如何解决DTLSOpenSSL中的会话ID
| 我正在尝试使用OpenSSL实现DTLS服务器。我可以通过获取应用程序数据,但是当客户端和服务器进行协商后,我注意到服务器上的session_id为null。 检查代码,更具体地说,检查ssl_sess.c,将session_id_length显式设置为零,注释参考RFC4507。 我的问题是,在协商连接时,我可以使用哪个ID来唯一标识客户端? 我已经注意到,在客户端,会话ID似乎是从票证中计算出来的,但是在服务器上似乎没有发生。解决方法
与任何基于数据报的应用程序相同。根据RFC 4347(数据报传输层安全性):
请注意,与IPsec不同,DTLS记录
不包含任何关联
身份标识。申请必须
安排在
协会。使用UDP,这是
大概是通过主机/端口号完成的。
(强调我的)
从您的评论看来,您似乎实际上是在尝试跨“会话”(一个模糊但可能适用的描述符)保持状态。跨“会话”维护状态是应用程序层的问题。 (D)TLS是传输层(因此得名)。
严格来说,运行(D)TLS的应用程序需要具有自己的“客户端ID”概念,该概念由客户端发送到服务器。有多种处理方法,具体取决于应用程序的性质和安全要求(当然,用户名+密码是最常见的)。
另一个选择是使用客户端证书来代替独立的应用程序层ID,但这仍然需要应用程序层了解正在发生的事情并将客户端的证书与永久状态信息相关联。烦人的是,这需要为每个客户端管理单独的证书。这足以使大多数人不选择这条路。它确实具有优势,例如用户无法完全选择错误的密码或将其写在监视器上的便签上。另一方面,如果有人访问了存储证书的文件,则无论如何它都是游戏。
当然,很多书可以(并且频频)写关于安全性和认证的主题...
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。