热门标签
热门文章
- 1探索国内大模型AIGC产品
- 2IC设计公司芯片设计数据流转 要如何做到全面管控?
- 3信通院供应链安全&软件应用安全评估_devops成熟度评估标准 信通院
- 4百度Comate:你的智能编程助手,让代码编写更高效_comate针对哪些痛点
- 5JAVA算法:Dijkstra最短路径算法_dijkstrashortestpath
- 6git: 如何编辑已经提交记录的作者_git提交记录修改提交人
- 7前端调用后端接口,返回200,但是数据返回的是html标签_前端发布上线后接口返回html
- 8频域脉冲压缩_脉冲压缩,补零,位置
- 9pikachu通关教程(XSS)_pika反射性
- 10软件设计文档示例模板,万能的软件设计文档模板
当前位置: article > 正文
加密与安全_深入了解Hmac算法(消息认证码)_hmac-sha512是一种对称密钥算法_hmacsha
作者:笔触狂放9 | 2024-06-17 10:35:33
赞
踩
hmacsha
- 首先,选择一个适当的哈希函数(如MD5、SHA-1、SHA-256等)和一个密钥。
- 将密钥进行适当的填充和处理,以满足哈希函数的输入长度要求。
- 将消息与填充后的密钥按照特定的方式进行组合。
- 对组合后的数据进行哈希运算。
- 将哈希结果作为消息认证码输出。
接收方在接收到消息后,也会使用相同的密钥和哈希函数来计算消息的HMAC值,并与发送方发送的HMAC值进行比较。如果两者一致,则消息完整且来自合法发送者;否则,可能存在消息被篡改或来自未经授权的发送者的风险。
通俗地讲,HMAC算法就像是一种“密码验证器”,它确保数据在传输过程中不被篡改。
想象你要给朋友寄一封信,但你担心信被别人篡改了。你可以用HMAC来解决这个问题。首先,你会在信封上写下你的签名。但这次不是用笔签名,而是用一种特殊的技巧来生成一个“密钥”。这个密钥就像是你的个人密码,只有你和你的朋友知道。
然后,你把这个签名和信一起寄出去。你的朋友收到信后,也知道这个密钥。他会用同样的方法再次生成签名,然后比对你寄来的签名。如果两个签名一样,说明信没有被篡改,因为只有你和你的朋友知道这个特殊的“密码”。
所以,HMAC就是通过一种双重的“密码”验证机制,确保数据的完整性和安全性。HMAC算法具有较强的安全性和广泛的应用,常用于网络通信、数据传输、数字签名等领域,以确保数据的完整性和安全性。
常见的Hmac算法
HMAC(Hash-based Message Authentication Code)算法可以与许多哈希函数结合使用,常用的哈希函数包括:
- HMAC-MD5:使用MD5哈希函数生成HMAC。
- HMAC-SHA1:使用SHA-1哈希函数生成HMAC。
- HMAC-SHA256:使用SHA-256哈希函数生成HMAC。
- HMAC-SHA512:使用SHA-512哈希函数生成HMAC。
这些算法提供了不同的哈希函数选项,可以根据安全性需求和性能考虑选择适合的算法。通常情况下,较新的SHA-256和SHA-512算法被认为比MD5和SHA-1更安全,因此在安全要求较高的场景中更常用。
Code
随机的key的生成 KeyGenerator
通过使用Java标准库中的KeyGenerator生成安全的随机密钥,可以确保密钥的随机性和安全性,从而增强了加密算法的安全性。
KeyGenerator类提供了生成对称密钥的功能,可以根据指定的算法和安全随机数生成器来生成密钥。通常情况下,可以使用
KeyGenerator.getInstance(String algorithm)方法来获取KeyGenerator实例,- 然后使用
KeyGenerator.init(int keysize)方法指定密钥的长度, - 最后通过
KeyGenerator.generateKey()方法生成密钥。
这样生成的密钥通常会具有足够的长度和随机性,能够抵御常见的密码攻击,如穷举搜索和字典攻击。因此,使用Java标准库中的KeyGenerator生成安全的随机密钥是一种推荐的做法,有助于提高系统的安全性。
HmacMD5
HmacMD5可以看作带有一个安全的key的MD5。使用HmacMD5而不是用MD5加salt,有如下好处:
HmacMD5使用的key长度是64字节,更安全;Hmac是标准算法,同样适用于SHA-1等其他哈希算法;Hmac输出和原有的哈希算法长度一致。
可见,Hmac本质上就是把key混入摘要的算法。验证此哈希时,除了原始的输入数据,还要提供key。
package com.artisan.securityalgjava.hmac; import javax.crypto.KeyGenerator; import javax.crypto.Mac; import javax.crypto.SecretKey; import java.math.BigInteger; /\*\* \* @author 小工匠 \* @version 1.0 \* @mark: show me the code , change the world \*/ public class HmacTest { public static void main(String[] args) throws Exception{ // 创建 KeyGenerator 实例并指定算法为 HmacMD5 KeyGenerator keyGen = KeyGenerator.getInstance("HmacMD5"); // 生成随机密钥 SecretKey key = keyGen.generateKey(); // 打印随机生成的密钥 byte[] skey = key.getEncoded(); System.out.println("随机生成的密钥:" + new BigInteger(1, skey).toString(16)); // 创建 Mac 实例并指定算法为 HmacMD5 Mac mac = Mac.getInstance("HmacMD5"); // 初始化 Mac 实例 mac.init(key); // 更新消息 mac.update("HellArtisan".getBytes("UTF-8")); // 计算 HMAC 值 byte[] result = mac.doFinal(); // 打印 HMAC 值 System.out.println("HMAC 值:" + new BigInteger(1, result).toString(16)); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
使用Java标准库生成HmacMD5算法的随机密钥,并计算给定消息(“HellArtisan”)的HMAC值。
用Hmac算法取代原有的自定义的加盐算法
我们可以用Hmac算法取代原有的自定义的加盐算法,因此,存储用户名和口令的数据库结构如下:
| username | secret_key | password |
|----------|----------------------------------|---------------------------------------|
| bob | a8c06e05f92e...5e16 | 7e0387872a57c85ef6dddbaa12f376de |
| alice | e6a343693985...f4be | c1f929ac2552642b302e739bc0cdbaac |
| tim | f27a973dfdc0...6003 | af57651c3a8a73303515804d4af43790 |
- 1
- 2
- 3
- 4
- 5
- 6
每行包含用户名(username)、随机生成的密钥(secret_key,长度为64字节),以及使用Hmac算法生成的密码哈希值(password)。密钥用于计算Hmac,确保密码的安全性。
package com.artisan.securityalgjava.hmac; import java.util.Arrays; import javax.crypto.\*; import javax.crypto.spec.\*; /\*\* \* HMAC示例:使用预先生成的密钥计算HMAC值 \* @author artisan \*/ public class HmacVerifyTest { public static void main(String[] args) throws Exception { // 预先生成的密钥 byte[] hkey = new byte[]{106, 70, -110, 125, 39, -20, 52, 56, 85, 9, -19, -72, 52, -53, 52, -45, -6, 119, -63, 30, 20, -83, -28, 77, 98, 109, -32, -76, 121, -106, 0, -74, -107, -114, -45, 104, -104, -8, 2, 121, 6, 97, -18, -13, -63, -30, -125, -103, -80, -46, 113, -14, 68, 32, -46, 101, -116, -104, -81, -108, 122, 89, -106, -109}; // 创建SecretKey对象 SecretKey key = new SecretKeySpec(hkey, "HmacMD5"); // 获取Mac实例并指定算法为HmacMD5 Mac mac = Mac.getInstance("HmacMD5"); // 使用密钥初始化Mac实例 mac.init(key); // 更新消息 mac.update("HelloArtisan".getBytes("UTF-8")); // 计算HMAC值 byte[] result = mac.doFinal(); // 打印HMAC值 System.out.println(Arrays.toString(result)); // [-22, 82, 110, 65, -70, -122, 93, 121, 48, 96, -40, -78, 126, 46, -47, 112] } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
// 创建SecretKey对象,使用预先生成的密钥字节数组和算法名称"HmacMD5"
SecretKey key = new SecretKeySpec(hkey, "HmacMD5");
- 1
- 2
- 3
这行代码的作用是创建一个SecretKey对象,使用预先生成的密钥字节数组(hkey)作为密钥,同时指定算法名称为"HmacMD5"。
这就是恢复SecretKey的代码。
HmacMD5 VS MD5
相比于直接使用MD5哈希算法,使用HmacMD5算法需要经过一些额外的步骤来生成哈希值。
下面是使用HmacMD5算法生成哈希值的步骤:
- 通过名称"
HmacMD5"获取KeyGenerator实例。 - 通过
KeyGenerator创建一个SecretKey实例,这个密钥将用于初始化Mac实例。 - 通过名称"
HmacMD5"获取Mac实例。 - 用
SecretKey初始化Mac实例,以指定使用的密钥。 - 对
Mac实例反复调用update(byte[])输入数据,可以多次调用update方法以输入数据的不同部分。 - 调用
Mac实例的doFinal()方法获取最终的哈希值。
这些步骤确保了使用HmacMD5算法生成哈希值时的安全性和正确性。 HmacMD5算法结合了MD5哈希算法和密钥,提供了更高的安全性和防御性,适用于需要对消息进行完整性验证和身份认证的场景。
HmacSHA256
https://github.com/aperezdc/hmac-sha256/blob/master/hmac-sha256.c
package com.artisan.securityalgjava.hmac; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import java.security.InvalidKeyException; import java.security.NoSuchAlgorithmException; /\*\* \* @author 小工匠 \* @version 1.0 \* @mark: show me the code , change the world \*/ public class HmacSHA256Example { public static void main(String[] args) { // 要加密的消息 String message = "Hello, HMAC!"; // 密钥 String key = "secretKey"; try { // 计算HMAC-SHA256值 byte[] result = calculateHmacSHA256(message, key); // 将字节数组转换成十六进制字符串 String hmacSHA256 = bytesToHex(result); // 打印HMAC-SHA256值 System.out.println("HMAC-SHA256: " + hmacSHA256); } catch (NoSuchAlgorithmException | InvalidKeyException e) { e.printStackTrace(); } } /\*\* \* 计算HMAC-SHA256值 \* @param message \* @param key \* @return **自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。** **深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!** **因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**       **既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!** **由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新** **如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**  ### 如何自学黑客&网络安全 #### 黑客零基础入门学习路线&规划 **初级黑客** **1、网络安全理论知识(2天)** ①了解行业相关背景,前景,确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。(非常重要) **2、渗透测试基础(一周)** ①渗透测试的流程、分类、标准 ②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察 ④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等 **3、操作系统基础(一周)** ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全(系统入侵排查/系统加固基础) **4、计算机网络基础(一周)** ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析(HTTP、TCP/IP、ARP等) ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现 **5、数据库基础操作(2天)** ①数据库基础 ②SQL语言基础 ③数据库安全加固 **6、Web渗透(1周)** ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等) 恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k 到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗? 如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取! **7、脚本编程(初级/中级/高级)** 在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力. 如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。 **8、超级黑客** 这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。  #### 网络安全工程师企业级学习路线  如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的 视频配套资料&国内外网安书籍、文档&工具 当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。  一些笔者自己买的、其他平台白嫖不到的视频教程。  **一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**  blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-process=image/format,png) 一些笔者自己买的、其他平台白嫖不到的视频教程。  **一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!** [外链图片转存中...(img-QMQ7adTF-1712892948033)]
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
- 89
- 90
- 91
- 92
- 93
- 94
- 95
- 96
- 97
- 98
- 99
- 100
- 101
- 102
- 103
- 104
- 105
- 106
- 107
- 108
- 109
- 110
- 111
- 112
- 113
- 114
- 115
- 116
- 117
- 118
- 119
- 120
- 121
- 122
- 123
- 124
- 125
- 126
- 127
- 128
- 129
- 130
- 131
- 132
- 133
- 134
- 135
- 136
- 137
- 138
- 139
- 140
- 141
- 142
- 143
- 144
- 145
- 146
- 147
- 148
- 149
- 150
- 151
- 152
- 153
- 154
- 155
- 156
- 157
- 158
- 159
- 160
声明:本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
