《智晓应用交付平台解决方案》由会员分享,可在线阅读,更多相关《智晓应用交付平台解决方案(17页珍藏版)》请在金锄头文库上搜索。
1、智晓应用交付平台解决方案南京智晓信息科技有限公司2012年6月目录一简介2二用户需求4三需求分析5四解决方案54.1服务器负载均衡54.1.1方案总体设计64.1.2网络拓扑结构74.1.3设计描述74.2电子签名系统94.2.1签名验证流程图94.2.2安全设计思路和原理104.2.3电子签名系统应用13五解决方案的优势16一 简介 随着未来IPv6及云计算网络的快速发展,各种杀手应用程序(例如:智能手机定位系统,物联网,社交网络等)应运而生。应用程序交付系统控制网络(Application Delivery Controller)控制着所有现在及未来杀手应用程序的普及度及普及速度。应用程序
2、交付系统的核心就是一个建立在7层HTTP协议的高性能、高可用性、高安全性的网关产品(Load Balancer)。Load Balancer中文名为“负载均衡”。负载均衡器是一个网络的基本配件,部署在几乎所有的商业网站上。负载均衡器有几个基本的功能:1)支持负载均衡的功能:当一个实际服务器不能满足所有的客户需求时,我们需要负载均衡器联络众多的实际服务器来完成网站功能。2)高可用性。3)数据传输时加密。 智晓(xScaler)致力于开发这款国内首创的基本核心设备:高性能、高可用性、高安全性的应用交付平台系统。智晓的目标是发展成为一个具有独立知识产权、高科技、创新型的中国品牌企业。智晓(xScal
3、er)应用交付平台系统的产品目标首先是负载均衡器,包括以下功能(链路负载均衡,四层TCP/UDP负载均衡, 七层HTTP负载均衡及SSL加密及解密传输数据,电子签名系统)。整个产品核心技术包括:芯片级的产品系列,专用应用交付网关内核(OS),IPv6技术,数据传输安全(SSL),7层HTTP的应用功能集(负载均衡,压缩,存储,加密,防病毒,防火墙,Policy Engine, Web2.0,XML等),7层应用交易的商业数据分析(Data Analysis),还有云计算虚拟机集成,百万以上并发数,100Gbps吞吐量,电子签名等。二 用户需求随着互联网技术的不断发展,企业开始更多地使用互联网来
4、交付其关键业务应用,企业生产力的保证越来越多的依赖于企业IT架构的高可靠运行,尤其是企业数据中心关键业务应用的高可用性,所以企业越来越关注如何在最大节省IT成本的情况下维持关键应用724小时工作,保证业务的连续性和用户的满意度。而对于企业而言,其业务的完整快速的交付,其关键在于如何在用户和应用之间建立快速的访问通过,为用户提供优质的服务;众所周知, 随着访问用户数量的增加,会给单位的服务器带来越来越大的压力,如何有效的保证客户访问速度,实现访问流量在各服务器上均衡分配,充分利用各服务器资源,是目前企业网络改造的重要目标。 另外,终端用户越来越多的文件都是以电子的形式存在,同时通过网络互相传递,
5、由于网络安全的不确定性,越来越多的文件在传递过程中遭到了破坏,使用户对网络缺乏信任感,从而不得不转为普通纸质文件的传统方式传递,这样大大的耗费了成本,浪费了大量的时间。因此,用户不得不需要一种安全的解决方法来解决电子文件传输的安全性问题,提高工作效率,节约成本。三 需求分析 在服务器方面, 由于用户访问量的增大,使得单一的网络服务设备已经不能满足需要了,由此需要引入服务器的负载均衡,实现客户端同时访问多台同时工作的服务器,实现动态分配每一个应用请求到后台的服务器,并即时按需动态检查各个服务器的状态,根据预设的规则将请求分配给最有效率的服务器。实现数据流合理的分配,使每台服务器的处理能力都能得到
6、充分的发挥,扩展应用系统的整体处理能力,提高应用系统的整体性能,改善应用系统的可用性和可用性,降低IT投资。 在文件安全性管理上,采用智晓应用交付平台的电子签名技术,在文档中加盖电子印章或签名,同时将文档锁定及绑定,一旦文档传输过程中发生非法篡改,印章或签名立即失效,可以保证文档传输过程中的完整性、安全性,另外印章或签名与个人数字证书绑定,保证了印章或签名的不可抵赖性。四 解决方案4.1 服务器负载均衡南京智晓信息科技有限公司的服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法,来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。它主要
7、能够带来两方面的价值: 1)建立有效的负载均衡机制。传统的负载机制是建立在较简单负载均衡机制和较简单的健康检查机制上的,不能根据服务器提供服务的具体情况向其转发有效的访问流量,通过构建新的负载均衡系统,可以采用多种负载均衡机制,根据服务器的负载能力智能确定该服务器所分担的负载。主要能够解决如下两个方面的问题:首先,大量的并发访问或数据流量将会被分担到多台设备上分别处理,进而减少用户等待响应的时间;再者,单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高。 2)建立有效的健康检查机制。负载均衡系统应该可以对服务器的运行状况做
8、出准确判断,确保提供的服务的正确。全面的健康检查机制不仅可以有效的监控到服务进程的有效性,即可以对应用端口提供服务的能力进行健康检查,而且对于其后应用逻辑造成的同样可以提供有效的检查机制,从而避免了客户端可以访问到服务器,但得不到正确的响应情况出现。4.1.1方案总体设计 xScaler服务器上连到核心交换机,后端直接连接多台服务器(包括虚拟机服务器)。在xScaler服务器上通过虚拟IP的机制实现流量的智能分配和服务器的负载均衡。客户端发起对VIP的访问,xScaler服务器接收到访问请求之后,按照预先定义好的负载均衡算法将流量分发到某一台服务器,服务器处理之后返回响应给xScaler服务器
9、,xScaler服务器接收到服务器返回的响应之后将数据包发送给客户端。4.1.2网络拓扑结构网络拓扑结构如图所示:4.1.3设计描述本方案采用xScaler服务器设备旁挂在交换机的旁边,这种部署方式的最大优点是,不需要改动用户原有的网络拓扑结构。客户端访问请求到达xScaler服务器,xScaler服务器将流量进行处理,并按照预先定义的负载均衡算法将连接请求转发到某一台服务器上面,该服务器返回响应到xScaler服务器,xScaler服务器处理之后返回给客户端。如下图所示:服务器负载均衡具体实现方式: 1、客户发出服务请求到xScaler设备。 2、xScaler设备接收到请求,通过预先设定好
10、的负载均衡策略,将数据包中目的IP地址改为选中的后台服务器IP地址,然后将数据包发出到后台选定的服务器。 3、后台服务器收到后,将应答包按照其路由发回到xScaler设备。 4、xScaler设备收到应答包后将其中的源地址改回成VIP的地址,发回客户端,由此就完成了一个标准的服务器负载平衡的流程。 对于所有应用服务器,可以在xScaler设备上配置虚拟服务器实现负载均衡。 4.2 电子签名系统4.2.1 签名验证流程图发方将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密得数字签名,发方将原文与数字签名一起发送给接受方;收方验证签名,即用发方公钥解密数字签名,得出数字摘要;收方将原文采用同
11、样哈希算法又得一新的数字摘要,将两个数字摘要进行比较,如果二者匹配,说明经数字签名的电子文件传输成功。 4.2.2安全设计思路和原理1)数字证书的应用数字证书的申请,经过严格的步骤。用户首先向CA提出数字证书申请的要求,同时提供证明文件。经CA确认后,方能够生成数字证书。颁发给用户。第一,在安装电子签名服务器端的时候默认产生管理员的账号和密码,系统管理员使用管理员账号和密码登录。管理员创建用户、修改用户、注册用户、添加印章、分配印章、创建并绑定个人证书。通过以上手段,保证了所有信息的可靠、印章来源可查。第二,用户的数字证书主要用于签章时的身份认证。保障签章人身份的合法,使用签章信息的有据可查、
12、不可抵赖。2)保证用户注册的安全性、用户身份的合法性。第一,用户在申请数字证书的时候,必须提供相应的材料,确认身份可靠。才能获得数字证书。第二,用户在电子签名服务器上的注册个人信息、修改个人信息的操作都是由管理员完成的,在这些过程中,必须由管理员输入服务器平台用户名及密码登录。管理员填写一些用户的基本信息,例如:单位、部门、职务等。整个过程必须由管理员操作。第三,管理员将建立的用户信息和用户对应的数字证书信息绑定。并且将用户公钥信息存储到数据库相应字段中。第四,管理员使用其私钥对所有用户信息进行签名。确保签名服务器所有用户数据来源合法。3)保障印章的合法性第一,制定相关电子签名管理条例。公章图
13、片的制作,需要提供组织机构代码、法人代表授权委托书才能录入公章。对于私章、个人签名,需要提供个人身份证才能录入个人签名。第二,管理员通过输入用户名及密码登陆签章服务器,填写印章的名称等相关信息。第三, 使用私钥对所有信息进行签名。确保公章来源可靠。4)保障签名过程中的可靠性第一,签名过程首先必须进行“用户身份验证”。客户端向服务器端提出身份验证请求,服务器返回一段待签名字段返回给客户端。第二,客户端使用用户私钥对带签名字段签名,返回给服务器端。服务器端使用用户公钥解密后,进行身份验证。第三,由于用户能够使用的签名数据是经私钥签名后的数据。用户身份验证通过后,服务端使用用户公钥对签名数据加密。返
14、回给客户端。第一, 客户端获取签章数据后,使用用户私钥解密。第二, 完成签章操作。第三, 同时,客户端和服务器端传输的数据都是密文,并且服务器端和客户端数据传输是在安全套接层协议层(SSL协议)进行的。也保障了客户端和服务器端数据传输的安全性,防止了非法窃听。5)签名后电子文件的安全性、真实性对于保障签名后电子文件的真实性,智晓SVS电子签名系统采用证书体系,通过签名算法,用签名人的私钥对电子文件的摘要值进行数字签名。根据不对称加密算法的理论,即私钥签名的数据只能用公钥解开,用公钥加密的数据只能用私钥解密的理论,签名人一旦用私钥对电子文件进行签名后,只要接收人采用签名人的公钥能解开签名的数据,
15、就表示摘要数据是真实的,根据保障签名后电子文件的完整性描述,可推断出原文是真实的。对于电子文件的完整性。智晓SVS电子签名系统采用了摘要算法,电子文件接收方对原文进行摘要,并对比新的摘要和接收到的电子文件中的摘要是否相同,如果相同,则表示文件是完整的,否则,表示文件被改动了。6)保障程序自身的完整性智晓SVS电子签名系统采用证书体系,对核心的模块和程序进行签名,并且在调用这些核心模块和程序时,对模块和程序进行自校验,这样就极大地避免了由于病毒或恶意更改接口导致的程序不安全的情况。7)电子签名系统实现原理l 文件的数字签名过程实际上是通过一个哈希函数来实现的。l 哈希函数将需要传送的文件转化为一组具有固定长度的单向Hash值,形成报文摘要。l 发送方用自己的私有密钥对报文摘要进行加密,然后将其与原始的报文附加在一起,即合称为数字签名。l 数字签名代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。用户加盖印章,加盖印章时输入访问印章的用户名和密码,盖章成功后印章与文档绑定,文档通过哈希算法
