tls: avoid app session preallocation

[vpp.git] / src / plugins / tlsopenssl / tls_openssl.c
diff --git a/src/plugins/tlsopenssl/tls_openssl.c b/src/plugins/tlsopenssl/tls_openssl.c

index ee42536..a21e3bb 100644 (file)
--- a/src/plugins/tlsopenssl/tls_openssl.c
+++ b/src/plugins/tlsopenssl/tls_openssl.c
@@ -263,22 +263,18 @@ openssl_check_async_status (tls_ctx_t * ctx, openssl_resume_handler * handler,
  static void
  openssl_handle_handshake_failure (tls_ctx_t * ctx)
  {
-  session_t *app_session;
+  /* Failed to renegotiate handshake */
+  if (ctx->flags & TLS_CONN_F_HS_DONE)
+    {
+      tls_notify_app_io_error (ctx);
+      tls_disconnect_transport (ctx);
+      return;
+    }
  
    if (SSL_is_server (((openssl_ctx_t *) ctx)->ssl))
      {
-      /*
-       * Cleanup pre-allocated app session and close transport
-       */
-      app_session =
-       session_get_if_valid (ctx->c_s_index, ctx->c_thread_index);
-      if (app_session)
-       {
-         session_free (app_session);
-         ctx->c_s_index = SESSION_INVALID_INDEX;
-         tls_disconnect_transport (ctx);
-       }
        ctx->flags |= TLS_CONN_F_NO_APP_SESSION;
+      tls_disconnect_transport (ctx);
      }
    else
      {
@@ -334,6 +330,10 @@ openssl_ctx_handshake_rx (tls_ctx_t * ctx, session_t * tls_session)
    if (SSL_in_init (oc->ssl))
      return -1;
  
+  /* Renegotiated handshake, app must not be notified */
+  if (PREDICT_FALSE (ctx->flags & TLS_CONN_F_HS_DONE))
+    return 0;
+
    /*
     * Handshake complete
     */
@@ -379,7 +379,7 @@ openssl_ctx_handshake_rx (tls_ctx_t * ctx, session_t * tls_session)
           return -1;
         }
      }
-
+  ctx->flags |= TLS_CONN_F_HS_DONE;
    TLS_DBG (1, "Handshake for %u complete. TLS cipher is %s",
            oc->openssl_ctx_index, SSL_get_cipher (oc->ssl));
    return rv;
@@ -1060,6 +1060,22 @@ openssl_transport_close (tls_ctx_t * ctx)
    return 0;
  }
  
+static int
+openssl_transport_reset (tls_ctx_t *ctx)
+{
+  if (!openssl_handshake_is_over (ctx))
+    {
+      openssl_handle_handshake_failure (ctx);
+      return 0;
+    }
+
+  session_transport_reset_notify (&ctx->connection);
+  session_transport_closed_notify (&ctx->connection);
+  tls_disconnect_transport (ctx);
+
+  return 0;
+}
+
  static int
  openssl_app_close (tls_ctx_t * ctx)
  {
@@ -1071,8 +1087,6 @@ openssl_app_close (tls_ctx_t * ctx)
    if (BIO_ctrl_pending (oc->rbio) <= 0
        && !svm_fifo_max_dequeue_cons (app_session->tx_fifo))
      openssl_confirm_app_close (ctx);
-  else
-    ctx->flags |= TLS_CONN_F_APP_CLOSED;
    return 0;
  }
  
@@ -1153,6 +1167,7 @@ const static tls_engine_vft_t openssl_engine = {
    .ctx_start_listen = openssl_start_listen,
    .ctx_stop_listen = openssl_stop_listen,
    .ctx_transport_close = openssl_transport_close,
+  .ctx_transport_reset = openssl_transport_reset,
    .ctx_app_close = openssl_app_close,
    .ctx_reinit_cachain = openssl_reinit_ca_chain,
  };
@@ -1216,12 +1231,10 @@ tls_openssl_init (vlib_main_t * vm)
  
    return error;
  }
-/* *INDENT-OFF* */
  VLIB_INIT_FUNCTION (tls_openssl_init) =
  {
    .runs_after = VLIB_INITS("tls_init"),
  };
-/* *INDENT-ON* */
  
  #ifdef HAVE_OPENSSL_ASYNC
  static clib_error_t *
@@ -1292,22 +1305,18 @@ tls_openssl_set_command_fn (vlib_main_t * vm, unformat_input_t * input,
    return 0;
  }
  
-/* *INDENT-OFF* */
  VLIB_CLI_COMMAND (tls_openssl_set_command, static) =
  {
    .path = "tls openssl set",
    .short_help = "tls openssl set [engine <engine name>] [alg [algorithm] [async]",
    .function = tls_openssl_set_command_fn,
  };
-/* *INDENT-ON* */
  #endif
  
-/* *INDENT-OFF* */
  VLIB_PLUGIN_REGISTER () = {
      .version = VPP_BUILD_VER,
      .description = "Transport Layer Security (TLS) Engine, OpenSSL Based",
  };
-/* *INDENT-ON* */
  
  /*
   * fd.io coding-style-patch-verification: ON