IMIX数据全链路解析
概述
- 数据链路(Data Link)是指在通信系统中,两个或多个节点之间传输数据的完整路径,涵盖从数据生成、封装、传输到接收和解析的全过程。
- 典型的数据链路:安全认证→加密传输→交易处理→清算闭环
IMIX 数据链路核心环节
1. 机构端接入
- 认证与连接
-
- 双向证书认证:机构使用SM2数字证书(由CFETS或CFCA签发)与CFETS服务器双向验证。
-
- 国密TLS加密通道:基于GM/T 0024标准建立加密链路(SM2密钥交换 + SM4加密传输)。
-
- 心跳保活:定期发送心跳包(如30秒间隔)维持长连接。
2. 交易指令传输
- 报文结构
- 签名生成
- 敏感字段加密
3. 行情分发
订阅-发布模式
4. 交易清算
- 成交确认
- 清算文件交换,如日终生成清算文件
数据链路技术层面
1. 协议分层
- 应用层:IMIX报文,定义交易、行情、清算等业务逻辑
- 表示层:国密SM2/4算法、Base64编码,数据加密与格式化
- 会话层:自定义会话连接管理(Login/Heartbeat),连接声明周期控制
- 传输层:TCP+国密TLS(GM/T 0024),端到端加密(SM2/SM4)
- 网络层:IP + 金融专线,低延迟、高可靠传输
相关概念
表示层
表示层是 OSI七层模型 中的第六层,位于应用层和会话层之间,主要负责 数据格式转换、加密/解密、压缩/解压缩
TLS/SSL(传输层安全协议)
TLS/SSL(Transport Layer Security/Secure Sockets Layer)为网络通信(如HTTP、IMIX协议)提供 加密、身份认证和数据完整性。
应用:交易接口,启用国密TLS。表示层 数据加密/解密、格式转换;传输层 建立安全通信会话通道。
SSH(安全外壳协议)
Secure Shell 提供 安全的远程登录 和 文件传输(替代不安全的Telnet/FTP。
应用:应用层。SSH远程登录LInux服务器;文件传输接口,SFTP。
2. 关键组件
- 机构终端:
集成IMIX客户端库(支持国密算法),调用HSM/USB Key签名。 - CFETS核心系统:
交易引擎:实时匹配订单。
风控模块:监测异常交易(如价格偏离阈值)。 - 其他系统:
央行支付系统(CNAPS):完成资金结算。
上海清算所(SHCH):处理债券DVP结算。
外汇交易系统(FX Trading):跨市场套利交易联动。
3. 安全机制
(1)全链路加密
传输层:国密TLS 1.3(SM2密钥交换 + SM4-GCM加密)。
消息层:敏感字段SM4加密,SM3哈希校验完整性。
(2)身份与权限
证书白名单:仅允许预注册机构证书接入。
交易权限分级:如自营/代客交易分离,限额控制。
(3)审计与合规
日志签名:所有操作日志经SM2签名,防篡改。
监管接口:实时向人民银行报送大额交易数据。