移动公司BOSS系统
应用优化、安全接入解决方案
——Array TMX、 SPX推动BOSS系统演进
1.移动BOSS系统应用介绍
随着我国电信市场竞争格局的形成竞争的焦点从资源竞争逐渐转向了以加强IT技术建设为标志的质量竞争市场和业务的竞争成为运营商成败的关键。BOSS系统由于能全面提升企业运营效率、降低成本、增强企业核心竞争力及管理决策的科学性、及时性等使得电信运营商纷纷构建自身的运营支撑体系 以期在市场竞争中取得优势。
BOSS是业务运营支撑系统Business Operations Support System的简称它涵盖了以往的计费、结算、营业、账务和客户服务等系统的功能对各种业务功能进行集中、统一的规划和整合是一体化的、信息资源充分共享的支撑系统。
移动BOSS系统一般采用“两级三层”的结构 “两级”指的是集团公司建成一级业务中心负责总部一级的业务支撑省公司负责建设全省集中的BOSS系统全面接管该省的计费、结算、营业、账务和客户服务等原有系统的功能地市一级只作为系统的接入不再存放数据和提供业务应用。 “三层”指的是系统由集中的数据核心层、灵活的业务逻辑层和开放的接入层构成其中数据核心层又分为数据和服务两个子层业务逻辑层包含业务函数和业务过程两部分。
而经过几年的发展如今BOSS的功能已由"业务支撑"向"业务核心"转变不再局限于业务提供、计费等后台支撑作用而成为了创造营收的核心动力。无疑对于电信运营商来说完善的BOSS是为客户提供优质服务、从而在激烈竞争中立于不败之地的有力武器同时也是加强管理、使运营商不断发展的工具。
此外当今的电信业的竞争不只是在电信运营企业之间的进行而是整条产业链的竞争。电信运营商企业网的外延也不断扩大其用户不仅是企业内部的管理者和员工也包括了企业外部的合作伙伴甚至包括企业的客户如供应链管理系统、人力资源外包、客户服务系统和企业电子商务系统。
然而所有这些全新的变化要求我国的电信企业必须寻求更加先进的BOSS系统。新一代的BOSS系统必须在更高层次上能够融合支持布线、无线、 ISPX、 Cable等多种业务能够支持新业务的快速部署能够支持运营商在竞争中为了吸引客户和挽留客户所需要的折扣、交叉优惠等手段能够给客户提供满意的信息查询、投诉、缴费等全业务支持能力 同时降低运营商的经营成本。
应用体系架构
电信运营商“全业务”竞争的态势已经展开新的业务和服务层出不穷对“业务核心”的BOSS系统提出了更高、更强的要求向新一代的BOSS系统发展成为电信运营商决胜市场的关键。然而 由于传统的组网技术在远程访问和安全方面的局限性难以满足数据业务高速发展以及“三网合一”趋势的需要这已经成为BOSS系统发展的障碍 因此改造现有的系统势在必行。那么应该如何进行改造采用何种技术呢
2.挑战和需求
5. 1. BOSS系统应用加速与负载均衡需求
移动的计费、营账、结算和客服的数据库服务器和应用服务器均由省中心统一维护和管理其BOSS系统即移动通信大客户业务运营支撑系统主要用于完成大客服系统的终端功能。随着BOSS系统用户的增多和系统应用负载的增大各个应用服务器特别是前置服务器上所要处理的数据量将增大从而影响针对使用者的响应效率造成对访问者的请求回应越来越慢等严重影响BOSS系统服务质量的现象。在服务器端则直接表现为可容纳的连接数越来越小系统性能严重下降。
由于系统规模大、业务种类多、系统架构复杂除了要保障主机和数据库的高效与稳定外更要有效地使用专业高效的负载均衡设备和性能增强设备提高系统的应用性能。基于这些因素移动公司选用业界领先的Array TMX产品来实现和满足各个应用服务器的性能增强和负载分担功能从而保证移动公司BOSS应用和扩展的需要。
5.2. BOSS系统安全接入需求
为了体现了“以客户为核心”的指导思想为了支撑业务的迅速发展 BOSS系统中渠道管理系统的建设将直接关系到业务的发展。我们以渠道代销系统为例代销系统的建设也为将来各个渠道比如营业等渠道的整合 以统一形式为移动公司各个渠道体系的客户提供服务奠定基础。实现对区域营销服务中心的业务支撑、资源管理、绩效考核等业务功能的全面支撑实现与代销商酬金费用的统一结算和支付管理支持对代销渠道数据信息的统计分析功能实现代销渠道数据信息的共享。
例如渠道代销系统BOSS系统主要是为省内的手机进行充值的生产系统该系统成为手机用户除了移动营业大厅充值和购买充值卡充值之外的一种最常见的充值方式。代销系统使用的客户分为内部人员和代销商用户其中代销商是指代销系统为各合作营业厅、特约代销商中涉及到移动业务处理相关的工作人员。
BOSS系统的接入层开放性很强因此应对网络安全问题给予足够的重视。系统接入互联网后在提高系统开放性的同时也面临着来自互联网的攻击和风险反黑防毒的问题必须要解决。而系统安全问题的解决不是买了几个防火墙就可以的必须进一步提高系统的抗攻击能力。一方面网络中大量存储和传输的数据有可能被盗用、暴露或者篡改另一方面BOS S系统本身与Internet连接与其它远端系统的接口及拨号连接等网络接口也都是易受黑客攻击的地方。
现有移动业务代理主要是通过以下几种方式来远程访问移动BOS S系统移动DDN专网移动SMS/GPRS ADSL宽带。 由于DDN的网络覆盖不足及成本较高而SMS/GPRS使业务开展受到诸多限制所以目前各代理商通过DSL宽带连接方式成为主流。而通过DSL接入存在比较大大的安全隐患所以采用VPN方式是最好的选择。 目前可用的VPN技术有SSL VPN和IPSEC VPN两种方式提供给用户选择。
现在电信发展要求BOSS系统的组网技术要随之发生变化。虽然传统的IPSec VPN技术曾经有效地促进了BOSS系统的发展。然而伴随着"三网融合"和精益运营时代的到来传统的IPSecVPN技术在客户端的成本和某些安全性问题已经显露出来这就要求更具人性化、安全性和降低成本等综合优势的技术出现。
总结安全系统需要满足下面几点
1) 需要保障数据在Internet上传输的安全性
2) 对各代销商的访问的合法性和操作合法性进行检查
3) 记录各个代销商的操作便于查询和核实
4) 保护网站平台的安全性避免恶性攻击或者病毒感染
5) 提供易于操作的界面便于用户迅速上手
6) 对客户端的没有预安装客户端软件的要求
7) 必须能穿透各企业的Firew all或者Proxy设备
作为处于应用层和TCP/UDP层之间的一种安全协议相比较处于网络层的IPSec SSL可以提供基于应用层的访问控制更适合远程安全访问的移动性和分散性的特点正切合了电信业的发展趋势。据统计 SSLVPN更多地会率先在保险业、银行、金融、证券行业、电信行业的无线网络业务中得到应用。这些行业在IT上投资很大而且那种集中化管理、远程安全访问的应用需求体现得最为明显。
3. Array解决方案
作为全球领先的应用智能安全公司Array Networks致力于为客户提供多层网络安全和应用解决方案。通过智能化的集成 Array Networks所提供的无客户端的S SL VPN安全产品平台及应用加速网络流量管理平台能够极大简化网络架构增强网络应用的性能可以实现企业快速部署安全的、具有扩充功能的网络而受到众多企业的青睐。
Array Networks公司有着对BOS S系统独特的理解能力。最近在一项新的基准测试中专注于电信产业的Amdocs公司在计费和客服解决方案中采用Array Networks的SSL VPN解决方案结果表明了这一方案具有优越的系统表现和高度的安全性。同时Array Networks公司有着一支可以深刻理解中国客户差异化要求的研发队伍可以给客户提供最优的解决方案和服务从而实现产品使用价值的最大化。
3. 1.总体结构
基于BOS S系统高负载性、高稳定性、高安全性的需求Array Networks公司设计了以TMX和SPX应用为基础的集服务器负载均衡、应用加速、安全接入为一体的高可用性解决方案。
Array TMX系列产品的应用在实现Web服务器组、应用服务器组的负载均衡功能的同时还可以实现Web应用的加速。从处理能力、扩展能力、安全性、应用的便利性等方面提供了流量管理和性能增强功能能够在满足BOSS系统应用平台对持续性和稳定性的需求的基础上提高BOSS应用系统的处理能力在同样主机及网络平台下满足更多用户应用的访问需求。
Array SPX系列产品的应用针对于BOSS系统客户接入特点设计了SSL VPN安全解决方案来提供BOSS系统的安全。Array的SSL VPN解决方案可保证移动公司的渠道用户通过各种连接方式进行安全的各种应用的数据访问。 SSL VPN建在互联网的公共网络架构上通过对数据进行加密在发端加密数据、在收端解密数据 以保证数据的私密性。通过SSL VPN用户进行登陆认证和灵活的授权 同时所有数据的传输都是经过加密处理的。而且SSL VPN方案部署相当方便只需要客户端具有标准的浏览器即可如IE 、Netscape等。
拓扑结构如下图
3.2.通过Array TMX服务器负载均衡功能提高BOSS应用系统的高可用性
BOS S应用系统通常采用Web Server/Applic ation Server/Database Server多层结构设计支持前端浏览器访问或客户端访问方式。中心BOSS机房将包括数据库服务器主机、应用服务器主机、WE B服务器主机、工作流服务器、负载均衡服务器、存储阵列和备份带库等构成统一集中的BOSS中心。
BOSS数据库服务器又分为帐务数据库服务器和综合客服数据库服务器分别存储商业客户帐单、帐务处理数据和商业客户客服、营业、客户资料等数据。应用服务器又分为帐务处理应用服务器和综合客服处理应用服务器。
随着BOSS系统用户的增多和系统应用负载的增大各个应用服务器特别是前置服务器上所要处理的数据量将增大从而影响针对使用者的响应效率造成对访问者的请求回应越来越慢等严重影响BOSS系统服务质量的现象。在服务器端则直接表现为可容纳的连接数越来越小系统性能严重下降。
此时将需要考虑增加应用服务器和数据库服务器的数量来满足不断增大的应用负载需求。当仅通过服务器集群Cluster的方式实现扩容时将存在成本较高严重影响正常BOSS系统应用的提供等问题且扩容能力有限无法满足不断增长的BOSS系统应用的需要。
Array TMX产品解决方案中所指的高可用性同时也是运营商确保BOSS应用系统正常运行所需考虑的主要是指以下几点
1. 使数据始终以一个稳定、安全的方式处理在BOSS应用系统平台中即便存在单
台设备不能提供服务时仍能保持数据的完整性。通过智能识别检查使整体应用
持续稳定运行 即便发生单点或多点故障仍然能够保证正常提供服务。
2. 使整个BOSS应用网络环境能够更好的被管理提供TMX设备本身容灾集群
cluster功能、服务器集群共享、应用和后台服务器方便维护等特点。
3. 使前期设备投入有更好的效益和最佳的扩充能力即在保证数据完整性的同时提
供BOSS应用系统持续运行的能力并实现当用户量的增大的情况下在不影响应
用的情况下通过增加服务器的方式响应用户负载的增加保证了原有企业投资
具有很高回报。
4. 即便在应用软件不够完善如经常出现故障不能提供服务的情况下仍然能够持续
保证应用系统持续在线能力。
在BOSS应用系统平台中通过Array TMX系列产品的应用在实现Web服务器组、应用服务器组的负载均衡功能的同时还可以实现Web应用的加速。从处理能力、扩展能力、安全性、应用的便利性等方面提供了流量管理和性能增强功能 Array具有获得专利的SpeedStack专利技术、连接复用技术等能够在满足BOSS系统应用平台对持续性和稳定性的需求的基础上提高BOSS应用系统的处理能力在同样主机及网络平台下满足更多用户应用的访问需求。
当三层架构的BOSS应用系统正常工作情况下 BOSS Web服务器、应用服务器组、数据库服务器组中的所有应用服务器均正常提供服务Array TMX设备对三层架构中的各个服务器组均实现了服务器负载分担功能和有针对性的性能增强功能并能够隐藏后台服务器组的IP地址和拓扑结构仅向BOSS访问用户提供有限的一个或几个IP地址和端口以供用户进行访问。
通过两台TMX产品Cluster Active-Active功能实现在保证高可用性的同时使负载均衡和性能增强功能的处理能力达到一台TMX的两倍。通过TMX产品端口冗余功能实现提供了当交换机故障时链路切换备份功能。
在各个服务器组均能够正常提供服务时Array TMX设备能够根据预先配置将BOSS用户访问请求发送到后台最合适的服务器上进行处理在实现了将大量访问负载分担到多台应用服务器上进行处理的同时还实现了通过增加应用服务器数量的方式提高整个BOSS应用平台的处理能力和响应速度。
而当其中的任何一台或几台服务器需要离线进行维护或出现故障时Array TMX设备能够通过预先配置的多种智能健康检查机制及时发现不能正常处理应用的应用服务器并将接下来的用户访问请求发送到其它能够正常处理的应用的服务器上从而避免了由于某台服务器的故障而影响了整体的BOSS应用业务的提供保证了BOSS业务的高可用性。
3.3. Array SSL VPN进行BOSS系统的安全防护
将SPX5000设备旁路部署在主干交换机旁及出口防火墙后面确保不改变移动公司的内部网络结构。Array SSL VPN通过证书认证登录用户使用软证书登录成功后就可以访问移动内部渠道代销系统然后在通过BOSS系统的验证后就可以为全省的移动手机进行充
值了所有的访问工作都是通过Array SSL VPN加密方式来实现的安全、便捷、可靠。
在本方案中 Array的SPX产品作为统一渠道门户系统通过一个门户portal页面将各系统的对外接口纳入统一管理。对外通过Internet并且利用S SL加密技术安全的向公众开放统一的门户界面对内通过移动公司内网连接到集团统一门户服务器上。
用户利用VPN体系架构通过标准协议集成数字证书的应用。用户登录内部业务系统时必须提交CA认证系统颁发的用户证书系统通过用户证书来实现身份认证和访问控制。
远端用户对BOSS各个系统进行访问时都可以通过SSL VPN进行。用户首先要登陆Array Networks SSL VPN网关设备SPX提供的SSL VPN门户站点这是需要用户提供相应的用户名和口令这样就可以完成用户的认证和授权同时数据时经过加密处理的。客户端人员无论是营业厅代理点还是维护人员在家、 出差 以及大客户在自己办公机构都可以远程进行安全的接入操作而不必担心非授权人员的非法访问甚至对于病毒的渗入也有一定的防护作用。
3.3. 1.证书发放
本方案设计的客户CA认证系统的证书发放采用集中制证的方式其工作流程如下图所示
图证书发放流程图
1) CA系统管理员使用浏览器访问注册中心的证书注册服务器在相关页面上填写申请信息点击提交系统自动产生证书的公私钥对将公钥与申请信息一起提交给CA中心
2) CA中心服务器审核通过签发证书同时自动的将证书安装到US B Key中并标记成私钥不可导出。
3) CA管理员将申请好的证书发放给最终用户使用。
3.3.2. Array Networks BOSS系统SSL VPN安全接入特点
1) SSL VPN的客户端程序如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中 因此不需要再次安装
2) SSLVPN可在NAT代理装置上以透明模式工作
3) SSLVPN不会受到安装在客户端与服务器之间的防火墙的影响。
4) SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方使更多的员工在更多的地方使用更多的设备安全访问企业网络资源同时降低了部署和支持费用。 SSLVPN正在成为远程接入的事实标准下面列举了其中的一些理由。
5) SSL VPN可以在任何地点利用任何设备连接到相应的网络资源上。 SSL VPN通信运行在TCP/UDP协议上具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。
6) 用户接入内部系统是经过认证的。认证方式可以采用Array Networks SSL VPN设备自己的用户数据库也可以和内部系统已有的认证系统结合起来如AD、RADIUS等
7) 用户接入内部系统是经过授权的。针对不同的用户或用户所属的组 SSL VPN可以按VPN系统预定义的规则来对用户的访问权限进行设定。
3.3.3. SSL VPN对于采用WEB访问方式接入BOSS系统的优势:
1) SPX采用WRMWEB Resource Mapping模块来实现利用Array的SSL VPN的Web资源映射可以实现
2) 通过标准浏览器访问BOSS系统
3) 支持URL-NAT URL的动态重写提高安全性
4) 强迫认证强迫任何访问Intranet的请求都必须先通过AAA
5) 隐藏内部资源可以隐藏I ntr an et的资源路径提高整体安全性。而且经第三方测试 Array Networks SPX的WRM有着极佳的性能表现。
HostKvm是一家成立于2013年的国外主机服务商,主要提供VPS主机,基于KVM架构,可选数据中心包括日本、新加坡、韩国、美国、俄罗斯、中国香港等多个地区机房,均为国内直连或优化线路,延迟较低,适合建站或者远程办公等。商家本月针对香港国际机房提供特别7折优惠码,其他机房全场8折,优惠后2G内存香港VPS每月5.95美元起,支持使用PayPal或者支付宝付款。下面以香港国际(HKGlobal)为...
优惠码年付一次性5折优惠码:TYO-Lite-Open-Beta-1y-50OFF永久8折优惠码:TYO-Lite-Open-Beta-Recur-20OFF日本vpsCPU内存SSD流量带宽价格购买1核1.5G20 GB4 TB1Gbps$10.9/月购买2核2 G40 GB6 TB1Gbps$16.9/月购买2核4 G60 GB8 TB1Gbps$21.9/月购买4核4 G80 GB12 TB...
俄罗斯vps速度怎么样?俄罗斯vps云主机节点是欧洲十大节点之一,地处俄罗斯首都莫斯科,网络带宽辐射周边欧洲大陆,10G专线连通德国法兰克福、法国巴黎、意大利米兰等,向外连接全球。俄罗斯vps云主机速度快吗、延迟多少?由于俄罗斯数据中心出口带宽充足,俄罗斯vps云主机到全球各地的延迟、速度相对来说都不错。今天,云服务器网(yuntue.com)小编介绍一下俄罗斯vps速度及俄罗斯vps主机推荐!俄...