互聯網革命

許多類似Daniel J.Bernstein和Jeff Hodges這樣的人正在互聯網上掀起一場革命，他們希望能夠找到HTTP、TCP等Web協議的替代者，使互聯網更快速、更安全。眾所周知，HTTP、TCP等協議設計理念落后是導致互聯網速度緩慢、安全漏洞層出不窮的主要原因。互聯網要繼續發展下去，必須解決這些根源性的問題。

這些革命者的工作成果是顯著的，他們現在已經研發出了DNSCurve、CurveCP、HSTS和SPDY等一系列新的Web協議，并已得到廣泛的認同。大部分瀏覽器制造商和主要的網絡服務器運營商都已經意識到了這場革命的必要性，并已經開始支持這些新的技術，特別是Google對于新技術的支持可以說是不遺余力。而對于用戶來說，所有的互聯網用戶都將在這場革命中受益。

通過應用DNSCurve，互聯網用戶不必再擔心受釣魚網站的攻擊，所有基于域名操縱的網絡攻擊手段將無法再對你產生危害。而CurveCP的應用，可以讓用戶擺脫基于TCP協議漏洞的攻擊，與此同時，網站也不再那么容易受到拒絕服務攻擊，加上HSTS的支持，用戶與網站之間的所有數據傳輸都將經過加密，安全更有保障。另外，在SPDY的支持下網頁數據的傳輸更靈活，甚至可優先傳輸主要的信息，傳輸速度會得到極大的提升。

DNSCurve：終結網絡釣魚

一個網址主要包括3個部分，第一部分是使用的協議，例如“http://”，其次是域名，例如“www.chip”，另外就是“cn”、“de”之類的頂級域名。當你在瀏覽器地址欄中輸入一個網址并回車試圖打開網站時，瀏覽器首先要向DNS服務器查詢該網站的IP地址，DNS服務器在數據庫中找到網站域名對應的IP地址后會將其發送給瀏覽器，瀏覽器再嘗試連接該IP地址打開網站。整個過程傳輸的都是未加密的信息，因而，攻擊者可以有很多的機會篡改IP地址，將用戶引到一個釣魚網站。與此同時，掌握網絡管理權的機構，也可以改變DNS服務器查詢結果，實現對特定網站的封鎖。

為此，互聯網工程任務組（Internet Engineering Task Force，簡稱IETF）于2005年開始制定域名系統安全擴展（Domain Name System Security Extensions，簡稱DNSSE）協議。DNSSEC能夠對DNS信息進行簽名，瀏覽器能夠通過驗證簽名判斷信息是否被篡改，攻擊者不再那么容易通過篡改DNS信息發起釣魚攻擊。但是，由于DNSSEC并不加密DNS信息，所以掌握網絡控制權的機構仍然能夠操縱DNS實現對特定網站的封鎖，這使得DNSSEC被專家視為是不成功的技術。

數學家Daniel J.Bernstein開發了另一種名為DNSCurve的新技術，DNSCurve在瀏覽器查詢網站IP地址和DNS服務返回IP地址的整個過程中都進行加密。當你在瀏覽器地址欄中輸入網站地址“www.website.com”以試圖打開網站時，DNS客戶端將發送嵌入非對稱加密公鑰的查詢信息到DNS服務器查詢網站的IP地址，只有DNS服務器擁有與之對應的私鑰，才可以破譯這個查詢信息。同樣，當DNS服務器返回IP地址時，將采用相同的方法進行加密，因而，DNSCurve可以確保整個DNS查詢的過程都是安全的，攻擊者即使截獲了傳輸的數據也無法明白其中的含義。

除了安全以外，DNSCurve還有一項優勢，那就是使用DNSCurve不需要對服務器進行大規模的改造，只需額外安裝一個軟件即可。不過，也存在著一些問題，例如，DNSCurve同樣需要DNS客戶端的支持，但是Windows什么時候能夠支持以及會支持哪種協議都難以預料。

CurveCP：曲線加密

TCP協議已經使用了將近20年，該協議漏洞百出，很容易被惡意代碼操縱。Daniel J.Bernstein也想通過類似DNSCurve的方法徹底改變傳輸協議，他所設計的CurveCP依賴于一個支持非對稱加密方式的瀏覽器，瀏覽器和Web服務器之間的數據全部加密，只有擁有相應私鑰的接收者能夠解碼對方發送的信息。這類似于PGP加密郵件時采用的方法，唯一不同的是CurveCP使用特殊的加密算法，即不對稱的橢圓曲線密碼體制Curve25519。這個精心設計的橢圓曲線加密算法聽起來非常復雜，但是在實際應用中，該算法比其他的非對稱加密算法簡單、有效得多，160位的Curve25519加密能夠提供相當于1024位的RSA加密的安全性。數據量的減少既提高了效率又減輕了系統負擔。

當然，安全是有代價的，CurveCP仍然要比未加密的數據更耗費系統資源。根據Daniel J.Bernstein的介紹，加密及解密大約需要TCP協議1.15倍的時間。不過，Daniel J.Bernstein認為，在精心編碼之后，不會對CPU產生太大的負擔。根據Daniel J.Bernstein的測試，當今的CPU在1分鐘的時間處理100萬個站點調用完全沒有問題，而即使最快的Web服務器也無法每秒打開16600個網頁，因而，實際應用過程中CurveCP并不會成為網絡傳輸的瓶頸。

Google是第一個支持CurveCP的瀏覽器制造商，最新的Chrome瀏覽器開發版本中已經支持這項技術。不過，CurveCP作為一個網頁傳輸的基礎，必須Google以外的其他瀏覽器制造商也采用方可真正取代TCP協議，但是目前其他的瀏覽器沒有任何支持的計劃，只有少數開始了測試工作。

HSTS：安全責任

另一種新的技術是HTTP嚴格傳輸安全（HTTP Strict Transport Security，簡稱HSTS）協議，設計用于加強Web連接安全。目前，大部分需要高安全性的網站使用SSL加密連接，你可以通過瀏覽器地址欄上的“HTTPS”協議標識加以識別。不過，許多網站提供HTTPS連接方式的同時，也提供HTTP頁面的訪問（例如Facebook），由于大部分用戶對HTTPS協議并不了解，所以還是習慣性地使用HTTP頁面，而普通的HTTP連接方式非常容易受到“中間人攻擊”等網絡攻擊，攻擊者可以很輕松地竊取用戶的信息。當然，責任也不全在用戶身上，也有一些網站雖然提供了HTTPS的登錄頁面，但在登錄后卻將其轉到未經加密的子頁面，這樣用戶仍然無法通過加密連接避免受到攻擊。

Jeff Hodges的團隊（當時正負責PayPal的信息安全）在Firefox瀏覽器插件ForceHTTPS的基礎上開發了HSTS，HSTS可以在用戶連接一個網站時確保用戶一直采用加密方式，所有的數據都經過加密。在瀏覽器支持的情況下，它可以防止用戶通過不安全的連接方式打開網站，也能夠防止用戶在訪問采用HTTPS連接的安全站點時被轉發到不安全的頁面。HSTS還可以通過發送“includeSubDomains”協議頭信息，嚴格要求包括網站的子頁面在內，所有的頁面都必須是加密的。對于無法滿足要求的站點，沒有加密的子頁面將不被顯示。

HSTS的另一個優勢是，它可以有效地防止攻擊者竊取登錄數據會話的Cookie以發起攻擊。不過，由于目前并不是所有的網站都會全部采用HTTPS加密傳輸，因而，在HSTS的嚴格要求下，雖然使用之初可能會有諸多不便，但是堅持使用最終將可以幫助用戶確保網絡傳輸的安全。

目前，如PayPal的支付服務、LastPass的密碼管理服務以及Android電子市場都已經開始使用HSTS。Chrome和Firefox（從版本4起）也已經支持HSTS，以Chrome瀏覽器為例，使用HSTS的網站存儲在一個列表中，你可以根據自己的需要進行調整。在Chrome瀏覽器地址欄中鍵入“chrome://net-internals”，在打開的窗口中單擊切換到“HSTS”選項卡，通過“Add domain”你可以添加任意網址，如果選中“Include subdomains”復選項，則嚴格要求包括網站的子域都采用HSTS。該瀏覽器在HSTS模式下工作得非常好，在我們測試的過程中一直保持著加密連接方式。

SPDY：加速Google網站

另外一個新技術SPDY的出現與上述新技術有很大關系，正是由于在強調安全的情況下完全加密的網絡連接顯得有些慢，因而，Google開發了SPDY以加速網絡傳輸速度，讓加密傳輸的速度能夠與普通HTTP協議不相上下。

在HTTP標準誕生的年代，網站的內容非常簡單，通常只有大量的文字，圖像都非常少，更沒有什么互動元素。在此情況下用HTTP傳輸和管理數據非常有效，但是現在的網頁已經大不一樣了，每一個頁面往往有十多個甚至數十個圖像，另外，還包含視頻、JavaScript和CSS等元素。由于HTTP活躍的連接同一時間只能夠傳輸一個元素，這種傳輸方式已經成為了網頁數據傳輸的瓶頸，甚至還會由于部分頁面沒能完全加載而出現堵塞。HTTP的另一大缺點是它的協議頭過于冗余，HTTP協議頭包含如語言、字符集和先前訪問過的網頁等信息，這些信息在HTTP傳輸的過程中一遍又一遍地重復，嚴重地浪費資源。

為此，Google開發了SPDY，希望能夠克服HTTP協議的這些弱點。由于HTTP協議是整個Web的基礎，要改弦更張使用另外一個新的協議，用戶的軟件系統和網絡服務器等網絡軟硬件需要同時更新，工作量與花費的金錢都是巨大的。因此，SPDY只是修改連接管理和HTTP協議的數據傳輸格式。

從技術上講，HTTP連接傳輸的數據是TCP數據包，并行傳輸的數據數量可以是無限的，存在很大的提高空間。SPDY接管了用戶與服務器之間的通信，將傳輸的數據重新劃分，從而實現同時建立多個連接的傳輸模式，并且采用加密傳輸。而HTTP協議頭信息的缺陷，SPDY也特別加以凈化，并對協議頭信息進行了壓縮。

由于SPDY支持優先級，可按優先級安排哪些元素先傳輸，可以確保重要的數據優先傳輸和在通道阻塞的情況下自動重新傳輸。它還增加了對推送（Push）功能的支持，這種有計劃的傳輸更加有效，可以提前將更多的數據在瀏覽器需要前準備好。不過，SPDY也有缺點，經過壓縮和加密的信息加重了CPU的負荷，但是根據Google的介紹，這將換取44%～64%的速度提升。實際上，使用Chrome瀏覽器訪問Gmail等大部分Google服務，在SPDY的支持下，速度比Firefox和IE瀏覽器明顯更快、更順暢。

當然，除了Google能夠通過SPDY提供更佳的Web服務，其他廠商同樣可以使用SPDY。目前，Strangeloop Web開發人員使用這一技術構建的一些客戶端，同樣也可以得到平均20%的加速效果。甚至Mozilla基金會也同樣認為SPDY是一個相當大的進步，并且在Firefox開發版本中進行了測試。不過，至于SPDY何時將被Firefox支持，仍尚無定論。或許，與上面其他的技術一樣，新技術的革命未必能夠成功，但是顯然它們將為互聯網帶來改變，并最終讓用戶可以獲得更快、更安全的Web網絡。

革命：使Web更安全和快速。

Daniel J.Bernstein教授

為未來做好準備的Google瀏覽器Chrome已經支持本文中介紹的所有新技術，其他廠家反應略顯遲鈍。

DNSCurve和CurveCP：加密URLS

在用戶的電腦與網站建立連接開始傳輸數據前，黑客已經可以操縱網絡數據。

問題

查詢網站IP地址的域名解析過程沒有經過加密，攻擊者可以操縱IP地址，讓用戶轉入一個危險的網站。

革新

通過DNSCurve和CurveCP進行加密，確保連接的安全以及傳輸的數據不被篡改。

HSTS：確保網站安全

許多網站僅有登錄頁面采用SSL加密，而HSTS強制要求所有頁面都必須加密，可有效防止密碼被盜等問題。

SPDY：加快Web傳輸

頁面上的內容必須逐個元素地進行傳輸，而SPDY可以捆綁這些元素，因此，加載網站的速度會提高64%。

新引進的頂級域名更安全

互聯網域名與數字地址分配機構（ICANN）已經決定引進新的頂級域名。

從2012年1月12日，每個人都可以申請個人頂級域名（Top Level Domain，簡稱TLD），網絡架構需要有較大的調整，這需要花費不少的時間，因此，域名不會被馬上啟用，直到2013年，第一個新的頂級域名才會投入使用。類似“.hotel”或“.music”之類的通用頂級域名將會受到激烈的爭搶。而對于企業與國家來說，面對新的頂級域名將需要做更多品牌和區域名稱的保護工作。對于用戶來說，這些經過嚴格篩選的域名將會是更可以信賴的。

互聯網的革命已經開始

IPv6：取之不盡、用之不竭的IPv6地址

伴隨著互聯網設備的爆炸式增長，IPv4地址（類似192.168.56.1）即將耗盡，解決方法是使用由8個十六進制的數字塊組成的IPv6地址（類似2001:0eb7:86b4: 03d7:1218:8e3b:0540:7847/64）。其總數幾乎是取之不盡、用之不竭的。唯一的問題是要切換到IPv6，網絡供應商、網站經營者和用戶可能需要更新部分軟硬件設備，不過，這一切都已經不是問題，切換的工作正按部就班地進行，并且在開始切換的初期，IPv4將同時獲得支持。

HTML5：互動式網站

不僅HTTP和TCP協議已經過時，標準的網絡語言HTML格式，其歷史也可以追溯到純文本頁面的時代，今天的許多網站包含大量的圖像、視頻和交互元素，HTML已經無法滿足應用需求，雖然借助JavaScript和Flash仍然可以呈現，但頁面的訪問速度極慢，甚至偶爾還導致瀏覽器崩潰。為此，我們需要新一代HTML5語言，通過它開發人員可以在頁面上使用HTML代碼整合各種元素。目前，已經有越來越多的網站開始使用HTML5，這當中也包括一些移動設備，例如不支持Flash的iPad。