星融元SSL解密：加密网络的可视化监控

SSL加解密是最耗费服务器资源的一种应用，通过硬件实现可减小服务器负担。

现代社会，各类终端之间传递的信息多如牛毛。而一般情况下，HTTP采用明文的方式在互联网上进行传输，但账号、密码等敏感信息，存在被非法窃听的风险，或者是发出的信息被篡改、被拦截等各种安全隐患，细思极恐。

为了确保网站应用的安全性，通常会采用SSL（Secure Sockets Layer，安全套接层）及其继任协议TLS（Transport Layer Security，传输层安全），它们是为网络通信提供安全及数据完整性的一种安全协议，SSL与TLS在传输层对网络连接进行加密。以HTTP应用为例，为了消除上述提到的安全隐患，可采用SSL协议对HTTP协议进行加密（即HTTPS），以确保在整个数据传输过程中的信息安全性。

然而，利用SSL对传输信息进行加密虽然让网站应用的安全性得到了明显的提高，但同时也为不法分子进行安全威胁提供了可乘之机-----已经被攻击了的流量也会被加密，如同穿上了“安全衣”，潜伏在流量中，肆意地从事破坏活动。因此，很多情况下需要对这些加密流量进行解密，从而实现加密网络的可视化呈现，将“有害”流量暴露出来，以确保流量的安全。

图1 SSL/TLS协议栈架构

为此，星融元全面升级了SSL网络解密的方案，面向Https应用，提供旁路解密和串接解密方案，实现加密业务流量的可视化监控。

我们知道SSL加解密是最耗费服务器资源的一种应用，通过硬件实现可减小服务器负担。

星融元SSL流量解密方案

要对SSL流量进行解密，核心前提是要取得服务器端数字证书的私钥，有了这个私钥就可以对整个SSL握手过程进行解析，从而可以解密获得双方协商的后续SSL会话过程的对称加密密钥，通过这个对称加密密钥就可以解密整个SSL通信过程，并可以将解密后的SSL流量进行预处理以后复制/分流给后端多个深度分析系统。

图2 SSL解密部署

星融元提供SSL解密模块--NSA（Network SSL Analysis），NSA是星融元FusionNOS网络操作系统的一个软件功能模块，与FusionNOS网络操作系统一起，可以部署在星融元的ARM架构设备上，也可以部署在通用x86服务器或者虚拟机上。由NSA模块进行SSL/TLS流量解密，并且可以对解密后的流量进行预处理、复制、分流等服务。

星融元提供旁路解密部署方案和串接解密部署方案，支持重建解密后的数据流，满足金融、政务、校园等多种实际应用场景。旁路部署模式下，不会对原有通信过程造成任何影响。

星融元NSA产品特性

星融元 NSA专注于高性能实时SSL解密处理，提供通用的加密/解密算法，主要产品特性如下：

• 支持通用摘要算法、对称加密算法和非对称密钥交换算法；
• 支持SSL / TLS：SSL3.0、TLS1.0、TLS1.1、TLS1.2；
• 摘要算法：SHA、SHA256、SHA384、MD5等；
• 对称加密算法：AES128、AES256、DES、RC4等；
• 非对称密钥算法：RSA、DH、ECDH等；
• 密钥管理：支持通过配置绑定私钥与服务器IP地址/端口；
• 流恢复：当SSL/TLS被解密时，NSA可以重建没有SSL/TLS头的数据包，并计算TCP序列并修复TCP/IP校验和；
• 报文输出：NSA可以分别输出加密流和普通流。 可选地，TCP端口信息可以在解密完成时从端口443修改为端口80；
• 会话管理：支持TCP重组，如乱序数据包、TCP状态跟踪；
• SSL/TLS会话关联：当可以重用密钥时，将SSL/TLS会话与会话ID或票证相关联；
• 性能：部署在不同架构上的NSA性能有所不同，以ARM架构的设备为例，单机解密性能为2Gbps，1000万并发会话。