根據USENIX研討會的報告顯示，這項技術被稱為SSLShading，它顯示了SSL代理服務器(基于商用硬件)如何在不減慢處理速度的情況下保護web服務器。

　　SSL/TLS是用來保護在線網絡交易的加密協議，能夠對從用戶電腦到web服務器的流量進行全程加密保護，這使通過攻擊未加密無線網絡獲取數據(例如會話cookies)的行為變為不可能，這也是Firesheep劫持攻擊的原理。

　　基于美國和韓國研究人員設計的算法，SSLShading是這樣一種軟件，它將代理服務器處理的SSL流量導向到CPU或者圖形處理單元(GPU)，取決于哪種方式更適合處理當前負載。

　　“關鍵概念在于當待處理加密操作的數量可以由CPU處理時，將所有請求發送到CPU，”研究人員表示，“如果請求開始隊列中堆積，該算法將會卸載加密操作到GPU，并利用平行執行來獲取更大流通量。”

　　SSL每秒交易(TPS)只使用了測試服務器上的CPU(總共為3632)，研究人員表示，而使用代理GPU及其算法則達到了18428TPS。該研究團隊使用的是四核Intel Xeon X5550 CPU和480核的NVIDIA GTX 480 顯卡。

　　SSLShader仍然存在一些缺點，其中最突出的缺點就是GPU處理1MB以下的交易效果很好，但是對于更大的交易，CPU處理得更好，研究人員表示。 另外一個問題是，該服務器使用的Linux內核有一個網絡協議棧，該協議棧并不能很好地利用多核CPU，研究人員說道。研究人員表示他們將改善他們軟件的可用性，但是并沒有說明確的時間。

　　使用SSL保護網站的傳統問題之一就是額外的處理要求及相關費用，安全咨詢公司IP Architects總裁John Pironti表示，“確保SSL運行的基礎設施成本也是問題，”他表示，這取決于部署的規模和復雜性。

　　隨著處理器變得越來越強大，并且也更加廉價，成本已經不再是很大的問題，如果在最開始SSL就被設計到基礎架構中，“這將比稍后增加到基礎架構中更加便宜。”

　　在網站部署SSL面臨的障礙比硬件成本和性能面臨的問題更加嚴重，Paypal首席信息安全官Michael Barrett表示。所有PalPal網站內容都是受SSL保護的，并且涉及的并不僅僅是處理問題，“從應用程序的角度來看，才是真正的問題，”他表示。

　　例如，如果程序假設它一直在未受保護的HTTP下運行，它將會試圖重定向瀏覽器到HTTP。為了解決這個問題，企業可能需要重新編寫有問題的應用程序。當HTTP請求生成時，這可能會導致效率低下，并且網站將重新路由它們以改為HTTPS(SSL/TLS)，對于延誤問題將需要更多的溝通。

　　PayPal網站使用互聯網標準HTTP嚴格傳輸安全標準(STS)，該標準規定瀏覽通過HTTPS與web服務器交互的網站。瀏覽器將會記住下一次將請求發送到相同的網址，即使網址是以HTTP書寫的，仍將被作為HTTPS發送。到目前位置，Firefox和谷歌Chrome瀏覽器的某些版本支持HTTP STS，也可以在不影響終端用戶使用的情況下為不支持標準的用戶部署這種標準。

　　SSL的另一個障礙就是需要讓一個證書頒發機構來處理加密密鑰驗證和管理證書，Barrett表示。

原文鏈接：http://safe.it168.com/a2011/0302/1162/000001162043.shtml