2024年Go最新mbedtls 库基础及其应用(3)，2024年阿里Golang面试题及答案

2401_84895952

于 2024-05-14 05:40:58 发布

阅读量969

点赞数 17

分类专栏：程序员文章标签： go 学习面试

本文链接：https://blog.csdn.net/2401_84895952/article/details/138832671

版权

程序员专栏收录该内容

94 篇文章 0 订阅

订阅专栏

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

mbedtls是一款采用Apache 2.0许可证协议开源软件加密库，使用标准C语言编写；独立的模块设计，降低模块之间的耦合度。从功能上看，主要包括加密库、X509证书、SSL/TLS协议三部分。

3.1 软件包

进入https://tls.mbed.org/[1]，点击download，在https://github.com/ARMmbed/mbedtls[2]下载源码。

Git下载界面有说明编译方式

Compiling

There are currently three active build systems used within Mbed TLS releases:

GNU Make

CMake

Microsoft Visual Studio (Microsoft Visual Studio 2013 or later)

目前个人接触的芯片SDK内置mbedtls有v2.4.0，v2.4.2和v2.14.1三种，将git版本切到v2.14.1，最后提交是2018年。前期先在电脑模拟测试，选择Visual Studio 2013。

3.2 软件结构

mbedtls源码结构如下图

mbedtls\include\mbedtls下面，可以version.h查看版本信息，重点是config.h配置，mbedtls是一套加密集合，实际项目使用中仅需选择少部分即可，配置功能宏裁剪代码，简化运算，毕竟mbedtls跑一遍，一般的arm单片机不一定扛得住。

programs\ssl下是参考范例，TLS的客户端和服务端范例，以及UDP版本的DTLS。嵌入式设备以客户端应用居多，主要参考ssl_client2.c里面很多配置参数可选，也可以针对应用替换ssl_client1.c。

测试TLS客户端首先要准备3个文件，CA证书，客户端公钥数字证书以及私钥。一般情况下命名后缀如下：

.crt CA证书 .pem 公钥，经CA加密后的公钥，也称为数字证书 .key 私钥有时crt和pem混用，其本质都是CA公钥加密后的文件

如果没有服务器联调，也可以使用自身的ssl_server2.c做服务器。

3.3 demo流程分析

ssl_client2.c范例都在main函数，其大体流程如下：

8、与标准socket编程对比，接口存在一定的对应关系：

4、 mbedtls移植

先在电脑端模拟测试，确定参数，简化范例里的赋值，因为实际项目参数不会经常变更，优化代码，尤其是秘钥加载，嵌入式都是以数组保存文件内容，而不会使用文件形式加载。另外结合加密等级，确定加密套件类型。

模拟测试正常后，再移植到ARM平台，主要改动涉及网络连接、内存管理和定时器三个方面。

4.1 网络接口

mbedtls默认的网络接口mbedtls/library/net_socket.c，可以在windows下运行，特别注意，默认的socket操作都是阻塞模式；一般不适合ARM平台，关闭MBEDTLS_NET_C，结合硬件平台重新实现网络接口。主要包括以下函数：

void mbedtls_net_init( mbedtls_net_context *ctx );
int mbedtls_net_connect( mbedtls_net_context *ctx, const char *host, const char *port, int proto );
int mbedtls_net_recv( void *ctx, unsigned char *buf, size_t len );
int mbedtls_net_recv_timeout( void *ctx, unsigned char *buf, size_t len, uint32_t timeout );
int mbedtls_net_send( void *ctx, const unsigned char *buf, size_t len );
void mbedtls_net_free( mbedtls_net_context *ctx );

若需要DUP版本的DTLS，还需要实现该文件下另外几个接口，具体流程参考dtls_client.c。

自定义实现的网络收发接口，需要注册mbedtls_ssl_set_bio告知底层。

mbedtls_ssl_set_bio(&ssl, &server_fd,
        mbedtls_custom_send,//改写后的mbedtls_net_send，为底层提供发送接口
        mbedtls_custom_recv,//为底层提供接收接口
        mbedtls_custom_recv_timeout)

4.2 内存管理

自定义实现类型如下内存的申请和释放接口:

void* calloc（unsigned int num，unsigned int size）
void free(void * ptr)

实现后将函数注册给底层

mbedtls_platform_set_calloc_free(custom_calloc, custom_free)

4.3 定时器

对DTLS定时器接口，并注册到底层。

   #if defined (__MBEDTLS_DTLS__)
    
    //Set delays to watch
    void platform_timing_set_delay(void *data, uint32_t int_ms, uint32_t fin_ms)
    {
     platform_timing_delay_context *ctx = (platform_timing_delay_context *) data;
     
     ctx->int_ms = int_ms;
     ctx->fin_ms = fin_ms;
     
     if(fin_ms != 0)
     {
      ctx->snapshot = custom_get_systicks();
     }    
    }    

    //Get number of delays expired
    int platform_timing_get_delay(void *data)
    {
     platform_timing_delay_context *ctx = (platform_timing_delay_context *) data;
     unsigned long elapsed_ms;
     
     if(ctx->fin_ms == 0)
  {
   return(-1);
  }
     
     elapsed_ms = custom_ticks_to_milli_secs(custom_get_systicks() - ctx->snapshot); //转换成毫秒
     
     if(elapsed_ms >= ctx->fin_ms)
     {
      return(2);
     }
     
     if(elapsed_ms >= ctx->int_ms)
     {
      return(1);
     }
     
     return 0;
    }

    #endif /* __MBEDTLS_DTLS__ */
    
    //注册到底层
    mbedtls_ssl_set_timer_cb( &ssl, &platform_timer, platform_timing_set_delay, platform_timing_get_delay );

4.4 网络阻塞与非阻塞机制

mbedtls在电脑模拟测试时其网络连接非常顺畅，而且测试只是跑这一项功能，即使采用阻塞模式也不会有其它问题。实际嵌入式设备在联网时，肯定还有其他任务需要执行。

如果设备支持操作系统，可以为mbedtls单独分配一个线程或者任务，推荐使用阻塞机制实现接口，而且容易调试，尤其是https下载这种场景。但是特殊情况下不支持阻塞的，在改写网络接口时，需要特殊处理。

例如范例mbedtls_net_connect进行域名解析、连接服务器，嵌入式设备的无线网络在这个步骤，基本会返回异常表示阻塞等待中，要解决这个问题，需要将后续的握手流程拆分执行。原本联网后执行mbedtls_ssl_handshake，在while里面等待握手流程MBEDTLS_SSL_HANDSHAKE_OVER结束或者错误，改为每次收到读消息的事件，执行一次或多次mbedtls_ssl_handshake_step。（这个并没亲自验证）

mbedtls_ssl_set_bio注册的读写接口支持设为非阻塞，mbedtls_ssl_write和mbedtls_ssl_read对应用层接口，在底层socket上报read_ready之后，判断当前握手已经完成，再执行mbedtls_ssl_read。

4.5 证书与密钥

测试可以使用mbedtls范例自带的证书和公钥、私钥，但实际项目需要自己根据服务器域名生成ca证书，以及双方的公钥、私钥。在源码programs\pkey下有秘钥生成的代码，作为客户端，需要验证服务器提供的公钥证书，因此本地还要CA证书，类似首次登录12306提示要下载的证书，再加上客户端自身的公钥和私钥，一共3个文件。gen_key.c生成keyfile.key私钥，默认秘钥长度是4096，虽然1024理论上有风险，但是运算更快；后面再使用openSSL 命令行生成公钥。

OpenSSL> rsa -in private.key -pubout -out public.key

openSSL下载地址 https://www.openssl.org/，安装后提示使用收费，实际使用未见异常。秘钥也可使用openSSL生成

OpenSSL>genrsa -out private.key 2048

如果使用未知，使用help查看说明。至于CA证书，需要平台侧生成再提供给设备端。

4.6 加密套件与配置裁剪

确定合适的加密套件，未使用的算法就可以屏蔽；在电脑运行瞬间完成，在实际arm硬件可能需要较长时间，比如使用RSA在握手阶段可能需要较长时间，可以选择ECDSA或者减小秘钥长度。

5、小节

目前的物联网对数据安全不是很关注，使用自定义协议近似明文的方式交互，或者使用单一加密方式，未来智能家居、涉及财物计费的、特殊行业的设备节点，可能会逐渐使用加密通信，而mbedtls则是较好的选择之一。即使不使用TLS，也可以选择简单的对称加密，mbedtls也是一个加密算法库，可根据需求提取合适的源码集成。