专利名称:一种通信运营商网络信息交互管理方法及系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种通信运营商网络信息交互管理方法及系统。
背景技术:
目前,国内各通信运营商网络处于各自独立运维,网络信息彼此保密的状态。由于 网络监管及部分跨运营商合作项目的要求,运营商需要将运营网络相关信息交互至上级监 管部门或者其他运营商。这种跨运营商间的信息交互将不可避免的导致企业网络信息数据 的外泄。各运营商对外进行网络信息交互时,主要是利用通过网络设备分流/分光或者开 放网络运维支撑系统北向数据接口的方案。这些方案都会使网络信息完全暴露,运营商自 身无法得知对外交互信息的详情,无法实现信息交互的管理及企业信息保密。
发明内容
为了解决上述的技术问题,提供了一种通信运营商网络信息交互管理方法及系 统,其目的在于,对运营商的网络信息进行保护,提高运营商网络运行的安全性。本发明公开了一种通信运营商网络信息交互管理方法,包括步骤1,架构管理模块弓I导数据流进入数据适配器,数据适配器对数据流进行标准 化处理;步骤2,架构管理模块引导标准化后的数据流进入数据采集处理子模块,数据采集 处理子模块采集用于交互的标准化后的数据流;步骤3,架构管理模块引导采集到的数据流进入数据分析子模块,数据分析子模块 根据规则定义子模块中预先定义的过滤规则对标准化后的数据流进行审核;步骤4,架构管理模块引导审核通过的数据流进入数据发送子模块,数据发送子模 块将审核通过的数据流还原并发送到外网;架构管理模块引导数据发送子模块不向外网发 送审核未通过的数据流。步骤4中,架构管理模块还引导还原后的数据进入存储子模块保存;架构管理模 块引导数据发送子模块将审核未通过的数据流标记,并发送至存储子模块保存。步骤2中,数据采集处理子模块采集标准化后的数据流包括读取、识别以及转化 标准化后的数据流。步骤3中,预先定义好的过滤规则包括IP地址段规则、数据流量规则、时间段规 则、文件类型规则及路由规则。架构管理模块还引导呈现子模块对数据流的传输过程进行直观展现。架构管理模块还设定和审核访问权限,并对访问过程中的操作进行记录。本发明公开了一种通信运营商网络信息交互管理系统,包括架构运维管理部分和 交互信息管理部分;交互信息管理部分包括数据适配器、数据采集处理子模块、数据分析子模块和数据发送子模块;架构运维管理部分包括架构管理模块;架构管理模块,用于引导数据流进入数据适配器架构运维管理部分引导标准化后 的数据流进入数据采集处理子模块;引导采集到的数据流进入数据分析子模块;引导审核 通过的数据流进入数据发送子模块;引导数据发送子模块不向外网发送审核未通过的数据 流;数据适配器,用于对数据流进行标准化处理;数据采集处理子模块,用于采集用于交互的标准化后的数据流;数据分析子模块,用于根据规则定义子模块中预先定义的过滤规则对标准化后的 数据流进行审核;数据发送子模块,用于将审核通过的数据流还原并发送到外网。架构运维管理部分,还用于引导还原后的数据进入存储子模块保存;弓I导数据发 送子模块将审核未通过的数据流标记,并发送至存储子模块保存;交互信息管理部分还包 括存储子模块。数据采集处理子模块,用于采集标准化后的数据流包括读取、识别以及转化标准 化后的数据流。预先定义的过滤规则包括IP地址段规则、数据流量规则、时间段规则、文件类型 规则及路由规则。架构运维管理部分,还用于引导呈现子模块对数据流的传输过程进行直观展现; 交互信息管理部分还包括呈现子模块。架构运维管理部分还包括安全审计模块,用于设定和审核访问权限,并对访问过 程中的操作进行记录。该通信运营商网络信息交互管理系统通过单链路组网方案或双链路组网方案实 现。本发明的有益效果在于,对运营商的网络信息进行保护,实现运营商网络信息交 互过程的可知、可控和可追溯,保护企业机密,提高运营商网络运行的安全性。
图1为本发明提供的运营商网络信息交互管理架构图;图2为本发明提供的运营商网络信息交互管理架构单链路组网方案;图3为本发明提供的运营商网络信息交互管理架构双链路组网方案;图4为本发明提供的运营商网络信息交互管理流程示意图。
具体实施例方式本发明公开了一种通信运营商IP网络信息交互时的管理方法,包括如下步骤在 IP网络信息数据交互通路上部署基于运营商网络信息交互管理架构的信息管理系统;交 互数据通过信息管理系统向外转发;符合转发要求的数据直接透传;不符合转发要求的数 据限制转发。本发明提出的运营商对外信息交互管理的架构,能够充分保证运营商网络信息对 外交互过程的可知、可控和可管性。本发明提供的管理架构部署在运营商网络对外交互信息的通道上,逻辑上是串接模式,对于可交互的信息,是实时透明的。本发明的一种通信运营商网络信息交互管理系统,包括架构运维管理部分和交互 信息管理部分.交互信息管理部分包括数据适配器、数据采集处理子模块、数据分析子模块和数 据发送子模块;架构运维管理部分包括架构管理模块。架构管理模块,用于引导数据流进入数据适配器架构运维管理部分引导标准化后 的数据流进入数据采集处理子模块;引导采集到的数据流进入数据分析子模块;引导审核 通过的数据流进入数据发送子模块;引导数据发送子模块不向外网发送审核未通过的数据流。
数据适配器,用于对数据流进行标准化处理。数据采集处理子模块,用于采集用于交互的标准化后的数据流。数据分析子模块,用于根据规则定义子模块中预先定义的过滤规则对标准化后的 数据流进行审核。数据发送子模块,用于将审核通过的数据流还原并发送到外网。在一较佳的实施方式中,架构运维管理部分,还用于引导还原后的数据进入存储 子模块保存;引导数据发送子模块将审核未通过的数据流标记,并发送至存储子模块保存; 交互信息管理部分还包括存储子模块。在一较佳的实施方式中,数据采集处理子模块,用于采集标准化后的数据流包括 读取、识别以及转化标准化后的数据流。在一较佳的实施方式中,预先定义的过滤规则包括IP地址段规则、数据流量规 则、时间段规则、文件类型规则及路由规则。在一较佳的实施方式中,架构运维管理部分,还用于引导呈现子模块对数据流的 传输过程进行直观展现;交互信息管理部分还包括呈现子模块。在一较佳的实施方式中,架构运维管理部分还包括安全审计模块,用于设定和审 核访问权限,并对访问过程中的操作进行记录。在一较佳的实施方式中,该通信运营商网络信息交互管理系统通过单链路组网方 案或双链路组网方案实现。本发明系统的具体实施方式
如下所述。1.运营商信息交互管理架构组成结构本发明提出的信息交互管理架构由两部分组成交互信息管理部分和架构运维管 理部分。交互信息管理部分实现对运营商网络信息对外交互过程的审核、监测及控制,同 时还需要对全部数据交互过程进行直观展示;架构运维管理部分通过用户许可的方式管理 全部进入和流出信息的调度及流程,并对进出运营商网络的指令和数据进行记录,对访问 信息交互过程用户的合法性进行确认和管理。交互信息管理架构结构如图1所示,包括(1)交互信息管理部分交互信息管理部分由展示模块和管理功能模块构成。展示模块由结果呈现子模块实现外送网络信息数据的分类、交互过程以及其他运 维管理所需要的结果展示。
管理功能模块由数据适配器、数据采集处理子模块、存储子模块、数据分析子模 块、规则定义和数据发送子模块等六个部分组成。1)数据适配器的功能是将所需要接入的数据通过相应的接口规范接入到管理架 构中,并在识别和转换后分发至不同的子模块。2)数据采集处理子模块通过数据流量封包监控组件,对数 据交互过程实施监控, 实现对各类网络信息数据进行读取、识别和转换的过程。交互是指两个不同区域间的信息传递过程。这个不同区域可以理解为两个应用系 统、两个网络自治域、两个设备等。数据从一个区域流向另一个区域为交互的过程。3)存储子模块的功能是将识别和转换后的数据根据不同的用途分别同步保存备 份,以便事后追踪。存储子模块需要根据数据的不同用途设置保存时限,尤其是需要对送到 运营商网络以外的数据进行备份管理。4)数据分析子模块的功能是根据可变化的规则定义,对需要送出运营商网络的数 据进行合法性审核。不符合规则定义的数据需要直观报错并拦截,符合规则定义的数据可 以直接发往数据发送子模块。5)规则定义子模块主要是为数据分析审核功能的实现提供判定条件和依据,规则 定义过程必需灵活且操作简便,至少应该包括按IP地址段、按数据流量、按照时间段、按文 件类型及按路由规则等内容的结合。6)数据发送子模块的功能是将示范系统审核通过,允许向运营商网络外发送数据 的转发,要求转发数据的目标、格式及协议等各项参数均与接入管理架构时完全相同,作到 对允许转发数据的透明化。(2)架构运维管理部分架构运维管理部分由架构管理模块和安全审计模块。架构管理模块的主要目的对网络信息交互管理的运行流程进行管理,对数据在各 功能模块间的流转进行统筹管理和控制。通过内置的程序,自动引导数据流依照数据适配 器、数据采集处理子模块、数据分析子模块和数据发送子模块,并且在进入数据分析了模块 前调用规则定义模块中用户根据运维要求和保密要求按不同的特征量和数据流量属性设 定的过滤规则,按需实现数据过滤功能。所需存储的数据可由用户自行设定范围,在进入数 据发送子模块的同时实现实时保留。同时,内置的程序还具备随时监控各个子模块的运行 状态,根据各模块的负荷情况及系统的硬件资源利用率,调整数据的流量流向的功能,以协 调整个架构的正常运转。安全审计模块主要目的是对系统的运行进行管理,对系统接入进行账户许可,保 证外部用户登陆的合法性,监控用户在系统内的操作,保护示范系统运维安全稳定。2.运营商信息交互管理架构组网方案从系统安全角度出发,本发明提出在信息交互管理架构出口处部署防火墙防止系 统受到非法攻击。从信息交互管理架构的兼容性及可二次开发性考虑,本发明提出信息交互管理架 构组成部分由交换机相联,并为其他可能产生交互的信息预留端口,同时便于架构运维管 理部分中的架构管理模块对架构整个数据流程进行管理。根据不同的网络信息量和交互可靠性要求,提出两种组网方案。
(1)单链路组网方案 本方案由一台防火墙、一台交换机及网络信息交互管理架构的交互信息管理部分 和架构运维管理部分组成,防火墙和交换机串接,交互信息管理部分和架构运维管理部分 接在交换机上,运营商网络交互信息必须从防火墙进入或者流出管理架构,需要交互的网 络信息流向和整个组网方案的系统资源由架构运维管理部分调度和协调。图2中架构运维管理部分管理接入交换机全部数据流量的进出及流向,交互信息 管理部分对架构运维管理部分的指令响应,根据自定义规则分析、处理、放行或者拦截需要 交互的信息数据。图中点划线部分为运营商网络中其他与信息交互相关的非网络信息数据 (如管理架构的远程管理系统数据),为选设件。单链路组网方案的优点是系统结构简单,投资少,链路路由实现容易,维护工作量 少;缺点是防火墙、交换机单链路,单点交换,可靠性较低,系统容量较小。(2)双链路组网方案本方案由两台防火墙、两台交换机及网络信息交互管理架构的交互信息管理部分 和架构运维管理部分组成,每一台防火墙分别和两台交换机串接,交换机间互联互通,每台 交换机个分别挂接交互信息管理部分和架构运维管理部分,运营商网络交互信息分别从每 一台防火墙进入或者流出管理架构,需要交互的网络信息流向和整个组网方案的系统资源 由架构运维管理部分调度和协调。图3中架构运维管理部分管理接入交换机全部数据流量的进出及流向,管理各台 设备的工作状态,交互信息管理部分、交换机和防火墙对架构运维管理部分的指令响应,根 据自定义规则分析、处理、放行或者拦截需要交互的信息数据。图中点划线部分为运营商网 络中其他与信息交互相关的非网络信息数据(如管理架构的远程管理系统数据),为选设 件。双链路组网方案的优点是防火墙、交换机采用交叉链路部署,链路不存在单个故 障点,系统可靠性高,容量大,便于功能模块扩容和升级;缺点是系统结构繁琐,建设投资 大,链路维护工作量大,信息数据路由策略复杂,对架构运维管理部分中的架构管理模块功 能要求高。上述两种组网方案及相应硬件设备的选择,可根据运营商信息数据交互的规模及 可靠性要求来确定。本发明的一种通信运营商网络信息交互管理方法,包括如下步骤。步骤S100,架构管理模块引导数据流进入数据适配器,数据适配器对数据流进行 标准化处理。步骤S200,架构管理模块引导标准化后的数据流进入数据采集处理子模块,数据 采集处理子模块采集用于交互的标准化后的数据流。步骤S300,架构管理模块引导采集到的数据流进入数据分析子模块,数据分析子 模块根据规则定义子模块中预先定义的过滤规则对标准化后的数据流进行审核。步骤S400,架构管理模块引导审核通过的数据流进入数据发送子模块,数据发送 子模块将审核通过的数据流还原并发送到外网;架构管理模块引导数据发送子模块不向外 网发送审核未通过的数据流。在一较佳的实施方式中,步骤S400中,架构管理模块还引导还原后的数据进入存储子模块保存;架构管理模块引导数据发送子模块将审核未通过的数据流标记,并发送至 存储子模块保存。在一较佳的实施方式中,步骤S200中,数据采集处理子模块采集标准化后的数据 流包括读取、识别以及转化标准化后的数据流。在一较佳的实施方式中,步骤S300中,预先定义好的过滤规则包括IP地址段规 则、数据流量规则、时间段规则、文件类型规则及路由规则。在一较佳的实施方式中,架构管理模块还引导呈现子模块对数据流的传输过程进 行直观展现。 在一较佳的实施方式中,架构管理模块还设定和审核访问权限,并对访问过程中 的操作进行记录。对运营商网络信息交互的管理流程的具体实施如图4所示。基于运营商信息交互管理架构的管理系统部署在运营商网络信息交互的出口处, 当运营商需要交互的网络信息流入管理系统时,架构运维管理部分的架构管理模块将此网 络信息转发至交互信息管理部分中的数据适配器,启动数据适配器按统一的接口规范将网 络信息数据进行标准化处理,转送至数据采集处理子模块,将标准化的信息数据进行读取、 识别、转化等过程,送入数据分析子模块。由于标准化后的信息并不是全部都有意义和可用,通过转化过程对其进行采集、 提取及汇总有效信息量处理。数据分析子模块根据定义子模块中预先定义好的过滤规则,通过IP地址段、按数 据流量、按照时间段、按文件类型及按路由规则等内容的结合,对网络数据进行审核判断; 审核通过的数据送往数据发送子模块恢复成原始数据,将原始数据送往外网,同时送往存 储子模块进行保存;审核不通过,数据直接送往存储子模块保存并标记,不进行对外信息交 互。结果呈现子模块负责对网络信息流转的全过程进行直观展现。在网络数据信息通过管理系统时,架构管理模块负责调度整个管理系统的硬件、 软件资源,根据预先设置的优先级差异,依次实施任务处理。网络数据信息通过管理系统对数据流的流向进行引导,让其依次流经各个模块, 或者按需要分流至数据发送子模块和存储子模块;并且.监控整个管理系统的硬件资源利 用情况和软件处理能力,均衡各个模块的工作效率,保证系统稳定运行。架构运维管理部分的安全审计模块负责对能访问此管理系统的权限进行设定和 审核,并对访问管理系统过程中的操作进行记录,包括查看数据交互过程、规则设置变更以 及系统权限变更等等。本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条件下,还 可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于以上的说明,而是由 权利要求书的范围来确定的。
权利要求
一种通信运营商网络信息交互管理方法,其特征在于,包括步骤1,架构管理模块引导数据流进入数据适配器,数据适配器对数据流进行标准化处理;步骤2,架构管理模块引导标准化后的数据流进入数据采集处理子模块,数据采集处理子模块采集用于交互的标准化后的数据流;步骤3,架构管理模块引导采集到的数据流进入数据分析子模块,数据分析子模块根据规则定义子模块中预先定义的过滤规则对标准化后的数据流进行审核;步骤4,架构管理模块引导审核通过的数据流进入数据发送子模块,数据发送子模块将审核通过的数据流还原并发送到外网;架构管理模块引导数据发送子模块不向外网发送审核未通过的数据流。
2.如权利要求1所述的通信运营商网络信息交互管理方法,其特征在于,步骤4中,架 构管理模块还引导还原后的数据进入存储子模块保存;架构管理模块引导数据发送子模块 将审核未通过的数据流标记,并发送至存储子模块保存。
3.如权利要求1所述的通信运营商网络信息交互管理方法,其特征在于,步骤2中,数 据采集处理子模块采集标准化后的数据流包括读取、识别以及转化标准化后的数据流。
4.如权利要求1所述的通信运营商网络信息交互管理方法,其特征在于,步骤3中,预 先定义好的过滤规则包括IP地址段规则、数据流量规则、时间段规则、文件类型规则及路 由规则。
5.如权利要求1所述的通信运营商网络信息交互管理方法,其特征在于,架构管理模 块还引导呈现子模块对数据流的传输过程进行直观展现。
6.如权利要求1所述的通信运营商网络信息交互管理方法,其特征在于,架构管理模 块还设定和审核访问权限,并对访问过程中的操作进行记录。
7.一种通信运营商网络信息交互管理系统,其特征在于,包括架构运维管理部分和交 互信息管理部分;交互信息管理部分包括数据适配器、数据采集处理子模块、数据分析子模块和数据发 送子模块;架构运维管理部分包括架构管理模块;架构管理模块,用于引导数据流进入数据适配器架构运维管理部分引导标准化后的数 据流进入数据采集处理子模块;引导采集到的数据流进入数据分析子模块;引导审核通过 的数据流进入数据发送子模块;引导数据发送子模块不向外网发送审核未通过的数据流;数据适配器,用于对数据流进行标准化处理;数据采集处理子模块,用于采集用于交互的标准化后的数据流;数据分析子模块,用于根据规则定义子模块中预先定义的过滤规则对标准化后的数据 流进行审核;数据发送子模块,用于将审核通过的数据流还原并发送到外网。
8.如权利要求7所述的通信运营商网络信息交互管理系统,其特征在于,架构运维管 理部分,还用于引导还原后的数据进入存储子模块保存;引导数据发送子模块将审核未通 过的数据流标记,并发送至存储子模块保存;交互信息管理部分还包括存储子模块。
9.如权利要求7所述的通信运营商网络信息交互管理系统,其特征在于,数据采集处 理子模块,用于采集标准化后的数据流包括读取、识别以及转化标准化后的数据流。2
10.如权利要求7所述的通信运营商网络信息交互管理系统,其特征在于,预先定义的 过滤规则包括IP地址段规则、数据流量规则、时间段规则、文件类型规则及路由规则。
11.如权利要求7所述的通信运营商网络信息交互管理系统,其特征在于,架构运维管 理部分,还用于引导呈现子模块对数据流的传输过程进行直观展现;交互信息管理部分还 包括呈现子模块。
12.如权利要求7所述的通信运营商网络信息交互管理系统,其特征在于,架构运维管 理部分还包括安全审计模块,用于设定和审核访问权限,并对访问过程中的操作进行记录。
13.如权利要求7所述的通信运营商网络信息交互管理系统,其特征在于,该通信运营 商网络信息交互管理系统通过单链路组网方案或双链路组网方案实现。
全文摘要
本发明涉及通信运营商网络信息交互管理方法和系统,方法包括步骤1,架构管理模块引导数据流进入数据适配器,数据适配器对数据流进行标准化处理;步骤2,架构管理模块引导标准化后的数据流进入数据采集处理子模块,数据采集处理子模块采集用于交互的标准化后的数据流;步骤3,架构管理模块引导采集到的数据流进入数据分析子模块,数据分析子模块根据规则定义子模块中预先定义的过滤规则对标准化后的数据流进行审核;步骤4,架构管理模块引导审核通过的数据流进入数据发送子模块,数据发送子模块将审核通过的数据流还原并发送到外网。本发明能够对运营商的网络信息进行保护,提高运营商网络运行的安全性。
文档编号H04L12/24GK101964723SQ20101024278
公开日2011年2月2日 申请日期2010年7月30日 优先权日2010年7月30日
发明者刘惠明, 夏俊杰, 张文钺, 张智江, 张超, 王明会, 陈大巍 申请人:中国联合网络通信集团有限公司;北京电信规划设计院有限公司