早些年在互聯(lián)網(wǎng)剛誕生時(shí)，有一種很火的說(shuō)法曾獲得廣泛認(rèn)可：“在網(wǎng)上，沒(méi)有人知道你是一條狗?！边@是因?yàn)楫?dāng)時(shí)的互聯(lián)網(wǎng)應(yīng)用還能在一定程度上保證“匿名性”，每個(gè)人都可以在無(wú)需公開真實(shí)身份的情況下在網(wǎng)上參與各種活動(dòng)，除非主動(dòng)告知，否則你根本不會(huì)知道論壇上那個(gè)和你相談甚歡的網(wǎng)友到底是萌妹子還是摳腳大漢。

延伸閱讀，點(diǎn)擊鏈接了解 Akamai API Security

到今天，情況完全不同了。大數(shù)據(jù)挖掘、360度客戶畫像、個(gè)性化營(yíng)銷……在各種數(shù)據(jù)收集、分析、挖掘技術(shù)面前，我們每個(gè)人的特征、習(xí)慣、喜好，都已經(jīng)無(wú)所遁形地展露了出來(lái)。雖然這些技術(shù)在很多時(shí)候也能為自己帶來(lái)各種便利，例如個(gè)性化的內(nèi)容推薦和服務(wù)，但當(dāng)我們希望能保護(hù)自己隱私的時(shí)候，應(yīng)該怎么做？

除了相關(guān)法規(guī)和制度的保護(hù)，技術(shù)造成的困擾，當(dāng)然也可以用技術(shù)來(lái)解決。

2021年，Apple發(fā)布了一項(xiàng)名為iCloud專用代理（Private Relay）的服務(wù)，該服務(wù)旨在保護(hù)用戶在互聯(lián)網(wǎng)上的隱私，Akamai也參與提供了該服務(wù)的一些功能，為iCloud專用代理提供了Oblivious DNS over HTTPS（ODoH）技術(shù)和IaaS平臺(tái)。本文我們將概括介紹這項(xiàng)服務(wù)所能提供的保護(hù)，并分析這項(xiàng)服務(wù)對(duì)Akamai客戶到底意味著什么。

一、首先，專用代理到底是什么？

iCloud專用代理是iCloud+訂閱服務(wù)中提供的一項(xiàng)功能（僅在部分國(guó)家和地區(qū)提供），可以讓用戶在使用iOS 15、iPadOS 15以及macOS Monterey上的Safari瀏覽器時(shí)，以更加安全、私密的方式連接到互聯(lián)網(wǎng)。專用代理采用了一種獨(dú)特的雙跳（Dual-hop）架構(gòu)，可以保證任何人都無(wú)法知道用戶身份，以及用戶到底訪問(wèn)了哪些網(wǎng)站。

該功能使用了兩個(gè)相互隔離的互聯(lián)網(wǎng)代理（入口代理和出口代理），這些代理分別由不同機(jī)構(gòu)運(yùn)維，借此可讓最終用戶所訪問(wèn)的網(wǎng)站完全無(wú)從得知該用戶的真實(shí)IP地址。

iCloud專用代理的雙跳架構(gòu)，來(lái)源：Apple

二、Akamai在其中扮演的角色

Akamai通過(guò)多種自行開發(fā)的基礎(chǔ)架構(gòu)服務(wù)為該功能提供了支持。專用代理借助Akamai高度分布式的計(jì)算平臺(tái)實(shí)現(xiàn)了極高的性能，同時(shí)通過(guò)數(shù)據(jù)與運(yùn)維的劃分確保了任何一方都無(wú)法全面了解用戶流量的全貌。

Akamai基于Multiplexed Application Substrate over QUIC Encryption（MASQUE，基于QUIC加密的多路復(fù)用應(yīng)用程序基板）協(xié)議和ODoH服務(wù)構(gòu)建了一種全新的托管服務(wù)，借此為專用代理提供了必不可少的出口服務(wù)，以保證DNS查詢的私密性。有關(guān)該出口代理和ODoH的詳細(xì)信息可參考Apple提供的技術(shù)說(shuō)明。

Akamai的客戶的服務(wù)使用費(fèi)用不會(huì)有任何變化，但可能會(huì)在流量模式以及服務(wù)的交付方式等方面發(fā)現(xiàn)一些變化。隨著專用代理的廣泛使用，網(wǎng)站和網(wǎng)絡(luò)運(yùn)營(yíng)商可E會(huì)發(fā)現(xiàn)來(lái)自Akamai的流量開始增多。

三、專用代理會(huì)導(dǎo)致怎樣的結(jié)果？

大部分網(wǎng)站的所有者無(wú)需更改自己的網(wǎng)站，即可直接支持專用代理。不過(guò)為了盡可能向用戶提供最佳體驗(yàn)，還需要全面理解專用代理所產(chǎn)生的獨(dú)特流量模式。盡管并非完全相同，但專用代理在流量方面導(dǎo)致的一些變化，看起來(lái)可能與一些現(xiàn)有代理服務(wù)（如VPN-虛擬專用網(wǎng)絡(luò)、CGN-運(yùn)營(yíng)商級(jí)NAT、SWG-安全Web網(wǎng)關(guān)等）導(dǎo)致的變化較為類似。但也有一些比較大的差異，例如：

1. 客戶端IP地址通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），將本地專用地址映射至公用地址，隨后開始傳輸信息，借此維持每個(gè)用戶的隱私。
2. 網(wǎng)站服務(wù)器看到的是專用代理的出口IP，而非客戶的IP地址。
3. 由于特定客戶的出口IP時(shí)不時(shí)會(huì)發(fā)生變化，因此不建議將IP地址信息嵌入到身份驗(yàn)證令牌中。
4. 對(duì)于某些需要依賴客戶端或目標(biāo)IP地址追蹤或標(biāo)識(shí)信息的服務(wù)（如Zero-rating或基于IP地址的客戶端身份驗(yàn)證服務(wù)），可能將無(wú)法按照預(yù)期正常使用，這種情況下將只能使用其他替代機(jī)制。
5. 從本地網(wǎng)絡(luò)保護(hù)客戶端DNS請(qǐng)求和客戶端流量的目的地。
6. 客戶端流量Delocalization。
7. 通過(guò)來(lái)源IP地址可以準(zhǔn)確識(shí)別客戶所在國(guó)家/地區(qū)和時(shí)區(qū)，甚至能據(jù)此概括確定客戶所在城市或大致位置，但無(wú)法對(duì)應(yīng)到特定的最終用戶。
8. Akamai EdgeScape IP地理位置數(shù)據(jù)庫(kù)已通過(guò)更新包含了專用代理的IP地址位置信息，如果客戶使用了第三方的IP地址位置信息數(shù)據(jù)，建議更新這些數(shù)據(jù)，以包含專用代理的相關(guān)信息。
9. 在某些出口代理運(yùn)營(yíng)商那里，IPv6源地址比IPv4地址更精細(xì)，為了獲得更準(zhǔn)確的客戶端位置，建議服務(wù)器運(yùn)營(yíng)商啟用IPv4+IPv6雙棧。
10. 建議在最后一公里進(jìn)一步采用QUIC和IPv6，哪怕源站目前并不支持這些技術(shù)。這可以有效改善最終用戶的性能并實(shí)現(xiàn)更高效的路由。
11. 該服務(wù)內(nèi)置了反欺詐和反濫用功能，該服務(wù)的客戶端需要通過(guò)盲簽名（Blind signature）進(jìn)行身份驗(yàn)證，并以限速的方式訪問(wèn)服務(wù)，以減少機(jī)器人的濫用訪問(wèn)。
12. Akamai客戶依然可借助Akamai的應(yīng)用和API保護(hù)、賬戶接管保護(hù)以及爬蟲管理解決方案獲得額外保護(hù)。

四、總結(jié)

Akamai很高興看到類似專用代理這樣的新服務(wù)幫助最終用戶進(jìn)一步保護(hù)隱私并減少欺詐和濫用，同時(shí)也并不對(duì)應(yīng)用程序性能產(chǎn)生負(fù)面影響。

隨后，我們還將通過(guò)后續(xù)文章進(jìn)一步介紹為iCloud專用代理提供支撐的Akamai ODoH服務(wù)以及IaaS平臺(tái)的更多技術(shù)細(xì)節(jié)。敬請(qǐng)關(guān)注Akamai知乎機(jī)構(gòu)號(hào)，第一時(shí)間了解最新Web和安全技術(shù)。

—————————————————————————————————————————————————

如您所在的企業(yè)也想要進(jìn)一步保護(hù)API安全，

點(diǎn)擊鏈接了解Akamai的解決方案