3

openssl を使用して SSL 経由で Java アプリケーション サーバーに接続する C++ でコーディングされたクライアント アプリケーションがあります。ノンブロッキング ソケット接続モードを使用し、読み取り可能なデータ パケットを識別するために「select」または「poll」メカニズムを選択するオプションを使用します。

クライアントはかなり長い間正常に動作していましたが、最近、応答が複数のパケットに分割され、SSL_read が SSL_ERROR_NONE と SSL_pending ゼロを含む 1 文字の「H」のみを返すという問題に気付きました。その結果、SSL_read ループが発生します。不完全な応答で終了しています。[ハックとして] SSL_read を再度呼び出すと、「TTP 1.1」で始まる残りの応答が得られます。

SSL_pending=0 および SSL_get_error()=SSL_ERROR_NONE であるため、読み取るデータが他にあるかどうかを確認する他の方法が見つからないため、1 文字だけを読み取る「SSL_read」ループを終了します。

Here is the relevant pseudo code... 

bool done=false;
int pending=1; bool inited=false;
bool want_read=false; bool want_write=false;
timeval tv;
String response; //internal class for string, legacy            
while(!done) {
if( !inited || want_read || want_write ) {
    try {
        /* Wait a few seconds. */
        if(!inited) {
            tv.tv_sec = timeOutValue.tv_sec;
            tv.tv_usec = timeOutValue.tv_usec;
        } else {
            tv.tv_sec = 0;
            tv.tv_usec = 500000; //hack to reduce the waiting period
        } 
                    #ifdef USE_POLL
            poll the socket
        #else
            call 'select' on the socket
        #endif
        inited=true;
        continue;
    } catch(const XSeption&) {
        close_socket(&sock);
        done=true;
        cout << "Error waiting on select/poll call" << endl;
        break;
    }
}

memset(temp, 0, BUFSIZE);
charsRead = SSL_read(ssl,temp, (sizeof(char)*BUFSIZE));
cout << endl << "charsRead = " << charsRead << endl;    

if(charsRead>0) {
    response.append(temp, charsRead);
}
cout << "Response : " << response << endl;

int sslerror = SSL_get_error(ssl,charsRead);
cout << "SSL_error_code = " << sslerror << endl;

pending=SSL_pending(ssl);
cout << "pending characters in the current SSL buffer : " << endl;

/*
if(charsRead==1) {
    memset(temp, 0, BUFSIZE);
    cout << "read only one character which is odd,hence reading again" << endl;
    charsRead = SSL_read(ssl,temp, (sizeof(char)*BUFSIZE));
    cout << endl << "charsRead in second read = " << charsRead << endl;
    if(charsRead>0) {
        response.append(temp, charsRead);
    }
    cout << "Second Response : " << response << endl;

    sslerror = SSL_get_error(ssl,charsRead);
    cout << "SSL_error_code = " << sslerror << endl;

    pending=SSL_pending(ssl);
    cout << "pending characters in the current SSL buffer : " << endl;
}
*/

switch(sslerror){

    case SSL_ERROR_NONE:
        cout << "No SSL Error" << endl;
        done=true; //ideally, we should mark the process completed here; but if mark this completed here, then we are getting only 1 character 'H'
        break;
    case SSL_ERROR_WANT_READ:
        cout << "In SSL_ERROR_WANT_READ" << endl;
        //SSLread Still pending
        want_read=true;
        //continue;
        break;

    case SSL_ERROR_WANT_WRITE:
        cout << "In SSL_ERROR_WANT_WRITE" << endl;
        //SSLread Still pending
        want_write=true;
        //continue;
        break;

    case SSL_ERROR_SSL:
        done=true;
        cout << "encountered SSL INTERNAL ERROR" << endl;
        close_socket(&sock);
        break;

    case SSL_ERROR_SYSCALL:
        done=true;
        cout << "encountered ERROR SYSCALL" << endl;
        close_socket(&sock);
        break;

    case SSL_ERROR_ZERO_RETURN:
        done=true;
        cout << "encountered SSL ZERO RETURN" << endl;
        close_socket(&sock);
        break;

    default:
        done=true;
        cout << "encountered default error" << endl;
        close_socket(&sock);
        break;
    } //end of switch  
} //end of while  

cout << "Final Response : " << response << endl;

では、SSL_pending がゼロを返し、SSL_get_error が SSL_ERROR_NONE で、[応答のバイト数/文字数] がわからない場合、応答が完了したか保留中であることをどのように識別できますか?

私の期待は間違っていますか?より大きなバッファを提供しているにもかかわらず、SSL_read が最初に 1 文字を返すのはなぜですか?

この点での助けは大歓迎です...

アップデート:

while(!done) {
currentTime = getTime();
tval.tv_sec = timeOutValue.tv_sec - (currentTime - beginTime);
tval.tv_usec = timeOutValue.tv_usec;
if ( tval.tv_sec <= 0 ) //the allotted time for processing this request has elapsed
{
    //do not close the socket or SSL session since this is just a timeout issue
    throw Exception::TIMEOUT);
}

#ifdef USE_POLL
    fds.fd = sock;
    fds.events = POLLIN;
#else
    FD_ZERO(&rset);
    FD_SET(sock, &rset);
#endif

if(!inited || want_read || want_write) {
    timeval tv;
    /*
    When we first enter this method or for NON-SSL requests, we would wait till the SELECT call returns a ready file-descriptor but in the case of a SSL requests processing the response message , we just issue SELECT with 0(zero) or very little timeout since SSL_read is giving us a common error code for actual need to check at the socket (SELECT/POLL) and the need to call SSL_read again, if we can find a way to differentiate the need to call SELECT/POLL Vs invoke SSL_read, then this if-else construct needs to be removed and we can then use the complete remaining time for timeout parameter in SELECT/POLL call even for SSL requests
    */
    if(!inited ) {
        tv.tv_sec=tval.tv_sec;
        tv.tv_usec=tval.tv_usec;
    } else {
        tv.tv_sec=0;
        tv.tv_usec=1000;
    }
    try {
        #ifdef USE_POLL
            poll_call(&fds, 1, &tv);
        #else
            select_call(sock+1, &rset, NULL, NULL, &tv);
        #endif
    } catch(const Exception&) {
        /*
        do not close the socket or throw exception; the socket will be closed only if an error occurs or if the server itself the closed the connection
        */
    }
    inited=true;
    want_read=false;
    want_write=false;
}

memset(temp, 0, BUFSIZE);

charsRead = openSSL->SSLread(temp, (sizeof(char)*BUFSIZE));
if(charsRead>0) {
    response.append(temp, charsRead);
    done=is_response_complete(response);
} else {
    int sslerror=openSSL->SSLgetErrorCode(charsRead);
    switch(sslerror){

        case SSL_ERROR_NONE:
            break;

        case SSL_ERROR_WANT_READ:
            want_read=true;
            break;

        case SSL_ERROR_WANT_WRITE:
            want_write=true;
            break;

        case SSL_ERROR_SSL:
            close(openSSL, Exception::SSL_CONNECTION_PROBLEM, 
                    ErrorDescription(sslerror));
            break;

        case SSL_ERROR_SYSCALL:
            close(openSSL,Exception::SERVER_CONNECTION_PROBLEM,
                    ErrorDescription(sslerror));
            break;

        case SSL_ERROR_ZERO_RETURN:
        default:
            close(openSSL,Exception::SSL_CONNECTION_PROBLEM,
                        ErrorDescription(sslerror));
            break;
    } //end of switch
} //end off ssl_error check
}
4

3 に答える 3

3

OpenSSL では、通常のプロセスが逆になります。

  • 通常のソケットselect()では、ソケットが読み取り可能または書き込み可能であると表示されるまで。

  • SSL ソケットでは、SSL_ERROR_WANT_READ/WRITE が返されるまで読み取りと書き込みを行います。そうして初めて、あなたは電話をかけますselect()

「SSL_pending=0 および SSL_get_error()=SSL_ERROR_NONE であるため、さらに読み取るデータがあるかどうかを知る方法は他にありません」

そのため、SSL_ERROR_WANT_READ を取得するまで、常にさらに多くのデータを読み取る必要があると想定する必要があります。読み取るデータが他にあることを伝える代わりに、OpenSSL は、読み取るデータがこれ以上ないWANT_READ/WANT_WRITEことを伝えるために使用します。

私のアプリでも同じ動作が見られます。を実行するSSL_readと、1 バイトが得られます。

G

を取得できなかったので、WANT_READ/WRITEもう一度 SSL_read を実行し、残りのデータを取得します

ET /index.html HTTP/1.1
Host: etc etc

WANT_READ/WRITE を取得するまでこれを続け、select()OpenSSL がそうするように指示したので待機します。

于 2013-01-11T15:51:06.267 に答える
3

私もこの動作を見てきました。それを処理する適切な方法は、アプリケーションがいつでも任意の量のデータを予期する必要があることです...これは、パケット化された要求/応答ではなく、データの「ストリーム」です。「完全な要求/応答」を識別する唯一の方法は、アプリケーション レベルで解析することです。完全なものがない場合は、バッファリングして、さらにデータが来るのを待ちます。トランスポートメカニズムはそれを伝えることができませんし、伝えません...単に「データがあります」と言っているだけです。

于 2012-11-09T12:58:31.653 に答える
1

ノンブロッキング BIO を介して読み取る場合、期待されるすべてのデータを+への 1 回の呼び出しだけで受け取ることは保証されませんSSL_read()

SSL_read()そのため、期待するすべてのデータが読み込まれるか、接続が閉じられるか、エラーが発生するまで、何度か再度呼び出す必要がある場合があります。

これを行うには、 を実行する-loopSSL_read()内に呼び出しを配置できます。whileselect()

(+) 実際に転送されると予想されるデータの量は、トランスポート層によって不明です。これは両方 (送信者と受信者) に知られているか、ネゴシエーションがアプリケーション レベル プロトコルの一部である必要があります。

于 2012-11-12T10:39:21.223 に答える