【发布时间】:2020-02-07 13:08:18
【问题描述】:
我正在尝试在我的 CoAP 服务器中实现 Contiki-2.7 中提供的 AES_128,但对于如何在浏览器中进行翻译有点困惑。
我有一些物理天空微尘作为 CoAP 服务器和边界路由器。我正在使用铜质浏览器查看 CoAP 资源。
我想使用 AES 加密流量,因此无法使用 Wireshark 或任何拦截器查看流量。
有人可以帮忙吗?
谢谢
【问题讨论】:
标签: encryption aes contiki coap
【发布时间】:2020-02-07 13:08:18
【问题描述】:
在 CoAP 上单独使用 AES 并没有真正意义,它需要以某种方式与 CoAP 集成。
- CoAP-over-DTLS(coaps,RFC7252)是传统选择,HTTPS 用户熟悉
- OSCORE (RFC8613, introduced well here) 是最近指定的,通常更紧凑
- IPsec 理论上可以工作,但我还没有看到它在 IoT 中使用。
Copper 既不支持 DTLS 也不支持 OSCORE,但又多年未更新,所以我建议先查看您实际使用的客户端软件。
我不知道 Contiki 目前支持什么,这在很大程度上取决于您使用的是哪个分支——但对于 DTLS 和 OSCORE,应该有一个分支。
【讨论】:
-
希望我们永远不会看到 IPsec over IoT,现在那将是一场我什至无法理解的噩梦。
-
@MaartenBodewes 我碰巧认识一些人,他们将 IPSec 用于低功耗物联网设备作为研究项目。如果你问我,那就浪费时间。
-
是的,我被要求对低端智能卡实施 TLS。如果您将配置限制到极端,您可能会有所收获,但通常复杂性太高了。
如上所述,仅 AES 似乎不符合任何已知标准。 据我所知,您使用 Californium 代理与您的节点进行通信。通常可以将传出请求设置为使用 coaps(CoAP over DTLS),但不能使用当前早期版本的代理 2 开箱即用。如果您可以等待几周,新的 Californium proxy2 将在未来提供。 无论如何,这对与代理的通信没有帮助。我不确定,为什么要使用 http 浏览器,proxy2 的当前 http-server 实现目前也不支持 https,但我认为它会......在几周内 :-)。
如果您考虑使用其他客户端,可能是 californium.tools cf-browser,直接使用节点会更容易,因为它们在您的网络设置中也可以在没有代理的情况下访问。
【讨论】:
-
我仍在使用 californium 代理,但我注意到数据以纯文本形式通过代理。因此,我试图在网络/传输层实施某种加密以使其更安全。你能建议一种方法吗?谢谢。
-
尝试 DTLS。也许contiki dtls 适合你。这只是一个好的开始,它不是你所需要的。而且 Californium proxy2 不支持开箱即用的 DTLS,因此您需要耐心并开始使用 californium coaps 客户端之一(例如 cf-secure)来测试 DTLS 实现。物联网的痛点之一似乎是,您需要多个组件的有效组合。这使得它有时真的很困难,需要很多时间才能熟悉它。