SSL卸載技術對于HTTPS應用的優化與思考
SSL協議的誕生背景
迅猛發展的互聯網為我們提供了豐富的信息資源,在帶來便利的同時也影響著人們工作和生活方式。而讓我們無法忽視的是,在開放的互聯網所帶來的繁榮背后,同時也潛藏著安全方面的隱患。隨著人們對網絡的依賴愈漸加深,各種加密技術應運而生,用以保障網絡信息的安全性。SSL(Secure Sockets Layer)協議,便是在互聯網上廣泛應用于交易安全性保障的一種主導技術。
SSL屬于加密通訊協議,工作在TCP協議和應用層協議之間。在SSL加密通道內可以運行很多的上層協議,如HTTP通過SSL封裝后的協議通常標示為HTTPS。在一般情況下,HTTP采用明文的方式在互聯網上進行傳輸,但是對于認證口令等敏感信息而言,會存在被非法竊聽的風險。為了消除這一方面的隱患,可采用SSL協議對HTTP協議進行加密(即HTTPS),以確保在整個數據傳輸過程中的信息安全性。在SSL通信過程中,首先采用非對稱密鑰技術交換認證信息,并交換服務器和瀏覽器之間用于加密數據的會話密鑰,然后利用該密鑰對通信過程中的信息進行加密和解密。
當前面臨的問題
借助SSL加密機制,但凡涉及敏感信息的互聯網服務,便可利用數據傳輸加密來增強其安全性。諸如電子商務、賬單支付、納稅申報、股票與證券交易等線上業務,紛紛得以通過互聯網實現安全交付。然而,任何事物都具有一體兩面的特性,SSL的聯機加密運算不可避免會消耗服務器的處理性能,在相同的硬件性能下,處理SSL加密數據所消耗的時間是處理明文數據的5倍。換而言之,一臺服務器啟用SSL加密之后,其性能往往只達到原來的20%,其余80%的計算性能都消耗在了SSL的加密運算方面。如此可以預見到,與日俱增的SSL通信量,將會給網絡服務器帶來嚴重的負擔。
為了緩解服務器的性能壓力,一度較為流行的方法是安裝SSL加速卡。但是加速卡對SSL數據的處理還是建立在服務器主機之上,并且過分注重于加速SSL數據處理,而不是完全卸除系統負荷。隨著網絡應用的日益豐富、數據流量的迅猛增長、線上用戶數量的不斷增加,單純的SSL加速卡已經越來越難以勝任。另一方面,SSL加速卡一般都存在系統兼容性不佳、性能受制于總線技術瓶頸、對主機的依賴性大等問題,越來越無法滿足大型應用的需求。
SSL卸載解決方案
日益增長的SSL通信量已經對系統設計者們提出了前所未有的挑戰,尤其是大型網站和數據中心的場景中,往往需要同時處理數以萬計的安全交易。這時候我們發現,傳統的SSL加速解決方案在面對如此規模信息處理的時候,顯得是那么的蒼白無力。此外,由于SSL對應用層數據進行了加密,各種網絡設備對這些內容也就變得難以處理,例如負載均衡器無法提取用戶會話中的cookies、URL、路徑等信息進行細化的分發調度。
問題已經顯而易見,要實現高性能的SSL處理,涉及到兩個方面的改進。一方面通過SSL和TCP/IP包處理的一體化設計,全面卸除系統負荷,另一方面要將SSL數據處理融入新型網絡設備,以便于保持與一般網絡結構有良好的契合性。在這段時間里,市場上也不斷涌現出一系列的創新技術,用以改善通過網絡交付業務應用的效率。負載均衡方面的創新也從專注于基礎設施效率的單純網絡技術,轉移到了業務應用的性能優化和安全方面,由此誕生了應用交付這樣一個觸及網絡、服務器、應用乃至安全方面的產品。
配備SSL卸載功能的應用交付設備,可以充當起SSL代理服務器的角色,將專用的SSL應用程序置于網絡服務器的前端,不影響后臺服務器主機的CPU資源,從而全面卸除SSL數據處理的負荷。當客戶端發起的HTTPS連接,經過應用交付設備處理后,變成明文的HTTP數據,即可被WEB服務程序(例如IIS、APACHE)直接讀取,無需特殊的驅動程序來傳送和接受網絡數據。
當前應用場景與今后發展
現如今,越來越多提供線上服務的組織機構,如電子商務和金融服務等行業,紛紛選擇通過部署應用交付設備的解決方案,在保障應用系統穩定性的同時,從后臺服務器端卸除SSL數據處理的性能負荷。
西部證券股份有限公司是經中國證券監督管理委員會批準設立,于2001年元月正式注冊開業的證券經營機構。公司出于應用安全方面考慮,對官網上使用HTTP傳輸的應用,采用了HTTPS加密的訪問方式,以防止數據傳輸過程中的泄密或被篡改。鑒于SSL加密運算對服務器的計算資源占用極大,如果由應用服務器來做加密的話,會對應用服務器的業務處理能力造成很大的影響。因此,公司采用了深信服科技的應用交付解決方案,對于發布門戶業務網站的Web集群,利用深信服AD設備實現服務器負載均衡,在處理用戶登錄賬戶的界面時,通過AD設備完成SSL加密計算,并將后臺的HTTP服務轉化為安全的HTTPS服務,整合解決安全性和穩定性的問題。
在不同的應用場景中,應用交付設備的SSL卸載功能也有著相應的側重點。某些在安全性方面有特殊要求的用戶,除了利用應用交付設備處理與客戶端的SSL通訊之外,還可以配置與后臺服務器之間采用弱加密的SSL進行通訊。這種場景也許在不久的將來便會遇到,隨著人們對線上應用的安全性要求不斷提升,現今采用1024-bit密鑰加密的CA證書將在2013年停用,取而代之的是等級更高的2048-bit密鑰加密。對于通過互聯網交付業務的組織機構而言,將不得不考慮這對于應用系統乃至網絡基礎設施的性能影響。屆時,利用應用交付設備處理來自客戶端的2048-bit密鑰SSL通訊,而后臺服務器仍然延用1024-bit密鑰。不僅能滿足行業合規性的要求,也可降低網絡設備升級帶來的成本和負擔,不失為一種平滑過渡的方案。
