SSL卸载技术对于HTTPS应用的优化与思考

迅猛发展的互联网为咱们提供了丰富的信息资源，在带来便利的同时也影响着人们工做和生活方式。而让咱们没法忽视的是，在开放的互联网所带来的繁荣背后，同时也潜藏着安全方面的隐患。随着人们对网络的依赖愈渐加深，各类加密技术应运而生，用以保障网络信息的安全性。SSL(Secure Sockets Layer)协议，即是在互联网上普遍应用于交易安全性保障的一种主导技术。 　　

SSL属于加密通信协议，工做在TCP协议和应用层协议之间。在SSL加密通道内能够运行不少的上层协议，如HTTP经过SSL封装后的协议一般标示为HTTPS。在通常状况下，HTTP采用明文的方式在互联网上进行传输，可是对于认证口令等敏感信息而言，会存在被非法窃听的风险。为了消除这一方面的隐患，可采用SSL协议对HTTP协议进行加密(即HTTPS)，以确保在整个数据传输过程当中的信息安全性。在SSL通讯过程当中，首先采用非对称密钥技术交换认证信息，并交换服务器和浏览器之间用于加密数据的会话密钥，而后利用该密钥对通讯过程当中的信息进行加密和解密。 　　当前面临的问题 　　借助SSL加密机制，但凡涉及敏感信息的互联网服务，即可利用数据传输加密来加强其安全性。诸如电子商务、帐单支付、纳税申报、股票与证券交易等线上业务，纷纷得以经过互联网实现安全交付。然而，任何事物都具备一体两面的特性，SSL的联机加密运算不可避免会消耗服务器的处理性能，在相同的硬件性能下，处理SSL加密数据所消耗的时间是处理明文数据的5倍。换而言之，一台服务器启用SSL加密以后,其性能每每只达到原来的20%，其他80%的计算性能都消耗在了SSL的加密运算方面。如此能够预见到，与日俱增的SSL通讯量，将会给网络服务器带来严重的负担。 　　

为了缓解服务器的性能压力，一度较为流行的方法是安装SSL加速卡。可是加速卡对SSL数据的处理仍是创建在服务器主机之上，而且过度注重于加速SSL数据处理，而不是彻底卸除系统负荷。随着网络应用的日益丰富、数据流量的迅猛增加、线上用户数量的不断增长，单纯的SSL加速卡已经愈来愈难以胜任。另外一方面，SSL加速卡通常都存在系统兼容性不佳、性能受制于总线技术瓶颈、对主机的依赖性大等问题，愈来愈没法知足大型应用的需求。 　　

SSL卸载解决方案 　　

日益增加的SSL通讯量已经对系统设计者们提出了史无前例的挑战，尤为是大型网站和数据中心的场景中，每每须要同时处理数以万计的安全交易。这时候咱们发现，传统的SSL加速解决方案在面对如此规模信息处理的时候，显得是那么的苍白无力。此外，因为SSL对应用层数据进行了加密，各类网络设备对这些内容也就变得难以处理，例如负载均衡器没法提取用户会话中的cookies、URL、路径等信息进行细化的分发调度。 　　

问题已经显而易见，要实现高性能的SSL处理，涉及到两个方面的改进。一方面经过SSL和TCP/IP包处理的一体化设计，全面卸除系统负荷，另外一方面要将SSL数据处理融入新型网络设备，以便于保持与通常网络结构有良好的契合性。在这段时间里，市场上也不断涌现出一系列的创新技术，用以改善经过网络交付业务应用的效率。负载均衡方面的创新也从专一于基础设施效率的单纯网络技术，转移到了业务应用的性能优化和安全方面，由此诞生了应用交付这样一个触及网络、服务器、应用乃至安全方面的产品。 　　

配备SSL卸载功能的应用交付设备，能够充当起SSL代理服务器的角色，将专用的SSL应用程序置于网络服务器的前端，不影响后台服务器主机的CPU资源，从而全面卸除SSL数据处理的负荷。当客户端发起的HTTPS链接，通过应用交付设备处理后，变成明文的HTTP数据，便可被WEB服务程序(例如IIS、APACHE)直接读取，无需特殊的驱动程序来传送和接受网络数据。 　　

当前应用场景与从此发展 　　

现现在，愈来愈多提供线上服务的组织机构，如电子商务和金融服务等行业，纷纷选择经过部署应用交付设备的解决方案，在保障应用系统稳定性的同时，从后台服务器端卸除SSL数据处理的性能负荷。 　　西部证券股份有限公司是经中国证券监督管理委员会批准设立，于2001年元月正式注册开业的证券经营机构。公司出于应用安全方面考虑，对官网上使用HTTP传输的应用，采用了HTTPS加密的访问方式，以防止数据传输过程当中的泄密或被篡改。鉴于SSL加密运算对服务器的计算资源占用极大，若是由应用服务器来作加密的话，会对应用服务器的业务处理能力形成很大的影响。所以，公司采用了深信服科技的应用交付解决方案，对于发布门户业务网站的Web集群，利用深信服AD设备实现服务器负载均衡，在处理用户登陆帐户的界面时，经过AD设备完成SSL加密计算，并将后台的HTTP服务转化为安全的HTTPS服务，整合解决安全性和稳定性的问题。 　　

在不一样的应用场景中，应用交付设备的SSL卸载功能也有着相应的侧重点。某些在安全性方面有特殊要求的用户，除了利用应用交付设备处理与客户端的SSL通信以外，还能够配置与后台服务器之间采用弱加密的SSL进行通信。这种场景也许在不久的未来便会遇到，随着人们对线上应用的安全性要求不断提高，现今采用1024-bit密钥加密的CA证书将在2013年停用，取而代之的是等级更高的2048-bit密钥加密。对于经过互联网交付业务的组织机构而言，将不得不考虑这对于应用系统乃至网络基础设施的性能影响。届时，利用应用交付设备处理来自客户端的2048-bit密钥SSL通信，然后台服务器仍然延用1024-bit密钥。不只能知足行业合规性的要求，也可下降网络设备升级带来的成本和负担，不失为一种平滑过渡的方案。