我正在尝试在 Windows 下使用 Schannel 创建 DTLS“连接”(我正在最近的 Windows 10 版本下进行测试,因此 Schannel 支持的所有 DTLS 版本都应该可用)
我尝试按照文档从工作代码开始建立常规 TLS 连接:
- 在第一次通过时使用空输入初始化SecurityContext,在输出时使用 SECBUFFER_TOKEN 和 SECBUFFER_ALERT
- AcceptSecurityContext,输入为 SECBUFFER_TOKEN 和 SECBUFFER_EMPTY,输出为 SECBUFFER_TOKEN 和 SECBUFFER_ALERT。
- 重复这两个步骤直到成功,然后继续使用 Encrypt/DecryptMessage
这在流模式下工作得非常好(ISC_REQ_SEQUENCE_DETECT | ISC_REQ_REPLAY_DETECT | ISC_REQ_CONFIDENTIALITY | ISC_RET_EXTENDED_ERROR | ISC_REQ_ALLOCATE_MEMORY | ISC_REQ_STREAM)
如果我尝试用 ISC/ASC_REQ_DATAGRAM 替换 STREAM,我的 InitializeSecurityContext 会按预期以 SEC_I_CONTINUE_NEEDED 成功,但我的第一个 AcceptSecurityContext 然后以 SEC_E_INVALID_PARAMETER 失败。
我尝试将我的 SCHANNEL_CRED 的 grbitEnabledProtocols 设置为 0 以使用双方记录的默认值,我还尝试将其设置为 SP_PROT_DTLS1_X,但我仍然从我的第一个 ASC 获得无效参数返回。为了以防万一,我还尝试了 DTLS_1_0 常量。
此外,我的注册表设置中默认启用所有安全协议。
根据我对 DTLS RFC 的理解,我的代码在 HelloVerifyRequest 步骤中失败了,并且再次根据我对 RFC 的理解,这部分要求安全提供程序从 ClientHello 消息的几个部分以及源的IP地址。但是,我找不到任何记录方式将此信息传递给 ASC 函数。
(我认为?:))我已经在整个互联网上搜索了 Schannel 下 DTLS 的任何工作示例用法,但没有任何运气。在stackoverflow上,我发现这个问题只是简单地提到它是受支持的: Windows 7上的Schannel是否支持DTLS?,而链接的 MSDN 文章只是一个高级概述。
我搜索了与此功能相关的常量的任何使用...我能想到的所有搜索引擎要么是 sspi.h 的副本,要么是索引 Windows API 中的常量的网站......
我知道其他实现(OpenSSL 等)很好地支持 DTLS,但我真的更喜欢使用 Schannel,因为我的代码的其他部分目前在 TLS 模式下与 Schannel 一起工作得很好。