DTLCP协议
加密汉堡本文是初步了解 DTLCP协议后形成的笔记,作为组会的汇报提纲。
DTLCP(Datagram Transport Layer Cryptography Protocol,数据报传输层加密协议)是在DTLS协议的基础上,使用国产密码算法的新型数据报传输层安全协议。
1 - 密码协议国产化
协议:通信的规范
(项目)安全要求:使用国密套件来替代国际密码 - 国产化、自主性
例如:OpenSSL –> GMSSL(GuoMi Secure Sockets Layer,国密安全套接字协议)
TLS – > TLCP
TLS – > DTLS –> DTLCP
2 - 密码学与网络的结合 - TLS 协议
2.1 - 设计目的
TLS 协议 综合运用了密码学中的对称密码,消息认证码,公钥密码,数字签名,伪随机数生成器等。
明文传输 HTTP 协议带来的安全风险:
(1) 窃听风险(eavesdropping):攻击者可以获知通信内容。
(2) 篡改风险(tampering):攻击者可以修改通信内容。
(3) 冒充风险(pretending):攻击者可以冒充他人身份参与通信。
- TLS协议是为了解决这三大风险而设计,对应密码学的设计准则:
(1) 机密性(Confidentiality): 信息是加密传播,无法获取明文信息(分组密码)。
(2) 完整性(Integrity):具有校验机制,信息被篡改会被发现(Mac消息验证码)。
(3) 认证性(Authentication):配备身份证书,防止身份被冒充(公钥密钥)。
OSI模型:
安全的HTTP - HTTPS协议:
2.2 - 架构
握手协议:共享密钥和交互证书,协商密码套件、压缩方式。
记录协议:消息的压缩,加密及数据的认证:
2.3 - TCP / UDP
例子:DNS查询
本次查询是基于UDP协议的: 
3 - DTLS 协议
DTLS(Datagram Transport Layer Security,数据报传输层安全协议)
DTLS 为 UDP 通信提供加密、认证和完整性保护,确保数据在传输过程中的安全性,同时保留 UDP 的低延迟优势。
基于UDP的改进
安全:数据加密、消息认证码、数字证书、序列号(抗重放)、无状态Cookie
可靠:序列号(重排)、重传、分片重组
4 - DTLCP协议
DTLCP(Datagram Transport Layer Cryptography Protocol,数据报传输层加密协议) 基于国密算法的一种传输层安全协议,对标DTLS协议
国产密码套件替换:
| 其他 | 国产 | 基于 |
|---|---|---|
| TLS(Transport Layer Security) | TLCP(Transport Layer Cryptographic Protocol) | TCP |
| DTLS(Datagram Transport Layer Security) | DTLCP | UDP |
DTLCP主要研究基于UDP的数据报传输层密码协议,在TLCP的基础上引入序列号和滑动窗口、消息分片与重组、消息超时重传、无状态Cookie等机制,保障基于UDP的应用协议在传输层的安全性。同时,拟通过预配置密码套件、预共享密钥衍生等方式提高本协议在物联网和流媒体等资源受限或实时环境中的适用性。
主要存在三个优势:
1)国密:国产化、自主可控
2)高效:UDP 无连接、低延迟的特点,适合对实时性要求较高的应用场景
3)安全:结合序列号、滑动窗口、无状态Cookie、消息分片重组和超时重传等机制,抗重放攻击、中间人攻击
Note:国密算法
SM2 椭圆曲线公钥密码,用于数字签名和密钥交换,保证通信双方身份的真实性;
SM3 哈希密码,生成消息摘要,保障数据完整性;
SM4 分组密码,用于数据加密,确保数据机密性。
5 - 其他国产化例子
GMSSL(GuoMi Secure Sockets Layer,国密安全套接字协议)对标 OpenSSL;
DNSSEC-GM 对标 DNSSEC(Domain Name System Security Extensions);
SSH-GM 对标 SSH
6 - 参考链接
[3] openHiTLS社区