本文介绍了在Java中验证HMAC SHA1签名的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我想知道如何验证我创建的签名。我创建签名的代码类似于下面的代码:HMAC-SHA1: How to do it properly in Java?
我发送消息、签名和公钥来验证签名。公钥和私钥是使用KeyPairGenerator生成的。我如何使用我拥有的公钥来验证我的签名?或者,您是否可以推荐一些好的Java库来签署和验证使用HMAC SHA1的签名?推荐答案
首先要澄清的是,HMAC代码不生成签名。它是Message Authentication Code (MAC)的类型。
后一个链接通过以下方式解释签名和MAC之间的区别:
因此,为了验证HMAC,您需要共享用于生成HMAC的密钥。您将发送消息、HMAC,并且接收方将拥有您用于生成HMAC的相同密钥。然后,他们可以使用相同的算法从您的消息生成HMAC,并且它应该与您发送的HMAC匹配。公钥/私钥(不对称)不用于此。您需要生成对称密钥(如AES),并将其安全地与将生成/验证HMAC的人员共享。这将HMAC限制为仅具有integrity
和authenticity
属性,而不具有non-repudiation
属性。上面的引述提到,可以使用硬件安全模块来强制使用密钥,然后只要只有一个人可以使用密钥来生成HMAC,就可以获得不可否认性。
或者,您可以使用混合方法。使用共享对称密钥生成HMAC。最终的HMAC是一个散列。然后,您可以使用您的私钥(与HMAC中使用的密钥不同)对该散列进行签名。拥有对称密钥和您的公钥的第三方可以验证您签署了HMAC,并可以使用消息和共享密钥生成他们自己的HMAC,以确保它匹配。这也将为您提供不可否认性。
如果要采用此方法,请使用JavaSignature类。HMAC算法是SHA-1,假设您的密钥对是RSA,您可以使用NONEwithRSA
签名算法,因为输入已经是SHA-1散列。或者,您可以使用SHA1withRSA
算法再次对其进行散列。只要您生成签名并使用相同的算法进行验证,就应该可以。 byte[] data = hmac.getBytes("UTF-8");
Signature mySig = Signature.getInstance("NONEwithRSA");
mySig.initSign(myPrivateKey);
mySig.update(data);
byte[] sigBytes = mySig.sign();
// And to verify.
Signature mySig2 = Signature.getInstance("NONEwithRSA");
mySig2.initVerify(myPublicKey);
boolean isSigValid = mySig2.verify(sigBytes);
这篇关于在Java中验证HMAC SHA1签名的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持!