基于SSL的在线交易业务优化
1、基于SSL的交易型业务介绍
目前,有三种业务类型高度依赖SSL的技术进行在线交易:
·网上银行
·证券、基金在线交易
·电子支付
(1)网上银行
网上银行是对现有银行专用网的延伸和对银行传统业务方式的补充,在网络银行中,客户除了能办理储蓄、转帐等简单业务和信用卡、证券交易、保险、付款申请等业务以外,还可以查询各种银行信息及根据实时数据进行现金分析和财政状况分析,而且在不受干扰的情况下,24小时随时随地尽情浏览。
网上银行系统不仅节约成本,更主要的是带来新增收入和客户;使用网上银行的客户素质好、收入高、账户余额大、需求种类多,银行赚取的收益和手续费收入相对较多;
银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,人们担心的网上银行安全问题主要是:
·银行交易系统被非法入侵。
·信息通过网络传输时被窃取或篡改。
·交易双方的身份识别;账户被他人盗用。
从银行的角度看,开展网上银行业务将承担比客户更多的风险,因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证网上银行的安全运行。一个普遍的趋势是采用SSL技术来为网络银行保驾护航。
(2)证券、基金在线交易
随着股市、证券市场得爆炸式发展,证券和基金公司都把在线交易系统作为最重要的开展业务的手段。
人们会选择证券公司营业大厅或银行营业厅进行交易,同时也可以电话交易。互联网的应用普及,也使通过网络进行交易的数量逐步增多。业务量的增加,促进了国内各大老牌证券、基金公司开辟网上交易业务,或通过银行、券商进行代销等网上交易手段。因为网上交易有相应的优惠政策,特别是对大额交易来说,网络是一种不错的选择途径,许多买家由此开始转向网上交易。
证券交易系统一般采用C/S架构,一般用户需要安装特定的交易客户端软件,如恒生、核新等证券交易软件。证券公司还会采用基于SSL协议的Web交易方式,如国信证券的网上营业厅服务,由于不需要安装客户端软件,通过浏览器接入,灵活方便,也逐渐为众多用户接受。
基金公司的网络交易一般采用B/S结构的形式,投资人只需通过Web登陆方式登陆交易网站即可交易,一般会采用SSL 协议方式,经过身份验证和数据加密进行安全保障。
但我国证券、基金公司在信息技术方面的投入与国外的券商相比,一直以来存在着巨大的差距。正是由于证券业的交易,信息查询访问的猛增,给信息系统带来了巨大的压力,已有的系统建设已经远远不能满足证券业的发展,各公司原有的信息系统面临着严峻的考验,迫切需要更新设备及做系统升级。
(3)电子支付
电子支付在中国的发展始于网上银行业务。数据大集中的完成奠定了电子支付业务的基础,随后各大银行的网上缴费、移动银行业务和网上交易等逐渐发展起来。银行在初期完全主导着电子支付,大型企业用户与银行之间建立支付接口是最主要的支付模式。但银行在处理中小型商户的业务方面显得不足,于是非银行类的企业开始介入支付领域,第三方支付平台应运而生,在银行基础支付层提供的统一平台和接口的基础上,提供网上支付通道,并通过与银行的二次结算获得分成。
近年来,电子支付市场每年都以高于30%的速度在成长,在业务结算中,电子支付与其它交易结算形式相比,使用率较高,在某些企业中已超过了60%。商户、银行和第三方支付公司在支付市场这个舞台上扮演着不同的角色。伴随着网络购物、航空机票、教育(网络教育和考试网上报名等)、网上代收费、网络游戏(点卡)、数字出版等行业的发展,以及这些行业对网上支付极大的需求和依赖,未来几年我国网上支付的市场规模将继续扩大。 #p#page_title#e#
第三方支付平台市场规模增长极其迅速,据预测,2007年中国第三方网上支付平台市场规模将达215亿元左右。
电子支付是通过开放的网络来实现的,支付信息很容易受到来自各种途径的攻击和破坏,信息的泄露和受损直接威胁到企业和用户的切身利益,所以信息安全是树立和维护客户对电子支付信心的关键。因此要求支付平台保证电子支付业务处理系统的设计和运行能够避免电子支付交易数据在传送、处理、存储、使用和修改过程中被泄露和篡改。
调查数据显示,在选择电子支付考虑的诸多因素中,64.5%的商户首选安全因素。39.8%的商户很关注电子支付是否快捷和方便。这同时也是支付公司和银行共同关心的要素,支付产业从某种角度而言就是安全产业。
欲善其事,先利其器,具有先进而安全的交易平台是电子交易业务的保障,采用数字证书、电子签名等安全认证方式是普遍的做法,SSL 协议作为PKI的主要协议被电子支付业务广泛采用。
2. 基于SSL的交易型业务面对的挑战
·SSL交易处理的性能瓶颈
完成在线交易需解决的安全问题主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖。建立自己的CA认证中心或采用权威的CA中心,通过颁发相应的数字证书给与交易各方相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等,是业内普遍的做法。而SSL 协议作为PKI的主要协议被在线交易系统广泛采用。
SSL(安全套接字)协议在OSI七层模型上是位于会话层。SSL 的主要目标是为两个通信主体提供数字证书身份验证、保密、可靠的信道,并能够防数据篡改,与应用层具体协议无关,加密算法、通信密钥的协商都是SSL 自动完成。
然而,不论是网上银行,证券、基金在线交易还是电子支付,经常出现SSL访问速度缓慢的问题。响应时间将影响客户的信心和心情,很明显,客户访问网站时等待的时间越长,它们就会越不耐烦,为防止现有客户或潜在客户弃您的网站而去,甚至是转向访问竞争对手的网站,一定要避免系统的访问速度因突然出现的流量高峰而慢得像蜗牛一样。
通常有两种SSL协议部署方式,第一是在交易主机系统上作SSL运算,由于SSL运算需要耗费大量的CPU资源和内存资源,这势必造成主机资源的巨大消耗,进而影响交易的质量;第二种方式是采用SSL 加速设备来作SSL运算,如在交易服务器前面部署SSL加速器,由于这些加速器是专业的SSL硬件加速产品,具有很高的SSL运算能力,这样就能提高交易的SSL处理效率,降低交易服务器的负载。
为了解决在线交易服务器反应速度慢的问题,从根本上解决SSL给服务器运行带来的不利影响,必须采用专门设备处理SSL协议,以便使服务器的CPU从繁重的加密/解密过程中解脱出来。
·业务的高可靠性是在线交易的关键问题
在线交易系统的高可靠性、访问性能对系统的可用性都是至关重要的,所以除了安全性问题之外,在线交易系统还存在以下一些潜在的问题:
服务器故障-一般的在线交易系统会采用多台交易服务器来完成交易服务,服务器可能出现硬件或操作系统故障而不能使用,如何对服务器应用进行负载均衡和流量管理对系统可靠性最为关键。
软件故障-尽管其它应用系统正常运行,但某个或某些应用系统挂起或停止响应 。
内容故障-服务器和应用系统都在正常运行,但对请求的响应却是“404 Object Not Found”,或响应内容不正确。
流量过大-服务器的响应速度与负载量变化密切相关。在流量增长的过程中,服务器将及时对请求作出响应,然而当流量到达一个极限点时,服务器就会停止对所有请求进行响应。这种现象在本质上很象二进位制-服务器或者工作或者罢工。如何对大访问量进行性能优化也是企业需要关心的。
接入链路不均衡问题-由于中国的特殊国情,不同运营商之间,如电信、网通的互联互通具有很大的瓶颈,当在线交易系统接入不同的ISP网络,而用户也从不同的ISP接入,这就需要对用户的连接进行链路的接入优化,让用户通尽可能地过各自运营商地网络接入交易系统,达到最优的选路。 #p#page_title#e#
异地容灾问题-当一个中心发生故障或网络中断时,如何自动转向其它可用站点,并在原中心恢复后,自动转回服务,而且自动同步内容。
3. Array基于SSL的在线交易业务优化解决方案
在线交易平台一般由多套服务器及专业应用软件组成。通过Array APV产品的应用,能够对交易应用处理平台中的应用服务器实现SSL加速、负载均衡、链路流量管理、异地容灾备份等多种功能,在确保应用高可靠性的同时,简化网络复杂性、保护用户投资。拓扑示意图如下:
·SSL加速为在线交易提速
直到现在,很多企业仍是通过在服务器中安装SSL处理卡或添加更多的服务器来解决SSL交易速度过慢的问题,但这两种方法费用都非常高,而且必须分别为每台服务器分别购买、安装和管理认证。SSL处理卡也要求在每台服务器上分别进行设置、安装和维护。
Array APV开启SSL 服务,为交易服务器作SSL运算,配置从CA申请的服务器证书,提供给使用者进行验证,这在一定程度上可以防范网络钓鱼安全隐患。
Array的SSL加速技术是用于卸载服务器的SSL(安全套接层)处理的,以提高其性能,同时大幅度缩短响应时间并增强客户交易流量管理。由于降低了服务器的负载,所以也节省了对于服务器的投资。SSL加速技术可以提高交易服务器的性能,并为关键业务在线交易过程中提供安全性、高速度和流量管理,所有这一切都是在Array APV产品上进行的,无需费钱费力地在每台服务器上安装额外的硬件或软件。
Array APV的SSL加速解决方案具有以下特点:
·Array APV支持基于硬件的高性能SSL加速,在操作系统内核和硬件级别进行大批量数据加密处理,确保在进行安全交易和其他应用时具有快速和可靠的连接,减轻服务器上CPU密集型处理的负担;
·Array 的SSL加速和APV的ArrayOS紧密结合,ArrayOS具有SpeedStack 专利技术,具有指针化处理的TCPIP协议栈、反向代理引擎以及HTTP解析器,所有这些技术结合起来构成了Array 出众的SSL加速性能;
·保障端到端安全性的Inside SSL能力;
·支持完整的证书管理特性。
·支持将数字证书放在HTTP的包头里面传给后台服务器:APV在将用户的HTTP请求发给后台服务器时,将证书变成Base64编码格式发在HTTP包头x-client-cert里面发给交易服务器,交易服务器只需简单的通过函数获取HTTP包头x-client-cert即可获得客户端的数字证书,进而作客户端的身份验证,达到更高的安全性。
通过SSL加速功能的应用,能够提高整个在线交易应用平台的安全性,使到客户端的内容由原先的明文传输,变为SSL加密传输,大大增加了应用的安全性。
·SLB实现交易服务器的负载均衡
Array的负载均衡服务,使每台服务器的处理能力都能得到充分的发挥。业务数据中心部署APV设备,一般部署两台组成一个cluster,以达到高可靠性。每个客户请求到达APV后由APV智能的将流量分配到服务器上。Array APV支持多种服务器负载均衡算法(持续性的和非持续性的),包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法,链路带宽算法等等。保持性算法包括,Http Header 、hash IP、cookiet、URL等,保证应用的连续性。此外实际服务器可以被分配不同的加权值来调整被分配的流量。可以使性能高的大型服务器支持更多的负载。为了避免服务器因过载而崩溃,可为实际服务器指定最大连接阈值来避免该服务器过载。
Array APV通过对服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用服务器。当Array的健康检测机制,检测到服务器重新恢复正常以后,将使该服务器可以自动回到服务器群之中,所有这些服务器故障的处理,对进行操作的用户是完全透明的。
·实时监控服务器应用系统的状态,并智能屏蔽故障应用系统;
·实现多台服务器的负载均衡,提升系统的可靠性; #p#page_title#e#
·可以监控和同步服务器提供的内容,确保客户获取到准确可靠的内容;
·提供服务器在线维护和调试的手段。
·GSLB技术解决异地容灾问题
上面提到的SLB(服务器负载均衡)是指能够在性能不同的服务器之间进行任务分配,既能保证性能差的服务器不成为系统的瓶颈,又能保证性能高的服务器的资源得到充分利用。而GSLB(全局服务器负载均衡)允许Web网络托管商、门户站点和企业根据地理位置分配内容和服务。通过使用多站点内容和服务来提高容错性和可用性,防止因本地网或区域网络中断、断电或自然灾害而导致的故障。在Array 证券、基金优化解决方案中GSLB将发挥重要作用,其性能高低将直接影响整个系统的性能。
交易系统都希望其资产能够全天候为其工作。对于要确保提供IP服务的企业资产能够随时可用的产品来说,必须要同时提供基于服务质量的高可用性和完善的负载平衡功能。采用不能提供高可用性的负载平衡产品将会影响对您IP服务的投资带来最大收益。
Array GSLB的目的是在多个可提供相同服务的站点之间,根据相应的分配策略将用户请求“路由”到合适的站点上。对GSLB而言,最重要的一点是每一个Array APV需要知道其他APV了解的服务、链路、系统状态信息,这一点通过Array状态信息通信协议(SICP)来完成的。SICP是Array公司的私有协议,主要完成GSLB组中状态信息的交换,包括本地服务器负载、链路负载、网络状况信息。这些状态信息主要包括:链路可用性-LLB、实服务可用性-SLB、虚服务可用性、集群状态。
·Array的智能选路提供链路接入优化
随着国内最大的Internet接入提供商Chinanet被拆分为北方China Netcom 和南方China Telecom之后,两方资源的互访受到了很大程度的影响。其出现的根本原因为南北网络的互通互联接点拥塞,造成用户丢包、延迟较大,从而导致访问缓慢,甚至对于一些应用根本无法访问。一般来讲,应用系统都希望用户从哪个ISP过来,就用哪个ISP的接口链路进行响应。
链路解决方案能够提供更好的可用性和性能,它正在被越来越广泛地所采用。可用性的提高来自于多条链路的使用,而性能提高则是因为同时使用多条链路增加了带宽。多链路方案能够提高业务的可用性和性能,并且链路没有更好的进行负载分担。
APV的链路负载均衡解决方案具有以下功能和优点:
·智能管理不同ISP提供的IP地址网段,保障用户地最优接入选择。
·保证优化所有的ISP链路,即通过智能负载均衡所有通过可用链路的流量。
·使用Array的SmartDNS来选择用于流入量的最佳ISP,保证了每个用户都可以最快速的服务器,而不必受到南北电信、网通互联互通问题的影响。
·在某条链路失效时,所有流量仍可以经过另一条链路正常进出。以保证系统的提供服务的不间断性。
4. 在线交易业务优化解决方案对企业的价值
通过Array的解决方案,对于在线交易业务具有以下优点:
·交易安全、性能提升
通过APV的SSL 加速服务,为为服务器作SSL运算,无需再购买额外的服务器来处理SSL流量。提高交易的响应速度,节省在SSL 运算上的服务器投资。
·交易应用服务的可靠性得到提升
每个数据中心部署APV每个客户请求到达APV后由APV智能的将流量分配到不同的服务器上,采用了合适的算法来完成持续性要求,通过对服务器的实时健康检查,保证数据流量会自动绕过故障服务器或不可用服务器。
·实现链路的接入的优化管理
对于不同的ISP接入的用户,智能的选择相应的ISP链路进行响应,消除不同运营商链路接入带来的影响。
·对交易系统提供异地容灾备份
由于交易系统的重要性,有些大的公司会建设多各交易中心进行服务,通过将这两个域名解析权放置在Array APV上面,由APV的GSLB(全球负载均衡Global Server Load Balance)模块智能的解析域名来达到两个中心流量的负载均衡。 #p#page_title#e#