[AIX Solaris HP-UX Linux Windows][IBM i]

SSL 성능 팁

SSL(Secure Sockets Layer) 성능 팁에 대해 학습하려면 이 페이지를 사용하십시오. 성능 문제점은 보통 기능과 속도 간의 균형 조건을 포함한다는 점을 고려하십시오. 보통 더 많은 기능과 처리를 포함할수록, 성능은 더 느려지게 됩니다.

다음은 두 가지 유형의 SSL(Secure Sockets Layer) 성능입니다.
  • 데이터 교환
  • 대량 암호화 및 암호 해독

SSL 연결이 설정되면 SSL 핸드쉐이크가 발생합니다. 연결이 작성되면 SSL은 각 읽기/쓰기에 대해 대량의 암호화와 복호화를 수행합니다. SSL 핸드쉐이크의 성능 비용은 대량 암호화 및 암호 해독의 성능 비용보다 큽니다.

SSL 성능을 향상시키려면 개별 SSL 연결 및 핸드쉐이크 수를 줄이십시오.

연결 수를 줄이면 단순 TCP/IP 연결을 통한 비보안 통신은 물론 SSL 연결을 통한 보안 통신 성능이 증가합니다. 개별적인 SSL 연결을 줄이는 한 가지 방법은 HTTP 1.1을 지원하는 브라우저를 사용하는 것입니다. HTTP 1.1로 업그레이드할 수 없는 경우 개별 SSL 연결을 줄이는 것이 불가능할 수 있습니다.

또 다른 일반적인 방법은 두 WebSphere® Application Server 컴포넌트 사이의 연결(TCP/IP와 SSL 모두) 수를 줄이는 것입니다. 다음 가이드라인은 웹 서버 플러그인이 반복해서 애플리케이션 서버로의 새 연결을 다시 열지 않도록 애플리케이션 서버의 HTTP 전송이 구성됨을 확인하는데 도움이 됩니다.
  • 활성화 상태 지속의 최대 수가 최소한 웹 서버의 스레드 당 최대 요청 수(또는 UNIX에서 IBM® HTTP Server 경우에 최대 프로세스 수)만큼 큰지 확인하십시오. 웹 서버 플러그인이 애플리케이션 서버로의 모든 가능한 동시 연결을 위해 활성화 상태 지속 연결을 얻을 수 있는지 확인하십시오. 그렇지 않으면, 애플리케이션 서버는 단일 요청이 처리된 후 연결을 닫습니다. 또한 상태 지속 연결이 웹 컨테이너 스레드를 소모하지 않도록 하기 위해 웹 컨테이너 스레드 풀의 최대 스레드 수가 최대 활성화 상태 지속 수보다 더 커야 합니다.
    참고: HTTP 전송은 무시됩니다. 채널 기반 구성에 대한 최대 활성화 상태 지속 값의 설정 방법에 대한 지시사항은 HTTP 전송 채널 설정의 내용을 참조하십시오.
  • 활성화 상태 지속 연결당 요청의 최대 수를 늘리십시오. 기본값은 100이며, 이는 애플리케이션 서버가 100개의 요청 후에 플러그인에서 연결을 닫는다는 것을 의미합니다. 그런 다음 플러그인이 새 연결을 열어야 합니다. 이 매개변수의 목적은 Application Server에 연결하고 Application Server에서 스레드를 독점 사용하기 위해 연속적인 전송 요청을 막을 때 서비스 거부 공격을 막는 것입니다.
  • 시스템이 여러 번의 SSL 핸드쉐이크를 수행하는 경우, 하드웨어 단축키를 사용하십시오.

    현재 WebSphere Application Server에 의해서 지원되는 하드웨어 가속기는 대량 암호화 및 복호화가 아니라 SSL 핸드쉐이크 성과를 강화합니다. 단축키는 일반적으로 웹 서버 연결의 수명이 짧으므로 웹 서버에서만 이점이 있습니다. WebSphere Application Server의 다른 모든 SSL 연결은 긴 시간동안 지속됩니다.

    [IBM i]IBM Cryptographic Coprocessor는 WebSphere Application Server와의 사용을 지원하지 않습니다. 그러나 IBM Cryptographic Coprocessor를 사용하여 Apache에 의해 구동되는 IBM HTTP Server for iSeries와 같은 기타 제품의 SSL 성능을 향상시킬 수 있습니다.

  • 더 나은 성능을 위해서는 다른 암호 양식을 사용하십시오.

    암호 양식의 성능은 소프트웨어 및 하드웨어와 다릅니다. 암호 양식이 소프트웨어에서 더 잘 수행된다고 해서 암호 양식이 하드웨어에서도 더 잘 수행된다는 의미는 아닙니다. 일부 알고리즘은 일반적으로 하드웨어에서는 비효율적이지만(예: DES(Data Encryption Standard) 및 3DES(triple-strength DES) 특수화된 하드웨어에서는 같은 알고리즘에 대해 효율적인 구현을 제공할 수 있습니다.

    대량 암호화 및 복호화의 성능은 개별적인 SSL 연결에 사용되는 암호 양식의 영향을 받습니다. 다음 도표는 각 암호 양식의 성능을 표시합니다. 데이터를 계산하는 테스트 소프트웨어는 클라이언트와 서버 소프트웨어 모두를 위한 JSSE(Java™ Secure Socket Extension)며, 이 소프트웨어는 어떤 암호화 하드웨어 지원도 사용하지 않았습니다. 테스트에는 연결 설정 시간은 포함되지 않으며, 설정된 연결을 통한 데이터 전송 시간만 포함됩니다. 따라서 데이터는 장기 실행 연결을 위한 다양한 암호 양식의 상대적인 SSL 성능을 알립니다.

    연결을 설정하기 전에 클라이언트가 각 테스트 사례에 대한 단일 암호 양식을 사용 가능하게 합니다. 연결이 설정된 후, 클라이언트는 서버에 정수를 기록하는 데 소요되는 시간과 서버의 경우 클라이언트에 다시 지정된 바이트 수를 기록하는 데 소요되는 시간을 잽니다. 데이터 양을 변경해도 암호 양식의 관련 성능에는 큰 영향을 미치지 않습니다.

    연결이 설정된 후, 클라이언트는 서버에 정수를 기록하는 데 소요되는 시간과 서버의 경우 클라이언트에 다시 지정된 바이트 수를 기록하는 데 소요되는 시간을 잽니다. 데이터 양을 변경해도 암호 양식의 관련 성능에는 큰 영향을 미치지 않습니다.

이전 데이터 분석은 다음을 표시합니다.
  • WITH에 선행하는 부분이 SSL 핸드쉐이크 중에만 사용된 알고리즘을 식별하기 때문에 암호 양식 이름에서 WITH 다음에 오는 것만 대량 암호화 성능에 영향을 미칩니다. .
  • MD5SHA(Secure Hash Algorithm)는 데이터 무결성을 제공하는 데 사용되는 두 개의 해시 알고리즘입니다. MD5SHA보다 일반적으로 빠르지만, SHAMD5보다 더 안전합니다.
  • DESRC2RC4보다 더 느립니다. 3중 DES는 가장 안전하지만 소프트웨어만을 사용할 경우 성능 비용이 높습니다.
  • 개인정보 보호정책을 제공하는 동안 최고의 성능을 제공하는 암호화 양식은 SSL_RSA_WITH_RC4_128_MD5입니다. SSL_RSA_EXPORT_WITH_RC4_40_MD5RSA_WITH_RC4_128_MD5보다 암호화가 약하더라도, 대량 암호화 성능은 동일합니다. 그러므로 SSL 연결이 장기 실행 연결인 경우에는 높은 보안 레벨과 중간 보안 레벨의 성능 차이가 거의 없습니다. WebSphere Application Server 제품 간 통신에만 참여하는 모든 컴포넌트는 중간 대신 높은 보안 레벨을 사용하는 것이 좋습니다. 장기 실행 연결인지 확인하십시오.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rprf_ssl
파일 이름:rprf_ssl.html