既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
2.5 TLS协议时代
公证时代的解决方案就是SSL/TLS协议加密通信基础。因为使用非对称加密算法比对称加密算法要复杂,消耗运算资源,为考虑效率,非对称加密只会用来传递一条信息,即对称加密的密钥。对称加密的密钥确定,后续有效信息使用对称加密算法进行网络传输。既保证了网络通信的安全性,又不影响效率。
SSL/TLS协议的基本过程:
1、通过CA体系交换公钥
2、使用非对称加密算法,交换用于对称加密的密钥
3、有效数据使用对称加密算法,进行密文传输
前两步又称为"握手阶段"(handshake),是SSL/TLS加密通信的基础。
2.6 TLS的应用
在SSL/TLS出现之前,很多应用层协议(http、ftp、smtp等)都存在着网络安全问题。最常见的http协议,在传输过程中使用的是明文信息,传输报文一旦被截获便会泄露传输内容;传输过程中报文如果被篡改,对方无法轻易发现;无法保证消息交换的对端身份的可靠性。为了解决此类安全问题,在应用层和传输层之间加入了SSL/TLS协议,升级为https。SSL/TLS目前已经广泛用于数据安全协议。关于SSL/TLS有很多开源软件包,如openSSL,mbedtls等。openSSL功能更强大,mbedtls小巧更适合嵌入式设备。
3、 mbedtls
随着物联网的发展,设备节点的安全问题也越来越重要,相比互联网的openSSL,物联网的嵌入式设备适合小巧灵活的MbedTLS,曾用名PolarSSL,可以根据需求进行配置,降低对硬件资源的消耗。mbedtls内置了非常多的加密解密,散列算法源码,即使不使用tls加密,也从里面挖掘各种算法,诸如AES/RSA/MD5等。但是openSSL功能更强大,
mbedtls是一款采用Apache 2.0许可证协议开源软件加密库,使用标准C语言编写;独立的模块设计,降低模块之间的耦合度。从功能上看,主要包括加密库、X509证书、SSL/TLS协议三部分。
3.1 软件包
进入https://tls.mbed.org/[1],点击download,在https://github.com/ARMmbed/mbedtls[2]下载源码。
Git下载界面有说明编译方式
Compiling
There are currently three active build systems used within Mbed TLS releases:
GNU Make
CMake
Microsoft Visual Studio (Microsoft Visual Studio 2013 or later)
目前个人接触的芯片SDK内置mbedtls有v2.4.0,v2.4.2和v2.14.1三种,将git版本切到v2.14.1,最后提交是2018年。前期先在电脑模拟测试,选择Visual Studio 2013。
3.2 软件结构
mbedtls源码结构如下图
mbedtls\include\mbedtls下面,可以version.h查看版本信息,重点是config.h配置,mbedtls是一套加密集合,实际项目使用中仅需选择少部分即可,配置功能宏裁剪代码,简化运算,毕竟mbedtls跑一遍,一般的arm单片机不一定扛得住。
programs\ssl下是参考范例,TLS的客户端和服务端范例,以及UDP版本的DTLS。嵌入式设备以客户端应用居多,主要参考ssl_client2.c
里面很多配置参数可选,也可以针对应用替换ssl_client1.c
。
测试TLS客户端首先要准备3个文件,CA证书,客户端公钥数字证书以及私钥。一般情况下命名后缀如下:
.crt CA证书 .pem 公钥,经CA加密后的公钥,也称为数字证书 .key 私钥 有时crt和pem混用,其本质都是CA公钥加密后的文件
如果没有服务器联调,也可以使用自身的ssl_server2.c做服务器。
3.3 demo流程分析
ssl_client2.c范例都在main函数,其大体流程如下:
- 8、与标准socket编程对比,接口存在一定的对应关系:
4、 mbedtls移植
先在电脑端模拟测试,确定参数,简化范例里的赋值,因为实际项目参数不会经常变更,优化代码,尤其是秘钥加载,嵌入式都是以数组保存文件内容,而不会使用文件形式加载。另外结合加密等级,确定加密套件类型。
模拟测试正常后,再移植到ARM平台,主要改动涉及网络连接、内存管理和定时器三个方面。
4.1 网络接口
mbedtls默认的网络接口mbedtls/library/net_socket.c
,可以在windows下运行,特别注意,默认的socket操作都是阻塞模式;一般不适合ARM平台,关闭MBEDTLS_NET_C,结合硬件平台重新实现网络接口。主要包括以下函数:
void mbedtls_net_init( mbedtls_net_context *ctx );
int mbedtls_net_connect( mbedtls_net_context *ctx, const char *host, const char *port, int proto );
int mbedtls_net_recv( void *ctx, unsigned char *buf, size_t len );
int mbedtls_net_recv_timeout( void *ctx, unsigned char *buf, size_t len, uint32_t timeout );
int mbedtls_net_send( void *ctx, const unsigned char *buf, size_t len );
void mbedtls_net_free( mbedtls_net_context *ctx );
若需要DUP版本的DTLS,还需要实现该文件下另外几个接口,具体流程参考dtls_client.c
。
自定义实现的网络收发接口,需要注册mbedtls_ssl_set_bio告知底层。
mbedtls_ssl_set_bio(&ssl, &server_fd,
mbedtls_custom_send,//改写后的mbedtls_net_send,为底层提供发送接口
mbedtls_custom_recv,//为底层提供接收接口
mbedtls_custom_recv_timeout)
4.2 内存管理
自定义实现类型如下内存的申请和释放接口:
void* calloc(unsigned int num,unsigned int size)
void free(void * ptr)
实现后将函数注册给底层
mbedtls_platform_set_calloc_free(custom_calloc, custom_free)
4.3 定时器
对DTLS定时器接口,并注册到底层。
#if defined (__MBEDTLS_DTLS__)
//Set delays to watch
void platform_timing_set_delay(void *data, uint32_t int_ms, uint32_t fin_ms)
{
platform_timing_delay_context *ctx = (platform_timing_delay_context *) data;
ctx->int_ms = int_ms;
ctx->fin_ms = fin_ms;
if(fin_ms != 0)
{
ctx->snapshot = custom_get_systicks();
}
}
//Get number of delays expired
int platform_timing_get_delay(void *data)
{
platform_timing_delay_context *ctx = (platform_timing_delay_context *) data;
unsigned long elapsed_ms;
if(ctx->fin_ms == 0)
{
return(-1);
}
elapsed_ms = custom_ticks_to_milli_secs(custom_get_systicks() - ctx->snapshot); //转换成毫秒
if(elapsed_ms >= ctx->fin_ms)
{
return(2);
}
if(elapsed_ms >= ctx->int_ms)
{
return(1);
}
return 0;
}
#endif /* __MBEDTLS_DTLS__ */
//注册到底层
mbedtls_ssl_set_timer_cb( &ssl, &platform_timer, platform_timing_set_delay, platform_timing_get_delay );
4.4 网络阻塞与非阻塞机制
mbedtls在电脑模拟测试时其网络连接非常顺畅,而且测试只是跑这一项功能,即使采用阻塞模式也不会有其它问题。实际嵌入式设备在联网时,肯定还有其他任务需要执行。
如果设备支持操作系统,可以为mbedtls单独分配一个线程或者任务,推荐使用阻塞机制实现接口,而且容易调试,尤其是https下载这种场景。但是特殊情况下不支持阻塞的,在改写网络接口时,需要特殊处理。
例如范例mbedtls_net_connect进行域名解析、连接服务器,嵌入式设备的无线网络在这个步骤,基本会返回异常表示阻塞等待中,要解决这个问题,需要将后续的握手流程拆分执行。原本联网后执行mbedtls_ssl_handshake,在while里面等待握手流程MBEDTLS_SSL_HANDSHAKE_OVER结束或者错误,改为每次收到读消息的事件,执行一次或多次mbedtls_ssl_handshake_step。(这个并没亲自验证)
mbedtls_ssl_set_bio注册的读写接口支持设为非阻塞,mbedtls_ssl_write和mbedtls_ssl_read对应用层接口,在底层socket上报read_ready之后,判断当前握手已经完成,再执行mbedtls_ssl_read。
4.5 证书与密钥
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
[外链图片转存中…(img-UdpqBKA3-1715383326784)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上Go语言开发知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新