迅猛發展的互聯網為我們提供了豐富的信息資源，在帶來便利的同時也影響著人們工作和生活方式。而讓我們無法忽視的是，在開放的互聯網所帶來的繁榮背后，同時也潛藏著安全方面的隱患。隨著人們對網絡的依賴愈漸加深，各種加密技術應運而生，用以保障網絡信息的安全性。SSL(Secure Sockets Layer)協議，便是在互聯網上廣泛應用于交易安全性保障的一種主導技術。

 

SSL屬于加密通訊協議，工作在TCP協議和應用層協議之間。在SSL加密通道內可以運行很多的上層協議，如HTTP通過SSL封裝后的協議通常標示為HTTPS。在一般情況下，HTTP采用明文的方式在互聯網上進行傳輸，但是對于認證口令等敏感信息而言，會存在被非法竊聽的風險。為了消除這一方面的隱患，可采用SSL協議對HTTP協議進行加密（即HTTPS），以確保在整個數據傳輸過程中的信息安全性。在SSL通信過程中，首先采用非對稱密鑰技術交換認證信息，并交換服務器和瀏覽器之間用于加密數據的會話密鑰，然后利用該密鑰對通信過程中的信息進行加密和解密。

 

 

借助SSL加密機制，但凡涉及敏感信息的互聯網服務，便可利用數據傳輸加密來增強其安全性。諸如電子商務、賬單支付、納稅申報、股票與證券交易等線上業務，紛紛得以通過互聯網實現安全交付。然而，任何事物都具有一體兩面的特性，SSL的聯機加密運算不可避免會消耗服務器的處理性能，在相同的硬件性能下，處理SSL加密數據所消耗的時間是處理明文數據的5倍。換而言之，一臺服務器啟用SSL加密之后,其性能往往只達到原來的20%，其余80%的計算性能都消耗在了SSL的加密運算方面。如此可以預見到，與日俱增的SSL通信量，將會給網絡服務器帶來嚴重的負擔。

 

為了緩解服務器的性能壓力，一度較為流行的方法是安裝SSL加速卡。但是加速卡對SSL數據的處理還是建立在服務器主機之上，并且過分注重于加速SSL數據處理，而不是完全卸除系統負荷。隨著網絡應用的日益豐富、數據流量的迅猛增長、線上用戶數量的不斷增加，單純的SSL加速卡已經越來越難以勝任。另一方面，SSL加速卡一般都存在系統兼容性不佳、性能受制于總線技術瓶頸、對主機的依賴性大等問題，越來越無法滿足大型應用的需求。

 

 

日益增長的SSL通信量已經對系統設計者們提出了前所未有的挑戰，尤其是大型網站和數據中心的場景中，往往需要同時處理數以萬計的安全交易。這時候我們發現，傳統的SSL加速解決方案在面對如此規模信息處理的時候，顯得是那么的蒼白無力。此外，由于SSL對應用層數據進行了加密，各種網絡設備對這些內容也就變得難以處理，例如負載均衡器無法提取用戶會話中的cookies、URL、路徑等信息進行細化的分發調度。

 

問題已經顯而易見，要實現高性能的SSL處理，涉及到兩個方面的改進。一方面通過SSL和TCP/IP包處理的一體化設計，全面卸除系統負荷，另一方面要將SSL數據處理融入新型網絡設備，以便于保持與一般網絡結構有良好的契合性。在這段時間里，市場上也不斷涌現出一系列的創新技術，用以改善通過網絡交付業務應用的效率。負載均衡方面的創新也從專注于基礎設施效率的單純網絡技術，轉移到了業務應用的性能優化和安全方面，由此誕生了應用交付這樣一個觸及網絡、服務器、應用乃至安全方面的產品。

 

配備SSL卸載功能的應用交付設備，可以充當起SSL代理服務器的角色，將專用的SSL應用程序置于網絡服務器的前端，不影響后臺服務器主機的CPU資源，從而全面卸除SSL數據處理的負荷。當客戶端發起的HTTPS連接，經過應用交付設備處理后，變成明文的HTTP數據，即可被WEB服務程序（例如IIS、APACHE）直接讀取，無需特殊的驅動程序來傳送和接受網絡數據。

 

 

現如今，越來越多提供線上服務的組織機構，如電子商務和金融服務等行業，紛紛選擇通過部署應用交付設備的解決方案，在保障應用系統穩定性的同時，從后臺服務器端卸除SSL數據處理的性能負荷。

 

西部證券股份有限公司是經中國證券監督管理委員會批準設立，于2001年元月正式注冊開業的證券經營機構。公司出于應用安全方面考慮，對官網上使用HTTP傳輸的應用，采用了HTTPS加密的訪問方式，以防止數據傳輸過程中的泄密或被篡改。鑒于SSL加密運算對服務器的計算資源占用極大，如果由應用服務器來做加密的話，會對應用服務器的業務處理能力造成很大的影響。因此，公司采用了深信服科技的應用交付解決方案，對于發布門戶業務網站的Web集群，利用深信服AD設備實現服務器負載均衡，在處理用戶登錄賬戶的界面時，通過AD設備完成SSL加密計算，并將后臺的HTTP服務轉化為安全的HTTPS服務，整合解決安全性和穩定性的問題。

 

在不同的應用場景中，應用交付設備的SSL卸載功能也有著相應的側重點。某些在安全性方面有特殊要求的用戶，除了利用應用交付設備處理與客戶端的SSL通訊之外，還可以配置與后臺服務器之間采用弱加密的SSL進行通訊。這種場景也許在不久的將來便會遇到，隨著人們對線上應用的安全性要求不斷提升，現今采用1024-bit密鑰加密的CA證書將在2013年停用，取而代之的是等級更高的2048-bit密鑰加密。對于通過互聯網交付業務的組織機構而言，將不得不考慮這對于應用系統乃至網絡基礎設施的性能影響。屆時，利用應用交付設備處理來自客戶端的2048-bit密鑰SSL通訊，而后臺服務器仍然延用1024-bit密鑰。不僅能滿足行業合規性的要求，也可降低網絡設備升級帶來的成本和負擔，不失為一種平滑過渡的方案。