资料包传输层安全

资料包传输层安全（DTLS）是一种基于TLS的加密协议，与TLS不同，它还可以通过UDP等无连接传输协议进行传输。

随着 IP 语音 (VoIP) 和在那里广泛使用的 SIP 信令协议，由于各种优势，它xxx通过 UDP 传输，因此需要将 TLS 为 SIP over TCP 提供的安全性转移到 UDP 上的传输。 TLS 本身并不适用于此，因为丢包后的所有数据包都无法通过身份验证。

尽管 DTLS 在 2006 年 4 月在 RFC 4347 中被标准化，但它目前仅用于 ReSIProcate SIP 堆栈、Citrix Enlightened Data Transport (ICA over UDP) 和 VPN 协议，例如 Cisco AnyConnect。 DTLS 还用于 2014 年提出的物联网和智能家居网络协议 Thread。

DTLS 的工作原理与 TLS 非常相似。 为了不因对原始协议的过多更改而对新协议的安全性产生影响，仅在使用不可靠的传输协议时需要在那些点上进行更改。 这些变化是：

• 在通信开始时恢复握手的可靠性，因为在这部分必须保证所有数据包的到达才能启用身份验证和密钥交换。 这是通过在一定时间后重新发送数据包来完成的。
• 传输过程中每个数据包的明确编号。 这仅在 TLS 中隐式发生，这意味着在数据包丢失的情况下无法再计算正确的 HMAC，这表示完整性违规并进而导致连接终止。
• 针对单个数据包的可选重放检测。