软件架构设计-网络

HTTP 1.0

问题
  • 性能问题,连接的建立、关闭都是耗时操作。
  • 服务器推送问题,服务器无法主动向客户端推送消息。
Keep-Alive机制和Content-Length属性

Http 1.0设计了一个Keep-Alive机制来实现TCP连接的复用。客户端在HTTP请求的头部加上一个字段Connection:Keep-Alive。服务器收到带有这样字段的请求,在处理完请求之后不会关闭连接,同时在HTTP的Response里面也会加上该字段,然后等待客户端在该连接上发送下一个请求。服务端会有一个Keep-Alive timeout参数,过一段时间之后,如果该连接上没有新的请求进来,该连接就会关闭。以前一个连接就只发送一个请求,返回一个响应,处理完毕,把连接关闭,客户端就知道请求处理结束了。现在是在HTTP Response的头部,返回了一个Content-Length:xx的字段,这个字段可以告诉客户端Response的body公有多少个字节,额可兑换接收到这么多个字节之后,就知道响应成功接收完毕。

HTTP 1.1

连接复用与chunk机制

默认连接复用,除非在请求头上加上connection:close。引入chunk机制(http streaming)。在响应的头部加上Transfer-Encoding:chunked属性。其目的是告诉客户端,响应的body是分成一块块的,块与块之间有间隔符,所有块的结尾有特殊标记,这样,就算没有Content-Length字段,也能方便客户端判断出响应的末尾。

pipeline和队头阻塞
串行和pipeline对比

pipeline有个致命问题,Head-of-Line Blocking,队头阻塞。客户单接收响应的顺序必须和发送的顺序一致,这样如果前面的响应延时了,后续的响应也会阻塞。也正因为如此,为了避免pipeline带来的副作用,很多浏览器默认把pipeline关闭了。

HTTP/2前的性能提升方法
  • Spriting技术:专门针对小图片,将小图拼成大图,到了浏览器,再进行截取显示。减少http请求数
  • 内联(Inlining):将图片的原始数据嵌入css文件中
  • js拼接:大量小js合并成一个文件并压缩
  • 请求分片:多做几个域名,绕开浏览器限制
服务器主动推送问题解决
  • 客户端定期轮询
  • flashSocket、WebSocket
  • HTTP长轮询:服务器端夯住请求连接,过时间关闭,变相用HTTP实现了TCP的长连接效果,最常用的服务器端推送方法
  • HTTP Streaming:服务端利用Transfer-Encoding:chunked机制,发送一个没完没了的chunk流,就一个连接,但其Response永远接收不完。

HTTP/2

HTTP/2和Http1.1并不是平级的位置,而是处在HTTP1.1和TCP之间。


HTTP/2在网络分层中所处位置
二进制分帧
image.png

每个请求和响应实际上组成了一个逻辑上的”流“,为每条流分配一个流id,把这个id作为标签,达到每一个帧上。这样就是没有了http1.1的pipeline限制,响应可以乱序返回。


image.png

二进制分帧并没有彻底解决pipeline的”队头阻塞“问题,只是从HTTP Request粒度细化到了”帧“粒度。

头部压缩

HTTPS

对称加密的问题
image.png

秘钥的传输和存储存在问题。

双向非对称加密
image.png

在这个过程中,存在着签名和验签与加密和解密两个过程:
1.签名和验签。私钥签名,公钥验签,目的是防篡改。如果第三方截取到信息之后篡改,则接收方验签肯定过不了。同时也防抵赖,既然没有人可篡改,只可能是发送方自己发出的。
2.加密和解密。公钥加密,私钥解密。目的是防止信息被第三方拦截和偷听。第三方即便能截获到信息,但如果没有私钥,也解密不了。
在双向非对称加密中,客户端需要提前知道服务器的公钥,服务器需要知道客户端的公钥,和对称加密一样,同样面临公钥如何传输的问题。

单向非对称加密
image.png
单向非对称加密+对称加密
中间人攻击

通过分析可以发现,我们并不需要双向的非对称加密,而用单向的非对称加密就能达到传输的目的。但无论是单向还是双向,都存在着公钥如何被安全传输的问题。


中间人攻击示意图

客户端和服务器端都以为自己是在和对方通信,但其实他们都是在和中间人C通信。需要想个办法证明服务器收到的公钥,的确就是客户端发出的,中间没人可以篡改公钥,反过来也是一样的。

数字证书和证书认证中心

引入一个中间机构CA。当服务器把公钥发给客户端时,不是直接发送公钥,而是发送公钥对应的证书。服务器先把自己的公钥发送CA,CA给服务器颁发一个数字证书(Certificate),这个证书相当于服务器的身份证。之后,服务器把证书给客户端,客户端可以验证证书是否为服务器下发的。


服务器通过自己的公钥换取证书

根证书和CA信任链
证书信任链
SSL/TLS四次握手
ssl/tls四次握手过程

在建立TCP连接之后,数据发送之前,SSL/TLS协议通过四次握手、两个来回,协商出客户端和服务器之间的对称加密秘钥。第一个来回,是公钥的传输与验证过程(通过数字证书);第二个来回基于第一个来回得到的公钥,协商出对称加密的秘钥。接下来,就是正常的应用层数据包的发送操作了。为了协商出对称加密的秘钥,引入了几个随机数。

HTTPS过程

http/2与https在分层中的位置

https主要解决安全问题,http/2主要解决性能问题。

TCP

udp的不可靠传输
  • 解决不丢问题:ACK+重发。服务器每次收到一个包,就要对客户端进行确认,反馈给客户单已经收到了数据包;如果客户端在超时时间内没有收到ACK,则重发数据。
  • 解决不重的问题,顺序ACK,例如,服务器给客户端回复ACK=6,意思是所有小于或等于6的数据包全部收到了,之后凡是再收到这个范围的数据包,则判定为重复的包,丢弃即可。
    *解决时序错乱问题,服务器虽然接收数据包是并发的,但数据包的ACK是按照编号从小到大注意确认的,所以数据包的时序是有保证的。
    总之,TCP通过ACK+重发+数据包顺序确认解决了丢包,乱序,重复的问题。
TCP的假连接(状态机)
状态转换

为什么开始是处于CLOSED状态,而没有一个INT(初始)状态?是因为连接是复用的,每个连接用4元组唯一表示,关闭之后,后面又会开启,所以没有必要引入”初始“状态。

三次握手
三次握手
四次挥手
image.png

TIME_WAIT状态存在的原因:

  • close后,仍可能有数据包还在网络上”闲逛“,此时如果收到了这些数据包,可能会导致连接重开。4元组无法区分新老连接,导致之前的数据包在新连接打开后被当做新的数据包。老连接上的数据包会”串“到新连接上面,不可接受。任何一个IP数据包在网络上逗留的最长时间是MSL,这个值默认是120s。一个连接保持在TIME_WAIT状态后2xMSL后会进入CLOSE。
  • 第四次发送的数据包,服务器是否收到是不确定的。可能会重新发送第三次的数据包,然后再次发送第四次的数据包,第三次和第四次数据包的时间和,最长是两个MSL,所以客户端在TIME_WAIT状态等待2xMSL时间。
    产生的问题:
    一个连接并不是想关就能立刻关的,关闭后还要等2xMSL时间才能重开,这就会造成一个问题,如果频繁地创建连接,最后可能导致大量的连接处于TIME_WAIT状态,最终耗光所有的连接资源。为了避免这种问题,可以采取如下措施:
  • 不要让服务器主动关闭连接。这样服务器的连接就不会处于TIME_WAIT状态。
  • 客户端做连接池,复用连接,而不要频繁的创建和关闭。这其实也是HTTP1.1和HTTP/2采用的思路。

QUIC

你可能感兴趣的:(软件架构设计-网络)