9.1 DTLS-Secured CoAP

如同HTTP在TCP中使用TLS来保证安全一样，CoAP在UDP之上使用DTLS[RFC6347]来保证安全(图13)。本节定义了CoAP绑定到DTLS和适合受限环境的必须强制执行最低的配置。绑定是通过一系列的单播CoAP增量来定义的。实际上，DTLS就是TLS和附加功能来处理UDP传输的不可靠特性。

        +----------------------+
        |      Application     |
        +----------------------+
        +----------------------+
        |  Requests/Responses  |
        |----------------------|  CoAP
        |       Messages       |
        +----------------------+
        +----------------------+
        |         DTLS         |
        +----------------------+
        +----------------------+
        |          UDP         |
        +----------------------+
          图 13: DTLS-Secured CoAP的抽象分层

在一些受限节点(有限的flash和RAM)和网络(受限带宽或者高可扩展性要求)中，依赖于正在使用的特定密码组合，DTLS的所有模式可能是不可用的。一些DTLS密码组合在设置安全关联时，可能增加一些复杂的重要实现以及一些所需的初始信号交换开销。一旦完成最初的握手，DTLS添加一个大约13字节的有限的per-datafgram开销，不包括任何的初始化向量/随机数(例如8个字节的TLS_PSK_WITH_AES_128_CCM_8[RFC6655]),完整性检查值(例如8个字节的TLS_PSK_WITH_AES_128_CCM_8[RFC6655]),和一些密码组合要求的填充值。考虑到可能适用的特定密码组，应该仔细权衡DTLS的给定模式是否适用于以CoAP为基础的应用程序，会话维护是否与应用流程兼容，用于约束节点和额外的网络开销的资源是否足够。(对于一些使用DTLS的模式，本规范确定了一个强制执行的密钥组。当这些密钥组的确合适时，能实现最大化的互通性。应用的特定安全策略可以决定使用的实际密钥组的实际设置)。DTLS不适用于组密钥(多播通信)；然而，它可能是未来组密钥管理协议中的一部分。