偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

互聯(lián)網(wǎng)核心協(xié)議三十年的變化與演進(jìn)

網(wǎng)絡(luò) 網(wǎng)絡(luò)管理
核心互聯(lián)網(wǎng)協(xié)議的重要改變已經(jīng)開(kāi)始了。雖然它們意圖與互聯(lián)網(wǎng)大部分兼容(因?yàn)?,如果不兼容的話,它們不?huì)被采納),但是它們可能會(huì)破壞那些在協(xié)議中沒(méi)有規(guī)定的地方,或者根本就假設(shè)那些地方不存在變化。

當(dāng)上世紀(jì)九十年代互聯(lián)網(wǎng)開(kāi)始被廣泛使用的時(shí)候,其大部分的通訊只使用幾個(gè)協(xié)議:IPv4 協(xié)議路由這些數(shù)據(jù)包,TCP 協(xié)議轉(zhuǎn)發(fā)這些包到連接上,SSL(及后來(lái)的 TLS)協(xié)議加密連接,DNS 協(xié)議命名那些所要連接的主機(jī),而 HTTP 協(xié)議是最常用的應(yīng)用程序協(xié)議。

多年以來(lái),這些核心的互聯(lián)網(wǎng)協(xié)議的變化幾乎是微乎其微的:HTTP 增加了幾個(gè)新的報(bào)文頭和請(qǐng)求方式,TLS 緩慢地進(jìn)行了一點(diǎn)小修改,TCP 調(diào)整了擁塞控制,而 DNS 引入了像 DNSSEC 這樣的特性。這些協(xié)議看起來(lái)很長(zhǎng)時(shí)間都一成不變(除了已經(jīng)引起網(wǎng)絡(luò)運(yùn)營(yíng)商們的大量關(guān)注的 IPv6)。

[[214083]]

因此,希望了解(甚至有時(shí)控制)互聯(lián)網(wǎng)的網(wǎng)絡(luò)運(yùn)營(yíng)商、供應(yīng)商和決策者對(duì)這些協(xié)議采用的做法是基于其原有工作方式 —— 無(wú)論是打算調(diào)試問(wèn)題、提高服務(wù)質(zhì)量或施加政策。

現(xiàn)在,核心互聯(lián)網(wǎng)協(xié)議的重要改變已經(jīng)開(kāi)始了。雖然它們意圖與互聯(lián)網(wǎng)大部分兼容(因?yàn)椋绻患嫒莸脑?,它們不?huì)被采納),但是它們可能會(huì)破壞那些在協(xié)議中沒(méi)有規(guī)定的地方,或者根本就假設(shè)那些地方不存在變化。

為什么我們需要去改變互聯(lián)網(wǎng)

有大量的因素推動(dòng)這些變化。

首先,核心互聯(lián)網(wǎng)協(xié)議的局限性越來(lái)越明顯,尤其是考慮到性能的時(shí)候。由于在應(yīng)用和傳輸協(xié)議方面的結(jié)構(gòu)性問(wèn)題,網(wǎng)絡(luò)沒(méi)有得到高效使用,導(dǎo)致終端用戶認(rèn)為性能不能滿足要求(特別是,網(wǎng)絡(luò)延遲)。

這就意味著人們有強(qiáng)烈的動(dòng)機(jī)來(lái)演進(jìn)或者替換這些協(xié)議,因?yàn)橛写罅康慕?jīng)驗(yàn)表明,即便是很小的性能改善也會(huì)產(chǎn)生影響。

其次,演進(jìn)互聯(lián)網(wǎng)協(xié)議的能力 —— 無(wú)論在任何層面上 —— 會(huì)隨著時(shí)間的推移變得更加困難,這主要是因?yàn)樯厦嫠懻摰膶?duì)網(wǎng)絡(luò)的非預(yù)期使用。例如,嘗試去壓縮響應(yīng)的HTTP代理服務(wù)器使得部署新的壓縮技術(shù)更困難;中間設(shè)備中的TCP優(yōu)化使得部署對(duì)TCP的改進(jìn)越來(lái)越困難。

最后,我們正處在一個(gè)越來(lái)越多地使用加密技術(shù)的互聯(lián)網(wǎng)變化當(dāng)中,首次激起這種改變的事件是,2015年Edward Snowden的披露事件(LCTT 譯注:指的是美國(guó)中情局雇員斯諾登的事件)。那是一個(gè)單獨(dú)討論的話題,但是與之相關(guān)的是,加密技術(shù)是最好的工具之一,我們必須確保協(xié)議能夠進(jìn)化。

讓我們來(lái)看一下都發(fā)生了什么,接下來(lái)會(huì)出現(xiàn)什么,它對(duì)網(wǎng)絡(luò)有哪些影響,和它對(duì)網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)有哪些影響。

HTTP/2

HTTP/2(基于 Google 的 SPDY)是第一個(gè)重大變化 —— 它在2015年被標(biāo)準(zhǔn)化。它將多個(gè)請(qǐng)求復(fù)用到一個(gè)TCP連接上,從而避免了客戶端排隊(duì)請(qǐng)求,而不會(huì)互相阻塞。它現(xiàn)在已經(jīng)被廣泛部署,并且被所有的主流瀏覽器和web服務(wù)器支持。

從網(wǎng)絡(luò)的角度來(lái)看,HTTP/2 帶來(lái)了一些顯著變化。首先,這是一個(gè)二進(jìn)制協(xié)議,因此,任何假定它是HTTP/1.1的設(shè)備都會(huì)出現(xiàn)問(wèn)題。

這種破壞性問(wèn)題是導(dǎo)致HTTP/2中另一個(gè)重大變化的主要原因之一:它實(shí)際上需要加密。這種改變的好處是避免了來(lái)自偽裝的 HTTP/1.1 的中間人攻擊,或者一些更細(xì)微的事情,比如strip headers或者阻止新的協(xié)議擴(kuò)展 —— 這兩種情況都在工程師對(duì)協(xié)議的開(kāi)發(fā)中出現(xiàn)過(guò),導(dǎo)致了很明顯的支持問(wèn)題。

當(dāng)它被加密時(shí),HTTP/2 請(qǐng)求也要求使用 TLS/1.2,并且將一些已經(jīng)被證明是不安全的算法套件列入黑名單 —— 其效果只允許使用短暫密鑰ephemeral keys。關(guān)于潛在的影響可以去看 TLS 1.3 的相關(guān)章節(jié)。

最終,HTTP/2 允許多個(gè)主機(jī)的請(qǐng)求被 合并到一個(gè)連接上,通過(guò)減少頁(yè)面加載所使用的連接(從而減少擁塞控制的場(chǎng)景)數(shù)量來(lái)提升性能。

例如,你可以對(duì) www.example.com 建立一個(gè)連接,也可以將這個(gè)連接用于對(duì) images.example.com 的請(qǐng)求。而未來(lái)的協(xié)議擴(kuò)展也允許將其它的主機(jī)添加到連接上,即便它們沒(méi)有被列在最初用于它們的 TLS 證書(shū)中。因此,假設(shè)連接上的通訊被限制于它初始化時(shí)的目的并不適用。

值得注意的是,盡管存在這些變化,HTTP/2 并沒(méi)有出現(xiàn)明顯的互操作性問(wèn)題或者來(lái)自網(wǎng)絡(luò)的沖突。

TLS 1.3

TLS 1.3 剛剛通過(guò)了標(biāo)準(zhǔn)化的最后流程,并且已經(jīng)被一些實(shí)現(xiàn)所支持。

不要被它只增加了版本號(hào)的名字所欺騙;它實(shí)際上是一個(gè)新的 TLS 版本,全新打造的 “握手”機(jī)制允許應(yīng)用程序數(shù)據(jù)從頭開(kāi)始流動(dòng)(經(jīng)常被稱為 ‘0RTT’)。新的設(shè)計(jì)依賴于短暫密鑰交換,從而排除了靜態(tài)密鑰。

這引起了一些網(wǎng)絡(luò)運(yùn)營(yíng)商和供應(yīng)商的擔(dān)心 —— 尤其是那些需要清晰地知道那些連接內(nèi)部發(fā)生了什么的人。

例如,假設(shè)一個(gè)對(duì)可視性有監(jiān)管要求的銀行數(shù)據(jù)中心,通過(guò)在網(wǎng)絡(luò)中嗅探通訊包并且使用他們的服務(wù)器上的靜態(tài)密鑰解密它,它們可以記錄合法通訊和識(shí)別有害通訊,無(wú)論是來(lái)自外部的攻擊,還是員工從內(nèi)部去泄露數(shù)據(jù)。

TLS 1.3 并不支持那些竊聽(tīng)通訊的特定技術(shù),因?yàn)槟且彩?一種針對(duì)短暫密鑰防范的攻擊形式。然而,因?yàn)樗麄冇惺褂酶F(xiàn)代化的加密協(xié)議和監(jiān)視他們的網(wǎng)絡(luò)的監(jiān)管要求,這些使網(wǎng)絡(luò)運(yùn)營(yíng)商處境很尷尬。

關(guān)于是否規(guī)定要求靜態(tài)密鑰、替代方式是否有效、并且為了相對(duì)較少的網(wǎng)絡(luò)環(huán)境而減弱整個(gè)互聯(lián)網(wǎng)的安全是否是一個(gè)正確的解決方案有很多的爭(zhēng)論。確實(shí),仍然有可能對(duì)使用 TLS 1.3 的通訊進(jìn)行解密,但是,你需要去訪問(wèn)一個(gè)短暫密鑰才能做到,并且,按照設(shè)計(jì),它們不可能長(zhǎng)時(shí)間存在。

在這一點(diǎn)上,TLS 1.3 看起來(lái)不會(huì)去改變以適應(yīng)這些網(wǎng)絡(luò),但是,關(guān)于去創(chuàng)建另外一種協(xié)議有一些傳言,這種協(xié)議允許第三方去偷窺通訊內(nèi)容,或者做更多的事情。這件事是否會(huì)得到推動(dòng)還有待觀察。

QUIC

在 HTTP/2 工作中,可以很明顯地看到 TCP 有相似的低效率。因?yàn)?TCP 是一個(gè)按順序發(fā)送的協(xié)議,一個(gè)數(shù)據(jù)包的丟失可能阻止其后面緩存區(qū)中的數(shù)據(jù)包被發(fā)送到應(yīng)用程序。對(duì)于一個(gè)多路復(fù)用協(xié)議來(lái)說(shuō),這對(duì)性能有很大的影響。

QUIC 嘗試去解決這種影響而在 UDP 之上重構(gòu)了 TCP 語(yǔ)義(以及 HTTP/2 流模型的一部分)。像 HTTP/2 一樣,它始于 Google 的一項(xiàng)成果,并且現(xiàn)在已經(jīng)被 IETF 接納作為一個(gè) HTTP-over-UDP 的初始用例,其目標(biāo)是在 2018 年底成為一個(gè)標(biāo)準(zhǔn)。然而,因?yàn)?Google 已經(jīng)在 Chrome 瀏覽器及其網(wǎng)站上部署了 QUIC,它已經(jīng)占有了超過(guò) 7% 的互聯(lián)網(wǎng)通訊份額。

除了大量的通訊從 TCP 到 UDP 的轉(zhuǎn)變(以及隱含的可能的網(wǎng)絡(luò)調(diào)整)之外,Google QUIC(gQUIC)和 IETF QUIC(iQUIC)都要求全程加密;并沒(méi)有非加密的 QUIC。

iQUIC 使用 TLS 1.3 來(lái)為會(huì)話建立密鑰,然后使用它去加密每個(gè)數(shù)據(jù)包。然而,由于它是基于 UDP 的,許多 TCP 中公開(kāi)的會(huì)話信息和元數(shù)據(jù)在 QUIC 中被加密了。

事實(shí)上,iQUIC 當(dāng)前的 ‘短報(bào)文頭’ 被用于除了握手外的所有包,僅公開(kāi)一個(gè)包編號(hào)、一個(gè)可選的連接標(biāo)識(shí)符和一個(gè)狀態(tài)字節(jié),像加密密鑰輪換計(jì)劃和包字節(jié)(它最終也可能被加密)。

其它的所有東西都被加密 —— 包括 ACK,以提高 通訊分析 攻擊的門檻。

然而,這意味著通過(guò)觀察連接來(lái)被動(dòng)估算 RTT 和包丟失率將不再變得可行;因?yàn)闆](méi)有足夠多的信息。在一些運(yùn)營(yíng)商中,由于缺乏可觀測(cè)性,導(dǎo)致了大量的擔(dān)憂,它們認(rèn)為像這樣的被動(dòng)測(cè)量對(duì)于他們調(diào)試和了解它們的網(wǎng)絡(luò)是至關(guān)重要的。

為滿足這一需求,它們有一個(gè)提議是 ‘Spin Bit’ — 這是在報(bào)文頭中的一個(gè)回程翻轉(zhuǎn)的位,因此,可能通過(guò)觀察它來(lái)估算 RTT。因?yàn)椋鼜膽?yīng)用程序的狀態(tài)中解耦的,它的出現(xiàn)并不會(huì)泄露關(guān)于終端的任何信息,也無(wú)法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)位置的粗略估計(jì)。

DOH

即將發(fā)生的變化是 DOH — DNS over HTTP。大量的研究表明,對(duì)網(wǎng)絡(luò)實(shí)施政策干預(yù)的一個(gè)常用手段是通過(guò) DNS 實(shí)現(xiàn)的(無(wú)論是代表網(wǎng)絡(luò)運(yùn)營(yíng)商或者一個(gè)更大的權(quán)力機(jī)構(gòu))。

使用加密去規(guī)避這種控制已經(jīng) 討論了一段時(shí)間了,但是,它有一個(gè)不利條件(至少?gòu)哪承┝?chǎng)來(lái)看)— 它可能與其它通訊區(qū)別對(duì)待;例如,通過(guò)它的端口號(hào)被阻止訪問(wèn)。

DOH 將 DNS 通訊搭載在已經(jīng)建立的 HTTP 連接上,因此,消除了任何的鑒別器。希望阻止訪問(wèn)該 DNS 解析器的網(wǎng)絡(luò)只能通過(guò)阻止對(duì)該網(wǎng)站的訪問(wèn)來(lái)實(shí)現(xiàn)。

例如,如果 Google 在 www.google.com 上部署了它的 基于 DOH 的公共 DNS 服務(wù),并且一個(gè)用戶配置了它的瀏覽器去使用它,一個(gè)希望(或被要求的)被停止訪問(wèn)該服務(wù)的網(wǎng)絡(luò),將必須阻止對(duì) Google 的全部訪問(wèn)(向他們提供的服務(wù)致敬?。↙CTT 譯注:他們做到了)。

DOH 才剛剛開(kāi)始,但它已經(jīng)引起很多人的興趣,并有了一些部署的傳聞。通過(guò)使用 DNS 來(lái)實(shí)施政策影響的網(wǎng)絡(luò)(和政府機(jī)構(gòu))如何反應(yīng)還有待觀察。

僵化和潤(rùn)滑

讓我們返回到協(xié)議變化的動(dòng)機(jī),有一個(gè)主題貫穿了這項(xiàng)工作,協(xié)議設(shè)計(jì)者們遇到的越來(lái)越多的問(wèn)題是網(wǎng)絡(luò)對(duì)流量的使用做了假設(shè)。

例如,TLS 1.3 有一些臨門一腳的問(wèn)題是中間設(shè)備假設(shè)它是舊版本的協(xié)議。gQUIC 將幾個(gè)對(duì) UDP 通訊進(jìn)行限流的網(wǎng)絡(luò)列入了黑名單,因?yàn)?,那些網(wǎng)絡(luò)認(rèn)為 UDP 通訊是有害的或者是低優(yōu)先級(jí)的。

當(dāng)一個(gè)協(xié)議因?yàn)橐延械牟渴鸲?“凍結(jié)” 它的可擴(kuò)展點(diǎn),從而導(dǎo)致不能再進(jìn)化,我們稱它為 已經(jīng)僵化了 。TCP 協(xié)議自身就是一個(gè)嚴(yán)重僵化的例子,因此,太多的中間設(shè)備在 TCP 協(xié)議上做了太多的事情,比如阻止了帶有無(wú)法識(shí)別的 TCP 選項(xiàng)的數(shù)據(jù)包,或者,“優(yōu)化”了擁塞控制。

防止僵化是有必要的,確保協(xié)議可以進(jìn)化以滿足未來(lái)互聯(lián)網(wǎng)的需要;否則,它將成為一個(gè)“公共災(zāi)難”,一些個(gè)別網(wǎng)絡(luò)的行為 —— 雖然在那里工作的很好 —— 但將影響整個(gè)互聯(lián)網(wǎng)的健康發(fā)展。

有很多的方式去防止僵化;如果被討論的數(shù)據(jù)是加密的,它并不能被除了持有密鑰的人之外任何一方所訪問(wèn),阻止了干擾。如果擴(kuò)展點(diǎn)是未加密的,但是通常以一種可以明顯中斷應(yīng)用程序的方法使用(例如,HTTP 報(bào)頭),它不太可能受到干擾。

協(xié)議設(shè)計(jì)者不能使用加密的擴(kuò)展點(diǎn)不經(jīng)常使用的情況下,人為地利用擴(kuò)展點(diǎn)——我們稱之為 潤(rùn)滑 它。

例如,QUIC 鼓勵(lì)終端在 版本協(xié)商 中使用一系列的誘餌值,來(lái)避免假設(shè)它的實(shí)現(xiàn)永遠(yuǎn)不變化(就像在 TLS 實(shí)現(xiàn)中經(jīng)常遇到的導(dǎo)致重大問(wèn)題的情況)。

網(wǎng)絡(luò)和用戶

除了避免僵化的愿望外,這些變化也反映出了網(wǎng)絡(luò)和它們的用戶之間關(guān)系的進(jìn)化。很長(zhǎng)時(shí)間以來(lái),人們總是假設(shè)網(wǎng)絡(luò)總是很仁慈好善的 —— 或者至少是公正的 —— 但這種情況是不存在的,不僅是 無(wú)孔不入的監(jiān)視,也有像 Firesheep 的攻擊。

因此,當(dāng)那些網(wǎng)絡(luò)想去訪問(wèn)一些流經(jīng)它們的網(wǎng)絡(luò)的用戶數(shù)據(jù)時(shí),互聯(lián)網(wǎng)用戶的整體需求和那些網(wǎng)絡(luò)之間的關(guān)系日益緊張。尤其受影響的是那些希望去對(duì)它們的用戶實(shí)施政策干預(yù)的網(wǎng)絡(luò);例如,企業(yè)網(wǎng)絡(luò)。

在一些情況中,他們可以通過(guò)在它們的用戶機(jī)器上安裝軟件(或一個(gè) CA 證書(shū),或者一個(gè)瀏覽器擴(kuò)展)來(lái)達(dá)到他們的目的。然而,在網(wǎng)絡(luò)不擁有或無(wú)法訪問(wèn)計(jì)算機(jī)的情況下,這并不容易;例如,BYOD 已經(jīng)很常用,并且物聯(lián)網(wǎng)設(shè)備幾乎沒(méi)有合適的控制接口。

因此,在 IETF 中圍繞協(xié)議開(kāi)發(fā)的許多討論,觸及了企業(yè)和其它的 “葉子” 網(wǎng)絡(luò)有時(shí)相互競(jìng)爭(zhēng)的需求,以及互聯(lián)網(wǎng)整體的好處。

參與

為了讓互聯(lián)網(wǎng)在以后工作的更好,它需要為終端用戶提供價(jià)值、避免僵化、讓網(wǎng)絡(luò)有序運(yùn)行?,F(xiàn)在正在發(fā)生的變化需要滿足所有的三個(gè)目標(biāo),但是,人們需要網(wǎng)絡(luò)運(yùn)營(yíng)商更多的投入。

如果這些變化影響你的網(wǎng)絡(luò) —— 或者沒(méi)有影響 —— 請(qǐng)?jiān)谙旅媪粝略u(píng)論。更好地可以通過(guò)參加會(huì)議、加入郵件列表、或者對(duì)草案提供反饋來(lái)參與 IETF 的工作。

責(zé)任編輯:武曉燕 來(lái)源: SDNLAB
相關(guān)推薦

2017-12-15 12:32:49

互聯(lián)網(wǎng)IPv4HTTP

2021-07-12 08:53:21

互聯(lián)網(wǎng) 行業(yè)數(shù)據(jù)

2020-08-03 09:22:19

互聯(lián)網(wǎng)數(shù)據(jù)技術(shù)

2017-09-06 17:55:17

用戶體驗(yàn)UE社交媒體

2018-06-28 23:20:51

2018-06-27 07:18:27

2011-09-08 16:18:55

互聯(lián)網(wǎng)

2020-09-23 16:55:29

互聯(lián)網(wǎng)IT技術(shù)

2012-05-23 11:44:26

網(wǎng)易互聯(lián)網(wǎng)互聯(lián)網(wǎng)變?cè)?/a>

2018-08-15 09:02:59

產(chǎn)業(yè)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)物聯(lián)網(wǎng)

2018-07-25 15:09:40

2023-12-06 09:37:14

接口協(xié)議物聯(lián)網(wǎng)

2018-04-20 10:58:54

2023-09-07 11:36:30

網(wǎng)絡(luò)協(xié)議互聯(lián)網(wǎng)

2017-08-03 16:37:35

互聯(lián)網(wǎng)法院司法

2019-09-04 14:00:24

百度互聯(lián)網(wǎng)BAT

2010-03-19 11:07:22

百兆寬帶美國(guó)

2021-11-29 08:18:22

架構(gòu)互聯(lián)網(wǎng)分布式

2010-06-17 23:25:09

互聯(lián)網(wǎng)協(xié)議

2015-11-03 09:35:42

物聯(lián)網(wǎng)核心技術(shù)
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)