基于SSL的在線交易業(yè)務(wù)優(yōu)化

1、基于SSL的交易型業(yè)務(wù)介紹
目前，有三種業(yè)務(wù)類型高度依賴SSL的技術(shù)進行在線交易：
·網(wǎng)上銀行
·證券、基金在線交易
·電子支付

（1）網(wǎng)上銀行
網(wǎng)上銀行是對現(xiàn)有銀行專用網(wǎng)的延伸和對銀行傳統(tǒng)業(yè)務(wù)方式的補充，在網(wǎng)絡(luò)銀行中，客戶除了能辦理儲蓄、轉(zhuǎn)帳等簡單業(yè)務(wù)和信用卡、證券交易、保險、付款申請等業(yè)務(wù)以外，還可以查詢各種銀行信息及根據(jù)實時數(shù)據(jù)進行現(xiàn)金分析和財政狀況分析，而且在不受干擾的情況下，24小時隨時隨地盡情瀏覽。

網(wǎng)上銀行系統(tǒng)不僅節(jié)約成本，更主要的是帶來新增收入和客戶；使用網(wǎng)上銀行的客戶素質(zhì)好、收入高、賬戶余額大、需求種類多，銀行賺取的收益和手續(xù)費收入相對較多；

銀行業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)的連接，使得網(wǎng)上銀行容易成為非法入侵和惡意攻擊的對象，加上目前網(wǎng)絡(luò)秩序較混亂，黑客攻擊事件層出不窮，人們擔心的網(wǎng)上銀行安全問題主要是：
·銀行交易系統(tǒng)被非法入侵。
·信息通過網(wǎng)絡(luò)傳輸時被竊取或篡改。
·交易雙方的身份識別；賬戶被他人盜用。
 

從銀行的角度看，開展網(wǎng)上銀行業(yè)務(wù)將承擔比客戶更多的風險，因此，我國已開通“網(wǎng)上銀行”業(yè)務(wù)的招商銀行、建設(shè)銀行、中國銀行等，都建立了一套嚴密的安全體系，包括安全策略、安全管理制度和流程、安全技術(shù)措施、業(yè)務(wù)安全措施、內(nèi)部安全監(jiān)控和安全審計等，以保證網(wǎng)上銀行的安全運行。一個普遍的趨勢是采用SSL技術(shù)來為網(wǎng)絡(luò)銀行保駕護航。

 （2）證券、基金在線交易
隨著股市、證券市場得爆炸式發(fā)展，證券和基金公司都把在線交易系統(tǒng)作為最重要的開展業(yè)務(wù)的手段。

人們會選擇證券公司營業(yè)大廳或銀行營業(yè)廳進行交易，同時也可以電話交易?；ヂ?lián)網(wǎng)的應(yīng)用普及，也使通過網(wǎng)絡(luò)進行交易的數(shù)量逐步增多。業(yè)務(wù)量的增加，促進了國內(nèi)各大老牌證券、基金公司開辟網(wǎng)上交易業(yè)務(wù)，或通過銀行、券商進行代銷等網(wǎng)上交易手段。因為網(wǎng)上交易有相應(yīng)的優(yōu)惠政策，特別是對大額交易來說，網(wǎng)絡(luò)是一種不錯的選擇途徑，許多買家由此開始轉(zhuǎn)向網(wǎng)上交易。

證券交易系統(tǒng)一般采用C/S架構(gòu)，一般用戶需要安裝特定的交易客戶端軟件，如恒生、核新等證券交易軟件。證券公司還會采用基于SSL協(xié)議的Web交易方式，如國信證券的網(wǎng)上營業(yè)廳服務(wù)，由于不需要安裝客戶端軟件，通過瀏覽器接入，靈活方便，也逐漸為眾多用戶接受。

基金公司的網(wǎng)絡(luò)交易一般采用B/S結(jié)構(gòu)的形式，投資人只需通過Web登陸方式登陸交易網(wǎng)站即可交易，一般會采用SSL 協(xié)議方式，經(jīng)過身份驗證和數(shù)據(jù)加密進行安全保障。

但我國證券、基金公司在信息技術(shù)方面的投入與國外的券商相比，一直以來存在著巨大的差距。正是由于證券業(yè)的交易，信息查詢訪問的猛增，給信息系統(tǒng)帶來了巨大的壓力，已有的系統(tǒng)建設(shè)已經(jīng)遠遠不能滿足證券業(yè)的發(fā)展，各公司原有的信息系統(tǒng)面臨著嚴峻的考驗，迫切需要更新設(shè)備及做系統(tǒng)升級。

（3）電子支付
電子支付在中國的發(fā)展始于網(wǎng)上銀行業(yè)務(wù)。數(shù)據(jù)大集中的完成奠定了電子支付業(yè)務(wù)的基礎(chǔ)，隨后各大銀行的網(wǎng)上繳費、移動銀行業(yè)務(wù)和網(wǎng)上交易等逐漸發(fā)展起來。銀行在初期完全主導著電子支付，大型企業(yè)用戶與銀行之間建立支付接口是最主要的支付模式。但銀行在處理中小型商戶的業(yè)務(wù)方面顯得不足，于是非銀行類的企業(yè)開始介入支付領(lǐng)域，第三方支付平臺應(yīng)運而生，在銀行基礎(chǔ)支付層提供的統(tǒng)一平臺和接口的基礎(chǔ)上，提供網(wǎng)上支付通道，并通過與銀行的二次結(jié)算獲得分成。

近年來，電子支付市場每年都以高于30%的速度在成長，在業(yè)務(wù)結(jié)算中，電子支付與其它交易結(jié)算形式相比，使用率較高，在某些企業(yè)中已超過了60%。商戶、銀行和第三方支付公司在支付市場這個舞臺上扮演著不同的角色。伴隨著網(wǎng)絡(luò)購物、航空機票、教育(網(wǎng)絡(luò)教育和考試網(wǎng)上報名等)、網(wǎng)上代收費、網(wǎng)絡(luò)游戲(點卡)、數(shù)字出版等行業(yè)的發(fā)展，以及這些行業(yè)對網(wǎng)上支付極大的需求和依賴，未來幾年我國網(wǎng)上支付的市場規(guī)模將繼續(xù)擴大。 #p#page_title#e#

第三方支付平臺市場規(guī)模增長極其迅速，據(jù)預(yù)測，2007年中國第三方網(wǎng)上支付平臺市場規(guī)模將達215億元左右。

電子支付是通過開放的網(wǎng)絡(luò)來實現(xiàn)的，支付信息很容易受到來自各種途徑的攻擊和破壞，信息的泄露和受損直接威脅到企業(yè)和用戶的切身利益，所以信息安全是樹立和維護客戶對電子支付信心的關(guān)鍵。因此要求支付平臺保證電子支付業(yè)務(wù)處理系統(tǒng)的設(shè)計和運行能夠避免電子支付交易數(shù)據(jù)在傳送、處理、存儲、使用和修改過程中被泄露和篡改。

調(diào)查數(shù)據(jù)顯示，在選擇電子支付考慮的諸多因素中，64.5%的商戶首選安全因素。39.8%的商戶很關(guān)注電子支付是否快捷和方便。這同時也是支付公司和銀行共同關(guān)心的要素，支付產(chǎn)業(yè)從某種角度而言就是安全產(chǎn)業(yè)。
 

欲善其事，先利其器，具有先進而安全的交易平臺是電子交易業(yè)務(wù)的保障，采用數(shù)字證書、電子簽名等安全認證方式是普遍的做法，SSL 協(xié)議作為PKI的主要協(xié)議被電子支付業(yè)務(wù)廣泛采用。

2. 基于SSL的交易型業(yè)務(wù)面對的挑戰(zhàn)

·SSL交易處理的性能瓶頸
完成在線交易需解決的安全問題主要有交易雙方身份確認、交易指令及數(shù)據(jù)加密傳輸、數(shù)據(jù)的完整性、防止雙方對交易結(jié)果的抵賴。建立自己的CA認證中心或采用權(quán)威的CA中心，通過頒發(fā)相應(yīng)的數(shù)字證書給與交易各方相關(guān)身份證明，同時在SSL協(xié)議體系下完成交易過程中電子證書驗證、數(shù)字簽名、指令數(shù)據(jù)的加密傳輸、交易結(jié)果確認審計等，是業(yè)內(nèi)普遍的做法。而SSL 協(xié)議作為PKI的主要協(xié)議被在線交易系統(tǒng)廣泛采用。

SSL（安全套接字）協(xié)議在OSI七層模型上是位于會話層。SSL 的主要目標是為兩個通信主體提供數(shù)字證書身份驗證、保密、可靠的信道，并能夠防數(shù)據(jù)篡改，與應(yīng)用層具體協(xié)議無關(guān)，加密算法、通信密鑰的協(xié)商都是SSL 自動完成。

然而，不論是網(wǎng)上銀行，證券、基金在線交易還是電子支付，經(jīng)常出現(xiàn)SSL訪問速度緩慢的問題。響應(yīng)時間將影響客戶的信心和心情，很明顯，客戶訪問網(wǎng)站時等待的時間越長，它們就會越不耐煩，為防止現(xiàn)有客戶或潛在客戶棄您的網(wǎng)站而去，甚至是轉(zhuǎn)向訪問競爭對手的網(wǎng)站，一定要避免系統(tǒng)的訪問速度因突然出現(xiàn)的流量高峰而慢得像蝸牛一樣。

通常有兩種SSL協(xié)議部署方式，第一是在交易主機系統(tǒng)上作SSL運算，由于SSL運算需要耗費大量的CPU資源和內(nèi)存資源，這勢必造成主機資源的巨大消耗，進而影響交易的質(zhì)量；第二種方式是采用SSL 加速設(shè)備來作SSL運算，如在交易服務(wù)器前面部署SSL加速器，由于這些加速器是專業(yè)的SSL硬件加速產(chǎn)品，具有很高的SSL運算能力，這樣就能提高交易的SSL處理效率，降低交易服務(wù)器的負載。

為了解決在線交易服務(wù)器反應(yīng)速度慢的問題，從根本上解決SSL給服務(wù)器運行帶來的不利影響，必須采用專門設(shè)備處理SSL協(xié)議，以便使服務(wù)器的CPU從繁重的加密/解密過程中解脫出來。

·業(yè)務(wù)的高可靠性是在線交易的關(guān)鍵問題
在線交易系統(tǒng)的高可靠性、訪問性能對系統(tǒng)的可用性都是至關(guān)重要的，所以除了安全性問題之外，在線交易系統(tǒng)還存在以下一些潛在的問題：
服務(wù)器故障－一般的在線交易系統(tǒng)會采用多臺交易服務(wù)器來完成交易服務(wù)，服務(wù)器可能出現(xiàn)硬件或操作系統(tǒng)故障而不能使用，如何對服務(wù)器應(yīng)用進行負載均衡和流量管理對系統(tǒng)可靠性最為關(guān)鍵。
軟件故障－盡管其它應(yīng)用系統(tǒng)正常運行，但某個或某些應(yīng)用系統(tǒng)掛起或停止響應(yīng) 。
內(nèi)容故障－服務(wù)器和應(yīng)用系統(tǒng)都在正常運行，但對請求的響應(yīng)卻是“404 Object Not Found”，或響應(yīng)內(nèi)容不正確。
流量過大－服務(wù)器的響應(yīng)速度與負載量變化密切相關(guān)。在流量增長的過程中，服務(wù)器將及時對請求作出響應(yīng)，然而當流量到達一個極限點時，服務(wù)器就會停止對所有請求進行響應(yīng)。這種現(xiàn)象在本質(zhì)上很象二進位制－服務(wù)器或者工作或者罷工。如何對大訪問量進行性能優(yōu)化也是企業(yè)需要關(guān)心的。
接入鏈路不均衡問題－由于中國的特殊國情，不同運營商之間，如電信、網(wǎng)通的互聯(lián)互通具有很大的瓶頸，當在線交易系統(tǒng)接入不同的ISP網(wǎng)絡(luò)，而用戶也從不同的ISP接入，這就需要對用戶的連接進行鏈路的接入優(yōu)化，讓用戶通盡可能地過各自運營商地網(wǎng)絡(luò)接入交易系統(tǒng)，達到最優(yōu)的選路。 #p#page_title#e#
異地容災(zāi)問題－當一個中心發(fā)生故障或網(wǎng)絡(luò)中斷時，如何自動轉(zhuǎn)向其它可用站點，并在原中心恢復后，自動轉(zhuǎn)回服務(wù)，而且自動同步內(nèi)容。

3. Array基于SSL的在線交易業(yè)務(wù)優(yōu)化解決方案
在線交易平臺一般由多套服務(wù)器及專業(yè)應(yīng)用軟件組成。通過Array APV產(chǎn)品的應(yīng)用，能夠?qū)灰讘?yīng)用處理平臺中的應(yīng)用服務(wù)器實現(xiàn)SSL加速、負載均衡、鏈路流量管理、異地容災(zāi)備份等多種功能，在確保應(yīng)用高可靠性的同時，簡化網(wǎng)絡(luò)復雜性、保護用戶投資。拓撲示意圖如下：

·SSL加速為在線交易提速
直到現(xiàn)在，很多企業(yè)仍是通過在服務(wù)器中安裝SSL處理卡或添加更多的服務(wù)器來解決SSL交易速度過慢的問題，但這兩種方法費用都非常高，而且必須分別為每臺服務(wù)器分別購買、安裝和管理認證。SSL處理卡也要求在每臺服務(wù)器上分別進行設(shè)置、安裝和維護。

Array APV開啟SSL 服務(wù)，為交易服務(wù)器作SSL運算，配置從CA申請的服務(wù)器證書，提供給使用者進行驗證，這在一定程度上可以防范網(wǎng)絡(luò)釣魚安全隱患。

Array的SSL加速技術(shù)是用于卸載服務(wù)器的SSL（安全套接層）處理的，以提高其性能，同時大幅度縮短響應(yīng)時間并增強客戶交易流量管理。由于降低了服務(wù)器的負載，所以也節(jié)省了對于服務(wù)器的投資。SSL加速技術(shù)可以提高交易服務(wù)器的性能，并為關(guān)鍵業(yè)務(wù)在線交易過程中提供安全性、高速度和流量管理，所有這一切都是在Array APV產(chǎn)品上進行的，無需費錢費力地在每臺服務(wù)器上安裝額外的硬件或軟件。

Array APV的SSL加速解決方案具有以下特點：
·Array APV支持基于硬件的高性能SSL加速，在操作系統(tǒng)內(nèi)核和硬件級別進行大批量數(shù)據(jù)加密處理，確保在進行安全交易和其他應(yīng)用時具有快速和可靠的連接，減輕服務(wù)器上CPU密集型處理的負擔；
·Array 的SSL加速和APV的ArrayOS緊密結(jié)合，ArrayOS具有SpeedStack 專利技術(shù)，具有指針化處理的TCPIP協(xié)議棧、反向代理引擎以及HTTP解析器，所有這些技術(shù)結(jié)合起來構(gòu)成了Array 出眾的SSL加速性能；
·保障端到端安全性的Inside SSL能力；
·支持完整的證書管理特性。
·支持將數(shù)字證書放在HTTP的包頭里面?zhèn)鹘o后臺服務(wù)器：APV在將用戶的HTTP請求發(fā)給后臺服務(wù)器時，將證書變成Base64編碼格式發(fā)在HTTP包頭x-client-cert里面發(fā)給交易服務(wù)器，交易服務(wù)器只需簡單的通過函數(shù)獲取HTTP包頭x-client-cert即可獲得客戶端的數(shù)字證書，進而作客戶端的身份驗證，達到更高的安全性。

通過SSL加速功能的應(yīng)用，能夠提高整個在線交易應(yīng)用平臺的安全性，使到客戶端的內(nèi)容由原先的明文傳輸，變?yōu)镾SL加密傳輸，大大增加了應(yīng)用的安全性。

·SLB實現(xiàn)交易服務(wù)器的負載均衡
Array的負載均衡服務(wù)，使每臺服務(wù)器的處理能力都能得到充分的發(fā)揮。業(yè)務(wù)數(shù)據(jù)中心部署APV設(shè)備，一般部署兩臺組成一個cluster，以達到高可靠性。每個客戶請求到達APV后由APV智能的將流量分配到服務(wù)器上。Array APV支持多種服務(wù)器負載均衡算法（持續(xù)性的和非持續(xù)性的），包括輪循算法、最少連接算法、響應(yīng)時間算法、散列算法、最少連接失誤算法，鏈路帶寬算法等等。保持性算法包括，Http Header 、hash IP、cookiet、URL等，保證應(yīng)用的連續(xù)性。此外實際服務(wù)器可以被分配不同的加權(quán)值來調(diào)整被分配的流量?？梢允剐阅芨叩拇笮头?wù)器支持更多的負載。為了避免服務(wù)器因過載而崩潰，可為實際服務(wù)器指定最大連接閾值來避免該服務(wù)器過載。

Array APV通過對服務(wù)器的實時健康檢查，保證數(shù)據(jù)流量會自動繞過故障服務(wù)器或不可用服務(wù)器。當Array的健康檢測機制，檢測到服務(wù)器重新恢復正常以后，將使該服務(wù)器可以自動回到服務(wù)器群之中，所有這些服務(wù)器故障的處理，對進行操作的用戶是完全透明的。

·實時監(jiān)控服務(wù)器應(yīng)用系統(tǒng)的狀態(tài)，并智能屏蔽故障應(yīng)用系統(tǒng)；
·實現(xiàn)多臺服務(wù)器的負載均衡，提升系統(tǒng)的可靠性； #p#page_title#e#
·可以監(jiān)控和同步服務(wù)器提供的內(nèi)容，確?？蛻臬@取到準確可靠的內(nèi)容；
·提供服務(wù)器在線維護和調(diào)試的手段。

·GSLB技術(shù)解決異地容災(zāi)問題
上面提到的SLB（服務(wù)器負載均衡）是指能夠在性能不同的服務(wù)器之間進行任務(wù)分配，既能保證性能差的服務(wù)器不成為系統(tǒng)的瓶頸，又能保證性能高的服務(wù)器的資源得到充分利用。而GSLB（全局服務(wù)器負載均衡）允許Web網(wǎng)絡(luò)托管商、門戶站點和企業(yè)根據(jù)地理位置分配內(nèi)容和服務(wù)。通過使用多站點內(nèi)容和服務(wù)來提高容錯性和可用性，防止因本地網(wǎng)或區(qū)域網(wǎng)絡(luò)中斷、斷電或自然災(zāi)害而導致的故障。在Array 證券、基金優(yōu)化解決方案中GSLB將發(fā)揮重要作用，其性能高低將直接影響整個系統(tǒng)的性能。

交易系統(tǒng)都希望其資產(chǎn)能夠全天候為其工作。對于要確保提供IP服務(wù)的企業(yè)資產(chǎn)能夠隨時可用的產(chǎn)品來說，必須要同時提供基于服務(wù)質(zhì)量的高可用性和完善的負載平衡功能。采用不能提供高可用性的負載平衡產(chǎn)品將會影響對您IP服務(wù)的投資帶來最大收益。

Array GSLB的目的是在多個可提供相同服務(wù)的站點之間，根據(jù)相應(yīng)的分配策略將用戶請求“路由”到合適的站點上。對GSLB而言，最重要的一點是每一個Array APV需要知道其他APV了解的服務(wù)、鏈路、系統(tǒng)狀態(tài)信息，這一點通過Array狀態(tài)信息通信協(xié)議（SICP）來完成的。SICP是Array公司的私有協(xié)議，主要完成GSLB組中狀態(tài)信息的交換，包括本地服務(wù)器負載、鏈路負載、網(wǎng)絡(luò)狀況信息。這些狀態(tài)信息主要包括：鏈路可用性－LLB、實服務(wù)可用性－SLB、虛服務(wù)可用性、集群狀態(tài)。

·Array的智能選路提供鏈路接入優(yōu)化
隨著國內(nèi)最大的Internet接入提供商Chinanet被拆分為北方China Netcom 和南方China Telecom之后，兩方資源的互訪受到了很大程度的影響。其出現(xiàn)的根本原因為南北網(wǎng)絡(luò)的互通互聯(lián)接點擁塞，造成用戶丟包、延遲較大，從而導致訪問緩慢，甚至對于一些應(yīng)用根本無法訪問。一般來講，應(yīng)用系統(tǒng)都希望用戶從哪個ISP過來，就用哪個ISP的接口鏈路進行響應(yīng)。

鏈路解決方案能夠提供更好的可用性和性能，它正在被越來越廣泛地所采用?？捎眯缘奶岣邅碜杂诙鄺l鏈路的使用，而性能提高則是因為同時使用多條鏈路增加了帶寬。多鏈路方案能夠提高業(yè)務(wù)的可用性和性能，并且鏈路沒有更好的進行負載分擔。

APV的鏈路負載均衡解決方案具有以下功能和優(yōu)點：
·智能管理不同ISP提供的IP地址網(wǎng)段，保障用戶地最優(yōu)接入選擇。
·保證優(yōu)化所有的ISP鏈路，即通過智能負載均衡所有通過可用鏈路的流量。
·使用Array的SmartDNS來選擇用于流入量的最佳ISP，保證了每個用戶都可以最快速的服務(wù)器，而不必受到南北電信、網(wǎng)通互聯(lián)互通問題的影響。
·在某條鏈路失效時，所有流量仍可以經(jīng)過另一條鏈路正常進出。以保證系統(tǒng)的提供服務(wù)的不間斷性。

4. 在線交易業(yè)務(wù)優(yōu)化解決方案對企業(yè)的價值
通過Array的解決方案，對于在線交易業(yè)務(wù)具有以下優(yōu)點：
·交易安全、性能提升
通過APV的SSL 加速服務(wù)，為為服務(wù)器作SSL運算，無需再購買額外的服務(wù)器來處理SSL流量。提高交易的響應(yīng)速度，節(jié)省在SSL 運算上的服務(wù)器投資。
·交易應(yīng)用服務(wù)的可靠性得到提升
每個數(shù)據(jù)中心部署APV每個客戶請求到達APV后由APV智能的將流量分配到不同的服務(wù)器上，采用了合適的算法來完成持續(xù)性要求，通過對服務(wù)器的實時健康檢查，保證數(shù)據(jù)流量會自動繞過故障服務(wù)器或不可用服務(wù)器。
·實現(xiàn)鏈路的接入的優(yōu)化管理
對于不同的ISP接入的用戶，智能的選擇相應(yīng)的ISP鏈路進行響應(yīng)，消除不同運營商鏈路接入帶來的影響。
·對交易系統(tǒng)提供異地容災(zāi)備份
由于交易系統(tǒng)的重要性，有些大的公司會建設(shè)多各交易中心進行服務(wù)，通過將這兩個域名解析權(quán)放置在Array APV上面，由APV的GSLB（全球負載均衡Global Server Load Balance）模塊智能的解析域名來達到兩個中心流量的負載均衡。 #p#page_title#e#