SSL協(xié)議的誕生背景

迅猛發(fā)展的互聯(lián)網(wǎng)為我們提供了豐富的信息資源，在帶來(lái)便利的同時(shí)也影響著人們工作和生活方式。而讓我們無(wú)法忽視的是，在開放的互聯(lián)網(wǎng)所帶來(lái)的繁榮背后，同時(shí)也潛藏著安全方面的隱患。隨著人們對(duì)網(wǎng)絡(luò)的依賴愈漸加深，各種加密技術(shù)應(yīng)運(yùn)而生，用以保障網(wǎng)絡(luò)信息的安全性。SSL(Secure Sockets Layer)協(xié)議，便是在互聯(lián)網(wǎng)上廣泛應(yīng)用于交易安全性保障的一種主導(dǎo)技術(shù)。

SSL屬于加密通訊協(xié)議，工作在TCP協(xié)議和應(yīng)用層協(xié)議之間。在SSL加密通道內(nèi)可以運(yùn)行很多的上層協(xié)議，如HTTP通過(guò)SSL封裝后的協(xié)議通常標(biāo)示為HTTPS。在一般情況下，HTTP采用明文的方式在互聯(lián)網(wǎng)上進(jìn)行傳輸，但是對(duì)于認(rèn)證口令等敏感信息而言，會(huì)存在被非法竊聽的風(fēng)險(xiǎn)。為了消除這一方面的隱患，可采用SSL協(xié)議對(duì)HTTP協(xié)議進(jìn)行加密（即HTTPS），以確保在整個(gè)數(shù)據(jù)傳輸過(guò)程中的信息安全性。在SSL通信過(guò)程中，首先采用非對(duì)稱密鑰技術(shù)交換認(rèn)證信息，并交換服務(wù)器和瀏覽器之間用于加密數(shù)據(jù)的會(huì)話密鑰，然后利用該密鑰對(duì)通信過(guò)程中的信息進(jìn)行加密和解密。

當(dāng)前面臨的問(wèn)題

借助SSL加密機(jī)制，但凡涉及敏感信息的互聯(lián)網(wǎng)服務(wù)，便可利用數(shù)據(jù)傳輸加密來(lái)增強(qiáng)其安全性。諸如電子商務(wù)、賬單支付、納稅申報(bào)、股票與證券交易等線上業(yè)務(wù)，紛紛得以通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)安全交付。然而，任何事物都具有一體兩面的特性，SSL的聯(lián)機(jī)加密運(yùn)算不可避免會(huì)消耗服務(wù)器的處理性能，在相同的硬件性能下，處理SSL加密數(shù)據(jù)所消耗的時(shí)間是處理明文數(shù)據(jù)的5倍。換而言之，一臺(tái)服務(wù)器啟用SSL加密之后,其性能往往只達(dá)到原來(lái)的20%，其余80%的計(jì)算性能都消耗在了SSL的加密運(yùn)算方面。如此可以預(yù)見到，與日俱增的SSL通信量，將會(huì)給網(wǎng)絡(luò)服務(wù)器帶來(lái)嚴(yán)重的負(fù)擔(dān)。

為了緩解服務(wù)器的性能壓力，一度較為流行的方法是安裝SSL加速卡。但是加速卡對(duì)SSL數(shù)據(jù)的處理還是建立在服務(wù)器主機(jī)之上，并且過(guò)分注重于加速SSL數(shù)據(jù)處理，而不是完全卸除系統(tǒng)負(fù)荷。隨著網(wǎng)絡(luò)應(yīng)用的日益豐富、數(shù)據(jù)流量的迅猛增長(zhǎng)、線上用戶數(shù)量的不斷增加，單純的SSL加速卡已經(jīng)越來(lái)越難以勝任。另一方面，SSL加速卡一般都存在系統(tǒng)兼容性不佳、性能受制于總線技術(shù)瓶頸、對(duì)主機(jī)的依賴性大等問(wèn)題，越來(lái)越無(wú)法滿足大型應(yīng)用的需求。

SSL卸載解決方案

日益增長(zhǎng)的SSL通信量已經(jīng)對(duì)系統(tǒng)設(shè)計(jì)者們提出了前所未有的挑戰(zhàn)，尤其是大型網(wǎng)站和數(shù)據(jù)中心的場(chǎng)景中，往往需要同時(shí)處理數(shù)以萬(wàn)計(jì)的安全交易。這時(shí)候我們發(fā)現(xiàn)，傳統(tǒng)的SSL加速解決方案在面對(duì)如此規(guī)模信息處理的時(shí)候，顯得是那么的蒼白無(wú)力。此外，由于SSL對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行了加密，各種網(wǎng)絡(luò)設(shè)備對(duì)這些內(nèi)容也就變得難以處理，例如負(fù)載均衡器無(wú)法提取用戶會(huì)話中的cookies、URL、路徑等信息進(jìn)行細(xì)化的分發(fā)調(diào)度。

問(wèn)題已經(jīng)顯而易見，要實(shí)現(xiàn)高性能的SSL處理，涉及到兩個(gè)方面的改進(jìn)。一方面通過(guò)SSL和TCP/IP包處理的一體化設(shè)計(jì)，全面卸除系統(tǒng)負(fù)荷，另一方面要將SSL數(shù)據(jù)處理融入新型網(wǎng)絡(luò)設(shè)備，以便于保持與一般網(wǎng)絡(luò)結(jié)構(gòu)有良好的契合性。在這段時(shí)間里，市場(chǎng)上也不斷涌現(xiàn)出一系列的創(chuàng)新技術(shù)，用以改善通過(guò)網(wǎng)絡(luò)交付業(yè)務(wù)應(yīng)用的效率。負(fù)載均衡方面的創(chuàng)新也從專注于基礎(chǔ)設(shè)施效率的單純網(wǎng)絡(luò)技術(shù)，轉(zhuǎn)移到了業(yè)務(wù)應(yīng)用的性能優(yōu)化和安全方面，由此誕生了應(yīng)用交付這樣一個(gè)觸及網(wǎng)絡(luò)、服務(wù)器、應(yīng)用乃至安全方面的產(chǎn)品。

配備SSL卸載功能的應(yīng)用交付設(shè)備，可以充當(dāng)起SSL代理服務(wù)器的角色，將專用的SSL應(yīng)用程序置于網(wǎng)絡(luò)服務(wù)器的前端，不影響后臺(tái)服務(wù)器主機(jī)的CPU資源，從而全面卸除SSL數(shù)據(jù)處理的負(fù)荷。當(dāng)客戶端發(fā)起的HTTPS連接，經(jīng)過(guò)應(yīng)用交付設(shè)備處理后，變成明文的HTTP數(shù)據(jù)，即可被WEB服務(wù)程序（例如IIS、APACHE）直接讀取，無(wú)需特殊的驅(qū)動(dòng)程序來(lái)傳送和接受網(wǎng)絡(luò)數(shù)據(jù)。

當(dāng)前應(yīng)用場(chǎng)景與今后發(fā)展

現(xiàn)如今，越來(lái)越多提供線上服務(wù)的組織機(jī)構(gòu)，如電子商務(wù)和金融服務(wù)等行業(yè)，紛紛選擇通過(guò)部署應(yīng)用交付設(shè)備的解決方案，在保障應(yīng)用系統(tǒng)穩(wěn)定性的同時(shí)，從后臺(tái)服務(wù)器端卸除SSL數(shù)據(jù)處理的性能負(fù)荷。

西部證券股份有限公司是經(jīng)中國(guó)證券監(jiān)督管理委員會(huì)批準(zhǔn)設(shè)立，于2001年元月正式注冊(cè)開業(yè)的證券經(jīng)營(yíng)機(jī)構(gòu)。公司出于應(yīng)用安全方面考慮，對(duì)官網(wǎng)上使用HTTP傳輸?shù)膽?yīng)用，采用了HTTPS加密的訪問(wèn)方式，以防止數(shù)據(jù)傳輸過(guò)程中的泄密或被篡改。鑒于SSL加密運(yùn)算對(duì)服務(wù)器的計(jì)算資源占用極大，如果由應(yīng)用服務(wù)器來(lái)做加密的話，會(huì)對(duì)應(yīng)用服務(wù)器的業(yè)務(wù)處理能力造成很大的影響。因此，公司采用了深信服科技的應(yīng)用交付解決方案，對(duì)于發(fā)布門戶業(yè)務(wù)網(wǎng)站的Web集群，利用深信服AD設(shè)備實(shí)現(xiàn)服務(wù)器負(fù)載均衡，在處理用戶登錄賬戶的界面時(shí)，通過(guò)AD設(shè)備完成SSL加密計(jì)算，并將后臺(tái)的HTTP服務(wù)轉(zhuǎn)化為安全的HTTPS服務(wù)，整合解決安全性和穩(wěn)定性的問(wèn)題。

在不同的應(yīng)用場(chǎng)景中，應(yīng)用交付設(shè)備的SSL卸載功能也有著相應(yīng)的側(cè)重點(diǎn)。某些在安全性方面有特殊要求的用戶，除了利用應(yīng)用交付設(shè)備處理與客戶端的SSL通訊之外，還可以配置與后臺(tái)服務(wù)器之間采用弱加密的SSL進(jìn)行通訊。這種場(chǎng)景也許在不久的將來(lái)便會(huì)遇到，隨著人們對(duì)線上應(yīng)用的安全性要求不斷提升，現(xiàn)今采用1024-bit密鑰加密的CA證書將在2013年停用，取而代之的是等級(jí)更高的2048-bit密鑰加密。對(duì)于通過(guò)互聯(lián)網(wǎng)交付業(yè)務(wù)的組織機(jī)構(gòu)而言，將不得不考慮這對(duì)于應(yīng)用系統(tǒng)乃至網(wǎng)絡(luò)基礎(chǔ)設(shè)施的性能影響。屆時(shí)，利用應(yīng)用交付設(shè)備處理來(lái)自客戶端的2048-bit密鑰SSL通訊，而后臺(tái)服務(wù)器仍然延用1024-bit密鑰。不僅能滿足行業(yè)合規(guī)性的要求，也可降低網(wǎng)絡(luò)設(shè)備升級(jí)帶來(lái)的成本和負(fù)擔(dān)，不失為一種平滑過(guò)渡的方案。