HTTP

1. HTTP/1.0

HTTP/1.0은 기복적으로 한 연결당 하나의 요청을 처리하도록 설계.

이는 서버로부터 파일을 가져올 때마다 TCP의 3-way handshake를 계속해서 열어야 하기 때문에 RTT가 증가됨.

서버에 부담이 많이가고 사용자 응답 시간이 길어지는 결과가 나타남.

https://postfiles.pstatic.net/MjAyMjA0MThfMTY4/MDAxNjUwMjY0NTgyNDQ5.DZX_i1GYgbi8kksbPkCDGJ5BzO_nLlMnP9jXNwwBfC4g.4gF5hBBRr_eAY6ZpjkNl-sZ72oxIaZvMDYJRIAADlZ0g.JPEG.jhc9639/1.JPG?type=w966

RTT(Round Trip Time): 패킷이 목적지에 도달하고 나서 다시 출발지로 돌아오기 까지 걸리는 패킷 왕복 시간

 

RTT 증가를 해결하기 위한 방법

이미지 스프라이트, 코드 압축, 이미지 Base64 인코딩을 사용

 

이미지 스프라이트(Image sprite)

많은 이미지를 다운로드 받게 되면 과부하가 걸리기 때문에 여러 이미지가 합쳐져 있는 하나의 이미지를 다운로드 받고 background-image position을 이용해 필요한 이미지만 추출하여 사용하는 방법

 

코드 압축

개행 문자, 빈칸을 없애 코드의 크기를 최소화 하는 방법. 코드의 용량이 줄어듬.

const express = require('express')
const app = express()
const port = 3000
app.get('/', (req, res) => {
    res.send('Hello World!')
})
app.listen(port, () => {
    console.log(`Example app listening on port ${port}`)
})

 

---

const express=require("express"),app=express(),port=3e3;app.get("/",(e,p)=>{p.send("Hello World!")}),app.listen(3e3,()=>{console.log("Example app listening on port 3000")});

 

이미지 Base64 인코딩

이미지 파일을 64진법으로 이루어진 문자열로 인코딩하는 방법

장점: 서버와의 연결을 열고 이미지에 대해 서버에 HTTP 요청을 할 필요가 없음.

단점: Base64 문자열로 변환할 경우 37% 정도 크기가 더 커짐.

 

2. HTTP/1.1

매번 TCP 연결을 하는것이 아니라 한 번 TCP 초기화를 한 이후 keep-alive라는 옵션으로 여러 개의 파일을 송수신

HTTP/1.0에도 keep-alive가 있었으나 표준화가 되어있지 않았고 HTTP/1.1부터 표준화되어 기본 옵션으로 설정

HTTP/1.1은 한 번 TCP 3-way handshake가 발생하면 그다음부터는 발생하지 않음.

그러나 문서 안에 포함된 다수의 리소스를 처리하려면 요청할 리소스 개수에 비례해서 대기 시간이 길어짐

 

HOL Blocking(Head Of Line Blocking)

네트워크에서 같은 큐에 있는 패킷이 그 첫 번째 패킷에 의해 지연될 떄 발생하는 성능 저하 현상

https://postfiles.pstatic.net/MjAyMjA0MThfMjg4/MDAxNjUwMjY0NTgyNDUx.TLgY_k1eCYfesF57kUwFm1S5F0kJIQFWoz7ghiBEw-8g.P9w1srsSz5DLGQPFUpqx2qG-a0iTRxzq6Ry_H6aaTFkg.JPEG.jhc9639/3.JPG?type=w966

첫 번째에 있는 image.jpg가 느리게 받아진다면 그 뒤에 있는 것들은 대기하게 되며 다운로드 지연

 

무거운 헤더 구조

HTTP/1.1의 헤더에는 쿠키 등 많은 메타데이터가 들어 있고 압축이 되지 않아 무거움.

 

3. HTTP/2

HTTP/2는 SPDY 프로토콜에서 파생된 HTTP/1.x보다 지연 시간을 줄이고 응답 시간을 더 빠르게 할 수 있으며

멀티플렉싱 , 헤더 압축, 서버 푸시, 요청의 우선순위 처리를 지원하는 프로토콜

 

멀티플렉싱(Multiplexing)

여러 개의 스트림을 사용하여 송수신하는 것

특정 스트림의 패킷이 손실되었다고 하더라도 해당 스트림에만 영량을 미치고 나머지 스트림은 정상적으로 동작 가능

https://postfiles.pstatic.net/MjAyMjA0MThfMjU3/MDAxNjUwMjY0NTgyNDU5.zmGb4z_1BW-3-nOg9arOOpQjOD59VRWCAc6HbME__GIg.AsHyKGE3KF73vK_pv70hF1knMQAyQNiPNnNkYfw1ppIg.JPEG.jhc9639/5.JPG?type=w966

단일 연결을 사용하여 병렬로 여러 요청을 받을 수 있고 응답을 줄 수 있어 HOL Blocking을 해결할 수 있음.

 

헤더 압축

기존에 문제가 되었던 크기가 큰 헤더를 허프만코딩 압축 알고리즘을 사용해 HPACK 압축 형식을 가짐.

허프만 코딩(Huffman coding): 문자열을 문자 단위로 쪼개 빈도수를 세어 빈도가 높은 정보는 적은 비트수를 사용하여 표현, 빈도가 낮은 정보는 비트 수를 많이 사용하여 표현해서 전체 데이터의 표현에 필요한 비트양을 줄이는 원리

 

서버 푸시

HTTP/1.1에서는 클라이언트가 서버에 요청을 해야 파일을 다운로드 받을 수 있었다면

HTTP/2는 클라이언트 요청 없이 서버가 바로 리소스를 푸시할 수 있음.

html에는 css나 js 파일이 포함되기 마련인데 html을 읽으면서 그 안에 들어 있던 css 파일을 서버에서 푸시하여 클라이언트에 먼저 줄 수 있음.

 

4. HTTPS

HTTPS는 애플리케이션 계층과 전송 계층 사이에 신뢰 계층인 SSL/TLS 계층을 넣은 신뢰할 수 있는 HTTP 요청을 말함.

이를 통해 통신을 암호화 함. HTTP/2는 HTTPS위에서 동작.

 

SSL/TLS(Secure Socket Layer, Transport Layer Security Protocol)

SSL/TLS은 전송 계층에서 보안을 제공하는 프로토콜

클라이언트와 서버가 통신할 때 SSL/TLS를 통해 제3자가 메시지를 도청하거나 변조하지 못하도록 함.

공격자가 서버인 척하며 사용자 정보를 가로채는 네트워크상의 '인터셉터'를 방지할 수 있음.

 

SSL/TLS는 보안 세션을 기반으로 데이터를 암호화하며,

보안 세션이 만들어질 때 인증 메커니즘 키 교환 암호화 알고리즘 해싱 알고리즘이 사용

 

세션(Session): 운영체제가 어떠한 사용자로부터 자신의 자산 이용을 허락하는 일정한 기간
보안 세션: 보안이 시작되고 끝나는 동안 유지되는 세션
SSL/TLS는 handshake를 통해 보안 세션을 생성하고 이를 기반으로 상태 정보 등을 공유

SSL은 SSL 1.0~3.0, TLS 1.0~1.3까지 버전이 올라가며 명칭이 TLS로 변경되었으나 보통 합쳐서 SSL/TLS로 많이 부름.

 

https://postfiles.pstatic.net/MjAyMjA0MTdfMTM0/MDAxNjUwMTQyNDU2NjM5.XN0ccSXCNeeU01neUUHFj43-dDf0U9R5NY-fN8IzREIg.eQMJc_w4d1K01LuEVmKdsVY0a5aHufjN3QIDU4beXuEg.JPEG.jhc9639/22.JPG?type=w966

클라이언트와 서버와 키를 공유하고 이를 기반으로 인증, 인증 확인 등의 작업이 일어나는 단 한 번의 1-RTT가 생긴 후 데이터를 송수신

1. 클라이언트에서 사이퍼 슈트(cypher suites)를 서버에 전달하면 서버는 받은 사이퍼 슈트의 암호화 알고리즘 리스트를 제공할 수 있는지 확인

2. 제공할 수 있다면 서버에서 클라이언트로 인증서를 보내는 인증 메커니즘이 시작

3. 이후 암호화 알고리즘, 해싱 알고리즘 등으로 암호화된 데이터의 송수신이 시작

​

사이퍼 슈트

사이퍼 슈트는 프로토콜, AEAD 사이퍼 모드, 해싱 알고리즘이 나열된 규약을 말하며 아래와 같은 목록이 있음

• TLS_AES_128_GCM_SHA256
• TLS_AES_256_GCM_SHA384
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_128_CCM_SHA256
• TLS_AES_128_CCM_8_SHA256

ex) TLS_AES_128_GCM_SHA256에는 세 가지 규약이 포함.

TLS는 프로토콜, AES_128_GCM은 AEAD 사이퍼 모드, SHA256은 해싱 알고리즘을 뜻함.

​

AEAD 사이퍼 모드(Authenticated Encryption with Associated Data)

AEAD는 데이터 암호화 알고리즘이며 AES_128_GCM 등이 존재.

ex) AES_128_GCM이라는 것은 128비트의 키를 사용하는 표준 블록 암호화 기술과 병렬 계산에 용이한 암호화 알고리즘 GCM이 결합된 알고리즘

​

인증 메커니즘

인증 메커니즘은 CA(Certificate Authorities)에서 발급한 인증서를 기반으로 이루어짐.

CA에서 발급한 인증서는 안전한 연결을 시작하는 데 있어 필요한 ‘공개키’를 클라이언트에 제공하고 사용자가 접속한 ‘서버가 신뢰’할 수 있는 서버임을 보장.

인증서는 서비스 정보, 공개키, 지문, 디지털 서명 등으로 이루어져 있음.

CA는 아무 기업이나 할 수 있는 것이 아니고 신뢰성이 엄격하게 공인된 기업들만 참여할 수 있으며, 대표적인 기업으로는 Comodo, GoDaddy, GlobalSign, 아마존 등

​

CA 발급 과정

자신의 서비스가 CA 인증서를 발급받으려면 자신의 사이트 정보와 공개키를 CA에 제출해야 함.

이후 CA는 공개키를 해시한 값인 지문(finger print)을 사용하는 CA의 비밀키 등을 기반으로 CA 인증서를 발급합니다.

​

개인키 : 비밀키라고도 하며, 개인이 소유하고 있는 키이자 반드시 자신만이 소유해야 하는 키
공캐기: 공개되어 있는 키

 

암호화 알고리즘

키 교환 암호화 알고리즘으로는 대수곡선 기반의 ECDHE(Elliptic Curve Diff ie-HellmanEphermeral) 또는 모듈식 기반의 DHE(Diff ie Hellman Ephermeral)를 사용.

둘 다디피-헬만 방식을 근간으로 만들어짐.

​

디피-헬만 키 교환 암호화 알고리즘(Diff ie-Hellman key exchange) 

디피-헬만 키 교환 암호화 알고리즘은 암호키를 교환하는 하나의 방법

g와 x, p를 안다면 y는구하기 쉽지만 y, g, p 만 안다면 x를 구하기 어렵다는 원리에 기반한 알고리즘

https://postfiles.pstatic.net/MjAyMjA0MTdfMTU4/MDAxNjUwMTQyNDU2NjQx.YGYZSx6tp9KpNSBbRrBPbczzCKTdk8xKNYfOZML43m8g.YRSl6vwxq8M6IsLFCRjAzDjUJ53mXCe_-R9HxtvjAvsg.JPEG.jhc9639/25.JPG?type=w966

1. 처음에 공개 값을 공유

2. 각자의 비밀 값과 혼합한 후 혼합 값을 공유

3. 각자의 비밀 값과 또 혼합

4. 공통의 암호키인 PSK(Pre-Shareed Key) 생성

 

이렇게 클라이언트와 서버 모두 개인키와 공개키를 생성하고 서로에게 공개키를 보내고 공개키와 개인키를 결합하여 PSK가 생성된다면 공격자가 개인키 또는 공개키를 가지고 있어도 PSK가 없기 떄문에 이를 통해 키를 암호화 할 수 있음.

 

해싱 알고리즘

해싱 알고리즘은 데이터를 추정하기 힘든 더 작고, 섞여 있는 조각으로 만드는 알고리즘.

SSL/TLS는 해싱 알고리즘으로 SHA-256 알고리즘과 SHA-384 알고리즘을 사용.

그중 많이 쓰는 SHA-256 알고리즘 많이 씀.

​

SHA-256 알고리즘

SHA-256 알고리즘은 해시 함수의 결과값이 256비트인 알고리즘.

비트 코인을 비롯한 많은 블록체인 시스템에서도 사용.

SHA-256 알고리즘은 해싱을 해야 할 메시지에 1을 추가하는 등 전처리를 하고 전처리된 메시지를 기반으로 해시를 반환.

해시(Hash): 다양한 길이를 가진 데이터를 고정된 길이를 가진 데이터로 매핑한 값
해싱: 임의의 데이터를 해시로 바꿔주는 일, 해시 함수가 이를 담당
해시 함수: 임의의 데이터를 입력으로 받아 일정한 길이의 데이터로 바꿔주는 함수

 

참고로 TLS 1.3은 사용자가 이전에 방문한 사이트로 다시 방문한다면 SSL/TLS에서 보안 세션을 만들 때 걸리는 통신을 하지 않아도 됨. 이를 0-RTT라고 함.

 

HTTPS 구축 방법

HTTPS 구축 방법은 크게 세 가지

1. 직접 CA에서 구매한 인증키를 기반으로 HTTPS 서비스 구축

2. 서버 앞단의 HTTPS를 제공하는 로드밸런서를 두어 구축

3. 서버 앞단에 HTTPS를 제공하는 CDN을 둬서 구축

 

 

5. HTTP/3

HTTP/3은 HTTP/1.1, HTTP/2와 함께 World Wide Web에서 정보를 교환하는데 사용되는 HTTP 세 번째 버전.

TCP 위에서 돌아가는 HTTP/2와는 달리 QUIC이라는 계층 위에서 돌아가며, TCP 기반이 아닌 UDP 기반.

HTTP/2	HTTP/3
TLS	QUIC, TLS
TCP	UDP
IP	IP

HTTP/2의 멀티플렉싱을 가지고 있으며 초기 연결 설정 시 지연 시간 감소라는 장점이 있음.

 

초기 연결 설정 시 지연 시간 감소

QUIC는 TCP를 사용하지 않기 때문에 통신을 시작할 때 3-way handshake 과정을 거치지 않아도 됨.

QUIC은 첫 연결 설정에 1-RTT만 소요.

클라리언트가 서버에 어떤 신호를 한 번 주고, 서버도 거기에 응답하기만 하면 바로 본 통신 시작

QUIC은 FEC가 적용되어 열악한 네트워크 환경에서도 낮은 패킷 손실류을 자랑

FEC(Forword Error Correction):전송한 패킷이 손실되었다면 수신 측에서 에러를 검출하고 수정하는 방식

 

 

 

'면접을 위한 CS 전공지식 노트'를 기반으로 작성한 글입니다.

저자 블로그: https://blog.naver.com/jhc9639/222704187971

                     https://blog.naver.com/jhc9639/222702936704