【密码学】轻松理解“加盐”的原理与java实现

最新推荐文章于 2023-12-05 10:53:58 发布
最新推荐文章于 2023-12-05 10:53:58 发布
阅读量3.4w 收藏 100
点赞数 24
分类专栏: 密码学 文章标签: 彩虹表 加盐 哈希函数 MD5 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DavidHuang2017/article/details/80283469
版权

        上一篇博客中说到防御彩虹表攻击最常用的方法就是加盐,那么什么是加盐呢?

一、什么是加盐?

1.背景

        现在很多公司后台以hash值形式存储用户密码(虽然本文以MD5哈希函数为例,但becrypt函数最常用的),用于哈希函数存在碰撞的特性,当后台数据库被攻击然后获取到用户密码哈希值时,还是能通过一定的方法(比如彩虹表攻击)破解用户密码。

举个例子:http://www.cmd5.com/

能破解。

2.加盐原理简介

        简单来说:由原来的H(p)变成了H(p+salt),相当于哈希函数H发生了变化,每次哈希计算使用的salt是随机的

        H如果发生了改变,则已有的彩虹表数据就完全无法使用,必须针对特定的H重新生成,这样就提高了破解的难度。

二、如何加盐?

        如何加盐,不同的哈希算法不同的公司不尽相同但思路都是差不多的。本文以MD5的一个简单加盐处理为例,讲解加盐的java实现:

1.生成盐

private static char[] hex = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F'};

    /**
     *自定义简单生成盐,是一个随机生成的长度为16的字符串,每一个字符是随机的十六进制字符
     */
    public static String salt() {
        Random random = new Random();
        StringBuilder sb = new StringBuilder(16);
        for (int i = 0; i < sb.capacity(); i++) {
            sb.append(hex[random.nextInt(16)]);
        }
        return sb.toString();
    }

        这只是一个生成盐的想法而已,你可以按自己的想法来,只要保证每次执行生成的盐随机即可。

2.输入加盐

String inputWithSalt = inputStr + salt;//加盐,输入加盐

       加盐非常简单吧

3.输出带盐

        输出带盐是我自己取的一个名字而已,这个过程可选不要。实际上是将这次哈希计算过程用到的salt存储到这次hash值中,用于后面进行验证密码时进行hash计算,即注册存储密码时和登陆验证密码时用到的salt要一样,免除了另存hash操作。

    /**
    *@params: [inputStr, type] inputStr是输入的明文;type是处理类型,0表示注册存hash值到库时,1表示登录验证时
    *@Descrption:  MD5加盐,盐的获取分两种情况;输入明文加盐;输出密文带盐(将salt存储到hash值中)
    */
    public static String MD5WithSalt(String inputStr, int type) {
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");//申明使用MD5算法,更改参数为"SHA"就是SHA算法了

            String salt = null;
            if (type == 0) {//注册存hash值到库时,new salt
                salt = salt();
            } else if (type == 1) {//登录验证时,使用从库中查找到的hash值提取出的salt
                String queriedHash=null;//从库中查找到的hash值
                salt=getSaltFromHash(queriedHash);
            }

            String inputWithSalt = inputStr + salt;//加盐,输入加盐
            String hashResult = byte2HexStr(md.digest(inputWithSalt.getBytes()));//哈希计算,转换输出
            System.out.println("加盐密文:"+hashResult);

            /*将salt存储到hash值中,用于登陆验证密码时使用相同的盐*/
            char[] cs = new char[48];
            for (int i = 0; i < 48; i += 3) {
                cs[i] = hashResult.charAt(i / 3 * 2);
                cs[i + 1] = salt.charAt(i / 3);//输出带盐,存储盐到hash值中;每两个hash字符中间插入一个盐字符
                cs[i + 2] = hashResult.charAt(i / 3 * 2 + 1);
            }
            hashResult = new String(cs);
            return hashResult;
        } catch (Exception e) {
            e.printStackTrace();
            return e.toString();
        }
    }

        将salt存到hash值的操作也很简单,假定输出hash值是32字节,我们生成的是16字节的盐,我们可以简单的每两个hash字符中间插入一个盐字符。带盐也很简单吧。

三、后台密码存储和验证过程

        这里假定从前端传到后台的密码时明文。

1.注册时存储密码

 

(1)用户注册时输入的账号、密码p1从前端传到后台;

(2)后台随机生成一个salt;

(3)H(p1+salt)生成哈希值,将此哈希值带盐(存储salt)后的结果hash1存储到数据库中;

2.登录时验证密码

(1)用户登陆时输入的账号、密码p2从前端传到后台;

(2)用登陆账号在数据库中查询账号相同的记录,取其哈希值hash2

(3)从hash2获取salt(保证存储时和验证时salt相同)

(4)H(p2+salt)生成哈希值hash3,判断if(hash2==hash3);若相等登陆成功,否则登陆失败。

四、java实现

哈希函数选择MD5,javaApi中MD5没有加盐的过程,需要我们自己实现加盐。关于Becrypt的加盐更简单,可以看我Becrypt那篇博客的源码。

package EncryptAndDecrypt;

import java.security.MessageDigest;
import java.util.Random;

/**
 * 散列加密之32位哈希值的MD5算法,调用JDK里的API
 *ps:准确来说散列加密不是加密算法,因为它是不可逆的(只能加密,不能解密)
 */
public class MyMD5 {

    private static char[] hex = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'A', 'B', 'C', 'D', 'E', 'F'};

    public static void main(String[] args) throws Exception {
        String input = "123456";
        System.out.println("MD5加密" + "\n"
                         + "明文:" + input + "\n"
                         + "无盐密文:" + MD5WithoutSalt(input));
        System.out.println("带盐密文:" + MD5WithSalt(input,0));
    }

    /**
    *@params: [inputStr] 输入明文
    *@Descrption: 不加盐MD5
    */
    public static String MD5WithoutSalt(String inputStr) {
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");//申明使用MD5算法,更改参数为"SHA"就是SHA算法了
            return byte2HexStr(md.digest(inputStr.getBytes()));//哈希计算,转换输出
        } catch (Exception e) {
            e.printStackTrace();
            return e.toString();
        }

    }

    /**
    *@params: [inputStr, type] inputStr是输入的明文;type是处理类型,0表示注册存hash值到库时,1表示登录验证时
    *@Descrption:  MD5加盐,盐的获取分两种情况;输入明文加盐;输出密文带盐(将salt存储到hash值中)
    */
    public static String MD5WithSalt(String inputStr, int type) {
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");//申明使用MD5算法,更改参数为"SHA"就是SHA算法了

            String salt = null;
            if (type == 0) {//注册存hash值到库时,new salt
                salt = salt();
            } else if (type == 1) {//登录验证时,使用从库中查找到的hash值提取出的salt
                String queriedHash=null;//从库中查找到的hash值
                salt=getSaltFromHash(queriedHash);
            }

            String inputWithSalt = inputStr + salt;//加盐,输入加盐
            String hashResult = byte2HexStr(md.digest(inputWithSalt.getBytes()));//哈希计算,转换输出
            System.out.println("加盐密文:"+hashResult);

            /*将salt存储到hash值中,用于登陆验证密码时使用相同的盐*/
            char[] cs = new char[48];
            for (int i = 0; i < 48; i += 3) {
                cs[i] = hashResult.charAt(i / 3 * 2);
                cs[i + 1] = salt.charAt(i / 3);//输出带盐,存储盐到hash值中;每两个hash字符中间插入一个盐字符
                cs[i + 2] = hashResult.charAt(i / 3 * 2 + 1);
            }
            hashResult = new String(cs);
            return hashResult;
        } catch (Exception e) {
            e.printStackTrace();
            return e.toString();
        }
    }


    /**
     * @return: salt
     * @params:
     * @Descrption: 自定义简单生成盐,是一个随机生成的长度为16的字符串,每一个字符是随机的十六进制字符
     */
    public static String salt() {
        Random random = new Random();
        StringBuilder sb = new StringBuilder(16);
        for (int i = 0; i < sb.capacity(); i++) {
            sb.append(hex[random.nextInt(16)]);
        }
        return sb.toString();
    }

    /**
     * @return: 十六进制字符串
     * @params: [bytes]
     * @Descrption: 将字节数组转换成十六进制字符串
     */
    private static String byte2HexStr(byte[] bytes) {
        /**
         *@Author: DavidHuang
         *@Time: 19:41 2018/5/10
         *@return: java.lang.String
         *@params:  * @param bytes
         *@Descrption:
         */
        int len = bytes.length;
        StringBuffer result = new StringBuffer();
        for (int i = 0; i < len; i++) {
            byte byte0 = bytes[i];
            result.append(hex[byte0 >>> 4 & 0xf]);
            result.append(hex[byte0 & 0xf]);
        }
        return result.toString();
    }


    /**
    *@return: 提取的salt
    *@params: [hash] 3i byte带盐的hash值,带盐方法与MD5WithSalt中相同
    *@Descrption:  从库中查找到的hash值提取出的salt
    */
    public static String getSaltFromHash(String hash){
        StringBuilder sb=new StringBuilder();
        char [] h=hash.toCharArray();
        for(int i=0;i<hash.length();i+=3){
            sb.append(h[i+1]);
        }
        return sb.toString();
    }

}

第一次运行结果:

MD5加密
明文:123456
无盐密文:E10ADC3949BA59ABBE56E057F20F883E
加盐密文:80D05C08F8879B2C84BA0C40143D224F
带盐密文:8D0D8053C0F8F6887791B2BC804B7A0EC4901543DD2B241F

第二运行结果:

MD5加密
明文:123456
无盐密文:E10ADC3949BA59ABBE56E057F20F883E
加盐密文:2CFFE57B054378D926A6FF14A1985F22
带盐密文:21CF7FE957CB0354C37B8DC9256AD6F0F174A719785AF222

        可以看到对于相同明文,多次MD5哈希的无盐密文相同,带盐密文和加盐密文不同。由哈希函数的特征很容易明白无盐密文相同。由于每次哈希计算生成的salt是随机的,相当于每次哈希函数不同,所以带盐密文和加盐密文不同。

 

由此可以看出加盐后安全性更高了吧。

 

参考:https://blog.csdn.net/dingsai88/article/details/51637977

          https://blog.csdn.net/hao_hl1314/article/details/53141005

 

 

逍遥剑臣
关注
  • 24
    点赞
  • 100
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Java:实现Salt加盐算法(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
01-11 654
Java:实现Salt加盐算法(附完整源码)
Java动态加盐加密
weixin_42914989的博客
03-15 931
Java动态加盐加密 md5+固定盐 注册: md5+邮箱号(盐)+ 123456 = 数据库密码 登录: md5+邮箱号(盐)+ 123456 = 密码 此部分之前已经写过博客,需要进一步了解md5加盐加密的童鞋请点击以下链接 java对密码实现加密md5加盐加密) hash+随机盐 注册: hash + 随机值(盐)+ 123456= 密码 + 刚才的盐值 (可逆加密)= 数据库密码 登录: hash + 从数据库解码出盐+ 123456= 密码 在用户登录时候,系统会从数据库中查询对应用户的
加盐算法:手撕+Spring Security、提高密码安全性的必杀技
GoodManS的CSDN
05-31 2137
本文介绍了加盐算法在密码哈希中的应用,以及如何通过手写加盐算法来增强密码的安全性。同时,还介绍了如何在Spring Security中集成加盐算法以提高用户身份验证的安全性。具体内容包括MD5加密加密解密过程、加盐算法的实现方法以及在项目中的应用。最后,作者提供了一些代码示例和操作步骤,帮助读者更好地理解和应用加盐算法。
什么是md5盐值
sanmi8276的博客
12-03 3276
简单说就是为了使相同的密码拥有不同的hash值的bai一种手段 就是盐化,盐值就是在密码hash过程中添加的额外的随机值。 SALT值属于随机值。用户注册时,系统用来和用户密码进行组合而生成的随机数值,称作salt值,通称为加盐值。 1、背景:系统通常把用户的密码如MD5加密后,以密文形式保存在数据库中,来防止黑客偷窥。 2、产生:随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。 3、原理:为用户密码添加Sal
哈希加盐法(HASH+SALT)
热门推荐
蒟蒻升级中...Orz
05-30 2万+
一些网站的数据库管理着用户的ID及口令,口令以MD5加密后的
如何安全存储口令?了解下Hash加盐原理
weixin_34214500的博客
01-30 772
最近要开发一个项目,其中涉及到了用户口令存储(大家习惯称之为密码),毫不夸张的说,如果方案设计的不合格,未来再想补救就会困难重重。 以前研究了很多密码学算法,和口令加密有关的算法也有很多,参考了很多资料,最近又温习了这些资料,感觉理解的更透彻了,为了把口令加密的事情说清楚,打算写4-5篇文章。 首先,口令加密是非常系统化的一个工程,涉及到多方面,比如代码...
加解密篇 - 什么是加密加盐 (分析web3j的加盐处理)
u014294681的博客
01-31 8765
这篇是加解密的最后一篇,来聊聊加密加盐。翻看最近的区块链钱包项目,发现 web3j 的源码中对数据做了加盐处理,正好分析一下它是如何进行加盐处理的。   目录: 什么是加盐 加盐原理和流程 加盐 demo web3j 的加盐处理     1. 什么是加盐 盐 (Salt) 在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这...
java实现Md5加盐加密算法
10-26
对接接口时用到的一种常用加密算法,常用于验证签名,使用shiro-all-1.4.1.jar,可自行下载
java生成md5密码加盐
07-10
本文将详细介绍Java和SpringBoot如何实现加盐MD5密码生成。 首先,MD5是一种单向哈希函数,它将任意大小的数据转换为128位的哈希值,通常以32位的十六进制字符串表示。其优点是计算速度快,但缺点是容易遭受彩虹...
Java如何实现密码加密
08-24
本文将详细介绍 Java 如何实现密码加密,帮助读者更好地理解和学习 Java。 密码加密的重要性 在 modern web 应用程序中,密码加密是非常重要的一步。用户的登录信息,包括用户名和密码,都是高度敏感的数据。如果...
java实现置换密码加密解密
08-26
主要为大家详细介绍了java实现置换密码加密解密,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
维吉尼亚加密算法的JAVA实现
12-27
Java实现维吉尼亚加密算法,我们需要理解以下几个核心概念: 1. **密钥**:维吉尼亚密码的关键在于其密钥,这是一个由字母组成的字符串,决定了加密和解密过程中使用的偏移量。密钥的长度决定了密码表的循环...
深入理解哈希算法、Salt盐值、哈希算法的不可逆性
zhengzaifeidelushang的博客
06-15 1560
深入理解哈希算法、Salt盐值、哈希算法的不可逆性
Java 密码加盐
gdjlc的专栏
03-20 1907
只对密码进行md5加密很容易反推出来,另外两个用户的密码相同时,数据库保存相同的密码,知道一个用户的密码就知道另一个。 解决方法是在用户的短密码后面加上一段长字符,再计算 md5,这样反推出原始密码就变得非常困难,而且即使两个用户密码相同,数据库保存的密码也不一样。加上的这段长字符,称为盐(Salt),通过这种方式加密的结果,称为 加盐 Hash。 使用例子: 假设有两个用户admin和abc,密码都为123456,注册时,盐取用户名+一个MD5值。 最终计算出来的密码不一样。 package .
java 加盐技术
最新发布
日日留心的技术专栏
12-05 442
盐可以是固定的,存在于后台程序中,无法泄露。然后使用复杂的加密匹配规则进行匹配。
java中的URLEncoder和URLDecoder类
JonnyWei的专栏
12-18 4004
  HTML 格式编码的实用工具类。该类包含了将 String 转换为 application/x-www-form-urlencoded MIME 格式的静态方法。有关 HTML 格式编码的更多信息,请参阅 HTML 规范。  对 String 编码时,使用以下规则: 字母数字字符 "a" 到 "z"、"A" 到 "Z" 和 "0" 到 "9" 保持不变。 特殊字符 "."、"-
JAVA使用URLEncoder、URLDecoder编码解码
一个天蝎座的程序猿!
04-07 1万+
JAVA使用URLEncoder、URLDecoder编码解码
md5加密密码加盐 java
09-05
Java中使用MD5加密密码加盐可以通过以下步骤实现: 1. 导入相关的库和类。首先,需要导入java.security包中的MessageDigest类,该类提供了MD5加密的方法。 2. 创建一个方法来进行MD5加密。可以创建一个名为`encryptPassword`的方法,并传入两个参数:密码和盐值。方法的返回值应该是加密后的密码。 3. 在方法中对密码和盐值进行拼接。可以使用字符串的加法操作符将密码和盐值拼接在一起。 4. 创建一个MessageDigest对象,使用 getInstance("MD5")方法获取该对象。MessageDigest类提供了MD5加密算法的实现。 5. 使用MessageDigest对象对拼接后的字符串进行加密。可以调用`digest()`方法对字符串进行加密,该方法返回一个字节数组。 6. 将加密后的字节数组进行转换。可以使用`DatatypeConverter`类提供的`printHexBinary()`方法将字节数组转换成十六进制字符串。 7. 将转换后的字符串作为加密后的密码返回。 下面是一个示例代码片段: ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class MD5SaltExample { public static String encryptPassword(String password, String salt) { String saltedPassword = password + salt; try { MessageDigest md = MessageDigest.getInstance("MD5"); byte[] hashedPassword = md.digest(saltedPassword.getBytes()); // Convert byte array to hex string StringBuilder sb = new StringBuilder(); for (byte b : hashedPassword) { sb.append(String.format("%02x", b)); } return sb.toString(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } return ""; } public static void main(String[] args) { String password = "example"; String salt = "somesalt"; String encryptedPassword = encryptPassword(password, salt); System.out.println("Encrypted password: " + encryptedPassword); } } ``` 在上述代码中,我们首先将密码和盐值拼接在一起,然后使用MessageDigest类提供的`digest()`方法进行加密加密后的字节数组将被转换成十六进制字符串,并以字符串形式返回。在main方法中,我们将输入的密码和盐值传递给`encryptPassword`方法,并打印加密后的密码。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值