天亿互联网络证券交易与分析系统技术白皮书.docx

1、天亿互联网络证券交易与分析系统技术白皮书天亿互联网络证券交易与分析支付系统技术白皮书XX依格尔经济咨询有限公司第一章公司简介2第二章系统结构3 一天亿INTERNET金融资讯交易网络系统3 二169证券交易网络系统4 三股市网吧系统5第三章系统结构6 一专用客户端行情功能 6 二常规交易处理功能 8 三支持多种代理服务 8 四支持域名访问,实现163/169共享 8五行情转码和发送、接收 9 六期货行情分析 9 七支持图文卡行情接收 9 八客户管理 9第四章技术分析 9 一电子商务总体解决方案 9 二电子商务总体解决方案应用之一 14第五章 系统配置 22第六章. 2000年测试报告 22第七

2、章 应用站点及券商、银行 26第一章公司简介 XX依格尔经济咨询有限公司是以金融咨询为主的科技信息公司。公司总部设在XX，是目前XX省从事金融资讯服务最快速、最全面的企业之一。公司一直致力金融信息资讯系统的开发和研制，是XX省数据局多媒体通信业务代理资格。公司在XX电视台拥有自己开发的电视图文播出系统，每天向全国各地一千多用户转发四十多万字内容的金融信息。开发研制的集成系统、产品主要有：实时金融集成软件169多媒体信息系统证券交易及远程委托系统期货交易系统图文资讯编播系统及有线双向交互高速网环系统。天亿网上证券资讯交易系统天亿网上期货资讯交易系统图文逆程播出系统图文逆程接收系统图文逆程写库软件

3、图文逆程接收系统天亿图文股票分析系统（单机版）天亿图文期货分析系统（单机版）天亿图文股票分析系统（网络版）天亿图文期货分析系统（网络版）期货柜台交易管理系统169股票写库软件（WINDOWS版本）股市网吧系统股票可视委托系统股票委托系统Internet股市快递系统（浏览器版本）其中，专为邮电多媒体平台开发的证券交易系统已在全国40家电信局、46家证券公司成功地得到应用，获得了用户的一致好评。“用户满意，完善的系统”是公司自始至终追求的唯一目标！公司一贯把客户的需要作为自己的最高准则，在与许多家客户的合作中，正是坚持了这种原则，才使得公司无论在产品上还是在技术服务上均得到了所有客户的称赞。第二章

4、系统结构一天亿INTERNET金融资讯交易网络系统：拓扑图说明：资源管理模块：其功能主要分成两大部分。接收来自用户的注册上网请求、实时监控其他管理模块的运行状况。计费管理模块：其功能主要是接收其它模块的用户服务使用情况报表，实时计费。交易管理模块：其功能主要是记录目前有几个证券营业部的交易转换模块正常运行。动态数据管理模块：其功能主要是将数据采集模块传来的数据信息包及时的发送给需要动态在线服务的用户。数据接收模块：其功能主要是接收对应的数据转换模块的通讯数据包。数据采集模块：其功能主要是汇总各个数据接收模块传来的数据信息包，整理成统一的数据传递格式，向各服务管理模块广播。二169证券交易网络系

5、统:系统说明：主要功能有：1.用户可拥有多向选择，可同时运用169和图文或有线网上网浏览行情、交易。2.及时在网络系统上发布上证、深证交易所的信息公告。3.将证券营业部的券商信息、个股资料及时传输。4.静态日线历史数据由营业部每天传送为准。5.证券营业部可以通过Internet网络向股市网络系统发送重要通知。6.工作站证券分析系统操作界面和方法符合广大股民习惯。三股市网吧系统：系统说明：远程股市网吧的主要功能有：1. 将上证、深证交易所的实时股票数据在局域网上广播到各个工作站，速度与证券营业部基本同步（视连接线路的速度质量而定）。2. 及时在网络系统上发布上证、深证交易所的信息公告。3. 将证

6、券营业部的券商信息、个股资料及时传输。4. 静态日线历史数据由营业部每天传送为准。5. 证券营业部可以通过Internet网络向股市网络系统发送重要通知。 6. 工作站证券分析系统操作界面和方法符合广大股民习惯。第三章系统功能一专用客户端行情功能1大盘分析：1上证30走势7上证多空指标13XXA股走势2上证走势8上证买卖力道14XXB股走势3上证领先指标9上证分类指数走势15XXADL指标4上证A股走势10XX综指走势16XX多空指标5上证B股走势11XX成指走势17XX买卖力道6上证ADL指标12XX领先指标18XX分类指数走势19上证XX走势2报价分析：自选股、分类股、版块股、商品顺序3当

7、日个股即时分析：分时走势、买卖力道、量比指标4技术分析：分时K线：5分钟 15分钟 30分钟 60分钟 日线 周线 月线技术指标：1MACD9OBV17CCI25PVT33VATI2DMI10ASI18ROC26AD34PSY3DMA11EMV19MIKE27ATR35成交量4EXPMA12WVAD20BOLL28DPO36成交金额5TRIX13RSI21BIAS29MASS37日乖离6BRAR14W%R22MFI30SI7CR15SAR23MTM31SOBV8VR16KDJ24OSC32VHF5特别报道：1涨跌排名4成交量变化排名2成交量震幅排名5资金流向排名3成交量排名6买卖量差（委比）排

8、名7综合指标排名6公告信息：1上交所信息4券商信息2深交所信息5上交所公告3ISP信息6综合信息7系统工具：1系统股设定4初始化通讯7外观设置2版块股设定5断开通讯8代理服务3技术分析参数设定6盘后数据下载8个股档案： 可查询所有上市公司基本面资料，包括股本金、财务报告、年度分红派息方案等。9自动行情数据存盘 所有看过的行情将即时保存到硬盘中，以便再次浏览。10数据下载离线浏览功能可以下载个股即时行情数据，当日走势数据、分钟K线数据和日K线11代理服务功能 支持多种代理服务方式12软件升级功能 系统升级方便，只需要改服务器端软件，升级对客户完全透明，客户登录的是统一的主页。二常规交易处理功能1

9、买入股票卖出股票4查询成交7修改密码2查询资金5查询委托3查询股票6撤消委托三支持多种代理服务天亿国际互联网IP地址资源的有限性，因此多数情况下一个局域网只能通过代理服务器共享一个IP地址访问公网。目前，应用程序访问INTERNET的PROXY代理服务器主要有三种方式：WEB SERVER PROXY服务、WINSOCK PROXY服务、SCCKS PROXY服务。在天亿方案中，采用了最常用、支持产品最多的WEB SERVER PROXY代理服务，相比其他厂商使用IP协议包的WINSOCK PROXY或SOCKS PROXY代理服务，在客户端必须安装PROXY软件，会给股民带来麻烦，而HTTP

10、协议包可以更简洁地使用WEB SERVER PROXY代理服务。四支持域名访问，实现163/169共享 针对用户要XX现IP地址访问和域名访问兼容的实际要求，天亿已成功实现双重访问方式。客户端分析软件可以采用域名或IP地址访问，同时支持在163或169上访问同一站点。五行情转码和发送、接收采集实时行情数据并用天亿转码机转换成特定格式，并向行情服务器传送实时行情，行情服务器接收实时行情数据并保存。六期货行情分析利用公众网接收和分析期货行情。（详见天亿网上期货方案七支持图文卡行情接收客户端行情分析软件支持多种图文卡，可方便地选择Interner/图文卡行情接收方式。八客户管理 可有效地监督管理网上

11、用户。（详见第四章“可管理性分析”）第四章 技术分析一电子商务总体解决方案：1电子商务体系结构：1）电子商务网络基础：电子商务的网络基础是指INTERNET网以及电子商务 综合接入平台；2）安全基础结构：电子商务的安全基础结构包括CA安全认证体系和基本的安全技术，它是整个电子商务体系的安全基础，提供电子商务所需要的各种安全技术（包括实现数据传输的安全性、完整性、身份认证和交易防抵赖的各种技术）；3）支付体系：支付体系为支付型电子商务业务提供各种支付手段；4）电子商务业务系统：电子商务业务包括支付型业务和非支付型业务，其中支付型业务架构在支付系统之上，分别根据业务需求使用相应的支付体系；而非支付

12、型业务则直接架构在安全基础结构之上，使用这一层提供的各种认证手段和安全技术提供安全的电子商务服务。2电子商务总体网体结构：相对于上面的层次模型，从应用角度来看的电子商务整体网络结构如图所示。电子商务的各个元素（CA安全认证系统、支付网关、业务应用系统、用户终端）均连接在INTERNET网上，并通过该网络实现完整的电子商务。1）CA安全认证系统电子商务的安全是通过使用加密的手段来达到的，非对称密钥加密技术（公开密钥加密技术）是电子商务系统中主要的加密技术，主要用于对称加密密钥的分发（数字信封）和数字签名，来保证电子商务的安全性需求，实现数据传输的安全性、身份认证、信息的完整性检验以及交易防抵赖性

13、。CA 中心为用户的公钥签发证书，以实现公钥的分发并证明其有效性。该证书证明了该用户拥有证书中列出的公开密钥。证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。CA机构的数字签名使得攻击者不能伪造和篡改证书。证书的格式遵循X.509标准。CA机构应包括两大部门：一是审核授权部门（简称RA，Registry Authority），它负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满资格的证书申请者发放证书所引起的一切后果，因此它应由能够承担这些责任的机构担任；另一个是证书操作部门（简称CP，Certificate Proces

14、sor），负责为已授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的 一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可以委托给第三方担任。2）支付网关 支付网关与支付型电子商务业务相关，位于公网和传统的银行网络之间，其主要功能为：将公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部的传回来的响应消息，将数据转换为公网传送的数据格式，并对其进行加密。既支付网关主要完成通信、协议转换和数据加解密功能，并且可以保护银行内部网络。此外，支付网关还具有密钥保护和证书管理等其他功能。 电子商务体系的支付网关系统通过专线与银行金融

15、网络实现连接，一个支付网关可以实现对多个银行网络的连接。3）业务系统业务应用系统通过特定的业务软件系统软件（如WEB服务器、专用业务系统软件等）接入INTERNET网。业务系统分布在全国各地，并通过该网络实现企业对用户（Bto C）、和企业对企业（B to B）的电子商务应用。支付型电子商务业务通过电子柜员机软件系统接入公网，是电子商务系统中提供支付型电子商务服务的服务提供者的支付服务器，它必须能处理用户的申请并和银行（通过支付网关）进行通信、发送和接收加密信息、存储签名钥匙和钥匙交换钥匙。4）用户及终端 电子商务系统用户终端包括计算机终端用户、智能终端用户、终端用户、简易终端用户等。a.电子

16、商务/智能终端：用于数字数据业务的接入，如果用户所使用的是多媒体计算机，也可用于多媒体业务的接入，它的主要特点是价格较高，对用户的文化素质要求较高，安全性能较好等特点；b.各种专用的简易终端：用于数据业务的业务，它具有使用方便，功能灵活，价格便宜，安全性能较好等特点。同时，随着业务的不断扩展，不必对终端的软硬件作修改，即对业务扩展及升级时，只须在业务接入点作相应扩充及升级即可完成对终端用户和业务的扩展及升级。c.终端：用于语音业务的接入，它具有使用方便，普及和使用X围较广等特点。用户通过用户终端和终端软件（如标准浏览器及其插件、专用终端软件等）接入INTERNET网。电子商务用户包括企事业用户

17、、个人用户等，用户分布在全国各地，并通过该网络享受各种电子商务服务。在支付型电子商务系统中，用户端软件称为电子钱包。它与电子柜员机软件进行通信，完成数据的加解密；管理证书和密钥对；请求、接受和保存证书，并且能够进行交易记录。5）用户接入用户终端通过电子商务综合接入平台提供的多种接入手段接入INTERNE网，包括PSTN、DDN、FR、ISDN等。用户接入方式分为三种，如下面各节的说明：a.169/163接入169/163接入即多媒体网/GHINANET接入主要面对计算机终端及智能终端用户。这种接入方式可采用PSTN、ISDN拨号接入，也可以通过DDN、帧中继或宽带网等数据专线接入。b.非计算机

18、终端接入非计算机终端接入方式如语音接入主要实现终端和简易终端的接入。这种接入方式可采用PSDN、ISDN拨号接入，连入INTERNET，并且提供用户以简单和普及的方式进行电子商务业务。c. 其它网络接入其它网络（包括国际网络、国内其它计算机网络及专网）的用户将通过网关实现对中国公众多媒体通信网（含CHINANET）电子商务系统的接入，从而实现跨网间的电子商务。3.支付系统1）EC安全支付系统功能说明a.系统支持基于标准浏览器和WEB服务器的SSL支付方式，支持基于专用软件的两三方的支付方式等；b.系统支持企业对企业（B TO B）、企业对消费者（B TO C）等多种业务模式和支付模式；c.系统

19、支持网上实时支付模式。2）EC安全支付系统功能模块“EC安全支付系统”由以下四部分构成。a.用户系统；b.商家支付服务器；c.业务代理系统；d.银行支付系统。4CA安全认证系统1）中国电信CA安全认证中心中国电信采用创原世纪信息技术有限公司研制开发的“NETWORLD CA安全认证系统”建设了“中国电信CA安全认证中心。”该系统于1998年11月投入实际运行，为社会公众提供各种安全服务，是国家批准的最大的CA运营系统。该系统于1999年8月通过国家密码管理委员会办公室和信息产业部联合组织的技术鉴定，并通过国家信息安全产品测评认证中心的认证，获系统认证证书，是第一个经国家认证的最大的CA运营系统

20、。中国电信CA安全认证系统按照统一的体系建设,系统结构如图所示2）XX市CA中心 XX市政府采用“NETWQRLD CA安全认证系统”建设了“XX市电子商务CA安全认证中心”，该中心是国内区域最大并投入实际运行的CA认证系统。5支付系统 XX省邮电管理局、XX农业银行、XX省中行采用“NETWORLD CA安全认证系统”和“EC安全支付系统”，为电子商务用户提供各类支付型电子商务业务，包括实时支付和划帐功能，完成的支付型业务系统包括： 网上电子银行 银证转帐代缴代付二电子商务总体解决方案应用之一天亿网上证券交易分析支付系统1安全性分析a.安全防X内容：1网络站点的安全： 防止由于操作系统以及网

21、络系统本身存在的已知或未知的缺陷所造成的网上用户可以非法进入站点现象，防止信息数据被非法获取，防止非法数据包的大量流入，防止网络安全性侦探等。 交易数据的安全保障防止交易数据被非法获取并解密，保证交易数据的绝对安全性和正确性。3应用网络的安全保障确保证券营业部局域网络和柜台交易系统的安全性，避免受到网上黑客的攻击。 用户身份的合法认证彻底杜绝非法数据包，保证用户权限和身份的一致性。 人员管理的安全保障 防止由于人员造成的安全泄密问题，防止出现由于对系统的不了解造成的扩大用户权限、增加不安全的用户服务等问题。b. 天亿网上交易安全解决方案CA安全认证系统是安全基础结构的核心，是国家网络安全基础设

22、施，关系国家的网络安全、信息安全、经济安全和政治安全，是国家主权的体现。根据我国密码安全产品管理政策，密码安全产品为国家专控产品，必须自主研制开发。“NERWORLD CA安全认证系统”按照国家商用密码管理政策，自主设计研制和开发。目前该系统已通过国家密码管理委员会和信息产业部联合组织的技术鉴定。鉴定结果认为，该CA系统设计合理、技术先进、功能完善、安全性好、可靠性高、拥有自主知识产权、运行稳定、总体技术属国内领先，达到国际先进水平。该系统通过了中国国家信息安全测评中心的检测和认证，获得系统认证证书和产品认证证书，成为国内首家获得国家认证并颁发证书的CA安全认证系统。“NETWORLD CA安

23、全认证系统”采用国家密码管理委员会办公室鉴定的加密设备和加密算法，遵循国际PKCS、PKIX系列标准，可以发放符合X.509标准的SSL证书、S/MIME等格式证书，并能与标准服务器和WEB浏览器互通。该系统根本上解决了数据传输的安全性问题、数据的完整性问题、身份认证问题和交易的防抵赖问题等。 天亿网上证券交易分析支付系统是基于“NETWORLD CA安全认证系统”、“EC安全支付系统”基础上的第一个电子商务整体解决方案实用化的应用业务系统。已广泛用于电信、券商和银行中。 天亿Internet金融资讯交易系统操作平台的安全建设 天亿Internet金融资讯交易系统是运行于Windows NT+

24、Microsoft SQL Server的操作平台之上。与Windows NT相比，Windows 95只不过是Microsoft 公司的一个中间过渡产品，其内核尚未完成真正的多任务机制，某一任务的失败可能导致系统的崩溃；其安全性只能达到美国国防部的D1级标准，而Windows NT可以达到C2级甚至B1级；同时连接的客户数目受到极大的限制。而UNIX系统一直是邮电部门在基础软件应用上的平台，与Windows NT相比，UNIX系统也存在着一定的弊病，如维护困难和成本昂贵，管理员素质要求高；在现阶段比较容易受到网络“黑客”的袭击；版本较多，不统一，可移植性差。 防火墙技术由于要实现网上交易，所

25、以券商处的交易系统必定需要提供一个数据接口。为了防止“黑客”从不可知的网络节点非法侵入券商的内部网络。我们采用防火墙的策略。这里可以分两个方面：存取控制对数据、程序以及网络中其它资源的存取问题也是网络安全中一个非常重要且引人关注的方面。它主要包括保护存取点和验证网络节点两个方面。端口保护用户端程序在安装时只提示服务端系统资源管理机的IP地址,也就是说用户只知道资源管理机的IP地址,其它IP地址都是由资源管理机通过加密的报文形式提供,对用户来说是不能显式表达的；同时用户在进行网络登录时总是须经过路由、代理服务器(PROXY)或者L(双向有线方面),我们可以利用现有的防火墙技术让用户只能隐式地访问

26、资源管理机、动态数据机、静态数据机和交易管理机,其它地址是无权限访问的。由于交易功能必须访问某证券公司的交易服务器,因此在安全方面更进一步。首先交易转换机既是证券公司局域网的一台工作站,也是天亿Internet金融系统的一部分。目前一般证券公司使用的交易系统运行于Novell网络上,因此我们在交易转换机器中插入两块网卡,见系统拓扑图。其中一块网卡绑定IPX/SPX通讯协议,使交易转换机可以通过这一网卡访问证券公司的Novell交易服务器,并且只给它最小的访问权限(只须完成交易功能)；另一块网卡绑定TCP/IP通讯协议,是交易转换机可以通过此网卡与仅且与服务端的交易管理机通讯。同时通过一些网管软

27、件的设置，还可以指定系统只对某些特定的端口号开通，而限制非法人员以其他的端口号侵入系统。这样，由于天亿金融系统的通讯协议都是TCP/IP ,所以非法侵入的数据到交易转换机(如果能到)就无法继续传送。不同的网卡、不同的传输协议,使得交易转换机成为一网桥。节点验证由于一般证券公司的网络系统是Novell，因此可以在控制台上设定只有绑定IPX/SPX协议的特定的网卡(ID Serial Number)才能以特定的用户登入。在用户端,管理人员可以指定其在一个特定的硬件平台上登入(如双向有线网络的Cable Modem)。用户验证方法提供了基本的口令保护机制。1.用户在开始登录时,中心机房的资源管理机将

28、询问用户XX及密码,验证合法后才提供服务。同时资源管理机还可以根据系统管理员的设置允许一个用户XX的多次同时登入或者只能唯一登入。2.若用户须做实时交易时,用户还将被请求输入他在该证券公司的资金XX和密码,这一部分验证工作由证券公司的交易系统来完成,中心机房的服务端程序无法干预。如果用户做不同证券公司的交易指令单都将被请求不同的用户验证。中心机房的服务端系统的数据均存放在SQL Server for NT中,用户无法访问。机房的管理人员通过超级权限，也只能删除用户的口令，而无法得到用户的密码。 网络数据加密加密是提供XX、真实性、完整性和数据存取权限的强有力工具。由于在较大程度上存在数据泄露的

29、危险,因此网络中经常使用加密。链路加密方式目前主要有低层硬件来实现；在本系统中,我们采用软件加密方式来进行端对端的加密。这里又分成两种层次1.用户与宿主机之间的实时行情数据或者历史静态数据以特定的二进制格式产生,还有一般的相互通讯传输报文，采用不可逆加密方法加密，密码每天一换。2.用户的交易指令数据重要性最大。现今国外的网上交易一般都是在通用浏览器上用CGI接口开发的，采用的加密算法主要是DES或者RSA算法。由于天亿Internet金融资讯交易系统使用专用的客户端软件，在数据加密方面可以做得更好。我们主要考虑以下几点：客户端软件自身就预埋有五种加密方法，并且这些加密算法的改进和增加可以通过客

30、户端软件的向上升级来完成；客户按键需要交易查询时，首先向资源管理机提出申请，资源管理机在检查其进入天亿Internet金融资讯交易系统的权限后，如该用户有权限进行网上交易，则将交易管理机的联系地址通过1.所提到的加密报文返回到客户；客户端软件收到地址后，再次向交易管理机发出交易查询请求，交易管理机收到指令后，采用随机算法，生成一个加密母码（长度随机）和某种加密方法，传递给客户端软件；客户端软件收到加密母码后，与目前连入天亿Internet金融资讯交易系统的IP地址进行数据变换后，产生一个真正的密码，运用交易管理机指定的预埋加密算法，进行数据加密传输。这样，不仅交易数据传输密码是一次随机一换，而且网上传输的母码和加密方法序号并不是真正作用于加密的数据，比通过直接申请得到的密匙安全得多，解密概率很小。 时间戳处理，防止重复数据捣乱。 电子记录的保存1.为了保存历史记录，以备查询，中心机房的交易管理机在每收到客户的一条交易指令或者每收到交易转换机回送的交易回报，都在SQL