除了應用交付，我們更懂ECC

APV系列應用交付控制器（Application Delivery Controller, ADC）可在提高服務器效率、降低數(shù)據(jù)中心成本和復雜性的同時，有效改善應用和IP數(shù)據(jù)服務的可用性、性能和安全性。憑借專業(yè)的服務器負載、鏈路負載、廣域網(wǎng)負載、SSL卸載等應用加速功能，以及行業(yè)領先的性能，華耀 APV系列產(chǎn)品專注應用交付領域十余年，且始終保持領先。隨著數(shù)據(jù)安全要求的提升和加密技術的改進，APV系列應用交付控制器不僅提供了強大的2048/4096 RSA解決方案，更擅長處理ECC、SM2（商密）等復雜的SSL加速需求。

為什么是ECC？

ECC(Elliptic Curve Cryptography)橢圓曲線算法是一種基于橢圓曲線有限域的公鑰算法。相對于RSA，ECC可以使用更小的密鑰長度來提供相同的安全保障。

更小的密鑰長度可以節(jié)約存儲、帶寬以及計算成本，這就使得ECC在某些特定領域有更大的吸引力。相比RSA密鑰交換和數(shù)字簽名，ECC可以大幅提升SSL性能。根據(jù)VeriSign的測試，在某個客戶的場景下，使用ECC證書可以使CPU利用率降低約60%。

此外，Apple也發(fā)布了ATS（App Transport Security），強制所有的應用使用HTTPS，并且HTTPS要基于ECC的前向安全密碼套件ECDHE來進行密鑰交換。這就加速推動了ECC算法的使用與普及。

為什么是SM2（商密）？

SM2（商密）是國家密碼管理局按照國家相關密碼政策和法規(guī)，結合實際應用需求，參考TLS1.1（RFC4346）指定的協(xié)議標準，當前使用的版本是1.1。

SM2（商密）的密碼套件包含如下算法：

• SM2（商密）公鑰系統(tǒng)，基于橢圓曲線加密系統(tǒng)，私鑰長度為256比特。SM2可以被用為：密鑰交換，非對稱加解密和數(shù)字簽名及驗簽。
• SM3（商密）密碼雜湊算法，輸出長度為256比特，用來保證信息完整性；
• SM4（商密）分組對稱加密算法，密鑰長度為128比特，用來對稱加解密。

目前各銀行都已進行國密改造，中國人民銀行，中國銀聯(lián)等均已支持國密標準，360也已發(fā)布支持國密標準瀏覽器。

針對ECC，華耀能做什么？

華耀 APV應用交付控制器具有如下ECC相關特性：

1. ECC證書導入導出；
2. ECC CSR生成；
3. 單個主機同時支持RSA/ECDSA類型的證書；
4. 可配的密碼套件優(yōu)先級；
5. 支持多種ECC曲線：prime256v1, secp384r1 and secp521r1；
6. 可選擇的臨時密鑰產(chǎn)生的曲線；

這樣，用戶就可以方便的部署ECC業(yè)務：

1. 用戶可以方便的對ECC證書進行管理；
2. 用戶可以方便的生成CSR；
3. RSA類型的證書，也可以使用ECC的密碼套件；
4. ECDSA類型的證書，也可以使用ECC的密碼套件；
5. 用戶可以在不影響當前業(yè)務的情況下，增加對ECDSA證書及ECDHE-ECDSA密碼套件的支持；
6. 用戶可以根據(jù)應用場景，靈活的配置密碼套件優(yōu)先級;
7. 支持多種曲線，適用更廣泛的應用場景；
8. 可選擇臨時密鑰產(chǎn)生的曲線，適用不同的應用場景。

針對SM2（商密），華耀能做什么？

無論客戶當前服務是HTTP還是HTTPS，華耀 APV都可以輕松將它進行SM2（商密）改造。

華耀APV支持：

1. 簽名證書及加密證書的導入導出；
2. CFCA及SCCA格式CSR生成；
3. CFCA及SCCA格式數(shù)字信封導入；
4. 單個主機同時RSA/ECDSA/SM2（商密）多種類型證書；
5. 可配的密碼套件優(yōu)先級。

根據(jù)上述特性：

1. 用戶可以方便的對國密證書進行管理；
2. 用戶可以根據(jù)證書簽發(fā)機構的需要，靈活的選用CSR格式；
3. 用戶可以方便的導入不同格式的數(shù)字信封；
4. 用戶可以在不影響現(xiàn)有業(yè)務的情況下，增加對國密標準的支持；
5. 用戶可以根據(jù)應用場景，靈活的配置密碼套件優(yōu)先級。

華耀 APV支持Apple ATS所要求的所有密碼套件：

• ECDHE-ECDSA-AES256-GCM-SHA384
• ECDHE-ECDSA-AES128-GCM-SHA256
• ECDHE-ECDSA-AES256-SHA384
• ECDHE-ECDSA-AES256-SHA
• ECDHE-ECDSA-AES128-SHA256
• ECDHE-ECDSA-AES128-SHA
• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES256-SHA384
• ECDHE-RSA-AES128-SHA256
• ECDHE-RSA-AES128-SHA
• ECDHE-RSA-AES256-SHA

華耀 APV支持兩種SM2（商密）密碼套件：

• ECC-SM4-SM3
• ECDHE-SM4-SM3

其中，ECDHE-SM4-SM3為前向安全的密碼套件。

APV的亮點與價值

APV國產(chǎn)化硬件（自主創(chuàng)新）

APV1800-ZX

• 最大吞吐量：8Gbps
• 端口配置：4個千兆以太端口，2個千兆光口，數(shù)量可擴展，選配萬兆光口
• 機架單位：1U

APVx850多端口系列硬件

APV2850

• 最大吞吐量：20Gbps
• 端口配置1：8個千兆以太端口，8個千兆光口，選配萬兆光口
• 端口配置2：12個千兆以太端口，12個千兆光口，選配萬兆光口
• 端口配置3：16個千兆以太端口，16個千兆光口，選配萬兆光口
• 機架單位：1U

APV5850

• 最大吞吐量：40Gbps
• 端口配置1：8個千兆以太端口，8個千兆光口，4個萬兆光口
• 端口配置2：12個千兆以太端口，12個千兆光口，選配萬兆光口
• 端口配置3：16個千兆以太端口，16個千兆光口
• 機架單位：1U

APVx800系列硬件

APV1800

• 最大吞吐量：10Gbps
• 端口配置：4個千兆以太端口，4個千兆光口
• 機架單位：1U

APV2800

• 最大吞吐量：20Gbps
• 端口配置：4或8個千兆以太端口，2個千兆光口，選配萬兆光口
• 機架單位：1U

APV5800

• 最大吞吐量：40Gbps
• 端口配置：4或8個千兆以太端口，4個萬兆光口
• 機架單位：1U

APV7800

• 最大吞吐量：100Gbps
• 端口配置：8或16個萬兆光口；選配40G光口
• 機架單位：2U

APV9800

• 最大吞吐量：160Gbps
• 端口配置：16個萬兆光口，選配40G光口
• 機架單位：2U

APVx600系列硬件

APV2600v5

• 最大吞吐量：20Gbps
• 端口配置：8個千兆以太端口，2個千兆光口或2個萬兆光口
• 機架單位：1U

APV3600v5

• 最大吞吐量：35Gbps
• 端口配置：4或8個千兆以太端口，4個萬兆光口
• 機架單位：1U

APV7600

• 最大吞吐量：80Gbps
• 端口配置：8個千兆以太端口，4個千兆光口；或選配萬兆光口
• 機架單位：2U

APV11600

• 最大吞吐量：140Gbps
• 端口配置：8或16個萬兆光口
• 機架單位：2U