一、简介
计算机网络实验,实现安全的web服务器,要求完成简单的客户端、服务器通信功能。
简单理解,web服务器是http server,安全的web服务器也即利用openssl加密后的https server。
python中创建服务器主要有两类方法,一种是利用python socket编程,一种是调用http.server包。调用http.server是更简单便捷的方式,我在另一篇文章中写了这种方式完成简单的多线程https server:
在本篇文章中使用第一种方法python socket编程,实现客户端、服务器加密通信。
阅读了一波资料后,我终于知道了以前望而却步的socket是什么,并且认为理解socket的工作逻辑对理解客户端与服务端的通信很重要,在这里和大家分享:
(一)socket介绍
socket(套接字)的英文原义是插座、插槽。以电话座机为例,如果没有网线接口,电话之间无法通信。而socket是实现TCP、UDP协议的接口。应用程序通过socket向网络发出请求或者应答请求,使主机间或者一台计算机上的进程之间可以通信。
socket起源于unix,在unix一切皆文件的思想下,socket是一种“打开—读/写—关闭”模式。服务器和客户端各自维护一个文件,在建立连接打开后,可以向自己文件写入内容供对方读取或者读取对方内容,通信结束时关闭文件。
(1)socket工作流程如下:
- 服务器根据地址类型(ipv4,ipv6)、socket类型、协议创建socket。
- 服务器为socket绑定IP地址和端口号。
- 服务器socket监听端口号请求,随时准备接收客户端发来的连接,这时候服务器的socket并没有被打开。
- 客户端创建socket。
- 客户端打开socket,根据服务器IP地址和端口号试图连接服务器socket。
- 服务器socket接收到客户端socket请求,被动打开,开始接收客户端请求,直到客户端返回连接信息。这时服务器端socket进入阻塞状态,即accept()方法一直等待到客户端返回连接信息后才返回,开始接收下一个客户端连接请求。
- 客户端连接成功,向服务器发送连接状态信息。
- 服务器accept方法返回,连接成功。
- 客户端向socket写入信息,或者是服务器端向socket写入信息。
- 服务器读取信息,或者是客户端读取信息。
- 客户端关闭。
- 服务器关闭。
(2)socket对象方法:
服务器端:
- bind():绑定(host,port)到socket
- listen():开始TCP监听,backlog指定可以挂起的最大连接数量。该值至少为1,大部分程序设为5就可以。
- accept():被动接受连接,等待连接的到来
客户端:
- connect()主动初始化连接 (hostname,port)
- connect()连接出错时返回出错码,而不是抛出异常
公共:
- recv():接收TCP数据,数据以字符串形式返回,bufsize指定要接收的最大数据量。
- send():发送TCP数据,将string中的数据发送到连接的socket。
- close():关闭套接字
(二)socket实现客户端、服务器通信
(1)服务器端程序:
import socket
'''
01 服务器端:绑定127.0.0.1,端口号:4443
02当客户端创建socket连接到该服务器socket时,监听数据,
并将接收到的数据存储到from_client中;
03 打印接收到的数据
04 发送一串数据给客户端
'''
serv = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
server_address = ("127.0.0.1", 4443)
serv.bind(server_address)
serv.listen(5)
while True:
conn, addr = serv.accept()
from_client = ''
while True:
data = str(conn.recv(4096),encoding='utf8') # 接收到的数据类型为byte,转换成str
if not data:
break
from_client = from_client + data
print(from_client)
conn.send(bytes("I am server\n",encoding='utf8')) # 将str转换成byte类型,传送时需要用byte
conn.close()
print("client disconnected")
(2)客户端程序:
import socket
'''
01 客户端:连接到127.0.0.1,端口:4443
02 发送数据给服务器
03 接收来自服务器端的数据,并打印
To test:
use 2 terminal windows at the same time
the client runs only if the server program is currently running.
'''
client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
server_address = ("127.0.0.1", 4443)
client.connect(server_address)
client.send(bytes("I am client\n", encoding='utf8'))
from_server = str(client.recv(4096),encoding='utf8')
print(from_server)
client.close()
(3)运行结果
测试时打开两个终端,一个运行服务器,一个运行客户端,客户端进行通信测试需要在服务器运行的状态下完成。
首先打开一个终端,转到文件目录下,运行服务器端文件:socket_server1.py
另外打开一个终端,同样转到文件目录,运行客户端文件:socket_client1.py, 观察客户端与服务器端通信结果:
客户端获取到了服务端发送的内容“I am server”,此时观察服务器端窗口:
服务器端接收到了客户端的消息“I am client”。
OK,这样简单的客户端、服务器通信就完成了。
接下来我们通过加载ssl,实现安全的通信。首先我们需要创建自己的私钥文件和证书文件:
二、客户端、服务器加密通信
(一)利用openssl创建自签名证书
利用openssl创建签名证书主要有三个步骤:
- 生成一个RSA私钥
- 创建一个证书签名请求(CSR)
- 用私钥签名CSR
在这个过程中我们往后需要的文件有两个:
- 私钥文件:privkey.pem
- 证书文件:certificate.pem
具体步骤—方法一:
1. 检查是否已经安装有openssl,Mac自带已经安装openssl,可以通过brew更新版本:
2. 生成RSA私钥:
$openssl genrsa -out privkey.pem 2048
生成一个2048位的RSA私钥。
3. 创建CSR:
$openssl req -new -key privkey.pem -out signreq.csr
会提示要求输入一些基本信息,按要求填写即可:
4. 用私钥签名CSR:
$openssl x509 -req -days 365 -in signreq.csr -signkey privkey.pem -out certificate.pem
5. 可以查看证书细节信息:
$openssl x509 -text -noout certificate.pem
显示如下:
这样私钥文件和证书文件就创建完成了,把创建出的两个文件移到python socket同一目录下,方便使用。
具体步骤—方法二:
以上是生成私钥文件和证书文件的拆解步骤,其实我们可以简便的通过一条语句生成需要的两个文件,省略生成CSR文件的环节:
$openssl req -newkey rsa:2048 -nodes -keyout privkey.pem -x509 -days 36500 -out certificate.pem
以上语句生成的私钥带有passphrase密钥保护,如果不需要可以去掉语句中的 -nodes。
语句中privkey.pem和certificate.pem就是我们需要的文件。
接下来就可以利用私钥与证书实现加密通信了。
(二)ssl+socket加密通信
(1)服务器端
import socket
import ssl
'''
01 服务器端:绑定127.0.0.1,端口号:4443
02 ssl.wrap_socket加密打包
03 当客户端创建socket连接到该服务器socket时,监听数据,
并将接收到的数据存储到from_client中;
04 打印接收到的数据
05 发送一串数据给客户端
'''
serv = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
serv = ssl.wrap_socket(serv, keyfile='./privkey.pem', certfile='./certificate.pem', server_side=True)
serv.bind(("127.0.0.1", 4443))
serv.listen(5)
while True:
conn, addr = serv.accept()
from_client = ''
while True:
data = str(conn.recv(4096),encoding='utf8') # 接收到的数据类型为byte,转换成str
if not data:
break
from_client = from_client + data
print(from_client)
conn.send(bytes("I am server\n",encoding='utf8')) # 将str转换成byte类型,传送时需要用byte
conn.close()
print("client disconnected")
(2)客户端
import socket
import ssl
'''
01 客户端:连接到127.0.0.1,端口:4443
02 ssl.wrap_socket加密打包
03 发送数据给服务器
04 接收来自服务器端的数据,并打印
To test:
use 2 terminal windows at the same time
the client runs only if the server program is currently running.
'''
client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client = ssl.wrap_socket(client, keyfile='./privkey.pem', certfile='./certificate.pem', server_side=False)
client.connect(("127.0.0.1", 4443))
client.send(bytes("I am client\n", encoding='utf8'))
from_server = str(client.recv(4096),encoding='utf8')
print(from_server)
client.close()
对比没有加密的通信,其实加密通信就是利用ssl.wrap_socket将创建的socket包起来而已,运行结果一致。
【参考资料】
https://blog.csdn.net/wabil/article/details/80127978
https://www.devdungeon.com/content/creating-self-signed-ssl-certificates-openssl