温晓洁，耿辉，刘进，卢楠

（中国移动通信集团设计院有限公司陕西分公司，西安 710077）

彩铃系统风险分析及安全性提升措施研究

温晓洁，耿辉，刘进，卢楠

（中国移动通信集团设计院有限公司陕西分公司，西安 710077）

彩铃系统作为成熟型增值业务，用户群庞大且对业务收入贡献较高。保证彩铃业务连续性和数据安全性是系统建设的重点。本文以移动某省彩铃系统为例，从彩铃平台的设备层、网络层、业务层逐层分析彩铃系统存在的风险。并以彩铃平台承载业务的重要程度对风险进行分级，提出安全性提升原则和具体方案。

彩铃系统；单节点风险；安全性

1 引言

以移动某省为例，彩铃业务自2004年推出市场后用户增长迅速。到2011年渗透率保持在67%左右。2011年，彩铃业务收入占增值业务收入的20%，占省公司收入的4.15%。彩铃业务作为一种成熟型增值业务，用户群庞大且对业务收入贡献度较高。对于具有这类特点的业务，其建设的重点也将从大规模扩容向保证业务连续性、数据安全性等提升系统稳定性和安全性方面转变。

本文将以移动某省彩铃系统为例，从彩铃平台的设备层、网络层、业务层逐层分析彩铃系统存在的风险。并以业务的重要性作为判断风险级别的依据，提出安全性提升原则和具体方案。

2 系统风险分析

2.1 设备架构

图1为集团规范的彩铃平台设备逻辑架构，分为前台、后台和Portal 3部分。图2为某省移动公司的彩铃平台实际组网结构。

图1 彩铃逻辑结构

从表1可以看到实际组网与逻辑结构的映射关系。对其中的主要设备及安全能力进行简要分析。

彩铃平台设备大部分为双机或冗余配置，能够满足单机故障时的切换和业务的正常运行。但对于非单点故障的情况，设备本身难以实现对业务的保障。

图2 彩铃平台实际组网

表1 逻辑框架和实际组网对照表

2.2 网络结构及路由方式

彩铃平台实际组网中基本由一个“管理＋呼叫”节点和多个纯呼叫节点组成。节点之间通过一对高端交换机进行铃音文件同步和数据同步。彩铃管理节点功能主要为用户数据的管理、计费以及铃音下载。彩铃呼叫节点功能为处理具体的呼叫，根据查询的信息播放制定的铃音。

2．2．1 话路与信令网络结构

彩铃平台话路、信令网络结构分为TDM方式和IP方式两种。IP承载时，彩铃平台通过IP承载网与所辖地市端局、关口局直连疏通话务，信令通过CMN转接。TDM方式时，彩铃平台通过关口局与所辖地市疏通话务，关口局为话路的汇聚节点。信令通过L局疏通。

2．2．2 数据网结构

彩铃数据网络包括彩铃各节点。各节点间通过一对核心交换机连通，通过该链路传递彩铃呼叫的鉴权、配置等用户信息。

彩铃管理DB承担来自用户经Portal门户递交的彩铃订购、修改、删除等操作数据，同时由数据库自动触发将用户的订购数据推送到各呼叫节点的呼叫DB数据库中，保证各套呼叫DB的用户数据一致。

管理节点的文件服务器每天定时接收来自四川音乐基地的铃音更新文件，同时将更新后的铃音文件同步推送到各呼叫节点的文件服务器。数据网管理节点、呼叫节点间数据流图如图3所示。

管理节点单节点设置。随着彩铃用户的不断增长，单个管理节点变得非常巨大，风险性非常高。一旦出现管理节点故障将会造成计费流失、用户数据丢失，用户管理失败等影响收入，影响用户感知等问题的出现。

图3 彩铃管理节点、呼叫节点间数据流图

呼叫节点IP承载和TDM承载方式并存，IP承载方式使得彩铃节点地市局向之间的路由调度便捷，大大降低节点间相互容灾难度。这种承载方式优势明显，是演进趋势。

为防范来自城域网的网络病毒、攻击威胁、入侵风险，需要考虑按照业务网整体统一考虑规划改造彩铃的互联网出口，通过安全域划分提升互联网网络风险防御能力。

2.3 业务分析

表2通过分析各业务故障影响范围、涉及网元等情况，可以确定各类业务的重要级别。可以看到，级别高的业务多涉及用户的数据部分，也是彩铃安全提升的重点。

现网彩铃平台为管理单节点，呼叫多节点的网络结构。部分呼叫节点IP承载方式为节点间容灾提供便利，IP化承载是演进趋势。

彩铃网络对于控制非单机风险的能力有限。特别是管理节点的单节点设置，使整个彩铃系统处于高风险下。

从业务层面来看，关键业务多存在于管理节点，管理节点的故障将会引起较多的计费和用户感知双重损失。

3 安全性提升方案

3.1 安全性提升原则

（1）彩铃系统进行多平面建设，尽量减小灾难影响范围。

表2 业务分析表

* 节省资源投入，建设关键业务的容灾；

* 容灾设备参与生产，提供浪涌处理能力。

（2）管理与技术相结合。

* 多平台要易于维护；

* 全面发挥系统的自动维护功能，减少人为操作环节。

3.2 安全性提升方案

3．2．1 管理节点

参考BOSS等IT支撑系统的容灾方案，从投资的角度和实现难度角度，彩铃系统可以采用分步演进的方式，从模式1（关键业务、应用级、主备中心、降级容灾）到模式5（全业务、应用级、主备中心、降级容灾），最终向模式8（全业务、应用级、双中心、同级容灾）演进。

数据库容灾技术主要包括4种：基于存储的复制、基于逻辑卷的复制、基于数据库的复制和日志挖掘数据复制技术。考虑到彩铃系统管理DB、呼叫DB均采用Oracle数据库，故采用数据库复制技术使用Oracle自带的Data Guad软件实现数据库容灾。

新建容灾管理节点，同样采用1对汇聚交换机使用吉比特光缆实现与原有管理节点的连通，新建1对光纤交换机、1对虚拟存储控制器及2套磁盘阵列，与容灾管理节点服务器、文件服务器形成SAN存储网络，虚拟存储控制器实现磁盘阵列的容量分配及管理，可以大大提高磁盘利用率，改善以往各套磁盘阵列利用率不均衡的状况，利用SAN存储网络架构提升数据访问的安全性及访问速度。

各个呼叫节点在正常情况下归属第一管理节点，配置第一管理IP节点地址。当灾难发生时手动切换至容灾管理节点，后期主备中心容灾级别提升到双中心方式后采用DNS解析方法的呼叫节点通过域名访问管理节点，实现管理节点的快速切换。

同时改造彩铃城域网出口，按照业务网统一规划割接至统一出口，在业务网统一出口处按照安全域划分改造要求增加IDS、及审计设备等安全措施，这样，可以达到统一规划、统一建设、等级防护的管理要求。

管理节点容灾涉及的关键指标包括以下4项，在设计容灾节点时需要考虑、核算。

（1）呼叫节点与容灾管理节点间网络流量带宽需求。

流量主要包括呼叫节点涉及的用户订购数据和文件服务器的同步，铃音文件服务器的同步由管理节点主动向呼叫节点定时推送，瞬时流量不大，计算时主要考虑呼叫产生的鉴权、查询等流量。分析时可参考原有局域网内交换机流量数据。

（2）数据库切换时间。

按照主备关系建立的容灾管理节点随时处于可用状态，当发生灾难需要切换数据库时，主要的数据库切换时间包括各呼叫节点、文件服务器的切换指向时间，即呼叫DB向管理节点切换时间+呼叫节点文件服务器向容灾文件服务器切换时间。

（3）管理节点与容灾节点之间的网络延时。

根据数据传输延时要求，如果使用吉比特光纤波分系统互连管理节点与容灾节点，那么容灾节点与管理节点间距在10 km左右时，网络延迟可以保证在50 ms以内。

（4）对主用数据库的影响。

为了保证主备容灾节点库顺利倒换，管理节点与容灾节点数据库必须保证版本一致，同时数据库最低在Oracle 11g版本。在该版本中Data Guard同步复制过程中备用数据库一直处于active状态，用户可以在备用数据库上进行查询、报表等操作，同时数据同步的效率更高、对硬件的资源要求更低。

3．2．2 呼叫节点

彩铃呼叫节点“多节点”的结构分散了整体风险，安全性总体较好。同时考虑到现网呼叫节点TDM和IP承载方式共存，以IP承载为演进方式的特点。其的安全性提升方案采用“节点间互备”的方式。具体措施为：TDM节点的容灾节点为IP节点； IP节点互为容灾节点。同时建议加快TDM节点的IP化改造。

对于“管理+呼叫”节点，需将管理功能剥离，变成单纯的呼叫节点才能进行IP化改造，所以新建容灾备份管理节点，剥离管理功能也是现网这种“管理+呼叫”节点IP化改造的前提条件。

4 结束语

彩铃作为一种成熟的增值业务必将长期存在，保持良好的客户感知和保证业务的连续性是彩铃业务现阶段发展的重点。彩铃管理节点中保存有大量的用户数据，也是各种数据传递的枢纽，所以是安全性提升的重点。新建容灾节点，可以有效实现对管理节点安全性的提升，同时使其具备第二管理节点的雏形。在投资允许时将管理和呼叫节点剥离，保证“管理＋呼叫”节点完成IP化改造，提升呼叫节点的安全性。

[1] 中国移动通信企业标准． 中国移动多媒体彩铃业务平台设备规范 QB-D-020-2011[S]．

[2] 中国移动通信企业标准． 彩铃业务规范 QB-D-027-2011[S]．

[3] 张瑜瑾． 浅析OracleDataGuard灾备技术[J]． 通信管理与技术，2010(5)．

[4] 陈鹏． 容灾备份系统技术浅析[J]． 湖北电力， 2009(5)．

Risks analysis of color ring back tone service and promotion research of security

WEN Xiao-jie, GENG Hui, LIU Jin, LU Nan
(China Mobile Group Design Institute Co., Ltd. Shanxi Branch, Xi’an 710077, China)

In this paper, we take the color ring back tone service system of certain province mobile as an example to analyze the risks that exist in color ring back tone service system according to device layer, network layer, business layer of color ring back tone service platform. We also classify the risks by the importance of the carried services on the color ring back tone service platform and put forward the safety promotion principle and detailed scheme.

color ring back tone service; single node risk; security

TN929.5

A

1008-5599（2013）03-0043-05

2012-04-27