android 加密:Hmac消息认证作用

最新推荐文章于 2024-04-24 14:16:42 发布
最新推荐文章于 2024-04-24 14:16:42 发布
阅读量1.7k 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jksfkdjksdfjkjk/article/details/51692667
版权

1 使用hash算法,能够保证消息没有内容的完整性,但是不能防止伪装者

例如:Alice给bob发送一个数据:希望bob想自己的合同中打款100万,hash值是100,但是中间窃听者窃听到了alic和bob的通信,得到了该hash值100,虽然窃听者虽然不能修改内容,因为修改了内容对应的hash值会发送变化。

但是窃听者存在伪造出一模一样的内容和hash值,例如窃听者可以伪造出一个数据内容 叫bob给窃听者的某个账号打款1000万,该内容的hash也是100,

窃听者将该数据发送给bob,bob收到数据之后计算hash值一计算hash值是正确的,就向窃听者的账号打款1000万人民币。


使用hmac消息认证能够避免上面的问题:

就是在Alice和bob之间首先共享一个key,使用key来计算出hash值,美元key是无法计算出hash值的,因为key只有在alic和bob之间拥有,而窃听者无法得到该key,就能够保证消息内容的本意没有被修改,就是发送者的本意,消息必须来自正确的发送者。








窃听者是因为没有知道alice和bob之间的共享密钥的,所以无法就算出hash值,并且哪怕消息中的任何一点内容发送了变化,hash值也会发送变化。


所以使用hmac算法。保证了消息来自正确的发送者,消息的内容的本意没有被修改,窃听者无法伪造出叫bob银行给自己打卡1000万的内容,因为窃听者没有共享的key。


但是hmac算法存在一个问题,无法防止重放攻击,虽然窃听者没有key修改内容一次性叫bob打款1000万人民币,但是可以采用下面的方式获得1000万:

alice和bob拥有贡献的key,窃听者窃听alice和bob的通信

第一步:窃听者是一个用户,到alice银行填写一个转账申请,要求bob银行转账到100万到窃听者的账户。

第二步:窃听者将窃取到的消息保存起来。

第三步: BOB收到消息之后使用共享的key进行验证发现内容没有发生变化,向窃听者打款100万。

第四步:窃听者可以继续将窃听到的内容发送给bob,bob收到内容之后使用key验证消息的内容,内容正确,又给窃听者打款100万,窃听者这样就会使用这种方法能够不断的收到钱

无法抵制重放攻击

所以hmac算法无法证明消息的内容一定来自alice,该消息有可能来自窃听者。

即使没有窃听者,也不能一定说明该消息是alice发出的,alice可以说:bob收到的消息可能是bob自己伪造的,因为共享的key除了alice知道,bob也知道bob可以利用key自己给自己发数据,无法保证消息一定来自alice,要解决这个情况,可以使用数字签名,使用了数字签名就一定能够证明消息来自alice。


hmac在java中的代码如下:

1、代码类型

It is mostly Java code but there are some slight differences. Adapted from Dev Takeout - Groovy HMAC/SHA256 representation.

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.security.InvalidKeyException;

def hmac_sha256(String secretKey, String data) {
 try {
    Mac mac = Mac.getInstance("HmacSHA256")
    SecretKeySpec secretKeySpec = new SecretKeySpec(secretKey.getBytes(), "HmacSHA256")
    mac.init(secretKeySpec)
    byte[] digest = mac.doFinal(data.getBytes())
    return digest
   } catch (InvalidKeyException e) {
    throw new RuntimeException("Invalid key exception while converting to HMac SHA256")
  }
}

def hash = hmac_sha256("secret", "Message")
encodedData = hash.encodeBase64().toString()
log.info(encodedData)


上面的secretKey就是客户端和发送端都知道的。下面这种是自己产生一个sercreKey



3、hmac和普通散列函数sha1、md5的区别

“HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code),HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。”

可以看出,HMAC是需要一个密钥的。所以,HMAC_SHA1也是需要一个密钥的,而SHA1不需要。

以下是两种算法在Java中的实现:

如下方法是使用sha1计算一个文件的摘要,不需要密钥,有点类似于md5,注意这句:

下面是对一个文件进行sha1摘要的计算 

	public static String sha1Digest(String filename) {
		InputStream fis = null;
		byte[] buffer = new byte[Constants.BUFFER_SIZE];
		int numRead = 0;
		MessageDigest sha1;
		try {
			fis = new FileInputStream(filename);
			sha1 = MessageDigest.getInstance("SHA-1");
			while ((numRead = fis.read(buffer)) > 0) {
				sha1.update(buffer, 0, numRead);
			}
			return toHexString(sha1.digest());
		} catch (Exception e) {
			System.out.println("error");
			return null;
		} finally {
			try {
				if (fis != null) {
					fis.close();
				}
			} catch (IOException e) {
				e.printStackTrace();
			}
		}
	}
4、使用场景

摘要算法的使用场景:常用于下载文件完整性的认证

Hmac算法的场景:常用于客户端和服务器身份的认证

HMAC的一个典型应用是用在“挑战/响应”(Challenge/Response)身份认证中,认证流程如下:

(1) 先由客户端向服务器发出一个验证请求。 

(2) 服务器接到此请求后生成一个随机数并通过网络传输给客户端(此为挑战)。 

(3) 客户端将收到的随机数提供给ePass,由ePass使用该随机数与存储在ePass中的密钥进行HMAC-MD5运算并得到一个结果作为认证证据传给服务器(此为响应)。 

(4) 与此同时,服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算,如果服务器的运算结果与客户端传回的响应结果相同,则认为客户端是一个合法用户 。


泸州小帅
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android hmac加密,android hmacSha256 加密
weixin_29015051的博客
05-27 720
//json字符串 key value形式String str = JacksonUtil.getInstance().writeValueAsString(commomParamsMap);String sign = ApiSecurityExample.hmacSha256("key", str);public class ApiSecurityExample {public static ...
Android MD5/AES/HMAC 加密
04-23
Android 中实现 MD5/AES/HMAC 加密
Android】 加解密算法 HMAC 的使用
Mlib
12-31 5532
1、HMAC算法:   HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code),HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。  简而言之,HMAC就是含有密钥散列函数算法,兼容了MD和SHA算法的特性,并在此基础上加上了密钥。因此MAC算法也经常被称作HMAC算法。关于hmac算法的详情可以参看RFC
客户端如何进行HmacSHA256加密
最新发布
黄旺鑫
04-24 200
开发了一个短信验证码接口,为了防止被攻击,在接口层面上加了一个签名。签名的算法是使用HmacSHA256加密,Base64编码。加密字符串就以【手机号】+【随机数】的格式举例。客户端有Android、iOS、H5-js、小程序,都需要进行验签。secret秘钥随机生成一个。
android hmac加密,Android 获取HMAC-MD5 加密
weixin_35738619的博客
05-27 472
public static String getHmacMd5Str(String s, String keyString){String sEncodedString = null;try{SecretKeySpec key = new SecretKeySpec((keyString).getBytes("UTF-8"), "HmacMD5");Mac mac = Mac.getInstanc...
HMAC 的理解
ZFIVE5
11-27 1574
作者:zfive5 email:zfive5@yahoo.com.cn     HMAC认证,主要是为了能让人对对方身份正确性和消息有效性进行验证, 与消息摘要的最大不同,就是有签名密钥!而摘要算法,只是能够证明签名消 息的有效性。hmac被广泛的运用于网络协议的认证阶段,例如邮件协议使用到 了它,还有ssl也有它的身影!     hmac的算法实现很简单,朋友可以打开python23
.NET和Android中的加密和解密支持
04-07
这些类包括对称加密算法(如AES、DES、TripleDES)、非对称加密算法(RSA、DSA)、哈希算法(MD5、SHA1、SHA256)以及散列消息认证码(HMAC)。C# 3.5作为.NET Framework的一个版本,同样支持这些加密技术。例如,...
android平台和java平台都可用的aes加密
09-03
在实际应用中,还可以结合其他安全机制,如哈希函数(如SHA-256)和消息认证码(如HMAC),提高数据的安全性。同时,对于网络传输的数据,通常会将加密后的数据再进行Base64编码,以便于在网络中传输。 总的来说,...
安卓Android源码——加密信息客户端 WhisperSystems-TextSecure.zip
10-12
《深入解析Android加密信息客户端:WhisperSystems-TextSecure》 在移动通信领域,信息安全日益成为用户关注的焦点。WhisperSystems的TextSecure项目,作为一款专为Android平台设计的加密信息客户端,以其强大的...
tink-core-android:Tink Core Android
03-19
7. **预封装的服务**:Tink 包含预封装的服务,如公钥加密、对称加密、MAC(消息认证码)和密钥派生等,这些都是移动应用中常见的安全需求。 8. **安全最佳实践**:Tink 强调遵循安全最佳实践,比如使用安全随机数...
HMAC是什么?有什么作用? 安当加密
www.andang.cn
11-05 1592
HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code)的缩写,它是一种基于Hash函数和密钥进行消息认证的方法,由H.Krawezyk,M.Bellare,R.Canetti于1996年提出,并于1997年作为RFC2104被公布,在IPSec和其他网络协议(如SSL)中得以广泛应用,现在已经成为事实上的Internet安全标准。此外,HMAC还具有防止重放攻击的能力,因为每个消息都与一个唯一的密钥相关联,并且密钥只在一次通信中使用。
android sha1不一致,Android HMAC-SHA1与标准Java HMAC-SHA1不同 - java
weixin_36328527的博客
05-30 489
我在Android上遇到一些HMAC的问题。我正在将SHA1算法与以下代码一起使用,该代码在搜索android hmac-sha1时会在网上显示。String base_string = "This is a test string";String key = "testKey";try {Mac mac = Mac.getInstance("HmacSHA1");SecretKeySpec se...
android hmacSha256 加密
03-08 1420
public class HMACSHA256 { public static String hmacSha256(String KEY, String VALUE) { return hmacSha(KEY, VALUE, "HmacSHA256"); } private static String hmacSha(String KEY, String VALUE, String SHA_TYPE) { try { Sec.
Android签名方式
wh义华的专栏
04-21 488
1、certutil -hashfile /? 查看相关哈希函数命令。 将android安装包解压(直接解压,不使用apktool等工具),在META-INF文件夹下有MANIFEST.MF文件。其中记录了android打包后各个文件的文件摘要(sha1后再转base64)。 (在window上验证时,certutil可以正确计算出sha1值,但是base64时与MANIFEST.MF中的不符,但...
aes key长度_[译]最佳安全实践:在 Java 和 Android 中使用 AES 进行对称加密(Part 2)
weixin_39617215的博客
11-27 205
原文地址:Security Best Practices: Symmetric Encryption with AES in Java and Android: Part 2: AES-CBC + HMAC本文是我上一篇文章:“最佳安全实践:在 Java 和 Android 中使用 AES 进行对称加密” 的续篇,在这篇文章中我总结了关于 AES 最为重要的事情并演示了如何通过 AES-GCM ...
Android Apk签名算法使用SHA256
wenzhi的博客
11-29 5153
Android apk签名算法使用SHA256 本文不介绍复杂的签名过程,说一下Android签名算法使用SHA256。 但是SHA1不是相对安全签名算法,SHA256更加安全一些。 一般大公司才会有这种细致的安全要求。 如何查看apk签名是否是SHA1还是SHA256 ··· 1、拿到apk文件,修改文件后缀为.jar 2、解压文件得到META-INF文件夹 3、用编辑器打开META-INF下的...
android获取一串字符串的hash值,如何在Android中使用密钥计算字符串的SHA-256哈希值?(How can I calculate the SHA-256 hash of a stri...
weixin_28952383的博客
05-27 708
如何在Android中使用密钥计算字符串的SHA-256哈希值?(How can I calculate the SHA-256 hash of a string with a secret key in Android?)我需要用密钥计算一个字符串的SHA-256哈希值。 我发现这个代码:public String computeHash(String input)throws NoSuchAl...
Android studio生成签名异常Algorithm HmacPBESHA256 not available
weixin_51861199的博客
06-01 766
keystore xxx.jks 表示生成的数字证书的文件名为“xxx.jks”-validity 10000 表示该数字证书的有效期为10000天。-keyalg RSA 表示生成密钥文件所采用的算法为RSA。-storetype jks 签名文件类型 为jks。-alias xxx 表示证书的别名为“xxx”
HMAC消息认证码原理
05-19
HMAC(Hash-based Message Authentication Code)是一种基于哈希函数的消息认证码,用于验证数据的完整性和真实性。 HMAC 的原理可以简单描述为:将密钥和消息一起输入哈希函数(如SHA-256),生成一个固定长度的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值