SSL(Secure Sockets Layer安全套接層)協(xié)議是在互聯(lián)網(wǎng)上廣泛應(yīng)用于交易安全性保障的一種主導(dǎo)技術(shù)。在一般情況下，HTTP采用明文的方式在互聯(lián)網(wǎng)上進(jìn)行傳輸，但是對于認(rèn)證口令等敏感信息而言，會存在被非法竊聽的風(fēng)險。為了消除這一方面的隱患，可采用SSL協(xié)議對HTTP協(xié)議進(jìn)行加密(即HTTPS)，以確保在整個數(shù)據(jù)傳輸過程中的信息安全性。

問題分析

服務(wù)器性能過載

借助SSL加密機(jī)制，但凡涉及敏感信息的互聯(lián)網(wǎng)服務(wù)，便可利用數(shù)據(jù)傳輸加密來增強(qiáng)其安全性。諸如電子商務(wù)、賬單支付、納稅申報、股票與證券交易等線上業(yè)務(wù)，紛紛得以通過互聯(lián)網(wǎng)實現(xiàn)安全交付。然而，SSL的聯(lián)機(jī)加密運(yùn)算不可避免會消耗服務(wù)器的處理性能，在相同的硬件性能下，處理SSL加密數(shù)據(jù)所消耗的時間是處理明文數(shù)據(jù)的5倍。一臺服務(wù)器啟用SSL加密之后,其性能往往只達(dá)到原來的20%，其余80%的計算性能都消耗在了SSL的加密運(yùn)算方面。與日俱增的SSL通信量，將會給網(wǎng)絡(luò)服務(wù)器帶來嚴(yán)重的負(fù)擔(dān)。

傳統(tǒng)方法的不足

為了緩解服務(wù)器的性能壓力，一度較為流行的方法是安裝SSL加速卡。但是加速卡對SSL數(shù)據(jù)的處理還是建立在服務(wù)器主機(jī)之上，并且過分注重于加速SSL數(shù)據(jù)處理，而不是完全卸除系統(tǒng)負(fù)荷。隨著網(wǎng)絡(luò)應(yīng)用的日益豐富、數(shù)據(jù)流量的迅猛增長、線上用戶數(shù)量的不斷增加，單純的SSL加速卡已經(jīng)越來越難以勝任。另一方面，SSL加速卡一般都存在系統(tǒng)兼容性不佳、性能受制于總線技術(shù)瓶頸、對主機(jī)的依賴性大等問題，越來越無法滿足大型應(yīng)用的需求。

安全管理的需要

日益增長的SSL通信量已經(jīng)對系統(tǒng)設(shè)計者們提出了前所未有的挑戰(zhàn)，尤其是大型網(wǎng)站和數(shù)據(jù)中心的場景中，往往需要同時處理數(shù)以萬計的安全交易。傳統(tǒng)的SSL加速卡解決方案在面對如此規(guī)模信息處理的時候，顯得捉衿見肘。此外，由于SSL對應(yīng)用層數(shù)據(jù)進(jìn)行了加密，防火墻和交換機(jī)等各種網(wǎng)絡(luò)設(shè)備面對這些內(nèi)容也就變得難以處理，例如負(fù)載均衡器無法提取用戶會話中的cookies、URL、路徑等信息進(jìn)行細(xì)化的分發(fā)調(diào)度。

深信服解決方案

針對SSL處理的高性能需求，深信服科技的服務(wù)器SSL卸載解決方案，通過將應(yīng)用訪問過程中的SSL加解密過程轉(zhuǎn)到AD應(yīng)用交付設(shè)備之上，一舉解決應(yīng)用系統(tǒng)的性能問題。

整體規(guī)劃

• 通過SSL和TCP/IP包處理的一體化設(shè)計，全面卸除系統(tǒng)負(fù)荷，減少服務(wù)器端的性能壓力。
• 將SSL數(shù)據(jù)處理融入AD應(yīng)用交付設(shè)備，以保持與一般網(wǎng)絡(luò)結(jié)構(gòu)有良好的契合性，同時保障業(yè)務(wù)應(yīng)用的性能優(yōu)化和安全方面。
• 專業(yè)的AD應(yīng)用交付設(shè)備具有強(qiáng)勁的SSL處理能力，不但能夠?qū)崿F(xiàn)端到端的SSL加密，同時支持全面的加密算法配置，并可管理服務(wù)器證書。

實現(xiàn)機(jī)制

• 配備SSL卸載功能的深信服AD應(yīng)用交付設(shè)備，可以充當(dāng)起SSL代理服務(wù)器的角色，將專用的SSL應(yīng)用程序置于網(wǎng)絡(luò)服務(wù)器的前端，不影響后臺服務(wù)器主機(jī)的CPU資源，從而全面卸除SSL數(shù)據(jù)處理的負(fù)荷。
•  當(dāng)客戶端發(fā)起的HTTPS連接，經(jīng)過AD設(shè)備處理后，變成明文的HTTP數(shù)據(jù)，即可被WEB服務(wù)程序(例如IIS、APACHE)直接讀取，無需特殊的驅(qū)動程序來傳送和接受網(wǎng)絡(luò)數(shù)據(jù)。

方案價值

• 利用AD應(yīng)用交付設(shè)備對后臺服務(wù)器進(jìn)行SSL卸載處理，保障通訊數(shù)據(jù)的安全傳輸。
• 減少后臺應(yīng)用服務(wù)器的性能消耗，顯著提升整個業(yè)務(wù)應(yīng)用系統(tǒng)的安全性和穩(wěn)定性。
• 節(jié)省應(yīng)用系統(tǒng)的服務(wù)器數(shù)量，降低業(yè)務(wù)系統(tǒng)建設(shè)的硬件投資。
• 縮短了用戶請求的響應(yīng)處理時間，提升用戶的訪問體驗。