A
boost-asiossl::stream实现的
tcp::socket
boost::asio::ssl::stream<boost::asio::ip::tcp::socket> ssl_socket;
在 TLS 协议中,加密安全关闭涉及各方交换
close_notify在 boost asio ssl async_shutdown 总是以错误结束? @Tanner Sansbury 通过多种场景详细描述了 SSL 关闭过程,并建议使用
async_shutdownasync_writessl_socket.async_shutdown(...);
const char buffer[] = "";
async_write(ssl_socket, buffer, [](...) { ssl_socket.close(); })
在
async_shutdownssl::streamclose_notifyasync_shutdownasync_shutdownclose_notifyasync_write在 如何优雅地关闭 boost asio ssl 客户端? @maxschlepzig 建议关闭底层 TCP 套接字的接收器:
ssl_socket.lowest_layer()::shutdown(tcp::socket::shutdown_receive);
这会产生
short readasync_shutdown// const boost::system::error_code &ec
if (ec.category() == asio::error::get_ssl_category() &&
ec.value() == ERR_PACK(ERR_LIB_SSL, 0, SSL_R_SHORT_READ))
{
// -> not a real error:
do_ssl_async_shutdown();
}
或者取消对套接字的读/写操作,然后调用 SSL 异步关闭,即:
boost::system::error_code ec;
ssl_socket.cancel(ec);
ssl_socket.async_shutdown([](...) { ssl_socket.close(); };
我目前正在使用最后一种方法,因为它适用于当前版本的
boost安全断开
boost-asio要安全断开连接,请执行关闭操作,然后在关闭完成后关闭底层传输。因此,您当前使用的方法将执行安全断开连接:
boost::system::error_code ec;
ssl_socket.cancel(ec);
ssl_socket.async_shutdown([](...) { ssl_socket.close(); };
请注意,当前
async_shutdownclose_notify因此,如果资源绑定到套接字或连接的生命周期,那么这些资源将保持活动状态,等待远程对等方采取操作或直到操作在本地取消。但是,安全关闭不需要等待
close_notifyssl_socket.async_shutdown(...);
const char buffer[] = "";
async_write(ssl_socket, boost::asio::buffer(buffer),
[](...) { ssl_socket.close(); })
当客户端发送
close_notifyasync_write()close_notifyasync_shutdown()boost::asio::error::operation_abortedasync_write()...由于 PartyA 的 SSL 流的写入端已关闭,
操作将失败,并出现 SSL 错误,指示协议已关闭。async_write()if ((error.category() == boost::asio::error::get_ssl_category()) && (SSL_R_PROTOCOL_IS_SHUTDOWN == ERR_GET_REASON(error.value()))) { ssl_stream.lowest_layer().close(); }失败的
操作将显式关闭底层传输,导致等待async_write()PartyB的async_shutdown()的操作被取消。close_notify
我可能迟到了,但我想报告我的经历。 到目前为止,这个解决方案(使用 boost 1.78)没有在客户端和服务器上产生任何可见的错误:
// sock type is boost::asio::ssl::stream<boost::asio::ip::tcp::socket>
sock->shutdown(ec);
sock->lowest_layer().shutdown(boost::asio::ip::tcp::socket::shutdown_both, ec);
sock->lowest_layer().cancel(ec);
sock->lowest_layer().close();
沙箱服务器:
openssl s_server -cert server.crt -key server.key -4 -debug 使用此解决方案,服务器会在
sock->shutdown(ec)read from 0x55e5dff8c960 [0x55e5dff810f8] (19 bytes => 19 (0x13))
0000 - 44 bc 11 5b a9 b4 ee 51-48 e0 18 f7 99 a7 a8 a9 D..[...QH.......
0010 - 21 1a 60 !.`
DONE
shutting down SSL
CONNECTION CLOSED
在我使用此代码之前(用于普通 TCP 和 ssl 套接字)
sock->lowest_layer().shutdown(boost::asio::ip::tcp::socket::shutdown_both, ec);
sock->lowest_layer().cancel(ec);
sock->lowest_layer().close();
旧代码在利用 ssl 套接字时在服务器上产生此错误:
read from 0x55eb3d40b430 [0x55eb3d423513] (5 bytes => 0 (0x0))
ERROR
shutting down SSL
CONNECTION CLOSED
如前所述,为了避免这种行为,客户端应使用
ssl::stream::async_shutdown或 ssl::stream::shutdown 发送
close_notify
如果您想利用
async_write()async_shutdown(),则
shutdown() 的技巧可能很有用
我只是想添加我的回复,以防它可以帮助人们使用新版本的 Boost。 就我而言,我使用的是 Boost 1.82.0,并且我已经实现了 @tanner-sansbury 提出的第一个选项,其中使用了
ssl_stream.async_shutdownssl_stream.lowest_layer()->close()客户端和服务器端的代码看起来相同(只有日志消息和可选的变量名称更改):
tls_socket.lowest_layer().cancel(); // Cancels all ongoing operations
// Sends a 'close_notify' message to the server
tls_socket_ptr_.async_shutdown([this](const boost::system::error_code& ec)
{
timer_->cancel();
if (!ec)
{
std::cout << "CloseSocket - Cleanly shutdown SSL stream. Now we'll shutdown the socket..." << std::endl;
ClosePlainTCPSocket();
}
else
{
std::cout << "BrainClient::CloseSocket - Something went wrong while shutting down SSL stream! Exitting anyway..." << std::endl;
}
});
void ClosePlainTCPSocket()
{
boost::system::error_code tcp_socket_shutdown_ec;
tls_socket.lowest_layer().shutdown(
boost::asio::ip::tcp::socket::shutdown_both, tcp_socket_shutdown_ec);
if (!tcp_socket_shutdown_ec)
{
std::cout << "BrainClient::ClosePlainTCPSocket - TCP socket was successfully shutdown, closing socket..." << std::endl;
tls_socket_ptr_.lowest_layer().close();
}
}
此外,我在上面的代码后面添加了一个
boost::asio::steady_timershutdown()如果代码中有任何错误,请原谅我,因为我只使用了部分代码来尽可能简化示例。