webrtc安全性 加密方式
媒体加密与通信安全
有各种不同的做法会让实时通信软件暴露在安全隐患中。其中需要特别值得注意的是在信息传输的过程中截取未加密的媒体或者数据。这可以发生在浏览器到浏览器之间或者浏览器到服务器之间的通信过程中,第三方可以窃取到所有发送的数据。但是在数据加密之后,可以有效的组织窃听者获取通信流中的内容。只有拥有加密密钥的会话参与方才可以将通信数据流解码。加密功能在WebRTC中是强制要求的,所有内容,包括信令机制,都必须进行加密工作。所以,所有通过WebRTC发送出的媒体流都会通过标准化的知名的加密协议得到保护。由传输通道的类型决定加密协议;数据流使用数据报传输层安全协议(DTLS)进行加密,媒体流使用安全实时传输协议(SRTP)进行加密。
4.3.1 DTLS:数据报传输层安全协议
WebRTC使用DTLS加密发送的信息,所有通过RTCDataChannel全都使用DTLS来确保安全性。DTLS是一个标准化的协议,已经内置在了所有支持WebRTC的浏览器中,并且始终在网页浏览器,电子邮件和VoIP平台上进行信息加密工作。该协议内置的特性意味着不需要再使用前进行任何设置。与其他加密协议一样,DTLS的目标是防止信息窃取。DTLS是基于面向流的TLS所建模的,TLS是一个使用非对称密码技术,数据和信息授权技术来提供全面加密技术的协议。TLS是实际的网页加密标准,TLS被设计用来给可靠的TCP传输机制提供服务,但不适用于使用UDP这种不可靠传输机制的VoIP应用。DTLS协议是从SSL衍生来的,所有数据都认为是与使用任何基于标准SSL连接中的数据一样安全。事实上,WebRTC数据可以通过任何基于标准SSL的连接来进行保护,使WebRTC可以在几乎任何服务器场景中提供端到端加密。参考文献[8]
4.3.1.1 TURN上的DTLS
所有WebRTC通信的默认选项是在两个浏览器之间建立直接P2P通信,在设置阶段有信令服务器的帮助。在TURN通信过程中,媒体可能会出现质量降低以及延时增加的情况,但是允许“如果其他所有都失败了”这种情景迫使WebRTC应用在很差的环境下继续工作。我们必须考虑在TURN的替代通信结构上进行通信加密。我们知道,无论什么通信方法,被发送的数据都会在终端被加密。TURN服务器的目的是简单的在通话参与方之间进行WebRTC数据传输,以及只在获取路由目的的时候对WebRTC数据包中的UDP层进行解析。服务器不会为了路由数据包而解码应用数据层信息,所以我们可以确定它们不会(且不能)对DTLS加密产生影响。所以,加密保护不会因为WebRTC通信在TURN上传输就受损,并且服务器不能读懂或者更改对等端之间所传送的信息。
4.3.2 SRTP:安全实时传输协议
基本的RTP不具备任何内置的安全机制,而这就导致了传输的数据没有任何保护。取而代之的是使用外在机制来给数据提供加密。事实上,使用未经加密的RTP是被WebRTC规范所明文禁止的。WebRTC使用SRTP来对媒体流进行加密,而不是DTLS。这是因为SRTP相比于DTLS,是更轻型的协议。规范要求任何WebRTC实现都要支持RTP/SAVPF。但是,实际的SRTP密钥交换最开始时使用DTLS-SRTP进行的,可以检测到任一MiTM攻击。
4.3.3 安全连接的建立
在这一小节中让我们来探讨一下WebRTC应用建立一通新的通话的过程。在这个例子中,有两个会话参与方,Alice和Bob。在一方(Alice)打电话给另一方(Bob)的时候初始化通话进程,然后信令处理在双方之间交换相关的数据元。一旦初始ICE检查结束了,双方就会开始设立一个或多个安全通道。最开始,DTLS握手会发生在ICE所创立的所有通道上。对于这些数据通道而言,单独这一步作为简单的DTLS对于加密来说已经足够用了。但是对于媒体通道,需要进行其他的额外步骤。一旦DTLS握手结束后,密钥被“发出”并且作为媒体通道的密钥SRTP。在这一步,会话双方都知道他们可以使用这些密钥与对方分享安全的数据和/或媒体通道,并且这些通道是不为恶意的第三方所知晓的。参考文献[10]
4.3.4 DTLS-SRTP vs SDES
为了在媒体传输会话中协商安全性参数,SRTP需要与密钥管理协议进行互动。此协议是未确定的,给任务提供多个可能的选择。其中两个选择分别为SDES和DTLS-SRTP。需要提醒的是,多媒体通信中涉及到的信令(SIP,HTTP)和媒体(RTP)可以单独地进行安全加密。
SDES
对媒体流的SDP安全描述(SDP Security Description for Media Streams, SDES)是WebRTC之前所选择的方法。SDES中,被用来设立SRTP会话的安全性参数和密钥,以SDP属性的形式进行交换。因为SDP是在信令平面上进行传输的,如果不是额外再针对信令消息进行加密的话,那么窃听者还是可以获得密钥,从而窃取SDES加密的数据。换句话说,还需要再使用一个额外的加密协议来给信令平面进行加密。一种实现方法是使用TLS。但是,如果单独对信令和媒体进行加密,可能会使媒体用户与信令用户不同的情况发生(不保证一定会发生)。为了能够保证上述事情发生,还需要有密码捆绑。DTLS-SRTP就是可以提供这项保证的机制之一,但是SDES不能。至今还存在一个尚未解决的问题,就是大部分VoIP网络的RTP数据并没有安全保护。事实上,为了将花费削减到预算可接受程度,用户通常都会先向技术提供商提出砍掉加密功能的要求。当得到安全保证后,绝大多数使用SDES的部署,就像我们刚刚提到的那样,很大程度上的依赖于信令平面的安全性。
DTLS-SRTP
另一方面,DTLS-SRTP在媒体平面上交换密钥,而不是信令平面。这项不同之处使SRTP媒体通道不需要像SDES一样,在SDP信息交换中不需要将私钥暴露出来。WebRTC规范指出WebRTC实现必须支持DTLS-SRTP来进行密钥管理。还有,DTLS-SRTP是默认方案,而且不允许使用其他的密钥管理方案。换句话说,其他的方案可能,也可能不会得到一点支持。如果一个请求或者“通话”被同时支持DTLS-SRTP和SDES的对等端接收,无论信令加密与否,都必须选择使用DTLS-SRTP。
https://webrtc.org.cn/webrtc-security/
相关文章:
webrtc安全性 加密方式
媒体加密与通信安全 有各种不同的做法会让实时通信软件暴露在安全隐患中。其中需要特别值得注意的是在信息传输的过程中截取未加密的媒体或者数据。这可以发生在浏览器到浏览器之间或者浏览器到服务器之间的通信过程中,第三方可以窃取到所有发送的数据。但是在数据加…...
)
【2023年11月第四版教材】软考上机考试操作指南(注意事项)
软考上机考试操作指南(注意事项) 1 考试注意事项2 获取<font color=blue>模拟作答系统1.1 方式1:绑定资源下载1.2 方式2:百度网盘下载1.3 方式3:官方下载1.4 说明3 模拟作答系统使用方法3.1 注意事项3.2 解压压缩文件3.3 运行软件3.4 考试科目选择3.5 登录3.6 阅读考…...
在vs code中创建一个名为 “django_env“ 的虚拟环境报错?!以下方法可以解决
# vs code 终端窗口中运行: mkvirtualenv django_env # 拓展: mkvirtualenv django_env 是一个命令,用于创建一个名为 "django_env" 的虚拟环境。虚拟环境是一种用于隔离不同Python项目所需依赖的工具。通过创建虚拟环境&#x…...
C++产生未定义的行为的原因分析
前言 最近一直在做QT开发,编程环境是VS2017和QT5.11.2 经常遇到的问题就是,在VS中调试程序,前面都是正常运行的,但是当关闭窗口,退出程序的时候,VS会抛出一个异常 “未加载ntdll.pdb,触发了一…...
C++ Qt QString类用法介绍
QString 是 Qt 框架中的一个重要类,用于处理 Unicode 字符串。它提供了大量的功能,方便开发者处理、查询和操作字符串。以下是 QString 的一些常用功能和示例: 构造和初始化 QString s1; // 默认构造函数,创建一个空字符串 QStr…...
亚马逊测评关于IP和DNS的问题
最近不少人询问了关于IP和DNS的问题,在此进行一些科普。 当客户端试图访问一个网站时,首先会向其所在的ISP的DNS服务器进行查询。如果ISP的DNS服务器没有相关缓存,则会向上级DNS服务器进行查询。 一些诸如CDN之类的服务,可能会为…...
新增Node.js运行环境、新增系统缓存清理功能,1Panel开源面板v1.7.0发布
2023年10月16日,现代化、开源的Linux服务器运维管理面板1Panel正式发布v1.7.0版本。 在这个版本中,1Panel新增Node.js运行环境;新增系统缓存清理功能;应用安装时支持选择远程数据库。此外,我们进行了40多项功能更新和…...
】60 - QNX Host 如何新增 android_test 分区给 Android GVM 挂载使用)
【SA8295P 源码分析 (一)】60 - QNX Host 如何新增 android_test 分区给 Android GVM 挂载使用
【SA8295P 源码分析】60 - QNX Host 如何新增 android_test 分区给 Android GVM 挂载使用 一、QNX 侧:创建分区、配置下载、配置透传1.1 修改分区表,新增 android_test 分区,大小为 2GByte1.2 下载 android_test.img 镜像1.3 配置 /dev/disk/android_test_a 分区透传到 Andr…...
天津滨海新区城市轨道交通电能管理系统方案与实施方案
【摘要】:介绍天津滨海新区轨道交通项目建设电能管理系统的系统架构、功能组成和实施方案。在借鉴其他城市轨道交通项目电能管理系统的基础上,结合天津滨海新区轨道交通建设的具体情况,对系统组网方案、测量表计设置原则、与通风空调节能系统和照明节能系…...
torch.cat 使用小节
torch.cat 使用小节 torch.cat 要求在所指定拼接维度之外的所有维度都要匹配,例如 import torch v1 torch.tensor([[1, 2, 3], [4, 5, 6], [4, 5, 6]]) # 3*3 v2 torch.tensor([[3, 6, 8]]) # 1*3 torch.cat([v1, v2], dim1)运行之后会报错 Sizes of tensors…...
Java:SpringBoot整合Spring Batch示例
目录 文档基础概念Tasklet方式示例Chunk方式示例参考文章 文档 https://docs.spring.io/spring-batch/docs/4.3.9/reference/html/index.html 基础概念 JobLauncher:作业启动器,启动作业的入口。对应的实现类为SimpleJobLauncher。Job:作业…...
Windows + Msys 下编译 TensorFlow 2.14
安装基本工具 pacman -S --needed zip unzip patch diffutils git 下载安装 Windows 版本 bazel 6.1.2,复制到 C:/Windows/system32 目录下,改名为 bazel.exe wget https://github.com/bazelbuild/bazel/releases/download/6.1.2/bazel-6.1.2-window…...
百度发布全新 AI 互动式搜索:百度简单搜索
本心、输入输出、结果 文章目录 百度发布全新 AI 互动式搜索:百度简单搜索前言主要能力 相关资料能力介绍 百度搜索升级发文告用户如何获取百度简单搜索百度简单搜索的定位百度简单搜索在 APP 上面的体验讨论和点评我们关注的几个问题 弘扬爱国精神 百度发布全新 AI…...
VUE开发记录
记录vue开发中遇到的问题 - 2023/10/16 问题:项目element-ui表单中,input点击需要打开弹框,弹框选择值后回填到input,但是此时elementUI的校验出错(值存在却校验为空) 解决方法: this.employee…...
2023年中国乳胶制品产量、需求量及市场规模分析[图]
乳胶泛指聚合物微粒分散于水中形成的胶体乳液,又称胶乳。习惯上将橡胶微粒的水分散体称为胶乳,而将树脂微粒的水分散体称为乳液。以乳胶为原料制成的制品称乳胶制品,常见的如海绵、手套、玩具、胶管等。 我国乳胶制品细分主要分为避孕套、乳胶…...
手撕Vue-数据驱动界面改变上
经过上一篇的介绍,已经实现了监听数据的变化,接下来就是要实现数据变化后,界面也跟着变化,这就是数据驱动界面改变。 想要实现数据变化之后更新UI界面,我们可以使用发布订阅模式来实现,先定义一个观察者类,…...
for循环中循环一次提交一次 insert update 关闭事务 spring springboot mybatis
省流: 在方法上直接加如下注解: Transactional(propagation Propagation.NOT_SUPPORTED) public void t1(){//业务代码 } 正文: 在测试的时候,有时候会希望在for循环中,代码循环一次就提交一次事务。 方法一&#…...
VS2010 C语言内嵌汇编语言程序
VS2010 C语言内嵌汇编语言程序 2021年7月28日席锦 在visual studio 2010中C语言使用内联汇编写代码 ,它的格式有两种, 一种是__asm 直接接汇编指令语句,比如:__asm int 3 // 软件中断 另一种是加上花括号,类似于一个函数&…...
【TES720D】青翼科技基于复旦微的FMQL20S400全国产化ARM核心模块
板卡概述 TES720D是一款基于上海复旦微电子FMQL20S400的全国产化核心模块。该核心模块将复旦微的FMQL20S400(兼容FMQL10S400)的最小系统集成在了一个50*70mm的核心板上,可以作为一个核心模块,进行功能性扩展,特别是用…...
css 左右滚轮无缝衔接
最近的项目有做到一个功能 类似跑马灯或者公告栏那种 有文字 也有列表的 所以 写了两种 第一种公告栏文字是用的js 第二种图文类型是用的css 两种方法 记录一下 第一种 纯文字滚动 其实也是根据js去计算dom的宽度 通过js去给css赋值 <div class"div1"><div …...
VINS-Fusion 实战指南:从环境搭建到多传感器融合部署
1. VINS-Fusion入门:为什么选择这个多传感器融合方案 第一次接触VINS-Fusion是在做一个无人机定位项目时,当时试过各种开源SLAM方案,最后发现这个来自香港科技大学团队的工具在传感器融合方面确实有两把刷子。简单来说,它就像个聪…...
旧设备复活计划:Windows 11硬件限制解除完全指南
旧设备复活计划:Windows 11硬件限制解除完全指南 【免费下载链接】rufus The Reliable USB Formatting Utility 项目地址: https://gitcode.com/GitHub_Trending/ru/rufus 随着操作系统升级需求的增长,大量性能尚可的旧设备因TPM 2.0等硬件限制无…...
)
阿里云服务器+域名备案全流程避坑指南(附小程序开发必备配置)
阿里云服务器与域名备案实战指南:从小程序开发到前后端部署全解析 第一次在阿里云上配置服务器并完成域名备案的经历,就像新手司机独自上高速——既兴奋又忐忑。记得去年我们团队开发校园服务小程序时,原本计划两周完成的服务器部署ÿ…...
GD32F4实战:在FreeRTOS上跑LWIP,网线热插拔怎么搞才稳?
GD32F4实战:FreeRTOS与LWIP深度整合中的网线热插拔稳定性设计 在工业物联网和边缘计算场景中,嵌入式设备的网络稳定性直接关系到系统可靠性。GD32F4系列作为国产MCU的优秀代表,配合FreeRTOS和LWIP的黄金组合,为开发者提供了高性价…...
华为交换机VRRP实战:用eNSP模拟一个部门隔离、主备网关自动切换的企业网
华为eNSP实战:VRRP高可用网关设计与故障模拟全解析 当市场部的同事正在视频会议时突然断网,而技术部的代码提交也因网络抖动失败——这类因单点故障引发的业务中断,在企业网中绝非个例。本文将用华为eNSP模拟器,带您构建一个具备毫…...
手把手教你用Ollama玩转translategemma-27b-it:图文翻译全攻略
手把手教你用Ollama玩转translategemma-27b-it:图文翻译全攻略 1. 认识translategemma-27b-it:你的专业翻译助手 1.1 什么是translategemma-27b-it translategemma-27b-it是Google基于Gemma 3架构开发的开源翻译模型,专为多语言图文翻译任…...
)
threestudio-3dgs实战:5分钟生成可编辑的3D汉堡模型(避坑指南)
threestudio-3dgs实战:5分钟生成可编辑的3D汉堡模型(避坑指南) 当我在深夜调试完最后一个参数,看到屏幕上那个纹理清晰、结构完整的3D汉堡模型时,突然意识到——3D高斯泼溅技术正在彻底改变数字内容创作的方式。不同于…...
)
面试官最爱问的归并排序:从递归到非递归,带你彻底搞懂边界条件与内存管理(避坑指南)
归并排序实战:从递归陷阱到非递归优化的工程级实现 在技术面试中,归并排序就像一位老练的考官,总能用各种边界条件挑战候选人的代码功底。我曾见过不少开发者能流畅写出递归版本,却在非递归实现中陷入无限循环;也有候选…...
ML-Agents终极指南:如何快速生成训练数据与合成样本技术
ML-Agents终极指南:如何快速生成训练数据与合成样本技术 【免费下载链接】ml-agents Unity-Technologies/ml-agents: 是一个基于 Python 语言的机器学习库,可以方便地实现机器学习算法的实现和测试。该项目提供了一个简单易用的机器学习库,可…...
打造直播APP礼物列表丝滑体验:SmartRefreshLayout实战指南
打造直播APP礼物列表丝滑体验:SmartRefreshLayout实战指南 【免费下载链接】SmartRefreshLayout 🔥下拉刷新、上拉加载、二级刷新、淘宝二楼、RefreshLayout、OverScroll,Android智能下拉刷新框架,支持越界回弹、越界拖动…...