QUIC不加密(draft-banks-quic-disable-encryption-00)

最新推荐文章于 2023-03-18 15:15:00 发布
最新推荐文章于 2023-03-18 15:15:00 发布
阅读量1k 收藏 2
点赞数 2
分类专栏: quic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aashuii/article/details/110878332
版权

简介

关闭1RTT加密(disable_1rtt_encryption)传输参数可以用来协商关闭1-RTT数据包的加密,从而降低CPU负载、提高性能。此扩展仅可用于两端完全信任相连链路的环境;不可以用在开放网络中。

介绍

默认情况下QUIC协议通过TLS握手提供安全(认证和加密)连接。此握手允许端点通过证书认证,然后安全地产生共享秘钥来加密QUIC流量。握手完成后,数据加密会占用可观的CPU,具体根据方案确定。另外,有些方案中这个加密提供的保护是非必要或者不想要的。对这些方案来说,本文定义了QUIC协议的扩展,参与的端点相互协商移除握手后发送的1-RTT数据包加密。

应用场景

QUIC连接通常总是加密的,防止未认证的中间件读取和篡改QUIC数据包。大多数环境下这都是期望的行为,尤其经过开放网络。这里有移除加密有意义的两种场景:
 信任的环境或路径—有的方案或者环境不需要QUIC加密的额外安全措施,像内网或者隧道化连接。这些场景已经信任或者通过其他方式加密了。
 性能测试—当QUIC 包内容不重要,并且目的纯粹是测量网络、设备或者QUIC非加密实现的性能。

安全考虑

因为AEAD标签与加密一起移除了,包破坏就必须依赖于UDP校验和。

移除1-RTT包加密有一些明显的安全缺陷:
任何中间人都可以读取、修改和注入数据包

此扩展不是用于开放网络上的应用协议。面向公网的服务器禁止使能该扩展。不信任其网络的客户端禁止使能该扩展。
此扩展不修改握手期间的包保护,所以握手仍然可以安全认证。这防止了一端可能信任路径,但另一端不信任,中间人想要强制使用该扩展。

Lucas quic

https://github.com/lucas-clemente/quic-go/issues/2868,主要作者坚决反对合入该功能,理由是1)这是一篇个人草案,不符合QUIC的初衷,工作组不会采纳;2)公网的范围无法确定,云计算和多租户环境中没有安全域;3)没有看到加密成本高的无法忍受的案例。

安全分析

草案中使用UDP校验和防篡改,但UDP校验和主要是用来防止UDP传输出错,而不是用来防篡改的(算法是公开的,中间人可以修改后重新计算校验和),且在有其他手段加密的情况下(如应用自己加密),QUIC报文中会暴露过多的内容,比如streamid等,其他控制报文全明文(比如ACK、流控、迁移等),会被中间人监听到或者伪造报文攻击。

aashuii
关注
专栏目录
QUIC协议学习记录
this_CAPSLOCK 的专栏
12-18 5933
QUIC(Quick UDP Internet Connections,快速UDP互联网连接)是Google提出的一种基于UDP改进的通信协议,其目的是降低网络通信的延迟,提供更好的用户互动体验。     QUIC的主要特点包括:具有SPDY(SPDY是谷歌研制的提升HTTP速度的协议,是HTTP/2.0的基础)所有的优点;0-RTT连接;减少丢包;前向纠错,减少重传时延;自适应拥塞控制, 减少
QUIC协议的应用场景和优势
最新发布
ws192786的博客
02-04 747
QUICQuick UDP Internet Connections)是一种基于用户数据报协议(UDP)的传输层协议,旨在提供比传统的传输层协议(如TCP)更快的连接速度和更好的性能。移动应用程序对低延迟和高性能的需求很高,QUIC协议通过减少握手时间和降低连接建立的成本,使移动应用程序更加响应迅速。总的来说,QUIC协议在提高网络性能、降低延迟、提供安全性和适应移动环境等方面具有显著的优势,因此在各种应用场景中都得到了广泛的应用。这提高了连接的利用率,减少了连接建立和维护的开销,从而提高了整体性能。
如何解密QUIC协议
村中少年的专栏
11-21 3969
如何解密QUIC协议
QUIC 加密解密新问题
Netfilter
03-18 1万+
那么 QUIC 能否不加密呢?为了防设备偷窥,这是 TCP 的教训,正是因为转发设备偷窥了 TCP 的行为,对 TCP 做出来各种假设,才使 TCP 没法升级,连一个 reserved bit 都不敢用,不能用,悲哀。比如要做 UDP GSO,就要将加密套件也部署到底层,甚至硬件,为了减少内存拷贝,一次性要下来尽可能多的数据,packetization 的事交给 Hardware,可需要把加密信息也一同告知啊,这非常麻烦。本来加密的事是应用层问题,这下把这么大一坨东西放到底层。关于 QUIC,有一个问题。
QUIC 加密协议规范中文版
07-23
QUIC 是一种新型的高效的安全的网络协议。这份文档是 QUIC加密协议的规范中文版翻译。
draft-huitema-quic-ts-07
11-03
draft-huitema-quic-ts-07】文档描述了一种用于QUIC协议的单向时延测量草案,旨在通过 TIMESTAMP 帧提供更精确的网络延迟信息,以优化丢包检测和拥塞控制策略。QUIC(Quick UDP Internet Connections)是一种在UDP...
draft-ietf-quic-multipath-02
11-03
draft-ietf-quic-multipath-02】文档描述的是多路QUIC(Multipath QUIC,简称MPQUIC)的IETF草案,旨在扩展QUIC协议,使其能够在单个连接上同时利用多条网络路径。QUIC是一种低延迟、高性能的传输层协议,最初设计...
quic-go:纯粹的QUIC实现
02-04
由于quic-go正在积极开发中,因此不能保证两个不同提交的构建版本可以互操作。 master分支中使用的QUIC版本只是一个占位符,不应视为稳定版本。 将quic-go用作库时,请始终使用带 。 仅这些发行版使用正式的草稿...
quic-tracker:QUIC的测试套件
05-24
go get -u github.com/QUIC-Tracker/quic-tracker # This will fail because of the missing dependencies that should be build using the 4 lines below cd $GOPATH/src/github.com/mpiraux/pigotls make cd $...
Quic.NET:QUIC协议的.NET C#实现-Google的实验性传输层
05-08
该实现与quic-transport草案的第32版保持一致,并且尚未提供以下相关草案的实现: quic-tls 快速恢复 开始吧 最少的工作实例 预习 服务器 using System ; using System . Text ; using QuicNet ; using ...
QUIC协议是如何做到0RTT加密传输的(addons)
热门推荐
Netfilter
07-06 3万+
QUIC作为HTTP2.0形成草案,提上日程以来最重要的(我认为是最重要的,如果你非要说TCP,就当我什么都没说)传输协议,它有很多可以快速秒掉TCP的特质,本文来介绍其中一个,即0RTT。 首先解释一下什么是0RTT。 所谓的0RTT就是,通信双方发起通信连接时,第一个数据包便可以携带有效的业务数据。而我们知道,这个使用传统的TCP是完全不可能的,除非你使能了TCP Fast Open特...
Quic浅析
啊浪的博客
06-14 2万+
简介 QUICQuick UDP Internet Connections)基于UDP的传输层协议,提供像TCP一样的可靠性。在提高web应用性能上,可以选择在应用层使用HTTP2.0实现多路传输,在物理层使用CDN解决网络拥塞和最后一公里问题。在传输层,目前主要使用TCP,但由于TCP本身的问题(一个充满补丁的丑陋的协议),成为了限制web应用性能的一个瓶颈。 优势 避免前序包阻...
Quic 客户端加密握手写流程及 QUIC packet 的构造过程
chuanglan的专栏
02-02 2094
先来看 2:WriteOrBufferData() 该函数在三种情况下无动作,即 非 fin 包,但是待发数据为空 fin 包已经缓存了,说明理论上不再有数据需要发送了 写端已经关闭 从名字可以看出,该函数要么写数据要么缓存数据。 实际上是先将待发数据缓存到 stream 对象的 send_buffer 中,然后再发送。 这里用到了宏 GetQuicReloadableFlag(flag),它又用到了另一个宏 RELOADABLE(flag): GetQuicReloadableFlag(flag) .
Quic协议介绍和浅析
jeffrey11223的博客
11-24 8841
Quic协议介绍和浅析 一,Quic全称是什么? QUIC 全称 Quick UDP Internet Connection, 是Google制定的一种基于 UDP 协议的低时延互联网应用层协议。 二,Quic的优势和应用场景 1,为什么需要Quic: 近三十年来,tcp协议发展得非常缓慢 很多网络中间层,比如防火墙、网关等,都强依赖于tcp指定的各类规则,所以tcp的修改很容易由于这些中间环节...
揭开“QUIC”的神秘面纱
HarmonyOS SDK闭源开放能力技术团队
01-04 3441
作者:赵咏 QUIC的发音类似于Quick,实际上也确实很快。它可以很好地解决应用在传输层和应用层面临的各种需求,包括处理更多的连接、安全性以及低延迟。 目前在互联网领域,QUIC可以说刮起了新一代互联网传输协议的风。对开发者而言,了解QUIC更是有助于时延敏感性应用以及音视频、购物支付等应用场景的体验提升。 1 QUIC拥有两大优势 * 0RTT,建立低延迟传输 传统的TLS协议,需要经过两级握手实现用户数据的传输。第一级包括TCP的三次握手,至少需要一个来回;第二级是TLS协议的握手,通过Cl
QUIC加密协议
tq08g2z的专栏
08-17 5130
QUIC加密协议是QUIC的一部分,它为连接提供了传输安全性。QUIC加密协议是注定要消亡的。未来它将由TLS 1.3替代,但在TLS 1.3 最终启用之前QUIC需要一个加密协议。 借助于当前的QUIC加密协议,当客户端已经缓存了关于服务器的信息时,它可以无需往返就建立一个加密的连接。TLS,相反地,至少需要两次往返(算上TCP的3次握手)。
HTTP/3系列-QUIC包头保护
c359719435的专栏
12-05 3183
包头保护是QUIC(RFC9000)的一个特性,说白了就是对每个包的包头所有bits,加密能加尽加,注意是能加尽加,不是所有bits都加密。这一点跟google quic(下文简称GQUIC)是不同的,GQUIC的包头是不加密的。本文将结合RFC和chromium中具体实现代码,详细解答以下三个问题: 1、为什么要做包头保护? 2、怎么做包头保护? 3、发送端第一个Initial Packet加密,此时还未协商密钥,接收端怎么解密?
详解 gQUIC 加密握手算法(quic-crypto)中共享密钥的生成过程
chuanglan的专栏
12-17 8127
1、基本概要 QUIC 传输的数据几乎都是要加密的,关于加密算法这里不做介绍,加密必然需要用到密钥; QUIC 中的加密密钥有两个 initial key 和 forword-secure key。前者用于实现 0-RTT 的握手,后者则用于握手成功以后整个会话的数据加密QUIC 的密钥使用 Diffe-Hellman 算法生成; 2、解析 Diffe-Hellman 算法的密钥生成过...
QUIC-pro:优化网络传输,提升用户体验
"QUIC-pro项目旨在通过改进IETF的RFC-9000 QUIC标准协议,提升网络传输效率和用户体验,特别是在5G和移动互联网环境下。该项目关注于解决基于TCP的HTTP协议在传输多媒体内容时存在的延迟和卡顿问题,以适应日益增长...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值