OpenSSL在Debian中的性能测试方法

OpenSSL在Debian中的性能测试方法

一 环境准备与基线

• 更新系统并安装工具：sudo apt update && sudo apt install -y openssl cpuid hwloc；如需硬件加速验证，可安装 libssl-dev 后再编译或使用系统自带版本。
• 识别CPU特性：lscpu/cpuid，确认是否支持 AES-NI、AVX2 等；这将决定对称加密的加速潜力。
• 预热与稳定：测试前让系统空闲几分钟，关闭屏保与省电模式，避免省电导致频率缩放影响结果。
• 绑定进程到核心（可选）：使用 taskset 或 numactl 固定测试进程，减少调度干扰，提高可重复性。

二 本地加解密与哈希基准 speed

• 基本用法与关键参数
  • 命令：openssl speed [选项] [算法…]
  • 常用选项：
    • -evp <算法>：使用 EVP 接口（覆盖更广的算法与模式，如 aes-256-gcm、sha256）。
    • -elapsed：以墙上时钟时间统计，更贴近真实耗时。
    • -seconds ：指定测试时长（默认约3秒，建议至少10–60秒以减少偶然误差）。
    • -multi ：并行进程数，建议设置为CPU物理核心数或略高以评估并发能力。
    • -mr：机器可读输出，便于后续分析/绘图。
    • -decrypt：对支持 EVP 的算法测试解密方向性能。
    • -engine ：指定引擎/硬件设备（如加速卡）。
    • -bytes <大小>：自定义数据块大小（非PKI测试）。
• 常用测试命令示例
  • 对称加密（AES-GCM，10秒，4并发）：openssl speed -evp aes-256-gcm -seconds 10 -multi 4
  • 对称加密（AES-CBC，含解密方向，1分钟，按CPU核心数并发）：openssl speed -evp aes-256-cbc -seconds 60 -multi $(nproc) -decrypt
  • 哈希（SHA-256，30秒，机器可读）：openssl speed sha256 -seconds 30 -mr
  • 非对称（RSA-2048签名/验签，20秒，并行）：openssl speed rsa2048 -seconds 20 -multi $(nproc)
  • 非对称（ECDSA/P-256签名/验签，20秒）：openssl speed ecdsap256 -seconds 20
  • 自定义数据块（例如 4KB）：openssl speed -evp aes-256-gcm -bytes 4096 -seconds 10
• 结果解读要点
  • 输出表格的 type 列显示算法；后续列为不同数据块大小（如 16/64/256/1024/8192/16384 bytes）的吞吐量，单位为 kB/s（越大越好）。
  • 对于签名/验签，关注 sign/s、verify/s（每秒操作次数）。
  • 对比不同实现/参数时，保持测试时长、并发数、数据块大小一致，以获得可比结论。

三 硬件加速与对照测试

• 启用/屏蔽 AES-NI 的对照
  • 检测是否启用：openssl speed -evp aes-128-cbc | head -n 1 观察是否出现“aesni”相关提示或性能显著更高。
  • 屏蔽 AES-NI（仅本进程）：OPENSSL_ia32cap=“~0x200000200000000” openssl speed -elapsed -evp aes-256-cbc
  • 恢复默认：unset OPENSSL_ia32cap
  • 用途：量化 AES-NI 对对称加密吞吐的提升幅度，用于评估硬件加速收益。
• 使用 ENGINE 或硬件加速设备
  • 若系统装配了 HSM/加速卡，可通过 -engine 指定对应引擎进行基准测试，比较软硬实现差异。

四 TLS 服务与网络吞吐测试

• 本机回环 TLS 吞吐（s_time）
  • 启动测试服务：openssl s_server -cert server.pem -key key.pem -www
  • 客户端测吞吐：openssl s_time -connect 127.0.0.1:4433 -www /dev/null
  • 关注指标：每秒请求数、每秒传输字节数、连接建立与关闭开销；可与不同密码套件配置对比。
• 远程服务握手与性能（s_client）
  • 握手时延与套件探测：openssl s_client -connect example.com:443 -servername example.com -tls1_3
  • 结合 s_time 对线上服务进行吞吐与稳定性评估，注意网络带宽与往返时延对结果的影响。

五 文件与长时稳定性测试

• 大文件加解密（enc）
  • 生成测试数据：dd if=/dev/zero of=testfile.bin bs=1M count=1024
  • 加密：time openssl enc -aes-256-cbc -salt -in testfile.bin -out testfile.enc -k pass
  • 解密：time openssl enc -d -aes-256-cbc -in testfile.enc -out testfile.dec -k pass
  • 关注：实际吞吐（MB/s）、CPU占用、I/O 与内存压力；可与不同算法/模式对比。
• 证书签发与并发压力
  • 批量签发（CSR/自签）：openssl req -new -keyout key.pem -out req.csr -nodes -subj “/CN=test” 与 openssl x509 -req -in req.csr -signkey key.pem -out cert.pem
  • 并发脚本（示例）：for i in {1…100}; do openssl req -new -keyout key$i.pem -out req$i.csr -nodes -subj “/CN=load$i” & done
  • 关注：签名速率、CPU 使用率、随机数熵源与磁盘 I/O；用于评估 PKI/CA 场景性能。