CorepKCS11 库 - FreeRTOS
概览功能非对称加密支持移植内存使用
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CorepKCS11 库

概览

公钥加密标准 #11 定义了独立于平台的 API 来管理和使用加密令牌。PKCS #11指标准定义的 API 和标准本身。PKCS #11 加密 API 提取密钥存储、加密对象的 get/set 属性以及会话语义。它被广泛用于处理常见的加密对象,而且很重要,因为它指定的功能允许应用程序软件使用、创建、修改和删除加密对象,而不必将这些对象暴露在应用程序的内存中。例如,FreeRTOSAmazon参考集成使用 PKCS #11 API 的一小部分来访问创建网络连接所必需的私有(私有)密钥,该密钥由传输层安全性 (TLS)协议没有应用程序 “看到” 密钥。

CorepKCS11 库包含基于软件的 PKCS #11 接口 (API) 模拟实现,该模拟实现使用了 mbed TLS 提供的加密功能。使用软件模拟可以实现快速开发和灵活性,但预计您将用专门针对生产设备中使用的安全密钥存储的实施来替换模拟。一般来说,安全加密处理器的供应商,例如可信平台模块 (TPM)、硬件安全模块 (HSM)、安全元素或任何其他类型的安全硬件飞地,将 PKCS #11 实施与硬件一起分发。因此,CorepKCS11 软件仅模拟库的目的是提供一个非硬件特定的 PKCS #11 实现,允许在生产设备中切换到加密处理器特定的 PKCS #11 实现之前快速进行原型设计和开发。

只实施了 PKCS #11 标准的一部分,重点是涉及非对称密钥、随机数生成和哈希处理的操作。目标用例包括针对小型嵌入式设备进行 TLS 身份验证的证书和密钥管理以及代码签名验证。请参阅文件。pkcs11.h请参阅 FreeRTOS 源代码存储库中的(获取自 OASIS,标准正文)。在FreeRTOS 参考实施PKCS #11 API 调用由 TLS 帮助程序接口生成,目的是为了在期间执行 TLS 客户端身份验证。SOCKETS_Connect. PKCS #11 API 调用也可以由一次性开发人员预置工作流程生成,以将用于身份验证的 TLS 客户端证书和私有密钥导入至Amazon IoTMQTT 代理。以上两个使用案例(预配置和 TLS 客户端身份验证)都只需要实施 PKCS #11 接口标准的一小部分。

功能

下面列出了使用的部分 PKCS #11。以下列表按照为实现预置、TLS 客户端身份验证和清除而调用的例程大致排序。有关各个函数的详细说明,请参阅标准委员会提供的 PKCS #11 文档。

常规设置和卸载 API

  • C_Initialize

  • C_Finalize

  • C_GetFunctionList

  • C_GetSlotList

  • C_GetTokenInfo

  • C_OpenSession

  • C_CloseSession

  • C_Login

预置 API

  • C_CreateObject CKO_PRIVATE_KEY(对于设备私有密钥)

  • C_CreateObject CKO_CERTIFICATE(对于设备证书和代码验证证书)

  • C_GenerateKeyPair

  • C_DestroyObject

客户端身份验证

  • C_GetAttributeValue

  • C_FindObjectsInit

  • C_FindObjects

  • C_FindObjectsFinal

  • C_GenerateRandom

  • C_SignInit

  • C_Sign

  • C_VerifyInit

  • C_Verify

  • C_DigestInit

  • C_DigestUpdate

  • C_DigestFinal

非对称加密支持

FreeRTOS 参考实施使用 PKCS #11 2048 位 RSA(仅限签名)以及具有 NIST P-256 曲线的 ECDSA。下文将介绍如何创建基于 P-256 客户端证书的 Amazon IoT 事物。

请确保使用的是以下版本(或更新版本)的 Amazon CLI 和 OpenSSL:

aws --version
aws-cli/1.11.176 Python/2.7.9 Windows/8 botocore/1.7.34

openssl version
OpenSSL 1.0.2g  1 Mar 2016

以下过程假定您使用aws configure命令来配置Amazon CLI. 有关更多信息,请参阅 。使用 进行快速配置aws configure中的Amazon Command Line Interface用户指南.

创建Amazon IoT事物基于 P-256 客户端证书

  1. 创建 Amazon IoT 事物。

    aws iot create-thing --thing-name thing-name

  2. 使用 OpenSSL 创建 P-256 密钥。

    openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -pkeyopt ec_param_enc:named_curve -outform PEM -out thing-name.key

  3. 创建证书注册请求,采用第 2 步中创建的密钥进行签名。

    openssl req -new -nodes -days 365 -key thing-name.key -out thing-name.req

  4. 向 Amazon IoT 提交证书注册请求。

    aws iot create-certificate-from-csr  \
  --certificate-signing-request file://thing-name.req --set-as-active  \
  --certificate-pem-outfile thing-name.crt

  5. 将证书(由 ARN 输出通过上一个命令引用)附加到事物。

    aws iot attach-thing-principal --thing-name thing-name \
  --principal "arn:aws:iot:us-east-1:123456789012:cert/86e41339a6d1bbc67abf31faf455092cdebf8f21ffbc67c4d238d1326c7de729"

  6. 创建策略。(此策略过于宽松。 只应当用作开发目的。)

    aws iot create-policy --policy-name FullControl --policy-document file://policy.json

    以下是在 create-policy 命令中指定的 policy.json 文件的列表。您可以省略greengrass:*如果不希望运行 FreeRTOS 演示以进行 Greengrass 连接和发现。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iot:*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "greengrass:*",
      "Resource": "*"
    }
  ]
}

  7. 将委托人(证书)和策略附加到事物。

    aws iot attach-principal-policy --policy-name FullControl \
  --principal "arn:aws:iot:us-east-1:123456789012:cert/86e41339a6d1bbc67abf31faf455092cdebf8f21ffbc67c4d238d1326c7de729"

接下来,请按照本指南 Amazon IoT 入门部分中的步骤进行操作。请记得将创建的证书和私有密钥复制到 aws_clientcredential_keys.h 文件中。将事物名称复制到 aws_clientcredential.h 中。

注意

仅出于演示目的对证书和私有密钥进行了硬编码。生产级应用程序应将这些文件存储在安全位置。

移植

有关移植 CorepKCS11 库到您平台的信息,请参阅。移植 corepKCS11 库请参阅 FreeRTOS 移植指南。

内存使用

CorepKCS11 的代码大小(使用 GCC 的 ARM Cortex-M 示例)
文件 使用-O1 优化 使用-OS 优化
core_pkcs11.c 0.8K 0.8K
core_pki_utils.c 0.5K 0.3K
core_pkcs11_mbedtls.c 8.7K 7.3K
估计值总额 10.0K 8.4K