互联网通信安全之 WebRTC 传输安全机制
全社会数字化转型加速叠加实时通信技术的蓬勃发展,实时通信已经已经渗透到各行各业,成为了人们现代化生活中不可或缺的重要交流手段。关注【融云全球互联网通信云】了解更多
其中,WebRTC 的出现更是使实时通信技术得以广泛应用,它提供了一套几乎所有主流浏览器都支持的标准 API,让浏览器之间无插件化的音视频互通成为可能,大大降低了音视频开发的门槛。视频会议、视频招聘、远程医疗等等需要实时互动的场景中,都可以看到 WebRTC 的身影。
在 WebRTC 中,为了保证媒体传输的安全性,引入了 DTLS 和 SRTP 来对通信过程进行加密。DTLS 的作用、原理与 SSL/TLS 类似,都是为了使通信过程变得更安全。
本文作为互联网通信安全系列文的第二篇,主要分享 WebRTC 传输安全机制:DTLS 和 SRTP。
常用加密方法
加密技术
1. 对称加密
对称加密(Symmetric Cryptography),又称私钥加密,是最快速、最简单的一种加密方式,加密(encryption)与解密(decryption)用的是同样的密钥(secret key)。
对称加密有很多种算法,由于它效率很高,所以被广泛使用在很多加密协议中。对称加密通常使用的是相对较小的密钥,一般小于 256 bit。密钥越大,加密越强,但加密与解密的过程也就越慢。密钥的大小既要照顾到安全性,也要照顾到效率。
2. 非对称加密
非对称加密(Asymmetric Cryptography),又称公钥加密。它使用了一对密钥,公钥(public key)和私钥(private key),为数据的加密与解密提供了一个非常安全的方法。
私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密,而解密则需要另一个密钥。比如,你向银行请求公钥,银行将公钥发给你,你使用公钥对消息加密,那么只有私钥的持有人——银行才能对你的消息解密。与对称加密不同的是,银行不需要通过网络发送私钥,安全性大大提高。
对称加密和非对称加密的区别,总结如下:
(1)对称加密的加密与解密使用的是同样的密钥,所以速度快,但由于需要将密钥在网络传输,所以安全性不高。
(2)非对称加密使用了一对密钥,公钥与私钥,所以安全性高,但加密与解密速度慢。
(3)解决方案是将对称加密的密钥使用非对称加密的公钥进行加密,然后发送出去,接收方使用私钥进行解密得到对称加密的密钥,然后双方可以使用对称加密来进行沟通。
数字签名
数字签名是附加在报文上的特殊加密校验码,即所谓的校验和,利用了非对称加密密钥加密技术。
数字签名的主要作用是防止报文被篡改,一旦报文被攻击者篡改,通过将其与校验和进行匹配,可以立刻被接收者发现。数字签名的过程如下图所示:
(数字签名的过程)
发送者 A 将报文摘要(报文通过 SHA-1 等哈希算法生成摘要)通过私有密钥加密生成签名,与明文报文一起发给接收者 B,接收者 B 通过对收到的信息进行计算后得到两份报文摘要,比较这两份报文摘要是否相等可以验证报文是否被篡改,即:
(1)明文报文通过使用与发送端相同的哈希算法生成摘要 1;
(2)签名通过公开密钥解密后生成摘要 2。
(数字签名的过程)
数字证书
数字证书是由一些公认可信的证书颁发机构签发的,不易伪造。包括如下内容:
证书序列号
证书签名算法
证书颁发者
有效期
公开密钥
证书签发机构的数字签名
数字证书可以用于接收者验证对端的身份。接收者(例如浏览器)收到某个对端(例如 Web 服务器)的证书时,会对签名颁发机构的数字签名进行检查,一般来说,接收者事先就会预先安装很多常用的签名颁发机构的证书(含有公开密钥),利用预先的公开密钥可以对签名进行验证。
DTLS 协议
DTLS(Datagram Transport Level Security,数据报安全协议),基于 UDP 场景下数据包可能丢失或重新排序的现实情况,为 UDP 定制和改进的 TLS 协议。DTLS 提供了 UDP 传输场景下的安全解决方案,能防止消息被窃听、篡改、身份冒充等问题。在 WebRTC 中使用 DTLS 的地方包括两部分:协商和管理 SRTP 密钥和为 DataChannel 提供加密通道。
DTLS 协议能够做到以下几点:
所有信息通过加密传播,第三方无法窃听;
具有数据签名及校验机制,一旦被篡改,通信双方立刻可以发现;
具有身份证书,防止其他人冒充。
协议栈
在 WebRTC 中,通过引入 DTLS 对 RTP 进行加密,使得媒体通信变得安全。通过 DTLS 协商出加密密钥之后,RTP 也需要升级为 SRTP,通过密钥加密后进行通信。协议栈如下图所示:
(DTLS 协议栈)
DTLS 握手协议流程如下,(参考 RFC6347)。
(DTLS 握手协议流程)
TLS 和 DTLS 的握手过程基本上是一致的,差别以及特别说明如下:
DTLS 中 HelloVerifyRequest 是为防止 DoS 攻击增加的消息。
TLS 没有发送 CertificateRequest,这个也不是必须的,是反向验证即服务器验证客户端。
DTLS 的 RecordLayer 新增了 Epoch 和 SequenceNumber;ClientHello 中新增了 Cookie;Handshake 中新增了 Fragment 信息(防止超过 UDP 的 MTU),都是为了适应 UDP 的丢包以及容易被攻击做的改进。(参考 RFC 6347)
DTLS 最后的 Alert 是将客户端的 Encrypted Alert 消息,解密之后直接响应给客户端的,实际上 Server 应该回应加密的消息,这里我们的服务器回应明文是为了解析客户端加密的那个 Alert 包是什么。
RecordLayer 协议是和 DTLS 传输相关的协议,UDP 上是 RecordLayer,RecordLayer 上是 Handshake 或 ChangeCipherSpec 或 ApplicationData。
RecordLayer 协议定义参考 RFC4347,实际上有三种 RecordLayer 的包:
DTLSPlaintext,DTLS 明文的 RecordLayer。
DTLSCompressed,压缩的数据,一般不用。
DTLSCiphertext,加密数据,在 ChangeCipherSpec 之后就是这种了。
没有明确的字段说明是哪种消息,不过可以根据上下文以及内容判断。比如 ChangeCipherSpec 是可以通过类型,它肯定是一个 Plaintext。除了 Finished 的其他握手,一般都是 Plaintext。
SRTP 密钥协商
角色协商
在 DTLS 协议,通信的双方有 Client 和 Server 之分。在 WebRTC 中 DTLS 协商的身份是在 SDP 中描述的。
描述如下,参考 SDP-Anatomy 中 DTLS 参数
setup 属性在 RFC4145
setup:active,作为 client,主动发起协商
setup:passive, 作为 sever,等待发起协商
setup:actpass, 作为 client,主动发起协商。作为 server,等待发起协商。
自签证名证书
在 WebRTC 中,通信的双方通常将无法获得由知名根证书颁发机构 (CA) 签名的身份验证证书,自签名证书通常是唯一的选择。
在实际的应用场景中,SDP 是在安全的信令通道 (https) 完成交换的,SDP 的安全完整是可以做到的。RFC4572 定义一种机制,通过在 SDP 中增加自签名证书的安全哈希,称为“证书指纹”。
证书指纹在 SDP 中的描述如下,参考 SDP-Anatomy 中 DTLS 参数
使用证书指纹,完成通信双方的身份验证。
算法协商 - Hello 消息
ClienHello 和 ServerHello 协商 DTLS 的 Version、CipherSuites、Random、Extensions。
(ClienHello 消息)
(ServerHello 消息)
Version:Client 给出自己能支持的或者要使用的最高版本,比如 DTLS1.2。Server 收到这个信息后,根据自己能支持的或者要使用的版本回应,比如 DTLS1.0。最终以协商的版本也就是 DTLS1.0 为准。
Random:双方的随机数,参与到生成 MasterSecret。MasterSecret 会用来生成主密钥,导出 SRTP 密钥。(详见 【导出 SRTP 密钥】部分)
Extensions:Client 给出自己要使用的扩展协议,Server 可以回应自己支持的。比如 Client 虽然设置了 SessionTicket TLS 这个扩展,但是 Server 没有回应,所以最终并不会使用这个扩展。
Cipher Suites
(Cipher Suites)
在 Hello 消息中加密套接字使用 IANA 中的注册的名字。
IANA 名字由 Protocol/Key Exchange Algorithm/ Authentication Algorithm/
Encryption Algorithm/Hash Algorithm 的描述组成。
例如:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 的含义如下:
Protocol: Transport Layer Security (TLS)
Key Exchange: Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)
Authentication: Rivest Shamir Adleman algorithm (RSA)
Encryption: Advanced Encryption Standard with 128bit key in Galois/Counter mode (AES 128 GCM)
Hash: Secure Hash Algorithm 256 (SHA256)
Extension
DTLS 的扩展协议,是在 ClientHello 和 ServerHello 的 Extensions 信息中指定的,所有的 TLS 扩展参考 TLS Extensions。
下面列出 WebRTC 用到的扩展:
(WebRTC 用到的扩展)
use_srtp: DTLS 握手完成后 (Finished),使用 SRTP 传输数据,DTLS 生成 SRTP 的密钥。
ClientHello 中的扩展信息定义了 RFC5764 4.1.2. SRTP Protection Profiles 和 srtp_mki。
身份验证
使用证书指纹,完成通信双方的身份验证。详见【自签证名证书】部分。
(身份验证)
密钥交换
Server Key Exchange 用来将 Server 端使用的公钥,发送给 Client 端。分为两种情况:
RSA 算法:如果服务端使用的是 RSA 算法,可以不发送这个消息,因为 RSA 算法使用的公钥已经在 Certificate 中描述。
DH 算法,是根据对方的公钥和自己私钥计算共享密钥。因为 Client 和 Server 都只知道自己的私钥,和对方的公钥;而他们的私钥都不同,根据特殊的数学特性,他们能计算出同样的共享密钥。
(Server Key Exchange)
Client Key Exchange 用来将 Client 使用的公钥,发送给 Server 端。
RSA 算法:如果密钥协商使用的 RSA 算法,发送使用 server 端 RSA 公钥,对 premaster secret 加密发送给 server 端。
DH 算法:如果密钥协商使用 DH 算法,并且在证书中没有描述,在将客户端使用的 DH 算法公钥发送给 Server 端,以便计算出共享密钥。KeyExchange 的结果是,Client 和 Server 获取到了 RSA Key,或通过 DH 算法计算出共享密钥。详见 【导出 SRTP 密钥步骤示例】的过程。
(Client Key Exchange)
导出 SRTP 密钥步骤示例
上面介绍了 DTLS 的过程,以下通过结合上面例子给出的实际数据,简单说明 SRTP 密钥的导出步骤。
协商的加密套件:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
KeyExchange 交换的算法公钥:
ECDH Server Parameter
命名为 Spk;
ECDH Client Paramter
记为 Cpk;
根据 ECDHE 算法计算共享密钥 S(pre-master-secret)
假设 Server 的使用的椭圆曲线私钥为 Ds, Client 使用的 Dc,计算共享密钥的如下,参考 ECC 椭圆曲线加密算法 - ECDH,ECDHE,ECDSA
这个共享密钥 S 就是我们在 RFC 文档中看到的 pre-master-secret
计算 master secret
计算 master secret 过程如下,可参考 Computing the Master Secret。
计算出来的 master_secret 为 48 Bytes,其中 ClientHello.random 和 ServerHello.random 在 Hello 消息中给出。PRF 是伪随机数函数 (pseudorandom function),在协商的加密套件中给出。
使用 master_secrete 导出 SRTP 加密参数字节序列,使用 RFC5705 4. Exporter Definition 给出的计算方式,使用参数:
在 DTLS-SRTP 4.2. Key Derivation 中描述了需要的字节序列长度。
master_key_len 和 master_salt_len 的值,在 user_srtp 描述的 profile 中定义。
我们使用的 profile 为 SRTP_AES128_CM_
HMAC_SHA1_80,对应的 profile 配置为:
也就是我们需要 (128/8+112/8)*2 = 60 bytes 字节序列。
导出 SRTP 密钥
计算出 SRTP 加密参数字节序列,在 DTLS-SRTP 4.2.Key Derivation 描述了字节序列含义:
至此我们得到了,Client 和 Server 使用的 SRTP 加密参数:master_key 和 master_salt.
密钥导出后,使用 key 初始化 SRTPSession,保证数据安全和完整,Client 使用 Clientkey 对数据进行加密,发送给服务端,使用 Serverkey 对收到的数据进行解密。
在 WebRTC 中,通信的双方分别产生自签名证书(a=fingerprint:)和 DTLS 角色(a=setup)添加到 sdp 中,通过安全的信令通道 (https),进行 sdp 交换协商。在 DTLS 握手阶段,先进行数据签名和校验,如果数据被攻击者篡改,校验失败,通信双方立刻可以发现。
通信双方协商加密组件,交换双方的公钥,以非对称加密的方法,对 SRTP 密钥进行加密传输。接收方使用私钥进行解密得到对称加密的 SRTP 密钥。这样安全传输对称密钥,通信双方使用对称密钥对音视频数据进行加解密,这样效率高,同时也确保音视频数据完整安全。
评论