手抖，没写完就发送出去了。。。

步骤

1. 客户端生成一个本地 TokenC

2. 客户端向指定服务器发起符合预设格式的 DNS 查询，用以向服务器申请 TokenS，以及告知 TokenC

3. 服务器通过 DNS 答复，发送 TokenS，经过签名的 TokenC 用以证明自身身份，防止中间人

4. 客户端对 TokenS 签名为 sign(TokenS) ，并向服务器 443 发起 TCP 连接，先行发送 sign(TokenS) 以验证身份

5. 服务器在 443 监听，通过 sign(TokenS) 辨别特殊流量，并作特殊处理。连接完成

在第 4 步，先行发送 sign(TokenS) ，我想表达的意思是，在特殊流量前，插入 sign(TokenS) ，与特殊流量一起发送。
类似于一个 0-RTT 的过程。

你都有 preshared key 了还这么麻烦干什么…直接加密发送数据不就行了

@ZRS 即使有 preshared key 也不一定能支持多个用户，在同一时间段内，在同一个端口上，使用不同的 preshared key，进行通信。例如著名的某协议 。

这是为了不暴露协议特征而故意设计成无协商无握手过程。tls 可以协商密钥，但是握手特征非常明显，于是可以有明确的判定方法。