使用paho.mqtt.embedded-c和openssl实现MQTT的单向认证功能

本文主要是介绍使用paho.mqtt.embedded-c和openssl实现MQTT的单向认证功能，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

1、背景

    由于项目有需求在一个现有的产品上增加MQTT通信的功能，且出于安全考虑，MQTT要走TLS，采用单向认证的方式。

2、方案选择

    由于是在现有的产品上新增功能，那么为了减少总的成本，故选择只动应用软件的来实现需求。

    MQTT的功能直接选择PahoMqtt这个第三方库来实现，因为以前用过，比较熟悉。由于只想动应用软件，那么只能选择他的embedded-c分支，这样才可以直接集成代码，而不需要编译成so放到固件里，同时也减少程序体积的增加。

    embedded-c分支不支持TLS，那么就要想办法自己给embedded-c实现TLS的功能，经过考虑，现有的产品里有openssl库，故使用openssl来给embedded-c添加TLS的支持。

    最终方案为：paho.mqtt.embedded-c实现MQTT的连接、断开和收\发，使用openssl来给embedded-c添加TLS的支持。         

3、实现代码

    step1：先去github把源码下载下来

GitHub - eclipse/paho.mqtt.embedded-c: Paho MQTT C client library for embedded systems. Paho is an Eclipse IoT project (https://iot.eclipse.org/)

    step2：把对应的代码文件集成到项目里。

    这里只需要MQTTPacket/src目录下的所有代码、MQTTClient-C/src/linux目录下的所有代码、MQTTClient-C/src目录下的MQTTClient.h和MQTTClient.c这两个文件就行了。具体内容如下图：

到这一步，paho.mqtt.embedded-c基本的就集成完了，对应的调用例子可以参考MQTTClient/samples/linux/main.cpp和MQTTClient-C/samples/linux/stdoutsub.c这两个文件，这里就不多赘述了。

step3：使用openssl给embedded-c增加TLS单向认证的支持

    1、修改MQTTLinux.h文件

    主要是修改点有两点：1、struct Network的内容，增加ssl的支持；2、新增两条NetworkConnect函数，一条用来走TCP，一条用来走TLS。（这里我选择保留最原始的NetworkConnect函数，方便以后debug的时候对比用。）

/******************************************************************************** Copyright (c) 2014 IBM Corp.** All rights reserved. This program and the accompanying materials* are made available under the terms of the Eclipse Public License v1.0* and Eclipse Distribution License v1.0 which accompany this distribution.** The Eclipse Public License is available at*    http://www.eclipse.org/legal/epl-v10.html* and the Eclipse Distribution License is available at*   http://www.eclipse.org/org/documents/edl-v10.php.** Contributors:*    Allan Stockdill-Mander - initial API and implementation and/or initial documentation*******************************************************************************/#if !defined(__MQTT_LINUX_)
#define __MQTT_LINUX_#if defined(WIN32_DLL) || defined(WIN64_DLL)#define DLLImport __declspec(dllimport)#define DLLExport __declspec(dllexport)
#elif defined(LINUX_SO)#define DLLImport extern#define DLLExport  __attribute__ ((visibility ("default")))
#else#define DLLImport#define DLLExport
#endif#include <sys/types.h>
#include <sys/socket.h>
#include <sys/param.h>
#include <sys/time.h>
#include <sys/select.h>
#include <netinet/in.h>
#include <netinet/tcp.h>
#include <arpa/inet.h>
#include <netdb.h>
#include <stdio.h>
#include <unistd.h>
#include <errno.h>
#include <fcntl.h>#include <stdlib.h>
#include <string.h>
#include <signal.h>#include <openssl/ssl.h>
#include <openssl/err.h>
#include <openssl/evp.h>typedef struct Timer
{struct timeval end_time;
} Timer;void TimerInit(Timer*);
char TimerIsExpired(Timer*);
void TimerCountdownMS(Timer*, unsigned int);
void TimerCountdown(Timer*, unsigned int);
int TimerLeftMS(Timer*);typedef struct Network
{/* socket的描述符 */int my_socket;/* 读取MQTT消息的函数 */int (*mqttread) (struct Network*, unsigned char*, int, int);/* 发送MQTT消息的函数 */int (*mqttwrite) (struct Network*, unsigned char*, int, int);/* 使用SSL时的描述符 */SSL *ssl;/* 是否使用SSL  0：否  1：是 */int useSSL;
} Network;int linux_read(Network*, unsigned char*, int, int);
int linux_write(Network*, unsigned char*, int, int);
/* 初始化Network这个结构体 */
DLLExport void NetworkInit(Network*);
/* 连接Network（普通socket） */
DLLExport int NetworkConnect(Network*, char*, int);
/* 连接Network（带SSL的socket） */
DLLExport int NetworkConnectBySSL(Network*, const char*, const char*, const char*);
/* 连接Network（不带SSL的socket） */
DLLExport int NetworkConnectNotSSL(Network*, const char*, const char*);
/* 断开Network的连接 */
DLLExport void NetworkDisconnect(Network*);
/* 打印证书的内容 */
DLLExport void ShowCerts(SSL *);#endif

    2、修改MQTTLinux.c文件

    这里就把定义的那些给实现出来。

    用Network这个结构体存放是否需要走ssl的信息，同时把SSL用的描述符也放在里面，方便后续传递。

    调用不同的NetworkConnect的时候，在Network里面存储不同的信息

/******************************************************************************** Copyright (c) 2014, 2017 IBM Corp.** All rights reserved. This program and the accompanying materials* are made available under the terms of the Eclipse Public License v1.0* and Eclipse Distribution License v1.0 which accompany this distribution.** The Eclipse Public License is available at*    http://www.eclipse.org/legal/epl-v10.html* and the Eclipse Distribution License is available at*   http://www.eclipse.org/org/documents/edl-v10.php.** Contributors:*    Allan Stockdill-Mander - initial API and implementation and/or initial documentation*    Ian Craggs - return codes from linux_read*******************************************************************************/#include "MQTTLinux.h"void TimerInit(Timer* timer)
{timer->end_time = (struct timeval){0, 0};
}char TimerIsExpired(Timer* timer)
{struct timeval now, res;gettimeofday(&now, NULL);timersub(&timer->end_time, &now, &res);return res.tv_sec < 0 || (res.tv_sec == 0 && res.tv_usec <= 0);
}void TimerCountdownMS(Timer* timer, unsigned int timeout)
{struct timeval now;gettimeofday(&now, NULL);struct timeval interval = {timeout / 1000, (timeout % 1000) * 1000};timeradd(&now, &interval, &timer->end_time);
}void TimerCountdown(Timer* timer, unsigned int timeout)
{struct timeval now;gettimeofday(&now, NULL);struct timeval interval = {timeout, 0};timeradd(&now, &interval, &timer->end_time);
}int TimerLeftMS(Timer* timer)
{struct timeval now, res;gettimeofday(&now, NULL);timersub(&timer->end_time, &now, &res);//printf("left %d ms\n", (res.tv_sec < 0) ? 0 : res.tv_sec * 1000 + res.tv_usec / 1000);return (res.tv_sec < 0) ? 0 : res.tv_sec * 1000 + res.tv_usec / 1000;
}/*** 从MQTT读数据** @param n : Network对象的指针* @param buffer ： 存放数据的指针* @param len ： 指针长度* @param timeout_ms : 超时时间* @return 读出的长度*/
int linux_read(Network* n, unsigned char* buffer, int len, int timeout_ms)
{struct timeval interval = {timeout_ms / 1000, (timeout_ms % 1000) * 1000};if (interval.tv_sec < 0 || (interval.tv_sec == 0 && interval.tv_usec <= 0)){interval.tv_sec = 0;interval.tv_usec = 100;}setsockopt(n->my_socket, SOL_SOCKET, SO_RCVTIMEO, (char *)&interval, sizeof(struct timeval));setsockopt(n->ssl, SOL_SOCKET, SO_RCVTIMEO, (char *)&interval, sizeof(struct timeval));int bytes = 0;while (bytes < len){int rc = -1;/* 是不是使用SSL决定了从哪个描述符读数据 */if(n->useSSL==1){rc = SSL_read(n->ssl, buffer+bytes, (len - bytes));}else{rc = read(n->my_socket, buffer+bytes, (len - bytes));}if (rc == -1){if (errno != EAGAIN && errno != EWOULDBLOCK)bytes = -1;break;}else if (rc == 0){bytes = 0;break;}elsebytes += rc;}return bytes;
}/*** 写数据到mqtt** @param n : Network对象的指针* @param buffer ： 存放数据的指针* @param len ： 数据长度* @param timeout_ms : 超时时间* @return 写出的长度*/
int linux_write(Network* n, unsigned char* buffer, int len, int timeout_ms)
{struct timeval tv;tv.tv_sec = 0;  /* 30 Secs Timeout */tv.tv_usec = timeout_ms * 1000;  // Not init'ing this can cause strange errorssetsockopt(n->my_socket, SOL_SOCKET, SO_SNDTIMEO, (char *)&tv,sizeof(struct timeval));int	rc = -1;/* 是不是使用SSL决定了从哪个描述符写数据 */if(n->useSSL == 1){rc = SSL_write(n->ssl, buffer, len);}else{rc = write(n->my_socket, buffer, len);}return rc;
}/*** 初始化Network对象** @param n : Network对象的指针*/
void NetworkInit(Network* n)
{n->my_socket = 0;n->mqttread = linux_read;n->mqttwrite = linux_write;n->useSSL = 0;
}/*** 原版的不带SSL的连接函数（这里改动了一点就是给useSSL赋值了）** @param n : Network对象的指针* @param addr ： MQTT服务器的IP地址* @param port ： MQTT服务器的IP地址* @return 0：成功  其他：失败*/
int NetworkConnect(Network* n, char* addr, int port)
{int type = SOCK_STREAM;struct sockaddr_in address;int rc = -1;sa_family_t family = AF_INET;struct addrinfo *result = NULL;struct addrinfo hints = {0, AF_UNSPEC, SOCK_STREAM, IPPROTO_TCP, 0, NULL, NULL, NULL};if ((rc = getaddrinfo(addr, NULL, &hints, &result)) == 0){struct addrinfo* res = result;/* prefer ip4 addresses */while (res){if (res->ai_family == AF_INET){result = res;break;}res = res->ai_next;}if (result->ai_family == AF_INET){address.sin_port = htons(port);address.sin_family = family = AF_INET;address.sin_addr = ((struct sockaddr_in*)(result->ai_addr))->sin_addr;}elserc = -1;freeaddrinfo(result);}if (rc == 0){n->my_socket = socket(family, type, 0);n->useSSL = 0;if (n->my_socket != -1){rc = connect(n->my_socket, (struct sockaddr*)&address, sizeof(address));}}return rc;
}/*** 打印证书内容** @param ssl ： SSL的描述符*/
void ShowCerts(SSL * ssl)
{X509 *cert;char *line;cert = SSL_get_peer_certificate(ssl);if (cert != NULL) {printf("数字证书信息:\n");line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);printf("证书: %s\n", line);free(line);line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);printf("颁发者: %s\n", line);free(line);X509_free(cert);} else {printf("无证书信息！\n");}
}/*** 连接Network（带SSL的socket）** @param n : Network对象的指针* @param addr ： MQTT服务器的IP地址* @param port ： MQTT服务器的IP地址* @param crtFilePath ： 证书路径* @return 0：成功  其他：失败*/
int NetworkConnectBySSL(Network* n, const char* addr, const char* port, const char* crtFilePath)
{SSL_CTX* ssl_context;SSL *ssl;/*SSL初始化*/SSL_library_init();OpenSSL_add_all_algorithms();SSL_load_error_strings();/* 创建SSL的上下文 */ssl_context = SSL_CTX_new(TLSv1_2_client_method());/*设置只验证服务器的证书*/SSL_CTX_set_verify(ssl_context, SSL_VERIFY_PEER, NULL);/* 设置用来进行校验的证书 */if (SSL_CTX_use_certificate_file(ssl_context, crtFilePath, SSL_FILETYPE_PEM) != 1) {SSL_CTX_free(ssl_context);printf("Failed to load client certificate from %s", crtFilePath);}SSL_CTX_set_default_verify_paths(ssl_context);/* 创建Socket并连接到服务器 */int socketFd = -1;if ((socketFd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {printf("create socket failed! %s", strerror(errno));return -1;}/* 解析链接地址和消息 */struct addrinfo hints = {};struct addrinfo* serverInfo;hints.ai_family = AF_INET;hints.ai_socktype = SOCK_STREAM;int result = getaddrinfo(addr, port, &hints, &serverInfo);if (result != 0) {printf("Failed to get addr info= %s    addr=%s  port=%s", gai_strerror(result),addr,port);return -1;}/* 连接服务端socket */if (connect(socketFd, serverInfo->ai_addr, serverInfo->ai_addrlen) != 0) {printf("Connect socket failed! %s", strerror(errno));return -1;}/* 让socket走SSL */ssl = SSL_new(ssl_context);SSL_set_fd(ssl, socketFd);if (SSL_connect(ssl) == -1) {ERR_print_errors_fp(stderr);return -1;} else {printf("Connected with %s encryption\n", SSL_get_cipher(ssl));/* 打印一下证书的内容 */ShowCerts(ssl);/* 检查一下证书 *//* 把对应的描述符什么的存起来 */n->my_socket = socketFd;n->ssl = ssl;n->useSSL = 1;}return 0;
}/*** 连接Network（不带SSL的socket）** @param n : Network对象的指针* @param addr ： MQTT服务器的IP地址* @param port ： MQTT服务器的IP地址* @return 0：成功  其他：失败*/
int NetworkConnectNotSSL(Network* n, const char* addr, const char* port)
{n->useSSL = 0;/* 创建Socket并连接到服务器 */int socketFd = -1;if ((socketFd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {printf("create socket failed! %s", strerror(errno));return -1;}/* 解析链接地址和消息 */struct addrinfo hints = {};struct addrinfo* serverInfo;hints.ai_family = AF_INET;hints.ai_socktype = SOCK_STREAM;int result = getaddrinfo(addr, port, &hints, &serverInfo);if (result != 0) {printf("Failed to get addr info= %s    addr=%s  port=%s", gai_strerror(result),addr,port);return -1;}/* 连接服务端socket */if (connect(socketFd, serverInfo->ai_addr, serverInfo->ai_addrlen) != 0) {printf("Connect socket failed! %s", strerror(errno));return -1;}else{n->my_socket = socketFd;return 0;}
}/*** 断开连接** @param n : Network对象的指针*/
void NetworkDisconnect(Network* n)
{close(n->my_socket);if(n->useSSL == 1){SSL_shutdown(n->ssl);}}

    到这里我们就已经给embedded-c添加完TLS的支持，并使用的是单向校验

step4：发起MQTT连接连接

这里就直接贴调用代码好了

/*** 连接MQTT** @return 0：成功  其他：失败*/
int connectMqtt() {/* MQTT的发送缓冲区和接收缓冲区 */uint8_t *sendbuf;uint8_t *recvbuf;/* MQTT的发送缓冲区和接收缓冲区的大小 */const int MAX_SENDBUF_SIZE = 1024 * 30;const int MAX_RECVBUF_SIZE = 1024 * 30;/* MQTT的收发超时时间，单位ms */const int MAX_MQTT_TIMEOUT_TIME = 1000;/* 定义实现网络操作的工具 */Network mqttNetworkUtil;/* MQTT客户端操作类 */MQTTClient mqttClient;int rc = -1;/* 初始化一下网络操作工具 */NetworkInit(&mqttNetworkUtil);/* 使用SSL的方式连接MQTT服务器的Socket */NetworkConnectBySSL(&mqttNetworkUtil, G3_Configuration::getInstance().getNdsMqttConnectParams().host.c_str(),std::to_string(G3_Configuration::getInstance().getNdsMqttConnectParams().port).c_str(), G3_Configuration::getInstance().getNdsMqttConnectParams().crtFilePath.c_str());/* 初始化MQTT客户端 */MQTTClientInit(&mqttClient, &mqttNetworkUtil, MAX_MQTT_TIMEOUT_TIME, sendbuf, MAX_SENDBUF_SIZE, recvbuf,MAX_RECVBUF_SIZE);/* 设置一下接收MQTT消息的回调函数，当MQTT收到消息后会自动回调 */mqttClient.defaultMessageHandler = defaultMessageHandler;/* 设置一下MQTT的一些连接参数 */MQTTPacket_connectData data = MQTTPacket_connectData_initializer;data.willFlag = 1;                          // 启用遗嘱data.will.topicName.cstring = G3_Configuration::getInstance().getNdsMqttConnectParams().willTopic.c_str();  // 设置遗嘱的topic名data.will.qos = QOS2;                      // 遗嘱的QOSdata.will.message.cstring = G3_Configuration::getInstance().getNdsMqttConnectParams().clientId.c_str();   // 遗嘱的内容（这里使用clientId作为遗嘱的内容）data.MQTTVersion = 3;data.clientID.cstring = G3_Configuration::getInstance().getNdsMqttConnectParams().clientId.c_str();data.username.cstring = G3_Configuration::getInstance().getNdsMqttConnectParams().userName.c_str();data.password.cstring = G3_Configuration::getInstance().getNdsMqttConnectParams().password.c_str();data.keepAliveInterval = 60;data.cleansession = 1;printf("Connecting to %s %d\n", G3_Configuration::getInstance().getNdsMqttConnectParams().host.c_str(),G3_Configuration::getInstance().getNdsMqttConnectParams().port);/* 发起MQTT的连接消息，前面只是socket，这个里发送MQTT协议中的连接消息，这里成功了才算MQTT连接成功 */rc = MQTTConnect(&mqttClient, &data);printf("MQTTConnect %d, Connect aliyun IoT Cloud Success!\n", rc);/* 如果连接成功，就订阅一下用来接收消息的订阅字 */if (rc == 0) {printf("Subscribing to %s\n", G3_Configuration::getInstance().getNdsMqttConnectParams().subTopic.c_str());rc = MQTTSubscribe(&mqttClient, G3_Configuration::getInstance().getNdsMqttConnectParams().subTopic.c_str(),QOS2, defaultMessageHandler);printf("MQTTSubscribe %d\n", rc);}return rc;
}
/*** 接收到MQTT消息的时候的回调函数** @param md ： MQTT消息的封装*/
void messageArrived(MessageData *md) {MQTTMessage *message = md->message;callback->onGetDataFromMQTT(curMqttClientType, md->topicName->lenstring.data, md->topicName->lenstring.len,(char *) message->payload, (int) message->payloadlen);
//    printf("messageArrived   %.*s\t", md->topicName->lenstring.len, md->topicName->lenstring.data);
//    printf("messageArrived   %.*s\n", (int) message->payloadlen, (char *) message->payload);}
/*** 发布消息** @param mqttClient ： MQTT客户端的对象* @param msg ： 封装好的消息** @return 0：成功  其他:失败*/
int publishMessage(MQTTClient &mqttClient,MQTTMessage &msg) {return MQTTPublish(&mqttClient, G3_Configuration::getInstance().getNdsMqttConnectParams().pubTopic.c_str(), &msg);}

到这里连接也做完了，直接调用connectMqtt()就可以连接到MQTT了，需要发送调用publishMessage（）就可以发送了。如果MQTT那边有订阅的消息过来，那么会自动回messageArrived（）。这里涉及到一个结构体MQTTMessage，这里简单放下它怎么封装的

    MQTTMessage msg = {QOS2,//服务质量等级0, //消息是否被保留。如果设置为1，则该消息将被代理服务器保留，这样任何新订阅该主题的客户端都可以立即接收到它。为0的话就算只有现在已经订阅了的能收到0, //是否重复的消息。当设置为1时，它表示这是一个重复的消息。为0则为新消息0, //消息ID，理论上每条都应该唯一，这里直接0好了strData.c_str(), //负载数据，就是这条消息实际的内容strData.size(), //负载数据的长度};

4、其他

    1、如果想使用非TLS的MQTT连接，直接把connectMqtt()里面的NetworkConnectBySSL()改成NetworkConnectNotSSL()就好了；

    2、如果想使用TLS但是不校验任何证书，那么就修改MQTTLinux.c里面的NetworkConnectBySSL()中SSL_CTX_set_verify（）的第二个参数就好了，把SSL_VERIFY_PEER改成SSL_VERIFY_NONE。这样就即走TLS，但是又不验证服务器的证书。

    3、如果想使用双向认证，作为客户端我们这边什么都不用变，因为我们已经开启了认证服务器的证书，服务器那边需要开启认证客户端的证书就行了。

    4、connectMqtt()里面填写的clientId和username和password也很重要，因为MQTT服务器可以开启用户认证模式，这样lientId和username和password有一个错误的话都会导致无法连接到服务器。

这篇关于使用paho.mqtt.embedded-c和openssl实现MQTT的单向认证功能的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---