DTLS(Datagram Transport Layer Security)即数据包传输层安全性协定。TLS不能用来保证UDP上传输的数据的安全,Datagram TLS试图在现存的TLS协定架构上提出扩展,使之支持UDP,即成为TLS的一个支持数据报传输的版本。DTLS 1.0 基于 TLS 1.1, DTLS 1.2 基于TLS 1.2。
基本介绍
- 中文名DTLS
- 外文名Datagram Transport Layer Security
- 基础充分认识到这个局限性的严重程度
- 支持数据报传输的版本
简介
1. DTLS(Datagram Transport Layer Security)
1.1 引言
近年来出现了许多实用数据报传输的应用程式。这些套用包括实时视频会议,internet电话和线上游戏,比如Quack和Starcraft。这些套用都是延迟敏感的,并且使用了不可靠的数据报传输。TCP之上的套用可以用TLS来保证安全,TLS不能用来保证UDP的安全。Datagram TLS试图在现存的TLS协定架构上提出扩展,使之支持UDP,即成为TLS的一个支持数据报传输的版本。DTLS 1.0 基于 TLS 1.1, DTLS 1.2 基于TLS 1.2.
1.2 基础 TLS简介
当部署TLS的时候,大家还没有充分认识到这个局限性的严重程度,因为当时大多数套用运行在TCP之上。即使今天也是这样。情况正在改变。在过去几年中,不断增长的套用层协定,比如SIP (session initial protocol),RTP (real time protocol), MGCP (the Media Gateway Control Protocol),还有许多游戏协定都基于UDP传输而设计。
目前,这些套用的设计者面对着许多用来保证安全性的选择,但却无法令人满意。,他们可以使用IPsec。,IPsec不适合于Client-Server套用模型,且难以同应用程式结合,因为IPsec运行在系统核心。有很多文献详细讨论了为什幺IPsec为什幺不是一个令人满意的选择。,他们自己设计一个特有的套用层安全协定。例如,SIP使用了S/MIME的一个变体来保证安全通信。将S/MIME嫁接到SIP中比使用TLS上的TCP版本的SIP变体更费劲。第三,可以把套用移植到TCP之上,然后使用TLS。不幸的是,许多这样的套用依赖于UDP语义,当运行在诸如TCP之类的流协定上性能将无法令人接受。
最为明显的选择是设计一个通用的信道安全协定,它可以使用数据报传输,就像TCP上的TLS。这样一个协定可以在用户空间中实现,这样便于安装,要足够灵活和通用,能够向许多面向数据报的应用程式提供数据传输安全保障。儘管认为这个方案将是一个巨大和困难的规划项目。构造一个可以工作的协定相当直接,尤其是有了TLS的起点和IPsec的参考。本文介绍了这个新的协定,我们称为 “Datagram TLS “, DTLS是TLS的一个修改版本, 这样函式能够运行在数据报通信上。相对于上面的方案,该方法有两个主要优势,既然DTLS非常类似于TLS,可以重用以前的协定架构和实现方法。为了便于展示,我们通过对OpenSSL库的添加实现了DTLS。我们总共添加了7000行代码,其中的60%从OpenSSL剪下和贴上。,既然DTLS向通用安全层提供了相似的接口,就易于调整协定来使用它。TLS的经验显示,这种易于调整性是扩大部署的关键。
一下,TLS不能用以保证数据报安全的原因。
(1) TLS纪录层不能处理独立纪录。因为加密的上下文(比如CBC状态,序列密钥流)在记录之间经过连结。如果其中一个记录丢失,则将不能处理其后的所有记录。
(2) TLS握手层讯息必须可靠而不能丢失。通过一个MAC栏位来提供反重放和信息记录保护,其中,MAC中包含序列号,序列号被隐含在记录中。
设计概述
DTLS的目标套用主要是C/S及其变体。这也是TLS的设计目标并且已很好工作。展示的安全模型中,server通过DNS名称和IP位址被认证,Client是匿名的或者被其他形式认证,典型的是在套用层通过用户名/密码来处理。
这个实现并不真正安全。,应用程式的设计者们,向在添加安全性的时候儘量能够维护他们的协定和实现架构。这个实现製造了一个类似于TLS或IPsec的有吸引力的信道安全协定,因为改动之非常小。从这个观点看来,理想的数据报信道安全协定应该取代对Server的DNS和基于IP认证的 强加密认证,而是把client认证留给套用层协定。