共计 2150 个字符,预计需要花费 6 分钟才能阅读完成。
1 背景
国密 SSL 在实际上线和应用过程中,性能就是一个必须面对的问题。国密 SSL 和规范 SSL 相比,算一个新生事物,没有欠缺完备的性能测试工具。本文针对国密 SSL 性能测试,形容了相干指标,并提供一些根本的办法和工具,也做了 nginx/tomcat/ 硬件网关的测试比照。2 国密 SSL 性能指标
国密 SSL 性能指标次要有三个:新建速率(CPS,Connection per second)、加密吞吐 (Throughput)、最大并发连贯 (Max Persistent Connections)
其中 CPS 和吞吐与性能强相干,最大并发连贯和内存大小强相干。
2.1 新建速率 CPS
CPS 掂量的是国密 SSL 建设的快慢(次要波及非对称明码解决),新建指的是以下步骤的总和:
1)客户端与服务器 / 网关建设 TCP;
2)客户端与服务器 / 网关建设国密 SSL(不应用会话重用);
3)客户端从服务器 / 网关下载一个小页面(不应用 HTTP 的 Keep-Alive),页面大小为 64 字节或者 1K 字节;
4)客户端与服务器 / 网关敞开国密 SSL;
5)客户端与服务器 / 网关敞开 TCP;
2.2 加密吞吐
加密吞吐掂量的是国密 SSL 对数据加解密的快慢(次要波及对称明码解决),通常测试下载一个较大的页面,比方下载 1M 字节页面。
2.3 最大并发连贯
最大并发连贯次要看国密 SSL 服务器 / 网关可能同时放弃多个在线连贯,通常能够建设好连贯,下载一个小页面,而后做 Keep-Alive 放弃,一直新减少连贯,直到减少会出错。
3 国密 SSL 性能剖析
国密 SSL,以算法 SM2_SM4_SM3 为例,次要波及 SM2、SM3、SM4 的明码解决。其中新建速率与 SM2 性能强相干,加密吞吐则与 SM3/SM4 性能强相干。
另外 SM2 算法有其本身特点。基本上签名的速度 > 验签的速度,同时 SM2 加密速度 <SM2 解密速度;这个特点正好和 RSA 反过来,RSA 是签名速度远小于验签速度,同时 RSA 公钥加密的速度远远大于私钥解密的速度。
联合到国密 SSL 协定,则通常呈现一个景象:
1)单向国密 SSL 应用 SM2 算法,客户端比服务器端更耗费性能,因为客户端是 SM2 加密;
2)单向规范 SSL 应用 RSA 算法,服务器端比客户端更耗费性能,因为客户端是 RSA 加密;
4 国密 SSL 性能测试方法
4.1 拓扑
图 1 测试拓扑
4.2 硬件测试仪
规范 SSL 硬件测试仪次要有思博伦的 avalanche 等,目前不分明是否反对国密 SSL 协定,或者反对国密 SSL 插件。国内硬件测试仪状况不详。
4.3 LoadRunner
LoadRunner 是软件测试性能的办法之一。好消息是 LoadRunner 反对第三方插件,通过第三方插件就可能反对国密 SSL 协定。
4.4 gmab
Apache ab 也能够反对规范 SSL 协定性能测试,但不反对国密。但 ab 是有源码的,能够自行减少国密 SSL 协定反对。
www.gmssl.cn 提供一个国密 ab 的实现,软件名称叫 gmab。下载参见:
https://www.gmssl.cn/gmssl/in…
4.5 gmkb
后面剖析到,对于国密 SSL 而言,客户端的性能耗费要大于服务器 / 网关端的性能耗费,因而应用 LoadRunner 和 gmab 的话,须要多台高性能客户端压力机。
www.gmssl.cn 提供一个国密 SSL 性能测试的“黑”科技软件 gmkb,可能通过一个客户端压力机就能够简略评估出服务器 / 网关的国密 SSL 的 CPS 性能。下载参见:
https://www.gmssl.cn/gmssl/in…
4.6 gmcb
www.gmssl.cn 提供一个国密 SSL 性能测试加密吞吐的软件 gmcb,可能通过一个或者多个客户端压力机测试出服务器 / 网关的国密 SSL 的加密吞吐性能。下载参见:
https://www.gmssl.cn/gmssl/in…
5 国密 SSL 性能测试后果
5.1 Web 服务器
通过 gmab 和 gmcb, 咱们简略测试了 www.gmssl.cn 的 nginx 国密 SSL 性能和 tomcat 的国密 SSL 性能。测试的单向国密 SSL 的性能,服务器为 CentoOS7,CPU 为 Intel(R) Core(TM) i9-9900K CPU @ 3.60GHz,内存为 16G,网卡为 intel 万兆电口。
Nginx 国密版本 1.8.0,装置下载参见 https://www.gmssl.cn/gmssl/in…
国密 Nginx 性能如下:
新建:3600
吞吐:693MBps
并发:50w
Tomcat 国密版本 9.0.37,装置下载参见 https://www.gmssl.cn/gmssl/in…
国密 Tomcat 性能如下:
新建:720
吞吐:240MBps(字节 / 秒)
并发:8192(内存理论用的很少,tomcat 报错,没有持续深刻)
5.2 硬件网关
作为比照,咱们拿到了北京云钥网络科技有限公司(www.keyaas.com)的硬件国密网关 KSG2500 的性能数据,KSG2500 性能给人印象粗浅,毕竟是一款高端业余硬件网关。KGS2500 性能:
新建:5w
吞吐:2GBps(字节 / 秒)
并发:300w
6 国密 SSL 性能测试小结
本文波及了国密 SSL 性能的方方面面,并且给出了 www.gmssl.cn 的国密 nginx 和国密 tomcat 的实测性能数据,也比照了硬件网关 KSG2500 的性能数据。
