早些年在互聯(lián)網(wǎng)剛誕生時，有一種很火的說法曾獲得廣泛認可：“在網(wǎng)上，沒有人知道你是一條狗?！边@是因為當時的互聯(lián)網(wǎng)應用還能在一定程度上保證“匿名性”，每個人都可以在無需公開真實身份的情況下在網(wǎng)上參與各種活動，除非主動告知，否則你根本不會知道論壇上那個和你相談甚歡的網(wǎng)友到底是萌妹子還是摳腳大漢。

延伸閱讀，點擊鏈接了解 Akamai API Security

到今天，情況完全不同了。大數(shù)據(jù)挖掘、360度客戶畫像、個性化營銷……在各種數(shù)據(jù)收集、分析、挖掘技術面前，我們每個人的特征、習慣、喜好，都已經(jīng)無所遁形地展露了出來。雖然這些技術在很多時候也能為自己帶來各種便利，例如個性化的內(nèi)容推薦和服務，但當我們希望能保護自己隱私的時候，應該怎么做？

除了相關法規(guī)和制度的保護，技術造成的困擾，當然也可以用技術來解決。

2021年，Apple發(fā)布了一項名為iCloud專用代理（Private Relay）的服務，該服務旨在保護用戶在互聯(lián)網(wǎng)上的隱私，Akamai也參與提供了該服務的一些功能，為iCloud專用代理提供了Oblivious DNS over HTTPS（ODoH）技術和IaaS平臺。本文我們將概括介紹這項服務所能提供的保護，并分析這項服務對Akamai客戶到底意味著什么。

一、首先，專用代理到底是什么？

iCloud專用代理是iCloud+訂閱服務中提供的一項功能（僅在部分國家和地區(qū)提供），可以讓用戶在使用iOS 15、iPadOS 15以及macOS Monterey上的Safari瀏覽器時，以更加安全、私密的方式連接到互聯(lián)網(wǎng)。專用代理采用了一種獨特的雙跳（Dual-hop）架構(gòu)，可以保證任何人都無法知道用戶身份，以及用戶到底訪問了哪些網(wǎng)站。

該功能使用了兩個相互隔離的互聯(lián)網(wǎng)代理（入口代理和出口代理），這些代理分別由不同機構(gòu)運維，借此可讓最終用戶所訪問的網(wǎng)站完全無從得知該用戶的真實IP地址。

iCloud專用代理的雙跳架構(gòu)，來源：Apple

二、Akamai在其中扮演的角色

Akamai通過多種自行開發(fā)的基礎架構(gòu)服務為該功能提供了支持。專用代理借助Akamai高度分布式的計算平臺實現(xiàn)了極高的性能，同時通過數(shù)據(jù)與運維的劃分確保了任何一方都無法全面了解用戶流量的全貌。

Akamai基于Multiplexed Application Substrate over QUIC Encryption（MASQUE，基于QUIC加密的多路復用應用程序基板）協(xié)議和ODoH服務構(gòu)建了一種全新的托管服務，借此為專用代理提供了必不可少的出口服務，以保證DNS查詢的私密性。有關該出口代理和ODoH的詳細信息可參考Apple提供的技術說明。

Akamai的客戶的服務使用費用不會有任何變化，但可能會在流量模式以及服務的交付方式等方面發(fā)現(xiàn)一些變化。隨著專用代理的廣泛使用，網(wǎng)站和網(wǎng)絡運營商可E會發(fā)現(xiàn)來自Akamai的流量開始增多。

三、專用代理會導致怎樣的結(jié)果？

大部分網(wǎng)站的所有者無需更改自己的網(wǎng)站，即可直接支持專用代理。不過為了盡可能向用戶提供最佳體驗，還需要全面理解專用代理所產(chǎn)生的獨特流量模式。盡管并非完全相同，但專用代理在流量方面導致的一些變化，看起來可能與一些現(xiàn)有代理服務（如VPN-虛擬專用網(wǎng)絡、CGN-運營商級NAT、SWG-安全Web網(wǎng)關等）導致的變化較為類似。但也有一些比較大的差異，例如：

1. 客戶端IP地址通過網(wǎng)絡地址轉(zhuǎn)換（NAT），將本地專用地址映射至公用地址，隨后開始傳輸信息，借此維持每個用戶的隱私。
2. 網(wǎng)站服務器看到的是專用代理的出口IP，而非客戶的IP地址。
3. 由于特定客戶的出口IP時不時會發(fā)生變化，因此不建議將IP地址信息嵌入到身份驗證令牌中。
4. 對于某些需要依賴客戶端或目標IP地址追蹤或標識信息的服務（如Zero-rating或基于IP地址的客戶端身份驗證服務），可能將無法按照預期正常使用，這種情況下將只能使用其他替代機制。
5. 從本地網(wǎng)絡保護客戶端DNS請求和客戶端流量的目的地。
6. 客戶端流量Delocalization。
7. 通過來源IP地址可以準確識別客戶所在國家/地區(qū)和時區(qū)，甚至能據(jù)此概括確定客戶所在城市或大致位置，但無法對應到特定的最終用戶。
8. Akamai EdgeScape IP地理位置數(shù)據(jù)庫已通過更新包含了專用代理的IP地址位置信息，如果客戶使用了第三方的IP地址位置信息數(shù)據(jù)，建議更新這些數(shù)據(jù)，以包含專用代理的相關信息。
9. 在某些出口代理運營商那里，IPv6源地址比IPv4地址更精細，為了獲得更準確的客戶端位置，建議服務器運營商啟用IPv4+IPv6雙棧。
10. 建議在最后一公里進一步采用QUIC和IPv6，哪怕源站目前并不支持這些技術。這可以有效改善最終用戶的性能并實現(xiàn)更高效的路由。
11. 該服務內(nèi)置了反欺詐和反濫用功能，該服務的客戶端需要通過盲簽名（Blind signature）進行身份驗證，并以限速的方式訪問服務，以減少機器人的濫用訪問。
12. Akamai客戶依然可借助Akamai的應用和API保護、賬戶接管保護以及爬蟲管理解決方案獲得額外保護。

四、總結(jié)

Akamai很高興看到類似專用代理這樣的新服務幫助最終用戶進一步保護隱私并減少欺詐和濫用，同時也并不對應用程序性能產(chǎn)生負面影響。

隨后，我們還將通過后續(xù)文章進一步介紹為iCloud專用代理提供支撐的Akamai ODoH服務以及IaaS平臺的更多技術細節(jié)。敬請關注Akamai知乎機構(gòu)號，第一時間了解最新Web和安全技術。

—————————————————————————————————————————————————

如您所在的企業(yè)也想要進一步保護API安全，

點擊鏈接了解Akamai的解決方案