CMDB 数据加密最终整合API验证+AES数据加密

当CMDB运行在内网的时候，经过API验证的三关是没有问题的，但是如果运行在外网，有一个问题是，黑客截取后的访问速度比客户端快的时候还会造成数据泄露。为了解决这个问题，就要对数据进行加密

RSA加密

RSA是一种非对称加密，但是对加密的字符串的长度需要设置。但是字符串的长度是不固定的，而且这种方式的加密，加密的字符串越长，加密的时间越长。

pip install rsa
rsa.newkeys(256) 256代表加密的位数 256/8=32 就是32个字节，但是源码中32-11=21 也就是最多加密21个字节

import rsa

import base64

# ######### 1. 生成公钥私钥 #########

pub_key_obj, priv_key_obj = rsa.newkeys(256)

pub_key_str = pub_key_obj.save_pkcs1()

pub_key_code = base64.standard_b64encode(pub_key_str)

priv_key_str = priv_key_obj.save_pkcs1()

priv_key_code = base64.standard_b64encode(priv_key_str)

print(pub_key_code)

print(priv_key_code)

# ######### 2. 加密 #########

def encrypt(value):

    key_str = base64.standard_b64decode(pub_key_code)

    pk = rsa.PublicKey.load_pkcs1(key_str)

    val = rsa.encrypt(value.encode('utf-8'), pk)

    return val

# ######### 3. 解密 #########

def decrypt(value):

    key_str = base64.standard_b64decode(priv_key_code)

    pk = rsa.PrivateKey.load_pkcs1(key_str)

    val = rsa.decrypt(value, pk)

    return val

# ######### 基本使用 #########

if __name__ == '__main__':

    v = 'Django'

    v1 = encrypt(v)

    print(v1)

    v2 = decrypt(v1)

    print(v2.decode('utf8'))

AES 加密

微信公众号的加密方式，而且对字符串的长度没有限制

但是要加密的字符串必须是16个字节或者是16个字节的倍数

安装模块

由于用到了Crypto,通过pip安装后Python3.6中仍然不能运行。自己是用的Anconda中的自带的，可以使用。

在GitHub找到了已经编译好的Python3.5的pycrypto.

加密过程

加密用到的key 必须是16个字节或16字节的倍数
被加密的字符串同样也必须是16个字节或16字节的倍数
通过bytearray能对字节的长度进行修改
用空格补足的算法对bytearray用16取余，16-余数+原来的长度就补到了32

# ############## 加密 ##############

from Crypto.Cipher import AES

key = b'jlaksdflj77asdfh'  # 16个字节或16字节的倍数

cipher = AES.new(key, AES.MODE_CBC, key)

data = '要加密的字符串'  # 一个中文是3个字节

byte_data = bytearray(data, encoding='utf8')  # 想要动态修改字节，用bytearray 相当于把字节转换成一个数组

# print(len(byte_data))

v1 = len(byte_data)  # 这是要加密的数据的长度 21

v2 = v1 % 16  # 取余 5

v3 = 16 - v2  # 这是要补足的数 11 : 21+11=32 是16的倍数

for i in range(v3):

    byte_data.append(32)  # 32代表ASCII中的空格 chr(32) 可以查看

# print(len(byte_data))

final_data = byte_data.decode('utf8') # 把字节解码成字符串

print(final_data) # 加密的内容并加上了补足的空格

msg = cipher.encrypt(final_data)  # 进行加密  final_data必须是16个字节或16字节的倍数

print(msg) # 加密后是字节

解密过程

下面是直接利用了加密后的字节msg
解密后删除空格

# ############## 解密 ##############

msg = b'G\xf47P\xf4X\xbf\x88\xba^;\xbcA\xde(\xb0)\xafA\xb8\xd8\t\xca\xef\xd7\xcdZhw\x98?N'

key = b'jlaksdflj77asdfh' # 需要同样的key

cipher_jm = AES.new(key, AES.MODE_CBC, key)

result = cipher_jm.decrypt(msg) # 对字节进行解密

print(result.decode('utf8').strip()) # 解密后删除空格

不用空格进行补足--机智的加密解密

如果原来要加密的字符串中存在空格，机密后会删除空格，这是一个问题

机智的加密方式

当需要补几个字节的时候，就补上几个。如需要11个字节，就补11个11(ascii)

for i in range(v3):

    byte_data.append(v3)  # 当需要补几个字节的时候，就补上几个。如需要11个字节，就补11个11(ascii)

机智的解密取值

result[-1] 是取到了最后一个值，而我们加密的时候，补足的值和个数是相同的
result[0:result[-1]] 就代表真正的数据牛逼！！！

result = cipher_jm.decrypt(msg)

result_data = result[0:-result[-1]]

例子：

result = b'\xe8\xa6\x81\xe5\x8a\xa0\xe5\xaf\x86\xe7\x9a\x84\xe5\xad\x97\xe7\xac\xa6\xe4\xb8\xb2\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b\x0b' # result 是解密后的数据

print('最后一个字节',result[-1]) # 取最后一个值

print('真实的数据',result[0:-result[-1]])  # 获取真实的数据 result[0:-11]

还有一个问题是 v2取余是0的情况

v2取余是0的情况，加密的字符串正好就是16的倍数，那么解密的时候就出问题了，解决问题还得从加密的地方入手。思路是主动设置一个值，如16

v1 = len(byte_data)

v2 = v1 % 16  # 取余 5

if v2 == 0:

    v3 = 16 # 字符串正好是16的倍数 余数是0 主动设置成16

else:

    v3 = 16 - v2  # 这是要补足的数 11 : 21+11=32 是16的倍数

for i in range(v3):

    byte_data.append(v3)

最终封装成函数

from Crypto.Cipher import AES

def encrypt(message):

    key = b'jlaksdflj77asdfh'  # 16个字节或16字节的倍数

    cipher = AES.new(key, AES.MODE_CBC, key)

    byte_data = bytearray(message, encoding='utf8')  # 想要动态修改字节，用bytearray 相当于把字节转换成一个数组

    v1 = len(byte_data)  # 这是要加密的数据的长度 21

    v2 = v1 % 16  # 取余 5

    if v2 == 0:

        v3 = 16

    else:

        v3 = 16 - v2  # 这是要补足的数 11 : 21+11=32 是16的倍数

    for i in range(v3):

        byte_data.append(v3)

    final_data = byte_data.decode('utf8')  # 把字节解码成字符串

    msg = cipher.encrypt(final_data)  # 进行加密  final_data必须是16个字节或16字节的倍数

    return msg

# ############## 解密 ##############

def decrypt(msg):

    key = b'jlaksdflj77asdfh'  # 需要同样的key

    cipher = AES.new(key, AES.MODE_CBC, key)

    result = cipher.decrypt(msg)  # 对字节进行解密

    data = result[0:-result[-1]]

    return data.decode('utf8')

if __name__ == '__main__':

    msg = encrypt("我要加密了")

    data = decrypt(msg)

    print(data)

API 加密和AES数据加密结合

客户端发送数据的形式

当客户端把采集的信心向API发送的时候，request.post(url,data,json) ,使用json的的时候默认在请求头中添加'content_type': 'application/json',会把字典类型的数据json序列化成字符串发送到API。

# 源码中

if not data and json is not None:

    # urllib3 requires a bytes-like body. Python 2's json.dumps

    # provides this natively, but Python 3 gives a Unicode string.

    content_type = 'application/json'

    body = complexjson.dumps(json)

    if not isinstance(body, bytes):

        body = body.encode('utf-8')

request就是相当于socket，在传输的过程中会把字符串转换成字节发送，所以后台接收的数据实际字节数据。在这里可以自己把数据用json序列化然后转换成字节，用data发送。

import requests

import json

data = {'k1': 'v1'}

data = bytes(json.dumps(data),encoding='utf8')

# response = requests.post("http://127.0.0.1:8000/api/asset.html", headers={'OpenKey': auth()},json={'k1':'v1'})

response = requests.post(

    "http://127.0.0.1:8000/api/asset.html",

     headers={'OpenKey': auth(), 'content_type': 'application/json'},

    data=data

)

print(response.text)

服务端接收数据并解密

    elif request.method == 'POST':

        server_info= decrypt(request.body)  # 对数据进行解密

        server_info = json.loads(server_info) # 对字符串反序列化成字典类型的数据

        print(server_info)

结合后的客户端

把加密和验证制作成插件 lib/utils

from Crypto.Cipher import AES

import time

import hashlib

from config import settings

def encrypt(message):

    """

    数据加密函数

    :param message:

    :return:

    """

    key = b'jlaksdflj77asdfh'  # 16个字节或16字节的倍数

    cipher = AES.new(key, AES.MODE_CBC, key)

    byte_data = bytearray(message, encoding='utf8')  # 想要动态修改字节，用bytearray 相当于把字节转换成一个数组

    v1 = len(byte_data)  # 这是要加密的数据的长度 21

    v2 = v1 % 16  # 取余 5

    if v2 == 0:

        v3 = 16

    else:

        v3 = 16 - v2  # 这是要补足的数 11 : 21+11=32 是16的倍数

    for i in range(v3):

        byte_data.append(v3)

    final_data = byte_data.decode('utf8')  # 把字节解码成字符串

    msg = cipher.encrypt(final_data)  # 进行加密  final_data必须是16个字节或16字节的倍数

    return msg

def decrypt(msg):

    """

    数据解密函数

    :param msg:

    :return:

    """

    key = b'jlaksdflj77asdfh'  # 需要同样的key

    cipher = AES.new(key, AES.MODE_CBC, key)

    result = cipher.decrypt(msg)  # 对字节进行解密

    data = result[0:-result[-1]]

    return data.decode('utf8')

def auth():

    """

    API验证

    :return:

    """

    ctime = time.time()

    key = settings.AUTH_KEY

    new_key = '%s|%s' % (key, ctime)

    m = hashlib.md5()

    m.update(bytes(new_key, encoding='utf8'))  # python3中是字节

    md5_key = m.hexdigest()  # 加密后是字符串

    md5_key_time = '%s|%s' % (md5_key, ctime)  # 把当前时间发送后API，API利用时间进行加密，最后比较的是密文

    return md5_key_time

调用：

client/Base
注意要有请求头，主要是包含OpenKey

class Base(object):

    def post_asset(self, server_info):

        data = encrypt(json.dumps(server_info))  # 把采集到的资产信息序列化化成字符串 加密后变成字节

        # requests.post(settings.API, json=server_info)  # 向API发送数据 json=() 内部json序列化

        requests.post(settings.API, data=data,headers={'OpenKey': auth(), 'content_type': 'application/json'})  # 向API发送数据 json=() 内部json序列化

结合后的服务端

server_info= decrypt(request.body) # 对数据进行解密
server_info = json.loads(server_info) # 对字符串反序列化成字典类型的数据

import json

import hashlib

import time

from django.shortcuts import render, HttpResponse

from repository import models

from api.service import PluginManager

from autoserver import settings

def decrypt(msg):

    from Crypto.Cipher import AES

    key = b'jlaksdflj77asdfh'  # 需要同样的key

    cipher = AES.new(key, AES.MODE_CBC, key)

    result = cipher.decrypt(msg)  # 对字节进行解密

    data = result[0:-result[-1]]

    return data.decode('utf8')

# 在全局(存在内存中)建立已访问列表，格式是{'key秘钥|时间':超时时间} 后期可以用redis memcache等直接设置超时时间

api_key_record = {

}

def asset(request):

    client_md5_citme = request.META.get('HTTP_OPENKEY') # 客户端发送过来的MD5和用于加密的时间

    # print(client_md5_citme)

    client_md5_key,client_time = client_md5_citme.split('|') # 进行分割

    # 第一关：时间验证

    client_time = float(client_time) # 把字符串类型的转化成数字

    server_time = time.time()

    if server_time - client_time > 10:

        return HttpResponse("小伙子，超时了，第一关没有通过验证")

    # 第二关：规则验证

    temp = '%s|%s'%(settings.AUTH_KEY,client_time)

    m = hashlib.md5()

    m.update(bytes(temp, encoding='utf8'))

    server_md5_key = m.hexdigest()  # 服务端利用客户端发送的时间进行MD5加密的数据

    if server_md5_key!= client_md5_key:

        return HttpResponse('第二关没有通过验证')

    # 在进入第三关之前删除api_key_record中的超时的值

    # 字典不能通过for循环中删除

    for k in list(api_key_record.keys()): # 需要把字典的keys()转换成列表

        v = api_key_record[k]

        if server_time > v:

            del api_key_record[k] # 如果超时，则删除api_key_record中相应的记录

    # 第三关：建立访问列表（全局）

    if client_md5_citme in api_key_record:

        return HttpResponse('第三关没有通过验证')

    else:

        api_key_record[client_md5_citme] = client_time + 10 # 设置超时时间 10s后超时，然后从列表中删除

    if request.method == "GET":

        aaa = "重要的数据"

        return HttpResponse(aaa)

    elif request.method == 'POST':

        server_info= decrypt(request.body)  # 对数据进行解密

        server_info = json.loads(server_info) # 对字符串反序列化成字典类型的数据

        # print(server_info)

        # 新资产信息

        # server_info = json.loads(request.body.decode('utf-8'))  # 数据存在于body中

        print(server_info)

        # 数据库中的老的资产信息

        hostname = server_info['basic']['data']['hostname']  # 获取主机名

        server_obj = models.Server.objects.filter(hostname=hostname).first()  # 获得server对象

        # print(server_obj)  # 这里获得是主机名

        if not server_obj:

            return HttpResponse('当前主机名在资产中未录入')

        asset_obj = server_obj.asset  # 直接获得是资产对象 一对一的关系

        PluginManager(hostname,server_info,asset_obj,server_obj).exec_plugin()

    return HttpResponse('...')