python實(shí)現(xiàn)對(duì)服務(wù)器腳本敏感信息的加密解密功能

發(fā)布時(shí)間：2020-09-09 02:12:29 來(lái)源：腳本之家閱讀：360 作者：杜文健欄目：開(kāi)發(fā)技術(shù)

背景

在實(shí)際項(xiàng)目實(shí)施中，會(huì)編寫(xiě)很多在服務(wù)器執(zhí)行的作業(yè)腳本。程序中凡是涉及到數(shù)據(jù)庫(kù)鏈接、操作系統(tǒng)用戶(hù)鏈接、IP地址、主機(jī)名稱(chēng)的內(nèi)容都是敏感信息。在純內(nèi)網(wǎng)系統(tǒng)中往因?yàn)殚_(kāi)發(fā)時(shí)間緊迫，往往都直接將這些敏感信息明文方式寫(xiě)在腳本中了。

稍微規(guī)范一點(diǎn)的，創(chuàng)建一個(gè)通用的config文件，將所有這類(lèi)敏感信息記錄在這個(gè)文件中，腳本以讀取文件方式獲取這些信息。這種方式的好處是腳本不用在應(yīng)用遷移、災(zāi)備部署的時(shí)候再起不同的版本，尤其是大數(shù)據(jù)平臺(tái)作業(yè)運(yùn)行的腳本，如果是需要做災(zāi)備集群，這種方式可以減少生產(chǎn)變更時(shí)的人工干預(yù)操作。但是這種方式仍不能解決安全性的問(wèn)題，只要config文件泄露，那么平臺(tái)會(huì)非常危險(xiǎn)。

因此在這個(gè)config文件的基礎(chǔ)上，對(duì)其進(jìn)行改造，實(shí)現(xiàn)對(duì)內(nèi)容的加密，而腳本使用時(shí)再對(duì)其進(jìn)行解密。因此要求有一個(gè)程序能對(duì)文本內(nèi)容進(jìn)行加密，也能進(jìn)行反向解密。

不可逆的加密方法使用最多的就是md5加密算法，我們一般用來(lái)檢驗(yàn)文件的完整和安全性，不適用這個(gè)場(chǎng)景。

使用python語(yǔ)言對(duì)文本內(nèi)容進(jìn)行加解密有多種方式，從網(wǎng)上搜索結(jié)果看主要有以下幾種：

1.方法一使用base64轉(zhuǎn)編碼

Base64是一種用64個(gè)字符來(lái)表示任意二進(jìn)制數(shù)據(jù)的方法。

用記事本打開(kāi)exe、jpg、pdf這些文件時(shí)，我們都會(huì)看到一大堆亂碼，因?yàn)槎M(jìn)制文件包含很多無(wú)法顯示和打印的字符，所以，如果要讓記事本這樣的文本處理軟件能處理二進(jìn)制數(shù)據(jù)，就需要一個(gè)二進(jìn)制到字符串的轉(zhuǎn)換方法。Base64是一種最常見(jiàn)的二進(jìn)制編碼方法。

Base64的原理很簡(jiǎn)單，首先，準(zhǔn)備一個(gè)包含64個(gè)字符的數(shù)組：

['A', 'B', 'C', ... 'a', 'b', 'c', ... '0', '1', ... '+', '/']

然后，對(duì)二進(jìn)制數(shù)據(jù)進(jìn)行處理，每3個(gè)字節(jié)一組，一共是3x8=24bit，劃為4組，每組正好6個(gè)bit,得到4個(gè)數(shù)字作為索引，然后查表，獲得相應(yīng)的4個(gè)字符，就是編碼后的字符串。

所以，Base64編碼會(huì)把3字節(jié)的二進(jìn)制數(shù)據(jù)編碼為4字節(jié)的文本數(shù)據(jù)，長(zhǎng)度增加33%，好處是編碼后的文本數(shù)據(jù)可以在郵件正文、網(wǎng)頁(yè)等直接顯示。

如果要編碼的二進(jìn)制數(shù)據(jù)不是3的倍數(shù)，最后會(huì)剩下1個(gè)或2個(gè)字節(jié)怎么辦？

Base64用\x00字節(jié)在末尾補(bǔ)足后，再在編碼的末尾加上1個(gè)或2個(gè)=號(hào)，表示補(bǔ)了多少字節(jié)，解碼的時(shí)候，會(huì)自動(dòng)去掉。

Python內(nèi)置的base64可以直接進(jìn)行base64的編解碼：

import base64
userPassword="sunlinemdp201810"
unkownPassword=base64.b64encode(bytes(userPassword,'utf-8'))
print("加密后："+str(unkownPassword,'utf-8'))
kownPassword=str(base64.b64decode(unkownPassword),'utf-8')
print('解密后：'+kownPassword)

補(bǔ)充說(shuō)明：python3中對(duì)字符串加解密的方法 base64.encodestring('test') 不能用因此只能采用bytes方法然后中間進(jìn)行格式轉(zhuǎn)換

由于標(biāo)準(zhǔn)的Base64編碼后可能出現(xiàn)字符+和/，在URL中就不能直接作為參數(shù)，所以又有一種"url urlsafe_b64encode"的base64編碼方法，實(shí)現(xiàn)對(duì)+和/的轉(zhuǎn)碼，在現(xiàn)在使用的版本中這個(gè)功能已經(jīng)整合在b64encode方法中了

userPassword="sunlinemdp201810"
unkownPassword=base64.b64encode(bytes(userPassword,'utf-8'))
print("加密后："+str(unkownPassword,'utf-8'))
unkownPassword=base64.urlsafe_b64encode(bytes(userPassword,'utf-8'))
print("解密后："+str(unkownPassword,'utf-8'))
base64.urlsafe_b64decode(unkownPassword)

2.方法二 win32com.client

樣例代碼如下：

import win32com.client
def encrypt(key,content): # key:密鑰,content:明文
 EncryptedData = win32com.client.Dispatch('CAPICOM.EncryptedData')
 EncryptedData.Algorithm.KeyLength = 5
 EncryptedData.Algorithm.Name = 2
 EncryptedData.SetSecret(key)
 EncryptedData.Content = content
 return EncryptedData.Encrypt()
def decrypt(key,content): # key:密鑰,content:密文
 EncryptedData = win32com.client.Dispatch('CAPICOM.EncryptedData')
 EncryptedData.Algorithm.KeyLength = 5
 EncryptedData.Algorithm.Name = 2
 EncryptedData.SetSecret(key)
 EncryptedData.Decrypt(content)
 str = EncryptedData.Content
 return str

s1 = encrypt('sunline', 'hello world')
s2 = decrypt('sunline', s1)
print s1,s2

win32com是python操作windows程序的第三方包，放在服務(wù)器上使用不太合適。

3.方法三 PyCrypto

一個(gè)極好的用于信息安全的python庫(kù)，包括所有主流算法。

具體可以參考：

附pycrypto調(diào)用方法

服務(wù)器文件加密實(shí)現(xiàn)

現(xiàn)在假定要對(duì)一個(gè)存儲(chǔ)各類(lèi)ip、賬戶(hù)、密碼的global.properties文件進(jìn)行加密，同時(shí)，支持在讀取時(shí)進(jìn)行解密。

global.properties的內(nèi)容假定如下圖所示：

bgp.inceptor.in1.ip=10.22.179.13
bgp.inceptor.in1.default=cmr
bgp.inceptor.in2.ip=10.22.179.14
bgp.inceptor.in2.default=default
bdp.ldap.mdp.username=mdp
bdp.ldap.mdp.password=mdp

每一行使用等號(hào)將信息分為兩段，等號(hào)左邊是信息項(xiàng)名稱(chēng)，等號(hào)右邊是信息項(xiàng)具體的內(nèi)容，我們要對(duì)信息項(xiàng)的具體的內(nèi)容進(jìn)行加密。

首先做需求分析，我們的需求可以拆分為以下幾個(gè)：

實(shí)現(xiàn)對(duì)指定字符串內(nèi)容基于某個(gè)密鑰的加解密內(nèi)容輸出
讀取指定加密配置文件，根據(jù)信息項(xiàng)名稱(chēng)讀取指定內(nèi)容后加解密輸出
讀取指定配置文件，對(duì)文件內(nèi)每一行信息項(xiàng)的具體內(nèi)容進(jìn)行加解密后生成新的加解密后的配置文件

第二步做程序設(shè)計(jì)，我是從功能上進(jìn)行拆分設(shè)計(jì)：

基本功能包括：

加密解密
獲取文件
文件指定內(nèi)容讀取

交互操作包括：

參數(shù)讀取解析
具體功能實(shí)現(xiàn)，輸出結(jié)果或生成文件

輸入輸出設(shè)計(jì)：

輸入：功能類(lèi)型 -d 對(duì)應(yīng) 四種功能需求
輸入：密鑰 -k 密鑰內(nèi)容
輸入：加密內(nèi)容或解密內(nèi)容 -c 對(duì)應(yīng)功能2
輸入：配置文件路徑名稱(chēng) -f 對(duì)應(yīng)功能 234
輸入：信息項(xiàng)內(nèi)容 -i 對(duì)應(yīng)功能4
輸出：加解密文對(duì)應(yīng)功能 1 4
輸出：文件路徑及名稱(chēng) 對(duì)應(yīng)功能 2 3

第三步，首先根據(jù)他人提供的方法做了一個(gè)對(duì)具體字符串進(jìn)行加解密的類(lèi)，唯一多做的處理就是對(duì)加密使用的密鑰多了一個(gè)base64編碼的過(guò)程，文件保存為optcrypt.py：

#coding: utf8 '''

實(shí)現(xiàn)對(duì)指定字符串內(nèi)容基于某個(gè)密鑰的加解密內(nèi)容輸出

密鑰使用base64多加一層處理

version: v0.0.1
author: Duwj
date: 2018-10-24
'''
import sys
from Crypto.Cipher import AES
from binascii import b2a_hex, a2b_hex
import base64
class optcrypt():
 def __init__(self, key):
  self.key = str(base64.b64decode(key))
  self.mode = AES.MODE_CBC
  #self.iv = Random.new().read(AES.block_size)
 #加密函數(shù)，如果text不是16的倍數(shù)【加密文本text必須為16的倍數(shù)！】，那就補(bǔ)足為16的倍數(shù)
 def aesencrypt(self, text):
  #密鑰key 長(zhǎng)度必須為16（AES-128）、24（AES-192）、或32（AES-256）Bytes 長(zhǎng)度.目前AES-128足夠用
  cipher = AES.new(self.key, self.mode, self.key)
  #cipher=AES.new(bytes(self.key), self.mode,Random.new().read(AES.block_size))
  #加密文本text必須為16的倍數(shù)
  add = 16 - (len(text) % 16)
  text = text + ('\0' * (16 - (len(text) % 16)))
  self.ciphertext = cipher.encrypt(text)
  #因?yàn)锳ES加密時(shí)候得到的字符串不一定是ascii字符集的，輸出到終端或者保存時(shí)候可能存在問(wèn)題
  #所以這里統(tǒng)一把加密后的字符串轉(zhuǎn)化為16進(jìn)制字符串
  return b2a_hex(self.ciphertext)
 #解密 
 def aesdecrypt(self, text):
  cryptor = AES.new(self.key, self.mode, self.key)
  #16進(jìn)制轉(zhuǎn)回后解密
  plain_text = cryptor.decrypt(a2b_hex(text))
  #rstrip()去掉補(bǔ)的空格
  return plain_text.rstrip('\0')
if __name__ == '__main__':
 #設(shè)置環(huán)境編碼
 reload(sys)
 sys.setdefaultencoding('utf8')
 #測(cè)試
 pc = optcrypt('c3VubGluZW1kcDIwMTgxMQ==') 
 e = pc.aesencrypt("duwj") 
 d = pc.aesdecrypt("d518cdd30b854b84f5aa7c5511e03e38") 
 print "info:duwj,encrypt:"+e+",decrypt:"+d  

然后就是依托這個(gè)基礎(chǔ)的字符串加解密類(lèi)，實(shí)現(xiàn)對(duì)字符串、文件、信息項(xiàng)的加解密功能，在這個(gè)過(guò)程中沒(méi)有對(duì)復(fù)雜的properties結(jié)構(gòu)進(jìn)行解析，單純的使用=實(shí)現(xiàn)信息項(xiàng)和密文內(nèi)容的分離，文件保存為server.py:

#!bin/python
#-*- coding: UTF-8 -*-

'''

腳本功能：

         1. 實(shí)現(xiàn)對(duì)指定字符串內(nèi)容基于某個(gè)密鑰的加解密內(nèi)容輸出
         2. 讀取指定加密配置文件，根據(jù)信息項(xiàng)名稱(chēng)讀取指定內(nèi)容后加解密輸出
         3. 讀取指定配置文件，對(duì)文件內(nèi)每一行信息項(xiàng)的具體內(nèi)容進(jìn)行加解密后生成新的加解密后的配置文件
使用說(shuō)明：python server.py
         -d [選擇方法[se 字符串加密 /sd 字符串解密/ie 信息項(xiàng)加密/id 信息項(xiàng)解密/fe 文件加密/fd 文件加密]]
         -k [16位密鑰]
         -c [加密內(nèi)容]
         -f [文件名稱(chēng)]
         -i [信息項(xiàng)名稱(chēng)]
         字符串加解密必選項(xiàng)： -k -c
         信息項(xiàng)加解密必選項(xiàng)： -k -f -i
         文件加解密必選項(xiàng):    -k -f

version: v0.0.1
author: Duwj
date: 2018-11-05
'''
import os
import sys
import getopt 
from optcrypt import optcrypt
#字符串加解密
def stringCrpyt(func_name,value):
 if func_name =="se":
  crpyt_value=pc.aesencrypt(value)
 else:
  crpyt_value=pc.aesdecrypt(value)
 return crpyt_value
#信息項(xiàng)加解密輸出
def infoCrpyt(func_name,file_name,info_name):
 value=""
 try:
  pro_file = open(file_name, 'Ur')
  for line in pro_file.readlines():
   line = line.strip().replace('\n', '')
   if info_name == line.split('=')[0]:
    value = line.split('=')[1]
    #print value 
 except Exception, e:
   raise e
 finally:
  pro_file.close()
 if func_name == "ie":
  crpyt_value=pc.aesencrypt(value)
 elif func_name=="id":
  crpyt_value=pc.aesdecrypt(value)
 return crpyt_value 
#文件加解密
def fileCrpyt(func_name,file_name):
 try:
  read_file = open(file_name,'Ur')
  write_file = open(file_name+"."+func_name+"crypt",'w')
  if func_name == "fe":
   for line in read_file.readlines():
    line = line.strip().replace('\n', '')
    if line=="":
     pass
    elif line.find("#")!=-1:
     write_file.write(line+"\n")
    else:
     strs=line.split('=')[0]+"="+pc.aesencrypt(line.split('=')[1])
     write_file.write(strs+"\n")
  else:
   for line in read_file.readlines():
    line = line.strip().replace('\n', '')
    if line.find("#")!=-1:
     write_file.write(line+"\n")
    else:
     strs=line.split('=')[0]+"="+pc.aesdecrypt(line.split('=')[1])
     write_file.write(strs+"\n")
 except Exception, e:
   raise e
 finally:
  read_file.close()
  write_file.close()
 return file_name+"."+func_name+"crypt"
if __name__ == "__main__":
 #設(shè)置環(huán)境編碼
 reload(sys)
 sys.setdefaultencoding('utf8')
 msg='''使用說(shuō)明：python server.py 
   -d [選擇方法[se 字符串加密 /sd 字符串解密/ie 信息項(xiàng)加密/id 信息項(xiàng)解密/fe 文件加密/fd 文件加密]] 
   -k [16位密鑰]
   -c [加密內(nèi)容]
   -f [文件名稱(chēng)]
   -i [信息項(xiàng)名稱(chēng)]
   字符串加解密必選項(xiàng)： -k -c 
   信息項(xiàng)加解密必選項(xiàng)： -k -f -i
   文件加解密必選項(xiàng): -k -f 
   '''  
 #獲取參數(shù)
 opts, args = getopt.getopt(sys.argv[1:], "d:k:c:f:i:")
 if len(opts)==0:
  print msg
  sys.exit(0)
 for op, value in opts:
  if op == "-d":
   func_name = value
  elif op == "-k":
   key_content = value
  elif op == "-c":
   txt_content = value
  elif op == "-f":
   file_name = value
  elif op == "-i":
   info_name = value
 #print(opts) 
 #初始化密鑰
 pc = optcrypt(key_content)
 #根據(jù)功能類(lèi)型執(zhí)行
 if func_name in("se","sd"):
  print stringCrpyt(func_name,txt_content)
 elif func_name in ("ie","id"):
  print infoCrpyt(func_name,file_name,info_name) 
 elif func_name in ("fe","fd"):
  print fileCrpyt(func_name,file_name)
 else:
  print("there is no function named "+func_name)
 sys.exit(0)

注意在項(xiàng)目文件夾中增加一個(gè)init.py文件以便于腳本能識(shí)別optcrypt模塊。

測(cè)試腳本test.sh：

#!/bin/bash
#依賴(lài)python pycrypt模塊 安裝這個(gè)模塊的命令是 python setup.py install 
#系統(tǒng)必須現(xiàn)安裝yum install python-devel
#測(cè)試加解密程序
#c3VubGluZW1kcDIwMTgxMQ== 是對(duì) sunlinemdp201811 進(jìn)行base64編碼后的值 可以修改 方法為：
# 1.命令行執(zhí)行 python 進(jìn)入python編程環(huán)境
# 2.執(zhí)行以下代碼 
# import base64
# print s= base64.b64encode("sunlinemdp201811") # 引號(hào)內(nèi)為想編碼的密鑰文本
#幫助
python server.py
#字符串加密
python server.py -d se -k c3VubGluZW1kcDIwMTgxMQ== -c sunline
#字符串解密
python server.py -d sd -k c3VubGluZW1kcDIwMTgxMQ== -c cd3f4a3b1c4a189d3fe985495f6f963b
#文件加密
python server.py -d fe -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties
#文件解密
python server.py -d fd -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties.fecrypt
#信息項(xiàng)加密輸出
python server.py -d ie -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties -i database.ora10g.username
#信息項(xiàng)解密輸出
python server.py -d id -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties.fecrypt -i database.ora10g.username
#shell中獲取python輸出值的方法：
outputString=`python server.py -d ie -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties -i database.ora10g.username`
echo outputString:${outputString}
outputFile=`python server.py -d fe -k c3VubGluZW1kcDIwMTgxMQ== -f global.properties`
echo outputFile:${outputFile}

輸出結(jié)果：

[root@localhost encrypt]# ./test.sh
使用說(shuō)明：python server.py 
   -d [選擇方法[se 字符串加密 /sd 字符串解密/ie 信息項(xiàng)加密/id 信息項(xiàng)解密/fe 文件加密/fd 文件加密]] 
   -k [16位密鑰]
   -c [加密內(nèi)容]
   -f [文件名稱(chēng)]
   -i [信息項(xiàng)名稱(chēng)]
   字符串加解密必選項(xiàng)： -k -c 
   信息項(xiàng)加解密必選項(xiàng)： -k -f -i
   文件加解密必選項(xiàng): -k -f 
   
cd3f4a3b1c4a189d3fe985495f6f963b
sunline
global.properties.fecrypt
global.properties.fecrypt.fdcrypt
d518cdd30b854b84f5aa7c5511e03e38
dw
outputString:d518cdd30b854b84f5aa7c5511e03e38
outputFile:global.properties.fecrypt

續(xù)會(huì)對(duì)腳本進(jìn)行內(nèi)容補(bǔ)充，主要是增加一些之前為了功能實(shí)現(xiàn)而忽略的異常處理和日志登記的內(nèi)容。

附程序代碼地址

附加密算法介紹

總結(jié)

以上所述是小編給大家介紹的python實(shí)現(xiàn)對(duì)服務(wù)器腳本敏感信息的加密解密功能,希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)億速云網(wǎng)站的支持！
如果你覺(jué)得本文對(duì)你有幫助，歡迎轉(zhuǎn)載，煩請(qǐng)注明出處，謝謝！

向AI問(wèn)一下細(xì)節(jié)

python實(shí)現(xiàn)對(duì)服務(wù)器腳本敏感信息的加密解密功能

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽