mbedTLS中的握手建立操作

最新推荐文章于 2024-05-11 07:22:30 发布
最新推荐文章于 2024-05-11 07:22:30 发布
阅读量1w 收藏 9
点赞数 2
分类专栏: openssl C++/C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010144805/article/details/78743027
版权
C++/C 同时被 2 个专栏收录
148 篇文章 9 订阅
订阅专栏
openssl
21 篇文章 1 订阅
订阅专栏

握手函数调用

while( ( ret = mbedtls_ssl_handshake( &ssl ) ) != 0 )
    {
        if( ret != MBEDTLS_ERR_SSL_WANT_READ && ret != MBEDTLS_ERR_SSL_WANT_WRITE )
        {
            mbedtls_printf( " failed\n  ! mbedtls_ssl_handshake returned -0x%x\n\n", -ret );
            goto exit;
        }
    }

循环进行握手操作,直到握手成功

/*
 * Perform the SSL handshake
 */
int mbedtls_ssl_handshake( mbedtls_ssl_context *ssl )
{
    int ret = 0;

    if( ssl == NULL || ssl->conf == NULL )
        return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );

    MBEDTLS_SSL_DEBUG_MSG( 2, ( "=> handshake" ) );

    while( ssl->state != MBEDTLS_SSL_HANDSHAKE_OVER )
    {
        ret = mbedtls_ssl_handshake_step( ssl );

        if( ret != 0 )
            break;
    }

    MBEDTLS_SSL_DEBUG_MSG( 2, ( "<= handshake" ) );

    return( ret );
}

一次握手

/*
 * Perform a single step of the SSL handshake
 */
int mbedtls_ssl_handshake_step( mbedtls_ssl_context *ssl )
{
    int ret = MBEDTLS_ERR_SSL_FEATURE_UNAVAILABLE;

    if( ssl == NULL || ssl->conf == NULL )
        return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );

#if defined(MBEDTLS_SSL_CLI_C)
    if( ssl->conf->endpoint == MBEDTLS_SSL_IS_CLIENT )
        ret = mbedtls_ssl_handshake_client_step( ssl );
#endif
#if defined(MBEDTLS_SSL_SRV_C)
    if( ssl->conf->endpoint == MBEDTLS_SSL_IS_SERVER )
        ret = mbedtls_ssl_handshake_server_step( ssl );
#endif

    return( ret );
}
分为客户端的握手操作和服务端的握手操作
客户端的握手操作 
/*
 * SSL handshake -- client side -- single step
 */
int mbedtls_ssl_handshake_client_step( mbedtls_ssl_context *ssl )
{
    int ret = 0;

    if( ssl->state == MBEDTLS_SSL_HANDSHAKE_OVER || ssl->handshake == NULL )
        return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );

    MBEDTLS_SSL_DEBUG_MSG( 2, ( "client state: %d", ssl->state ) );

    if( ( ret = mbedtls_ssl_flush_output( ssl ) ) != 0 )
        return( ret );

#if defined(MBEDTLS_SSL_PROTO_DTLS)
    if( ssl->conf->transport == MBEDTLS_SSL_TRANSPORT_DATAGRAM &&
        ssl->handshake->retransmit_state == MBEDTLS_SSL_RETRANS_SENDING )
    {
        if( ( ret = mbedtls_ssl_resend( ssl ) ) != 0 )
            return( ret );
    }
#endif

    /* Change state now, so that it is right in mbedtls_ssl_read_record(), used
     * by DTLS for dropping out-of-sequence ChangeCipherSpec records */
#if defined(MBEDTLS_SSL_SESSION_TICKETS)
    if( ssl->state == MBEDTLS_SSL_SERVER_CHANGE_CIPHER_SPEC &&
        ssl->handshake->new_session_ticket != 0 )
    {
        ssl->state = MBEDTLS_SSL_SERVER_NEW_SESSION_TICKET;
    }
#endif

    switch( ssl->state )
    {
        case MBEDTLS_SSL_HELLO_REQUEST:
            ssl->state = MBEDTLS_SSL_CLIENT_HELLO;
            break;

       /*
        *  ==>   ClientHello
        */
       case MBEDTLS_SSL_CLIENT_HELLO:
           ret = ssl_write_client_hello( ssl );
           break;

       /*
        *  <==   ServerHello
        *        Certificate
        *      ( ServerKeyExchange  )
        *      ( CertificateRequest )
        *        ServerHelloDone
        */
       case MBEDTLS_SSL_SERVER_HELLO:
           ret = ssl_parse_server_hello( ssl );
           break;

       case MBEDTLS_SSL_SERVER_CERTIFICATE:
           ret = mbedtls_ssl_parse_certificate( ssl );
           break;

       case MBEDTLS_SSL_SERVER_KEY_EXCHANGE:
           ret = ssl_parse_server_key_exchange( ssl );
           break;

       case MBEDTLS_SSL_CERTIFICATE_REQUEST:
           ret = ssl_parse_certificate_request( ssl );
           break;

       case MBEDTLS_SSL_SERVER_HELLO_DONE:
           ret = ssl_parse_server_hello_done( ssl );
           break;

       /*
        *  ==> ( Certificate/Alert  )
        *        ClientKeyExchange
        *      ( CertificateVerify  )
        *        ChangeCipherSpec
        *        Finished
        */
       case MBEDTLS_SSL_CLIENT_CERTIFICATE:
           ret = mbedtls_ssl_write_certificate( ssl );
           break;

       case MBEDTLS_SSL_CLIENT_KEY_EXCHANGE:
           ret = ssl_write_client_key_exchange( ssl );
           break;

       case MBEDTLS_SSL_CERTIFICATE_VERIFY:
           ret = ssl_write_certificate_verify( ssl );
           break;

       case MBEDTLS_SSL_CLIENT_CHANGE_CIPHER_SPEC:
           ret = mbedtls_ssl_write_change_cipher_spec( ssl );
           break;

       case MBEDTLS_SSL_CLIENT_FINISHED:
           ret = mbedtls_ssl_write_finished( ssl );
           break;

       /*
        *  <==   ( NewSessionTicket )
        *        ChangeCipherSpec
        *        Finished
        */
#if defined(MBEDTLS_SSL_SESSION_TICKETS)
       case MBEDTLS_SSL_SERVER_NEW_SESSION_TICKET:
           ret = ssl_parse_new_session_ticket( ssl );
           break;
#endif

       case MBEDTLS_SSL_SERVER_CHANGE_CIPHER_SPEC:
           ret = mbedtls_ssl_parse_change_cipher_spec( ssl );
           break;

       case MBEDTLS_SSL_SERVER_FINISHED:
           ret = mbedtls_ssl_parse_finished( ssl );
           break;

       case MBEDTLS_SSL_FLUSH_BUFFERS:
           MBEDTLS_SSL_DEBUG_MSG( 2, ( "handshake: done" ) );
           ssl->state = MBEDTLS_SSL_HANDSHAKE_WRAPUP;
           break;

       case MBEDTLS_SSL_HANDSHAKE_WRAPUP:
           mbedtls_ssl_handshake_wrapup( ssl );
           break;

       default:
           MBEDTLS_SSL_DEBUG_MSG( 1, ( "invalid state %d", ssl->state ) );
           return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );
   }

    return( ret );
}
服务端的握手操作 
/*
 * SSL handshake -- server side -- single step
 */
int mbedtls_ssl_handshake_server_step( mbedtls_ssl_context *ssl )
{
    int ret = 0;

    if( ssl->state == MBEDTLS_SSL_HANDSHAKE_OVER || ssl->handshake == NULL )
        return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );

    MBEDTLS_SSL_DEBUG_MSG( 2, ( "server state: %d", ssl->state ) );

    if( ( ret = mbedtls_ssl_flush_output( ssl ) ) != 0 )
        return( ret );

#if defined(MBEDTLS_SSL_PROTO_DTLS)
    if( ssl->conf->transport == MBEDTLS_SSL_TRANSPORT_DATAGRAM &&
        ssl->handshake->retransmit_state == MBEDTLS_SSL_RETRANS_SENDING )
    {
        if( ( ret = mbedtls_ssl_resend( ssl ) ) != 0 )
            return( ret );
    }
#endif

    switch( ssl->state )
    {
        case MBEDTLS_SSL_HELLO_REQUEST:
            ssl->state = MBEDTLS_SSL_CLIENT_HELLO;
            break;

        /*
         *  <==   ClientHello
         */
        case MBEDTLS_SSL_CLIENT_HELLO:
            ret = ssl_parse_client_hello( ssl );
            break;

#if defined(MBEDTLS_SSL_PROTO_DTLS)
        case MBEDTLS_SSL_SERVER_HELLO_VERIFY_REQUEST_SENT:
            return( MBEDTLS_ERR_SSL_HELLO_VERIFY_REQUIRED );
#endif

        /*
         *  ==>   ServerHello
         *        Certificate
         *      ( ServerKeyExchange  )
         *      ( CertificateRequest )
         *        ServerHelloDone
         */
        case MBEDTLS_SSL_SERVER_HELLO:
            ret = ssl_write_server_hello( ssl );
            break;

        case MBEDTLS_SSL_SERVER_CERTIFICATE:
            ret = mbedtls_ssl_write_certificate( ssl );
            break;

        case MBEDTLS_SSL_SERVER_KEY_EXCHANGE:
            ret = ssl_write_server_key_exchange( ssl );
            break;

        case MBEDTLS_SSL_CERTIFICATE_REQUEST:
            ret = ssl_write_certificate_request( ssl );
            break;

        case MBEDTLS_SSL_SERVER_HELLO_DONE:
            ret = ssl_write_server_hello_done( ssl );
            break;

        /*
         *  <== ( Certificate/Alert  )
         *        ClientKeyExchange
         *      ( CertificateVerify  )
         *        ChangeCipherSpec
         *        Finished
         */
        case MBEDTLS_SSL_CLIENT_CERTIFICATE:
            ret = mbedtls_ssl_parse_certificate( ssl );
            break;

        case MBEDTLS_SSL_CLIENT_KEY_EXCHANGE:
            ret = ssl_parse_client_key_exchange( ssl );
            break;

        case MBEDTLS_SSL_CERTIFICATE_VERIFY:
            ret = ssl_parse_certificate_verify( ssl );
            break;

        case MBEDTLS_SSL_CLIENT_CHANGE_CIPHER_SPEC:
            ret = mbedtls_ssl_parse_change_cipher_spec( ssl );
            break;

        case MBEDTLS_SSL_CLIENT_FINISHED:
            ret = mbedtls_ssl_parse_finished( ssl );
            break;

        /*
         *  ==> ( NewSessionTicket )
         *        ChangeCipherSpec
         *        Finished
         */
        case MBEDTLS_SSL_SERVER_CHANGE_CIPHER_SPEC:
#if defined(MBEDTLS_SSL_SESSION_TICKETS)
            if( ssl->handshake->new_session_ticket != 0 )
                ret = ssl_write_new_session_ticket( ssl );
            else
#endif
                ret = mbedtls_ssl_write_change_cipher_spec( ssl );
            break;

        case MBEDTLS_SSL_SERVER_FINISHED:
            ret = mbedtls_ssl_write_finished( ssl );
            break;

        case MBEDTLS_SSL_FLUSH_BUFFERS:
            MBEDTLS_SSL_DEBUG_MSG( 2, ( "handshake: done" ) );
            ssl->state = MBEDTLS_SSL_HANDSHAKE_WRAPUP;
            break;

        case MBEDTLS_SSL_HANDSHAKE_WRAPUP:
            mbedtls_ssl_handshake_wrapup( ssl );
            break;

        default:
            MBEDTLS_SSL_DEBUG_MSG( 1, ( "invalid state %d", ssl->state ) );
            return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );
    }

    return( ret );
}


明潮
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
MBEDTLS_DEBUG_C的log开关
码农17年的博客
09-25 1532
Alios_things用到了medtls的部分开源代码,但是有时出问题,debug开关如何打开,看看究竟运行到哪里了呢? 设置 TLS 握手的调试阈值: 请注意,这是您需要的调试日志级别。其值可以在 0 到 5 之间,其 5 是日志最多的。 将调试日志功能设置为显示在终端:这些步骤将启用日志并根据调试功能打印日志。mbedtls_debug_set_threshold( <debug_level> ) debug_level mbedtls_ssl_conf_dbg() 设置调试
嵌入式linux运行mbedtls,mbedTLS(PolarSSL)简单思路和函数笔记(Client端)
weixin_39752352的博客
05-04 1393
OpenSSL一直以来各种被诟病,具体挑了哪些刺,本文就不深究。作为OpenSSL有很多替代,我了解到的有cyaSSL(WolfSSL)和PolorSSL。其PolarSSL已经被ARM收购了,改名为mbedTLS。本文列举了作为一个SSL client端,应该如何使用mbedTLS。本文可以搭配我上一篇文章OpenSSL一起看;单独看也没问题ReferencembedTLS 基本使用与传统 s...
ssl 层在握手阶段报错 mbedtls_ssl_handshake returned -0xffff8880
spy_007_的博客
11-23 3390
在使用 mbedtls 对mqtt进行加密时,设备和服务器之间在握手阶段收到了服务器发送的Alert消息,然后握手返回失败。导致服务器识别到设备不支持RSA该加密算法,就直接抛了个 告警过来。
mbedtls 自带SSL demo调试
无限之生
11-16 2913
运行mbedtls自带 ssl demo的记录;
ESP-32 问题篇(1)aws_iot: failed! mbedtls_ssl_handshake returned -0x6800
Cmy_894的博客
06-07 619
这个错误通常表示与 AWS IoT 服务器建立 SSL 连接时发生了问题。错误码 -0x6800 表示 SSL 握手失败。网络问题:您的设备可能无法连接到 AWS IoT 服务器,或者服务器无法响应您的请求。请检查您的网络连接并确保服务器可用。证书问题:您的设备可能没有正确的证书或根证书,或者证书已过期或被撤销。请确保您的证书和根证书有效并正确安装。配置问题:您的设备可能没有正确的配置,例如端口、主机名或协议设置不正确。您可以查看更详细的日志以确定问题的根本原因,并采取相应的措施来解决它。
TLS error Code
weixin_29662203的博客
05-30 8475
error Code#define MBEDTLS_ERR_SSL_FEATURE_UNAVAILABLE               -0x7080  /**&lt; The requested feature is not available. */#define MBEDTLS_ERR_SSL_BAD_INPUT_DATA                    -0x7100  /**&lt...
mbedtls 库基础及其应用
qq_41854911的博客
02-19 3892
SSL/TLS加密的介绍,重点是mbedtls的基础以及移植说明。
mbedtls库ssl/tls握手
觅食小鱼的博客
10-11 2569
本文介绍mbedtls握手过程,包括交互流程,报文格式和函数接口。
stm32_MbedTLS-master.rar
09-16
- SSL/TLS握手建立安全连接,进行身份验证和密钥交换。 - 加密/解密:使用AES、RSA等算法对数据进行加解密。 - 数字签名和验签:使用RSA或ECDSA进行签名和验证。 - 摘要和哈希:使用SHA-256等算法计算数据的...
mbedtls_Kremlin_TLS移植_mbedtls_mbedtls移植_mbedtls库_
10-02
4. **握手**:执行`mbedtls_ssl_handshake`进行TLS/SSL握手,验证服务器身份,协商加密算法。 5. **数据传输**:使用`mbedtls_ssl_read`和`mbedtls_ssl_write`发送和接收加密数据。 6. **断开**:完成通信后,调用`...
使用Mbedtls的SSL,和服务器进行网络加密通信.rar
09-16
通过以上步骤,我们可以使用Mbedtls在STM32上建立安全的SSL/TLS连接,实现与服务器的加密通信。不过,实际应用还需要考虑错误处理、调试和性能优化等问题。在具体项目,应根据实际需求和硬件资源选择合适的SSL/...
mbedtls源代码
02-02
1. **SSL/TLS协议**:Mbedtls实现了SSL v3、TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3协议,支持客户端和服务器端的角色,可用于建立安全的网络通信。 2. **加密算法**:包括对称加密如AES、DES、3DES,非对称加密如RSA...
mbedtls-1.3.17-gpl
11-07
4. **密钥交换和握手协议**:Mbedtls 实现了Diffie-Hellman、ECDH等密钥交换协议,以及SSL/TLS握手协议,确保两端的安全连接建立。 5. **安全哈希和消息认证码**:Mbedtls 提供了MAC(Message Authentication Code...
mbedtls 连接 阿里云物联网
ljxh401的博客
12-05 1317
mqtt tls 阿里云
非常详细的MQTT+TLS(三)----TLS
ZR
08-27 6634
非常详细的MQTT+TLS----TLS篇 多的不说少的不唠,这篇文章没有理论只有经验! 1、移植 有了前面MQTT的移植,相信大家也都了解了这种软件包的套路 我下载的是【mbedtls-mbedtls-2.23.0】,文件夹目录如上图所示,其大部分文件都是示例及说明等。TLS移植时最麻烦的应该就是config文件的配置,内容很多,在这里给出一个对接成功的config文件供参考。【超链接】 与MQTT类似SSL也需要我们配置net_sockets.c,该文件内部用于创建TCP以及读写的底层函数,如果你使
SSL_read返回SSL_ERROR_WANT_READ怎么办?
Jade_jieyuanl的博客
03-17 1万+
SSL_read返回SSL_ERROR_WANT_READ怎么办? 对SSL_read返回SSL_ERROR_WANT_READ的实践、理解和处理 在openssl使用编程遇到问题,代码片段是这样的: ret=SSL_read(ssl, line, sizeof (line)); err=SSL_get_error(ssl,ret); //观察返回值的情况,err=2时ret=-1, err=0...
mbedTLS(PolarSSL)简单思路和函数笔记(Client端)
weixin_33698823的博客
07-18 1472
OpenSSL一直以来各种被诟病,具体挑了哪些刺,本文就不深究。作为OpenSSL有很多替代,我了解到的有cyaSSL(WolfSSL)和PolorSSL。其PolarSSL已经被ARM收购了,改名为mbedTLS。本文列举了作为一个SSL client端,应该如何使用mbedTLS。本文可以搭配我上一篇文章OpenSSL一起看;单独看...
2024年Go最新mbedtls 库基础及其应用,阿里Golang面试题
最新发布
2401_84919661的博客
05-11 655
随着物联网的发展,设备节点的安全问题也越来越重要,相比互联网的openSSL,物联网的嵌入式设备适合小巧灵活的MbedTLS,曾用名PolarSSL,可以根据需求进行配置,降低对硬件资源的消耗。mbedtls_ssl_set_bio注册的读写接口支持设为非阻塞,mbedtls_ssl_write和mbedtls_ssl_read对应用层接口,在底层socket上报read_ready之后,判断当前握手已经完成,再执行mbedtls_ssl_read。独立的模块设计,降低模块之间的耦合度。
C语言使用openssl库进行加密
热门推荐
明潮的BLOG
11-24 2万+
使用MD5加密   我们以一个字符串为例,新建一个文件filename.txt,在文件内写入hello ,然后在Linux下可以使用命令md5sum filename.txt计算md5值 ==> b1946ac92492d2347c6235b4d2611184  。虽然写入的是hello这5个字符,但是我们使用命令xxd filename.txt后可以看出文件结尾处会有个0x0a这个回车符。所以
altcp_mbedtls_functions
09-14
altcp_mbedtls_functions是一个lwIP协议栈使用的函数集合,用于支持在lwIP使用mbed TLS库进行安全传输。 首先,mbed TLS是一个功能强大的开源加密和网络安全库,提供了一系列的加密、解密、证书管理和网络通信的功能。altcp_mbedtls_functions通过与mbed TLS库集成,使得lwIP可以通过TLS或SSL协议进行加密通信。 在lwIP,altcp_mbedtls_functions提供了一些关键的函数,包括连接初始化、TLS握手、发送和接收加密数据等功能。它们通过与mbed TLS的对应函数进行交互,以确保安全传输。 具体来说,altcp_mbedtls_functions包含以下几个重要函数: 1. mbedtls_altcp_tcp_new()和mbedtls_altcp_tcp_delete(),用于创建和销毁一个新的TCP连接。 2. mbedtls_altcp_tls_wrap(),用于在TCP连接上进行TLS握手建立安全通道。 3. mbedtls_altcp_write()和mbedtls_altcp_read(),用于发送和接收加密数据。 4. mbedtls_altcp_get_errno(),用于获取与传输相关的错误代码。 这些函数为lwIP提供了一种扩展接口,可以直接使用mbed TLS库的安全传输功能。在使用时,可以将这些函数与lwIP的普通TCP和UDP函数进行交互,实现传输数据的加密和解密。 总之,altcp_mbedtls_functions是lwIP协议栈的一个函数集合,通过与mbed TLS库的集成,提供了在lwIP使用TLS或SSL进行安全传输的功能。这些函数能够支持TCP连接的初始化、TLS握手、加密数据的发送和接收等关键的安全传输功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值