案例5 國密智能調(diào)度系統(tǒng)

金融行業(yè)為了實(shí)現(xiàn)信息安全的自主可控，需要進(jìn)行國產(chǎn)密碼（簡稱國密）升級改造。然而，直接全部替換的策略可能存在安全風(fēng)險(xiǎn)。在國密升級過程中，如何兼顧平穩(wěn)過渡和高效運(yùn)行成為全面推廣國密應(yīng)用的一大挑戰(zhàn)。在此背景下，廣發(fā)證券在易淘金手機(jī)應(yīng)用的國密算法升級改造中，引入了國密智能調(diào)度系統(tǒng)。該系統(tǒng)通過優(yōu)化資源分配、平滑過渡、彈性擴(kuò)展和故障降級等方式，解決了應(yīng)用在國密算法升級過程中的用戶體驗(yàn)和平穩(wěn)過渡問題。國密智能調(diào)度系統(tǒng)通過自適應(yīng)優(yōu)化調(diào)度算法選擇最優(yōu)服務(wù)站點(diǎn)，采用灰度和容錯(cuò)降級技術(shù)，實(shí)現(xiàn)了高效可控的升級過程。國密智能調(diào)度系統(tǒng)具備自主研發(fā)技術(shù)和實(shí)用性，并且在易淘金手機(jī)應(yīng)用的國密升級中發(fā)揮了顯著作用，保證了應(yīng)用在國密升級過程中的穩(wěn)定性和安全性。這些技術(shù)的應(yīng)用將有助于金融行業(yè)國密保障體系的建設(shè)。

關(guān)鍵詞：國產(chǎn)密碼，動(dòng)態(tài)調(diào)度，灰度升級，易淘金

一、背景介紹

為了實(shí)現(xiàn)金融領(lǐng)域信息安全核心產(chǎn)品和系統(tǒng)的自主可控性，金融行業(yè)中存在大量需要進(jìn)行國產(chǎn)密碼升級改造的系統(tǒng)和應(yīng)用。金融行業(yè)對系統(tǒng)的安全穩(wěn)定性有極高要求，系統(tǒng)必須保持連續(xù)運(yùn)行，同時(shí)避免服務(wù)中斷和性能下降。在國密的升級過程中，直接替換整個(gè)系統(tǒng)可能會(huì)帶來安全風(fēng)險(xiǎn)，因此如何保證系統(tǒng)平穩(wěn)過渡和高效運(yùn)行，減少對用戶體驗(yàn)的影響，成為全面推廣國密應(yīng)用的一個(gè)挑戰(zhàn)。

隨著智能調(diào)度技術(shù)的發(fā)展和應(yīng)用，國密智能調(diào)度系統(tǒng)可以通過優(yōu)化資源分配、平滑過渡、彈性擴(kuò)展和故障降級等方式來改善國密升級過程中的用戶體驗(yàn)和平穩(wěn)過渡問題。合理的升級調(diào)度機(jī)制可以確保用戶在升級過程中正常使用系統(tǒng)，并提供穩(wěn)定高效的服務(wù)。這些技術(shù)的應(yīng)用將有助于金融行業(yè)實(shí)現(xiàn)國密保障體系的建設(shè)。

二、建設(shè)內(nèi)容

（一）系統(tǒng)功能

金融證券行業(yè)系統(tǒng)在國密升級中面臨四大痛點(diǎn)：一是升級可能存在漏洞和兼容性問題，金融機(jī)構(gòu)需要通過風(fēng)險(xiǎn)評估和管理來控制風(fēng)險(xiǎn)，以確保升級的安全和穩(wěn)定；二是需要制定合理的灰度策略和時(shí)間安排，平衡升級速度與業(yè)務(wù)影響；三是在升級過程中，必須保證用戶在透明度方面的體驗(yàn)不受影響；四是需要保障業(yè)務(wù)連續(xù)性，避免故障或不穩(wěn)定性影響正常運(yùn)營。

針對以上痛點(diǎn)，國密智能調(diào)度系統(tǒng)的主要功能是通過動(dòng)態(tài)調(diào)度和灰度技術(shù)，協(xié)助金融應(yīng)用系統(tǒng)從普通加密算法向國密算法平滑、安全地升級。其中，動(dòng)態(tài)調(diào)度技術(shù)可以根據(jù)系統(tǒng)狀態(tài)和風(fēng)險(xiǎn)評估自動(dòng)調(diào)整加密通道，應(yīng)對潛在風(fēng)險(xiǎn)，減少人工干預(yù)。而灰度技術(shù)則可以將升級分階段進(jìn)行，先對小部分用戶或系統(tǒng)進(jìn)行升級，以測試驗(yàn)證穩(wěn)定性，再逐漸擴(kuò)大范圍。這能有效降低升級風(fēng)險(xiǎn)，保證業(yè)務(wù)連續(xù)性和用戶透明度體驗(yàn)。

（二）系統(tǒng)總體架構(gòu)

系統(tǒng)主要分為以下幾個(gè)模塊。

● Agent模塊：系統(tǒng)的信息收集模塊，接收來自國密服務(wù)節(jié)點(diǎn)機(jī)房內(nèi)上報(bào)的終端連接數(shù)、業(yè)務(wù)流量、CPU負(fù)載等信息，匯聚計(jì)算當(dāng)前國密計(jì)算節(jié)點(diǎn)的負(fù)載信息，并為Bifrost模塊提供數(shù)據(jù)接口，以拉取最新的流量負(fù)載信息。

● Bifrost模塊：系統(tǒng)的調(diào)度計(jì)算模塊，用于計(jì)算每個(gè)國密服務(wù)節(jié)點(diǎn)機(jī)房的調(diào)度權(quán)重。在設(shè)定的調(diào)度周期開始時(shí)，通過拉取各國密節(jié)點(diǎn)機(jī)房的流量負(fù)載、CPU負(fù)載以及服務(wù)故障等信息，剔除故障機(jī)房，然后匯聚計(jì)算各機(jī)房在各個(gè)覆蓋范圍內(nèi)的最新調(diào)度權(quán)重，并最終把調(diào)度權(quán)重計(jì)算結(jié)果推送到compass模塊。同時(shí)，上報(bào)本周期所有調(diào)度權(quán)重?cái)?shù)據(jù)到?jīng)Q策數(shù)據(jù)模塊，以進(jìn)行展示。在該模塊中，使用了動(dòng)態(tài)調(diào)度技術(shù)以動(dòng)態(tài)計(jì)算調(diào)度權(quán)重。算法可以在機(jī)房資源過載的情況下減少調(diào)度權(quán)重，資源空閑的情況下增加調(diào)度權(quán)重，使得機(jī)房處在一個(gè)資源利用率較高的動(dòng)態(tài)平衡中，并實(shí)現(xiàn)資源的彈性伸縮。此外，通過預(yù)設(shè)配額的方式，使機(jī)房在指定的資源利用率下運(yùn)行，即資源利用率可以通過預(yù)設(shè)配額來間接控制。

● 探測模塊：定時(shí)調(diào)用各機(jī)房的健康檢查接口，判斷機(jī)房是否故障，并將結(jié)果上報(bào)到Bifrost模塊，以作為機(jī)房可用性的判斷依據(jù)。

● Web控制臺模塊：本系統(tǒng)的控制臺面板基于Web技術(shù)實(shí)現(xiàn)，提供整個(gè)調(diào)度系統(tǒng)的管理功能。調(diào)度系統(tǒng)是終端接入服務(wù)系統(tǒng)的第一關(guān)口，扮演著非常重要的角色。調(diào)度運(yùn)行過程中，一個(gè)簡單的錯(cuò)誤都有可能會(huì)導(dǎo)致系統(tǒng)服務(wù)不可用，甚至引發(fā)雪崩效應(yīng)。因此，運(yùn)維及開發(fā)人員必須隨時(shí)關(guān)注調(diào)度系統(tǒng)的運(yùn)行狀態(tài)。為了使調(diào)度過程可視化并受到人工控制，控制臺模塊實(shí)現(xiàn)了一個(gè)可實(shí)時(shí)收集系統(tǒng)及各機(jī)房反饋信息的可視化平臺，形成可視化界面。開發(fā)及運(yùn)維人員通過平臺可以觀察各地國密機(jī)房的運(yùn)行情況、調(diào)度決策及調(diào)度結(jié)果，從而全面掌握系統(tǒng)的運(yùn)營狀況。在緊急情況下，運(yùn)維人員能夠通過控制臺對系統(tǒng)進(jìn)行緊急人工干預(yù)。控制臺還提供系統(tǒng)維護(hù)的配置管理能力，如國密灰度開關(guān)控制、國密機(jī)房配額設(shè)置、調(diào)度權(quán)重設(shè)置、站點(diǎn)可用狀態(tài)設(shè)置等管理功能，也具備各機(jī)房的流量負(fù)載、調(diào)度權(quán)重及其調(diào)整等數(shù)據(jù)展示功能。

● 配置數(shù)據(jù)與決策數(shù)據(jù)模塊：存儲系統(tǒng)所需的配置數(shù)據(jù)，包括覆蓋結(jié)構(gòu)、機(jī)房列表、靜態(tài)機(jī)房調(diào)度權(quán)重和調(diào)度方式等相關(guān)數(shù)據(jù)。決策數(shù)據(jù)則存儲每個(gè)周期的在線用戶數(shù)據(jù)及相關(guān)決策數(shù)據(jù)，并用于在控制臺上展示和監(jiān)控告警。

● compass模塊：compass模塊是系統(tǒng)的調(diào)度接口模塊，該模塊通過灰度控制技術(shù)，控制接入終端是否最終過渡到國密計(jì)算通道。該模塊可以實(shí)現(xiàn)細(xì)粒度的灰度比例控制以及黑白名單控制，并確保在后續(xù)灰度擴(kuò)大的過程中，用戶的交易通信能穩(wěn)定保持在國密通道中，不會(huì)因?yàn)榛叶葦U(kuò)大而影響使用安全。該模塊為終端提供接口以獲取接入點(diǎn)地址，終端通過請求此接口使業(yè)務(wù)系統(tǒng)接入機(jī)房。接口的返回地址決定終端選擇哪一個(gè)機(jī)房接入點(diǎn)連接業(yè)務(wù)系統(tǒng)。

系統(tǒng)的部署采用分布式主備部署方案，以保證系統(tǒng)的高可用性。其中調(diào)度計(jì)算模塊在異地多數(shù)據(jù)中心獨(dú)立部署，一般部署兩個(gè)，一個(gè)作為主，一個(gè)作為備份，正常情況下兩個(gè)模塊都在運(yùn)行當(dāng)中。基于時(shí)序數(shù)據(jù)庫的監(jiān)控?cái)?shù)據(jù)庫，與調(diào)度計(jì)算模塊同機(jī)房部署，只存儲需要展示的數(shù)據(jù)。控制臺模塊與調(diào)度計(jì)算模塊同機(jī)房部署，也分為主備兩個(gè)。這可以確保當(dāng)主機(jī)房發(fā)生故障時(shí)，系統(tǒng)仍然可以保持可用。

（三）系統(tǒng)應(yīng)用場景

國密智能調(diào)度系統(tǒng)在金融領(lǐng)域具有廣泛應(yīng)用。它可以在金融機(jī)構(gòu)的國密升級過程中發(fā)揮重要作用，幫助解決可能出現(xiàn)的漏洞、兼容性等問題，確保升級過程的安全性和穩(wěn)定性。此外，該系統(tǒng)還能提供灰度策略和時(shí)間安排，以平衡升級速度與業(yè)務(wù)影響。通過該系統(tǒng)，金融機(jī)構(gòu)可以確保業(yè)務(wù)的連續(xù)性，避免因升級過程中可能出現(xiàn)的故障或不穩(wěn)定問題而影響正常業(yè)務(wù)運(yùn)行。

例如，在金融應(yīng)用升級國密算法的過程中，直接針對全部用戶進(jìn)行替換可能會(huì)帶來安全風(fēng)險(xiǎn)。而使用本系統(tǒng)的灰度控制，就可以精確掌控細(xì)粒度的灰度比例。基于設(shè)備的通用唯一識別碼（Universally Unique Identifier，UUID）號段灰度方案，可以在擴(kuò)大灰度范圍的同時(shí)保持灰度一致性。在國密推廣階段內(nèi)，可以先利用本系統(tǒng)對少部分用戶或系統(tǒng)進(jìn)行升級，以測試和驗(yàn)證升級的穩(wěn)定性，然后逐步擴(kuò)大升級范圍。系統(tǒng)配備灰度策略開關(guān)控制功能，通過開關(guān)控制應(yīng)用系統(tǒng)的灰度升級過程，通過監(jiān)控視圖可以觀察命中灰度的實(shí)際比例，有效降低升級風(fēng)險(xiǎn)，保證業(yè)務(wù)連續(xù)性和用戶透明度體驗(yàn)。另外，系統(tǒng)的動(dòng)態(tài)調(diào)度技術(shù)具備彈性和自適應(yīng)能力，能夠根據(jù)國密服務(wù)的負(fù)載情況自動(dòng)進(jìn)行最佳終端服務(wù)點(diǎn)分配，保障用戶的最優(yōu)使用體驗(yàn)。即使在國密服務(wù)出現(xiàn)故障時(shí)，用戶也能實(shí)現(xiàn)自動(dòng)降級為普通加密算法，無須人工干預(yù)，從而提高系統(tǒng)的適應(yīng)性和靈活性，降低升級風(fēng)險(xiǎn)。

三、創(chuàng)新應(yīng)用

國密智能調(diào)度系統(tǒng)在證券行業(yè)國密算法升級改造中的創(chuàng)新性和先進(jìn)性表現(xiàn)在以下幾個(gè)方面：自動(dòng)化決策、實(shí)時(shí)監(jiān)控與優(yōu)化、數(shù)據(jù)驅(qū)動(dòng)決策、彈性和自適應(yīng)、高效能和高可靠性。通過提升系統(tǒng)效率和性能，并優(yōu)化資源利用，該系統(tǒng)為國密算法的升級改造提供了先進(jìn)的技術(shù)支持和保障，具體體現(xiàn)在以下幾個(gè)方面。

● 通過自動(dòng)化決策，國密智能調(diào)度系統(tǒng)可根據(jù)用戶所在地區(qū)和網(wǎng)絡(luò)信息，智能分配國密接入點(diǎn)，提升用戶使用體驗(yàn)，提高系統(tǒng)效率和準(zhǔn)確性。

● 精準(zhǔn)的灰度機(jī)制控制國密升級風(fēng)險(xiǎn)。通過設(shè)備通用唯一識別碼將用戶分成多個(gè)群體，并逐步引入國密功能，靈活應(yīng)用黑白名單機(jī)制，實(shí)現(xiàn)精細(xì)化控制，從而在升級初期僅影響少數(shù)用戶，及時(shí)發(fā)現(xiàn)和解決問題，降低潛在風(fēng)險(xiǎn)。同時(shí)，用戶的反饋也有助于優(yōu)化系統(tǒng)，以提供更好的用戶體驗(yàn)和功能可用性。

● 智能調(diào)度技術(shù)具備彈性和自適應(yīng)能力。

● 國密智能調(diào)度系統(tǒng)能夠通過實(shí)時(shí)監(jiān)控國密服務(wù)的運(yùn)行狀態(tài)和性能指標(biāo)，優(yōu)化調(diào)度策略，從而最大限度提升系統(tǒng)性能和效率。

通過這些創(chuàng)新和先進(jìn)技術(shù)，國密智能調(diào)度系統(tǒng)為證券行業(yè)的國密算法升級改造提供了高效和可靠的技術(shù)支持。

四、取得成效

廣發(fā)證券積極響應(yīng)國家號召，正逐步推廣國密算法應(yīng)用升級，其中包括易淘金APP的國密升級改造。為了保障用戶在證券交易過程中安全、平滑地過渡到國密通道，我行引入了國密智能調(diào)度系統(tǒng)。該系統(tǒng)采用自適應(yīng)優(yōu)化調(diào)度算法，自動(dòng)選擇最優(yōu)的服務(wù)站點(diǎn)，并通過灰度和容錯(cuò)降級技術(shù)實(shí)現(xiàn)高效可控的升級過程。

國密智能調(diào)度系統(tǒng)于2022年10月上線，采用自主研發(fā)技術(shù)，具備自主創(chuàng)新和實(shí)用性。系統(tǒng)成功應(yīng)用于易淘金APP的國密升級改造，保障用戶逐步升級到國密加密通道中。在升級前期，通過基于黑白名單的灰度機(jī)制，我行在受邀客戶中逐步推廣國密功能，同時(shí)收集了寶貴的客戶反饋和建議。這些反饋和建議幫助團(tuán)隊(duì)提前識別潛在風(fēng)險(xiǎn)，并進(jìn)行改進(jìn)和優(yōu)化。在大規(guī)模推廣初期，通過精準(zhǔn)的灰度比例控制，實(shí)現(xiàn)了海量用戶平滑過渡到國密應(yīng)用，有效降低了系統(tǒng)升級風(fēng)險(xiǎn)。應(yīng)用結(jié)果顯示，通過自動(dòng)化決策、彈性和自適應(yīng)功能，在升級過程中能夠?yàn)橛脩舴峙渥顑?yōu)的加密接入點(diǎn)，而且當(dāng)遇到故障時(shí)，系統(tǒng)能自動(dòng)降級到普通加密通道，用戶無明顯感知，滿足了用戶對系統(tǒng)安全性的需求。

為確保系統(tǒng)安全和合規(guī)性，該系統(tǒng)具備嚴(yán)格的安全機(jī)制。通信過程采用SSL/TLS協(xié)議對客戶信息和數(shù)據(jù)進(jìn)行加密保護(hù)。系統(tǒng)還具備嚴(yán)格的權(quán)限管理功能，對系統(tǒng)管理員進(jìn)行符合標(biāo)準(zhǔn)的授權(quán)認(rèn)證，并對所有操作步驟進(jìn)行留痕，以確保系統(tǒng)數(shù)據(jù)的安全性和合規(guī)性要求。

綜上所述，國密智能調(diào)度系統(tǒng)在易淘金APP的國密升級中取得了顯著效果。通過該系統(tǒng)，易淘金APP在保持系統(tǒng)連續(xù)運(yùn)行的同時(shí)，可精準(zhǔn)控制國密升級的灰度數(shù)量，有效控制升級風(fēng)險(xiǎn)，確保系統(tǒng)穩(wěn)定性和安全性，風(fēng)險(xiǎn)控制效果顯著。同時(shí)，通過自動(dòng)化決策和彈性自適應(yīng)等功能，該系統(tǒng)為用戶提供了最佳體驗(yàn)。此外，系統(tǒng)具備嚴(yán)格的安全機(jī)制和合規(guī)性要求，可以有效確保用戶信息和數(shù)據(jù)的安全。

完成人：

辛治運(yùn)　廣發(fā)證券股份有限公司副總經(jīng)理/首席信息官

鹿　群　廣發(fā)證券股份有限公司信息技術(shù)部執(zhí)行董事

梁肇浩　廣發(fā)證券股份有限公司信息技術(shù)部中臺研發(fā)崗

許　詩　廣發(fā)證券股份有限公司信息技術(shù)部群組經(jīng)理

樊　丹　廣發(fā)證券股份有限公司信息技術(shù)部后臺研發(fā)崗

伍世權(quán)　廣發(fā)證券股份有限公司信息技術(shù)部終端研發(fā)崗