[ 면접을 위한 cs 전공지식 노트 정리 ] 2.네트워크 : HTTP

(출처 :  https://www.inflearn.com/course/%EA%B0%9C%EB%B0%9C%EC%9E%90-%EB%A9%B4%EC%A0%91-cs-%ED%8A%B9%EA%B0%95)

2.5 HTTP

2.5.1 HTTP/1.0
2.5.2 HTTP/1.1
2.5.3 HTTP/2
2.5.4 HTTPS
2.5.5 HTTP/3.0

---

2.5 HTTP

HTTP는 전송 계층 중 애플리케이션 계층으로서 웹 서비스 통신에 사용된다.

 

2.5.1 HTTP/1.0

 

HTTP/1.0은 기본적으로 한 연결당 하나의 요청을 처리하도록 설계되었는데 서버로부터 파일을 가져올 때마다 TCP의 3-웨이 핸드셰이크를 계쏙해서 열어야 하기 때문에 이는 RTT(Round Trip Time, 패킷이 목적지에 도달하고 나서 다시 출발지로 돌아오기까지 걸리는 패킷 왕복시간) 증가를 불러오게 되었다. 

• RTT의 증가를 해결하기 위한 방법

• 이미지 스플리팅
  많은 이미지를 다운받게 되면 과부하가 걸리기 때문에 많은 이미지가 합쳐져 있는 하나의 이미지를 다운로드 받고, 이를 기반으로 background-image의 position을 이용하여 이미지를 표기하는 방법이다.
  
  
• 코드 압축
  코드를 압축하여 개행 문자, 빈칸을 없애 코드의 용량을 최소화하는 방법이다.
  
  
• 이미지Base64 인코딩
  이미지 파일을 64진법으로 일워진 문자열로 인코딩하는 방법으로, 이 방법의 장점은 서버와의 연결을 열고 이미지에 대해 서버에 HTTP 요청을 할 필요가 없지만 Base64 문자열로 반환할 경우 크기가 37%정도 커지는 단점이 있다.

 

2.5.2 HTTP/1.1

 

HTTP/1.1은 매번 TCP 연결을 하는 것이 아니라 한 번 TCP 초기화를 한 이후에 keep-alive라는 옵션으로 여러 개의 파일을 송수신할 수 있게 바뀌었다. HTTP/1.0에도 이 옵션이 있었지만 표준화가 되어있지 않아 HTTP/1.1부터 기본 옵션으로 설정되었다.

아래 그림을 보면 핸드셰이크가 한번만 일어나는 것을 볼 수 있다. 하지만 문서 안에 포함된 다수의 리소스(css 파일, 이미지, script 파일)을 처리하려면 요청할 리소스 개수에 비례해서 대기 시간이 길어지는 단점이 있다.

 

• HOL Blocking(Head Of Line Blocking)
  네트워크에서 같은 큐에 있는 패킷이 그 첫 번째 패킷에 의해 지연될 때 발생하는 성능 저하 현상이다.
  아래의 세 파일을 받을 때 image.jpg  파일이 느리게 받아진다면 그 뒤에 있는 것들이 대기하여 다운로드가 지연되는 상태가 되는 것이다.

 

• 무거운 헤더 구조
  HTTP/1.1의 헤더에는 쿠키 등 많은 메타데이터가 들어 있고 압축이 되지 않아 무거웠다.

 

2.5.3 HTTP/2

HTTP/2는 SPDY 프로토콜에서 파생된 HTTP/1.x보다 지연 시간을 줄이고 응답 시간을 더 빠르게 할 수 있으며 멀티플렉싱, 헤더 압축, 서버 푸시, 요청의 우선순위 처리를 지원하는 프로토콜이다.

 

• 멀티플렉싱
  여러 개의 스트림을 사용하여 송수신하는 것을 말하며, 이를 통해 특정 스트림(stream, 시간이 지남에 따라 사용할 수 있게 되는 일련의 데이터 요소)의 패킷이 손실되었다고 하더라도 해당 스트림에만 영향을 미치고 나머지 스트림은 멀쩡하게 동작할 수 있다.
  
  하나의 연결 내 여러 스트림을 캡처해 병렬적인 스트림을 통해 데이터를 서빙하고 내부의 데이터들도 쪼개져 있다. 애플리케이션에서 받아온 메시지를 독립된 프레임으로 조각내어 서로 송수신한 이후 다시 조립하며 데이터를 주고받는다.
  
  이를 통해 단일 연결을 사용하여 병렬로 여러 요청을 받을 수 있고 응답을 줄 수 있어 HOL Bolocking을 해결할 수 있다.

 

 

• 헤더압축
  허프만 코딩 압축 알고리즘을 사용하는 HPACK 압축 형식을 통해 헤더를 압축해 HTTP/1.x의 문제를 해결한다.

• 허프만 코딩(huffman coding)
  문자열을 문자 단위로 쪼개 빈도수를 세어 빈도가 높은 정보는 적은 비트 수를 사용하여 표현하고, 빈도가 낮은 정보는 비트 수를 많이 사용하여 표현해서 전체 데이터의  표현에 필요한 비트양을 줄이는 원리이다.
  
  

• 서버푸시
  HTTP/1.1에서는 클라이언트가 서버에 요청을 해야 파일을 다운로드 받을 수 있었는데 HTTP/2는 클라이언트 요청 없이 서버가 바로 리소스를 푸시할 수 있다.
  html을 읽으면서 그 안에 들어있는 css파일을 서버에서 푸시하여 클라이언트에 먼저 줄 수 있다.

2.5.4 HTTPS

 

HTTP/2는 HTTPS 위에서 동작한다. HTTPS는 애플리케이션 계층와 전송 계층 사이에 신뢰 계층인 SSL/TLS 계층을 넣은 신뢰할 수 있는 HTTP 요청을 말하며 이를 통해 통신을 암호화한다.

 

• SSL(Secure Socket Layer, 보안소켓계층)/TLS(Transport Layer Security Protocol, 전송계층보안)
  
  SSL은 1.0부터 SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.3 까지 버전이 올라가며 마지막으로 TLS로 명칭이 변경되었으나, 보통 이를 합쳐 SSL/TLS로 많이 부른다.
  
  SSL/TLS는 전송 계층에서 보안을 제공하는 프로토콜로 클라이언트가 서버가 통신할 때 SSL/TLS를 통해 제 3자가 메시지를 도청하거나 변조하지 못하도록 하며 공격자가 서버인 척하며 사용자 정보를 가로채는 '인터셉터'를 방지할 수 있다.
  
  SSL/TLS는 보안 세션을 기반으로 데이터를 암호화하며 보안 세션이 만들 어질 때 인증 메커니즘, 키 교환 알고리즘, 해싱 알고리즘이 사용된다.

• 보안세션
  
  보안이 시작되고 끝나는 동안 유지되는 세션을 말한다.
  SSL/TLS는 핸드셰이크를 통해 보안 세션을 생성하고 이를 기반으로 상태 정보 등을 공유한다.
  
  아래 그림을 보면 클라이언트와 서버가 키를 공유하고 이를 기반으로 인증, 인증 확인 등의 작업이 일어나는 단 한번의 1-RTT가 생긴 후 데이터를 송수신하는 것을 볼 수 있다.
  클라이언트에서 *사이퍼슈트(cypher suites)를 서버에 전달하면 서버는 받은 사이퍼 슈트의 암호화 알고리즘 리스트를 제공할 수 있는지 확인한다. 제공할 수 있다면 서버에서 클라이언트로 인증서를 보내는 인증 메커니즘이 시작되고 이후 해싱 알고리즘 등으로 암호화된 데이터의 송수신이 시작된다.
  
  * 사이퍼슈트(cypher suites)
  프로토콜, AEAD사이퍼 모드, 해싱 알고리즘이 나열된 규약을 말하며 다섯개가 있다.
  
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_AES_128_CCM_8_SHA256
  
  * AEAD 사이퍼모드(Authenticated Encryption with Associated Data, 인증된 암호 방식)
  데이터 암호화 알고리즘이며 AES_128_GCM 등이 있다.
  AES_128_GCM는 128비트의 키를 사용하는 표준 블록 암호화 기술과 병렬 계산에 용이한 암호화 알고리즘 GCM이 결합된 알고리즘을 뜻한다.
  
  

 

• 인증 메커니즘
  
  CA(Certificate Authoritties, 인증기관)에서 발급한 인증서를 기반으로 이루어지며, 이 인증서는 안전한 연결을 시작하는 공개키를 클라이언트에 제공하고 사용자가 접속한 서버가 신뢰할 수 있는 서버임을 보장한다. 인증서는 서비스 정보, 공개키, 지문, 디지털 서명 등으로 이루어져 있다.
  
  * CA발급과정
  사이트 정보와 공개키를 CA에 제출하고 CA는 공개키를 해시한 값인 지문(finger print)을 사용하는 CA의 비밀키(개인키라고도 하며 반드시 개인이 소유해야 하는 키) 등을 기반으로 CA 인증서를 발급한다.
  
  
• 암호화 알고리즘
  
  키 교환 알고리즘으로는 대수곡선 기반의 ECDHE(Ellliptic Curve Diffie-Hellman Ephemeral) 또는 모듈식 기반의 DHE(Diffie-Hellman Ephemeral)을 사용하는데 둘다 디피-헬만 방식을 기반으로 만들어졌다.
  
  * 디피-헬만 키 교환 암호화 알고리즘(Diffie-Hellman key exchange)
  g와 x와 p를 안다면 y는 구하기 쉽지만 g와 y와 p만 안다면 x를 구하기는 어렵다는 원리에 기반한 알고리즘이다.
  
  처음에 공개 값을 공유하고 각자의 비밀 값과 혼합한 후 혼합 값을 공유한 다음 각자의 비밀 값과 또 혼합하면 공통의 암호키가 생성된다. 이렇게 클라이언트와 서버 모두 개인키와 공개키를 생성하고 서로에게 공개키를 보내고 공개키와 개인키를 결합하여 PSK(사전 합의된 비밀키)가 생성된다면, 악의적인 공격자가 개인키 또는 공개키를 가지고도 PSK가 없기 때문에 아무것도 할 수 없기 때문에 이를 통해 키를 암호화할 수 있는 것이다.

 

• 해싱 알고리즘
  데이터를 추정하기 힘든 더 작고, 섞여 있는 조각으로 만드는 알고리즘이다.
  SSL/TLS는 해싱 알고리즘으로 SHA-256 알고리즘과 SHA-384 알고리즘을 가장 많이 쓴다.
  
  * SHA-256 알고리즘
  해시(다양한 길이를 가진 데이터를 고정된 길이를 가진 데이터로 매핑한 값) 함수의 결괏값이 256비트인 알고리즘이며 비트 코인을 비롯한 블록체인 시스템에서도 많이 쓴다.
  해싱(임의의 데이터를 해시로 바꿔주는 일이며 해시 함수가 이를 담당)을 해야 할 메시지에 1을 추가하는 등 전처리를 하고 전처리된 메시지를 기반으로 해시를 반환한다.
  
  TLS 1.3은 사용자가 이전에 방문한 사이트로 다시 방문한다면 SSL/TLS에서 보안 세션을 만들 때 걸리는 통신을 하지 않아도 되는데 이를 0-RTT라고 한다.
  

• HTTPS 구축방법

• 직접 CA에서 구매한 인증키를 기반으로 HTTPS 서비스를 구축한다.
• 서버 앞단의 HTTPS를 제공하는 로드밸런서를 둔다.
• 서버 앞단에 HTTPS를 제공하는 CDN을 둬서 구축한다.

2.5.5 HTTP/3.0

 

HTTP/3은 TCP 위에서 돌아가는 HTTP/2와는 달리 QUIC(퀵)라는 계층 위에서 돌아가며 TCP 기반이 아닌 UDP 기반으로 돌아간다.
HTTP/2의 장점인 멀티플렉싱도 가지고 있으며 QUIC이 TCP를 사용하지 않기 때문에 통신을 시작할 때 번거로운 3-웨이 핸드셰이크 과정을 거치지 않아 초기 연결 설정 시 지연 시간 감소라는 장점이 있다.

 

• 초기 연결 설정 시 지연 시간 감소
  
  QUIC은 첫 연결 설정에 1-RTT만 소요되는데 이는 클라이언트가 서버에 어떤 신호를 한번주고, 서버도 거기에 응답하기만 하면 본 통신을 바로 시작할 수 있다는 뜻이다. 
  QUIC은 FEC(Forword Error Correction, 순방향 오류 수정 매커니즘)이 적용되어, 전송한 패킷이 손실되었다면 수신 측에서 에러를 검출하고 수정하는 방식으로 네트워크 환경이 열악해도 패킷 손실률이 낮다.