文 钟原胜
安全与性能
——解析Array Networks新解决方案
文 钟原胜
随着信息化建设的日益深入,企业对信息化管理的需求将越来越强烈,而关于各种信息化问题的解决方案,最终都会呈现出All-In-One的方式,特别是对服务供应商而言,信息服务一体化的时代已经到来。
曾经,当互联网刚刚步入我们生活之时,我们首要关心的是信息与便捷;如今,当互联网的环境变得越来越复杂,当我们的工作和生活越来越离不开互联网之时,我们谈论得最多的已是安全。
还记得我们曾用过多少电子邮箱和网络账户的密码吗?曾经,我们用一个账号、一个密码通行于整个网络。慢慢地,随着网络信息量的增大、网络用途的增多,出于安全的考虑,我们开始使用不同的账号和密码。谁知一发而不可收拾,不知不觉中,我们究竟使用了多少不同的账号和密码,已经连自己都无法数清。随着岁月的积淀,有些账号和密码已在记忆中流失,每当登录某个网站时,不是忘记了账号,便是忘记了密码。申请密码找回,或者重新注册账号,都使我们所拥有的账号和密码数量在不经意间增多,又同时在不经意间继续遗忘。
近来频频爆出的网络技术泄密的一条条新闻,令我们对账号和密码更为关注,作为普通用户,我们能做的似乎只有更改密码,不断地更改,然后再遗忘。安全,我们渴望一种安全能让我们回到一个账号、一个密码通行网络的时光。
当我们设置了账号和密码时,等于为某些内容安置了门并配备了相对应的钥匙,比如邮箱账号和密码,便是将邮件内容关在了一个特定的大门内,密码便是我们掌握的钥匙。
然而要想将“钥匙”保管得十分安全,仅靠设置一长串复杂的字符是远远不够的,哪怕它甚至复杂到令自己都经常记错。但网络毕竟不完全等同于现实世界,当我们在某台电脑上设置了账号和密码后,该账号和密码的信息需要通过网络传输才能到达邮箱服务器,并且在以后每次使用时,也都需要这样的传输过程。如果账号和密码的信息在传输的过程中没有进行加密处理,就有可能在传输过程中被窃取。
当然,在当前的网络服务中,让用户密码在传输过程中完全“裸奔”的情况极为少见,服务商们都会对这一过程进行加密。目前服务商采用得较为广泛的加密方式为SSL加密,但受各种原因的限制,许多都只采用了1024位的SSL加密算法,安全性能并不高。
SSL加密技术是由Netscape公司所提出,主要用于在浏览器和Web服务器之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,适用于商业信息的加密。
SSL是当前运用得较为广泛的传输加密算法,但在进行加密和解密的过程中,却会耗费较大的系统资源。相关测试数据表明,使用SSL加密后,传输数据的工作效率只有未加密时的十分之一。假如为了安全保密,将一个网站所有的应用都启用SSL技术来加密,那么不仅该网站的性能和效率会大幅降低,服务器也有崩溃的危险。
因此在当前的SSL加密应用中,普遍采用的是局部传输加密的方式,以减轻网站的负荷。正所谓百密一疏,尽管我们的账号和密码并非完全“裸奔”,却也没有全部包裹在密码之中,而那段未经保护的路程,便是一段充满各种未知数的荆棘之旅。
图2 Array APV是“鱼与熊掌兼得”的关键
针对这一矛盾的体现,最近Array Networks公司推出了关于用户账号和密码的新解决方案。Array Networks(中国)有限公司总经理王浩表示:“作为应用优化和全局安全访问解决方案提供商,Array Networks一直高度关注数据传输安全给互联网应用发展所带来的挑战,致力于为客户提供完善的解决方案。Array Networks的数据传输安全解决方案融合了领先技术和卓越性能,可使客户的电子邮箱和其它网络应用获得坚实可靠的安全保障,同时享有无妥协的高性能。”
那么这套新解决方案将如何做到“鱼与熊掌兼得”呢?Array Networks方面表示,该安全解决方案在加密上有突出优势,支持高达4096位的SSL密钥加密,提供了无可匹敌的SSL流量处理性能,可以充分满足高并发用户的需求。并且支持所有常用的SSL加密算法,可以实现端到端的SSL加密,同时拥有完善的证书功能和完整的SSL证书管理特性,符合中国的银行、电子商务应用对证书应用的需求。
图3 信息服务一体化的时代已经到来
在加密算法上,Array Networks的新解决方案并没有另起炉灶的创新,而是继续采
用当前流行的、被广泛采用的SSL加密协议,只不过将加密深度提高到4096位,更复杂、更不易被破解。正如前文所言,对SSL加密协议本身并不存在异议,关键是如何在实施更复杂的SSL协议时,不降低使用性能,这才是人们关心的重点。
Array Networks的解释是,新解决方案可以与Array Networks丰富而强大的负载均衡和Web加速技术紧密集成,从而形成极为强大的综合处理平台,足以适应任何复杂应用环境。秉承一贯的All-In-One架构,Array Networks的数据传输安全解决方案以功能模块的形式无缝集成于包括Array APV应用交付控制器,并可以按照客户的特定需求简易地实现按需扩展,从而带来无与伦比的高性价比。
关于技术的名词与概念总是那么云罩雾绕,让人难以理解,要想清楚地了解新解决方案到底是怎样做到保持性能稳定,获得“无与伦比的高性价比”,需要先了解All-In-One架构,以及Array APV应用交付控制器。
All-In-One,意为多合一,也称为一体化。All-In-One架构通俗而言,指的是针对企业需求所应用的一体化解决方案,包括硬件的搭建、软件的应用,以及信息流程的规范等。Array APV,指的是由Array Networks公司提供的企业VPN网络接入和管理标准。Array APV应用交付控制器则是指采用Array APV标准的硬件设备。
在了解了这些内容后,我们便可以重新解读新解决方案中关于性能的部分含义了,Array Networks公司为企业用户配备一体化的安全解决方案,包括VPN硬件以及4096位的SSL加密方式,而采用这种一体化的整体解决方案后,便能在不降低使用性能的情况下,很好地做到用户账号及密码在传输过程中的加密。
因此我们不难看出,Array Networks提出的这一新解决方案,并不是在账号及密码的传输过程中进行创新性地加密革新,而是通过端对端的软、硬件一体化解决方式进行实现,也就是说在这一解决方案中,关键在于Array Networks的All-In-One架构,而重中之重则是Array APV应用交付控制器。
通过Array APV应用交付控制器,Array Networks公司将具有自主知识产权的SpeedStack数据包处理技术打造成一个高容量的控制平台,并集成应用加速功能,使系统可最多支持64000个并发用户,从而达到稳定VPN内网所有用户性能的目的。
至此,我们已详细地了解了Array Networks的安全与性能新解决方案的内容,其中令我们印象最深的其实是一体化解决方案,即All-In-One架构。毫无疑问,随着信息化建设的日益深入,企业对信息化管理的需求将越来越强烈,而关于各种信息化问题的解决方案,最终都会呈现出All-In-One的方式,特别是对服务供应商而言,信息服务一体化的时代已经到来。