandVersion接口方法版本必填字符串4符合本文件所规定要求的ISMI接口方法为“v1.0”8.3.2方法描述file_load方法可以同时完成对数据文件的消息认证和对数据文件的压缩加密处理功能。 ISMS指令文件认证和处理过程中哈希计算结果应采用十六进制字符串（英文字母小写）形式。 消息认证过程如下a）ISMS根据pressionFormat对上报的数据内容进行压缩，将压缩后的数据串接消息认证密钥后，使用hashAlgorithm定义的哈希算法进行哈希计算，并对结果进行base64编码，得到参数dataHash值即为本次上报数据的消息认证码。 b）SMMS端完成对dataUpload的base64解码和解密后串接消息认证密钥，采用hashAlgorithm指定的算法计算出哈希值，将其与dataHash进行base64解码后的数据进行比较，如果一致，则对ISMS本次上报的数据认证通过，本次数据完整有效。 对数据文件处理过程如下。 a）ISMS对数据XML文件使用参数pressionFormat指定的压缩格式进行压缩；对压缩后的信息使用参数encryptAlgorithm指定的加密算法加密，并对加密结果进行base64编码运算形成dataUpload。 15b）SMMS端收到数据文件后，首先进行base64解码，然后采用参数encryptAlgorithm指定的加密算法进行解密处理，对解密后的信息按照pressionFormat指定的压缩格式进行解压后即得到上传数据。 9编码说明9.1互联网IP地址编码对于IPv4的地址，使用点分十进制表示法，字符串最大长度为15字节，例如地址00。 对于IPv6的地址，使用冒号分开的十六进制表示法，字符串最大长度为39字节，如2CDA:12:3FC0:567A:8ADE:130:10:94BF。 9.2ICP备案号非经营性ICP备案号编码格式为ICP备号。 经营性ICP备案号编码格式为ICP证号。 10数据代码表10.1单位属性代码表单位属性代码见表6。 表6单位属性代码代码单位属性名称1军队2政府机关3事业单位4企业5个人6社会团体999其他10.2证件类型代码表证件类型代码见表7。 表7证件类型代码代码证件类型1工商营业执照号码2身份证3组织机构代码证书4事业法人证书5军队代号6社团法人证书7护照8军官证9台胞证999其他10.3机房性质代码表16机房性质代码见表8。 表8机房性质代码代码号机房性质1租用2自建999其他10.4服务内容代码表服务内容代码见表9。 表9服务内容代码类型序号服务内容名称父类500基础应用/501网络媒体/502电子政务、电子商务/503数字娱乐/504其他/1即时通信5002搜索引擎5003综合门户5004网上邮局5005网络新闻5016博客/个人空间5017网络广告/信息5018单位门户网站5019网络购物50210网上支付50211网上银行50212网上炒股/股票基金50213网络游戏50314网络音乐50315网络影视50316网络图片50317网络软件/下载50318网上求职50419网上交友/婚介50420网上房产50421网络教育50422网站建设50423WAP50424其他50410.5监测规则及过滤规则代码表监测规则及过滤规则代码见表10。 表10监测规则及过滤规则代码代码规则名称171域名2URL3关键字4源IP地址5目的IP地址6传输层协议10.6违法违规情况表违法违规情况见表11。 表11违法违规情况代码违法违规情况备注1未备案相应网站属未备案2违法网站相应网站属于违法网站999其他其他违法违规类型10.7指令优先级代码表指令优先级代码见表12。 表12指令优先级代码代码指令类型十进制二进制1000000000001SMMS下发指令违法网站列表目的IP列表16000000010000IP域名列表64000001000000域名列表1025010000000001违法信息过滤指令目的IP规则1028010000000100协议类型规则TCP103xx000001000UDP1040010000010000源IP规则1088010001000000域名规则115xx010000000URL规则1280010100000000关键字规则1537011000000001违法信息监测目的IP规则181540011000000100指令协议类型规则TCP1544011000001000UDP155xx000010000源IP规则1600011001000000域名规则1664011010000000URL规则179xx100000000关键字规则2048100000000000ISMS下发指令注1主要用于标记ISMS执行指令的优先级，当不同指令内容存在冲突（如，违法网站列表记录与免过滤网站列表记录、免过滤网站列表记录与违法信息过滤规则等）优先执行代码数值较小的指令，并按优先级归集有关记录；注2范围11024的代码，除列出的以外均为保留；注3对于携带包含2个（或2个以上）特定IP、协议、域名、URL规则等组合条件的违法信息监测/过滤指令，其优先级按相应单一规则指令优先级的二进制低9位逐位进行或计算，指令优先级范围为1025至2047；注4ISMS侧下发的本地指令优先级范围为20484095，由ISMS自行定义和扩展。 11数据交换内容描述11.1数据格式及匹配要求所有指令文件、上报记录、消息的数据内容均采用UTF-8编码格式。 没有数据类型说明的数据节点/子节点均为字符串类型，其长度属性表示最大长度，实际数据不足最大长度的不应进行补位处理。 各节点/子节点长度单位为字节。 所有timeStamp节点描述的时间均采用yyyy-MM-dd HH:mm:ss格式。 符合本文件所规定要求的ISMI接口指令文件、上报记录、消息等均标记为第一版，即“version”节点（名称为“版本标记”，类型为字符串，长度4字节）内容均为“v1.0”。 SMMS和ISMS对数据内容采用精确匹配的方式进行校验。 各类消息格式见附录A。 11.2基础数据查询指令内容指令的内容如表13所示。 表13基础数据查询指令数据格式（节点cdnInfoManage）编号节点节点名称子节点子节点名称必填数据类型长度描述1mandId指令编号/必填长整型/基础数据管理指令惟一编号，该编号由SMMS产生2type指令类型/必填整型/0查询基础数据记录；3mandInfo a指令信息customerId客户编号编号选填字符串16ISMS客户对应编号idNumber许可证号/备案号选填字符串256客户业务许可证号或备案号customerName客户单位名称选填字符串256ISMS客户对应公司名称或姓名19queryAount查询主体账号选填字符串128查询单位操作人登陆账号名称queryCompany查询单位选填字符串128查询单位名称queryCause查询原因选填字符串128查询原因4timeStamp生成时间必填字符串19生成该指令的时间a该节点中的子节点必填一项，可以重复多次。 11.3基础数据上报内容CDN基础数据上报内容包括CDN业务经营单位信息、CDN节点信息、CDN业务客户信息和CDN子网信息，数据上报不仅发生在SMMS下发基础数据查询指令时，还应在基础数据更新后经ISMS核实无误后立刻上传至SMMS。 基础数据上报类型分为两类ISMS主动上报，SMMS查询上报。 ISMS主动上报类型分为新增、变更、删除三种方式。 ISMS上报基础数据应具备自动上报的能力。 CDN基础数据上报格式如表14所示。 表14基础数据上报数据格式（节点basicInfo）编号节点节点名称必填数据类型长度描述1newInfo新增的信息选填/需要新增的信息描述，格式见表152updateInfo更新的信息选填/需要更新的信息描述，格式见表163deleteInfo删除的信息选填/需要删除的信息描述，格式见表174queryResult基础数据查询的上报信息选填/见表185timeStamp上报时间必填字符串19上报数据的时间注上报信息时仅限选择14中的一个节点上报。 表15新增的信息（节点newInfo）编号节点节点名称必填数据类型长度描述1cdnId CDN许可证号必填字符串128CDN许可证号2cdnName CDN单位名称选填字符串128单位名称，与许可证上名称一致3cdnAdd CDN单位地址选填字符串128单位地址4corp企业法人选填字符串128企业法人5linkOfficerInfo网络信息安全责任人信息选填/单位的网络安全责任人信息与联系方式，具体信息见表266customerInfo客户数据选填/新增客户数据，每个用户对应一个记录，记录的具体内容见表23（可重复多次）新增用户数据时必填7cdnNetInfo CDN子网信息选填/新增CDN子网顶级域名及每个顶级域名下的CDN节点，记录的具体内容见表20（可重复多次）新增CDN子网数据时必填表16更新的信息（节点updateInfo）编号节点节点名称必填数据类型长度描述1cdnId CDN许可证号必填字符串128CDN许可证号2cdnName CDN单位名称选填字符串128单位名称，与许可证上名称一致a3cdnAdd CDN单位地址选填字符串128单位地址a4corp企业法人选填字符串128企业法人a5linkOfficerInfo网络信息安全责任人信息选填/单位的网络安全责任人信息与联系方式，具体信息见表26a6customerInfo客户数据选填/更新客户数据，每个用户对应一个记20录，记录的具体内容见表23a（可重复多次）7cdnNetInfo CDN子网信息选填/更新CDN子网信息及每个CDN子网下的CDN节点，记录的具体内容见表20a（可重复多次）8node CDN节点信息选填/更新CDN节点信息及每个节点下的机房信息，记录具体的内容见表21a（可重复多次）9houseInfo CDN机房信息选填/更新机房信息及每个机房下的IP、链路、机架等信息，记录具体的内容见表22a（可重复多次）a该节点内容如果需要更新才填写相应内容。 表17删除的信息（节点deleteInfo）编号节点节点名称必填数据类型长度描述1cdnId CDN许可证号必填字符串128CDN许可证号2customerDeleteList客户信息删除列表选填/客户信息删除列表，见表30（可重复多次）3cdnDeleteList CDN子网信息删除列表选填/CDN子网信息删除列表，见表27（可重复多次）4timeStamp生成时间必填字符串19生成该指令的时间注1如果不填写删除数据，则删除CDN经营者的全部基础数据信息；注2节点 2、3同时仅限填写1项。 表18基础数据查询的上报信息（节点queryResult）编号节点节点名称必填数据类型长度描述1mandId指令编号必填长整型/对应的查询指令编号2cdnI