针对单播和多播应用程序中的实时传输协议的数据
1、提供加密
2、消息认证
3、完整性保证
4、重放保护
在一次讨论视频加密的过程中,对端提示说视频数据加密不利于传输,效率低下,这种想法本身是不奇怪的,不过,加密就是加密,哪里有既要效率奇高,又要密加的过程,如果在标段中提出不对内容加密,只是认证加密,那是对网络传输不理解造成的。
七层协议太重要了,大部分产品经理和程序员忽略的原因是:
1 没有机会去了解
2 很难了解透彻
传输层如果不加密,导致传输过程中一个很重要的问题,被解封包,解密者直接抓包就分析出来了,之所以有srtp协议,https协议,使用证书去保护秘钥,就是这个目的。SRTP安全协议是由David Oran(思科)和Rolf Blom(爱立信)开发的,并最早由IETF于2004年3月作为RFC 3711发布。
当然,我们可以归结,数据在应用层,RTP协议除去包头我都可以加密解密,加解密真的有这么慢吗,实际上,cpu 和 gpu 都可以用来加密解密,在现今cpu内核之上,加解密算法完全可以做到实时,现今的cpu有几十核,GPU 核心数也很多,硬解码已经非常成熟,数据加密完全没有问题,不要因为数据量多,就认为不可行。
除去srtp这种方式加解密,实际上我们可以制作分段加密,按照RTP协议MTU 分段来制作自己的加密解密程序,如果说RTP是一种标准,SRTP不过是加密的方法,不用迷信权威,自己完全可以做到。
AES 算法中有一个变幻叫做轮秘钥变幻,实际上,大部分对称加密都是经过异或做得,为了防止网络监听抓包捕获,我们可以使用上一个RTP分包的校验值作为异或值,并且重新计算校验,校验方法为:
1 记录首次校验值
2 使用上一次的校验值+ 档次校验值形成hash
3 随着校验值增多,使用hash矩阵,取轮换算法,取校验值hash
这样,中途监听数据的黑客无法获取上一次的校验值和校验矩阵,则很难破解数据
//轮密钥加变换 - 将每一列与扩展密钥进行异或
void AddRoundKey(byte mtx[4 * 4], word k[4])
{
for (int i = 0; i < 4; ++i)
{
word k1 = k[i] >> 24;
word k2 = (k[i] << 8) >> 24;
word k3 = (k[i] << 16) >> 24;
word k4 = (k[i] << 24) >> 24;
mtx[i] = mtx[i] ^ byte(k1.to_ulong());
mtx[i + 4] = mtx[i + 4] ^ byte(k2.to_ulong());
mtx[i + 8] = mtx[i + 8] ^ byte(k3.to_ulong());
mtx[i + 12] = mtx[i + 12] ^ byte(k4.to_ulong());
}
}
这个非常简单,还是使用证书保护,建立CA就是这个目的,证书保护的并不是所有数据,而是秘钥,这个理解了,就不会出误会了。