基于OpenSSL云信息系統的設計與實現

【摘要】SSL作為一種在客戶端和服務器之間建立的安全通道協議，其涵蓋了對設備狀態的查詢及配置等方面的安全保護。OpenSSL則是為網絡通信提供數據完整性的安全協議，本文在了解SSL安全協議的基礎前提上，結合云計算研究的基礎上，設計出一種基于Open SSL的云信息系統，其可有效解決傳輸速度、加密強度、硬件依賴等問題。

【關鍵詞】SSL；OpenSSL；云計算；安全

OpenSSL一直為應用程序提供信息安全的保障，但由于硬件設備的不及時更新、用戶數量增多等問題的存在，使得運算速度不斷降低，近幾年云計算的發展，恰恰可以解決這些問題。在網絡通信過程中的OpenSSL云，可充分利用現有硬件的計算資源及服務器，均衡分配各自的OpenSSL的計算任務，它將實現提高資源利用率、降低服務器投入成本，達到節約能源并提高工作效率的目的。

1.Open SSL與云計算

1.1 OpenSSL

Open SSL自身包含大量開源安全工具庫，且功能豐富，其主要提供以下功能：SSL安全協議的實現；大數運算；軟算法；ASN.1編解碼庫；非對稱密鑰生成；數字證書編解碼；證書請求編解碼；CRL編解碼；數字證書驗證；OCSP議；PKCS#12個人數字證書格式實現以及PKCS#7標準實現等。

1.2 云計算

云計算是將龐大的計算處理程序在可信網絡信息平臺中進行處理，將其拆分眾多單一的小程序，再由系統自動分配到每個計算機，經過一系列的任務調度，計算完成后返回計算結果。云計算屬于分布式計算技術中比較常用的技術，通過云計算機技術，系統管理員可用極短的時間來處理成千上萬的信息，是真正意義上的高性能高效率信息系統。

2.基于OpenSSL云信息系統的總體設計

2.1 系統總體結構圖設計

我們將OpenSSL云的4個子系統全部部署在可信網絡中的計算機中，便可充分利用硬件資源，當業務量較小時，我們可以及時減少計算機部署。OpenSSL進行證書的簽發和驗證時，最能體現的就是CA證書服務器的任務請求，其可部署任務調度子系統，也可部署資源收集子系統及云服務子系統，總之要根據任務量來進行合理分配。在服務器需要使用OpenSSL云計算時，也可部署云服務系統，其具體部署方式如圖1所示。

2.2 云服務子系統運行流程設計

服務系統有一條獨立線程，其在云服務中的作用是定期從任務調度子系統中采集任務調度機制表；當處理來自OpenSSL調用接口的命令時，負責接收及處理線程數量的工作線程池默認設置5，在服務請求較多時也能滿足響應。如果服務請求數超過5，則可根據實際情況增加線程數量。

為了可以同時為多個應用系統提供服務，進程通訊采用內存共享的方式，因此我們需要在云服務系統中建立多個共享內存與應用系統進行通信，工作線程序池中的線程數量必須與云服務中的內存數量相等，每個線程匹配一個工作內存。

在為應用系統提供OpenSSL調用接口時，可從已知共享內存列表中，訪問并查找可使用的共享內存，再利用找到的共享內存向云服務發送OpenSSL運算請求。在請求發出后，循環等待執行結果，直到執行結果寫入云服務共享內存中。整個處理過程可以采用如圖2所示的通信圖來表示。

在整個云計算系統中，存在兩條不間斷的通訊數據流：一條是是資源收集子系統發送當前資源占用數據流；另一條是應用系統通過云服務子系統發出的計算請求處理數據流。各個子系統根據自己的職責，完成各個請求的數據處理。

3.云服務信息系統的實現

在云服務系統實現過程中，不僅要考慮到管理員的訪問權限，還需確定客戶端的身份認證，經由服務器驗證，在通過驗證后，才可許可登錄，并根據系統提示配置防火墻，當云服務發送OpenSSL 運算請求后，云服務信息系統開始執行命令，執行步驟如下：

（1）云服務子系統接收應用系統的OpenSSL運算請求后，立即向任務調度子系統發出任務安排請求。由任務調度子系迅速安排調度任務，即向任務執行子系統發出通知。

（2）任務調度子系統將任務安排再返回云服務子系統。由云服務子系統根據任務安排，向任務執行子系統直接發送任務執行請求。

（3）任務執行子系統核對任務執行請求是否與任務安排匹配，再確定是否執行。

（4）云服務子系統接收任務執行子系統的執行結果，將應用系統的OpenSSL運算結果

返回給云應用系統。

當以上命令全部執行完畢，則整個系統的數據傳輸則成功，在數據傳輸命令完成后，客戶端會發送指令以告知服務器已關閉，服務器接收指令，整個云信息系統連接過程完畢。

4.小結

本文在云計算的研究基礎上，將Open SSL云化，設計出基于Open SSL的云信息系統，并對系統的實現流程進行描述，實驗證明，此舉大大降低了應用程序對硬件的依賴性，符合設計初衷。

參考文獻

[1]張云勇，陳清金，潘松柏，etc.云計算安全關鍵技術分析[J].電信科學，2010，9.

[2]過敏意.綠色計算-內涵及趨勢[J].計算機工程，2010.

[3]VOUKMA.Cloundcomputing：issues，research and implementations[J].Journal ofComputing and Information Technology，2008，42（4）：235-246.

[4]（美）James Rum baugh， Ivar Jacobson， Grady Booch.UML 參考手（第二版）[M].（UML China）.北京：機械工業出版社，2005：2.

[5]郭志學.易學設計模式[M].北京：人民郵電出版社， 2009：7.