DTLS状态共享

Question

我有一个集群，它使用DTLS与客户端进行通信。

有某种安全的分布式存储(.)

正如我们所知，DTLS状态是相当长的寿命。因此，在典型的负载平衡方案中，加密的数据包将被转发给无法解密的服务器。

我指的不是src ip由于NAT绑定更改而改变的情况(这是我们无法控制的)。

所以我想..。

为了不给负载均衡器带来一些严重的限制(比如：总是将这个src转发给该服务器并希望得到最好的结果)，并尽可能长地保留DTLS状态，那么如何使用DTLS呢？

是否(甚至)值得考虑使用一些分布式缓存的DTLS会话参数来扩展一些现有的DTLS库(如钪) (以便任何节点都能够解密数据包)？

它是否适用于JDK>=9 (很难遵循ssl代码)

Answer 1

下面是一些关于这方面的信息的链接：

https://github.com/eclipse/leshan/wiki/Cluster

https://github.com/eclipse/leshan/wiki/Using-Leshan-server-in-a-cluster

乐山项目的基础是加利福尼亚和瑞典，所以集群的问题与你的非常相似。然而，没有太多的信息。

但从根本上说，很难说清楚。它取决于您的用例/集群配置，并意味着一些负载测试。否则，这只是猜测。

尽可能长地保留DTLS状态

顺便说一句，TLS 1.2规范说：

建议会话ID生存期的上限为24小时，因为获得master_secret的攻击者可以冒充受损方，直到相应的会话ID退役为止。

所以最好选择一些合理的寿命。