OpenHarmony解读之设备认证：sts协议-客户端接收end响应

一、概述

本文重点介绍客户端收到end响应消息之后的处理过程。

二、源码分析

这一模块的源码位于：/base/security/deviceauth。

1. 首先是parse_auth_ack_response函数，解析认证ack响应消息。获取该消息中的关键字段，保存在相应结构体中。

/*函数功能：解析认证ack响应消息函数参数：    payload：消息负载    data_type：数据类型函数返回值：    成功：返回解析完成的消息负载地址    失败：返回NULL*/void *parse_auth_ack_response(const char *payload, enum json_object_data_type data_type){    //申请sts_end_response_data结构体空间保存解析的数据    struct sts_end_response_data *auth_ack_response = (struct sts_end_response_data *)MALLOC(sizeof(struct sts_end_response_data));    if (auth_ack_response == NULL) { return NULL;    }    (void)memset_s(auth_ack_response, sizeof(*auth_ack_response), 0, sizeof(*auth_ack_response));//清空该空间    //如果消息负载为json格式的字符串，则将json格式的数据解析成cjson结构体对象    json_handle obj = parse_payload(payload, data_type);    if (obj == NULL) { LOGE("Parse Auth ACK Response parse payload failed"); goto error;    }    /* authData */    //获取authData，将原来的十六进制字符串格式转换为byte数组格式    int32_t result = byte_convert(obj, FIELD_AUTH_RETURN, auth_ack_response->auth_return.auth_return,      (uint32_t *)&auth_ack_response->auth_return.length, HC_AUTH_DATA_BUFF_LEN);    if (result != HC_OK) { LOGE("Parse Auth ACK Request Data failed, field is null in addId"); goto error;    }    free_payload(obj, data_type);    return (void *)auth_ack_response;//返回解析完成的结构体error:    free_payload(obj, data_type);    FREE(auth_ack_response);    return NULL;}

2. 然后执行proc_sts_response_message函数处理sts响应消息，根据消息类型选择不同的函数处理，此处应该选择receive_sts_end_response函数。

/*函数功能：处理sts end响应消息函数参数：    sts_client：sts客户端对象    receive：接收到的消息    send：待发送消息体函数返回值：    成功：0    失败：error num*/int32_t receive_sts_end_response(struct sts_client *sts_client, struct message *receive){    DBG_OUT("Receive sts end response data");    check_ptr_return_val(sts_client, HC_INPUT_ERROR);//检查参数有效性    check_ptr_return_val(receive, HC_INPUT_ERROR);    //用sts_end_response_data结构接收消息负载    struct sts_end_response_data *receive_data = (struct sts_end_response_data *)receive->payload;    int32_t ret = receive_end_response(sts_client, receive_data);//处理end响应消息    if (ret != HC_OK) { LOGE("Called receive_end_response failed, error code is %d", ret); receive->msg_code = INFORM_MESSAGE;    } else { DBG_OUT("Called receive_end_response success"); receive->msg_code = AUTH_ACK_RESPONSE;//置消息码为AUTH_ACK_RESPONSE receive->payload = receive_data;//赋值消息负载    }    return ret;}/*函数功能：接收end响应消息函数参数：    handle：句柄，可用相关结构体获取    receive_data：接收到的消息数据函数返回值：    成功：0    失败：error num*/int32_t receive_end_response(void *handle, void *receive_data){    check_ptr_return_val(handle, HC_INPUT_ERROR);//检查参数有效性    check_ptr_return_val(receive_data, HC_INPUT_ERROR);    struct key_agreement_client *client = (struct key_agreement_client *)handle;//用密钥协商客户端接收该对象    struct key_agreement_protocol *base = &client->protocol_base_info;//定义密钥协商协议基础信息    DBG_OUT("Object %u begin receive end response data", base->sn);    if (is_state_error(client, RECEIVE_END_RESPONSE)) {//判断协议状态和协议动作是否对应错误 LOGE("Object %u state error", base->sn); return PROTOCOL_STATE_ERROR;    }    struct client_virtual_func_group *funcs = &client->package_funcs;//客户端虚函数组，定义打包函数    int32_t ret = funcs->parse_end_response_data(handle, receive_data);//解析end响应数据    if (ret != HC_OK) { set_state(base, PROTOCOL_ERROR); LOGE("Object %u parse end response data failed, error code is %d", base->sn, ret); return ret;    }    set_state(base, PROTOCOL_FINISH);//设置协议状态为PROTOCOL_FINISH    set_last_time_sec(base);//设置上一次的时间    DBG_OUT("Object %u receive end response data success", base->sn);    return HC_OK;}

3. 在上述函数中执行回调函数parse_end_response_data，进一步解析该响应消息，解密认证返回值。

/*函数功能：解析end响应数据函数参数：    handle：sts客户端对象    data：接收到的数据函数返回值：    成功：0    失败：error num详细:    用会话密钥解密验证返回值，然后利用session_key、salt、"hichain_return_key"等信息基于hkdf算法生成    派生密钥sts_client->service_key。*/static int32_t parse_end_response_data(void *handle, void *data){    struct sts_client *sts_client = (struct sts_client *)handle;//接收sts_client对象    //用sts_end_response_data接收该消息负载    struct sts_end_response_data *receive = (struct sts_end_response_data *)data;    struct uint8_buff auth_ret;//定义认证返回值缓冲区    (void)memset_s(&auth_ret, sizeof(auth_ret), 0, sizeof(auth_ret));//清空该缓冲区    auth_ret.val = (uint8_t *)MALLOC(receive->auth_return.length);//申请空间    if (auth_ret.val == NULL) { LOGE("Malloc auth_ret.val failed"); return HC_MALLOC_FAILED;    }    (void)memset_s(auth_ret.val, receive->auth_return.length, 0, receive->auth_return.length);    auth_ret.size = receive->auth_return.length;//清空该空间    struct aes_aad aes_aad;//aes GCM附加验证数据    //将本端challenge值拷贝到aes_aad    if (memcpy_s(aes_aad.aad, sizeof(aes_aad.aad), sts_client->my_challenge.challenge, sts_client->my_challenge.length) != EOK) { FREE(auth_ret.val); return memory_copy_error(__func__, __LINE__);    }    aes_aad.length = sts_client->peer_challenge.length;//获取长度    //定义密文缓冲区接收对端发来的加密数据    struct uint8_buff cipher = { receive->auth_return.auth_return,     receive->auth_return.length, receive->auth_return.length };    //用会话密钥解密保存到auth_ret中    int32_t ret = aes_gcm_decrypt((struct var_buffer *)&sts_client->session_key, &cipher, &aes_aad, &auth_ret);    if (ret != HC_OK) {//解密失败 FREE(auth_ret.val); LOGE("Object %u aes_gcm_encrypt failed, error code is %d", sts_client_sn(sts_client), ret); return false;    }    FREE(auth_ret.val);    //利用session_key、salt、"hichain_return_key"等信息基于hkdf算法生成派生密钥sts_client->service_key    generate_output_key(sts_client);    return ret;}

三、小结

客户端收到响应消息后，解密验证返回码，表示身份认证成功，然后生成本端的service_key,最后再调用软总线模块的接口设置通信的会话密钥为当前生成的这个服务密钥。至此，sts协议的通信流程结束，此协议的目的在于双端协商用于加解密用户数据的通信会话密钥。

开发者涨薪指南 48位大咖的思考法则、工作方式、逻辑体系