专利名称:广播电视网的管控系统的制作方法
技术领域:
本发明涉及电视广播技术,尤其涉及一种广播电视网的管控系统。
技术背景
广播电视网作为党和人民最重要的舆论宣传阵地,是国家信息基础设施与现代服务业的重要组成部分,是通达千家万户最普及的信息工具和最便捷的信息载体,也是传播科学文化知识、丰富人民群众精神文化生活和支撑新经济发展的最具影响力的大众媒体, 在国民经济和社会发展中具有十分重要的地位和作用,因此,加速发展下一代广播电视网 (Next Generation Broadcasting Network ;简称为NGB)是广播电视网络发展的必然选择。
对广播电视网来说,对网络和业务进行管控的重要性是不言而喻的,而随着NGB 的发展,广播电视网不再仅仅承载简单的单向广播业务,这既为各种增值业务的发展创造了条件,也对业务、内容和用户的监管提供出了更高的要求。目前,各运营商对于NGB业务还缺乏明确、统一的界定,无法明确判断并描述相应需求,并且由于交互业务尚未全面推广,各地的服务方式基本以原有广播服务为主,主要是沿用传统的模式。目前,全国数字电视监管平台由一个中央监管中心以及设在服务平台的监管前端和信息采集终端组成,主要具有以下功能(1)内容监测通过视频实时回传或录像画面,直观反映各地各频道的播出情况,实现内容监测。( 质量监测通过前端的信息采集终端,对当地数字电视信号技术指标实时分析,实现质量监测。( 安全监测通过指标分析,可对数字电视劣播、停播、插播等重大播出异常情况进行自动报警、记录、统计,保证播出安全。(4)用户信息管理通过采集服务平台的用户及授权信息,可以即时掌握各地数字电视平移进度,监管各平台的运营范围。
上述数字电视监管平台仅适用于监测数字电视内容,不适用于IP业务的监控,更不能直接应用于基于三网融合的NGB,故需要建立全面的、适用于NGB的管控系统,以实现对NGB中业务与内容的监管。发明内容
本发明提供一种广播电视网的管控系统,用以实现对NGB中业务与内容的监管, 实现适用于NGB的管控系统。
本发明提供一种广播电视网的管控系统,包括管控中心和部署于广播电视网多条链路上的管控节点单元;
所述管控中心,用于获取各个所述管控节点单元的状态信息,根据所述状态信息监控各个所述管控节点单元的状态,并负责制定、更新监控策略,将所述监控策略下发给各个所述管控节点单元;
所述管控节点单元,与所述管控中心连接,用于向所述管控中心提供所述管控节点单元的状态信息,接收所述管控中心下发的所述监控策略,根据所述监控策略对所在链路上的数据流进行监控操作。
本发明的广播电视网的管控系统,包括管控中心和部署在广播电视的各层面的管控节点单元,由管控中心监控各管控节点单元的状态并负责制定、更新和下发监控策略,而部署在各层面的管控节点单元根据监控策略对所在层面的数据流进行监控,从而实现对整个NGB的业务和内容的监控,保证了 NGB网络的安全。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图IA为本发明一实施例提供的广播电视网的管控系统的结构示意图IB为本发明一实施例提供的管控中心的结构示意图IC为本发明一实施例提供的管控节点单元的结构示意图2为本发明一实施例提供的管控中心的两级部署结构示意图3为本发明一实施例提供的管控节点单元的部署结构示意图4为本发明一实施例提供的两级部署方式下管控系统的接口示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图IA为本发明一实施例提供的广播电视网的管控系统的结构示意图。如图IA所示,本实施例的管控系统包括管控中心11和部署在广播电视网的多条链路上的管控节点单元12。
其中,广播电视网即可以是目前的数字电视网,也可以是基于三网融合的NGB。广播电视网的多条链路主要是指广播电视网各层面上的关键链路。也就是说,广播电视网会在其各层面上部署管控节点单元12。
其中,管控中心11,与各个管控节点单元12连接,用于获取各个管控节点单元12 的状态信息,根据获取的状态信息监控各个管控节点单元12的状态。管控中心11还负责制定、更新监控策略,并负责将监控策略下发给各个管控节点单元12。
管控节点单元12,用于向管控中心11提供管控节点单元12的状态信息,接收管控中心11下发的监控策略,并根据监控策略对管控节点单元12所在链路上的数据流进行监控操作。
本实施例的广播电视网的管控系统,通过部署管控中心并在广播电视网的各层面上部署管控节点单元,由管控中心制定、更新监控策略并将监控策略下发给管控节点单元, 而部署在广播电视网各层面上的管控节点单元根据监控策略对所在层面上的数据流进行监控操作,实现了对整个广播电视网的业务和内容的监控,保证广播电视网的安全。
下面结合NGB的实现架构,对本实施例提供的管控系统做进一步说明。
在本实施例中,NGB具有三大平面业务平面、网络平面和管控平面。网络平面上的承载网根据网络层次划分为城域网、接入网和楼内网;业务平面上的业务平台是在承载网之上的开放平台,可以接入不同类型的、不同业务提供商的业务,实现业务无缝接入。业务平台主要实现多种业务应用和传统的电视广播业务。管控平面即为本发明实施例提供的管控系统,其对应于网络平面和业务平面,主要负责内容管控、业务管控、网络管控、用户安全管控等。其中,内容管控负责对全网各层次的内容进行管控,包括对内容的接入审查、 内容的传输安全,对内容进行实时监测,及时过滤非法信息;业务管控负责保证全网业务的安全性,包括业务的接入、根据业务类型进行分级管控等;网络管控负责对网络状态进行监控,分析出合理的网络资源策略,及时调配网络资源,保障业务的安全、高质量传输;用户安全管控负责保证用户的安全,防止非法人员通过终端进行攻击行为,保证全网用户正常享受业务。
本实施例提供的管控系统是跨全网多层次的系统,由管控中心和部署于各业务平台、主要服务系统、主要链路和主要网络设备处的管控节点单元组成的独立于业务平台和承载网的管控系统。本实施例的管控系统能够实现业务、网络、终端等各个层次的管理与控制,包括综合业务控制、用户安全控制、网络测量信息反馈机制以及各层面的自适应调整等方面,确保业务内容的安全可信、网络的可管可控可靠和用户行为的可管可控可追溯。
基于管控系统的架构,管控系统的功能可以概括为如下两方面
1、对网络资源的“管”负责全网资源的协调策略,对业务和网络进行双向优化适配。即根据业务行为的变化调整网络的承载能力;根据网络承载能力的变化通知业务平台, 以便其动态调整服务能力与方式;此外,网管检测到链路饱和时,通知管控系统,由管控系统通知业务平台进行处理。
2、对业务内容的“控”对全网传输内容进行监测,即时过滤或阻截非法内容的传输,拦截网络传播的不良信息,阻断经由网络进行的恶意攻击;对业务内容进行监测,保障呈现给用户的业务信息安全性,在监测到非法内容的情况下,及时停止该业务,达到控制业务播出状态,满足广电系统对于安全性的要求;通过对终端的监管,跟踪并分析用户行为, 对由用户发起的恶意行为如网络攻击等进行屏蔽或关闭,实现用户行为的客观可控可追溯。
为实现上述功能,本实施例的管控系统包括部署于前端的管控中心和部署于NGB 各个层面的管控节点单元,以下分别对管控中心和管控节点单元进行详细描述。
在本实施例中,管控中心主要具有以下功能
1、管控中心可以远程监控各个管控节点单元的状态。
具体的,管控中心可以获取所有管控节点单元的状态信息,进而根据每个管控节点单元的状态信息来监控每个管控节点单元的状态。
一种获取管控节点单元的状态信息的方式包括管控中心通过浏览器/服务器 (Browser/Server ;简称为ΒΛ)方式登录各个管控节点单元,并从管控节点单元上获取其状态信息,进而实现对管控节点单元的状态监控。
另一种获取管控节点单元的状态信息的方式包括管控节点单元根据预设上报周期主动上报自己的状态信息,管控中心接收管控节点单元主动上报的状态信息,进而实现对管控节点单元的状态监控。其中,上报周期可以结合各个管控节点单元所在层面的相关信息进行适应性设置,对于每个管控节点单元的上报周期具体为多少,是否相同等,在本实施例中均不做限定。本实施例提供一种各个管控节点单元的上报周期的优选值为1分钟。
进一步,在本实施例中,管控中心还可以根据各个管控节点单元的状态对各个管控节点单元进行控制,例如控制各个管控节点单元是否执行监控操作,又例如控制各个管控节点单元对某一数据流进行放行、过滤或关断等操作。
另外,本实施例的管控中心还具有接收管控节点单元上报的处理请求,然后控制管控节点单元进行相应的监控操作。其中,管控节点单元在遇到无法处理的情况时,会主动向管控中心上报处理请求,由管控中心决定如何进行处理,并向管控节点单元下发相应的处理操作指令,以控制管控节点单元进行监控操作。
2、管控中心负责制定和更新监控策略,并负责向各个管控节点单元下发监控策略。
在本实施例中,管控中心会存储用户信息及一段时间之内的网络状态、业务状态和用户行为等信息。其中,上述用户信息、网络状态、业务状态以及用户行为等信息是由业务平台、承载网、运营支撑系统等提供。另外,管控中心还会存储管控节点单元上传的状态 fn息ο
管控中心会根据上述用户信息、近期的网络状态、业务状态和管控节点单元的状态信息等,制定监控策略。其中,管控中心会将制定出的监控策略存储到策略库中。当上述各种信息发生变化时,管控中心会对监控策略进行更新,例如修改某个监控策略、增加新的监控策略或者删除某个监控策略等。另外,为了保证监控策略能够与当前的网络状态、业务状态、用户信息、管控节点单元的状态等相适应,管控中心还会预设更新周期,当更新周期到达时,管控中心对监控策略进行更新。本实施例并不限定更新周期的具体数值,其可以根据实际应用环境进行适应性设置。
在此说明,上述根据信息变化和根据更新周期对监控策略进行更新的操作是两种不同的方法,管控中心可以采用其中一种方法,也可以同时采用两种方法。
为了使各管控节点单元能够及时获取到监控策略,管控中心可以根据预设下发周期,定期将策略数据库中的监控策略发送给各个管控节点单元。另外,当监控策略有更新时,管控中心可以在更新监控策略后,将更新后的监控策略发送给各个管控节点单元。本实施例并不限定下发周期的具体数值,其可以根据实际应用环境进行适应性设置。
另外,管控节点单元可以主动向管控中心发送策略获取请求,而管控中心根据管控节点单元发送的策略获取请求向管控节点单元下发监控策略。其中,各个管控节点单元主动请求监控策略的操作彼此独立,互不影响,管控中心只需要向主动请求的管控节点单元发送监控策略即可。
进一步,本发明实施例的管控中心还可以具有以下功能
3、管控中心与NGB中的业务平台、NGB的承载网和运营支撑系统等连接并进行信息交互。
在本实施例中,管控中心与业务平台、承载网、运营支撑系统等连接,分别获取业务平台的业务状态信息、承载网的网络状态信息和运营支撑系统的用户信息等,对获取的信息进行统计分析,为业务平台和/或承载网等制定资源调配策略或生成告警信息,并将资源调配策略或告警信息发送给业务平台和/或承载网等,以辅助业务平台、和/或承载网开展服务。
例如管控中心可以根据获取的上述信息为业务平台制定包括业务运营带宽需求和用户接入端不同业务的带宽限制策略等。又例如管控中心还可以根据从承载网中获取的链路状态异常或饱和(例如网管系统主动上报的链路状态异常或饱和)等信息,通知业务平台进行相关操作,最大限度保证现有用户享受正常服务。
另外,管控中心从业务平台、承载网、运营支撑系统等获取业务状态信息、网络状态信息以及用户行为等信息,为管控中心制定监控策略提供了条件。
4、管控中心负责记录相关操作的日志信息,并根据日志信息进行用户识别、用户区域识别、业务识别等,实现事故回溯。
其中,相关操作包括业务状态查询、网络状态查询、接收到策略请求、下发策略等;相应地日志信息包括事件发生的时间、操作方式、业务标识、用户标识等信息。例如 管控中心可以根据业务标识进行业务识别。又例如管控中心可以根据用户标识进行用户识别和用户区域识别。再例如管控中心还可以根据事件发生的事件、业务标识、用户标识等信息实现事故回溯等。
基于上述,本实施例提供一种管控中心用于实现上述功能的实现结构,但并不限于此。如图IB所示,本实施例的管控中心由策略管理模块111、统计分析模块112、通信适配模块113、操作平台114、信息库115和策略库116组成。外部接口包括业务平台、承载网、 节点设备和运营支撑系统等。
其中,策略管理模块111负责监控策略的制定、同步、更新和执行。具体的,策略管理模块111会定时或及时通过通信适配模块113进行全网管控节点单元的策略同步。策略管理模块111允许管理员根据实际要求制定、删除、更新策略。另外,策略管理模块111还可以对信息库115中存储的信息进行分析,生成新的监控策略,并将新的监控策略存储到策略库16中。策略管理模块111可以接收管控节点单元上报的处理请求,并允许管理员手动或自动触发监控策略的执行,通过通信适配模块113向相关的管控节点单元下发处理操作信令。其中,处理操作指令中包括需要管控节点单元采用的具体监控策略。其中,监控策略包括但并不限于以下几种用于对各链路上的数据流进行截断的截断策略;用于对各链路上的数据流进行过滤的过滤策略;用于对各链路上的数据流进行替换的替换策略。
统计分析模块112负责网络状态信息、业务状态信息、用户信息等的分析,根据分析结果生成资源调配策略或告警信息。具体的,统计分析模块112根据策略库116中的分析策略进行网络状态分析、业务状态分析、用户行为分析等;如果分析结果有异常,统计分析模块112生成合理的建议方案,通过通信适配模块113下发给业务平台、承载网等以使其进行必要的调整。另外,如果分析结果有异常,统计分析模块112还会进行必要的告警处理, 通过通信适配模块113向业务平台、承载网等下发告警信息以向其进行告警。同时,统计分析模块112还负责所有操作的日志记录,并将记录的日志信息存储到信息库115中。
通信适配模块113负责管控中心11与业务平台、承载网、运营支撑系统以及管控节点单元之间的信令交互和监控策略的同步等,是一种接口模块。为了适应业务平台、承载网、运营支撑系统以及管控节点单元彼此接口的不同,通信适配模块113的一种实现结构包括反馈接口 1131,是统计分析模块112根据异常分析结果,向业务平台或承载网等下发告警信息或建议方案的接口 ;策略同步接口 1132,是策略管理模块111向全网管控节点单元同步监控策略的接口 ;信令下发接口 1133,是策略管理模块111向管控节点单元下发信令的接口 ;信息获取接口 1134,是统计分析模块112获取来自业务平台的业务状态信息、承载网的网络状态信息和运营支撑系统的用户信息的接口。
操作平台114负责提供管理员操作界面,并允许管理员进行信息查询、监控策略的制定、系统管理等操作。例如操作平台114可以设置手动控制接口,为管理员提供手动下发信令的界面。操作平台114还可以设置系统管理功能,允许管理员对管控系统内的所有管控节点单元进行状态监控。操作平台114还可以设置信息呈现成功,用于向管理员呈现各种信息,例如网络状态、业务状态、监控策略等信息。操作平台还可以设置日志查询功能,向管理员提供查询日志信息的接口。上述只是操作平台114实现其功能的一种结构,但并不限于此。
信息库115负责存储各种信息,例如信息获取接口 1134获取的用户信息及一段时间之内的网络状态信息、业务状态信息和用户行为信息等。信息库115还负责存储各个管控节点单元上传的所有状态信息。
策略库116负责存储各种策略信息,例如非法信息控制策略、异常处理策略、统计分析策略、监控策略等。各种策略的生成方式包括管理员手动制定、策略管理模块111根据分析结果自动生成等。
上述描述了本实施例管控中心的一种实现结构及其各功能模块的具体功能,下面将详细描述本实施例管控节点单元的功能。
本实施例的管控节点单元主要具有以下功能
1、接收管控中心下发的监控策略,并根据监控策略对所在链路上的数据流进行监控操作。
在本实施例中,管控中心下发给管控节点单元的监控策略包括截断策略、过滤策略、替换策略等。管控节点单元对所在链路上的数据流进行监控,并可以直接根据上述策略对检测到的非法数据流进行截断、过滤或替换等操作。另外,本实施例的管控节点单元也可以通知管控中心,由管控中心下发处理操作指令,然后根据处理操作指令进行相应处理。
2、向管控中心提供其自身状态信息。
其中,管控节点单元可以定期或及时主动向管控中心提供自身的状态信息,以及保存的日志信息(例如事件发生的时间、用户信息、业务信息等),为事故回溯提供依据。 另外,管控节点单元还可以允许管控中心登录并获取其状态信息以及所保存的日志信息寸。
进一步,本实施例的管控节点单元还具有以下功能
3、根据事故的敏感度决定是否可直接关断链路。
例如当事故敏感度较高时,管控节点单元可直接关断链路,然后再通知管控中心;反之,管控节点单元直接将事故上报给管控中心,由管控中心下发处理操作指令,然后根据处理操作指令进行相应处理操作。其中,所述链路即为管控节点单元所监控的链路,也是数据流传输的链路。关闭链路意味着数据流无法再传输。
本实施例的管控节点单元与管控中心交互,根据监控策略执行数据流过滤、截断、 替换等操作,保证了网络的安全。
本实施例提供管控节点单元实现上述功能的一种实现结构,但并不限于此。如图 IC所示,本实施例的管控节点单元包括网络通信模块121、策略分库122、数据输入模块 123、数据输出模块124、执行模块125和数据存储模块126。
网络通信模块121,负责封装网络通信协议,与管控中心进行交互,包括执行管控中心下发的各种信令,保持策略分库122和策略库的同步,并负责向管控中心上传状态信息以及日志信息等。
网络通信模块121是多设备之间通信的隔离层,该层提供传输层以上的通信需求,封装基本的和私有的交互协议,为系统中不同模块提供交互接口调用。为了简化管控系统的设计,为了在不修改其他功能模块的前提下,实现通信协议和交互方式的更换,同时为了能够只对网络通信模块121进行简单修改即可使其对新通信协议和交互方式进行支持, 本实施例提供一种网络通信模块121的分离实现结构,包括策略分库主动请求同步的主动同步接口、策略分库被动接收更新命令的被动更新命令接口、数据存储模块中信息/记录的查询接口、数据存储模块信息/记录的同步接口等。
策略分库122,是管控中心的策略库在本地管控节点单元的镜像,存储的是一条条的监控策略。监控策略是对指定特征的数据流进行特定操作的匹配模板。监控策略主要分为三类过滤策略、截断策略、替换策略。其中,截断策略是指管控节点单元根据截断策略中的截断流信息进行比对匹配,当匹配成功时,说明符合截断策略,将抛弃当前数据包及该数据流的后续数据包。过滤策略是指管控节点单元根据过滤策略中的过滤流信息进行比对匹配,当匹配成功时,说明符合过滤策略,将删除匹配中的数据包。替换策略是指管控节点单元根据替换策略中的替换流信息进行比对匹配,当匹配成功时,说明符合替换策略,将匹配中的数据包替换为替换流信息。
其中,通过管控节点单元的所有网络数据首先要进入数据输入模块123,该数据输入模块123用于对输入数据进行预处理以优化输入到执行模块125的数据,并将相关数据存储到数据存储模块126中。
具体的,数据输入模块123需要对输入数据进行预处理,根据执行模块125启动的线程数,对每个线程制定与其对应的执行预处理单元。每个执行预处理单元负责为每个数据包进行参数设置以简化执行模块125的操作,减少系统级的内存拷贝,以达到单数据包单次拷贝的目标。在这个预处理过程中预处理单元需要设定数据包的起始指针队列,该数据包的起始指针队列不仅用于存储数据包的起始地址,并负责管理和维护一块用于存储数据包的缓冲池。每个起始指针队列的长度在初始配置是固定,形成循环链表减少系统加锁解锁的操作,提高执行效率。预处理单元为每个数据包分配定长的空间存储数据包,该方式的优势是可以减少存储空间的释放和申请,同时可以有效的利用系统的存储页面管理,减少内存碎片的产生,减少内存页面的切换,从而提高整个管控系统的执行效率。其中,执行模块125的执行能力在一定程度上由数据包的缓冲池的大小决定。
其中,所有经过执行模块125处理过的数据最后均需通过数据输出模块124,数据输出模块124通过建立缓冲队列将处理过数据发送到网络上,同时数据输出模块将相关的数据以及发送记录等存储到数据存储模块126中。数据输出模块124的缓冲能力与数据包的缓冲池的大小相关,以尽力发送为原则,将处理过的数据包从管控节点单元上发送出去。
执行模块125,是管控节点单元的核心模块,负责完成所有数据的处理操作,主要包括过滤操作、截断操作、替换操作。该执行模块125可以根据管控节点单元的硬件进行相关优化,以提高数据处理能力。该执行模块125的处理操作也将保存到数据存储模块1 中。
具体的,执行模块125是节点的核心模块,其执行效率将直接影响管控节点单元的整体性能。在本实施例中,执行模块125为每个执行CPU分配固定的单执行线程对数据进行处理,这样可以减少系统线程切换产生的中断,减少线程空间的切换操作,提高CPU的使用效率。对于每个执行线程以链式串行的方式进行数据处理。另外,在本实施例中,三种监控策略可以设置不同的覆盖性,并根据各自的覆盖性进一步对执行模块125的执行流程进行优化,例如设定截断策略的覆盖性最大,其次是过滤策略,最后是替换策略,则当截断策略被执行时,将直接跳过过滤策略和替换策略,当过滤策略被执行时将直接跳过替换策略, 而替换策略必须执行完所有的替换策略后才可以退出。
例如当监控策略仅包括截断策略时,执行模块125的处理流程包括拦截所在链路上的数据包并缓存,将拦截的数据包与截断策略中的截断流信息进行比对匹配,当匹配中时,将拦截的数据包以及拦截的数据包之后的其他数据包丢弃,当未匹配中时,将拦截的数据包以及拦截的数据包之后的其他数据包放行。
又例如当监控策略同时包括截断策略和过滤策略时,执行模块125的处理流程包括拦截所在链路上的数据包并缓存,将拦截的数据包与截断策略中的截断流信息进行比对匹配,当匹配中截断流信息时,将部分数据包以及部分数据包之后的其他数据包丢弃, 当未匹配中截断流信息时,将拦截的数据包与过滤策略中的过滤流信息进行比对匹配,当匹配中过滤流信息时,将拦截的数据包删除,当未匹配中过滤流信息时,将拦截的数据包以及拦截的数据包之后的其他数据包放行。
再例如当监控策略同时包括截断策略、过滤策略和替换策略时,执行模块125的处理流程包括拦截所在链路上的部分数据包并存储,将拦截的数据包与截断策略中的截断流信息进行比对匹配,当匹配中截断流信息时,将拦截的数据包以及拦截的数据包之后的其他数据包丢弃,当未匹配中截断流信息时,将拦截的数据包与过滤策略中的过滤流信息进行比对匹配,当匹配中过滤流信息时,将拦截的数据包删除,当未匹配中过滤流信息时,将拦截的数据包与替换策略中的替换流信息进行比对匹配,当匹配中替换流信息时,用替换流信息替换拦截的数据包,并输出替换后的数据包,当未匹配中所述替换流信息时,将拦截的数据包以及拦截的数据包之后的其他数据包放行。
其中,将拦截的数据包以及拦截的数据包之后的其他数据包放行是指将拦截的数据包以及拦截的数据包之后的其他数据包输出给数据输出模块124,由数据输出模块IM 将其输出。
进一步,在本实施例中,执行模块125在对拦截到的数据包进行比对匹配操作之前,首先对数据包进行循环冗余码校验(Cyclic Redundancy Check ;简称为CRC),并在 CRC校验通过时,对拦截的数据包进行解密,然后对解密后的数据包进行比对匹配操作。同理,当判断出需要将拦截的数据包以及后续数据包进行放行后,执行模块125需要先对拦截的数据包进行加密,并对加密后的数据包进行CRC校验,然后再将进行CRC校验后的数据包发送给数据输出模块124。
数据存储模块126,负责存储进入管控节点单元的数据、经管控节点单元输出后的数据以及相关的处理记录信息等。
其中,本实施例的数据存储模块1 可以保证足够长的数据记录周期,该记录周期将直接决定数据库存储空间不能小于特定大小,同时由于数据量巨大,还会保证数据库的读写并发能力。数据存储模块126需要支持管控中心的查询和数据同步的操作,联合所有管控节点单元的数据存储模块1 形成高效的分布式大规模数据库,完成对数据/记录的查询能力,并为管控中心的统计分析模块提供数据支持,以形成具备自学习功能的管控系统。
由上述可见,本实施例的管控系统通过部署管控中心和管控节点单元,实现了对整个广播网络的监控,使得广播网络的业务、安全的可管可控。而本实施例的管控系统与网管系统和安全系统并不等同。首先,管控系统侧重于业务自身及承载网对于业务的影响,而网管系统侧重于网络设备自身,虽然部分管控数据需要由网管系统提供,但仅仅是接口关系;其次,安全系统侧重于网络边缘的防攻击、防病毒方面,管控系统则是在链路上通过对传输内容的监测来监测业务状态,及时采取必要手段保证传输内容的安全。
进一步,基于上述实施例,本实施例的管控系统可以包括多级管控中心,上一级管控中心与下一级管控中心连接。例如管控中心可以采用两级部署方式,分为中央管控中心 Ila和省级管控中心11b,且中央管控中心Ila仅具有一个,而省级管控中心lib可以有多个,如图2所示。
其中,中央管控中心Ila负责全国有线电视网络的监管,省级管控中心lib负责所辖区域内有线电视网络的监管以及与外网间交互的监管,监管结果定期向中央管控中心 Ila上报,并支持中央管控中心Ila实时查询。中央管控中心Ila可通过省级管控中心lib 实现对省内有线电视网络的监管、各省级有线电视网络间的内容监管。
更进一步,管控节点单元的部署应该充分考虑NGB主要网络技术和业务服务方式进行部署。
NGB采用光网骨干,以太网无源光网络(Ethernet Passive Optical Network ;简称为ΕΡ0Ν)结合以太数据通过同轴电缆传输(Ethernet over COAX ;简称为E0C)的接入方式,因此应充分考虑有源无源器件对于管控节点单元的支持,考虑接入用户数量等因素。 其中,业务服务方式包括本地业务和第三方业务。第三方业务有两种接入方式包括通道接入和服务接入。
(1)通道接入在用户发起业务后,由本地业务运营商通知第三方业务运营商,第三方业务运营商通过另一条服务链路直接与用户建立服务,不必经过本地业务运营商的服务平台。
(2)服务接入第三方业务运营商预先在本地业务运营商的业务平台搭建服务器,经过安全性审查后,可视同本地业务运营商提供的服务。
结合上述因素,在本实施例中,管控节点单元的部署方式如下
对于本地业务
(1)在广播电视网的业务平台(或称为业务系统)下行出口路由器前部署管控节点单元,保证上线业务的安全性。
(2)在广播电视网的承载网中的城域网下行入口路由器前部署管控节点单元,保证进入城域网的业务安全性。
(3)在广播电视网的承载网中的接入网的入口路由器前部署管控节点单元,保证接入网内的业务安全性。
(4)对于分布式部署的业务,在分布式业务平台出口路由器前部署管控节点单元, 保证分布式业务平台下行业务的安全性。
( 在EP0N+E0C的接入方式下,大规模接入汇聚路由器(Access Convergence Router ;简称为ACR)下延口和光纤线路终端(Optical Line Terminal ;简称为0LT)上延口都可以部署管控节点单元,但相应的管控范围不同,如果在ACR下部署,则由ACR到OLT 之间的网络可能会出现漏洞,所以选择在OLT上延口部署管控节点单元,既可以检测由ACR 汇聚的上下行内容,也可以保证ACR和OLT之间的安全,降低成本,为一种优选的部署方式。
对于第三方接入的业务
(1)对于通道接入的本地第三方业务端,在其出口路由器前部署管控节点单元,保证下行业务的安全性和上行用户信令的合法性。
(2)对于服务接入的第三方业务端,由于在本地业务前端已部署管控节点单元,故不需另外部署。
对于跨域业务在城域网前的入口路由器前部署管控节点单元,保证进入网内的跨域业务的安全性和合法性。
另外,有些情况不需要部署管控节点单元,例如以下情况就不需要部署管控节点单元
(1)对于楼内网(E0C头端以下,一栋楼或半栋楼)而言,用户量少,范围小,不部署管控节点单元。
(2)对于接入网的无源光纤网络(Passive Optical Network ;简称为Ρ0Ν)(几个小区),范围小,光纤被攻击可能性低,可以考虑不部署管控节点单元。
(3)接入网的树形结构决定了链路资源不可调配,因此接入网不存在链路调配,只需要资源饱和时报警。
基于所述,图3以NGB架构下城域网的管控系统为例,给出了管控节点单元的部署示意图。在图3中示出A城市的城域网和B城市的城域网,以A城市城域网为例,城域网主要包括了以下几种业务分布式业务(由分布式业务平台完成)、本地第三方SP业务(由本地第三方SP业务平台完成)、开放式业务(由开放式业务集成平台完成)和与B城市业务 (由B城市业务平台完成)的交互业务。另外,在图3中还示出了路由器、核心路由器、汇聚路由器以及、0LT、光节点(Optical Network Unit ;简称为0NU)、E0C头端等接入设备。在图3中的①、②、③、④、⑤、⑥、⑦、⑧分别为部署管控节点单元的部署点。表1对上述各个部署管控节点单元的部署点的功能进行简单说明。
表 权利要求
1.一种广播电视网的管控系统,其特征在于,包括管控中心和部署于广播电视网多条链路上的管控节点单元;所述管控中心,用于获取各个所述管控节点单元的状态信息,根据所述状态信息监控各个所述管控节点单元的状态,并负责制定、更新监控策略,将所述监控策略下发给各个所述管控节点单元;所述管控节点单元,与所述管控中心连接,用于向所述管控中心提供所述管控节点单元的状态信息,接收所述管控中心下发的所述监控策略,根据所述监控策略对所在链路上的数据流进行监控操作。
2.根据权利要求1所述的广播电视网的管控系统,其特征在于,所述监控策略包括以下任一策略或其任意组合用于对各链路上的数据流进行截断的截断策略;用于对各链路上的数据流进行过滤的过滤策略;用于对各链路上的数据流进行替换的替换策略。
3.根据权利要求2所述的广播电视网的管控系统,其特征在于,当所述监控策略包括所述截断策略时,所述管控节点单元具体用于拦截所在链路上的数据包,将所拦截的数据包与所述截断策略中的截断流信息进行比对匹配,当匹配中时,将所拦截的数据包以及所拦截的数据包之后的其他数据包丢弃;当未匹配中时,将所拦截的数据包以及所拦截的数据包之后的其他数据包放行。
4.根据权利要求2所述的广播电视网的管控系统,其特征在于,当所述监控策略包括所述截断策略和所述过滤策略时,所述监控节点单元具体用于拦截所在链路上的数据包, 将所拦截的数据包与所述截断策略中的截断流信息进行比对匹配,当匹配中所述截断流信息时,将所拦截的数据包以及所拦截的数据包之后的其他数据包丢弃;当未匹配中所述截断流信息时,将所拦截的数据包与所述过滤策略中的过滤流信息进行比对匹配,当匹配中所述过滤流信息时,将所拦截的数据包删除;当未匹配中所述过滤流信息时,将所拦截的数据包以及所拦截的数据包之后的其他数据包放行。
5.根据权利要求2所述的广播电视网的管控系统,其特征在于,当所述监控策略包括所述截断策略、所述过滤策略和所述替换策略时,所述管控节点单元具体用于拦截所在链路上的数据包,将所拦截的数据包与所述截断策略中的截断流信息进行比对匹配,当匹配中所述截断流信息时,将所拦截的数据包以及所拦截的数据包之后的其他数据包丢弃;当未匹配中所述截断流信息时,将所拦截的数据包与所述过滤策略中的过滤流信息进行比对匹配,当匹配中所述过滤流信息时,将所拦截的数据包删除;当未匹配中所述过滤流信息时,将所拦截的数据包与所述替换策略中的替换流信息进行比对匹配,当匹配中所述替换流信息时,用所述替换流信息替换所拦截的数据包,并输出替换后的数据包;当未匹配中所述替换流信息时,将所拦截的数据包以及所拦截的数据包之后的其他数据包放行。
6.根据权利要求3或4或5所述的广播电视网的管控系统,其特征在于,所述管控节点单元更为具体的用于按照预设拦截周期或实时地对所在链路上的数据流进行拦截,获取所拦截的数据包。
7.根据权利要求3或4或5所述的广播电视网的管控系统,其特征在于,所述管控节点单元还用于在将所拦截的数据包与所述截断策略中的截断流信息进行比对匹配前,对所拦截的数据包进行循环冗余码校验CRC,并在CRC校验通过时,对所拦截的数据包进行解密, 以及在将所拦截的数据包以及所拦截的数据包之后的其他数据包放行之前,对所拦截的数据包进行加密,并在加密后对所拦截的数据包进行CRC校验。
8.根据权利要求1-5任一项所述的广播电视网的管控系统,其特征在于,所述管控中心还与所述广播电视网中的业务平台、承载网和运营支撑系统连接,用于获取所述业务平台的业务状态信息、所述承载网的网络状态信息和所述运营支撑系统的用户信息,并对所述业务平台的业务状态信息、所述承载网的网络状态信息和所述运行支撑系统的用户信息进行统计分析,生成告警信息,并将所述告警信息发送给所述业务平台和/或所述承载网。
9.根据权利要求1-5任一项所述的广播电视网的管控系统,其特征在于,所述管控中心具体用于登录各个所述管控节点单元,获取各个所述管控节点单元的所述状态信息;或者,所述管控中心具体用于接收各个所述管控节点单元根据预设上报周期主动上报的所述状态信息。
10.根据权利要求1-5任一项所述的广播电视网的管控系统,其特征在于,所述管控中心在更新所述监控策略后或根据预设下发周期,主动向所述管控节点单元发送所述监控策略。
11.根据权利要求1-5任一项所述的广播电视网的管控系统,其特征在于,所述管控节点单元具体用于向所述管控中心发送策略获取请求,并接收所述管控中心根据所述策略获取请求下发的所述监控策略;所述管控中心具体用于接收所述管控节点单元发送的策略获取请求,并根据所述策略获取请求向所述管控节点单元下发所述监控策略。
12.根据权利要求1-5任一项所述的广播电视网的管控系统,其特征在于,所述管控节点单元具体部署在所述广播电视网的业务平台的下行出口路由器前、所述广播电视网的承载网中的城域网下行入口路由器前和所述广播电视网的承载网中的接入网入口路由器前; 或者所述管控节点单元具体部署在所述广播电视网的第三方业务端的出口路由器前;或者所述管控节点单元具体部署在所述广播电视网的承载网中的城域网的入口路由器前。
13.根据权利要求1-5任一项所述的广播电视网的管控系统,其特征在于,包括多级管控中心;其中,上一级管控中心与下一级管控中心连接。
全文摘要
本发明提供一种广播电视网的管控系统。该系统包括管控中心和部署于广播电视网多条链路上的管控节点单元;所述管控中心,用于获取各个所述管控节点单元的状态信息,根据所述状态信息监控各个所述管控节点单元的状态,并负责制定、更新监控策略,将所述监控策略下发给各个所述管控节点单元;所述管控节点单元,与所述管控中心连接,用于向所述管控中心提供所述管控节点单元的状态信息,接收所述管控中心下发的所述监控策略,根据所述监控策略对所在链路上的数据流进行监控操作。本发明的管控系统实现了对整个NGB的业务和内容的监控,保证了NGB网络的安全。
文档编号H04N21/24GK102510524SQ201110329539
公开日2012年6月20日 申请日期2011年10月26日 优先权日2011年10月26日
发明者万倩, 崔竞飞, 朱里越, 欧阳峰, 牛妍华 申请人:国家广播电影电视总局广播科学研究院