除了应用交付,我们更懂ECC

APV系列应用交付控制器(Application Delivery Controller, ADC)可在提高服务器效率、降低数据中心成本和复杂性的同时,有效改善应用和IP数据服务的可用性、性能和安全性。凭借专业的服务器负载、链路负载、广域网负载、SSL卸载等应用加速功能,以及行业领先的性能,Array APV系列产品专注应用交付领域十余年,且始终保持领先。随着数据安全要求的提升和加密技术的改进,APV系列应用交付控制器不仅提供了强大的2048/4096 RSA解决方案,更擅长处理ECC、SM2(商密)等复杂的SSL加速需求。

为什么是ECC

ECC(Elliptic Curve Cryptography)椭圆曲线算法是一种基于椭圆曲线有限域的公钥算法。相对于RSA,ECC可以使用更小的密钥长度来提供相同的安全保障。

更小的密钥长度可以节约存储、带宽以及计算成本,这就使得ECC在某些特定领域有更大的吸引力。相比RSA密钥交换和数字签名,ECC可以大幅提升SSL性能。根据VeriSign的测试,在某个客户的场景下,使用ECC证书可以使CPU利用率降低约60%。

此外,Apple也发布了ATS(App Transport Security),强制所有的应用使用httpsssssssssssssS,并且httpsssssssssssssS要基于ECC的前向安全密码套件ECDHE来进行密钥交换。这就加速推动了ECC算法的使用与普及。

为什么是SM2(商密)

SM2(商密)是国家密码管理局按照国家相关密码政策和法规,结合实际应用需求,参考TLS1.1(RFC4346)指定的协议标准,当前使用的版本是1.1。

SM2(商密)的密码套件包含如下算法:

  1. SM2(商密)公钥系统,基于椭圆曲线加密系统,私钥长度为256比特。SM2可以被用为:密钥交换,非对称加解密和数字签名及验签。
  2. SM3(商密)密码杂凑算法,输出长度为256比特,用来保证信息完整性;
  3. SM4(商密)分组对称加密算法,密钥长度为128比特,用来对称加解密。

目前各银行都已进行国密改造,中国人民银行,中国银联等均已支持国密标准,360也已发布支持国密标准浏览器。

针对ECCArray能做什么?

Array APV应用交付控制器具有如下ECC相关特性:

  1. ECC证书导入导出;
  2. ECC CSR生成;
  3. 单个主机同时支持RSA/ECDSA类型的证书;
  4. 可配的密码套件优先级;
  5. 支持多种ECC曲线:prime256v1, secp384r1 and secp521r1;
  6. 可选择的临时密钥产生的曲线;

这样,用户就可以方便的部署ECC业务:

  1. 用户可以方便的对ECC证书进行管理;
  2. 用户可以方便的生成CSR;
  3. RSA类型的证书,也可以使用ECC的密码套件;
  4. ECDSA类型的证书,也可以使用ECC的密码套件;
  5. 用户可以在不影响当前业务的情况下,增加对ECDSA证书及ECDHE-ECDSA密码套件的支持;
  6. 用户可以根据应用场景,灵活的配置密码套件优先级;
  7. 支持多种曲线,适用更广泛的应用场景;
  8. 可选择临时密钥产生的曲线,适用不同的应用场景。

针对SM2(商密)Array能做什么?

无论客户当前服务是httpsssssssssssssS还是httpsssssssssssss,Array APV都可以轻松将它进行SM2(商密)改造。

Array APV支持:

  1. 签名证书及加密证书的导入导出;
  2. CFCA及SCCA格式CSR生成;
  3. CFCA及SCCA格式数字信封导入;
  4. 单个主机同时RSA/ECDSA/SM2(商密)多种类型证书;
  5. 可配的密码套件优先级。

根据上述特性:

  1. 用户可以方便的对国密证书进行管理;
  2. 用户可以根据证书签发机构的需要,灵活的选用CSR格式;
  3. 用户可以方便的导入不同格式的数字信封;
  4. 用户可以在不影响现有业务的情况下,增加对国密标准的支持;
  5. 用户可以根据应用场景,灵活的配置密码套件优先级。

 

Array APV支持Apple ATS所要求的所有密码套件:

  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-ECDSA-AES256-SHA
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA
  • ECDHE-RSA-AES256-SHA

Array APV支持两种SM2(商密)密码套件:

  • ECC-SM4-SM3
  • ECDHE-SM4-SM3

其中,ECDHE-SM4-SM3为前向安全的密码套件。

APV的亮点与价值

  • 本地和全局服务器负载均衡,结合多单元集群,实现99.999%的应用正常运行和数据中心可扩展性。
  • 先进的应用流畅型流量管理,实现优化的业务关键应用和IP服务交付。
  • Web服务器和应用服务器卸载,提高效率、容量和投资回报。
  • 集成化TCP连接复用、高速SSL处理、压缩和缓存,实现5倍的应用性能改善。
  • SSL加速 确保传输数据的安全、从服务器卸载计算密集型流程并改善应用性能。
  • 反向代理架构,结合状态包检测防火墙,在不影响性能的前提下确保应用的安全
  • 应用特定的认证和配置指南,实现优化配置的快速部署。
  • IPv6/IPv4双栈支持,解决IPv4地址耗尽问题。
  • 高性能2048位SSL加密,与NIST(美国国家标准与技术研究所)和证书授权中心(CA)安全要求达成一致。
  • VMware vCenter集成,实现虚拟化应用基础设施的智能化命令和控制,包括动态资源分配与再分配。
  • 可扩展标记语言远程过程调用(XML-RPC),实现与专有和第三方数据中心管理监控产品的集成。
  • 熟悉的CLI和直观的WebUI,便于配置和管理。
  • 适用于所有Array APV 600系列 应用交付控制器(ADC) 设备。

APV x850 多端口系列硬件选项

APV2850

 最大吞吐量:20Gbps
 端口配置1:8个千兆以太端口,8个千兆光口,选配万兆光口;
 端口配置2:12个千兆以太端口,12个千兆光口,选配万兆光口;
 端口配置3:16个千兆以太端口,16个千兆光口,选配万兆光口
 机架单位:1U

APV5850

 最大吞吐量:40Gbps
 端口配置1:8个千兆以太端口,8个千兆光口,4个万兆光口,
 端口配置2:12个千兆以太端口,12个千兆光口,选配万兆光口;
 端口配置3:16个千兆以太端口,16个千兆光口
 机架单位:1U

APV1800

 最大吞吐量:10Gbps
 端口配置:4个千兆以太端口,4个千兆光口
 机架单位:1U

APV2800

 最大吞吐量:20Gbps
 端口配置:4或8个千兆以太端口,2个千兆光口,选配万兆光口
 机架单位:1U

APV5800

 最大吞吐量:40Gbps
 端口配置:4或8个千兆以太端口,4个万兆光口
 机架单位:1U

APV 7800

 最大吞吐量:100Gbps
 端口配置:8或16个万兆光口;选配40G光口
 机架单位:2U

APV9800

 最大吞吐量:160Gbps
 端口配置:16个万兆光口,选配40G光口
 机架单位:2U

 

APV x600系列硬件选项

APV2600v5

 最大吞吐量:20Gbps
 端口配置:8个千兆以太端口,2个千兆光口或2个万兆光口
 机架单位:1U

APV3600v5

 最大吞吐量:35Gbps
 端口配置:4或8个千兆以太端口,4个万兆光口
 机架单位:1U

APV7600

 最大吞吐量:80Gbps
 端口配置1:8个千兆以太端口,4个千兆光口;或选配万兆光口
 机架单位:2U

APV11600

 最大吞吐量:140Gbps
 端口配置:8或16个万兆光口
 机架单位:2U