1

我正在使用 OpenSSL 1.0.0 库对 TLS 服务器进行编程,因此我使用的是 BIO* 对象,而不是 SSL* 对象(我使用的是 IBM 文档:第 1部分、第 2部分和第 3 部分)。

要获得远程客户端的套接字,我运行以下代码:

BIO *new_client;

while(1)
{
    if (BIO_do_accept(socket) <= 0)
        { handle error }
    new_client = BIO_pop(socket);
    BIO_do_handshake(new_client);

    // fire a thread and do rest of communication
}

这没有问题,我可以向客户端发送数据,客户端可以响应。如果我不向客户端提供我的自定义 CA 证书文件,客户端会因为证书验证失败等原因拒绝连接。总之,一切看起来都很好。

问题是,我无法获得对等主机地址。

我找不到任何 OpenSSL 特定的 API 来做到这一点。然后我尝试获取套接字的文件描述符并getpeername()使用以下代码调用:

// get peer address
int sock_fd;
if (BIO_get_fd(socket, &sock_fd) == -1)
  {
    fprintf(stderr, "Uninitialized socket passed to worker");
    goto listen_cleanup;
  }
printf("socket fd: %i\n", sock_fd);
struct sockaddr addr;
socklen_t addr_len;
// make enough space for ipv6 address and few extra chars
ctx->hostname = malloc(sizeof(char) * 80);
if (!ctx->hostname)
  {
    fprintf(stderr, "Out of memory\n");
    goto internal_error;
  }

// ignore failures, as any problem will be caught in TLS handshake
getpeername(sock_fd, &addr, &addr_len);
if (addr.sa_family == AF_INET)
  inet_ntop(AF_INET, &((struct sockaddr_in *)&addr)->sin_addr,
      ctx->hostname, 40);
else if (addr.sa_family == AF_INET6)
  inet_ntop(AF_INET6, &((struct sockaddr_in6 *)&addr)->sin6_addr,
      ctx->hostname, 40);
else
  {
    fprintf(stderr, "Unknown socket type passed to worker(): %i\n",
        addr.sa_family);
    goto internal_error;
  }

但是之前和之后BIO_do_handshake(),检查时都失败了sa_family,我明白了Unknown socket type passed to worker(): 50576

使用包装 TLS 的 OpenSSL BIO 对象时如何获取对等地址?

4

2 回答 2

2

原型是:

int getpeername(int sockfd, struct sockaddr *addr, socklen_t *addrlen)

addrlen参数实际上是一个输入/输出参数,这就是您的问题所在。您需要将其初始化为 sockaddr 参数的字节大小,即

addr_len = sizeof(addr);  // this is what's missing
getpeername(sock_fd, &addr, &addr_len);

然后 getpeername 函数在 addr_len 中存储它想要写入的字节数addr

在你的辩护中,文件在这一点上可能不清楚。当我在谷歌上搜索 getpeername 时,最上面的条目就是这个。在我看来,它未能充分解释这一address_len论点。然而,下一个条目说明了一切。

于 2013-01-04T18:07:16.437 回答
1

尽管最佳答案解决了初始化addrlen的问题,但您的代码不适用于 IPv6,因为没有足够的空间为sockaddr_in6提供getpeername。运行此代码:

#include    <stdio.h>
#include    <netinet/in.h>

int main( int argc, char *argv[] ) {

printf("sizeof( struct sockaddr ) = %d\n", sizeof( struct sockaddr ));
printf("sizeof( struct sockaddr_in )  = %d\n", sizeof( struct sockaddr_in));
printf("sizeof( struct sockaddr_in6 ) = %d\n", sizeof( struct sockaddr_in6));
}

结果是:

sizeof( struct sockaddr ) = 16
sizeof( struct sockaddr_in )  = 16
sizeof( struct sockaddr_in6 ) = 28

恕我直言,以与协议无关的方式调用网络功能的最佳方法是使用联合:

union address {
    struct sockaddr     addr;
    struct sockaddr_in  addr4;
    struct sockaddr_in6 addr6;
};

然后通过以下方式调用getpeername

union address peer;
socklen_t addrlen = sizeof( peer );
getpeername( sock_fd, &peer.addr, &addrlen );

完善您使用addr.sa_family作为家庭选择器的代码,这很棒,但简化了inet_ntop的使用:

if (peer.addr.sa_family == AF_INET)
  inet_ntop(AF_INET, peer.addr4.sin_addr, ctx->hostname, 80 );
else if (peer.addr.sa_family == AF_INET6)
  inet_ntop(AF_INET6, peer.addr6.sin6_addr, ctx->hostname, 80 );
else
  ....
于 2016-12-29T05:38:01.510 回答