OpenHarmony解读之设备认证:pake协议-服务端响应pake start请求(1)

已于 2022-05-29 20:08:08 修改
阅读量480 收藏
点赞数
分类专栏: OpenHarmony源码分析 文章标签: harmonyos 网络 tcp/ip 安全 网络协议
于 2022-05-29 20:07:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46669761/article/details/125035506
版权

一、概述

在上一篇博客OpenHarmony解读之设备认证:pake协议-客户端发起start请求中讲到,客户端设备向服务端设备发起请求,本文将介绍服务端设备是如何响应客户端设备的请求并作出具体回复的。接收消息数据的过程在前面的博客中已经有所介绍,这里不再赘述。

二、源码分析

这一模块的源码位于:/base/security/deviceauth。

1. 首先执行函数parse_pake_request解析pake请求消息。
/*
函数功能:解析pake协议请求消息
函数参数:
    payload:消息负载地址
    data_type:json对象的数据类型
函数返回值:
    成功:返回解析完成的消息负载地址
    失败:返回NULL
*/
void *parse_pake_request(const char *payload, enum json_object_data_type data_type)
{
    struct pake_start_request_data *pake_request =
        (struct pake_start_request_data *)MALLOC(sizeof(struct pake_start_request_data));//为pake协议的请求消息数据结构申请空间
    if (pake_request == NULL) {//申请失败
        return NULL;
    }
    (void)memset_s(pake_request, sizeof(*pake_request), 0, sizeof(*pake_request));//清空pake协议的请求消息数据结构空间
    json_handle obj = parse_payload(payload, data_type);//解析消息数据为cjson结构体对象类型
    if (obj == NULL) {//解析失败
        LOGE("Parse Pake Request parse payload failed");
        goto error;
    }
    /* op */
    int32_t op = get_json_int(obj, FIELD_OPERATION_CODE);//获取操作码"operationCode"
    if (op == -1) {
        LOGE("Parse Pake Request failed, field is null in operationCode");//解析失败,打印日志
        goto error;
    }
    pake_request->operation_code = op;//将获取到的操作码赋值给pake_request结构
    /* version */
    json_pobject obj_ver = get_json_obj(obj, FIELD_VERSION);//解析获取"version"子对象,即版本号
    bool ret = parse_version(obj_ver, &pake_request->peer_version, &pake_request->peer_support_version);//解析出对端的当前版本号以及最低支持的版本号
    if (!ret) {
        LOGE("Parse Pake Request failed, field is null in version");
        goto error;
    }

    /* support 256 mod 是否支持256位模运算???*/
    int32_t support_256_mod = get_json_bool(obj, FIELD_SUPPORT_256_MOD);//获取子对象"support256mod"的值
    if (support_256_mod == 1) {
        pake_request->epk_len = HC_BIG_PRIME_MAX_LEN;//若支持,epk_len为HC_BIG_PRIME_MAX_LEN
    } else {
        pake_request->epk_len = HC_BIG_PRIME_MAX_LEN_384;//若不支持,epk_len为HC_BIG_PRIME_MAX_LEN_384
    }

    free_payload(obj, data_type);
    return (void *)pake_request;
error:
    free_payload(obj, data_type);
    FREE(pake_request);
    return NULL;
}

/*
函数功能:如果消息负载为json格式的字符串,则将json格式的数据解析成cjson结构体对象;如果消息负载为cjson结构体对象类型,则返回原内容;否则返回NULL
函数参数:
    payload:消息负载地址
    data_type:数据类型:只有JSON_STRING_DATA和JSON_OBJECT_DATA
*/
void *parse_payload(const char *payload, enum json_object_data_type data_type)
{
    if (data_type == JSON_STRING_DATA) {//如果json对象类型为:json格式的字符串
        return parse_json(payload);//将json格式的数据解析成cjson结构体对象
    } else if (data_type == JSON_OBJECT_DATA) {//如果json对象类型为:cjson结构体对象
        return (void *)payload;//直接返回原内容
    } else {
        return NULL;//如果都不是,返回NULL
    }
}

/*
函数功能:解析版本号
函数参数:
    obj_ver:cjson结构体版本号对象
    min_ver:最小版本号
    cur_ver:当前版本号
函数返回值:
    成功返回true,失败返回false
*/
bool parse_version(json_pobject obj_ver, struct key_agreement_version *min_ver, struct key_agreement_version *cur_ver)
{
    const char *str_cur_ver = get_json_string(obj_ver, FIELD_CURRENT_VERSION); /* version---cur 获取当前版本号,为字符串类型*/
    if (str_cur_ver == NULL) {
        return false;//失败返回false
    }
    char *sub_cur_ver = NULL;//子当前版本号
    char *next = NULL;
    int32_t len_cur_ver = strlen(str_cur_ver);//获取当前版本号长度
    char *tmp_cur_ver = (char *)MALLOC(len_cur_ver + 1);//申请当前版本号临时空间
    if (tmp_cur_ver == NULL) {
        return false;
    }
    (void)memset_s(tmp_cur_ver, len_cur_ver + 1, 0, len_cur_ver + 1);//清空临时空间
    if (strcpy_s(tmp_cur_ver, len_cur_ver + 1, str_cur_ver) != EOK) {//将获取到的当前版本号拷贝到临时空间
        FREE(tmp_cur_ver);
        tmp_cur_ver = NULL;
        return false;
    }
    split_ver(tmp_cur_ver, sub_cur_ver, min_ver, next);//分割出子当前版本号first,second,third保存在min_ver中???
    FREE(tmp_cur_ver);
    tmp_cur_ver = NULL;

    const char *str_min_ver = get_json_string(obj_ver, FIELD_MIN_VERSION); /* version---min 获取最小版本号,为字符串类型*/
    if (str_min_ver == NULL) {
        return false;
    }
    char *sub_min_ver = NULL;//子最小版本号
    int32_t len_min_ver = strlen(str_min_ver);//获取最小版本号长度
    char *tmp_min_ver = (char *)MALLOC(len_min_ver + 1);//申请最小版本号临时空间
    if (tmp_min_ver == NULL) {
        return false;
    }
    (void)memset_s(tmp_min_ver, len_min_ver + 1, 0, len_min_ver + 1);//清空临时空间
    if (strcpy_s(tmp_min_ver, len_min_ver + 1, str_min_ver) != EOK) {//将获取到的最小版本号拷贝到临时空间
        FREE(tmp_min_ver);
        tmp_min_ver = NULL;
        return false;
    }
    split_ver(tmp_min_ver, sub_min_ver, cur_ver, next);//分割出子最小版本号first,second,third保存在cur_ver中???
    FREE(tmp_min_ver);
    tmp_min_ver = NULL;
    return true;
}

//按指定分隔符分割版本号
static void split_ver(char *tmp_ver, const char *sub_ver, struct key_agreement_version *cur_ver, char *next)
{
    sub_ver = strtok_s(tmp_ver, ".", &next);//按 "."分割出first子版本号
    if (sub_ver != NULL) {
        cur_ver->first = strtoul(sub_ver, NULL, HC_VERSION_DEC); /* first 把参数 sub_ver 所指向的字符串根据给定的 base 转换为一个无符号长整数(类型为 unsigned long int 型)*/
    }
    sub_ver = strtok_s(NULL, ".", &next);//按 "."分割出second子版本号
    if (sub_ver != NULL) {
        cur_ver->second = strtoul(sub_ver, NULL, HC_VERSION_DEC); /* second 把分割出来的字符串转为无符号长整数*/
    }
    sub_ver = strtok_s(NULL, ".", &next);//按 "."分割出third子版本号
    if (sub_ver != NULL) {
        cur_ver->third = strtoul(sub_ver, NULL, HC_VERSION_DEC); /* third 把分割出来的字符串转为无符号长整数*/
    }
}
2. 根据全局消息码表G_MESSAGE_CODE_MAP创建对应的hc子对象,此处应创建pake服务端对象,调用函数build_pake_server_object实现。
/*
函数功能:创建pake服务端对象
函数参数:
    hichain:hichain实例
    params:创建参数
函数返回值:返回对象地址
*/
static void *build_pake_server_object(struct hichain *hichain, const void *params)
{
    (void)params;//未使用参数,防止编译器发出警告
    struct hc_pin pin = { 0, {0} };//初始化PIN码
    struct operation_parameter para;//定义操作参数

    (void)memset_s(&para, sizeof(para), 0, sizeof(para));//清空操作参数空间
    hichain->cb.get_protocol_params(&hichain->identity, hichain->operation_code, &pin, &para);//获取协议参数主,要获取认证会话密钥长度、对端认证id和本端认证id
    if (check_param_is_valid(&para) == false) {//检查参数是否有效
        LOGE("Param invalid");
        return NULL;
    }
    if (pin.length > HC_PIN_BUFF_LEN) {//PIN码不规范
        LOGE("PIN invalid");
        return NULL;
    }
    return build_pake_server(&pin, para.key_length, &para.peer_auth_id, &para.self_auth_id);//创建pake客户端对象
}

/*
函数功能:创建pake服务端对象
函数参数:
    pin:PIN码
    key_length:密钥长度
    client:客户端认证id
    server:服务端认证id
函数返回值:返回对象地址
*/
struct pake_server *build_pake_server(const struct hc_pin *pin, uint32_t key_length, const struct hc_auth_id *client,
    const struct hc_auth_id *server)
{
    struct pake_server *pake_server = (struct pake_server *)MALLOC(sizeof(struct pake_server));//为该对象申请内存空间
    if (pake_server == NULL) {
        LOGE("Build pake server object failed");
        return NULL;
    }

    (void)memset_s(pake_server, sizeof(*pake_server), 0, sizeof(*pake_server));//清空该内存空间
    const struct server_virtual_func_group funcs = { parse_start_request_data, build_start_response_data,
                                                     parse_end_request_data, build_end_response_data };//赋值服务端虚函数组
    init_server(&pake_server->server_info, &funcs);//初始化服务端状态和打包函数
    pake_server->pin = *pin;//赋值PIN
    pake_server->key_length = key_length;//赋值密钥长度
    pake_server->self_id = *server;//赋值本端认证id
    pake_server->peer_id = *client;//赋值对端认证id
    pake_server->prime_type = NUM_LEN_384;//质数长度

    LOGI("Build pake server object %u success", pake_server_sn(pake_server));

    return pake_server;
}

三、小结

由于篇幅原因,本篇博客就介绍到此处,剩余内容将在下篇博客中叙述。

xjingxuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenHarmony深度解读设备认证:HiChain机制部分源码解析1
weixin_46669761的博客
05-28 2004
一、概述 HiChain机制是OpenHarmony实现设备互联安全的一种协议机制,本文将对软总线模块涉及到的相关HiChain的接口进行一个简单的分析。处理逻辑是承接上文 OpenHarmony深度解读之分布式软总线:authmanager模块(3)/设备身份认证过程。 二、源码分析 在之前的文章的源码分析中,首先判断了数据包的module字段如果是MODULE_AUTH_SDK,就调用AuthProcessReceivedData函数继续处理,该函数如下: /* 函数功能:处理身份认证过程中接收到的
OpenHarmony解读设备认证pake协议-服务端响应pake start请求(2)
weixin_46669761的博客
05-29 508
一、概述 本文将继续介绍服务端响应pake协议的start请求的过程,承接上文:OpenHarmony解读设备认证pake协议-服务端响应pake start请求(1)。 二、源码分析 这一模块的源码位于:/base/security/deviceauth。 1. 在上文中创建完pake服务端对象之后,开始进入消息处理阶段,根据协议模块字段在全局分布式消息表中查询对应的消息处理函数,此处应该是proc_pake_request_message函数。 /* 函数功能:处理pake请求消息 函数参数:
OpenHarmony解读设备认证pake协议-服务端响应pake end请求
weixin_46669761的博客
05-29 402
一、概述 针对客户端发起的end请求服务端应作出对应的响应,本文重点介绍服务端解析end请求的过程及构造响应消息的过程。 二、源码分析 这一模块的源码位于:/base/security/deviceauth。 1. 首先解析收到的消息数据:parse_pake_client_confirm函数。 /* 函数功能:解析pake客户端confirm消息 函数参数: payload:消息负载部分 data_type:数据类型 函数返回值: 返回pake_end_request_data结
PAKE: Password-authenticated key agreement
mutourend的博客
07-20 5825
1. 引言 PAKE,即Password-authenticated key agreement,密码认证秘钥协商。 相关代码实现参见: https://github.com/RustCrypto/PAKEs 参考资料 [1] Wikipedia Password-authenticated key agreement
OpenHarmony解读设备认证pake协议-客户端发起start请求
weixin_46669761的博客
05-29 1406
一、概述 在设备认证过程中,pake协议用于认证会话密钥协商,基于该会话密钥,双方可以安全地交换各自的身份公钥。从本文开始,将对pake协议的详细过程进行介绍,本博客主要介绍客户端发起start请求的过程,协议状态从PROTOCOL_INIT转换为START_REQUEST。 二、源码分析 这一模块的源码位于:/base/security/deviceauth。 1. start_pake函数,启动pake模块。 /* 函数功能:启动pake模块 函数参数: handle:hichain实例
OpenHarmony解读设备认证pake协议-客户端发起end请求
weixin_46669761的博客
05-29 429
一、概述 在前面的文中,客户端首先发起start请求,然后服务端进行响应,本文将介绍客户端收到来自服务端响应(response)消息的处理过程以及客户端针对该响应发起end请求的过程。 二、源码分析 这一模块的源码位于:/base/security/deviceauth。 1. 首先解析该response消息,调用parse_pake_response函数实现: /* 函数功能:解析pake服务端响应消息 函数参数: payload:消息负载 data_type:数据类型 函数返回值:
krb5-pake:Kerberos PAKE认证机制
06-28
警告:此软件仅用于概念验证,并不安全。 不要用这个软件!... 我不是在开玩笑。 不要使用它。 Kerberos PAKE 什么是派克? ...为什么 PAKE 对 Kerberos 感兴趣?...Kerberos PAKE 支持哪些 PAKE 算法? Kerberos PAK
J-PAKE-demo:有限域和椭圆曲线中J-PAKE的Java演示
04-29
**压缩包子文件的文件名称列表:"J-PAKE-demo-master"** 暗示这是一个源代码仓库的主分支,可能包含了以下组件: 1. `README.md`: 项目介绍和使用说明。 2. `src/`: 源代码目录,可能包含`java`子目录,里面是J-PAKE...
关于S-3PAKE协议的漏洞分析 (2009年)
05-15
通过分析一种基于CCDH假设的简单三方密钥交换协议(S-3PAKE 协议),指出了该协议未对攻击者可能的身份进行全面考虑,缺乏完备认证机制的缺陷,阐明了当攻击者本身就是与服务器共享一对认证口令的合法用户时,该协议不能...
cpace:使用 libsodium 的 CPace PAKE 实现
05-31
CPace-Ristretto255,一个平衡的 PAKE libsodium 1.0.17+ 的 CPace 实现 模糊 是一种协议,供共享低熵秘密(密码)的两方派生出强共享密钥,而不会将秘密泄露给离线字典攻击。 CPace 是一个平衡的 PAKE,意味着...
通用可组合安全的匿名认证密钥交换协议 (2010年)
05-29
针对智能卡登录系统中远程身份认证和密钥交换问题,提出一种具有通用可组合安全的基于口令的匿名认证密钥交换协议--πpAKE・.该协议采用匿名技术进行登录认证及信息存储管理,使用Diffie- Hellman(DH)算法实现数据交换,同时生成临时会话密钥.由此节省了登录的运算开销,且协议具有前向安全性.研究从形式化论证角度出发,利用通用可组合安全认证理想函数FAUTH模型和密钥交换理想函数 FKE模型,构建πpAKE的通用可组合安全模型,并在此模型下,对πpAKE安全性进行论证,结果表明,该协议具有通用可组合
解决OpenSSH J PAKE授权问题漏洞 CVE 2010 4478 Linux上openssh重装方法
07-19
解决OpenSSH J PAKE授权问题漏洞 CVE 2010 4478 需要更新openssh Linux上openssh重装方法
HPACK 协议规范中文版
07-23
HTTP/2 协议的一些关键特性包括:二进制分帧,连接复用,首部压缩等。首部压缩是 HTTP/2 用于减少多请求执行时数据传输量的方法。这份文档是 HTTP/2 首部压缩部分,即 HPACK 的协议规范。
OPAQUE 密码认证密钥交换协议的实现
06-28
安装Cargo.toml添加到Cargo.toml的依赖Cargo.toml :opaque-ke = "0.5.0"资源OPAQUE 学术出版物,包括正式定义和安全证明Draft-irtf-cfrg-opaque-03 ,包含 OPAQUE 的详细(字节级)规范“让我们谈谈 PAKE” ,由 ...
OpenHarmony解读设备认证pake协议-客户端接收end响应
weixin_46669761的博客
05-29 601
一、概述 在上一篇博客中提到,服务端针对客户端发起的end请求,作出了end响应,因此,本文将介绍客户端接收到end响应之后的处理过程。 二、源码分析 这一模块的源码位于:/base/security/deviceauth。 1. 首先执行parse_pake_server_confirm函数解析响应消息。 /* 函数功能:解析服务端confirm消息负载 函数参数: payload:消息负载 data_type:数据类型 函数返回值: 返回pake_end_response_dat
Harmony跨进程通信—IPC与RPC通信开发指导
最新发布
HarmonyOSDev的博客
10-08 756
IPC和RPC通常采用客户端-服务器(Client-Server)模型,在使用时,请求服务的(Client)一端进程可获取提供服务(Server)一端所在进程的代理(Proxy),并通过此代理读写数据来实现进程间的数据通信,更具体的讲,首先请求服务的(Client)一端会建立一个服务提供端(Server)的代理对象,这个代理对象具备和服务提供端(Server)一样的功能,若想访问服务提供端(Server)中的某一个方法,只需访问代理对象中对应的方法即可,代理对象会将请求发送给服务提供端(Server);
OpenHarmony解读设备认证:sts协议-客户端发起start请求
weixin_46669761的博客
05-31 1335
一、概述 为实现用户个人数据在多个终端设备间的安全传输,设备认证模块提供将多个设备安全连接起来的能力,通过设备间信任关系建立和设备通信时信任关系验证保证安全性。主控设备和配件设备基于PAKE协议完成认证会话密钥协商,并基于该会话密钥,安全的交换各自身份公钥。 当建立过信任关系的主控设备与配件设备间进行通信时,双方将相互交换身份公钥,并通过检查本地是否存储对端身份信息的方式确认对端与本设备的信任关系。进一步地,基于双方的身份公私钥对,通信对端设备可以基于STS协议进行密钥协商并建立安全通信通道,支撑设备间通信
OpenHarmony深度解读之分布式软总线:设备认证机制浅析
weixin_46669761的博客
05-28 2907
一、概述 为保证设备互联安全性,即保证用户数据在多个终端设备间的安全流转,OpenHarmony提供了可靠的设备认证机制,主要分为设备间信任关系的建立和设备通信时信任关系验证两个阶段。 设备认证提供了IoT主控设备(手机、平板等)与IoT配件设备(如智能家居、智能穿戴等)间建立并验证帐号无关点对点信任关系的能力。具备这种信任关系的设备在通信连接时可搭建安全的连接通道,实现用户数据的端到端加密传输。 二、设备认证机制的实现 IoT主控设备的身份标识 IoT主控设备在与配件设备建立点对点信任关系时,会生成椭
python thinker label pake
05-09
Python Tkinter Label Widget (Python Tkinter 标签小部件) 是 Tkinter GUI 工具包中的一个小部件,用于在应用程序中显示文本或图像标签。它可以用来创建静态文本或图像,并在图形用户界面中展示。要使用 Python Tkinter Label Widget,您需要导入 Tkinter 模块并创建一个 Label 对象。以下是一个简单的示例: ```python import tkinter as tk root = tk.Tk() label = tk.Label(root, text="Hello, World!") label.pack() root.mainloop() ``` 这将创建一个标签,显示文本 "Hello, World!"。`pack()` 方法用于将小部件放入父容器中,并在屏幕上显示它。您还可以使用其他选项来自定义标签,例如更改字体、颜色、对齐方式等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值