SSL加速是指由SSL加速卡提供SSL协议握手消息的加密和解密,针对客户端浏览器加速响应https握手连接;SSL卸载是指由SSL卸载卡将SSL加密流量解密为明文流量供Web服务器处理,针对Web服务器减轻解密负担。
SSL加速
定义与功能:SSL加速英文是SSL Acceleration,由SSL加速卡(SSL Accelerator)提供SSL协议握手消息的加密和解密。针对客户端浏览器,能加速响应客户端的https握手连接。
发展背景:在1994年SSL证书实现https加密服务后不久,因Web服务器性能较差,SSL加密和解密消耗服务器30%-60%的资源,所以出现独立硬件卡负责https加解密工作以减轻服务器负担。
发展历程
第一代SSL加速器:每秒能处理600个RSA解密算法。全速运行时,对RC4/MD5密码套件,负载占1GHz奔腾III CPU处理能力16%;对3DES/SHA-1密码套件,需144%的CPU处理能力。可扩展性差,增加加速卡需增加服务器卡,成本攀升,且加速卡数量增加提高效率有限,CPU仍要从事大量加密工作。
第二代SSL加速器:采用IC形式,能增加每秒握手次数。设计工程师发现需在握手与加密计算的吞吐量之间取得均衡,避免瓶颈后移到CPU。网络安全处理器IC卸载主处理器的握手函数以及记录层的大量加密与认证函数,使CPU能腾出更多资源执行包处理。安全处理器芯片上集成多个公用组件,包括随机数发生器、公钥加密模块和密码加密/认证模块,且优先采用66MHz/64位PCI总线,随机数发生器、公钥引擎与密码加密/认证模块一般链接在同一PCI总线上,制造商将安全处理器置于PCI板上以方便集成。
现状:随着Intel CPU在2008年内置支持AES算法提供加解密功能,以及CPU运算能力不断提升,https加密给服务器增加的负担大幅下降到3%左右,特别是ECC算法SSL证书广泛部署使用,原先市场上大量SSL加速卡消失,基于SSL加速卡实现的SSL网关产品也很少见。
SSL卸载
定义与功能:SSL卸载英文是SSL Offloading,由SSL卸载卡将SSL加密流量解密为明文流量给Web服务器处理。针对Web服务器,能减轻Web服务器的解密负担。
重要性
许多安全检测设备难以扩展处理大量恶意流量及后续解密、检测、重新加密流程,使用应用交付控制器(ADC)或SSL卸载专用设备解密加密流量,可确保安全设备各司其职。
使Web或应用服务器能一次管理许多连接,简化复杂性并避免性能下降。当与SSL VPN集群一起使用时,可使集群处理的连接数大幅增加。
将SSL或TLS流量卸载到ADC或专用设备上,可提高Web应用性能,同时确保加密流量安全性。
运作原理:在加密流量到达服务器之前进行拦截,然后在应用交付控制器(ADC)或SSL终结专用设备(而非应用服务器)上解密和分析此类流量。ADC能更好地处理解密多个SSL连接的严苛任务,让服务器充分处理应用服务。
