webrtc协议_webrtc音频系列——6、WebRTC 数据安全机制

最新推荐文章于 2023-08-15 14:55:48 发布
最新推荐文章于 2023-08-15 14:55:48 发布
阅读量283 收藏
点赞数
文章标签: webrtc协议

我们假设一个场景, A 与 B 通信,但此时 B 并不是真正的 B ,而是冒充的,这样 A 与 B 通信时,冒充的 B 就获得了 A 的重要信息。其实这种情况更多发生在会议系统或在线教育的小班课中,此时会议中有多人进行互动,如果黑客进入了会议中,他只需听别人说话,自己不发言,这样就将关键的信息窃取走了。所以现在的问题又来了,我们该如何辨别对方的身份是否合法呢

了解https协议的人都知道,https是通过非对称加密数字签名数字证书来确保数据传输的安全,这其实是SSL协议的一部分,在webrtc中也会采用类似SSL的机制来保证数据安全。这就是了DTLS。

我们先来看一下,webrtc是如何识别双方身份的。

它首先通过信令服务器交换 SDP,SDP 信息中包括了以下几个重要信息:

...
a=ice-ufrag:khLS
a=ice-pwd:cxLzteJaJBou3DspNaPsJhlQ
a=fingerprint:sha-256 FA:14:42:3B:C7:97:1B:E8:AE:0C2:71:03:05:05:16:8F:B9:C7:98:E9:60:43:
...

SDP 交换完成后,A 与 B 都获取到了对方的 ice-ufrag、ice-pwd 和 fingerprint 信息,有了这些信息后,就可验证对方是否是一个合法用户了。

其中, ice-ufrag 和 ice-pwd 是用户名和密码。当 A 与 B 建立连接时,A 每次发送数据到B,都要带着它的用户名和密码过来,此时 B 端就可以通过验证 A 带来的用户名和密码与 SDP 中的用户名和密码是否一致的,来判断 A 是否是一个合法用户了。

除此之外,fingerprint也是验证合法性的关键一步,它是存放公钥证书的指纹(或叫信息摘要),在通过 ice-ufrag 和 ice-pwd 验证用户的合法性之余,还要对它发送的证书做验证,看看证书在传输的过程中是否被窜改了。

8eae695e72ce182816e762b84a0fe4c4.png

从这张图中你可以看到, A 与 B 在传输数据之前,需要经历如下几个步骤。

  • 首先通过信令服务器交换 SDP 信息,也就是进行媒体协商。在 SDP 中记录了用户的用户名、密码和指纹,有了这些信息就可以对用户的身份进行确认了。
  • 然后就是双方通过 STUNTURN 协议获得自己的host、srflx 和 relay,交换candidate,这样双方才能建立连接。但是在语言视频直播中,客户端B一般是流媒体服务器,所以客户端A发一个STUN request ,服务端B响应一个STUN response,双方就可以建立连接了,但是发送STUN 消息的时候要带上用户名和密码。如果 STUN 消息中的用户名和密码与交换的 SDP 中的用户名和密码一致,则说明是合法用户。
  • A、B建立连接后,则需要进行 DTLS 协商(协商过程下面会讲),交换公钥证书并协商密码相关的信息。同时还要通过 fingerprint 对证书进行验证,确认其没有在传输中被窜改。
  • 最后,再使用协商后的密码信息和公钥对数据进行加密,开始传输音视频数据。

以上就是 WebRTC 保证数据安全的整套机制。

WebRTC 是通过使用 DTLS、SRTP 等几个协议的结合来达到数据安全的,那接下来我们就来分别看一下这几个协议是如何实现的。

DTLS协议

说到网络上的数据安全你可能首先想到的是 HTTPS, HTTPS 可以简单理解为“HTTP 协议 + SSL数据加密”,当然实际上它要复杂得多。HTTPS 的底层最初是使用 SSL协议对数据加密。当 SSL 更新到 3.0 时,IETF 对 SSL 3.0 进行了标准化,并增加了一些新的功能,不过基本与 SSL 3.0 没什么区别,标准化后的 SSL 更名为 TLS 1.0,所以可以说 TLS 1.0 就是 SSL 的 3.1 版本。

由于 TLS 底层是基于 TCP 协议的,而 WebRTC 音视频数据的传输主要基于 UDP 协议,因此 WebRTC 对数据的保护无法直接使用 TLS 协议。但 TLS 协议在数据安全方面做得确实非常完善,所以人们就想到是否可以将 TLS 协议移植到 UDP 协议上呢? 因此 DTLS 就应运而生了。

所以你可以认为DTLS 就是运行在 UDP 协议之上的简化版本的 TLS,它使用的安全机制与 TLS 几乎一模一样。

在 WebRTC 中为了更有效地保护音视频数据,所以需要使用 DTLS 协议交换公钥证书,并确认使用的密码算法,这个过程在 DTLS 协议中称为握手协议

1c6dc01b00ed6c548af8f036e7267b34.png

DTLS 的握手过程如下:

  • 首先 DTLS 协议采用 C/S 模式进行通信,其中发起请求的一端为客户端,接收请求的为服务端。
  • 客户端向服务端发送 ClientHello 消息,服务端收到请求后,回 ServerHello 消息,并将自己的证书发送给客户端,同时请求客户端证书。
  • 客户端收到证书后,将自己的证书发给服务端,并让服务端确认加密算法。
  • 服务端确认加密算法后,发送 Finished 消息,至此握手结束。

DTLS解决的问题

  • 交换密钥
  • 约定使用的加密算法

(DTLS不解决加密、解密的问题 , 加密解密的问题是通过 SRTP/SRTCP 协议解决的)

SRTP/SRTCP 协议

RTP/RTCP 协议并没有对它的负载数据进行任何保护。因此,如果你通过抓包工具,如 Wireshark,将音视频数据抓取到后,通过该工具就可以直接将音视频流播放出来,这是非常恐怖的事情。

在 WebRTC 中,为了防止这类事情发生,没有直接使用 RTP/RTCP 协议,而是使用了 SRTP/SRTCP 协议 ,即安全的 RTP/RTCP 协议。

WebRTC 使用了非常有名的 libsrtp 库将原来的 RTP/RTCP 协议数据转换成 SRTP/SRTCP 协议数据

SRTP要解决的问题

  • 对数据加密,保证数据安全
  • 保证数据完整性
weixin_39642619
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
会话描述协议-SDP
椛茶的博客
02-13 3516
SDP(Session Description Protocol) 是一种通用的会话描述协议,例如在音视频通话前通话双方需要进行媒体能力协商,比如协商双方都可支持的编解码类型,交换候选地址等,因此通话前都会发送一个 SDP,描述自己的会话和媒体等信息。
WebRTC SDP 详解和剖析
阿里云视频云的博客
11-24 1592
WebRTC 是 Web Real-Time Communication,即网页实时通信的缩写,是 RTC 协议的一种 Web 实现,项目由 Google 开源,并和 IETF 和 W3C 制定了行业标准。在国内 WebRTC 已经获得了越来越多厂商的支持,应用前景变得更加广阔,所以我们也开设专栏,分享阿里云内部的 WebRTC 研究工作。 本篇是阿里云视频云 WebRTC 技术专栏系列文章的第一篇,作者将从 WebRTC SDP 例子和关键属性的角度为大家深度剖析解读,其中也分享了阿里云技术专家的一些实践
ICE概要
Jitonm's Zone
10-19 2124
 一、ICE产生的背景基于信令协议的多媒体传输是一个两段式传输。首先,通过信令协议(如SIP)建立一个会话连接,通过该连接,会话双方(Agent)通过SIP交互所承载的SDP消息彼此学习传输媒体时所必须的信息,针对媒体传输机制达成共识。然后,通常采用RTP协议进行媒体传输。基于传输效率的考虑,通常在完成第一阶段的交互之后,通信双方另外建立一条直接的连接传输媒体。这样就会减少传输时延、降
sdp相关字段的rfc及意义
gredn的专栏
11-11 1486
1.a字段 1.1 crypto属性 a = crypto:<tag> <crypto-suite> <key-params> [<session-params>] a=crypto:1 AES_CM_128_HMAC_SHA1_80 inline:d0RmdmcmVCspeEc3QGZiNWpVLFJhQX1cfHAwJSoj|2^20|1:32 标签:用于在offer/answer中选择一种crypto属性 加密套件:描述加密的标识符和身份验证
【网络通信 -- WebRTCWebRTC 基础知识 -- ICE 交互总结
CopperSun 技术博客
08-09 2196
【网络通信 -- WebRTCWebRTC 基础知识 -- ICE 交互总结 【1】ICE 的一般概念简介 ICE 角色 offer (主动发起)的一方为 controlling 角色 answer (被动接受)的一方为 controlled 角色 full ice agent 必须是 controlling role,lite ice agent 是 controlled;srs 仅支持 lite ice ICE 模式 FULL ICE,双方都要进行连通性检查;ice 客户
WebRTC.zip_webrtc 降噪_webrtc降噪_降噪_音频处理部分_音频降噪
09-21
在这个“WebRTC.zip”压缩包中,我们重点关注的是WebRTC音频降噪方面的应用。 音频降噪是音频处理中的一个重要环节,其目的是从录制的音频信号中去除背景噪声,提高语音清晰度和可理解性。在WebRTC框架下,降噪...
webrtc.rar_webRTC AEC实例_webrtc_webrtc arm_webrtc resample_webrtc
07-15
webRTC的AEC实例,可直接运行,便于初学者学习了解webRTC
vad.zip_vad_webrtc_webrtc VAD_webrtc vad_witch
09-14
WebRTC(Web Real-Time Communication)是一项开放源代码项目,它为浏览器和其他应用程序提供了实时通信的能力,包括音频、视频和数据共享。在WebRTC中,语音活动检测(Voice Activity Detection,VAD)是一个至关...
webrtc_aec_测试音频
03-08
如果需要将.wav文件转换为pcm格式,只需去除文件头信息即可,因为pcm是一种无损的原始音频数据格式,常用于音频处理的底层操作。 在实际应用中,评估AEC性能通常会用到一些关键指标,比如回声消除增益(Echo ...
ANC.zip_webrtc_音频降噪 处理
07-14
近期在研究webrtc代码,把WebRTC的噪声抑制模块提取出来,也做了一些细节优化,目前可以支持8k、16k采样率的pcm数据,实际测试效果还是挺不错的,大家可以测试下效果;
WebRTC | SDP详解
该用户还没想到好的昵称的博客
08-15 3471
SDP的组织结构、SDP的格式以及WebRTC为了自身的需要对标准SDP的修改。
ICE介绍
热门推荐
射击与移动
09-12 2万+
高清视频会议MCU 1关于ICE的10个事实 1 ICE使用STUN和TURN 2 ICE是一种P2P的NAT穿越方式 3 ICE只需要网络提供STUN或TURN服务器 4 ICE允许在很复杂的网路环境下传输媒体流 5 ICE只在确定媒体流可到达情况下才让电话进行振铃 6 ICE动态发现终端间媒体流的最短路径 7 ICE可以附带消除DoS攻击 8 ICE可以几乎和任意类型的N
WebRTC - ICE 过程简述
paradox_1_0的博客
10-18 1262
1. ICE介绍 1.1.ICE的角色 分为 controlling和controlled。 Offer 一方为controlling角色,answer一方为controlled角色。 1.2.ICE的模式 分为FULL ICE和Lite ICE: FULL ICE:是双方都要进行连通性检查,完成的走一遍流程。 Lite ICE: 在FULL ICE和Lite ICE互通时,只需要FULL ICE一方进行连通性检查, Lite一方只需回应response消息。这种模式对于部署在公网的设备比较.
SDP
简单生活
12-12 806
协议汇总 webrtc依赖的服务有如下几种 signaling信令服务器,交换房间和会议的媒体信息,以及会议期间的消息,媒体描述使用的是SDP协议 ICE服务器,STUN和TURN,ICE的信息叫Candidate,可以通过SDP交换,或者通过Trickle SFU和MCU服务器 SDP协议:1998-RFC2327,2006-RFC4566,例子(https://webrtchacks.com/sdp-anatomy/?spm=ata.13261165.0.0.41035c8c9sVCVD) S
wbrtc ICE连接-候选地址和选择
流媒体巅峰之路
07-14 1266
完整SIP/SDP媒体协商概论-ICE初始offer发送详解 2020-05-25 14:16:56作者:james.zhu 来源:Asterisk开源派评论:0  点击:5973   在前面的章节中,我们主要讨论了ICE概览,介绍了ICE的基本处理流程和候选地址配对的算法概论和轻量级ICE部署(Lite Implementations)的讨论。和前面介绍中讨论的SIP中offer的处理一样,在此文章中,笔者也将首先介绍ICE处理过程中初始offer的发送处理。因为轻量级的IC...
9-WebRTC的SDP
LIJIWEI0611的博客
01-07 294
SDP规范 SDP的规范非常简单,它会将SDP分成两层, 第一层是会话层,会话层就相当于我们写程序时候的一个全局变量,我们写程序的时候有全局变量有局部变量,当局部变量没有设置的时候,那么我们这个全局变量在全局内都是有效的,我们在自己的函数里设置了局部变量,那么局部变量会覆盖全局变量,它也是这样一个层级关系,这个会话层就相当于全局变量的一些东西; 第二层是媒体层,媒体层就相当于我们自己 的一个个函数,或者按照SDP 的理解就是一个个媒体,比如一个音频流一个视频流,每一路视频每一路音频都是一...
WebRTC-STUN协议详解
码农修仙的博客
04-19 2279
1、STUN协议概述 STUN(Session Traversal Utilities for NAT)NAT会话穿透工具,STUN是一个Client/Server协议,支持请求/响应类型、指示类型两种类型。STUN作为ICE(Interactive Connectivity Establishment,交互式连接建立)解决方案的一种工具使用,STUN协议本身没有穿透等能力,只是为穿透提供反射地址,穿透不成功时,需要使用TURN协议。 1.1 请求/响应类型(request/response) 由客户端给服
互联网通信安全之 WebRTC 传输安全机制
weixin_44764152的博客
04-12 1012
全社会数字化转型加速叠加实时通信技术的蓬勃发展,实时通信已经已经渗透到各行各业,成为了人们现代化生活中不可或缺的重要交流手段。关注【融云全球互联网通信云】了解更多 其中,WebRTC 的出现更是使实时通信技术得以广泛应用,它提供了一套几乎所有主流浏览器都支持的标准 API,让浏览器之间无插件化的音视频互通成为可能,大大降低了音视频开发的门槛。视频会议、视频招聘、远程医疗等等需要实时互动的场景中,都可以看到 WebRTC 的身影。 在 WebRTC 中,为了保证媒体传输的安全性,引入了 DTLS
用SRS搭建WebRTC流媒体服务器实战
m0_60259116的博客
07-13 3950
用SRS搭建WebRTC流媒体服务器实战
WebRtcNs_Analyze
最新发布
04-25
WebRtcNs_Analyze是**WebRTC项目中的一个音频处理模块**,主要用于对音频信号进行分析和处理。 以下是关于WebRtcNs_Analyze的详细介绍: 1. **功能用途**:WebRtcNs_Analyze是WebRTC中网络回声消除(NetEq)的一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值