Webrtc通道协议总览图
WebRtc媒体建立流程图
SCTP:
当我们在网上搜索SCTP时,会看到相关的描述,将SCTP介绍为与UDP,TCP同一层次的传输层协议。最早STCP是把窄带7号信令的可靠性传输机制引入到IP协议、优化TCP协议的不能分帧传输的局限性提出来的,不过后来应用不是很广泛。在WebRTC中实现数据通道使用的SCTP是基于改良剪切版的,有两个草案描述了该改良版本《draft-ietf-rtcweb-data-channel-13》、《draft-ietf-rtcweb-data-protocol-09》(此处描述来源于webrtc数据通道之SCTP over DTLS简介)。WebRTC要求使用SCTP必须开启DTLS,协议的分层图如上图:可以得知WebRTC中的SCTP实际上是基于UDP在应用层提供的相关实现,而非常规意义上的OSI模型中的传输层。
DTLS:
DTLS(Datagram Transport Layer Security) 的作用:给数据通道数据加密(保证数据安全性)、增加链路证书校验机制(防止网络攻击),提供了 UDP 传输场景下的安全机制,能防止窃听、篡改、冒充等问题。在 WebRTC中使用 DTLS 的地方包括两部分:
1、datachannel数据通道,在datachannel数据通道中,webrtc完全使用dtls来进行协商和加解密
2、MediaChannel媒体通道,在媒体通道中,webrtc使用srtp来进行数据的加解密,dtls的作用仅仅用来做密钥交换,RTP/RTCP的书为了与历史设备兼容性考虑,完全通过SRTP来实现
dtls交互流程如下:
Webrtc 中DTLS的参数
WebRTC 中的 DTLS 参数需要通过 SDP 信息来设置和传递,而且只需要两种 a line 表示:
a=setup
a=fingerprint
a=setup 表示 DTLS 的协商过程中角色,有三个可能值:
a=setup:actpass 既可以是 client 角色,也可以是 server 角色
a=setup:active client 角色
a=setup:passive server 角色
根据 RFC5763,SDP请求的 a=setup 属性必须是 actpass,由应答方决定谁是 DTLS client,谁是 DTLS server。
a=fingerprint 的内容是证书的摘要签名,用于验证证书的有效性,防止冒充。
SRTP:
通过 DTLS 协商后,RTC 通信的双方完成 MasterKey 和 MasterSalt 的协商。接下来,我们继续分析在 WebRTC 中,如何使用交换的密钥,来对 RTP 和 RTCP 进行加密,实现数据的安全传输。
RTP/RTCP 协议并没有对它的负载数据进行任何保护。因此,如果攻击者通过抓包工具,如 Wireshark,将音视频数据抓取到后,通过该工具就可以直接将音视频流播放出来,这是非常恐怖的事情。
在 WebRTC 中,为了防止这类事情发生,没有直接使用 RTP/RTCP 协议,而是使用了 SRTP/SRTCP 协议 ,即安全的 RTP/RTCP 协议。WebRTC 使用了非常有名的 libsrtp 库将原来的 RTP/RTCP 协议数据转换成 SRTP/SRTCP 协议数据。
SRTP 要解决的问题:
・对 RTP/RTCP 的负载 (payload) 进行加密,保证数据安全;
・保证 RTP/RTCP 包的完整性,同时防重放攻击。
SRTP/SRTCP 结构
SRTP结构:
**
从 SRTP 结构图中可以看到:
- 加密部分 Encrypted Portion,由 payload, RTP padding 和 RTP pad count 部分组成。也就是我们通常所说的仅对 RTP 负载数据加密。
- 需要校验部分 Authenticated Portion,由 RTP Header, RTP Header extension 和 Encrypted Portion 部分组成。
通常情况下只需要对 RTP 负载数据进行加密,如果需要对 RTP header extension 进行加密,RFC6904 给出了详细方案,在 libsrtp 中也完成了实现。
SRTCP 结构
文中部分引用来源:
https://blog.csdn.net/aggresss/article/details/108019570
https://blog.csdn.net/alitech2017/article/details/118089200
1078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
