安全套接层（SSL）协议应用浅析

安全套接层（SSL，Secure Sockets Layer）协议及其后续传输层安全（Transport Layer Security，TLS）协议是为网络通信提供安全及数据完整性的一种安全协议，在传输层对网络连接进行加密，以保护敏感数据在传输过程中的安全。常见的HTTPS实际上就是HTTP over SSL，它使用默认端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密，然后在接受方进行解密，加密和解密需要发送方和接受方通过交换共知的密钥来实现，因此，所传送的数据不容易被网络黑客截获和解密。
该协议在电子商务、电子政务领域都得到了较为广泛的应用。例如，网上报税、网上社保、网络招投标等应用都普遍采用了SSL协议，美、欧、日等国的知识产权部门明确要求基于互联网的数据传输和交换需要采用SSL协议进行加密；包括谷歌、百度、支付宝、淘宝、微信公众号、网银、门户等在内的大批网站也使用了该协议。

根据SSL协议的原理，需要在发送方对原始数据加密、然后在接收方进行解密，这一过程需要耗费大量的服务器计算资源。据初步的测试数据，使采用SSL加密传输后将增加服务器端至少30%以上的负载，对于大并发Web应用带来的计算资源消耗总量更难以承受。为了在获得安全性的同时，需要采取相应的技术措施保证SSL协议加密、解密的性能，即俗称的“SSL卸载（SSL Offloading）”。SSL卸载即通过系统内置嵌入式芯片、插卡或专门的软件模块来接管原系统CPU需要承担的SSL协议及加解密计算负荷，从而提高系统整体性能的一种技术。
首先，应该是应用传输的需求进行分析。对于安全要求没有那么高的数据，不必采用SSL进行加密，这样可以大大降低相应计算平台的开销。
然后，可以分别采用软硬件措施支持SSL的加密/解密：
1）硬件方式：通过网络设备进行SSL卸载或者在服务器上加装SSL卸载板卡，前者的好处是对后端应用透明，实现简单快捷，缺点是需要相应的网络设备支持；后者的好处是效率高，但是每台物理服务器上都需要购买和安装主板卡，成本较高。
2）软件方式：好处是性能压力分担到每个Web服务器的CPU上。缺点是对于Web服务器的配置要求高，需要部署大量的Web服务器，导致成本增加。

在我国信息安全形势日益严峻的情况下，加快应用在国外取得良好效果的SSL协议来保护网络传输的敏感数据，是一个技术难度相对较低的安全解决措施。

（作者：宋扬）