[发明专利]经由相应WebRTC数据信道验证WebRTC媒体信道私密性的方法、系统

权利要求书

1.一种用于验证Web实时通信WebRTC媒体信道的私密性的方法，包括：

由在第一计算设备上执行的第一WebRTC客户端和在第二计算设备上执行的第二WebRTC客户端利用密钥设置材料建立所述第一WebRTC客户端与所述第二WebRTC客户端之间的WebRTC媒体信道；

利用相同的密钥设置材料建立所述第一WebRTC客户端与所述第二WebRTC客户端之间的与所述WebRTC媒体信道相对应的WebRTC数据信道；

在所述WebRTC数据信道中协商所述第一WebRTC客户端与所述第二WebRTC客户端之间的密码密钥交换；

基于所述WebRTC数据信道中的密码密钥交换生成第一短认证串SAS和第二SAS；以及

经由所述第一WebRTC客户端显示所述第一SAS并且经由所述第二WebRTC客户端显示所述第二SAS，以使得所述第一SAS与所述第二SAS之间的不匹配指示出中间人MitM攻击者的存在。

2.如权利要求1所述的方法，还包括将对应于用于建立所述WebRTC媒体信道的密钥设置材料的第一指纹与对应于用于建立所述WebRTC数据信道的密钥设置材料的第二指纹相比较，以使得所述第一指纹与所述第二指纹之间的不匹配指示出所述MitM攻击者的存在。

3.如权利要求1所述的方法，还包括：响应于所述第一SAS与所述第二SAS之间的匹配，基于所述WebRTC数据信道中的密码密钥交换来对所述WebRTC媒体信道重设密钥。

4.如权利要求1所述的方法，还包括：

缓存在所述密码密钥交换期间由所述第一WebRTC客户端和所述第二WebRTC客户端创建的密码密钥材料；

利用缓存的密码密钥材料来对在所述第一WebRTC客户端与所述第二WebRTC客户端之间的后续WebRTC通信会话中生成的第一SAS和第二SAS签名；以及

基于缓存的密码密钥材料自动比较所述第一SAS和所述第二SAS，以使得所述第一SAS与所述第二SAS之间的不匹配指示出所述MitM攻击者的存在。

5.如权利要求4所述的方法，其中，缓存所述密码密钥材料包括：

由所述第一WebRTC客户端在第一持久性数据存储库中存储所述密码密钥材料的第一派生；以及

由所述第二WebRTC客户端在第二持久性数据存储库中存储所述密码密钥材料的第二派生。

6.一种用于验证Web实时通信WebRTC媒体信道的私密性的系统，包括：

至少一个通信接口；

第一计算设备，该第一计算设备与所述至少一个通信接口相关联并且包括第一WebRTC客户端，该第一WebRTC客户端包括第一WebRTC私密性验证代理；以及

第二计算设备，该第二计算设备与所述至少一个通信接口相关联并且包括第二WebRTC客户端，该第二WebRTC客户端包括第二WebRTC私密性验证代理；

所述第一WebRTC客户端和所述第二WebRTC客户端被配置为利用密钥设置材料建立所述第一WebRTC客户端与所述第二WebRTC客户端之间的WebRTC媒体信道；并且

所述第一WebRTC私密性验证代理和所述第二WebRTC私密性验证代理被配置为：

利用相同的密钥设置材料建立所述第一WebRTC客户端与所述第二WebRTC客户端之间的与所述WebRTC媒体信道相对应的WebRTC数据信道；

在所述WebRTC数据信道中协商所述第一WebRTC客户端与所述第二WebRTC客户端之间的密码密钥交换；

基于所述WebRTC数据信道中的密码密钥交换生成第一短认证串SAS和第二SAS；以及

经由所述第一WebRTC客户端显示所述第一SAS并且经由所述第二WebRTC客户端显示所述第二SAS，以使得所述第一SAS与所述第二SAS之间的不匹配指示出中间人MitM攻击者的存在。

7.如权利要求6所述的系统，其中，所述第一WebRTC私密性验证代理和所述第二WebRTC私密性验证代理还被配置为将对应于用于建立所述WebRTC媒体信道的密钥设置材料的第一指纹与对应于用于建立所述WebRTC数据信道的密钥设置材料的第二指纹相比较，以使得所述第一指纹与所述第二指纹之间的不匹配指示出所述MitM攻击者的存在。