FastDDS安全机制1 - 安全配置

于 2023-05-17 21:11:46 发布
阅读量743 收藏 1
点赞数
分类专栏: DDS分析 文章标签: 系统安全 中间件 汽车 分布式 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w5678912345/article/details/130734944
版权

背景

OMG组织对于DDS的安全机制有着对应的定义,其定义在DDS-SECURITY文档中。

这其中主要包含了对应的身份认证、访问控制、通信加密和审计相关的插件。

资料来源:DDS-SECURITY

其实也主要保护了通信过程中的相关安全风险。

资料来源:DDS-SECURITY

我们都知道,通信过程中,主要存在着如上图的对应安全风险,例如:未授权访问,通信信道窃听,重放攻击等等。

而这些安全问题,目前业界普遍的解法就是对应的身份认证,访问控制和通信加密机制。

因此DDS定义的这一套安全机制也是相对比较完善的。

下面主要介绍一下对应具体的机制。

身份认证

FastDDS的身份认证插件主要是利用了PKI体系。因此,对应的插件名称也叫DDS:Auth:PKI-DH.

这个插件主要是针对于DDS的DomianParticipant进行身份的标识的。

我们知道,其实身份认证主要做了两件事,一件是标识不同的身份,第二件就是保证身份是可信的。

所以FastDDS使用PKI体系,需要每一个DomianParticipant都配置自己的公私钥,并且通过CA认证来保证身份证书是可信的。

并且,基于身份认证的过程,可以去交换后续的通信加密密钥。

使用

准备

所以如果要使用FastDDS自带的身份认证插件。首先我们需要准备如下的东西:

  1. 自己生成的CA公私钥对
  2. 自己生成对应的DomainParticipant身份公私钥对
  3. 利用CA对身份证书签名,生成CA签名后的身份证书

部署

部署的话,其实就需要我们将对应生成好的身份证书部署到对应的设备上。

这里部署的话,其实需要部署如下的信息。

  1. 上面生成的CA公钥证书文件(X509)
  2. CA签过名的身份证书文件
  3. 上面生成的身份私钥文件
  4. CRL文件

实际使用

FastDDS官方文档上已经给出了对应的使用说明,目前是可以通过C++在代码中直接实现,也可以通过预置写好的XML文件。

C++的方法如下:

DomainParticipantQos pqos;

// Activate DDS:Auth:PKI-DH plugin
pqos.properties().properties().emplace_back("dds.sec.auth.plugin",
        "builtin.PKI-DH");

// Configure DDS:Auth:PKI-DH plugin
pqos.properties().properties().emplace_back(
    "dds.sec.auth.builtin.PKI-DH.identity_ca",
    "file://maincacert.pem");
pqos.properties().properties().emplace_back(
    "dds.sec.auth.builtin.PKI-DH.identity_certificate",
    "file://partcert.pem");
pqos.properties().properties().emplace_back(
    "dds.sec.auth.builtin.PKI-DH.identity_crl",
    "file://crl.pem");
pqos.properties().properties().emplace_back(
    "dds.sec.auth.builtin.PKI-DH.private_key",
    "file://partkey.pem");
pqos.properties().properties().emplace_back(
    "dds.sec.auth.builtin.PKI-DH.password",
    "domainParticipantPassword");

生成证书

根据上面需要的情况我们知道,证书相关的文件最少是需要4个文件。

  1. ca证书
  2. ca签过名的身份认证证书
  3. crl吊销列表
  4. 身份认证私钥

ca证书生成

官方给出了一个配置文件

# File: maincaconf.cnf
# OpenSSL example Certificate Authority configuration file

####################################################################
[ ca ]
default_ca = CA_default # The default ca section

####################################################################
[ CA_default ]

dir = . # Where everything is kept
certs = $dir/certs # Where the issued certs are kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/index.txt # database index file.
unique_subject = no # Set to 'no' to allow creation of
                    # several ctificates with same subject.
new_certs_dir = $dir

certificate = $dir/maincacert.pem # The CA certificate
serial = $dir/serial # The current serial number
crlnumber = $dir/crlnumber # the current crl number
                           # must be commented out to leave a V1 CRL
crl = $dir/crl.pem # The current CRL
private_key = $dir/maincakey.pem # The private key
RANDFILE = $dir/private/.rand # private random number file

name_opt = ca_default # Subject Name options
cert_opt = ca_default # Certificate field options

default_days= 1825 # how long to certify for
default_crl_days = 30 # how long before next CRL
default_md = sha256 # which md to use.
preserve = no # keep passed DN ordering

policy = policy_match

# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

# For the 'anything' policy
# At this point in time, you must list all acceptable 'object'
# types.
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ req ]
prompt = no
#default_bits = 1024
#default_keyfile = privkey.pem
distinguished_name= req_distinguished_name
#attributes = req_attributes
#x509_extensions = v3_ca # The extentions to add to the self signed cert
string_mask = utf8only

[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = ZJ
localityName = HZ
0.organizationName = seven
commonName = xx
emailAddress = xx@qq.com

通过配置文件,定义了证书的一些基本信息,因此通过配置文件,调用openssl生成对应的ecdsa密钥对。

注意上述的配置文件中需要手动创建对应database=$dir/index.txt。否则在对身份认证证书签名的时候就会出错。

openssl ecparam -name prime256v1 > ecdsaparam

openssl req -nodes -x509 \
  -days 3650 \
  -newkey ec:ecdsaparam \
  -keyout maincakey.pem \
  -out maincacert.pem \
  -config maincaconf.cnf

这里的ecparam参数主要是生成对应的ecdsaparam的参数,指定对应的算法名称,方便后续openssl生成密钥时自动查找算法。

生成身份认证密钥对

同样先编写配置文件。

# File: partconf.cnf

prompt = no
string_mask = utf8only
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = ZJ
localityName = HZ
organizationName = seven
emailAddress = xx@qq.com
commonName = xx

之后调用openssl生成对应的请求证书和私钥

openssl req -nodes \
  -new -newkey ec:ecdsaparam \
  -config identitycertconf.cnf \
  -keyout partkey.pem \
  -out partreq.pem

使用CA私钥对刚刚生成的证书进行签名。

openssl ca -batch -create_serial \
  -config maincaconf.cnf \
  -days 3650 \
  -in partreq.pem \
  -out partcert.pem

w5678912345
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FastDDS(9)Security安全
pony12的专栏
12-25 824
DDS安全规范包括五个安全内置插件。Authentication plugin身份验证插件、Access Control plugin访问控制插件、Cryptographic plugin加密插件、Logging plugin日志记录插件、Data Tagging数据标记
DDS通信协议与安全实践
热门推荐
samli的博客
09-14 1万+
DDS(Data Distribution Service)是一套通信协议和 API 标准;它提供了以数据为中心的连接服务,基于发布者-订阅者模型。这是一套中间件,它提供介于操作系统和应用程序之间的功能,使得组件之间可以互相通信。并且提供了低延迟,高可靠的通信以及可扩展的架构。DDS本身是一套标准。由(简称OMG)维护。OMG是一个开放性的非营利技术标准联盟,由许多大型IT公司组成:包括IBM,Apple Computer,Sun Microsystems等。
工业级数据分发服务DDS简介及安全特性分析
李老板的移动安全杂货铺
10-30 4143
一.DDS介绍 1.1.DDS的来源 DDS即Data Distribution Service,是位于应用程序与操作系统之间的中间件,在互联网的工业应用背景下正被广泛使用。随着互联网和软件技术的发展,不断丰富的信息改变了数据服务的模式、服务的类型和服务的质量,加上工业应用对性能、安全性和可扩展性有非常严格的要求作为标准,DDS在工业互联网领域应运而生,以满足该领域对数据服务的需求和对数据的治理能力,使分散的数据得到集中、统一的处理和应用。 DDS在车联网领域的应用也十分广泛,一方面,自动驾驶催生了对
工业级数据分发服务DDS安全
12-03 2120
为了解决DDS安全的问题,OMG定义了DDS安全规范标准,该规范为符合DDS的实现定义了安全模型和服务插件接口(Service Plugin Interface)服务体系框架。DDS安全模型是通过DDS实现调用服务插件接口来实现的。 规范中服务插件接口,支持即插即用的安全性,并且能够实现DDS应用程序之间互操作。 服务插件接口允许用户自定义DDS框架中用于信息保证的行为和技术,例如,自定义身份验证、访问控制、加密、消息身份验证、数字签名、日志记录和数据标记等。
云图说|小云妹-DDS实例安全基本操作
华为云官方博客
11-15 1279
数据库什么最重要?当然是安全了~小云妹这期给大家带来文档数据库DDS实例的一些安全基本操作,赶快get起来~ 下面通过“云图说”手把手教您设置数据库,提升安全系数: 点击“了解更多”,文档数据库服务DDS等着您! ...
fast-security-starter 简单快速集成认证授权
chenmiwei1262的博客
05-15 306
fast-security-starter 1.0 目标 基于jwt认证机制,角色匹配url规则,实现认证,鉴权的快速集成 介绍 对于认证,鉴权,shiro与spring-security较为成熟,但是学习成本较高。 所以想做一个可以快速集成spring-security的拓展包...
网络安全概述
ddsefuksm83459426的博客
06-25 229
网络安全得到狭义定义: 信息安全的目标是在信息产生、传输、存储的过程中,保证信息的机密性、完整性、可用性。在信息的传输环节,保障其安全,就是狭义的网络安全。 机密性的保障:信息加密(看不懂),访问控制(看不到)。 完整性的保障:完整性包含数据完整性(身份认证)、来源完整性(消息认证)、不可否认性(数字签名)。 可用性的保障:Dos/DDos攻击等(基于统计模型建模、备份、恢复...
fastdds安装方法
12-15
fastdds安装方法及简单demo
fastdds库安装包
03-02
fastdds安装包
基于fastdds 2.8.1的dds订阅发布动态库
01-30
包括vs2019封装的DDSBusAdapter动态库,DDSBusAdapterTool测试工具,fastddssdk文件 ,sdk解压到D盘根目录,目录结构如下:D:\Fast_DDS_SDK\fastrtps2.8.1 特别说明请使用vs2019最新的包,如果版本过低,会报错...
FastDDS源码剖析】HelloWorld UDP抓包详解
最新发布
06-10
FastDDS源码剖析】HelloWorld UDP抓包详解
Fast-DDS-statistics-backend
04-08
使用侦听器回调机制接收有关各种事件的统计信息更新的通知。 检查实体是否处于活动状态。 检索有关快速DDS统计模块报告的通信所有方面的统计信息,并可以指定时间窗口,时段和要应用的其他统计信息。安装指南本教程...
【C++】DDSFastDDS环境配置与使用示例
DevFrank的博客
03-18 4174
FastDDS环境配置与使用示例
FastDDS的xml配置文件配置项,查询用
weixin_44843481的博客
02-03 2679
FastDDS的xml配置文件,可配项,及配置方式
Fast DDS入门一、Fast DDS介绍
咸鱼爱幻想的博客
02-11 7244
Fast DDSDDS(数据分发服务)规范的C++实现,DDS是由对象管理组(OMG)定义的协议。Fast DDS库提供应用程序编程接口(API)和通信协议,用于部署以数据为中心的发布-订阅(DCPS)模型,目的是在实时系统之间建立高效可靠的信息分发。Fast DDS在资源处理方面具有可预测性、可扩展性、灵活性和高效性。为了满足这些要求,它使用了类型化接口,并依赖于一个多对多的分布式网络范例,该范例巧妙地允许将通信的发布方和订阅方分离。Fast DDS包括:DDS API实现。
Fast DDS入门七、Fast DDS的侦听、通告以及底层传输介绍
咸鱼爱幻想的博客
03-03 2287
Fast DDS的传输逻辑首先明确收方和发方是谁,收方和发方地址和端口的生成规则是什么,也就是侦听、通告的逻辑规则。其次Fast DDS的底层传输依赖于Transport Layer,是独立UDP/TCP之上传输接口层。
Fast DDS 介绍
Captain--Jack
04-12 1722
前面已经简要介绍过DDS协议规范了,接下来我们来看一个它的C++实现----Fast DDS。eProsima Fast-DDS是eprosima对于DDS的C++实现,这是一个免费开源软件,遵循Apache License 2.0。eProsima Fast DDS在性能,功能和对最新版本RTPS标准(RTPS 2.2)的遵守方面均处于领先地位。它最为被大家知道的可能是因为被ROS2设定为默认的消息中间件Fast DDS由以下几部分组成:1.DDS API接口实现;
FastDDS-1.开始
zhangzl419
02-27 1658
FastDDS的快速开始,通过本文能够快速了解fastdds的使用方法。
如何解决 在fastdds中 return impl->create_datawriter(topic,qos,listener,mask) 引发了异常,读取访问权限冲突
05-18
这个问题可能是由于您的程序在同时运行多个线程时,多个线程尝试访问同一个共享资源而引起的。可能的解决方案包括: 1. 使用互斥锁(mutex)来控制对共享资源的访问,以确保同一时间只有一个线程可以访问该资源。 2. 检查程序中是否存在竞态条件(race condition),即多个线程在没有同步的情况下同时访问同一资源的情况。如果存在竞态条件,需要对代码进行重构或者添加同步机制来避免这种情况。 3. 检查程序中是否存在内存泄漏或者非法内存访问等问题,这些问题可能会导致程序出现不可预期的行为。 4. 确认您的程序是否正确地初始化了所有需要的变量和对象,并且没有出现未处理的异常或错误。 如果以上方法无法解决问题,您可能需要更详细地检查程序的代码和调试信息,以确定问题的具体原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值