<p><!--META
{
"title": "HTTP/3 QPACKヘッダ圧縮の仕組み",
"primary_category": "ネットワーク",
"secondary_categories": ["プロトコル","Web技術"],
"tags": ["HTTP/3","QPACK","QUIC","HPACK","RFC9204","ヘッダ圧縮"],
"summary": "HTTP/3で採用されるQPACKヘッダ圧縮の仕組みを、RFC9204に基づき解説します。HPACKとの違い、動的テーブルの同期、セキュリティ、実装上の考慮事項を詳述します。",
"mermaid": true,
"verify_level": "L0",
"tweet_hint": {"text":"HTTP/3で使われるQPACKヘッダ圧縮は、HTTP/2のHPACKが抱える課題を解決するために設計されました。RFC9204に基づき、その仕組み、HPACKとの違い、セキュリティ、実装の注意点をまとめました。","hashtags":["#HTTP3","#QPACK","#ネットワーク"]},
"link_hints": ["https://www.rfc-editor.org/rfc/rfc9204","https://www.rfc-editor.org/rfc/rfc9114"]
}
-->
本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト(未検証)</strong>です。</p>
<h1 class="wp-block-heading">HTTP/3 QPACKヘッダ圧縮の仕組み</h1>
<h2 class="wp-block-heading">背景</h2>
<p>HTTP/1.1では、リクエストごとに全てのヘッダがテキスト形式で送信され、冗長性が問題となっていました。HTTP/2では、この問題を解決するためにHPACK(RFC 7541)というヘッダ圧縮方式が導入されました。HPACKは静的テーブルと動的テーブルを用いてヘッダフィールドをインデックス参照したり、差分符号化したりすることで効率的な圧縮を実現しました。しかし、HTTP/2はTCP上で動作するため、HPACKの動的テーブルが単一のTCP接続に紐づく構造上、ヘッダ圧縮処理が原因でHead-of-Line(HOL)ブロッキングが発生する可能性がありました。</p>
<p>HTTP/3は、トランスポート層としてQUIC(RFC 9000)を採用することで、TCPにおけるHOLブロッキングの問題を解決しました。QUICは多重化された独立したストリームをサポートするため、HTTP/2のヘッダ圧縮方式であるHPACKは、その設計がQUICのストリームモデルと相性が悪く、新たなヘッダ圧縮方式が必要となりました。これがQPACK(RFC 9204)が開発された背景です。</p>
<h2 class="wp-block-heading">設計目標</h2>
<p>QPACK(RFC 9204)は、HTTP/3におけるヘッダ圧縮の設計目標として、以下の点を掲げています。</p>
<ol class="wp-block-list">
<li><p><strong>高い圧縮効率の維持</strong>: HPACKと同様に、共通のヘッダフィールドを静的・動的テーブルで参照することで、送信バイト数を削減する。</p></li>
<li><p><strong>HOLブロッキングの回避</strong>: QUICの多重化ストリームの利点を活かし、ヘッダブロックの処理によってアプリケーション層でのHOLブロッキングが発生しないようにする。具体的には、あるストリームのヘッダブロックが、別のストリームの動的テーブル更新の完了を待つことによってブロックされる状況を回避する。</p></li>
<li><p><strong>ストリームごとの独立性</strong>: 異なるHTTPストリーム間で、ヘッダ圧縮の状態が完全に同期されるのを待つ必要なく、並行して処理できるようにする。</p></li>
<li><p><strong>セキュリティの強化</strong>: 動的テーブルの同期における潜在的なセキュリティリスク(例: テーブル汚染)を軽減する。</p></li>
</ol>
<h2 class="wp-block-heading">詳細</h2>
<p>QPACKは、RFC 9204で定義されるHTTP/3のヘッダ圧縮メカニズムです。HPACKの基本概念(静的テーブル、動的テーブル、インデックス参照、リテラル表現)を継承しつつ、QUICの多重化ストリーム環境に合わせて設計されています。</p>
<h3 class="wp-block-heading">QPACKの基本的な仕組み</h3>
<p>QPACKは以下の要素で構成されます。</p>
<ul class="wp-block-list">
<li><p><strong>静的テーブル (Static Table)</strong>:</p>
<ul>
<li>HTTP/2のHPACK静的テーブルを基にしており、よく使われるヘッダフィールド(例: <code>:method: GET</code>, <code>content-type: application/json</code>)と値の組み合わせが事前に定義されたインデックスとして利用されます。RFC 9204で定義されており、全てのQPACKエンコーダ/デコーダで共通です。</li>
</ul></li>
<li><p><strong>動的テーブル (Dynamic Table)</strong>:</p>
<ul>
<li>セッション中に新たに出現するヘッダフィールドや値の組み合わせを学習し、動的に追加していくテーブルです。エンコーダとデコーダの両方がこのテーブルのコピーを持ち、同期させます。QPACKでは、動的テーブルの更新とヘッダブロックの送信を分離することで、HOLブロッキングを回避します。</li>
</ul></li>
<li><p><strong>ヘッダブロックの表現</strong>:</p>
<ul>
<li><p><strong>Indexed Field Line</strong>: 静的テーブルまたは動的テーブルに存在するエントリをインデックスで参照する形式です。</p></li>
<li><p><strong>Literal Field Line</strong>: テーブルに存在しないヘッダフィールドをそのまま文字列として送信する形式です。</p></li>
<li><p><strong>Literal Field Line with Post-Base Indexing</strong>: リテラルとして送信しつつ、そのヘッダフィールドを動的テーブルに追加するためのヒントを含める形式です。</p></li>
</ul></li>
<li><p><strong>専用のストリーム</strong>:</p>
<ul>
<li><p>QPACKでは、ヘッダブロックが送られる「リクエスト/レスポンスストリーム」とは別に、動的テーブルの同期と制御を行うための専用の単方向ストリームが2つ定義されています。</p>
<ul>
<li><p><strong>Encoder Stream (エンコーダーストリーム)</strong>: エンコーダからデコーダへ、動的テーブルの更新指示(新しいエントリの追加や容量変更など)を送信します。</p></li>
<li><p><strong>Decoder Stream (デコーダーストリーム)</strong>: デコーダからエンコーダへ、動的テーブルの更新が処理されたことを通知する確認応答(ACK)や、特定のストリームからの更新のキャンセルなどを送信します。</p></li>
</ul></li>
</ul></li>
</ul>
<h3 class="wp-block-heading">ヘッダブロックの構造</h3>
<p>QPACKヘッダブロックは、まず「QPACKヘッダブロックプレフィックス」が先行し、その後に圧縮されたヘッダフィールドのリストが続きます。</p>
<div class="codehilite">
<pre data-enlighter-language="generic">QPACK Header Block Prefix:
Required Insert Count: variable-length integer (N bits, usually 8)
Sign: 1 bit (0 for positive, 1 for negative base)
Delta Base: variable-length integer (N bits, usually 8)
(followed by compressed header field representations)
</pre>
</div>
<ul class="wp-block-list">
<li><p><strong>Required Insert Count (RIC)</strong>: このヘッダブロックをデコードするために必要な、動的テーブルへの挿入操作の最小回数を示します。デコーダは、この回数分以上の挿入が完了している場合にのみ、ヘッダブロックをデコードできます。</p></li>
<li><p><strong>Sign & Delta Base</strong>: ヘッダブロック内で動的テーブルの相対インデックスを参照する際の基準(ベース)を示します。これにより、デコーダは特定の時点の動的テーブルの状態を基準にインデックスを解釈できます。</p></li>
</ul>
<h3 class="wp-block-heading">ヘッダフィールドの表現形式</h3>
<p>QPACKは以下の主要な表現形式をサポートします。</p>
<div class="codehilite">
<pre data-enlighter-language="generic">// Indexed Field Line (完全なインデックス参照)
Encoded Representation:
1-bit (1) + Indexed Field Line Prefix (7 bits)
Index: variable-length integer
// Literal Field Line with Name Reference (名前のみインデックス参照)
Encoded Representation:
1-bit (0) + 1-bit (1) + Name Index Prefix (6 bits)
Name Index: variable-length integer (Static or Dynamic)
Value Length: variable-length integer
Value: (huffman-encoded or raw)
// Literal Field Line (名前も値もリテラル)
Encoded Representation:
1-bit (0) + 1-bit (0) + 1-bit (1) + Literal Prefix (5 bits)
Name Length: variable-length integer
Name: (huffman-encoded or raw)
Value Length: variable-length integer
Value: (huffman-encoded or raw)
// Literal Field Line with Post-Base Indexing (動的テーブルに追加するためのヒント)
// (これらは特定のビットパターンで識別され、上記のバリアントにさらにフラグが立つ)
</pre>
</div>
<p>これらの表現は、リクエスト/レスポンスストリーム上でヘッダブロックの一部として送信されます。</p>
<h3 class="wp-block-heading">動的テーブルの同期とHOLブロッキング回避</h3>
<p>QPACKの最も重要な特徴は、動的テーブルの同期方法とHOLブロッキングの回避メカニズムです。</p>
<ol class="wp-block-list">
<li><p><strong>エンコーダによる動的テーブル更新</strong>:
エンコーダは新しいヘッダフィールドを動的テーブルに追加する際、その更新指示を「エンコーダーストリーム」を通じてデコーダに送信します。</p>
<merpress-block><pre class="mermaid">sequenceDiagram
participant "Client as エンコーダ (Client)"
participant "Server as デコーダ (Server)"
Client ->> +Server: (QUIC接続確立, 0-RTT/1-RTT)
Note over Client: 動的テーブルに新規エントリを追加
Client ->> Server: エンコーダーストリーム: INSERT_WITH_NAME_REF (新規ヘッダ情報)
Note over Client: ヘッダブロックをエンコード (Required Insert Count: X)
Client ->> Server: リクエストストリーム(ID:1): HEADERSフレーム (QPACKプレフィックス, 圧縮ヘッダ)
Note over Server: HEADERSフレーム受信, Required Insert Countをチェック
Server -->> Server: 動的テーブルの更新を待機 (X回挿入完了まで)
Server ->> Server: エンコーダーストリーム: INSERT_WITH_NAME_REFを受信, 動的テーブルを更新
Note over Server: Required Insert Count Xを達成, HEADERSフレームをデコード
Server ->> +Client: デコーダーストリーム: STREAM_CANCELLATION/TABLE_ACK (ストリームID:1, 挿入数:Y)
Note over Client: ACKを受信し、デコーダの状態を追跡
Note over Client: 別のストリームで新しいヘッダをエンコード
Client ->> Server: エンコーダーストリーム: INSERT_WITHOUT_NAME_REF (別の新規ヘッダ)
Client ->> Server: リクエストストリーム(ID:2): HEADERSフレーム (QPACKプレフィックス, 圧縮ヘッダ)
Note over Server: ID:2のHEADERSフレームを、ID:1とは独立してデコード可能
</pre></merpress-block></li>
<li><p><strong>Required Insert Count (RIC) とデコード</strong>:
エンコーダは、ヘッダブロックを送信する際に、そのブロックがデコードされるまでにデコーダが認識しておくべき動的テーブルへの挿入操作の回数を<code>Required Insert Count</code>としてプレフィックスに含めます。デコーダは、このRICが示す回数分の挿入が完了するまで、該当のヘッダブロックのデコードを遅延させることができます。</p></li>
<li><p><strong>デコーダによる確認応答</strong>:
デコーダは、エンコーダーストリーム経由で受け取った動的テーブルの更新を処理し終えたら、その旨を「デコーダーストリーム」を通じてエンコーダに<code>STREAM_CANCELLATION</code>または<code>TABLE_ACK</code>フレームで通知します。これにより、エンコーダはデコーダがどの動的テーブルの状態を認識しているかを追跡できます。</p></li>
<li><p><strong>HOLブロッキングの回避</strong>:
QPACKでは、エンコーダはデコーダからのACKを待たずに、新しい動的テーブルエントリを使ってヘッダブロックをエンコードし、送信することができます。デコーダは、<code>Required Insert Count</code>によって、必要な動的テーブルの状態が整うまでヘッダブロックの処理を一時停止しますが、これは個々のストリームレベルでの一時停止であり、他のストリームの処理をブロックしません。HTTP/2のHPACKで発生しうる、TCP層でのHOLブロッキングに起因するヘッダ圧縮のHOLブロッキングは、QUICのマルチプレックスとQPACKの設計により回避されます。</p></li>
</ol>
<h3 class="wp-block-heading">QPACKのアーキテクチャ概要</h3>
<div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid">
flowchart TD
A[HTTP Header Block Input] --> B{Lookup Static Table?}
B -- Yes --> C[Indexed Static Field Line]
B -- No --> D{Lookup Dynamic Table?}
D -- Yes --> E[Indexed Dynamic Field Line]
D -- No --> F{New Field/Value?}
F -- Yes --> G[Generate INSERT Instruction]
G --> H[Send INSERT on Encoder Stream]
F -- No --> I[Generate Literal Field Line]
G --> J[Select Field Line Representation]
I --> J
C --> J
E --> J
J --> K[Attach QPACK Prefix (RIC, Base)]
K --> L[Send Header Block on Request/Response Stream]
</pre></div>
<h2 class="wp-block-heading">既存プロトコルとの比較 (HTTP/2 HPACK vs HTTP/3 QPACK)</h2>
<p>QPACKはHTTP/2のHPACKから多くの概念を受け継いでいますが、HTTP/3とQUICの特性に合わせていくつかの重要な違いがあります。</p>
<ul class="wp-block-list">
<li><p><strong>トランスポート層</strong>:</p>
<ul>
<li><p><strong>HPACK</strong>: TCP上で動作し、単一のTCPストリーム内でHTTPリクエスト/レスポンスとヘッダブロックが送られる。</p></li>
<li><p><strong>QPACK</strong>: QUIC上で動作し、多重化されたQUICストリーム上でHTTPリクエスト/レスポンスとヘッダブロックが送られる。</p></li>
</ul></li>
<li><p><strong>動的テーブルの同期</strong>:</p>
<ul>
<li><p><strong>HPACK</strong>: 動的テーブルの更新は、通常のHTTPストリーム内のヘッダブロックにインラインで埋め込まれる。受信順序が保証されるため、単純な同期モデルで済む。</p></li>
<li><p><strong>QPACK</strong>: 動的テーブルの更新は、専用の単方向エンコーダーストリームを介して行われる。ヘッダブロックはリクエスト/レスポンスストリーム上で送られる。デコーダからの確認応答はデコーダーストリームを介して返される。</p></li>
</ul></li>
<li><p><strong>HOLブロッキング</strong>:</p>
<ul>
<li><p><strong>HPACK</strong>: TCPのHOLブロッキングと、単一の動的テーブル状態が全てのHTTPストリームで共有されるため、あるストリームのヘッダ圧縮処理が別のストリームの処理をブロックする可能性があった(Header Compression HOL Blocking)。</p></li>
<li><p><strong>QPACK</strong>: QUICのストリーム多重化によりトランスポート層のHOLブロッキングは回避。QPACKは、<code>Required Insert Count</code>を用いることで、アプリケーション層でのヘッダ圧縮に起因するHOLブロッキングも回避する。個々のストリームは、必要な動的テーブル状態が揃うまで自身の処理を一時停止するが、他のストリームには影響しない。</p></li>
</ul></li>
<li><p><strong>0-RTTハンドシェイク</strong>:</p>
<ul>
<li><p><strong>HPACK</strong>: TCPとTLS 1.2以下では、0-RTTサポートは限定的。</p></li>
<li><p><strong>QPACK</strong>: QUICとTLS 1.3の統合により、0-RTT接続確立が容易。QPACKは、0-RTTデータ送信時に動的テーブルが完全に同期されていない可能性があることを考慮し、以前の接続で学習した動的テーブルエントリを参照する際に制約を設ける。</p></li>
</ul></li>
</ul>
<h2 class="wp-block-heading">セキュリティ考慮</h2>
<p>QPACKはヘッダ圧縮プロトコルであるため、いくつかのセキュリティ上の考慮事項があります(RFC 9204のSection 7を参照)。</p>
<ul class="wp-block-list">
<li><p><strong>リプレイ攻撃と0-RTT</strong>: QUIC (RFC 9000) とTLS 1.3 (RFC 8446) は、リプレイ攻撃に対する保護を提供します。QPACKはQUIC上で動作するため、0-RTTデータ送信時に動的テーブルが完全に同期されていない可能性がある点を考慮し、安全な運用が求められます。特に、0-RTT接続では過去の動的テーブル状態が復元されるため、その状態が最新でないことによる情報の不整合や攻撃の可能性を最小限にする必要があります。</p></li>
<li><p><strong>ダウングレード攻撃</strong>: HTTP/3プロトコル自体が、以前のHTTPバージョンへのダウングレード攻撃に対して堅牢である必要があります。QPACKの文脈では、ヘッダ圧縮の効率を意図的に低下させたり、古い脆弱なメカニズムに戻させたりする試みに対して、プロトコル選択メカニズムが適切に機能する必要があります。</p></li>
<li><p><strong>キー更新</strong>: QPACK自体は暗号化を行わないため、キー更新の直接的な考慮事項はありません。しかし、基盤となるQUICとTLS 1.3は、定期的なキー更新を通じて、長期的な接続におけるセキュリティを維持します。</p></li>
<li><p><strong>動的テーブルの汚染</strong>: 悪意のあるエンコーダが、デコーダの動的テーブルに大量の無駄なエントリや悪用される可能性のあるエントリを挿入し、メモリを消費させたり、特定のヘッダフィールドを隠蔽したりする「テーブル汚染」のリスクがあります。QPACKでは、デコーダが動的テーブルの容量を制御し、不要なエントリを削除するメカニズムを提供することで、このリスクを軽減します。</p></li>
<li><p><strong>情報漏洩(圧縮率)</strong>: ヘッダの圧縮率から、内部情報や秘密の値が推測されるサイドチャネル攻撃のリスクがあります。例えば、特定のCookieや認証ヘッダが常に同じインデックスで参照される場合、その存在や頻度が外部から推測される可能性があります。QPACKは、HPACKと同様にこのリスクを抱えています。</p></li>
<li><p><strong>メモリ枯渇攻撃</strong>: 悪意のあるピアが、動的テーブルを最大容量まで膨張させることで、デコーダ側のメモリを枯渇させる可能性があります。デコーダはテーブルの最大容量を制限し、古いエントリを積極的に削除するなどの対策を講じる必要があります。</p></li>
</ul>
<h2 class="wp-block-heading">実装メモ</h2>
<p>QPACKの実装には、QUICの特性を理解した上で、いくつかの重要な考慮事項があります。</p>
<ul class="wp-block-list">
<li><p><strong>MTU/Path MTU Discovery</strong>: QUICはUDP上で動作するため、基盤となるネットワークのMTU(Maximum Transmission Unit)やPath MTUを考慮することが重要です。QPACKヘッダブロックはQUICのストリームフレーム内にカプセル化されるため、大きすぎるヘッダブロックはUDPデータグラムのフラグメンテーションを引き起こし、パフォーマンスの低下やパケットロスを招く可能性があります。適切なPath MTU Discoveryメカニズムを実装し、UDPデータグラムサイズを最適化する必要があります。</p></li>
<li><p><strong>HOL Blocking回避の確認</strong>: QPACKの最大の設計目標の一つはHOLブロッキングの回避です。実装者は、動的テーブルの更新とヘッダブロックのデコードが、互いにブロックし合わないことを厳密にテストする必要があります。<code>Required Insert Count</code>の正確な計算と適用、そしてデコーダが更新を待つメカニズムが正しく機能しているかを確認することが不可欠です。</p></li>
<li><p><strong>動的テーブル管理</strong>:</p>
<ul>
<li><p><strong>メモリ管理</strong>: 動的テーブルは、エンコーダとデコーダの両方でメモリを消費します。テーブルの最大容量を適切に設定し、超過した場合にはLeast Recently Used (LRU) などのポリシーに基づいてエントリを削除するメカニズムを実装する必要があります。</p></li>
<li><p><strong>エントリの有効期限</strong>: デコーダがエンコーダーストリームからの更新を処理する前に、ヘッダブロックが到着する可能性があるため、デコーダは「未確認の」挿入を管理し、それらが完了した際にヘッダブロックのデコードを継続できるようにする必要があります。</p></li>
</ul></li>
<li><p><strong>ストリームID管理</strong>: QPACKはエンコーダーストリームとデコーダーストリームという2つの専用ストリームを利用します。これらのストリームはQUIC接続内でユニークなIDを持つため、正しく管理し、他のデータストリームと混同しないようにする必要があります。</p></li>
<li><p><strong>QPACKエンコーダ/デコーダライブラリ</strong>: ゼロからQPACKを実装するのは複雑であるため、既存の安定したライブラリ(例: nghttp2のQPACK実装、quic-goのQPACK実装など)を利用することが推奨されます。</p></li>
<li><p><strong>優先度制御</strong>: QUICはストリームレベルでの優先度制御をサポートしています。QPACKヘッダブロックを送信するHTTPストリームの優先度を適切に設定することで、重要なリソースのヘッダ情報がより早く処理されるように制御できます。エンコーダーストリームやデコーダーストリーム自体も、その重要度に応じて適切な優先度を持つべきです。</p></li>
</ul>
<h2 class="wp-block-heading">まとめ</h2>
<p>HTTP/3のQPACKヘッダ圧縮メカニズム(RFC 9204)は、HTTP/2のHPACK(RFC 7541)の成功を引き継ぎつつ、基盤となるトランスポートプロトコルがTCPからQUIC(RFC 9000)に変わったことに合わせて進化しました。QPACKの核心は、静的テーブルと動的テーブルによる高い圧縮効率を維持しながら、専用のエンコーダーストリームとデコーダーストリームを用いて動的テーブルの更新と確認応答を分離し、HTTP/2で問題となっていたヘッダ圧縮に起因するHOLブロッキングを回避する点にあります。</p>
<p><code>Required Insert Count</code>の導入により、デコーダは自身の動的テーブルが適切に同期されるまで個々のヘッダブロックの処理を一時停止できますが、これは他のストリームの処理を妨げません。これにより、HTTP/3はQUICの多重化ストリームの利点を最大限に活かし、低遅延で効率的なWeb通信を実現しています。セキュリティ面では、動的テーブルの汚染や情報漏洩のリスクに対して、適切な実装と運用が求められます。</p>
本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト(未検証)です。
HTTP/3 QPACKヘッダ圧縮の仕組み
背景
HTTP/1.1では、リクエストごとに全てのヘッダがテキスト形式で送信され、冗長性が問題となっていました。HTTP/2では、この問題を解決するためにHPACK(RFC 7541)というヘッダ圧縮方式が導入されました。HPACKは静的テーブルと動的テーブルを用いてヘッダフィールドをインデックス参照したり、差分符号化したりすることで効率的な圧縮を実現しました。しかし、HTTP/2はTCP上で動作するため、HPACKの動的テーブルが単一のTCP接続に紐づく構造上、ヘッダ圧縮処理が原因でHead-of-Line(HOL)ブロッキングが発生する可能性がありました。
HTTP/3は、トランスポート層としてQUIC(RFC 9000)を採用することで、TCPにおけるHOLブロッキングの問題を解決しました。QUICは多重化された独立したストリームをサポートするため、HTTP/2のヘッダ圧縮方式であるHPACKは、その設計がQUICのストリームモデルと相性が悪く、新たなヘッダ圧縮方式が必要となりました。これがQPACK(RFC 9204)が開発された背景です。
設計目標
QPACK(RFC 9204)は、HTTP/3におけるヘッダ圧縮の設計目標として、以下の点を掲げています。
高い圧縮効率の維持: HPACKと同様に、共通のヘッダフィールドを静的・動的テーブルで参照することで、送信バイト数を削減する。
HOLブロッキングの回避: QUICの多重化ストリームの利点を活かし、ヘッダブロックの処理によってアプリケーション層でのHOLブロッキングが発生しないようにする。具体的には、あるストリームのヘッダブロックが、別のストリームの動的テーブル更新の完了を待つことによってブロックされる状況を回避する。
ストリームごとの独立性: 異なるHTTPストリーム間で、ヘッダ圧縮の状態が完全に同期されるのを待つ必要なく、並行して処理できるようにする。
セキュリティの強化: 動的テーブルの同期における潜在的なセキュリティリスク(例: テーブル汚染)を軽減する。
詳細
QPACKは、RFC 9204で定義されるHTTP/3のヘッダ圧縮メカニズムです。HPACKの基本概念(静的テーブル、動的テーブル、インデックス参照、リテラル表現)を継承しつつ、QUICの多重化ストリーム環境に合わせて設計されています。
QPACKの基本的な仕組み
QPACKは以下の要素で構成されます。
静的テーブル (Static Table):
- HTTP/2のHPACK静的テーブルを基にしており、よく使われるヘッダフィールド(例:
:method: GET, content-type: application/json)と値の組み合わせが事前に定義されたインデックスとして利用されます。RFC 9204で定義されており、全てのQPACKエンコーダ/デコーダで共通です。
動的テーブル (Dynamic Table):
- セッション中に新たに出現するヘッダフィールドや値の組み合わせを学習し、動的に追加していくテーブルです。エンコーダとデコーダの両方がこのテーブルのコピーを持ち、同期させます。QPACKでは、動的テーブルの更新とヘッダブロックの送信を分離することで、HOLブロッキングを回避します。
ヘッダブロックの表現:
Indexed Field Line: 静的テーブルまたは動的テーブルに存在するエントリをインデックスで参照する形式です。
Literal Field Line: テーブルに存在しないヘッダフィールドをそのまま文字列として送信する形式です。
Literal Field Line with Post-Base Indexing: リテラルとして送信しつつ、そのヘッダフィールドを動的テーブルに追加するためのヒントを含める形式です。
専用のストリーム:
ヘッダブロックの構造
QPACKヘッダブロックは、まず「QPACKヘッダブロックプレフィックス」が先行し、その後に圧縮されたヘッダフィールドのリストが続きます。
QPACK Header Block Prefix:
Required Insert Count: variable-length integer (N bits, usually 8)
Sign: 1 bit (0 for positive, 1 for negative base)
Delta Base: variable-length integer (N bits, usually 8)
(followed by compressed header field representations)
Required Insert Count (RIC): このヘッダブロックをデコードするために必要な、動的テーブルへの挿入操作の最小回数を示します。デコーダは、この回数分以上の挿入が完了している場合にのみ、ヘッダブロックをデコードできます。
Sign & Delta Base: ヘッダブロック内で動的テーブルの相対インデックスを参照する際の基準(ベース)を示します。これにより、デコーダは特定の時点の動的テーブルの状態を基準にインデックスを解釈できます。
ヘッダフィールドの表現形式
QPACKは以下の主要な表現形式をサポートします。
// Indexed Field Line (完全なインデックス参照)
Encoded Representation:
1-bit (1) + Indexed Field Line Prefix (7 bits)
Index: variable-length integer
// Literal Field Line with Name Reference (名前のみインデックス参照)
Encoded Representation:
1-bit (0) + 1-bit (1) + Name Index Prefix (6 bits)
Name Index: variable-length integer (Static or Dynamic)
Value Length: variable-length integer
Value: (huffman-encoded or raw)
// Literal Field Line (名前も値もリテラル)
Encoded Representation:
1-bit (0) + 1-bit (0) + 1-bit (1) + Literal Prefix (5 bits)
Name Length: variable-length integer
Name: (huffman-encoded or raw)
Value Length: variable-length integer
Value: (huffman-encoded or raw)
// Literal Field Line with Post-Base Indexing (動的テーブルに追加するためのヒント)
// (これらは特定のビットパターンで識別され、上記のバリアントにさらにフラグが立つ)
これらの表現は、リクエスト/レスポンスストリーム上でヘッダブロックの一部として送信されます。
動的テーブルの同期とHOLブロッキング回避
QPACKの最も重要な特徴は、動的テーブルの同期方法とHOLブロッキングの回避メカニズムです。
エンコーダによる動的テーブル更新:
エンコーダは新しいヘッダフィールドを動的テーブルに追加する際、その更新指示を「エンコーダーストリーム」を通じてデコーダに送信します。
sequenceDiagram
participant "Client as エンコーダ (Client)"
participant "Server as デコーダ (Server)"
Client ->> +Server: (QUIC接続確立, 0-RTT/1-RTT)
Note over Client: 動的テーブルに新規エントリを追加
Client ->> Server: エンコーダーストリーム: INSERT_WITH_NAME_REF (新規ヘッダ情報)
Note over Client: ヘッダブロックをエンコード (Required Insert Count: X)
Client ->> Server: リクエストストリーム(ID:1): HEADERSフレーム (QPACKプレフィックス, 圧縮ヘッダ)
Note over Server: HEADERSフレーム受信, Required Insert Countをチェック
Server -->> Server: 動的テーブルの更新を待機 (X回挿入完了まで)
Server ->> Server: エンコーダーストリーム: INSERT_WITH_NAME_REFを受信, 動的テーブルを更新
Note over Server: Required Insert Count Xを達成, HEADERSフレームをデコード
Server ->> +Client: デコーダーストリーム: STREAM_CANCELLATION/TABLE_ACK (ストリームID:1, 挿入数:Y)
Note over Client: ACKを受信し、デコーダの状態を追跡
Note over Client: 別のストリームで新しいヘッダをエンコード
Client ->> Server: エンコーダーストリーム: INSERT_WITHOUT_NAME_REF (別の新規ヘッダ)
Client ->> Server: リクエストストリーム(ID:2): HEADERSフレーム (QPACKプレフィックス, 圧縮ヘッダ)
Note over Server: ID:2のHEADERSフレームを、ID:1とは独立してデコード可能
Required Insert Count (RIC) とデコード:
エンコーダは、ヘッダブロックを送信する際に、そのブロックがデコードされるまでにデコーダが認識しておくべき動的テーブルへの挿入操作の回数をRequired Insert Countとしてプレフィックスに含めます。デコーダは、このRICが示す回数分の挿入が完了するまで、該当のヘッダブロックのデコードを遅延させることができます。
デコーダによる確認応答:
デコーダは、エンコーダーストリーム経由で受け取った動的テーブルの更新を処理し終えたら、その旨を「デコーダーストリーム」を通じてエンコーダにSTREAM_CANCELLATIONまたはTABLE_ACKフレームで通知します。これにより、エンコーダはデコーダがどの動的テーブルの状態を認識しているかを追跡できます。
HOLブロッキングの回避:
QPACKでは、エンコーダはデコーダからのACKを待たずに、新しい動的テーブルエントリを使ってヘッダブロックをエンコードし、送信することができます。デコーダは、Required Insert Countによって、必要な動的テーブルの状態が整うまでヘッダブロックの処理を一時停止しますが、これは個々のストリームレベルでの一時停止であり、他のストリームの処理をブロックしません。HTTP/2のHPACKで発生しうる、TCP層でのHOLブロッキングに起因するヘッダ圧縮のHOLブロッキングは、QUICのマルチプレックスとQPACKの設計により回避されます。
QPACKのアーキテクチャ概要
flowchart TD
A[HTTP Header Block Input] --> B{Lookup Static Table?}
B -- Yes --> C[Indexed Static Field Line]
B -- No --> D{Lookup Dynamic Table?}
D -- Yes --> E[Indexed Dynamic Field Line]
D -- No --> F{New Field/Value?}
F -- Yes --> G[Generate INSERT Instruction]
G --> H[Send INSERT on Encoder Stream]
F -- No --> I[Generate Literal Field Line]
G --> J[Select Field Line Representation]
I --> J
C --> J
E --> J
J --> K[Attach QPACK Prefix (RIC, Base)]
K --> L[Send Header Block on Request/Response Stream]
既存プロトコルとの比較 (HTTP/2 HPACK vs HTTP/3 QPACK)
QPACKはHTTP/2のHPACKから多くの概念を受け継いでいますが、HTTP/3とQUICの特性に合わせていくつかの重要な違いがあります。
トランスポート層:
動的テーブルの同期:
HOLブロッキング:
HPACK: TCPのHOLブロッキングと、単一の動的テーブル状態が全てのHTTPストリームで共有されるため、あるストリームのヘッダ圧縮処理が別のストリームの処理をブロックする可能性があった(Header Compression HOL Blocking)。
QPACK: QUICのストリーム多重化によりトランスポート層のHOLブロッキングは回避。QPACKは、Required Insert Countを用いることで、アプリケーション層でのヘッダ圧縮に起因するHOLブロッキングも回避する。個々のストリームは、必要な動的テーブル状態が揃うまで自身の処理を一時停止するが、他のストリームには影響しない。
0-RTTハンドシェイク:
セキュリティ考慮
QPACKはヘッダ圧縮プロトコルであるため、いくつかのセキュリティ上の考慮事項があります(RFC 9204のSection 7を参照)。
リプレイ攻撃と0-RTT: QUIC (RFC 9000) とTLS 1.3 (RFC 8446) は、リプレイ攻撃に対する保護を提供します。QPACKはQUIC上で動作するため、0-RTTデータ送信時に動的テーブルが完全に同期されていない可能性がある点を考慮し、安全な運用が求められます。特に、0-RTT接続では過去の動的テーブル状態が復元されるため、その状態が最新でないことによる情報の不整合や攻撃の可能性を最小限にする必要があります。
ダウングレード攻撃: HTTP/3プロトコル自体が、以前のHTTPバージョンへのダウングレード攻撃に対して堅牢である必要があります。QPACKの文脈では、ヘッダ圧縮の効率を意図的に低下させたり、古い脆弱なメカニズムに戻させたりする試みに対して、プロトコル選択メカニズムが適切に機能する必要があります。
キー更新: QPACK自体は暗号化を行わないため、キー更新の直接的な考慮事項はありません。しかし、基盤となるQUICとTLS 1.3は、定期的なキー更新を通じて、長期的な接続におけるセキュリティを維持します。
動的テーブルの汚染: 悪意のあるエンコーダが、デコーダの動的テーブルに大量の無駄なエントリや悪用される可能性のあるエントリを挿入し、メモリを消費させたり、特定のヘッダフィールドを隠蔽したりする「テーブル汚染」のリスクがあります。QPACKでは、デコーダが動的テーブルの容量を制御し、不要なエントリを削除するメカニズムを提供することで、このリスクを軽減します。
情報漏洩(圧縮率): ヘッダの圧縮率から、内部情報や秘密の値が推測されるサイドチャネル攻撃のリスクがあります。例えば、特定のCookieや認証ヘッダが常に同じインデックスで参照される場合、その存在や頻度が外部から推測される可能性があります。QPACKは、HPACKと同様にこのリスクを抱えています。
メモリ枯渇攻撃: 悪意のあるピアが、動的テーブルを最大容量まで膨張させることで、デコーダ側のメモリを枯渇させる可能性があります。デコーダはテーブルの最大容量を制限し、古いエントリを積極的に削除するなどの対策を講じる必要があります。
実装メモ
QPACKの実装には、QUICの特性を理解した上で、いくつかの重要な考慮事項があります。
MTU/Path MTU Discovery: QUICはUDP上で動作するため、基盤となるネットワークのMTU(Maximum Transmission Unit)やPath MTUを考慮することが重要です。QPACKヘッダブロックはQUICのストリームフレーム内にカプセル化されるため、大きすぎるヘッダブロックはUDPデータグラムのフラグメンテーションを引き起こし、パフォーマンスの低下やパケットロスを招く可能性があります。適切なPath MTU Discoveryメカニズムを実装し、UDPデータグラムサイズを最適化する必要があります。
HOL Blocking回避の確認: QPACKの最大の設計目標の一つはHOLブロッキングの回避です。実装者は、動的テーブルの更新とヘッダブロックのデコードが、互いにブロックし合わないことを厳密にテストする必要があります。Required Insert Countの正確な計算と適用、そしてデコーダが更新を待つメカニズムが正しく機能しているかを確認することが不可欠です。
動的テーブル管理:
メモリ管理: 動的テーブルは、エンコーダとデコーダの両方でメモリを消費します。テーブルの最大容量を適切に設定し、超過した場合にはLeast Recently Used (LRU) などのポリシーに基づいてエントリを削除するメカニズムを実装する必要があります。
エントリの有効期限: デコーダがエンコーダーストリームからの更新を処理する前に、ヘッダブロックが到着する可能性があるため、デコーダは「未確認の」挿入を管理し、それらが完了した際にヘッダブロックのデコードを継続できるようにする必要があります。
ストリームID管理: QPACKはエンコーダーストリームとデコーダーストリームという2つの専用ストリームを利用します。これらのストリームはQUIC接続内でユニークなIDを持つため、正しく管理し、他のデータストリームと混同しないようにする必要があります。
QPACKエンコーダ/デコーダライブラリ: ゼロからQPACKを実装するのは複雑であるため、既存の安定したライブラリ(例: nghttp2のQPACK実装、quic-goのQPACK実装など)を利用することが推奨されます。
優先度制御: QUICはストリームレベルでの優先度制御をサポートしています。QPACKヘッダブロックを送信するHTTPストリームの優先度を適切に設定することで、重要なリソースのヘッダ情報がより早く処理されるように制御できます。エンコーダーストリームやデコーダーストリーム自体も、その重要度に応じて適切な優先度を持つべきです。
まとめ
HTTP/3のQPACKヘッダ圧縮メカニズム(RFC 9204)は、HTTP/2のHPACK(RFC 7541)の成功を引き継ぎつつ、基盤となるトランスポートプロトコルがTCPからQUIC(RFC 9000)に変わったことに合わせて進化しました。QPACKの核心は、静的テーブルと動的テーブルによる高い圧縮効率を維持しながら、専用のエンコーダーストリームとデコーダーストリームを用いて動的テーブルの更新と確認応答を分離し、HTTP/2で問題となっていたヘッダ圧縮に起因するHOLブロッキングを回避する点にあります。
Required Insert Countの導入により、デコーダは自身の動的テーブルが適切に同期されるまで個々のヘッダブロックの処理を一時停止できますが、これは他のストリームの処理を妨げません。これにより、HTTP/3はQUICの多重化ストリームの利点を最大限に活かし、低遅延で効率的なWeb通信を実現しています。セキュリティ面では、動的テーブルの汚染や情報漏洩のリスクに対して、適切な実装と運用が求められます。
コメント