Mbed TLS项目配置系统重构：拆分加密配置与核心配置

在密码学库Mbed TLS的开发过程中，配置系统一直是项目架构的重要组成部分。近期开发团队完成了一项关键性的架构改进——将原本单一的mbedtls_config.h配置文件拆分为核心配置和加密配置两个独立部分。

背景与动机

传统Mbed TLS项目使用单一的mbedtls_config.h文件来管理所有配置选项，这种设计在项目规模扩大后逐渐显现出局限性。随着项目向模块化方向发展，特别是计划将加密功能拆分为独立子库，原有的配置方式已无法满足需求。

技术实现方案

本次重构的核心工作包括：

1. 配置分离：将加密相关配置项从mbedtls_config.h迁移至新建的crypto_config.h文件
2. 构建系统适配：更新CMake构建系统以支持双重配置机制
3. 测试框架调整：改造测试组件使其能够正确处理分离后的配置
4. 配置工具增强：完善config.py脚本以支持新配置架构

关键挑战与解决方案

在实施过程中，开发团队面临几个主要技术挑战：

构建系统兼容性：需要确保所有通过CMake传递配置参数的场景都能正确处理新的加密配置文件。解决方案是在所有相关CMakeLists.txt中添加对MBEDTLS_PSA_CRYPTO_CONFIG_FILE的支持。

测试覆盖率保障：为确保重构不影响现有功能，团队建立了完整的测试验证机制，包括：

• 参考配置的拆分验证
• 测试配置的同步更新
• 全面的测试套件执行

非布尔配置项处理：对于config.py脚本无法自动处理的非布尔类型配置项，团队采取了分阶段迁移策略，优先处理布尔类型配置项。

架构优势

新的配置系统带来了显著优势：

1. 模块解耦：为加密功能模块的独立发布奠定基础
2. 配置清晰：不同功能域的配置项物理分离，提高可维护性
3. 构建灵活：支持更细粒度的功能定制
4. 过渡平滑：保持与现有代码的兼容性

后续规划

虽然主要重构工作已完成，团队仍计划进一步优化：

• 完善非布尔配置项的迁移
• 持续优化config.py工具链
• 根据实际使用反馈调整配置项分类

这项改进标志着Mbed TLS向更模块化、更灵活的架构迈出了重要一步，为未来的功能扩展和性能优化创造了有利条件。