首页
/ MBEDTLS与TFM集成中的PSA多重定义问题解析

MBEDTLS与TFM集成中的PSA多重定义问题解析

2025-06-05 20:11:13作者:段琳惟

背景介绍

在嵌入式安全开发中,MBEDTLS作为一款轻量级的加密库被广泛使用,而TFM(Trusted Firmware-M)则是ARM推出的可信执行环境框架。当开发者尝试将MBEDTLS与TFM集成时,特别是在使用TLS 1.3协议的情况下,经常会遇到PSA(Platform Security Architecture)加密接口的多重定义问题。

问题本质

这个问题的核心在于MBEDTLS和TFM都实现了PSA加密接口。当两者同时被编译链接时,会导致以下冲突:

  1. 相同的函数名在多个目标文件中被定义
  2. 加密功能实现的重复
  3. 内存管理和资源分配的不一致性

解决方案

标准集成方案

推荐的标准解决方案是:

  1. 在MBEDTLS配置中禁用MBEDTLS_PSA_CRYPTO_C
  2. 启用MBEDTLS_PSA_CRYPTO_CLIENT选项
  3. 配置MBEDTLS_USE_PSA_CRYPTO以支持TLS 1.3的PSA调用
  4. 禁用传统的加密算法选项(如MBEDTLS_RSA_CMBEDTLS_AES_C等)

这种配置方式确保了加密操作通过TFM的远程过程调用实现,而非本地函数。

版本兼容性注意事项

特别需要注意的是,MBEDTLS 3.4.0版本存在已知的安全问题,建议立即升级到最新的3.6.1版本。新版本对TFM集成的支持更加完善,修复了许多相关bug。

替代方案探讨

对于某些特殊场景,开发者可能会考虑通过修改PSA驱动包装器的方式实现集成:

  1. 修改psa_crypto_driver_wrapper.c文件
  2. 在相关函数中调用TFM的PSA实现
  3. 通过条件编译控制不同实现的切换

然而,这种方案需要谨慎处理,因为它可能导致:

  • 安全边界模糊
  • 性能问题
  • 维护困难

最佳实践建议

  1. 版本管理:始终使用MBEDTLS的最新稳定版本
  2. 配置一致性:确保非安全世界和安全世界的加密机制声明一致
  3. 功能裁剪:仅启用实际需要的加密算法
  4. 测试验证:对集成后的加密功能进行全面测试

结论

MBEDTLS与TFM的集成需要仔细的配置管理,特别是在使用TLS 1.3等现代安全协议时。通过正确的配置选项和版本选择,开发者可以避免PSA多重定义问题,同时确保系统的安全性和稳定性。对于大多数应用场景,推荐采用标准集成方案,仅在特殊需求下考虑替代方案。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
152
1.97 K
kernelkernel
deepin linux kernel
C
22
6
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
494
37
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
323
10
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
191
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
991
395
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
193
277
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
937
554
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
70