赞
踩
接收方在接收到消息后,也会使用相同的密钥和哈希函数来计算消息的HMAC值,并与发送方发送的HMAC值进行比较。如果两者一致,则消息完整且来自合法发送者;否则,可能存在消息被篡改或来自未经授权的发送者的风险。
通俗地讲,HMAC算法就像是一种“密码验证器”,它确保数据在传输过程中不被篡改。
想象你要给朋友寄一封信,但你担心信被别人篡改了。你可以用HMAC来解决这个问题。首先,你会在信封上写下你的签名。但这次不是用笔签名,而是用一种特殊的技巧来生成一个“密钥”。这个密钥就像是你的个人密码,只有你和你的朋友知道。
然后,你把这个签名和信一起寄出去。你的朋友收到信后,也知道这个密钥。他会用同样的方法再次生成签名,然后比对你寄来的签名。如果两个签名一样,说明信没有被篡改,因为只有你和你的朋友知道这个特殊的“密码”。
所以,HMAC就是通过一种双重的“密码”验证机制,确保数据的完整性和安全性。HMAC算法具有较强的安全性和广泛的应用,常用于网络通信、数据传输、数字签名等领域,以确保数据的完整性和安全性。
HMAC(Hash-based Message Authentication Code)算法可以与许多哈希函数结合使用,常用的哈希函数包括:
这些算法提供了不同的哈希函数选项,可以根据安全性需求和性能考虑选择适合的算法。通常情况下,较新的SHA-256和SHA-512算法被认为比MD5和SHA-1更安全,因此在安全要求较高的场景中更常用。
通过使用Java标准库中的KeyGenerator
生成安全的随机密钥,可以确保密钥的随机性和安全性,从而增强了加密算法的安全性。
KeyGenerator
类提供了生成对称密钥的功能,可以根据指定的算法和安全随机数生成器来生成密钥。通常情况下,可以使用
KeyGenerator.getInstance(String algorithm)
方法来获取KeyGenerator
实例,KeyGenerator.init(int keysize)
方法指定密钥的长度,KeyGenerator.generateKey()
方法生成密钥。这样生成的密钥通常会具有足够的长度和随机性,能够抵御常见的密码攻击,如穷举搜索和字典攻击。因此,使用Java标准库中的KeyGenerator
生成安全的随机密钥是一种推荐的做法,有助于提高系统的安全性。
HmacMD5
可以看作带有一个安全的key的MD5
。使用HmacMD5
而不是用MD5加salt,有如下好处:
HmacMD5
使用的key长度是64字节,更安全;Hmac
是标准算法,同样适用于SHA-1等其他哈希算法;Hmac
输出和原有的哈希算法长度一致。可见,Hmac本质上就是把key混入摘要的算法。验证此哈希时,除了原始的输入数据,还要提供key。
package com.artisan.securityalgjava.hmac; import javax.crypto.KeyGenerator; import javax.crypto.Mac; import javax.crypto.SecretKey; import java.math.BigInteger; /\*\* \* @author 小工匠 \* @version 1.0 \* @mark: show me the code , change the world \*/ public class HmacTest { public static void main(String[] args) throws Exception{ // 创建 KeyGenerator 实例并指定算法为 HmacMD5 KeyGenerator keyGen = KeyGenerator.getInstance("HmacMD5"); // 生成随机密钥 SecretKey key = keyGen.generateKey(); // 打印随机生成的密钥 byte[] skey = key.getEncoded(); System.out.println("随机生成的密钥:" + new BigInteger(1, skey).toString(16)); // 创建 Mac 实例并指定算法为 HmacMD5 Mac mac = Mac.getInstance("HmacMD5"); // 初始化 Mac 实例 mac.init(key); // 更新消息 mac.update("HellArtisan".getBytes("UTF-8")); // 计算 HMAC 值 byte[] result = mac.doFinal(); // 打印 HMAC 值 System.out.println("HMAC 值:" + new BigInteger(1, result).toString(16)); } }
使用Java标准库生成HmacMD5算法的随机密钥,并计算给定消息(“HellArtisan
”)的HMAC值。
我们可以用Hmac算法取代原有的自定义的加盐算法,因此,存储用户名和口令的数据库结构如下:
| username | secret_key | password |
|----------|----------------------------------|---------------------------------------|
| bob | a8c06e05f92e...5e16 | 7e0387872a57c85ef6dddbaa12f376de |
| alice | e6a343693985...f4be | c1f929ac2552642b302e739bc0cdbaac |
| tim | f27a973dfdc0...6003 | af57651c3a8a73303515804d4af43790 |
每行包含用户名(username)、随机生成的密钥(secret_key,长度为64字节),以及使用Hmac算法生成的密码哈希值(password)。密钥用于计算Hmac,确保密码的安全性。
package com.artisan.securityalgjava.hmac; import java.util.Arrays; import javax.crypto.\*; import javax.crypto.spec.\*; /\*\* \* HMAC示例:使用预先生成的密钥计算HMAC值 \* @author artisan \*/ public class HmacVerifyTest { public static void main(String[] args) throws Exception { // 预先生成的密钥 byte[] hkey = new byte[]{106, 70, -110, 125, 39, -20, 52, 56, 85, 9, -19, -72, 52, -53, 52, -45, -6, 119, -63, 30, 20, -83, -28, 77, 98, 109, -32, -76, 121, -106, 0, -74, -107, -114, -45, 104, -104, -8, 2, 121, 6, 97, -18, -13, -63, -30, -125, -103, -80, -46, 113, -14, 68, 32, -46, 101, -116, -104, -81, -108, 122, 89, -106, -109}; // 创建SecretKey对象 SecretKey key = new SecretKeySpec(hkey, "HmacMD5"); // 获取Mac实例并指定算法为HmacMD5 Mac mac = Mac.getInstance("HmacMD5"); // 使用密钥初始化Mac实例 mac.init(key); // 更新消息 mac.update("HelloArtisan".getBytes("UTF-8")); // 计算HMAC值 byte[] result = mac.doFinal(); // 打印HMAC值 System.out.println(Arrays.toString(result)); // [-22, 82, 110, 65, -70, -122, 93, 121, 48, 96, -40, -78, 126, 46, -47, 112] } }
// 创建SecretKey对象,使用预先生成的密钥字节数组和算法名称"HmacMD5"
SecretKey key = new SecretKeySpec(hkey, "HmacMD5");
这行代码的作用是创建一个SecretKey对象,使用预先生成的密钥字节数组(hkey)作为密钥,同时指定算法名称为"HmacMD5"。
这就是恢复SecretKey
的代码。
相比于直接使用MD5哈希算法,使用HmacMD5算法需要经过一些额外的步骤来生成哈希值。
下面是使用HmacMD5算法生成哈希值的步骤:
HmacMD5
"获取KeyGenerator
实例。KeyGenerator
创建一个SecretKey
实例,这个密钥将用于初始化Mac
实例。HmacMD5
"获取Mac实例。SecretKey
初始化Mac
实例,以指定使用的密钥。Mac
实例反复调用update(byte[])
输入数据,可以多次调用update
方法以输入数据的不同部分。Mac
实例的doFinal()
方法获取最终的哈希值。这些步骤确保了使用HmacMD5
算法生成哈希值时的安全性和正确性。 HmacMD5
算法结合了MD5
哈希算法和密钥,提供了更高的安全性和防御性,适用于需要对消息进行完整性验证和身份认证的场景。
https://github.com/aperezdc/hmac-sha256/blob/master/hmac-sha256.c
package com.artisan.securityalgjava.hmac; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import java.security.InvalidKeyException; import java.security.NoSuchAlgorithmException; /\*\* \* @author 小工匠 \* @version 1.0 \* @mark: show me the code , change the world \*/ public class HmacSHA256Example { public static void main(String[] args) { // 要加密的消息 String message = "Hello, HMAC!"; // 密钥 String key = "secretKey"; try { // 计算HMAC-SHA256值 byte[] result = calculateHmacSHA256(message, key); // 将字节数组转换成十六进制字符串 String hmacSHA256 = bytesToHex(result); // 打印HMAC-SHA256值 System.out.println("HMAC-SHA256: " + hmacSHA256); } catch (NoSuchAlgorithmException | InvalidKeyException e) { e.printStackTrace(); } } /\*\* \* 计算HMAC-SHA256值 \* @param message \* @param key \* @return **自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。** **深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!** **因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。** ![img](https://img-blog.csdnimg.cn/img_convert/10fce5f7b8c9a5445848cd0809476f03.png) ![img](https://img-blog.csdnimg.cn/img_convert/33437bb78a31d873d48fef815826b2bd.png) ![img](https://img-blog.csdnimg.cn/img_convert/92735e3f7df897dc54a77a3110a62d06.png) ![img](https://img-blog.csdnimg.cn/img_convert/80e9a2662980db4d2a8ba3f9da764b70.png) ![img](https://img-blog.csdnimg.cn/img_convert/7f0d26f1bee2a81561507e251e0bf8f4.png) ![img](https://img-blog.csdnimg.cn/img_convert/d658c8dab0b9f64658007dc19f0e2af2.png) **既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!** **由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新** **如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)** ![img](https://img-blog.csdnimg.cn/img_convert/3724825fc291c31f4fff0dca4030f60f.png) ### 如何自学黑客&网络安全 #### 黑客零基础入门学习路线&规划 **初级黑客** **1、网络安全理论知识(2天)** ①了解行业相关背景,前景,确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。(非常重要) **2、渗透测试基础(一周)** ①渗透测试的流程、分类、标准 ②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察 ④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等 **3、操作系统基础(一周)** ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全(系统入侵排查/系统加固基础) **4、计算机网络基础(一周)** ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析(HTTP、TCP/IP、ARP等) ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现 **5、数据库基础操作(2天)** ①数据库基础 ②SQL语言基础 ③数据库安全加固 **6、Web渗透(1周)** ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等) 恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k 到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗? 如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取! **7、脚本编程(初级/中级/高级)** 在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力. 如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。 **8、超级黑客** 这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。 ![img](https://img-blog.csdnimg.cn/img_convert/3fd39c2ba8ec22649979f245f4221608.webp?x-oss-process=image/format,png) #### 网络安全工程师企业级学习路线 ![img](https://img-blog.csdnimg.cn/img_convert/931ac5ac21a22d230645ccf767358997.webp?x-oss-process=image/format,png) 如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的 视频配套资料&国内外网安书籍、文档&工具 当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。 ![img](https://img-blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-process=image/format,png) 一些笔者自己买的、其他平台白嫖不到的视频教程。 ![img](https://img-blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-process=image/format,png) **一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!** ![img](https://img-blog.csdnimg.cn/img_convert/bec3960b3101ec4228b110de65b9fff4.png) blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-process=image/format,png) 一些笔者自己买的、其他平台白嫖不到的视频教程。 ![img](https://img-blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-process=image/format,png) **一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!** [外链图片转存中...(img-QMQ7adTF-1712892948033)]
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。