基于動態密鑰庫的多機房監控數據安全傳輸及網絡帶寬壓縮方法研究

摘要：多機房集中監控面臨網絡帶寬高消耗與數據傳輸安全隱患。本研究結合動態密鑰庫與數據壓縮技術，創新性地提出了一種高效安全的多機房監控數據傳輸方法，實現了97.12%的帶寬壓縮率，極大緩解了帶寬壓力；同時構建了數據傳輸的安全屏障，確保了傳輸過程的安全性。本研究成果為監控技術與IT運維提供了新思路與參考，對推動高效安全的多機房監控管理具有重要意義。

關鍵詞：監控數據安全；帶寬壓縮；動態密鑰庫；多機房監控

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2025）04-0092-04 開放科學（資源服務） 標識碼（OSID） ：

0 引言

隨著信息技術的飛速發展，多機房監控系統對保障業務連續性至關重要，但在跨地域復雜網絡中，數據傳輸受帶寬和安全限制，高效安全傳輸成為亟待解決的難題。傳統的靜態密鑰庫加密方法在動態網絡環境及復雜攻擊面前，其安全性明顯不足。同時受到網絡帶寬限制，尤其是傳輸高峰時段，大量監控數據的傳輸實時性經常遭遇網絡擁堵與延遲的困擾[1-2]。

針對上述問題，本文提出了一種基于動態密鑰庫的多機房監控數據安全傳輸及網絡帶寬壓縮方法，旨在利用動態密鑰庫技術，實現密鑰的實時生成、更新與分發，并融合高效的壓縮算法和帶寬優化策略，解決多機房跨地域復雜網絡中數據的高效安全傳輸難題。

1 現有監控數據傳輸的技術缺陷

現有監控技術普遍使用TCP協議，因其可靠性和連接性，成為客戶端到服務端數據傳輸的首選。監控系統客戶端收集包括CPU、內存、網絡帶寬、磁盤I/O 等實時數據，并采用結構化或半結構化格式（如JSON、XML） 封裝。隨著監控點增多和數據更新加快，尤其是實時數據高頻傳輸，會占用大量的網絡帶寬[3]。

針對帶寬壓縮和安全傳輸的需求，傳統上常采用基于字典流的壓縮技術。盡管此類技術能夠實現較高的數據壓縮率，有效減少網絡傳輸中的數據量，但其固有的缺陷也愈發明顯。

① 管理負擔重：字典的創建、更新和維護需要人工干預，隨著監控數據類型的多樣化和復雜化，管理字典的工作量顯著增加，對管理人員的技術水平和時間投入提出更高要求。

② 字典更新滯后：在快速變化的監控環境中，字典的更新往往難以跟上數據類型的變化速度，導致壓縮效率下降或無法有效壓縮新類型的數據。

③ 安全隱患：字典作為壓縮算法的核心部分，一旦泄露，將極大地降低加密傳輸的安全性，使監控數據在網絡傳輸過程中面臨被解析、篡改或泄漏的風險。

2 基于動態密鑰庫的多機房監控數據安全傳輸及網絡帶寬壓縮方案

2.1 整體系統架構設計

基于動態密鑰庫的多機房監控數據安全傳輸及網絡帶寬壓縮架構如圖1所示，分為代理側和中心側兩塊。

代理側程序主要部署在機房代理服務器上，包含機房代理模塊、本地密鑰庫、本地存儲三大模塊；中心側包含監控對象管理模塊、監控指標采集模塊、消息隊列、時序數據庫、告警模塊、對外查詢模塊以及動態密鑰管理模塊。

代理側代理模塊負責對接中心側，獲取監控對象信息并采集監控數據，同時利用本地密鑰庫進行數據壓縮和加密。本地密鑰庫負責更新、存儲密鑰，并清理失效項。本地存儲則短期保留加密數據。

中心側監控系統通過多模塊協同，實現高效安全的數據管理。監控對象管理模塊配置采集任務，采集模塊收集加密數據至隊列，并與動態密鑰管理協同保障安全。告警模塊實時判定，解密符合條件數據，不滿足則丟棄。時序數據庫異步解密存儲數據，對外查詢模塊提供接口共享數據，增強系統擴展與共享能力。

2.2 動態密鑰庫管理模塊各功能流程

動態密鑰庫管理模塊工作流程主要包含數據壓縮加密、密鑰庫版本管理、數據解壓解密等功能。

2.2.1 數據壓縮加密

監控代理側定時（根據告警響應及時性設置為60 s） 根據中心側監控對象管理模塊中的對象信息，采集本機房下各監控對象的性能指標數據，同時將指標數據的標識項對比本地密鑰庫進行壓縮和加密，當本地密鑰庫匹配到密鑰信息，則將標識項用本地密鑰庫中對應的key進行替換，并將結果放入本地緩存；當本地密鑰庫無法匹配到密鑰信息，則直接將原始數據放入本地緩存，最后等待中心側定時抓取本地緩存數據。如表1、表2、表3 所示。

2.2.2 密鑰庫版本管理

密鑰庫版本管理模塊主要負責維護各代理側不同版本的密鑰庫，在動態維護對應版本密鑰庫中密鑰的增減的同時，也負責實時將最新變更的密鑰下發至對應代理側。這里密鑰庫版本管理系統默認24小時進行一次密鑰替換。如圖2所示。

①密鑰庫動態生成流程：

首先，對從各代理側獲取的監控數據進行動態比對及過濾，將已成功加密及壓縮的數據（數據信息中帶版本號） 過濾，留下未加密及壓縮的數據。

其次，根據未加密及壓縮的數據中標識項，生成新的32位UUID作為密鑰中的key，將原來的標志項作為密鑰中的value，同時以當前監控數據來源的代理側密碼庫的最新版本號作為密鑰中的version，至此，新的一條密鑰數據已動態生成完畢。

接著，在中心側的密鑰庫中找到所屬該代理側的對應版本密鑰庫，并將該條密鑰數據寫入。由于密鑰庫需兼顧存儲與解壓解密性能，故采用硬盤與內存雙重存儲方式。為提升解密效率，系統會動態加載密鑰庫至內存中，實現快速訪問與更新。

最后，將新增的密鑰數據下發至對應的代理側密鑰庫供其加密壓縮時使用。

②密鑰庫版本動態替換流程：

每個機房中每一條監控標志項在中心側密鑰庫均有一份動態變更的記錄，如表4。該記錄會記錄每一條監控標識項的機房、當前key、上一個key、當前版本號、剩余有效期等記錄，當剩余有效期歸零時，則會對該監控標識項生成新的key，并將新老key變更關系下發至各代理側本地密鑰庫。

代理側在接收到新老key變更關系后，在本地庫對key進行更新，后續即用新的key作為壓縮加密后的監控標識項進行監控數據上傳。

2.2.3 數據解壓解密

加密壓縮后的數據在使用的時候，分為不同方式。

在做告警判定時，由于在做告警規則配置時同時保留了密鑰中的key，所以采取先做告警判定，對滿足告警條件的結果再通過密鑰庫進行解壓解密。這樣能以最快的時間觸發監控告警。

在做監控數據存儲時，通過實時消費消息隊列中的加密壓縮數據，同時依據密鑰庫并結合實時計算流程，進行實時解壓解密，并存入時序數據庫中，供對外查詢模塊使用。如圖3所示。

2.2.4 密鑰庫版本更新策略

出于在數據在網絡中傳輸的安全方面考慮，密鑰庫版本可進行定期更新。

首先，獲取需要更新的代理側對應的最新版本密鑰庫，用新生成的UUID批量替換密鑰庫中每條密鑰的key，同時，給每條密鑰打上對應最新的版本號。

其次，在中心側加載并刷新最新版本的密鑰庫。

最后，將最新版本的密鑰庫下發至對應的代理側。

3 物聯網多機房監控實例應用

為保障物聯網業務安全穩定運行，構建了跨9地12大中心機房的容災體系，覆蓋超過1 000個機柜和10 000臺虛擬機。多機房集中監控架構如圖4所示。

為實現分散機房資源的高效集中監控，選定西南A城機房為監控中心，集成了多項核心功能。包括但不限于監控對象的集中管理、監控指標的實時采集與高效處理、數據的安全解壓與解密、動態密鑰庫的嚴格管理與維護，以及即時告警通知與詳盡的監控指標查詢服務。這些功能共同構成了監控體系的中樞神經，確保了對全局資源狀態的精準把控與快速響應。

同時，在四大區域設立8個監控代理站點。專注于各自機房內部監控對象的細致監控，通過采集關鍵監控指標、實施數據壓縮加密處理以及管理本地密鑰庫等措施，有效保障了數據在傳輸過程中的安全性與完整性。這一設計不僅減輕了中心側的處理負擔，還極大地提升了整體監控系統的靈活性與擴展性。

綜上所述，通過構建這一高效、安全的異地容災監控體系，不僅為物聯網業務的穩定運行提供了堅實保障，還為未來的業務動態擴展與技術創新奠定了堅實基礎。

4 成效評估

4.1 安全傳輸成效評估

4.1.1 數據隱匿性

UUID的隨機性與唯一性：UUID是基于時間戳、隨機數、機器MAC地址（在某些版本中） 等數據計算生成的，具有高度的隨機性和全球唯一性。將監控項轉化為UUID后，原始監控數據的具體內容被隱藏，攻擊者難以直接從UUID中推斷出原始監控項的內容，從而提高了數據傳輸的隱匿性[4-5]。

動態更新機制：動態密鑰庫默認每24小時更新一次監控項對應的UUID，進一步增加了攻擊者通過UUID追蹤或分析原始監控數據的難度。因為即使攻擊者截獲了某個UUID，它也只能代表該時間周期內的監控項，而無法長期追蹤或關聯到具體的監控數據。

4.1.2 防止數據泄露

減少敏感信息暴露：通過將監控項轉化為UUID進行傳輸，可以減少在傳輸過程中直接暴露敏感監控數據的風險。即使數據在傳輸過程中被截獲，攻擊者也只能獲取到UUID，而無法直接獲取到有價值的監控信息。

增強傳輸層安全：在傳輸UUID時，可以結合使用傳輸層安全協議（如TLS/SSL） 來加密傳輸通道，確保UUID在傳輸過程中的安全性。這樣，即使攻擊者截獲了傳輸數據包，也無法輕易解密獲取其中的UUID信息。

4.2 帶寬壓縮評估

因為UUID是一個長度為128位的標識符，通常以32個十六進制數字（包括4個短橫線后為36個字符） 的形式表示。所以它具有全局唯一性，可以在分布式系統中用來唯一標識一個監控項。

4.2.1 數據大小壓縮

將原始數據格式的監控項轉化為UUID后，最直接的效果是數據大小的顯著減少。原始監控數據包含大量的標簽信息，這些數據在傳輸時占用較大的帶寬。而UUID作為一個固定長度的字符串，其大小遠小于原始監控數據，因此可以有效降低帶寬占用。

4.2.2 傳輸效率提升

由于UUID的大小遠小于原始監控數據，因此在網絡傳輸過程中，使用UUID可以顯著減少數據傳輸的時間，提升傳輸效率。這對于需要實時監控和快速響應的物聯網系統尤為重要。

在實際生產中對監控規模數萬級、監控指標數億級的電信行業多機房集中監控系統中，對其覆蓋的數據庫、中間件、操作系統、網絡設備、存儲、虛擬機和宿主機進行監控管理，采用動態密鑰庫的多機房監控數據安全傳輸及網絡帶寬壓縮方法，帶寬使用壓縮成效對比見表5，實現了對帶寬使用97.12%壓縮率。

5 結束語

本文突破基于字典流的傳統壓縮技術中存在管理人員工作量較大、字典更新不及時、對硬件資源配置要求較高且字典一旦泄露后監控數據在網絡傳輸過程中會存在安全隱患等一系列局限性，提出了基于動態密鑰庫的多機房監控數據安全傳輸及網絡帶寬壓縮方法，從而對無人值守式的密鑰庫動態更新，實現監控數據的壓縮及安全傳輸。本系統模型的應用實例證明了該體系結構的可實施性和有效性，能夠指導多機房的大型監控系統在數據傳輸過程中降低帶寬使用、提高傳輸的安全性，同時對其他數據格式相對固定的監控傳輸場景，都具有積極的借鑒意義。

參考文獻：

[1] 朱健輝.基于SOA的公安社會信息管理系統設計與實現[D]. 成都：電子科技大學，2014.

[2] 曾曉松.一種基于CMDB平臺的運維管理系統的研究[J].新一代信息技術，2021，4（13）：26-30.

[3] 周巖.基于深度學習的網絡流量識別技術研究[D].濟南：齊魯工業大學，2023.

[4] 麻書欽，范海峰.基于小波變換和時間序列的網絡流量預測模型[J].河南理工大學學報（自然科學版），2013，32（2）：188-192.

[5] 王鶴，李石強，于華楠，等.基于分布式壓縮感知和邊緣計算的配電網電能質量數據壓縮存儲方法[J].電工技術學報，2020，35（21）：4553-4564.

【通聯編輯：王力】