capwap DTSL 加密分析

最新推荐文章于 2024-02-22 09:18:11 发布
转载 最新推荐文章于 2024-02-22 09:18:11 发布 · 1.2k 阅读 · 0

本文详细介绍了CAPWAP协议中DTLS加密的过程及其实现细节,包括DTLS握手流程、代码分析等内容。
capwap DTSL 加密分析

1、概述

DTLS即Datagram Transport Layer Security (RFC4347),AP加入AC前,先进行DTLS验证,当AP与AC之间的DTLS握手成功后,AP发出Join请求开始请求加入。这个过程里面的所有报文均为加密报文。以下为报文格式(摘自RFC5418):

                       

在我们的代码中是在CWWTPEnterJoin()函数中来实现的。

2、代码分析

主要的函数以下几个过程:

CWStateTransition CWWTPEnterJoin() {

    //初始化socket  gWTPSocket

    /* Init DTLS session */

    if(!CWErr(CWNetworkInitSocketClient(&gWTPSocket,

                        &(gACInfoPtr->preferredAddress))) ) {

       

        timer_rem(waitJoinTimer, NULL);

        return CW_ENTER_DISCOVERY;

    }

 

#ifndef CW_NO_DTLS

    if(gACInfoPtr->security == CW_X509_CERTIFICATE) {//需要授权书

        if(!CWErr(CWSecurityInitContext(&gWTPSecurityContext,//初始化wtp本地加密策略

                        "root.pem",

                        "client.pem",

                        "prova",

                        CW_TRUE,

                        NULL)))

    }

#endif

    CWThread thread_receiveFrame;

    if(!CWErr(CWCreateThread(&thread_receiveFrame, //开启接受dtls数据的线程

                 CWWTPReceiveDtlsPacket,

                 (void*)gWTPSocket)))

   

#ifndef CW_NO_DTLS

 

    if(!CWErr(CWSecurityInitSessionClient(gWTPSocket,//初始化DTSL会话

                          &(gACInfoPtr->preferredAddress),

                          gPacketReceiveList,

                          gWTPSecurityContext,

                          &gWTPSession,

                          &gWTPPathMTU)))

   

    if(!CWErr(CWWTPSendAcknowledgedPacket(seqNum, //发起Join 会话请求。

                          NULL,

                          CWAssembleJoinRequest,

                          (void*)CWParseJoinResponseMessage,

                          (void*)CWSaveJoinResponseMessage,

                          &values)))

 

 

    CWLog("Join Completed");

   

    return CW_ENTER_CONFIGURE;

}

DTSL会话初始化主要在CWSecurityInitSessionClient中完成。

3、DTLS 握手

根据协议介绍,DTLS 握手包含如下几个步骤:

  1. WTP首先发送一个ClientHello消息来发起握手,说明它支持的密码算法列表、压缩方法及最高协议版本和其他一些需要的消息。
  2. AC回复一个HelloVerifyReuqest 消息,client必须重传添加了cookie的ClientHello。server然后验证cookie,如果有效的话才开始进行握手。
  3. AC回应一个ServerHello消息,包含服务器选择的连接参数,源自客户端初期所提供的ClientHello,确定了这次通信所需要的算法,然后发过去自己的证书(里面包含了身份和自己的公钥)。
  4. Client在收到这个消息后会生成一个秘密消息,用SSL服务器的公钥加密后传过去,SSL服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥来通信了。

而在我们的代码中,

CWDebugLog("Before HS");

    CWSecurityManageSSLError(SSL_do_handshake(*sessionPtr),

                 *sessionPtr,

                 SSL_free(*sessionPtr););

    CWDebugLog("After HS");

   

    if (SSL_get_verify_result(*sessionPtr) == X509_V_OK) {

 

        CWDebugLog("Certificate Verified");

    } else {

 

        CWDebugLog("Certificate Error (%d)",

               SSL_get_verify_result(*sessionPtr));

}

 

总结:

DTLS 握手是通过SSL_do_handshake这个函数来实现的,而在我们上次的调试过程中发现也是这个地方出错。但是这个函数是openSSL加密库的函数,在openCawwap中没有实现。

133ls
关注
DTLS详解
fdsafwagdagadg6576的专栏
10-24 5033
DTLS协议层次:可分为两层:handshake layer--record layer--udp handshake layer:第二 层:为高层协议提供数据封装、压缩、加密等基本功能的支持。 Record Layer:第一层: 为每条信息提供一个header和在尾部生成一个从Message Authentication Code (MAC) 得到的hash值,其中header由5 bytes组成,分别是:协议说明(1bytes),协议版本(2bytes),长度(2bytes) 跟在heade...
capwap-mitm:CAPWAP DTLS MITM(中间人)代理
07-04
capwap-mitm - CAPWAP DTLS MITM(中间人)代理 这是 CAPWAP (RFC 5415) 的 DTLS MITM 代理。 它可用于解密和捕获(以 pcap 格式)加密CAPWAP 流量。 它的主要目的是用于 CAPWAP 会话的开发、调试和逆向工程。 它不支持修改控制或有效负载流量。 建造 要求: 自动配置 汽车制造商 shtool ( ) gnutls ( ) libev ( ) libpcap ( ) 在 Debian/Ubuntu 下,这些依赖项应该可用: apt-get install automake autoconf shtool libgnutls-dev libev-dev libpcap-dev 重建配置和配置: ./autogen.sh ./configure 跑步 将 CAPWAP 客户端和服务器证书放入 .
capwap学习笔记——初识capwap(四)
热门推荐
lanlicen的专栏
04-29 2万+
2.5.7 CAPWAP传输机制 WTP和AC之间使用标准的UDP客户端/服务器模式来建立通讯。 CAPWAP协议支持UDP和UDP-Lite [RFC3828]。 ¢ 在IPv4上,CAPWAP控制和数据通道使用UDP。此时CAPWAP报文中的UDP校验和必须设置为0。AC上的CAPWAP控制报文端口为UDP众所周知端口5246,数据报文端口为UDP众所周知端口5247 ,WTP可以随意选择CAPWAP控制和数据端口。 ¢ 在IPv6上,CAPWAP控制通道一般使用UDP,而数据通道可以使用UDP
锐捷无线CAPWAP隧道技术原理
Daer_zeng的博客
09-29 4632
CAPWAP(Control And Provisioning of Wireless Access Points 无线接入点的控制和配置协议):是由IETF(互联网工程任务组)标准化组织于2009年3月定义。capwap协议是一个通用的协议,定义了AC和WTP通过capwap协议传输机制进行控制和数据平面的通信。使用UDP协议的5246和5247端口用于传输控制消息和数据消息,AP上线的过程就是CAPWAP隧道建立的过程。
无线CAPWAP隧道加密方式
weixin_33814685的博客
01-20 1236
DTLS主要特性概述和实现分析背景近年来出现了许多实用数据报传输的应用程序。这些应用包括实时视频会议,internet电话和在线游戏,比如Quack和Startcraft。这些应用都是延迟敏感的,并且使用了不可靠的数据报传输。TCP之上的应用可以用TLS来保证安全,但是TLS不能用来保证UDP的安全。DatagramTLS试图在现存的TLS协议架构上提出扩展,使之支...
CAPWAP详解【三】
小青年儿
11-24 3114
2.5.6 CAPWAP状态机详解 2.5.6.1 Start to Idle 这个状态变迁发生在设备初始化完成。 ¢  WTP: 开启CAPWAP状态机。     ¢  AC:  开启CAPWAP状态机。   2.5.6.2 Idle to Discovery 这个状态变迁发生是为了支持CAPWAP发现进程。     ¢   WTP: WTP进入发现状态是为了优先去传输第一个D
DTLS 加密
嵌入式技术
03-25 565
加密基础知识与SSL/TSL介绍 DTLS详解
安全加密 - TLS, DTLS
迟来大师的博客
12-06 1346
TLS:TransportLayer Security DTLS:Datagram Transport Layer Security DTLS、TLS与SSL在传输层对网络连接进行加密DTLS在UDP传输协议之上,而TLS则在TCP传输协议之上。
CAPWAP
安子自语
07-08 5995
Control And Provisioning of Wireless Access Point Protocol(无线接入点控制与配置协议), AP和AC之间通信协议。
DTLS协议中的509证书和密钥如何传输
qianbo042311的博客
03-22 1156
DTLS协议 在openssl中,创建DTLS环境都已经被封装好了 ssl_ctx = SSL_CTX_new(DTLS_method()); 接下去我们编程的时候有两种方式去使用DTLS,1 是直接读证书文件,2 是产生证书文件 如果我们本身没有证书,而又需要,可以立刻产生证书 X509* dtls_srtp::ssl_cert = NULL; EVP_PKEY* dtls_srtp::ssl_key = NULL; if (dtls_generate_keys(&ssl_cert, &amp
capwap学习笔记——初识capwap(二)
lanlicen的专栏
04-29 2万+
<br />2.5.1 AC发现机制<br /><br /><br /><br />WTP使用AC发现机制来得知哪些AC是可用的,决定最佳的AC来建立CAPWAP连接。<br />WTP的发现过程是可选的。如果在WTP上静态配置了AC,那么WTP并不需要完成AC的发现过程。<br />WTP首先发送一个 Discovery Request message给受限的广播地址,或者CAPWAP的多播地址(224.0.1.140),或者是预配置的AC的单播地址。在IPV6网络中,由于广播并不存在,因此使用"All
观察无线数据转发及CAPWAP隧道建立
Daer_zeng的博客
09-07 797
观察无线数据转发及CAPWAP隧道建立。
OpenCAPWAP状态机介绍
qq_30144577的博客
05-27 8983
上图是AP和AC进行交互的状态机FSM,报文的交互通过DTLS加密传送,DTSLS和CAPWAP状态机通过API接口命令和通知完成交互。 Start状态:AP开始和AC会话的初始状态;Idle状态:AP初始化完成以后,进入这个状态;Discovery状态:AP接着进入发现AC的状态,如果AP指定AC,这个状态可以跳过;DTLS Setup状态:AP进入这个状态完成DTLS的会话鉴权;DT
Wlan——CAPWAP隧道的建立过程(AP上线过程)
m0_49864110的博客
08-14 1万+
收到Join Response 报文后,先比较当前运行的软件版本和 AC 要求运行的软件版本是否一致,如果不一致则发送Image Data Request 报文请求进行自动升级,进入Image Data状态。AP加入AC后,AP根据AC的Join报文信息,检测自身版本是否是最新版本(如果AC上有AP的版本,并开起来自动升级,则会AC会通过Image Data报文发送软件版本给AP进行更新)如果AC回应了Discover报文,则AP将此AC的地址加入到AC列表中,并为其指定不同的优先级(越小越优先);
无线瘦AP部署——Capwap隧道原理及故障:Capwap隧道常见问题-11.X版本
君逍遥o
10-13 3750
ap 没有获取到ip地址 ap 没有获取到option 138字段 ap 无法ping通ac 建立隧道地址 capwap udp 5246、5247端口被中间设备丢弃或过滤
华为配置CAPWAP双栈覆盖业务示例
专研计算机网络,数据通信,网络安全,系统集成
02-22 1673
配置前请确认是否有组播业务,如果有,请谨慎配置限速值。区域1(AP1覆盖的范围)为IPv4网络,区域2(AP2覆盖的范围)为IPv6网络,AC和AP之间配置IPV4和IPV6 CAPWAP双协议栈,AC可以同时管理IPv4和IPv6的AP。V200R021C00版本开始,配置CAPWAP源接口或源地址时,会检查和安全相关的配置是否已存在,包括DTLS加密的PSK、AC间DTLS加密的PSK、登录AP的用户名和密码、全局离线管理VAP的登录密码,均已存在才能成功配置,否则会提示用户先完成相关的配置。
24.CAPWAP原理_CAPWAP协议介绍
分享学习网络的点点滴滴
09-14 8581
CAPWAP协议介绍前言一、CAPWAP协议简介1.协议主要内容2.数据转发类型3.基本报文格式二、CAPWAP状态机1.引入库三、CAPWAP隧道建立过程1.DHCP过程2.Discovery发现机制3.DTLS4.join5.Image Data6.configure7.Data Check8.Run(数据)8.Run(控制)四、CAPWAP过程示例 前言 在瘦AP+AC结构下,AP不能单独工作,需要与AC配合使用,因此AP和AC间需要有配套的通信协议可以让它们进行互联。 最早,思科制定了首个AP-
Wlan——CAPWAP协议的报文格式与报文封装
m0_49864110的博客
08-16 5366
CAPWAP协议控制报文(AC端口5246)源端口为5246是AC发送的,目的端口为5246为AP发送的发现AC加入AC发给AC请求版本更新向AC请求下发配置确认配置Echo控制隧道保活Reset AC发给AP请求AP重启WTP Event AP发送消息给AC(发送AP的统计信息、无线用户的参数信息等)Configuration Update AC发给AP,要求AP进行配置更新CAPWAP
enspac上capwap技术加密认证配置
最新发布
06-06
### 在ENSP平台上配置CAPWAP加密认证的指南 在ENSP(Enterprise Network Simulation Platform)上配置CAPWAP(Control And Provisioning of Wireless Access Points)技术的加密认证,需要确保数据传输的安全性并遵循相关的协议标准。以下是详细的配置说明: #### 1. CAPWAP加密认证的基本概念 CAPWAP协议用于在无线网络中实现接入点(AP)与控制器(AC)之间的通信[^2]。为了增强安全性,CAPWAP支持多种加密方式,包括DTLS(Datagram Transport Layer Security)和TLS(Transport Layer Security)。通过这些加密机制,可以保护AP与AC之间控制消息和数据传输的机密性和完整性。 #### 2. 配置CAPWAP加密认证 在ENSP平台上配置CAPWAP加密认证时,需完成以下关键步骤: - **启用DTLS或TLS加密** 在AC设备上启用CAPWAP DTLS或TLS加密功能。例如: ```shell [AC] capwap dtls enable ``` 此命令启用了CAPWAP DTLS加密功能,以确保AP与AC之间的通信安全[^1]。 - **配置CAPWAP隧道的源接口** 指定CAPWAP隧道的源接口,通常为Loopback接口,以确保AC的IP地址稳定: ```shell [AC] capwap source interface LoopBack0 ``` - **设置CAPWAP共享密钥(可选)** 如果需要进一步增强安全性,可以配置CAPWAP共享密钥以验证AP的身份: ```shell [AC] capwap authentication key cipher 123456 ``` 注意:密钥应根据实际需求设置,并确保其复杂性和保密性。 - **配置AP认证方法** 配置AP的认证方式,例如MAC地址认证或SN认证: ```shell [AC] ap-auth-mode mac-auth ``` 或者: ```shell [AC] ap-auth-mode sn-auth ``` - **验证配置** 完成配置后,可以通过以下命令检查CAPWAP加密状态: ```shell [AC] display capwap statistics [AC] display capwap security ``` #### 3. 示例配置 以下是一个完整的配置示例,展示如何在ENSP平台上启用CAPWAP DTLS加密并配置AP认证: ```shell # 配置AC设备 [AC] capwap dtls enable [AC] capwap source interface LoopBack0 [AC] ap-auth-mode mac-auth [AC] capwap authentication key cipher 123456 # 验证配置 [AC] display capwap statistics [AC] display capwap security ``` #### 4. 注意事项 - 确保AC设备的软件版本支持CAPWAP加密功能。 - 在大规模网络环境中,建议使用SN认证而非MAC地址认证,以减少管理负担[^2]。 - 配置完成后,务必测试CAPWAP隧道的连通性和稳定性。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值