《电子银行解决方案》由会员分享,可在线阅读,更多相关《电子银行解决方案(10页珍藏版)》请在金锄头文库上搜索。
1、 Array 网络银行网络银行SSL 加速解决方案加速解决方案 1. 网络银行行业背景网络银行行业背景 网络银行的实质是为各种通过 Internet 进行电子商务活动的客户提供电子结算手段。网络银行是对现有银行专用网的延伸和对银行传统业务方式的补充,在网络银行中,客户除了能办理储蓄、转帐等简单业务和信用卡、证券交易、保险、付款申请等业务以外,还可以查询各种银行信息及根据实时数据进行现金分析和财政状况分析,而且在不受干扰的情况下,24 小时随时随地尽情浏览。 网上银行系统不仅节约成本,更主要的是带来新增收入和客户;使用网上银行的客户素质好、收入高、账户余额大、需求种类多,银行赚取的收益和手续费收
2、入相对较多; 但是面对这一新兴的事物,人们却有很大的疑惑:网上银行安全吗?网上银行能提供高质量的可靠服务吗? 2. 网络银行的几个关键点网络银行的几个关键点 2.1.2.1. 安全总是最关键 安全总是最关键 银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,人们担心的网上银行安全问题主要是: 银行交易系统被非法入侵。 信息通过网络传输时被窃取或篡改。 交易双方的身份识别;账户被他人盗用。 从另外一方面也就是银行的角度看的话,开展网上银行业务将承担比客户更多的风险,因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行
3、等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证网上银行的安全运行。 目前的安全措施主要有:依靠操作系统的身份认证功能,通过划分 VLAN 的方式隔离网络,以及防病毒、和定期磁带数据备份等。以上这些已经不适应现代金融系统的安全需求。 一个普遍的趋势是采用 SSL 技术来为网络银行保驾护航。SSL(安全套接字)协议,并为众多的客户应用系统所采用。SSL 协议在 OSI 七层模型上是位于会话层。SSL 的主要目标是为两个通信主体提供数字证书身份验证、保密、可靠的信道,并能够防数据篡改,与应用层具体协议无关,加密算法、通信
4、密钥的协商都是 SSL 自动完成。 之前的普遍做法是将 SSL 运算放在交易主机上, 由于 SSL 运算极耗资源, 即使是功能最强大的服务器也无法达到很高的速度。这样,在上网的高峰时刻,等待时间会越来越长,有时一些交易根本无法完成。 经常出现 SSL 访问速度缓慢访问速度缓慢响应时间将影响客户的信心和心情,很明显,客户访问网站时等待的时间越长,它们就会越不耐烦,为防止现有客户或潜在客户弃您的网站而去,更糟糕的是转向访问竞争对手的网站,一定要避免网站的速度因突然出现的流量高峰而慢得像蜗牛一样。通讯拥塞,服务器过载,SSL 的使用,防火墙等等均可造成访问速度减慢。 为了解决网上银行服务器反应速度问
5、题,从根本上解决 SSL 给服务器运行带来的不利影响,必须采用专门设备处理 SSL 协议,以便使服务器的 CPU 从繁重的加密/解密过程中解脱出来。Array 的解决方案是通过 Array TMX 进行 SSL 加速来实现提速,保障快速的交易响应能力。 2.2.2.2. 高可靠性是保障 高可靠性是保障 网络银行系统的高可靠性、访问性能对系统的稳定性都是至关重要的,所以除了安全性问题之外,网上银行还存在以下一些潜在的问题: 服务器故障服务器故障一般的网络银行会采用多台交易服务器来完成交易服务,服务器出现硬件或操作系统故障而不能使用,如何对服务器应用进行负载均衡合流量管理对系统可靠性最为关键。 软
6、件故障软件故障尽管其它应用系统正常运行,但某个或某些应用系统挂起或停止响应 。 内容故障内容故障服务器和应用系统都在正常运行,但对请求的响应却是“404 Object Not Found”,或响应内容不正确。 流量过大流量过大服务器的响应与负载量变化密切相关。在流量增 长的过程中,服务器将及时对请求作出响应,然而当流量到达一个极限点时,服务器就会停止对所有请求进行响应。这种现象在本质上很象二进位制服务器或者工作或者罢工 。如何对大访问量进行性能优化也是我们关心的。 接入链路不均衡问题接入链路不均衡问题由于中国的特殊国情,不同运营商之间,如电信、网通的互联互通具有很大的瓶颈,当网络交易系统接入不
7、同的 ISP 网络,而用户也从不同的 ISP 接入,这就需要对用户的连接进行链路的接入优化,让用户通尽可能地过各自运营商地网络接入交易系统,达到最优的选路。 异地容灾问题异地容灾问题当一个中心发生故障或网络中断时,如何自动转向其它可用站点,并在原中心恢复后,自动转回服务,而且自动同步内容。 Array 的解决方案是提供 TMX 系列设备完成 AFE (Application Front End)功能, 具体来讲, 包括服务器的负载均衡、接入链路管理,WEB 应用加速,以及异地容灾的量量管理。达到网络银行交易的高可靠性。 3. Array 网络银行解决方案网络银行解决方案 网上银行应用处理平台由
8、多套服务器组及专业应用软件组成。通过 Array TMX 产品的应用,能够对网上银行应用处理平台中的应用服务器实现 SSL 加速、负载均衡、流量管理、应用加速等多种功能,在确保应用高可靠性的同时,这些功能是在 Array 的同一个设备实现的,简化网络复杂性、保护用户投资。拓扑示意图如下: 3.1.3.1. SSL加速为网络银行提速 SSL加速为网络银行提速 很多电子商务 SSL 交易服务是通过在服务器中安装 SSL 处理卡或添加更多的服务器来解决 SSL 处理性能不足这一问题。但这两种方法费用都非常高,而且必须分别为每台服务器分别购买、安装和管理认证。SSL 处理卡也要求在每台服务器上分别进行
9、设置、安装和维护。 Array 的 SSL 加速技术是用于卸载服务器的 SSL(安全套接层)处理的,以提高其性能,同时大幅度缩短响应时间并增强客户交易流量管理,由于降低了服务器的负载,所以也节省了系统对于服务器的投资。SSL 加速技术可以提高电子银行服务器的性能,并在交易过程中提供安全性、高速度和流量管理,所有这一切都是在同一个 TMX 设备上进行的,无需费钱费力地在每台服务器上安装额外的硬件或软件。 Array 解决方案能使 IT 人员卸载认证管理以及加密和解密功能,从而提高工作效率和可靠性。 解决方案真正解除了 Web 服务器上的通信负载。因此,无需再购买额外的服务器来处理 SSL 流量。
10、Array产品还允许您为整个服务器集群只购买一个证书,从而降低了成本并减少了认证管理的时间;与必须为每台 Web 服务器购买和安装 SSL 处理卡不同的是,您只需安装一次商业网站控制器或 SSL 加速器。 Array基于硬件的高性能加速, 保障端到端安全性的内部SSL,并支持完整的证书管理特性,Array在操作系统内核和硬件级别进行大批量数据加密. 确保在进行安全交易和其他应用时具有快速和可靠的连接,减轻服务器上 CPU 密集型处理的负担。同时 Array 的 SSL 加速和 TMX 的 ArrayOS 紧密结合,ArrayOS 具有 SpeedStack 专利技术,具有指针化处理的 TCPI
11、P 协议栈、反向代理引擎以及 HTTP 解析器,所有这些技术结合起来构成了 Array 出众的 SSL 加速性能 Array 的 TMX 最大能够达到 35,000 个SSL 交易/秒。下图是传统 ssl 加速设备和 Array TMX 的架构区别。 通过 SSL 加速功能的应用,能够在实现服务器负载均衡功能的基础上,提高整个应用平台的安全性。使到客户端的内容由原先的明文传输,变为 SSL 加密传输,大大增加了应用的安全性。 有的交易服务器需要查看客户端的数字证书,一般的 SSL 加速产品并不能够将数字证书透传给后台服务器,Array TMX 的做法是将数字证书放在 HTTP 的包头里面传给后
12、台服务器,这样就解决了高安全性的需求。具体做法是 TMX 在将用户的 HTTP 请求发给后台服务器时,将证书变成 Base64 编码格式发在 HTTP 包头 x-client-cert 里面发给交易服务器,由于交易服务器是通过 WebLogic 部署而成,所以服务器只需简单的通过函数获取 HTTP 包头 x-client-cert 即可获得客户端的数字证书,进而作客户端的身份验证,达到更高的安全性。 3.2.3.2. SLB实现电子交易服务器的负载均衡 SLB实现电子交易服务器的负载均衡 Array 的负载均衡服务,使每台服务器的处理能力都能得到充分的发挥。 网络银行数据中心部署 TMX 设备
13、,一般部署两台组成一个 cluster,以达到高可靠性。每个客户请求到达 TMX 后由 TMX 智能的将流量分配到服务器上。Array TM 支持多种服务器负载均衡算法(持续性的和非持续性的),包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法,链路带宽算法等等。保持性算法包括,Http Header 、hash IP、cookiet、URL 等,保证应用的连续性。此外实际服务器可以被分配不同的加权值来调整被分配的流量。可以使性能高的大型服务器支持更多的负载。为了避免服务器因过载而崩溃,可为实际服务器指定最大连接阈值来避免该服务器过载。 Array TMX 通过对服务器的实时
14、健康检查, 保证数据流量会自动绕过故障服务器或不可用服务器。当 Array 的健康检测机制, 检测到服务器重新恢复正常以后, 将使该服务器可以自动回到服务器群之中,所有这些服务器故障的处理,对进行操作的用户是完全透明的。 实时监控服务器应用系统的状态,并智能屏蔽故障应用系统; 实现多台服务器的负载均衡,提升系统的可靠性; 可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容; 提供服务器在线维护和调试的手段。 3.3.3.3. GSLB技术,解决异地容灾问题 GSLB技术,解决异地容灾问题 上面提到的 SLB(服务器负载均衡)是指能够在性能不同的服务器之间进行任务分配,既能保证性能差的
15、服务器不成为系统的瓶颈,又能保证性能高的服务器的资源得到充分利用。而 GSLB(全局服务器负载均衡)允许 Web 网络托管商、门户站点和企业根据地理位置分配内容和服务。通过使用多站点内容和服务来提高容错性和可用性,防止因本地网或区域网络中断、断电或自然灾害而导致的故障。在 Array 网上银行解决方案中 GSLB 将发挥重要作用,其性能高低将直接影响整个系统的性能。 网上银行希望其资产能够全天候为其工作。 对于要确保提供 IP 服务的企业资产能够随时可用的产品来说,必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。采用不能提供高可用性的负载平衡产品将会影响对您 IP 服务的投资带来最大
16、收益。 Array GSLB 的目的是在多个可提供相同服务的站点之间, 根据相应的分配策略将用户请求 “路由”到合适的站点上。对 GSLB 而言,最重要的一点是每一个 Array TM 需要知道其他 TM 了解的服务、链路、系统状态信息,这一点通过 Array 状态信息通信协议(SICP)来完成的。SICP 是 Array 公司的私有协议,主要完成 GSLB 组中状态信息的交换,包括本地服务器负载、链路负载、网络状况信息。这些状态信息主要包括:链路可用性LLB、实服务可用性SLB、虚服务可用性、集群状态。 3.4.3.4. Array 的智能选路提供链路接入优化 Array 的智能选路提供链路接入优化 随着国内最大的Internet接入提供商Chinanet被拆分为北方China Netcom 和南方China Telecom之后,两方资源的互访受到了很大程度的影响。其出现的根本原因为南北网络的互通互联接点拥塞,造成用户丢包、延迟较大
