現(xiàn)今SSL安全協(xié)議廣泛地用在Internet和Intranet的服務(wù)器產(chǎn)品和客戶端產(chǎn)品中,用于安全地傳送數(shù)據(jù)���,集中到每個(gè)WEB服務(wù)器和瀏覽器中���,從而來保證來用戶都可以與Web站點(diǎn)安全交流 。本文將詳細(xì)介紹SSL安全協(xié)議及在WEB服務(wù)器安全的應(yīng)用���。
一���、SSL安全協(xié)議在WEB服務(wù)器中的應(yīng)用
1、我們?yōu)樘峁┚哂姓嬲踩B接的高速安全套接層SSL)交易���,可以將PCI卡形式的SSL卸載(offloading)設(shè)備直接安裝到Web服務(wù)器上���,這種做法的好處是:
(1)從客戶機(jī)到安全Web服務(wù)器的數(shù)據(jù)安全性;
(2)由于卸載工具執(zhí)行所有SSL處理過程并完成TCP/IP協(xié)商���,因此大大提高了吞吐量���;
(3)簡(jiǎn)化了密鑰的管理和維護(hù)���。
安全性加大在實(shí)現(xiàn)向電子商務(wù)和其它安全Web站點(diǎn)的服務(wù)器增加SSL加速和卸載設(shè)備的結(jié)果是提高了交易處理速度。但是由于設(shè)備是作為應(yīng)用被安裝在網(wǎng)絡(luò)上的���,因此設(shè)備與安全服務(wù)器之間的數(shù)據(jù)是未加密的���。將SSL卸載設(shè)備作為PCI擴(kuò)展卡直接安裝在安全服務(wù)器上,保證了從瀏覽器到服務(wù)器的連接安全性���。
SSL可以用于在線交易時(shí)保護(hù)象信用卡號(hào)以及股票交易明細(xì)這類敏感信息���。受SSL保護(hù)的網(wǎng)頁具有"https"前綴,而非標(biāo)準(zhǔn)的"http"前綴���。
2���、新型專用網(wǎng)絡(luò)設(shè)備SSL加速器可以使Web站點(diǎn)通過在優(yōu)化的硬件和軟件中進(jìn)行所有的SSL處理來滿足性能和安全性的需要。
當(dāng)具有SSL功能的瀏覽器(Navigator���、IE)與Web服務(wù)器(Apache���、IIS)通信時(shí),它們利用數(shù)字證書確認(rèn)對(duì)方的身份���。數(shù)字證書是由可信賴的第三方發(fā)放的���,并被用于生成公共密鑰。
當(dāng)最初的認(rèn)證完成后���,瀏覽器向服務(wù)器發(fā)送48字節(jié)利用服務(wù)器公共密鑰加密的主密鑰���,然后Web服務(wù)器利用自己的私有密鑰解密這個(gè)主密鑰。最后���,瀏覽器和服務(wù)器在會(huì)話過程中用來加解密的對(duì)稱密鑰集合就生成了���。加密算法可以為每次會(huì)話顯式地配置或協(xié)商,最廣泛使用的加密標(biāo)準(zhǔn)為"數(shù)據(jù)加密標(biāo)準(zhǔn)"(DES)和RC4���。
一旦完成上述啟動(dòng)過程���,安全通道就建立了���,保密的數(shù)據(jù)傳輸就可以開始了。盡管初始認(rèn)證和密鑰生成對(duì)于用戶是透明的���,但對(duì)于Web服務(wù)器來說���,它們遠(yuǎn)非透明。由于必須為每次用戶會(huì)話執(zhí)行啟動(dòng)過程���,因而給服務(wù)器CPU造成了沉重負(fù)擔(dān)并產(chǎn)生了嚴(yán)重的性能瓶頸���。據(jù)測(cè)試,當(dāng)處理安全的SSL會(huì)話時(shí)���,標(biāo)準(zhǔn)的Web服務(wù)器只能處理1%到10%的正常負(fù)載���。
二、應(yīng)做的處理
密碼在加解密數(shù)據(jù)時(shí)���,使用兩種類型的密鑰���。私有密鑰被發(fā)給各實(shí)體并且永遠(yuǎn)不向外透露���,公共密鑰可以任意分發(fā)。這兩種密鑰對(duì)于認(rèn)證過程是必不可少的���。使用公鑰加密的數(shù)據(jù)不能使用同一個(gè)密鑰進(jìn)行解密,必須使用私有密鑰進(jìn)行解密���。
SSL使用復(fù)雜的數(shù)學(xué)公式進(jìn)行數(shù)據(jù)加密和解密���,這些公式的復(fù)雜性根據(jù)密碼的強(qiáng)度不同而不同。高強(qiáng)度的計(jì)算會(huì)使多數(shù)服務(wù)器停頓���,導(dǎo)致性能下降���。多數(shù)Web服務(wù)器在執(zhí)行SSL相關(guān)任務(wù)時(shí),吞吐量會(huì)顯著下降���,性能比在只執(zhí)行HTTP 1.0連接時(shí)的速度慢50多倍���。而且由于SSL復(fù)雜的認(rèn)證方案和加/解密算法,SSL需要大量地消耗CPU資源���,從而造成Web服務(wù)器性能很大的下降���。它所造成的服務(wù)器瓶頸使Web站點(diǎn)的速度慢如蝸牛爬行���,這無疑會(huì)失去在線客戶。
來校路線
