SSL加速和SSL卸载是什么意思？

SSL加速和SSL卸载是什么意思？本文将为大家详细介绍SSL加速和SSL卸载。

一、SSL加速和SSL卸载

什么是SSL加速？SSL加速英文是SSL Acceleration, 是指由SSL加速卡（SSL Accelerator）来提供SSL协议握手消息的加密和解密。
什么是SSL卸载？SSL卸载的英文是SSL Offloading，是指由SSL卸载卡来提供SSL加密流量解密为明文流量给Web服务器处理。
前者是针对客户端浏览器来讲的，能加速响应客户端的https握手连接；后者则是针对Web服务器来讲的，能减轻Web服务器的解密负担。
SSL加速卡和SSL卸载卡一般都是同一张硬件密码卡同时提供SSL加速和SSL卸载功能，这个产品是一个比较“古老”的产品，从1994年有了SSL证书实现https加密服务后不久就有了SSL加速和卸载卡。因为当时的Web服务器性能比较差，SSL加密和解密几乎消耗了服务器的30%-60%的资源，所以，必须有一个独立的硬件卡来负责https加解密工作，减轻服务器的负担。
但是，随着Intel CPU在2008年内置了支持AES算法提供加解密功能，以及CPU的运算能力的不断提升，https加密给服务器增加的负担大幅下降到3%左右，特别是ECC算法SSL证书的广泛部署使用。使得原先市场上大量的SSL加速卡大量消失了，现在能搜索到的厂家已经非常少了，基于SSL加速卡实现的SSL网关产品在市场上也很少见了。

二、了解第一代和第二代SSL加速器

第一代SSL加速器：
第一代SSL加速器每秒能处理600个RSA解密算法。在全速运行条件下，一个每秒运行600个RSA解密算法的系统需要约85Mbps的加密处理能力，对于RC4/MD5密码套件而言，其负载将占1GHz奔腾III CPU处理能力16%，而3DES/SHA-1密码套件则需要144%的CPU处理能力。
当RSA解密功能由SSL加速器实现后，CPU就不会过载，并有足够能力进行TCP/IP处理与记录层处理。当两个SSL功能单元之间建立平衡后，网络服务器就能高速发送加密的业务数据，虽然不能接近线速度，但远远好于不采用SSL加速器的性能。但是，可扩展性是第一代加速器所不能实现的性能。
为了在系统架构中增加更多的SSL加速器，设计工程师必须增加更多的服务器卡。对于设计工程师与运营商来说，显然是件很困难的事。由于每块卡的价格要几千美元，再加上上万美元的额外服务器费用，使得这种解决方案的成本迅速攀升。
从性能角度看，由于CPU仍要从事大量的加密工作，加速卡数量的增加所提高的效率非常有限。CPU既要执行越来越多的TCP/IP处理，同时又要负责加密计算，因此第一代系统的可扩展性极其有限。
由于上述问题的存在，设计工程师只好又重新寻求新的加速技术，最后他们用单个芯片开发出完整的SSL加速产品。
第二代SSL加速器：
虽然第一代产品通过SSL加速器处理RSA解密功能来提高性能，但系统级的总体性能仍不理想，而采用IC形式推出的第二代产品能增加每秒握手次数。
第二代SSL加速器设计工程师很快发现需要在握手与加密计算的吞吐量（异步与同步操作）之间取得均衡，一味地提高每秒内的握手次数只会产生新的瓶颈。随着密码套件处理量的增加，CPU资源很快就会耗尽，也削弱了对TCP/IP的处理能力。
例如，即使主处理器采用1GHz奔腾III处理器，一个每秒能发送2,000次RSA握手的纯RSA解密器也会给主处理器带来沉重的负载。对于RC4-MD5密码套件来说这些负载将消耗55%的CPU资源，而对于需要大量计算的3DES-SHA1密码套件来说可能需要近500%的CPU资源。
迅速增加握手次数将使瓶颈后移到CPU，这时，只要记录层存在大量加密处理就将产生系统阻塞。
为了避免这种瓶颈问题，芯片与系统设计工程师开始寻求用IC来实现SSL加速。这些通常被称为网络安全处理器的IC会卸载主处理器的握手函数（RSA解密与密钥生成）以及记录层的大量加密与认证函数，使CPU能腾出更多的资源来执行包处理，从而提升系统总体性能。
采用SSL加速器IC的优势在于能分担主机上的SSL协议处理，以及提供更多RSA解密的能力。为了使这些IC能充分发挥系统级性能，所有SSL组件必须协同工作。为了给完整的SSL协议提供服务，安全处理器芯片上需要集成多个公用组件，包括随机数发生器、公钥加密模块和密码加密/认证模块。
除了服务整个SSL协议外，网络安全处理器IC必须能快速处理数据的输入输出。为了实现这个目的，这些处理器必须优先采用66MHz/64位 PCI总线。为了加快数据的输入输出速度，随机数发生器、公钥引擎与密码加密/认证模块一般应链接在同一PCI总线上，这样在系统设计中能方便地将它们链接到其它PCI架构。
为了进一步方便集成，制造商还需将安全处理器置于PCI板上。因此，制造商需要解决一般OEM厂商都会遇到的I/O困难，尤其在将这些IC置入PCI系统架构的时候。

三、了解SSL卸载

1、SSL卸载的重要性
许多安全检测设备难以扩展以处理涌入的大量恶意流量，更不用说解密、检测，然后再次重新加密等后续流程。使用应用交付控制器 （Application Delivery Controller，ADC）或SSL卸载专用设备来解密加密流量，可确保安全设备能够“各司其职”。
此外，通过使用SSL卸载，可以使您的Web或应用服务器能够一次管理许多连接，同时简化复杂性并避免性能下降。当SSL卸载与SSL VPN集群一起使用时，SSL卸载会发挥巨大作用，原因在于其可使集群处理的连接数大幅增加。
将SSL或TLS流量卸载到ADC或专用设备上，可以提高Web应用的性能，同时确保加密流量的安全性。
2、SSL卸载是如何运作的？
SSL卸载的运作原理是在加密流量到达服务器之前进行拦截，然后在应用交付控制器（ADC）或SSL终结专用设备（而非应用服务器）上解密和分析此类流量。ADC能够更好地处理解密多个SSL连接的严苛任务，让服务器得以充分处理应用服务。

声明：本平台所收集的部分公开资料来源于互联网，转载的目的在于传递更多信息及用于网络分享，并不代表本平台赞同其观点和对其真实性负责，也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品，请与我们取得联系，我们会及时修改或删除。