以下是 Forge 的相关来源(TLS 1.0 的 JS 实现):
The HMAC function:
var hmac_sha1 = function(key, seqNum, record) {
/* MAC is computed like so:
HMAC_hash(
key, seqNum +
TLSCompressed.type +
TLSCompressed.version +
TLSCompressed.length +
TLSCompressed.fragment)
*/
var hmac = forge.hmac.create();
hmac.start('SHA1', key);
var b = forge.util.createBuffer();
b.putInt32(seqNum[0]);
b.putInt32(seqNum[1]);
b.putByte(record.type);
b.putByte(record.version.major);
b.putByte(record.version.minor);
b.putInt16(record.length);
b.putBytes(record.fragment.bytes());
hmac.update(b.getBytes());
return hmac.digest().getBytes();
};
The function that creates the Finished record:
tls.createFinished = function(c) {
// generate verify_data
var b = forge.util.createBuffer();
b.putBuffer(c.session.md5.digest());
b.putBuffer(c.session.sha1.digest());
// TODO: determine prf function and verify length for TLS 1.2
var client = (c.entity === tls.ConnectionEnd.client);
var sp = c.session.sp;
var vdl = 12;
var prf = prf_TLS1;
var label = client ? 'client finished' : 'server finished';
b = prf(sp.master_secret, label, b.getBytes(), vdl);
// build record fragment
var rval = forge.util.createBuffer();
rval.putByte(tls.HandshakeType.finished);
rval.putInt24(b.length());
rval.putBuffer(b);
return rval;
};
处理完成消息的代码有点长,可以是found here。我看到我在该代码中有一条评论,听起来可能与您的问题有关:
// rewind to get full bytes for message so it can be manually
// digested below (special case for Finished messages because they
// must be digested *after* handling as opposed to all others)
这是否有助于您发现实施中的任何内容?
更新 1
根据您的 cmets,我想澄清 TLSPlainText 的工作原理。 TLSPlainText 是 TLS 协议的主要“记录”。它是特定内容类型消息的“包装”或“信封”。它总是看起来像这样:
struct {
ContentType type;
ProtocolVersion version;
uint16 length;
opaque fragment[TLSPlaintext.length];
} TLSPlaintext;
所以它总是有一个版本。 Finished 消息是一种握手消息。所有握手消息的内容类型都是 22。握手消息如下所示:
struct {
HandshakeType msg_type;
uint24 length;
body
} Handshake;
Handshake 消息是其他消息的另一个信封/包装器,例如 Finished 消息。在这种情况下,正文将是一条 Finished 消息(HandshakeType 20),如下所示:
struct {
opaque verify_data[12];
} Finished;
要真正发送 Finished 消息,您必须将其包裹在 Handshake 消息信封中,然后像任何其他消息一样,您必须将其包裹在 TLS 记录 (TLSPlainText) 中。最终结果看起来/表示如下:
struct {
ContentType type=22;
ProtocolVersion version=<major, minor>;
uint16 length=<length of fragment>;
opaque fragment=<struct {
HandshakeType msg_type=20;
uint24 length=<length of finished message>;
body=<struct {
opaque verify_data[12]>;
} Finished>
} Handshake>
} TLSPlainText;
然后,在运输之前,记录可能会被更改。您可以将这些更改视为获取记录并转换其片段(和片段长度)的操作。第一个操作压缩片段。压缩后,您计算 MAC,如上所述,然后将其附加到片段。然后加密片段(如果使用分组密码,则添加适当的填充)并将其替换为加密结果。所以,当你完成后,你仍然会得到一个包含类型、版本、长度和片段的记录,但片段是加密的。
所以,我们很清楚,当您为 Finished 消息计算 MAC 时,想象一下将上述 TLSPlainText(假设没有您所指出的压缩)传递给一个函数。此函数采用此 TLSPlainText 记录,该记录具有类型、版本、长度和片段的属性。上面的 HMAC 函数是在记录上运行的。 HMAC 密钥和序列号(此处为 0)是通过会话状态提供的。因此,您可以看到 HMAC 功能所需的一切都可用。
无论如何,希望这能更好地解释协议的工作原理,并可能揭示您的实现出了什么问题。