国密SSL协议之性能测试

简介: 国密SSL在实际上线和使用过程中,性能就是一个必须面对的问题。国密SSL和标准SSL相比,算一个新生事物,没有完善齐备的性能测试工具。本文针对国密SSL性能测试,描述了相关指标,并提供一些基本的方法和工具。

1 背景

国密SSL在实际上线和使用过程中,性能就是一个必须面对的问题。
国密SSL和标准SSL相比,算一个新生事物,没有完善齐备的性能测试工具。
本文针对国密SSL性能测试,描述了相关指标,并提供一些基本的方法和工具,
也做了nginx/tomcat/硬件网关的测试对比。
AI 代码解读

2 国密SSL性能指标

国密SSL性能指标主要有三个:新建速率(CPS,Connection per second)、加密吞吐(Throughput)、最大并发连接(Max Persistent Connections)

其中CPS和吞吐与性能强相关,最大并发连接和内存大小强相关。

2.1 新建速率CPS

CPS衡量的是国密SSL建立的快慢(主要涉及非对称密码处理),新建指的是以下步骤的总和:

1) 客户端与服务器/网关建立TCP;

2) 客户端与服务器/网关建立国密SSL(不使用会话重用);

3) 客户端从服务器/网关下载一个小页面(不使用HTTP的Keep-Alive),页面大小为64字节或者1K字节;

4) 客户端与服务器/网关关闭国密SSL;

5) 客户端与服务器/网关关闭TCP;

2.2 加密吞吐

加密吞吐衡量的是国密SSL对数据加解密的快慢(主要涉及对称密码处理),通常测试下载一个较大的页面,比如下载1M字节页面。

2.3 最大并发连接

最大并发连接主要看国密SSL服务器/网关能够同时保持多个在线连接,通常可以建立好连接,下载一个小页面,然后做Keep-Alive保持,不断新增加连接,直到增加会出错。

3 国密SSL性能分析

国密SSL,以算法SM2_SM4_SM3为例,主要涉及SM2、SM3、SM4的密码处理。其中新建速率与SM2性能强相关,加密吞吐则与SM3/SM4性能强相关。

另外SM2算法有其自身特点。基本上签名的速度>验签的速度,同时SM2加密速度

结合到国密SSL协议,则通常出现一个现象:

1) 单向国密SSL使用SM2算法,客户端比服务器端更消耗性能,因为客户端是SM2加密;

2) 单向标准SSL使用RSA算法,服务器端比客户端更消耗性能,因为客户端是RSA加密;

4 国密SSL性能测试方法

4.1 拓扑

image.png

图1 测试拓扑

4.2 硬件测试仪

标准SSL硬件测试仪主要有思博伦的avalanche等,目前不清楚是否支持国密SSL协议,或者支持国密SSL插件。国内硬件测试仪情况不详。

4.3 LoadRunner

LoadRunner是软件测试性能的方法之一。好消息是LoadRunner支持第三方插件,通过第三方插件就能够支持国密SSL协议。

4.4 gmab

Apache ab也可以支持标准SSL协议性能测试,但不支持国密。但ab是有源码的,可以自行增加国密SSL协议支持。

www.gmssl.cn提供一个国密ab的实现,软件名称叫gmab。下载参见:

https://www.gmssl.cn/gmssl/index.jsp?go=down

4.5 gmkb

前面分析到,对于国密SSL而言,客户端的性能消耗要大于服务器/网关端的性能消耗,因此使用LoadRunner和gmab的话,需要多台高性能客户端压力机。

www.gmssl.cn提供一个国密SSL性能测试的“黑”科技软件gmkb,能够通过一个客户端压力机就可以简单评估出服务器/网关的国密SSL的CPS性能。下载参见:

https://www.gmssl.cn/gmssl/index.jsp?go=down

4.6 gmcb

www.gmssl.cn提供一个国密SSL性能测试加密吞吐的软件gmcb,能够通过一个或者多个客户端压力机测试出服务器/网关的国密SSL的加密吞吐性能。下载参见:

https://www.gmssl.cn/gmssl/index.jsp?go=down

5 国密SSL性能测试结果

5.1 Web服务器

通过gmab和gmcb,我们简单测试了www.gmssl.cn的nginx国密SSL性能和tomcat的国密SSL性能。测试的单向国密SSL的性能,服务器为CentoOS7,CPU为Intel(R) Core(TM) i9-9900K CPU @ 3.60GHz,内存为16G,网卡为intel万兆电口。

Nginx国密版本1.8.0,安装下载参见https://www.gmssl.cn/gmssl/index.jsp?go=nginx

国密Nginx性能如下:

新建:3600

吞吐:693MBps

并发:50w

Tomcat国密版本9.0.37,安装下载参见https://www.gmssl.cn/gmssl/index.jsp?go=tomcat

国密Tomcat性能如下:

新建:720

吞吐:240MBps(字节/秒)

并发:8192(内存实际用的很少,tomcat报错,没有继续深入)

5.2 硬件网关

作为对比,我们拿到了北京云钥网络科技有限公司(www.keyaas.com)的硬件国密网关KSG2500的性能数据,KSG2500性能给人印象深刻,毕竟是一款高端专业硬件网关。KGS2500性能:

新建:5w

吞吐:2GBps(字节/秒)

并发:300w

6 国密SSL性能测试小结

本文涉及了国密SSL性能的方方面面,并且给出了www.gmssl.cn的国密nginx和国密tomcat的实测性能数据,也对比了硬件网关KSG2500的性能数据。

相关实践学习
通过性能测试PTS对云服务器ECS进行规格选择与性能压测
本文为您介绍如何利用性能测试PTS对云服务器ECS进行规格选择与性能压测。
gmssl
+关注
目录
打赏
0
0
0
0
2
分享
相关文章
WebSocket协议相关的测试命令工具使用简介
本文介绍了针对WebSocket的测试工具wscat和websocat的基本使用方法,以及通过curl命令测试HTTP/HTTPS协议的方式。对于WebSocket,直接使用curl测试较为复杂,推荐使用wscat或websocat。文中详细说明了这两种工具的安装步骤、常用参数及连接示例,例如在ECS上开启8080端口监听并进行消息收发测试。此外,还提供了curl命令的手动设置头部信息以模拟WebSocket握手的示例,但指出curl仅能作为客户端测试工具,无法模拟服务器。
171 4
HTTP 与 HTTPS 协议及 SSL 证书解析-http和https到底有什么区别?-优雅草卓伊凡
HTTP 与 HTTPS 协议及 SSL 证书解析-http和https到底有什么区别?-优雅草卓伊凡
184 3
云上部署WoSign SSL“国密RSA双证书”,助力国密合规建设
我国网络安全法规体系不断完善,形成了以《网络安全法》为核心的立体化法律框架。阿里云数字证书管理服务提供国产品牌SSL证书,支持签发基于国密算法的SSL/TLS证书,助力金融、政务等行业满足“网络与通信安全”合规需求。通过部署WoSign SSL国密RSA双证书方案,实现国际和国密算法自适应兼容,确保信息系统全球通用性与安全性。2025年3月阿里云“智惠采购季”活动期间,用户可享受SSL证书优惠折扣,助力信息安全建设。
194 2
云上部署WoSign SSL“国密RSA双证书”,助力国密合规建设
阿里云WoSign“国密RSA双SSL证书”应用实践
阿里云WoSign品牌SSL证书是阿里云平台热销的国产品牌证书之一,支持签发国密合规的SM2算法SSL证书以及全球信任的RSA算法SSL证书,能够满足平台用户不同的SSL证书应用需求,同时为用户提供国密模块支持,实现“国密/RSA双证书部署”。
510 6
阿里云WoSign“国密RSA双SSL证书”应用实践
Jmeter如何对UDP协议进行测试?
`jmeter-plugins`是JMeter的插件管理器,用于管理和组织所有插件。访问[官网](https://jmeter-plugins.org/install/Install/)下载并放置于`lib/ext`目录下,重启JMeter后可在“选项”中看到插件管理器。
122 1
Jmeter如何对UDP协议进行测试?
SSL/TLS协议是什么?
SSL/TLS协议是什么?
578 57
阿里云WoSign SSL证书,RSA和国密有什么区别?_沃通SSL技术文档
阿里云WoSign品牌SSL证书为用户提供国密合规SM2算法SSL证书、全球信任RSA算法SSL证书,全球信任、国密合规,能够满足阿里云平台用户不同的SSL证书应用需求。那么阿里云WoSign SSL证书分别提供的RSA算法和国密算法,有什么区别呢?
814 6
|
10月前
|
Jmeter实现WebSocket协议的接口测试方法
WebSocket协议是HTML5的一种新协议,实现了浏览器与服务器之间的全双工通信。通过简单的握手动作,双方可直接传输数据。其优势包括极小的头部开销和服务器推送功能。使用JMeter进行WebSocket接口和性能测试时,需安装特定插件并配置相关参数,如服务器地址、端口号等,还可通过CSV文件实现参数化,以满足不同测试需求。
475 7
Jmeter实现WebSocket协议的接口测试方法
谈谈UDP、HTTP、SSL、TLS协议在java中的实际应用
下面我将详细介绍UDP、HTTP、SSL、TLS协议及其工作原理,并提供Java代码示例(由于Deno是一个基于Node.js的运行时,Java代码无法直接在Deno中运行,但可以通过理解Java示例来类比Deno中的实现)。
181 1
Python渗透测试之ARP毒化和协议应用
Python渗透测试之ARP毒化和协议应用
107 0
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等

登录插画

登录以查看您的控制台资源

管理云资源
状态一览
快捷访问