一种安全可管理的分散数据管理系统及方法
【技术领域】
[0001]本发明涉及一种安全可管理的分散数据管理系统及方法。
【背景技术】
[0002]在移动通信网中,语音通话和数据传输的安全性一直以来都是一个非常重要的指标。因此,标准协议中相继出现了鉴权、语音加密、信令加密等方法来提高安全性,并逐渐被全球设备供应商和运营商采纳、进行运营。例如,CDMA网络便以其良好的保密性受到了格外青睐。
[0003]但是,相对于民用移动通信,某些特殊性质的企业、部门尤其是军队提出了更高的保密要求。例如,对于军队来说,为了更有效的防止敌方监听、监视,将军网用户数据隐蔽于民用网络中。
[0004]现有运营的网络中,军网数据设置在民用网络的归属位置寄存器(HLR)中,以实现军网数据隐蔽于民用网络中,同时为了能够区分出军网数据,HLR上的军网数据通常采用在民用普通数据中划分独立号段或者采用签约某种特殊标记的方法,来区分出是普通民用数据还是军网数据。而在通话中的鉴权、语音加密和信令加密与普通民用数据一样,采用与普通民用数据相同的语音加密和信令加密方式。不难理解,无论是鉴权、信令加密还是语音加密,这些加密方法都是以不泄漏加密算法中的密钥为前提的。
[0005]但是,由于普通民用用户数据和军网数据均设置于相同HLR上,民用数据的管理无法和军网数据的管理相分开,对这些数椐的管理会导致对军网数据的泄漏,例如参见图1示出的营业厅组网图,HLR服务器与营业厅客户端通过TCP/IP相连,因此使得营业厅的普通管理员可能登陆服务器查询到军网用户数据;另外,由于各地的军网用户数据分散在各地的HLR中,而鉴权密钥需要各地的操作员通过文件分别加栽到各地HLR设备中,在各地传递文件和维护的过程中,容易造成关键数据…鉴权密钥发生泄漏;并且由于罕网用户数椐分散在各地的讨中,也难以对罕网用户进行有效的集中管理、数据统计和分析,可管理性差。下面参照图2示出的军网数据分布示意图,对其数据分布进行说明:
如图2所示,在北京、上海、深圳三地的HLR上均分布有军网用户数据,以将军网数据隐蔽在民用网络的HLR中,由于与普通民用用户数据的管理没有分开,因此,普通管理员、操作员可以通过与HLR连接的服务器、客户端都可查询到军网数据。另一方面,由于数据分散,军网管理者难以对数据有效管理,只能各地通过HLR服务器分别管理各地HLR上的军网数据。
[0006]可以看出,现有军网实现方案主要有以下几个缺点:由于数据分散管理,关键数据…鉴权密钥容易泄漏,安全性低,且难以实现有效的集中管理。
【发明内容】
[0007]为解决上述现有的缺点,本发明的主要目的在于提供一种实用的安全可管理的分散数据管理系统及方法,方便升级,投资小,成本低廉。
[0008]为达成以上所述的目的,本发明的一种安全可管理的分散数据管理系统及方法采取如下技术方案:
一种安全可管理的分散数据管理系统及方法,其特征在于,包括有,一个或一个以上的远端HLR、虚拟服务器、与虚拟服务器相连的虚拟HLR营业厅客户端、连接在虚拟HLR服务器和传输网之间的防火墙/网关,每个远端HLR上存储有用户数据,与相连的远端良务器,用于与信息交互处理HLR上的用户数据,所述虚拟服务器记录有用户数据与远端服务器的对应关系,用于接收虚拟营业厅客户端的命令,分析该命令所处理的用户数据所对应的远端服务器,通过传输网与所述远端服务器交互信息。
[0009]该方法包括以下步骤:
A、虚拟营业厅客户端发出的命令传送给虚拟服务器;
B、虚拟HLR服务器判断出该命令所处理的用户数据所对应的远端HLR,将所述命令传递给所述远端服务器,虚拟HLR服务器对接收的命令进行合法性检查.C、所述远端HLR服务器接收所述命令,执行相应的用户数据处理操作,所述远端HLR向虚拟HLRHLR服务器返回操作结果,虚拟HLR根椐远端HLR服务器返回的搮作结果,更新虚拟HLR服务器上的所述的用户数据。
[0010]所述B步骤的合法性检查步骤包括,验证所述命令对应的操作员身份ID是否合法,或/和操作员身份权限是否可以管理所述用户数据,步骤B所述判断出该命令所处理的用户数据所对应的远端HLR的步骤包括,根据约定的军网数据中用户号段或号码和远端HLR服务器的对应关系确定出所对应的远端HLR,步骤B所述判断出该命令所处理的用户数据所对应的远端HLR的步骤包括,根据某算法建立的用户号码与各地HLR服务器的映射关系确定出所对应的远端HLR。
[0011]采用如上技术方案的本发明,具有如下有益效果:
本发明方便升级,投资小,成本低廉。
【附图说明】
[0012]图1为营业厅组网图。
[0013]图2为现有的军网数据分布图。
[0014]图3为本发明分散数椐管理系统。
[0015]图4为本发明数据管理流程图。
【具体实施方式】
[0016]为了进一步说明本发明,下面结合附图及实施例进一步进行说明:
如图3示出的分散数据管理系统,即本发明提供的军网组网图,在军网的集中管理地设置一个本地的虚拟HLR服务器,并设置军网侧虚拟营业厅客户端,连接到所述虚拟HLR服务器上。虚拟HLR服务器连接到网络运营商的传输骨干网上,与其他各地的服务器相连。并且,在虚拟HLR服务器与传输骨干网之间,可以设置一防火墙。
[0017]军网侧营业厅客户端与普通的营业厅客户端相同,由用户操作,可以发出开户、销户、以及各种业务管理命令给虚拟HLR服务器。
[0018]虚拟HLR服务器与普通的HLR服务器相比,具有普通HLR服务器的功能,例如对营业厅客户端的鉴权,接收营此厅客户端的指令;以及存储军网用户的静态数椐,对数椐进行统计和分析功能。但是,虚拟HLR服务器并不将用户的操作、指令等直接传送给某HLR,而是通过网络传递给所操作数椐所属的、远端的、实际的HLR服务器上,然后由所述实际的HLR服务器发送给对应的HLR进行相应的数据删除、增加、修改。为了实现将所操作数据传递给数据所属的实际HLR服务器,虚拟HLR服务器是这样实现的:存储有号码和所归属的远端实际HLR服务器的对应关系。例如可以是号段或号码和各个远端实际HLR服务器的对应关系,也可以是某种算法如HASH算法建立的号码和各