腾锐SSL解密，扫除隐藏威胁

SSL（Secure Sockets Layer，安全套接层）及其继任协议TLS（Transport Layer Security，传输层安全）是为网络通信提供安全及数据完整性的一种安全协议，SSL与TLS在传输层对网络连接进行加密。

以HTTP应用为例，一般情况下，HTTP采用明文的方式在互联网上进行传输，但账号、密码等敏感信息，存在被非法窃听的风险。为了消除这方面的安全隐患，可采用SSL协议对HTTP协议进行加密（即HTTPS），以确保在整个数据传输过程中的信息安全性。

随着HTTPS的广泛应用，虽然提高了网站应用的安全性，但同时也容易被不法分子或安全威胁所利用，因此，很多情况下需要对这些加密流量进行解密，从而实现加密网络的可视化呈现。

在探讨解决方案之前，我们先来看看SSL协议的握手过程SSL网络安全协议采用公钥加密技术产生共享密钥（对称加密密钥），通常情况，SSL采用客户端单向验证方式，握手流程如下图所示：

可见，要对SSL流量进行解密，核心前提是要取得服务器端数字证书的私钥，有了这个私钥就可以对整个SSL握手过程进行解析，从而解密获得双方协商的后续SSL会话过程的对称加密密钥，通过这个对称加密密钥就可以解密整个SSL通信过程，并可以将解密后的SSL流量进行预处理以后复制/分流给后端多个深度分析系统。

Teraspek SSL解密系统软件--NSA（Network SSL Analysis），可加载在Teraspek SF系列产品的MIPS多核处理器上。以SF3048D/3248D产品为例，SF3048D/3248D为双MIPS多核结构。其中，

* 一个MIPS多核处理器加载NSA软件，专门用于SSL解密处理，基于硬件加速的加解密引擎，单机可实现5Gbps的SSL解密处理；

* 另一个MIPS多核处理器加载汇聚分流软件，用于解密后流量的预处理和为后端多个深度分析系统提供复制、分流等服务。

Teraspek NSA专注于高性能实时SSL解密处理，提供通用的加密/解密算法，主要产品特性如下：

* 内置逻辑加密加速引擎，支持通用哈希算法、对称密钥密码和非对称密钥操作；

* 支持SSL / TLS：SSL3.0、TLS1.0、TLS1.1、TLS1.2；

* 哈希算法：SHA1、SHA256、AES等；

* 对称加密算法：DES CBC、3DES CBC、AES-128 CBC、AES-256 CBC、RC4、RC2、IDEA等；

* 非对称密钥算法：RSA；

* 密钥管理：支持私钥列表的密钥自学习，并将服务器IP地址绑定到私钥；

* 流恢复：当SSL/TLS被解密时，NSA可以重建没有SSL/TLS头的数据包，并计算TCP序列并修复TCP/IP校验和；

* 报文输出：NSA可以分别输出加密流和普通流，TCP端口信息可以在解密完成时从端口443修改为端口80；

* 会话管理：支持TCP重组，如乱序数据包、TCP状态跟踪；

* SSL/TLS会话关联：当可以重用密钥时，将SSL/TLS会话与会话ID或票证相关联；

* 性能：单机解密性能为5Gbps，1000万并发会话。