TCP快速打開

TCP快速打開（英語：TCP Fast Open，簡稱TFO）是對電腦網路中傳輸控制協定（TCP）連接的一種簡化握手手續的拓展，用於提高兩端點間連接的打開速度。

它通過握手開始時的SYN包中的TFO cookie（一個TCP選項）來驗證一個之前連接過的客戶端。如果驗證成功，它可以在三次握手最終的ACK包收到之前就開始傳送資料，這樣便跳過了一個繞路的行為，更在傳輸開始時就降低了延遲。這個加密的Cookie被儲存在客戶端，在一開始的連接時被設定好。然後每當客戶端連接時，這個Cookie被重複返回。^[1]

此Cookie通常採用一種區塊加密法，私鑰由伺服器根據客戶端的IP位址儲存，生成一個第三方難以仿冒的訊息鑑別碼標籤，即便第三方可以偽造源IP位址或從其他IP位址製造到同一個伺服器的連接。儘管使用了加密技術來生成cookie，但TFO並不著眼於提供比它所替換的三次握手有更多的安全性，並且不對所產生的TCP連接提供任何形式的加密保護或端點身分認證。它的目的不是為了抵擋中間人攻擊。

這個協定最早提出於2011年^[2] 並在2012年2月時已為一個IETF網際網路草案，^[3] 這項規範最終在2014年12月作為RFC 7413發布。^[4]

過程

請求Fast Open Cookie

1. 客戶端傳送SYN封包，該封包包含Fast Open選項，且該選項的Cookie為空，這表明客戶端請求Fast Open Cookie；
2. 支援TCP Fast Open的伺服器生成Cookie，並將其置於SYN-ACK封包中的Fast Open選項以發回客戶端；
3. 客戶端收到SYN-ACK後，快取Fast Open選項中的Cookie。

實施TCP Fast Open

以下描述假定客戶端在此前的TCP連接中已完成請求Fast Open Cookie的過程並存有有效的Fast Open Cookie。

1. 客戶端傳送SYN封包，該封包包含資料（對於非TFO的普通TCP握手過程，SYN封包中不包含資料）以及此前記錄的Cookie；
2. 支援TCP Fast Open的伺服器會對收到Cookie進行校驗：如果Cookie有效，伺服器將在SYN-ACK封包中對SYN和資料進行確認（Acknowledgement），伺服器隨後將資料遞送至相應的應用程式；否則，伺服器將丟棄SYN封包中包含的資料，且其隨後發出的SYN-ACK封包將僅確認（Acknowledgement）SYN的對應序列號；
3. 如果伺服器接受了SYN封包中的資料，伺服器可在握手完成之前傳送資料；
4. 客戶端將傳送ACK確認伺服器發回的SYN以及資料，但如果客戶端在初始的SYN封包中傳送的資料未被確認，則客戶端將重新傳送資料；
5. 此後的TCP連接和非TFO的正常情況一致。

註：客戶端在請求並儲存了Fast Open Cookie之後，可以不斷重複TCP Fast Open直至伺服器認為Cookie無效（通常為過期）。^[4]

實現

TFO的實現包括：

• TFO的IPv4支援在3.6（客戶端）和3.7（伺服器端）版本中被合併進Linux核心主線^[5][6][7]。IPv6伺服器的TFO支援被合併進入3.16版本。^[8]
• FreeBSD自10.3版本^[9]（支援伺服器端）和12.0版本（支援使用者端）開始支援TFO^[10]。

• Mozilla Firefox 56支援TFO。^[11]

• Google Chrome和Chromium瀏覽器在Linux上提供TFO支援，包括Chrome OS和Android。
• Exim（郵件傳輸代理）從4.88開始啟用TFO。^[12]
• BIND自9.11.0開始啟用。^[13]

• 蘋果公司的iOS 9和OS X 10.11支援TCP快速打開，但並未為各連接預設啟用。^[14]
• Microsoft Edge從Windows 10 Preview build 14352開始支援TFO。^[15]

替代品

TCP快速打開（TFO）類似一項1994年被稱作T/TCP（RFC 1644）的提議，但由於它未考慮安全原因而存在漏洞，所以未被廣泛使用。

參見

• SPDY
• SYN cookies
• TCP Cookie 傳輸