Boost OpenSSL是一個高性能異步HTTPS解決方案。它將最消耗CPU的計算過程剝離出來,避免在本地CPU上進行同步計算。通過異步代理系統發送給云端ASIC/FPGA卡構成的加速卡池進行計算,擁有任意擴容的算力,可以顯著降低HTTPS業務對服務器CPU的壓力。
高并發下HTTPS服務存在的問題
1.計算壓力
高并發的HTTPS服務會消耗大量CPU資源,如SSL通訊中經常用到的RSA、DH等算法通常進行的輪次比較多的模冪計算,計算量比較大,對于CPU是一個很大的負擔。以目前市面上常見的2048位密鑰的RSA來說,一次正常HTTPS交互過程,RSA計算過程需要消耗整體性能的80%左右。
2.DDoS攻擊防御難度大
隨著越來越多的網絡業務由明文HTTP轉向加密HTTPS協議,針對HTTPS的DDoS攻擊也呈快速增長趨勢,包括針對SSL/TLS握手交互的攻擊和針對HTTPS業務的攻擊。由于處理HTTPS連接的巨大資源消耗,讓HTTPS的DDoS攻擊成本較低,危害性卻較大。HTTPS的DDOS防護一直是業界的一個難題。
3.專用加速卡部署成本高
單機部署加速卡存在兩個問題:1.需要對服務器軟件進行異步通訊改造,同步模型下,加速卡的提升效果一般不超過30%;2.服務器較多的情況下費用偏高,且
大量的時間計算資源利用不充分,造成浪費。同時在證書升級等管理流程上工作量大。
Boost OpenSSL正是為了解決上述問題,它利用局域網、互聯網上的異步加速卡池來實現解密運算,可以有效提高服務器HTTPS的抗壓能力,同時降低部署成本。
高速運算
Boost OpenSSL將最消耗CPU的計算過程剝離出來,避免在本地CPU上進行同步計算。然后通過異步代理系統發送給云端ASIC/FPGA卡構成的加速卡池進行計算,擁有任意擴容的算力,可以顯著降低HTTPS業務對服務器CPU的壓力。
Boost OpenSSL異步代理計算架構
與傳統的單機部署加速卡相比,一個加速卡池可以同時支持多臺服務器,降低加速卡硬件部署成本。
Boost OpenSSL具備防御HTTPS DDOS 的能力,HTTPS DDOS防護是業界的一大難題,原因在于服務器的解密消耗遠大于客戶端。而使用Boost OpenSSL可以在遭受HTTPS攻擊的情況下,極大降低服務器壓力。
一個ASIC/FPGA 加速卡擁有50,000次/秒的RSA (2048位)操作,相當于5臺雙路Intel Xeon E5-2620 v2服務器(超線程開啟,共24核)。
高安全性
服務器與云加速卡池之間的通訊采用升級版本SEAL高速序列密碼算法,將SHA-1生成的S盒升級為更安全的國密ZUC算法。轉為CPU優化的高速學列密碼算法,可以在極低資源開銷的情況下保證服務器與云加速卡池之間的通訊安全。
高穩定性
Boost OpenSSL僅介入HTTPS 握手階段,對數據通訊網速無影響。Boost OpenSSL可以同時使用本機CPU和云加速卡池算力,在CPU壓力增大到閾值后才自動啟用云加速卡池。在云加速卡池無法連接的情況下,會自動切換卡池,在所有卡池無法連接的情況下,系統會使用CPU 完成計算,不會造成服務阻塞。
ASIC/FPGA 加速卡池
Boost OpenSSL可以接入公共云卡池,也支持部署自己的ASIC/FPGA 卡池,一個加速卡池可以同時為多臺主機服務,在多地多臺服務器的場景下可以顯著降低加速卡硬件部署成本。
基于ASIC/FPGA加速卡的服務器(1-2U 標準大小)可部署在私有云環境中,支持多加速卡服務器均衡負載,支持多點分布式部署。
快速Docker部署
通過Docker 可以方便快捷的部署Boost OpenSSL版Nginx ,無需改動現有環境。Docker中的運行性能與原生部署相當。
Docker 環境與原生環境運算性能相當
HTTPS 私鑰保護
對于安全性要求高的企業,可以利用Boost OpenSSL將SSL 密鑰保存在私有云中集中管控,安全可控。無需上傳證書到公共云服務器上即可部署HTTPS 服務。支持RSA、ECC、國密算法等多種主流 HTTPS 加密算法。
歡迎登陸www.boostopenssl.com申請測試。
