mbedtls | 移植mbedtls库到STM32裸机的两种方法

2020-09-24 16:14:37 浏览数 (1)

一、mbedtls 开源库

1. mbedtls是什么

Mbed TLS是一个开源、可移植、易于使用、代码可读性高的SSL库。可实现加密原语,X.509证书操作以及SSL / TLS和 DTLS 协议,它的代码占用空间小,非常适合用于嵌入式系统。

mbedtls遵循 Apache 2.0 开源许可协议,目前由 TrustedFirmware 维护(Linaro主持的一个治理开放社区项目),在Github上已收获 2.6k star,目前Github上发布的最新版本为 2.24.0 版本,开源仓库地址为:

“https://github.com/ARMmbed/mbedtls ”

2. mbedtls有何用

mbedtls库提供了 TLS / DTLS协议的实现,有了mbedtls库之后意味着:

  • TCP TLS = TCP(S)
  • MQTT TLS = MQTT(S)
  • HTTP TLS = HTTP(S)
  • COAP DTLS = COAP(S)

目前的物联网操作系统 各种通信模组方式可以很好的实现TCP/UDP通信,进而提供一些HTTP、MQTT、COAP之类的上层协议,这些协议最大的特点是“明文传输”,一旦有中间人想要截获篡改数据,非常容易。

要想物联网设备和服务器之间具备高安全性,mbedtls库不可或缺。

3. 下载mbedtls库

在github release页面下载:

4. STM32移植方法

移植mbedtls开源库到stm32有两种方法:

① 针对STM32CubeMX中Middleware下面已经提供mbedtks库的情况:直接使用cubeMX配置即可;

② 针对STM32CubeMX中没有提供mbedtls库的情况:手动移植。

接下来分别演示如何移植。

二、使用STM32CubeMX移植

此小节中我使用的是正点原子STM32F407探索者开发板,首先准备一份可以正常使用printf打印到串口的工程。

1. 开启RNG外设支持(可选)

一些STM32系列中有RNG外设(随机数发生器),如果有的话就开启,没有就不用开启,接着后面的步骤就好。

2. RTC支持和网络支持(可选)

网络支持需要提供一套TCP/IP协议栈,比如基于AT模组的SAL层、lwip协议栈等,这里我们不使用网络连接功能,后续在带操作系统移植时讲解。

RTC支持是为了校验CA证书有效期提供时间支持,这里我们不使用时间功能,后续在带操作系统移植时讲解。

3. 开启mbedtls库

在Middleware下开启mbedtls库支持:

4. 配置mbedtls

mebdtls库提供的算法非常多,全都通过宏定义来配置。

① 特性配置:保持默认即可。

② 使用功能模块配置(重点):

5. 编写测试代码

生成工程,在middleware文件夹下即可看到mbedtls库:

打开工程,在main.c中包含头文件:

代码语言:javascript复制
/* Private includes ----------------------------------------------------------*/
/* USER CODE BEGIN Includes */
#include <stdio.h>
#include "mbedtls/sha1.h"  //使用sha1相关加密函数
#include "string.h"    //使用到了strlen函数
/* USER CODE END Includes */

然后在main函数中编写如下测试代码:

代码语言:javascript复制
/* USER CODE BEGIN 2 */
printf("mbedtls port on ATK-STM32F407 board by mculover666rn");

/* sha1 test */
char *source_cxt = "mculover666";
char encrypt_cxt[64];

printf("source context is:%srn", source_cxt);

mbedtls_sha1_context sha1_ctx;
mbedtls_sha1_init(&sha1_ctx);
mbedtls_sha1_starts(&sha1_ctx);
mbedtls_sha1_update(&sha1_ctx, (unsigned char *)source_cxt, strlen(source_cxt));
mbedtls_sha1_finish(&sha1_ctx, (unsigned char *)encrypt_cxt);
mbedtls_sha1_free(&sha1_ctx);

int i = 0;
printf("sha1 encrypt context is:[");
while (encrypt_cxt[i]) {
  printf("x", encrypt_cxt[i]);
  i  ;
}
printf("]rn");

/* USER CODE END 2 */

“特别注意:Keil-MDK需要改为ANSI 编码,否则因为字符串编码问题,会导致加密结果出错。 ”

编译,下载到开发板中,在串口助手中查看加密结果:

6. 验证加密结果

可以使用一些在线工具计算出结果进行对比,如图,加密无误:

“https://1024tools.com/hash ”

三、手动移植mbedtls库

这里我以STM32L431RCT6小熊派开发板为例,首先准备一份可以正常使用printf打印的裸机工程,其中没有开启硬件RNG外设。

1. 复制mbedtls相关文件

① 从mbedtls库中复制mbedtls源码文件到工程中:

② 再复制mbedtls示例配置文件:

2. 添加mbedtls文件到MDK中

① 添加 mbedtlslibrary 文件夹中所有的c文件:

再将配置文件也添加到工程目录,方便修改:

② 添加头文件路径:

③ 在宏定义中指定mbedconfig配置文件:

代码语言:javascript复制
MBEDTLS_CONFIG_FILE=<config-mini-tls1_1.h>

3. 修改mbedtls配置

编辑 config-mini-tls1_1.h 文件。

① 配置mbedtls系统支持:

② 配置功能模块

③ 屏蔽功能测试,添加一个宏定义,表示没有平台支持:

4. 编写测试代码

打开工程,在main.c中包含头文件:

代码语言:javascript复制
/* Private includes ----------------------------------------------------------*/
/* USER CODE BEGIN Includes */
#include <stdio.h>
#include "mbedtls/sha1.h"
#include "string.h"
/* USER CODE END Includes */

然后在main函数中编写如下测试代码:

代码语言:javascript复制
/* USER CODE BEGIN 2 */
printf("mbedtls port on BearPi-STM32L431RC board by mculover666rn");

/* sha1 test */
char *source_cxt = "mculover666";
char encrypt_cxt[64];

printf("source context is:%srn", source_cxt);

mbedtls_sha1_context sha1_ctx;
mbedtls_sha1_init(&sha1_ctx);
mbedtls_sha1_starts(&sha1_ctx);
mbedtls_sha1_update(&sha1_ctx, (unsigned char *)source_cxt, strlen(source_cxt));
mbedtls_sha1_finish(&sha1_ctx, (unsigned char *)encrypt_cxt);
mbedtls_sha1_free(&sha1_ctx);

int i = 0;
printf("sha1 encrypt context is:[");
while (encrypt_cxt[i]) {
printf("x", encrypt_cxt[i]);
i  ;
}
printf("]rn");

/* USER CODE END 2 */

“特别注意:Keil-MDK需要改为ANSI 编码,否则因为字符串编码问题,会导致加密结果出错。 ”

编译,下载到开发板中,在串口助手中查看加密结果:

5. 测试加密结果

同第二节第 6 小节。

四、移植总结

mbedtls可以说是一个牛逼的开源库,其功能可以灵活的通过宏定义来选择,整个移植过程比较简单。

而且mbedtls库对于我们的配置文件会做检查,一般在配置文件的最后一句:

代码语言:javascript复制
#include "mbedtls/check_config.h"

如果对应某些功能我们开启了,但是没有开启它的依赖功能,编译器会直接报错,根据报错修改对应定义即可。

总之,这么好的东西,不玩一下可是睡不着的~

0 人点赞