mbedTLS简介

最新推荐文章于 2025-06-07 09:06:23 发布
原创 最新推荐文章于 2025-06-07 09:06:23 发布 · 1.6w 阅读 · 86 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了mbedTLS,一款由ARM公司维护的开源SSL/TLS库,专为小型嵌入式设备设计,提供模块化API和高效加密功能。我们详细解读了关键结构体如公钥算法类型、摘要算法类型以及证书处理,并通过HMAC示例展示了其实用性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mbedTLS简介

mbedTLS的背景介绍

MbedTLS前身是开源加密算法库PolarSLL,现已被arm公司收购并由arm技术团队进行维护更新,是对TLS和SSL协议实现的算法库。mbedTLS的目标是:易于理解,使用,集成和扩展。
MbedTLS核心代码用C编程语言编写,实现SSL模块和各种加密算法,并提供各种加密算法的自测试代码。和其他TLS/SSL算法库实现不同,mbedTLS主要是面向小型嵌入式设备,代码紧凑,最小完整的TLS堆栈需要60KB的程序空间和64KB的RAM空间,而且执行效率高,可以说是行业内最小巧的SSL加密算法库。
另外,mbedTLS是高度模块化的设计:每个组件,如加密函数,可以独立于框架的其余部分使用。mbedTLS完全是由C语言编写的,没有外部依赖,因此,mbedTLS是应用于嵌入式系统最理想的TLS加密算法库。更重要的一点是,mbedTSL是完全OpenSource的,支持Apache 2.0 license 或者GPL 2.0 license双重许可,可以自由应用于商业项目中。

关于mbedTLS的简要概括

ARM mbedtls使开发人员可以非常轻松地在(嵌入式产品中加入加密和 SSL/TLS 功能。它提供了具有直观的 API 和可读源代码的 SSL 库。该工具即开即用,可以在大部分系统上直接构建它,也可以手动选择和配置各项功能。
mbedtls 库提供了一组可单独使用和编译的加密组件,还可以使用单个配置头文件加入或排除这些组件。
从功能角度来看,该mbedtls分为三个主要部分:

  • SSL/TLS 协议实施
  • 一个加密库
  • 一个 X.509 证书处理库

mbedTLS常用结构体

1. 公钥算法类型mbedtls_pk_type_t

/*
 * \brief          Public key types
 */
typedef enum {
    MBEDTLS_PK_NONE=0,
    MBEDTLS_PK_RSA,
    MBEDTLS_PK_ECKEY,
    MBEDTLS_PK_ECKEY_DH,
    MBEDTLS_PK_ECDSA,
    MBEDTLS_PK_RSA_ALT,
    MBEDTLS_PK_RSASSA_PSS,
	MBEDTLS_PK_SM2,
} mbedtls_pk_type_t;

2. 摘要算法类型mbedtls_md_type_t

typedef enum {
    MBEDTLS_MD_NONE=0,
    MBEDTLS_MD_MD2,
    MBEDTLS_MD_MD4,
    MBEDTLS_MD_MD5,
    MBEDTLS_MD_SHA1,
    MBEDTLS_MD_SHA224,
    MBEDTLS_MD_SHA256,
    MBEDTLS_MD_SHA384,
    MBEDTLS_MD_SHA512,
    MBEDTLS_MD_RIPEMD160,
	MBEDTLS_MD_SM3,
} mbedtls_md_type_t;

3. 公钥上下文mbedtls_pk_context

/**
 * \brief           Public key container
 */
typedef struct
{
    const mbedtls_pk_info_t *   pk_info; /**< Public key informations  公钥信息        */
    void *                      pk_ctx;  /**< Underlying public key context  底层公钥上下文*/
} mbedtls_pk_context;

4. 解析证书得到的mbedtls_pk_info_t

struct mbedtls_pk_info_t //解析证书得到的
{
    /** Public key type */
    mbedtls_pk_type_t type;
    /** Type name */
    const char *name;
    /** Get key size in bits */
    size_t (*get_bitlen)( const void * );
    /** Tell if the context implements this type (e.g. ECKEY can do ECDSA) */
    int (*can_do)( mbedtls_pk_type_t type );
    /** Verify signature *///验证签名,证书,秘钥交换时服务器签名(如果有的话)
    int (*verify_func)( void *ctx, mbedtls_md_type_t md_alg,
                        const unsigned char *hash, size_t hash_len,
                        const unsigned char *sig, size_t sig_len );
 
    /** Make signature *///用秘钥来加密
    int (*sign_func)( void *ctx, mbedtls_md_type_t md_alg,
                      const unsigned char *hash, size_t hash_len,
                      unsigned char *sig, size_t *sig_len,
                      int (*f_rng)(void *, unsigned char *, size_t),
                      void *p_rng );
 
    /** Decrypt message *///秘钥交换,服务器解密使用
    int (*decrypt_func)( void *ctx, const unsigned char *input, size_t ilen,
                         unsigned char *output, size_t *olen, size_t osize,
                         int (*f_rng)(void *, unsigned char *, size_t),
                         void *p_rng );
 
    /** Encrypt message */ //秘钥交换时加密秘钥用
    int (*encrypt_func)( void *ctx, const unsigned char *input, size_t ilen,
                         unsigned char *output, size_t *olen, size_t osize,
                         int (*f_rng)(void *, unsigned char *, size_t),
                         void *p_rng );
 
    /** Check public-private key pair */
    int (*check_pair_func)( const void *pub, const void *prv );
    /** Allocate a new context */
    void * (*ctx_alloc_func)( void );
    /** Free the given context */
    void (*ctx_free_func)( void *ctx );
    /** Interface with the debug module */
    void (*debug_func)( const void *ctx, mbedtls_pk_debug_item *items );
};

mbedTLS使用事例

下面我们通过一个示例来说明如何使用mbedtls。这个示例通过介绍如何使用HMAC算法生成一个消息认证码。
hmac-test.c代码如下:

#include <string.h>
#include <stdio.h>
#include "mbedtls/md.h"
 
#define mbedtls_printf     printf
 
int main(void)
{
    int ret;
    unsigned char secret[] = "a secret";
    unsigned char buffer[] = "some data to hash";
    unsigned char digest[32];
    mbedtls_md_context_t sha_ctx;
 
    mbedtls_md_init(&sha_ctx);
    memset(digest, 0x00, sizeof(digest));
 
    ret = mbedtls_md_setup(&sha_ctx, mbedtls_md_info_from_type(MBEDTLS_MD_SHA256), 1);
    if (ret != 0)
    {
        mbedtls_printf("  ! mbedtls_md_setup() returned -0x%04x\n", -ret);
        goto exit;
    }
 
    mbedtls_md_hmac_starts(&sha_ctx, secret, sizeof(secret) - 1);
    mbedtls_md_hmac_update(&sha_ctx, buffer, sizeof(buffer) - 1);
    mbedtls_md_hmac_finish(&sha_ctx, digest );
 
    mbedtls_printf("HMAC: ");
    for (int i = 0; i < sizeof(digest); i++)
        mbedtls_printf("%02X", digest[i]);
    mbedtls_printf("\n");
 
exit:
    mbedtls_md_free( &sha_ctx );
 
    return ret;
}
  • hmac算法需要两个参数,一个称为秘钥,此处为secret,另一个称为消息,此处为buffer
  • 消息认证码保留在 digest 数组中
  • 此处hmac算法选择sha256算法作为单向散列函数,所以hmac的计算结果一定为32字节

在mbedtls中,消息认证码的生成分为三个步骤:

  • mbedtls_md_hmac_starts 设置密钥
  • mbedtls_md_hmac_update 填充消息,本示例仅填充了一次
  • mbedtls_md_hmac_finish 生成消息认证码,结果保存至digest中

最后把digest使用HEX格式打印至控制台。

mbedTLS_API分析

应用层 API 是提供给用户在 App 中直接使用的 API,这部分 API 屏蔽了 mbedtls 内部具体的操作步骤,简化了用户使用。
这里分享 ARM mbedtls API 手册给大家。

参考文章

http://www.elecfans.com/emb/20180524682699.html
https://blog.youkuaiyun.com/u010144805/article/details/78740541
https://blog.youkuaiyun.com/weixin_41965270/article/details/88687320

mbedtls | 嵌入式数字证书及 X.509 证书标准
weixin_50547796的博客
06-04 529
mbed TLS(前身为PolarSSL)是一款开源的、轻量级的加密库,专为嵌入式系统设计。它支持多种加密算法、协议和安全功能,包括数字证书管理。mbed TLS 提供了对 X.509 标准的完整支持,使开发人员能够生成、解析和验证数字证书。数字证书是用于认证和加密通信的一种电子凭证。它包含了一个实体(通常是一个人或组织)的公钥和相关信息,由证书颁发机构(CA)签名以确保证书的真实性。X.509 是一种广泛使用的证书格式标准,定义了证书的结构和内容。
51c嵌入式~mbedtls移植各MCU
weixin_35943776的博客
08-28 1284
后面还要研究与lwip的结合哦~~一、mbedtls 开源库1. mbedtls是什么Mbed TLS是一个开源、可移植、易于使用、代码可读性高的SSL库。可实现加密原语,X.509证书操作以及SSL / TLS和 DTLS 协议,它的代码占用空间小,非常适合用于嵌入式系统。mbedtls遵循 Apache 2.0 开源许...
mbed tls库
12-04
mbed tls库的设计可以轻松地与现有(嵌入式)应用程序集成,并为安全通讯、密码学和密钥管理提供构建模块
ARMmbed/mbedtls项目中的驱动专用构建指南
最新发布
gitblog_00602的博客
06-07 261
ARMmbed/mbedtls项目中的驱动专用构建指南 概述 在嵌入式系统开发中,为了优化代码大小或利用硬件加速模块,开发者可能需要构建仅通过PSA驱动提供加密功能的Mbed TLS版本。本文将详细介绍如何在ARMmbed/mbedtls项目中配置驱动专用构建,以及相关的技术细节和注意事项。 基本概念 驱动专用构建是指Mbed TLS中某些加密机制完全由PSA驱动提供,而不包含内置实现。这种方式特...
mbed TLS 介绍
Golden_Chen的专栏
06-15 4712
mbedTLS(前身 PolarSSL)是一个由 ARM 公司开源和维护的 SSL/TLS 算法库。其使用 C 编程语言以最小的编码占用空间实现了 SSL/TLS 功能及各种加密算法,易于理解、使用、集成和扩展,方便开发人员轻松地在嵌入式产品中使用 SSL/TLS 功能。 mbedTLS软件包提供了如下的能力: 完整的SSL v3、TLS v1.0、TLS v1.1和TLS v1.2协议实现 X.509证书处理 基于 TCP 的 TLS 传输加密 基于 UDP 的 DTLS(Datag...
mbedtls 库基础及其应用(1),2024年最新阿里P8亲自讲解
2401_84254296的博客
04-15 1347
SSL/TLS加密的介绍,重点是mbedtls的基础以及移植说明。
mbedTLS概览
shengxial的博客
10-20 803
mbedtls是一个适合嵌入式的开源、可移植的SSL库,主要有以下组件(功能): 1)单向散列算法 MD2, MD4, MD5 SHA-1, SHA-256, SHA-384/512 160-bit or more 2)对称加密算法(Symmetric Cipher) AES - ECB, CBC, CTR, CFB and GCM ARCFOUR (RC4) - stream cipher Blowfish - ECB, CBC, CTR and CFB Camellia...
mbedtls 库基础及其应用
2401_87300210的博客
09-22 2832
SSL/TLS加密的介绍,重点是mbedtls的基础以及移植说明。
Telink TLSR825x系列——Mbed TLS(mbedtls)库的简单移植和使用
u010201661的博客
08-30 1550
相比互联网的openSSL,物联网的嵌入式设备适合小巧灵活的MbedTLS,曾用名PolarSSL,可以根据需求进行配置,降低对硬件资源的消耗。mbedtls是一款采用Apache 2.0许可证协议开源软件加密库,使用标准C语言编写;独立的模块设计,降低模块之间的耦合度。Mbed TLS官网mbedtls官方名称为Mbed TLS,如果网上搜不到相关资源,就用“Mbed TLS”来做关键词来搜索,毕竟对搜索引擎来说“Mbed TLS”和“mbedtls”搜索的是不同的东西。
数字证书X.509解析的MbedTLS代码实现Demo
mickey2007的博客
12-17 2215
公钥证书(Public-Key Certificate,PKC)其实和驾照很相似,里面记有姓名、组织、邮箱地址等个人信息,以及属于此人的公钥,并由认证机构(Certification Authority、Certifying Authority,CA)施加数字签名。只要看到公钥证书,我们就可以知道认证机构认定该公钥的确属于此人。公钥证书也简称为证书(certificate)。
【网络安全】使用mbedtls 实现 RSA 签名、验签、加密、解密
weixin_45880295的博客
03-05 2979
使用 mbedtls 实现 RSA 的应用场景
mbedtls:一个开源,可移植,易于使用,可读且灵活的SSL库
02-26
适用于Mbed TLS的自述文件 Mbed TLS是一个C库,可实现加密原语,X.509证书操作以及SSL / TLS和DTLS协议。 它的代码占用量小,使其适用于嵌入式系统。 Mbed TLS包括的参考实现。 当前,此预览仅用于评估目的。 配置 在大多数系统上,Mbed TLS应该是开箱即用的。 完全记录在案的配置文件include/mbedtls/config.h中提供了一些特定于平台的选项,这也是可以选择功能的地方。 该文件可以手动编辑,也可以使用Python 3脚本scripts/config.py (使用--help以获得更详尽的说明)以更加编程的方式进行编辑。 使用Make和CMake构建系统时,可以使用常规环境变量(例如CC和CFLAGS来设置编译器选项(请参见下文)。 我们在configs/目录中提供了一些针对特定用例的非标准配置。 您可以在configs/READM
mbedtls 2.16.0
03-04
官方的mbedtls库,2.16.0版本,移植教程可以去他们的github上面看,https://github.com/ARMmbed/mbedtls
mbedtls-2.2.1
01-08
mbedtls-2.2.1工具,进行加密,mbed TLS(以前称为PolarSSL)是TLS和SSL协议的实现,并且需要相应的加密算法和支持代码。这是双重许可与Apache许可证 2.0版(与GPLv2许可也可)。网站上指出,mbed TLS的目标是“易于理解,使用,集成和扩展”
mbedtls-1.3.11适用于嵌入式的通信加密库
07-15
mbedtls是适用于嵌入式的轻量级通信加密库,对应用于嵌入式上做了优化
mbedtls.zip
01-21
Mbedtls加解密工具代码。
数字签名验签的MbedTLS代码实现Demo
mickey2007的博客
12-17 1080
在信息传输过程中,为了确保数据的完整性和真实性,常常需要使用数字签名这一技术手段。数字签名结合了公钥加密和私钥解密的过程,使得数据在传输过程中能够得到有效的保护。 本文将通过图文并茂的方式,详细解释数字签名的原理、生成过程以及验签的步骤;并且提供代码实现Demo工程。
mbed TLS 概述
我的专栏
02-24 4519
系统概要 mbedtls 也许是最小巧的ssl代码库。高效、便于移植和集成。支持常见的安全算法,如:AES、DES、RSA、ECC、SHA256、MD5、BASE64等等。除此之外还支持公钥证书体系。它提供了具有直观的 API 和可读源代码的 SSL 库。该工具即开即用,可以在大部分系统上直接构建它,也可以手动选择和配置各项功能。 mbedtls 没有core,而是有一些组件构成...
2024年Go最新mbedtls 库基础及其应用,阿里Golang面试题
2401_84919661的博客
05-11 772
随着物联网的发展,设备节点的安全问题也越来越重要,相比互联网的openSSL,物联网的嵌入式设备适合小巧灵活的MbedTLS,曾用名PolarSSL,可以根据需求进行配置,降低对硬件资源的消耗。mbedtls_ssl_set_bio注册的读写接口支持设为非阻塞,mbedtls_ssl_write和mbedtls_ssl_read对应用层接口,在底层socket上报read_ready之后,判断当前握手已经完成,再执行mbedtls_ssl_read。独立的模块设计,降低模块之间的耦合度。
mbedtls sm2
03-04
### 关于mbedTLS中的SM2加密算法实现与使用 #### mbedTLS简介及其优势 mbedTLS是一个轻量级的密码学库,适用于嵌入式系统和其他资源受限环境。该库不仅支持常见的国际标准加密算法,还提供了对中国国家商用密码标准的支持,其中包括SM2椭圆曲线公钥密码算法[^1]。 #### 实现过程概述 在基于mbedTLS实现SM2签名和验证功能时,开发者通常会遇到一定的挑战。为了简化集成工作并提高安全性,建议遵循官方文档以及社区贡献者的最佳实践案例。具体来说: - **初始化上下文对象**:创建用于执行特定操作所需的结构体实例。 ```c mbedtls_ecdsa_context ctx; mbedtls_ecp_keypair *keypair = NULL; mbedtls_ecdsa_init(&ctx); ``` - **加载私钥或生成密钥对**:如果已有私钥,则直接导入;否则调用相应API生成新的密钥对。 ```c // 加载PEM格式私钥 FILE *fp = fopen("private.pem", "rb"); size_t n = fread(buf, 1, sizeof buf - 1, fp); fclose(fp); mbedtls_pk_parse_key(&privkey, buf, n, pwd, pwdlen); ``` - **设置参数配置**:指定使用的椭圆曲线及其他必要选项。 ```c const char* curve_name = MBEDTLS_ECP_DP_SM2; mbedtls_ecp_group_id grp_id = mbedtls_ecp_grp_id_from_name(curve_name); mbedtls_ecp_group_load(&grp, grp_id); ``` - **执行签名运算** ```c unsigned char hash[32]; int ret = mbedtls_md_hmac_sha256(message, msg_len, key, key_len, hash, 32); if ((ret = mbedtls_ecdsa_sign_detached(&ctx, &sig_r, &sig_s, hash, 32)) != 0) { printf(" failed\n ! mbedtls_ecdsa_sign_detached returned %d\n\n", ret); goto exit; } ``` - **进行验签处理** 验证接收到的消息是否确实由预期发送方签署,并未被篡改。 ```c if ((ret = mbedtls_ecdsa_verify_restartable( &ctx, hash, 32, sig.r, sig.s)) != 0) { printf("failed\n ! mbedtls_ecdsa_verify returned %d\n\n", ret); goto exit; } else { printf("Signature is valid.\n"); } ``` 上述代码片段展示了如何利用mbedTLS完成基本的SM2签名及验证流程。值得注意的是,在实际应用中还需要考虑更多细节问题,如错误处理机制的设计、性能优化策略的选择等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值