“互联网上无隐私？” iCloud专用代理可不这么想

早些年在互联网刚诞生时，有一种很火的说法曾获得广泛认可：“在网上，没有人知道你是一条狗。”这是因为当时的互联网应用还能在一定程度上保证“匿名性”，每个人都可以在无需公开真实身份的情况下在网上参与各种活动，除非主动告知，否则你根本不会知道论坛上那个和你相谈甚欢的网友到底是萌妹子还是抠脚大汉。

延伸阅读，点击链接了解 Akamai API Security

到今天，情况完全不同了。大数据挖掘、360度客户画像、个性化营销……在各种数据收集、分析、挖掘技术面前，我们每个人的特征、习惯、喜好，都已经无所遁形地展露了出来。虽然这些技术在很多时候也能为自己带来各种便利，例如个性化的内容推荐和服务，但当我们希望能保护自己隐私的时候，应该怎么做？

除了相关法规和制度的保护，技术造成的困扰，当然也可以用技术来解决。

2021年，Apple发布了一项名为iCloud专用代理（Private Relay）的服务，该服务旨在保护用户在互联网上的隐私，Akamai也参与提供了该服务的一些功能，为iCloud专用代理提供了Oblivious DNS over HTTPS（ODoH）技术和IaaS平台。本文我们将概括介绍这项服务所能提供的保护，并分析这项服务对Akamai客户到底意味着什么。

一、首先，专用代理到底是什么？

iCloud专用代理是iCloud+订阅服务中提供的一项功能（仅在部分国家和地区提供），可以让用户在使用iOS 15、iPadOS 15以及macOS Monterey上的Safari浏览器时，以更加安全、私密的方式连接到互联网。专用代理采用了一种独特的双跳（Dual-hop）架构，可以保证任何人都无法知道用户身份，以及用户到底访问了哪些网站。

该功能使用了两个相互隔离的互联网代理（入口代理和出口代理），这些代理分别由不同机构运维，借此可让最终用户所访问的网站完全无从得知该用户的真实IP地址。

iCloud专用代理的双跳架构，来源：Apple

二、Akamai在其中扮演的角色

Akamai通过多种自行开发的基础架构服务为该功能提供了支持。专用代理借助Akamai高度分布式的计算平台实现了极高的性能，同时通过数据与运维的划分确保了任何一方都无法全面了解用户流量的全貌。

Akamai基于Multiplexed Application Substrate over QUIC Encryption（MASQUE，基于QUIC加密的多路复用应用程序基板）协议和ODoH服务构建了一种全新的托管服务，借此为专用代理提供了必不可少的出口服务，以保证DNS查询的私密性。有关该出口代理和ODoH的详细信息可参考Apple提供的技术说明。

Akamai的客户的服务使用费用不会有任何变化，但可能会在流量模式以及服务的交付方式等方面发现一些变化。随着专用代理的广泛使用，网站和网络运营商可E会发现来自Akamai的流量开始增多。

三、专用代理会导致怎样的结果？

大部分网站的所有者无需更改自己的网站，即可直接支持专用代理。不过为了尽可能向用户提供最佳体验，还需要全面理解专用代理所产生的独特流量模式。尽管并非完全相同，但专用代理在流量方面导致的一些变化，看起来可能与一些现有代理服务（如VPN-虚拟专用网络、CGN-运营商级NAT、SWG-安全Web网关等）导致的变化较为类似。但也有一些比较大的差异，例如：

1. 客户端IP地址通过网络地址转换（NAT），将本地专用地址映射至公用地址，随后开始传输信息，借此维持每个用户的隐私。
2. 网站服务器看到的是专用代理的出口IP，而非客户的IP地址。
3. 由于特定客户的出口IP时不时会发生变化，因此不建议将IP地址信息嵌入到身份验证令牌中。
4. 对于某些需要依赖客户端或目标IP地址追踪或标识信息的服务（如Zero-rating或基于IP地址的客户端身份验证服务），可能将无法按照预期正常使用，这种情况下将只能使用其他替代机制。
5. 从本地网络保护客户端DNS请求和客户端流量的目的地。
6. 客户端流量Delocalization。
7. 通过来源IP地址可以准确识别客户所在国家/地区和时区，甚至能据此概括确定客户所在城市或大致位置，但无法对应到特定的最终用户。
8. Akamai EdgeScape IP地理位置数据库已通过更新包含了专用代理的IP地址位置信息，如果客户使用了第三方的IP地址位置信息数据，建议更新这些数据，以包含专用代理的相关信息。
9. 在某些出口代理运营商那里，IPv6源地址比IPv4地址更精细，为了获得更准确的客户端位置，建议服务器运营商启用IPv4+IPv6双栈。
10. 建议在最后一公里进一步采用QUIC和IPv6，哪怕源站目前并不支持这些技术。这可以有效改善最终用户的性能并实现更高效的路由。
11. 该服务内置了反欺诈和反滥用功能，该服务的客户端需要通过盲签名（Blind signature）进行身份验证，并以限速的方式访问服务，以减少机器人的滥用访问。
12. Akamai客户依然可借助Akamai的应用和API保护、账户接管保护以及爬虫管理解决方案获得额外保护。

四、总结

Akamai很高兴看到类似专用代理这样的新服务帮助最终用户进一步保护隐私并减少欺诈和滥用，同时也并不对应用程序性能产生负面影响。

随后，我们还将通过后续文章进一步介绍为iCloud专用代理提供支撑的Akamai ODoH服务以及IaaS平台的更多技术细节。敬请关注Akamai知乎机构号，第一时间了解最新Web和安全技术。

—————————————————————————————————————————————————

如您所在的企业也想要进一步保护API安全，

点击链接了解Akamai的解决方案