准备、设置、中继：使用网络中继保护 App 流量

♪ ♪

Keith Holleman：大家好 我是 Keith Holleman 一名来自 Apple 的 Internet Technologies 团队成员 今天 我将谈谈如何通过网络中继 提升 App 的隐私性与安全性 首先 我们来了解一下 网络中继这项技术 Apple 在许多隐私功能中 都使用了中继 这项技术效果出众并且简单易用 因此深得我们的喜爱 目前 你可以通过两种方式 在 App 中使用中继 第一种 你可以在 App 中配置中继 来保护 App 的网络流量 第二种 你可以将中继扩展至设备级别 并将其作为访问企业私有资源的 VPN 替代方案 接下来让我们深入探讨这项技术 中继是许多强大功能的基础 例如 iCloud Private Relay、 邮件隐私保护 以及 Safari 浏览器中 躲避追踪器的 IP 地址隐藏 如果你的 App 还需要处理 用户希望保密的隐私信息 并确保自己的服务器无法将其 与客户端的 IP 地址进行关联 那么你便可在 App 中 选择并使用中继 从而为所有用户 提供强有力的隐私保护

中继是一种特殊类型的代理 并在性能方面得到了优化 它使用最新的传输和安全协议 并原生构建于 Apple 平台的 现代网络堆栈中 IETF 定义了两种 用于中继的标准协议： MASQUE 和 Oblivious HTTP MASQUE 中继可以 有效提升 App 及 私有资源访问的隐私性 通过这一中继 你可以发送 任意 TCP 和 UDP 连接 而无需对后端服务器进行修改 你也可以将中继服务器进行链接 从而任何实体都无法 将 IP 地址和浏览活动 关联记录到详细的用户配置文件中 并且这也是 iCloud Private Relay 背后的基础技术 此外 该中继也是 访问企业资源的有效途径 它不仅可以提供更好的用户体验、 更优越的性能 且比管理 VPN 更加轻松便捷 与传统代理协议不同 MASQUE 中继使用 TLS 1.3 将所有流量导向代理 MASQUE 使用最新传输协议 QUIC 和 HTTP/3 实现高效代理及 单一隧道内多连接的多路复用 但是 QUIC 一旦受到网络的阻止 该中继便会回退到使用 HTTP/2 如果你希望 App 发送的请求保持私密 并与其他请求不存在关联 例如匿名指标报告、 数据库查找及 DNS 查询 你还可以使用 Oblivious HTTP 借助 Oblivious HTTP 你只需要经过单个中继跳跃 便可享受出色的性能和隐私性 与 MASQUE 中继不同 Oblivious HTTP 无法与任意服务器一起使用 因此你的服务器需要 明确支持该协议 才可正常使用 想要进一步了解有关 Oblivious HTTP 的信息 欢迎观看“隐私新增功能”讲座 由于这两种中继都可以 对 App 建立的连接进行代理 因此 你可以选择并使用 特定的中继服务器 来提升 App 的隐私性 全新的 ProxyConfiguration 类 允许在网络框架 URLSession 和 WebKit 中定义中继 这三种 API 加载公共类的方式类似 并且允许为整个 App 或特定连接定义中继 在 ProxyConfiguration 对象中 你可以根据 5 种协议定义代理 也可以在此为 MASQUE 和 Oblivious HTTP 指定新的中继类型 同时该对象也可用于 配置传统代理类型 如果你此前使用 字典配置 URLSession 或 WebKit 的代理 那么现在便是你改用 这个新对象的绝佳时机 对于传统代理类型 你可以在配置 HTTP CONNECT 时 添加对 TLS 和 SOCKSv5 的支持 这里展示的是 如何定义 ProxyConfiguration 以实现通过 HTTP/3 与 MASQUE 中继建立连接 首先 使用 NWEndpoint 指定服务器名称或 URL 并利用其对中继跳跃进行定义 在这些中继跳跃中 你可以指定支持 HTTP/3、HTTP/2 或以上两者 HTTP/2 服务器可作为备份 防止使用 QUIC 协议 访问 HTTP/3 时 出现被网络阻止的情况 接着 将中继传递给 “relayHops” 数组参数 创建代理配置 如果你希望定义一个多跳中继配置 那么你可以在此传递 2 个中继 为了实现 ProxyConfiguration 与网络框架内 NWConnection 通信 你可以创建 PrivacyContext 或使用默认上下文 并将代理配置添加到该上下文中 接着 设置 NWParameters 上下文 在连接创建并启动后传入这些参数 现在 这个连接就可以 通过代理发送所有的流量了

你还可以在 URLSession 中 直接使用此前定义的代理配置 你只需要将配置添加到 URLSessionConfiguration 的 proxyConfigurations 数组中 并照常在 URLSession 中运行任务 接着它们也开始使用代理发送流量 此外 该代理配置对象也可用于 代理 WebKit 视图中建立的连接 首先 初始化 Web 视图配置 添加数据存储 将代理配置添加到数据存储中 接着使用 该配置初始化 Web 视图 完成后 加载所请求的 URL 并照常使用 WebKit 视图 现在 这个 Webkit 视图 也实现了通过中继发送流量

除了为 App 添加中继 在 iOS 17 中 你还可以为整个设备配置中继 这不仅可以让你构建隐私功能 同时还可让你充分使用中继 以提供对私有企业网络资源的访问

当前 你可能正在使用 VPN 提供对企业资源的访问 但作为 VPN 的替代方案 中继不仅可以提供更好的用户体验 管理起来也更加轻松便捷 由于网络中继无需复杂的会话协商 并且在实际用户数据传输前 需要的往返次数更少 因此 用户能够以最快的响应速度 实现对私有资源的首次加载 此外 中继还可避免使用 与 VPN 关联的 隧道、虚拟接口及额外 IP 地址 由于多个中继可以同时配置 因此 你可以轻松实现 不同网络中私有域的访问 如果企业公司希望使用中继服务器 作为 VPN 的替代方案 那么现在便可选择将其 与基础架构结合使用 如今 Cisco 已经开始 将企业中继服务 作为 Cisco Secure Edge 产品的一部分 我们很高兴看到企业采用这种选择 为其用户提供远程访问

在设备上安装 MASQUE 中继配置 存在两种方式： 企业组织可以通过移动设备管理 即 MDM 推送配置 从而使用新的中继有效负载类型 对中继进行定义 这些负载可以应用于托管 App、 域以及整个设备 其次 你也可以编写使用 NERelayManager API 定义中继的 App 这些配置可应用于 特定域或是整个设备 以上两种方法均适用于 macOS、iOS iPadOS 和 tvOS 并且 tvOS 现已增加了 Network Extension 支持 tvOS 17 也已增加了 VPN 支持

这里展示的是如何使用 配置文件对中继进行配置 和 App 中的 ProxyConfiguration API 一样 你可以对中继 URL 进行定义 接着就像 在 VPN 配置文件中一样 你可以在相同文件中引用证书负载 从而利用客户端证书 对企业服务器进行身份验证 最后 将特定域添加至 有效负载的 MatchDomains 中 你便可以实现中继在其中的应用 接下来 我们来了解一下 如何在 App 中通过编程 使用 NERelayManager API 为设备添加中继 为了定义中继 你需要初始化 NERelay 对象 然后对中继的 URL 进行配置 在此 我使用的是同一个中继来 处理 HTTP/2 和 HTTP/3 的请求 如果你的中继 需要额外的 HTTP 标头 将其添加到 NERelay 对象中即可 此外 你还需要访问共享的 NERelayManager 对象 因为这里存储了你刚刚创建的 NERelay 对象 如果你只希望将中继应用到特定域 而非整个设备 将其添加到 matchDomains 数组中即可 最后一步 你需确认中继已经启用 并已将 NERelayManager 对象 安装到系统偏好设置中 现在让我们来看看中继的实际应用 我非常喜欢山地自行车 所以甚至还开了一家自行车商店 我的商店包含一家线上商店 以及一个用于追踪订单的内部网站 这个网站位于我的内部网络上 只有员工才可以使用 当我打开 Safari 浏览器 查看未结订单 此时我无法进行查看 因为我不在内部网络上 但如果我安装了中继配置 我就可以从任何地方访问内部网络 现在我打开 由示范代码编写的中继示例 App 对整个设备进行配置 使其在访问内部域期间 可以使用商店中继 我们可以在设置中看到配置信息 并在访问 internal.example.com 时 看到本设备正在使用中继 现在我再返回 Safari 浏览器 查看未结订单 就可以看到未结订单以及 需要发货的订单数量 整个过程就是这么的简单快捷 并在首次加载时响应迅速 中继是现代化的、基于标准的代理 它可以在不影响 App 性能的情况下 提升其安全性和隐私性 你可以在 App 中直接使用 MASQUE 中继 及 Oblivious HTTP 中继 以提升用户的隐私性 企业则可以出于更轻松的管理以及 更无缝的用户体验 逐步使用中继取代 VPN 感谢你抽出宝贵时间观看这部影片 非常期待看到你的中继使用