如何用SSL提高WEB服务器的安全性

　　现今SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中，用于安全地传送数据，集中到每个WEB服务器和浏览器中，从而来保证来用户都可以与Web站点安全交流 。本文将详细介绍SSL安全协议及在WEB服务器安全的应用。

　　一、SSL安全协议在WEB服务器中的应用

　　1、我们为提供具有真正安全连接的高速安全套接层SSL)交易，可以将PCI卡形式的SSL卸载(offloading)设备直接安装到Web服务器上，这种做法的好处是：

　　(1)从客户机到安全Web服务器的数据安全性；

　　(2)由于卸载工具执行所有SSL处理过程并完成TCP/IP协商，因此大大提高了吞吐量；

　　(3)简化了密钥的管理和维护。

　　安全性加大在实现向电子商务和其它安全Web站点的服务器增加SSL加速和卸载设备的结果是提高了交易处理速度。但是由于设备是作为应用被安装在网络上的，因此设备与安全服务器之间的数据是未加密的。将SSL卸载设备作为PCI扩展卡直接安装在安全服务器上，保证了从浏览器到服务器的连接安全性。

　　SSL可以用于在线交易时保护象信用卡号以及股票交易明细这类敏感信息。受SSL保护的网页具有"https"前缀，而非标准的"http"前缀。

　　2、新型专用网络设备SSL加速器可以使Web站点通过在优化的硬件和软件中进行所有的SSL处理来满足性能和安全性的需要。

　　当具有SSL功能的浏览器(Navigator、IE)与Web服务器(Apache、IIS)通信时，它们利用数字证书确认对方的身份。数字证书是由可信赖的第三方发放的，并被用于生成公共密钥。

　　当最初的认证完成后，浏览器向服务器发送48字节利用服务器公共密钥加密的主密钥，然后Web服务器利用自己的私有密钥解密这个主密钥。最后，浏览器和服务器在会话过程中用来加解密的对称密钥集合就生成了。加密算法可以为每次会话显式地配置或协商，最广泛使用的加密标准为"数据加密标准"(DES)和RC4。

　　一旦完成上述启动过程，安全通道就建立了，保密的数据传输就可以开始了。尽管初始认证和密钥生成对于用户是透明的，但对于Web服务器来说，它们远非透明。由于必须为每次用户会话执行启动过程，因而给服务器CPU造成了沉重负担并产生了严重的性能瓶颈。据测试，当处理安全的SSL会话时，标准的Web服务器只能处理1%到10%的正常负载。

　　二、应做的处理

　　密码在加解密数据时，使用两种类型的密钥。私有密钥被发给各实体并且永远不向外透露，公共密钥可以任意分发。这两种密钥对于认证过程是必不可少的。使用公钥加密的数据不能使用同一个密钥进行解密，必须使用私有密钥进行解密。

　　SSL使用复杂的数学公式进行数据加密和解密，这些公式的复杂性根据密码的强度不同而不同。高强度的计算会使多数服务器停顿，导致性能下降。多数Web服务器在执行SSL相关任务时，吞吐量会显著下降，性能比在只执行HTTP 1.0连接时的速度慢50多倍。而且由于SSL复杂的认证方案和加/解密算法，SSL需要大量地消耗CPU资源，从而造成Web服务器性能很大的下降。它所造成的服务器瓶颈使Web站点的速度慢如蜗牛爬行，这无疑会失去在线客户。

上一篇：服务器使用中的建议及误区

下一篇：web服务器和应用服务器的区别