消息认证码算法

阅读更多

消息认证码算法的产生一定程度上是因为，处于安全考虑很多人已经开始在做消息摘要之前，先对原始的消息加上一个key之后，再做hash之类的处理，但是这样的处理方式仍然存在安全隐患，于是消息认证码算法应运而生。HMAC底层使用hash算法，是使用场景比较多的一种消息认证码(MAC)算法。关于HMAC和原始的Hash算法的安全性比较见wiki。

 

总体上来说，HMAC虽然使用了Hash作为底层算法，但是规避了Hash算法自身缺陷导致的风险。

HMAC输出长度由底层Hash算法决定：

MD5 --> 128 bits

SHA1 --> 160 bits

SHA256 --> 256 bits

 

Java 中有 Mac 类专门用来处理这样的需求，一般流程：

getInstance(包含 HmacMD5、HmacSHA1、HmacSHA256)  -->  init key -->  update --> doFinal

Mac mac = Mac.getInstance("HmacMD5");
byte[] key = "imsS49kraapnUH0Z".getBytes();
Key secKey = new SecretKeySpec(key, "HmacMD5");
mac.init(secKey);
mac.update("来自hehe的问候".getBytes(StandardCharsets.UTF_8));
byte[] hmacBytes = mac.doFinal();

 

python3 对应的是 hmac 库，一般流程

hmac.new(key, hash算法)  -->   update  -->  digest

plain_bytes = '来自hehe的问候'.encode('utf-8')
key = b'imsS49kraapnUH0Z'
mac_op = hmac.new(key, digestmod=hashlib.md5)
mac_op.update(plain_bytes)
hex_str = mac_op.hexdigest()

 

由于MAC算法加入了key要素，那么在确保key和发送者一一对应的前提下，MAC同时具备了确保数据的完整性[Integrity]， 和身份验证[Authentication]的功能。

 

 

 sample