安全套接层(SSL)是保证Web事务处理安全的标准方法。SSL密码系统所需的数学计算涉及到大数和大多数商用处理器指令集中所没有的数学函数。这类计算一般利用软件完成,因而给服务器造成沉重负担,一般服务器性因此会下降两个数量级。当事务处理全部采用SSL保护时,每秒能够处理1000次事务的服务器,每秒只能完成10次事务处理。
解决这种性能问题的传统解决办法是采用多CPU服务器来处理安全传输流,并且将安全网页限量应用在尽可能小的关键事务处理集合中,如信用卡数字交换。
另一种办法是利用协处理器提高SSL密码系统的速度。这类产品执行RSA加密或分组加密,或同时执行这两种加密。所有这些加密仍依靠主机处理器向加密芯片发送和从加密芯片接收SSL记录。这些处理器每秒处理成千上万个新SSL握手请求。但是,它们的实现方法要求重要的“粘接件”支持加密硬件与主机处理器之间的协作处理,并且大多数方法仍依靠PCI总线在加密芯片与主机之间传送数据。这种架构增加了复杂性,而且由于处理一次SSL会话握手就需要加密处理器与主机CPU之间进行多次交换,从而形成了性能瓶颈。
单芯片系统
解决性能瓶颈的一种方法是将整个系统放在一个芯片上来执行传输流分类、全部SSL协议和所有的分组加密。单芯片系统不需要与主机CPU打交道,从而减少了复杂性,并大大改进了性能。单芯片安全处理器为客户机端和服务器端提供了工业标准的千兆以太网接口。妨碍消灭海量SSL会话的最有威胁的障碍之一是处理封装SSL记录的TCP/IP包。即使没有建立SSL会话,仅一条千兆TCP/IP传输流就够让一个传统CPU忙个不停。新型芯片集成了高性能TCP/IP处理器,这个处理器可以为SSL传输流处理TCP分割、包重新排序和其他可能使主处理器陷于停顿的协议功能。客户机端接口是千兆媒体独立接口(GMII)端口,该端口直接安装在网络接口卡(NIC)或专用设备的物理接口的后面。
客户机HTTP传输流直接通过芯片被传送到服务器端口。服务器端口也是GMII接口。输入的SSL传输流被传送到芯片的加密部分。芯片执行所有的SSL协议功能和分组加密,并在对解密后的明文信息进行梳理并提交给服务器端口。
梳理是关键
接收解密明文的目标服务器不会出现SSL与非SSL传输流之间的性能损失,相反,目标服务器接收SSL传输流时可能会出现更好的性能,这是由于提交给它的TCP/IP传输流经过梳理的原故。嵌入式SSL解决方案除非以每秒1G的线速度、全双工执行其所有的网络和加密功能,否则毫无价值。配置、加载SSL密钥和证书文件以及管理信息检索功能,是通过作为管理端口的GMII接口执行的。所有的管理功能和通信都可以采用SSL加密。
加密更多网络传输流并取得线速度性能需要采用一种全新的加密方法。嵌入式方法带来了一种高可管理性的SSL解决方案,这种解决方案实现了高性能并且易于与Web服务器NIC、SSL专用设备以及其他4至7层设备集成。
