当前位置:首页 > 报告详情

李龙彦安全为先:QUIC 通讯协议性能与安全优化实践.pdf

上传人: 2*** 编号:122104 2023-04-04 34页 10.09MB

1、安全为先:QUIC性能与安全优化实践李龙彦 OPPOOPPO网络优化领域技术专家,多年网络协议栈开发经验。目前主要负责OPPO的移动端网络库、接入层安全的架构设计和研发工作。从0-1建设了OPPO特色的QUIC(HTTP/3)协议,并成功在OPPO各个业务的进行上线,对网络传输效率以及安全有较大的提升。为什么需要QUICQUIC的特性与安全OPPO的QUIC优化实践未来的持续优化与安全增强为什么需要QUIC从建连的成本说起请求的过程DNS解析TCP建连TLS建连HTTP请求及响应HTTPS首次用户请求clientserverSYNSYN,ACKACK(socket,bind,listen)LI

2、STENLISTEN(accept阻塞)SYN_RCVDSYN_RCVD(socket,connect)SYN_SENTSYN_SENT(connect返回)ESTABLISHEDESTABLISHED(accept返回)ESTABLISHEDESTABLISHEDClient HelloServer Hello,Cert,ServerKeyExClientKeyEx,ChangeChipherSpecChangeChipherSpec1 RTT2 RTT1 RTTUser requestResponse dataTLS 1.2握手用户请求响应DNS+TCP+TLS1.2+HTTP首次用户请求

3、响应时间DNS+4RTT会话复用后的用户请求clientserverSYNSYN,ACKACK(socket,bind,listen)LISTENLISTEN(accept阻塞)SYN_RCVDSYN_RCVD(socket,connect)SYN_SENTSYN_SENT(connect返回)ESTABLISHEDESTABLISHED(accept返回)ESTABLISHEDESTABLISHEDClient HelloServer Hello,Cert,ServerKeyExClientKeyEx,ChangeChipherSpecChangeChipherSpec1 RTT2/1 RT

4、T1 RTTUser requestResponse dataTLS 1.2握手用户请求响应DNS+TCP+TLS1.2+HTTP用户请求响应时间DNS+3RTT(TLS会话复用)SessionId/Tickets高昂的建连成本下业界的思考对于小文件请求,传统HTTPS建立连接占了75%的时间;Google在此基础上构建QUIC,尽可能保障安全可靠的同时,大大缩短了建连的耗时;另外,更精确灵活的拥塞控制算法、更优秀的两级流量控制算法、无队头阻塞、支持连接迁移等优秀特性也加快了数据传输的效率。QUIC特性与安全HTTP/2TLSTCPIPUDPHTTP over QUICMultistreami

5、ngTLS1.3 key negotiationflow controlQUICuserspaceuserspacekernelspacekernelspacecongestion controlBoringSSLis a fork of OpenSSLQUIC将连接管理和安全能力合二为一,让协议原生安全QUIC协议介绍clientserverClient Hello,support groupsServer Hello,key_share,certificate如果客户端从来没有和server通讯过,0-RTT是不可能的1.密钥交换2.Server 参数3.认证1.server端的PSK被保

6、存2.协商出traffic key用于加密应用数据QUIC 用户请求响应时间DNS+2RTT(首次)1 RTTQUIC的连接建立 1-RTTNew Session Ticket(early_data扩展)Finished,Request DataACK,Response DataTLS 1.2 和 TLS 1.3 的区别,TLS 1.2 中NewSessionTicket 是主密钥,而 TLS 1.3 中 ticket 只是一个 PSKclientserverClient Hello,PSK,Early Data(使用PSK导出密钥)Server Hello,PSK,Early Data(使用

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要介绍了OPPO在网络协议优化领域的实践,特别是QUIC协议的性能优化和安全措施。OPPO的网络优化技术专家李龙彦指出,QUIC能显著提升网络传输效率和安全性能,减少连接建立成本,并优化拥塞控制和流量控制。OPPO成功将QUIC协议应用于移动端网络库,并在多个业务中上线,提高了用户体验。 关键数据包括: 1. QUIC在开启0-RTT时,相比HTTP延迟降低20%,相比HTTPS降低50%以上。 2. QUIC在海外软件商店大规模灰度上线后,接口成功率提升3%~13%,秒开率提升2%~19%,平均延时提升27%~50%。 OPPO为应对QUIC带来的安全挑战,采取了多项技术方案: - 引入硬件加速卡集群,通过适配OpenSSL的异步接口,将私钥操作卸载至硬件的QAT engine,提升性能3倍。 - 基于设备ID的0-RTT优化,解决四层负载均衡和多核处理器带来的问题。 - 使用eBPF的socket路由模块实现连接迁移。 - 通过多路竞速方式,在限制UDP流量的环境中动态切换到TCP。 同时,文章提出了QUIC安全检测的挑战,如大多数检测工具无法检测到QUIC流量,建议加强安全测试工具、WEB应用防火墙以及对主机防火墙和DDoS检测设备的支持。
"QUIC如何优化网络传输效率?" "OPPO如何解决QUIC实现中的性能问题?" "QUIC协议带来哪些安全挑战与应对策略?"
客服
商务合作
小程序
服务号
折叠