二代支付系统前置机配置指引.docx
《二代支付系统前置机配置指引.docx》由会员分享,可在线阅读,更多相关《二代支付系统前置机配置指引.docx(26页珍藏版)》请在冰豆网上搜索。
二代支付系统前置机配置指引
二代支付系统前置机配置指弓I
文件状态:
文件编号:
RDC-DED-ISF-支付系统-01
[]草稿
当前版本:
V1.0
[V]正式发布
作者:
[]正在修改
审核人:
完成日期:
2010年9月2日
中国人民银行清算总中心
文档修订记录
版本编号
变化状态
简要说明
日期
变更人
批准日期
批准人
注:
变化状态:
A—增加,M—修改,D—删除
1引言2
1.1背景3
1.2编写目的3
1.3文档结构3
1.4定义和缩略语3
1.5参考资料3
1.6引用标准3
2前置机简介4
2.1直联前置机4
2.1.1应用功能4
2.1.2系统结构4
2.2间联前置机5
2.2.1应用功能5
2.2.2拓扑结构6
3直联前置机软硬件配置指引6
3.1概述6
3.2基于AIX操作系统的前置机配置指引7
3.2.1硬件需求7
3.2.2软件需求7
3.2.3性能指标参考7
3.3基于Linux操作系统的前置机配置指引7
3.3.1硬件需求7
3.3.2软件需求7
3.3.3性能指标参考7
3.4签名服务器配置指引8
4间联前置机软硬件配置指引10
4.1概述10
4.2基于AIX操作系统的前置机配置指引(IBM方案)11
4.2.1硬件需求11
4.2.2软件需求11
4.2.3性能指标参考11
4.3基于Linux操作系统的前置机配置指引(Oracle方案)12
4.3.1硬件需求12
4.3.2软件需求13
4.3.3性能指标参考13
4.4基于Linux操作系统的前置机配置指引(东方通方案)14
4.4.1硬件需求14
4.4.2软件需求14
4.4.3性能指标参考15
1引言
1
1.1背景
中国现代化支付系统(CNAPS)是我国重要的金融基础设施,是为我国金融机构之间以及金
融机构与人民银行之间的支付业务提供最终资金清算的关键业务系统,是各商业银行电子汇兑系
统资金清算的桥梁和枢纽,也是金融市场的核心支持系统,它对我国金融市场的高效稳定运转起到了十分重要的作用。
针对第一代支付系统存在的不足,结合当前及未来一段时期社会经济金融发展对中央银行支
付清算服务的新需求,同时考虑支付系统运行的生命周期以及进一步完善支付系统备份系统等实际情况,中国人民银行决定建设第二代支付系统。
1.2编写目的
本配置指引用于指导参与者按照配置指引描述,准备与二代支付系统对接的相关软硬件设备。
本配置指引的期望读者包括:
所有需要接入二代支付系统的系统建设人员及其他相关人员。
1.3文档结构
本文共分为五章,包括引言、适用范围、应用功能、系统结构及软硬件配置指引。
1.4定义和缩略语
(1)二代支付系统(InternetBankPaymentSystem—支付系统)
二代支付系统是中国现代化支付系统的重要应用系统,主要支持网上支付等新兴电子支付业
务的跨行(同行)资金汇划处理。
支付系统业务逐笔发送、实时轧差、定时清算,客户进行支付操作时,可实时获知业务最终处理结果。
(2)国家处理中心(NPC)
支付清算系统国家处理中心,位于北京主站;
(3)城市处理中心(CCPC)
支付系统城市处理中心,位于全国32个省会城市和直辖市;
(4)一代支付系统商业银行前置机(MBFE)
商业银行前置机,参与者接入支付清算系统专用前置设备;
(5)二代支付系统前置机(CNAPSFE)
支付系统前置机,参与者接入二代支付系统专用前置设备;
1.5参考资料
名称
作者
《二代支付系统与商业银行行内系统互联规范》
中国人民银行清算总中心
1.6引用标准
GB/T8567-2006《计算机软件文档编制规范》,该标准由中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会2006年3月14日发布。
2前置机简介
二代支付系统前置机结构相对一代支付系统商业银行前置机有较大简化,直联参与者只需部署人民银行发布的支付报文传输平台的参与者接入端软件,并根据自身实际情况,选择一种消息中间件(WMQ或TLQ),实现与CCPC的连接。
接入端软件支持主流的开放系统软硬件环境及消息中间件版本,操作系统支持AIX和SUSELinux企业版两种,消息中间件支持WMQ和TLQ两种,不需要部署数据库软件。
间联参与者前置机除了部署支付报文传输平台参与者接入端软件外,还需部署间联前置机应用。
2.1直联前置机
2.1.1应用功能
二代支付系统商业银行直联前置机(后简称直联CNAPSFE是连接二代支付系统(以下简称支
付系统)和参与者行内系统的桥梁,是支付系统的重要组成部分。
直联CNAPSFE勺主要功能包括
报文转发、报文格式检查、安全管理等,即按《二代支付系统与商业银行行内系统互联规范》的要求,对参与者行内系统提交的报文和NPC转发的报文进行相应的报文格式检查,并根据支付系
统的安全规范实现报文的可靠传输和交换。
直联CNAPSFE不参与业务相关处理,如业务合法性
检查、重账检查、业务核对等,以降低其运行维护难度。
直联CNAPSF只提供直联接入功能,不
提供业务录入、来帐打印等间联接入功能。
2.1.2系统结构
系统参与者使用前置机通过支付系统专用网连接支付系统NPC或CCPC,直联前置机部署
在系统参与者系统内部,使用消息中间件和支付系统交换业务报文。
系统组成结构示意图如下:
CNAPS2
一代支付系统密押设备
[图2-1]
二代支付系统新增报文采用数字签名确保业务数据的可靠性和抗抵赖性。
参与者发送往帐报
文前,需加签数字签名,接收来帐报文后,需核验数字签名。
对业务量较大的参与者,可以考虑在行内系统部署专用的硬件签名服务器,以实现快速的编签、核签处理。
对业务量较少的参与者,
可以不必部署专用的硬件签名服务器,而使用软件签名方式进行数字签名的编制和核验。
原一代支付系统CMT/PKG格式的报文仍使用原一代支付系统密押密钥方式确保业务数据的可靠性。
2.2间联前置机
2.2.1应用功能
间联前置机是二代支付系统的补充,为接入参与者提供了经济、方便的接入服务。
参与者可
通过间联前置机提供的客户端功能,实现大额支付业务往账录入及来账打印、小额批量支付业务
(非实时)往账录入及来账打印、清算账户管理、公共管理等业务功能。
222拓扑结构
cnaps2
支付系统网络
一代支付系统密押设备
3直联前置机软硬件配置指引
3.1概述
按照业务量和并发用户数的不同,推荐两类直联前置机配置分别对应不同需求:
类型
报文业务笔数/天
并发用户数
适用对象
基于AIX前置机
>20000
>20
业务量较大的参与者;
基于Linux前置机
<=20000
<=20
业务量较小的参与者;
注:
1.参与者可自行选择双机热/冷备方案或集群方式部署。
2.直联前置机的运行环境不要求必须新购设备,但运行环境需满足以下配置要求。
3.2基于AIX操作系统的前置机配置指引
321硬件需求
IBMP系列服务器。
3.2.2软件需求
对于该接入方式,以下系统软件通过了测试,建议用户采用:
软件
版本
备注
操作系统
AIX6.1TL3
IBMWebSphereMQ
7.0.1.0
2选1
TongLINK/Q
7.241
3.2.3性能指标参考
指标项
要求
附注
机型
低档64位UNIX服务器,采用SMP结构
CPU
数目>=2,主频>=1.5G赫
CPU缓存
>=2MB/CPU
TPM-C值
>=50000,可扩展到100000以上
与CPU的数目相关
总线带宽
>=1GB/s
I/O总线带宽
>=400MB/s
内存
4GB或以上
提供I/O插槽
>=5
实际配置数目
内置硬盘
数目>=2,单盘容量>=140GB转速>=10000转
网络接口
10/100/1000以太网
监控台
显示器>-17”,分辨率>=1280X1024
其它
配置光驱、软驱、键盘、鼠标、磁带机等等自选设备
3.3基于Linux操作系统的前置机配置指引
3.3.1硬件需求
高档PC服务器,CPU主频1.5GHz以上,内存1G以上。
3.3.2软件需求
对于该接入方式以下系统软件通过了测试,建议用户采用
软件
版本
备注
操作系统
SUSELinuxEnterprise10
IBMWebSphereMQ
7.0.1.0
2选1
TongLINK/Q
7.2.4.1
3.3.3性能指标参考
服务器:
指标项
要求
附注
机型
PC服务器
CPU个数
>2
CPU主频
>1.5Ghz
CPU缓存
>2MB
内存
>4GBECC或更好扩展能力>=16GB
FSB总线
>100Mhz
SCSIRAID阵列卡
支持RAID1、RAID5
RAID卡带内置硬盘
(>18GBX6
若选用带磁盘阵列的双机热备结构,此硬盘数为2
内部热插拔硬盘架
(>8)
软驱
1个1.44MB3.5”
光驱
>40速
可靠性:
冗余热插拔电源、风扇
提供SCSI接口
>2,U1tra2SCSI或更好
串口
>=2个16500UART或更好
并口
>1个EPPorECP或更好
网卡
基本要求:
64位PCIEthernet
10Mbps/100Mbps/1000Mbps全双工
配置数量:
>=1,具体数量要根据选用的双机热备软件要求确定。
若选用的双机热备为纯软件方式,需根据其要求配置专用镜像网卡
其它
配置光驱、软驱、键盘、鼠标、磁带机
磁盘阵列连接
外置SCSI卡:
40MB/S或更好
或光纤FC连接
3.4签名服务器配置指引
支付系统采用数字签名保证业务数据的可靠性和抗抵赖性。
参与者发送往帐业务报文前,需
加编数字签名,接收来帐业务报文后,需核验数字签名。
对业务量较大的参与者,可以考虑在行内系统部署专用的硬件签名服务器,以实现快速的编签、核签处理。
对业务量较少的参与者,可以不必部署专用的硬件签名服务器,而使用软件加签、核签的方式(例如:
可以采用OpenSSL,
OpenSSL是一个开源的、可用于实现软件加、核签名的项目)。
根据测试结果,如参与者峰值业务量超过10000笔/小时,建议配置签名服务器。
支付系统的数字签名机制采用的是目前业界的标准数字签名算法(“PKCS#7”及“PKCS#1
裸签”),参与者可根据情况自行选配符合要求的数字签名服务器,并在业务联调期间和人民银行验证签名服务器的互操作性。
3.5密押服务设备配置指引
加入二代支付系统参与者可复用原密押密钥设备,但需对设备密钥结构及密押等配置进行升级改造,以支持与NPC的二代支付系统密押服务器/通存通兑加密机建立两级对称密钥体系,具体请与设备生产厂家联系。
。
3.6集群方式部署建议
直联前置机集群配置方式支持主备模式和双活模式。
361主备模式
主备模式下,主用CNAPSFE与CCPC两台服务器连接,负责完成报文收发。
备用CNAPSFE同时保持与CCPC服务器的连接,具备与支付系统接入网关的报文收发链路,但正常情况下不启用报文收发功能。
当主用CNAPSFE发生故障时,可即时启用备用CNAPSFE的报文收发功能,
CNAPS2接接接接A
CNAP
S2
MB
电接
接接
接接
a2
CNAPSF
EA
接接接接
CNAPS2接接接接B
接接
接接接接
CNAPSFEB
接接CNAPSFE接接接接
CNAPSFEA
J
CNAPS2接接接接ACNAPS2接接接接B
CNAPSFEB
将其切换为主用CNAPSFE,同时将原主用CNAPSFE置为备用模式。
部署示意图如下:
注:
CNAPS2接入网关的地址,人民银行将在上线时统一向参与者公布。
3.6.2双活模式
双活模式下,两台CNAPSFE均与支付系统接入网关连接,同时在线,完成报文收发。
当任
CNAPSFE发生故障时,即单点故障情况下,报文收发功能不受影响。
部署示意图如下:
MB
/~
II
z~
1^]
r1J"I
—
active
inactive
CNAPSFE
B
CNAPSF
EA
active
CNAPSFE
B
CNAPS2接接接接A
CNAPS2接接接接B
CNAPS2接接接接A
active
接接接接
接接接接
CNAP
S2
接接CNAPSFE接接接
一一一
MlMi
■—
==
CNAPS2接接接接B
CNAPSF
EA
注:
CNAPS2接入网关的地址,人民银行将在上线时统一向参与者公布。
4间联前置机软硬件配置指引
4.1概述
按照业务量和并发用户数的不同,推荐三类间联前置机配置分别对应不同需求:
类型
报文业务笔数/天
并发用户数
适用对象
基于AIX前置机
(IBM方案)
>20000
>20
业务量较大的参与者;
基于Linux前置机
(Oracle方案)
>10000&&<=20000
>10&&<=20
业务量适中的参与者;
基于Linux前置机
(东方通方案)
<=10000
<=10
业务量较小的参与者;
注:
1.参与者可自行选择双机热/冷备方案或集群方式部署。
。
2.间联前置机的运行环境不要求必须新购设备,但运行环境需满足以下配置要求。
4.2基于AIX操作系统的前置机配置指引
4.2.1硬件需求
1、服务器
IBMP系列服务器,中低档型号即可满足运行需要。
2、密押服务器
SJL10-II,根据自身情况选择单台或主备两台的方式。
3、客户端
普通PC机若干。
4、针式打印机
可打印报表的针式打印机或普通打印机一台。
4.2.2软件需求
对于该接入方式以下系统软件通过了测试,建议用户采用后台服务端
软件
版本
操作系统
AIX6.1TL3
消息中间件
IBMWebSphereMQ7.0.1
数据库
IBMDB29.5(withAPARIZ32884)
应用服务器
WAS7.0.0.11
客户端软件
软件
版本
操作系统
WindowsXPProfessionalServicePack3或win7
浏览器
InternetExplorer6.0SP2
或以上
PDF阅读器
AdobeReader7.0或以上
4.2.3性能指标参考
1、服务器
服务器:
指标项
要求
附注
机型
低档64位UNIX服务器,采用SMP结构
CPU
数目>=2,主频>=1.5G赫
CPU缓存
>=2MB/CPU
TPM-C值
>=50000,可扩展到100000以上
与CPU的数目相关
总线带宽
>=1GB/s
I/O总线带宽
>=400MB/s
内存
4GB或以上
提供I/O插槽
>=5
实际配置数目
内置硬盘
数目>=2,单盘容量>=140GB转速>=10000转
网络接口
10/100/1000以太网
监控台
显示器>-17”,分辨率>-1280X1024
其它
配置光驱、软驱、键盘、鼠标、磁带机等等自选设备
2、客户端PC机
指标项
要求
附注
机型
Intel系列商用PC
立式或卧式机箱可选择
CPU特性
类型:
IntelP4或更好
CACHE》256KB
RAM特性
类型:
SDRAM或DDR配置容置:
》512MB
硬盘
配置容量:
》20GBultraDMA/33或以上
网卡
显示器
尺寸:
15”或以上
分辨率:
1024*768或更好
软驱/光驱
10/100/1000以太网
I/O槽
>4PCI
鼠标、键盘
工业标准键盘、鼠标
3、针式打印机
指标项
要求
附注
打印方式
24针击打式宽行点阵打印机
打印方向
双向逻辑查找
打印头配置
打印头寿命>1亿次击打/针
进纸方式
连续纸:
前部,后部,底部;单页纸:
前部,顶部
纸张规格
纸张宽度单页纸:
100—420mm连续纸:
101—406mm
物理接口
PC机并行接口或USB接口,要求提供连接电缆
4.3基于Linux操作系统的前置机配置指引(Oracle数据库)
4.3.1硬件需求
1、服务器
系统选择高档PC服务器。
2、密押服务器
SJL10-II,根据自身情况选择单台或主备两台的方式。
3、客户端
普通PC札可打印报表的针式打印机或普通打印机一台。
4、针式打印机
432软件需求
对于该接入方式以下系统软件通过了测试,建议用户采用如下配置:
1、后台服务器系统软件
软件
版本
操作系统
SuselO
消息中间件
IBMWebSphereMQ7.0.1
数据库
Oracle11gR2
应用服务器
weblogic10
2、客户端软件
软件
版本
操作系统
WindowsXPProfessionalServicePack3或win7
浏览器
InternetExplorer6.0SP2
或以上
PDF阅读器
AdobeReader7.0或以上
4.3.3性能指标参考
1、服务器配置
指标项
要求
附注
机型
低档64位UNIX服务器,采用SMP结构
CPU
数目>=2,主频>=1.5G赫
CPU缓存
>=2MB/CPU
TPM-C值
>=50000,可扩展到100000以上
与CPU的数目相关
总线带宽
>=1GB/s
I/O总线带宽
>=400MB/s
内存
4GB或以上
提供I/O插槽
>=5
实际配置数目
内置硬盘
数目>=2,单盘容量>=140GB转速>=10000转
网络接口
10/100/1000以太网
监控台
显示器>-17”,分辨率>=1280X1024
其它
配置光驱、软驱、键盘、鼠标、磁带机等等自选设备
2、客户端PC机
指标项
要求
附注
机型
Intel系列商用PC
立式或卧式机箱可选择
CPU特性
类型:
IntelP4或更好
CACHE》256KB
RAM特性
类型:
SDRAMSDDR
配置容置:
》512MB
硬盘
配置容量:
》20GBultraDMA/33或以上
网卡
显示器
尺寸:
15”或以上
分辨率:
1024*768或更好
软驱/光驱
10/100/1000以太网
I/O槽
>4PCI
鼠标、键盘
工业标准键盘、鼠标
3、针式打印机
指标项
要求
附注
打印方式
24针击打式宽行点阵打印机
打印方向
双向逻辑查找
打印头配置
打印头寿命>1亿次击打/针
进纸方式
连续纸:
前部,后部,底部;单页纸:
前部,顶部
纸张规格
纸张宽度单页纸:
100—420mm连续纸:
101—406mm
物理接口
PC机并行接口或USB接口,要求提供连接电缆
4.4基于Linux操作系统的前置机配置指引(Mysql数据库)
4.4.1硬件需求
1、服务器
中高档PC服务器,CPU处理能力应在1.5GHz以上,内存1G以上。
2、密押服务器
SJL10-II,根据自身情况选择单台或主备两台的方式。
3、客户端
普通PC机,CPU处理能力应在1GHz以上,内存512M以上;
4、针式打印机
4.4.2软件需求
对于该接入方式以下系统软件通过了测试,建议用户采用如下软件配置
1、后台服务端
软件
版本
操作系统
Suse10
消息中间件
TLQ6.3.14.2
数据库
Mysql5.1
应用服务器
TongWeb4.6.9.7
2、前台客户端
软件
版本
操作系统
WindowsXPProfessionalServicePack3或win7
浏览器
InternetExplorer6.0SP2
或以上
PDF阅读器
AdobeReader7.0或以上
4.4.3性能指标参考
1、服务器
指标项
要求
附注
机型
PC服务器
CPU个数
4,IntelPentium4xeon或更好
CPU主频
>1.5Ghz
CPU缓存
>2MB
内存
>4GBECC或更好扩展能力>=16GB
FSB总线
>100Mhz
SCSIRAID阵列卡
支持RAID1、RAID5
RAID卡带内置硬盘
(>18GBx6
若选用带磁盘阵列的双机热备结构,此硬盘数为2
内部热插拔硬盘架
(>8)
软驱
1个1.44MB3.5”
光驱
>40速
可靠性「
冗余热插拔电源、风扇
提供SCSI接口
>2,U1tra2SCSI或更好
串口
>=2个16500UART或更好
并口
>1个EPPorECP或更好
网卡
基本要求:
64位PCIEthernet
10Mbps/100Mbps/1000Mbps全双工
配置数量:
>=1,具体数量要根据选用的双机热备软件要求确定。
若选用的双机热备为纯软件方式,需根据其要求配置专用镜像网卡
其它
配置光驱、软驱、键盘、鼠标、磁带机
磁盘阵列连接
外置SCSI卡:
40MB/S或更好
或光纤FC连接
2、客户端PC机
指标项
要求
附注
机型
Intel系列商用PC
立式或卧式机箱可选择
CPU特性
类型:
IntelP4或更好
CACHE》256KB
RAM特性
类型:
SDRAM或DDR配置容置