上海证券交易所配置了许多前置机与各种机构进行数据交互,这些前置机占据了大量的空间,上交所引入EastFax USB Server,将前置系统迁移到虚拟机中,在虚拟机中调用Ukey,进行数据上传下载。
背景现状
上海证券交易所成立于1990年11月26日,受中国证监会监督和管理,是为证券集中交易提供场所和设施、组织和监督证券交易、实行自律管理的会员制法人。经过30年的快速成长,上交所已发展成为拥有股票、债券、基金、衍生品4大类证券交易品种、市场结构较为完整的证券交易所。目前上交所已经成为全球第三大证券交易所和全球最活跃的证券交易所之一。截至2020年底,上交所IPO数量及融资金额均位列全球第一;股票成交金额超过75万亿元,在全球交易所中排名第四。
上交所每天都需要与银行、中登、中债等机构的核心业务系统进行数据交互,这不仅需要通过前置机,更需要UKey验证。由于机构和前置机的关系是一对一,因此前置机和Ukey都越来越多,而且如果前置机出现宕机,就会影响即时交易,造成生产事故。考虑到这些问题,上交所决定部署虚拟化平台,把前置机的应用系统迁移到虚拟机中,但是虚拟机对USB并不支持,迁移遇到了阻碍。
解决方案
上交所引入了多端口的EastFax USB Server设备,将前置系统迁移到虚拟机中,将前置机上的Ukey转移到USB服务器上,在虚拟机中远程连接Ukey,实现与银企直连、中登、上清所等平台的数据交互。
一、Ukey远程连接
EastFax USB Server是一款基于网络的USB共享软件,采用了USB Over Network技术,只要网络能到达,USB设备里面的数据就能到达。
二、Ukey分类命名
应用了USB Server以后,上交所的验证Ukey不再插在前置机或员工电脑上,全都集中到USB服务器中,USB服务器放到机房管理。管理员按照机构、业务类别等,对Ukey进行分类管理,比如设置Ukey类型、名称。连接使用时,可以一眼识别主机所需要的Ukey。
三、Ukey安全连接
前置机作为内外网连接屏障,安全保障至关重要。EastFax USB Server 的多重验证机制保证了Ukey连接的安全性。
1、管理员为每个Ukey分配有权访问的虚拟机IP地址。用户只能在已授权IP的终端登陆,且同一个终端只能打开一个客户端。
2、每个UKey都可以单独授权给相关用户,拥有授权的用户需在客户端输入账号密码才能连接Ukey。
3、每个UKey都可以设置连接密码,用户在客户端连接设置了密码的Ukey时,需要输入连接密码才可以连接UKey。
四、虚拟化映射
EastFax USB Server不仅支持内网连接调用,也支持跨网段或者外网访问Ukey。只需将设备的端口映射出去,然后将外网地址添加到设备管理处。在外网连接时,只需要勾选外网,填写映射后的IP地址,即可访问USB Server上的任一端口。
EastFax USB Server适应前置机场景,帮助上交所解决了前置机虚拟化后Ukey的远程调用问题,在降低硬件成本、提高资源利用率上发挥了重要作用。
