IS003电子银行SSLSLB解决方案 0416.docx
- 文档编号:2375585
- 上传时间:2022-10-29
- 格式:DOCX
- 页数:9
- 大小:651.96KB
IS003电子银行SSLSLB解决方案 0416.docx
《IS003电子银行SSLSLB解决方案 0416.docx》由会员分享,可在线阅读,更多相关《IS003电子银行SSLSLB解决方案 0416.docx(9页珍藏版)》请在冰豆网上搜索。
IS003电子银行SSLSLB解决方案0416
目录
1.网络银行行业背景2
2.网络银行的几个关键点2
2.1.安全总是最关键2
2.2.高可靠性是保障4
3.Array网络银行解决方案4
3.1.SSL加速为网络银行提速5
3.2.SLB实现电子交易服务器的负载均衡6
3.3.GSLB技术,解决异地容灾问题7
3.4.Array的智能选路提供链路接入优化8
3.5.Cache功能、连接复用、http压缩为应用加速9
3.5.1.Cache功能9
3.5.2.ConnectionMultiplexing(连接复用)技术9
3.5.3.Http压缩功能9
4.技术保障-ArraySpeedStack™技术10
5.总结11
Array网络银行SSL加速解决方案
1.网络银行行业背景
网络银行的实质是为各种通过Internet进行电子商务活动的客户提供电子结算手段。
网络银行是对现有银行专用网的延伸和对银行传统业务方式的补充,在网络银行中,客户除了能办理储蓄、转帐等简单业务和信用卡、证券交易、保险、付款申请等业务以外,还可以查询各种银行信息及根据实时数据进行现金分析和财政状况分析,而且在不受干扰的情况下,24小时随时随地尽情浏览。
网上银行系统不仅节约成本,更主要的是带来新增收入和客户;使用网上银行的客户素质好、收入高、账户余额大、需求种类多,银行赚取的收益和手续费收入相对较多;
但是面对这一新兴的事物,人们却有很大的疑惑:
网上银行安全吗?
网上银行能提供高质量的可靠服务吗?
2.网络银行的几个关键点
2.1.安全总是最关键
银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,人们担心的网上银行安全问题主要是:
⏹银行交易系统被非法入侵。
⏹信息通过网络传输时被窃取或篡改。
⏹交易双方的身份识别;账户被他人盗用。
从另外一方面也就是银行的角度看的话,开展网上银行业务将承担比客户更多的风险,因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证网上银行的安全运行。
目前的安全措施主要有:
依靠操作系统的身份认证功能,通过划分VLAN的方式隔离网络,以及防病毒、和定期磁带数据备份等。
以上这些已经不适应现代金融系统的安全需求。
一个普遍的趋势是采用SSL技术来为网络银行保驾护航。
SSL(安全套接字)协议,并为众多的客户应用系统所采用。
SSL协议在OSI七层模型上是位于会话层。
SSL的主要目标是为两个通信主体提供数字证书身份验证、保密、可靠的信道,并能够防数据篡改,与应用层具体协议无关,加密算法、通信密钥的协商都是SSL自动完成。
之前的普遍做法是将SSL运算放在交易主机上,由于SSL运算极耗资源,即使是功能最强大的服务器也无法达到很高的速度。
这样,在上网的高峰时刻,等待时间会越来越长,有时一些交易根本无法完成。
经常出现SSL访问速度缓慢-响应时间将影响客户的信心和心情,很明显,客户访问网站时等待的时间越长,它们就会越不耐烦,为防止现有客户或潜在客户弃您的网站而去,更糟糕的是转向访问竞争对手的网站,一定要避免网站的速度因突然出现的流量高峰而慢得像蜗牛一样。
通讯拥塞,服务器过载,SSL的使用,防火墙等等均可造成访问速度减慢。
为了解决网上银行服务器反应速度问题,从根本上解决SSL给服务器运行带来的不利影响,必须采用专门设备处理SSL协议,以便使服务器的CPU从繁重的加密/解密过程中解脱出来。
Array的解决方案是通过ArrayTMX进行SSL加速来实现提速,保障快速的交易响应能力。
2.2.高可靠性是保障
网络银行系统的高可靠性、访问性能对系统的稳定性都是至关重要的,所以除了安全性问题之外,网上银行还存在以下一些潜在的问题:
服务器故障-一般的网络银行会采用多台交易服务器来完成交易服务,服务器出现硬件或操作系统故障而不能使用,如何对服务器应用进行负载均衡合流量管理对系统可靠性最为关键。
软件故障-尽管其它应用系统正常运行,但某个或某些应用系统挂起或停止响应。
内容故障-服务器和应用系统都在正常运行,但对请求的响应却是“404ObjectNotFound”,或响应内容不正确。
流量过大-服务器的响应与负载量变化密切相关。
在流量增长的过程中,服务器将及时对请求作出响应,然而当流量到达一个极限点时,服务器就会停止对所有请求进行响应。
这种现象在本质上很象二进位制-服务器或者工作或者罢工。
如何对大访问量进行性能优化也是我们关心的。
接入链路不均衡问题-由于中国的特殊国情,不同运营商之间,如电信、网通的互联互通具有很大的瓶颈,当网络交易系统接入不同的ISP网络,而用户也从不同的ISP接入,这就需要对用户的连接进行链路的接入优化,让用户通尽可能地过各自运营商地网络接入交易系统,达到最优的选路。
异地容灾问题-当一个中心发生故障或网络中断时,如何自动转向其它可用站点,并在原中心恢复后,自动转回服务,而且自动同步内容。
Array的解决方案是提供TMX系列设备完成AFE(ApplicationFrontEnd)功能,具体来讲,包括服务器的负载均衡、接入链路管理,WEB应用加速,以及异地容灾的量量管理。
达到网络银行交易的高可靠性。
3.Array网络银行解决方案
网上银行应用处理平台由多套服务器组及专业应用软件组成。
通过ArrayTMX产品的应用,能够对网上银行应用处理平台中的应用服务器实现SSL加速、负载均衡、流量管理、应用加速等多种功能,在确保应用高可靠性的同时,这些功能是在Array的同一个设备实现的,简化网络复杂性、保护用户投资。
拓扑示意图如下:
3.1.SSL加速为网络银行提速
很多电子商务SSL交易服务是通过在服务器中安装SSL处理卡或添加更多的服务器来解决SSL处理性能不足这一问题。
但这两种方法费用都非常高,而且必须分别为每台服务器分别购买、安装和管理认证。
SSL处理卡也要求在每台服务器上分别进行设置、安装和维护。
Array的SSL加速技术是用于卸载服务器的SSL(安全套接层)处理的,以提高其性能,同时大幅度缩短响应时间并增强客户交易流量管理,由于降低了服务器的负载,所以也节省了系统对于服务器的投资。
SSL加速技术可以提高电子银行服务器的性能,并在交易过程中提供安全性、高速度和流量管理,所有这一切都是在同一个TMX设备上进行的,无需费钱费力地在每台服务器上安装额外的硬件或软件。
Array解决方案能使IT人员卸载认证管理以及加密和解密功能,从而提高工作效率和可靠性。
解决方案真正解除了Web服务器上的通信负载。
因此,无需再购买额外的服务器来处理SSL流量。
Array产品还允许您为整个服务器集群只购买一个证书,从而降低了成本并减少了认证管理的时间;与必须为每台Web服务器购买和安装SSL处理卡不同的是,您只需安装一次商业网站控制器或SSL加速器。
Array基于硬件的高性能加速,保障端到端安全性的内部SSL,并支持完整的证书管理特性,Array在操作系统内核和硬件级别进行大批量数据加密.确保在进行安全交易和其他应用时具有快速和可靠的连接,减轻服务器上CPU密集型处理的负担。
同时Array的SSL加速和TMX的ArrayOS紧密结合,ArrayOS具有SpeedStack专利技术,具有指针化处理的TCPIP协议栈、反向代理引擎以及HTTP解析器,所有这些技术结合起来构成了Array出众的SSL加速性能Array的TMX最大能够达到35,000个SSL交易/秒。
下图是传统ssl加速设备和ArrayTMX的架构区别。
通过SSL加速功能的应用,能够在实现服务器负载均衡功能的基础上,提高整个应用平台的安全性。
使到客户端的内容由原先的明文传输,变为SSL加密传输,大大增加了应用的安全性。
有的交易服务器需要查看客户端的数字证书,一般的SSL加速产品并不能够将数字证书透传给后台服务器,ArrayTMX的做法是将数字证书放在HTTP的包头里面传给后台服务器,这样就解决了高安全性的需求。
具体做法是TMX在将用户的HTTP请求发给后台服务器时,将证书变成Base64编码格式发在HTTP包头x-client-cert里面发给交易服务器,由于交易服务器是通过WebLogic部署而成,所以服务器只需简单的通过函数获取HTTP包头x-client-cert即可获得客户端的数字证书,进而作客户端的身份验证,达到更高的安全性。
3.2.SLB实现电子交易服务器的负载均衡
Array的负载均衡服务,使每台服务器的处理能力都能得到充分的发挥。
网络银行数据中心部署TMX设备,一般部署两台组成一个cluster,以达到高可靠性。
每个客户请求到达TMX后由TMX智能的将流量分配到服务器上。
ArrayTM支持多种服务器负载均衡算法(持续性的和非持续性的),包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法,链路带宽算法等等。
保持性算法包括,HttpHeader、hashIP、cookiet、URL等,保证应用的连续性。
此外实际服务器可以被分配不同的加权值来调整被分配的流量。
可以使性能高的大型服务器支持更多的负载。
为了避免服务器因过载而崩溃,可为实际服务器指定最大连接阈值来避免该服务器过载。
ArrayTMX通过对服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用服务器。
当Array的健康检测机制,检测到服务器重新恢复正常以后,将使该服务器可以自动回到服务器群之中,所有这些服务器故障的处理,对进行操作的用户是完全透明的。
●实时监控服务器应用系统的状态,并智能屏蔽故障应用系统;
●实现多台服务器的负载均衡,提升系统的可靠性;
●可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容;
●提供服务器在线维护和调试的手段。
3.3.GSLB技术,解决异地容灾问题
上面提到的SLB(服务器负载均衡)是指能够在性能不同的服务器之间进行任务分配,既能保证性能差的服务器不成为系统的瓶颈,又能保证性能高的服务器的资源得到充分利用。
而GSLB(全局服务器负载均衡)允许Web网络托管商、门户站点和企业根据地理位置分配内容和服务。
通过使用多站点内容和服务来提高容错性和可用性,防止因本地网或区域网络中断、断电或自然灾害而导致的故障。
在Array网上银行解决方案中GSLB将发挥重要作用,其性能高低将直接影响整个系统的性能。
网上银行希望其资产能够全天候为其工作。
对于要确保提供IP服务的企业资产能够随时可用的产品来说,必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。
采用不能提供高可用性的负载平衡产品将会影响对您IP服务的投资带来最大收益。
ArrayGSLB的目的是在多个可提供相同服务的站点之间,根据相应的分配策略将用户请求“路由”到合适的站点上。
对GSLB而言,最重要的一点是每一个ArrayTM需要知道其他TM了解的服务、链路、系统状态信息,这一点通过Array状态信息通信协议(SICP)来完成的。
SICP是Array公司的私有协议,主要完成GSLB组中状态信息的交换,包括本地服务器负载、链路负载、网络状况信息。
这些状态信息主要包括:
链路可用性-LLB、实服务可用性-SLB、虚服务可用性、集群状态。
3.4.Array的智能选路提供链路接入优化
随着国内最大的Internet接入提供商Chinanet被拆分为北方ChinaNetcom和南方ChinaTelecom之后,两方资源的互访受
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IS003电子银行SSLSLB解决方案 0416 IS003 电子 银行 SSLSLB 解决方案