外汇会计网络处理系统项目技术方案

外汇会计网络解决系统项目

技术方案

中华人民共和国建设银行信息技术部

4月

目录

第1章总体构造.................................................4

1.1系统体系构造.....................................................4

1.2网络架构..........................................................5

1.3总体逻辑构造.....................................................7

第2章系统环境................................................10

2.1前台软硬件环境..................................................10

2.2后台软硬件环境..................................................12

2.3中间件............................................................18

第3章功能模块................................................22

第4章安全保密................................................25

4.1概述.............................................................25

4.2信息传播安全....................................................26

4.3数据存储安全....................................................32

第5章异常解决................................................34

5.1通讯异常解决....................................................34

5.2主机异常及解决..................................................40

5.3数据库异常解决..................................................42

第6章数据移植................................................45

6.1实行原则.........................................................45

6.2实现办法.........................................................45

6.3移植环节.........................................................46

第7章和既有系统比较.........................................47

第8章和有关系统关系.........................................48

第9章可选技术方案...........................................50

第10章采用建议系统也许带来影响..............................51

10.1对设备影响......................................................52

10.2对既有软件影响..................................................52

10.3对顾客影响......................................................52

10.4对系统运营影响..................................................52

10.5对开发环境影响..................................................53

10.6对安全保密影响..................................................53

10.7对经费支出影响..................................................53

第11章实行风险及对策.........................................54

11.1数据移植.........................................................54

11.2与周边系统接口..................................................55

11.3客户化工作.......................................................57

11.4总述.............................................................57

第1章总体构造

1.1系统体系构造

1.2系统采用当前主流C/M/S三层体系架构，使前端业

务解决和后端业务逻辑互相独立；先后端通讯由中间

层软件完毕，可靠性高；屏蔽先后端通讯实现详细细

节，编码简朴；前端应用对后端完全透明，前端需要

增长新服务手段或方式时可单独完毕，不必修改后

端应用程序，只需保持数据接口一致性即可，后端业

务逻辑和数据对前端也是完全透明，后端业务逻辑

变化或服务器主机增长、减少或变更都不会影响前端

服务，具备较好可扩展性；同步，这种方式可大量重

用应用代码，缩短开发周期。

1.3网络架构

1.3.1外汇会计网络系统依托既有城综网网络架构，可

最大限度地运用既有资源。依照前台应用平台

ACE4.0Server不同设立，网络架构有二层架构和

三层架构两种不同方案。

1.3.2二层网络架构

前台网点PC上安装业务系统和ACEClient.ACEServer,二级分行无需安

装业务系统，逻辑上网点PC与一级分行主机直接相连，在实际物理联接

上，是通过二级分行中心路由与一级分行连接，避免网点PC直接访问中

心主机，可有效保证网络安全以及减轻主机网络承担。网络构造如图：

1.3.3三层网络架构

前台网点PC上安装ACEClient,二级分行配备一台前置机，其上安装

业务系统和ACEServer,网点PC通过二级分行与一级分行主机相连，形

成三层架构。网络构造如图

■留■

网管工作%站主机fflHH

一级分行路由器

二级分行路由器

ACE4.0Server旦而为二

DDN/X.25)

ACE4.0Clienl端

1.3.4两种网络架构比较

网络架构长处缺陷

二层架构网络构造简朴，系统稳定性、安在前台网点PC上需安装应

全性好，运营效率高，无需额用系统和ACEClient、ACE

外硬件投资。Server,系统维护升级复杂。

三层架构在前台网点PC上只需安装ACE由于ACE4.OClient与Server

Client,每个二级分行只需在前物理分离，Client与Server端

置机上安装一套ACEServer和业之间通讯跨越广域网，导致：

务系统，便于系统维护与版本升前台运营效率减少；系统成熟

级。度及稳定性、安全性有待于进

一步论证；二级分行中心机房

需相应配备性能较高前置机，

增长硬件投资。

1.4由于三层网络架构过于依赖ACE4.0,其安全性、效

率性、稳定性皆取决于ACE4.0前、后台实现机制，存

在着一定风险性；且该种网络架构尚未大规模商业应

用，其可行性尚须进一步论证。鉴于此，咱们建议不

采用此种网络架构，而使用二层网络架构。

1.5总体逻辑构造

应用系统总体逻辑构造分为三层：

外围服务层重要指柜面业务，以及与周边外围系统接口程序。双箭头

表达可以互为访问，互为访问接口是实时。例如：柜面业务、国际结算、B

股资金清算；单箭头表达只能单向访问，单向访问接口是批量或与文献方

式传送。例如：储蓄通兑文献、MIS系统、个人实盘外汇买卖；外围服务

层通过规范交易接口调用应用服务层各种服务。

应用服务层由应用业务品种构成；应用服务层只解决合法性判断、业

务解决逻辑：帐务、凭证、计息、外汇买卖等均通过API由核心服务层完

毕；

核心服务层是将公用业务解决抽象成一系列公函集，如帐务核心、凭

证核心、计息核心、外汇买卖核心；

详细如下图所示：

国

柜

国B

储蓄个人

际

面

际

股MIS

通兑实盘

结

业

收

外围服务层清系

文件外汇

算

务

支

算

统买卖

前端应用接口

规范交易接口

存

贷

资

往

查

客

柜

户

台

款

款

金

来

询

信

应用服务层买

息

业

业

业

业

业

卖

管

业

务

务

务

务

务

理

务

核心服务层帐务核心、凭证核心、计息核心、外汇买卖核心

第2章系统环境

2.1前台软硬件环境

2.1.1简介

•硬件环境：

•运用网点既有FEBS系统或人民币会计系统PC.终端、行打等。

•软件环境

操作系统：SCOUnix

数据库：Informix

通讯中间件：TUXEDOClient

其他：神州数码ACE4.0开发平台、中文平台

2.1.2ACE4.0简述

ACE平台是一种针对金融前台系统开发、维护软件包，它可以实钞票

融前台系统所需要人机交互、设备驱动、通讯传播，运用ACE平台开

发思想及开发工具可以使开发出来金融前台系统高效而稳定。ACE4.0

版本不但将字符平台和图形平台有机地结合在一起，同步ACE4.0具

备很高可扩展性，可以适应各种不同网络体系构造。

ACE平台已在全国各家银行推广开来，并己在中华人民共和国建设银

行上海分行大柜面系统投入使用。

•ACE4.0重要技术特点有：

•4GL语言

・强大通讯功能

•支持不同种类外设

・跨平台授权

•文献广播

•嵌SQL语言

•完善安全办法

•丰富开发维护工具

•ACE4.0重要性能指标如下：

•运营速度

以最复杂打开/运营屏幕这个典型操作进行性能测试，测试环境是：

ACEServer为Legend逐日3000/InteI赛扬433MHz；

ACEClient为IBMPentiumMMX100MHz；

通讯速率为9600bpso

测试后得出：

打开超大屏幕时间约为1600ms；打开屏幕组时间约为2600ms

•在实际局域网运营环境中，所用时间将比测试所得数据大大缩短。

•顾客数

•在使用SCOUNIX操作系统时，每台机器最多支持50顾客。顾客

数超过50可以通过集群方式支持。

•通讯包长度

2.2ACE4.0自身对通讯数据包长度没有限制，可以通

过配备实现数据包长度变化。但综合考虑各种因素,

推荐在每个通讯包长度控制在2K-4K之间。

2.3后台软硬件环境

2.3.1概述

硬件环境：

IBMRS6000系列小型机。

•软件环境

操作系统：AIX

数据库：InformixOnline?.X>ESQL/C

通讯中间件：TUXEDOServer

2.3.2主机性能规定

I.外汇会计网络系统后台主机配备，重要从如下四个方面进行考虑：

2.CPU性能：重要以服务器TPC・C值作为相对选型参照值，在设计

服务器解决能力时,需要将某些实际经验值和TPC-C值一起综合

考虑，设计CPU使用率在40%以内。

内存大小：内存是所有程序运营环境，在CPU和有关系统软件解决能

力范畴内，普通说来，内存空间越大服务器事务解决性能越好，但不同应

用对内存规定不同，因此在外汇会计应用系统服务器内存设计中，需要从

应用规定角度来考虑，寻找最佳配备。在外汇会计网络系统中，重要是数

据库应用，依照经验，Sybase数据库对内存较敏感，ORACLE和DB2另一

方面,Infonnix对内存规定最小，但Informix对CPU规定更多。

2.3,3磁盘I/O性能：在CPU解决能力一定状况下，磁

盘I/O速度，可使服务器整体性能相差几倍到几十

倍，因此在设计中要特别注意磁盘I/O选型，磁盘

I/O选取尽量大，同步考虑到单个磁盘I/O速度是一

定，需要靠多磁盘并行读取来提高磁盘I/O性能。

2.3.4高可用性：在主机发生普通故障时，能保证业务

正常进行和业务数据完整性，在主机发生严重故障

时，能保证系统在最短时间内恢复运营，丢失至少

交易数据。依照业务量大小和业务重要性，同步考

虑其成本和效益，维持高可用性方案可以分为：双

机热备份、双机冷备份、单机磁带备份。

2.3,5依照以上阐述，下面分别从以上四个方面来分析

和设计外汇会计网络系统服务器配备规定。

2.3.6主机配备预估

1.CPU解决能力分析

依照经验值，解决能力6000TPC-C服务器，接近10()%使用率，每分钟

可以解决5000笔交易，即6000TPC-C=5000笔交易/分钟。

依照规配备机型CPU数

定，本

次配备

夕卜汇会

计业务

服务器

要满足

3-5年、

每年

15%业

务增长

率规定。

考虑到

各地外

汇会计

当前业

务量不

明，参

照厦门

建行当

前外汇

会计业

务量状

况。并控

制夕卜汇

会计业

务服务

器CPU

运用率

在40%

以内，

参照

IBM各

款

RS/6000

服务器

住不同

配备下

TPC-C

值，初

步估算

不同省

市外汇

会计业

务服务

器将依

其业务

量大小

配备

IBM

RS/6000

F85、270

系列服

务器，

且CPU

配备数

大概估

算如下

表：

规模

大IBMRS/6000H852路450MHz

小IBMRS/600044P2702路375/450MHz

2.内存容量分析

3.主机内存需求涉及操作系统自身需要、数据库系统运营需要及数

据库顾客服务进程需要等方面。其中操作系统自身需要内存开销

并不大，大某些内存需求还是来自于数据库系统。在数据库顾客服

务进程方面，每个连接到数据库顾客连接都要占用一定主机内存

资源，其占用容量大概为600KB。数据库系统在运营时，需占用更

大量内存，依照数据库系统运营机制分析及实际使用数据库系统

经验来看，内存越大，数据库系统性能越好。

4.依照以上分析，建议主机配备内存至少应达到3GB,考虑30%左

右内存冗余以提供最佳性能，推荐配备4GB内存。对于业务量较

小分行，可以采用2GB内存。

5.硬盘容量分析

外汇会计网络系统数据量根据不同省市业务规模差别较大，普通要在

几十个GB以上。采用双机备份运营模式分行，建议配备一台IBM7133磁

盘子系统，其她分行可采用服务器自带硬盘，容量应不不大于30GB。

4.高可用性分析

由于各分行业务量差别较大，对于维持高可用性规定各不相似，因而

建议依照业务量区别，不同分行采用不同配备。

2.3.7双机热备份:对于每天业务量在5000笔以上分行,

由于网点众多，由于故障导致主机停机，会给寻常

业务导致极大影响，因而，保证主机无间断工作是

十分重要，因而，双机热备是一种抱负选取。

2.3.8单机磁带备份：对于每天业务量在3000笔如下

分行来说，由于业务量小，网点少，主机一两个工

作日停机对业务导致影响很小，采用双机备份对资

源是一种挥霍，单机磁带备份方式已经可以满足业

务正常运营需要。

2.3.9（注：依照对分行业务量调查，笔数普通分布在

5000笔以上和3000笔如下）

2.3.10配备小结

规

配备机型CPU数内存存储运营模式

模

IBMRS/6000双机热备

大2路450MHz4-8GBIBM7133

H85份

IBMRS/60002路单机

小2GB18.2X2

44P270375/450MHz磁带备份

2.4中间件

2.4.1近年来，以交易中间件为框架基本三层客户机/

服务器模式已被广泛证明为建立开放式核心业务应

用系统最佳环境。选取适合中间件产品，将对系统

产生重要影响。本系统就BEA公司TUXEDO和厦门东

南融通公司LongTop-Link作一比较，并选取

TUXEDO作为中间件。

242TUXEDO

•作为交易中间件中先进代表，BEA公司TUXEDO产品提供了如下两

个重要功能：

•负责客户机和服务器间联接和通讯；

•提供一种三层构造应用开发和运营平台。

•采用TUXEDO交易中间件，能大大提高系统通讯和运营性能。它

可以把大量前端祈求汇聚成较少后端连接并减少数据传送量，应

用系统虽然在大量顾客同步祈求服务时候也可以保持迅速、稳定

工作状态。其重要长处有：

•通过数据压缩等手段，减少网络承担

•调度服务程序，提高主机解决能力

•提高数据库效率

•分布式环境中更高水平数据完整性

•具备故障恢复能力，使系统有更高可用性

•提供信息加密服务，保证系统安全

•使系统能灵活扩展

•此外，由于它提供三层构造开发运营平台，它还能：

•减轻开发人员承担

•使系统安装与升级更容易

•减轻系统管理人员承担

2.4.3LongTop-Link

LongTop-Link是厦门东南融通公司自主开发一种分布式联机事务解决

系统中间件，它为分行式环境下联机交易解决应用系统开发和运营提供灵

活和易用平台，保证联机交易解决系统运营高效性和数据完整性，同步提

供其他辅助功能以便系统开发和使用。

1.LongTop-Link采用三层客户/服务器构造。重要由如下某些构成：

2.核心系统：即实际核心运营系统，涉及管理内核、通信内核；

开发系统：即供顾客使用应用软件接口函数API；

管理系统：涉及交易调度系统和为使用人员提供监控工具。

1.LongTop-Link提供如下功能：

2.网络通信：数据包压缩传播、文献压缩传播，并支持电话拨号备份

3.交易调度

4.交易流量控制

5.实时监控

6.安全性：身份认证和数据加密

7.日记功能

8.交易一致性管理

■LongTop-Link具备如下长处：

■减少网络承担：可以对网络上传递数据进行压缩，进一步减少网上传

递数据量。

■提高主机解决能力：LongTop-Link调度有限服务程序为大量并发祈求

进行服务，减少网络连接量、内存占用、进程数量、信号量和CPU时

间片等系统资源，成倍提高主机解决能力。

■提高数据库效率：LongTop-Link通过采用长驻服务进程手段，使得与数

据库连接被保持和复用，并且有限服务程序只需与数据库建立有限数

据库连接，从而减少服务程序与数据库连接次数和时间，大大提高了

数据库操作效率。

■提供文献压缩、断点续传功能，支持电话拨号备份

■通过通信日记，便于程序调试、交易跟踪和故障恢复。

■能进行交易监控、系统监控

■系统开销（共享内存、消息队列、信号等）小

■价格便宜

2.4.4方案比较

将TUXEDO长处缺陷

与

LongTop-Link

比较如下：

产品

TUXEDO市场占有率高，应用范畴系统开销大，价格贵。

广，产品成熟，功能完善，

性能好。

LongTop-Link系统开销小，价格便宜应用范畴小，不够成熟，功

能相对较少，性能相对为

低。不支持异构平台各种数

据库，不支持Internet、

CORBA应用以及XA合同。

2.4,5并且，我行已买断TUXEDO使用权，进一步购

买只需付License费用，且能拿到较低价格，弥补

了TUXEDO价格昂贵缺陷。综合产品性能与价格,

建议选取TUXEDO。

2.4.6系统中TUXEDO应用方案

本系统数据及应用将集中在一级分行，从逻辑上看，各营业网点前台

将通过网络直接挂在一级分行（系统逻辑图见本章第二节网络架构）。

从物理上看，前台网点PC一方面要与二级分行相联，通过二级分行

再联到一级分行。从功能上看，二级分行只是起了一种网络路由功能。

在网点PC上，安装ACECHent端和Server端，负责客户界面输入和输

出。此外，网点PC上还安装了TUXEDOClient端，负责与后台通信及交易

祈求。

第3章采用上述网络架构，整个系统构

造非常清晰，有助于系统建设及维护。

但是，这种网络架构存在一种风险：当

营业网点数目较多，并且大量营业网点

同步做交易时，将导致网络拥挤不堪,

影响交易正常进行。TUXEDO正好能在

这种状况下发挥巨大功能，有效地避免

网络拥塞。

第4章为了避免网络拥塞，在TUXEDO

配备中，对每个二级分行配备一组WSL

与其相应，每一组WSL能控制客户端

连接数量（最大WSH数量）。这样在客

户端祈求数量较大时，TUXEDO将让这

些祈求排队等待解决，从而有效地避免

网络拥塞，保证系统正常地运营，而不

会因客户端祈求太多而导致后台系统崩

溃。

第5章功能模块

■总体上可分为七个模块：公用模块、联机交易、前台系统、参数维

护、批量解决、业务管理和周边系统接口。

■公用模块不直接运营解决业务，而是为其她模块提供服务，重要涉

及：帐簿登记、凭证登记、利息计算、币种换算、与周边系统实时

接口。

■联机交易是寻常业务重要承担者，依照业务类别分为若个子系统:

存款、贷款、汇兑、买卖、清算等，是OLTP服务器端应用服务器。

■前台系统重要提供服务接入与输出，是联机交易外部界面，是

OLTP服务祈求端。

■参数维护重要负责系统运营各类参数维护，以主机终端方式交互

T十

运富。

■批解决完毕批量业务，以主机终端方式非交互运营。

■业务管理完毕非营业性管理、查询、记录、报表等解决。

■与周边系统接口完毕与国际结算、国际收支申报、B股资金清算、

个人实盘外汇买卖系统、储蓄通兑文献等接口。

第6章安全保密

6.1概述

•外汇会计网络系统交易信息需要通过广域网传播，业务数据集中

存储在一级分行主机。因而，外汇会计网络系统安全规定涉及如下

两方面：

信息传播安全：即保证数据从网点、二级分行以及一级分行传播过程

中安全性，防止数据被伪造、篡改和冒充；

数据存储安全，即保证一级分行中心数据完整性，只有得到容许人才

干修改数据，并且大以鉴别出数据与否已被篡改。

•由于系统网络连接将借助于各分行城综网，而城综网普通以DDN

等专线方式连接,再加上分行既有硬件安全设旃.因而,网络物理

安全性较高。同步，为减少投资费用，本方案重要考虑以软件方式

提高系统安全性，因而还规定：

软件算法应有较高安全性，能满足应用系统安全需要；

软件算法应有较高效率，对主机系统资源占用少，不影响整个应用系

统性能。

•为实现以上安全面规定，除制定严格业务操作管理制度，加强操

作系统顾客安全管理外，系统将采用如下办法：

•在业务应用系统中实现完备顾客权限管理;

6.2为满足信息传播安全规定，除运用TUXEDO中间件

加密功能外，还采用通讯加密和密钥管理等办法实

现安全网络数据传播机制；

6.3为满足数据存储安全规定，除运用数据库顾客权限

等安全机制外，还采用对重要数据表进行加密办法

来实现数据存储安全。

6.4信息传播安全

6.4.1为保证数据在广域网上进行传播时安全，防止数

据被窃取和篡改，除运用中间件产品安全机制外,

还需在应用系统中实现较高安全性。为此，系统将采

用如下办法：采用DES算法对数据加密以保证数据

不被非法窃取；对数据包产生消息鉴别码MAC字段

(MessageAuthenticationCode)防止数据被非

法修改，其中MAC算法可采用DES、CRC32或

MD5；在登录系统时进行顾客/口令认证，并对口令

加密传播；建立完备密钥管理体系经。下面就数据

加密技术、数据完整性技术、身份认证技术及密钥

管理方案作详述，并将讨论网络架构对信息传播安

全影响。

6.4.2数据加密技术

数据加密技术按密码体制可分为对称密钥密码技术和非对称密钥密码

技术。

对称密钥密码技术规定加密解密双方拥有相似密钥，需要顾客之间传

递密钥，安全保密性较差，但加解密速度快，强度高，在军事、外交以及商

业应用中越来越普遍，DES密码算法就是有名对称密钥加密算法。

6.4,3非对称密钥密码技术是加密解密双方拥有不同

密钥，规定密钥成对浮现，一种用于加密，一种用

于解密。它特点是各顾客拥有自己解密密钥即私有

密钥，而加密密钥即公开密钥则可以公开放置，顾

客之间不必传递密钥，安全保密性就比较好，但是

多数公开密钥算法需要进行大量代数运算，速度很

慢，不能用于迅速加密数据，并且需要建立认证中

心。当前典型公开密钥密码算法涉及RSA算法、

Diffie-Hellman密钥互换合同和DSA美国数字签

名算法等。

6.4.4依照上面所述加密技术特点，本系统对传播数据

采用DES算法进行加密，辅之以身份认证手段，从

而在加密速度和系统安全性两方面均达到较好效

果。

6.4.5数据完整性技术

•加密只能防止数据不被监听，为防止数据在传播过程中被非法修

改，普通采用如下办法：

•校验和

•即接受方计算出接受到数据校验和并与数据包中值比较。若相等,

阐明数据没有变化；若不等，则阐明数据在传播中浮现错误或被修

改了。循环冗余校验CRC(CyclicRedundancyCheck/Code)是对一

种传送数据块进行校验，是一种高效差错控制办法。

•摘要

6.4.6另一种防止改动办法，其中用到函数叫摘要函

数。这些函数输入可以是任意大小消息，而输出是一

种固定长度摘要。摘要有这样一种性质，如果变化了

输入消息中任何东西，甚至只有一位，输出摘要将

会发生不可预测变化，也就是说输入消息每一位对

输出摘要均有影响。当前流行摘要算法有有MD4和

MD5o

6.4.7系统中将采用一定数据完整性技术保证数据安全,

详细为什么种算法在系统设计时拟定。

6.4.8认证技术

认证技术重要解决网络通讯过程中通讯双方身份承认，重要有顾客名

/口令认证以及数字签名技术。

顾客/口令认证为老式认证方式，简朴而易于实现。若对认证过程中口

令传播进行加密，将大大提高安全性。

6.4.9数字签名作为验证发送者身份和消息完整性依照,

可用于通信过程中不可抵赖规定实现。数字签名基

于私有/公共密钥对，数据源使用其私有密钥对数据

摘要或其他数据内容进行加密，而数据接受方则用

相应公用密钥解密，以验证签名真实性。

6.4J0由于数字签名需采用CA验证密钥，投资较大，

在本方案中建议采用顾客名/口令认证方式，其中口

令采用DES算法加密传播。

6.4.11密钥管理

由于DES算法密钥需要双方共同保密，任何一方失误都会导致机密泄

露。并且密钥发布中，还需要防止任何人发现或偷听密钥。因而密钥管理

对系统安全至关重要。

I.在本方案中，建议采用三层密钥构造：

2.本地主密钥：本地存储，存储在程序中，用以加密区域主密钥；

I.区域主密钥：用本地主密钥加密后存储在文献或数据库中，用以加

密工作密钥；

2.工作密钥：用区域主密钥加密后存储在内存中，用以加密数据。

3.其中区域主密钥存储在网点和一级分行计算机中，可定期自动或

手工更换，工作密钥可采用如下实现方式：

4.静态方式

即网点开机时，一方面执行系统签到操作，一级分行将经区域主密钥加密

后工作密钥传播给网点，随后所有交易均采用该工作密钥加密数据。

加密后通信包格式如下图所示，其中MAC由加密后数据生成。

5.动态方式

该方式在每次发送交易信息时，由发送方动态产生工作密钥，将经区域主

密钥加密后工作密钥以及用工作密钥加密数据发送给接受方。

加密后通信包格式如下图所示，其中MAC由加密后工作密钥和数据生成。

6.4.12由于动态工作密钥方式每次数据传播工作密钥均

不同样，因而具备更高安全性。

6.4.13建议在数据加密后，采用动态Huffman算法对整

个通信包进行压缩，以保证网络传播效率和提高安

全性。

6.4.14系统网络架构对传播安全影响

如前所述，在本方案中，整个应用系统网络架构重要有两种：二层构

造和三层构造。

在两层构造中，只需在网点和一级分行间考虑传播安全，二级分行只

起路由中转作用。

•在三层构造中，而二级分行与一级分行传播安全实现办法同上，具

备较高安全性；而网点和二级分行间传播安全由神州数码公司ACE

平台实现。这一方式有如下缺陷：

•ACE安全性能不拟定，也许会减少整个系统安全性；

6.5数据要通过两次加解密，相应用系统性能会导致影

响；

6.6整个系统需维护网点和二级分行、二级分行与一级

分行两套密钥，管理比较复杂。

6.7数据存储安全

为防止对数据库非法修改，建议对数据库核心数据表设立数据鉴别码

DAC(DataAuthenticationCode)字段，该字段内容由数据库表中核心字段

生成拟定。

■DAC算法可采用与MAC相似DES、CRC32或MD5算法，由于

DAC校验会影响数据库操作性能，因而为保证应用系统存取数据

库高效性，建议如下：

只对核心数据库表设立DAC字段，该字段内容取决于核心字段，妇帐

号、金额、利息积数、利率等：

仅对数据库InsertsUpdate操作进行DAC校验以防止对数据库非法修

改，对查询操作不作校验。

■同步，为了以便数据库后台维护，系统提供重置DAC功能，详细

如下:

■对核心数据库表操作按数据库管理员和安全管理员划分不同权限,

数据库管理员可修改数据库但无重置DAC权限，安全管理员无修

改数据库权限但可重置DAC；

若需对核心数据库表操作，一方面由管理员执行数据库插入或修改操

作；

安全管理员再执行重置DAC操作，使数据库管理员对核心数据库表

操作生效。

第7章异常解决

7.1系统在运营中将浮现各种异常状况，在方案设计时

就应充分考虑，并制定相应对策。在本章中，从网络

通讯、主机运营、数据库等三个方面来进行异常解决

设计。

7.2通讯异常解决

本系统采用客户/服务器构造，客户端通过广域网与服务端通讯。由于

网络存在不可靠因素，有时会浮现传播过程中交易数据丢失状况，导致客

户端与服务端交易不完整或数据不一致，从而导致银行资金风险和信誉风

险。因而，如何保证数据一致性是通讯异常解决重要内容。

7.2.1一方面，中间件产品能在一定限度上保证交易一

致性。Tuxedo中间件支持既有X/OpenDTPXA原

贝I],可与任何支持此原则关系型数据库，如DB2、

Informix、Oracle、Sybase进行两阶段提交，实现

交易中数据一致性。可以考虑将系统事务前提到网

点，运用TUXEDO二阶段提交方式来保证先后台帐

务一致性。

7.2.2为进一步保证交易数据一致，系统还将通过增强

应用软件功能，来避免先后台交易不一致。如下将

详述应用系统中通讯异常解决办法。

7.2.3产生因素

在客户/服务器构造联机交易解决系统中，一笔交易至少包括如下图所示

四个过程：①祈求传播过程；②服务端交易解决过程；③应答传播过程；

④客户端解决应答过程。

客户端服务端

7.2.4由于网络传播不可靠性，必然有“③应答传播过

程”失败状况。在这种状况下，就产生了服务端与

客户端交易状态不一致性问题：在服务端，该笔交

易已解决或完毕；在客户端，由于没有收到应答，该

笔交易是失败。

7.2.5这种客户端及服务端不一致，会给银行导致资金

损失或信誉损失。

7.2.6解决方式

方式一：采用冲正方式

即当网点收不到主机应答时，向主机发冲正交易。其解决流程如下：

该方式解决简朴，缺陷是若该网点网络始终不正常，冲正交易发送不

成功，顾客到别网点办理业务时，银行仍存在资金风险或信誉风险。

方式二：交易锁和冲正相结合方式

■该方式在后台数据库中设立一种“交易锁”，其业务流程如下：

■帐务主机在收到前台交易祈求后，将交易帐号设立“交易锁”状态;

被设立“交易锁”帐号不可以再发生存、取款交易；

■主机收到网点“交易确认”后，解开帐户“交易锁”，即执行“解

挂起”交易；

当网点收不到主机交易应答，则向主机发“冲正交易”；

主机收到网点冲正交易后，取消原交易，并解开帐户“交易锁”。

•采用该方式下，若该网点网络不正常，冲正交易发送不成功时，帐

务主机交易帐号处在“交易锁”状态，银行不存在资金风险或信誉

风险。详细分析如下：

•当第一步通信发送失败时，此时帐务主机未收到网点交易祈求,

主机不进行任何解决，同步网点报错；交易重做，对系统没有任何

影响。

•当第二步主机事务解决失败时，当事务解决失败时,INFORMIX将

保证事务完整性，主机不修改任何数据库表；同步主机向网点发交

易失败应答；网点取消交易并重做。

•当第三步网点接受失败时，当主机完毕交易解决，但网点未收到

“交易应答”时，此时主机已成功记帐，同步主机也为此交易帐号

设立了“交易锁”。网点在接受应答超时后，会向主机发冲正交易,

同步取消交易。在主机在未收到“冲正交易”之前，交易帐号史在

“交易锁”状态，不可发生存、取款交易，此时帐户处在安全状态；

•当第四步主机收不到网点“确认交易”时，主机收不到网点“确认

交易”时，交易帐户始终处在“交易锁”状态，不可发生存、取款

交易，帐户处在安全状态

当第五步网点向主机发“冲正交易”失败时，主机收不到网点“冲正

交易”时，交易帐户始终处在“交易锁”状态，不可发生存、取款交易，帐

户处在安全状态

当第六步主机执行“解挂起”交易失败时，如果主机在执行“解挂起”交

易时失败，INFORMIX可以保证交易事务完整性，保证交易帐户依然处在

“交易锁”状态。

从以上分析可以看出，无论交易过程任何环节浮现故障，交易帐户都将处

在安全状态，保证银行利益不受损失；但是，以上解决流程依然会浮现前

台交易失败，主机交易成功状况（尽管交易帐户处在安全状态）。对此，咱

们在网点“试轧帐”、“轧帐”等交易时自动核对前、后台交易并自动冲正。

3.两矛中方式比较

方式一长处是简朴，易实现。若考虑增长当后台交易完毕后向前台发

送不成功或超时，后台自动将该笔交易插入到待冲正流水表中，由后台冲

正服务进行冲正解决。这样可以增强第一种方式性能，保证资金安全。

7.3方式二长处是安全性较高，但也许给客户导致不便,

并且将干扰系统正常运营，例如某些内部账号如果

被加上交易锁话会影响其她交易进行。同步，应用程

序改动较大，实现难度较高。并且如果增长交易锁表

会在该表中产生瓶颈作用，影响系统性能。

7.4因而，建议采用方式一。

7.5主机异常及解决

1.主机硬件故障

■生机硬件部件（涉及本地硬盘）发生故障时，若故障为符合

HACMP定义能导致发生双机切换故障条件，则会导致双机切

换，应用切换至另一台主机控制和伺服，继续提供应用服务；

2.主机硬件部件（涉及本地硬盘）发生故障时，若故障局限性以导致

HACMP发生双机切换，或不影响应用服务，但为进行故障排除等

操作，可人工控制HACMP进行双机切换，将应用切换至另一主机

控制及服务；

3.操作系统故障

■系统浮现突发运营效率低下或报错时，可由客户作简朴基本检

查，运用ps、vmstat、iostat、errpt等操作系统命令检查系统与

否浮现死进程、I/O瓶颈、内存局限性等问题并进行初步排查,

若短期不能解决时可人工控制HACMP进行双机切换，将应用

切换至另一主机控制及服务，继续提供应用服务；

4.浮现死机等操作系统核心性故障时，会导致HACMP发生双机切

换，应用切换至另一台主机控制和伺服，继续提供应用服务；

5.主机网络故障

■主机网卡故障