什么是SSL加速?英文是SSL Acceleration, 是指由SSL加速卡(SSL Accelerator)来提供SSL协议握手消息的加密和解密。SSL卸载的英文是SSL Offloading,是指由SSL卸载卡来提供SSL加密流量解密为明文流量给Web服务器处理。前者是针对客户端浏览器来讲的,能加速响应客户端的https握手连接;后者则是针对Web服务器来讲的,能减轻Web服务器的解密负担。
SSL加速卡和SSL卸载卡一般都是同一张硬件密码卡同时提供SSL加速和SSL卸载功能,这个产品也是一个比较“古老”的产品,从1994年有了SSL证书实现https加密服务后的不久就有了SSL加速和卸载卡,因为当时的Web服务器性能比较差,SSL加密和解密几乎消耗了服务器的30%-60%的资源,所以,必须有一个独立的硬件卡来负责https加解密工作,从而减轻服务器的负担。但是,随着Intel CPU在2008年内置了支持AES算法提供加解密功能,以及CPU的运算能力的不断提升,https加密给服务器增加的负担大幅下降到3%左右,特别是ECC算法SSL证书的广泛部署使用。这些就使得原先市场上大量的SSL加速卡好像突然就消失了,现在能搜索到的厂家已经非常少了,基于SSL加速卡实现的SSL网关产品也就在市场上很少见了。
既然SSL加速、SSL卸载和SSL网关等产品已经在市场上几乎被遗忘了,为何笔者还要在密码讲堂来专门讲这个主题呢?因为笔者看到了这个几乎要被淘汰的产品可以在我国的国密改造中发挥大作用!SSL网关或称HTTPS网关这个比较古老的产品如果结合先进的云密码服务、高性能密码卡和强大的CPU处理能力将能派上大用场。
大家都知道国密https加密改造很难,要普及国密https加密必须是自动化实现,而不是手动改造Web服务器和手动部署国密SSL证书!国际上的方案是在服务器安装一个客户端软件,但是这个解决方案也很难用于实现国密https加密自动化,因为要实现国密https加密必须是Web服务器软件也支持国密算法,这就必须改造Web服务器软件,但这并不是一件容易的事情,更何况用户的需求是尽量不要动现有的服务器就能实现国密https加密!怎么办?
采用SSL加速卡实现的SSL网关就可以排上大用场了!当然不是传统的SSL网关,还需要改造成HTTPS加密自动化网关,才能担起自动化实现国密HTTPS加密的重任。
国际ACME解决方案是在Web服务器上安装ACME客户端软件,由ACME客户端软件自动连接ACME服务系统实现自动化签发RSA算法SSL证书。而国密ACME解决方案则无需在Web服务器上安装任何ACME客户端软件,Web服务器无需改造支持国密算法,只需在Web服务器前部署国密HTTPS加密自动化网关,网关已经内置了国密ACME客户端软件,会自动连接国密ACME服务系统实现自动化签发SM2算法 SSL证书和ECC算法SSL证书,自动化实现双算法双SSL证书部署,自适应加密算法实现https加密,自动卸载https加密流量并转发到后面的Web服务器,实现零改造国密https加密。
国密HTTPS加密自动化网关就是一个在传统的SSL网关的基础上增加了ACME功能的零改造实现国密https加密改造的创新产品,这是一个让“古老”的SSL加密卡在国密改造浪潮中焕发新活力的新物种,能大大降低我国普及国密https加密的实施门槛,从而大大加速国密https加密在我国的普及应用,大大加快采用国密算法和国密产品来保障我国互联网安全的步伐,大大加快提升我国互联网安全的保障水平。
Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。因此,现在有大量的网站在采用SSL技术,SSL加速就显得十分重要。现今,几乎大部分网站都已经认证了SSL,其特征就是访问地址由”Http”明文访问,变成了”Https”加密访问,确保您的网站传输数据不被泄露或篡改。
SSL加速通常指的是基于硬件的SSL实现,利用专用硬件设备处理SSL任务,具体可分为基于服务器加速板卡和基于专用加速设备两类方法。在服务器上安装一块SSL加速板卡,可以有效分担服务器CPU处理SSL事务的压力。SSL加速板卡通常有一个或多个协处理器用于实现SSL计算。这些协处理器可能采用通用CPU,也可能采用定制的ASIC芯片和RISC指令集芯片。每块加速板卡每秒至少能够处理几百个SSL事务,当前大多数商用Web服务器都已经支持将SSL加解密工作卸载到这种加速板卡上。
在SSL协议之中,算力消耗最大的步骤便是握手的RSA不对称密码函数,这一部分计算如果均由CPU计算完成,会浪费大量的CPU资源,拖慢系统的吞吐量。为了解决这个问题工程师们发明了第一代SSL加速器。这些加速器试图将SSL握手部分的负载RSA解密移出网络服务器,让控制处理器来处理余下的握手函数(用于密钥创建的散列函数)以及记录层处理函数(大量的加密与认证)。
一块典型的第一代SSL加速卡每秒能处理600个RSA解密算法。当RSA解密被移出CPU之后,CPU就可以专心于RSA加密、TCP/IP处理和记录层处理。但是由于CPU仍要从事大量的加密工作,第一代加速卡的加入所提高的效率非常有限,但远远好于不采用SSL加速卡的性能。
在第二代SSL加速卡中,芯片与系统设计工程师开始寻求用IC来实现SSL加速。这些通常被称为网络安全处理器的IC会卸载主处理器的握手函数(RSA解密与密钥生成)以及记录层的大量加密与认证函数,使CPU能腾出更多的资源来执行包处理,从而提升系统总体性能。采用SSL加速器IC的优势在于能分担主机上的SSL协议处理,以及提供更多RSA解密的能力。为了使这些IC能充分发挥系统级性能,所有SSL组件必须协同工作。为了给完整的SSL协议提供服务,安全处理器芯片上需要集成多个公用组件,包括随机数发生器、公钥加密模块和密码加密/认证模块。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/76711.html
