RSA加密算法在私有云平臺(tái)中的應(yīng)用

余麗萍,朱 亮,雷婷婷

(鄭州輕工業(yè)大學(xué),河南 鄭州 450001)

0 引言

伴隨著云計(jì)算時(shí)代的來(lái)臨,全球云盤市場(chǎng)將受到更大的安全挑戰(zhàn)。5G、云計(jì)算技術(shù)推動(dòng)了云盤行業(yè)的快速發(fā)展,據(jù)數(shù)據(jù)統(tǒng)計(jì),2020年中國(guó)云計(jì)算(Infrastructure as a Service,IaaS)市場(chǎng)規(guī)模約達(dá)895億元。市場(chǎng)發(fā)展日趨成熟,配套設(shè)施不斷完善。以云計(jì)算為基礎(chǔ)的云盤服務(wù)也不斷發(fā)展,5G技術(shù)的高速率傳播特性能夠優(yōu)化云盤體驗(yàn),驅(qū)動(dòng)云盤市場(chǎng)發(fā)展[1]。個(gè)人云盤使得用戶的應(yīng)用場(chǎng)景豐富化,并提升用戶的工作、生活效率。個(gè)人云盤將進(jìn)一步取代個(gè)人計(jì)算機(jī)(Personal Computer, PC)的核心地位,成為人們工作和生活的主要工具[2]。此外,個(gè)人云盤與智慧家居、5G生活、虛擬現(xiàn)實(shí)(Virtual Reality, VR)技術(shù)等相結(jié)合,極大地改變了用戶的生活方式,打造了一個(gè)智能化的人類文明社會(huì)。企業(yè)云盤的投入使用能促進(jìn)企業(yè)數(shù)字經(jīng)濟(jì)的發(fā)展,提高企業(yè)的工作效率,為企業(yè)帶來(lái)豐富的云上資源,促進(jìn)企業(yè)高質(zhì)量發(fā)展。云存儲(chǔ)系統(tǒng)能夠解決當(dāng)前普遍存在的數(shù)據(jù)資源安全存儲(chǔ)、便捷快速共享等問題,使內(nèi)容安全性得到保障[3-4]。

本文主要設(shè)計(jì)了一套私有云平臺(tái)的總體構(gòu)建方案,提出了基于(Rivest-Shamir-Adleman, RSA)加密算法的私有云平臺(tái)架構(gòu),并通過(guò)響應(yīng)速度、并發(fā)壓力、文件下載速度3個(gè)方面對(duì)私有云平臺(tái)的性能進(jìn)行了測(cè)試。

1 相關(guān)工作

1.1 國(guó)內(nèi)研究現(xiàn)狀

國(guó)內(nèi)個(gè)人云盤行業(yè)主要以免費(fèi)的網(wǎng)盤服務(wù)吸引用戶并培育市場(chǎng),2011年廣州市政府提倡建設(shè)智慧城市,國(guó)內(nèi)三大運(yùn)營(yíng)商快速開發(fā)自己的私有云存儲(chǔ)空間。例如:中國(guó)聯(lián)通2012年推出的“悅云”、中國(guó)電信2013年推出的“天翼云”、中國(guó)移動(dòng)2014年推出的“彩云”。為了推進(jìn)上云時(shí)代的到來(lái),三大運(yùn)營(yíng)商決定無(wú)論使用哪個(gè)運(yùn)營(yíng)商的電話號(hào)碼都可以進(jìn)行注冊(cè)、登錄,極大地方便了廣大用戶對(duì)私有云平臺(tái)的使用。直到2016年的關(guān)停潮,其他的云盤廠商開始積極嘗試探索新的商業(yè)模式,逐漸發(fā)展為以付費(fèi)為主的云平臺(tái)服務(wù),用戶如果想使用云存儲(chǔ)空間的額外大小和下載速度,需要付費(fèi)才能全速下載。截至2021年,中國(guó)個(gè)人云盤市場(chǎng)交易規(guī)模預(yù)計(jì)達(dá)24億元,同比增長(zhǎng)42%[6]。隨著疫情的到來(lái),從2020年起企業(yè)逐漸支持線上辦公,上班群體的需求逐漸增大,用戶不僅需要在家里進(jìn)行移動(dòng)辦公,而且還要做到文件數(shù)據(jù)同步到公司數(shù)據(jù)庫(kù),激發(fā)了云盤市場(chǎng)的增量化以及對(duì)私有云平臺(tái)的迫切需求。截至2021年1月,百度網(wǎng)盤約占市場(chǎng)份額比的85%,行業(yè)已經(jīng)趨顯寡頭化,但是隨著個(gè)人云盤行業(yè)的活躍用戶在波動(dòng)中緩慢擴(kuò)大,阿里云盤快速興起,同時(shí)也出現(xiàn)了其他各式各樣的私有云平臺(tái)。

1.2 國(guó)外研究現(xiàn)狀

2002年RapidShare成立,它是全球最早的網(wǎng)盤產(chǎn)品。2007年開始轉(zhuǎn)型為云盤企業(yè),使用企業(yè)級(jí)用戶超過(guò)2 000萬(wàn)。美國(guó)憑借其較先進(jìn)的信息技術(shù),最早提出“云文件”的研究概念。谷歌在2006年已經(jīng)提出云計(jì)算的概念,之后主流的IT廠家均推進(jìn)了云計(jì)算和私有云平臺(tái)的服務(wù)和應(yīng)用,例如:Google的Cloud Storage云盤,亞馬遜的簡(jiǎn)單儲(chǔ)存服務(wù)(Amazon Simple Storage Service, Amazon S3),EMC的EMC Atmos 云存儲(chǔ)平臺(tái),微軟云存儲(chǔ)skydrive,IBM企業(yè)級(jí)的云計(jì)算技術(shù)和服務(wù)組合IBM SmartCloud[5]。2020年以來(lái),私有云平臺(tái)市場(chǎng)的用戶量呈指數(shù)型快速增長(zhǎng),推動(dòng)了全球私有云市場(chǎng)規(guī)模的發(fā)展。面對(duì)龐大的市場(chǎng)需求,大型的互聯(lián)網(wǎng)企業(yè)紛紛推出自己的云存儲(chǔ)產(chǎn)品類型,而作為更具功能性的私有云存儲(chǔ)將成為未來(lái)云存儲(chǔ)的主流模式。

綜上所述,5G信息時(shí)代的到來(lái),私有云平臺(tái)廠商加大力度推陳出新。未來(lái)的私有云平臺(tái)將伴隨著人工智能、大數(shù)據(jù)等新興技術(shù)的出現(xiàn)而快速發(fā)展,云上文件將像現(xiàn)在的電腦文件一樣,實(shí)現(xiàn)隨時(shí)可取、隨地可存。

2 總體架構(gòu)

私有云平臺(tái)的主要模塊包括:Nginx服務(wù)模塊、Tomcat服務(wù)模塊以及DNS服務(wù)模塊。Nginx服務(wù)主要是云服務(wù)的反向代理,保證服務(wù)器域名或IP地址到Tomcat服務(wù)的映射關(guān)系,不參與應(yīng)用提供服務(wù)的同時(shí)還可以抵御大部分的網(wǎng)絡(luò)攻擊和非法請(qǐng)求;Tomcat服務(wù)主要是為應(yīng)用提供服務(wù),保證私有云系統(tǒng)能在Tomcat服務(wù)上正常、穩(wěn)定地運(yùn)行;DNS服務(wù)主要是域名解析,通過(guò)域名訪問請(qǐng)求解析出對(duì)應(yīng)的IP地址,實(shí)現(xiàn)網(wǎng)絡(luò)域名通信的正常訪問。

為了搭建私有云平臺(tái),本文在業(yè)務(wù)邏輯上采用MVC分層架構(gòu)。在網(wǎng)絡(luò)通信上采用B/S架構(gòu),當(dāng)應(yīng)用服務(wù)需要更新或者擴(kuò)展時(shí),它可以在不需要停服更新的情況下處理系統(tǒng)維護(hù),實(shí)現(xiàn)無(wú)縫替換部署上線,私有云平臺(tái)的總體架構(gòu)如圖1所示。

圖1 私有云平臺(tái)的總體架構(gòu)

在圖1中,數(shù)據(jù)請(qǐng)求訪問的流程如下:

(1)通過(guò)https://www.hzw2022.top域名訪問,DNS云解析服務(wù)器首先查找對(duì)應(yīng)的IP服務(wù)主機(jī),完成域名解析;

(2)當(dāng)DNS云解析服務(wù)器找到IP服務(wù)主機(jī)時(shí),返回IP服務(wù)主機(jī)的地址;

(3)瀏覽器根據(jù)IP主機(jī)服務(wù)地址發(fā)送請(qǐng)求,端口為443(瀏覽器HTTPS的默認(rèn)端口);

(4)服務(wù)器主機(jī)(47.107.31.26)收到請(qǐng)求后,處理來(lái)自443端口的所有請(qǐng)求并轉(zhuǎn)發(fā),根據(jù)請(qǐng)求轉(zhuǎn)發(fā)給http://127.0.0.1∶8080;

(5)Tomcat服務(wù)收到來(lái)自Nginx的HTTP請(qǐng)求,處理并響應(yīng),返回響應(yīng)數(shù)據(jù);

(6)Nginx收到來(lái)自Tomcat的響應(yīng)數(shù)據(jù),再次轉(zhuǎn)發(fā)數(shù)據(jù)到客戶端,完成數(shù)據(jù)請(qǐng)求。

3 RSA加密算法

3.1 OpenSSL工具生成CA證書

CA證書是相關(guān)權(quán)威機(jī)構(gòu)頒發(fā)的數(shù)字簽名證書,簽名證書上有頒發(fā)的機(jī)構(gòu),SSL協(xié)議涵蓋了許多加密需求。也可以使用Linux系統(tǒng)中的OpenSSL工具生成CA證書,但是會(huì)顯示此鏈接不是安全連接。

在Linux環(huán)境中生成CA證書過(guò)程如下:

(1)安裝OpenSSL工具;

(2)生成CA證書。

CA證書添加方法:安裝以上命令生成的CA證書,在/usr/local/nginx/conf文件夾下會(huì)有3個(gè)文件,分別是server.crt、server.key和server.csr 3個(gè)文件(其中的server.crt也可以是server.pem),其中server.crt文件是證書,其中包含了公鑰,server.key文件是私鑰。

3.2 CA證書的使用

CA證書用于Nginx代理服務(wù),在數(shù)據(jù)傳輸時(shí)進(jìn)行加密。由于本文所設(shè)計(jì)的架構(gòu)中,Nginx服務(wù)和Tomcat服務(wù)處于同一個(gè)服務(wù)器,故在Nginx和對(duì)外互聯(lián)網(wǎng)連接的接口上添加了SSL協(xié)議,而在Linux本機(jī)內(nèi)部沒有使用SSL協(xié)議。同時(shí),Nginx與代理器端也進(jìn)行了數(shù)據(jù)傳輸加密,和CA證書添加方法類似,只需在nginx.conf配置文件中添加proxy_ssl_certificate和proxy_ssl_certificate_key,具體流程如圖2所示。

圖2 SSL協(xié)議數(shù)據(jù)傳輸流程

4 平臺(tái)實(shí)現(xiàn)

本文的數(shù)據(jù)庫(kù)設(shè)計(jì)分為MySQL數(shù)據(jù)庫(kù)和H2數(shù)據(jù)庫(kù)。MySQL數(shù)據(jù)庫(kù)主要存放用戶信息、密碼信息相關(guān)的表。用戶使用云數(shù)據(jù)庫(kù)時(shí),可以實(shí)現(xiàn)按需付費(fèi)、彈性擴(kuò)容、動(dòng)態(tài)升級(jí)等功能。根據(jù)數(shù)據(jù)庫(kù)功能數(shù)據(jù)設(shè)計(jì)要求,為了滿足數(shù)據(jù)的存儲(chǔ)效率和數(shù)據(jù)表的信息完整性,本文所設(shè)計(jì)的表數(shù)據(jù)庫(kù)滿足第一范式、第二范式、第三范式的設(shè)計(jì)模式[7]?？紤]到安全問題,用戶密碼表采用了MD5加密的方式,實(shí)際上存放的是前端MD5算法加密后的64位字符串。對(duì)于云存儲(chǔ)文件,用戶可以自定義文件分類,例如:依據(jù)個(gè)人的喜好或者需求來(lái)分類。分類的基本原則是用戶能夠方便管理和查找文件資料[8]。

在數(shù)據(jù)傳輸安全方面,本文采用CA證書,使用HTTPS傳輸協(xié)議,保障數(shù)據(jù)傳輸安全,避免用戶數(shù)據(jù)在傳輸過(guò)程中出現(xiàn)被不法分子竊取、篡改等情況。除此之外,系統(tǒng)本身還涉及預(yù)防網(wǎng)絡(luò)攻擊的安全防護(hù)功能,例如:常見的DDOS攻擊,通過(guò)大規(guī)?；ヂ?lián)網(wǎng)訪問請(qǐng)求目標(biāo)主機(jī)服務(wù)器,造成網(wǎng)絡(luò)擁堵、CPU阻塞等現(xiàn)象,以達(dá)到使服務(wù)器出現(xiàn)宕機(jī)或者對(duì)外拒絕訪問的目的。對(duì)于DDOS攻擊,只需在Nginx上限制同一個(gè)IP請(qǐng)求訪問的次數(shù),同一個(gè)IP地址發(fā)出的請(qǐng)求每秒允許2個(gè),按照正常人的手速,刷新一個(gè)網(wǎng)頁(yè)的速度基本在每秒2～3次左右,如果超出這個(gè)頻率將可能是代碼發(fā)出的請(qǐng)求。Nginx任務(wù)是當(dāng)同一個(gè)IP的請(qǐng)求每秒大于2時(shí),將不再接收這一秒內(nèi)的其他請(qǐng)求。

對(duì)于內(nèi)存而言,每個(gè)連接數(shù)分別對(duì)應(yīng)一個(gè)read_event和一個(gè)write_event。每個(gè)連接數(shù)占用232字節(jié),2個(gè)事件總占96字節(jié),那么一個(gè)連接占用328字節(jié),通過(guò)數(shù)學(xué)公式算出100 000個(gè)連接數(shù)大概占用31 MB=100 000×328/1 024/1 024,這只是Nginx啟動(dòng)時(shí),connections連接數(shù)所占用的Nginx,現(xiàn)在的計(jì)算機(jī)內(nèi)存已經(jīng)達(dá)到至少4GB、8GB,進(jìn)程的最大可打開文件數(shù)取決于本機(jī)操作系統(tǒng)。文中使用的單核Linux系統(tǒng)進(jìn)程最大可打開文件數(shù)為65 535,而實(shí)際在代理服務(wù)器中Nginx最大并發(fā)數(shù)為worker_processes×worker_connections/2。

5 性能測(cè)試

系統(tǒng)測(cè)試采用響應(yīng)速度測(cè)試和并發(fā)壓力測(cè)試,響應(yīng)速度測(cè)試是保證在全國(guó)各地都能訪問到私有云平臺(tái),不會(huì)出現(xiàn)由于地理位置原因而影響私有云平臺(tái)使用的情況,壓力測(cè)試是保證私有云平臺(tái)服務(wù)的穩(wěn)定性,能夠承受并處理大量并發(fā)請(qǐng)求。

5.1 響應(yīng)速度測(cè)試

本部分使用https://www.17ce.com網(wǎng)站測(cè)試,該工具的特點(diǎn)是在全國(guó)各地都有測(cè)試請(qǐng)求服務(wù)器,幫助用戶做請(qǐng)求訪問測(cè)試,同時(shí)生成測(cè)試數(shù)據(jù)分析表。生成的數(shù)據(jù)分析表如圖3所示,由于本文實(shí)驗(yàn)部分購(gòu)買的服務(wù)器處在華南地區(qū)的深圳,因此網(wǎng)速較好的地方集中在華南地區(qū)。

圖3 測(cè)試數(shù)據(jù)分析

5.2 壓力測(cè)試

本部分使用ApiPost測(cè)試工具ApiPost可以模擬POST、GET、PUT等常見HTTP請(qǐng)求,直接生成并導(dǎo)出接口文檔的API文檔,測(cè)試發(fā)出的所有請(qǐng)求中完成響應(yīng)的次數(shù)百分比,同時(shí)顯示請(qǐng)求失敗時(shí)的位置。在ApiPost工具中選擇測(cè)試,本次測(cè)試為10個(gè)進(jìn)程,每個(gè)進(jìn)程請(qǐng)求10次,共計(jì)100個(gè)請(qǐng)求,測(cè)試結(jié)果通過(guò)。

此外,本文對(duì)文件下載速度也做了測(cè)試,由于云服務(wù)器的帶寬有限,不能完全測(cè)試出私有云的下載速度,因此只能在單機(jī)上測(cè)試文件下載速度。在單機(jī)上運(yùn)行私有云平臺(tái),提前上傳一個(gè)1 452 MB的電影,默認(rèn)下載工具是迅雷,下載速度可以達(dá)到224 MB/s,相當(dāng)于1 792 MB帶寬的下載速度。

6 結(jié)語(yǔ)

云存儲(chǔ)系統(tǒng)雖然能夠?qū)崿F(xiàn)數(shù)據(jù)的云上存儲(chǔ),但是在數(shù)據(jù)的安全性以及下載速度等方面存在缺陷,數(shù)據(jù)資源安全存儲(chǔ)及快速共享成為影響用戶隱私安全及系統(tǒng)可靠性的主要因素。本文提出了一種基于RSA加密算法的私有云平臺(tái)架構(gòu),使用基于SpringBoot框架快速搭建私有云平臺(tái),形成對(duì)私有云網(wǎng)絡(luò)傳輸安全、高性能、高可用的一套解決方案,通過(guò)搭建原型系統(tǒng)及測(cè)試,驗(yàn)證了本文提出的私有云平臺(tái)架構(gòu)比傳統(tǒng)的私有云平臺(tái)具有更高下載速度,下載速度可達(dá)每秒百兆級(jí)別。