Array Networks SPX在国信证券的应用
客户名称：	国信证券
行业：	证券
应用类型	证券网站交易系统、Web
产品	Array TMX

 

 

行业背景

       随着2006年股市、证券市场得爆炸式发展，证券交易系统、网上信息发布系统、行情查询系统是证券行业有力的保障，她的安全性、可靠性成为证券业发展的关键因素，日益成为证券行业IT发展关注的主要方面。证券公司上网,开展网上的交易委托业务,同时宣传自身的服务,吸引更多的客户，证交所上网,发布实时的行情信息,提供专家股评,向用户提供上市公司信息。证券业信息系统建设已成行业发展生命线，随着证券行业进一步发展和竞争的加剧，证券集中管理和网上交易必将逐渐代替分散管理和网点交易成为主要模式。

 

但我国证券公司在信息技术方面的投入与国外的券商相比，一直以来存在着巨大的差距。正是由于证券业的交易，信息查询访问的猛增，给信息系统带来了巨大的压力，已有的系统建设已经远远不能满足证券业的发展，各证券公司原有的信息系统面临着严峻的考验，迫切需要更新设备及做系统升级。拓展系统的性能、提升响应能力，提高安全性已经刻不容缓。

 

客户概述

国信证券有限责任公司是全国性大型综合类证券公司, 成立于1994年10月，注册资本20亿元人民币。公司现有股东单位6家，分别为深圳国际信托投资有限责任公司、深圳市投资控股有限公司、深圳市机场（集 团）有限公司、云南红塔集团有限公司、中国第一汽车集团公司和北京城建投资发展股份有限公司；2004年12月公司获得创新试点券商资格。经过十多年的发 展，国信证券取得了突出的市场地位和竞争优势，各项业务和主要经营指标连续多年排名行业前列，根据中国证券业协会2005年的排名，国信证券是5家全部经 营指标均居前20名的券商之一。详见：http://www1.guosen.com.cn/

 

国信证券在中国共有营业网点41家，素以“精品营业部”享誉全国。单个营业部的平均交易额和平均盈利能力连续12年在证券业协会的排名统计中列全国第一。

 

国信证券的业务系统主要有三类

l  国信证券的网站，发布各种证券信息，提供信息查询；

l  网上营业厅，网上交易网站系统，HTTPS的交易站点，其证书为Verisign申请，SSL加密通道护航交易。

l  网上交易系统、行情查询系统，为C/S结构，采用通达信交易软件

l  登陆时输入密码的时候尽量采用软键盘方式输入密码。

 

挑战和需求：

 

1， 网上营业厅的安全性能提升

完成证券交易需解决的安全问题主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖。具体途径为建立自己的CA认证中心或采用权威的CA中心，通过颁发相应的数字证书给与交易各方相关身份证明，同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。

 

作为网上营业厅都面临着很多的风险。第一，信息安全对这种带来的危险。包括信息系统中的滥用、网上的欺诈、钓鱼等等带来的巨大的威胁。第二，当前信用缺位带来的风险。对于一个完整的在线支付安全平台的安全和支付协议的安全选择和配套非常重要，在这个运行过程中如何采用安全的认证，安全的签名，抗抵赖的机制，强审计的保证，以及传输过程、防泄露和加密都是必须要考虑的因素。

 

欲善其事，先利其器，具有先进而安全的交易平台是电子交易业务的保障，采用数字证书、电子签名等安全认证方式是普遍的做法，SSL 协议作为PKI的主要协议被电子支付业务广泛采用。

 

国信证券网上营业厅系统采用SSL协议为客户提供服务，采用由美国 VeriSign 公司提供国际通用的第三方安全认证授权。这里可以有两种SSL协议部署方式，第一是在交易主机系统上作SSL运算，由于SSL运算需要耗费大量的CPU资源和内存资源，这势必造成主机资源的巨大消耗，进而影响交易的质量；第二种方式是采用SSL 加速设备来作SSL运算，如在交易服务器前面部署SSL加速器，如Array 的TMX系列产品，由于这些加速器是专业的SSL硬件加速产品，具有很高的SSL运算能力，这样就能提高交易的SSL处理效率，降低交易服务器的负载。

 

 

2， 多台服务器的流量均衡管理

无论是国信证券的网站系统还是C/S结构的网络交易系统平台，采用多台服务器来提供服务，，如何将流量在这些服务器上保持动态均衡，并能够检测这些机器的工作情况，在出现故障时能够将服务自动分发到其他服务器上也是证券系统需要考虑的。尤其对于Web服务器来讲，要求进行七层的负载均衡技术，能够利用Cookie，Header等技术来进行7层负载均衡算法。

 

3， 网站访问的性能提升

证券市场的火爆使得国信证券的网站访问量猛增，即使采用配置最高的网页服务器，如果访问用户数超过加大后，尤其是当某些特殊事件出现后的迸发访问量，网页反应速也会明显下降，这时就出现了常见的网页反应阻塞现象。通常的解决办法是增加Web服务器，利用多台Web 服务器来应付大量用户并发访问。如何在大量用户并发访问时优化Web访问，为最终用户提供快速及不间断网页服务是我们设计高速网上交易平台时必须解决的问题。

 

所以国信公司需要能够为网站访问性能提升的技术或方法，不单Web系统，还有C/S架构的网络交易系统，能够改善响应时间，缩短延迟。国信证券有提供用户鑫网通达信交易软件，她是一个TCP协议的C/S架构交易软件，具备功能超强的行情分析工具、交易界面友好、支持各种上网代理服务器。

 

 

这就需要采用ssl 加速设备、负载均衡设备、应用优化设备，如Array 的TMX设备来为国信证券提高信息访问的安全性、可靠性。

 

关键的挑战和需求	具体描述
电子交易安全性	交易系统采用SSL协议为客户提供服务，需要采用SSL 加速设备来作SSL运算，提高交易的SSL处理效率，降低交易服务器的负载。
服务器的负载均衡	要求将流量在Webl服务器上保持动态均衡，并能够检测这些机器的工作情况，在出现故障时能够将服务自动分发到其他服务器上。
应用访问的性能优化	要求将网页的一些内容Cache在前端设备尚，降低Web服务器的负载和处理负担。能够采用连接共享池等技术为应有访问优化。

 

解决方案：

通过对比和选择，国信证券选择了Array 的TMX解决方案来为其交易保驾护航。

 

网络部署示意图如下：

 

 

下面我们就三个方面的需求实现一一阐述：

 

1， SSL 加速为电子支付交易提高效能

 

TMX开启SSL 服务，为网上营业厅服务器作SSL运算，配置从Verisign申请的服务器证书，提供给使用者进行验证，这在一定程度上可以防范网络钓鱼安全隐患。Array的SSL加速技术是用于卸载服务器的SSL（安全套接层）处理的，以提高其性能，同时大幅度缩短响应时间并增强客户交易流量管理,由于降低了服务器的负载，所以也节省了国信证券对于服务器的投资。SSL加速技术可以提高电子商务服务器的性能，并在关键业务在线交易过程中提供安全性、高速度和流量管理，所有这一切都是在TMX上进行的，无需费钱费力地在每台服务器上安装额外的硬件或软件。

 

直到现在，各公司仍是通过在服务器中安装SSL处理卡或添加更多的服务器来解决这一问题，但这两种方法费用都非常高，而且必须分别为每台服务器分别购买、安装和管理认证。SSL处理卡也要求在每台服务器上分别进行设置、安装和维护。

 

Array内置SSL加速技术使问题迎刃而解，该技术是用于卸载服务器的SSL（安全套接层）处理的，以提高其性能，同时大幅度缩短响应时间并增强客户交易流量管理。SSL加速技术可以提高电子商务服务器的性能，并在关键业务在线交易过程中提供安全性、高速度和流量管理，所有这一切都是从同一地点进行的，无需费钱费力地在每台服务器上安装额外的硬件或软件。

Array解决方案能使IT人员卸载认证管理以及加密和解密功能，从而提高工作效率和可靠性。 解决方案真正解除了Web服务器上的通信负载。因此，无需再购买额外的服务器来处理SSL流量。Array产品还允许您为整个服务器集群只购买一个证书，从而降低了成本并减少了认证管理的时间；与必须为每台Web服务器购买和安装SSL处理卡不同的是，您只需安装一次商业网站控制器或SSL加速器。

 

Array基于硬件的高性能加速, 保障端到端安全性的内部SSL,并支持完整的证书管理特性,Array在操作系统内核和硬件级别进行大批量数据加密. 确保在进行安全交易和其他应用时具有快速和可靠的连接,减轻服务器上CPU密集型处理的负担。同时Array 的SSL加速和TMX的ArrayOS紧密结合，ArrayOS具有SpeedStack 专利技术，具有指针化处理的TCPIP协议栈、反向代理引擎以及HTTP解析器，所有这些技术结合起来构成了Array 出众的SSL加速性能，在国信证券种使用的Array 的中端产品TMX3000也能够达到20,000 个SSL交易/秒。

 

通过SSL加速功能的应用，能够在实现服务器负载均衡功能的基础上，提高整个应用平台的安全性。使到客户端的内容由原先的明文传输，变为SSL加密传输，大大增加了应用的安全性。

 

 

2， SLB实现交易服务器的负载均衡

数据中心部署两台TMX1100，他们各组成一个cluster，以达到高可靠性。每个客户请求到达TMX后由TMX智能的将流量分配到服务器上。Array TM支持多种服务器负载均衡算法（持续性的和非持续性的），包括轮循算法、最少连接算法、响应时间算法、散列算法、最少连接失误算法，链路带宽算法等等。此外实际服务器可以被分配不同的加权值来调整被分配的流量。可以使性能高的大型服务器支持更多的负载。为了避免服务器因过载而崩溃，可为实际服务器指定最大连接阈值来避免该服务器过载。

 

在国信证券项目中采用了Round Robin算法来完成持续性要求，这种算法可以达到非常高的性能。

Array TMX通过对服务器的实时健康检查，保证数据流量会自动绕过故障服务器或不可用服务器。当Array的健康检测机制，检测到服务器重新恢复正常以后，将使该服务器可以自动回到服务器群之中，所有这些服务器故障的处理，对进行操作的用户是完全透明的。

l  实时监控服务器应用系统的状态，并智能屏蔽故障应用系统；

l  实现多台服务器的负载均衡，提升系统的可靠性；

l  可以监控和同步服务器提供的内容，确保客户获取到准确可靠的内容；

l  提供服务器在线维护和调试的手段。

 

 

3， TMX的Cache、连接复用、连接共享池为应用进行优化

 

1）  基于内存的反向代理Cache功能。

       通过Cache功能的应用，TMX系列产品能够在内存中以数据包的形式Cache住网站页面中所有可以被Cache住的内容。当用户访问请求发送到TMX时，如果Cache中的内容能够匹配用户的访问请求则直接由TMX来响应用户的访问，从而避免了对后台服务器的负载压力，在减小了后台服务器负载的同时，提高了对用户的响应速度和整体网站的处理能力。

 

Array的Cache提高其响应和吞吐量：

Array Reverse Proxy Cache 特点：

l  被Cache的内容以 “Frame” 格式存贮，而不是以文件存贮，从而快速存取，仅仅数据以“Frame”格式保存；（剥去了Ethernet，IP&TCP的报头）

l  内容保存于RAM，具有更快的存取速度；

l  Cache 内容能手动删除；

l  内容能容预先装入 (recursive pre-load)；

l  支持LOG Squid 格式 (messages sent via Syslog)。

Array TMX反向代理快速缓存的优势：

l  采用内存缓存和包存储结构的方式，提供比其他缓存更快速的响应速度；

l  解决服务器端的“连接塞车”问题。对同一个内容的并发请求通过TMX后，只产生一个请求到后端服务器；

l  动态会调整缓存空间。Array TMX可以根据系统负载动态调整缓存空间大小，在系统需要更多内存处理请求时，可以自动减少缓存空间，将部分内存归还系统；在系统负载降低后，再将该部分内存返还，继续作为缓存的空间；

l  提供防DOS攻击的强大处理能力，确保后台服务器的安全。

l   

连接共享池技术

l  为了提高Array和服务器的性能，在Array与服务器之间建立持续的TCP连接，从而Array不用为每个需要与WEB服务器连接的请求，建立新的连接；

l  Array与Web服务器之间，预先建立20个TCP连接，用于转发用户的请求到WEB服务器，一个连接能转发95 个用户请求。

因此，Array Cache 能在加速用户访问的同时，减轻Web服务器的负担。

 

2）  连接复用技术

主要作用是为了改善现有系统的总体性能，其技术原理是自动实现HTTP 1.0到HTTP 1.1的转换；TCP/IP协议栈在处理长连接时具有更好的性能；将Web流量的多个短连接合并为一个长连接，改善了服务器的性能.

Array采用连接复用技术，并结合连接共享池技术，其优点在于加快了与后台服务器之间的TCP/UDP连接处理速度，为C/S结构交易系统优化性能。

l Array TMX预先与后台服务器之间建立多个连接，并保持住它们(每个服务器预先建立20个连接), 减少了服务器上TCP频繁建立和关闭所消耗的资源。；

l 如果有客户端的请求，根据负载分担算法被分配到某个后台服务器上，Array TMX从预先建立的该服务器的连接池中选择一个连接，在此连接上发送客户端的请求，一个连接可以被用来传送多个请求(每个连接最多可以同时处理90个请求)；

l  显著的减少了后台服务器需要处理的用户端连接数(减少量可能达90%)

 

          通过以上应有优化技术，TMX显著改善了服务器的性能，服务器不需要花费更多的时间处理TCP/UDP连接建立和拆除的工作，服务器不需要耗费更多的资源保持多个客户端连接

 

 

 

关键的挑战和需求	解决方案描述
交易安全性	TMX开启SSL 服务，为支付服务器作SSL运算，无需再购买额外的服务器来处理SSL流量。TMX在将用户的HTTP请求发给后台服务器时，将证书变成Base64编码格式发在HTTP包头x-client-cert里面发给交易服务器，实现验证客户端的数字证书的功能；支持达到20,000 个SSL交易/秒。
服务器的负载均衡	数据中心部署两台TMX，各组成一个cluster，每个客户请求到达TMX后由TMX智能的将流量分配到服务器上，采用了负载均衡算法，通过对服务器的实时健康检查，保证数据流量会自动绕过故障服务器或不可用服务器。
交易应用优化	通过Cache技术降低服务器负载，通过连接复用技术和连接共享池技术显著提升响应能力，极大降低了延迟，为交易系统提供高可靠性。

 

 

 

业务利益：

 

l  SSL协议应用在电子交易中可以实现数据加密，身份验证，完整性检测等一系列安全功能，可以极大的消除用户的安全担心，给用户带来心理安全保障，为电子支付的迅速普及提供基础保障

l  SSL加速还提高了交易系统的性能、降低服务器的负载，使得终端用户的交易体验得到提升，客户在服务器上的投资可以节省

l  为国信证券服务器提供负载均衡服务，提升了业务的稳定性、可靠性以及可扩展性。

 

采用Array 产品后，国信证券交易运行稳定，性能优异，业务量飞速上升。