电子银行解决方案.docx
- 文档编号:11746122
- 上传时间:2023-03-31
- 格式:DOCX
- 页数:16
- 大小:23.76KB
电子银行解决方案.docx
《电子银行解决方案.docx》由会员分享,可在线阅读,更多相关《电子银行解决方案.docx(16页珍藏版)》请在冰豆网上搜索。
电子银行解决方案
Array网络银行SSL加速解决方案
1.网络银行行业背景
网络银行的实质是为各种通过Internet进行电子商务活动的客户提供电子结算手段。
网络银行是对
现有银行专用网的延伸和对银行传统业务方式的补充,在网络银行中,客户除了能办理储蓄、转帐等
简单业务和信用卡、证券交易、保险、付款申请等业务以外,还可以查询各种银行信息及根据实时数
据进行现金分析和财政状况分析,而且在不受干扰的情况下,24小时随时随地尽情浏览。
网上银行系统不仅节约成本,更主要的是带来新增收入和客户;使用网上银行的客户素质好、收
入高、账户余额大、需求种类多,银行赚取的收益和手续费收入相对较多;
但是面对这一新兴的事物,人们却有很大的疑惑:
网上银行安全吗?
网上银行能提供高质量的可
靠服务吗?
2.网络银行的几个关键点
2.1.安全总是最关键
银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网
络秩序较混乱,黑客攻击事件层出不穷,人们担心的网上银行安全问题主要是:
.银行交易系统被非法入侵。
.信息通过网络传输时被窃取或篡改。
.交易双方的身份识别;账户被他人盗用。
从另外一方面也就是银行的角度看的话,开展网上银行业务将承担比客户更多的风险,因此,我
国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包
括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以
保证网上银行的安全运行。
目前的安全措施主要有:
依靠操作系统的身份认证功能,通过划分VLAN的方式隔离网络,以及
防病毒、和定期磁带数据备份等。
以上这些已经不适应现代金融系统的安全需求。
一个普遍的趋势是采用SSL技术来为网络银行保驾护航。
SSL(安全套接字)协议,并为众多的
客户应用系统所采用。
SSL协议在OSI七层模型上是位于会话层。
SSL的主要目标是为两个通信主体
提供数字证书身份验证、保密、可靠的信道,并能够防数据篡改,与应用层具体协议无关,加密算法、
通信密钥的协商都是SSL自动完成。
之前的普遍做法是将SSL运算放在交易主机上,由于SSL运算极耗资源,即使是功能最强大的服
务器也无法达到很高的速度。
这样,在上网的高峰时刻,等待时间会越来越长,有时一些交易根本无
法完成。
经常出现SSL访问速度缓慢-响应时间将影响客户的信心和心情,很明显,客户访问网站时等待
的时间越长,它们就会越不耐烦,为防止现有客户或潜在客户弃您的网站而去,更糟糕的是转向访问
竞争对手的网站,一定要避免网站的速度因突然出现的流量高峰而慢得像蜗牛一样。
通讯拥塞,服务
器过载,SSL的使用,防火墙等等均可造成访问速度减慢。
为了解决网上银行服务器反应速度问题,从根本上解决SSL给服务器运行带来的不利影响,必须
采用专门设备处理SSL协议,以便使服务器的CPU从繁重的加密/解密过程中解脱出来。
Array的解决
方案是通过ArrayTMX进行SSL加速来实现提速,保障快速的交易响应能力。
2.2.高可靠性是保障
网络银行系统的高可靠性、访问性能对系统的稳定性都是至关重要的,所以除了安全性问题之外,
网上银行还存在以下一些潜在的问题:
服务器故障-一般的网络银行会采用多台交易服务器来完成交易服务,服务器出现硬件或操作系
统故障而不能使用,如何对服务器应用进行负载均衡合流量管理对系统可靠性最为关键。
软件故障-尽管其它应用系统正常运行,但某个或某些应用系统挂起或停止响应。
内容故障-服务器和应用系统都在正常运行,但对请求的响应却是“404ObjectNotFound”,或响
应内容不正确。
流量过大-服务器的响应与负载量变化密切相关。
在流量增长的过程中,服务器将及时对请求作
出响应,然而当流量到达一个极限点时,服务器就会停止对所有请求进行响应。
这种现象在本质上很
象二进位制-服务器或者工作或者罢工。
如何对大访问量进行性能优化也是我们关心的。
接入链路不均衡问题-由于中国的特殊国情,不同运营商之间,如电信、网通的互联互通具有很
大的瓶颈,当网络交易系统接入不同的ISP网络,而用户也从不同的ISP接入,这就需要对用户的连接
进行链路的接入优化,让用户通尽可能地过各自运营商地网络接入交易系统,达到最优的选路。
异地容灾问题-当一个中心发生故障或网络中断时,如何自动转向其它可用站点,并在原中心恢
复后,自动转回服务,而且自动同步内容。
Array的解决方案是提供TMX系列设备完成AFE(ApplicationFrontEnd)功能,具体来讲,包括服
务器的负载均衡、接入链路管理,WEB应用加速,以及异地容灾的量量管理。
达到网络银行交易的高
可靠性。
3.Array网络银行解决方案
网上银行应用处理平台由多套服务器组及专业应用软件组成。
通过ArrayTMX产品的应用,能够
对网上银行应用处理平台中的应用服务器实现SSL加速、负载均衡、流量管理、应用加速等多种功能,
在确保应用高可靠性的同时,这些功能是在Array的同一个设备实现的,简化网络复杂性、保护用户
投资。
拓扑示意图如下:
3.1.SSL加速为网络银行提速
很多电子商务SSL交易服务是通过在服务器中安装SSL处理卡或添加更多的服务器来解决SSL
处理性能不足这一问题。
但这两种方法费用都非常高,而且必须分别为每台服务器分别购买、安装和
管理认证。
SSL处理卡也要求在每台服务器上分别进行设置、安装和维护。
Array的SSL加速技术是用于卸载服务器的SSL(安全套接层)处理的,以提高其性能,同时大
幅度缩短响应时间并增强客户交易流量管理,由于降低了服务器的负载,所以也节省了系统对于服务器
的投资。
SSL加速技术可以提高电子银行服务器的性能,并在交易过程中提供安全性、高速度和流量
管理,所有这一切都是在同一个TMX设备上进行的,无需费钱费力地在每台服务器上安装额外的硬件
或软件。
Array解决方案能使IT人员卸载认证管理以及加密和解密功能,从而提高工作效率和可靠性。
解
决方案真正解除了Web服务器上的通信负载。
因此,无需再购买额外的服务器来处理SSL流量。
Array
产品还允许您为整个服务器集群只购买一个证书,从而降低了成本并减少了认证管理的时间;与必须
为每台Web服务器购买和安装SSL处理卡不同的是,您只需安装一次商业网站控制器或SSL加速器。
Array基于硬件的高性能加速,保障端到端安全性的内部SSL,并支持完整的证书管理特性,Array在
操作系统内核和硬件级别进行大批量数据加密.确保在进行安全交易和其他应用时具有快速和可靠的
连接,减轻服务器上CPU密集型处理的负担。
同时Array的SSL加速和TMX的ArrayOS紧密结合,
ArrayOS具有SpeedStack专利技术,具有指针化处理的TCPIP协议栈、反向代理引擎以及HTTP解析
器,所有这些技术结合起来构成了Array出众的SSL加速性能Array的TMX最大能够达到35,000个
SSL交易/秒。
下图是传统ssl加速设备和ArrayTMX的架构区别。
通过SSL加速功能的应用,能够在实现服务器负载均衡功能的基础上,提高整个应用平台的安全
性。
使到客户端的内容由原先的明文传输,变为SSL加密传输,大大增加了应用的安全性。
有的交易服务器需要查看客户端的数字证书,一般的SSL加速产品并不能够将数字证书透传给后
台服务器,ArrayTMX的做法是将数字证书放在HTTP的包头里面传给后台服务器,这样就解决了高
安全性的需求。
具体做法是TMX在将用户的HTTP请求发给后台服务器时,将证书变成Base64编码
格式发在HTTP包头x-client-cert里面发给交易服务器,由于交易服务器是通过WebLogic部署而成,
所以服务器只需简单的通过函数获取HTTP包头x-client-cert即可获得客户端的数字证书,进而作客户
端的身份验证,达到更高的安全性。
3.2.SLB实现电子交易服务器的负载均衡
Array的负载均衡服务,使每台服务器的处理能力都能得到充分的发挥。
网络银行数据中心部署TMX设备,一般部署两台组成一个cluster,以达到高可靠性。
每个客户请
求到达TMX后由TMX智能的将流量分配到服务器上。
ArrayTM支持多种服务器负载均衡算法(持续
性的和非持续性的),包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法,
链路带宽算法等等。
保持性算法包括,HttpHeader、hashIP、cookiet、URL等,保证应用的连续性。
此外实际服务器可以被分配不同的加权值来调整被分配的流量。
可以使性能高的大型服务器支持更多
的负载。
为了避免服务器因过载而崩溃,可为实际服务器指定最大连接阈值来避免该服务器过载。
ArrayTMX通过对服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用服务器。
当Array的健康检测机制,检测到服务器重新恢复正常以后,将使该服务器可以自动回到服务器群之中,
所有这些服务器故障的处理,对进行操作的用户是完全透明的。
.实时监控服务器应用系统的状态,并智能屏蔽故障应用系统;
.实现多台服务器的负载均衡,提升系统的可靠性;
.可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容;
.提供服务器在线维护和调试的手段。
3.3.GSLB技术,解决异地容灾问题
上面提到的SLB(服务器负载均衡)是指能够在性能不同的服务器之间进行任务分配,既能保证
性能差的服务器不成为系统的瓶颈,又能保证性能高的服务器的资源得到充分利用。
而GSLB(全局服
务器负载均衡)允许Web网络托管商、门户站点和企业根据地理位置分配内容和服务。
通过使用多站
点内容和服务来提高容错性和可用性,防止因本地网或区域网络中断、断电或自然灾害而导致的故障。
在Array网上银行解决方案中GSLB将发挥重要作用,其性能高低将直接影响整个系统的性能。
网上银行希望其资产能够全天候为其工作。
对于要确保提供IP服务的企业资产能够随时可用的产
品来说,必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。
采用不能提供高可用性的
负载平衡产品将会影响对您IP服务的投资带来最大收益。
ArrayGSLB的目的是在多个可提供相同服务的站点之间,根据相应的分配策略将用户请求“路由”
到合适的站点上。
对GSLB而言,最重要的一点是每一个ArrayTM需要知道其他TM了解的服务、链
路、系统状态信息,这一点通过Array状态信息通信协议(SICP)来完成的。
SICP是Array公司的私
有协议,主要完成GSLB组中状态信息的交换,包括本地服务器负载、链路负载、网络状况信息。
这
些状态信息主要包括:
链路可用性-LLB、实服务可用性-SLB、虚服务可用性、集群状态。
3.4.Array的智能选路提供链路接入优化
随着国内最大的Internet接入提供商Chinanet被拆分为北方ChinaNetcom和南方ChinaTelecom
之后,两方资源的互访受到了很大程度的影响。
其出现的根本原因为南北网络的互通互联接点拥塞,
造成用户丢包、延迟较大,从而导致访问缓慢,甚至对于一些应用根本无法访问。
一般来讲,应用系
统都希望用户从哪个ISP过来,就用哪个ISP的接口链路进行响应。
多链路解决方案能够提供更好的可用性和性能,它正在被越来越广泛地所采用。
可用性的提高来
自于多条链路的使用,而性能提高则是因为同时使用多条链路增加了带宽。
多链路方案能够提高业务
的可用性和性能,并且链路没有更好的进行负载分担。
TMX-LLB的链路负载均衡解决方案具有以下功能和优点:
.智能管理不同ISP提供的IP地址网段,保障用户地最优接入选择。
.保证优化所有的ISP链路,即通过智能负载均衡所有通过可用链路的流量。
.使用Array的SmartDNS来选择用于流入量的最佳ISP,保证了每个用户都可以最快速的服务
器,而不必受到南北电信、网通互联互通问题的影响。
.在某条链路失效时,所有流量仍可以经过另一条链路正常进出。
以保证系统的提供服务的不
间断性。
3.5.Cache功能、连接复用、http压缩为应用加速
3.5.1.Cache缓存功能
基于内存的反向代理Cache功能。
通过Cache功能的应用,TMX系列产品能够在内存中以数据包的
形式Cache住网站页面中所有可以被Cache住的内容。
当用户访问请求发送到TMX时,如果Cache中
的内容能够匹配用户的访问请求则直接由TMX来响应用户的访问,从而避免了对后台服务器的负载压
力,在减小了后台服务器负载的同时,提高了对用户的响应速度和整体网站的处理能力。
3.5.2.ConnectionMultiplexing(连接复用)技术
主要作用是为了改善现有系统的总体性能,其技术原理是自动实现HTTP1.0到HTTP1.1的转换;
TCP/IP协议栈在处理长连接时具有更好的性能;将Web流量的多个短连接合并为一个长连接。
同时结
合Array的ConnectionPooling(连接池)技术,其优点在于:
.加快了与后台服务器之间的TCP/UDP连接处理速度
.ArrayTM预先与后台服务器之间建立多个连接,并保持住它们(每个服务器最多预先
建立20个连接);
.如果有客户端的请求,根据负载分担算法被分配到某个后台服务器上,ArrayTM从预
先建立的该服务器的连接池中选择一个连接,在此连接上发送客户端的请求,一个连
接可以被用来传送多个请求(每个连接最多可以同时处理90个请求);
.显著的减少了后台服务器需要处理的用户端连接数(减少量可能达90%)
.改善了服务器的性能.
.服务器不需要花费更多的时间处理TCP/UDP连接建立和拆除的工作
.服务器不需要耗费更多的资源保持多个客户端连接
3.5.3.Http压缩功能
窄带访问应用的访问速度和服务质量的保证一直是网站推广和扩大用户访问所急待解决的问题。
通过TMX系列产品中HTTP压缩功能的应用,能够提高网站访问的通信质量,在向窄带宽用户提供很高
的通信质量的同时,还能够极大的节约网站互联网接入带宽消耗。
ArrayHTTP压缩过程:
采用ArrayHTTP压缩的优势:
.节省带宽;
.缩短用户下载内容的时间;
在WebServer上不需要压缩功能,减轻了WebServer的负担。
4.技术保障-ArraySpeedStack.技术
也许您会问,这么多的功能能同时在一个盒子里实现吗?
这是由Array的专利技术SpeedStack来
从分保障的。
ArrayNetworks正是基于SpeedStack核心技术来构建其产品的。
Array的SpeedStack技术由三
部分组成:
一个TCP/IP栈、HTTP分析器和一个代理引擎。
这种独特的架构让Array及第三方的开发人
员可以在数据流的多个环节来实现垂直应用程序与SpeedStack的关联。
SpeedStack技术可以让你在保持高性能的基础上关联更多的垂直功能――四层或七层的SLB、反
向代理缓存、全局服务器负载均衡、SSL加速、压缩,等等,而这一切都得益于消除了不必要的重复工
作。
在ArrayNetworks解决方案中,TCP/IP栈在数据包进入系统时首先对其进行处理。
TCP/IP栈通
过高效的包处理来实现高性能,在处理流程的初期及时检测出有害或已损坏的数据包并将它们丢弃。
TCP/IP栈的工作完成后,数据包就被交给了HTTP分析器,它以独特的方式对HTTP包头进行分解,使
其它组件不必再重复相同的工作。
分析引擎本身已经进行了优化,能够完成精确的HTTP处理,性能出
色。
另外,ArrayTMX内建基于状态检测的的防火墙-Webwall,最高可配置1000条策略。
对比其他基
于ACL的防火墙产品,ArrayTMX的Webwall具有独特的加速算法,使得ACL条目的增加不会影响整个
系统的性能。
基于ArrayTMX强大的处理性能(每秒可支持1,000,000并发连接),Webwall可抵御DOS、
SYNCFlood、BufferOverflowAttacks、ParserEvasionAttacks、DirectoryTraversalAttacks
等恶意攻击。
ArrayTMX是基于FullProxy设计的产品,来自Client端的任何连接请求都不会直接发
到后台服务器,从而保证了整个系统的高安全性。
5.总结
ArrayTMX解决方案以SSL交易为核心,从接入管理、安全、性能三个角度保障网络银行交易的高
安全性和高可靠性。
我们以一个表格来进行总结:
关键的挑战和需求
解决方案描述
交易安全性
通过TMX的SSL加速服务,为为服务器作SSL运算,无需再购买额外
的服务器来处理SSL流量。
提高交易的响应速度,节省在SSL运算上
的服务器投资。
灾备中心选路
网络银行业务的重要性一般会建设多各数据中心进行服务,通过将这两
个域名解析权放置在ArrayTMX上面,由TMX的GSLB(全球负载均衡
GlobalServerLoadBalance)模块智能的解析域名来达到两个中心流量
的负载均衡。
多通信链路接入控制
对于不同的ISP接入的用户,智能的选择相应的ISP链路进行响应,消
除不同运营商链路接入带来的影响。
服务器的负载均衡
每个数据中心部署TMX每个客户请求到达TMX后由TMX智能的将流量
分配到不同的服务器上,采用了合适的算法来完成持续性要求,通过对
服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用
服务器。
应用加速
通过Array的Cache技术、连接复用功能、Http压缩等来提高应用的
响应能力
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子 银行 解决方案