注:以下为rfc5764的学习笔记,不保证完全正确。

DTLS-SRTP是DTLS的一个扩展,将SRTP加解密与DTLS的key交换和会话管理相结合。从SRTP的角度看,是为其提供一种新的key协商管理的方法;从DTLS的角度看,是为应用数据提供一个新的数据格式(SRTP/SRTCP)。

1,应用层数据加解密是由SRTP完成的,要求必须是RTP/RTCP的格式。
2,DTLS的握手过程是为SRTP加解密过程协商使用哪种profile和密钥。
3,除了应用数据加密为SRTP格式,其他record-layer的报文仍为普通的DTLS格式(比如TLS control message)
4,当发送SRTP格式的应用层数据时,需要直接跳过DTLS加密层,将SRTP数据包透传到下层的数据传输层做发送。

由于密钥和加密参数是在DTLS握手过程中协商得到的,而此过程是保密的,因而相比常规的方式(比如在通过SDP消息交互来协商)更为安全。在发起DTLS握手之前,需要先设置use-srtp扩展。

接收端使用 DTLS-SRTP
自DTLS下层的传输层收到报文之后,需要根据包头特征手动区分做demultiplexing,一般可以如下进行
检查第一个报文的第一个字节
1,是[0, 1]时,表示可能是STUN报文
2,是[128, 191]时,表示可能时RTP(SRTP)报文
3,是[20, 63]时,表示可能是DTLS record layer报文
其他的类别请根据实际情况做区分处理

DTLS握手成功之后,需要导出key material,然后从中分离出server/client端用于SRTP对称加密的密钥。key material中对应SRTP的密钥,构成如下

client_master_key server_master_key client_salt server_salt

其中 master_key 和 salt 的长度是根据最终协商的 SRTP 的profile来确定的,具体可查 RFC3711 SRTP

key material导出的规范见 RFC5705 Keying Material Exporters for TLS

webrtc中对此代码实现见,webrtc/pc/channel.cc中 BaseChannel::SetupDtlsSrtp_n() 函数

Code Sample using DTLS-SRTP

 #define SRTP_MASTER_KEY_KEY_LEN 16

 #define SRTP_MASTER_KEY_SALT_LEN 14

 static void dtls_srtp_init( struct transport_dtls *dtls )

 {

 /*

   When SRTP mode is in effect, different keys are used for ordinary

    DTLS record protection and SRTP packet protection.  These keys are

    generated using a TLS exporter [RFC5705] to generate

    2 * (SRTPSecurityParams.master_key_len +

         SRTPSecurityParams.master_salt_len) bytes of data

    which are assigned as shown below.  The per-association context value

    is empty.

    client_write_SRTP_master_key[SRTPSecurityParams.master_key_len];

    server_write_SRTP_master_key[SRTPSecurityParams.master_key_len];

    client_write_SRTP_master_salt[SRTPSecurityParams.master_salt_len];

    server_write_SRTP_master_salt[SRTPSecurityParams.master_salt_len];

 */

   int code;

   err_status_t     err;

   srtp_policy_t policy;

   char dtls_buffer[SRTP_MASTER_KEY_KEY_LEN *  + SRTP_MASTER_KEY_SALT_LEN * ];

   char client_write_key[SRTP_MASTER_KEY_KEY_LEN + SRTP_MASTER_KEY_SALT_LEN];

   char server_write_key[SRTP_MASTER_KEY_KEY_LEN + SRTP_MASTER_KEY_SALT_LEN];

   size_t offset = ;

   /*

    The exporter label for this usage is "EXTRACTOR-dtls_srtp".  (The

    "EXTRACTOR" prefix is for historical compatibility.)

    RFC 5764 4.2.  Key Derivation

   */

   const char * label = "EXTRACTOR-dtls_srtp";

   SRTP_PROTECTION_PROFILE * srtp_profile= SSL_get_selected_srtp_profile( dtls->ssl );

 /* SSL_export_keying_material exports a value derived from the master secret,

 * as specified in RFC 5705. It writes |olen| bytes to |out| given a label and

 * optional context. (Since a zero length context is allowed, the |use_context|

 * flag controls whether a context is included.)

 *

 * It returns 1 on success and zero otherwise.

 */

   code = SSL_export_keying_material(dtls->ssl,

                                     dtls_buffer,

                                     sizeof(dtls_buffer),

                                     label,

                                     strlen( label),

                                     NULL,

                                     ,

                                     PJ_FALSE);

   memcpy(&client_write_key[], &dtls_buffer[offset], SRTP_MASTER_KEY_KEY_LEN);

   offset += SRTP_MASTER_KEY_KEY_LEN;

   memcpy(&server_write_key[], &dtls_buffer[offset], SRTP_MASTER_KEY_KEY_LEN);

   offset += SRTP_MASTER_KEY_KEY_LEN;

   memcpy(&client_write_key[SRTP_MASTER_KEY_KEY_LEN], &dtls_buffer[offset], SRTP_MASTER_KEY_SALT_LEN);

   offset += SRTP_MASTER_KEY_SALT_LEN;

   memcpy(&server_write_key[SRTP_MASTER_KEY_KEY_LEN], &dtls_buffer[offset], SRTP_MASTER_KEY_SALT_LEN); 

   switch( srtp_profile->id )

   {

   case SRTP_AES128_CM_SHA1_80:

     crypto_policy_set_aes_cm_128_hmac_sha1_80(&policy.rtp);

     crypto_policy_set_aes_cm_128_hmac_sha1_80(&policy.rtcp);

     break;

   case SRTP_AES128_CM_SHA1_32:

     crypto_policy_set_aes_cm_128_hmac_sha1_32(&policy.rtp);   // rtp is 32,

     crypto_policy_set_aes_cm_128_hmac_sha1_80(&policy.rtcp);  // rtcp still 80

     break;

   default:

     assert();

   }

   policy.ssrc.value = ;

   policy.next = NULL;

   /* Init transmit direction */

   policy.ssrc.type = ssrc_any_outbound; 

   policy.key = client_write_key;    

   err = srtp_create(&dtls->srtp_ctx_rx, &policy);

   if (err != err_status_ok) {

     printf("not working\n");

   } 

   /* Init receive direction */

   policy.ssrc.type = ssrc_any_inbound; 

   policy.key = server_write_key;    

   err = srtp_create(&dtls->srtp_ctx_tx, &policy);

   if (err != err_status_ok) {

     printf("not working\n");

   } 

 }

dtls_srtp学习笔记的更多相关文章

  1. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

  2. PHP-自定义模板-学习笔记

    1.  开始 这几天,看了李炎恢老师的<PHP第二季度视频>中的“章节7:创建TPL自定义模板”,做一个学习笔记,通过绘制架构图.UML类图和思维导图,来对加深理解. 2.  整体架构图 ...

  3. PHP-会员登录与注册例子解析-学习笔记

    1.开始 最近开始学习李炎恢老师的<PHP第二季度视频>中的“章节5:使用OOP注册会员”,做一个学习笔记,通过绘制基本页面流程和UML类图,来对加深理解. 2.基本页面流程 3.通过UM ...

  4. 2014年暑假c#学习笔记目录

    2014年暑假c#学习笔记 一.C#编程基础 1. c#编程基础之枚举 2. c#编程基础之函数可变参数 3. c#编程基础之字符串基础 4. c#编程基础之字符串函数 5.c#编程基础之ref.ou ...

  5. JAVA GUI编程学习笔记目录

    2014年暑假JAVA GUI编程学习笔记目录 1.JAVA之GUI编程概述 2.JAVA之GUI编程布局 3.JAVA之GUI编程Frame窗口 4.JAVA之GUI编程事件监听机制 5.JAVA之 ...

  6. seaJs学习笔记2 – seaJs组建库的使用

    原文地址:seaJs学习笔记2 – seaJs组建库的使用 我觉得学习新东西并不是会使用它就够了的,会使用仅仅代表你看懂了,理解了,二不代表你深入了,彻悟了它的精髓. 所以不断的学习将是源源不断. 最 ...

  7. CSS学习笔记

    CSS学习笔记 2016年12月15日整理 CSS基础 Chapter1 在console输入escape("宋体") ENTER 就会出现unicode编码 显示"%u ...

  8. HTML学习笔记

    HTML学习笔记 2016年12月15日整理 Chapter1 URL(scheme://host.domain:port/path/filename) scheme: 定义因特网服务的类型,常见的为 ...

  9. DirectX Graphics Infrastructure(DXGI):最佳范例 学习笔记

    今天要学习的这篇文章写的算是比较早的了,大概在DX11时代就写好了,当时龙书11版看得很潦草,并没有注意这篇文章,现在看12,觉得是跳不过去的一篇文章,地址如下: https://msdn.micro ...

随机推荐

  1. 网络搬砖是件苦力活 CMS推荐GHOS博客程序

    搬砖不是技术活,而是苦力(bi)活,富有技术含量的苦力活说不定就是一门可以持续的生意. 我们不生产内容,我们只是互联网的内容搬运工,这是大部分不具备原创能力个人站长的心声.虽然原创能力不够,但是服务目 ...

  2. Python基础篇(六)

    retun空值,后面的语句将不再被执行 >>> def test(): ...    print("just a test!") ...    return .. ...

  3. 夏令营讲课内容整理Day 1.

    主要内容是栈和队列. 1.  栈 运算受到限制的线性表.只允许从一端进行插入和删除等操作.这一端便是栈顶,另一端便是栈底. 其实可以把栈想象层任何有底无盖的柱状的容器...毕竟栈满足后进先出的特性.计 ...

  4. 线性一致性与全序广播------《Designing Data-Intensive Applications》读书笔记12

    上一篇聊了聊构建分布式系统所面临的困难,这篇将着重讨论构建容错分布式系统的算法与协议.构建容错系统的最佳方法是使用通用抽象,允许应用程序忽略分布式系统中的一些问题.本篇我们先聊一聊线性一致性,以及与线 ...

  5. shell编程值之正则表达式与字符截取(6)

    正则表达式与通配符 正则表达式用来在文件中匹配符合条件的字符串,正则是包含匹配.grep.awk.sed等命令可以支持正则表达式 通配符用来匹配符合条件的文件名,通配符是完全匹配.ls.find.cp ...

  6. [SCOI2007]最大土地面积

    首先,最大四边形的四个点一定在凸包上 所以先求凸包 有个结论,若是随机数据,凸包包括的点大约是\(\log_2n\)个 然鹅,此题绝对不会这么轻松,若\(O(n^4)\)枚举,只有50分 所以还是要想 ...

  7. Mac通过brew安装reds、memcached

    redis brew install php70-redis 配置文件: /usr/local/etc/php/7.0/conf.d/ext-redis.ini memcached brew inst ...

  8. 从零开始学Python--数据类型之字符串

    一.Python中的数据类型 ·   整数, 如 1 -100 ·   长整数, 是比较大的整数,Python 2里面有long长整数:Python 3里面没有 ·   浮点数 如 1.23.3E-2 ...

  9. C++ 函数模板“偏特化”

         模板是C++中很重要的一个特性,利用模板可以编写出类型无关的通用代码,极大的减少了代码量,提升工作效率.C++中包含类模板.函数模板,对于需要特殊处理的类型,可以通过特化的方式来实现特定类型 ...

  10. Angular Universal(统一平台)笔记

    angular官网高级文档AngularUniversal部分的翻译总结,这东西在angular4开始正式被官方支持了,目前其实支持的服务器端还没有很多,但好歹包括了node和DotNetCore,算 ...