基于HTTPS的云服務(wù)環(huán)境構(gòu)建

王建 任安晶 方慧 崔維帥 謝濟(jì)陽 湯軍

摘? 要：在云計(jì)算高速發(fā)展的形勢下，國內(nèi)外越來越多的企業(yè)和個(gè)人將服務(wù)向云上遷移，從而實(shí)現(xiàn)敏捷、靈活管理，降低IT成本，以提高企業(yè)在新時(shí)代下發(fā)展動力和競爭力。本文提出基于安全超文本傳輸協(xié)議（HTTPS）的云服務(wù)環(huán)境的構(gòu)建方法。通過云服務(wù)器的簡單高效、安全可靠、處理能力可彈性伸縮等特性，并結(jié)合HTTPS的加密優(yōu)勢，從而達(dá)到為企業(yè)和個(gè)人不同的路徑上提供不同的解決方案，并提供完備的解決方案，從而幫助企業(yè)和用戶快速地搭建云服務(wù)環(huán)境。

關(guān)鍵詞：云服務(wù);云計(jì)算;HTTPS;云服務(wù)資源整合;服務(wù)發(fā)布

中圖分類號：TP309? ? ?文獻(xiàn)標(biāo)識碼：A

Abstract： With the rapid development of cloud computing， increasing enterprises and individuals both at home and abroad have been moving their services to the cloud， so as to achieve agile and flexible management， reduce IT cost， and improve the development momentum and competitiveness of enterprises in the new era. This paper proposes a method for constructing a cloud service environment based on Hypertext Transfer Protocol Secure （HTTPS）. Through virtualization technology， the goal is to better integrate the resources of cloud servers and combine the encryption advantages of HTTPS to offer effective and complete solutions to enterprises and individuals on different paths. It helps enterprises and users efficiently set up cloud service environments.

Keywords： cloud services; cloud computing; HTTPS; cloud service resource integration; service release

1? ?引 言（Introduction）

云計(jì)算是目前全球新一輪IT革命中最重要的標(biāo)志性創(chuàng)新和改革，并且已經(jīng)成為未來信息產(chǎn)業(yè)，甚至是整個(gè)經(jīng)濟(jì)社會改革發(fā)展的關(guān)鍵技術(shù)，并且伴隨其彈性部署等諸多特點(diǎn)，市場份額最近幾年一直在快速增長[1]。對基于云計(jì)算技術(shù)的資源整合的服務(wù)體系架構(gòu)進(jìn)行研究，從而為深入云技術(shù)相關(guān)的工作提供服務(wù)[2-4]，且在GIS的相關(guān)工作中，采用云計(jì)算等相關(guān)技術(shù)，會為GIS行業(yè)帶來許多新的變革[5]。但是信息在HTTP傳輸是極其不安全的，而HTTPS則可以對信息進(jìn)行加密處理，從而可以對信息進(jìn)行更加有效地保護(hù)[6]。本文對二者之間的長處進(jìn)行研究，探索一種快速構(gòu)建基于HTTPS的云服務(wù)環(huán)境構(gòu)建方法，從而實(shí)現(xiàn)基于HTTPS的應(yīng)用系統(tǒng)的快速發(fā)布。

2? ?云服務(wù)選擇（Cloud service selection）

2.1? ?云服務(wù)商選擇

在云服務(wù)席卷全球的時(shí)候，國內(nèi)的各種互聯(lián)網(wǎng)廠商都推出了自己的云服務(wù)平臺，例如阿里云和騰訊云等。云服務(wù)的優(yōu)勢之一就是規(guī)模經(jīng)濟(jì)。和單一的企業(yè)內(nèi)服務(wù)相比，云服務(wù)商能夠提供更優(yōu)的服務(wù)。由于云服務(wù)遵守的模型為一對多，所以與桌面程序的單獨(dú)部署相比，其成本會極大地降低。但是這些新興技術(shù)在給初創(chuàng)企業(yè)和中小企業(yè)帶來便利的同時(shí)，也會因?yàn)楣?yīng)商提供服務(wù)的差異性而帶來一些不足和缺陷。因此如何選擇云服務(wù)可以從以下幾點(diǎn)考慮：

（1）云服務(wù)器性能

企業(yè)考慮云服務(wù)的關(guān)注點(diǎn)之一就是性能。性能問題包括一下幾個(gè)：云服務(wù)器相對于終端用戶所在的地理位置，云服務(wù)器的磁盤讀取速度。

（2）云服務(wù)商技術(shù)堆棧

云計(jì)算供應(yīng)商一直以來都致力于提供某些特定軟件堆棧服務(wù)。即云服務(wù)商從基礎(chǔ)設(shè)施即服務(wù)升級成平臺即服務(wù)。如果技術(shù)人員開發(fā)程序時(shí)需要用到特定的技術(shù)堆棧，可以選擇與之相對應(yīng)的云服務(wù)商。

（3）云服務(wù)安全及法律遵從

中小企業(yè)選擇是否上云的兩大障礙依然是安全性與法律遵從。但企業(yè)真正是否選擇上云的障礙并非實(shí)際的安全威脅，而是他們無法遵守與安全相關(guān)的標(biāo)準(zhǔn)。到目前為止許多云供應(yīng)商都在宣傳他們具有的安全白皮書和其他標(biāo)準(zhǔn)的證書等，所以云服務(wù)安全性和法規(guī)遵從是選擇云服務(wù)廠商時(shí)需要考慮的重點(diǎn)問題。

（4）云可移植性

云可移植性指的是跨多重云進(jìn)行應(yīng)用實(shí)例移植的能力。其中多重云指公有云、私有云或者公有云之間。且在移植的過程中不需要考慮云服務(wù)供應(yīng)商、平臺、操作系統(tǒng)等的不同。所以企業(yè)在挑選云服務(wù)時(shí)也應(yīng)當(dāng)考慮云可移植性，以方便日后云服務(wù)的遷移。

（5）云服務(wù)成本

比較云供應(yīng)商提供的服務(wù)是否具有性價(jià)比的最簡單直接方法就是成本。但是目前存在問題在于不同類型客戶實(shí)際使用的資源和支付的費(fèi)用也不盡相同，其在云服務(wù)供應(yīng)商中不具備可比性。此外，云服務(wù)供應(yīng)商實(shí)際上提供給客戶的云服務(wù)器也是虛擬的，這也導(dǎo)致難以對客戶實(shí)際使用的云服務(wù)器資源進(jìn)行度量。真正可靠的量度評估不同云服務(wù)供應(yīng)商成本和性價(jià)比的方法是使用相同的程序?qū)Χ鄠€(gè)云服務(wù)供應(yīng)商提供的服務(wù)進(jìn)行試驗(yàn)，然后通過比較其運(yùn)行結(jié)果，從而選擇企業(yè)真正需要的服務(wù)。

2.2? ?云服務(wù)器的選擇

云服務(wù)器的選擇是最能直接體現(xiàn)云計(jì)算的按需付費(fèi)模式。在彈性計(jì)算的技術(shù)下，我們在選擇服務(wù)器時(shí)，應(yīng)當(dāng)考慮以下幾點(diǎn)：

（1）服務(wù)類型：根據(jù)網(wǎng)頁類型、網(wǎng)站程序和運(yùn)行環(huán)境等需求，從而對操作系統(tǒng)、存儲模式等進(jìn)行選擇。

（2）訪問量：根據(jù)日均訪問量，同時(shí)訪問量和并發(fā)訪問量等需要，選擇服務(wù)器的CPU類型，內(nèi)存的大小和網(wǎng)絡(luò)帶寬等。

（3）目標(biāo)用戶：根據(jù)訪問用戶的來源選擇，即是以國內(nèi)用戶為主還是以海外用戶為主，從而確定服務(wù)器的線路和所在位置。

（4）數(shù)據(jù)量：根據(jù)需要提供的數(shù)據(jù)量和讀寫量來確定云服務(wù)器的硬盤大小和類型。

3? 服務(wù)器環(huán)境配置與連接（Server environment configuration and connection）

3.1? ?服務(wù)器系統(tǒng)配置

根據(jù)所需程序、數(shù)據(jù)庫的類型，以及性能的好壞來決定采用哪種操作系統(tǒng)，在系統(tǒng)的可行性相同時(shí)，可以選擇維護(hù)服務(wù)器的人員熟悉的系統(tǒng)，這樣會使建設(shè)網(wǎng)站和配置服務(wù)器的環(huán)境等操作時(shí)更加方便快捷。且在購買服務(wù)器時(shí)需要確定系統(tǒng)，但是在后期過程中可以重裝。

3.2? ?服務(wù)器環(huán)境配置

在安裝云服務(wù)器操作系統(tǒng)以后，就可以根據(jù)自己的需求在云服務(wù)器上配置我們所需要的運(yùn)行環(huán)境。但是web服務(wù)器和應(yīng)用服務(wù)器的選擇，是需慎重考慮的，例如IIS服務(wù)器只能運(yùn)行在Windows系統(tǒng)中。還應(yīng)考慮服務(wù)器處理并發(fā)的能力和負(fù)載均衡等。本文以Windows系統(tǒng)下阿里云輕量應(yīng)用服務(wù)器的java環(huán)境的服務(wù)器配置為例，需要安裝的有jdk、Apache tomcat、mysql等。主要的步驟有：

3.3? ?服務(wù)器連接與文件傳輸

云服務(wù)器系統(tǒng)安裝完成以后，需要通過遠(yuǎn)程連接的方式對其進(jìn)行連接控制，主流的連接方式有三種，分別是mstsc連接、xshell連接、vnc連接。需要根據(jù)服務(wù)器的系統(tǒng)來選擇連接方式。下面以Windows系統(tǒng)為客戶端為例：

（1）當(dāng)服務(wù)器為Windows時(shí)，可用Windows專業(yè)版中自帶的mstsc服務(wù)進(jìn)行遠(yuǎn)程連接，此時(shí)需要輸入服務(wù)器的用戶名和密碼。

（2）當(dāng)服務(wù)器為Linux系統(tǒng)時(shí)，可以選用ssh進(jìn)行登入服務(wù)器。此種方法需要在服務(wù)器上安裝ssh服務(wù)端，然后才能在客戶端通過ssh進(jìn)行連接。

（3）無論服務(wù)器是什么系統(tǒng)，都可以通過服務(wù)商提供的vnc方式進(jìn)行連接。

在服務(wù)器遠(yuǎn)程連接完成以后，我們需要進(jìn)行文件傳輸，包括環(huán)境搭建過程中的各個(gè)安裝包的上傳，后期服務(wù)的發(fā)布和更新等。且在傳輸?shù)奈募倪^程中，也需要根據(jù)服務(wù)器的系統(tǒng)不同使用不同的方法，在Windows系統(tǒng)中，我們可以通過mstsc服務(wù)進(jìn)行文件的上傳和下載，而在Linux系統(tǒng)中則需要ftp進(jìn)行文件的上傳于下載。如圖1所示。

4? 基于SSL/TLS的HTTPS云服務(wù)安全協(xié)議配置（Configuration of HTTPS cloud service security protocol based on SSL / TLS）

4.1? ?HTTPS相對于HTTP的優(yōu)勢

HTTP通常是運(yùn)行在TCP上的一個(gè)簡單的請求-響應(yīng)協(xié)議，也是一個(gè)明文協(xié)議，它指定了服務(wù)器端和客戶端的請求響應(yīng)格式，而HTTP是則是加密的HTTP通道，它是在HTTP的基礎(chǔ)上通過傳輸加密和身份認(rèn)證，從而保障了傳輸過程的安全性[7]。即HTTPS=HTTP+SSL/TLS，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)提供了身份驗(yàn)證與加密通訊方法。且HTTPS傳輸?shù)臄?shù)據(jù)都是加密的數(shù)據(jù)，從而保障數(shù)據(jù)能夠安全準(zhǔn)確的在發(fā)送端和接收端之間傳輸。HTTPS在提高數(shù)據(jù)的安全性和保護(hù)用戶隱私安全的同時(shí)，其相對于HTTP而言消耗的資源也是更多一些，但是網(wǎng)絡(luò)信息安全的重要性明顯更高，所以其主要運(yùn)用于網(wǎng)絡(luò)通信上[8]。

4.2? ?配置方法

不同的web應(yīng)用服務(wù)器中對于SSL證書的配置方法也是不同的，本文中僅以Apache Tomcat9為，主要的步驟如下：

（1）申請并下載SSL證書。

（2）將云服務(wù)器443端口進(jìn)行開發(fā)。

（3）將證書文件保存到tomcat目錄下的conf文件夾中。

（4）配置同文件夾中的server.xml文件，配置代碼如圖2所示。

5? ?結(jié)論（Conclusion）

本文中提出的基于HTTPS的云環(huán)境構(gòu)建方法，在順應(yīng)云服務(wù)快速發(fā)展潮流和保障信息安全的同時(shí)，又滿足了個(gè)人和中小企業(yè)對于服務(wù)器高性價(jià)比的需求，并且對于云服務(wù)器的選購，環(huán)境搭建等整套流程中需要注意的問題進(jìn)行理論上的分析和驗(yàn)證，從而為需要進(jìn)行類似操作的用戶和中小企業(yè)提供一定幫助。

參考文獻(xiàn)（References）

[1] 余江，萬勁波，張?jiān)?推動中國云計(jì)算技術(shù)與產(chǎn)業(yè)創(chuàng)新發(fā)展的戰(zhàn)略思考[J].中國科學(xué)院院刊，2015，30（02）：181-186.

[2] 馮秀珍，郝鵬.云計(jì)算環(huán)境下的信息資源云服務(wù)模式研究[J].計(jì)算機(jī)科學(xué)，2012，39（S2）：110-114.

[3] 佚名.北京市測繪設(shè)計(jì)研究院服務(wù)智慧中關(guān)村建設(shè)[J].北京測繪，2016（03）：2.

[4] 李亞奇.虛擬化云計(jì)算中資源管理的研究[J].電腦知識與技術(shù)，2013，9（12）：2916-2917.

[5] 李雨鮮，羅昌瓊.淺析云計(jì)算在GIS中的應(yīng)用[J].北京測繪，2016（02）：116-118.

[6] 魏興國.HTTP和HTTPS協(xié)議安全性分析[J].程序員，2007（07）：53-55.

[7] 張寶玉.淺析HTTPS協(xié)議的原理及應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（07）：36-37;39.

[8] 郭浩然.網(wǎng)站安全之HTTPS優(yōu)缺點(diǎn)分析[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2017，43（05）：50-51.