1、流程图:
HMAC的一个典型应用是结合“挑战/响应”(Challenge/Response)来保障客户端和服务器传输数据的安全性 。
2、安全性分析:
使用的密钥是双方事先约定的,第三方不可能知道。从整个流程可看出,攻击者只能截获作为“挑战”的随机数和作为“响应”的HMAC结果,无法根据这两个数据推算出密钥。由于不知道密钥,所以攻击者无法伪造出正确的响应。同时,由于每次请求获得的“挑战”随机数都不一样,攻击者也无法对请求进行重放攻击。
3、HMAC Python实例:
3.1、源代码:
客户端代码:
#coding:utf-8, #!/usr/bin/env python #说明:用户向服务器发起RPC请求,用于更新用户名字、地址等信息。 import xmlrpclib,hmac,hashlib key = "d5ea6c5905746ebb826a9c8ad31db1be" #密钥 name = "Andy" address = "WaltStreet"; server = xmlrpclib.ServerProxy("http://10.80.21.34:8888") challenge = server.getChallenge(); #向服务器获取“挑战”码 message = name + address + challenge; #组合明文消息和“挑战”码 signature = hmac.new(key,message).hexdigest() #获取明文消息摘要 print server.updateMsg(signature,name,address) #提交用户信息的请求
服务端代码:
#coding:utf-8, #!/usr/bin/env python #说明:服务器验证来客户端的请求是否合法,以及对请求进行处理。 import SimpleXMLRPCServer,hmac,hashlib,random key = "d5ea6c5905746ebb826a9c8ad31db1be" #密钥,实际应用中可以从数据库中获取 class MyClass: challenge = ''; def getChallenge(self): #生成32位的随机数“挑战”码 self.challenge = "".join([random.choice("0123456789abcdefghjijklmnopqrstuvwxyz") for i in range(0,32)]) return self.challenge; def updateMsg(self, signature, name , address): #请求处理 message = name + address + self.challenge; #组合明文消息和“挑战”码 if hmac.new(key,message).hexdigest() != signature: #对比两者是否一致 return "Authen Failed! Forbidden !" else: return 'Update success!' server_object = MyClass() server = SimpleXMLRPCServer.SimpleXMLRPCServer(("0.0.0.0", 8888)) server.register_instance(server_object) #注册RPC服务 print "Listening on port 8888" server.serve_forever()
3.2、过程分析:
(1)、在服务器端启动监听:
(2)、执行客户端代码,wireshark抓包如下:
(3)、服务器返回认证通过:
(4)、修改代码使得客户端和服务器密钥不一致,则认证失败。