mbedTLS中的握手建立操作

最新推荐文章于 2025-06-25 13:25:47 发布
最新推荐文章于 2025-06-25 13:25:47 发布
阅读量1w 收藏 10
点赞数 2
CC 4.0 BY-SA版权
分类专栏: openssl C++/C
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010144805/article/details/78743027
本文详细解析了mbedtls库中的SSL握手过程,包括客户端和服务端的握手步骤,并展示了如何通过循环调用来完成整个握手流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

握手函数调用

while( ( ret = mbedtls_ssl_handshake( &ssl ) ) != 0 )
    {
        if( ret != MBEDTLS_ERR_SSL_WANT_READ && ret != MBEDTLS_ERR_SSL_WANT_WRITE )
        {
            mbedtls_printf( " failed\n  ! mbedtls_ssl_handshake returned -0x%x\n\n", -ret );
            goto exit;
        }
    }

循环进行握手操作,直到握手成功

/*
 * Perform the SSL handshake
 */
int mbedtls_ssl_handshake( mbedtls_ssl_context *ssl )
{
    int ret = 0;

    if( ssl == NULL || ssl->conf == NULL )
        return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );

    MBEDTLS_SSL_DEBUG_MSG( 2, ( "=> handshake" ) );

    while( ssl->state != MBEDTLS_SSL_HANDSHAKE_OVER )
    {
        ret = mbedtls_ssl_handshake_step( ssl );

        if( ret != 0 )
            break;
    }

    MBEDTLS_SSL_DEBUG_MSG( 2, ( "<= handshake" ) );

    return( ret );
}

一次握手

/*
 * Perform a single step of the SSL handshake
 */
int mbedtls_ssl_handshake_step( mbedtls_ssl_context *ssl )
{
    int ret = MBEDTLS_ERR_SSL_FEATURE_UNAVAILABLE;

    if( ssl == NULL || ssl->conf == NULL )
        return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );

#if defined(MBEDTLS_SSL_CLI_C)
    if( ssl->conf->endpoint == MBEDTLS_SSL_IS_CLIENT )
        ret = mbedtls_ssl_handshake_client_step( ssl );
#endif
#if defined(MBEDTLS_SSL_SRV_C)
    if( ssl->conf->endpoint == MBEDTLS_SSL_IS_SERVER )
        ret = mbedtls_ssl_handshake_server_step( ssl );
#endif

    return( ret );
}
分为客户端的握手操作和服务端的握手操作
客户端的握手操作
/*
 * SSL handshake -- client side -- single step
 */
int mbedtls_ssl_handshake_client_step( mbedtls_ssl_context *ssl )
{
    int ret = 0;

    if( ssl->state == MBEDTLS_SSL_HANDSHAKE_OVER || ssl->handshake == NULL )
        return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );

    MBEDTLS_SSL_DEBUG_MSG( 2, ( "client state: %d", ssl->state ) );

    if( ( ret = mbedtls_ssl_flush_output( ssl ) ) != 0 )
        return( ret );

#if defined(MBEDTLS_SSL_PROTO_DTLS)
    if( ssl->conf->transport == MBEDTLS_SSL_TRANSPORT_DATAGRAM &&
        ssl->handshake->retransmit_state == MBEDTLS_SSL_RETRANS_SENDING )
    {
        if( ( ret = mbedtls_ssl_resend( ssl ) ) != 0 )
            return( ret );
    }
#endif

    /* Change state now, so that it is right in mbedtls_ssl_read_record(), used
     * by DTLS for dropping out-of-sequence ChangeCipherSpec records */
#if defined(MBEDTLS_SSL_SESSION_TICKETS)
    if( ssl->state == MBEDTLS_SSL_SERVER_CHANGE_CIPHER_SPEC &&
        ssl->handshake->new_session_ticket != 0 )
    {
        ssl->state = MBEDTLS_SSL_SERVER_NEW_SESSION_TICKET;
    }
#endif

    switch( ssl->state )
    {
        case MBEDTLS_SSL_HELLO_REQUEST:
            ssl->state = MBEDTLS_SSL_CLIENT_HELLO;
            break;

       /*
        *  ==>   ClientHello
        */
       case MBEDTLS_SSL_CLIENT_HELLO:
           ret = ssl_write_client_hello( ssl );
           break;

       /*
        *  <==   ServerHello
        *        Certificate
        *      ( ServerKeyExchange  )
        *      ( CertificateRequest )
        *        ServerHelloDone
        */
       case MBEDTLS_SSL_SERVER_HELLO:
           ret = ssl_parse_server_hello( ssl );
           break;

       case MBEDTLS_SSL_SERVER_CERTIFICATE:
           ret = mbedtls_ssl_parse_certificate( ssl );
           break;

       case MBEDTLS_SSL_SERVER_KEY_EXCHANGE:
           ret = ssl_parse_server_key_exchange( ssl );
           break;

       case MBEDTLS_SSL_CERTIFICATE_REQUEST:
           ret = ssl_parse_certificate_request( ssl );
           break;

       case MBEDTLS_SSL_SERVER_HELLO_DONE:
           ret = ssl_parse_server_hello_done( ssl );
           break;

       /*
        *  ==> ( Certificate/Alert  )
        *        ClientKeyExchange
        *      ( CertificateVerify  )
        *        ChangeCipherSpec
        *        Finished
        */
       case MBEDTLS_SSL_CLIENT_CERTIFICATE:
           ret = mbedtls_ssl_write_certificate( ssl );
           break;

       case MBEDTLS_SSL_CLIENT_KEY_EXCHANGE:
           ret = ssl_write_client_key_exchange( ssl );
           break;

       case MBEDTLS_SSL_CERTIFICATE_VERIFY:
           ret = ssl_write_certificate_verify( ssl );
           break;

       case MBEDTLS_SSL_CLIENT_CHANGE_CIPHER_SPEC:
           ret = mbedtls_ssl_write_change_cipher_spec( ssl );
           break;

       case MBEDTLS_SSL_CLIENT_FINISHED:
           ret = mbedtls_ssl_write_finished( ssl );
           break;

       /*
        *  <==   ( NewSessionTicket )
        *        ChangeCipherSpec
        *        Finished
        */
#if defined(MBEDTLS_SSL_SESSION_TICKETS)
       case MBEDTLS_SSL_SERVER_NEW_SESSION_TICKET:
           ret = ssl_parse_new_session_ticket( ssl );
           break;
#endif

       case MBEDTLS_SSL_SERVER_CHANGE_CIPHER_SPEC:
           ret = mbedtls_ssl_parse_change_cipher_spec( ssl );
           break;

       case MBEDTLS_SSL_SERVER_FINISHED:
           ret = mbedtls_ssl_parse_finished( ssl );
           break;

       case MBEDTLS_SSL_FLUSH_BUFFERS:
           MBEDTLS_SSL_DEBUG_MSG( 2, ( "handshake: done" ) );
           ssl->state = MBEDTLS_SSL_HANDSHAKE_WRAPUP;
           break;

       case MBEDTLS_SSL_HANDSHAKE_WRAPUP:
           mbedtls_ssl_handshake_wrapup( ssl );
           break;

       default:
           MBEDTLS_SSL_DEBUG_MSG( 1, ( "invalid state %d", ssl->state ) );
           return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );
   }

    return( ret );
}
服务端的握手操作
/*
 * SSL handshake -- server side -- single step
 */
int mbedtls_ssl_handshake_server_step( mbedtls_ssl_context *ssl )
{
    int ret = 0;

    if( ssl->state == MBEDTLS_SSL_HANDSHAKE_OVER || ssl->handshake == NULL )
        return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );

    MBEDTLS_SSL_DEBUG_MSG( 2, ( "server state: %d", ssl->state ) );

    if( ( ret = mbedtls_ssl_flush_output( ssl ) ) != 0 )
        return( ret );

#if defined(MBEDTLS_SSL_PROTO_DTLS)
    if( ssl->conf->transport == MBEDTLS_SSL_TRANSPORT_DATAGRAM &&
        ssl->handshake->retransmit_state == MBEDTLS_SSL_RETRANS_SENDING )
    {
        if( ( ret = mbedtls_ssl_resend( ssl ) ) != 0 )
            return( ret );
    }
#endif

    switch( ssl->state )
    {
        case MBEDTLS_SSL_HELLO_REQUEST:
            ssl->state = MBEDTLS_SSL_CLIENT_HELLO;
            break;

        /*
         *  <==   ClientHello
         */
        case MBEDTLS_SSL_CLIENT_HELLO:
            ret = ssl_parse_client_hello( ssl );
            break;

#if defined(MBEDTLS_SSL_PROTO_DTLS)
        case MBEDTLS_SSL_SERVER_HELLO_VERIFY_REQUEST_SENT:
            return( MBEDTLS_ERR_SSL_HELLO_VERIFY_REQUIRED );
#endif

        /*
         *  ==>   ServerHello
         *        Certificate
         *      ( ServerKeyExchange  )
         *      ( CertificateRequest )
         *        ServerHelloDone
         */
        case MBEDTLS_SSL_SERVER_HELLO:
            ret = ssl_write_server_hello( ssl );
            break;

        case MBEDTLS_SSL_SERVER_CERTIFICATE:
            ret = mbedtls_ssl_write_certificate( ssl );
            break;

        case MBEDTLS_SSL_SERVER_KEY_EXCHANGE:
            ret = ssl_write_server_key_exchange( ssl );
            break;

        case MBEDTLS_SSL_CERTIFICATE_REQUEST:
            ret = ssl_write_certificate_request( ssl );
            break;

        case MBEDTLS_SSL_SERVER_HELLO_DONE:
            ret = ssl_write_server_hello_done( ssl );
            break;

        /*
         *  <== ( Certificate/Alert  )
         *        ClientKeyExchange
         *      ( CertificateVerify  )
         *        ChangeCipherSpec
         *        Finished
         */
        case MBEDTLS_SSL_CLIENT_CERTIFICATE:
            ret = mbedtls_ssl_parse_certificate( ssl );
            break;

        case MBEDTLS_SSL_CLIENT_KEY_EXCHANGE:
            ret = ssl_parse_client_key_exchange( ssl );
            break;

        case MBEDTLS_SSL_CERTIFICATE_VERIFY:
            ret = ssl_parse_certificate_verify( ssl );
            break;

        case MBEDTLS_SSL_CLIENT_CHANGE_CIPHER_SPEC:
            ret = mbedtls_ssl_parse_change_cipher_spec( ssl );
            break;

        case MBEDTLS_SSL_CLIENT_FINISHED:
            ret = mbedtls_ssl_parse_finished( ssl );
            break;

        /*
         *  ==> ( NewSessionTicket )
         *        ChangeCipherSpec
         *        Finished
         */
        case MBEDTLS_SSL_SERVER_CHANGE_CIPHER_SPEC:
#if defined(MBEDTLS_SSL_SESSION_TICKETS)
            if( ssl->handshake->new_session_ticket != 0 )
                ret = ssl_write_new_session_ticket( ssl );
            else
#endif
                ret = mbedtls_ssl_write_change_cipher_spec( ssl );
            break;

        case MBEDTLS_SSL_SERVER_FINISHED:
            ret = mbedtls_ssl_write_finished( ssl );
            break;

        case MBEDTLS_SSL_FLUSH_BUFFERS:
            MBEDTLS_SSL_DEBUG_MSG( 2, ( "handshake: done" ) );
            ssl->state = MBEDTLS_SSL_HANDSHAKE_WRAPUP;
            break;

        case MBEDTLS_SSL_HANDSHAKE_WRAPUP:
            mbedtls_ssl_handshake_wrapup( ssl );
            break;

        default:
            MBEDTLS_SSL_DEBUG_MSG( 1, ( "invalid state %d", ssl->state ) );
            return( MBEDTLS_ERR_SSL_BAD_INPUT_DATA );
    }

    return( ret );
}


嵌入式工程师必学(13):DIODES
码农17年的博客
09-23 6428
Diodes
ESP32-C3入门教程 问题篇⑯——esp-tls-mbedtls: mbedtls_ssl_handshake returned -0x2700 | esp-tls: Failed to open
10-24 2695
ESP32-C3入门教程 问题篇⑯——esp-tls-mbedtls: mbedtls_ssl_handshake returned -0x2700 | esp-tls: Failed to open
mbedtls库ssl/tls握手
觅食小鱼的博客
10-11 3643
本文介绍mbedtls握手过程,包括交互流程,报文格式和函数接口。
mbedtls ssl handshake error,res:-0x2700
最新发布
sqm472527736的博客
06-25 294
在_tls_network_establish函数中加入。原因解释:用连接方式是不用证书认证/跳过服务端认证。用LinkSDK.c连接第三方云平台出现现象。
mbedtls_ssl_handshake returned -0x4310
Cmy_894的博客
06-07 362
我注释掉ble功能,释放ble所占内存,瞬间就行。害得我自己debug了一天,特此记录。
ssl 层在握手阶段报错 mbedtls_ssl_handshake returned -0xffff8880
spy_007_的博客
11-23 4839
在使用 mbedtls 对mqtt进行加密时,设备和服务器之间在握手阶段收到了服务器发送的Alert消息,然后握手返回失败。导致服务器识别到设备不支持RSA该加密算法,就直接抛了个 告警过来。
mbedtls_Kremlin_TLS移植_mbedtls_mbedtls移植_mbedtls库_
10-02
4. **握手**:执行`mbedtls_ssl_handshake`进行TLS/SSL握手,验证服务器身份,协商加密算法。 5. **数据传输**:使用`mbedtls_ssl_read`和`mbedtls_ssl_write`发送和接收加密数据。 6. **断开**:完成通信后,调用`...
stm32_MbedTLS-master.rar
09-16
- SSL/TLS握手建立安全连接,进行身份验证和密钥交换。 - 加密/解密:使用AES、RSA等算法对数据进行加解密。 - 数字签名和验签:使用RSA或ECDSA进行签名和验证。 - 摘要和哈希:使用SHA-256等算法计算数据的...
mbedtls.zip
01-21
Mbedtls是一个轻量级的开源密码库,广泛用于嵌入式设备和物联网(IoT)应用中,提供安全套接层(SSL)和传输层安全(TLS)协议、加密算法、哈希函数以及证书处理等功能。它最初由 ARM Holdings 开发,后来成为 Pine64 的...
mbedtls源代码
02-02
1. **SSL/TLS协议**:Mbedtls实现了SSL v3、TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3协议,支持客户端和服务器端的角色,可用于建立安全的网络通信。 2. **加密算法**:包括对称加密如AES、DES、3DES,非对称加密如RSA...
使用Mbedtls中的SSL,和服务器进行网络加密通信.rar
09-16
通过以上步骤,我们可以使用Mbedtls在STM32上建立安全的SSL/TLS连接,实现与服务器的加密通信。不过,实际应用中还需要考虑错误处理、调试和性能优化等问题。在具体项目中,应根据实际需求和硬件资源选择合适的SSL/...
mbedtls:开源,可移植,易于使用,可读且灵活的SSL库
05-11
适用于Mbed TLS的自述文件 Mbed TLS是一个C库,可实现加密原语,X.509证书操作以及SSL / TLS和DTLS协议。 它的代码占用空间小,使其适用于嵌入式系统。 Mbed TLS包括的参考实现。 当前,此预览仅用于评估目的。 稳定 警告:Mbed TLS的分支当前具有不稳定的API。 这是Mbed TLS的下一个主要版本正在开展的工作。 直到Mbed TLS 3.0被释放,如果你需要一个稳定的API,请使用分支代替。 配置 在大多数系统上,Mbed TLS应该是开箱即用的。 完全记录在案的配置文件include/mbedtls/config.h中提供了一些特定于平台的选项,这也是可以选择功能的地方。 该文件可以手动编辑,也可以使用Python 3脚本scripts/config.py (使用--help以获得更详尽的说明)以更加编程的方式进行编辑。 使用Make和CM
mbedtls mbedtls_ssl_handshake失败
weixin_52049843的博客
01-15 786
mbedtls 握手失败 -6C00
mbedTLS握手过程log
weixin_43439503的博客
11-07 2318
mbedtls: ssl_tls.c:6674 => handshake mbedtls: ssl_cli.c:3336 client state: 0 mbedtls: ssl_tls.c:2464 => flush output mbedtls: ssl_tls.c:2476 <= flush output mbedtls: ssl_cli.c:3336 client sta...
ESP-32 问题篇(1)aws_iot: failed! mbedtls_ssl_handshake returned -0x6800
Cmy_894的博客
06-07 979
这个错误通常表示与 AWS IoT 服务器建立 SSL 连接时发生了问题。错误码 -0x6800 表示 SSL 握手失败。网络问题:您的设备可能无法连接到 AWS IoT 服务器,或者服务器无法响应您的请求。请检查您的网络连接并确保服务器可用。证书问题:您的设备可能没有正确的证书或根证书,或者证书已过期或被撤销。请确保您的证书和根证书有效并正确安装。配置问题:您的设备可能没有正确的配置,例如端口、主机名或协议设置不正确。您可以查看更详细的日志以确定问题的根本原因,并采取相应的措施来解决它。
mbedtls 函数说明
weixin_43074937的博客
02-19 1034
mbedtls 函数说明
mbedtls 自带SSL demo调试
无限之生
11-16 3638
运行mbedtls自带 ssl demo的记录;
嵌入式工程师必学(14):DIODE
码农17年的博客
09-25 1892
二极管是一种半导体器件,通常由硅制成,本质上充当电流的单向开关。它允许电流轻松地沿一个方向流动,但严重限制电流沿相反方向流动。二极管也被称为整流器,因为它们将交流电 (AC) 转换为脉动直流电 (DC)。二极管的额定值取决于其类型、电压和电流容量。二极管有多种配置可供选择。从左到右:金属外壳、螺柱安装、带带塑料外壳、带倒角塑料外壳、玻璃外壳。
mbedtls tls双向认证 服务器
02-17
### mbedtls TLS 双向认证服务器实现指南 为了实现在服务器上的mbedtls TLS双向认证,需遵循特定配置流程。此过程涉及证书生成、密钥管理以及服务端程序编写。 #### 1. 准备工作环境 确保开发环境中已安装必要的工具链和库文件,包括但不限于OpenSSL用于创建自签名证书[^2]。虽然这里提到的是通用的恶意软件分析环境设置指导,但相同的原则适用于任何基于Linux或其他类Unix系统的安全通信组件部署前准备阶段。 #### 2. 创建CA根证书与客户端/服务器证书 使用OpenSSL命令行工具来构建一个简单的PKI基础设施: ```bash # 生成 CA 私钥 openssl genrsa -out ca.key 4096 # 使用该私钥签发 CA 根证书 openssl req -new -x509 -days 365 -key ca.key -out ca.crt ``` 接着分别为服务器和客户机制作各自的公私钥对及其对应的由上述CA签署过的X.509格式数字证书。 #### 3. 配置MbedTLS库并编译源码 下载最新版本的[mbedtls](https://tls.mbed.org/download),解压后进入目录执行如下操作以启用支持特性: ```bash cd mbedtls-* make clean make CFLAGS="-DDEBUG -O3" sudo make install ``` 编辑`config.h`文件开启或关闭某些功能选项;对于本案例而言特别重要的一项就是打开`MBEDTLS_SSL_SERVER_NAME_INDICATION`宏定义以便于处理SNI扩展字段。 #### 4. 编写C语言代码实例化TLS会话对象 下面给出一段简化版的服务端示例代码片段展示如何利用mbedtls API完成握手协议交换过程中的身份验证环节: ```c #include "mbedtls/net_sockets.h" #include "mbedtls/debug.h" #include "mbedtls/ssl.h" #include "mbedtls/entropy.h" #include "mbedtls/ctr_drbg.h" int main(void){ int ret; // 初始化随机数发生器... mbedtls_entropy_context entropy; mbedtls_ctr_drbg_context ctr_drbg; mbedtls_ssl_config conf; mbedtls_x509_crt cacert, clicert; mbedtls_pk_context pkey; const char *pers = "server"; mbedtls_ctr_drbg_init(&ctr_drbg); mbedtls_entropy_init(&entropy); if ((ret = mbedtls_ctr_drbg_seed(&ctr_drbg, mbedtls_entropy_func, &entropy, (const unsigned char *) pers, strlen(pers))) != 0) { printf(" failed\n ! mbedtls_ctr_drbg_seed returned %d", ret); goto exit; } /* Load the trusted CA */ mbedtls_x509_crt_init(&cacert); ret = mbedtls_x509_crt_parse_file(&cacert, "ca.pem"); if(ret < 0){ printf("failed to load root certificate!\n"); goto cleanup; } /* Setup own certificate and private key */ mbedtls_x509_crt_init(&clicert); mbedtls_pk_init(&pkey); ret = mbedtls_x509_crt_parse_file(&clicert,"cert_srv.pem"); if(ret < 0){ printf("failed to read server cert from file!\n"); goto cleanup; } ret = mbedtls_pk_parse_keyfile(&pkey,"key_srv.pem", NULL); if(ret < 0){ printf("failed to read server private key from file!\n"); goto cleanup; } /* Configure SSL/TLS structure */ mbedtls_ssl_init(ssl); mbedtls_ssl_config_init(&conf); if((ret=mbedtls_ssl_config_defaults(&conf,MBEDTLS_SSL_IS_SERVER, MBEDTLS_SSL_TRANSPORT_STREAM, MBEDTLS_SSL_PRESET_DEFAULT))!=0){ printf("Failed setting up default config.\n"); goto cleanup; } mbedtls_ssl_conf_authmode(&conf, MBEDTLS_SSL_VERIFY_REQUIRED); mbedtls_ssl_conf_ca_chain(&conf,&cacert,NULL); mbedtls_ssl_conf_own_cert(&conf,&clicert,&pkey); // ...继续其他初始化... cleanup: mbedtls_x509_crt_free(&cacert); mbedtls_x509_crt_free(&clicert); mbedtls_pk_free(&pkey); exit: mbedtls_ctr_drbg_free(&ctr_drbg); mbedtls_entropy_free(&entropy); } ``` 这段代码展示了基本框架下的关键部分——加载信任锚点(CA)、设定自身凭证资料(即服务器持有的公开证书及匹配的秘密钥匙),并通过调用`mbedtls_ssl_conf_authmode()`函数指明期望对方提供有效证明材料才能建立连接关系。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值