外汇会计网络处理系统项目技术方案(编辑修改稿)

外汇会计网络处理系统项目技术方案(编辑修改稿)内容摘要：

Link 调度有限的服务程序为大量并发请求进行服务，减少网络连接量、内存占用、进程数量、信号量和 CPU 时间片等系统资源，成倍提高主机的处理能力。  提高数据库效率： LongTopLink 通过采用长驻服务进程的手段，使得与数据库的连接被保持和复用，而且有限的服务程序只需与数据库建立有限的数据库连接，从而减少服务程序与数据库连接的次数和时间，大大提高了数据库操作的效率。  提供 文件压缩、断点续传功能，支持电话拨号备份  通过通信日志，便于程序调试、交易跟踪和故障恢复。  能进行交易监控、系统监控  系统开销（共享内存、消息队列、信号等）小  价格便宜 方案比较 将 TUXEDO 与 LongTopLink 比较如下： 产品 优点 缺点 TUXEDO 市场占有率高，应用范围广，产品成熟，功能完善，性能好。 系统开销大，价格贵。 LongTopLink 系统开销小，价格便宜 应用范围小，不够成熟，功能相对较少，性能相对为低。 不支持异构平台的多种数据库，不支持 Inter、CORBA 应用以 及 XA 协议。 并且，我行已买断 TUXEDO 使用权，进一步购买只需付 License 费用，且能拿到较低的价格，弥补了 TUXEDO 价格昂贵的缺点。 综合产品的性能与价格，建议选择 TUXEDO。 系统中的 TUXEDO应用方案 本系统的数据及应用将集中在一级分行，从逻辑上看，各营业网点前台将通过网络直接挂在一级分行（系统逻辑图见本章第二节网络架构）。 从物理上看，前台的网点 PC 首先要与二级分行相联，通过二级分行再联到一级分行。 从功能上看，二级分行只是起了一个网络路由的功能。 在网点 PC 上，安装 ACE 的 Client 端 和 Server 端，负责客户界面的输入和输出。 另外，网点 PC 上还安装了 TUXEDO 的 Client 端，负责与后台的通信及交易请求。 采用上述网络架构，整个系统结构非常清晰，有利于系统的建设及维护。 但是，这种网络架构存在一个风险：当营业网点数目较多，而且大量的营业网点同时做交易时，将造成网络拥挤不堪，影响交易的正常进行。 TUXEDO 正好能在这种情况下发挥巨大的功效，有效地避免网络拥塞。 为了避免网络拥塞，在 TUXEDO 的配置中，对每个二级分行配置一组WSL 与其对应，每一组 WSL 能控制客户端连接的数量（最大的 WSH 数量）。 这样在客户端请求数量较大时， TUXEDO 将让这些请求排队等候处理，从而有效地避免网络拥塞，保证系统正常地运行，而不会因客户端的请求太多而导致后台系统的崩溃。 第 3 章 功能模块 总体上可分为七个模块：公用模块、联机交易、前台系统、参数维护、批量处理、业务管理和周边系统的接口。  公用模块不直接运行处理业务，而是为其他模块提供服务，主要包括：帐簿登记、凭证登记、利息计算、币种换算、与周边系统实时接口。  联机交易是日常业务的主要承担者，根据业务类别分为若个子系统：存款、贷款、汇兑、买卖、清算等，是 OLTP 服务器端的 应用服务器。  前台系统主要提供服务的接入与输出，是联机交易的外部界面，是OLTP 的服务请求端。  参数维护主要负责系统运行各类参数的维护，以主机终端方式交互运行。  批处理完成批量业务，以主机终端方式非交互运行。  业务管理完成非营业性管理、查询、统计、报表等处理。  与周边系统的接口完成与国际结算、国际收支申报、 B 股资金清算、个人实盘外汇买卖系统、储蓄通兑文件等接口。 第 4 章 安全保密 概述 外汇会计网络系统的交易信息需要通过广域网传输，业务数据集中存放在一级分行主机。 因此，外汇会计网络系统的安全要求包括如下两方面：  信息传输安全：即保证数据从网点、二级分行以及一级分行的传输过程中的安全性，防止数据被伪造、篡改和冒充；  数据存储安全，即保证一级分行中心数据的完整性，只有得到允许的人才能修改数据，并且能够判别出数据是否已被篡改。 由于系统的网络连接将借助于各分行城综网，而城综网一般以 DDN等专线方式连接，再加上分行现有的硬件安全设施，因此，网络的物理安全性较高。 同时，为减少投资费用，本方案主要考虑以软件方式提高系统的安全性，因此还要求：  软件算法应有较高的安全性，能满足应用系统安全的需要；  软件算法应有较高的效率，对主机 的系统资源占用少，不影响整个应用系统的性能。 为实现以上安全方面的要求，除制定严格的业务操作管理制度，加强操作系统的用户安全管理外，系统将采取以下措施：  在业务应用系统中实现完备的用户权限管理；  为满足信息传输安全要求，除利用 TUXEDO 中间件的加密功能外，还采取通讯加密和密钥管理等方法实现安全的网络数据传输机制；  为满足数据存储安全要求，除利用数据库的用户权限等安全机制外，还采取对重要数据表进行加密的方法来实现数据存储安全。 信息传输安全 为确保数据在广域网上进行传输时的安全，防止数据被窃取和篡改，除利用 中间件产品的安全机制外，还需在应用系统中实现较高的安全性。 为此，系统将采取如下措施：采用 DES 算法对数据加密以保证数据不被非法窃取；对数据包产生消息鉴别码 MAC 字段（ Message Authentication Code）防止数据被非法修改，其中 MAC 算法可采用 DES、 CRC32 或 MD5；在登录系统时进行用户 /口令认证，并对口令加密传输；建立完备的密钥管理体系经。 下面就数据加密技术、数据完整性技术、身份认证技术及密钥管理方案作详述，并将讨论网络架构对信息传输安全的影响。 数据加密技术 数据加密技术按密码体制 可分为对称密钥密码技术和非对称密钥密码技术。 对称密钥密码技术要求加密解密双方拥有相同的密钥，需要用户之间传递密钥，安全保密性较差，但加解密速度快，强度高，在军事、外交以及商业应用中越来越普遍， DES 密码算法就是有名的对称密钥加密算法。 非对称密钥密码技术是加密解密双方拥有不同的密钥，要求密钥成对出现，一个用于加密，一个用于解密。 它的特点是各用户拥有自己的解密密钥即私有密钥，而加密密钥即公开密钥则可以公开放置，用户之间不必传递密钥，安全保密性就比较好，但是多数公开密钥算法需要进行大量的代数运算，速度很慢， 不能用于快速加密数据，而且需要建立认证中心。 目前典型的公开密钥密码算法包括 RSA 算法、 Diffie－ Hellman 密钥交换协议和 DSA 美国数字签名算法等。 根据上面所述加密技术的特点，本系统对传输数据采用 DES 算法进行加密，辅之以身份认证手段，从而在加密速度和系统安全性两方面均达到较好的效果。 数据完整性技术 加密只能防止数据不被监听，为防止数据在传输过程中被非法修改， 通常采用以下方法：  校验和 即接收方计算出接收到的数据的校验和并与数据包中的值比较。 若相等，说明数据没有改变；若不等，则说明数据在传输中出现 错误或被修改了。 循环冗余校验 CRC(Cyclic Redundancy Check/Code)是对一个传送数据块进行校验，是一种高效的差错控制方法。  摘要 另一种防止改动的方法，其中用到的函数叫摘要函数。 这些函数的输入可以是任意大小的消息，而输出是一个固定长度的摘要。 摘要有这样一个性质，如果改变了输入消息中的任何东西，甚至只有一位，输出的摘要将会发生不可预测的改变，也就是说输入消息的每一位对输出摘要都有影响。 现在流行的摘要算法有有 MD4 和 MD5。 系统中将采用一定的数据完整性技术确保数据安全，具体为何种算法在系统设计时确定。 认证技术 认证技术主要解决网络通讯过程中通讯双方的身份认可，主要有用户名 /口令认证以及数字签名技术。 用户 /口令认证为传统的认证方式，简单而易于实现。 若对认证过程中的口令传输进行加密，将大大提高安全性。 数字签名作为验证发送者身份和消息完整性的根据，可用于通信过程中的不可抵赖要求的实现。 数字签名基于私有 /公共密钥对，数据源使用其私有密钥对数据的摘要或其它数据内容进行加密，而数据接收方则用相应的公用密钥解密，以验证签名的真实性。 由于数字签名需采用 CA 验证密钥，投资较大，在本方案中建议采用用户名 /口令认证方式，其中口令采用 DES 算法加密传输。 密钥管理 由于 DES 算法的密钥需要双方共同保密，任何一方的失误都会导致机密的泄露。 而且密钥发布中，还需要的防止任何人发现或偷听密钥。 因此 密钥管理对系统的安全至关重要。 在本方案中，建议采用三层密钥结构： 1. 本地主密钥：本地存储，存放在程序中，用以加密区域主密钥； 2. 区域主密钥：用本地主密钥加密后存储在文件或数据库中，用以加密工作密钥； 3. 工作密钥：用区域主密钥加密后存储在内存中，用以加密数据。 其 中区域主密钥存放在网点和一级分行的计算机中，可定期自动或手工更换，工作密钥可采用如下实现方式： 1. 静态方式 即网点开机时，首先执行系统签到操作，一级分行将经区域主密钥加密后的工作密钥传输给网点，随后的所有交易均采用该工作密钥加密数据。 加密后的通信包格式如下图所示，其中 MAC 由加密后的数据生成。 2. 动态方式 该方式在每次发送交易信息时，由发送方动态产生工作密钥，将经区域主密钥加密后的工作密钥以及用工作密钥加密的数据发送给接收方。 加密后的通信包格式如下图所示，其中 MAC 由加密后的工作密钥和数据生成。 数据用工作密钥加密的数据 M A C 校验用工作密钥加密的数据 校验静态工作密钥方式用区域主密钥加密的工作密钥 用工作密钥加密的数据 MAC 校验用区域主密钥加密的工作密钥 用工作密钥加密的数据 校验动态工作密钥方式数据 由于动态工作密钥方式每次数据传输的工作密钥均不一样，因而具有更高的安全性。 建议在数据加密后，采用动态 Huffman 算法对整个通信包进行压缩，以保证网络的传输效率和提高安全性。 系统网络架构对传输安全的影响 如前所述，在本方案中， 整个应用系统的网络架构主要有两种：二层结构和三层结构。 在两层结构中，只需在网点和一级分行间考虑传输安全， 二级分行只起路由中转作用。 在三层结构中，而二级分行与一级分行的传输安全实现方法同上，具有较高的安全性；而 网点和 二级分行间的传输安全由神州数码公司的 ACE平台实现。 这一方式有 以下缺点：  ACE 的安全性能不确定，可能会降低整个系统的安全性；  数据要经过两次加解密，对应用系统的性能会造成影响；  整个系统需维护网点和二级分行、二级分行与一级分行两套密钥，管理比较复杂。 数据存储安全 为防止对数据库的非法修改，建议对数据库的关键数据表设立数据鉴别码。