ARM mbedtls
使开发人员可以非常轻松地在嵌入式产品中加入加密和SSL/TLS
功能。它提供了具有直观的API
和可读源代码的SSL
库,可以在大部分系统上直接构建它,也可以手动选择和配置各项功能。mbedtls
库提供了一组可单独使用和编译的加密组件,还可以使用单个配置头文件加入或排除这些组件。从功能角度来看,该mbedtls
分为三个主要部分:
SSL/TLS
协议实施;一个加密库;
一个
X.509
证书处理库。
编译安装
mbedtls
支持make
、cmake
等多种安装方式,本文介绍make
方式和cmake
方式编译源代码,并在目标主机中安装mbedtls
动态链接库和头文件。首先通过git clone https://github.com/ARMmbed/mbedtls.git
命令下载源码。
make
方式
$ make SHARED=1
$ make install DESTDIR=xxx
使用make
时默认情况下并不会生成动态链接库,SHARED=1
生成动态链接库,DESTDIR
指定安装目录。
cmake
方式
cmake
方式比make
方式的步骤要多一些,如果目标主机并没有安装cmake
工具,可通过apt-get
工具安装cmake
。
$ cmake -DUSE_SHARED_MBEDTLS_LIBRARY=On .
$ make
$ sudo make install
-DUSE_SHARED_MBEDTLS_LIBRARY=On
生成动态链接库。
修改mbedtls
配置
mbedtls
也可以通过修改配置文件的方式进行裁剪,mbedtls
提供了几个参考模板,具体的config.h
文件可参考mbedtls/configs
目录,该目录中包括config-ccm-psk-tls1_2.h
, config-mini-tls1_1.h
等文件。和mbedtls
安装方法相似,可通过make
方法和cmake
方法修改具体配置。
make
方法
# 设置MBEDTLS_CONFIG_FILE宏,指向config-ccm-psk-tls1_2.h
$ CFLAGS="-I$PWD/configs -DMBEDTLS_CONFIG_FILE='<config-ccm-psk-tls1_2.h>'"
# 重新编译
$ make
cmake
方法
# 删除之前cmake相关中间文件,但是不包括CMakeLists.txt文件
$ find . -iname '*cmake*' -not -name CMakeLists.txt -exec rm -rf {} +
# 指定配置文件为 config-ccm-psk-tls1_2.h,重新编译
$ CFLAGS="-I$PWD/configs -DMBEDTLS_CONFIG_FILE='<config-ccm-psk-tls1_2.h>'" $ cmake .
默认情况下,动态链接库安装至/usr/local/lib
(包括libmbedtls.so
、libmbedcrypto.so
、libmbedx509.so
),头文件安装至/usr/local/include/mbedtls
,mbedtls的相关工具将安装在/usr/local/bin
目录下(例如gen_key
等)。
示例代码
示例通过介绍如何使用HMAC
算法生成一个消息认证码,代码如下:
#include <string.h>
#include <stdio.h>
#include "mbedtls/md.h"
int main(int argc, char** argv)
{
int ret = -1;
unsigned char secret[] = "a secret";
unsigned char buffer[] = "some data to hash";
unsigned char digest[32];
mbedtls_md_context_t sha_ctx;
mbedtls_md_init(&sha_ctx);
memset(digest, 0x00, sizeof(digest));
ret = mbedtls_md_setup(&sha_ctx, mbedtls_md_info_from_type(MBEDTLS_MD_SHA256), 1);
if (ret != 0) {
printf("mbedtls_md_setup() returned -0x%04x\n", -ret);
goto exit;
}
mbedtls_md_hmac_starts(&sha_ctx, secret, sizeof(secret) - 1);
mbedtls_md_hmac_update(&sha_ctx, buffer, sizeof(buffer) - 1);
mbedtls_md_hmac_finish(&sha_ctx, digest);
printf("HMAC: ");
for (int i = 0; i < sizeof(digest); i++) {
printf("%02X", digest[i]);
}
printf("\n");
exit:
mbedtls_md_free(&sha_ctx);
return ret;
}
hmac
算法需要两个参数,一个称为秘钥,此处为secret
,另一个称为消息,此处为buffer
。消息认证码保留在
digest
数组中。此处
hmac
算法选择sha256
算法作为单向散列函数,所以hmac
的计算结果一定为32
字节。-
在
mbedtls
中,消息认证码的生成分为三个步骤:mbedtls_md_hmac_starts
设置密钥;mbedtls_md_hmac_update
填充消息;mbedtls_md_hmac_finish
生成消息认证码,结果保存至digest
中。
最后把
digest
使用HEX
格式打印至控制台。
编译后,执行输出如下:
$ ./cmake-build/out/src/hmac-test
HMAC: 7FD04DF92F636FD450BC841C9418E5825C17F33AD9C87C518115A45971F7F77E
适配打印模块
mbedtls
调试打印接口使用的是标准库函数printf()
,如果要替换为自己的接口,可以定义MBEDTLS_PLATFORM_PRINTF_MACRO
来添加自己的打印接口。也可以通过定义 MBEDTLS_PLATFORM_PRINTF_ALT
,然后调用mbedtls_platform_set_printf()
接口设置自己的打印接口。
参考文章
libuv-mbedtls
借助mbedTLS了解DTLS握手协议
AES在openssl和mbedtls中的简单代码示例
mbedTLS(PolarSSL)简单思路和函数笔记(Client端)
mbedtls 入门
Makefile 编译时如何输出打印信息
系统编译:如何给Make命令来传递参数
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。