网络通信 频道

互联网创新与之相比弱爆了!协议才是未来!

  【IT168 技术】今天,互联网非常繁荣,移动互联网更是来势汹汹,但如果没有互联网协议迭代,就不会有今天的互联网,让我们看看这些协议。

我们的互联网协议 互联网协议正在改变

  在20世纪90年代互联网开始广泛使用时,大多数网络流量只使用少量几个协议:IPv4路由数据包,TCP将这些包转换为连接,SSL/TLS加密这些连接,DNS命名主机连接,HTTP是经常使用它的应用程序协议。

我们的互联网协议 互联网协议正在改变

  多年来,这些核心互联网协议的变化微乎其微,而HTTP只是增加了一些新的标题和方法,TLS进行了一些小修改,TCP适应了拥塞控制,DNS引入了DNSSEC等功能,这些协议本身在很长一段时间内看起来都是一样的(除了已经在网络运营商社区得到了大量关注的IPv6协议)。

  因此,那些希望了解(甚至有时控制)互联网的网络运营商、供应商以及决策者已经采用了许多基于这些协议的“足迹”覆盖范围的做法 - 无论是为了调试问题,提高服务质量,还是为了施加政策。

  现在,核心互联网协议正在发生重大变化。虽然其目的是要与互联网兼容(因为它们不会被接受),但是它们可能会破坏那些没有未经授权的协议(现行协议)。

  为什么需要改变互联网

  推动这些变化的因素有很多,首先,核心互联网协议的局限性已经变得十分明显,特别是在性能方面。由于应用和传输协议中的结构问题,网络没有得到高效地使用,导致最终用户认为性能不能满足要求(特别是网络延迟)。

  这意味着人们有着强烈的动机来演变或取代这些协议,因为有大量的经验表明即使是很小的性能收益也会产生影响。

  其次,随着时间的推移,演进互联网协议的能力变得越来越困难,这主要是因为对这些网络的非预期使用。例如,试图压缩响应的HTTP代理使部署新的压缩技术变得更加困难;中间件中的TCP优化使得部署TCP改进变得更加困难。

  由于2015年发生了爱德华·斯诺登(Edward Snowden)的“棱镜门”事件,人们认识到安全的重要性,越来越多地使用互联网上的加密技术。这实际上是一个单独的讨论,但是与此密切相关的是,加密技术是人们确保协议可以发展演进的必须具备的非常好的工具之一。

  让我们了解一下发生了什么,接下来会发生什么,它如何影响网络,以及网络如何影响协议设计。

  HTTP/2

  HTTP/2(Google 的基于TCP的应用层协议SPDY)是在2015年在标准化方面的第一个明显变化,它将多个请求复用到一个TCP连接上,从而避免了在客户端排队请求,而不会彼此阻塞。它现在被广泛部署,并得到所有主流浏览器和Web服务器的支持。

  从网络的角度来看,HTTP/ 2发生了一些显著的变化。首先,这是一个二进制协议,所以任何假设它为HTTP/1.1的设备都将中断。

  这种中断和破坏是HTTP/ 2另一次重大变化的主要原因之一。它实际上需要加密。这给了它更好的机会来避免被假设为HTTP/1.1的中间人攻击,或者发生一些更细微的事情,比如strip headers或阻止新的协议扩展。

  HTTP/2还要求在加密时使用TLS/1.2,并将被判定为不安全的密码套件列入黑名单,其效果只允许使用短暂密钥。请参阅TLS 1.3部分以了解潜在的影响。

  最后,HTTP/2允许多个主机的请求合并到一个连接上,通过减少用于页面加载的连接数量(从而减少拥塞控制场景)来提高性能。

  例如,你可以为www.example.com建立连接,但也可以将它用于请求images.example.com。而未来的协议扩展也可能允许将其他主机添加到连接上,即使它们没有用于它所使用的原始TLS证书中。因此,假定连接上的流量限于其发起的目的,则不适用。

  尽管有这些变化,但值得注意的是,HTTP / 2似乎没有受到显着的互操作性问题或来自网络的干扰。

  TLS 1.3

  TLS 1.3刚刚完成标准化的最后过程,并且已经得到一些实现的支持。

  不要被其名称所迷惑;这实际上是TLS的一个新版本,握手协议经过多次修改,允许应用程序数据从头开始流动(通常称为“0RTT”)。新的设计依赖于短暂的密钥交换,从而排除了静态密钥。

  这已经引起了一些网络运营商和供应商的关注 - 特别是那些需要了解这些连接内部所发生的事情的人。

  例如,一家银行考虑采用具有可见性监管要求的的数据中心提供的服务。通过嗅探网络中的流量并使用其服务器的静态密钥对其进行解密,它们可以记录合法的流量并识别有害的流量,无论是来自外部的攻击者还是从内部泄漏数据的员工。

  TLS 1.3不支持拦截流量的特定技术,因为它也是临时密钥抵御攻击的一种形式。但是,由于他们对使用现代加密协议和监视他们的网络都有监管要求,这使得这些网络运营商处于一个尴尬的境地。

  关于法规是否需要静态密钥,是否有其他方法可能同样有效,以及为了相对较少的网络而削弱整个互联网的安全性是否是一个正确的解决方案,这已经引起了很多争议。事实上,仍然有可能在TLS 1.3中对流量进行解密,但是用户需要访问临时密钥才能这样做,而且在设计上它们并不是长久的。

  在这一点上,TLS 1.3看起来并不会改变以适应这些网络,但是有一些关于创建另一个协议的传言,这个协议允许第三方观察这些用例的情况,甚至更多。是否获得人们的关注这还有待观察。

  QUIC

  在HTTP/2的工作中, TCP很明显具有相似的低效率。由于TCP是一个有序的传输协议,一个数据包的丢失可能会阻止其后面的缓冲区中的数据被传送到应用程序。对于多路复用协议,这可能在性能上有很大的不同。

  QUIC试图通过在UDP之上有效地重建TCP语义(以及一些HTTP / 2的流模型)来解决这个问题。像HTTP/2一样,它得益于谷歌公司的努力,现在被国际互联网工程任务组(IETF)采用,最初的用例是HTTP-over-UDP,其目标是在2018年底成为标准。但是,由于谷歌公司已经在Chrome浏览器和其网站上应用,目前已占互联网流量的7%以上。  

  DOH

  最新的变化是DOH(DNS over HTTP)。大量的研究表明,网络通常使用DNS作为施加策略的手段(无论是代表网络运营商还是更大的权力机构)。

  以上已经讨论了使用加密来限制这种控制,但它有一个缺点(至少从某些角度来看),有可能将它与其他业务区分开来;例如,通过使用其端口号来阻止访问。

  DOH通过将DNS流量搭载到现有HTTP连接上来解决这个问题,从而消除了任何鉴别器。希望阻止访问该DNS解析器的网络也只能通过阻止访问该网站来实现。  

  网络和用户

  除了避免僵化的愿望之外,这些变化也反映了网络与用户之间不断变化的关系。长久以来,人们都认为网络总是仁慈的,至少是无私的,但现在已经不是这样了,这是由于无孔不入的监控,而且还有遭遇Firesheep这样的攻击。

  因此,互联网用户的整体需求与希望获得一定数据流量的网络之间的关系日益紧张。特别受影响的是那些想要对这些用户施加政策的网络,例如企业网络。

  在某些情况下,他们可以通过在用户的计算机上安装软件(或CA证书或浏览器扩展)来实现他们的目标。但是,在网络不拥有或无法访问计算机的情况下,这并不容易。例如BYOD已经变得很普遍,物联网设备很少有适当的控制接口。

  因此,围绕IETF协议开发的大量讨论,触及了企业和其他网络互相竞争的需求,以及整个互联网的好处。

  参与其中

  从长远来看,互联网要做好,就需要为终端用户提供价值,避免僵化,让网络有序运行。现在发生的变化需要满足所有三个目标,但是人们需要来自网络运营商的更多的投入。

0
相关文章