早些年在互聯(lián)網(wǎng)剛誕生時，有一種很火的說法曾獲得廣泛認可：“在網(wǎng)上，沒有人知道你是一條狗?！边@是因為當(dāng)時的互聯(lián)網(wǎng)應(yīng)用還能在一定程度上保證“匿名性”，每個人都可以在無需公開真實身份的情況下在網(wǎng)上參與各種活動，除非主動告知，否則你根本不會知道論壇上那個和你相談甚歡的網(wǎng)友到底是萌妹子還是摳腳大漢。

延伸閱讀，點擊鏈接了解 Akamai API Security

到今天，情況完全不同了。大數(shù)據(jù)挖掘、360度客戶畫像、個性化營銷……在各種數(shù)據(jù)收集、分析、挖掘技術(shù)面前，我們每個人的特征、習(xí)慣、喜好，都已經(jīng)無所遁形地展露了出來。雖然這些技術(shù)在很多時候也能為自己帶來各種便利，例如個性化的內(nèi)容推薦和服務(wù)，但當(dāng)我們希望能保護自己隱私的時候，應(yīng)該怎么做？

除了相關(guān)法規(guī)和制度的保護，技術(shù)造成的困擾，當(dāng)然也可以用技術(shù)來解決。

2021年，Apple發(fā)布了一項名為iCloud專用代理（Private Relay）的服務(wù)，該服務(wù)旨在保護用戶在互聯(lián)網(wǎng)上的隱私，Akamai也參與提供了該服務(wù)的一些功能，為iCloud專用代理提供了Oblivious DNS over HTTPS（ODoH）技術(shù)和IaaS平臺。本文我們將概括介紹這項服務(wù)所能提供的保護，并分析這項服務(wù)對Akamai客戶到底意味著什么。

一、首先，專用代理到底是什么？

iCloud專用代理是iCloud+訂閱服務(wù)中提供的一項功能（僅在部分國家和地區(qū)提供），可以讓用戶在使用iOS 15、iPadOS 15以及macOS Monterey上的Safari瀏覽器時，以更加安全、私密的方式連接到互聯(lián)網(wǎng)。專用代理采用了一種獨特的雙跳（Dual-hop）架構(gòu)，可以保證任何人都無法知道用戶身份，以及用戶到底訪問了哪些網(wǎng)站。

該功能使用了兩個相互隔離的互聯(lián)網(wǎng)代理（入口代理和出口代理），這些代理分別由不同機構(gòu)運維，借此可讓最終用戶所訪問的網(wǎng)站完全無從得知該用戶的真實IP地址。

iCloud專用代理的雙跳架構(gòu)，來源：Apple

二、Akamai在其中扮演的角色

Akamai通過多種自行開發(fā)的基礎(chǔ)架構(gòu)服務(wù)為該功能提供了支持。專用代理借助Akamai高度分布式的計算平臺實現(xiàn)了極高的性能，同時通過數(shù)據(jù)與運維的劃分確保了任何一方都無法全面了解用戶流量的全貌。

Akamai基于Multiplexed Application Substrate over QUIC Encryption（MASQUE，基于QUIC加密的多路復(fù)用應(yīng)用程序基板）協(xié)議和ODoH服務(wù)構(gòu)建了一種全新的托管服務(wù)，借此為專用代理提供了必不可少的出口服務(wù)，以保證DNS查詢的私密性。有關(guān)該出口代理和ODoH的詳細信息可參考Apple提供的技術(shù)說明。

Akamai的客戶的服務(wù)使用費用不會有任何變化，但可能會在流量模式以及服務(wù)的交付方式等方面發(fā)現(xiàn)一些變化。隨著專用代理的廣泛使用，網(wǎng)站和網(wǎng)絡(luò)運營商可E會發(fā)現(xiàn)來自Akamai的流量開始增多。

三、專用代理會導(dǎo)致怎樣的結(jié)果？

大部分網(wǎng)站的所有者無需更改自己的網(wǎng)站，即可直接支持專用代理。不過為了盡可能向用戶提供最佳體驗，還需要全面理解專用代理所產(chǎn)生的獨特流量模式。盡管并非完全相同，但專用代理在流量方面導(dǎo)致的一些變化，看起來可能與一些現(xiàn)有代理服務(wù)（如VPN-虛擬專用網(wǎng)絡(luò)、CGN-運營商級NAT、SWG-安全Web網(wǎng)關(guān)等）導(dǎo)致的變化較為類似。但也有一些比較大的差異，例如：

1. 客戶端IP地址通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），將本地專用地址映射至公用地址，隨后開始傳輸信息，借此維持每個用戶的隱私。
2. 網(wǎng)站服務(wù)器看到的是專用代理的出口IP，而非客戶的IP地址。
3. 由于特定客戶的出口IP時不時會發(fā)生變化，因此不建議將IP地址信息嵌入到身份驗證令牌中。
4. 對于某些需要依賴客戶端或目標IP地址追蹤或標識信息的服務(wù)（如Zero-rating或基于IP地址的客戶端身份驗證服務(wù)），可能將無法按照預(yù)期正常使用，這種情況下將只能使用其他替代機制。
5. 從本地網(wǎng)絡(luò)保護客戶端DNS請求和客戶端流量的目的地。
6. 客戶端流量Delocalization。
7. 通過來源IP地址可以準確識別客戶所在國家/地區(qū)和時區(qū)，甚至能據(jù)此概括確定客戶所在城市或大致位置，但無法對應(yīng)到特定的最終用戶。
8. Akamai EdgeScape IP地理位置數(shù)據(jù)庫已通過更新包含了專用代理的IP地址位置信息，如果客戶使用了第三方的IP地址位置信息數(shù)據(jù)，建議更新這些數(shù)據(jù)，以包含專用代理的相關(guān)信息。
9. 在某些出口代理運營商那里，IPv6源地址比IPv4地址更精細，為了獲得更準確的客戶端位置，建議服務(wù)器運營商啟用IPv4+IPv6雙棧。
10. 建議在最后一公里進一步采用QUIC和IPv6，哪怕源站目前并不支持這些技術(shù)。這可以有效改善最終用戶的性能并實現(xiàn)更高效的路由。
11. 該服務(wù)內(nèi)置了反欺詐和反濫用功能，該服務(wù)的客戶端需要通過盲簽名（Blind signature）進行身份驗證，并以限速的方式訪問服務(wù)，以減少機器人的濫用訪問。
12. Akamai客戶依然可借助Akamai的應(yīng)用和API保護、賬戶接管保護以及爬蟲管理解決方案獲得額外保護。

四、總結(jié)

Akamai很高興看到類似專用代理這樣的新服務(wù)幫助最終用戶進一步保護隱私并減少欺詐和濫用，同時也并不對應(yīng)用程序性能產(chǎn)生負面影響。

隨后，我們還將通過后續(xù)文章進一步介紹為iCloud專用代理提供支撐的Akamai ODoH服務(wù)以及IaaS平臺的更多技術(shù)細節(jié)。敬請關(guān)注Akamai知乎機構(gòu)號，第一時間了解最新Web和安全技術(shù)。

—————————————————————————————————————————————————

如您所在的企業(yè)也想要進一步保護API安全，

點擊鏈接了解Akamai的解決方案