今天，互聯(lián)網(wǎng)非常繁榮，移動互聯(lián)網(wǎng)更是來勢洶洶，但如果沒有互聯(lián)網(wǎng)協(xié)議迭代，就不會有今天的互聯(lián)網(wǎng)，讓我們看看這些協(xié)議。

在20世紀90年代互聯(lián)網(wǎng)開始廣泛使用時，大多數(shù)網(wǎng)絡(luò)流量只使用少量幾個協(xié)議：IPv4路由數(shù)據(jù)包，TCP將這些包轉(zhuǎn)換為連接，SSL/TLS加密這些連接，DNS命名主機連接，HTTP是經(jīng)常使用它的應(yīng)用程序協(xié)議。

[[213512]]

多年來，這些核心互聯(lián)網(wǎng)協(xié)議的變化微乎其微，而HTTP只是增加了一些新的標題和方法，TLS進行了一些小修改，TCP適應(yīng)了擁塞控制，DNS引入了DNSSEC等功能，這些協(xié)議本身在很長一段時間內(nèi)看起來都是一樣的(除了已經(jīng)在網(wǎng)絡(luò)運營商社區(qū)得到了大量關(guān)注的IPv6協(xié)議)。

因此，那些希望了解(甚至有時控制)互聯(lián)網(wǎng)的網(wǎng)絡(luò)運營商、供應(yīng)商以及決策者已經(jīng)采用了許多基于這些協(xié)議的“足跡”覆蓋范圍的做法 - 無論是為了調(diào)試問題，提高服務(wù)質(zhì)量，還是為了施加政策。

現(xiàn)在，核心互聯(lián)網(wǎng)協(xié)議正在發(fā)生重大變化。雖然其目的是要與互聯(lián)網(wǎng)兼容(因為它們不會被接受)，但是它們可能會破壞那些沒有未經(jīng)授權(quán)的協(xié)議(現(xiàn)行協(xié)議)。

為什么需要改變互聯(lián)網(wǎng)

推動這些變化的因素有很多，首先，核心互聯(lián)網(wǎng)協(xié)議的局限性已經(jīng)變得十分明顯，特別是在性能方面。由于應(yīng)用和傳輸協(xié)議中的結(jié)構(gòu)問題，網(wǎng)絡(luò)沒有得到高效地使用，導(dǎo)致最終用戶認為性能不能滿足要求(特別是網(wǎng)絡(luò)延遲)。

這意味著人們有著強烈的動機來演變或取代這些協(xié)議，因為有大量的經(jīng)驗表明即使是很小的性能收益也會產(chǎn)生影響。

其次，隨著時間的推移，演進互聯(lián)網(wǎng)協(xié)議的能力變得越來越困難，這主要是因為對這些網(wǎng)絡(luò)的非預(yù)期使用。例如，試圖壓縮響應(yīng)的HTTP代理使部署新的壓縮技術(shù)變得更加困難;中間件中的TCP優(yōu)化使得部署TCP改進變得更加困難。

由于2015年發(fā)生了愛德華·斯諾登(Edward Snowden)的“棱鏡門”事件，人們認識到安全的重要性，越來越多地使用互聯(lián)網(wǎng)上的加密技術(shù)。這實際上是一個單獨的討論，但是與此密切相關(guān)的是，加密技術(shù)是人們確保協(xié)議可以發(fā)展演進的必須具備的最佳工具之一。

讓我們了解一下發(fā)生了什么，接下來會發(fā)生什么，它如何影響網(wǎng)絡(luò)，以及網(wǎng)絡(luò)如何影響協(xié)議設(shè)計。

HTTP/2

HTTP/2(Google 的基于TCP的應(yīng)用層協(xié)議SPDY)是在2015年在標準化方面的第一個明顯變化，它將多個請求復(fù)用到一個TCP連接上，從而避免了在客戶端排隊請求，而不會彼此阻塞。它現(xiàn)在被廣泛部署，并得到所有主流瀏覽器和Web服務(wù)器的支持。

從網(wǎng)絡(luò)的角度來看，HTTP/ 2發(fā)生了一些顯著的變化。首先，這是一個二進制協(xié)議，所以任何假設(shè)它為HTTP/1.1的設(shè)備都將中斷。

這種中斷和破壞是HTTP/ 2另一次重大變化的主要原因之一。它實際上需要加密。這給了它更好的機會來避免被假設(shè)為HTTP/1.1的中間人攻擊，或者發(fā)生一些更細微的事情，比如strip headers或阻止新的協(xié)議擴展。

HTTP/2還要求在加密時使用TLS/1.2，并將被判定為不安全的密碼套件列入黑名單，其效果只允許使用短暫密鑰。請參閱TLS 1.3部分以了解潛在的影響。

最后，HTTP/2允許多個主機的請求合并到一個連接上，通過減少用于頁面加載的連接數(shù)量(從而減少擁塞控制場景)來提高性能。

例如，你可以為www.example.com建立連接，但也可以將它用于請求images.example.com。而未來的協(xié)議擴展也可能允許將其他主機添加到連接上，即使它們沒有用于它所使用的原始TLS證書中。因此，假定連接上的流量限于其發(fā)起的目的，則不適用。

盡管有這些變化，但值得注意的是，HTTP / 2似乎沒有受到顯著的互操作性問題或來自網(wǎng)絡(luò)的干擾。

TLS 1.3

TLS 1.3剛剛完成標準化的最后過程，并且已經(jīng)得到一些實現(xiàn)的支持。

不要被其名稱所迷惑;這實際上是TLS的一個新版本，握手協(xié)議經(jīng)過多次修改，允許應(yīng)用程序數(shù)據(jù)從頭開始流動(通常稱為“0RTT”)。新的設(shè)計依賴于短暫的密鑰交換，從而排除了靜態(tài)密鑰。

這已經(jīng)引起了一些網(wǎng)絡(luò)運營商和供應(yīng)商的關(guān)注 - 特別是那些需要了解這些連接內(nèi)部所發(fā)生的事情的人。

例如，一家銀行考慮采用具有可見性監(jiān)管要求的的數(shù)據(jù)中心提供的服務(wù)。通過嗅探網(wǎng)絡(luò)中的流量并使用其服務(wù)器的靜態(tài)密鑰對其進行解密，它們可以記錄合法的流量并識別有害的流量，無論是來自外部的攻擊者還是從內(nèi)部泄漏數(shù)據(jù)的員工。

TLS 1.3不支持攔截流量的特定技術(shù)，因為它也是臨時密鑰抵御攻擊的一種形式。但是，由于他們對使用現(xiàn)代加密協(xié)議和監(jiān)視他們的網(wǎng)絡(luò)都有監(jiān)管要求，這使得這些網(wǎng)絡(luò)運營商處于一個尷尬的境地。

關(guān)于法規(guī)是否需要靜態(tài)密鑰，是否有其他方法可能同樣有效，以及為了相對較少的網(wǎng)絡(luò)而削弱整個互聯(lián)網(wǎng)的安全性是否是一個正確的解決方案，這已經(jīng)引起了很多爭議。事實上，仍然有可能在TLS 1.3中對流量進行解密，但是用戶需要訪問臨時密鑰才能這樣做，而且在設(shè)計上它們并不是長久的。

在這一點上，TLS 1.3看起來并不會改變以適應(yīng)這些網(wǎng)絡(luò)，但是有一些關(guān)于創(chuàng)建另一個協(xié)議的傳言，這個協(xié)議允許第三方觀察這些用例的情況，甚至更多。是否獲得人們的關(guān)注這還有待觀察。

QUIC

在HTTP/2的工作中， TCP很明顯具有相似的低效率。由于TCP是一個有序的傳輸協(xié)議，一個數(shù)據(jù)包的丟失可能會阻止其后面的緩沖區(qū)中的數(shù)據(jù)被傳送到應(yīng)用程序。對于多路復(fù)用協(xié)議，這可能在性能上有很大的不同。

QUIC試圖通過在UDP之上有效地重建TCP語義(以及一些HTTP / 2的流模型)來解決這個問題。像HTTP/2一樣，它得益于谷歌公司的努力，現(xiàn)在被國際互聯(lián)網(wǎng)工程任務(wù)組(IETF)采用，最初的用例是HTTP-over-UDP，其目標是在2018年底成為標準。但是，由于谷歌公司已經(jīng)在Chrome瀏覽器和其網(wǎng)站上應(yīng)用，目前已占互聯(lián)網(wǎng)流量的7%以上。

DOH

最新的變化是DOH(DNS over HTTP)。大量的研究表明，網(wǎng)絡(luò)通常使用DNS作為施加策略的手段(無論是代表網(wǎng)絡(luò)運營商還是更大的權(quán)力機構(gòu))。

以上已經(jīng)討論了使用加密來限制這種控制，但它有一個缺點(至少從某些角度來看)，有可能將它與其他業(yè)務(wù)區(qū)分開來;例如，通過使用其端口號來阻止訪問。

DOH通過將DNS流量搭載到現(xiàn)有HTTP連接上來解決這個問題，從而消除了任何鑒別器。希望阻止訪問該DNS解析器的網(wǎng)絡(luò)也只能通過阻止訪問該網(wǎng)站來實現(xiàn)。

網(wǎng)絡(luò)和用戶

除了避免僵化的愿望之外，這些變化也反映了網(wǎng)絡(luò)與用戶之間不斷變化的關(guān)系。長久以來，人們都認為網(wǎng)絡(luò)總是仁慈的，至少是無私的，但現(xiàn)在已經(jīng)不是這樣了，這是由于無孔不入的監(jiān)控，而且還有遭遇Firesheep這樣的攻擊。

因此，互聯(lián)網(wǎng)用戶的整體需求與希望獲得一定數(shù)據(jù)流量的網(wǎng)絡(luò)之間的關(guān)系日益緊張。特別受影響的是那些想要對這些用戶施加政策的網(wǎng)絡(luò)，例如企業(yè)網(wǎng)絡(luò)。

在某些情況下，他們可以通過在用戶的計算機上安裝軟件(或CA證書或瀏覽器擴展)來實現(xiàn)他們的目標。但是，在網(wǎng)絡(luò)不擁有或無法訪問計算機的情況下，這并不容易。例如BYOD已經(jīng)變得很普遍，物聯(lián)網(wǎng)設(shè)備很少有適當(dāng)?shù)目刂平涌凇?/p>

因此，圍繞IETF協(xié)議開發(fā)的大量討論，觸及了企業(yè)和其他網(wǎng)絡(luò)互相競爭的需求，以及整個互聯(lián)網(wǎng)的好處。

參與其中

從長遠來看，互聯(lián)網(wǎng)要做好，就需要為終端用戶提供價值，避免僵化，讓網(wǎng)絡(luò)有序運行?，F(xiàn)在發(fā)生的變化需要滿足所有三個目標，但是人們需要來自網(wǎng)絡(luò)運營商的更多的投入。