通过 Linux 远程发送对库的调用

Question

我正在用 C 开发一些实验设置。

我正在探索如下场景，我需要帮助来理解它。

我有一个系统 A，其中有很多使用加密算法的应用程序。

但是这些加密调用（openssl 调用）应该发送到另一个负责加密的系统 B。

因此，我必须通过套接字将对加密（openssl）引擎的任何调用发送到具有 openssl 支持的远程系统（B）。

我的计划是在系统 A 上有一个小型套接字编程，它将这些调用转发到系统 B。

目前我还不清楚如何处理系统 B 接收到的命令。

我是否真的获取这些命令并将它们转换为在我的系统中本地对 openssl 的相应调用？这意味着我必须对系统 A 上所做的任何事情进行编程，对吗？

或者有没有办法直接将这些原始代码行隧道/发送到 openssl 库，然后刚刚收到结果，然后重新发送到系统 A

您认为我应该如何解决这个问题？

PS：哦，顺便说一下，对系统 A 上的密码学（如 EngineUpdate、VerifyFinal 等或 Digest）的调用可以在 Java 或 C 上进行。我已经编写了一个 Java/C 程序来通过套接字将这些命令发送到系统 B。 。 问题只出在系统 B 上以及我必须如何处理..

Answer 1

您可以在 B 上使用套接字，但这意味着您需要为此定义一个协议。或者使用 RPC（远程过程调用）。

套接字编程的示例可以在此处找到。

此处解释了 RPC。

Answer 2

我能想到的最简单（不是说“简单”，但仍然是）的方法是：

1. 编写您想要远程的库的包装器（代理）版本。
2. 编写一个服务器程序来侦听调用，使用真实的本地库执行它们，然后将结果发送回来。
3. 在运行任何您想要执行此操作的应用程序之前预加载代理库。

当然，这种方法存在很多问题：

1. 为通用 C 函数调用定义序列化协议并不简单。
2. 编写服务器也不是一件简单的事。
3. 应用程序会变慢很多，因为代理调用需要同步。
4. 网络数据的安全性如何？

更新：

根据评论中的要求，我会尝试扩展一下。我所说的“包装器”是指一个新的库，它具有与另一个库相同的 API，但实际上并不包含相同的代码。相反，包装器库将包含用于序列化参数、调用服务器、等待响应、反序列化结果并将它们呈现给调用程序的代码，就像什么都没发生一样。

由于这涉及大量乏味、重复且容易出错的代码，因此最好通过代码驱动来抽象它。最好的方法是使用原始库的头文件来定义所需的序列化，但这（当然）需要相当繁重的 C 解析。如果做不到这一点，您可以自下而上开始并创建自定义语言来描述调用，然后使用它来生成序列化、反序列化和代理代码。

在 Linux 系统上，您可以控制动态链接器，以便它加载代理库而不是“真实”库。当然，您也可以用代理替换（在磁盘上）真实的库，但是如果服务器不工作，这将破坏所有使用它的应用程序，这似乎非常危险。

Answer 3

因此，您基本上有两个选择，每个选择分别由 unwind 和 ammoQ 概述：

（1）自己编写服务器并执行套接字/协议工作等。您可以使用 Google 的协议缓冲区等解决方案来减轻一些痛苦。

(2) 使用现有的中间件解决方案，如 (a) 消息队列或 (b) RPC 机制（如 CORBA 及其许多替代方案），

两者的工作量可能比您预期的要多。所以你真的必须自己回答这个问题。你的项目有多认真？您的硬件有多多样化？未来硬件和软件配置发生变化的可能性有多大？

如果这不仅仅是一个学习或宠物项目，您在一两个月内就会感到无聊，那么现有的中间件解决方案可能是最佳选择。缺点是学习曲线有些令人生畏。

您可以使用 CORBA、ICE，或者当今的 Java 解决方案（RMI？EJB？），以及其他一些解决方案。这是一个优雅的解决方案，因为您对远程加密机的调用在您的 SystemA 中显示为简单的函数调用，并且中间件处理数据问题和套接字。但你不可能在一个周末就学会它们。

就我个人而言，我会先看看像 AMQP 这样的消息队列解决方案是否适合您。与 RPC 相比，学习曲线更短。