互聯網創新與之相比弱爆了！協議才是未來！

今天，互聯網非常繁榮，移動互聯網更是來勢洶洶，但如果沒有互聯網協議迭代，就不會有今天的互聯網，讓我們看看這些協議。

在20世紀90年代互聯網開始廣泛使用時，大多數網絡流量只使用少量幾個協議：IPv4路由數據包，TCP將這些包轉換為連接，SSL/TLS加密這些連接，DNS命名主機連接，HTTP是經常使用它的應用程序協議。

多年來，這些核心互聯網協議的變化微乎其微，而HTTP只是增加了一些新的標題和方法，TLS進行了一些小修改，TCP適應了擁塞控制，DNS引入了DNSSEC等功能，這些協議本身在很長一段時間內看起來都是一樣的(除了已經在網絡運營商社區得到了大量關注的IPv6協議)。

因此，那些希望了解(甚至有時控制)互聯網的網絡運營商、供應商以及決策者已經采用了許多基于這些協議的“足跡”覆蓋范圍的做法 - 無論是為了調試問題，提高服務質量，還是為了施加政策。

現在，核心互聯網協議正在發生重大變化。雖然其目的是要與互聯網兼容(因為它們不會被接受)，但是它們可能會破壞那些沒有未經授權的協議（現行協議）。

為什么需要改變互聯網

推動這些變化的因素有很多，首先，核心互聯網協議的局限性已經變得十分明顯，特別是在性能方面。由于應用和傳輸協議中的結構問題，網絡沒有得到高效地使用，導致最終用戶認為性能不能滿足要求(特別是網絡延遲)。

這意味著人們有著強烈的動機來演變或取代這些協議，因為有大量的經驗表明即使是很小的性能收益也會產生影響。

其次，隨著時間的推移，演進互聯網協議的能力變得越來越困難，這主要是因為對這些網絡的非預期使用。例如，試圖壓縮響應的HTTP代理使部署新的壓縮技術變得更加困難;中間件中的TCP優化使得部署TCP改進變得更加困難。

由于2015年發生了愛德華·斯諾登(Edward Snowden)的“棱鏡門”事件，人們認識到安全的重要性，越來越多地使用互聯網上的加密技術。這實際上是一個單獨的討論，但是與此密切相關的是，加密技術是人們確保協議可以發展演進的必須具備的最佳工具之一。

　讓我們了解一下發生了什么，接下來會發生什么，它如何影響網絡，以及網絡如何影響協議設計。

HTTP/2

HTTP/2(Google 的基于TCP的應用層協議SPDY)是在2015年在標準化方面的第一個明顯變化，它將多個請求復用到一個TCP連接上，從而避免了在客戶端排隊請求，而不會彼此阻塞。它現在被廣泛部署，并得到所有主流瀏覽器和Web服務器的支持。

從網絡的角度來看，HTTP/ 2發生了一些顯著的變化。首先，這是一個二進制協議，所以任何假設它為HTTP/1.1的設備都將中斷。

這種中斷和破壞是HTTP/ 2另一次重大變化的主要原因之一。它實際上需要加密。這給了它更好的機會來避免被假設為HTTP/1.1的中間人攻擊，或者發生一些更細微的事情，比如strip headers或阻止新的協議擴展。

HTTP/2還要求在加密時使用TLS/1.2，并將被判定為不安全的密碼套件列入黑名單，其效果只允許使用短暫密鑰。請參閱TLS 1.3部分以了解潛在的影響。

最后，HTTP/2允許多個主機的請求合并到一個連接上，通過減少用于頁面加載的連接數量(從而減少擁塞控制場景)來提高性能。

例如，你可以為www.example.com建立連接，但也可以將它用于請求images.example.com。而未來的協議擴展也可能允許將其他主機添加到連接上，即使它們沒有用于它所使用的原始TLS證書中。因此，假定連接上的流量限于其發起的目的，則不適用。

盡管有這些變化，但值得注意的是，HTTP / 2似乎沒有受到顯著的互操作性問題或來自網絡的干擾。

　TLS 1.3

TLS 1.3剛剛完成標準化的最后過程，并且已經得到一些實現的支持。

不要被其名稱所迷惑;這實際上是TLS的一個新版本，握手協議經過多次修改，允許應用程序數據從頭開始流動(通常稱為“0RTT”)。新的設計依賴于短暫的密鑰交換，從而排除了靜態密鑰。

這已經引起了一些網絡運營商和供應商的關注 - 特別是那些需要了解這些連接內部所發生的事情的人。

例如，一家銀行考慮采用具有可見性監管要求的的數據中心提供的服務。通過嗅探網絡中的流量并使用其服務器的靜態密鑰對其進行解密，它們可以記錄合法的流量并識別有害的流量，無論是來自外部的攻擊者還是從內部泄漏數據的員工。

TLS 1.3不支持攔截流量的特定技術，因為它也是臨時密鑰抵御攻擊的一種形式。但是，由于他們對使用現代加密協議和監視他們的網絡都有監管要求，這使得這些網絡運營商處于一個尷尬的境地。

關于法規是否需要靜態密鑰，是否有其他方法可能同樣有效，以及為了相對較少的網絡而削弱整個互聯網的安全性是否是一個正確的解決方案，這已經引起了很多爭議。事實上，仍然有可能在TLS 1.3中對流量進行解密，但是用戶需要訪問臨時密鑰才能這樣做，而且在設計上它們并不是長久的。

在這一點上，TLS 1.3看起來并不會改變以適應這些網絡，但是有一些關于創建另一個協議的傳言，這個協議允許第三方觀察這些用例的情況，甚至更多。是否獲得人們的關注這還有待觀察。

QUIC

在HTTP/2的工作中， TCP很明顯具有相似的低效率。由于TCP是一個有序的傳輸協議，一個數據包的丟失可能會阻止其后面的緩沖區中的數據被傳送到應用程序。對于多路復用協議，這可能在性能上有很大的不同。

QUIC試圖通過在UDP之上有效地重建TCP語義(以及一些HTTP / 2的流模型)來解決這個問題。像HTTP/2一樣，它得益于谷歌公司的努力，現在被國際互聯網工程任務組(IETF)采用，最初的用例是HTTP-over-UDP，其目標是在2018年底成為標準。但是，由于谷歌公司已經在Chrome瀏覽器和其網站上應用，目前已占互聯網流量的7%以上?！　?/p>

DOH

最新的變化是DOH(DNS over HTTP)。大量的研究表明，網絡通常使用DNS作為施加策略的手段(無論是代表網絡運營商還是更大的權力機構)。

以上已經討論了使用加密來限制這種控制，但它有一個缺點(至少從某些角度來看)，有可能將它與其他業務區分開來;例如，通過使用其端口號來阻止訪問。

DOH通過將DNS流量搭載到現有HTTP連接上來解決這個問題，從而消除了任何鑒別器。希望阻止訪問該DNS解析器的網絡也只能通過阻止訪問該網站來實現?！　?/p>

網絡和用戶

除了避免僵化的愿望之外，這些變化也反映了網絡與用戶之間不斷變化的關系。長久以來，人們都認為網絡總是仁慈的，至少是無私的，但現在已經不是這樣了，這是由于無孔不入的監控，而且還有遭遇Firesheep這樣的攻擊。

因此，互聯網用戶的整體需求與希望獲得一定數據流量的網絡之間的關系日益緊張。特別受影響的是那些想要對這些用戶施加政策的網絡，例如企業網絡。

在某些情況下，他們可以通過在用戶的計算機上安裝軟件(或CA證書或瀏覽器擴展)來實現他們的目標。但是，在網絡不擁有或無法訪問計算機的情況下，這并不容易。例如BYOD已經變得很普遍，物聯網設備很少有適當的控制接口。

因此，圍繞IETF協議開發的大量討論，觸及了企業和其他網絡互相競爭的需求，以及整個互聯網的好處。

參與其中

從長遠來看，互聯網要做好，就需要為終端用戶提供價值，避免僵化，讓網絡有序運行?，F在發生的變化需要滿足所有三個目標，但是人們需要來自網絡運營商的更多的投入。

撫順眾聯網絡公司轉載

撫順網絡公司   撫順網絡  撫順軟件公司