FFmpeg 的 TLS/DTLS 安全层是这么实现的

作者：大师兄悟空
来源：流媒体技术
审校：Jack Lau
链接：https://mp.weixin.qq.com/s/CFDIkSfxINwzI1CKHHmcQg

在当今的网络环境中，数据安全传输已经成为刚需。对于 FFmpeg 这样的多媒体处理框架而言，如何在网络传输过程中保护音视频数据的安全性显得尤为重要。今年GSoC开始 Jack Lau 为FFmpeg的DTLS和WHIP贡献了大量的代码，还是很值得学习的，也希望Jack Lau在后续能够持续维护下去，为整个行业创造更多的价值，也欢迎大伙为FFmpeg贡献代码，体验美好人生。

TLS（Transport Layer Security）和 DTLS（Datagram Transport Layer Security）作为两种重要的安全传输协议，为 FFmpeg 提供了强大的加密传输能力。特别是在 WebRTC、实时流媒体等场景下，DTLS 更是不可或缺的关键组件。

本文将深入剖析 FFmpeg 中 TLS/DTLS 安全层的实现细节，从架构设计到具体实现，从证书管理到错误处理，带您全面了解这一重要模块。

一、架构设计：灵活的插件化后端体系

FFmpeg 的 TLS/DTLS 实现采用了插件化后端架构，这种设计使得 FFmpeg 可以支持多种 SSL/TLS 实现，满足不同平台和场景的需求。

1.1 协议注册与后端选择

URL Protocol Layer
├── ff_tls_protocol (tls://)
└── ff_dtls_protocol (dtls://)
Backend Implementations
├── tls_securetransport.c (macOS SecureTransport)
├── tls_schannel.c (Windows Schannel)
├── tls_mbedtls.c (mbedTLS Backend)
├── tls_gnutls.c (GnuTLS Backend)
└── tls_openssl.c (OpenSSL Backend)
Common Infrastructure
├── TLSShared Common Configuration
├── ff_ssl_read_key_cert()
├── ff_tls_open_underlying()
└── ff_ssl_gen_key_cert()
Transport Setup
├── Underlying Transports
├── HTTP Proxy
├── ff_udp_protocol
└── ff_tcp_protocol

从架构图可以看出，FFmpeg 支持以下五种后端实现：

OpenSSL Backend：功能最完整的实现，支持 DTLS 和 SRTP 集成
GnuTLS Backend：开源替代方案，功能与 OpenSSL 类似
mbedTLS Backend：轻量级实现，适合嵌入式系统
Windows Schannel：Windows 原生 SSL/TLS 实现
macOS SecureTransport：macOS/iOS 原生实现

这种多后端设计的优势在于：

跨平台兼容性：在不同操作系统上可以使用最优的原生实现
灵活的部署选择：根据项目需求选择合适的 SSL 库
避免单一依赖：降低对特定 SSL 库的依赖风险

1.2 核心数据结构：TLSShared

所有后端实现都共享一个通用的配置结构TLSShared，这保证了接口的一致性和配置的统一性。

字段	类型	用途
ca_file	char*	证书颁发机构文件路径
verify	int	启用对等证书验证
cert_file	char*	客户端 / 服务器证书文件
key_file	char*	私钥文件
listen	int	服务器模式（0 = 客户端，1 = 服务器）
host	char*	用于 SNI 和验证的主机名
tcp	URLContext*	底层 TCP 连接
udp	URLContext*	底层 UDP 连接（DTLS）
is_dtls	int	DTLS 模式标志
use_srtp	int	启用 SRTP 扩展（DTLS）
cert_buf	char*	证书 PEM 字符串
key_buf	char*	私钥 PEM 字符串
mtu	int	最大传输单元（DTLS）

二、后端实现深度解析

2.1 OpenSSL 后端：功能最完整的实现

OpenSSL 后端是 FFmpeg 中功能最完整的 TLS/DTLS 实现，支持包括DTLS-SRTP 在内的高级特性。

2.1.1 协议操作流程

2.1.2 自动证书生成

对于 DTLS 服务器模式，OpenSSL 后端支持自动生成自签名证书，这在开发和测试环境中非常实用。

密钥生成过程：

使用 prime256v1（secp256r1）曲线的 ECDSA
支持不低于 OpenSSL 1.1.1 版本，或者3.x API
生成带有适当使用标志的可导出密钥

证书生成过程：

创建 X.509 v3 证书
使用 av_get_random_seed () 设置随机序列号
有效期：365 天
主题：CN=lavf
自签名（颁发者 == 主题）
SHA-1 签名算法

2.2 GnuTLS 后端

GnuTLS 后端提供了类似功能的替代开源实现：

主要区别：

使用 gnutls_session_t 而不是 SSL*
自定义 pull/push 函数：gnutls_url_pull () 和 gnutls_url_push ()
通过 GNUTLS_DATAGRAM 标志支持 DTLS
通过 gnutls_certificate_set_x509_system_trust () 支持系统信任存储

2.3 mbedTLS 后端

适用于嵌入式系统的轻量级 TLS 实现：

特性：

使用 mbedtls_ssl_context 和mbedtls_ssl_config
自定义发送 / 接收回调：mbedtls_send () 和 mbedtls_recv ()
为随机数生成设置熵和 DRBG
支持密码保护的私钥

2.4 平台原生后端

2.4.1 Windows Schannel

Windows Schannel 后端充分利用了 Windows操作系统的原生安全功能：

独特特性：

使用 NCrypt API 生成自签名证书
私钥安全存储在 MS 密钥存储提供程序中
自动清理临时生成的密钥
内置 DER 到 PEM 格式转换工具

2.4.2 macOS SecureTransport

macOS SecureTransport 后端则集成了 Apple 的安全框架：

核心特性：

使用 SSLContextRef 管理 SSL 会话
通过 SecItemImport () 导入证书和密钥
基于 SecIdentity 的身份验证机制
利用系统证书信任链进行验证

三、TLS 协议实现：标准与创新的结合

3.1 TLS 连接建立过程

TLS 协议在 TCP 基础上提供安全的传输服务，其连接建立过程包含多个关键步骤：

3.2 核心实现步骤

1.底层传输设置（ff_tls_open_underlying()）：

解析 URI 并提取主机、端口
检测数字与主机名（用于 SNI）
如果配置则设置 HTTP 代理隧道
打开 TCP 连接

2.SSL上下文初始化：

使用适当的方法（客户端 / 服务器）创建 SSL_CTX
设置最低 TLS 版本（最低 TLSv1.0）
加载 CA 证书进行验证
如果提供则加载客户端证书和私钥

3.主机名配置：

通过 SSL_set_tlsext_host_name () 设置 SNI（服务器名称指示）
通过 SSL_set1_host () 配置主机名验证
为安全起见禁用部分通配符匹配

4.握手执行：

客户端模式调用 SSL_connect ()
服务器模式调用 SSL_accept ()
使用 AVERROR (EAGAIN) 处理非阻塞 I/O

3.3 自定义 BIO 实现

OpenSSL 后端通过自定义 BIO（Basic I/O）实现与 FFmpeg URLContext 的深度集成：

BIO 方法	函数	用途
url_bio_bread()	读取	对底层传输调用 ffurl_read ()
url_bio_bwrite()	写入	对底层传输调用 ffurl_write ()
url_bio_ctrl()	控制	处理刷新操作
url_bio_bputs()	字符串输出	写入以 null 结尾的字符串
url_bio_create()	创建	初始化 BIO 结构
url_bio_destroy()	销毁	清理（无操作）

错误处理将 FFmpeg 错误映射到 OpenSSL ：

AVERROR(EAGAIN) → BIO_set_retry_read/write()
AVERROR_EXIT → 返回 0（EOF）
其他错误 → 存储在 TLSContext.io_err 中，返回 – 1

这种设计使得 TLS 层可以无缝集成到 FFmpeg 的 I/O 框架中，支持各种协议的嵌套使用。

四、DTLS 协议实现：实时通信的安全保障

DTLS（Datagram TLS）是 TLS 协议在 UDP 上的扩展，特别适合实时通信场景。在 WebRTC 中，DTLS不仅提供数据加密，还负责 SRTP 密钥的交换。

4.1 DTLS 连接建立流程

DTLS握手

由于UDP本身的不可靠性，DTLS握手与TLS有所不同：

主要特点：

需要非阻塞操作
通过超时和重传来处理丢包。
基于MTU的握手消息分片
Cookie 交换用于 DoS 防护（服务器模式）

OpenSSL实现：

1. 初始设置（dtls_start()）：

创建 SSL_CTX设置为DTLS_server_method()或DTLS_client_method()
加载证书（或生成自签名证书）
配置 MTU：SSL_set_mtu()和DTLS_set_link_mtu()
SSL_OP_NO_QUERY_MTU手动MTU控制设置

2. 握手循环（dtls_handshake()）：

在握手期间将UDP套接字设置为阻塞模式，SSL_do_handshake()内部处理丢包重传等操作
把手SSL_ERROR_WANT_READ和SSL_ERROR_WANT_WRITE
检查完成情况SSL_is_init_finished()

3. 服务器地址绑定：

DTLS 服务器最初监听时没有指定远程地址。
收到第一个数据包后，通过以下方式提取源地址ff_udp_get_last_recv_addr()
调用ff_udp_set_remote_addr()“连接”UDP套接字

4.2 关键技术挑战

4.2.1 MTU 管理

由于 UDP 数据包大小有限，DTLS 需要仔细处理MTU（最大传输单元）以避免 IP 分片：

1. 配置：

默认 MTU：1096 字节（如果未指定）
通过mtuTLSShared 中的选项进行设置
OpenSSL 调用：SSL_set_mtu()和DTLS_set_link_mtu()

2. 运行时 MTU 使用情况：

DTLS_get_data_mtu()返回最大有效载荷大小
用于tls_write()限制数据包大小：size = FFMIN(size, mtu_size)
确保数据包符合 UDP 数据报限制

代码示例：

// 默认MTU设置为1096字节
s->mtu =   1096;
// 应用层可以通过选项自定义MTU
av_dict_get_int(options,   "mtu", &s->mtu, 0);
// 配置OpenSSL的MTU
SSL_set_mtu(ssl,   s->mtu);
DTLS_set_link_mtu(ssl,   s->mtu);
// 运行时限制发送数据包大小
int mtu_size =   DTLS_get_data_mtu(ssl);
size =   FFMIN(size, mtu_size);

4.2.2 SRTP 密钥导出

DTLS-SRTP 集成是 WebRTC 中的关键技术，FFmpeg 实现了完整的 SRTP 密钥导出功能：

int   ff_dtls_export_materials(DTLSContext *dtls, unsigned char *buf, int size) {
    // 使用RFC 5705导出器提取密钥材料
    if   (SSL_export_keying_material(dtls->ssl, buf, size,
                                   "EXTRACTOR-dtls_srtp",   strlen("EXTRACTOR-dtls_srtp"),
                                  NULL, 0, 0)   <= 0) {
        return AVERROR(EIO);
    }
    return 0;
}

导出的密钥材料包含：

客户端密钥（16 字节）
服务器密钥（16 字节）
客户端盐值（14 字节）
服务器盐值（14 字节）

总计 60 字节的密钥材料，用于初始化 SRTP 上下文。

4.2.3 DTLS 数据包检测

在 UDP 传输中，DTLS 需要与其他协议（如 STUN、RTP）共享端口，因此需要可靠的数据包检测机制：

检测逻辑 (is_dtls_packet()):

DTLS packet identified if:
- Size > 13 bytes (DTLS header length)
- First byte >= 20 (DTLS content types)
- Version is 0xfeff (DTLS 1.0) or 0xfefd (DTLS 1.2)

DTLS 内容类型:

20: ChangeCipherSpec
21: Alert
22: Handshake
23: Application Data

代码示例：

static int   is_dtls_packet(const uint8_t *buf, int len) {
    if (len < 13)
        return 0;
    
    // DTLS内容类型：20-23
    if (buf[0] < 20 || buf[0] > 23)
        return 0;
    
    // DTLS版本：0xfeff (DTLS 1.0) 或 0xfefd (DTLS 1.2)
    if ((buf[1] << 8 | buf[2]) !=   0xfeff && 
        (buf[1] << 8 | buf[2]) !=   0xfefd)
        return 0;
    
    return 1;
}

五、证书与密钥管理：安全的基石

5.1 证书管理流程

5.2 证书加载机制

FFmpeg 支持多种证书加载方式：

基于文件的加载

ff_url_read_all()使用支持任何 URL 协议的读取方式读取文件
PEM_read_bio_PrivateKey()使用以下方法解析 PEM 格式：PEM_read_bio_X509() 、PEM_read_bio_PrivateKey()
转换为 PEM 字符串以进行存储
通过以下方式生成 SHA-256 指纹x509_fingerprint()

int   ff_ssl_read_key_cert(TLSShared *s) {
    // 使用ff_url_read_all()读取证书文件
    // 支持任何URL协议，不仅限于本地文件
    s->cert_buf = ff_url_read_all(NULL,   s->cert_file, &s->cert_buf_size);
    s->key_buf = ff_url_read_all(NULL,   s->key_file, &s->key_buf_size);
    
    // 解析PEM格式
    s->cert = cert_from_pem_string(s->cert_buf,   s->cert_buf_size);
    s->pkey =   pkey_from_pem_string(s->key_buf, s->key_buf_size);
    
    // 生成SHA-256指纹
    x509_fingerprint(s->cert,   "sha256", s->fingerprint, sizeof(s->fingerprint));
}

基于字符串的加载

用途pkey_from_pem_string()和cert_from_pem_string()
直接解析 PEM 编码的字符串
支持cert_pem两种key_pem选项

// 直接从PEM字符串加载证书
s->cert =   cert_from_pem_string(pem_data, pem_size);
// 直接从PEM字符串加载私钥
s->pkey =   pkey_from_pem_string(pem_data, pem_size);

这种方式特别适合嵌入式环境或需要动态生成证书的场景。

5.3 证书指纹计算

证书指纹用于唯一标识证书，在 WebRTC 的 SDP 协商中广泛使用：

自签名证书生成

对于未提供证书的 DTLS 服务器模式，系统可以生成自签名证书：

5.3.1 生成过程（ff_ssl_gen_key_cert()）：

5.3.1.1 私钥生成（openssl_gen_private_key()）：

算法：采用 prime256v1 曲线的 ECDSA
OpenSSL 1.1.1：EC_KEY + EVP_PKEY_set1_EC_KEY()
OpenSSL 3.x：EVP_EC_gen()

5.3.1.2 证书生成（openssl_gen_certificate()）：

版本：X.509 v3
序列号：随机 64 位值
主题：CN=lavf
签发人：与主体相同（本人签名）
有效期：自现在起365天
签名：SHA-1
扩展：无（基本证书）

5.3.1.3 指纹：以冒号分隔的十六进制格式的 SHA-256 哈希值

int   x509_fingerprint(X509 *x509, const char *hash_algo, 
                    char *dst, int size) {
    const EVP_MD *md =   EVP_get_digestbyname(hash_algo);
    unsigned char md_buf[EVP_MAX_MD_SIZE];
    unsigned int md_len;
    
    // 计算证书摘要
    X509_digest(x509, md, md_buf,   &md_len);
    
    // 格式化为XX:XX:XX:...:XX格式
    for (int i = 0; i < md_len; i++) {
        snprintf(dst + i * 3, 4,   "%02X:", md_buf[i]);
    }
    dst[md_len * 3 - 1] = 'int   x509_fingerprint(X509 *x509, const char *hash_algo, 
                    char *dst, int size) {
    const EVP_MD *md =   EVP_get_digestbyname(hash_algo);
    unsigned char md_buf[EVP_MAX_MD_SIZE];
    unsigned int md_len;
    
    // 计算证书摘要
    X509_digest(x509, md, md_buf,   &md_len);
    
    // 格式化为XX:XX:XX:...:XX格式
    for (int i = 0; i < md_len; i++) {
        snprintf(dst + i * 3, 4,   "%02X:", md_buf[i]);
    }
    dst[md_len * 3 - 1] = '\0';
}';
}

生成的指纹格式如：A1:B2:C3:D4:E5:F6:…，用于 SDP 中的a=fingerprint属性。

六、实战应用：与网络协议的集成

6.1 底层传输设置

ff_tls_open_underlying () 函数建立基础传输层：

HTTP 代理：如果设置了 http_proxy 环境变量，则自动使用代理
无代理：对本地地址尊重 no_proxy 环境变量
监听模式：对于服务器，使用 listen=1 选项
UDP 选项：设置 localport、localaddr、connect、fifo_size、pkt_size

6.2 HTTP 代理隧道支持

TLS 层可以自动检测并使用 HTTP 代理：

流程：

连接到 HTTP 代理服务器
发送 CONNECT 请求：CONNECT hostname:port HTTP/1.1
接收代理响应（期望 200 Connection Established）
建立隧道后，通过代理传输 TLS 流量

代码示例

// 检查是否设置了http_proxy环境变量
const char   *proxy = getenv("http_proxy");
if (proxy) {
    // 解析代理地址
    parse_proxy_url(proxy, &proxy_host,   &proxy_port);
    
    // 连接到代理服务器
    proxy_fd = ff_socket_connect(proxy_host,   proxy_port, 0);
    
    // 发送CONNECT请求
    snprintf(request, sizeof(request), 
             "CONNECT %s:%d   HTTP/1.1\r\n"
             "Host: %s:%d\r\n"
             "Proxy-Connection:   Keep-Alive\r\n\r\n",
             host, port, host, port);
    
    // 等待代理响应（期望200 Connection Established）
    ff_url_read(proxy_fd, response,   sizeof(response));
}

6.3 外部套接字集成

在某些高级场景下（如 WHIP 协议），应用程序可能需要自己管理套接字：

// 应用程序创建并管理UDP套接字
URLContext   *udp_uc = url_open("udp://localhost:1234", AVIO_FLAG_READ_WRITE);
// DTLS上下文
URLContext   *dtls_uc = url_open("dtls://", AVIO_FLAG_READ_WRITE);
// 将外部套接字关联到DTLS上下文
ff_tls_set_external_socket(dtls_uc,   udp_uc);

这种设计提供了极大的灵活性，使得 FFmpeg 的 TLS/DTLS 层可以与各种自定义的网络架构集成。

使用模式：

1. Application opens UDP socket
2. Calls ff_tls_set_external_socket(dtls_uc, udp_uc)
3. DTLS uses provided socket
4. Application manages socket lifecycle

七、配置选项

7.1 通用 TLS 选项

以下选项通过 FF_TLS_CLIENT_OPTIONS和 TLS_COMMON_OPTIONS 宏应用于所有后端实现：

选项	类型	默认值	描述
ca_file/cafile	string	系统默认	证书颁发机构数据库文件
tls_verify/verify	bool	1	验证对等证书
cert_file/cert	string	–	客户端 / 服务器证书文件
key_file/key	string	–	私钥文件
verifyhost	string	–	用于验证的主机名
listen	bool	0	启用服务器模式
mtu	int	0	DTLS 最大传输单元
http_proxy	string	–	用于隧道传输的http代理
external_sock	bool	0	使用外部管理的套接字
use_srtp	bool	0	启用 SRTP 扩展（DTLS）
cert_pem	string	–	PEM 格式的证书字符串
key_pem	string	–	PEM 格式的私钥字符串

7.2 后端特定配置

7.2.1 OpenSSL 配置：

OpenSSL 后端初始化在openssl_init_ca_key_cert()：

证书颁发机构：

如果ca_file指定：SSL_CTX_load_verify_locations()
否则：SSL_CTX_set_default_verify_paths()对于系统 CA 故障并非致命（日志警告）

证书和密钥加载：

基于文件：SSL_CTX_use_certificate_chain_file()和SSL_CTX_use_PrivateKey_file()
基于字符串的：SSL_CTX_use_certificate()和SSL_CTX_use_PrivateKey()
自签名生成：如果服务器模式下没有证书/密钥，则自动生成。

确认：

如果verify=1：设置SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT
主机名验证：SSL_set1_host()和通配符控制

DTLS 特有：

SRTP简介：”SRTP_AES128_CM_SHA1_80″
MTU配置：SSL_set_options(SSL_OP_NO_QUERY_MTU)

7.2.2 GnuTLS 配置：

系统信任：

gnutls_certificate_set_x509_system_trust()（版本 >= 3.0.20）自动系统CA加载

证书加载：

gnutls_certificate_set_x509_key_file()基于文件的处理方式，需要同时加载证书和密钥（无需单独加载）

确认：

gnutls_certificate_set_verify_flags() 验证开启设置为GNUTLS_VERIFY_ALLOW_X509_V1_CA_CRT如果验证已禁用则设置0

DTLS：

MTU：gnutls_dtls_set_mtu()
没有单独的 SRTP 配置

7.2.3 mbedTLS 配置：

选项	类型	描述
key_password	string	加密私钥的密码

初始化：

Entropy：mbedtls_entropy_init ()
DRBG：mbedtls_ctr_drbg_init () 和mbedtls_ctr_drbg_seed ()
调试：如果日志级别≥DEBUG，则使用mbedtls_ssl_conf_dbg ()

八、错误处理与调试：专业级的健壮性设计

8.1 统一的错误代码体系

FFmpeg 的 TLS/DTLS 实现建立了完善的错误处理机制，将各种 SSL 库的错误统一转换为FFmpeg 的错误代码：

int   print_ssl_error(TLSContext *tls, int ret) {
    int ssl_err = SSL_get_error(tls->ssl,   ret);
    
    switch (ssl_err) {
        case SSL_ERROR_WANT_READ:
        case SSL_ERROR_WANT_WRITE:
            return AVERROR(EAGAIN);
        
        case SSL_ERROR_ZERO_RETURN:
            return AVERROR_EOF;
        
        case SSL_ERROR_SYSCALL:
            if (ret == 0)
                return AVERROR_EOF;
            return AVERROR(errno);
        
        default:
            // 记录详细的错误信息
            char err_buf[256];
             ERR_error_string_n(ERR_get_error(), err_buf, sizeof(err_buf));
            av_log(tls, AV_LOG_ERROR,   "SSL error: %s\n", err_buf);
            return AVERROR(EIO);
    }
}

8.2 非阻塞 I/O 处理

所有后端都支持非阻塞操作，这对于实时应用至关重要：

设置底层传输标志：uc->flags |= h->flags & AVIO_FLAG_NONBLOCK
尝试 SSL 操作（读取 / 写入）
如果操作会阻塞，返回 AVERROR (EAGAIN)
应用程序负责重试逻辑

应用层的重试逻辑：

while (1) {
    ret = ffurl_read(dtls_uc, buf,   sizeof(buf));
    if (ret != AVERROR(EAGAIN))
        break;
    
    // 等待文件描述符准备好
    ff_network_wait_fd(dtls_uc->fd, 1); //  等待读事件
}

8.3 调试与日志

FFmpeg 提供了详细的调试日志功能：

// 设置日志级别
av_log_set_level(AV_LOG_DEBUG);
// 各种级别的日志输出
av_log(tls,   AV_LOG_ERROR, "Critical error occurred\n");
av_log(tls,   AV_LOG_WARNING, "Potential issue detected\n");
av_log(tls,   AV_LOG_INFO, "Handshake completed successfully\n");
av_log(tls,   AV_LOG_DEBUG, "SSL state: %s\n", SSL_state_string_long(ssl));
av_log(tls,   AV_LOG_TRACE, "Received %d bytes of data\n", bytes_read);

日志记录：

使用 FFmpeg 的日志系统（av_log ()）
不同级别：
- AV_LOG_ERROR、
- AV_LOG_WARNING、
- AV_LOG_INFO、
- AV_LOG_DEBUG、
- AV_LOG_TRACE
记录握手进度、证书信息、错误详情

调试选项：

启用详细日志：设置环境变量 AV_LOG_LEVEL=debug
证书信息：打印加载的证书链和指纹
握手消息：记录 TLS 握手消息类型和长度

九、总结与展望

FFmpeg 的 TLS/DTLS 实现提供了一个灵活、可扩展的安全传输层，支持多种后端和平台。主要特点包括：

多后端支持：OpenSSL、GnuTLS、mbedTLS、Windows Schannel、macOS SecureTransport
- NOTE：目前只有OpenSSL完整支持DTLS
完整的 TLS/DTLS 功能：支持标准 TLS 协议和 DTLS 协议
WebRTC 集成：DTLS-SRTP 密钥导出和数据包处理
灵活的证书管理：文件加载、字符串加载、自签名证书生成
代理支持：HTTP CONNECT 代理隧道
非阻塞 I/O：与 FFmpeg 的异步 I/O 模型集成
详细的错误处理：统一的错误代码和调试信息

这个实现为 FFmpeg 提供了强大的安全传输能力，适用于各种网络应用场景，特别是实时流媒体和 WebRTC 应用。

参考资源：

FFmpeg 官方文档
RFC 5246 – The Transport Layer Security (TLS) Protocol Version 1.2
RFC 6347 – Datagram Transport Layer Security Version 1.2
RFC 5763 – DTLS-SRTP
Code Repository: https://github.com/FFmpeg/FFmpeg