HTTPS 計算性能優(yōu)化

優(yōu)先使用 ECC

ECC 橢圓加密算術相比普通的離散對數(shù)計算速度性能要強很多。下表是 NIST 推薦的密鑰長度對照表。
對稱密鑰大小 | RSA 和 DH 密鑰大小 | ECC 密鑰大小
----|------|---- 80|1024|160| 112|2048|224 128|3072|256 192|7680|384 256|15360|521 表格 2 NIST 推薦使用的密鑰長度
對于 RSA 算法來講，目前至少使用 2048 位以上的密鑰長度才能保證安全性。ECC 只需要使用 224 位長度的密鑰就能實現(xiàn) RSA2048 位長度的安全強度。在進行相同的模指數(shù)運算時速度顯然要快很多。

使用最新版的 openssl

一般來講，新版的 openssl 相比老版的計算速度和安全性都會有提升。比如 openssl1.0.2 采用了 intel 最新的優(yōu)化成果，橢圓曲線 p256 的計算性能提升了 4 倍。/Openssl 2014 年就升級了 5 次，基本都是為了修復實現(xiàn)上的 BUG 或者算法上的漏洞而升級的。所以盡量使用最新版本，避免安全上的風險。

硬件加速方案

現(xiàn)在比較常用的 TLS 硬件加速方案主要有兩種：

1. SSL 專用加速卡。

2. GPU SSL 加速。 上述兩個方案的主流用法都是將硬件插入到服務器的 PCI 插槽中，由硬件完成最消耗性能的計算。但這樣的方案有如下缺點：

3. 支持算法有限。比如不支持 ECC，不支持 GCM 等。

4. 升級成本高。

• 出現(xiàn)新的加密算法或者協(xié)議時，硬件加速方案無法及時升級。

• 出現(xiàn)比較大的安全漏洞時，部分硬件方案在無法在短期內升級解決。比如 2014 年暴露的 heartbleed 漏洞。

5. 無法充分利用硬件加速性能。硬件加速程序一般都運行在內核態(tài)，計算結果傳遞到應用層需要 IO 和內存拷貝開銷，即使硬件計算性能非常好，上層的同步等待和 IO 開銷也會導致整體性能達不到預期，無法充分利用硬件加速卡的計算能力。

6. 維護性差。硬件驅動及應用層 API 大部分是由安全廠家提供，出現(xiàn)問題后還需要廠家跟進。用戶無法掌握核心代碼，比較被動。不像開源的 openssl，不管算法還是協(xié)議，用戶都能掌握。

TLS 遠程代理計算

也正是因為上述原因，百度實現(xiàn)了專用的 SSL 硬件加速集群?；舅悸肥牵?/p>

1. 優(yōu)化 TLS 協(xié)議棧，剝離最消耗 CPU 資源的計算，主要有如下部分：

• RSA 中的加解密計算。

• ECC 算法中的公私鑰生成。

• ECC 算法中的共享密鑰生成。

2. 優(yōu)化硬件計算部分。硬件計算不涉及協(xié)議及狀態(tài)交互，只需要處理大數(shù)運算。

3. Web server 到 TLS 計算集群之間的任務是異步的。即 web server 將待計算內容發(fā)送給加速集群后，依然可以繼續(xù)處理其他請求，整個過程是異步非阻塞的。

網頁題目：HTTPS 計算性能優(yōu)化
瀏覽地址：http://www.bm7419.com/news28/44978.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供網站維護、虛擬主機、域名注冊、品牌網站設計、網站排名、網站營銷

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)