F5 BIGIP SSL 加速全攻略.doc

F5 BIGIP-LTM SSL应用加速技术白皮书 2007-10-02 16:50:59??作者：Metoo??来源：F5 Netoworks??浏览次数：13??文字大小：【大】【中】【小】 简介：F5 BIGIP-LTM SSL应用加速技术白皮书 1 SSL加速原理 1.1 SSL简要介绍 SSL是被设计用来保证信息安全的一个协议，它依赖于可靠的TCP协议来传输数据。它的特点之一是独立于上层的应用层协议(如：HTTP，FTP，TELNET ... 关键字：SSL 加速 F5 BIGIP 1?SSL加速原理1.1?SSL简要介绍SSL是被设计用来保证信息安全的一个协议，它依赖于可靠的TCP协议来传输数据。它的特点之一是独立于上层的应用层协议(如：HTTP，FTP，TELNET等)，这些应用层协议可以透明使地用SSL协议。SSL协议可以协商一个对称加密算法和会话密钥，同时可以在通信之前认证服务器的合法性。 SSL协议提供了一种“管道式安全”，它具有三个特征： ?管道是必威体育官网网址的，必威体育官网网址性是通过使用加密技术来保证的，在通过一个简单的握手过程之后获得一个共同的密钥，作为对称加密算法的密钥。(?管道是认证过的，服务器端总是需要把自己的证书递交给客户端，以便客户端对服务器进行认证。服务器可以选择是否需要客户端递交证书。(?管道是可靠的，消息的传输包含了消息完整性检查。(?SSL协议实际上由两个协议构成，位于下面的一层为SSL记录协议（SSL Record Protocol），其上为SSL控制协议(SSL Control Protocols)，SSL记录协议用于封装上层发送和接收的所有数据，当然包括 SSL控制协议的数据， SSL控制协议包含： ?SSL握手协议(SSL Handshake Protocol)(?SSL密钥交换协议(SSL Change Ciphers( Specification)?SSL报警协议(SSL Alert Protocol)( SSL的握手过程是建立SSL的主要加密和安全参数的过程，它是SSL的控制协议执行的控制功能。握手过程体现在浏览器使用HTTPS访问WEB服务器时，包括以下步骤： 1浏览器向安全WEB服务器发出一个HTTPS的请求，比如：。2 该WEB服务器将它的证书递交给浏览器的SSL模块。3 浏览器检查服务器递交的证书的有效性，比如有效日期和证书的签名等。如果该证书不是被一个浏览器已经信任的发证结构（CA）签发的证书，浏览器将弹出一个对话框来提示用户是否信任该WEB站点证书。如果用户选择不信任该证书，浏览器会选择自动中止该连接。4 浏览器将把从WEB站点证书里取得的站点名称和浏览器的URL 里的域名相对照，如果相符，浏览器将认为站点为真正的站点。5 浏览器将自己支持的一系列算法发送给服务器。6 如果服务器需要客户端递交证书，浏览器将把自己的证书发送给服务器，服务器检查递交的证书，并且检查该证书是否为自己已经信任的发证机构（CA）发放的证书。如果不是，服务器将自动中止该次连接。7 服务器端选择自己和客户端共同支持的加密算法，然后发送给客户端。?8?? 浏览器产生一个会话密钥，然后把该密钥通过服务器的公钥加密后传给服务器。?9?? 服务器接收到该加过密的会话密钥后用自己的私钥解密，得到会话密钥的明文。10 客户端和服务器使用刚才协商的会话密钥对应用层的数据进行加解密，对传输的数据进行安全保护。 典型的SSL应用部署如下： ?1.2?BIGIP SSL 加速在SSL处理过程中，所有的传输内容均采用加密算法处理。其中最重要的两个部分为SSL握手时交换秘钥的非对称加密和数据传输时的对称加密。 在现有的系统中，通常非对成加密采用1024位的密钥进行加解密，因此对服务器的CPU占用率非常高。在一台必威体育精装版型号的双Xeon服务器上，大约每秒钟400次非对称加解密就能导致CPU占用率100%。同时对称加密通常采用128位，最高256位加密的加解密也会导致服务器CPU占用率居高不下，同样的服务器SSL流量大约能达到150Mbps。因此当我们在部署SSL应用时，必须考虑到以下参数：?TPS：Transection( Per Second，也就是每秒钟完成的非对称加解密次数?Bulk：SSL对称加解密的吞吐能力，通常以Mbps来进行衡量。(当SSL的客户端压力超过400TPS时，单台服务器就很难处理请求了。因此，必须采用SSL加速设备来进行处理。 BIGIP-LTM/ACC系列可从最低2000TPS到64000TPS实现全硬件处理SSL非对称加密和对称加密流量。其实现的结构如下： 所有的SSL流量均在BIGIP上终结，BIGIP与服务器之间可采用HTTP或者弱加密的SSL进