A
boost-asio
SSL/TLS TCP 套接字是通过 ssl::stream
:实现的
tcp::socket
boost::asio::ssl::stream<boost::asio::ip::tcp::socket> ssl_socket;
在 TLS 协议中,加密安全关闭涉及各方交换
close_notify
消息。简单地关闭最低层可能会使会话容易受到截断攻击。
在 boost asio ssl async_shutdown 总是以错误结束? @Tanner Sansbury 通过多种场景详细描述了 SSL 关闭过程,并建议使用
async_shutdown
后跟 async_write
在关闭之前断开 SSL 流插座:
ssl_socket.async_shutdown(...);
const char buffer[] = "";
async_write(ssl_socket, buffer, [](...) { ssl_socket.close(); })
在
async_shutdown
上执行 ssl::stream
会发送 SSL close_notify
消息并等待另一端的响应。在 async_shutdown
之后写入流的目的是当 async_shutdown
发送了 close_notify
时得到通知,以便可以在不等待响应的情况下关闭套接字。但是,在当前 (1.59) 版本的 boost 中,对 async_write
的调用失败...
在 如何优雅地关闭 boost asio ssl 客户端? @maxschlepzig 建议关闭底层 TCP 套接字的接收器:
ssl_socket.lowest_layer()::shutdown(tcp::socket::shutdown_receive);
这会产生
short read
错误,当在错误处理程序中检测到它时,会调用 async_shutdown
:
// const boost::system::error_code &ec
if (ec.category() == asio::error::get_ssl_category() &&
ec.value() == ERR_PACK(ERR_LIB_SSL, 0, SSL_R_SHORT_READ))
{
// -> not a real error:
do_ssl_async_shutdown();
}
或者取消对套接字的读/写操作,然后调用 SSL 异步关闭,即:
boost::system::error_code ec;
ssl_socket.cancel(ec);
ssl_socket.async_shutdown([](...) { ssl_socket.close(); };
我目前正在使用最后一种方法,因为它适用于当前版本的
boost
。
安全断开
boost-asio
SSL 套接字的正确/最佳方法是什么?
要安全断开连接,请执行关闭操作,然后在关闭完成后关闭底层传输。因此,您当前使用的方法将执行安全断开连接:
boost::system::error_code ec;
ssl_socket.cancel(ec);
ssl_socket.async_shutdown([](...) { ssl_socket.close(); };
请注意,当前
async_shutdown
操作将在以下情况下被视为完成:
close_notify
。因此,如果资源绑定到套接字或连接的生命周期,那么这些资源将保持活动状态,等待远程对等方采取操作或直到操作在本地取消。但是,安全关闭不需要等待
close_notify
响应。如果资源绑定到连接,并且本地连接在发送关闭消息后被视为已死,那么不等待远程对等方采取操作可能是值得的:
ssl_socket.async_shutdown(...);
const char buffer[] = "";
async_write(ssl_socket, boost::asio::buffer(buffer),
[](...) { ssl_socket.close(); })
当客户端发送
close_notify
消息时,客户端保证客户端不会通过安全连接发送额外的数据。本质上,async_write()
用于检测客户端何时发送 close_notify
,并且在完成处理程序中,将关闭底层传输,导致 async_shutdown()
以 boost::asio::error::operation_aborted
完成。如链接答案中所述,async_write()
操作预计会失败。
...由于 PartyA 的 SSL 流的写入端已关闭,
操作将失败,并出现 SSL 错误,指示协议已关闭。async_write()
if ((error.category() == boost::asio::error::get_ssl_category()) && (SSL_R_PROTOCOL_IS_SHUTDOWN == ERR_GET_REASON(error.value()))) { ssl_stream.lowest_layer().close(); }
失败的
操作将显式关闭底层传输,导致等待async_write()
PartyB的async_shutdown()
的操作被取消。close_notify
我可能迟到了,但我想报告我的经历。 到目前为止,这个解决方案(使用 boost 1.78)没有在客户端和服务器上产生任何可见的错误:
// sock type is boost::asio::ssl::stream<boost::asio::ip::tcp::socket>
sock->shutdown(ec);
sock->lowest_layer().shutdown(boost::asio::ip::tcp::socket::shutdown_both, ec);
sock->lowest_layer().cancel(ec);
sock->lowest_layer().close();
沙箱服务器:
openssl s_server -cert server.crt -key server.key -4 -debug
使用此解决方案,服务器会在
sock->shutdown(ec)
之后获取此信息。
read from 0x55e5dff8c960 [0x55e5dff810f8] (19 bytes => 19 (0x13))
0000 - 44 bc 11 5b a9 b4 ee 51-48 e0 18 f7 99 a7 a8 a9 D..[...QH.......
0010 - 21 1a 60 !.`
DONE
shutting down SSL
CONNECTION CLOSED
在我使用此代码之前(用于普通 TCP 和 ssl 套接字)
sock->lowest_layer().shutdown(boost::asio::ip::tcp::socket::shutdown_both, ec);
sock->lowest_layer().cancel(ec);
sock->lowest_layer().close();
旧代码在利用 ssl 套接字时在服务器上产生此错误:
read from 0x55eb3d40b430 [0x55eb3d423513] (5 bytes => 0 (0x0))
ERROR
shutting down SSL
CONNECTION CLOSED
如前所述,为了避免这种行为,客户端应使用
ssl::stream::async_shutdown或 ssl::stream::shutdown 发送
close_notify
如果您想利用
async_write()
函数而不是同步 async_shutdown()
,则
shutdown()
的技巧可能很有用
我只是想添加我的回复,以防它可以帮助人们使用新版本的 Boost。 就我而言,我使用的是 Boost 1.82.0,并且我已经实现了 @tanner-sansbury 提出的第一个选项,其中使用了
ssl_stream.async_shutdown
和 ssl_stream.lowest_layer()->close()
的组合。
客户端和服务器端的代码看起来相同(只有日志消息和可选的变量名称更改):
tls_socket.lowest_layer().cancel(); // Cancels all ongoing operations
// Sends a 'close_notify' message to the server
tls_socket_ptr_.async_shutdown([this](const boost::system::error_code& ec)
{
timer_->cancel();
if (!ec)
{
std::cout << "CloseSocket - Cleanly shutdown SSL stream. Now we'll shutdown the socket..." << std::endl;
ClosePlainTCPSocket();
}
else
{
std::cout << "BrainClient::CloseSocket - Something went wrong while shutting down SSL stream! Exitting anyway..." << std::endl;
}
});
void ClosePlainTCPSocket()
{
boost::system::error_code tcp_socket_shutdown_ec;
tls_socket.lowest_layer().shutdown(
boost::asio::ip::tcp::socket::shutdown_both, tcp_socket_shutdown_ec);
if (!tcp_socket_shutdown_ec)
{
std::cout << "BrainClient::ClosePlainTCPSocket - TCP socket was successfully shutdown, closing socket..." << std::endl;
tls_socket_ptr_.lowest_layer().close();
}
}
此外,我在上面的代码后面添加了一个
boost::asio::steady_timer
,这样我就不会永远等待 async_shutdown 完成。如果定时器超时我会报错并尝试用shutdown()
同步关闭服务器端。
如果代码中有任何错误,请原谅我,因为我只使用了部分代码来尽可能简化示例。