二代支付系统前置机配置指引.docx

1、二代支付系统前置机配置指引二代支付系统前置机配置指弓I文件状态：文件编号：RDC-DED-ISF-支付系统-01草稿当前版本：V1.0V 正式发布作 者：正在修改审核人：完成日期：2010年9月2日中国人民银行清算总中心文档修订记录版本编号变化状态简要说明日期变更人批准日期批准人注：变化状态：A增加，M 修改，D 删除1 引言 21.1 背景 31.2 编写目的 31.3 文档结构 31.4 定义和缩略语 31.5 参考资料 31.6 引用标准 32 前置机简介 42.1 直联前置机 42.1.1 应用功能 42.1.2 系统结构 42.2 间联前置机 52.2.1 应用功能 52.2.2拓扑

2、结构 63 直联前置机软硬件配置指引 63.1 概述 63.2 基于AIX操作系统的前置机配置指引 73.2.1 硬件需求 73.2.2软件需求 73.2.3性能指标参考 73.3 基于 Linux 操作系统的前置机配置指引 73.3.1 硬件需求 73.3.2软件需求 73.3.3性能指标参考 73.4 签名服务器配置指引 84 间联前置机软硬件配置指引 104.1 概述 104.2 基于AIX操作系统的前置机配置指引（IBM方案） 114.2.1 硬件需求 114.2.2软件需求 114.2.3性能指标参考 114.3 基于Linux操作系统的前置机配置指引（ Oracle方案） 124.

3、3.1 硬件需求 124.3.2软件需求 134.3.3性能指标参考 134.4 基于Linux操作系统的前置机配置指引（东方通方案） 144.4.1 硬件需求 144.4.2软件需求 144.4.3 性能指标参考 151 引言11.1 背景中国现代化支付系统 （CNAPS ）是我国重要的金融基础设施， 是为我国金融机构之间以及金融机构与人民银行之间的支付业务提供最终资金清算的关键业务系统， 是各商业银行电子汇兑系统资金清算的桥梁和枢纽，也是金融市场的核心支持系统，它对我国金融市场的高效稳定运转起 到了十分重要的作用。针对第一代支付系统存在的不足， 结合当前及未来一段时期社会经济金融发展对中央

4、银行支付清算服务的新需求，同时考虑支付系统运行的生命周期以及进一步完善支付系统备份系统等实 际情况，中国人民银行决定建设第二代支付系统。1.2 编写目的本配置指引用于指导参与者按照配置指引描述，准备与二代支付系统对接的相关软硬件设 备。本配置指引的期望读者包括：所有需要接入二代支付系统的系统建设人员及其他相关人员。1.3 文档结构本文共分为五章，包括引言、适用范围、应用功能、系统结构及软硬件配置指引。1.4 定义和缩略语（1） 二代支付系统（In ternet Ba nk Payme nt System 支付系统）二代支付系统是中国现代化支付系统的重要应用系统， 主要支持网上支付等新兴电子支付

5、业务的跨行（同行）资金汇划处理。支付系统业务逐笔发送、实时轧差、定时清算，客户进行支付 操作时，可实时获知业务最终处理结果。（2） 国家处理中心（NPC）支付清算系统国家处理中心，位于北京主站；（3） 城市处理中心（CCPC）支付系统城市处理中心，位于全国 32个省会城市和直辖市；（4） 一代支付系统商业银行前置机（ MBFE）商业银行前置机，参与者接入支付清算系统专用前置设备；（5） 二代支付系统前置机（CNAPSFE ）支付系统前置机，参与者接入二代支付系统专用前置设备；1.5 参考资料名称作者二代支付系统与商业银行行内系统互联规范中国人民银行清算总中心1.6 引用标准GB/T 8567-

6、2006计算机软件文档编制规范，该标准由中华人民共和国国家质量监督检验 检疫总局、中国国家标准化管理委员会 2006年3月14日发布。2 前置机简介二代支付系统前置机结构相对一代支付系统商业银行前置机有较大简化，直联参与者只需 部署人民银行发布的支付报文传输平台的参与者接入端软件，并根据自身实际情况，选择一种消 息中间件（WMQ或TLQ），实现与CCPC的连接。接入端软件支持主流的开放系统软硬件环境 及消息中间件版本，操作系统支持 AIX和SUSE Linux企业版两种，消息中间件支持 WMQ和TLQ 两种，不需要部署数据库软件。间联参与者前置机除了部署支付报文传输平台参与者接入端软件外，还需

7、部署间联前置机 应用。2.1直联前置机2.1.1 应用功能二代支付系统商业银行直联前置机 （后简称直联CNAPSFE是连接二代支付系统（以下简称支付系统）和参与者行内系统的桥梁，是支付系统的重要组成部分。直联 CNAPSFE勺主要功能包括报文转发、报文格式检查、安全管理等，即按二代支付系统与商业银行行内系统互联规范的 要求，对参与者行内系统提交的报文和 NPC转发的报文进行相应的报文格式检查， 并根据支付系统的安全规范实现报文的可靠传输和交换。直联 CNAPSFE不参与业务相关处理，如业务合法性检查、重账检查、业务核对等，以降低其运行维护难度。直联 CNAPSF只提供直联接入功能，不提供业务录

8、入、来帐打印等间联接入功能。2.1.2 系统结构系统参与者使用前置机通过支付系统专用网连接支付系统 NPC或CCPC,直联前置机部署在系统参与者系统内部，使用消息中间件和支付系统交换业务报文。系统组成结构示意图如下：CNAPS2一代支付系统 密押设备图 2-1二代支付系统新增报文采用数字签名确保业务数据的可靠性和抗抵赖性。 参与者发送往帐报文前，需加签数字签名，接收来帐报文后，需核验数字签名。对业务量较大的参与者，可以考虑 在行内系统部署专用的硬件签名服务器， 以实现快速的编签、核签处理。对业务量较少的参与者，可以不必部署专用的硬件签名服务器，而使用软件签名方式进行数字签名的编制和核验。原一代

9、支付系统CMT/PKG格式的报文仍使用原一代支付系统密押密钥方式确保业务数据的 可靠性。2.2间联前置机2.2.1 应用功能间联前置机是二代支付系统的补充，为接入参与者提供了经济、方便的接入服务。参与者可通过间联前置机提供的客户端功能，实现大额支付业务往账录入及来账打印、小额批量支付业务（非实时）往账录入及来账打印、清算账户管理、公共管理等业务功能。222 拓扑结构cnaps2支付系统网络一代支付系统 密押设备3 直联前置机软硬件配置指引3.1概述按照业务量和并发用户数的不同，推荐两类直联前置机配置分别对应不同需求:类型报文业务笔数/天并发用户数适用对象基于AIX 前置机2000020业务量较

10、大的参与者；基于Linux 前置机=20000=2MB/CPUTPM-C 值=50000，可扩展到100000以上与CPU的数目相关总线带宽=1GB/sI/O总线带宽=400MB/s内存4GB或以上提供I/O插槽=5实际配置数目内置硬盘数目=2,单盘容量=140GB转速=10000转网络接口10/100/1000 以太网监控台显示器-17”，分辨率=1280X1024其它配置光驱、软驱、键盘、鼠标、磁带机等等自选设备3.3基于Linux操作系统的前置机配置指引3.3.1 硬件需求高档PC服务器，CPU主频1.5GHz以上，内存1G以上。3.3.2 软件需求对于该接入方式以下系统软件通过了测试，

11、建议用户采用软件版本备注操作系统SUSE Li nux En terprise 10IBM WebSphere MQ7.0.1.02选1To ngLINK/Q7.2.4.13.3.3 性能指标参考服务器：指标项要求附注机型PC服务器CPU个 数 2CPU主频 1.5GhzCPU缓存 2MB内存 4GB ECC或更好 扩展能力=16GBFSB总线 100MhzSCSI RAID阵列卡支持 RAID1、RAID5RAID卡带内置硬盘( 18GB X 6若选用带磁盘阵 列的双机热备结 构，此硬盘数为2内部热插拔硬盘架( 8)软驱1 个 1.44MB 3.5 ”光驱 40速可靠性 ：冗余热插拔电源、风

12、扇提供SCSI接口2, U1tra2 SCSI 或更好串口=2个16500 UART或更好并口 1个EPP or ECP或更好网卡基本要求： 64 位 PCI Ethernet10Mbps/100Mbps/1000Mbps 全双工配置数量：=1，具体数量要根据选用的双机热备软 件要求确定。若选用的双机热 备为纯软件方式， 需根据其要求配 置专用镜像网卡其它配置光驱、软驱、键盘、鼠标、磁带机磁盘阵列连接外置SCSI卡：40MB/S或更好或光纤FC连接3.4签名服务器配置指引支付系统采用数字签名保证业务数据的可靠性和抗抵赖性。参与者发送往帐业务报文前，需加编数字签名，接收来帐业务报文后，需核验数字

13、签名。对业务量较大的参与者，可以考虑在行 内系统部署专用的硬件签名服务器，以实现快速的编签、核签处理。对业务量较少的参与者，可 以不必部署专用的硬件签名服务器，而使用软件加签、核签的方式（例如：可以采用 Ope nSSL,OpenSSL是一个开源的、可用于实现软件加、核签名的项目） 。根据测试结果，如参与者峰值业务量超过 10000笔/小时，建议配置签名服务器。支付系统的数字签名机制采用的是目前业界的标准数字签名算法（ “PKCS#7”及“ PKCS#1裸签”），参与者可根据情况自行选配符合要求的数字签名服务器，并在业务联调期间和人民银行 验证签名服务器的互操作性。3.5密押服务设备配置指引加

14、入二代支付系统参与者可复用原密押密钥设备， 但需对设备密钥结构及密押等配置进行升 级改造，以支持与 NPC的二代支付系统密押服务器 /通存通兑加密机建立两级对称密钥体系，具 体请与设备生产厂家联系。3.6集群方式部署建议直联前置机集群配置方式支持主备模式和双活模式。361 主备模式主备模式下，主用CNAPSFE与CCPC两台服务器连接，负责完成报文收发。备用CNAPSFE 同时保持与CCPC服务器的连接，具备与支付系统接入网关的报文收发链路，但正常情况下不启 用报文收发功能。当主用 CNAPSFE发生故障时，可即时启用备用 CNAPSFE的报文收发功能，CNAPS2接接接接ACNAPS2MB电

15、接接接接接a 2CNAPSFEA接接接接CNAPS2接接接接B接接接接接接CNAPSFE B接接CNAP SFE接接接接CNAPSF EAJCNAPS2接接接接A CNAPS2接接接接BCNAPSFE B将其切换为主用CNAPSFE，同时将原主用CNAPSFE置为备用模式。部署示意图如下：注:CNAPS2接入网关的地址，人民银行将在上线时统一向参与者公布。3.6.2 双活模式双活模式下，两台 CNAPSFE均与支付系统接入网关连接，同时在线，完成报文收发。当任CNAPSFE发生故障时，即单点故障情况下，报文收发功能不受影响。部署示意图如下：MB/I Iz1r 1J Iactivein acti

16、veCNAPSFEBCNAPSFEAactiveCNAPSFEBCNAPS2接接接接ACNAPS2接接接接BCNAPS2接接接接Aactive接接接接接接接接CNAPS2接接CNAPSFE接接接一一一Ml Mi =CNAPS2接接接接BCNAPSFEA注:CNAPS2接入网关的地址，人民银行将在上线时统一向参与者公布。4 间联前置机软硬件配置指引4.1概述按照业务量和并发用户数的不同，推荐三类间联前置机配置分别对应不同需求:类型报文业务笔数/天并发用户数适用对象基于AIX 前置机（IBM方案）2000020业务量较大的参与者；基于Linux 前置机（Oracle 方案）10000&10&=20

17、业务量适中的参与者；基于Linux 前置机（东方通方案）=10000=2MB/CPUTPM-C 值=50000,可扩展到 100000以上与CPU的数目相关总线带宽=1GB/sI/O总线带宽=400MB/s内存4GB或以上提供I/O插槽=5实际配置数目内置硬盘数目=2,单盘容量=140GB转速=10000转网络接口10/100/1000 以太网监控台显示器-17”，分辨率-1280X1024其它配置光驱、软驱、键盘、鼠标、磁带机等等自选设备2、客户端PC机指标项要求附注机型In tel系列商用PC立式或卧式机箱可选 择CPU特 性类型：In tel P4 或更好CACHE256KBRAM特性类

18、型：SDRAM或 DDR 配置容置：512MB硬盘配置容量：20GB ultra DMA/33 或以上网卡显示器尺寸：15”或以上分辨率：1024*768或更好软驱/光驱10/100/1000 以太网I/O槽 4PCI鼠标、键盘工业标准键盘、鼠标3、针式打印机指标项要求附注打印方式24针击打式宽行点阵打印机打印方向双向逻辑查找打印头配置打印头寿命1亿次击打/针进纸方式连续纸：前部，后部，底部； 单页纸：前部，顶部纸张规格纸张宽度 单页纸:100 420mm连续纸:101 406mm物理接口PC机并行接口或 USB接口，要求提供连接电缆4.3基于Linux操作系统的前置机配置指引（ Oracle

19、数据库）4.3.1 硬件需求1、 服务器系统选择高档PC服务器。2、 密押服务器SJL10-II，根据自身情况选择单台或主备两台的方式。3、 客户端普通PC札可打印报表的针式打印机或普通打印机一台。4、 针式打印机432 软件需求对于该接入方式以下系统软件通过了测试，建议用户采用如下配置:1、后台服务器系统软件软件版本操作系统SuselO消息中间件IBM WebSphere MQ 7.0.1数据库Oracle 11gR2应用服务器weblogic102、客户端软件软件版本操作系统Win dows XP Professio nal Service Pack 3 或 win7浏览器In terne

20、t Explorer 6.0 SP2或以上PDF阅读器Adobe Reader 7.0 或以上4.3.3 性能指标参考1、服务器配置指标项要求附注机型低档64位UNIX服务器，采用SMP结构CPU数目=2，主频=1.5G赫CPU缓存=2MB/CPUTPM-C值=50000,可扩展到 100000以上与CPU的数目相关总线带宽=1GB/sI/O总线带宽=400MB/s内存4GB或以上提供I/O插槽=5实际配置数目内置硬盘数目=2,单盘容量=140GB转速=10000转网络接口10/100/1000 以太网监控台显示器-17”，分辨率=1280X1024其它配置光驱、软驱、键盘、鼠标、磁带机等等自

21、选设备2、客户端PC机指标项要求附注机型In tel系列商用PC立式或卧式机箱可选 择CPU特 性类型：In tel P4 或更好CACHE256KBRAM特性类型：SDRAMS DDR配置容置：512MB硬盘配置容量：20GB ultra DMA/33 或以上网卡显示器尺寸：15”或以上分辨率：1024*768或更好软驱/光驱10/100/1000 以太网I/O槽 4PCI鼠标、键盘工业标准键盘、鼠标3、针式打印机指标项要求附注打印方式24针击打式宽行点阵打印机打印方向双向逻辑查找打印头配置打印头寿命1亿次击打/针进纸方式连续纸：前部，后部，底部； 单页纸：前部，顶部纸张规格纸张宽度 单页纸

22、:100 420mm连续纸:101 406mm物理接口PC机并行接口或 USB接口，要求提供连接电缆4.4基于Linux操作系统的前置机配置指引（ Mysql数据库）4.4.1 硬件需求1、 服务器中高档PC服务器， CPU处理能力应在1.5GHz以上，内存1G以上。2、 密押服务器SJL10-II，根据自身情况选择单台或主备两台的方式。3、 客户端普通PC机，CPU处理能力应在1GHz以上，内存512M以上；4、 针式打印机4.4.2 软件需求对于该接入方式以下系统软件通过了测试，建议用户采用如下软件配置1、后台服务端软件版本操作系统Suse10消息中间件TLQ 6.3.14.2数据库Mys

23、ql5.1应用服务器Ton gWeb4.6.9.72、前台客户端软件版本操作系统Win dows XP Professio nal Service Pack 3 或 win7浏览器In ternet Explorer 6.0 SP2或以上PDF阅读器Adobe Reader 7.0 或以上4.4.3 性能指标参考1、服务器指标项要求附注机型PC服务器CPU个 数4， In tel Pen tium 4 xeon 或更好CPU主频 1.5GhzCPU缓存 2MB内存 4GB ECC或更好 扩展能力=16GBFSB总线 100MhzSCSI RAID阵列卡支持 RAID1、RAID5RAID卡带内

24、置硬盘( 18GB x 6若选用带磁盘阵 列的双机热备结 构，此硬盘数为2内部热插拔硬盘架( 8)软驱1 个 1.44MB 3.5 ”光驱 40速可靠性 冗余热插拔电源、风扇提供SCSI接口2, U1tra2 SCSI 或更好串口=2个16500 UART或更好并口 1个EPP or ECP或更好网卡基本要求： 64 位 PCI Ethernet10Mbps/100Mbps/1000Mbps 全双工配置数量：=1，具体数量要根据选用的双机热备软 件要求确定。若选用的双机热 备为纯软件方式， 需根据其要求配 置专用镜像网卡其它配置光驱、软驱、键盘、鼠标、磁带机磁盘阵列连接外置SCSI卡：40MB/S或更好或光纤FC连接2、客户端PC机指标项要求附注机型In tel系列商用PC立式或卧式机箱可选 择CPU特 性类型：In tel P4 或更好CACHE256KBRAM特性类型：SDRAM或DDR 配置容置