一種移動數據業務狀態的安全集中採集方法
2023-07-02 00:38:06 3
專利名稱:一種移動數據業務狀態的安全集中採集方法
技術領域:
本發明涉及通信領域,尤其是一種移動數據業務狀態的安全集中採集方法。
背景技術:
隨著移動通信技術的飛速發展,新的數據業務不斷推出,數據網的業務系 統不斷增多,目前已有十五個專業;在同種業務系統中,又有不同的設備供應 商所提供的數據業務設備,它們使用的協議和實現方式各不相同;為了網絡安 全,各業務系統的維護主機分布在獨立的子網上,彼此不能互通;同時數據業 務技術更新快,在維護和管理經驗上與成熟的電話網絡相比有較大的差距,需 要加強積累。業務設備入網時, 一般由供應商提供網管系統,目前還沒有統一 的網管平臺,對業務系統的監控和管理分散在各業務系統的監控終端上進行, 在系統監控方面缺乏自動化工具和手段,需要人工監視設備和業務的狀態、人 工逐條執行日常維護指令並查看返回結果。由於移動通信服務業務的特殊性, 數據業務需要安排7x24小時值班監控,工作壓力比較大,經常出現顧此失彼的 現象,各業務系統發生的障礙難以及時發現,故障處理時延大。提出一種能夠 集中採集移動數據網中所有業務系統內業務狀態數據的方案,是現有技術亟待 解決的問題。而由於數據業務系統沒有統一的規範和協議,導致目前在本領域 現有各種各樣的採集方法,從全業務流程的信令鏡像採集系統,到針對某一臺 設備或業務的專用採集方案,要麼耗資巨大,要麼適用性不強,不便於實現業 務狀態數據集中。尤其是需要採集的數據分布於多個業務網絡上,這些業務網
絡的數據按照安全要求是嚴格禁止互相訪問的。怎樣安全地實現業務狀態集中 採集,是目前本領域公認的技術難題。
發明內容
本發明的目的在於提供能夠安全實現集中採集移動數據網中所有業務系統 內業務狀態數據的方案,以便提高解決故障的效率和質量。
為實現本發明所述目的,本發明提供的移動數據業務狀態的安全集中採集 方法是設置狀態信息資料庫,在各個業務系統的監控終端設置狀態採集模塊, 狀態信息資料庫和各監控終端之間建立網絡連接;狀態採集模塊向對應業務系 統發出代替維護人員操作的指令,並採集響應指令輸出,通過分析響應指令輸 出產生參數化的業務狀態數據;業務狀態數據通過網絡集中送往狀態信息數據 庫供處理;所述狀態信息資料庫和各監控終端之間建立網絡連接採用以下安全 實現方式
在公網網絡中設置資料庫伺服器實現狀態信息資料庫,各個業務系統的業務 網絡到位於公網網絡中的資料庫伺服器分別有且僅有一個專用接口,這種專用 接口一端為資料庫伺服器,另一端為狀態採集模塊,該專用接口有以下三個特 徵,
(1) 接口自封閉,該接口兩端分別在本地記錄了對端的IP位址、MAC地址、端 口號、用於生成密鑰的標識符,兩端交互時嚴格對應,凡不滿足的數據包全部 會被過濾掉;
(2) 限定只有運行在業務系統中的狀態採集模塊能夠向位於公網的資料庫服務 器從指定埠發起主動訪問,並對訪問內容進行限制;(3)此接口上流動的信息是雙重加密的,其一是在狀態採集模塊和資料庫服務 器通信時採用安全連接,其二是通信時傳送的數據是加密的。
而且,專用接口對訪問內容進行限制,將訪問內容限制為包括以下內容,
1) 狀態採集模塊與資料庫伺服器交互的是密文數據包,密文數據包的內容包括 格式固定的業務狀態數據,格式不符的被直接丟棄;並且傳送的方向限定為只 有狀態採集模塊能夠向資料庫伺服器主動發送數據包,不允許資料庫伺服器向 狀態採集模塊主動發送應答信息除外的數據包,任何向狀態採集模塊發起的主 動連接或主動數據包傳送全部被拒絕或丟棄;
2) 在設置狀態採集模塊的時候進行註冊交互;
3) 狀態採集模塊定時發送心跳信息給資料庫伺服器,用於確認狀態採集模塊的 活動狀態;
而且,所述註冊交互的信息為128位標識符,在安裝每個狀態採集模塊時, 資料庫伺服器隨機產生標識符,狀態採集模塊取得該標識符並保存,用於此後 運行時的加密。
而且,所述密文數據包由狀態採集模塊利用WEBSERVICE訪問方式,通過指 定埠向資料庫伺服器提供。
而且,所述指定埠採用80埠。
而且,代替維護人員操作的指令以腳本文件形式存儲在狀態採集模塊中供 使用,腳本文件中含有待採集業務設備的帳號、口令和指令,腳本文件中的所 有數據都使用加密算法進行逐條加密。
而且,資料庫伺服器僅開放指定埠,狀態信息資料庫外部設置防火牆進行保護,防火牆中設置流量限制、用戶IP位址限制及協議限制。
而且,狀態信息資料庫根據業務狀態數據判斷是否產生告警,提供告警登
陸查看服務,在告警的WEB登陸頁面採用登陸失敗失效技術和防止注入式攻擊技術。
而且,告警的查看頁面採用防嵌套技術、用戶權限驗證及SESSION的超時 網頁自動失效技術,拒絕非法用戶訪問。
本發明提供了一種分布式方案,由分布於業務系統監控終端上的狀態採集 模塊採集各業務系統的業務狀態數據後,通過專用接口集中到處於公網網絡中 的狀態信息資料庫。狀態採集模塊可以主動向業務系統內設備發送代替維護人 員操作的指令,收集業務系統中各業務設備響應指令的輸出,反應設備業務狀 態。本發明還擴展了對業務狀態數據的處理,實現根據業務狀態數據自動判斷 故障進行告警,進一步提高了解決故障的效率和質量。實施本發明僅僅只需增 加資料庫軟硬體系統,通過專用接口設置和加密措施,嚴格保障了採集過程的 安全性。本發明實現無需對各業務系統進行改造,在低成本基礎上實現了全網 業務狀態數據安全集中,特別適於大型移動業務服務商採用。
圖l是本發明實施例的信息流示意圖2是本發明實施例的數據網綜合告警系統示意圖3是本發明實施例狀態採集模塊的主控線程執行流程圖4是本發明實施例狀態採集模塊的腳本執行線程執行流程圖5是本發明實施例狀態採集模塊的設備狀態提取線程執行流程圖。
具體實施例方式
本發明提供的移動數據業務狀態集中採集的基本技術手段是設置狀態信 息資料庫,在各個業務系統的監控終端設置狀態採集模塊,狀態信息資料庫和 各監控終端之間建立網絡連接;狀態採集模塊向對應業務系統發出代替維護人 員操作的指令,並採集響應指令輸出,通過分析響應指令輸出產生參數化的業 務狀態數據;業務狀態數據通過網絡集中送往狀態信息資料庫供處理。安裝在 各個業務系統的監控終端上的狀態採集模塊可以代替維護人員執行日常維護作 業指令。該採集模塊自動對業務設備發出指令,自動保存和處理業務設備響應 指令而返回的數據,通過這些數據整理出業務狀態數據。同時,由於可以自動 執行維護作業指令,維護作業計劃執行的間隔也可大大縮短,自動執行的時間 間隔可以大幅縮小,監控力度也比人工執行要大得多,有利於保持移動數據網 的維護質量。通過以上的處理過程量化得到的業務狀態數據,成為可供計算機 決策的指標,即衡量業務狀態的指標。狀態採集模塊和狀態信息資料庫之間可
通過心跳服務交互,例如每5分鐘狀態採集模塊報告自己處於正常工作狀態。
為了提高故障處理效率,業務狀態數據通過網絡集中到狀態信息資料庫後,
狀態信息資料庫可根據業務狀態數據判斷是否產生告警,信息流可參見圖1:狀 態採集模塊向業務系統內的業務設備發送腳本命令,業務設備響應命令輸出回 送狀態採集模塊,狀態採集模塊將業務狀態數據送往狀態信息資料庫,根據業 務狀態數據產生告警。實施時可通過兩種方式處理 一是設備狀態的每一個指 標都有相應的正常範圍值,狀態信息資料庫將檢查所有的指標,對不在正常取 值範圍的指標都將產生告警;二是業務狀態數據在某個給定的情況下(如時 間,數量等)有一定的統計分布(成功率或失敗率),狀態信息資料庫對其進行
統計,對統計結果有較大的偏離將發出告警。設備狀態指標的定義及其閾值都 可根據日常的維護經驗確定,狀態信息資料庫中還可提供接口供相關專業人員 進行調整。
本發明具體實施時可以擴展實現狀態信息資料庫,以便增加處理效率,提
供更多功能狀態信息資料庫由資料庫伺服器、應用伺服器和web伺服器通過網
絡連接構成,資料庫伺服器集中採集處理業務狀態數據,應用伺服器實現業務
邏輯和擴展功能,web伺服器通過internet提供瀏覽各種告警的服務。參見附圖 2,本發明實施例的系統結構是裝有狀態採集模塊的監控終端與業務系統其它 設備之間採用接口連接,實現狀態採集模塊和業務設備之間的信息傳遞,可採 用採用S0CKET方式連接於TCP的23號埠 。監控終端和資料庫伺服器之間通過專 用接口連接,實現狀態採集模塊和資料庫伺服器之間的信息傳遞,可採用ADO方 式連接資料庫。實施時可在資料庫伺服器中存儲告警門限表,表中記錄業務狀 態數據的數據門限和超過門限對應的告警,當執行業務狀態數據入庫操作時, 觸發器自動執行檢查數據量是否在門限範圍之內,如不在門限範圍內則產生告
考慮到實際應用時,現有各業務系統的業務設備往往由不同的設備供應商 所提供,使用的信息交互協議可能不同,實施時可能會造成複雜的通信設置。 而本發明注意到,現有各專業系統都支持telnet方式,因此實施時可設定狀態 採集模塊和對應業務系統的業務設備之間通過telnet方式交互。具體實施時利 用telnet實現交互,可在狀態採集模塊執行腳本的過程中,狀態採集模塊自動 分辨telnet是處於輸入狀態還是輸出狀態,分辨的方法是自動匹配telnet提 示符。當匹配到提示符後自動輸入腳本命令;對於沒有提示符的命令,狀態採
集模塊根據設置的超時時間向業務設備發出C"回到輸入狀態。狀態採集模 塊也可以直接根據設置的超時時間使業務設備回到輸入狀態。通過在腳本中加
入特別標識提示狀態採集模塊對不同的情況進行處理,可以利用telnet協議從 業務設備採集大量的信息,通過不同的腳本可以靈活的制定採集策略收集關心
的信息。
資料庫伺服器對採集到的信息進行分析可採用和軟體IDS相同的方法,信 息處理分為關鍵欄位抽取和關鍵欄位統計兩種。將需要抽取和統計的欄位按命 令ID分組表示該欄位在該命令的輸出中去抽取和統計,建立以命令ID的數組, 數組的元素除包含ID還包含一個鍊表的頭指針,而鍊表中存儲須抽取和統計的 欄位。當對採集到的信息處理時,狀態採集模塊根據命令ID遍歷鍊表,匹配關 鍵欄位得到設備狀態。在執行腳本和信息分析過程中需要採用的字符匹配算法 可參考B腿算法。
狀態採集模塊可採用軟體編程實現,狀態採集模塊發出的指令以加密方式與 狀態採集模塊保存在一起。本發明提供狀態採集模塊的具體軟體設計方法供參 考狀態採集模塊由主控模塊、腳本執行模塊、設備狀態提取模塊構成,三個 模塊分別對應三個線程,可以同時在後臺運行,對維護終端的日常工作沒有影 響。兩個工作線程由主控線程進行控制。各線程採用SHE(結構化異常處理)技術 保證線程的穩定運行。當有不可克服的異常時,各線程可將向主控線程報告, 主控線程一方面作好系統日誌記錄, 一方面重啟線程。各線程流程可參見圖3 5,開始基本的初始化之後主控線程監控各線程的上報消息,是服務退出;腳 本執行線程逐條執行腳本,取輸出結果,放入緩衝區,循環執行直到結束;設 備狀態提取線程從緩衝區中取一條輸出結果,分析輸出設備狀態,量化設備狀
態並執行存儲過程上傳,直到完成結束。
本發明能否實現安全採集實施,關鍵在於對業務網絡與公網之間信息流實 現安全控制。本發明狀態信息資料庫必須安裝在公網中,其目的是確保所有的 狀態採集模塊都能訪問到作為核心的資料庫伺服器。具體實施時,採用成熟的 資料庫技術即可,本發明不予贅述。在公網網絡中設置資料庫伺服器實現狀態 信息資料庫,各個業務系統的業務網絡到位於公網網絡中的資料庫伺服器分別 有且僅有一個專用接口,這種專用接口一端為資料庫伺服器,另一段為狀態採 集模塊,該專用接口設定以下三個特徵,
(1) 接口自封閉,該接口兩端分別在本地記錄了對端的IP位址、MAC地址、埠號、128位GUID (用於生成密鑰),運行的時候必須嚴格對應,凡不滿足的數 據包全部會被過濾掉;具體實施時,以上記錄的各種信息可在安裝狀態信息資料庫和狀態採集模 塊的時候進行預先配置。
(2) 限定只有運行在業務系統中的狀態採集模塊能夠向位於公網的資料庫服務 器從指定埠發起主動訪問,並對訪問內容進行限制;
(3) 此接口上流動的信息是雙重加密的,其一是在狀態採集模塊和資料庫服務 器通信時採用安全連接,其二是通信時傳送的數據是經過加密的。具體實施時, 所述安全連接可採用SSL連接,所述通信時傳送的數據加密可採用AES加密方 式。
本發明提供實施例中狀態採集模塊向資料庫伺服器交互時,3種允許訪問的 情形以供參考(1)設備狀態數據上傳。專用接口可採用xml封裝狀態信息。 該訪問過程是狀態採集模塊所屬的業務網絡對資料庫伺服器的單向訪問,它以
XML數據格式封裝SQL SERVER存儲過程的調用及執行後返回的數據集合,使狀 態採集模塊可通過Web Service協議調用SQL SERVER所提供的服務,只對在數 據庫對應表中擁有合法權限的業務系統的數據進行處理。狀態採集模塊採集到 的響應指令輸出,作為包含了設備狀態數據的密文數據包,由狀態採集模塊利 用WEBSERVICE訪問方式,通過指定埠 (例如80埠)向資料庫伺服器提供, 可以保證上傳過程中的信息安全,即使被盜取數據包也無法被解讀。具體實施 時,還可限定密文數據包的內容為格式固定的業務狀態數據,格式不符的被直 接丟棄,這些業務狀態數據只能被資料庫伺服器的指定處理程序作為參數處理; 並且傳送的方向限定為只有狀態採集模塊能夠向資料庫伺服器主動發送數據 包,不允許資料庫伺服器向狀態採集模塊主動發送應答信息除外的數據包,任 何向狀態採集模塊發起的主動連接或主動數據包傳送全部被拒絕或丟棄。(2) 狀態採集模塊向資料庫伺服器登記註冊,從資料庫伺服器取得128位的標識符 GUID。狀態採集模塊啟動時,自動連接到資料庫伺服器執行。資料庫伺服器檢 査登記的IP位址和口令,如果都符合將給狀態採集模塊分配一個128位的標識 符(GUID)。在其後的交互中都需要此標識符。在交互過程中對端的IP位址、 MAC地址、埠號、GUID不能匹配的數據包均會被定義為非法連接,所有非法 的連接嘗試都會被拒絕。(3)狀態採集模塊和資料庫伺服器心跳交互。每5分 鍾狀態採集模塊通知資料庫伺服器自己工作狀態。這種限制訪問方案從根本上 禁止了從資料庫伺服器向狀態採集模塊的主動訪問,資料庫伺服器不對業務系 統主動發送任何指令或數據,從而實現對業務網絡的保護。
為了進一步提高集中採集方案安全性,除設置專用接口外,本發明實施例 對整個方案的其它部分安全也作了強化處理
狀態採集模塊本地安全代替維護人員操作的指令以腳本文件形式存儲在 狀態採集模塊中供使用,由於狀態採集模塊的腳本中含有設備的登錄用戶名和 口令,這些腳本位於業務網絡中的本地監控終端上,腳本文件易被人獲取。所 以將腳本文件採用加密算法加密後存放在監控終端上,解密的密鑰採用對應的 加密算法加密存儲於監控終端的系統註冊表或其它地方,只有特定本機帳號的 用戶才能解密密鑰。狀態採集模塊的數據對資料庫進行數據發送,進行SSL安
全連接和AES密碼加密雙重驗證機制。具體實施時,狀態採集模塊內置解密算
法和解密密鑰,在採集過程中提取密文進行解密,得到採集指令及分析指令, 進行指令發送及結果提取,提取到的結果數據首先進行分析,得到分析結果,
調用WEBSERVICE過程,同樣經過雙重驗證的加密鏈路送往資料庫伺服器,然後 結果數據同樣利用加密算法加密後保存在狀態採集模塊的本地日誌庫中。
資料庫伺服器本地安全資料庫伺服器僅開放指定埠,狀態信息資料庫
外部設置防火牆進行保護,防火牆中設置流量限制、用戶IP位址限制及協議限制。
告警服務安全web伺服器通過internet,採用WEBSERVICE訪問方式向具 有權限的用戶提供瀏覽各種告警的服務。在告警的WEB登陸頁面採用登陸失敗 失效技術和防止注入式攻擊技術,防止登陸侵入。告警的査看頁面採用防嵌套 技術、用戶權限驗證及SESSION的超時網頁自動失效技術,拒絕非法用戶訪問。 這些技術屬於web服務領域的成熟技術,具體實現本發明不予贅述。
權利要求
1.一種移動數據業務狀態的安全集中採集方法,其特徵在於設置狀態信息資料庫,在各個業務系統的監控終端設置狀態採集模塊,狀態信息資料庫和各監控終端之間建立網絡連接;狀態採集模塊向對應業務系統發出代替維護人員操作的指令,並採集響應指令輸出,通過分析響應指令輸出產生參數化的業務狀態數據;業務狀態數據通過網絡集中送往狀態信息資料庫供處理;所述狀態信息資料庫和各監控終端之間建立網絡連接採用以下安全實現方式,在公網網絡中設置資料庫伺服器實現狀態信息資料庫,各個業務系統的業務網絡到位於公網網絡中的資料庫伺服器分別有且僅有一個專用接口,這種專用接口一端為資料庫伺服器,另一段為狀態採集模塊,該專用接口有以下三個特徵,(1)接口自封閉,該接口兩端分別在本地記錄了對端的IP位址、MAC地址、埠號、用於生成密鑰的標識符,兩端交互時嚴格對應,凡不滿足的數據包全部會被過濾掉;(2)限定只有運行在業務系統中的狀態採集模塊能夠向位於公網的資料庫伺服器從指定埠發起主動訪問,並對訪問內容進行限制;(3)此接口上流動的信息是雙重加密的,其一是在狀態採集模塊和資料庫伺服器通信時採用安全連接,其二是通信時傳送的數據是加密的。
2. 如權利要求l所述的安全集中採集方法,其特徵是專用接口對訪問內容進 行限制,限制為以下內容,1)狀態採集模塊與資料庫伺服器交互的是密文數據包,密文數據包的內容包 括格式固定的業務狀態數據,格式不符的被直接丟棄;並且傳送的方向限定為只有狀態採集模塊能夠向資料庫伺服器主動發送數據包,不允許資料庫伺服器 向狀態採集模塊主動發送應答信息除外的數據包,任何向狀態採集模塊發起的主動連接或主動數據包傳送全部被拒絕或丟棄;2) 在設置狀態採集模塊的時候進行註冊交互;3) 狀態採集模塊定時發送心跳信息給資料庫伺服器,用於確認狀態採集模塊的活動狀態。
3. 如權利要求2所述的安全集中採集方法,其特徵是所述註冊交互的信息為128位標識符,在安裝每個狀態採集模塊時,資料庫伺服器隨機產生標識符,狀態採集模塊取得該標識符並保存,用於此後運行時的加密。
4. 如權利要求2所述的安全集中採集方法,其特徵是所述密文數據包由狀態採集模塊利用WEBSERVICE訪問方式,通過指定埠向資料庫伺服器提供。
5. 如權利要求4所述的安全集中採集方法,其特徵是所述指定埠採用80埠。
6. 如權利要求1或2或3或4或5所述的安全集中採集方法,其特徵是代 替維護人員操作的指令以腳本文件形式存儲在狀態採集模塊中供使用,腳本文 件中含有待採集業務設備的帳號和口令,腳本文件中的指令使用加密算法進行 逐條加密。
7. 如權利要求1或2或3或4或5所述的安全集中採集方法,其特徵是數 據庫伺服器僅開放指定埠,狀態信息資料庫外部設置防火牆進行保護,防火 牆中設置流量限制、用戶IP位址限制及協議限制。
8. 如權利要求1或2或3或4或5所述的安全集中採集方法,其特徵是狀態信息資料庫根據業務狀態數據判斷是否產生告警,通過web伺服器提供告警 登陸查看服務,在告警的WEB登陸頁面採用登陸失敗失效技術和防止注入式攻 擊技術。
9.如權利要求8所述的安全集中採集方法,其特徵是告警的查看頁面採用防嵌套技術、用戶權限驗證及SESSION的超時網頁自動失效技術,拒絕非法用 戶訪問。
全文摘要
本發明涉及通信領域,尤其是一種移動數據業務狀態的安全集中採集方法設置狀態信息資料庫,在各個業務系統的監控終端設置狀態採集模塊,狀態信息資料庫和各監控終端之間建立網絡連接;狀態採集模塊向對應業務系統發出代替維護人員操作的指令,並採集響應指令輸出,通過分析響應指令輸出產生參數化的業務狀態信息;業務狀態信息通過網絡集中送往狀態信息資料庫供處理;所述網絡連接採用安全實現方式,在公網網絡中設置資料庫伺服器實現狀態信息資料庫,各個業務系統的業務網絡到位於公網網絡中的資料庫伺服器分別有且僅有一個專用接口,本發明提供了低成本的移動數據業務狀態安全集中採集方案,提高了數據網故障處理效率。
文檔編號H04L12/24GK101197715SQ20071016911
公開日2008年6月11日 申請日期2007年12月29日 優先權日2007年12月29日
發明者勤 楊, 冼 王 申請人:中國移動通信集團湖北有限公司