核心PKCS11 库

注意

此页面上的内容可能不是 up-to-date。有关最新更新，请参阅 FreeRTOS.org 库页面。

概览

公有密钥加密标准 #11 定义了一个独立于平台的 API，可用于管理和使用加密令牌。PKCS #11 是指标准定义的 API 和标准本身。PKCS #11 加密 API 用于提取密钥存储、加密对象的 get/set 属性以及会话语义。该 API 广泛用于操作常见加密对象，它之所以重要，是因为它指定的函数允许应用程序软件使用、创建、修改和删除加密对象，而无需将这些对象在应用程序的内存中公开这些对象。例如，Fre Amazon eRTOS 参考集成使用 PKCS #11 API 的一小部分来访问创建由传输层安全 (TLS) 协议进行身份验证和保护的网络连接所必需的秘密（私有）密钥，而应用程序 “看到” 该密钥不会 “看见” 该密钥。

核心PKCS11 库包含 PKCS #11 接口 (API) 的基于软件的模拟实现，该接口使用 Mbed TLS 提供的加密功能。使用软件模拟可实现快速开发并提高灵活性，但预计您将使用专门针对生产设备中使用的安全密钥存储的实现来取代模拟。通常，安全加密处理器（例如，可信平台模块 (TPM)、硬件安全模块 (HSM)、安全元件或任何其他类型的安全硬件飞地）的供应商会随硬件一起分发 PKCS #11 实现。因此，仅限核心PKCS11 软件的模拟库的目的是提供一种非硬件特定的 PKCS #11 实现，允许在生产设备中切换到加密处理器专用的 PKCS #11 实现之前进行快速原型设计和开发。

仅实现了 PKCS #11 标准的一个子集，重点是涉及非对称密钥、随机数生成和哈希的操作。目标使用案例包括小型嵌入式设备上适用于 TLS 身份验证的证书和密钥管理以及代码签名式签名验证。请参阅 FreeRTOS 源代码存储库中的文件 pkcs11.h（从 OASIS 获取，标准正文）。在 FreeRTOS 参考实现中，PKCS#11 API 调用由 TLS 帮助程序接口生成，目的是为了在 SOCKETS_Connect 过程中执行 TLS 客户端身份验证。PKCS #11 API 调用也可以由一次性开发人员预置工作流程生成，以将用于身份验证的 TLS 客户端证书和私有密钥导入至 Amazon IoT MQTT 代理。以上两个使用案例（预置和 TLS 客户端身份验证）都只需要实施 PKCS #11 接口标准的一小部分。

特征

下面列出了使用的部分 PKCS #11。以下列表按照为实现预置、TLS 客户端身份验证和清除而调用的例程大致排序。有关各个函数的详细说明，请参阅标准委员会提供的 PKCS #11 文档。

常规设置和卸载 API

C_Initialize
C_Finalize
C_GetFunctionList
C_GetSlotList
C_GetTokenInfo
C_OpenSession
C_CloseSession
C_Login

预置 API

C_CreateObject CKO_PRIVATE_KEY（对于设备私有密钥）
C_CreateObject CKO_CERTIFICATE（对于设备证书和代码验证证书）
C_GenerateKeyPair
C_DestroyObject

客户端身份验证

C_GetAttributeValue
C_FindObjectsInit
C_FindObjects
C_FindObjectsFinal
C_GenerateRandom
C_SignInit
C_Sign
C_VerifyInit
C_Verify
C_DigestInit
C_DigestUpdate
C_DigestFinal

非对称加密支持

FreeRTOS PKCS#11 参考实施使用 2048 位 RSA（仅限签名）以及具有 NIST P-256 曲线的 ECDSA。以下说明描述了如何基于 P-256 客户端证书创建 Amazon IoT 事物。

请确保您使用的是以下（或更新）版本的 Amazon CLI 和 OpenSSL：


aws --version
aws-cli/1.11.176 Python/2.7.9 Windows/8 botocore/1.7.34

openssl version
OpenSSL 1.0.2g  1 Mar 2016

以下过程假设您使用 aws configure 命令来配置 Amazon CLI。有关更多信息，请参阅《Amazon Command Line Interface 用户指南》中的使用 aws configure 进行快速配置。

基于 P-256 客户端证书创建 Amazon IoT 事物

创造一个 Amazon IoT 东西。


aws iot create-thing --thing-name thing-name

使用 OpenSSL 创建 P-256 密钥。


openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -pkeyopt ec_param_enc:named_curve -outform PEM -out thing-name.key

创建证书注册请求，采用第 2 步中创建的密钥进行签名。


openssl req -new -nodes -days 365 -key thing-name.key -out thing-name.req

将证书注册请求提交给 Amazon IoT。


aws iot create-certificate-from-csr  \
  --certificate-signing-request file://thing-name.req --set-as-active  \
  --certificate-pem-outfile thing-name.crt

将证书（由 ARN 输出通过上一个命令引用）附加到事物。


aws iot attach-thing-principal --thing-name thing-name \
  --principal "arn:aws:iot:us-east-1:123456789012:cert/86e41339a6d1bbc67abf31faf455092cdebf8f21ffbc67c4d238d1326c7de729"

创建策略。（该政策过于宽松，只能用于开发目的。）


aws iot create-policy --policy-name FullControl --policy-document file://policy.json

以下是在 create-policy 命令中指定的 policy.json 文件的列表。如果不希望运行 FreeRTOS 演示以进行 Greengrass 连接和发现，可以忽略 greengrass:* 操作。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iot:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "greengrass:*",
      "Resource": "*"
    }
  ]
}

将委托人（证书）和策略附加到事物。


aws iot attach-principal-policy --policy-name FullControl \
  --principal "arn:aws:iot:us-east-1:123456789012:cert/86e41339a6d1bbc67abf31faf455092cdebf8f21ffbc67c4d238d1326c7de729"

接下来，请按照本指南 Amazon IoT 入门部分中的步骤进行操作。请记得将创建的证书和私有密钥复制到 aws_clientcredential_keys.h 文件中。将事物名称复制到 aws_clientcredential.h 中。

注意

仅出于演示目的对证书和私有密钥进行了硬编码。生产级应用程序应将这些文件存储在安全位置。

移植

有关将核心PKCS11 库移植到您的平台的信息，请参阅 FreeRTOS 移植指南中的移植核心PKCS11 库。

内存使用

内核的代码大小PKCS11 （使用 GCC 为 ARM Cortex-M 生成的示例）
文件	使用 -O1 优化	使用 -Os 优化
core_pkcs11.c	0.8K	0.8K
core_pki_utils.c	0.5K	0.3K
core_pkcs11_mbedtls.c	8.9K	7.5K
估计总数	10.2K	8.6K

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

空中下载 (OTA)

安全套接字