DTLS协议中client/server的认证过程和密钥协商过程

最新推荐文章于 2024-06-12 17:47:01 发布
最新推荐文章于 2024-06-12 17:47:01 发布
阅读量1.9w 收藏 41
点赞数 4
分类专栏: 网络协议 文章标签: DTLS udp SSLTLS 网络安全协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengkunlun_hit/article/details/52177227
版权

1.DTLS介绍

1.1 DTLS的作用

互联网先驱们最开始在设计互联网协议时主要考虑的是可用性,安全性是没有考虑在其中的,所以传输层的TCP、UDP协议本身都不具备安全性。SSL/TLS协议是基于TCP socket,在传输层和应用层之间构建了一个端到端的安全通道,保证了传输数据的加密性。

但是SSL/TLS协议并不能用于UDP协议,而UDP也有安全传输的需求,于是产生了DTLS协议(Datagram TLS)。

即DTLS的作用为给UDP提供端到端的安全通道,就像SSL/TLS对TCP的作用一样。并且DTLS尽可能参考了SSL/TLS协议的安全机制,在具体实现上复用了70%的TLS代码。


1.2 DTLS的特点

UDP协议是不面向连接的不可靠协议,且没有对传输的报文段进行加密,不能保证通信双方的身份认证、消息传输过程中的按序接收、不丢失和加密传送。

DTLS协议在UDP提供的socket之上实现了客户机与服务器双方的握手连接,并且在握手过程中通过使用PSKECC实现了加密,并且利用cookie验证机制和证书实现了通信双方的身份认证,并且用在报文段头部加上序号,缓存乱序到达的报文段和重传机制实现了可靠传送。

在握手完成后,通信双方就可以实现应用数据的安全加密和可靠传输。


1.3 DTLS协议层次

DLTS协议分为两层,下层为记录层(记录层),record包的内容分为头部和载荷两部分。记录包的载荷即为上层的内容。DTLS上层的包的类型分为三种,分别是握手消息,警告消息,应用数据;如图一所示。

                                                                                

                                                                  图一.DTLS协议的层次

在整个DTLS协议的通信过程中,通信双方构造报文段的过程都是先产生上层的载荷消息(如握手消息,应用数据,警告消息),然后添加头部,构成完整的上层消息。接着再以此作为记录层的载荷,最后添加记录层的头部,构成完整的记录报文段,最后调用UDPsocket接口,发送给另一方。

加密过程是只对记录层的载荷(即上层消息,此协议中被加密的消息是finished消息和应用数据两种)进行加密,所以接收方在收到记录消息后,首先要做的也是判断记录消息是否被发送方加密,若是,则应先解密才能读取出明文数据以进行后面的处理。

2.DTLS

最低0.47元/天 解锁文章
一文详解 DTLS 协议:安全传输的协议基石
bjxiaxueliang的CODING茶馆
03-27 2881
DTLS (Datagram Transport Layer Security)数据包安全传输协议,用于在不可靠的数据包传输协议上 (如UDP)提供数据的安全传输,DTLS1.2版本由 RFC6347 定义。 DTLS为TLS协议的一个变体,因TLS不能用来保证UDP上传输的数据的安全性,Datagram TLS试图在现存的TLS协议架构上提出扩展,成为TLS的一个支持数据包传输的版本。DTLS常用于保护实时通信 (如VoIP视频会议) 以及IoT设备通信的信息安全。
DTLS详解
fdsafwagdagadg6576的专栏
10-24 4796
DTLS协议层次:可分为两层:handshake layer--record layer--udp handshake layer:第二 层:为高层协议提供数据封装、压缩、加密等基本功能的支持。 Record Layer:第一层: 为每条信息提供一个header在尾部生成一个从Message Authentication Code (MAC) 得到的hash值,其中header由5 bytes组成,分别是:协议说明(1bytes),协议版本(2bytes),长度(2bytes) 跟在heade...
物联网场景下-DTLS证书模式交互流程分析
WangYouJin321的博客
05-18 1765
\报文交互流程图:1.      客户端发送client_hello报文,其cookie字段的值为空,报文段的内容除cookie外,还有客户机产生的32字节的随机数,其中前4字节为时间戳,后28字节为系统产生的随机数。此外,该报文段的内容还有客户机支持的加密方式(PSK或者ECC)压缩方式,供服务器进行选择。2.      服务受到cookie报文后,回应hello_verify_request...
dtls到srtp的整个流程
qq_27031005的博客
12-17 1285
1、SSL_CTX_new创建上下文 2、SSL_CTX_set_security_level设置加密等级 3、SSL_CTX_use_certificate配置证书上下文到ssl上下文 4、SSL_CTX_use_PrivateKey配置公钥给ssl 5、d2i_X509转换字符串到x509证书句柄,可向ssl的证书store中添加该证书调用X509_STORE_add_cert实现,SSL_CTX_get_cert_store支持从ssl_ctx获取句柄 6、SSL_CTX_set_verify设置需要
WebRTC之DTLS技术解析
Lce的专栏
07-31 657
在媒体通道中WebRTC使用SRTP来进行数据的加解密,DTLS的作用仅仅是用来做密钥交换,RTP/RTCP的数据为了与历史设备兼容性的考虑,完全通过SRTP来实现。下图为WebRTC媒体通过建立过程的简单描述,可以看出DTLS在整个协商过程中与其他流程的时序关系。在Datachannel数据通道中,WebRTC完全使用DTLS来进行协商加解密。MediaChannel媒体通道。Datachannel数据通道。WebRTC中DTLS参数。...
网络协议文档阅读笔记-Introduction to DTLS(Datagram Transport Layer Security)
IT1995的博客
06-08 842
在互联网中安全的数据传输是至关重要的。很多敏感数据都通过互联网交互数据如金融交易数据,医药数据,媒体流数据等。SSL/TLSIPSec就是为了确保互联网中传输数据的安全而创建的。许多网站使用的是SSL/TLS。DTLS也是传输层的的一个安全协议。 What is DTLS DTLS是传输层协议,用于加密传输的数据,是基于UDP的。DTLS与TLS很相似,在RFC4347RFC6347中有定义。 Why DTLS SSL/TLS在TCP协议上的加密协议,TCP他是安全可靠不会丢失数据的..
java dtls server_DTLS协议(基于UDP)中client/server认证过程密钥协商过程
weixin_39552204的博客
02-13 708
我的总结:DTLS的握手就是协商出一个对称加密的秘钥(每个客户端的秘钥都会不一样),之后的通信就要这个秘钥进行加密通信。协商过程要么使用非对称加密算法进行签名校验身份,要么通过客户端服务器各自存对方信息进行对比校验身份。1.DTLS介绍1.1 DTLS的作用互联网先驱们最开始在设计互联网协议时主要考虑的是可用性,安全性是没有考虑在其中的,所以传输层的TCP、UDP协议本身都不具备安全性。SSL...
DTLS数据包传输层安全性协议详解
热门推荐
dvlinker的技术专栏
08-24 1万+
DTLS数据包传输层安全性协议详解
mediasoup 源码分析(二十五)dtls握手协议(二)
lcalqf的专栏
01-25 843
目录 DTLS 协议介绍 DTLS交互过程 抓包 基于mediasoup 分析dtls ssl 中的BIO 处理收到的DTLS数据,得到私钥 基于获得的私钥key创建srtp DTLS 协议介绍 DTLS(Datagram Transport Layer Security)数据包传输层安全协议。TLS不能保证UDP传输的安全性,DTLS在TLS基础上进行扩展,使之支持UDP。 补充第十九篇dtls 握手,十九篇见下面链接。 https://blog.csdn.net/lcalqf.
DTLS安全协议
weixin_41230430的博客
04-08 170
https://www.jiamisoft.com/blog/29477-dtls.html
CoAP协议 DTLS加密
08-28
CoAP协议 DTLS加密\CoAP 协议 RFC7252 的第9章 Securing CoAP
Java实现DTLS之技术背景&原理(一)
weixin_36808034的博客
08-14 1036
本文件规定了数据报传输层安全(DTLS协议的1.2版。DTLS协议为数据报协议提供通信隐私。该协议允许客户机/服务器应用程序以防止窃听、篡改或消息伪造的方式进行通信。
DTLS协议详解
qq_43559669的博客
12-22 2073
晚上写
DTLS协议 RFC4347翻译(未完成版)
godfather00的专栏
10-04 2090
1/介绍 tls是网络安全中最广泛使用的协议。它通常用来保护好web traffice邮箱协议例如imappop。tls主要的优势在于它提供了一个透明的面向连接的通道。因此,它可以很容易的加密一个应用层协议通过在应用层与传输层中插入tls。然而TLS必须运行在可靠的传输通道上,例如TCP。它因此不能用于加密不可靠的数据报文传输。 然后,在已经过去的几年里,越来越多的应用层协议被设计成使用U
16 DTLS协议
weixin_45842249的博客
06-12 1022
非对称加密就是公钥上的锁,私钥才能打开,私钥上的锁公钥才能打开。比如说就是地下党接头的时候,把一个信息放在盒子里,然后这个盒子只有我能打开,这个盒子谁都可以放信息,但是只有要接收信息的那个人能打开。
网络协议DTLS 1.2
VFSSoft Blogs
03-01 2590
如何安全的传输 UDP 协议? 这篇文章带你一起学习一下著名的 DTLS 协议
java dtls server_基于tinyDTLS 构建的lwm2m Server
weixin_31498229的博客
02-23 844
项目基于eclipse wakaama工程代码实现lwm2m server目前已经构建好的是无dtls的lwm2m client server 以及有dtlsclient端构建思路1 实现dtls serverclient端的握手,单客户端,服务端只维护一个链接context,相当与demo2 实现lwm2m 协议包的交互,server端能够正常响应注册。3 链接维护,实现多客户端的注册...
DTLS 详细介绍
whshahaha的博客
06-04 3283
DTLS(Datagram Transport Layer Security)是一种基于UDP协议的安全传输协议,它提供了与TLS()类似的安全性数据完整性保护,同时也具有UDP协议的优点,如低延迟支持多路复用等。DTLS协议是建立在UDP协议之上的,因此它适用于对延迟敏感的应用程序,如VoIP(Voice over IP)视频流媒体等。与TLS协议不同的是,DTLS协议在传输层对数据进行加密认证,而TLS协议则是在传输层之上对数据进行加密认证
一种增强的 DTLS 密钥交换协议
weixin_70923796的博客
07-05 274
摘  要:数据报传输层安全(Datagram Transport Layer Security,DTLS协议基于用户数据报(User Datagram Protocol,UDP协议套接字(socket),在传输层应用层之间构建了一个端到端的安全通道,保证了传输数据的机密性。DTLS 提供了基于椭圆曲线迪菲 - 赫尔曼(Elliptic Curve Diffie-Hellman,ECDH)预共享密钥(Pre-Shared Key,PSK)两种密钥交换协议,前者安全性好但耗时长开销大,后者效率高但安全级
DTLS协议保障RS485/USB通道安全
最新发布
04-05
### DTLS协议在RS485USB通信中的安全性实现 #### 背景介绍 RS-485是一种广泛应用于工业自动化领域的串行通信标准,其设计初衷并未考虑现代网络安全需求。因此,在涉及敏感数据传输的应用场景下,需引入额外的安全机制来保护通信链路免受窃听、篡改或重放攻击的影响。DTLS(Datagram Transport Layer Security)作为TLS的扩展版本,专为无连接的数据报传输提供安全支持,能够有效增强基于UDP或其他不可靠传输层协议的通信安全性。 尽管RS-485本身并不直接运行于IP网络之上,但在某些应用场景中,可以通过网关设备将其转换至TCP/IP栈下的Modbus TCP协议[^1],或者通过USB转接模块映射到主机操作系统内的虚拟端口上。此时,为了保障整个通信路径上的信息安全,可以采用DTLS协议对原始消息进行加密封装后再传递给目标节点。 #### 安全性实现方案 以下是利用DTLS协议提升RS-485与USB通信信道安全性的具体方法: 1. **硬件架构调整** 需要在现有的物理介质两端部署具备嵌入式计算能力的小型控制器单元(MCU),这些微处理器应预装有支持DTLS功能的操作环境以及必要的驱动程序库文件。例如,可以选择ARM Cortex-M系列单片机配合mbed TLS开源项目完成初始化配置工作。 2. **握手过程优化** 由于传统RS-485总线通常只允许半双工操作模式,所以在实际应用过程中可能会遇到因频繁切换发送/接收状态而导致延迟增加的问题。对此可采取如下措施缓解影响: - 减少不必要的重新协商次数; - 缓存已验证过的证书副本以便快速恢复会话; - 如果条件允许的话,则尝试升级基础设施至全双工兼容规格的产品型号上去。 3. **密钥管理策略** 对于大规模分布式系统而言,妥善保管私钥材料显得尤为重要。建议遵循以下原则制定相应计划: - 使用强随机数生成算法创建初始种子值; - 建立周期性轮换制度以防长期暴露风险累积; - 实施严格的访问权限分级控制体系防止未授权人员接触核心资产; 4. **性能评估考量因素** 当然也要注意到加解密运算必然带来一定开销成本,所以必须综合权衡各方面指标找到最佳平衡点。比如针对低功耗物联网终端来说可能更倾向于选择轻量级密码套件组合而非追求极致强度等级设置。 ```c #include <stdio.h> #include "mbedtls/dtls_srtp.h" int main(void){ mbedtls_ssl_context ssl; mbedtls_x509_crt cacert; /* 初始化SSL上下文 */ mbedtls_ssl_init(&ssl); mbedtls_x509_crt_init(&cacert); /* 加载CA根证书 */ if( ( ret = mbedtls_x509_crt_parse_file( &cacert, "ca.crt" ) ) != 0 ){ printf(" failed\n ! mbedtls_x509_crt_parse returned %d\n", ret ); goto exit; } /* 设置默认参数并启动客户端角色 */ if((ret=mbedtls_ssl_setup(&ssl,&conf))!=0){ perror("Error setting up SSL context"); return -1; } } ``` 上述代码片段展示了如何借助MBED-TLS库函数构建基本框架用于处理基于DTLS协议的安全关联建立流程的一部分逻辑实现细节。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值