CDN网络加速与SSL加速

作者：ZongYu时间：2022-10-28来源：EEPW收藏

据中国互联网络信息中心于2022年8月31日发布的第50次《中国互联网络发展状况统计报告》显示，截至到2022年6月，我国网民规模为10.51亿，互联网普及率达74.4%。在网络基础资源方面，我国域名总数为3380万个，“.CN”域名数为1786万个，IPv6地址数量为63079块/32，较2021年12月增长0.04%；在信息基础设施建设方面，截至2022年6月，我国千兆光网具备覆盖超过4亿户家庭的能力，已累计建成开通5G基站185.4万个。由此可见，我国目前的网络规模十分巨大，各类网站多如繁星，因此，如今人们对于网络的浏览速度和信息安全都提出了更高的要求。网络加速的需求量巨大，下面就有笔者来为各位读者介绍两种网络加速和确保网络安全的常用手段。

本文引用地址：http://www.eepw.com.cn/article/202210/439759.htm

CDN网络加速

随着网络建设的愈加完善，目前网站的丰富程度也已经不能和早年同日而语，不同于早期的拨号上网时代，在如今这个全民光纤上网的高速时代，人们对于不同的网站的加载速度都提出了更高的要求，为了解决人们对各式各样的网络加载流畅性的需求，网络工程师们便提出了一种用存储空间换取网站读取时间的解决方案，这便是CDN网络加速。

CDN的全称是Content Delivery Network，即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。简单的来说，就是把原服务器上数据复制到其他服务器上，用户访问时，那台服务器近访问到的就是那台服务器上的数据。

要想了解CDN的工作优势，我们先要了解一下没有引入CDN网络加速时本地于服务器端的访问模式。在传统的网络访问中，我们首先会使用浏览器来访问对应网站域名，这时，我们会先访问域名服务器也就是DNS服务器，DNS会先将我们输入的域名解析，引导我们找到对应源服务器的IP地址，这时浏览器便会从源服务器中渲染相应的内容，将信息反应到我们的显示器中。这种传统模式存在两个显而易见的问题：

第一，服务器一定存在一个物理上的地理位置。也就是说，如果源服务器本身硬件地理上位于内蒙古，而我的访问位置在海南的话，访问时间一定比源服务器就在海南的访问速度要慢上不少。不仅如此，假设同时有很多个设备同时请求，带宽有限的情况下，即使离服务器很近，那请求时间也会被拉长。

第二，如果源服务器宕机，那么对于所有的访问请求来说，都将无法响应，这是一场巨大的灾难，如果这是一家小公司，没有配置运维人员，那很有可能造成巨大的损失。

为了解决上述两点致命问题，CDN内容分发网络应运而生。为了方便各位理解，我们不妨想象一下这样一种场景：数十年前，快递业务还不发达之时，一份快递往往要耗费３－７天才能送达，除了交通和路网覆盖的问题之外，这还有一个主要原因是商家只有一个仓库，这就意味着，无论你住在哪里，商家只能从商家所在地发货；而后来，商家在全国各地建立了区域式的仓库，提前把一部分商品货物存入，这样货物就会从距离下单地最近的仓库发货，这时快递的平均耗时大大降低了，一般都可以做到３天左右；而如今，有大量可以隔日送达甚至于小时送达的网购商家存在，这便是商家在区域式仓库的基础之上更进了一步，建立了前置仓库，这种仓库很可能就建立在你的街道，甚至于小区之中，所以可以做到下单、送达急速完成。读到这里的各位有没有一种恍然大悟的感觉？没错，所谓的CDN网络加速就是类似于网络中的前置仓库。

在加入了CDN网络加速后，在域名被DNS服务器解析之后，会指向一个CDN专用的DNS服务器之中，而这个服务器会给浏览器返回一个CDN负载均衡服务器的ip地址，你的设备就会去访问这个CDN负载均衡服务器，而负载均衡服务器顾名思义，它会自动分配一个适合你设备的CDN服务器的ip地址，分配的标准可能是地理距离、也可能是访问人数较少线路空闲的服务器。这时你的设备就会向这个CDN服务器请求响应的网站数据/文件，从而极大加快网络速度。

但是，这之中也有一个问题，要是那个适合你的CDN服务器中，没有你所需要的文件缓存那该如何呢？其实，在源网站服务器开通CDN服务时，它的ip地址会被存到CDN服务器中。一旦被请求的CDN服务器发现自己这里没有相应的文件缓存之时，就会向上一级CDN服务器拉取该缓存，要是依旧没有，就会再向上一级CDN服务器请求，最后就会到源网站中请求拉取。当拉取成功之后，每一级CDN服务器都会备份一遍这个缓存，最后你所匹配到的CDN服务器就会把相应的文件返回给你的设备。而事实上，这个CDN网络之中，会用大量的用户在发送各种各样的请求，CDN网络中都会用备份缓存。所以CDN中没有缓存相应文件的概率是很低的，不用每次都会向上一级拉取。这便是CDN服务器的工作原理了。CDN的引入极大的加快了用户网络的访问速度，并且提升了网络的稳定性，当一个CDN服务器宕机，还有其他的CDN服务器作为备份，依旧可以正常访问网站，不至于访问不了网站。

SSL加速

通过CDN技术的大范围使用，我们的网络连接速度提高了，但是连接的安全性、隐私性就显得格外重要。为了解决网络访问的安全性，SSL加密诞生了。SSL（Secure Socket Layer）安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术。SSL广泛支持各种类型的网络，同时提供三种基本的安全服务，它们都使用公开密钥技术。因此，现在有大量的网站在采用SSL技术，SSL加速就显得十分重要。现今，几乎大部分网站都已经认证了SSL，其特征就是访问地址由”Http”明文访问，变成了”Https”加密访问，确保您的网站传输数据不被泄露或篡改。

SSL加速通常指的是基于硬件的SSL实现，利用专用硬件设备处理SSL任务，具体可分为基于服务器加速板卡和基于专用加速设备两类方法。在服务器上安装一块SSL加速板卡，可以有效分担服务器CPU处理SSL事务的压力。SSL加速板卡通常有一个或多个协处理器用于实现SSL计算。这些协处理器可能采用通用CPU，也可能采用定制的ASIC芯片和RISC指令集芯片。每块加速板卡每秒至少能够处理几百个SSL事务，当前大多数商用Web服务器都已经支持将SSL加解密工作卸载到这种加速板卡上。

在SSL协议之中，算力消耗最大的步骤便是握手的RSA不对称密码函数，这一部分计算如果均由CPU计算完成，会浪费大量的CPU资源，拖慢系统的吞吐量。为了解决这个问题工程师们发明了第一代SSL加速器。这些加速器试图将SSL握手部分的负载RSA解密移出网络服务器，让控制处理器来处理余下的握手函数(用于密钥创建的散列函数)以及记录层处理函数(大量的加密与认证)。

一块典型的一代SSL加速卡每秒能处理600个RSA解密算法。当RSA解密被移出CPU之后，CPU就可以专心于RSA加密、TCP/IP处理和记录层处理。但是由于CPU仍要从事大量的加密工作，第一代加速卡的加入所提高的效率非常有限，但远远好于不采用SSL加速卡的性能。

在第二代SSL加速卡中，芯片与系统设计工程师开始寻求用IC来实现SSL加速。这些通常被称为网络安全处理器的IC会卸载主处理器的握手函数(RSA解密与密钥生成)以及记录层的大量加密与认证函数，使CPU能腾出更多的资源来执行包处理，从而提升系统总体性能。采用SSL加速器IC的优势在于能分担主机上的SSL协议处理，以及提供更多RSA解密的能力。为了使这些IC能充分发挥系统级性能，所有SSL组件必须协同工作。为了给完整的SSL协议提供服务，安全处理器芯片上需要集成多个公用组件，包括随机数发生器、公钥加密模块和密码加密/认证模块。