【摘要】SSL作為一種在客戶端和服務(wù)器之間建立的安全通道協(xié)議，其涵蓋了對(duì)設(shè)備狀態(tài)的查詢及配置等方面的安全保護(hù)。OpenSSL則是為網(wǎng)絡(luò)通信提供數(shù)據(jù)完整性的安全協(xié)議，本文在了解SSL安全協(xié)議的基礎(chǔ)前提上，結(jié)合云計(jì)算研究的基礎(chǔ)上，設(shè)計(jì)出一種基于Open SSL的云信息系統(tǒng)，其可有效解決傳輸速度、加密強(qiáng)度、硬件依賴等問題。

【關(guān)鍵詞】SSL；OpenSSL；云計(jì)算；安全

OpenSSL一直為應(yīng)用程序提供信息安全的保障，但由于硬件設(shè)備的不及時(shí)更新、用戶數(shù)量增多等問題的存在，使得運(yùn)算速度不斷降低，近幾年云計(jì)算的發(fā)展，恰恰可以解決這些問題。在網(wǎng)絡(luò)通信過程中的OpenSSL云，可充分利用現(xiàn)有硬件的計(jì)算資源及服務(wù)器，均衡分配各自的OpenSSL的計(jì)算任務(wù)，它將實(shí)現(xiàn)提高資源利用率、降低服務(wù)器投入成本，達(dá)到節(jié)約能源并提高工作效率的目的。

1.Open SSL與云計(jì)算

1.1 OpenSSL

Open SSL自身包含大量開源安全工具庫，且功能豐富，其主要提供以下功能：SSL安全協(xié)議的實(shí)現(xiàn)；大數(shù)運(yùn)算；軟算法；ASN.1編解碼庫；非對(duì)稱密鑰生成；數(shù)字證書編解碼；證書請(qǐng)求編解碼；CRL編解碼；數(shù)字證書驗(yàn)證；OCSP議；PKCS#12個(gè)人數(shù)字證書格式實(shí)現(xiàn)以及PKCS#7標(biāo)準(zhǔn)實(shí)現(xiàn)等。

1.2 云計(jì)算

云計(jì)算是將龐大的計(jì)算處理程序在可信網(wǎng)絡(luò)信息平臺(tái)中進(jìn)行處理，將其拆分眾多單一的小程序，再由系統(tǒng)自動(dòng)分配到每個(gè)計(jì)算機(jī)，經(jīng)過一系列的任務(wù)調(diào)度，計(jì)算完成后返回計(jì)算結(jié)果。云計(jì)算屬于分布式計(jì)算技術(shù)中比較常用的技術(shù)，通過云計(jì)算機(jī)技術(shù)，系統(tǒng)管理員可用極短的時(shí)間來處理成千上萬的信息，是真正意義上的高性能高效率信息系統(tǒng)。

2.基于OpenSSL云信息系統(tǒng)的總體設(shè)計(jì)

2.1 系統(tǒng)總體結(jié)構(gòu)圖設(shè)計(jì)

我們將OpenSSL云的4個(gè)子系統(tǒng)全部部署在可信網(wǎng)絡(luò)中的計(jì)算機(jī)中，便可充分利用硬件資源，當(dāng)業(yè)務(wù)量較小時(shí)，我們可以及時(shí)減少計(jì)算機(jī)部署。OpenSSL進(jìn)行證書的簽發(fā)和驗(yàn)證時(shí)，最能體現(xiàn)的就是CA證書服務(wù)器的任務(wù)請(qǐng)求，其可部署任務(wù)調(diào)度子系統(tǒng)，也可部署資源收集子系統(tǒng)及云服務(wù)子系統(tǒng)，總之要根據(jù)任務(wù)量來進(jìn)行合理分配。在服務(wù)器需要使用OpenSSL云計(jì)算時(shí)，也可部署云服務(wù)系統(tǒng)，其具體部署方式如圖1所示。

2.2 云服務(wù)子系統(tǒng)運(yùn)行流程設(shè)計(jì)

服務(wù)系統(tǒng)有一條獨(dú)立線程，其在云服務(wù)中的作用是定期從任務(wù)調(diào)度子系統(tǒng)中采集任務(wù)調(diào)度機(jī)制表；當(dāng)處理來自O(shè)penSSL調(diào)用接口的命令時(shí)，負(fù)責(zé)接收及處理線程數(shù)量的工作線程池默認(rèn)設(shè)置5，在服務(wù)請(qǐng)求較多時(shí)也能滿足響應(yīng)。如果服務(wù)請(qǐng)求數(shù)超過5，則可根據(jù)實(shí)際情況增加線程數(shù)量。

為了可以同時(shí)為多個(gè)應(yīng)用系統(tǒng)提供服務(wù)，進(jìn)程通訊采用內(nèi)存共享的方式，因此我們需要在云服務(wù)系統(tǒng)中建立多個(gè)共享內(nèi)存與應(yīng)用系統(tǒng)進(jìn)行通信，工作線程序池中的線程數(shù)量必須與云服務(wù)中的內(nèi)存數(shù)量相等，每個(gè)線程匹配一個(gè)工作內(nèi)存。

在為應(yīng)用系統(tǒng)提供OpenSSL調(diào)用接口時(shí)，可從已知共享內(nèi)存列表中，訪問并查找可使用的共享內(nèi)存，再利用找到的共享內(nèi)存向云服務(wù)發(fā)送OpenSSL運(yùn)算請(qǐng)求。在請(qǐng)求發(fā)出后，循環(huán)等待執(zhí)行結(jié)果，直到執(zhí)行結(jié)果寫入云服務(wù)共享內(nèi)存中。整個(gè)處理過程可以采用如圖2所示的通信圖來表示。

在整個(gè)云計(jì)算系統(tǒng)中，存在兩條不間斷的通訊數(shù)據(jù)流：一條是是資源收集子系統(tǒng)發(fā)送當(dāng)前資源占用數(shù)據(jù)流；另一條是應(yīng)用系統(tǒng)通過云服務(wù)子系統(tǒng)發(fā)出的計(jì)算請(qǐng)求處理數(shù)據(jù)流。各個(gè)子系統(tǒng)根據(jù)自己的職責(zé)，完成各個(gè)請(qǐng)求的數(shù)據(jù)處理。

3.云服務(wù)信息系統(tǒng)的實(shí)現(xiàn)

在云服務(wù)系統(tǒng)實(shí)現(xiàn)過程中，不僅要考慮到管理員的訪問權(quán)限，還需確定客戶端的身份認(rèn)證，經(jīng)由服務(wù)器驗(yàn)證，在通過驗(yàn)證后，才可許可登錄，并根據(jù)系統(tǒng)提示配置防火墻，當(dāng)云服務(wù)發(fā)送OpenSSL 運(yùn)算請(qǐng)求后，云服務(wù)信息系統(tǒng)開始執(zhí)行命令，執(zhí)行步驟如下：

（1）云服務(wù)子系統(tǒng)接收應(yīng)用系統(tǒng)的OpenSSL運(yùn)算請(qǐng)求后，立即向任務(wù)調(diào)度子系統(tǒng)發(fā)出任務(wù)安排請(qǐng)求。由任務(wù)調(diào)度子系迅速安排調(diào)度任務(wù)，即向任務(wù)執(zhí)行子系統(tǒng)發(fā)出通知。

（2）任務(wù)調(diào)度子系統(tǒng)將任務(wù)安排再返回云服務(wù)子系統(tǒng)。由云服務(wù)子系統(tǒng)根據(jù)任務(wù)安排，向任務(wù)執(zhí)行子系統(tǒng)直接發(fā)送任務(wù)執(zhí)行請(qǐng)求。

（3）任務(wù)執(zhí)行子系統(tǒng)核對(duì)任務(wù)執(zhí)行請(qǐng)求是否與任務(wù)安排匹配，再確定是否執(zhí)行。

（4）云服務(wù)子系統(tǒng)接收任務(wù)執(zhí)行子系統(tǒng)的執(zhí)行結(jié)果，將應(yīng)用系統(tǒng)的OpenSSL運(yùn)算結(jié)果

返回給云應(yīng)用系統(tǒng)。

當(dāng)以上命令全部執(zhí)行完畢，則整個(gè)系統(tǒng)的數(shù)據(jù)傳輸則成功，在數(shù)據(jù)傳輸命令完成后，客戶端會(huì)發(fā)送指令以告知服務(wù)器已關(guān)閉，服務(wù)器接收指令，整個(gè)云信息系統(tǒng)連接過程完畢。

4.小結(jié)

本文在云計(jì)算的研究基礎(chǔ)上，將Open SSL云化，設(shè)計(jì)出基于Open SSL的云信息系統(tǒng)，并對(duì)系統(tǒng)的實(shí)現(xiàn)流程進(jìn)行描述，實(shí)驗(yàn)證明，此舉大大降低了應(yīng)用程序?qū)τ布囊蕾囆?，符合設(shè)計(jì)初衷。

參考文獻(xiàn)

[1]張?jiān)朴?，陳清金，潘松柏，etc.云計(jì)算安全關(guān)鍵技術(shù)分析[J].電信科學(xué)，2010，9.

[2]過敏意.綠色計(jì)算-內(nèi)涵及趨勢[J].計(jì)算機(jī)工程，2010.

[3]VOUKMA.Cloundcomputing：issues，research and implementations[J].Journal ofComputing and Information Technology，2008，42（4）：235-246.

[4]（美）James Rum baugh， Ivar Jacobson， Grady Booch.UML 參考手（第二版）[M].（UML China）.北京：機(jī)械工業(yè)出版社，2005：2.

[5]郭志學(xué).易學(xué)設(shè)計(jì)模式[M].北京：人民郵電出版社， 2009：7.