技术需求:
1.企业员工的大量USB Key,需要将key接入USB Server虚拟池,进行集中管理。
2.设置USB Key最高管理员,本管理员权限:在Server端可以对Key的端口进行描述符修改,并可以做到即使Server上USB端口没有插入USB设备,仍然可以对端口进行描述符修改;可以对已经被客户端连接的key进行断开操作;对客户端连接进行授权、撤销授权、更改授权;对最高管理员的操作进行日志记录;客户端与USBkey的连接进行日志记录。
3.独立的第三方日志服务器,通过日志服务器进行单独授权,非授权情况下日志内容无法篡改和删减;日志需要记录最高管理员对Server和Key的操作(操作时间、操作内容)、用户远程使用key的操作(操作时间、动作、操作主机编号)。
4.客户端支持以电脑主机硬件唯一编码为验证码进行自动登陆,实现硬件绑定;被最高管理员授权的唯一编码可以看到被授权的USB设备或USB端口并连接使用或者断开;未被授权的客户端无法看到相应的设备列表;客户端也有单独的日志进行操作记录,存放在电脑本地。
技术难点:
保证USB Key在使用过程中的高度稳定性;
USB Server设备池,硬件虚拟化之上的逻辑虚拟化;
USB Server设备池的热备、冗余、在线插拔、在线USB Server替换、在线扩容、端口定位等。
客户端唯一硬件编码算法。
USB Server设备池总出口与总控,最高管理员不对设备池中的USB Server进行管理,而是对总控管理,然后由总控分发指令操作对应的USB Server,以减轻管理员工作量,同时减少出口IP,方便客户端使用。
总控的网络端口热备,保证高可用性。
针对USB Server,可选则双网口热备、双路市电、以保证其高可用。
一次配置后,基本达到免维护状态。
五年内设备24x7运行无故障时间99.99%。
解决方案架构:
- USB Server虚拟池:
考虑到USB 设备的供电稳定性、连接稳定性,结合银行所使用的USB Key的特性,采用1总控6Server架构,USB Server可以进行在线替换、在线扩容(为保证稳定性,最高6 Server;确定无大数据量和无峰值用户在线的情况下,也可适当增加)、在线减容、在线设备更替;一个设备池提供96个USB 端口;USB总控出口为双路千兆汇聚,提供1000Mb x 2全双工工作状态。
- 总体架构:
USB设备逻辑层有N个USB Server虚拟池,每个虚拟池1个IP,接入公司内部网络;最高管理员可以控制USB Server虚拟池;USB Log Server记录每一个USB Server虚拟池中USB端口的状态、连接、使用情况和最高管理员的人工操作内容;客户端在由最高管理员发放唯一编码授权后,打开客户端可以看到相应的USB端口或USB设备,可以连接使用。
RockBrain USB Server支持HA高可用,支持断网、重启、断电等等一系列故障恢复后的自动连接,无需人工干预。对硬件进行特殊优化,USB主控与传输部分增加了高速寄存器,可以适应高延时网络环境。支持虚拟化平台漂移功能,只需要主机与RockBrain网络可以通信,就可以保证使用USB设备的相关应用在漂移之后业务不间断。
