【ZeroRnge WebRTC】RFC 8445:ICE 协议规范(中文整理与译注)
RFC 8445:ICE 协议规范(中文整理与译注)
说明:本文对 RFC 8445(Interactive Connectivity Establishment, ICE)进行中文整理与译注,围绕工程实践需要的核心章节与流程(候选收集、连通性检查、提名与结束、重启、Lite 模式等),并配图帮助理解。
参考:RFC 8445(https://datatracker.ietf.org/doc/html/rfc8445)[0]
摘要(Abstract)
- ICE 是针对 UDP 通信的 NAT 穿越协议,结合 STUN(srflx 发现与保活)与 TURN(中继)完成端到端路径选择。
- 本规范废除了旧版 RFC 5245,更新了候选优先级、检查流程与角色(controlling/controlled)、提名机制等细节。
概览(Overview of ICE)
- 角色与会话:两端分别作为 controlling/controlled 角色参与检查与提名。
- 流程核心:
- 候选收集(host/srflx/relay);
- 候选交换(信令);
- 连通性检查(STUN Binding Request/Response);
- 选择并提名最佳候选对(Nomination);
- 结束检查并进入数据传输;
- 可选重启(Restart)。
候选收集(Gathering Candidates)
- Host:本地接口与端口。
- Server‑Reflexive(srflx):通过 STUN 揭示“对外可见的映射地址与端口”。
- Relayed(relay):通过 TURN 分配中继地址(UDP/TCP/TLS)。
- 保活:周期性 STUN 以维护 NAT 映射;TURN 分配/权限/通道也需要刷新。
候选交换(Exchanging Candidates)
- 通过信令(如 WSS)交换各自的候选列表;
- 形成候选对:将本地候选与远端候选两两配对,进入检查队列(根据优先级排序)。
连通性检查(Connectivity Checks)
- 双向 STUN Binding Request:双方同时向对方候选地址发送请求,建立 NAT 映射以允许返回包进入内网(UDP 打洞)。
- 成功判定:收到 Binding Response 并通过消息完整性校验(密码由 ICE 的 ufrag/pwd 提供)。
- 失败与回退:对称 NAT、企业网络阻断 UDP 等导致 srflx/host 检查失败,自动尝试 relay 候选(TURN/UDP 优先,UDP 全阻时用 TURN/TCP/TLS)。
优先级与排序(Prioritization)
- 推荐公式:基于候选类型、传输优先级与本地偏好计算数值,类型一般优先级为 Host > srflx > relay。
- 消除冗余:移除同一基础(foundation)的重复候选,降低检查负担。
提名与结束(Nominating & Concluding ICE)
- 提名:controlling 端提名已打通的候选对作为最终路径;controlled 端确认。
- 结束:停止无关检查;开始使用已提名路径进行数据传输。
- 重启:当网络变化或路径质量下降时,使用新的 ufrag/pwd 和候选集重启 ICE。
Lite 实现(Lite Implementations)
- Lite 端只收集 host 候选并不主动进行检查;适用于部署在公网且无需复杂穿越的场景。
- 完整端与 Lite 端互通时,完整端承担检查职责。
工程要点(Practical Notes)
- 优先直连:默认策略为 ALL(Host/srflx 优先),失败时再用 TURN;
- 企业网络:准备
turns:...:443(TLS,端口 443)与transport=tcp的中继,提升可达性; - 保活与刷新:周期性检查、TURN 的分配/权限/通道定期刷新;
- 日志与诊断:跟踪候选收集、检查结果与提名过程,便于问题定位;
- 安全:ICE 密码(ufrag/pwd)用于 STUN 完整性校验,防止伪造;与 TLS/SRTP 等分层机制协同使用。
参考
- [0] RFC 8445 - ICE: https://datatracker.ietf.org/doc/html/rfc8445