根據(jù)USENIX研討會(huì)的報(bào)告顯示，這項(xiàng)技術(shù)被稱為SSLShading，它顯示了SSL代理服務(wù)器(基于商用硬件)如何在不減慢處理速度的情況下保護(hù)web服務(wù)器。

　　SSL/TLS是用來(lái)保護(hù)在線網(wǎng)絡(luò)交易的加密協(xié)議，能夠?qū)挠脩綦娔X到web服務(wù)器的流量進(jìn)行全程加密保護(hù)，這使通過(guò)攻擊未加密無(wú)線網(wǎng)絡(luò)獲取數(shù)據(jù)(例如會(huì)話cookies)的行為變?yōu)椴豢赡埽@也是Firesheep劫持攻擊的原理。

　　基于美國(guó)和韓國(guó)研究人員設(shè)計(jì)的算法，SSLShading是這樣一種軟件，它將代理服務(wù)器處理的SSL流量導(dǎo)向到CPU或者圖形處理單元(GPU)，取決于哪種方式更適合處理當(dāng)前負(fù)載。

　　“關(guān)鍵概念在于當(dāng)待處理加密操作的數(shù)量可以由CPU處理時(shí)，將所有請(qǐng)求發(fā)送到CPU，”研究人員表示，“如果請(qǐng)求開(kāi)始隊(duì)列中堆積，該算法將會(huì)卸載加密操作到GPU，并利用平行執(zhí)行來(lái)獲取更大流通量。”

　　SSL每秒交易(TPS)只使用了測(cè)試服務(wù)器上的CPU(總共為3632)，研究人員表示，而使用代理GPU及其算法則達(dá)到了18428TPS。該研究團(tuán)隊(duì)使用的是四核Intel Xeon X5550 CPU和480核的NVIDIA GTX 480 顯卡。

　　SSLShader仍然存在一些缺點(diǎn)，其中最突出的缺點(diǎn)就是GPU處理1MB以下的交易效果很好，但是對(duì)于更大的交易，CPU處理得更好，研究人員表示。 另外一個(gè)問(wèn)題是，該服務(wù)器使用的Linux內(nèi)核有一個(gè)網(wǎng)絡(luò)協(xié)議棧，該協(xié)議棧并不能很好地利用多核CPU，研究人員說(shuō)道。研究人員表示他們將改善他們軟件的可用性，但是并沒(méi)有說(shuō)明確的時(shí)間。

　　使用SSL保護(hù)網(wǎng)站的傳統(tǒng)問(wèn)題之一就是額外的處理要求及相關(guān)費(fèi)用，安全咨詢公司IP Architects總裁John Pironti表示，“確保SSL運(yùn)行的基礎(chǔ)設(shè)施成本也是問(wèn)題，”他表示，這取決于部署的規(guī)模和復(fù)雜性。

　　隨著處理器變得越來(lái)越強(qiáng)大，并且也更加廉價(jià)，成本已經(jīng)不再是很大的問(wèn)題，如果在最開(kāi)始SSL就被設(shè)計(jì)到基礎(chǔ)架構(gòu)中，“這將比稍后增加到基礎(chǔ)架構(gòu)中更加便宜。”

　　在網(wǎng)站部署SSL面臨的障礙比硬件成本和性能面臨的問(wèn)題更加嚴(yán)重，Paypal首席信息安全官M(fèi)ichael Barrett表示。所有PalPal網(wǎng)站內(nèi)容都是受SSL保護(hù)的，并且涉及的并不僅僅是處理問(wèn)題，“從應(yīng)用程序的角度來(lái)看，才是真正的問(wèn)題，”他表示。

　　例如，如果程序假設(shè)它一直在未受保護(hù)的HTTP下運(yùn)行，它將會(huì)試圖重定向?yàn)g覽器到HTTP。為了解決這個(gè)問(wèn)題，企業(yè)可能需要重新編寫(xiě)有問(wèn)題的應(yīng)用程序。當(dāng)HTTP請(qǐng)求生成時(shí)，這可能會(huì)導(dǎo)致效率低下，并且網(wǎng)站將重新路由它們以改為HTTPS(SSL/TLS)，對(duì)于延誤問(wèn)題將需要更多的溝通。

　　PayPal網(wǎng)站使用互聯(lián)網(wǎng)標(biāo)準(zhǔn)HTTP嚴(yán)格傳輸安全標(biāo)準(zhǔn)(STS)，該標(biāo)準(zhǔn)規(guī)定瀏覽通過(guò)HTTPS與web服務(wù)器交互的網(wǎng)站。瀏覽器將會(huì)記住下一次將請(qǐng)求發(fā)送到相同的網(wǎng)址，即使網(wǎng)址是以HTTP書(shū)寫(xiě)的，仍將被作為HTTPS發(fā)送。到目前位置，F(xiàn)irefox和谷歌Chrome瀏覽器的某些版本支持HTTP STS，也可以在不影響終端用戶使用的情況下為不支持標(biāo)準(zhǔn)的用戶部署這種標(biāo)準(zhǔn)。

　　SSL的另一個(gè)障礙就是需要讓一個(gè)證書(shū)頒發(fā)機(jī)構(gòu)來(lái)處理加密密鑰驗(yàn)證和管理證書(shū)，Barrett表示。

原文鏈接：http://safe.it168.com/a2011/0302/1162/000001162043.shtml