SSL加速卡.docVIP

SSL加速技术发展分析 摘 要 SSL是万维网（WWW)上保证网络交易安全的占主导地位的方式SSL通信量的提升对从事联网技术设备研究的系统设计者们提出前所未有的挑战。SSL的最大缺陷在于消耗网络服务器性能，复杂的加密算法加重计算平台与软件的数据处理量。为解决以上问题，出现了SSL加速卡。本文分析了在密码协同处理器基础上传统SSL解决方案的众多缺陷与性能兼容问题,提出了目前全球最领先的SSL卸载方案，经过实际系统验证，它具有既插既用、高效、系统资源消耗低、实现代价小等优点。一、引言加密套接层协议（简称SSL)是网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。自1994年引入，SSL很快被用于热门的网页浏览器，主要用来保护消费者在线交易的保密性。除保证电子商务安全，SSL（其最新版本称为TLS或传输层安全协议）现已进化至互联网上传输各敏感数据的择优取向，如网上银行、网上证券、在线支付、网上金融报表、在线纳税申报和网上股票购买，招投标网站等。随着网络设备速度的加快需要大量计算，而速度缓慢的 SSL 正日益显示出不足之处，它无法以线速度（wire rate)进行安全性处理，而线速度正是当今系统设计工程师所追求的目标。SSL的最大缺陷在于消耗网络服务器性能，复杂的加密算法加重计算平台与软件的数据处理量。为解决以上问题，以前保证传输安全的方法是用SSL软件+大量的服务器或者是采用SSL加速卡来弥补性能上的瓶颈，值得一提的是此类解决方案的速度大都少于1,000TPS。然而，随着人们对SSL使用日益增多，大型网站和数据中心很快需要同时处理数以万计的安全交易，速度以每秒比特计算，这就远超传统SSL解决方案的能力范围了。此外，各种网络设备对于检验 SSL 应用层数据内容并不有效，因为SSL对应用层数据加密，网络设备如负载平衡器、内容转换器就不能提取对用户cookies、URL、以及作用于路径和转换决定的信息。同时，加密数据阻碍防火墙对带有病毒、蠕虫等恶意内容进行扫描，造成企业、数据中心和网站的重大的安全隐患。结果，系统设计者不得不实现SSL数据处理结合新型网络设备设计。以上因素促使对处理SSL 数据速度由100到1,000Mbit/s的扩展方案。同时，这一解决方案必须能易用于负载平衡器、内容转换器和防火墙等各种联网技术平台。二、前二代SSL加速卡发展过程分析为了适合以上的应用需求，SSL加速卡的经历了以下三个发展阶段：第一代SSL加速卡。这些加速器试图将SSL握手（Handshake)部份的负载 RSA 解密移出网络服务器，让控制处理器（CPU)来处理余下的握手函数（用于密钥创建的散列函数)以及记录层处理函数（大量的加密与认证)。当 RSA 解密功能由 SSL 加速器实现后，CPU 就不会过载，并有足够能力进TCP/IP 处理与记录层处理。当两个 SSL 功能单元之间建立平衡后，网络服务器就能高速发送加密的业务数 据，虽然不能接近线速度，但远远好于不采用 SSL 加速器的性能。从性能角度看，由于 CPU 仍要从事大量的加密工作，加速卡数量的增加所提高的效率非常有限。CPU 既要执行越来越多的 TCP/IP 处理，同时又要负责加密计算，因此第一代系统的可扩展性极其有限。第二代SSL 加速卡。SSL性能的提高需要在握手（Handshake)与加密计算的能力（异步与同步作业)之间取得均衡，一味地提高每秒内的握手次数只会产生新的瓶颈。随着密码套件处理量的增加，CPU 资源很快就会耗尽，也削弱了对 TCP/IP 的处理能力。迅速增加握手次数将使瓶颈后移到 CPU，这时，只要记录层存在大量加密处理就将产生系统阻塞。为了避免这种瓶颈问题，芯片与系统设计工程师开始寻求用协同处理器来实现 SSL 加速。这些通常被称为网络安全处理器的 IC 会卸载主处理器的握手函数（RSA 解密与密钥产生以及记录层的大量加密与认证函数)，使 CPU 能腾出更多的资源来执行封包处理，从而提升系统总体性能。然而，协同处理器的基本原机处通过试用部分SSL加速卡，总结协同处理器的两大缺陷是：共享主机总线上传输中间数据结果的技术瓶颈主中央处理机处理支持TCP/IP协议和SSL协议处理?( ?? ?问题1：总线技术瓶颈多数加密协同处理器使用PCI总线与主中央处理机交换数据。因为协同处理器位于系统中主数据流的边沿，所以有人将此比作“边车”结构。这导致更复杂的系统设计，包括所需元件的数量和数据流的协调方式。由于存储器和其他外部设备与主机微处理器及协同处理器共享同一PCI总线，结果数据传输数目产生严重性能瓶颈。例如，协同处理器进行单一计算需要总线上多种数据传输，结果减少有效总线带宽，延长等待时间。在这一结构中，主机