安全套接層（SSL）協(xié)議應(yīng)用淺析

安全套接層（SSL，Secure Sockets Layer）協(xié)議及其后續(xù)傳輸層安全（Transport Layer Security，TLS）協(xié)議是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密，以保護(hù)敏感數(shù)據(jù)在傳輸過程中的安全。常見的HTTPS實(shí)際上就是HTTP over SSL，它使用默認(rèn)端口443，而不是像HTTP那樣使用端口80來和TCP/IP進(jìn)行通信。HTTPS協(xié)議使用SSL在發(fā)送方把原始數(shù)據(jù)進(jìn)行加密，然后在接受方進(jìn)行解密，加密和解密需要發(fā)送方和接受方通過交換共知的密鑰來實(shí)現(xiàn)，因此，所傳送的數(shù)據(jù)不容易被網(wǎng)絡(luò)黑客截獲和解密。
該協(xié)議在電子商務(wù)、電子政務(wù)領(lǐng)域都得到了較為廣泛的應(yīng)用。例如，網(wǎng)上報(bào)稅、網(wǎng)上社保、網(wǎng)絡(luò)招投標(biāo)等應(yīng)用都普遍采用了SSL協(xié)議，美、歐、日等國(guó)的知識(shí)產(chǎn)權(quán)部門明確要求基于互聯(lián)網(wǎng)的數(shù)據(jù)傳輸和交換需要采用SSL協(xié)議進(jìn)行加密；包括谷歌、百度、支付寶、淘寶、微信公眾號(hào)、網(wǎng)銀、門戶等在內(nèi)的大批網(wǎng)站也使用了該協(xié)議。

根據(jù)SSL協(xié)議的原理，需要在發(fā)送方對(duì)原始數(shù)據(jù)加密、然后在接收方進(jìn)行解密，這一過程需要耗費(fèi)大量的服務(wù)器計(jì)算資源。據(jù)初步的測(cè)試數(shù)據(jù)，使采用SSL加密傳輸后將增加服務(wù)器端至少30%以上的負(fù)載，對(duì)于大并發(fā)Web應(yīng)用帶來的計(jì)算資源消耗總量更難以承受。為了在獲得安全性的同時(shí)，需要采取相應(yīng)的技術(shù)措施保證SSL協(xié)議加密、解密的性能，即俗稱的“SSL卸載（SSL Offloading）”。SSL卸載即通過系統(tǒng)內(nèi)置嵌入式芯片、插卡或?qū)ｉT的軟件模塊來接管原系統(tǒng)CPU需要承擔(dān)的SSL協(xié)議及加解密計(jì)算負(fù)荷，從而提高系統(tǒng)整體性能的一種技術(shù)。
首先，應(yīng)該是應(yīng)用傳輸?shù)男枨筮M(jìn)行分析。對(duì)于安全要求沒有那么高的數(shù)據(jù)，不必采用SSL進(jìn)行加密，這樣可以大大降低相應(yīng)計(jì)算平臺(tái)的開銷。
然后，可以分別采用軟硬件措施支持SSL的加密/解密：
1）硬件方式：通過網(wǎng)絡(luò)設(shè)備進(jìn)行SSL卸載或者在服務(wù)器上加裝SSL卸載板卡，前者的好處是對(duì)后端應(yīng)用透明，實(shí)現(xiàn)簡(jiǎn)單快捷，缺點(diǎn)是需要相應(yīng)的網(wǎng)絡(luò)設(shè)備支持；后者的好處是效率高，但是每臺(tái)物理服務(wù)器上都需要購(gòu)買和安裝主板卡，成本較高。
2）軟件方式：好處是性能壓力分擔(dān)到每個(gè)Web服務(wù)器的CPU上。缺點(diǎn)是對(duì)于Web服務(wù)器的配置要求高，需要部署大量的Web服務(wù)器，導(dǎo)致成本增加。

在我國(guó)信息安全形勢(shì)日益嚴(yán)峻的情況下，加快應(yīng)用在國(guó)外取得良好效果的SSL協(xié)議來保護(hù)網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)，是一個(gè)技術(shù)難度相對(duì)較低的安全解決措施。

（作者：宋揚(yáng)）