專利名稱:一種移動(dòng)數(shù)據(jù)業(yè)務(wù)狀態(tài)的安全集中采集方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,尤其是一種移動(dòng)數(shù)據(jù)業(yè)務(wù)狀態(tài)的安全集中采集方法��。
背景技術(shù):
隨著移動(dòng)通信技術(shù)的飛速發(fā)展,新的數(shù)據(jù)業(yè)務(wù)不斷推出,數(shù)據(jù)網(wǎng)的業(yè)務(wù)系 統(tǒng)不斷增多�,目前已有十五個(gè)專業(yè);在同種業(yè)務(wù)系統(tǒng)中�����,又有不同的設(shè)備供應(yīng) 商所提供的數(shù)據(jù)業(yè)務(wù)設(shè)備,它們使用的協(xié)議和實(shí)現(xiàn)方式各不相同;為了網(wǎng)絡(luò)安 全�,各業(yè)務(wù)系統(tǒng)的維護(hù)主機(jī)分布在獨(dú)立的子網(wǎng)上��,彼此不能互通�;同時(shí)數(shù)據(jù)業(yè) 務(wù)技術(shù)更新快,在維護(hù)和管理經(jīng)驗(yàn)上與成熟的電話網(wǎng)絡(luò)相比有較大的差距�����,需 要加強(qiáng)積累�。業(yè)務(wù)設(shè)備入網(wǎng)時(shí)���, 一般由供應(yīng)商提供網(wǎng)管系統(tǒng)���,目前還沒有統(tǒng)一 的網(wǎng)管平臺(tái)��,對(duì)業(yè)務(wù)系統(tǒng)的監(jiān)控和管理分散在各業(yè)務(wù)系統(tǒng)的監(jiān)控終端上進(jìn)行����, 在系統(tǒng)監(jiān)控方面缺乏自動(dòng)化工具和手段��,需要人工監(jiān)視設(shè)備和業(yè)務(wù)的狀態(tài)��、人 工逐條執(zhí)行日常維護(hù)指令并查看返回結(jié)果�。由于移動(dòng)通信服務(wù)業(yè)務(wù)的特殊性����, 數(shù)據(jù)業(yè)務(wù)需要安排7x24小時(shí)值班監(jiān)控�,工作壓力比較大,經(jīng)常出現(xiàn)顧此失彼的 現(xiàn)象���,各業(yè)務(wù)系統(tǒng)發(fā)生的障礙難以及時(shí)發(fā)現(xiàn),故障處理時(shí)延大���。提出一種能夠 集中采集移動(dòng)數(shù)據(jù)網(wǎng)中所有業(yè)務(wù)系統(tǒng)內(nèi)業(yè)務(wù)狀態(tài)數(shù)據(jù)的方案�,是現(xiàn)有技術(shù)亟待 解決的問題�����。而由于數(shù)據(jù)業(yè)務(wù)系統(tǒng)沒有統(tǒng)一的規(guī)范和協(xié)議,導(dǎo)致目前在本領(lǐng)域 現(xiàn)有各種各樣的采集方法��,從全業(yè)務(wù)流程的信令鏡像采集系統(tǒng)��,到針對(duì)某一臺(tái) 設(shè)備或業(yè)務(wù)的專用采集方案�����,要么耗資巨大���,要么適用性不強(qiáng),不便于實(shí)現(xiàn)業(yè) 務(wù)狀態(tài)數(shù)據(jù)集中���。尤其是需要采集的數(shù)據(jù)分布于多個(gè)業(yè)務(wù)網(wǎng)絡(luò)上,這些業(yè)務(wù)網(wǎng)
絡(luò)的數(shù)據(jù)按照安全要求是嚴(yán)格禁止互相訪問的�����。怎樣安全地實(shí)現(xiàn)業(yè)務(wù)狀態(tài)集中 采集����,是目前本領(lǐng)域公認(rèn)的技術(shù)難題�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供能夠安全實(shí)現(xiàn)集中采集移動(dòng)數(shù)據(jù)網(wǎng)中所有業(yè)務(wù)系統(tǒng) 內(nèi)業(yè)務(wù)狀態(tài)數(shù)據(jù)的方案����,以便提高解決故障的效率和質(zhì)量�����。
為實(shí)現(xiàn)本發(fā)明所述目的,本發(fā)明提供的移動(dòng)數(shù)據(jù)業(yè)務(wù)狀態(tài)的安全集中采集 方法是設(shè)置狀態(tài)信息數(shù)據(jù)庫�,在各個(gè)業(yè)務(wù)系統(tǒng)的監(jiān)控終端設(shè)置狀態(tài)采集模塊, 狀態(tài)信息數(shù)據(jù)庫和各監(jiān)控終端之間建立網(wǎng)絡(luò)連接�;狀態(tài)采集模塊向?qū)?yīng)業(yè)務(wù)系 統(tǒng)發(fā)出代替維護(hù)人員操作的指令�����,并采集響應(yīng)指令輸出,通過分析響應(yīng)指令輸 出產(chǎn)生參數(shù)化的業(yè)務(wù)狀態(tài)數(shù)據(jù)��;業(yè)務(wù)狀態(tài)數(shù)據(jù)通過網(wǎng)絡(luò)集中送往狀態(tài)信息數(shù)據(jù) 庫供處理����;所述狀態(tài)信息數(shù)據(jù)庫和各監(jiān)控終端之間建立網(wǎng)絡(luò)連接采用以下安全 實(shí)現(xiàn)方式
在公網(wǎng)網(wǎng)絡(luò)中設(shè)置數(shù)據(jù)庫服務(wù)器實(shí)現(xiàn)狀態(tài)信息數(shù)據(jù)庫����,各個(gè)業(yè)務(wù)系統(tǒng)的業(yè)務(wù) 網(wǎng)絡(luò)到位于公網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器分別有且僅有一個(gè)專用接口,這種專用 接口一端為數(shù)據(jù)庫服務(wù)器���,另一端為狀態(tài)采集模塊���,該專用接口有以下三個(gè)特 征����,
(1) 接口自封閉�����,該接口兩端分別在本地記錄了對(duì)端的IP地址�����、MAC地址���、端 口號(hào)�、用于生成密鑰的標(biāo)識(shí)符�����,兩端交互時(shí)嚴(yán)格對(duì)應(yīng)�,凡不滿足的數(shù)據(jù)包全部 會(huì)被過濾掉;
(2) 限定只有運(yùn)行在業(yè)務(wù)系統(tǒng)中的狀態(tài)采集模塊能夠向位于公網(wǎng)的數(shù)據(jù)庫服務(wù) 器從指定端口發(fā)起主動(dòng)訪問,并對(duì)訪問內(nèi)容進(jìn)行限制���;(3)此接口上流動(dòng)的信息是雙重加密的,其一是在狀態(tài)采集模塊和數(shù)據(jù)庫服務(wù) 器通信時(shí)采用安全連接����,其二是通信時(shí)傳送的數(shù)據(jù)是加密的�����。
而且,專用接口對(duì)訪問內(nèi)容進(jìn)行限制���,將訪問內(nèi)容限制為包括以下內(nèi)容,
1) 狀態(tài)采集模塊與數(shù)據(jù)庫服務(wù)器交互的是密文數(shù)據(jù)包,密文數(shù)據(jù)包的內(nèi)容包括 格式固定的業(yè)務(wù)狀態(tài)數(shù)據(jù)�����,格式不符的被直接丟棄;并且傳送的方向限定為只 有狀態(tài)采集模塊能夠向數(shù)據(jù)庫服務(wù)器主動(dòng)發(fā)送數(shù)據(jù)包����,不允許數(shù)據(jù)庫服務(wù)器向 狀態(tài)采集模塊主動(dòng)發(fā)送應(yīng)答信息除外的數(shù)據(jù)包�,任何向狀態(tài)采集模塊發(fā)起的主 動(dòng)連接或主動(dòng)數(shù)據(jù)包傳送全部被拒絕或丟棄��;
2) 在設(shè)置狀態(tài)采集模塊的時(shí)候進(jìn)行注冊(cè)交互��;
3) 狀態(tài)采集模塊定時(shí)發(fā)送心跳信息給數(shù)據(jù)庫服務(wù)器,用于確認(rèn)狀態(tài)采集模塊的 活動(dòng)狀態(tài)�;
而且���,所述注冊(cè)交互的信息為128位標(biāo)識(shí)符���,在安裝每個(gè)狀態(tài)采集模塊時(shí), 數(shù)據(jù)庫服務(wù)器隨機(jī)產(chǎn)生標(biāo)識(shí)符��,狀態(tài)采集模塊取得該標(biāo)識(shí)符并保存,用于此后 運(yùn)行時(shí)的加密。
而且����,所述密文數(shù)據(jù)包由狀態(tài)采集模塊利用WEBSERVICE訪問方式,通過指 定端口向數(shù)據(jù)庫服務(wù)器提供��。
而且,所述指定端口采用80端口�����。
而且,代替維護(hù)人員操作的指令以腳本文件形式存儲(chǔ)在狀態(tài)采集模塊中供 使用,腳本文件中含有待采集業(yè)務(wù)設(shè)備的賬號(hào)�����、口令和指令�����,腳本文件中的所 有數(shù)據(jù)都使用加密算法進(jìn)行逐條加密。
而且,數(shù)據(jù)庫服務(wù)器僅開放指定端口,狀態(tài)信息數(shù)據(jù)庫外部設(shè)置防火墻進(jìn)行保護(hù)���,防火墻中設(shè)置流量限制�����、用戶IP地址限制及協(xié)議限制。
而且���,狀態(tài)信息數(shù)據(jù)庫根據(jù)業(yè)務(wù)狀態(tài)數(shù)據(jù)判斷是否產(chǎn)生告警,提供告警登
陸查看服務(wù)�����,在告警的WEB登陸頁面采用登陸失敗失效技術(shù)和防止注入式攻擊技術(shù)��。
而且�,告警的查看頁面采用防嵌套技術(shù)����、用戶權(quán)限驗(yàn)證及SESSION的超時(shí) 網(wǎng)頁自動(dòng)失效技術(shù)��,拒絕非法用戶訪問��。
本發(fā)明提供了一種分布式方案,由分布于業(yè)務(wù)系統(tǒng)監(jiān)控終端上的狀態(tài)采集 模塊采集各業(yè)務(wù)系統(tǒng)的業(yè)務(wù)狀態(tài)數(shù)據(jù)后�����,通過專用接口集中到處于公網(wǎng)網(wǎng)絡(luò)中 的狀態(tài)信息數(shù)據(jù)庫。狀態(tài)采集模塊可以主動(dòng)向業(yè)務(wù)系統(tǒng)內(nèi)設(shè)備發(fā)送代替維護(hù)人 員操作的指令��,收集業(yè)務(wù)系統(tǒng)中各業(yè)務(wù)設(shè)備響應(yīng)指令的輸出�,反應(yīng)設(shè)備業(yè)務(wù)狀 態(tài)�。本發(fā)明還擴(kuò)展了對(duì)業(yè)務(wù)狀態(tài)數(shù)據(jù)的處理,實(shí)現(xiàn)根據(jù)業(yè)務(wù)狀態(tài)數(shù)據(jù)自動(dòng)判斷 故障進(jìn)行告警,進(jìn)一步提高了解決故障的效率和質(zhì)量���。實(shí)施本發(fā)明僅僅只需增 加數(shù)據(jù)庫軟硬件系統(tǒng)����,通過專用接口設(shè)置和加密措施�,嚴(yán)格保障了采集過程的 安全性�。本發(fā)明實(shí)現(xiàn)無需對(duì)各業(yè)務(wù)系統(tǒng)進(jìn)行改造����,在低成本基礎(chǔ)上實(shí)現(xiàn)了全網(wǎng) 業(yè)務(wù)狀態(tài)數(shù)據(jù)安全集中�����,特別適于大型移動(dòng)業(yè)務(wù)服務(wù)商采用���。
圖l是本發(fā)明實(shí)施例的信息流示意圖2是本發(fā)明實(shí)施例的數(shù)據(jù)網(wǎng)綜合告警系統(tǒng)示意圖3是本發(fā)明實(shí)施例狀態(tài)采集模塊的主控線程執(zhí)行流程圖4是本發(fā)明實(shí)施例狀態(tài)采集模塊的腳本執(zhí)行線程執(zhí)行流程圖5是本發(fā)明實(shí)施例狀態(tài)采集模塊的設(shè)備狀態(tài)提取線程執(zhí)行流程圖�����。
具體實(shí)施例方式
本發(fā)明提供的移動(dòng)數(shù)據(jù)業(yè)務(wù)狀態(tài)集中采集的基本技術(shù)手段是設(shè)置狀態(tài)信 息數(shù)據(jù)庫���,在各個(gè)業(yè)務(wù)系統(tǒng)的監(jiān)控終端設(shè)置狀態(tài)采集模塊�����,狀態(tài)信息數(shù)據(jù)庫和 各監(jiān)控終端之間建立網(wǎng)絡(luò)連接��;狀態(tài)采集模塊向?qū)?yīng)業(yè)務(wù)系統(tǒng)發(fā)出代替維護(hù)人 員操作的指令,并采集響應(yīng)指令輸出�����,通過分析響應(yīng)指令輸出產(chǎn)生參數(shù)化的業(yè) 務(wù)狀態(tài)數(shù)據(jù);業(yè)務(wù)狀態(tài)數(shù)據(jù)通過網(wǎng)絡(luò)集中送往狀態(tài)信息數(shù)據(jù)庫供處理。安裝在 各個(gè)業(yè)務(wù)系統(tǒng)的監(jiān)控終端上的狀態(tài)采集模塊可以代替維護(hù)人員執(zhí)行日常維護(hù)作 業(yè)指令��。該采集模塊自動(dòng)對(duì)業(yè)務(wù)設(shè)備發(fā)出指令�����,自動(dòng)保存和處理業(yè)務(wù)設(shè)備響應(yīng) 指令而返回的數(shù)據(jù),通過這些數(shù)據(jù)整理出業(yè)務(wù)狀態(tài)數(shù)據(jù)�。同時(shí),由于可以自動(dòng) 執(zhí)行維護(hù)作業(yè)指令�,維護(hù)作業(yè)計(jì)劃執(zhí)行的間隔也可大大縮短,自動(dòng)執(zhí)行的時(shí)間 間隔可以大幅縮小�����,監(jiān)控力度也比人工執(zhí)行要大得多,有利于保持移動(dòng)數(shù)據(jù)網(wǎng) 的維護(hù)質(zhì)量�。通過以上的處理過程量化得到的業(yè)務(wù)狀態(tài)數(shù)據(jù),成為可供計(jì)算機(jī) 決策的指標(biāo)�����,即衡量業(yè)務(wù)狀態(tài)的指標(biāo)����。狀態(tài)采集模塊和狀態(tài)信息數(shù)據(jù)庫之間可
通過心跳服務(wù)交互,例如每5分鐘狀態(tài)采集模塊報(bào)告自己處于正常工作狀態(tài)�。
為了提高故障處理效率,業(yè)務(wù)狀態(tài)數(shù)據(jù)通過網(wǎng)絡(luò)集中到狀態(tài)信息數(shù)據(jù)庫后�����,
狀態(tài)信息數(shù)據(jù)庫可根據(jù)業(yè)務(wù)狀態(tài)數(shù)據(jù)判斷是否產(chǎn)生告警�����,信息流可參見圖1:狀 態(tài)采集模塊向業(yè)務(wù)系統(tǒng)內(nèi)的業(yè)務(wù)設(shè)備發(fā)送腳本命令�����,業(yè)務(wù)設(shè)備響應(yīng)命令輸出回 送狀態(tài)采集模塊�,狀態(tài)采集模塊將業(yè)務(wù)狀態(tài)數(shù)據(jù)送往狀態(tài)信息數(shù)據(jù)庫,根據(jù)業(yè) 務(wù)狀態(tài)數(shù)據(jù)產(chǎn)生告警。實(shí)施時(shí)可通過兩種方式處理 一是設(shè)備狀態(tài)的每一個(gè)指 標(biāo)都有相應(yīng)的正常范圍值����,狀態(tài)信息數(shù)據(jù)庫將檢查所有的指標(biāo)�����,對(duì)不在正常取 值范圍的指標(biāo)都將產(chǎn)生告警��;二是業(yè)務(wù)狀態(tài)數(shù)據(jù)在某個(gè)給定的情況下(如時(shí) 間��,數(shù)量等)有一定的統(tǒng)計(jì)分布(成功率或失敗率)����,狀態(tài)信息數(shù)據(jù)庫對(duì)其進(jìn)行
統(tǒng)計(jì)�,對(duì)統(tǒng)計(jì)結(jié)果有較大的偏離將發(fā)出告警���。設(shè)備狀態(tài)指標(biāo)的定義及其閾值都 可根據(jù)日常的維護(hù)經(jīng)驗(yàn)確定��,狀態(tài)信息數(shù)據(jù)庫中還可提供接口供相關(guān)專業(yè)人員 進(jìn)行調(diào)整�。
本發(fā)明具體實(shí)施時(shí)可以擴(kuò)展實(shí)現(xiàn)狀態(tài)信息數(shù)據(jù)庫�����,以便增加處理效率��,提
供更多功能狀態(tài)信息數(shù)據(jù)庫由數(shù)據(jù)庫服務(wù)器��、應(yīng)用服務(wù)器和web服務(wù)器通過網(wǎng)
絡(luò)連接構(gòu)成���,數(shù)據(jù)庫服務(wù)器集中采集處理業(yè)務(wù)狀態(tài)數(shù)據(jù)����,應(yīng)用服務(wù)器實(shí)現(xiàn)業(yè)務(wù)
邏輯和擴(kuò)展功能��,web服務(wù)器通過internet提供瀏覽各種告警的服務(wù)�����。參見附圖 2,本發(fā)明實(shí)施例的系統(tǒng)結(jié)構(gòu)是裝有狀態(tài)采集模塊的監(jiān)控終端與業(yè)務(wù)系統(tǒng)其它 設(shè)備之間采用接口連接�����,實(shí)現(xiàn)狀態(tài)采集模塊和業(yè)務(wù)設(shè)備之間的信息傳遞�����,可采 用采用S0CKET方式連接于TCP的23號(hào)端口 �。監(jiān)控終端和數(shù)據(jù)庫服務(wù)器之間通過專 用接口連接���,實(shí)現(xiàn)狀態(tài)采集模塊和數(shù)據(jù)庫服務(wù)器之間的信息傳遞�����,可采用ADO方 式連接數(shù)據(jù)庫�����。實(shí)施時(shí)可在數(shù)據(jù)庫服務(wù)器中存儲(chǔ)告警門限表�����,表中記錄業(yè)務(wù)狀 態(tài)數(shù)據(jù)的數(shù)據(jù)門限和超過門限對(duì)應(yīng)的告警�,當(dāng)執(zhí)行業(yè)務(wù)狀態(tài)數(shù)據(jù)入庫操作時(shí)���, 觸發(fā)器自動(dòng)執(zhí)行檢查數(shù)據(jù)量是否在門限范圍之內(nèi)�,如不在門限范圍內(nèi)則產(chǎn)生告
考慮到實(shí)際應(yīng)用時(shí),現(xiàn)有各業(yè)務(wù)系統(tǒng)的業(yè)務(wù)設(shè)備往往由不同的設(shè)備供應(yīng)商 所提供���,使用的信息交互協(xié)議可能不同����,實(shí)施時(shí)可能會(huì)造成復(fù)雜的通信設(shè)置����。 而本發(fā)明注意到��,現(xiàn)有各專業(yè)系統(tǒng)都支持telnet方式�����,因此實(shí)施時(shí)可設(shè)定狀態(tài) 采集模塊和對(duì)應(yīng)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)設(shè)備之間通過telnet方式交互��。具體實(shí)施時(shí)利 用telnet實(shí)現(xiàn)交互,可在狀態(tài)采集模塊執(zhí)行腳本的過程中,狀態(tài)采集模塊自動(dòng) 分辨telnet是處于輸入狀態(tài)還是輸出狀態(tài)�����,分辨的方法是自動(dòng)匹配telnet提 示符�����。當(dāng)匹配到提示符后自動(dòng)輸入腳本命令;對(duì)于沒有提示符的命令,狀態(tài)采
集模塊根據(jù)設(shè)置的超時(shí)時(shí)間向業(yè)務(wù)設(shè)備發(fā)出C"回到輸入狀態(tài)�。狀態(tài)采集模 塊也可以直接根據(jù)設(shè)置的超時(shí)時(shí)間使業(yè)務(wù)設(shè)備回到輸入狀態(tài)。通過在腳本中加
入特別標(biāo)識(shí)提示狀態(tài)采集模塊對(duì)不同的情況進(jìn)行處理,可以利用telnet協(xié)議從 業(yè)務(wù)設(shè)備采集大量的信息,通過不同的腳本可以靈活的制定采集策略收集關(guān)心
的信息���。
數(shù)據(jù)庫服務(wù)器對(duì)采集到的信息進(jìn)行分析可采用和軟件IDS相同的方法����,信 息處理分為關(guān)鍵字段抽取和關(guān)鍵字段統(tǒng)計(jì)兩種。將需要抽取和統(tǒng)計(jì)的字段按命 令I(lǐng)D分組表示該字段在該命令的輸出中去抽取和統(tǒng)計(jì)��,建立以命令I(lǐng)D的數(shù)組����, 數(shù)組的元素除包含ID還包含一個(gè)鏈表的頭指針,而鏈表中存儲(chǔ)須抽取和統(tǒng)計(jì)的 字段����。當(dāng)對(duì)采集到的信息處理時(shí)�,狀態(tài)采集模塊根據(jù)命令I(lǐng)D遍歷鏈表�����,匹配關(guān) 鍵字段得到設(shè)備狀態(tài)����。在執(zhí)行腳本和信息分析過程中需要采用的字符匹配算法 可參考B腿算法��。
狀態(tài)采集模塊可采用軟件編程實(shí)現(xiàn)����,狀態(tài)采集模塊發(fā)出的指令以加密方式與 狀態(tài)采集模塊保存在一起�����。本發(fā)明提供狀態(tài)采集模塊的具體軟件設(shè)計(jì)方法供參 考狀態(tài)采集模塊由主控模塊����、腳本執(zhí)行模塊、設(shè)備狀態(tài)提取模塊構(gòu)成��,三個(gè) 模塊分別對(duì)應(yīng)三個(gè)線程����,可以同時(shí)在后臺(tái)運(yùn)行,對(duì)維護(hù)終端的日常工作沒有影 響��。兩個(gè)工作線程由主控線程進(jìn)行控制。各線程采用SHE(結(jié)構(gòu)化異常處理)技術(shù) 保證線程的穩(wěn)定運(yùn)行。當(dāng)有不可克服的異常時(shí)����,各線程可將向主控線程報(bào)告�����, 主控線程一方面作好系統(tǒng)日志記錄���, 一方面重啟線程��。各線程流程可參見圖3 5�����,開始基本的初始化之后主控線程監(jiān)控各線程的上報(bào)消息��,是服務(wù)退出;腳 本執(zhí)行線程逐條執(zhí)行腳本�����,取輸出結(jié)果,放入緩沖區(qū),循環(huán)執(zhí)行直到結(jié)束�����;設(shè) 備狀態(tài)提取線程從緩沖區(qū)中取一條輸出結(jié)果���,分析輸出設(shè)備狀態(tài),量化設(shè)備狀
態(tài)并執(zhí)行存儲(chǔ)過程上傳,直到完成結(jié)束�����。
本發(fā)明能否實(shí)現(xiàn)安全采集實(shí)施,關(guān)鍵在于對(duì)業(yè)務(wù)網(wǎng)絡(luò)與公網(wǎng)之間信息流實(shí) 現(xiàn)安全控制�����。本發(fā)明狀態(tài)信息數(shù)據(jù)庫必須安裝在公網(wǎng)中����,其目的是確保所有的 狀態(tài)采集模塊都能訪問到作為核心的數(shù)據(jù)庫服務(wù)器����。具體實(shí)施時(shí),采用成熟的 數(shù)據(jù)庫技術(shù)即可�,本發(fā)明不予贅述��。在公網(wǎng)網(wǎng)絡(luò)中設(shè)置數(shù)據(jù)庫服務(wù)器實(shí)現(xiàn)狀態(tài) 信息數(shù)據(jù)庫����,各個(gè)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)網(wǎng)絡(luò)到位于公網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器分別 有且僅有一個(gè)專用接口�����,這種專用接口一端為數(shù)據(jù)庫服務(wù)器��,另一段為狀態(tài)采 集模塊,該專用接口設(shè)定以下三個(gè)特征���,
(1) 接口自封閉�,該接口兩端分別在本地記錄了對(duì)端的IP地址�、MAC地址、端口號(hào)���、128位GUID (用于生成密鑰)���,運(yùn)行的時(shí)候必須嚴(yán)格對(duì)應(yīng),凡不滿足的數(shù) 據(jù)包全部會(huì)被過濾掉�����;具體實(shí)施時(shí)���,以上記錄的各種信息可在安裝狀態(tài)信息數(shù)據(jù)庫和狀態(tài)采集模 塊的時(shí)候進(jìn)行預(yù)先配置。
(2) 限定只有運(yùn)行在業(yè)務(wù)系統(tǒng)中的狀態(tài)采集模塊能夠向位于公網(wǎng)的數(shù)據(jù)庫服務(wù) 器從指定端口發(fā)起主動(dòng)訪問,并對(duì)訪問內(nèi)容進(jìn)行限制;
(3) 此接口上流動(dòng)的信息是雙重加密的,其一是在狀態(tài)采集模塊和數(shù)據(jù)庫服務(wù) 器通信時(shí)采用安全連接,其二是通信時(shí)傳送的數(shù)據(jù)是經(jīng)過加密的����。具體實(shí)施時(shí), 所述安全連接可采用SSL連接��,所述通信時(shí)傳送的數(shù)據(jù)加密可采用AES加密方 式�����。
本發(fā)明提供實(shí)施例中狀態(tài)采集模塊向數(shù)據(jù)庫服務(wù)器交互時(shí)�����,3種允許訪問的 情形以供參考(1)設(shè)備狀態(tài)數(shù)據(jù)上傳����。專用接口可采用xml封裝狀態(tài)信息�����。 該訪問過程是狀態(tài)采集模塊所屬的業(yè)務(wù)網(wǎng)絡(luò)對(duì)數(shù)據(jù)庫服務(wù)器的單向訪問���,它以
XML數(shù)據(jù)格式封裝SQL SERVER存儲(chǔ)過程的調(diào)用及執(zhí)行后返回的數(shù)據(jù)集合�����,使?fàn)?態(tài)采集模塊可通過Web Service協(xié)議調(diào)用SQL SERVER所提供的服務(wù),只對(duì)在數(shù) 據(jù)庫對(duì)應(yīng)表中擁有合法權(quán)限的業(yè)務(wù)系統(tǒng)的數(shù)據(jù)進(jìn)行處理�。狀態(tài)采集模塊采集到 的響應(yīng)指令輸出����,作為包含了設(shè)備狀態(tài)數(shù)據(jù)的密文數(shù)據(jù)包�,由狀態(tài)采集模塊利 用WEBSERVICE訪問方式�,通過指定端口 (例如80端口)向數(shù)據(jù)庫服務(wù)器提供�����, 可以保證上傳過程中的信息安全,即使被盜取數(shù)據(jù)包也無法被解讀�。具體實(shí)施 時(shí)����,還可限定密文數(shù)據(jù)包的內(nèi)容為格式固定的業(yè)務(wù)狀態(tài)數(shù)據(jù)�����,格式不符的被直 接丟棄,這些業(yè)務(wù)狀態(tài)數(shù)據(jù)只能被數(shù)據(jù)庫服務(wù)器的指定處理程序作為參數(shù)處理�����; 并且傳送的方向限定為只有狀態(tài)采集模塊能夠向數(shù)據(jù)庫服務(wù)器主動(dòng)發(fā)送數(shù)據(jù) 包��,不允許數(shù)據(jù)庫服務(wù)器向狀態(tài)采集模塊主動(dòng)發(fā)送應(yīng)答信息除外的數(shù)據(jù)包����,任 何向狀態(tài)采集模塊發(fā)起的主動(dòng)連接或主動(dòng)數(shù)據(jù)包傳送全部被拒絕或丟棄����。(2) 狀態(tài)采集模塊向數(shù)據(jù)庫服務(wù)器登記注冊(cè),從數(shù)據(jù)庫服務(wù)器取得128位的標(biāo)識(shí)符 GUID�����。狀態(tài)采集模塊啟動(dòng)時(shí)�,自動(dòng)連接到數(shù)據(jù)庫服務(wù)器執(zhí)行����。數(shù)據(jù)庫服務(wù)器檢 査登記的IP地址和口令,如果都符合將給狀態(tài)采集模塊分配一個(gè)128位的標(biāo)識(shí) 符(GUID)。在其后的交互中都需要此標(biāo)識(shí)符����。在交互過程中對(duì)端的IP地址���、 MAC地址���、端口號(hào)���、GUID不能匹配的數(shù)據(jù)包均會(huì)被定義為非法連接����,所有非法 的連接嘗試都會(huì)被拒絕。(3)狀態(tài)采集模塊和數(shù)據(jù)庫服務(wù)器心跳交互。每5分 鐘狀態(tài)采集模塊通知數(shù)據(jù)庫服務(wù)器自己工作狀態(tài)��。這種限制訪問方案從根本上 禁止了從數(shù)據(jù)庫服務(wù)器向狀態(tài)采集模塊的主動(dòng)訪問��,數(shù)據(jù)庫服務(wù)器不對(duì)業(yè)務(wù)系 統(tǒng)主動(dòng)發(fā)送任何指令或數(shù)據(jù)����,從而實(shí)現(xiàn)對(duì)業(yè)務(wù)網(wǎng)絡(luò)的保護(hù)。
為了進(jìn)一步提高集中采集方案安全性����,除設(shè)置專用接口外,本發(fā)明實(shí)施例 對(duì)整個(gè)方案的其它部分安全也作了強(qiáng)化處理
狀態(tài)采集模塊本地安全代替維護(hù)人員操作的指令以腳本文件形式存儲(chǔ)在 狀態(tài)采集模塊中供使用�,由于狀態(tài)采集模塊的腳本中含有設(shè)備的登錄用戶名和 口令�,這些腳本位于業(yè)務(wù)網(wǎng)絡(luò)中的本地監(jiān)控終端上�,腳本文件易被人獲取����。所 以將腳本文件采用加密算法加密后存放在監(jiān)控終端上�,解密的密鑰采用對(duì)應(yīng)的 加密算法加密存儲(chǔ)于監(jiān)控終端的系統(tǒng)注冊(cè)表或其它地方�,只有特定本機(jī)帳號(hào)的 用戶才能解密密鑰。狀態(tài)采集模塊的數(shù)據(jù)對(duì)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)發(fā)送�,進(jìn)行SSL安
全連接和AES密碼加密雙重驗(yàn)證機(jī)制����。具體實(shí)施時(shí),狀態(tài)采集模塊內(nèi)置解密算
法和解密密鑰,在采集過程中提取密文進(jìn)行解密�,得到采集指令及分析指令���, 進(jìn)行指令發(fā)送及結(jié)果提取,提取到的結(jié)果數(shù)據(jù)首先進(jìn)行分析�,得到分析結(jié)果�����,
調(diào)用WEBSERVICE過程����,同樣經(jīng)過雙重驗(yàn)證的加密鏈路送往數(shù)據(jù)庫服務(wù)器��,然后 結(jié)果數(shù)據(jù)同樣利用加密算法加密后保存在狀態(tài)采集模塊的本地日志庫中。
數(shù)據(jù)庫服務(wù)器本地安全數(shù)據(jù)庫服務(wù)器僅開放指定端口��,狀態(tài)信息數(shù)據(jù)庫
外部設(shè)置防火墻進(jìn)行保護(hù),防火墻中設(shè)置流量限制、用戶IP地址限制及協(xié)議限制。
告警服務(wù)安全web服務(wù)器通過internet,采用WEBSERVICE訪問方式向具 有權(quán)限的用戶提供瀏覽各種告警的服務(wù)�。在告警的WEB登陸頁面采用登陸失敗 失效技術(shù)和防止注入式攻擊技術(shù),防止登陸侵入�。告警的査看頁面采用防嵌套 技術(shù)�、用戶權(quán)限驗(yàn)證及SESSION的超時(shí)網(wǎng)頁自動(dòng)失效技術(shù)�,拒絕非法用戶訪問����。 這些技術(shù)屬于web服務(wù)領(lǐng)域的成熟技術(shù),具體實(shí)現(xiàn)本發(fā)明不予贅述�����。
權(quán)利要求
1.一種移動(dòng)數(shù)據(jù)業(yè)務(wù)狀態(tài)的安全集中采集方法�����,其特征在于設(shè)置狀態(tài)信息數(shù)據(jù)庫���,在各個(gè)業(yè)務(wù)系統(tǒng)的監(jiān)控終端設(shè)置狀態(tài)采集模塊�����,狀態(tài)信息數(shù)據(jù)庫和各監(jiān)控終端之間建立網(wǎng)絡(luò)連接�;狀態(tài)采集模塊向?qū)?yīng)業(yè)務(wù)系統(tǒng)發(fā)出代替維護(hù)人員操作的指令���,并采集響應(yīng)指令輸出,通過分析響應(yīng)指令輸出產(chǎn)生參數(shù)化的業(yè)務(wù)狀態(tài)數(shù)據(jù)�����;業(yè)務(wù)狀態(tài)數(shù)據(jù)通過網(wǎng)絡(luò)集中送往狀態(tài)信息數(shù)據(jù)庫供處理;所述狀態(tài)信息數(shù)據(jù)庫和各監(jiān)控終端之間建立網(wǎng)絡(luò)連接采用以下安全實(shí)現(xiàn)方式,在公網(wǎng)網(wǎng)絡(luò)中設(shè)置數(shù)據(jù)庫服務(wù)器實(shí)現(xiàn)狀態(tài)信息數(shù)據(jù)庫�����,各個(gè)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)網(wǎng)絡(luò)到位于公網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器分別有且僅有一個(gè)專用接口,這種專用接口一端為數(shù)據(jù)庫服務(wù)器����,另一段為狀態(tài)采集模塊����,該專用接口有以下三個(gè)特征�����,(1)接口自封閉�����,該接口兩端分別在本地記錄了對(duì)端的IP地址、MAC地址、端口號(hào)�����、用于生成密鑰的標(biāo)識(shí)符,兩端交互時(shí)嚴(yán)格對(duì)應(yīng)��,凡不滿足的數(shù)據(jù)包全部會(huì)被過濾掉���;(2)限定只有運(yùn)行在業(yè)務(wù)系統(tǒng)中的狀態(tài)采集模塊能夠向位于公網(wǎng)的數(shù)據(jù)庫服務(wù)器從指定端口發(fā)起主動(dòng)訪問�,并對(duì)訪問內(nèi)容進(jìn)行限制����;(3)此接口上流動(dòng)的信息是雙重加密的�,其一是在狀態(tài)采集模塊和數(shù)據(jù)庫服務(wù)器通信時(shí)采用安全連接,其二是通信時(shí)傳送的數(shù)據(jù)是加密的����。
2. 如權(quán)利要求l所述的安全集中采集方法�,其特征是專用接口對(duì)訪問內(nèi)容進(jìn) 行限制,限制為以下內(nèi)容,1)狀態(tài)采集模塊與數(shù)據(jù)庫服務(wù)器交互的是密文數(shù)據(jù)包�,密文數(shù)據(jù)包的內(nèi)容包 括格式固定的業(yè)務(wù)狀態(tài)數(shù)據(jù)��,格式不符的被直接丟棄��;并且傳送的方向限定為只有狀態(tài)采集模塊能夠向數(shù)據(jù)庫服務(wù)器主動(dòng)發(fā)送數(shù)據(jù)包,不允許數(shù)據(jù)庫服務(wù)器 向狀態(tài)采集模塊主動(dòng)發(fā)送應(yīng)答信息除外的數(shù)據(jù)包��,任何向狀態(tài)采集模塊發(fā)起的主動(dòng)連接或主動(dòng)數(shù)據(jù)包傳送全部被拒絕或丟棄�����;2) 在設(shè)置狀態(tài)采集模塊的時(shí)候進(jìn)行注冊(cè)交互��;3) 狀態(tài)采集模塊定時(shí)發(fā)送心跳信息給數(shù)據(jù)庫服務(wù)器����,用于確認(rèn)狀態(tài)采集模塊的活動(dòng)狀態(tài)��。
3. 如權(quán)利要求2所述的安全集中采集方法��,其特征是所述注冊(cè)交互的信息為128位標(biāo)識(shí)符�����,在安裝每個(gè)狀態(tài)采集模塊時(shí)���,數(shù)據(jù)庫服務(wù)器隨機(jī)產(chǎn)生標(biāo)識(shí)符����,狀態(tài)采集模塊取得該標(biāo)識(shí)符并保存�,用于此后運(yùn)行時(shí)的加密��。
4. 如權(quán)利要求2所述的安全集中采集方法,其特征是所述密文數(shù)據(jù)包由狀態(tài)采集模塊利用WEBSERVICE訪問方式��,通過指定端口向數(shù)據(jù)庫服務(wù)器提供����。
5. 如權(quán)利要求4所述的安全集中采集方法�����,其特征是所述指定端口采用80端口�����。
6. 如權(quán)利要求1或2或3或4或5所述的安全集中采集方法��,其特征是代 替維護(hù)人員操作的指令以腳本文件形式存儲(chǔ)在狀態(tài)采集模塊中供使用,腳本文 件中含有待采集業(yè)務(wù)設(shè)備的賬號(hào)和口令,腳本文件中的指令使用加密算法進(jìn)行 逐條加密�����。
7. 如權(quán)利要求1或2或3或4或5所述的安全集中采集方法���,其特征是數(shù) 據(jù)庫服務(wù)器僅開放指定端口,狀態(tài)信息數(shù)據(jù)庫外部設(shè)置防火墻進(jìn)行保護(hù),防火 墻中設(shè)置流量限制��、用戶IP地址限制及協(xié)議限制�。
8. 如權(quán)利要求1或2或3或4或5所述的安全集中采集方法�,其特征是狀態(tài)信息數(shù)據(jù)庫根據(jù)業(yè)務(wù)狀態(tài)數(shù)據(jù)判斷是否產(chǎn)生告警����,通過web服務(wù)器提供告警 登陸查看服務(wù)�����,在告警的WEB登陸頁面采用登陸失敗失效技術(shù)和防止注入式攻 擊技術(shù)���。
9.如權(quán)利要求8所述的安全集中采集方法,其特征是告警的查看頁面采用防嵌套技術(shù)��、用戶權(quán)限驗(yàn)證及SESSION的超時(shí)網(wǎng)頁自動(dòng)失效技術(shù)���,拒絕非法用 戶訪問����。
全文摘要
本發(fā)明涉及通信領(lǐng)域���,尤其是一種移動(dòng)數(shù)據(jù)業(yè)務(wù)狀態(tài)的安全集中采集方法設(shè)置狀態(tài)信息數(shù)據(jù)庫��,在各個(gè)業(yè)務(wù)系統(tǒng)的監(jiān)控終端設(shè)置狀態(tài)采集模塊����,狀態(tài)信息數(shù)據(jù)庫和各監(jiān)控終端之間建立網(wǎng)絡(luò)連接���;狀態(tài)采集模塊向?qū)?yīng)業(yè)務(wù)系統(tǒng)發(fā)出代替維護(hù)人員操作的指令����,并采集響應(yīng)指令輸出,通過分析響應(yīng)指令輸出產(chǎn)生參數(shù)化的業(yè)務(wù)狀態(tài)信息;業(yè)務(wù)狀態(tài)信息通過網(wǎng)絡(luò)集中送往狀態(tài)信息數(shù)據(jù)庫供處理��;所述網(wǎng)絡(luò)連接采用安全實(shí)現(xiàn)方式,在公網(wǎng)網(wǎng)絡(luò)中設(shè)置數(shù)據(jù)庫服務(wù)器實(shí)現(xiàn)狀態(tài)信息數(shù)據(jù)庫,各個(gè)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)網(wǎng)絡(luò)到位于公網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)庫服務(wù)器分別有且僅有一個(gè)專用接口����,本發(fā)明提供了低成本的移動(dòng)數(shù)據(jù)業(yè)務(wù)狀態(tài)安全集中采集方案,提高了數(shù)據(jù)網(wǎng)故障處理效率。
文檔編號(hào)H04L12/24GK101197715SQ20071016911
公開日2008年6月11日 申請(qǐng)日期2007年12月29日 優(yōu)先權(quán)日2007年12月29日
發(fā)明者勤 楊, 冼 王 申請(qǐng)人:中國移動(dòng)通信集團(tuán)湖北有限公司