Web应用的SSL优化处理 ,ssL加速器

Web应用的SSL优化处理
本报记者 范毅波

安全套接层（SSL）协议是在Internet上秘密地、安全地传送数据的事实上的工具。该协议被集成到每个浏览器和每个Web服务器中，从而使任何一个用户都可以与任意Web站点以安全的方式交流。

例如，SSL可以用于在线交易时保护象信用卡号以及股票交易明细这类敏感信息。受SSL保护的网页具有“https”前缀，而非标准的“http”前缀。

遗憾的是，使用这种保护措施是要付出代价的。由于SSL复杂的认证方案和加/解密算法，SSL需要大量地消耗CPU资源，从而造成Web服务器性能很大的下降。它所造成的服务器瓶颈使Web站点的速度慢如蜗牛爬行，这无疑会失去在线客户。

一类新型专用网络设备——SSL加速器——使Web站点通过在优化的硬件和软件中进行所有的SSL处理来满足性能和安全性的需要。

当具有SSL功能的浏览器（Navigator、IE)与Web服务器(Apache、IIS)通信时，它们利用数字证书确认对方的身份。数字证书是由可信赖的第三方发放的，并被用于生成公共密钥。

当最初的认证完成后，浏览器向服务器发送48字节利用服务器公共密钥加密的主密钥，然后Web服务器利用自己的私有密钥解密这个主密钥。最后，浏览器和服务器在会话过程中用来加解密的对称密钥集合就生成了。加密算法可以为每次会话显式地配置或协商，最广泛使用的加密标准为“数据加密标准”（DES）和RC4。

一旦完成上述启动过程，安全通道就建立了，保密的数据传输就可以开始了。尽管初始认证和密钥生成对于用户是透明的，但对于Web服务器来说，它们远非透明。由于必须为每次用户会话执行启动过程，因而给服务器CPU造成了沉重负担并产生了严重的性能瓶颈。据测试，当处理安全的SSL会话时，标准的Web服务器只能处理1％到10％的正常负载。

SSL的性能惩罚导致了下列几种人们所不希望的后果：

电子商务交易完成起来速度缓慢，增加了客户取消购买转而访问竞争对手站点的可能性；必须添加更多的Web服务器来处理这种负载；应当被保护的信息没有得到保护，从而造成了安全风险；必须部署价格昂贵的专用网络来传送敏感的信息。

SSL加速设备的出现就是为了解决对CPU资源过量需求的SSL协议所造成的性能问题，这类设备是一些用以在不增加Web服务器负担的条件下处理SSL任务的特殊的网络部件。通过优化硬件和软件，专用SSL加速器处理SSL会话的速度为标准Web服务器的10到40倍。此外，SSL加速器解放了服务器资源，使这些资源可以真正用于处理应用逻辑和数据库查询，从而加快了整个站点的速度。

将SSL设备集成到网络中很简单，第4层到第7层交换机或负载均衡设备被配置为将所有的443端口（Https）请求改向传送到SSL设备。这时，这台设备承担所有的SSL处理任务，因而立即解脱了Web服务器的负载。随着安全传输流容量的增加，在不增加不必要的管理负担的条件下，可以再部署其他SSL设备。

最近，SSL加速器功能已经被集成到象服务器端缓存（即所谓的“服务器加速器”）这类Web内容提交产品中了。这种作法的主要好处是，服务器加速器进行SSL处理和对象提交。

配置SSL功能的服务器加速器使广泛地将SSL用于Web基础设施上的安全内容交换成为可能，安全网页将快速地得到提交，安全交易也将迅速地完成。