QUIC是HTTP下一版本的基礎協議
Internet工程任務組(IETF)透露,超文本傳輸協議(HTTP)的第三個正式版本將不再使用TCP。 取而代之的是,它將在2012年Google首次開發的QUIC協議上運行。
什麼是QUIC?
顧名思義,快速UDP Internet連接(QUIC)是基於多路UDP連接的傳輸層協議。 實際上,QUIC將UDP上的TCP + TLS + SPDY結合使用,並相對於當前的TCP上的HTTP / 2進行了一些增強。
自2016年以來,IETF就一直在開發Google QUIC的標準化版本,最近,他們宣佈打算將其包含在新的HTTP / 3版本中。 但是,IETF QUIC版本已經與原始QUIC設計大相徑庭。
藉助TLS 1.3加密,QUIC協議旨在在保持安全性的同時實現簡單性和速度。 他們在連接建立和數據傳輸方面開發了一種更有效的協議。 根據Google的說法,與TCP + TLS的1-3次往返相比,QUIC握手在發送有效載荷之前通常需要零次往返。 實際上,第一個連接曾經需要一個往返,而隨後的連接將為零。
此外,與當前的TCP相比,它在處理數據包丟失方面更好。 每個重發的數據包都消耗一個新的序列號,從而消除了歧義並防止了引起RTO的損失。 正如IETF的Jana Iyengar所說,QUIC不僅是對互聯網傳輸層的重新定義,而且是對傳輸權的重新發明。
目前,只有1.2%的頂級網站支持QUIC,但它們通常都是人流量大的網站:幾乎每個Google服務都支持自己的QUIC協議。
是絕對安全的嗎?
QUIC的第一個開發包括其自己的加密。 但是,這只是一個臨時實現,註定要被IETF所描述的TLS 1.3取代。
實際上,QUIC的連接建立策略是基於加密和傳輸握手的結合。
使用QUIC,默認情況下將對所有內容進行加密。 儘管如此,與任何其他技術一樣,QUIC確實確實存在安全風險。
Robert Lychev和Samuel Jero在2015年的工作報告了該協議的一些弱點。 服務器配置重播攻擊等攻擊可能會降低QUIC的性能。 但是,根據數據的安全性模型和測試,數據的機密性和真實性似乎得到了適當的保護。
如果您想了解有關QUIC的更多信息,以及如何將其集成到下一版本的HTTP中,強烈建議您查看Google的官方文檔以及IETF發佈的草案。 您可以在本文的參考書目中找到它們!
創新總是在向前發展。 就像鑽頭一樣。
參考書目
[1]" QUIC,通過UDP的多路複用流傳輸-Chromium項目",Chromium.org。 [線上]。 可用:https://www.chromium.org/quic。 [訪問時間:2018年11月18日]
[2] M. Thomson,"草案-ietf-quic-transport-16-QUIC:基於UDP的多路複用和安全傳輸",Tools.ietf.org,2018年。[在線]。 可用:https://tools.ietf.org/html/draft-ietf-quic-transport-16。 [訪問時間:2018年11月18日]
[3] S. Turner," draft-ietf-quic-tls-03-使用傳輸層安全性(TLS)來保護QUIC",Tools.ietf.org,2018年。[在線]。 可用:https://tools.ietf.org/html/draft-ietf-quic-tls-03#section-3。 [訪問時間:2018年11月18日]
[4] E. Rescorla,"傳輸層安全性(TLS)協議版本1.3",Tools.ietf.org,2018年。[在線]。 可用:https://tools.ietf.org/id/draft-ietf-tls-tls13-23.html。 [訪問時間:2018年11月18日]
[5] R. Lychev,S。Jero,A。Boldyreva和C. Nita-Rotaru," QUIC有多安全和快捷? 可驗證的安全性和性能分析",2015年。[在線]。 可用:https://www.cc.gatech.edu/~aboldyre/papers/quic.pdf。 [訪問時間:2018年11月18日]
(本文翻譯自Telmo Subira Rodriguez的文章《The Internet changes: HTTP/3 will not use TCP anymore》,參考:https://medium.com/drill/the-internet-changes-http-3-will-not-use-tcp-anymore-427e82eeadc0)