SSL加解密是最耗费服务器资源的一种应用,通过硬件实现可减小服务器负担。
现代社会,各类终端之间传递的信息多如牛毛。而一般情况下,HTTP采用明文的方式在互联网上进行传输,但账号、密码等敏感信息,存在被非法窃听的风险,或者是发出的信息被篡改、被拦截等各种安全隐患,细思极恐。
为了确保网站应用的安全性,通常会采用SSL(Secure Sockets Layer,安全套接层)及其继任协议TLS(Transport Layer Security,传输层安全),它们是为网络通信提供安全及数据完整性的一种安全协议,SSL与TLS在传输层对网络连接进行加密。以HTTP应用为例,为了消除上述提到的安全隐患,可采用SSL协议对HTTP协议进行加密(即HTTPS),以确保在整个数据传输过程中的信息安全性。
然而,利用SSL对传输信息进行加密虽然让网站应用的安全性得到了明显的提高,但同时也为不法分子进行安全威胁提供了可乘之机-----已经被攻击了的流量也会被加密,如同穿上了“安全衣”,潜伏在流量中,肆意地从事破坏活动。因此,很多情况下需要对这些加密流量进行解密,从而实现加密网络的可视化呈现,将“有害”流量暴露出来,以确保流量的安全。
图1 SSL/TLS协议栈架构为此,星融元全面升级了SSL网络解密的方案,面向Https应用,提供旁路解密和串接解密方案,实现加密业务流量的可视化监控。
我们知道SSL加解密是最耗费服务器资源的一种应用,通过硬件实现可减小服务器负担。
星融元SSL流量解密方案
要对SSL流量进行解密,核心前提是要取得服务器端数字证书的私钥,有了这个私钥就可以对整个SSL握手过程进行解析,从而可以解密获得双方协商的后续SSL会话过程的对称加密密钥,通过这个对称加密密钥就可以解密整个SSL通信过程,并可以将解密后的SSL流量进行预处理以后复制/分流给后端多个深度分析系统。
图2 SSL解密部署星融元提供SSL解密模块--NSA(Network SSL Analysis),NSA是星融元FusionNOS网络操作系统的一个软件功能模块,与FusionNOS网络操作系统一起,可以部署在星融元的ARM架构设备上,也可以部署在通用x86服务器或者虚拟机上。由NSA模块进行SSL/TLS流量解密,并且可以对解密后的流量进行预处理、复制、分流等服务。
星融元提供旁路解密部署方案和串接解密部署方案,支持重建解密后的数据流,满足金融、政务、校园等多种实际应用场景。旁路部署模式下,不会对原有通信过程造成任何影响。
星融元NSA产品特性
星融元 NSA专注于高性能实时SSL解密处理,提供通用的加密/解密算法,主要产品特性如下:
- 支持通用摘要算法、对称加密算法和非对称密钥交换算法;
- 支持SSL / TLS:SSL3.0、TLS1.0、TLS1.1、TLS1.2;
- 摘要算法:SHA、SHA256、SHA384、MD5等;
- 对称加密算法:AES128、AES256、DES、RC4等;
- 非对称密钥算法:RSA、DH、ECDH等;
- 密钥管理:支持通过配置绑定私钥与服务器IP地址/端口;
- 流恢复:当SSL/TLS被解密时,NSA可以重建没有SSL/TLS头的数据包,并计算TCP序列并修复TCP/IP校验和;
- 报文输出:NSA可以分别输出加密流和普通流。 可选地,TCP端口信息可以在解密完成时从端口443修改为端口80;
- 会话管理:支持TCP重组,如乱序数据包、TCP状态跟踪;
- SSL/TLS会话关联:当可以重用密钥时,将SSL/TLS会话与会话ID或票证相关联;
- 性能:部署在不同架构上的NSA性能有所不同,以ARM架构的设备为例,单机解密性能为2Gbps,1000万并发会话。
