Existe-t-il un moyen d'authentification et d'autorisation dans SoAP sans DTLS et sur la couche application?
3 Réponses :
Eh bien, vous avez peut-être crypter votre charge utile, élaborer une approche d'échange de clés, etc., mais c'est une très mauvaise idée à moins que vous ne soyez un expert en sécurité de haut niveau. Bien que même dans ce cas, des stratagèmes largement inconnus publiquement constituent une menace.
DTLS couvre la plupart des problèmes de sécurité de manière éprouvée.
Pourquoi ne devrions-nous pas lancer notre propre [schéma de sécurité]?
Oui, il y a: OSCORE (RFC8613) a été publié récemment et fournit une couche d'application sécurité de bout en bout, peut prendre en charge la multidiffusion ( séparé document , assez stable mais pas encore une RFC) et peut toujours utiliser des proxies CoAP pour la retransmission et la fragmentation.
OSCORE à lui seul ne fournit que les parties symétriques, donc pour l'authentification à l'aide de certificats, de clés publiques brutes ou pour obtenir un secret de transmission parfait, vous aurez toujours besoin de ... quelque chose ( EDHOC a été suggéré de remplir ces parties et est ma solution préférée) - mais si vous en avez besoin dépend vraiment de votre application particulière.
En ce qui concerne l'autorisation, vous pouvez consulter CWT (RFC8392) (le < em> Co version simplifiée de JWT); d'autres documents sur ce sont en préparation .
Si vous recherchez une approche alternative, je vous recommande fortement de mentionner votre intention de le faire. Non pas que vous tombiez de pluie en tempête.
Alors, avez-vous des inconvénients importants avec DTLS?
DTLS a sa complexité et ses pièges. Si d'autres approches, comme OSCORE, sont plus compétitives, cela dépend de vos critères.
Wow, je ne savais pas que l'équipe de Californium travaillait à son intégration. Merci.