专业炒股机技术解决方案.docVIP

SI业务平台 系统技术方案 （3G炒股机技术解决方案） 深圳市金慧盈通数据服务有限公司 2010年03月 目 录 一、 炒股机软件系统设计 3 1、设计依据和性能指标 3 1.1设计标准和证券行业规范 3 1.2性能指标 4 2可靠性描述 4 二、 安全设计 4 2.1手机炒股系统安全建设目标 4 2.2手机炒股系统安全设计原则 5 2.3手机炒股系统安全方案实现 5 三、 监控设计 7 3.1设计原则： 8 3.2监控的范围 8 3.3监控数据的交换 9 四、 系统结构 9 4.1技术架构 9 4.2 炒股系统网络拓扑图 10 4.3 极速行情网络拓扑图 12 4.4与其它应用系统的交互 13 五、 系统的部署和硬件需求 14 5.1通道和带宽要求 14 5.2、部署方案 14 5.3链路的优化和容错 15 5.4服务器配置推荐 16 六、 工程实施流程和计划 18 炒股机软件系统设计 1、设计依据和性能指标 1.1设计标准和证券行业规范 1)贯彻证监会“三分离”原则，从物理层、业务层、通信层三个层面确保交易安全 2)委托交易数据传输加密；账号密码传输加密； 3)交易走券商中间件通道，交易信息不落地，不中转，安全可靠，从业务流程上确保交易的安全。 4)委托交易全程记录手机标识。在交易的各个环节，均记录用户的手机用户移动网关ip地址、手机底座编码、IMEI号、手机型号、资金账号、操作标识等规范化信息，完全符合证券会相关信息安全规范；手机不记录用户敏感信息，如密码等关键信息； 5)系统设计实现三层结构，用户客户端不能直接访问数据库；交易中间件通过连接柜台交易系统的中间件进行业务处理，不直接连接柜台交易系统数据库；交易中间件与交易网关内外网分离 1.2性能指标 炒股软件系统服务器是基于C++、Boost框架开发的手机服务器系统平台，移植性、扩展性好，具有更高的性能。 下面是用行情性能测试权威工具Loadrunner，在广发做的性能测试的原始报告，自动生成的报告：2台机器、各1万用户的实测数据可以看到90%的响应在0.01S。实际上交易吞吐量可以达到580笔/秒，柜台吞吐量在180笔/秒左右时（双CPU、P4（8核）、8G内存）；一台行情服务器约能支持5-10万在线用户（双CPU、P4（8核）、8G内存）；占用网络带宽为48.24M—96.44M; 交易可以支持2-8万在线用户（双CPU、P4（8核）、8G内存）,占用网络带宽为39.6M—80.19M。 2可靠性描述 系统支持多点接入,手机客户端支持手动及自动选择，确保客户使用的连续性； 支持软硬件负载均衡，依靠负载均衡设备完成从接入点到服务器的自动切换； 数据库服务器采用冷备方式完成备份工作，依靠数据库同步机制保证主备数据库之间的数据同步； 支持服务器集群，支持分布式处理，认证、行情、资讯、交易模块任意拆分组合，适应任意网络环境； 安全设计 2.1手机炒股系统安全建设目标 为了保证整个手机炒股系统的独立与稳定，必须为系统的安全性提出更高的要求，应在硬件与软件上加强网络的安全性，防止本网数据被其它网络的非法用户修改，提高网络的安全性、可靠性，确保交易信息不泄漏，即只有投资者和交易商才知道交易请求的实际内容。 安全目标主要有： 1． 交易信息不在网上被截获解密； 2． 交易信息不会被系统维护人员解密； 3． 防止伪装的、不合法的客户或柜台参与交易； 4． 防止交易抵赖和交易重发； 5． 防止系统受到恶意攻击而崩溃； 6． 防止交易商内部网受到侵害。 2.2手机炒股系统安全设计原则 实现从 Internet 和广域网进入内部资源网络的数据被有效检查和过滤、所有对内部资源网络的访问可以被有效控制、通过广域网进入内部网的用户通信必须加密、所有网络访问行为能够被记录和审计、非法访问被预警和阻拦（条件允许时实施） 、应用系统平台及数据可以被有效备份以抗击灾难风险、 用户的身份的真实性认证等几方面的目标。 贯彻证监会“三分离”原则，从物理层、业务层、通信层三个层面确保交易安全，具体如下： 物理层：采取隔离技术、防火墙技术、防病毒技术等，从网络部署上保证安全； 业务层：通过认证鉴权机制、访问控制、数据完整、抗抵赖（交易留痕）、交易风险提示等从业务层面保证安全； 通信层：从数据传输协议、加密压缩机制、会话机制等通信层面保证安全。 2.3手机炒股系统安全方案实现 1）数据传输安全。仿照WPKI公钥加密体系，参考SSL规范，自己实现了一个身份认证和加密的体系，主要实现如下： 客户端发布时内嵌我方颁发的数字证书，用作身份认证；使用3DES作为加密算法，