TWI772721B

TWI772721B - 運用區塊鏈管理網路設備之系統及方法

Info

Publication number: TWI772721B
Application number: TW108144712A
Authority: TW
Inventors: 洪民翰; 龔家瑋; 莊謹萍; 黃雅泙; 陳泓桔
Original assignee: 中華電信股份有限公司
Priority date: 2019-12-06
Filing date: 2019-12-06
Publication date: 2022-08-01
Also published as: TW202123104A

Abstract

本發明揭露一種運用區塊鏈管理網路設備之系統及方法。首先，供裝管理模組接收或設定網路設備之供裝資料。接著，供裝資料模組透過選擇函數判斷供裝資料是否為重要者，若是，則供裝資料模組依據供裝資料使用雜湊函數計算出雜湊值以儲存雜湊值於區塊鏈中。繼之，區塊資料模組採用共識決演算法將區塊遞送到區塊鏈的節點，以將區塊佈建於區塊鏈的節點中。然後，資料驗證模組驗證供裝資料的內容與查驗供裝資料的格式，以於確認供裝資料無誤後，將供裝資料寫入區塊鏈中。

Description

運用區塊鏈管理網路設備之系統及方法

本發明是關於一種網路設備管理技術，特別是指一種運用區塊鏈管理網路設備之系統及方法。

近年來，網路設備的保護議題已逐漸為各國所重視，且網路設備之防護完備與否乃攸關資訊安全和企業運作。又，隨著行動裝置、物聯網與雲端服務等新興資訊科技之應用普及，網路與實體世界已逐漸融合，新興資訊科技固然對人類帶來生活的便利，但伴隨而來的卻是衍生的資安風險。

在一現有技術中，提出一種基於區塊鏈的資料處理方法及設備，能為不同處理優先順序的業務資料確定處理量，在向區塊鏈中儲存業務資料時，可獲取不同處理優先順序的業務資料，以實現不同處理優先順序的業務資料能夠被處理。同時，保證了處理優先順序高的業務資料的處理效率，亦保證了處理優先順序低的業務資料的處理效率，在滿足處理優先順序時，增加了區塊鏈中業務資料處理的靈活性，也提升了區塊鏈在業務應用領域的使用價值。

惟，此現有技術僅能分辨資料的處理優先順序，而無法針對重要或權重高的資料寫入區塊鏈中加以保護，亦無法利用選擇函數挑選重要的資料，也無法採用雜湊函數以確保資料進入區塊鏈中非常困難被更改，更無法採用共識決演算法以確保所有節點之資訊即時同步。

因此，如何提供一種新穎或創新之技術，以改善現有技術，實已成為本領域技術人員之一大研究課題。

本發明提供一種新穎或創新之運用區塊鏈管理網路設備之系統及方法，能依選擇函數判斷或選擇重要的資料，或者採用雜湊函數以確保資料進入區塊鏈中非常困難被更改，抑或者採用共識決演算法以確保所有節點之資訊即時同步。

本發明中運用區塊鏈管理網路設備之系統包括：一供裝管理模組，係接收或設定網路設備之供裝資料；一供裝資料模組，係透過選擇函數判斷網路設備之供裝資料是否為重要者，若判斷出供裝資料為重要者，則供裝資料模組依據供裝資料使用雜湊函數計算出雜湊值，以將雜湊值儲存於區塊鏈中；一區塊資料模組，係採用共識決演算法將區塊遞送到區塊鏈的節點，以將區塊佈建於區塊鏈的節點中；以及一資料驗證模組，係驗證網路設備之供裝資料的內容與查驗供裝資料的格式，以於確認供裝資料無誤後，將供裝資料寫入區塊鏈中。

本發明中運用區塊鏈管理網路設備之方法包括：由一供裝管理模組接收或設定網路設備之供裝資料；由一供裝資料模組透過選擇函數判斷網路設備之供裝資料是否為重要者，若判斷出供裝資料為重要者，則供裝資料模組依據供裝資料使用雜湊函數計算出雜湊值，以將雜湊值儲存於區塊鏈中；由一區塊資料模組採用共識決演算法將區塊遞送到區塊鏈的節點，以將區塊佈建於區塊鏈的節點中；以及由一資料驗證模組驗證網路設備之供裝資料的內容與查驗供裝資料的格式，以於確認供裝資料無誤後，將供裝資料寫入區塊鏈中。

為讓本發明之上述特徵和優點能更明顯易懂，下文特舉實施例，並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點，且此等特徵及優點將部分自所述描述內容可得而知，或可藉由對本發明之實踐習得。本發明之特徵及優點借助於在申請專利範圍中特別指出的元件及組合來認識到並達到。應理解，前文一般描述與以下詳細描述二者均僅為例示性及解釋性的，且不欲約束本發明所欲主張之範圍。

1:運用區塊鏈管理網路設備之系統

10:供裝管理模組

20:供裝資料模組

21:設備調適器

22:設備調適器管理元件

30:應用程式介面模組

40:區塊資料模組

50:資料驗證模組

60:查詢模組

70:區塊鏈

80:資料庫

A:網路設備

C-Node:共識節點

S-Node:同步節點

S11至S13:步驟

S21至S24:步驟

第1圖為本發明中運用區塊鏈管理網路設備之系統之架構示意圖；第2圖為本發明中將供裝資料寫入區塊鏈或資料庫之流程示意圖；以及第3圖為本發明中運用區塊鏈管理網路設備之方法之流程示意圖。

以下藉由特定的具體實施形態說明本發明之實施方式，熟悉此技術之人士可由本說明書所揭示之內容了解本發明之其他優點與功效，亦可因而藉由其他不同的具體等同實施形態加以施行或應用。

企業客戶或一般客戶之網路設備的設備服務資訊(如CM/PM/FM參數)屬於機密且重要的資訊而需安全地儲存，亦需維持虛擬或實體之網路設備的穩定性任務，其中CM/PM/FM參數分別表示組態管理(Configuration Management；CM)參數、效能管理(Performance Management；PM)參數、障礙管理(Fault Management；FM)參數。

因此，本發明提出一種運用區塊鏈管理網路設備之系統及方法，用以加強網路設備之資訊安全機制架構，內容包括供裝管理模組、供裝資料模組、應用程式介面(Application Programming Interface；API)模組、區塊資料模組等，並結合智慧合約之資料儲存目的以提供多樣化的設備服務資訊(如CM/PM/FM參數)，且對於大量的虛擬/實體網路服務供裝及網路管理系統的運作能降低資訊安全風險，俾有效地提高設備服務資訊(如CM/PM/FM參數)之安全。

同時，本發明中運用區塊鏈管理網路設備之系統及方法至少具有下列技術功效：(a)供裝資料模組之設備調適器的結構特性可依選擇函數判斷或選擇供裝資料之重要者以達到強化資訊安全能力；(b)供裝資料模組採用雜湊函數之運算，能確保每項供裝資料一旦被包覆進入區塊鏈時都將非常困難被更改；以及(c)採用應用程式介面模組來管理與支援不同的資料接取技術，以提供多樣化的設備服務資訊(如CM/PM/FM參數)的查詢功能。

第1圖為本發明中運用區塊鏈管理網路設備之系統1之架構示意圖。如圖所示，運用區塊鏈管理網路設備之系統1主要包括[1]供裝管理模組10、[2]供裝資料模組20、[3]應用程式介面模組30、[4]區塊資料模組40、[5]資料驗證模組50、[6]查詢模組60，亦可進一步包括區塊鏈70、資料庫80。例如，供裝管理模組10可為供裝管理軟體或供裝管理程式等，應用程式介面模組30可為應用程式介面等，區塊資料模組40可為區塊資料軟體或區塊資料程式等，資料驗證模組50可為資料驗證軟體或資料驗證程式等，查詢模組60可為查詢軟體或查詢程式等。資料庫80可設於硬體之儲存模組中，且儲存模組可為硬碟(如網路硬碟/雲端硬碟)、記憶體、記憶卡、隨身碟、光碟等。但是，本發明並不以此為限。

[1]供裝管理模組10：係接收或設定至少一(如複數)網路設備A(用戶端)之供裝資料，並依據供裝資料的內容以指定的通訊協定在限定的連線數量下進行網路設備A之連線與完成供裝設定作業。亦即，供裝管理模組10可接收或設定網路設備A(用戶端)之供裝資料，且供裝資料包括多個需要供裝調度的網路設備A的設備資訊。每個被調度的網路設備A的設備資訊都會被耦合成一供裝資料，再由供裝管理模組10將供裝資料派送至網路設備A以進行供裝作業。在進行供裝作業時，供裝管理模組10會依據供裝資料的內容檢查供裝資料的正確性，並在供裝資料為正確無誤時才會對網路設備A進行供裝作業。前述網路設備A可為用以連接網路之路由器、閘道器、交換器、基地台、伺服器、主機或電腦等，但不以此為限。

供裝資料主要包括供裝設備資訊與服務供裝資源。例如，供裝設備資訊為網路設備A之型號、網際網路協定(Internet Protocol；IP)位址等資訊。服務供裝資源為網路設備A(用戶端)之申裝服務類型、申裝服務速率、虛擬區域網路識別碼(Virtual Local Area Network Identifier；VLAN ID)、使用的設備埠號(Port)、服務優先權(Priority)、IPTV(Internet Protocol Television；網路協定電視)服務設定等相關設定資訊，且IPTV(網路協定電視)服務設定可包含群播群組(Multicast group)、IGMP(Internet Group Management Protocol；網際網路群組管理協定)snooping(窺探)。

[2]供裝資料模組20：係具有至少一設備調適器21與至少一設備調適器管理元件22，且供裝資料模組20處理供裝管理模組10所接收或設定之網路設備A之供裝資料，再依照供裝資料之重要性設定供裝資料之權重，以將供裝資料之重要者儲存於區塊鏈70中。亦即，供裝資料模組20可從供裝管理模組10讀取網路設備A之供裝資料，以透過選擇函數判斷網路設備A之供裝資料是否為重要者。若判斷出供裝資料為重要者，則供裝資料模組20依據供裝資料使用雜湊函數計算出一個雜湊值，以將供裝資料之重要者與雜湊值儲存於區塊鏈70中作加密保護，再將供裝管理模組10所提供的供裝資料使用雜湊函數計算之後與區塊鏈70中的資料來校驗雜湊值，以確保資料無誤沒有被竄改。

詳言之，在系統初始化運作時，供裝資料模組20之設備調適器管理元件22可從供裝管理模組10載入各設備調適器21的服務參數(包括服務類型、服務速率、虛擬區域網路識別碼(VLAN ID)、使用的設備埠號(Port)、服務優先權(Priority)等多組設定)，與管理各設備調適器21的功能(包括生成設備調適器、設定設備調適器、刪除設備調適器等功能)。同時，各設備調適器21可依據資料蒐集輪詢周期設定以運行讀取設備資料元件、讀取查測統計資料元件、選擇函數之儲存判斷。

供裝資料模組20讀取到供裝資料後，會依據供裝資料的內容重要性評斷供裝資料之重要性參數(如訊務、機敏度、地域、服務優先權(Priority)、承諾訊息速率(Committed Information Rate；CIR)、額外訊息速率(Excess Information Rate；EIR))，並融入權重於供裝資料之控制決策。然後，供裝資料模組20可透過下列選擇函數(Select函數)之儲存判斷，以引入供裝資料後逐一評估供裝資料之參數在供裝資料中的分布程度，並依據供裝資料之參數的分布程度挑選較佳的參數分類，再從參數分類中選擇出供裝資料之重要者，俾將供裝資料之重要者運用單向雜湊演算法計算出唯一的雜湊值，進而將唯一的雜湊值寫入區塊鏈70中。

選擇函數Select(供裝資料

)=重要，普通。選擇函數中，若無法再分支時，即返回g_t(x)=E_in-最佳常數；否則，獲得分支條件

，並依據分支條件將資料D分成2等份，D_c={(x_n ,y_n)：b(x_n)=c}，且建立子樹G_c←Select(D_c)，再回傳

。前述不純度(D)=1-

。

供裝資料模組20之另一個功能為接收供裝管理模組10送達的供裝查詢資料，以依據供裝查詢資料的內容判斷供裝資料是否存在區塊鏈70中。若供裝資料模組20發現供裝資料存在區塊鏈70中，代表供裝資料的權重較高(如供裝資料之最重要或重要者)，則供裝資料模組20會透過應用程式介面模組30請求查詢模組60從區塊鏈70中讀取供裝資料，並由供裝資料模組20比對供裝資料之雜湊值是否與區塊鏈70中的資料一致以確保資料完整，再由供裝資料模組20產生查詢結果格式回傳給供裝管理模組10。反之，若供裝資料模組20發現供裝資料不存在區塊鏈70中，代表供裝資料的權重較低(如供裝資料之普通、次要或不重要者)，則供裝資料模組20會從資料庫80中查詢供裝資料，且若供裝資料模組20發現供裝資料存在資料庫80中，則將讀取供裝資料之查詢結果以產生查詢結果格式回傳給供裝管理模組10。

[3]應用程式介面(API)模組30：係接收供裝管理模組10或供裝資料模組20的連線需求，且應用程式介面(API)模組30之資料接取技術採用調適器方式之設計，以提供至少一種或多種不同的應用程式介面，例如可用來檢查供裝規則或區塊資訊的應用程式介面(API)。

[4]區塊資料模組40：係提供區塊的組建、遞送及鏈結等功能。此區塊資料模組40可採用共識決演算法，將製作好或系統所產生的區塊透過網路遞送到區塊鏈70的所有節點，以將區塊即時佈建於區塊鏈70的每個節點中，有利確保所有節點之資訊即時同步。又，在區塊鏈70的共識驗證架構上，區塊鏈70之節點包括兩種運算節點，第一種是區塊鏈70中負責執行共識決演算法的共識節點(Consensus-Node；C-Node)，且所有區塊的建立或驗證皆透過共識節點(C-Node)來達成，第二種為區塊鏈70中負責同步資料的同步節點(Synchronization-Node；S-Node)。

[5]資料驗證模組50：係透過供裝管理模組10、供裝資料模組20或區塊資料模組40等取得網路設備A之供裝資料，以驗證網路設備A之供裝資料的內容與查驗供裝資料的格式，俾於確認或確保供裝資料無誤後，將供裝資料寫入區塊鏈70中。

[6]查詢模組60：係提供該供裝管理模組10或供裝資料模組20查詢供裝資料。亦即，查詢模組60可接收應用程式介面模組30送達的資料，以依照供裝管理模組10或供裝資料模組20之查詢需求進行區塊鏈70上的資料查詢，並將區塊鏈70上的資料查詢結果正規化後回傳給應用程式介面模組30，再由應用程式介面模組30將資料回傳給供裝管理模組10或供裝資料模組20等呼叫端。

[一、供裝資料判斷之實施例]

首先，由供裝管理模組10接收網路設備A(用戶端)之供裝資料。例如，下列表一所示網路設備A之供裝資料之參數包括設備編號、設備IP、通訊協定、設備型態、地域、服務型態等，但不以此為限。

接著，供裝管理模組10將供裝資料發送至供裝資料模組20，以由供裝資料模組20的設備調適器21匯入供裝資料的資料。而且，設備調適器21的配置由設備調適器管理元件22於系統初始化時調度生成，並匯入設備調適器21的相關服務參數。例如，下列表二所示設備調適器21之服務參數可包括服務編號、服務名稱、服務速率、服務優先權、承諾訊息速率(CIR)、額外訊息速率(EIR)，亦可進一步包括機敏度、地域(見表三)等，但不以此為限。

繼之，設備調適器21將供裝資料依據所需的服務參數進行彙整，並標註服務參數之相關權重成供裝權重資料。例如，下列表三所示設備調適器21從設備調適器管理元件22彙整及標註的供裝權重資料包括資料編號、服務速率、服務優先權、機敏度、地域、承諾訊息速率(CIR)、額外訊息速率(EIR)等，但不以此為限。

再者，設備調適器21可透過供裝資料模組20之選擇函數計算供裝權重資料之各參數。舉例而言，設備調適器21計算供裝權重資料之各參數的不純度(impurity)值時，可將服務優先權之參數以3為門檻值分成兩類，而計算出服務優先權之參數的不純度=

0.390625-0.140625=0.46875。機敏度之參數以3為門檻值，而計算出機敏度之參數的不純度=

，且地域之參數的不純度=

。承諾訊息速率(CIR)之參數以50,000為門檻值，而計算出承諾訊息速率(CIR)之參數的不純度=

。額外訊息速率(EIR)之參數以200,000為門檻值，而計算出額外訊息速率(EIR)之參數的不純度=

。

然後，設備調適器21可挑選不純度之最小值當作根節點，而機敏度之參數的不純度為0.375最小，表示選擇函數選擇出表三中資料編號4與5為相對重要。接下來，選擇函數再從資料編號4與5之間找出最重要的值，且資料編號5的承諾訊息速率(CIR)之參數與額外訊息速率(EIR)之參數分別高於前述門檻值50,000及200,000，故設備調適器21再次計算不純度之後，可獲知資料編號5的權重較高，因此設備調適器21會進行雜湊值之運算，並在依據sha256雜湊值計算之後得到雜湊值「b2832f666f5435b1ac8291c52d8c8fd2b481733406bd26db8d627eb9ca21764a」，進而將雜湊值傳送至區塊資料模組40。

最後，在將供裝資料存入區塊鏈70的程序中，區塊資料模組40會發佈一個智慧合約至區塊鏈70中，且智慧合約的內容為儲存經過雜湊值計算的權重較高的供裝資料，區塊鏈70的共識節點(C-Node)會負責驗證供裝資料的正確性並建立一個區塊，從而完成將供裝資料存入區塊鏈70中。

[二、供裝資料校驗之實施例]

首先，供裝管理模組10在供裝編號5(見表一之設備編號5)的供裝資料時，需檢查供裝資料的正確性，再將供裝資料發送至供裝資料模組20。供裝資料模組20接收到編號5之供裝資料以進行校驗時，先判斷編號5(見表三之資料編號5)之供裝資料是否為權重較高的供裝資料。若是權重較高的供裝資料，則供裝資料模組20依據供裝資料的內容計算雜湊值(如sha256雜湊值)，再將計算出的雜湊值透過應用程式介面模組30呼叫查詢模組60。然後，查詢模組60依據供裝資料模組20已計算出的雜湊值在區塊鏈70中搜尋(查詢或比對)是否有值，若區塊鏈70中有值，則查詢模組60透過應用程式介面模組30回傳正確結果至供裝資料模組20，再由供裝資料模組20將比對後正確的供裝資料之參數回傳給供裝管理模組10，以利供裝管理模組10進行網路設備A之正確供裝作業。

第2圖為本發明中將供裝資料寫入區塊鏈70或資料庫80之流程示意圖。如圖所示，在第2圖之步驟S11中，準備將供裝資料寫入區塊鏈70或資料庫80中。在第2圖之步驟S12與步驟S13中，由供裝資料模組20讀取供裝資料以判斷供裝資料之重要性？若供裝資料模組20判斷出供裝資料之重要性為「重要」，則將供裝資料寫入區塊鏈70中；反之，若供裝資料模組20判斷出供裝資料之重要性為「普通、次要、不重要」，則將供裝資料寫入資料庫80中。

第3圖為本發明中運用區塊鏈管理網路設備之方法之流程示意圖，且一併參照第1圖予以說明。如第3圖所示，運用區塊鏈管理網路設備之方法主要包括下列步驟S21至步驟S24之技術內容，其餘內容相同於上述第1圖與第2圖之說明，於此不再重覆敘述。

在第3圖之步驟S21中，由一供裝管理模組10接收或設定網路設備A之供裝資料。

在第3圖之步驟S22中，由一供裝資料模組20透過選擇函數判斷網路設備A之供裝資料是否為重要者，若判斷出供裝資料為重要者，則供裝資料模組20依據供裝資料使用雜湊函數計算出雜湊值，以將雜湊值儲存於區塊鏈70中。

在第3圖之步驟S23中，由一區塊資料模組40採用共識決演算法將區塊遞送到區塊鏈70的節點，以將區塊佈建於區塊鏈70的節點中。

在第3圖之步驟S24中，由一資料驗證模組50驗證網路設備A之供裝資料的內容與查驗供裝資料的格式，以於確認供裝資料無誤後，將供裝資料寫入區塊鏈70中。

申言之，本發明中運用區塊鏈管理網路設備之系統及方法可包括下列程序P1至程序P5。

程序P1：由第1圖中供裝管理模組10統一接收網路設備A(用戶端)之供裝資料。

程序P2：由供裝資料模組20標註網路設備A之供裝資料。例如，供裝資料模組20可採用權重來標註網路設備A之供裝資料，且各種供裝資料於初始時可依據所關注的重要性來標註權重，以將供裝資料(如服務優先權、機敏度、地域等)之參數依照重要性標註為1至5來產生供裝權重資料。

程序P3：由供裝資料模組20(設備調適器21)採用選擇函數以選擇供裝資料之重要者。例如，供裝資料模組20(設備調適器21)在讀取到供裝資料後，可依據供裝資料的內容重要性(評斷重要性參數，如訊務、機敏度、地域、服務優先權、承諾訊息速率(CIR)、額外訊息速率(EIR))，透過選擇函數逐一評估供裝資料之參數在供裝資料中的分布程度，以依據供裝資料之參數的分布程度挑選較佳的參數分類，再從參數分類中選擇出供裝資料之重要者。

程序P4：由供裝資料模組20將供裝資料之重要者計算雜湊值與存入區塊鏈。例如，供裝資料模組20可將供裝資料之重要者運用單向雜湊函數計算出唯一的雜湊值，以將供裝資料的唯一雜湊值寫入區塊鏈70中。

程序P5：由查詢模組60比對供裝資料並由供裝資料模組20進行異動通知。例如，當重要的網路設備A需要校驗供裝資料時，查詢模組60可比對供裝資料模組20所計算之供裝資料的雜湊函數與區塊鏈70上的值兩者是否一致；若有出現兩者不一致的狀況，表示來自供裝資料模組20的供裝資料與區塊鏈70所儲存的供裝資料有異動，則查詢模組60進行告警以通報網路設備A之管理者。

綜上，本發明中運用區塊鏈管理網路設備之系統及方法可至少具有下列特色、優點或技術功效。

一、本發明採用供裝資料的參數，使供裝資料模組能依選擇函數判斷或選擇供裝資料之重要者以達到強化資訊安全能力。

二、本發明之供裝資料模組採用雜湊函數之運算，能確保每項供裝資料一旦被包覆進入區塊鏈都將非常困難被更改。同時，本發明能確保最高的資訊安全等級，以保障資料的不被任意竄改。

三、本發明採用共識決演算法為基礎的資料同步機制，能藉由共識決演算法將系統所產生的區塊即時佈建於區塊鏈的每個節點中，以利確保所有節點之資訊即時同步。

四、本發明採用智慧合約，能強化系統資訊安全、資訊系統及網路設備的穩定性。

五、本發明採用應用程式介面模組來管理與支援不同的資料接取技術，以利提供多樣化的設備服務資訊(如CM/PM/FM參數)的查詢功能。

六、本發明可能應用之產業為例如網際網路服務產業等，且可能應用之產品為例如網路設備之管理或監控產品等。

上述實施形態僅例示性說明本發明之原理、特點及其功效，並非用以限制本發明之可實施範疇，任何熟習此項技藝之人士均能在不違背本發明之精神及範疇下，對上述實施形態進行修飾與改變。任何使用本發明所揭示內容而完成之等效改變及修飾，均仍應為申請專利範圍所涵蓋。因此，本發明之權利保護範圍，應如申請專利範圍所列。