安全套接層（SSL）協(xié)議應用淺析

安全套接層（SSL，Secure Sockets Layer）協(xié)議及其后續(xù)傳輸層安全（Transport Layer Security，TLS）協(xié)議是為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，在傳輸層對網(wǎng)絡連接進行加密，以保護敏感數(shù)據(jù)在傳輸過程中的安全。常見的HTTPS實際上就是HTTP over SSL，它使用默認端口443，而不是像HTTP那樣使用端口80來和TCP/IP進行通信。HTTPS協(xié)議使用SSL在發(fā)送方把原始數(shù)據(jù)進行加密，然后在接受方進行解密，加密和解密需要發(fā)送方和接受方通過交換共知的密鑰來實現(xiàn)，因此，所傳送的數(shù)據(jù)不容易被網(wǎng)絡黑客截獲和解密。
該協(xié)議在電子商務、電子政務領域都得到了較為廣泛的應用。例如，網(wǎng)上報稅、網(wǎng)上社保、網(wǎng)絡招投標等應用都普遍采用了SSL協(xié)議，美、歐、日等國的知識產(chǎn)權部門明確要求基于互聯(lián)網(wǎng)的數(shù)據(jù)傳輸和交換需要采用SSL協(xié)議進行加密；包括谷歌、百度、支付寶、淘寶、微信公眾號、網(wǎng)銀、門戶等在內(nèi)的大批網(wǎng)站也使用了該協(xié)議。

根據(jù)SSL協(xié)議的原理，需要在發(fā)送方對原始數(shù)據(jù)加密、然后在接收方進行解密，這一過程需要耗費大量的服務器計算資源。據(jù)初步的測試數(shù)據(jù)，使采用SSL加密傳輸后將增加服務器端至少30%以上的負載，對于大并發(fā)Web應用帶來的計算資源消耗總量更難以承受。為了在獲得安全性的同時，需要采取相應的技術措施保證SSL協(xié)議加密、解密的性能，即俗稱的“SSL卸載（SSL Offloading）”。SSL卸載即通過系統(tǒng)內(nèi)置嵌入式芯片、插卡或?qū)ｉT的軟件模塊來接管原系統(tǒng)CPU需要承擔的SSL協(xié)議及加解密計算負荷，從而提高系統(tǒng)整體性能的一種技術。
首先，應該是應用傳輸?shù)男枨筮M行分析。對于安全要求沒有那么高的數(shù)據(jù)，不必采用SSL進行加密，這樣可以大大降低相應計算平臺的開銷。
然后，可以分別采用軟硬件措施支持SSL的加密/解密：
1）硬件方式：通過網(wǎng)絡設備進行SSL卸載或者在服務器上加裝SSL卸載板卡，前者的好處是對后端應用透明，實現(xiàn)簡單快捷，缺點是需要相應的網(wǎng)絡設備支持；后者的好處是效率高，但是每臺物理服務器上都需要購買和安裝主板卡，成本較高。
2）軟件方式：好處是性能壓力分擔到每個Web服務器的CPU上。缺點是對于Web服務器的配置要求高，需要部署大量的Web服務器，導致成本增加。

在我國信息安全形勢日益嚴峻的情況下，加快應用在國外取得良好效果的SSL協(xié)議來保護網(wǎng)絡傳輸?shù)拿舾袛?shù)據(jù)，是一個技術難度相對較低的安全解決措施。

（作者：宋揚）