mbedTLS(PolarSSL)简单思路和函数笔记(Client端)

最新推荐文章于 2024-05-22 11:22:34 发布
最新推荐文章于 2024-05-22 11:22:34 发布
阅读量1.8w 收藏 44
点赞数 5
分类专栏: 工作 网络 文章标签: mbedtls
工作 同时被 2 个专栏收录
116 篇文章 13 订阅
订阅专栏
网络
12 篇文章 1 订阅
订阅专栏

转自:

OpenSSL一直以来各种被诟病,具体挑了哪些刺,本文就不深究。作为OpenSSL有很多替代,我了解到的有cyaSSL(WolfSSL)和PolorSSL。其中PolarSSL已经被ARM收购了,改名为mbedTLS。本文列举了作为一个SSL client端,应该如何使用mbedTLS。本文可以搭配我上一篇文章OpenSSL一起看;单独看也没问题

本文地址:https://segmentfault.com/a/1190000005998141

Reference

mbed TLS tutorial - Knowledge Base
ARMmbed / mbedtls / programs / ssl / ssl_client1.c

mbedTLS 基本使用

与传统 socket 的对比

传统的socket-based的程序,依照顺序,作为client要做以下的函数调用:

gethostbyname()
socket()
connect()
write()
read()

改成SSL之后,mbedTLS对应上述函数,分别对应为:

gethostbyname()   \ 
socket()          -+--> mbedtls_net_connect() + mbedtls_ssl_handshake()
connect()         /
write()           ----> mbedtls_ssl_write()
read()            ----> mbedtls_ssl_read()

当然,实际情况下,会使用更多的其他函数。具体(最简单的)流程见下文

数据结构

mbedtls_net_context:目前只有文件描述符,可以用于适配异步I/O库
mbedtls_ssl_context:保存SSL基本数据
mbedtls_ssl_config
mbedtls_ctr_drbg_context
mbedtls_entropy_context:保存熵配置
mbedtls_x509_crt:保存认证信息

Init 阶段

下面是init阶段需要调用的各函数。函数的参数,在调用的时候按照上面的函数类型一个一个传入就行了

mbedtls_net_init()
mbedtld_ssl_init()
mbedtld_ssl_config_init()
mbedtls_ctr_drbg_init()
mbedtld_x509_crt_init()
mbedtls_entropy_init()
mebdtls_ctr_drbg_seed()

其中mebdtls_ctr_drbg_seed()可以指定熵函数。如果回调使用默认的mbedtls_entropy_func的话,可以传入一个初始的熵seed,也可以NULL

Connect 阶段

mbedtls_net_connect():参数是server和端口,均为字符串。server可以使域名或者IP字符串。最后一个参数使用MBEDTLS_NET_PROTO_TCP即可。端口号不仅仅可以传入数字字符串,也可以类似于get_addrinfo函数的protocol参数那样,传入类似于“HTTPS”这样的可读化字符串。

mbedtls_ssl_config_defaults()

适配异步I/O库

经实验,mbedTLS是可以顺利适配libev的,Good!(libuv没有实际试过,不过应该也是OK的)
什么?问我怎么不适配libevent? 要用libevent的话就用封装了OpenSSLbufferevent去啦

姊妹篇

OpenSSL 简单思路和函数笔记

作为 client 适配 libev 调用过程

以下是伪代码,有点多,从最简单的main()入手就好:

一些自定义的数据结构

typedef struct _MBEDTLS_SESSION {
    mbedtls_net_context      mbedNetCtx;
    mbedtls_ssl_context      mbedSslCtx;
    mbedtls_ssl_config       mbedSslConf;
    mbedtls_ctr_drbg_context mbedDrbgCtx;
    mbedtls_entropy_context  mbedEtpyCtx;
    mbedtls_x509_crt         mbedX509Crt;
} MbedTLSSession_st;


typedef struct SSL_SESSION {
    struct ev_io         *libevWatcher;
    MbedTLSSession_st    mbedIntf;
} SSLSession_st;

MbedTLS初始化

MbedTlsClientInit(MbedTLSSession_st *session, void *entropy, size_t entropyLen)
{
    mbedtls_net_init(&(session->mbedNetCtx));
    mbedtls_ssl_init(&(session->mbedSslCtx));
    mbedtls_ssl_config_init(&(session->mbedSslConf));
    mbedtls_ctr_drbg_init(&(session->mbedDrbgCtx));
    mbedtls_x509_crt_init(&(session->mbedX509Crt));

    mbedtls_entropy_init(&(session->mbedEtpyCtx));
    mbedtls_ctr_drbg_seed(&(session->mbedDrbgCtx), 
                            mbedtls_entropy_func, 
                            &(session->mbedEtpyCtx), 
                            (unsigned char *)entropy, 
                            entropyLen);
}

MbedTLS的 connect 动作

AMCMbedTlsClientConnect(MbedTLSSession_st *session, const char *serverHost, int serverPort)
{
    int callStat;
    char portStrBuff[16];

    snprintf(portStrBuff, sizeof(portStrBuff), "%d", serverPort);
    callStat = mbedtls_net_connect(&(session->mbedNetCtx), 
                                    serverHost, 
                                    portStrBuff, 
                                    MBEDTLS_NET_PROTO_TCP);
    _RETURN_IF_ERROR(callStat);

    callStat = mbedtls_ssl_config_defaults(&(session->mbedSslConf), 
                                            MBEDTLS_SSL_IS_CLIENT, 
                                            MBEDTLS_SSL_TRANSPORT_STREAM, 
                                            MBEDTLS_SSL_PRESET_DEFAULT);
    _RETURN_IF_ERROR(callStat);

    mbedtls_ssl_conf_authmode(&(session->mbedSslConf), MBEDTLS_SSL_VERIFY_OPTIONAL);
    mbedtls_ssl_conf_ca_chain(&(session->mbedSslConf), &(session->mbedX509Crt), NULL);

    mbedtls_ssl_conf_rng(&(session->mbedSslConf), 
                            mbedtls_ctr_drbg_random, 
                            &(session->mbedDrbgCtx));
    //edtls_ssl_conf_dbg(&(session->mbedSslConf), NULL, NULL);

    mbedtls_ssl_set_bio(&(session->mbedSslCtx), 
                        &(session->mbedNetCtx), 
                        mbedtls_net_send, 
                        mbedtls_net_recv, 
                        mbedtls_net_recv_timeout);

    callStat = mbedtls_ssl_setup(&(session->mbedSslCtx), &(session->mbedSslConf));
    _RETURN_IF_ERROR(callStat);

    while((callStat = mbedtls_ssl_handshake(&(session->mbedSslCtx))) != 0)
    {
        if ((callStat != MBEDTLS_ERR_SSL_WANT_READ)
            && (callStat != MBEDTLS_ERR_SSL_WANT_WRITE))
        {
            return callStat;
        }
    }

    return 0;
}

主函数:

static SSLSession_st *g_session = NULL;

main()
{
    SSLSession_st session;
    char *pers = "hello world";
    
    MbedTlsClientInit(&(session.mbedIntf), pers, strlen(pers));
    
    mbedtls_ssl_write(...);        // 发送请求。我用的是https://www.bing.com,所以发送的是HTTP请求
    
    /* 下面开始配置 libev */
    session.libevWatcher = malloc(sizeof(session.libevWatcher));
    
    set_nonblock(session.mbedNetCtx.fd)
    ev_io_init(&(session.libevWatcher), _libev_callback, fd, EV_READ);        // 在callback 调用 mbedtls_ssl_read()
    ev_io_start(loop, &(session.libevWatcher));
    
    ev_loop(loop, 0);
}

etc9527
关注
  • 5
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024年Go最新mbedtls 库基础及其应用,阿里Golang面试题
2401_84919661的博客
05-11 654
随着物联网的发展,设备节点的安全问题也越来越重要,相比互联网的openSSL,物联网的嵌入式设备适合小巧灵活的MbedTLS,曾用名PolarSSL,可以根据需求进行配置,降低对硬件资源的消耗。mbedtls_ssl_set_bio注册的读写接口支持设为非阻塞,mbedtls_ssl_write和mbedtls_ssl_read对应用层接口,在底层socket上报read_ready之后,判断当前握手已经完成,再执行mbedtls_ssl_read。独立的模块设计,降低模块之间的耦合度。
mbedtls 库基础及其应用
qq_41854911的博客
02-19 3856
SSL/TLS加密的介绍,重点是mbedtls的基础以及移植说明。
OpenHarmony鸿蒙软总线使用mbedtls数据加密详解
最新发布
pjie131_的博客
05-22 650
OpenHarmony鸿蒙软总线子系统中使用了多种的加密技术,本篇介绍调用mbedtls的数据加密。
PolarSSL
strugglelg的专栏
09-28 2947
d
mbedtls 自带SSL demo调试
无限之生
11-16 2910
运行mbedtls自带 ssl demo的记录;
php 对称加密-lzn
m0_37678007的博客
07-23 370
php 对称加密 1.加密方法 openssl_encrypt($data, $method, $password, $options, $iv) 2.参数说明:   $data 加密明文   $method 加密方法     1、DES-ECB     2、DES-CBC     3、DES-CTR     4、DES-OFB     5、DES-CFB   $passwd 加密密钥[密码]   $options 数据格式选项(可选)【选项有:】     1、0     2、OPENSSL_RA
20-数据处理思想和程序架构: 使用Mbedtls包中的SSL,和服务器进行网络加密通信
杨奉武的博客
03-30 1601
资料源码:https://gitee.com/yang456/OpenProgrammingModuleForMCU.git 点击加入群聊【单片机,物联网,上位机】: 说明1:知识从未如此性感。 烂程序员关心的是代码,好程序员关心的是数据结构和它们之间的关系! 说明2:学的是思想,而非程序!此代码思路适用于所有的单片机。 说明3:学会以后,下面的代码可能会跟你一辈子! 说明4:这一系列文章是为大幅度裁剪本人博客文章!使博客文章更有条理。便于推其它教程! 单向认证忽略认证方式 1.首先保证.
mbedtls_Kremlin_TLS移植_mbedtls_mbedtls移植_mbedtls库_
10-02
Mbed TLS,原名mbedtls,是ARM公司开发的一个开源且高度可移植的加密库,主要为嵌入式系统提供安全套接层(SSL)和传输层安全(TLS)协议的支持。这个库的设计目的是小巧、高效,使得它非常适合在资源有限的设备上...
mbedtls加密库源代码/早期名字是polarssl
01-05
mbedtls,前身为polarssl,是一个轻量级、开源的加密库,主要用于实现SSL/TLS协议、X.509证书、SHA、RSA、AES等加密算法,广泛应用于物联网设备、移动应用、嵌入式系统等领域。这个库提供了API接口,使得开发者能够...
使用Mbedtls包中的SSL,和服务器进行网络加密通信.rar
09-16
Mbedtls提供了API用于包装原始的读写函数,如`mbedtls_ssl_read()`和`mbedtls_ssl_write()`。 6. **关闭连接**:当通信完成后,需要进行安全的关闭,避免信息泄露。客户发送“CloseNotify”报文,服务器回应同样...
mbedtls 2.16.0
03-04
mbedtls是一个开源的、轻量级的加密库,主要用于实现SSL/TLS协议、X.509证书、加密算法和哈希函数。在2.16.0版本中,它提供了一套完整的工具集,帮助开发者构建安全的网络连接,尤其是在嵌入式系统和资源有限的环境...
polarssl-1.3.15源码
02-16
PolarSSL 源码,最小巧的ssl代码库。高效、便于移植和集成,最易阅读,支持DES\SHA\MD5\RSA等多种算法,对X509、ans.1的轻量级编解码。
mbedtls, 开放源码可以移植易于使用可以读和灵活的SSL库.zip
09-18
mbedtls, 开放源码可以移植易于使用可以读和灵活的SSL库 mbed的自述文件配置mbed TLS应该在大多数系统中构建。 有些平台特定的选项在完全文档化的配置文件 include/mbedtls/config.h 中可以用,这也是特性可以以选择的地方。 可以使用Perl脚本 scripts/
在ESP32下,使用mbedtls库,测试sha、aes.的简单DEMO
08-06
在DEMO项目中,通常会包含一个简单的示例代码,演示如何在ESP32上初始化mbedtls库,输入数据,然后调用对应的SHA和AES函数进行计算。`README.md`文件会提供详细的步骤和使用说明,而`hello_world`和`blink`可能分别...
mbedtls-development.zip
04-22
mbedtls是一个开源的、轻量级的TLS(Transport Layer Security)和SSL(Secure Sockets Layer)库,由Arm有限公司维护,广泛应用于嵌入式设备和物联网(IoT)系统中。mbedtls提供了包括加密算法、证书处理、SSL/TLS...
ARM.mbedTLS.1.6.0.zip
11-17
mbedTLS 原名是 PolarSSL,是由 ARM 公司开发并维护的一个轻量级的加密库。它包含了许多关键的安全组件,如: 1. **SSL/TLS 协议**:mbedTLS 支持 SSLv3、TLS 1.0、TLS 1.1、TLS 1.2 和 TLS 1.3,允许设备通过安全...
lwip mqtt + mbed TLS
流风回雪的博客
04-08 6829
https://mcuoneclipse.com/2017/04/17/tutorial-secure-tls-communication-with-mqtt-using-mbedtls-on-top-of-lwip/ Tutorial: Secure TLS Communication with MQTT using mbedTLS on top oflwip Pos...
mbedtls学习(5)伪随机数生成器
jiang_2018的博客
11-18 6126
随机数生成器 真随机数生成器(TRNG)一般来自物理设备,伪随机数生成器(PRNG)可以分为”种子“(又称熵源)和内部结构2部分,实际应用中常用真随机数作为种子,再通过伪随机数生成指定长度序列。 CTR_DRBG 伪随机数生成器也称为确定性随机生成器(DRBG),一种近似随机数序列的算法。具体方法有Hash_DRBG、HMAC_DRBG、CTR_DRBG、Hash_DRBG使用单项散列算法作为随机...
mbedtls | 01 - 移植mbedtls库到STM32的两种方法
Mculover666的博客(嵌入式)
09-19 9528
一、mbedtls 开源库 1. mbedtls是什么 Mbed TLS是一个开源、可移植、易于使用、代码可读性高的SSL库。可实现加密原语,X.509证书操作以及SSL / TLS和 DTLS 协议,它的代码占用空间小,非常适合用于嵌入式系统。 mbedtls遵循 Apache 2.0 开源许可协议,目前由 TrustedFirmware 维护(Linaro主持的一个治理开放社区项目),在Github上已收获 2.6k star,目前Github上发布的最新版本为 2.24.0 版本,开源仓库地址为:
RAM 使用 mbedtls RSA-512 加密函数 失败 怎么办
06-12
如果您在使用 mbedtls RSA-512 加密函数时遇到了 RAM 使用失败的问题,可能是由于您分配的内存不足导致的。RSA 加密算法需要分配更多的内存来存储中间结果,如果您的内存不足,就可能会出现 RAM 使用失败的问题。 为了解决这个问题,您可以尝试以下几种方法: 1. 增加 RAM 的大小:如果您的硬件支持增加 RAM 的大小,可以尝试将 RAM 的大小增加一些,以便能够分配更多的内存来存储中间结果。 2. 优化内存使用:可以尝试优化内存的使用,减少不必要的内存使用,从而节省内存空间。例如,可以将不需要的变量或数据从内存中删除,或者尝试使用更小的数据类型来存储数据。 3. 使用更小的密钥长度:RSA-512 是一种较短的密钥长度,如果您使用更长的密钥长度,可能会需要更多的内存来存储中间结果。因此,可以尝试使用更小的密钥长度,例如 RSA-256 或 RSA-128。 4. 使用其他加密算法:如果还是无法解决 RAM 使用失败的问题,可以尝试使用其他的加密算法,例如 AES、DES 等。 总之,RAM 使用失败的问题通常是由于内存不足导致的。可以通过增加 RAM 的大小、优化内存使用、使用更小的密钥长度或者使用其他加密算法等方法来解决这个问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值