我們都看過(guò)經(jīng)典的電影場(chǎng)景。警方已經(jīng)追蹤到壞人的電話，他們準(zhǔn)備沖進(jìn)房間。槍支準(zhǔn)備就緒，氣氛緊張，執(zhí)法部門(mén)破門(mén)而入 - 卻發(fā)現(xiàn)兩部電話已連接，麥克風(fēng)到揚(yáng)聲器和揚(yáng)聲器到麥克風(fēng)，轉(zhuǎn)達(dá)了罪犯的要求。

這不僅是一個(gè)經(jīng)典的電影比喻，而且還是 TCP 隧道的一個(gè)簡(jiǎn)單示例。讓我們探討一下這是什么以及為什么它是現(xiàn)代物聯(lián)網(wǎng)的重要概念。

回歸本源

讓我們退后一步，解釋一下這里發(fā)生了什么。首先，互聯(lián)網(wǎng)上的大多數(shù)服務(wù)使用傳輸控制協(xié)議 (TCP) 連接作為客戶端和服務(wù)器程序之間的通信方式。TCP 連接就像電話連接一樣，一旦“通話”接通，就可以通過(guò)對(duì)著麥克風(fēng)（電話的輸入通道）說(shuō)話并激活另一端的揚(yáng)聲器（輸出接收端的信道）。同樣，反之亦然。

為了完成電話類比，請(qǐng)考慮可以創(chuàng)建 TCP 連接，就像使用分機(jī)號(hào)碼撥打電話一樣。與電話號(hào)碼一樣，TCP 連接使用 IP 地址和分機(jī)號(hào)碼連接到服務(wù)器的 IP 地址（電話號(hào)碼）和正確的端口（分機(jī)）。例如，當(dāng)有人請(qǐng)求一個(gè)網(wǎng)頁(yè)時(shí)，瀏覽器會(huì)打開(kāi)一個(gè) TCP 連接到由 IP 地址指定的網(wǎng)絡(luò)服務(wù)器。同樣，將其視為電話對(duì)話，然后瀏覽器對(duì) TCP“麥克風(fēng)”“說(shuō)話”以請(qǐng)求特定頁(yè)面，然后將其傳輸?shù)骄W(wǎng)絡(luò)服務(wù)器端的接收器。然后，網(wǎng)絡(luò)服務(wù)器定位網(wǎng)頁(yè)并將其傳回給瀏覽器以“聽(tīng)到”，這意味著它顯示了用戶的數(shù)據(jù)。很簡(jiǎn)單，對(duì)吧？這就是為什么在如此多的客戶端/服務(wù)器應(yīng)用程序中使用 TCP 來(lái)請(qǐng)求和接收數(shù)據(jù)的原因。

IoT 中典型的 TCP 客戶端/服務(wù)器應(yīng)用程序，例如連接到 IoT 設(shè)備（服務(wù)器）的智能手機(jī)應(yīng)用程序（客戶端）。這種連接類似于電話交談。（來(lái)源：Nabto）

防火墻的連接問(wèn)題

但有一個(gè)問(wèn)題。假設(shè)您想使用 TCP 隧道在 IoT 中創(chuàng)建客戶端/服務(wù)器應(yīng)用程序，例如連接到 IoT 設(shè)備（服務(wù)器）的智能手機(jī)應(yīng)用程序（客戶端）。不幸的是，實(shí)現(xiàn)這一目標(biāo)說(shuō)起來(lái)容易做起來(lái)難。

為什么？那么，如果智能手機(jī)和物聯(lián)網(wǎng)設(shè)備位于同一個(gè)局域網(wǎng)上，表現(xiàn)為WIFI，那么應(yīng)該沒(méi)有問(wèn)題，因?yàn)榻⑦B接只是智能手機(jī)定位物聯(lián)網(wǎng)設(shè)備IP地址的問(wèn)題。但這并不是那么有用，就像您與物聯(lián)網(wǎng)設(shè)備位于同一建筑物中一樣，您只需親自前往設(shè)備并與之交互即可。

另一方面，如果您在遠(yuǎn)程操作，您的智能手機(jī)（和您）將在您的局域網(wǎng)之外，這意味著建立連接更加困難，因?yàn)槟募彝ゾW(wǎng)絡(luò)防火墻會(huì)阻止來(lái)自網(wǎng)絡(luò)外部的連接. 當(dāng)然，您可以為此類連接打開(kāi)防火墻，也可以將 IoT 設(shè)備放置在防火墻之外的可公開(kāi)訪問(wèn)的 IP 地址上。但是，不建議這樣做，因?yàn)槟奈锫?lián)網(wǎng)設(shè)備可能容易受到來(lái)自整個(gè)互聯(lián)網(wǎng)的攻擊。

家庭網(wǎng)絡(luò)防火墻可能會(huì)阻止外部連接，使遠(yuǎn)程客戶端難以從 IoT 設(shè)備讀取數(shù)據(jù)；并且為物聯(lián)網(wǎng)設(shè)備打開(kāi)防火墻不是一種選擇，因?yàn)樗苋菀妆?a target="_blank">黑客入侵。（來(lái)源：Nabto）

通過(guò)TCP隧道找到解決方法

物聯(lián)網(wǎng)開(kāi)發(fā)者面臨的問(wèn)題是：我們?nèi)绾瓮ㄟ^(guò)防火墻連接到外部世界？我們?nèi)绾我园踩姆绞阶龅竭@一點(diǎn)？這兩個(gè)問(wèn)題的答案都是帶有嵌入式中繼的TCP隧道。該解決方案允許設(shè)備保持在防火墻后面，同時(shí)跨公共通道安全通信。此外，在中間有一個(gè)中繼，作為額外的預(yù)防措施，可以對(duì)這些通信進(jìn)行加密和身份驗(yàn)證。TCP隧道的工作原理是在客戶端運(yùn)行一個(gè)小程序，該程序?qū)CP連接/請(qǐng)求開(kāi)放?？雌饋?lái)像這樣。隧道接收器端接觸到在物聯(lián)網(wǎng)設(shè)備上運(yùn)行的隧道調(diào)度器端程序。一旦隧道調(diào)度器收到此類“伸出”，它將創(chuàng)建到數(shù)據(jù)應(yīng)用物聯(lián)網(wǎng)設(shè)備的TCP連接，隧道接收器和隧道調(diào)度器將在兩個(gè)連接之間接收和轉(zhuǎn)發(fā)數(shù)據(jù)。對(duì)于TCP客戶端，它看起來(lái)就像TCP服務(wù)器端在本地運(yùn)行，而對(duì)于TCP服務(wù)器端應(yīng)用程序，它看起來(lái)就像客戶端在本地連接。

TCP 隧道通過(guò)在客戶端運(yùn)行一個(gè)小程序來(lái)工作，該程序?qū)?TCP 連接/請(qǐng)求開(kāi)放。（來(lái)源：Nabto）

另一個(gè)特點(diǎn)是，如果您認(rèn)為本地連接是安全的，例如在您的手機(jī)或程序之間的物聯(lián)網(wǎng)設(shè)備內(nèi)部發(fā)生的連接，隧道可以變得非常安全。隧道接收器和隧道調(diào)度器之間的連接可以使用證書(shū)進(jìn)行強(qiáng)身份驗(yàn)證，同樣，可以通過(guò)加密保護(hù)隱私。這對(duì)于攜帶敏感或私人數(shù)據(jù)的設(shè)備尤其重要，例如網(wǎng)絡(luò)攝像頭或可穿戴設(shè)備。

例如，在視頻設(shè)備中，TCP 隧道通常用于在現(xiàn)有視頻播放器客戶端和 TCP 視頻流服務(wù)（例如 IP 攝像機(jī)上的 RTSP 服務(wù)器）之間發(fā)送和接收?qǐng)D像。同時(shí)，對(duì)現(xiàn)有 HTTP 服務(wù)的安全遠(yuǎn)程訪問(wèn)在提供對(duì)管理應(yīng)用程序的遠(yuǎn)程訪問(wèn)方面很受歡迎。我個(gè)人非常喜歡這個(gè)解決方案及其簡(jiǎn)單性。在客戶端或服務(wù)器端都不需要進(jìn)行任何調(diào)整——相反，當(dāng)客戶端實(shí)際與隧道調(diào)度程序通信時(shí)，它會(huì)相信它是在本地與服務(wù)器通信。實(shí)際上，這種簡(jiǎn)單的 TCP 隧道“魔法”允許物聯(lián)網(wǎng)設(shè)備從安全位置與外部世界連接。

審核編輯 黃昊宇