文档中心





语音通话



全部产品

产品



语音通话



视频通话



互动直播



极速直播



融合 CDN 直播



云信令（原实时消息）



全链路加速



媒体流加速



水晶球



互动白板



云端录制



本地服务端录制



低码高清



远程控制



视频鉴黄



灵动课堂



Agora 平台

Beta 产品



语音通话 v4.0.0 Beta



视频通话 v4.0.0 Beta



极速直播 v4.0.0 Beta



互动直播 v4.0.0 Beta

场景方案

云市场

Console Agora.io 社区提交工单





媒体流加密

更新时间 2021/12/08 10:54:15

功能描述

在实时音视频互动过程中，你需要对媒体流加密，从而保障用户的数据安全。Agora 提供内置加密和自定义加密方案，你可以根据需要选择合适的加密方案。

内置加密：使用 SDK 预置的加密模式给媒体流加密。
自定义加密：通过 SDK 提供的数据包观测器来自定义媒体流的加密模式。

下图描述了启用媒体流加密后的数据传输流程：

示例项目

我们在 GitHub 上提供已实现内置加密功能的开源示例项目。你可以下载体验并参考源代码。

实现方法

在启用媒体流加密前，请确保已参考《快速开始》文档在你的项目中实现基本的音视频通话或直播功能。

使用内置的加密方案

在加入频道前，调用 enableEncryption 方法启用内置加密。

自 v3.4.5 起，Agora 推荐使用 AES_128_GCM2 或 AES_256_GCM2 加密模式，并设置密钥和盐。

参考以下步骤分别生成并设置密钥和盐。

同一频道内所有用户必须使用相同的加密模式、密钥和盐。

相比于其他加密模式，GCM2 加密模式使用了安全性更高的密钥派生函数且支持盐。如果你选择其他加密模式，则只需设置加密模式和密钥。

生成并设置密钥

在你的服务端，参考以下命令通过 OpenSSL 随机生成 String 型、32 字节的密钥。

// 随机生成一个 string 型、32 字节的密钥，并将该密钥传入 enableEncryption 的 encryptionKey 参数。
openssl rand -hex 32
dba643c8ba6b6dc738df43d9fd624293b4b12d87a60f518253bd10ba98c48453

客户端从服务端获取 String 型密钥，并在调用 enableEncryption 时传入 SDK。

生成并设置盐

在你的服务端，参考以下命令通过 OpenSSL 随机生成 Base64 编码、32 字节的盐。你也可以参考 Agora 在 GitHub 上提供的 C++ 示例代码，在服务端随机生成 byte array 型的盐，然后转换成 Base64 编码。
```
// 随机生成一个 Base64 编码、32 字节的盐，并将该盐传入 enableEncryption 的 encryptionKdfSalt 参数。
openssl rand -base64 32
X5w9T+50kzxVOnkJKiY/lUk82/bES2kATOt3vBuGEDw=
```
客户端从服务端获取 Base64 编码的盐。
客户端将盐从 Base64 转换成 uint8_t，然后在调用 enableEncryption 时传入 SDK。

示例代码

import java.util.Base64;
import io.agora.rtc.RtcEngine;

class Example
{
    public bool enableEncryption(RtcEngine engine) {
        if(engine == null)
            return false;

        String encryptionKdfSaltBase64 = Server.getEncryptionKdfSaltBase64();
        String encryptionSecret = Server.getEncryptionSecret();
        if(encryptionKdfSaltBase64 == null || encryptionSecret == null)
            return false;

        byte[] encryptionKdfSalt = Base64.getDecoder().decode(encryptionKdfSaltBase64);
        EncryptionConfig config = new EncryptionConfig();
        config.encryptionMode = EncryptionConfig.EncryptionMode.AES_128_GCM2;
        config.encryptionKey = encryptionSecret;
        System.arraycopy(encryptionKdfSalt, 0, config.encryptionKdfSalt, 0, config.encryptionKdfSalt.length);
        int result = engine.enableEncryption(true, config);
        return (result == 0);
    }
}

API 参考

enableEncryption

使用自定义的加密方案

Agora 提供了 C++ 的 registerPacketObserver 方法及 IPacketObserver 类，帮助你实现自定义加密功能。参考步骤如下：

在加入频道前，调用 registerPacketObserver 注册数据包观测器，从而在语音或视频数据包传输时接收事件。
```
 virtual int registerPacketObserver(IPacketObserver* observer);
```

实现一个 IPacketObserver 类:

 class IPacketObserver
 {
 public:

 struct Packet
 {
 // 需要发送或接收的数据的缓存地址
 const unsigned char* buffer;
 // 需要发送或接收的数据的缓存大小
 unsigned int size;
 };

 // 已发送音频包回调
 // 在音频包被发送给远端用户前触发
 // @param packet 详见: Packet
 // @return
 // - true: 发送音频包
 // - false: 丢弃音频包
 virtual bool onSendAudioPacket(Packet& packet) = 0;

 // 已发送视频包回调
 // 在视频包被发送给远端用户前触发
 // @param packet 详见: Packet
 // @return
 // - true: 发送视频包
 // - false: 丢弃视频包
 virtual bool onSendVideoPacket(Packet& packet) = 0;

 // 收到音频包回调
 // 在收到远端用户的音频包前触发
 // @param packet 详见: Packet
 // @return
 // - true: 发送音频包
 // - false: 丢弃音频包
 virtual bool onReceiveAudioPacket(Packet& packet) = 0;

 // 收到视频包回调
 // 在收到远端用户的视频包前触发
 // @param packet 详见: Packet
 // @return
 // - true: 发送视频包
 // - false: 丢弃视频包
 virtual bool onReceiveVideoPacket(Packet& packet) = 0;
 };

继承 IPacketObserver，并在你的 app 上使用你自定义的数据加密算法。

 class AgoraRTCPacketObserver : public agora::rtc::IPacketObserver
 {
 public:
     EVP_CIPHER_CTX *ctx_audio_send;
     EVP_CIPHER_CTX *ctx_audio_receive;
     EVP_CIPHER_CTX *ctx_video_send;
     EVP_CIPHER_CTX *ctx_video_receive;
     AgoraRTCPacketObserver()
     {
         __android_log_print(ANDROID_LOG_INFO, "agoraencryption", "AgoraRTCPacketObserver0");
         m_txAudioBuffer.resize(1024);
         m_rxAudioBuffer.resize(1024);
         m_txVideoBuffer.resize(1024);
         m_rxVideoBuffer.resize(1024);
         __android_log_print(ANDROID_LOG_INFO, "agoraencryption", "AgoraRTCPacketObserver1");
     }

     virtual bool onSendAudioPacket(Packet& packet)
     {

         int outlen;
         // 加密数据包
         unsigned char outbuf[1024];
         EVP_EncryptInit_ex(ctx_audio_send, EVP_aes_256_gcm(), NULL, NULL, NULL);
         EVP_CIPHER_CTX_ctrl(ctx_audio_send, EVP_CTRL_GCM_SET_IVLEN, sizeof(gcm_iv), NULL);
         EVP_EncryptInit_ex(ctx_audio_send, NULL, NULL, gcm_key, gcm_iv);
         EVP_EncryptUpdate(ctx_audio_send, outbuf, &outlen, packet.buffer, packet.size);
         // 将加密后数据的缓存地址和缓存大小发回 SDK
         packet.buffer = outbuf;
         packet.size = outlen;
         return true;
     }

     virtual bool onSendVideoPacket(Packet& packet)
     {

         int outlen;
         // 加密数据包
         unsigned char outbuf[1024];
         EVP_EncryptInit_ex(ctx_video_send, EVP_aes_256_gcm(), NULL, NULL, NULL);
         EVP_CIPHER_CTX_ctrl(ctx_video_send, EVP_CTRL_GCM_SET_IVLEN, sizeof(gcm_iv), NULL);
         EVP_EncryptInit_ex(ctx_video_send, NULL, NULL, gcm_key, gcm_iv);
         EVP_EncryptUpdate(ctx_video_send, outbuf, &outlen, packet.buffer, packet.size);
         // 将加密后数据的缓存地址和缓存大小发回 SDK
         packet.buffer = outbuf;
         packet.size = outlen;
         return true;
     }

     virtual bool onReceiveAudioPacket(Packet& packet)
     {
         int outlen;
         // 加密数据包
         unsigned char outbuf[1024];
         EVP_DecryptInit_ex(ctx_audio_receive, EVP_aes_256_gcm(), NULL, NULL, NULL);
         EVP_CIPHER_CTX_ctrl(ctx_audio_receive, EVP_CTRL_GCM_SET_IVLEN, sizeof(gcm_iv), NULL);
         EVP_DecryptInit_ex(ctx_audio_receive, NULL, NULL, gcm_key, gcm_iv);
         EVP_DecryptUpdate(ctx_audio_receive, outbuf, &outlen, packet.buffer, packet.size);
         // 将解密后数据的缓存地址和缓存大小发回 SDK
         packet.buffer = outbuf;
         packet.size = outlen;
         return true;
     }

     virtual bool onReceiveVideoPacket(Packet& packet)
     {
         int outlen;
         // 加密数据包
         unsigned char outbuf[1024];
         EVP_DecryptInit_ex(ctx_video_receive, EVP_aes_256_gcm(), NULL, NULL, NULL);
         EVP_CIPHER_CTX_ctrl(ctx_video_receive, EVP_CTRL_GCM_SET_IVLEN, sizeof(gcm_iv), NULL);
         EVP_DecryptInit_ex(ctx_video_receive, NULL, NULL, gcm_key, gcm_iv);
         EVP_DecryptUpdate(ctx_video_receive, outbuf, &outlen, packet.buffer, packet.size);
         // 将解密后数据的缓存地址和缓存大小发回 SDK
         packet.buffer = outbuf;
         packet.size = outlen;
         return true;
     }

 private:
     // 发送音频数据 buffer
     std::vector<unsigned char> m_txAudioBuffer;
     // 发送视频数据 buffer
     std::vector<unsigned char> m_txVideoBuffer;

     // 接收音频数据 buffer
     std::vector<unsigned char> m_rxAudioBuffer;
     // 接收视频数据 buffer
     std::vector<unsigned char> m_rxVideoBuffer;
 };

实现一个 java 包装程序。例如:

 JNIEXPORT void JNICALL
 Java_io_agora_api_streamencrypt_PacketProcessor_doRegisterProcessing
         (JNIEnv *env, jobject obj)
 {
     __android_log_print(ANDROID_LOG_INFO, "agoraencryption", "doRegisterProcessing0");
     if (!rtcEngine) return;
     __android_log_print(ANDROID_LOG_INFO, "agoraencryption", "doRegisterProcessing1");
     // 注册数据包观测器
     int code = rtcEngine->registerPacketObserver(&s_packetObserver);
     __android_log_print(ANDROID_LOG_INFO, "agoraencryption", "%d", code);
     s_packetObserver.ctx_audio_send = EVP_CIPHER_CTX_new();
     s_packetObserver.ctx_video_send = EVP_CIPHER_CTX_new();
     s_packetObserver.ctx_audio_receive = EVP_CIPHER_CTX_new();
     s_packetObserver.ctx_video_receive = EVP_CIPHER_CTX_new();
 }

调用步骤 4 中实现的 registerAgoraPacketObserver 为 IPacketObserver 类注册一个实例。

如果你希望取消注册数据包观测器，请在离开频道后调用 registerPacketObserver(nullptr) 方法。

API 参考

registerPacketObserver

开发注意事项

通信和直播场景均支持媒体流加密功能。但是在直播场景下，Agora 不支持将加密后的媒体流推到 CDN 上。
如需使用媒体流加密功能，你需要在加入频道前设置加密并让接收端和发送端使用相同的加密模式，否则会出现未定义行为，例如音频无声或视频黑屏。
为提高安全性，Agora 建议每次启用媒体流加密时都更换新的密钥和盐。

这篇文章对你有帮助吗？

是

否