webrtc源码走读（六）核心引擎层——安全模块

1. 安全模块概述

WebRTC安全模块是其核心引擎层的关键组成部分，负责实现端到端的加密和身份验证，确保实时通信过程中的数据安全。WebRTC采用了强制加密传输的策略，这与传统的RTMP、HLS等流媒体协议不同。

WebRTC使用DTLS（Datagram Transport Layer Security）协议来加密媒体流。DTLS是TLS（Transport Layer Security）协议的一个变体，它在不稳定的网络中提供端到端的加密。WebRTC默认强制加密所有传输，无需额外配置。

"SRTP：加密媒体流，保障通信安全（WebRTC默认强制加密）。"WebRTC采用SRTP（Secure Real-time Transport Protocol）协议来保护媒体流的完整性和来源。

2. 关键源码文件及作用

WebRTC安全模块的核心代码位于webrtc/rtc_base、webrtc/modules/rtp_rtcp和webrtc/p2p/base等目录下。以下是关键文件及其作用：

2.1 dtls_transport.h 和 dtls_transport_impl.h

// webrtc/rtc_base/dtls_transport.h
// DTLS传输接口
class DtlsTransport {
 public:
  virtual ~DtlsTransport() {}
  
  // 启动DTLS握手
  virtual bool StartHandshake() = 0;
  
  // 获取DTLS参数
  virtual const DtlsParameters& GetLocalParameters() const = 0;
  virtual const DtlsParameters& GetRemoteParameters() const = 0;
  
  // 设置远程DTLS参数
  virtual bool SetRemoteParameters(const DtlsParameters& parameters) = 0;
  
  // 发送DTLS数据
  virtual bool SendData(const uint8_t* data, size_t length) = 0;
  
  // 接收DTLS数据
  virtual bool ReceiveData(const uint8_t* data, size_t length) = 0;
  
  // 获取DTLS连接状态
  virtual DtlsTransportState GetState() const = 0;
};

作用：定义DTLS传输的接口，用于实现DTLS握手和数据加密传输。DTLS是TLS的变体，用于UDP协议上的安全传输，确保信令通道和媒体传输通道的安全。

2.2 srtp_session.h 和 srtp_session_impl.h

// webrtc/modules/rtp_rtcp/srtp_session.h
// SRTP会话接口
class SrtpSession {
 public:
  // 创建SRTP会话
  static std::unique_ptr<SrtpSession> Create(
      const SrtpParameters& local_params,
      const SrtpParameters& remote_params);
  
  // 保护媒体数据（加密和认证）
  virtual bool Protect(const uint8_t* plaintext, size_t plaintext_length,
                       uint8_t* ciphertext, size_t* ciphertext_length) = 0;
  
  // 解保护媒体数据（解密和验证）
  virtual bool Unprotect(const uint8_t* ciphertext, size_t ciphertext_length,
                         uint8_t* plaintext, size_t* plaintext_length) = 0;
  
  // 获取SRTP会话状态
  virtual SrtpState GetState() const = 0;
};

作用：定义SRTP会话的接口，用于实现媒体数据的加密和认证。SRTP在RTP数据包中嵌入加密和认证信息，确保传输的音频和视频内容不被窃听或篡改。

2.3 crypto_options.h 和 crypto_options_impl.h

// webrtc/p2p/base/crypto_options.h
// 加密选项配置
class CryptoOptions {
 public:
  // 设置加密算法
  void set_crypto_suite(SrtpCryptoSuite suite);
  
  // 获取加密算法
  SrtpCryptoSuite crypto_suite() const;
  
  // 设置密钥长度
  void set_key_length(int key_length);
  
  // 获取密钥长度
  int key_length() const;
  
  // 设置是否使用DTLS
  void set_dtls(bool dtls);
  
  // 获取是否使用DTLS
  bool dtls() const;
  
 private:
  SrtpCryptoSuite suite_;
  int key_length_;
  bool dtls_;
};

作用：定义加密选项的配置，用于控制加密算法、密钥长度和是否使用DTLS等安全参数。这些配置在建立安全连接时被使用。

2.4 dtls_crypto.h 和 dtls_crypto_impl.h

// webrtc/rtc_base/dtls_crypto.h
// DTLS加密实用函数
class DtlsCrypto {
 public:
  // 生成随机数
  static bool GenerateRandomBytes(uint8_t* buffer, size_t length);
  
  // 生成随机密钥
  static bool GenerateRandomKey(uint8_t* key, size_t length);
  
  // 生成随机IV
  static bool GenerateRandomIv(uint8_t* iv, size_t length);
  
  // 获取证书指纹
  static bool GetCertificateFingerprint(
      const rtc::SSLIdentity* identity,
      const std::string& algorithm,
      std::string* fingerprint);
};

作用：提供DTLS加密相关的实用函数，包括随机数生成、密钥生成、IV生成和证书指纹获取等。这些函数用于安全连接建立过程中的密钥和证书管理。

3. 安全模块在整个系统中的作用

安全模块在WebRTC架构中扮演着关键角色：

1. 端到端加密：确保媒体流在传输过程中的机密性，防止窃听
2. 数据完整性保护：确保媒体流在传输过程中不被篡改
3. 身份验证：验证通信双方的身份，防止中间人攻击
4. 安全握手：通过DTLS握手建立安全连接
5. 默认强制加密：WebRTC默认强制加密所有传输，无需额外配置

从知识库[4]中可以了解到，WebRTC的"视频加密"和"声音加密"功能为点对点的视频和音频双方提供了数据上的安全保证，可以防止在Web上视频和音频数据的泄漏。

4. 与其他模块的交互

4.1 与传输模块的交互

核心引擎层 传输模块 安全模块 核心引擎层 传输模块 安全模块 初始化传输模块 需要安全传输 创建DTLS会话 返回DTLS传输接口 通过DTLS传输接口加密数据 发送加密后的数据 接收加密数据 解密数据 返回解密后的数据 传输完成

交互细节：

• 传输模块初始化时请求安全模块创建DTLS会话
• 安全模块创建DTLS会话并返回接口
• 传输模块通过DTLS接口加密数据并发送
• 传输模块接收加密数据并传递给安全模块
• 安全模块解密数据并返回给传输模块

4.2 与媒体引擎的交互

Transport 核心引擎层 媒体引擎 安全模块 Transport 核心引擎层 媒体引擎 安全模块 采集媒体流 编码媒体数据 需要加密媒体数据 创建SRTP会话 返回SRTP会话接口 通过SRTP接口加密媒体数据 发送加密后的媒体数据 接收加密媒体数据 解密媒体数据 返回解密后的媒体数据 解码媒体数据 处理解码后的媒体流

交互细节：

• 媒体引擎采集并编码媒体数据
• 媒体引擎请求安全模块创建SRTP会话
• 安全模块创建SRTP会话并返回接口
• 媒体引擎通过SRTP接口加密媒体数据
• 传输模块发送加密后的媒体数据
• 传输模块接收加密媒体数据并传递给安全模块
• 安全模块解密数据并返回给媒体引擎
• 媒体引擎解码并处理解密后的媒体流

5. 源码示例

5.1 DTLS传输实现

// webrtc/rtc_base/dtls_transport_impl.cc

// DTLS传输实现类
class DtlsTransportImpl : public DtlsTransport {
 public:
  DtlsTransportImpl(rtc::Thread* thread, rtc::AsyncPacketSocket* socket)
      : thread_(thread),
        socket_(socket),
        dtls_(nullptr),
        state_(DtlsTransportState::kNew) {
    // 1. 创建DTLS会话
    dtls_ = std::make_unique<rtc::DtlsTransport>(thread_, socket_);
    
    // 2. 设置DTLS证书（实际实现中会加载证书）
    dtls_->SetCertificate(/* 从配置加载的证书 */);
    dtls_->SetDtlsRole(rtc::DtlsRole::kClient);
  }

  bool StartHandshake() override {
    // 1. 启动DTLS握手
    if (!dtls_->StartHandshake()) {
      state_ = DtlsTransportState::kFailed;
      return false;
    }
    
    state_ = DtlsTransportState::kConnecting;
    return true;
  }

  const DtlsParameters& GetLocalParameters() const override {
    // 2. 获取本地DTLS参数（用于SDP交换）
    return dtls_->GetLocalParameters();
  }

  const DtlsParameters& GetRemoteParameters() const override {
    // 3. 获取远程DTLS参数
    return dtls_->GetRemoteParameters();
  }

  bool SetRemoteParameters(const DtlsParameters& parameters) override {
    // 4. 设置远程DTLS参数（来自对端SDP）
    if (!dtls_->SetRemoteParameters(parameters)) {
      state_ = DtlsTransportState::kFailed;
      return false;
    }
    
    state_ = DtlsTransportState::kConnected;
    return true;
  }

  bool SendData(const uint8_t* data, size_t length) override {
    // 5. 发送DTLS数据（加密后的数据）
    if (state_ != DtlsTransportState::kConnected) {
      return false;
    }
    
    return dtls_->SendData(data, length);
  }

  bool ReceiveData(const uint8_t* data, size_t length) override {
    // 6. 接收DTLS数据（加密后的数据）
    if (state_ != DtlsTransportState::kConnected) {
      return false;
    }
    
    return dtls_->ReceiveData(data, length);
  }

  DtlsTransportState GetState() const override {
    // 7. 获取DTLS连接状态
    return state_;
  }

 private:
  rtc::Thread* thread_;
  rtc::AsyncPacketSocket* socket_;
  std::unique_ptr<rtc::DtlsTransport> dtls_;
  DtlsTransportState state_;
};

• DtlsTransportImpl 是DTLS传输的实现类，负责DTLS握手和数据加密传输
• StartHandshake() 启动DTLS握手过程，建立安全连接
• SetRemoteParameters() 设置对端的DTLS参数，用于验证和建立安全通道
• SendData() 和 ReceiveData() 用于发送和接收加密数据
• 状态管理：kNew -> kConnecting -> kConnected -> kFailed

5.2 SRTP会话实现

// webrtc/modules/rtp_rtcp/srtp_session_impl.cc

// SRTP会话实现类
class SrtpSessionImpl : public SrtpSession {
 public:
  SrtpSessionImpl(const SrtpParameters& local_params,
                  const SrtpParameters& remote_params)
      : local_params_(local_params),
        remote_params_(remote_params),
        state_(SrtpState::kNew) {
    // 1. 初始化SRTP
    if (!srtp_->Init(local_params, remote_params)) {
      state_ = SrtpState::kFailed;
      return;
    }
    
    state_ = SrtpState::kInitialized;
  }

  bool Protect(const uint8_t* plaintext, size_t plaintext_length,
               uint8_t* ciphertext, size_t* ciphertext_length) override {
    // 2. 保护媒体数据（加密和认证）
    if (state_ != SrtpState::kInitialized) {
      return false;
    }
    
    return srtp_->Protect(plaintext, plaintext_length, ciphertext, ciphertext_length);
  }

  bool Unprotect(const uint8_t* ciphertext, size_t ciphertext_length,
                 uint8_t* plaintext, size_t* plaintext_length) override {
    // 3. 解保护媒体数据（解密和验证）
    if (state_ != SrtpState::kInitialized) {
      return false;
    }
    
    return srtp_->Unprotect(ciphertext, ciphertext_length, plaintext, plaintext_length);
  }

  SrtpState GetState() const override {
    // 4. 获取SRTP会话状态
    return state_;
  }

 private:
  SrtpParameters local_params_;
  SrtpParameters remote_params_;
  std::unique_ptr<Srtp> srtp_;
  SrtpState state_;
};

• SrtpSessionImpl 是SRTP会话的实现类，负责媒体数据的加密和认证
• Protect() 用于加密和认证媒体数据，确保数据机密性和完整性
• Unprotect() 用于解密和验证媒体数据，确保数据来源合法
• 状态管理：kNew -> kInitialized -> kFailed

6. 时序图：安全模块工作流程

安全模块 媒体引擎 传输模块 信令模块 信令服务器 参与者B 参与者A 安全模块 媒体引擎 传输模块 信令模块 信令服务器 参与者B 参与者A 创建RTCPeerConnection 请求安全会话 创建DTLS会话 返回DTLS传输接口 生成SDP offer 发送SDP offer 转发SDP offer 创建RTCPeerConnection 请求安全会话 创建DTLS会话 返回DTLS传输接口 生成SDP answer 发送SDP answer 转发SDP answer 设置远程描述 设置远程DTLS参数 验证远程参数 确认DTLS参数 通过DTLS传输接口加密数据 通过DTLS加密传输数据 发送加密数据 接收加密数据 传递加密数据 解密数据 返回解密数据 传递解密后的媒体数据 处理媒体数据 接收媒体数据 接收媒体数据

7. 流程图：安全模块核心流程

参与者A
创建RTCPeerConnection
请求安全会话
创建DTLS会话
生成SDP offer
发送SDP offer
参与者B接收offer
创建DTLS会话
生成SDP answer
发送SDP answer
参与者A接收answer
设置远程DTLS参数
验证远程参数
DTLS握手
建立安全连接
加密媒体数据
传输加密数据
接收加密数据
解密媒体数据
处理媒体数据

8. 安全模块的关键技术

8.1 DTLS（Datagram Transport Layer Security）

DTLS是TLS在UDP上的变体，用于提供安全的UDP传输。WebRTC使用DTLS来建立安全的媒体传输通道。

关键特性：

• 基于TLS 1.2
• 支持DTLS 1.2
• 提供端到端加密
• 通过握手过程交换密钥
• 保护信令通道和媒体传输通道

8.2 SRTP（Secure Real-time Transport Protocol）

SRTP是RTP的安全版本，用于保护实时媒体流。

关键特性：

• 在RTP数据包中嵌入加密和认证信息
• 提供加密、认证和完整性保护
• 基于AES加密算法
• 支持多种认证算法（HMAC-SHA1等）
• 与DTLS配合使用，先通过DTLS建立安全通道，再在通道内使用SRTP

8.3 加密算法

WebRTC支持的加密算法：

• AES-128-CBC：用于加密媒体数据
• HMAC-SHA1：用于认证媒体数据
• GCM模式：更高效的加密和认证模式（WebRTC 1.0默认使用CBC模式，但现代实现支持GCM）

9. 安全模块的异常处理

9.1 DTLS握手失败处理

// DTLS握手失败处理示例
pc->ondtlsstatechange = [this]() {
  if (pc->dtlsstate() == DtlsState::kFailed) {
    // 1. 重新发起DTLS握手
    restartDtls();
  }
};

void restartDtls() {
  // 2. 重新创建DTLS会话
  auto dtls = createDtlsTransport();
  pc->setDtlsTransport(dtls);
  
  // 3. 重新发起DTLS握手
  dtls->StartHandshake();
}

关键点：

• 监听DTLS状态变化
• 当DTLS握手失败时，重新创建DTLS会话
• 重新发起DTLS握手

9.2 SRTP解密失败处理

// SRTP解密失败处理
pc->onsrtperror = [this]() {
  if (pc->srtperror() == SrtpError::kDecryptionFailed) {
    // 1. 重新协商SRTP密钥
    rekeySrp();
  }
};

void rekeySrp() {
  // 2. 重新生成SRTP密钥
  auto srtp = createSrtpSession();
  pc->setSrtpSession(srtp);
  
  // 3. 重新加密媒体数据
  pc->reencryptMedia();
}

关键点：

• 监听SRTP错误事件
• 当解密失败时，重新生成SRTP密钥
• 重新加密媒体数据

10. 安全模块的未来发展方向

10.1 更强的加密算法

WebRTC安全模块将采用更强的加密算法：

• AES-GCM：比AES-CBC更高效、更安全的加密模式
• ChaCha20-Poly1305：现代加密算法，性能更好
• 前向保密（Forward Secrecy）：确保历史通信不被破解

10.2 密钥管理改进

WebRTC安全模块将改进密钥管理：

• 自动密钥轮换：定期轮换密钥，提高安全性
• 密钥备份：在关键场景下备份密钥
• 密钥分发：更安全的密钥分发机制

10.3 安全审计和漏洞修复

WebRTC安全模块将加强安全审计和漏洞修复：

• 定期安全审计：定期对安全模块进行安全审计
• 漏洞响应机制：建立快速响应机制，及时修复安全漏洞
• 安全更新机制：提供安全更新机制，确保用户始终使用最新的安全版本