| openssl+socket实现client/server加密通信【python】 | 您所在的位置:网站首页 › 通信 加密 › openssl+socket实现client/server加密通信【python】 |
openssl+socket实现client/server加密通信【python】
|
一、简介
计算机网络实验,实现安全的web服务器,要求完成简单的客户端、服务器通信功能。 简单理解,web服务器是http server,安全的web服务器也即利用openssl加密后的https server。 python中创建服务器主要有两类方法,一种是利用python socket编程,一种是调用http.server包。调用http.server是更简单便捷的方式,我在另一篇文章中写了这种方式完成简单的多线程https server: python3实现简单的多线程https serve在本篇文章中使用第一种方法python socket编程,实现客户端、服务器加密通信。 阅读了一波资料后,我终于知道了以前望而却步的socket是什么,并且认为理解socket的工作逻辑对理解客户端与服务端的通信很重要,在这里和大家分享: (一)socket介绍socket(套接字)的英文原义是插座、插槽。以电话座机为例,如果没有网线接口,电话之间无法通信。而socket是实现TCP、UDP协议的接口。应用程序通过socket向网络发出请求或者应答请求,使主机间或者一台计算机上的进程之间可以通信。 socket起源于unix,在unix一切皆文件的思想下,socket是一种“打开—读/写—关闭”模式。服务器和客户端各自维护一个文件,在建立连接打开后,可以向自己文件写入内容供对方读取或者读取对方内容,通信结束时关闭文件。 (1)socket工作流程如下: 服务器根据地址类型(ipv4,ipv6)、socket类型、协议创建socket。服务器为socket绑定IP地址和端口号。服务器socket监听端口号请求,随时准备接收客户端发来的连接,这时候服务器的socket并没有被打开。客户端创建socket。客户端打开socket,根据服务器IP地址和端口号试图连接服务器socket。服务器socket接收到客户端socket请求,被动打开,开始接收客户端请求,直到客户端返回连接信息。这时服务器端socket进入阻塞状态,即accept()方法一直等待到客户端返回连接信息后才返回,开始接收下一个客户端连接请求。客户端连接成功,向服务器发送连接状态信息。服务器accept方法返回,连接成功。客户端向socket写入信息,或者是服务器端向socket写入信息。服务器读取信息,或者是客户端读取信息。客户端关闭。服务器关闭。
(2)socket对象方法: 服务器端: bind():绑定(host,port)到socketlisten():开始TCP监听,backlog指定可以挂起的最大连接数量。该值至少为1,大部分程序设为5就可以。accept():被动接受连接,等待连接的到来客户端: connect()主动初始化连接 (hostname,port)connect()连接出错时返回出错码,而不是抛出异常公共: recv():接收TCP数据,数据以字符串形式返回,bufsize指定要接收的最大数据量。send():发送TCP数据,将string中的数据发送到连接的socket。close():关闭套接字 (二)socket实现客户端、服务器通信(1)服务器端程序: import socket ''' 01 服务器端:绑定127.0.0.1,端口号:4443 02当客户端创建socket连接到该服务器socket时,监听数据, 并将接收到的数据存储到from_client中; 03 打印接收到的数据 04 发送一串数据给客户端 ''' serv = socket.socket(socket.AF_INET, socket.SOCK_STREAM) server_address = ("127.0.0.1", 4443) serv.bind(server_address) serv.listen(5) while True: conn, addr = serv.accept() from_client = '' while True: data = str(conn.recv(4096),encoding='utf8') # 接收到的数据类型为byte,转换成str if not data: break from_client = from_client + data print(from_client) conn.send(bytes("I am server\n",encoding='utf8')) # 将str转换成byte类型,传送时需要用byte conn.close() print("client disconnected")(2)客户端程序: import socket ''' 01 客户端:连接到127.0.0.1,端口:4443 02 发送数据给服务器 03 接收来自服务器端的数据,并打印 To test: use 2 terminal windows at the same time the client runs only if the server program is currently running. ''' client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) server_address = ("127.0.0.1", 4443) client.connect(server_address) client.send(bytes("I am client\n", encoding='utf8')) from_server = str(client.recv(4096),encoding='utf8') print(from_server) client.close()(3)运行结果 测试时打开两个终端,一个运行服务器,一个运行客户端,客户端进行通信测试需要在服务器运行的状态下完成。 首先打开一个终端,转到文件目录下,运行服务器端文件:socket_server1.py
另外打开一个终端,同样转到文件目录,运行客户端文件:socket_client1.py, 观察客户端与服务器端通信结果:
客户端获取到了服务端发送的内容“I am server”,此时观察服务器端窗口:
服务器端接收到了客户端的消息“I am client”。 OK,这样简单的客户端、服务器通信就完成了。 接下来我们通过加载ssl,实现安全的通信。首先我们需要创建自己的私钥文件和证书文件: 二、客户端、服务器加密通信 (一)利用openssl创建自签名证书利用openssl创建签名证书主要有三个步骤: 生成一个RSA私钥创建一个证书签名请求(CSR)用私钥签名CSR在这个过程中我们往后需要的文件有两个: 私钥文件:privkey.pem证书文件:certificate.pem具体步骤—方法一: 1. 检查是否已经安装有openssl,Mac自带已经安装openssl,可以通过brew更新版本:
2. 生成RSA私钥: $openssl genrsa -out privkey.pem 2048生成一个2048位的RSA私钥。 3. 创建CSR: $openssl req -new -key privkey.pem -out signreq.csr会提示要求输入一些基本信息,按要求填写即可:
4. 用私钥签名CSR: $openssl x509 -req -days 365 -in signreq.csr -signkey privkey.pem -out certificate.pem5. 可以查看证书细节信息: $openssl x509 -text -noout certificate.pem显示如下:
这样私钥文件和证书文件就创建完成了,把创建出的两个文件移到python socket同一目录下,方便使用。 具体步骤—方法二: 以上是生成私钥文件和证书文件的拆解步骤,其实我们可以简便的通过一条语句生成需要的两个文件,省略生成CSR文件的环节: $openssl req -newkey rsa:2048 -nodes -keyout privkey.pem -x509 -days 36500 -out certificate.pem以上语句生成的私钥带有passphrase密钥保护,如果不需要可以去掉语句中的 -nodes。 语句中privkey.pem和certificate.pem就是我们需要的文件。 接下来就可以利用私钥与证书实现加密通信了。 (二)ssl+socket加密通信(1)服务器端 import socket import ssl ''' 01 服务器端:绑定127.0.0.1,端口号:4443 02 ssl.wrap_socket加密打包 03 当客户端创建socket连接到该服务器socket时,监听数据, 并将接收到的数据存储到from_client中; 04 打印接收到的数据 05 发送一串数据给客户端 ''' serv = socket.socket(socket.AF_INET, socket.SOCK_STREAM) serv = ssl.wrap_socket(serv, keyfile='./privkey.pem', certfile='./certificate.pem', server_side=True) serv.bind(("127.0.0.1", 4443)) serv.listen(5) while True: conn, addr = serv.accept() from_client = '' while True: data = str(conn.recv(4096),encoding='utf8') # 接收到的数据类型为byte,转换成str if not data: break from_client = from_client + data print(from_client) conn.send(bytes("I am server\n",encoding='utf8')) # 将str转换成byte类型,传送时需要用byte conn.close() print("client disconnected")(2)客户端 import socket import ssl ''' 01 客户端:连接到127.0.0.1,端口:4443 02 ssl.wrap_socket加密打包 03 发送数据给服务器 04 接收来自服务器端的数据,并打印 To test: use 2 terminal windows at the same time the client runs only if the server program is currently running. ''' client = socket.socket(socket.AF_INET, socket.SOCK_STREAM) client = ssl.wrap_socket(client, keyfile='./privkey.pem', certfile='./certificate.pem', server_side=False) client.connect(("127.0.0.1", 4443)) client.send(bytes("I am client\n", encoding='utf8')) from_server = str(client.recv(4096),encoding='utf8') print(from_server) client.close()对比没有加密的通信,其实加密通信就是利用ssl.wrap_socket将创建的socket包起来而已,运行结果一致。
【参考资料】 https://blog.csdn.net/wabil/article/details/80127978 https://www.devdungeon.com/content/creating-self-signed-ssl-certificates-openssl |
【本文地址】