FTPS传输文件:解决TLS session of data connection not resumed

原创 于 2025-10-24 15:55:25 发布 · 477 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#1024程序员节 #android

背景

        最近要做一个通过FTPS上传文件到FTP服务端的功能,FTP服务端是搭建在Linux系统上的vsftpd。目前项目是有通过FTP传输文件的功能的,但没有走SSL/TLS加密协议,也就是不支持FTPS。

        本以为是个比较简单的修改,因为依赖的commons-io库,里面有现成的FTPSClient类。但实际开发调试过程中遇到一个比较棘手的问题:使用FTPClient连接FTP和登录都没有问题,但是上传文件失败,FTP服务端的报错是

425 Unable to build data connection: TLS session of data connection not resumed。(我使用的FileZilla Server作为服务端)

或者 522 SSL connection failed; session reuse required: see require_ssl_reuse option in vsftpd.conf man page。(这个是vsftpd的报错)

        经过研究这是由于FTP服务端开启SSL/TLS加密后,默认要求所有SSL数据连接都需要显示SSL会话重用,如果把这个设置关掉,就可以正常传输。(我用的FileZilla Server 1.11.1版本,并没有控制这个功能开启/关闭的设置项。后来换了FileZilla Server中文版,对应的设置项是“在SSL/TLS模式强制使用“PORT P”加密数据通道传输文件”。vsftpd在配置文件中用require_ssl_reuse控制。)

        “显示SSL会话重用”的大概的意思就连接和上传文件都得用一个SSL会话,而目前的FTPSClient在上传文件的时候根据FTP服务端新分配的IP和PORT重新创建了一个SSL会话,导致了报错。感兴趣的可以自行了解。

        目前项目依赖的commons-io库版本是2.6,FTPSClient不支持ssl通道重用。因为我们的项目sdk、jdk(1.8)版本比较老,暂不考虑升级版本的情况下需要解决此问题(我没研究commons-io新版本是否仍有此问题)。 

        网上可以查到通过重写FTPSClient类来解决此问题的方案,大概逻辑是通过反射的方法将连接用的IP和PORT赋值给FTPSClient的一个缓存,这样FTPSClient在上传文件的时候就不会新建SSL会话了。但是在我这里行不通,原因可能有很多,比如sdk版本等,结果就是需要反射获取的字段在我的源码里就不存在。

        但知道方案大概逻辑后,就可以自己再加工一下了。我先附上网上查到的解决方案(方案一),后面是我自己加工的方案(方案二),也是最终解决了我的问题的方案。

       方案一:

public class CustomFTPSClient extends FTPSClient {
    private static final String TAG = "CustomFTPSClient";


    public CustomFTPSClient(boolean isImplicit, SSLContext sslContext) {
        super(isImplicit, sslContext);
    }

    @Override
    protected void _prepareDataSocket_(final Socket socket) throws IOException {
        if (socket instanceof SSLSocket) {
            // Control socket is SSL
            final SSLSession session = ((SSLSocket) _socket_).getSession();
            final SSLSessionContext context = session.getSessionContext();
            // context.setSessionCacheSize(preferences.getInteger("ftp.ssl.session.cache.size"));
            try {
                final Field sessionHostPortCache = context.getClass().getDeclaredField("sessionHostPortCache");
                sessionHostPortCache.setAccessible(true);
                final Object cache = sessionHostPortCache.get(context);
                final Method method = cache.getClass().getDeclaredMethod("put", Object.class, Object.class);
                method.setAccessible(true);
                final String key = String.format("%s:%s", socket.getInetAddress().getHostName(), String.valueOf(socket.getPort())).toLowerCase(Locale.ROOT);
                method.invoke(cache, key, session);
            } catch (NoSuchFieldException e) {
                e.printStackTrace();
                // Not running in expected JRE
                System.out.println("No field sessionHostPortCache in SSLSessionContext");
            } catch (Exception e) {
                // Not running in expected JRE
                e.printStackTrace();
            }
        }
    }
}

        方案二:

public class CustomFTPSClient extends FTPSClient {
    private static final String TAG = "CustomFTPSClient";


    public CustomFTPSClient(boolean isImplicit, SSLContext sslContext) {
        super(isImplicit, sslContext);
    }

    @Override
    protected void _prepareDataSocket_(final Socket socket) throws IOException {
        if (socket instanceof SSLSocket) {
            LogUtil.v(TAG, "Start cached session");
            // com.android.org.conscrypt.OpenSSLSessionImpl
            final SSLSession session = ((SSLSocket) _socket_).getSession();
            // com.android.org.conscrypt.ClientSessionContext
            final SSLSessionContext sessionContext = session.getSessionContext();
            try {
                // SSLSessionContext中有一个sessionsByHostAndPort字段,是一个Map类型
                // sessionsByHostAndPort的key值是ClientSessionContext$HostAndPort类型,value是SSLSession类型
                // HostAndPort中有host和port字段(这两个字段是服务端的IP和服务端监听FTP服务的端口号)
                // 现在需要做的是在sessionsByHostAndPort对象中,将服务端的IP和给客户端分配的端口号,使用上述相同的value(SSLSession)

                // 1. 获取 sessionsByHostAndPort 字段
                final Field sessionsByHostAndPortField = sessionContext.getClass().getDeclaredField("sessionsByHostAndPort");
                sessionsByHostAndPortField.setAccessible(true);
                final Map<?, ?> cache = (Map<?, ?>) sessionsByHostAndPortField.get(sessionContext);

                // 2. 获取 HostAndPort 内部类
                Class<?> hostAndPortClass = null;
                for (Class<?> innerClass : sessionContext.getClass().getDeclaredClasses()) {
                    if (innerClass.getSimpleName().equals("HostAndPort")) {
                        hostAndPortClass = innerClass;
                        break;
                    }
                }

                if (hostAndPortClass == null) {
                    LogUtil.e(TAG, "HostAndPort inner class not found");
                    return;
                }

                // 3. 查找或创建合适的 HostAndPort 键
                Object targetKey = null;
                // 服务端的IP
                String targetHost = getPassiveHost();
                // 服务端给客户端随机分配的端口号
                int targetPort = getPassivePort();

                // 如果没找到匹配的键,尝试创建新键
                if (targetKey == null) {
                    try {
                        Constructor<?> constructor = hostAndPortClass.getDeclaredConstructor(String.class, int.class);
                        constructor.setAccessible(true);
                        targetKey = constructor.newInstance(targetHost, targetPort);
                    } catch (Exception e) {
                        LogUtil.cat(e);
                        return;
                    }
                }
                // 4. 将会话放入缓存
                final Method putMethod = cache.getClass().getDeclaredMethod("put", Object.class, Object.class);
                putMethod.setAccessible(true);
                putMethod.invoke(cache, targetKey, session);
                LogUtil.v(TAG, "Successfully cached session for " + targetHost + ":" + targetPort);
            } catch (Exception e) {
                LogUtil.cat(e);
            }
        }
    }
}

     再附上创建FTPSClient实例的代码:

        //信任所有证书的方式
        TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    public X509Certificate[] getAcceptedIssuers() {
                        return null;
                    }

                    public void checkClientTrusted(X509Certificate[] certs, String authType) throws CertificateException {
                    }

                    public void checkServerTrusted(X509Certificate[] certs, String authType) throws CertificateException {
                    }
                }
        };
        SSLContext sc = SSLContext.getInstance("TLSv1.2");
        sc.init(null, trustAllCerts, new java.security.SecureRandom());
        CustomFTPSClient ftpsClient = new CustomFTPSClient(false, sc);

还有一点需要注意的是,成功登录FTP后,需要设置以下参数:

      // 设置SSL/TLS参数
        ftpsClient.execPBSZ(0);  // 必须设置保护缓冲区大小
        ftpsClient.execPROT("P"); // 设置数据通道保护级别为私有

其他就跟FTPClient一样了,本文章不做介绍。

关于FTP服务端的几个配置:

Protocol:Require explicit FTP over TLS

Minimum allowed TLS version: v1.2

TLS credentials: Use a self-signed X.509 certificate

FTPSClient上传文件
weixin_44973518的博客
11-20 1082
FTP显式TLSV1.2协议,上传文件
FluentFTP的封装(C#)的天坑450报错
ericwuhk的专栏
07-21 1814
FluentFTP的封装(C#)的天坑450报错
FTP,SFTP,FTPS,SSL,TSL简介,区别,联系,使用场景说明
qq_40804558的博客
03-11 6341
FTP/SFTP/FTPS,SSL/TLS协议的简介,区别,联系,使用场景说明
Python FTP_TLS之FileZilla Server -TLS RESUME踩坑425错误
乱舞的浮尘
06-18 2760
Python FTP_TLS模块适配FileZilla Server的TLS RESUME,并解决425 error
FTP Error “425 Unable to build data connection
阿强的一亩三分地,一分耕耘一分收获
08-01 5737
最近有同事在使用Android 4.0.4手机的“tethering” 时遇到了一个问题--FTP可以登录成功,但是无法查看文件“dir , ls”,自己验证了一下,无论是Windows XP, Win 7都不能工作,google一把,发现windows只支持主动模式,不支持被动模式。用linux实验了一下,被动模式可以工作(pftp 或者 ftp -p)。网上大部分都说是防火墙的原因,有列举如何
Windows FTP Error 425: Unable to build data connection
阿强的一亩三分地,一分耕耘一分收获
08-01 7169
http://www.trapstone.com/articles/windows_ftp_425_connection_refused Having problems transferring files with FTP? If you are using the command line FTP client within Windows and getting errors
FileZilla FTP Server FTP over TLS settings 设置FTP服务器证书启用FTPS 【转载】
博客
03-07 1万+
FileZilla FTP Server FTP over TLS settings 设置FTP服务器证书,绑定TLS证书启用FTPS访问,还可以强制客户端使用FTPS加密协议访问FTP服务器禁止未加密连接。FileZilla FTP Server TLS Certificate证书可以去阿里云或者腾讯云等各种SSL证书倒卖机构购买,目前这些网站都有免费服务器HTTPS/FTPS证书,FTPS...
ftps ftplib.error_temp: 425 Unable to build data connection: TLS session of data connection not resumed
05-13
引用[1]提到“450 TLS session of data connection has not resumed or the session does not match the control connection”[^1],而引用[2]则指出在上传文件时触发425错误,数据连接异常导致ECONNABORTED[^2]。...
Linux shell编程学习笔记68: curl 命令行网络数据传输工具 选项数量雷人(上)
Purpleendurer@优快云
08-04 2202
在网络时代,有经常需要在网络上传输数据,时我们需要通过网络下载文件,为了满足这种时代需要,Linux提供了众多网络命令,我们今天先研究curl命令。例如,我们可以使用curl从 URL 下载文件,或将文件上传到服务器。
断点续传如何保障大文件安全?FVD完整性校验机制深度剖析
断点续传技术在大文件传输中面临网络中断、数据不一致与完整性缺失等风险,严重影响传输效率与系统可靠性。本文系统阐述了断点续传的核心机制,包括数据分块、偏移量记录及协议层支持,并深入分析HTTP Range与FTP...
解决FileZilla_Server:425 Can't open data connection 问题详解
09-30
在腾讯云服务器上安装FileZilla Server时出现425 Can't open data connection客户端无法获取目录列表的问题,下面就是解决这个问题的方法
用FileZilla Server 1.9.4给Windows Server 2025搭建FTP服务端
yyongwh的博客
02-26 5540
这样做的好处是,如果您需要更改一组用户的权限,只需修改该组的权限设置即可,无需单独调整每个用户的权限。Host(主机)默认127.0.0.1,Port(端口)不用改,这里的端口不是FTP提供服务的端口,是管理员界面的端口,服务端口和管理员端口不一样是为了更安全。默认是Full(完整)安装,默认就行,咱们安装大而全的。跟前面说的组一样,我们可以添加多个ftp用户,为ftp用户设置一个或者多个目录,设置所属的组(默认能看到组权限设置可以看的目录),设置或者修改ftp密码,也可以为大家可以根据需要进行配置。
425 Unable to build data connection: Connection refused
scruffybear的专栏
11-24 2714
Using FileZilla to access the ftp server, returned the error "425 Unable to build data connection: Connection refused", but use the command line encounter no problem, googled, found the solution,
关于Can't connect to FTP server: 425 Unable to build data connection: Connection timed out的解决
xiangyaonan的博客
11-12 3937
本人是在用WIN10电脑连接本地虚拟机的Ubuntu的ftp服务器时出现的(其中虚拟机使用的NAT网络方式),经过查找相关资料发现是ftp使用主动连接造成的(关于ftp主动模式和被动模式参见文章https://blog.csdn.net/solaraceboy/article/details/78757921),window的命令行连接的明ftp + ip 输入用户名和密码后,再使用LITERAL...
Android 通过 FTPS 连接 FileZilla Server
最新发布
spy2000的专栏
08-19 443
Android 通过 FTPS 连接 FileZilla Server
FTP设置SSL安全加密
热门推荐
cychai的专栏
10-27 1万+
           一般的FTP服务器是以明文方式传输数据的,安全性极差,信息很容易被盗,虽然它提供了SSL加密功能,默认情况下也是没有启用的。所以说为了保证特殊环境下的数据安全,有必要启用SSL功能,提高服务器数据传输的安全性。     SSL协议(Secure Socket Layer,安全套接层)是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护
java ftp关闭连接,当使用Java Apache FTPClient进行FTP TLS获取“握手期间远程主机关闭的连接”时,...
weixin_39810856的博客
02-12 1023
I ran a Java (1.8) program on Windows 10 64x for FTP TLS (org.apache.commons.net.ftp):FTPSClient ftpClient = new FTPSClient();System.setProperty("https.protocols", "TLSv1,TLSv1.1,TLSv1.2");// LISTENER...
Ubuntu 16.04安装配置VSFTPD(支持TLS/SSL加密)
aisao7105的博客
07-28 1035
本文记录Ubuntu安装配置VSFTPD的步骤,为了提高信息传输安全加入TLS/SSL支持。 VSFTPD是洋文Very Secure File Transfer Protocol Daemon的首字母简写,它是开源的、轻量级的FTP服务器软件。 #1 安装VSFTPD $ sudo apt-get install vsftpd #2 配置VSFTPD 配置文件位于 /etc/...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值