利用密码机实现openssl异步引擎

最新推荐文章于 2023-08-16 11:25:48 发布
最新推荐文章于 2023-08-16 11:25:48 发布
阅读量524 收藏
点赞数
分类专栏: ssl 文章标签: 网络 ssl nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36472340/article/details/131885981
版权
文章介绍了openssl异步机制如何提高nginxssl连接效率,通过将加解密运算移到密码机上,减少CPU消耗。重点讲述了实现openssl异步的接口,包括ASYNC_WAIT_CTX和ASYNC_JOB等,以及如何利用这些接口与密码机交互。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

openssl中的加解密运算非常消耗cpu,会导致nginx的ssl连接数跟不上,现阶段大多数利用intel QAT加密卡实现openssl的异步机制,让耗时的加解密运算在加密卡中执行。本文利用密码机通过网络实现异步。

一、openssl的异步机制为什么快

nginx建立ssl连接的大致流程如下
在这里插入图片描述
nginx在同步模式下建立ssl连接要经历以上五个步骤。其中3密码运算非常消耗cpu,传统的多线程机制不起作用。如果利用异步模式就能让密码运算在密码机的cpu中进行运算,负责建立nginx连接的cpu只用处理1 2 4 5这四个阶段,所以nginx建立ssl的连接效率就会大大增加。

二、实现openssl异步的接口

##引擎所需接口
// 拿到当前的job
ASYNC_JOB *ASYNC_get_current_job(void);
// 通过job拿到对应的ctx,
ASYNC_WAIT_CTX *ASYNC_get_wait_ctx(ASYNC_JOB *job);
#获得注册到ctx中的fd和custom_data
int ASYNC_WAIT_CTX_get_fd(ASYNC_WAIT_CTX *ctx, const void *key,
                          OSSL_ASYNC_FD *fd, void **custom_data);
 #注册fd和custom_data到ctx中,一般注册管道的读端                        
ASYNC_WAIT_CTX_set_wait_fd(ASYNC_WAIT_CTX *ctx, const void *key,
                          OSSL_ASYNC_FD *fd, void **custom_data, cleanup);  
#将数据包发送给密码机后协程切换到最开始状态                          
ASYNC_pause_job();
#ssl所需接口
// 创建
ASYNC_WAIT_CTX *ASYNC_WAIT_CTX_new(void);
// 销毁
void ASYNC_WAIT_CTX_free(ASYNC_WAIT_CTX *ctx
//开启一个协程执行func
int ASYNC_start_job(ASYNC_JOB **job, ASYNC_WAIT_CTX *ctx, int *ret,
                    int (*func)(void *), void *args, size_t size);
 #nginx所需要接口
 //从ctx中获取注册的fd,并进行监听
 int ASYNC_WAIT_CTX_get_all_fds(ASYNC_WAIT_CTX *ctx, OSSL_ASYNC_FD *fd, size_t *numfds);
int ASYNC_WAIT_CTX_get_changed_fds(ASYNC_WAIT_CTX *ctx, OSSL_ASYNC_FD *addfd,
                                   size_t *numaddfds, OSSL_ASYNC_FD *delfd,
                                   size_t *numdelfds);

三、利用密码机实现openssl的异步机制

在这里插入图片描述
一个协程---------一个job-------ctx--------存放一个协程数据的对象(pipefd)

总结

openssl异步机制利用协程,需要配合异步加密卡,或者通过网络连接密码机来进行实现,通过将耗时的加解密运算丢给密码机,能够大大提高ssl握手连接数。

openssl异步说明
focus on security
02-24 2516
Asyn mode是OpenSSL支持异步I/O(AIO)的模式,在这个模式下openssl把硬件加速卡等不占用cpu的操作剥离出来,单独交给一个叫asyn job的结构去做。在asyn job执行的过程中,cpu可以把当前任务暂停,切换上下文(保存/恢复栈,寄存器等,用__setjump, longjump实现)返回给user。User需要主动(或者等待硬件加速卡的事件通知)去epoll这个as...
[密码学实战]密码服务平台部署架构详解与学习路线(二十三)
最新发布
曼岛_的博客
04-20 213
密码服务平台的构建是一场安全、性能与成本的“平衡艺术”。通过分层架构设计、硬件加速优化与智能运维策略,开发者可打造既合规又高效的密码基础设施。未来,随着量子计算与云原生技术的演进,密码服务将向更安全、更弹性的方向持续发展。提示:建议在本地搭建VMware/KVM虚拟化环境,结合OpenSSL国密版进行实操演练。
openssl-example-master, OpenSSL异步连接源码
08-23
基于openssl库,使用异步连接方式,包含客户端和服务器端源码
openssl动态引擎
ughome的专栏
12-15 1507
openssl动态引擎 dynamic engine
ssl简介-加密算法
热门推荐
天行健的专栏
08-31 1万+
 要理解ssl先要知道一些加密算法的常识.     加密算法很容易理解啦,就是把明文变成人家看不懂的东西,然后送给自己想要的送到的地方,接收方用配套的解密算法又把密文解开成明文,这样就不怕在路世上如果密文给人家截获而泄密。     加密算法有俩大类,第一种是不基于KEY的,举个简单的例子,我要加密"fordesign"这么一串字符,就把每个字符都变成它的后一个字符,那么就是"gpseftjhm
openssl engine
海岸楼塔的专栏
07-11 727
http://www.atm.tut.fi/list-archive/freebsd-stable/msg09285.html
Rust语言实现SaltyRTC客户端异步库介绍
OpenSSL是一个强大的开源密码库,提供了多种安全协议的实现,包括SSL/TLS、SSH、PGP等。SaltyRTC客户端的集成测试要求创建一个本地测试证书。上述命令中`openssl req`用于生成证书请求(CSR),然后生成自签名的证书...
openssl创建自认证证书后,添加在springboot配置中,从而发起https请求,要求http和https请求兼容
csdnfzp2016的博客
03-29 2131
openssl创建自认证证书 我是按照这个博客来创建的自认证证书 openssl自认证证书创建 通过openssl指令来生成证书 #生成秘钥 openssl genrsa -out private.key 2048 #生成用于申请请求的证书文件csr,一般会将该文件发送给CA机构进行认证,本例使用自签名证书 openssl req -new -key private.key -out requ...
【Shell脚本自动化秘籍】:4步教你实现无密码服务器登录
[【Shell脚本自动化秘籍】:4步教你实现无密码服务器登录](https://media.geeksforgeeks.org/wp-content/uploads/20221026184438/step2.png) # 摘要 随着信息技术的快速发展,自动化成为了提高运维效率的重要手段。...
Nginx架构及配置详解
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-10 5771
概述 Nginx采用C进行编写,是俄罗斯程序员开发的一款轻量级的可构建Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器的软件, Nginx服务器是一个高性能的HTTP和反向代理web服务器,同时也可提供了IMAP/POP3/SMTP服务。nginx常用作跑静态和做负载反向代理,动态php交给apache处理,因后者比较稳定,jsp交给tomcat、resin或jboss。n......
用C++编译 Openssl Engine及分享一个Openssl Engine框架
10-19
本模板程序定义了实现openssl ENGINE的Engine框架。 实现的基本思路是要通过Engine来替换openssl原来的 ASE-CBC算法和MD5算法。 本程序定义了必须实现的接口。用户只需要根据程序中 的说明,实现相应的接口即可。 实现ENGINE的时候,可以使用CSP。P11或者算法实现的API等。 本模板支持Linux、Windows 、Mac。兼容:openssl1.0和.0.9.8 如果在使用过程中有任何问题。 在windows上编译,使用vc2005或vc2008 在linux下,请运行 make
aioopenssl:使用OpenSSL进行(START-)具有TLS功能的异步传输
05-27
适用于异步OpenSSL Transport aioopenssl提供了一个传输,该传输使用而不是内置的ssl模块。 与原始传输相比,该传输有两个主要优点: 可以通过传递use_starttls=True并随后调用starttls()协程方法来推迟TLS握手。 这对于具有功能的协议很有用。 在TLS握手期间可以调用协程。 这可以用来将证书检查推迟到以后,例如允许在starttls()方法返回之前获得用户反馈。 这允许向用户询问证书信任,而不会干扰应用程序层协议或开始与未经验证的对等方进行通信。 笔记 使用此模块需要您自担风险。 它的测试覆盖率比我想要的低。 它已应要求从aioxmpp导出,并在其中进行了隐式测试。 如果发现错误,请报告它们。 如果可能,请在使用时添加回归测试。 如果您发现关键性安全漏洞,请按照文件中宣布的步骤进行操作。 文献资料 官方文档可以使用sphi
OPENSSL_ENGINE机制
12-21
介绍OPENSSL的ENGINE机制,以及简单实现
异步OpenSSL实现HTTPS心得
ty的博客
08-06 3989
  本文记录在使用OpenSSL实现异步式HTTPS中的一些心得体会。 1.关于握手 (1)如果没有使用封装库,可以得到套接字描述符;而且非异步系统,允许握手的阻塞,则直接使用API将套接字和OpenSSL绑定,从而完成SSL握手绝对是明智之选,可以省下很多麻烦。 (2)如果封装之后得不到套接字描述符,或者要求异步非阻塞,那么使用SSL_SET_CONNECT配合SSL_read,再用SSL...
OpenSSL-Async mode
Remy的学习记录
07-13 5301
一、Async mode的功能 Asyn mode是OpenSSL支持异步I/O(AIO)的模式,在这个模式下openssl把硬件加速卡等不占用cpu的操作剥离出来,单独交给一个叫asyn job的结构去做。在asyn job执行的过程中,cpu可以把当前任务暂停,切换上下文(保存/恢复栈,寄存器等,用__setjump, longjump实现)返回给user。User需要主动(或者等待硬件加速...
openssl engine概述(1)
liu942947766的博客
08-16 1501
OpenSSL 引擎(Engine)是 OpenSSL 库的一个扩展机制,用于实现加密、解密、签名、验证等操作的定制化实现引擎可以通过共享库(动态链接库)的方式被加载和使用,从而扩展 OpenSSL 的功能。引擎类型:OpenSSL 引擎可以分为静态引擎和动态引擎。静态引擎是编译到 OpenSSL 库中的,而动态引擎是通过共享库加载的。动态引擎允许在运行时加载和替换,从而更灵活地定制 OpenSSL 功能。
openssl不是内部或外部命令_OpenSSL异步模式与Intel QAT加速卡(四) 新一代异步调度框架workflow...
weixin_39583655的博客
12-06 453
个人blog原址:OpenSSL异步模式与Intel QAT加速卡(四) 新一代异步调度框架workflow, 后续基本都会同步到知乎~今天把这一系列收个尾吧,这几天对这系列废寝忘食主要是各层次都提供了异步用法让人着迷,然后nginx作为接入去借助OpenSSL走QAT异步计算这个场景把各层次都使用异步调度打通实在太有意思了,其他层次没怎么接触过,以前本人从事nginx模块开发,现在我们组做了个异...
OpenSSL/GmSSL 动态引擎
乐于分享
12-02 2903
OpenSSL 简介 OpenSSL 是包含安全套接字层和传输层安全协议的开源软件库,它几乎成为安全领域的事实标准,大部分的服务器和客户端都使用 OpenSSL,一些硬件加密算法的实现通常也需要使用 OpenSSL 的命令行工具进行验证。在实际应用中,OpenSSL可以提供动态引擎框架,可以方便用户使用密码设备完成硬件加速。 GmSSL 简介 国内与OpenSSL相对应的开源项目为 GmSSL,该项目中增加了国密算法,如SM2/SM3/SM4/SM9等,同时也增加了对国家密码标准规范的支持,如SK
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值