高级工程师讨厌编程面试？

4.4 网络阻塞与非阻塞机制

mbedtls在电脑模拟测试时其网络连接非常顺畅，而且测试只是跑这一项功能，即使采用阻塞模式也不会有其它问题。实际嵌入式设备在联网时，肯定还有其他任务需要执行。

如果设备支持操作系统，可以为mbedtls单独分配一个线程或者任务，推荐使用阻塞机制实现接口，而且容易调试，尤其是https下载这种场景。但是特殊情况下不支持阻塞的，在改写网络接口时，需要特殊处理。

例如范例mbedtls_net_connect进行域名解析、连接服务器，嵌入式设备的无线网络在这个步骤，基本会返回异常表示阻塞等待中，要解决这个问题，需要将后续的握手流程拆分执行。原本联网后执行mbedtls_ssl_handshake，在while里面等待握手流程MBEDTLS_SSL_HANDSHAKE_OVER结束或者错误，改为每次收到读消息的事件，执行一次或多次mbedtls_ssl_handshake_step。(这个并没亲自验证)

mbedtls_ssl_set_bio注册的读写接口支持设为非阻塞，mbedtls_ssl_write和mbedtls_ssl_read对应用层接口，在底层socket上报read_ready之后，判断当前握手已经完成，再执行mbedtls_ssl_read。

4.5 证书与密钥

测试可以使用mbedtls范例自带的证书和公钥、私钥，但实际项目需要自己根据服务器域名生成ca证书，以及双方的公钥、私钥。在源码programspkey下有秘钥生成的代码，作为客户端，需要验证服务器提供的公钥证书，因此本地还要CA证书，类似首次登录12306提示要下载的证书，再加上客户端自身的公钥和私钥，一共3个文件。gen_key.c生成keyfile.key私钥，默认秘钥长度是4096，虽然1024理论上有风险，但是运算更快;后面再使用openSSL 命令行生成公钥。
 

4、mbedtls移植

先在电脑端模拟测试，确定参数，简化范例里的赋值，因为实际项目参数不会经常变更，优化代码，尤其是秘钥加载，嵌入式都是以数组保存文件内容，而不会使用文件形式加载。另外结合加密等级，确定加密套件类型。

模拟测试正常后，再移植到ARM平台，主要改动涉及网络连接、内存管理和定时器三个方面。

4.1 网络接口

mbedtls默认的网络接口mbedtls/library/net_socket.c，可以在windows下运行，特别注意，默认的socket操作都是阻塞模式;一般不适合ARM平台，关闭MBEDTLS_NET_C，结合硬件平台重新实现网络接口。主要包括以下函数：
 

mbedtlsincludembedtls下面，可以version.h查看版本信息，重点是config.h配置，mbedtls是一套加密集合，实际项目使用中仅需选择少部分即可，配置功能宏裁剪代码，简化运算，毕竟mbedtls跑一遍，一般的arm单片机不一定扛得住。

programsssl下是参考范例，TLS的客户端和服务端范例，以及UDP版本的DTLS。嵌入式设备以客户端应用居多，主要参考ssl_client2.c里面很多配置参数可选，也可以针对应用替换ssl_client1.c。

测试TLS客户端首先要准备3个文件，CA证书，客户端公钥数字证书以及私钥。一般情况下命名后缀如下：

.crt CA证书 .pem 公钥，经CA加密后的公钥，也称为数字证书 .key 私钥 有时crt和pem混用，其本质都是CA公钥加密后的文件

如果没有服务器联调，也可以使用自身的ssl_server2.c做服务器。

3.3 demo流程分析

ssl_client2.c范例都在main函数，其大体流程如下：

• 1、先加载各种证书、秘钥，配置opt结构体成员初始化，如TLS版本，加密套件类型等
• 2、然后开始连接服务器 mbedtls_net_connect
• 3、初始化tls参数 mbedtls_ssl_config_defaults，设置网络收发回调函数等
• 4、SSL/TLS握手流程，过程比较复杂，简化就是通信双方校验对方身份，获取对方的公钥，确认加密方式，后续数据进行加密或解密做准备 mbedtls_ssl_handshake
• 5、校验服务端返回的证书 mbedtls_ssl_get_verify_result
• 6、如果前面流程顺畅，就可以使用mbedtls_ssl_write，mbedtls_ssl_read收发数据了
• 7、测试结束后的清理工作
• 8、与标准socket编程对比，接口存在一定的对应关系：

（编辑：信阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!