根据USENIX研讨会的报告显示,这项技术被称为SSLShading,它显示了SSL代理服务器(基于商用硬件)如何在不减慢处理速度的情况下保护web服务器。
SSL/TLS是用来保护在线网络交易的加密协议,能够对从用户电脑到web服务器的流量进行全程加密保护,这使通过攻击未加密无线网络获取数据(例如会话cookies)的行为变为不可能,这也是Firesheep劫持攻击的原理。
基于美国和韩国研究人员设计的算法,SSLShading是这样一种软件,它将代理服务器处理的SSL流量导向到CPU或者图形处理单元(GPU),取决于哪种方式更适合处理当前负载。
“关键概念在于当待处理加密操作的数量可以由CPU处理时,将所有请求发送到CPU,”研究人员表示,“如果请求开始队列中堆积,该算法将会卸载加密操作到GPU,并利用平行执行来获取更大流通量。”
SSL每秒交易(TPS)只使用了测试服务器上的CPU(总共为3632),研究人员表示,而使用代理GPU及其算法则达到了18428TPS。该研究团队使用的是四核Intel Xeon X5550 CPU和480核的NVIDIA GTX 480 显卡。
SSLShader仍然存在一些缺点,其中最突出的缺点就是GPU处理1MB以下的交易效果很好,但是对于更大的交易,CPU处理得更好,研究人员表示。 另外一个问题是,该服务器使用的Linux内核有一个网络协议栈,该协议栈并不能很好地利用多核CPU,研究人员说道。研究人员表示他们将改善他们软件的可用性,但是并没有说明确的时间。
使用SSL保护网站的传统问题之一就是额外的处理要求及相关费用,安全咨询公司IP Architects总裁John Pironti表示,“确保SSL运行的基础设施成本也是问题,”他表示,这取决于部署的规模和复杂性。
随着处理器变得越来越强大,并且也更加廉价,成本已经不再是很大的问题,如果在最开始SSL就被设计到基础架构中,“这将比稍后增加到基础架构中更加便宜。”
在网站部署SSL面临的障碍比硬件成本和性能面临的问题更加严重,Paypal首席信息安全官Michael Barrett表示。所有PalPal网站内容都是受SSL保护的,并且涉及的并不仅仅是处理问题,“从应用程序的角度来看,才是真正的问题,”他表示。
例如,如果程序假设它一直在未受保护的HTTP下运行,它将会试图重定向浏览器到HTTP。为了解决这个问题,企业可能需要重新编写有问题的应用程序。当HTTP请求生成时,这可能会导致效率低下,并且网站将重新路由它们以改为HTTPS(SSL/TLS),对于延误问题将需要更多的沟通。
PayPal网站使用互联网标准HTTP严格传输安全标准(STS),该标准规定浏览通过HTTPS与web服务器交互的网站。浏览器将会记住下一次将请求发送到相同的网址,即使网址是以HTTP书写的,仍将被作为HTTPS发送。到目前位置,Firefox和谷歌Chrome浏览器的某些版本支持HTTP STS,也可以在不影响终端用户使用的情况下为不支持标准的用户部署这种标准。
SSL的另一个障碍就是需要让一个证书颁发机构来处理加密密钥验证和管理证书,Barrett表示。
