dtls_srtp學習筆記

注：以下為rfc5764的學習筆記，不保證完全正確。

DTLS-SRTP是DTLS的一個擴展，將SRTP加解密與DTLS的key交換和會話管理相結合。從SRTP的角度看，是為其提供一種新的key協商管理的方法；從DTLS的角度看，是為應用數據提供一個新的數據格式(SRTP/SRTCP)。

1，應用層數據加解密是由SRTP完成的，要求必須是RTP/RTCP的格式。
2，DTLS的握手過程是為SRTP加解密過程協商使用哪種profile和密鑰。
3，除了應用數據加密為SRTP格式，其他record-layer的報文仍為普通的DTLS格式(比如TLS control message)
4，當發送SRTP格式的應用層數據時，需要直接跳過DTLS加密層，將SRTP數據包透傳到下層的數據傳輸層做發送。

由於密鑰和加密參數是在DTLS握手過程中協商得到的，而此過程是保密的，因而相比常規的方式（比如在通過SDP消息交互來協商）更為安全。在發起DTLS握手之前，需要先設置use-srtp擴展。

接收端使用 DTLS-SRTP
自DTLS下層的傳輸層收到報文之后，需要根據包頭特征手動區分做demultiplexing，一般可以如下進行
檢查第一個報文的第一個字節
1，是[0, 1]時，表示可能是STUN報文
2，是[128, 191]時，表示可能時RTP(SRTP)報文
3，是[20, 63]時，表示可能是DTLS record layer報文
其他的類別請根據實際情況做區分處理

DTLS握手成功之后，需要導出key material，然后從中分離出server/client端用於SRTP對稱加密的密鑰。key material中對應SRTP的密鑰，構成如下

client_master_key server_master_key client_salt server_salt

其中 master_key 和 salt 的長度是根據最終協商的 SRTP 的profile來確定的，具體可查 RFC3711 SRTP

key material導出的規范見 RFC5705 Keying Material Exporters for TLS

webrtc中對此代碼實現見，webrtc/pc/channel.cc中 BaseChannel::SetupDtlsSrtp_n() 函數

Code Sample using DTLS-SRTP

#define SRTP_MASTER_KEY_KEY_LEN 16
#define SRTP_MASTER_KEY_SALT_LEN 14
static void dtls_srtp_init( struct transport_dtls *dtls )
{

/*
  When SRTP mode is in effect, different keys are used for ordinary
   DTLS record protection and SRTP packet protection.  These keys are
   generated using a TLS exporter [RFC5705] to generate

   2 * (SRTPSecurityParams.master_key_len +
        SRTPSecurityParams.master_salt_len) bytes of data

   which are assigned as shown below.  The per-association context value
   is empty.

   client_write_SRTP_master_key[SRTPSecurityParams.master_key_len];
   server_write_SRTP_master_key[SRTPSecurityParams.master_key_len];
   client_write_SRTP_master_salt[SRTPSecurityParams.master_salt_len];
   server_write_SRTP_master_salt[SRTPSecurityParams.master_salt_len];
*/
  int code;
  err_status_t     err;
  srtp_policy_t policy;
  char dtls_buffer[SRTP_MASTER_KEY_KEY_LEN * 2 + SRTP_MASTER_KEY_SALT_LEN * 2];
  char client_write_key[SRTP_MASTER_KEY_KEY_LEN + SRTP_MASTER_KEY_SALT_LEN];
  char server_write_key[SRTP_MASTER_KEY_KEY_LEN + SRTP_MASTER_KEY_SALT_LEN];
  size_t offset = 0;

  /*
   The exporter label for this usage is "EXTRACTOR-dtls_srtp".  (The
   "EXTRACTOR" prefix is for historical compatibility.)
   RFC 5764 4.2.  Key Derivation
  */
  const char * label = "EXTRACTOR-dtls_srtp";

  SRTP_PROTECTION_PROFILE * srtp_profile= SSL_get_selected_srtp_profile( dtls->ssl );

/* SSL_export_keying_material exports a value derived from the master secret,
* as specified in RFC 5705. It writes |olen| bytes to |out| given a label and
* optional context. (Since a zero length context is allowed, the |use_context|
* flag controls whether a context is included.)
*
* It returns 1 on success and zero otherwise.
*/
  code = SSL_export_keying_material(dtls->ssl, 
                                    dtls_buffer, 
                                    sizeof(dtls_buffer),
                                    label, 
                                    strlen( label),
                                    NULL,
                                    0, 
                                    PJ_FALSE);

  memcpy(&client_write_key[0], &dtls_buffer[offset], SRTP_MASTER_KEY_KEY_LEN);
  offset += SRTP_MASTER_KEY_KEY_LEN;
  memcpy(&server_write_key[0], &dtls_buffer[offset], SRTP_MASTER_KEY_KEY_LEN);
  offset += SRTP_MASTER_KEY_KEY_LEN;
  memcpy(&client_write_key[SRTP_MASTER_KEY_KEY_LEN], &dtls_buffer[offset], SRTP_MASTER_KEY_SALT_LEN);
  offset += SRTP_MASTER_KEY_SALT_LEN;
  memcpy(&server_write_key[SRTP_MASTER_KEY_KEY_LEN], &dtls_buffer[offset], SRTP_MASTER_KEY_SALT_LEN); 

  switch( srtp_profile->id )
  {
  case SRTP_AES128_CM_SHA1_80:
    crypto_policy_set_aes_cm_128_hmac_sha1_80(&policy.rtp);
    crypto_policy_set_aes_cm_128_hmac_sha1_80(&policy.rtcp);
    break;
  case SRTP_AES128_CM_SHA1_32:
    crypto_policy_set_aes_cm_128_hmac_sha1_32(&policy.rtp);   // rtp is 32,
    crypto_policy_set_aes_cm_128_hmac_sha1_80(&policy.rtcp);  // rtcp still 80
    break;
  default:
    assert(0);
  }
  policy.ssrc.value = 0;
  policy.next = NULL;

  /* Init transmit direction */
  policy.ssrc.type = ssrc_any_outbound;  
  policy.key = client_write_key;    

  err = srtp_create(&dtls->srtp_ctx_rx, &policy);
  if (err != err_status_ok) {
    printf("not working\n");
  } 

  /* Init receive direction */
  policy.ssrc.type = ssrc_any_inbound;  
  policy.key = server_write_key;    

  err = srtp_create(&dtls->srtp_ctx_tx, &policy);
  if (err != err_status_ok) {
    printf("not working\n");
  } 

}