一种基于云平台的通信网监控架构系统的制作方法

1.本发明涉及电力安全管控技术领域，尤其涉及一种基于云平台的通信网监控架构系统。


背景技术：

2.在通信网络安全中，特别是电力通信网中，涉及的网元众多，各模块都是互相独立构成各自的防护体系，没有形成系统的针对安全访问网络内部的安全防护架构。
3.因此，需要提出一种新的针对通信网络安全监控的系统，能实现完整的端到端的安全管控。


技术实现要素：

4.本发明提供一种基于云平台的通信网监控架构系统，用以解决现有技术中存在的缺陷。
5.本发明提供的基于云平台的通信网监控架构系统，包括：
6.从顶层到底层部署的前端展示层、api接口层、服务中心层、数据库集群、容器化平台、运行环境和网管系统；
7.所述前端展示层包括网管综合监视系统和云资源管理平台，用于使客户端通过浏览器进行访问；
8.所述api接口层用于封装系统内部结构，提供统一入口、日志记录和权限控制，支持双因子认证，并结合u盾认证技术和生物识别技术进行辅助实施安全管控；
9.所述服务中心层用于通过微服务软件架构部署方式，基于rpc框架确定微服务的告警服务、监控服务、数据服务及监控服务，并结合基础服务中间件对服务进行数据治理、监控、分析和配置；
10.所述数据库集群包括采集数据库集群和应用数据库集群，用于采用mysql数据库进行数据库集群；
11.所述容器化平台用于采用容器化部署方式，基于云平台的容器管理平台进行容器管理；
12.所述运行环境用于底层运行服务器、存储设备及安全设备；
13.所述网管系统包括总调网管、各中调网管和各地市网管，用于接入所述通信网监控架构系统进行数据采集及监视。
14.在一个实施例中，所述api接口包括访问功能权限划分模块、安全请求校验模块和第三方接口模块；
15.所述访问功能权限划分模块用于根据登陆用户权限将访问用户划分为客户端用户和运维人员，所述客户端运维人员通过客户端用户请求流程访问系统功能微服务，所述运维人员通过运维人员请求流程访问服务监控模块；
16.所述安全请求校验模块用于通过api gateway token认证拦截器、api网关权限和
反向代理实现请求可信；
17.所述第三方接口模块用于在api gateway内部token校验过程中预留第三方接口，采用所述u盾认证技术和所述生物识别技术进行接入认证。
18.在一个实施例中，所述服务中心层包括告警服务模块、网络拓扑服务模块、业务开通服务模块和监控服务模块；
19.所述告警服务模块、所述网络拓扑服务模块、所述业务开通服务模块和所述监控服务模块分别与api接口层相连，接收所述api接口层通过担任反向代理角色获得的不同请求路由；
20.所述api接口层位于所述客户端和各个微服务之间，与所述各个微服务通过网络防御进行数据访问，所述网络防御采用网络安全态势预警安全防御算法，并通过基于神经网络预测模型学习方法，分析数数据请求是否安全可靠；
21.所述各个微服务通过基于云平台的虚拟化技术，进行集群化部署；
22.所述api接口层与所述客户端通过网络边界相连，所述网络边界包括网络安全设备，所述网络安全设备用于网络隔离。
23.在一个实施例中，所述容器化平台包括虚拟化/容器化、网络边界和网管区域；
24.所述虚拟化/容器化用于基于云平台的虚拟化技术，采用容器化部署技术将不同网管区域的采集服务进行划分；
25.所述网络边界用于在所述虚拟化/容器化和所述网管区域之间，采用网络边界设备和纵向加密装置进行网络隔离；
26.所述网管区域包括网级网管区域、各省级网管区域和各地市网管区域，用于监控系统的数据来源端。
27.在一个实施例中，所述容器化平台通过协议限制和终端访问限制，提供基于角色的访问权限控制、管理提取和推送预设容器镜像权限。
28.在一个实施例中，还包括网络安全保障模块，所述网络安全保障模块用于采用安全感知设备对预设区域内交换机物理端口进行监听，采用纵向加密认证装置、基于ca证书链机制和基于kpi的密钥分发机制，并采用生产大区内部主管主备mstp专线。
29.在一个实施例中，还包括架构安全保障模块，所述架构安全保障模块用于引入所述api接口层，支持所述双因子认证，在后台业务中心层采用主流微服务架构，结合基础服务中间件对服务进行管理，在后台采集服务中采用预设容器化技术简化采集服务。
30.在一个实施例中，还包括服务监控模块，所述服务监控模块用于监控服务运行状态、网管连接状态、采集数据分析和外部请求分析；
31.所述采集数据分析包括告警数据状况、网元数据状况、端口数据状况和性能数据状况。
32.在一个实施例中，还包括文件防篡改模块，所述文件防篡改模块用于基于md5算法进行系统配置目录操作、指定文件类型操作、拷贝备份操作、md5文件加密操作和锁定只读操作。
33.本发明提供的基于云平台的通信网监控架构系统，通过提出的基于云平台安全可靠的监控架构及系统，通过建设安全系统架构模型，具备安全通信、服务可靠和高可用性等特点。
附图说明
34.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
35.图1是本发明提供的系统整体架构图；
36.图2是本发明提供的api接口层的访问权限功能划分示意图；
37.图3是本发明提供的客户端用户请求流程图；
38.图4是本发明提供的运维人员请求流程图；
39.图5是本发明提供的api gateway内部校验示意图；
40.图6是本发明提供的token校验原理流程图；
41.图7是本发明提供的第三方主流生物识别技术和u盾技术的示意图；
42.图8是本发明提供的基于微服务可信技术的安全防护架构图；
43.图9是本发明提供的基于容器化可信技术的安全防护架构图；
44.图10是本发明提供的网、省、地采集通道示意图；
45.图11是本发明提供的通信网监控系统网络拓扑图；
46.图12是本发明提供的服务监控模块示意图；
47.图13是本发明提供的基于md5算法的文件防篡改技术应用流程示意图。
具体实施方式
48.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.图1是本发明提供的系统整体架构图，如图1所示，包括：
50.从顶层到底层部署的前端展示层、api接口层、服务中心层、数据库集群、容器化平台、运行环境和网管系统；
51.所述前端展示层包括网管综合监视系统和云资源管理平台，用于使客户端通过浏览器进行访问；
52.所述api接口层用于封装系统内部结构，提供统一入口、日志记录和权限控制，支持双因子认证，并结合u盾认证技术和生物识别技术进行辅助实施安全管控；
53.所述服务中心层用于通过微服务软件架构部署方式，基于rpc框架确定微服务的告警服务、监控服务、数据服务及监控服务，并结合基础服务中间件对服务进行数据治理、监控、分析和配置；
54.所述数据库集群包括采集数据库集群和应用数据库集群，用于采用mysql数据库进行数据库集群；
55.所述容器化平台用于采用容器化部署方式，基于云平台的容器管理平台进行容器管理；
56.所述运行环境用于底层运行服务器、存储设备及安全设备；
57.所述网管系统包括总调网管、各中调网管和各地市网管，用于接入所述通信网监控架构系统进行数据采集及监视。
58.具体地，如图1所示，从上至下分别部署了前端展示层、api接口层、服务中心层、数据库集群、容器化平台、运行环境和网管系统，各模块的功能具体如下：
59.前端展示层：包含网管综合监视系统和云资源管理平台，客户端采用浏览器可以访问；
60.api接口层：封装了系统内部架构，提供统一入口，包含日志记录和权限控制，支持采用双因子认证，结合u盾认证技术和生物识别技术进行辅助实施安全管控，可以避免操作人员误操作、误控制，实现授权人员、可信设备、正确方案、准确控制，提高网络控制的安全水平和效率；
61.服务中心层：采用微服务软件架构部署方式，采用主流的rpc框架将微服务分成4大块：告警服务、监控服务、数据服务及监控服务。可以结合基础服务中间件对服务进行数据治理、监控、分析、配置等功能，降低服务管理的工作量；
62.数据库集群：分采集数据库集群和应用数据库集群，均采用mysql数据库进行数据库集群；
63.容器云平台：采用容器化部署方式，利用云平台的容器管理平台进行容器管理；
64.运行环境：底层运行服务器、存储设备以及安全设备；
65.网管系统：包含总调、各中调、地市网管，均接入通信网监控系统进行运行数据采集并监视。
66.本发明通过提出的基于云平台安全可靠的监控架构及系统，通过建设安全系统架构模型，具备安全通信、服务可靠和高可用性等特点。
67.基于上述实施例，所述api接口包括访问功能权限划分模块、安全请求校验模块和第三方接口模块；
68.所述访问功能权限划分模块用于根据登陆用户权限将访问用户划分为客户端用户和运维人员，所述客户端运维人员通过客户端用户请求流程访问系统功能微服务，所述运维人员通过运维人员请求流程访问服务监控模块；
69.所述安全请求校验模块用于通过api gateway token认证拦截器、api网关权限和反向代理实现请求可信；
70.所述第三方接口模块用于在api gateway内部token校验过程中预留第三方接口，采用所述u盾认证技术和所述生物识别技术进行接入认证。
71.具体地，如图2所示，根据登陆用户权限不同进行划分为2类用户：客户端用户和运维人员，访问对应的服务功能。
72.相应地，客户端用户请求流程为：值班人员账号(a1)登陆访问系统(d1)，api gateway(b1)接收请求，验证用户信息，验证后将请求响应(d2)到系统功能微服务(c1)，流程如图3所示。
73.运维人员请求流程为：运维人员账号(a2)登陆访问系统，api gateway(b1)接收请求，验证用户信息，验证后将请求响应(f2)到服务监控模块(c2)，流程如图4所示。
74.此外，还应用安全请求校验技术，如图5所示，token认证拦截器(b1
‑
1/b1
‑
2)：使用拦截器技术，对外部请求用户session进行校验(n1/d1/f1)，将用户信息缓存到会话
session中，后续访问则从会话中获取用户信息，token校验原理如图6所示：
75.网关限制(b1
‑
3)：可以通过不同用户类型、访问源的ip进行限制，同时监控请求流量进行限制；
76.反向代理(b1
‑
4)：将外部请求映射到内部微服务，例如：值班员进行告警查询，api gateway根据请求路径中的“/alarmmanager”到服务注册中心(映射表)找到对应的后台微服务进行转发；
77.日志记录(b1
‑
5)：记录内部所有环节的日志，采用slf4j或者log4j日志框架，按照以下自定义日志格式进行记录：
78.％d{hh:mm:ss.sss}％
‑
日志级别数level％class{36}％l％m
‑
％msg％xex％n。
79.此处，在api gateway内部token校验过程中，预留第三方接口，支持在不同的业务场景下，使用主流生物识别技术、u盾技术接入认证，如图7所示。为保障操作人员可信，防误操作，需要使用生物识别和u盾认证，可应用在以下的业务场景：
80.辅助认证登录：采用双因子认证，输入用户名密码外，结合指纹识别，校验用户信息和指纹信息是否匹配，校验成功后登陆应用系统；
81.告警转历史：使用人脸识别或者u盾认证，确认操作用户信息是授权管理人员，否则不能操作；
82.业务开通：业务开通确认步骤，使用u盾认证，确认操作人员是授权值班人员，否则不能操作；
83.网管数据同步：除了定时同步网管物理、资源信息外，有时需要人工同步网管最新数据，使用人脸识别，确认操作用户信息是授权管理人员，否则不能操作。
84.本发明所应用的api gateway具有如下优点：api gateway通过服务请求聚合，减少了客户端与各个微服务之间的交互次数，并通过token拦截器，对所有的请求用户信息进行鉴定授权。
85.基于上述任一实施例，所述服务中心层包括告警服务模块、网络拓扑服务模块、业务开通服务模块和监控服务模块；
86.所述告警服务模块、所述网络拓扑服务模块、所述业务开通服务模块和所述监控服务模块分别与api接口层相连，接收所述api接口层通过担任反向代理角色获得的不同请求路由；
87.所述api接口层位于所述客户端和各个微服务之间，与所述各个微服务通过网络防御进行数据访问，所述网络防御采用网络安全态势预警安全防御算法，并通过基于神经网络预测模型学习方法，分析数数据请求是否安全可靠；
88.所述各个微服务通过基于云平台的虚拟化技术，进行集群化部署；
89.所述api接口层与所述客户端通过网络边界相连，所述网络边界包括网络安全设备，所述网络安全设备用于网络隔离。
90.具体地，如图8所示，包括：
91.g1、客户端：客户端人员(值班人员、运维人员和开发人员)采用浏览器访问系统地址；
92.g2、网络边界：客户端(g1)跟api接口层(b1)之间需要具备安全互信接入，需要采用网络边界设备等安全设备进行网络隔离。如：防火墙的白名单地址限制以及地址映射；
93.b1 api接口层：统一校验入口，处于客户端与各个微服务之间，担任反向代理角色，将不同的请求路由到相对应的微服务中去；
94.g3网络防御：采用网络安全态势预警安全防御技术，基于神经网络预测模型的学习方法，分析数数据请求是否安全可靠，防止被黑客攻击；
95.g4后台微服务：基于云平台的虚拟化技术，后台微服务进行集群化部署，分为告警管理模块、网络拓扑模块、业务开通模块、监控模块，服务多节点运行，功能模块独立，保障服务安全性。
96.因此，微服务化架构的安全性包括：
97.三层限制：通过网络边界设备、api接口层、网络防御层3层限制，保障架构的安全性；
98.统一鉴权：api接口层统一鉴权，管理所有数据来源请求；
99.微服务部署：服务采用集群部署，每个服务足够内聚，足够小，代码容易理解这样能聚焦一个指定的业务功能或业务需求，能使用不同的语言开发，开发简单、开发效率提高，是有功能意义的服务，无论是在开发阶段或部署阶段都是独立的。
100.本发明通过基于微服务可信技术的安全防护架构设计，实现了高内聚、低耦合的业务权限控制。
101.基于上述任一实施例，所述容器化平台包括虚拟化/容器化、网络边界和网管区域；
102.所述虚拟化/容器化用于基于云平台的虚拟化技术，采用容器化部署技术将不同网管区域的采集服务进行划分；
103.所述网络边界用于在所述虚拟化/容器化和所述网管区域之间，采用网络边界设备和纵向加密装置进行网络隔离；
104.所述网管区域包括网级网管区域、各省级网管区域和各地市网管区域，用于监控系统的数据来源端。
105.其中，所述容器化平台通过协议限制和终端访问限制，提供基于角色的访问权限控制、管理提取和推送预设容器镜像权限。
106.具体地，如图9所示，容器化平台包括：
107.h1、虚拟化/容器化：基于云平台的虚拟化技术，采用容器化部署技术，因为网、省、地市的网管数量众多，需要采用一种方便部署和管理的技术，容器化就是最好的办法，针对不同网管区域，对采集服务进行划分，采用目前最主流的容器化技术之一docker进行部署。
108.h2、网络边界：采集服务(h1)跟网管区域(h3)之间需要具备安全互信接入，需要采用网络边界设备、纵向加密装置等安全设备进行网络隔离。
109.h3、网管区域：由网级网管区域、各省级网管区域、各地市网管区域组成，是监控系统的数据来源端。
110.不难发现，采用容器化架构的优势很明显，包括：与虚拟机镜像相比，容器镜像更容器创建，提升了硬件的使用效率；提供可靠与频繁的容器镜像构建和部署，可以很方便及快速的回滚；在构建/发布时创建应用程序容器镜像,从而将应用程序和基础架构分离；在其他电脑上运行效果与云中部署的一样；提升了操作系统的抽象级别,以便在使用逻辑资源的操作系统上运行应用程序；应用程序被分成更小,更独立的部分,可以动态部署和管
理,而不是巨型单体应用运行在专用的大型机上；通过对应用进行资源隔离,可以很容易的预测应用程序性能。
111.图10为网、省、地采集通道示意图，本系统在跨机房或跨地域的网络连接上，使用采用国密标准的密码算法认证制造的网络通道硬件加密装置，加密网络中传输的数据来完成网管采集数据的传输加密，采用国产商用密码在各个环节保证数据的完整性、机密性、不可抵赖和真实性，保障电力调度系统业务数据的机密性和完整性；通过安全制度及管控手段，确保系统所有源代码均保存在国内软件开发商的私有安全区域，在开发、编译、测试以及部署整个过程中未通过互联网传输或存储，保证系统代码不能被非法解密、非法篡改，保证业务系统的代码可靠性、安全性及稳定性，网、省、地三级具备双传输通道，具备冗余。
112.基于上述任一实施例，还包括网络安全保障模块，所述网络安全保障模块用于采用安全感知设备对预设区域内交换机物理端口进行监听，采用纵向加密认证装置、基于ca证书链机制和基于kpi的密钥分发机制，并采用生产大区内部主管主备mstp专线。
113.具体地，如图11所示，本发明采用的网络安全保障包括：
114.采用安全感知设备对区域内的交换机物理口进行监听，防止交换机端口被随意接入；
115.采用纵向加密认证装置，基于ca证书链的机制和基于kpi的密钥分发机制，具有ip过滤、双向认证、数据加密、远程管控、实时告警功能，实现生产控制大区业务数据传输的完整性、保密性、真实性；
116.采用生产大区内部网管主备mstp专线，其充分的利用了gfp(generic frame protocol)数据封装、虚级联(virtual concatenation)映射、rpr等技术的集成应用，通过这些形式的推动作用，mstp技术具备了广泛的带宽和对于带宽的适配能力，同时更是支持更多的功能，将atm业务也进行了涵盖，同时有效的进行网络利用。
117.本发明通过监控系统添加服务监控模块，管理员可以监控内部模块服务运行状态、网管连接状况、采集数据分析和外部请求数据分析。
118.基于上述任一实施例，还包括架构安全保障模块，所述架构安全保障模块用于引入所述api接口层，支持所述双因子认证，在后台业务中心层采用主流微服务架构，结合基础服务中间件对服务进行管理，在后台采集服务中采用预设容器化技术简化采集服务。
119.具体地，本发明采用的架构安全保障包括：
120.在前端层和业务应用层引入api接口层，支持u盾、人脸、指纹识别、短信认证等两两组合认证技术，即双因子认证技术；
121.在后台业务中心层采用主流微服务架构，结合基础服务中间件对服务进行管理，解决传统软件架构单一性、改一处而动全身的问题，功能升级不影响其他功能使用；
122.在后台采集服务中采用主流容器化技术，结合容器化管理平台，解决采集服务部署复杂性、大幅减少云平台资源占用和提高服务管理便捷性
123.本发明基于微服务架构部署，内部各模块服务独立运行，互不影响；基于云平台容器化采集架构部署，减少资源占用率，提高系统稳定性，实现高可用。
124.基于上述任一实施例，还包括服务监控模块，所述服务监控模块用于监控服务运行状态、网管连接状态、采集数据分析和外部请求分析；
125.所述采集数据分析包括告警数据状况、网元数据状况、端口数据状况和性能数据
状况。
126.具体地，如图12所示，服务监控模块包括：
127.服务运行状态(c2
‑
1)：具备服务连接清单，显示后台每个微服务的运行情况；
128.网管连接状态(c2
‑
2)：具备网管网络状态查看，列表显示每个采集网管的网络连接信息；
129.采集数据分析(c2
‑
3)：基于采集的网管数据进行分析，包括以下4种数状况查询：
130.告警数据状况：分析每个网管告警数据入库是否正常，设置2小时告警时间阈值，超过时间没数据则显示异常并调用短信接口发送短信给管理员；
131.网元数据状况：具备网管网元状况列表查询，显示每个网管网元状态，包括网元总数量、正常、同步中、异常(删除)数量；
132.端口数据状况：具备网管端口状况列表查询，显示每个网管端口状态，包括端口总数量、正常、同步中、异常(删除)数量；
133.性能数据状况：具备网管性能状况列表查询，显示每个网管性能状态，包括性能总数量、正常、同步中、异常(删除)数量；
134.外部请求分析(c2
‑
4)：依赖于api接口层的访问记录，分析主要安全访问来源数量统计、非白名单访问数量统计。
135.基于上述任一实施例，还包括文件防篡改模块，所述文件防篡改模块用于基于md5算法进行系统配置目录操作、指定文件类型操作、拷贝备份操作、md5文件加密操作和锁定只读操作。
136.具体地，如图13所示，本发明提出的基于md5算法的文件防篡改技术在监控系统的集成应用包括：
137.1)系统配置目录：通过系统配置保护目录；
138.2)指定文件类型：支持保护的文件类型；
139.3)拷贝备份：将保护路径下的保护类型文件拷贝至备份目录；
140.4)m5文件加密：对文件内容进行md5加密；
141.5)锁定只读：利用操作系统权限操作把保护的文件设置成只读类型。
142.本发明采用的监控系统采用md5算法对指定目录配置文件进行加密备份，文件只有写权限。
143.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
144.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
145.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。