手机版 | 网站地图 | 设为首页
网站颜色:
首页
设计资讯
优势展厅
设计需求
设计交易
设计公司联盟
促销套餐
人才招聘
团购设计
点评
装饰装修

第三代 SSL 加速卡 SSL加速卡 britestream nCipher BN1200

  • 第三代 SSL 加速卡 SSL加速卡 britestream nCipher BN1200
  • 价    格:2970
  • 商品库存: 76 件
  • 品牌:施卡特
  • 货号:1c56cd6885a
  • 立刻联系购买联系商家believeyy

        本商品由believeyy提供,通过believeyy完成交易,请放心购物

  • 品牌:施卡特

Ssl加速设备-britestream公司ssl卸载卡

SSL加速设备-BRITESTREAM公司SSL卸载卡













SSL处理三种方式:纯软件,加速卡,卸载卡.下面主要介绍BRITESTREAM公司的卸载卡及在其上

应用的简单经验.卸载卡将所有SSL工作在其上独立完成,不会增加CPU负载.而软件和加速卡都会

损耗CPU性能,该卡相对与另两种方式实现SSL应用有三个主要特点:1.更安全,私钥及证书保存

在自毁芯片.2.安装使用方便,节省开发工作,对于单向认证,可以即插即用,3,极大的提高SSL处理性

能,完全不占用系统的CPU及总线资源,用户只需要关心其明文的应用,出现问题可以方便分析。

具体差别可以在线咨询.

Britestream Networks公司推出新一代SSL卸载解决方案;新的BN1200 PCI网络接口卡(NIC)具有

先进的安全性与高性能的处理能力

Britestream Networks公司是百分之百SSL卸载网络安全解决方案的主要提供商, 宣布推出拥有先

进安全性与高性能处理能力的新一代PCI网络接口卡(NIC)解决方案。BN1200包括对恶意攻

击抑制的增强、对空间受限网络前沿平台的外形架构进行的重新设计。

Britestream公司总裁兼CEO,Bob Weinschenk说,“随着BN1200的发布,我们增强了顾客所要

求的性能。通过对外形架构的重新设计,将SSL卸载整合到标准的PCI NIC中,BN1200不但拥有

了先进的安全性能,还提供了我们合作伙伴所期待的、简便的整合能力。”

BN1200作为标准千兆以太网接口卡(NIC),对SSL数据交换负荷处理速度高达10,000/秒。除

此之外,它还支持存储于芯片内的1K、2K与4K-bit密钥,输免受探测攻击。

Britestream公司的解决方案是第一个SSL/TLS安全网络接口卡(NIC),其是完全自含式的,在

一个单PCI卡上管理着多面的SSL/TLS处理。这是一个改变网络安全标准的、具有突破性意义的

全新概念。通过实时直接处理网络数据流中的数据,Britestream技术彻底、自动、透明地处理

安全数据,将系统解脱出来完成它们设定的任务。Britestream解决方案具有即插即用的简便性

以及加强的保护性能。

关于Britestream公司

Britestream Networks公司提供即插即用的SSL安全 NIC或ASIC,独一无二地集强大的简易性、非

折衷性能和强化的安全性于一身。Britestream公司在业界标准Ethernet NIC中推出的拥有专利的

在流TCP/IP处理引擎排除了网络整合的必要性,提供了100%的CPU卸载。凭借在硬件中存储

的敏感信息,Britestream公司的解决方案是防篡改的。从诸如服务器、负载均衡器、防火墙和

内容转换器等现有应用到诸如SSL VPNs、XML/Web服务以及安全的电子邮件网关等快速成长

的新兴应用,Britestream公司的主板和芯片解决方案消除了无所不在的所有安全部署障碍和缺

陷。这实际上也是互联网的安全问题,即自动、方便、无处不在。

卡的优势:
-不需要做任何开发:普通web网站即可直接变成用HTTPS访问的SSL加密站点。
-卓越的性能:每秒处理1万个连接请求,足以满足访问量极大的网站。有VERITEST测试报告.
-牢固的安全保证:密钥及证书存储在自毁flash中而非主机程序中,黑客无法获取。
-完全的处理Offload:完全不占用CPU,系统HTTPS性能= HTTP 性能,完全不影响web服务器

性能!
-软件及系统无关性:不需要openSSL类库的支持,不需要做任何软件开发,支持任何主流操作

系统——windows, linux, freebsd, solaris等等,与web server也无关,支持如IIS, Apache, tomcat等。
-使用简便:插入BN1200卡到PCI槽,导入证书密钥对,设置proxy即完成。

产品特性:
和标准以太网卡一样工作,10/100/1000 以太网接口(RJ-45)
支持SSL V2.0、V3.0,TLS V1.0和SSL 2.0 ClientHello’s
加密支持
@ 1024/2048/4096比特 RSA 密钥
@ 安全储存高达256的服务器私钥和证书
@ ARC4、 DES、 3DES和 AES 加密
@ MD5、SHA-1 (包括HMAC) 散列
@ 高级加密和统计学随机的真正硬件随机数字发生器(RNG)
为支持FIPS 140-2而设的要求和规则
PCI v2.2/2.3/PCI-X 1.0a 总线兼容插口
FCC 证书 Class B
使用标准Intel千兆以太网卡驱动程序

应用领域:
-WEB的HTTPS应用:网上银行,网上证券,网上税务,电子商务网站,电子政务,B/S模式

ERP系统及金融转帐,电子邮件加密等,卸载卡只需装在服务器端,客户端有浏览器就可以实

现SSL应用。卡能够独立处理所有SSL工作,用户只需关心明文的应用。
- VPN开发:极大减轻开发工作量,提升百倍性能,硬件方式更增强安全性。
-国内CA:配合认证网站,SSL安全网关等提供SSL硬件方案。
-负载均衡设备:在负载均衡设备上卸载SSL,提高负载均衡设备的SSL处理性能。
-4至7层交换机:在交换机中卸载SSL,提高SSL处理性能。
-防火呛防火墙设备中卸载SSL,提高SSL处理性能。
-网络审计:身份验证,IDS设备中卸载SSL,提高SSL处理性能。
-网络存储:加密网络存储,硬件卸载SSL,不影响原有传输速度。
-内网安全:保证个人信息及敏感资料的私密性,硬件卸载SSL,保证大量用户并发时系统性能。

我们有个团队在这张卡上做开发,我先说一下如果在web上要用这个卡大概需要做的步骤,然

后再说一下我们自已做开发时的步骤,总的来说相对加速卡不管是从性能还是在再开发的方便性

上都有足够的优势.

简化的步骤专门对web服务器的话就是:
1. 确定您的web服务器正常运行,以不加密运行。比如监听80端口,您的主机地址为a.b.c.d,确

定通过在其它机子上用IE输入http://picimg.witcp.com/pic/a.b.c.d可以正常访问.
2. 安装BN卡(跟装网卡一样),并通过配套的一个ucli程序(命令行界面)设置BN卡,把443的

包通过解密后发给80并要求您导入一个证书(只需要四五条命令即可),完成之后您现在可以

通过IE输入http://picimg.witcp.com/pic/a.b.c.d访问您的web服务器了,...是通过SSL加密的

了.
3. 通过ucli设置BN卡,设成需要客户端证书的模尸这需要五至十条命令,您要提供一个虚

的IP地址和端口,比如192.168.0.244:5000。完成之后,您在其它机子的IE里加载一个证书,并输入

http://picimg.witcp.com/pic/a.b.c.d来访问的话,BN卡会把...诜⒊觯ǖ比荒@/a>

要用程序监听它).这个数据结构中包括了证书还有连入客户端的IP和端口等信息.
4. 写一个程序通过标准的socekt 接口函数如socket()、connect()连到192.168.0.244:5000,然后等

待并可以读到数据结构(当有IE连入时),通过这个数据结构中的证书您可以验证对方是否合

法,如果合法,向192.168.0.244:5000回写一个合法信息,这时您的web就可以收到这个客户连入并

为其服务。如果不合法,您回写一个不合法的信息,BN卡会断开这个客户端的连接,您的web

也不会收到任何信息.

BN卡
____________________________________________
- 443端口 ← 加密 解密 → 80端口 -
- 证书通道 192.168.0.244:5000 -
____________________________________________


我们开发的一个服务器程序,可以理解为写一个web服务器.
第一步我们写一个服务器程序A,这个服务器程序A监听某一个端口,它不涉及相关SSL加解

密的问题,直接用OS提供的socket接口读出明文,把做应用处理之后明文数据从socket口发出,

就跟没有加密解密的程序设计是一样的,完成这个服务器程序A(相当于一个不加密的web服务

器)之后开始第二步.
第二步我们就把BN卡作为网卡装到服务器主机上,通过AG手册和一个厂家给我们的一个

ucli程序,我们配好BN卡,把服务器主机上服务器程序A要监听的端口设置成做SSL加解密,做这些

配置时我们要导入一个服务器证书,然后运行服务器程序A.
第三步我们编写用标准SSL库连上服务器程序A的客户端,并用SSL函数加载客户端证书(不

加载也可以连上,因为BN卡上我们还没有设定要客户端证书).通过标准的SSL库函数我们的客

户端可以和服务器上的应用服务器程序A很好的通信。也就是客户端通过SSL_write发送一段数

据时,服务器主机上的应用服务器程序A可以通过read读祷反过来从服务器主机上的应用服务

器程序A调用write函数写一段明文,客户端能用SSL_read读到这段明文。相对服务器程序A来说

加密解密是透明的。
第四步我们开始通过AG手册和ucli程序把BN卡设成要验证客户端证书,并设成要把证书发

给外部程序,这一系列的设置,会让您设一个虚的IP地址和端口号(证书验证通道),BN卡会

从这个虚的IP和端口号中把客户端证书和相关属性发出来(这是一个数据结构@见infoPak

(咨询特价)页,您需要写一个程序用标准的socket接口函数连上这个虚的IP和端口,如果有客户端连入

服务器程序A监听的端口时, 您的这个程序就能读到这个数据结构),注意这个过程是异步的,

也就是说突然一下有很多客户端连入,BN卡会把这些客户端的数据结构全发过来,因为这些数

据结构中都有一个唯一的ID(卡随机分配的),所以您的feedback信息也用这个ID来表示您的

feedback是对哪个客户端起作用。好了,我们下一步要做的就是怎么把BN卡从虚IP和端口发给

我的证书(一个数据结构)和服务器程序A里收到的连接同铂因为BN卡通过虚IP和端口中发

过来的证书时也有相关的客户端IP和端口信息,我们只要把这个IP和端口及证书给到服务器程

序A,服务器程序A就可跟据IP和端口知道哪个连上来的客户端是什么证书了.实现方法也很简

单。

总结,得到证书的接口是标准的socket接口,只要ASP/jsp/php等中有读socket接口的函数,可以

直接用ASP/jsp/php来得到证书.

 

 

 

 

标题:SSL加速技术发展分析        作者0  时间:2009-07-10 (咨询特价)

摘 要 SSL是万维网(WWW)上保证网络交易安全的占主导地位的方式SSL通信量的提升对从事联网技术设备研究的系统设计者们提出前所未有的挑战。SSL的最大缺陷在于消耗网络服务器性能,复杂的加密算法加重计算平台与软件的数据处理量。为解决以上问题,出现了SSL加速卡。本文分析了在密码协同处理器基础上传统SSL解决方案的众多缺陷与性能兼容问题,提出了目前全球最领先的SSL卸载方案,经过实际系统验证,它具有既插既用、高效、系统资源消耗低、实现代价小等优点。



一、引言



加密套接层协议(简称SSL)是网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。自1994年引入,SSL很快被用于热门的网页浏览器,主要用来保护消费者在线交易的保密性。除保证电子商务安全,SSL(其最新版本称为TLS或传输层安全协议)现已进化至互联网上传输各敏感数据的择优取向,如网上银行、网上证券、在线支付、网上金融报表、在线纳税申报和网上股票购买,招投标网站等。

随着网络设备速度的加快需要大量计算,而速度缓慢的 SSL 正日益显示出不足之处,它无法以线速度(wire rate)进行安全性处理,而线速度正是当今系统设计工程师所追求的目标。SSL的最大缺陷在于消耗网络服务器性能,复杂的加密算法加重计算平台与软件的数据处理量。为解决以上问题,以前保证传输安全的方法是用SSL软件+大量的服务器或者是采用SSL加速卡来弥补性能上的瓶颈,值得一提的是此类解决方案的速度大都少于1,000TPS。然而,随着人们对SSL使用日益增多,大型网站和数据中心很快需要同时处理数以万计的安全交易,速度以每秒比特计算,这就远超传统SSL解决方案的能力范围了。

此外,各种网络设备对于检验 SSL 应用层数据内容并不有效,因为SSL对应用层数据加密,网络设备如负载平衡器、内容转换器就不能提取对用户cookies、URL、以及作用于路径和转换决定的信息。同时,加密数据阻碍防火墙对带有病毒、蠕虫等恶意内容进行扫描,造成企业、数据中心和网站的重大的安全隐患。结果,系统设计者不得不实现SSL数据处理结合新型网络设备设计。

以上因素促使对处理SSL 数据速度由100到1,000Mbit/s的扩展方案。同时,这一解决方案必须能易用于负载平衡器、内容转换器和防火墙等各种联网技术平台。



二、前二代SSL加速卡发展过程分析



为了适合以上的应用需求,SSL加速卡的经历了以下三个发展阶段:

第一代SSL加速卡。这些加速器试图将SSL握手(Handshake)部份的负载 RSA 解密移出网络服务器,让控制处理器(CPU)来处理余下的握手函数(用于密钥创建的散列函数)以及记录层处理函数(大量的加密与认证)。当 RSA 解密功能由 SSL 加速器实现后,CPU 就不会过载,并有足够能力进TCP/IP 处理与记录层处理。当两个 SSL 功能单之间建立平衡后,网络服务器就能高速发送加密的业务数 据,虽然不能接近线速度,但远远好于不采用 SSL 加速器的性能。从性能角度看,由于 CPU 仍要从事大量的加密工作,加速卡数量的增加所提高的效率非常有限。CPU 既要执行越来越多的 TCP/IP 处理,同时又要负责加密计算,因此第一代系统的可扩展性极其有限。

第二代SSL 加速卡。SSL性能的提高需要在握手(Handshake)与加密计算的能力(异步与同步作业)之间取得均衡,一味地提高每秒内的握手次数只会产生新的瓶颈。随着密码套件处理量的增加,CPU 资源很快就会耗尽,也削弱了对 TCP/IP 的处理能力。迅速增加握手次数将士颈后移到 CPU,这时,只要记录层存在大量加密处理就将产生系统阻塞。为了避免这种瓶颈问题,芯片与系统设计工程师开始寻求用协同处理器来实现 SSL 加速。这些通常被称为网络安全处理器的 IC 会卸载主处理器的握手函数(RSA 解密与密钥产生以及记录层的大量加密与认证函数),使 CPU 能腾出更多的资源来执行封包处理,从而提升系统总体性能。然而,协同处理器的基本原17171717,仍要求专用的主机处17171717密码向量计算,既增加系统复杂性,又严重阻碍了现实理想性能。

通过试用部分SSL加速卡,总结协同处理器的两大缺陷是:

共享主机总线上传输中间数据结果的技术瓶颈

主中央处理机处理支持TCP/IP协议和SSL协议处理

问题1:总线技术瓶颈

多数加密协同处理器使用PCI总线与主中央处理机交换数据。因为协同处理器位于系统中主数据流的边沿,所以有人将此比作“边车”结构。这导致更复杂的系统设计,包括所需件的数量和数据流的协调方式。

由于存储器和其他外部设备与主机微处理器及协同处理器共享同一PCI总线,结果数据传输数目产生严重性能瓶颈。例如,协同处理器进行单一计算需要总线上多种数据传输,结果减少有效总线带宽,延长等待时间。

在这一结构中,主机处理器必须对来自于LAN/WAN接口的TCP/IP包进行筛选,以确定SSL加密通信数据。接着,适当的TCP/IP连接会被终结,且SSL记录被提取,主机处理器把SSL记录重新格式化,将其转为适合特殊协同处理器的密码向量。向量数据通常经由缓冲存储器间接传送至协同处理器中,这要求执行单一密码指令要在PCI总线上通过至少四个关口。

RSA公共密钥交换算法为生成坚固、冗长的密钥必须对大数取幂,大型密钥利于阻止第三者采用解密算法窃取信息。密钥密码数涵盖的数目规模是参差的,例如,一个265位二进制数几近于所探知宇宙中总原子的数目(等同于10后面76 个零)!相反,RSA算法要求把一个1024位数提升至另一个1024位数,以此类推,最终数值难以估量。

所有这些因素消耗处理器工作周期和总线带宽,极大降低系统信息通过量,延长等待时间。这解释了使用带有密码协同处理器的PCI-X等的高带宽总线(64位宽总线@133MHz)能轻易造成全部SSL解决方案的低性能,如果此时其他外部设备也在使用该总线,问题就会恶化。许多情况下,必须使用2至3个PCI网桥芯片来减少总线负载,提高有效带宽。

问题2:加密加速取决于主中央处理机支持

密码协同处理器的最大缺陷数分注重加速SSL数据处理,而17171717是完全替代SSL负载。终止和处理SSL连接的工作量,其实远超过加密计算的计算量。

全面处理SSL通信所需其他作业:

-SSL记录处理

-SSL信息传递、信息交换、错误处理

-敏感密码信息的安全处理和存储,如RSA私钥

-TCP/IP包处理

而密码协同处理器仅为SSL解决方案的一部分,有些时候这些剩余作业要求系统设计者使用多个CPU和/或网络处理器(NPs)和大型、高成本的专用集成电路(ASIC)。这需要增加大17171717系统固件(firmware ),迫使设计者们为提速SSL处理就必须解决系统中附加的应用编程接口(API)和实时操作系统问题。这类操作的软件和硬件的设计处理耗时数月,浪费宝贵工程资源,推迟使用时间。

在高速数据链17171717上处理TCP/IP包极为繁重:验证数据,终结与SSL客户的TCP连接(以 SYN/ACK为例),除去TCP/IP包头以提取SSL记录信息。典型的TCP/IP协议是在如Linux、 Windows、或内嵌式RTOS等普及的操作系统的软件上处17171717。操作系统通常运作在WEB服务器或是SSL应用程序的通用处理器上。如果处理器的运速达1GHz,目前的TCP/IP软件只能以最高每秒一万连接的速度来处理。实际上,TCP/IP协议处理要占用近一半WEB服务器资源并不为奇。

加速TCP/IP处理的主要瓶颈在于存储拷贝的工程巨大,这是由于TCP重新装配的过程必须在系统内存的相分离的缓冲器中对连续的TCP段重组。结果,要处理高于一万SSL Tps的链接需要更高效的TCP/IP解决方案,而不是用于普通的软件套。

显而易见,要达到高性能SSL处理的新途径是通过SSL和TCP/IP包处理的一体化全面卸除系统负荷。成功使SSL融入网络设备,如第四至七层转换器、负载平衡器、路由器和防火墙中一样,需要现代化精简的解决方案,能轻易结合一般的网络结构,却对于密码专门技术要求甚少。而第三代SSL加速卡,非常完美的实现了上述要求。



三、第三代SSL加速卡实现机制



第三代SSL加速卡-SSL卸载卡(NCIPHER BN1200 nfast ssl-offload card )

该卡本身集成了9个NPU,512M内存,可以完全独立处理SSL数据,相当于SSL网关将密文数据转换成明文后交给后台应用。

该卡采用TCP/IP协议硬件处理器、整合超高速密码引擎和SSL/TLS协议处理器的单芯片网络安全解决方案。全面卸除与SSL操作负荷,这包括来自于主机系统的TCP/IP包处理。与协同处理器专用的“边车”效应相反,该结构采用高效、1717171717171717的基本原理,旨在TCP/IP协议与 SSL协议处理的一体化。所有与SSL相关处理是数据通路的一部分,1717171717171717于目标系统应用程序的前端。该解决方案充当SSL代理服务器,因此系统应用程序只看到解码后的明码文本的传输,非SSL通信数据是可以透明地通过。从某种程度上来说,这一结构模拟将专用的SSL应用程序置于网络服务器段与网络平台的前端,从而全面卸除SSL(数据)处理 的负荷。

该结构的益处有以下几点:

-在服务器或系统应用程序上完全卸载所有SSL处理和握手程序。

-可达每秒 10,000 SSL 新建连接处理(10,000 TPS)和 SSL 数据通过量(当使用3 DDR DiMMs时,高达600Mbps全双工)

-可扩展支持高数据通过量

-独立操作无需其他专门处理器支援

-TCP数据重新优代服务器TCP/IP协议(无超时、无紊乱段等等)

由于卸载卡透明地处理SSL加密的通信量,尽管是标准的GbE网卡,服务器软件只能看见纯文本数据,就不需要特殊的驱动程序来传送和接受网络数据。

此结构的另一重要优势在于开发SSL于网络设备的时间大大减少。SSL问题现由现代化精简的解决方案处理,不论对于SSL应用程序还是高端负载平衡器都极易与系统设计整合,且在整合过程中无需特殊加密技能。现在系统设计者们可专心开发网络产品增值功能的研发,如负载平衡、含量分配或第五层数据交换等。

通过硬件化TCP/IP处理完全独立,并行程序技术,TCP连 接重新都多个模块该卡成功实现了每秒处理1万个连接请求,支持10万并发用户的卓越表现,测试数据可参考VERISIGN认证机构关于BN1200的测评。

同时,第三代SSL卸载卡也符合了FIPS 140-2的标准(在美国和国际市场上许多政府和金融应用程序都要求FIPS顺应性),
热门设计联盟服务商