根據(jù)USENIX研討會的報告顯示，這項技術(shù)被稱為SSLShading，它顯示了SSL代理服務(wù)器(基于商用硬件)如何在不減慢處理速度的情況下保護web服務(wù)器。

　　SSL/TLS是用來保護在線網(wǎng)絡(luò)交易的加密協(xié)議，能夠?qū)挠脩綦娔X到web服務(wù)器的流量進行全程加密保護，這使通過攻擊未加密無線網(wǎng)絡(luò)獲取數(shù)據(jù)(例如會話cookies)的行為變?yōu)椴豢赡埽@也是Firesheep劫持攻擊的原理。

　　基于美國和韓國研究人員設(shè)計的算法，SSLShading是這樣一種軟件，它將代理服務(wù)器處理的SSL流量導(dǎo)向到CPU或者圖形處理單元(GPU)，取決于哪種方式更適合處理當(dāng)前負載。

　　“關(guān)鍵概念在于當(dāng)待處理加密操作的數(shù)量可以由CPU處理時，將所有請求發(fā)送到CPU，”研究人員表示，“如果請求開始隊列中堆積，該算法將會卸載加密操作到GPU，并利用平行執(zhí)行來獲取更大流通量。”

　　SSL每秒交易(TPS)只使用了測試服務(wù)器上的CPU(總共為3632)，研究人員表示，而使用代理GPU及其算法則達到了18428TPS。該研究團隊使用的是四核Intel Xeon X5550 CPU和480核的NVIDIA GTX 480 顯卡。

　　SSLShader仍然存在一些缺點，其中最突出的缺點就是GPU處理1MB以下的交易效果很好，但是對于更大的交易，CPU處理得更好，研究人員表示。 另外一個問題是，該服務(wù)器使用的Linux內(nèi)核有一個網(wǎng)絡(luò)協(xié)議棧，該協(xié)議棧并不能很好地利用多核CPU，研究人員說道。研究人員表示他們將改善他們軟件的可用性，但是并沒有說明確的時間。

　　使用SSL保護網(wǎng)站的傳統(tǒng)問題之一就是額外的處理要求及相關(guān)費用，安全咨詢公司IP Architects總裁John Pironti表示，“確保SSL運行的基礎(chǔ)設(shè)施成本也是問題，”他表示，這取決于部署的規(guī)模和復(fù)雜性。

　　隨著處理器變得越來越強大，并且也更加廉價，成本已經(jīng)不再是很大的問題，如果在最開始SSL就被設(shè)計到基礎(chǔ)架構(gòu)中，“這將比稍后增加到基礎(chǔ)架構(gòu)中更加便宜。”

　　在網(wǎng)站部署SSL面臨的障礙比硬件成本和性能面臨的問題更加嚴重，Paypal首席信息安全官Michael Barrett表示。所有PalPal網(wǎng)站內(nèi)容都是受SSL保護的，并且涉及的并不僅僅是處理問題，“從應(yīng)用程序的角度來看，才是真正的問題，”他表示。

　　例如，如果程序假設(shè)它一直在未受保護的HTTP下運行，它將會試圖重定向瀏覽器到HTTP。為了解決這個問題，企業(yè)可能需要重新編寫有問題的應(yīng)用程序。當(dāng)HTTP請求生成時，這可能會導(dǎo)致效率低下，并且網(wǎng)站將重新路由它們以改為HTTPS(SSL/TLS)，對于延誤問題將需要更多的溝通。

　　PayPal網(wǎng)站使用互聯(lián)網(wǎng)標(biāo)準(zhǔn)HTTP嚴格傳輸安全標(biāo)準(zhǔn)(STS)，該標(biāo)準(zhǔn)規(guī)定瀏覽通過HTTPS與web服務(wù)器交互的網(wǎng)站。瀏覽器將會記住下一次將請求發(fā)送到相同的網(wǎng)址，即使網(wǎng)址是以HTTP書寫的，仍將被作為HTTPS發(fā)送。到目前位置，F(xiàn)irefox和谷歌Chrome瀏覽器的某些版本支持HTTP STS，也可以在不影響終端用戶使用的情況下為不支持標(biāo)準(zhǔn)的用戶部署這種標(biāo)準(zhǔn)。

　　SSL的另一個障礙就是需要讓一個證書頒發(fā)機構(gòu)來處理加密密鑰驗證和管理證書，Barrett表示。

原文鏈接：http://safe.it168.com/a2011/0302/1162/000001162043.shtml