STM32F103RET6 + W5500 + mbedTLS 2.24 实现HTTPS访问百度保姆级教程（附完整源码）

STM32F103RET6与W5500模块实现HTTPS安全通信全流程解析

在物联网设备开发中，安全通信已成为基本要求。本文将详细介绍如何基于STM32F103RET6微控制器和W5500以太网模块，通过mbedTLS 2.24实现HTTPS安全通信的全过程。不同于简单的功能验证，我们聚焦于构建一个可投入生产的解决方案，涵盖从硬件连接到软件配置、从证书处理到网络调试的完整流程。

1. 硬件准备与基础环境搭建

1.1 硬件选型与连接

STM32F103RET6作为一款Cortex-M3内核的微控制器，具有足够的处理能力来运行mbedTLS库。W5500是一款硬件TCP/IP协议栈芯片，能显著减轻MCU的网络协议处理负担。

硬件连接要点：

• SPI接口配置：W5500通过SPI与STM32通信，建议使用SPI1，时钟频率设置在10-20MHz
• 中断引脚连接：将W5500的INT引脚连接到STM32的外部中断引脚，实现事件驱动
• 电源设计：W5500的3.3V供电需保证稳定，建议增加100nF去耦电容

// SPI初始化示例代码 void SPI1_Init(void) { GPIO_InitTypeDef GPIO_InitStructure; SPI_InitTypeDef SPI_InitStructure; RCC_APB2PeriphClockCmd(RCC_APB2Periph_GPIOA | RCC_APB2Periph_SPI1, ENABLE); // SCK, MOSI引脚配置 GPIO_InitStructure.GPIO_Pin = GPIO_Pin_5 | GPIO_Pin_7; GPIO_InitStructure.GPIO_Mode = GPIO_Mode_AF_PP; GPIO_InitStructure.GPIO_Speed = GPIO_Speed_50MHz; GPIO_Init(GPIOA, &GPIO_InitStructure); // MISO引脚配置 GPIO_InitStructure.GPIO_Pin = GPIO_Pin_6; GPIO_InitStructure.GPIO_Mode = GPIO_Mode_IN_FLOATING; GPIO_Init(GPIOA, &GPIO_InitStructure); // SPI参数配置 SPI_InitStructure.SPI_Direction = SPI_Direction_2Lines_FullDuplex; SPI_InitStructure.SPI_Mode = SPI_Mode_Master; SPI_InitStructure.SPI_DataSize = SPI_DataSize_8b; SPI_InitStructure.SPI_CPOL = SPI_CPOL_Low; SPI_InitStructure.SPI_CPHA = SPI_CPHA_1Edge; SPI_InitStructure.SPI_NSS = SPI_NSS_Soft; SPI_InitStructure.SPI_BaudRatePrescaler = SPI_BaudRatePrescaler_8; SPI_InitStructure.SPI_FirstBit = SPI_FirstBit_MSB; SPI_InitStructure.SPI_CRCPolynomial = 7; SPI_Init(SPI1, &SPI_InitStructure); SPI_Cmd(SPI1, ENABLE); }

1.2 开发环境配置

推荐使用以下工具链组合：

• IDE: Keil MDK或STM32CubeIDE
• 调试工具: J-Link或ST-Link
• 网络调试工具: Wireshark(用于抓包分析)

关键配置参数：

• 堆栈大小调整：由于mbedTLS需要较多内存，建议设置：
  • Stack Size: 至少3KB(0xC00)
  • Heap Size: 至少48KB(0xC000)
• 优化等级：建议使用-O2优化，平衡代码大小和性能

注意：在资源有限的STM32F103RET6上运行mbedTLS时，务必仔细配置内存分配。不合理的配置可能导致运行时错误，且难以调试。

2. mbedTLS库移植与关键配置

2.1 mbedTLS库裁剪与集成

mbedTLS是一个模块化的SSL/TLS库，我们需要根据实际需求进行裁剪：

1. 下载mbedTLS 2.24源码
2. 将以下目录复制到工程中：
   • include/mbedtls
   • include/psa
   • library

配置文件修改策略：

在config.h中启用必要的模块，以下是最小化配置示例：

#define MBEDTLS_HAVE_ASM #define MBEDTLS_HAVE_TIME #define MBEDTLS_ENTROPY_HARDWARE_ALT #define MBEDTLS_RSA_C #define MBEDTLS_DEBUG_C #define MBEDTLS_CIPHER_MODE_CBC #define MBEDTLS_PKCS1_V15 #define MBEDTLS_KEY_EXCHANGE_RSA_ENABLED #define MBEDTLS_SSL_PROTO_TLS1_2 #define MBEDTLS_NO_PLATFORM_ENTROPY #define MBEDTLS_AES_C #define MBEDTLS_ASN1_PARSE_C #define MBEDTLS_ASN1_WRITE_C #define MBEDTLS_BIGNUM_C #define MBEDTLS_CIPHER_C #define MBEDTLS_CTR_DRBG_C #define MBEDTLS_ENTROPY_C #define MBEDTLS_MD_C #define MBEDTLS_MD5_C #define MBEDTLS_OID_C #define MBEDTLS_PK_C #define MBEDTLS_PK_PARSE_C #define MBEDTLS_SHA1_C #define MBEDTLS_SHA256_C #define MBEDTLS_SSL_CLI_C #define MBEDTLS_SSL_TLS_C #define MBEDTLS_X509_CRT_PARSE_C #define MBEDTLS_X509_USE_C #define MBEDTLS_BASE64_C #define MBEDTLS_PEM_PARSE_C

2.2 硬件随机数生成器实现

在嵌入式系统中，可靠的随机数源至关重要。我们需要实现硬件随机数生成器接口：

int mbedtls_hardware_poll(void *data, unsigned char *output, size_t len, size_t *olen) { uint32_t randomValue = HAL_GetTick() + RTC->CNT; // 结合系统时钟和RTC计数器 ((void) data); *olen = 0; if(len < sizeof(uint32_t)) return 0; memcpy(output, &randomValue, sizeof(uint32_t)); *olen = sizeof(uint32_t); return 0; }

提示：在实际产品中，建议使用更可靠的随机数源，如STM32内置的真随机数生成器(RNG)。

3. W5500网络层实现与优化

3.1 TCP/IP协议栈基础配置

W5500内置硬件TCP/IP协议栈，大大简化了网络通信实现。以下是关键配置步骤：

1. 初始化W5500：

   • 设置MAC地址
   • 配置IP地址(静态或DHCP)
   • 设置子网掩码和默认网关

2. Socket缓冲区配置：

uint8_t TXBUSIZE[8] = {1,1,8,1,2,1,1,1}; // Socket发送缓冲区配置 uint8_t RXBUSIZE[8] = {1,1,8,1,2,1,1,1}; // Socket接收缓冲区配置

对于HTTPS通信，建议为用于SSL连接的Socket分配更大的缓冲区(如8KB)

3.2 TCP连接管理实现

我们需要实现mbedTLS需要的网络接口函数：

int mbedtls_net_connect(mbedtls_net_context *ctx, const char *host, const char *port, int proto) { uint8_t socket_num = *(uint8_t*)ctx; uint16_t dest_port = atoi(port); uint8_t dest_ip[4]; // 解析IP地址(简化版，实际应支持DNS解析) sscanf(host, "%hhu.%hhu.%hhu.%hhu", &dest_ip[0], &dest_ip[1], &dest_ip[2], &dest_ip[3]); // 配置Socket socket(socket_num, Sn_MR_TCP, 0, 0); // 建立连接 connect(socket_num, dest_ip, dest_port); // 等待连接建立 while(getSn_SR(socket_num) != SOCK_ESTABLISHED) { if(getSn_SR(socket_num) == SOCK_CLOSED) { return MBEDTLS_ERR_NET_CONNECT_FAILED; } delay_ms(10); } return 0; }

网络性能优化技巧：

• 使用非阻塞式Socket操作提高响应速度
• 合理设置TCP重传超时时间
• 启用Socket中断提高处理效率

4. HTTPS通信实现与安全配置

4.1 证书处理与验证

HTTPS通信的核心是证书验证。我们需要处理CA证书并将其集成到系统中：

1. 获取百度服务器CA证书：

   • 从浏览器导出百度网站的CA证书(PEM格式)
   • 将证书转换为C语言字符串格式

2. 证书验证配置：

const char *baidu_crt = "-----BEGIN CERTIFICATE-----\r\n" "MIIJ6zCCCNOgAwIBAgIMV1NZez8xHTjmYpUpMA0GCSqGSIb3DQEBCwUAMFAxCzAJ\r\n" /* 省略证书内容 */ "-----END CERTIFICATE-----\r\n"; // 证书解析与验证 mbedtls_x509_crt cacert; mbedtls_x509_crt_init(&cacert); if((ret = mbedtls_x509_crt_parse(&cacert, (const unsigned char *)baidu_crt, strlen(baidu_crt))) < 0) { printf("证书解析失败: -0x%x\n", -ret); return; } mbedtls_ssl_conf_ca_chain(&conf, &cacert, NULL); mbedtls_ssl_conf_authmode(&conf, MBEDTLS_SSL_VERIFY_REQUIRED);

4.2 SSL/TLS握手过程优化

SSL/TLS握手是HTTPS通信中最耗时的环节，需要特别注意：

1. 握手超时设置：

#define SSL_HANDSHAKE_TIMEOUT_MS 5000 // 5秒超时 uint32_t start_time = HAL_GetTick(); while((ret = mbedtls_ssl_handshake(&ssl)) != 0) { if(ret != MBEDTLS_ERR_SSL_WANT_READ && ret != MBEDTLS_SSL_WANT_WRITE) { printf("握手失败: -0x%x\n", -ret); break; } if(HAL_GetTick() - start_time > SSL_HANDSHAKE_TIMEOUT_MS) { printf("握手超时\n"); break; } }

2. 会话恢复支持： 通过启用会话缓存，可以显著减少重复连接的握手时间：

mbedtls_ssl_conf_session_cache(&conf, &cache, mbedtls_ssl_cache_get, mbedtls_ssl_cache_set);

4.3 数据收发实现

实现mbedTLS需要的发送和接收函数：

int mbedtls_net_send(void *ctx, const unsigned char *buf, size_t len) { uint8_t socket_num = *(uint8_t*)ctx; size_t sent = 0; while(sent < len) { int ret = send(socket_num, buf + sent, len - sent); if(ret <= 0) { return ret; } sent += ret; } return sent; } int mbedtls_net_recv(void *ctx, unsigned char *buf, size_t len) { uint8_t socket_num = *(uint8_t*)ctx; uint16_t available = getSn_RX_RSR(socket_num); if(available == 0) { return MBEDTLS_ERR_SSL_WANT_READ; } uint16_t to_read = (len > available) ? available : len; int ret = recv(socket_num, buf, to_read); return (ret <= 0) ? MBEDTLS_ERR_SSL_WANT_READ : ret; }

性能优化建议：

• 使用DMA传输减少CPU占用
• 实现零拷贝机制提高吞吐量
• 合理设置TCP窗口大小

5. 调试技巧与常见问题解决

5.1 调试输出配置

启用mbedTLS调试输出有助于排查问题：

void my_debug(void *ctx, int level, const char *file, int line, const char *str) { printf("%s:%04d: %s", file, line, str); } // 在SSL配置中启用调试 mbedtls_ssl_conf_dbg(&conf, my_debug, stdout); mbedtls_debug_set_threshold(1); // 设置调试级别

5.2 常见问题及解决方案

问题1：内存不足导致崩溃

• 症状：程序在SSL握手过程中随机崩溃
• 解决方案：
  • 增加堆栈大小
  • 检查内存分配失败处理
  • 优化mbedTLS配置，禁用不必要的功能

问题2：证书验证失败

• 症状：握手成功但证书验证失败
• 解决方案：
  • 确保证书格式正确(PEM格式)
  • 检查系统时间是否正确(证书有效期验证)
  • 验证证书链是否完整

问题3：连接超时

• 症状：TCP连接建立但SSL握手超时
• 解决方案：
  • 检查网络延迟
  • 增加握手超时时间
  • 验证W5500缓冲区配置是否足够

5.3 性能分析与优化

使用定时器测量关键操作耗时：

// 性能测量示例 uint32_t start, end; start = HAL_GetTick(); // 执行待测操作 end = HAL_GetTick(); printf("操作耗时: %lums\n", end - start);

6. 生产环境部署建议

6.1 固件更新策略

实现安全的固件更新机制：

1. 使用HTTPS下载固件
2. 实现数字签名验证
3. 支持断点续传

6.2 安全最佳实践

• 密钥管理：

  • 永远不要在代码中硬编码密钥
  • 使用安全元件存储敏感信息
  • 实现密钥轮换机制

• 通信安全：

  • 强制使用TLS 1.2及以上版本
  • 禁用弱密码套件
  • 实现证书固定(Certificate Pinning)

6.3 长期维护考虑

1. mbedTLS版本升级：

   • 定期检查安全公告
   • 测试新版本兼容性
   • 制定升级计划

2. 证书管理：

   • 监控证书过期时间
   • 实现证书自动更新机制
   • 维护多个CA证书以增强兼容性

在实际项目中，我们发现STM32F103RET6虽然资源有限，但通过合理配置和优化，完全可以胜任HTTPS通信任务。关键在于精细的内存管理和对mbedTLS的适当裁剪。W5500的硬件协议栈大大简化了网络通信实现，使得开发者可以专注于应用层逻辑和安全考虑。