网安技术与应用(2)——基于DTLS的安全服务器设计

原创 已于 2023-03-05 15:09:41 修改 · 2.6k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Dev #C++ #python

于 2022-04-02 11:16:47 首次发布

一 实验目的

通过实验,掌握DTLS的基本原理,掌握python3-dtls库的基本使用。

二 实验内容

  1. 利用 DTLS 库编写客户端和服务器程序,服务端开启监听,提供数据传输、文件传输功能;
  2. 客户端对服务端进行证书认证(单向认证);
  3. 利用相关工具(如 Wireshark)验证 DTLS 通信结果。

如果下载速度较慢可以考虑更换下载源

Ubuntu20.04更换下载源

三 实验原理

1、DTLS和TLS

DTLS(Datagram Transport Level Security)即数据报安全传输协议,被广泛应用于保护网页流量和其他应用协议。

TLS 提供了一个透明的有向通道,通过在应用层和传输层之间插入 TLS 来保护应用层协议(如 HTTP等)。然而 TLS 必须依赖可靠的传输通道,如 TCP,因此 TLS 无法用于保护 UDP 的数据包流量。

简单来说,DTLS 可以理解为 UDP 上的 TLS 协议,它为 UDP 报文提供了安全传输能力。由于 UDP 协议是不可靠传输协议,其不对丢包、排序等负责,而 TLS 内部也不具备处理这种不可靠性的机制,因此 TLS 无法直接应用于 UDP 上。

2、握手过程

对于传输层安全来说,密钥交换机制和数据加密及签名算法决定了整个方案的安全等级。而密钥协商都必须通过握手流程完成,因而这是理解DTLS的关键要点。

其流程与TLS概念上是一致的,其中:

  • Flight:对应一次通过网络发送的数据包;
  • HelloVerifyRequest:用于服务端对客户端实现二次校验;
  • Certificate:交换的证书,由协商后的算法确定是否需要传输;当服务端要求验证客户端身份时,发起CertificateRequest,此时客户端需要发送证书;
  • ChangeCipherSpec:一个简单的标记,标明当前已经完成密钥协商,可以准备传输;
  • Finished:表示握手结束,通常会携带加密数据由对端进行初次验证。

3、CipherSuite

由于网络 IO 限制,DTLS 只支持 TLS 的子集。

  • ECDHE_RSA:密钥交换算法,这是由 ECC 和 DH 密钥交换算法衍生出来的算法;
  • AES_128_GCM:动态密钥算法,用于实现数据包的加解密;
  • HMAC_SHA256:MAC 算 ,用于创建加密数据块的摘要;
  • PRF:伪随机函数,TLS1.2 定义其与 MAC 算法一致。

几个常用的 CipherSuite:

  • l TLS_PSK_WITH_AES_128_CBC_SHA256
  • l TLS_PSK_WITH_AES_128_CCM_8
  • l TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • l TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8

4、防护机制

(1)握手

  • 重传

DTLS 使用超时重传机制来确保握手消息的到达。

  • 顺序

UDP 本身不对消息传输的顺序负责,为了保证握手消息按序传输,每一个 Handshake 报文都分配了一个特殊的序列号,接收方直接处理属于当前步骤的消息,对于提前到达的消息则放到缓存队列中。

  • 分段

由于 MTU 限制,DTLS 要求对握手消息实现分段,每一个握手消息都可能包含分段的位移和长度,由接收端组装。

  • 重复

DTLS 选择性的支持消息重放检测机制,使用的技术与 IPsec AH/ESP 相同,由接收方维护一个 bitmap 窗口,因老化而不适合窗口的记录和以前接收过的记录都会被悄悄地丢弃。

(2)数据包传输

DTLS 为每个加密数据包增加了 MAC 鉴权摘要,用于保证数据包的完整性;此外显式附带了一个 SN 号用于排序。

(3)DoS 攻击

DTLS 定义了基于 cookie 验证的机制来预防攻击,如前面流程中涉及的 HelloVerifyRequest 便是用于进行 cookie 验证。Cookie 的算法:HMAC(Secret, Client-IP, Client-Parameters) 。

  • Secret:由 server 端内置,用于计算 cookie 值;
  • Client:需要在接收到 VerifyRequest 后提供同样的 cookie 值;
  • server:根据发送方 IP 计算 cookie 值,一旦发现不一致则判定为非法数据。

(4)会话恢复

握手流程所占的开销是比较大的,与 TLS 类似,DTLS 也定义了会话恢复机制。

握手成功之后,服务端将生成 SessionID 返回,客户端在下次连接时附带 SessionID;若验证通过,可直接沿用原有的会话数据,包括协商算法和密钥。

四 实验条件

  1. 操作系统:Ubuntu 20.04(其他 Linux 发行版均可,满足内核≥4.8);
  2. 工具软件:Python 3,Wireshark;

五 实验过程

完整代码可以到

最低0.47元/天 解锁文章
DTLS技术详解:面向不可靠传输的安全协议及其TLS的关键差异
usstmiracle的博客
06-25 295
摘要: DTLS是面向UDP等无连接协议的TLS适配版本,在不可靠传输环境中提供安全保障,适用于低延迟、抗丢包场景(如V2X通信)。相比TLS,DTLS通过Cookie机制、显式序列号和握手消息分片/重传来适应无连接特性。Adaptive AUTOSAR中,DTLS用于实时通信(如传感器数据),而TLS用于可靠传输(如OTA更新)。实现优化包括硬件加速、0-RTT和QoS分级。安全风险如重放攻击可通过滑动窗口和动态策略缓解。未来,DTLSTLS互补,为车载通信提供安全高效的解决方案。
TLSv1.2&DTLSv1;.2介绍
03-05
TLS全称是Transport Layer Security Protocol,TLS的前身是网景公司(NetScape)开发的基于TCP的SSL协议(Secure Socket Layer),SSL有三个版本,IETF在SSLv3.0的基础上,制定了TLS1.0规范,目前已经演进到TSLv1.2版本(RFC5246) 本胶片介绍RFC5246 TLSv1.2规范,TLS的目标是为通讯实体间提供安全的连接,包括对通信实体的相互认证,通讯内容的私密性和完整性保护
baddtls:webRTC中DTLS的测试服务
05-26
用于测试webRTC dtls客户端的服务器的启动
WebSocket 安全加密:TLS 和 DTLS应用
AI天才研究院
12-31 3573
1.背景介绍 WebSocket 是一种基于 TCP 的协议,用于建立持久性的双向通信通道。它主要应用于实时通信,如聊天、游戏、实时数据推送等。然而,WebSocket 协议本身并不提供安全性和加密功能,这导致了一些安全问题。因此,需要在 WebSocket 协议上加入安全机制,以保护数据的完整性、机密性和身份认证。 在这篇文章中,我们将讨论 WebSocket 安全加密的两种主要方法:TL...
TLSDTLS
weixin_43215013的博客
09-02 940
总的来说,TLS和DTLS之间的主要区别在于它们所使用的底层传输协议不同,这导致了它们在性能、延迟、可靠性和应用场景上的差异。选择哪个取决于具体的应用需求。例如,对于Web浏览,TLS/TCP是更好的选择,而对于实时音视频通信,则通常会选择DTLS/UDP。TLS(Transport Layer Security)和DTLS(Datagram Transport Layer Security)都是为了提供安全通信而设计的协议,但它们之间存在一些关键的区别,主要体现在它们传输数据的方式上以及应用场景的不同。
安全加密 - TLS, DTLS
迟来大师的博客
12-06 1321
TLS:TransportLayer Security DTLS:Datagram Transport Layer Security DTLS、TLSSSL在传输层对网络连接进行加密, DTLS在UDP传输协议之上,而TLS则在TCP传输协议之上。
webrtc dtls dtls
06-18
网络协议 webrtc 网络协议 webrtc 网络协议 webrtc 网络协议 webrtc 网络协议 webrtc 网络协议 webrtc 网络协议 webrtc 网络协议 webrtc 网络协议 webrtc 网络协议 webrtc
基于DTLS安全服务器设计
02-21
通过实验,掌握DTLS的基本原理,...利用 DTLS 库编写客户端和服务器程序,服务端开启监听,提供数据传输、文件传输功能; 客户端对服务端进行证书认证(单向认证); 利用相关工具(如 Wireshark)验证 DTLS 通信结果。
汽车电子基于AUTOSAR的信息安全架构设计:汽车信息安全措施通信安全机制综述
04-05
②掌握中央计算架构下的信息安全技术,如TLS/DTLS、入侵检测防护系统;③理解AUTOSAR提供的具体安全模块及其应用场景,如Crypto Stack、CSM、SecOC等;④学习如何配置安全通信,确保数据传输的安全性。 其他说明:...
48、物联网通信安全DTLS预共享密钥的应用
最新发布
efc12345678的博客
09-29 120
本文探讨了物联网通信中DTLS协议预共享密钥(PSK)的应用,分析了在资源受限设备上选择合适密码套件的关键因素。文章比较了AES-GCM、AES-CCM和ChaCha20-Poly1305等对称加密算法的优缺点,指出其在不同硬件环境下的适用性。同时,深入介绍了PSK的工作流程及其在减少代码复杂度方面的优势,并讨论了基本PSK具备前向保密的PSK密码套件的安全差异。最后提供了针对不同场景的密码套件选择建议,帮助开发者在安全性、性能和资源消耗之间做出平衡,保障物联网通信的安全可靠。
DTLS 详细介绍
whshahaha的博客
06-04 3793
DTLS(Datagram Transport Layer Security)是一种基于UDP协议的安全传输协议,它提供了TLS()类似的安全性和数据完整性保护,同时也具有UDP协议的优点,如低延迟和支持多路复用等。DTLS协议是建立在UDP协议之上的,因此它适用于对延迟敏感的应用程序,如VoIP(Voice over IP)和视频流媒体等。TLS协议不同的是,DTLS协议在传输层对数据进行加密和认证,而TLS协议则是在传输层之上对数据进行加密和认证。
DTLS(DatagramTLS)升级包
10-31
Windows 7 SP1和 Windows Server 2008 R2 SP1通过此包升级后,在慢速网络下(WAN、ADSL)可以基于UDP协议实现TLS(传输层安全),从而减少基于TCP实现TLS的带宽需要
asio_dtls:使用ASIO库的DTLS实现
05-07
使用C ++ 11对ASIO的DTLS支持 介绍 ASIO :: DTLS是ASIO( )的扩展。 它为基于数据报的传输提供加密。 加密基于使用OpenSSL( )库的DTLS( )。 ASIO :: DTLS提供了dtls_listen功能,可用于防止针对服务器端的某些DOS攻击(请参阅 )。 数据报和基于流的通信之间的区别 从程序员的角度来看,基于Stream的通信方法和基于Datagram的通信方法之间存在三个主要区别: 在基于流的通信中,所有数据都被视为流,因此可以将多个发送操作的数据连接起来,并且可以通过一个接收操作将其接收,就好像它是由一个操作发送的一样。 对于基于数据报的通信,发送操作将仅发送一个数据报,而接收方将仅接收一个数据报,如果接收方的缓冲区大小太小而无法容纳完整的数据报,则通常会丢弃其余的数据报。 流保证按顺序接收数据,其中数据报的接收顺序可能发送数据
TLS和DTLS 概念
keda002的博客
12-18 392
加密套件描述了一次会话建立过程中要使用的加密算法、消息认证码算法、密钥交换算法;
Java实现DTLS之技术背景&原理(一)
weixin_36808034的博客
08-14 1391
本文件规定了数据报传输层安全DTLS)协议的1.2版。DTLS协议为数据报协议提供通信隐私。该协议允许客户机/服务器应用程序以防止窃听、篡改或消息伪造的方式进行通信。
DTLSTLS的比较
weixin_40928171的博客
05-06 2811
原文地址:https://www.rfc-editor.org/rfc/pdfrfc/rfc6347.txt.pdf 1. 背景简介 TLS [TLS] is the most widely deployed protocol for securing network traffic. It is widely used for protecting Web traffic and for e-mail protocols such as IMAP [IMAP] and POP [POP]. The pri
【网络通信 -- 直播】网络通信协议简介 -- SSL/TLS DTLS
CopperSun 技术博客
06-21 1432
【网络通信 -- 直播】网络通信协议简介 -- TLS/DTLS 参考致谢 本博客为博主的学习实践总结,并参考了众多博主的博文,在此表示感谢,博主若有不足之处,请批评指正。
第四节 DTLS和TLS
Darkycl的博客
03-18 2317
DTLS 和 TLS 是两种提供通信安全性的协议,均用于加密数据传输和身份认证。它们的核心区别在于 传输层协议 和 适用场景。
TLS-DTLS-SRTP相关总结
hclbeloved的博客
06-16 2491
0 写在前面 这篇文章整理的比较久了,参考了很多文章(记不住链接了),如果侵犯到大家请联系我删除,谢谢。 1 HTTPS/SSL/TLS 1.1 安全性 通常认为,如果通信过程具备了四个特性,就可以认为是“安全”的,这四个特性是:机密性、完整性,身份认证和不可否认。 机密性(Secrecy/Confidentiality)是指对数据的“保密”,只能由可信的人访问,对其他人是不可见的“秘密”,简单来说就是不能让不相关的人看到不该看的东西。比如小明和小红私下聊天,但“隔墙有耳”,被小强在旁边的房间里全
嵌入式系统设计验证:核心理论、技术应用
此外,本书还介绍了物理安全防护技术(如防篡改芯片)、安全认证机制(如TPM模块)以及安全协议设计(如TLS/DTLS)等,帮助读者掌握如何在资源受限的嵌入式平台上构建安全可靠的系统。 最后,本书结合多个行业应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值