智晓应用交付平台解决方案文档格式.docx
《智晓应用交付平台解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《智晓应用交付平台解决方案文档格式.docx(12页珍藏版)》请在冰豆网上搜索。
随着未来IPv6及云计算网络的快速发展,各种杀手应用程序(例如:
智能手机定位系统,物联网,社交网络等)应运而生。
应用程序交付系统控制网络(ApplicationDeliveryController)控制着所有现在及未来杀手应用程序的普及度及普及速度。
应用程序交付系统的核心就是一个建立在7层HTTP协议的高性能、高可用性、高安全性的网关产品(LoadBalancer)。
LoadBalancer中文名为“负载均衡”。
负载均衡器是一个网络的基本配件,部署在几乎所有的商业网站上。
负载均衡器有几个基本的功能:
1)支持负载均衡的功能:
当一个实际服务器不能满足所有的客户需求时,我们需要负载均衡器联络众多的实际服务器来完成网站功能。
2)高可用性。
3)数据传输时加密。
智晓(xScaler)致力于开发这款国内首创的基本核心设备:
高性能、高可用性、高安全性的应用交付平台系统。
智晓的目标是发展成为一个具有独立知识产权、高科技、创新型的中国品牌企业。
智晓(xScaler)应用交付平台系统的产品目标首先是负载均衡器,包括以下功能(链路负载均衡,四层TCP/UDP负载均衡,七层HTTP负载均衡及SSL加密及解密传输数据,电子签名系统)。
整个产品核心技术包括:
芯片级的产品系列,专用应用交付网关内核(OS),IPv6技术,数据传输安全(SSL),7层HTTP的应用功能集(负载均衡,压缩,存储,加密,防病毒,防火墙,PolicyEngine,Web2.0,XML等),7层应用交易的商业数据分析(DataAnalysis),还有云计算虚拟机集成,百万以上并发数,100Gbps吞吐量,电子签名等。
二.用户需求
随着互联网技术的不断发展,企业开始更多地使用互联网来交付其关键业务应用,企业生产力的保证越来越多的依赖于企业IT架构的高可靠运行,尤其是企业数据中心关键业务应用的高可用性,所以企业越来越关注如何在最大节省IT成本的情况下维持关键应用7×
24小时工作,保证业务的连续性和用户的满意度。
而对于企业而言,其业务的完整快速的交付,其关键在于如何在用户和应用之间建立快速的访问通过,为用户提供优质的服务;
众所周知,随着访问用户数量的增加,会给单位的服务器带来越来越大的压力,如何有效的保证客户访问速度,实现访问流量在各服务器上均衡分配,充分利用各服务器资源,是目前企业网络改造的重要目标。
另外,终端用户越来越多的文件都是以电子的形式存在,同时通过网络互相传递,由于网络安全的不确定性,越来越多的文件在传递过程中遭到了破坏,使用户对网络缺乏信任感,从而不得不转为普通纸质文件的传统方式传递,这样大大的耗费了成本,浪费了大量的时间。
因此,用户不得不需要一种安全的解决方法来解决电子文件传输的安全性问题,提高工作效率,节约成本。
三.需求分析
在服务器方面,由于用户访问量的增大,使得单一的网络服务设备已经不能满足需要了,由此需要引入服务器的负载均衡,实现客户端同时访问多台同时工作的服务器,实现动态分配每一个应用请求到后台的服务器,并即时按需动态检查各个服务器的状态,根据预设的规则将请求分配给最有效率的服务器。
实现数据流合理的分配,使每台服务器的处理能力都能得到充分的发挥,扩展应用系统的整体处理能力,提高应用系统的整体性能,改善应用系统的可用性和可用性,降低IT投资。
在文件安全性管理上,采用智晓应用交付平台的电子签名技术,在文档中加盖电子印章或签名,同时将文档锁定及绑定,一旦文档传输过程中发生非法篡改,印章或签名立即失效,可以保证文档传输过程中的完整性、安全性,另外印章或签名与个人数字证书绑定,保证了印章或签名的不可抵赖性。
四.解决方案
4.1服务器负载均衡
南京智晓信息科技有限公司的服务器负载均衡技术在现有网络结构之上能够提供一种廉价、有效、透明的方法,来扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
它主要能够带来两方面的价值:
1)建立有效的负载均衡机制。
传统的负载机制是建立在较简单负载均衡机制和较简单的健康检查机制上的,不能根据服务器提供服务的具体情况向其转发有效的访问流量,通过构建新的负载均衡系统,可以采用多种负载均衡机制,根据服务器的负载能力智能确定该服务器所分担的负载。
主要能够解决如下两个方面的问题:
首先,大量的并发访问或数据流量将会被分担到多台设备上分别处理,进而减少用户等待响应的时间;
再者,单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,返回给用户,系统处理能力得到大幅度提高。
2)建立有效的健康检查机制。
负载均衡系统应该可以对服务器的运行状况做出准确判断,确保提供的服务的正确。
全面的健康检查机制不仅可以有效的监控到服务进程的有效性,即可以对应用端口提供服务的能力进行健康检查,而且对于其后应用逻辑造成的同样可以提供有效的检查机制,从而避免了客户端可以访问到服务器,但得不到正确的响应情况出现。
4.1.1方案总体设计
xScaler服务器上连到核心交换机,后端直接连接多台服务器(包括虚拟机服务器)。
在xScaler服务器上通过虚拟IP的机制实现流量的智能分配和服务器的负载均衡。
客户端发起对VIP的访问,xScaler服务器接收到访问请求之后,按照预先定义好的负载均衡算法将流量分发到某一台服务器,服务器处理之后返回响应给xScaler服务器,xScaler服务器接收到服务器返回的响应之后将数据包发送给客户端。
4.1.2网络拓扑结构
网络拓扑结构如图所示:
4.1.3设计描述
本方案采用xScaler服务器设备旁挂在交换机的旁边,这种部署方式的最大优点是,不需要改动用户原有的网络拓扑结构。
客户端访问请求到达xScaler服务器,xScaler服务器将流量进行处理,并按照预先定义的负载均衡算法将连接请求转发到某一台服务器上面,该服务器返回响应到xScaler服务器,xScaler服务器处理之后返回给客户端。
如下图所示:
服务器负载均衡具体实现方式:
1、客户发出服务请求到xScaler设备。
2、xScaler设备接收到请求,通过预先设定好的负载均衡策略,将数据包中目的IP地址改为选中的后台服务器IP地址,然后将数据包发出到后台选定的服务器。
3、后台服务器收到后,将应答包按照其路由发回到xScaler设备。
4、xScaler设备收到应答包后将其中的源地址改回成VIP的地址,发回客户端,由此就完成了一个标准的服务器负载平衡的流程。
对于所有应用服务器,可以在xScaler设备上配置虚拟服务器实现负载均衡。
4.2电子签名系统
4.2.1签名验证流程图
发方将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密得数字签名,发方将原文与数字签名一起发送给接受方;
收方验证签名,即用发方公钥解密数字签名,得出数字摘要;
收方将原文采用同样哈希算法又得一新的数字摘要,将两个数字摘要进行比较,如果二者匹配,说明经数字签名的电子文件传输成功。
4.2.2安全设计思路和原理
1)数字证书的应用
数字证书的申请,经过严格的步骤。
用户首先向CA提出数字证书申请的要求,同时提供证明文件。
经CA确认后,方能够生成数字证书。
颁发给用户。
第一,在安装电子签名服务器端的时候默认产生管理员的账号和密码,系统管理员使用管理员账号和密码登录。
管理员创建用户、修改用户、注册用户、添加印章、分配印章、创建并绑定个人证书。
通过以上手段,保证了所有信息的可靠、印章来源可查。
第二,用户的数字证书主要用于签章时的身份认证。
保障签章人身份的合法,使用签章信息的有据可查、不可抵赖。
2)保证用户注册的安全性、用户身份的合法性。
第一,用户在申请数字证书的时候,必须提供相应的材料,确认身份可靠。
才能获得数字证书。
第二,用户在电子签名服务器上的注册个人信息、修改个人信息的操作都是由管理员完成的,在这些过程中,必须由管理员输入服务器平台用户名及密码登录。
管理员填写一些用户的基本信息,例如:
单位、部门、职务等。
整个过程必须由管理员操作。
第三,管理员将建立的用户信息和用户对应的数字证书信息绑定。
并且将用户公钥信息存储到数据库相应字段中。
第四,管理员使用其私钥对所有用户信息进行签名。
确保签名服务器所有用户数据来源合法。
3)保障印章的合法性
第一,制定相关电子签名管理条例。
公章图片的制作,需要提供组织机构代码、法人代表授权委托书才能录入公章。
对于私章、个人签名,需要提供个人身份证才能录入个人签名。
第二,管理员通过输入用户名及密码登陆签章服务器,填写印章的名称等相关信息。
第三,使用私钥对所有信息进行签名。
确保公章来源可靠。
4)保障签名过程中的可靠性
第一,签名过程首先必须进行“用户身份验证”。
客户端向服务器端提出身份验证请求,服务器返回一段待签名字段返回给客户端。
第二,客户端使用用户私钥对带签名字段签名,返回给服务器端。
服务器端使用用户公钥解密后,进行身份验证。
第三,由于用户能够使用的签名数据是经私钥签名后的数据。
用户身份验证通过后,服务端使用用户公钥对签名数据加密。
返回给客户端。
第一,客户端获取签章数据后,使用用户私钥解密。
第二,完成签章操作。
第三,同时,客户端和服务器端传输的数据都是密文,并且服务器端和客户端数据传输是在安全套接层协议层(SSL协议)进行的。
也保障了客户端和服务器端数据传输的安全性,防止了非法窃听。
5)签名后电子文件的安全性、真实性
对于保障签名后电子文件的真实性,智晓SVS电子签名系统采用证书体系,通过签名算法,用签名人的私钥对电子文件的摘要值进行数字签名。
根据不对称加密算法的理论,即私钥签名的数据只能用公钥解开,用公钥加密的数据只能用私钥解密的理论,签名人一旦用私钥对电子文件进行签名后,只要接收人采用签名人的公钥能解开签名的数据,就表示摘要数据是真实的,根据保障签名后电子文件的完整性描述,可推断出原文是真实的。
对于电子文件的完整性。
智晓SVS电子签名系统采用了摘要算法,电子文件接收方对原文进行摘要,并对比新的摘要和接收到的电子文件中的摘要是否相同,如果相同,则表示文件是完整的,否则,表示文件被改动了。
6)保障程序自身的完整性
智晓SVS电子签名系统采用证书体系,对核心的模块和程序进行签名,并且在调用这些核心模块和程序时,对模块和程序进行自校验,这样就极大地避免了由于病毒或恶意更改接口导致的程序不安全的情况。
7)电子签名系统实现原理
●文件的数字签名过程实际上是通过一个哈希函数来实现的。
●哈希函数将需要传送的文件转化为一组具有固定长度的单向Hash值,形成报文摘要。
●发送方用自己的私有密钥对报文摘要进行加密,然后将其与原始的报文附加在一起,即合称为数字签名。
●数字签名代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。
用户加盖印章,加盖印章时输入访问印章的用户名和密码,盖章成功后印章与文档绑定,文档通过哈希算法产生一段数字摘要,摘要散列在原文中。
验证印章时首先将文档与摘要分离,再将当前文档产生一段数字摘要,将此数字摘要与此前分离出的数字摘要进行对比,如果一样则说明文档没有遭到篡改,签章有效;
如果不一样,说明文档被篡改,签章失效。
4.2.3电子签名系统应用
在企业中,大多会用到OA等办公系统,在办公审批中,文件的流转需要每个相关人员签名或盖章,此时安全性的电子签名与盖章就成为了必不可少的部分,智晓根据用户需求,开发出了集成于OA系统的WebOffice、WebPDF等组件,用于用户集成签名盖章,在用户在每个流程签名后,文档被保护,一旦过程中被非法篡改,签名盖章立即失效。
同时,可支持Office、PDF、AutoCAD、microstation等软件签名盖章,签名盖章后可将文档绑定,确保了文件传输的安全。
智晓SVS电子签名系统客户端功能列表如下:
1.平台支持:
以COM控件的方式与Word、Excel、AutoCAD、Microstation、WEB、PDF、….完美结合,并进行签署、认证等一系列操作。
2.加盖公章:
可在电子文档任意地方加盖公章,盖章时候必须输入密码或指纹识别,操作简便。
3.电子签名及加盖私章:
在电子文档任意地方电子签署单位公章或个人手写签名。
图章上浮透明显示,效果如同纸质盖章或签名。
4.数字证书支持:
支持所有自建CA及第三方CA颁发的数字证书,并方便证书导入、证书验证、证书查看。
5.保证签章真实性:
保证电子印章或电子签名本身的安全性、真实性不可抵赖性,而不是简单的印章图片的电子化。
6.保证文档完整性(防篡改):
文档被无意或恶意篡改后电子签章将显示失效;
包括对文档中的文字内容、字体、颜色、样式等内容的篡改;
对文档中的单选按钮、复选按钮、列表样式、文本框等内容的篡改;
对文档中的图片、艺术字、图形对象的亮度、对比度、位置的篡改;
对文档进行二进制的篡改等。
7.用户其他设定:
用户可设定签章人身份、单位信息、签章地点、签章时间、印章脱密、印章虚化、印章变形……
8.签章后锁定文件(防非法复制):
锁定后文档为只读,主要用于保护文档不被篡改和复制。
通过密码删除签章后方可解锁。
9.批量签章:
支持批量签章。
盖章后图章不能直接移动,若要移动,必须盖章人输入密码,保证安全。
10.签章效果:
电子印章透明浮于文字上方,不可复制,不可粘贴;
11.重新签章:
电子签章失效后,若认可改动,可对失效后的签章进行重新签章。
12.删除签章密码保护:
无法用Del键删除印章,只能通过此功能删除。
删除签章时必须输入密码。
13.分层保护:
可对word文档分章节保护,签章可绑定整个文件或分别对不同章节绑定保护。
可对excel的不同工作簿和工作表分别绑定保护。
可对AutoCAD不同图层分层签章绑定保护,适用于设计行业用户的工作流程。
可对Web页面的不同控件域内容分别绑定保护。
14.签章信息查看:
光标停留在电子签章位置,系统会很直观地出现签章信息提示。
也可以通过在印章右键快捷方式来查看签章信息、证书信息、签署时间点。
15.全程跟踪:
根据《中华人民共和国电子签名法》的要求,本系统全程跟踪签章的历史记录,忠实记录并保留签章历史痕迹。
16.骑缝章:
可以给文档添加骑缝章,方便打印应用需要。
17.二维码:
可以添加各种编码格式的二维码,丰富的接口可供集成。
五.解决方案的优势
智晓应用交付平台的应用,可以大大的提高服务器设备的利用率,同时解决应用服务器的负载压力,使信息化管理更加高效快捷。
整体系统高性能支持上万TCP及SSL并发。
支持兆亿次数据端口传送,使用浏览器界面(WebGUI)配置,丰富的命令行配置(CLI),支持硬件控制口(Console)连接,客户化的专用的硬件(appliance)设计及配置。
智晓SVS电子签名系统严格遵循《电子签名法》,确保文件的安全性、可靠性、防抵赖性,签名过程中签署、分层绑定的建设性解决方案,实现基于MicrosoftOffice、AutoCad、PDF、WPS、Microstation、Web页面的签章,支持与办公系统中盖章的无缝集成,OA中Web页面签章仅需简单配置和二次开发。
升级会员 