让TOTP支持国密SM3算法

已于 2024-09-02 17:04:55 修改
阅读量254 收藏 1
点赞数 3
文章标签: hash 密码学 微信小程序 后端 前端 安全
于 2024-09-02 16:51:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dgiij/article/details/141822719
版权

我们经常会扫码绑定动态令牌,其实这些二维码的内容是otpauth url,其格式如下:

otpauth-uri = “otpauth://” uri-type “/” uri-label “?” uri-parameters
uri-type = “totp” / “hotp”
uri-label = *VCHAR 标签
uri-parameters = “secret=” *base-32 [ 必须包含sercret参数为编码为base32的字符串 ]
uri-opt-parameters = (“&algorithm=” 算法默认SHA1,可选SHA256、SHA512)
uri-opt-parameters =/ (“&digits=” 默认位数6)
uri-opt-parameters =/ (“&counter=” *DIGIT HOTP需要设置) / (“&period=” *DIGIT 默认30秒)
uri-opt-parameters =/ (“&issuer=” *VCHAR) / (“&” *VCHAR “=” *VCHAR) 颁发者

以下主要讨论的是TOTP,即基于时间的OTP
做一个算法为SM3的otpauth url很简单,设置下&algorithm=SM3即可,不过常用的这些扫码的app由于不支持SM3算法,所以不能正确显示动态密码。需要在OTP的服务器上支持生成SM3的密钥,支持SM3动态密码的生成,支持SM3动态口令的验证。需要在手机app端能扫码SM3的otpauth url,并能正确显示其动态密码。

国密SM3算法是公开的,可以自行开发实现。当然我们可以采用官方的轮子了,比如GmSSL-JS中的sm3.js就够用了,其实该文件还存在一些小问题,你用的时候自行修改即可。在最后一行要添加一句
module.exports = { sm3_kdf, sm3_hmac } 用来在其他js中调用
在手机端的话,除了sm3的函数需要调用,你其实还需要设计实现base32的解码或者引入一个轮子来解码。至于扫二维码识别,可以考虑app中调用系统相机的二维码识别或者微信小程序中直接调用微信扫码识别。前端就没有什么更多好说的了。
后端关于生成SM3密钥可以考虑随机生成一个长字符串比如长度为64?然后调用sm3_kdf这个密钥派生函数生成密钥,注意转换成base32码生成otpauth url的二维码,让用户手机扫码绑定。只是生成当前时间的动态密码还达不到OTP的功能要求,一般OTP还能允许预设定的前后几个时间窗口的密码验证通过,实现起来也不麻烦,不过可以直接利用其他现成的轮子改改,比如speakeasy的OTP,虽然默认不支持SM3,但是跟其他算法的主要区别就在摘要函数实现中,改改就可以支持SM3算法了。

dgiij
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TOTP Database:TOTP服务端算法-开源
05-31
使用数据库存储过程计算 TOTP,允许您使用存储的机密验证用户输入的 TOTP。 与所有使用 SHA1 加密计算 TOTP 的授权应用程序合作
authenticator:对TYPO3 CMS的两因素(TOTP支持移至Gitlab
05-15
TYPO3 CMS扩展,用于实现与Google Authenticator兼容的两因素身份验证。 设置 通过TYPO3 CMS扩展管理器安装扩展。 如何使用它 作为后端用户,请转到用户设置模块。 切换至标签“ Two Factor然后将您的机密导入到身份...
国密算法介绍
guizushenge的博客
06-19 2825
国密算法,即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范,其中部分密码算法已经成为国际标准。如SM系列密码,SM代表商密,即商业密码,是指用于商业的、不涉及国家秘密的密码技术。......
TOTP算法全解析:一次性密码的生成与应用
随手糊墙上的技术笔记
04-28 1110
本文以"TOTP算法全解析:一次性密码的生成与应用"为题,详细介绍了TOTP时间密码算法的工作原理、实现方法和应用场景。文章从TOTP算法的基本工作流程开始,解释了密钥共享、时间同步、时间步长和密码生成等关键步骤。接着,文章探讨了TOTP算法的具体实现,包括HMAC算法、哈希函数选择、密码计算和编码转换。此外,文章还介绍了TOTP在多因素认证、银行服务、VPN连接和智能卡等领域的应用。通过这些内容,文章旨在帮助读者深入理解TOTP算法,并在实际应用中有效利用这一技术以增强安全性。
TOTP 算法实现:双因素认证的基石(C/C++代码实现)
chen1415886044的博客
05-26 822
双因素认证(Two-Factor Authentication, 2FA)扮演着至关重要的角色。它像是一道额外的防线,确保即便密码被窃取,不法分子也难以轻易突破。在众多双因素认证技术中,基于时间的一次性密码(Time-Based One-Time Password, TOTP算法因其安全性高、使用便捷而受到广泛应用。 TOTP算法是一种基于时间的一次性密码生成算法,它的核心思想是利用时间作为变化的因子来生成动态的密码。这种算法通常与用户的个人信息结合使用,如用户名或电子邮件地址,以及一个共享的秘密密钥。
Java利用TOTP算法动态生成一次性密码
netuser1937的博客
09-10 3552
一、HOTP   HOTP 算法,全称是“An HMAC-Based One-Time Password Algorithm”,是一种基于事件计数的一次性密码生成算法,详细的算法介绍可以查看 RFC 4226。其实算法本身非常简单,算法本身可以用两条简短的表达式描述: HOTP(K,C) = Truncate(HMAC-SHA-1(K,C)) PWD(K,C,digit) = HOTP(K,C) mod 10^Digit 二、TOTP   TOTP 算法,全称是 TOTP: Time-Based
totp.js-master.zip_TOTP_TOTP算法_TOTP算法 js实现_totp js
09-23
TOTP算法在互联网安全领域应用广泛,例如Google Authenticator、Authy等身份验证器都采用了这种技术。 TOTP算法的主要步骤包括以下几个方面: 1. **密钥共享**:在用户注册过程中,服务端和客户端(通常是用户的...
otp_verify_java.rar_OTP_OTPVerify_TOTP_otp算法_一次性 口令
09-24
- HMAC计算:使用密钥和当前时间窗口的整数值作为输入,通过HMAC(Hash-based Message Authentication Code)算法计算哈希值。 - 密码生成:取哈希值的中间几位(通常是6或8位),形成一次性密码。 2. HOTP:HOTP...
Rust 中 OATH算法的实现,包括 TOTP、HOTP 和 OCRA_rust_代码_下载
06-11
Rust 中的 "rust-oathster" 库可能提供了这些算法的接口,让开发者能够轻松地在自己的项目中集成 OATH 功能。库的使用可能包括导入相关模块,设置共享密钥,然后根据需要调用函数来生成或验证一次性密码。开发者还...
信息安全数学基础(1)整除的概念
m0_73399576的博客
08-28 778
信息安全数学基础——整除的概念篇
网络安全服务基础Windows--第13节-加密技术
最新发布
m0_65771743的博客
09-03 1067
ENIGMA 以其复杂的加密机制和灵活的配置著称,在⼆战期间被认为是不可破解的,但最终在盟军的努⼒下被成功破译,这对⼆战的进程产⽣了深远的影响。它极⼤地缩短了战争的时间,挽救了⽆数⽣命。国家规定的使⽤要求:根据国家密码管理局的规定,⾃2011年7⽉1⽇起,所有新投⼊使⽤的公钥密码信息系统应使⽤SM2算法,以替代不再安全的RSA 1024位算法。这是基于椭圆曲线密码学(ECC)的⼀个常⻅选择,256 位密钥⻓度能够提供⾜够的安全性,同时⽐传统的⾮对称加密算法(如 RSA)使⽤较短的密钥实现相同强度的安全性。
Python密码学:cryptography库
零度°C的博客
08-29 482
库旨在易于使用且默认安全。对称加密非对称加密哈希函数消息认证码(MAC)数字签名密钥管理。
Python 如何进行密码学操作(cryptography模块)
Itmastergo的博客
08-29 1155
Python 的密码学操作可以通过模块来实现,这个模块是一个功能强大的库,它提供了现代密码学的基本工具,包括加密、解密、密钥生成、签名等操作。模块易于使用,并且安全性高,适合在各种场景下使用。
CTF---密码学知识点总结
weixin_47450099的博客
08-31 646
密码学概述,是一些基础密码的简介
SprinBoot+Vue图书馆预约与占座微信小程序的设计与实现
赵广陆
09-03 1303
目录1 项目介绍2 项目截图3 核心代码3.1 Controller3.2 Service3.3 Dao3.4 application.yml3.5 SpringbootApplication3.5 Vue3.6 uniapp代码4 数据库表设计5 文档参考6 计算机毕设选题推荐7 源码获取 1 项目介绍 博主个人介绍:CSDN认证博客专家,CSDN平台Java领域优质创作者,全网30w+粉丝,超300w访问量,专注于大学生项目实战开发、讲解和答疑辅导,对于专业性数据证明一切! 主要项目:javawe
ssm“最多跑一次”微信小程序论文源码调试讲解
u014445459的博客
09-02 1020
Java是由SUN公司推出,该公司于2010年被oracle公司收购。Java本是印度尼西亚的一个叫做爪洼岛的英文名称,也因此得来java是一杯正冒着热气咖啡的标识。Java语言在移动互联网的大背景下具备了显著的优势和广阔的前景,它是面向对象的,分布式的,动态的,具有平台无关性、安全性、健壮性。Java语言的基本语句语法和C++一样,但是它面向对象的技术更加彻底,因为Java要求将所有的内容都必须封装成类,把类作为程序的基本单位。由于不允许类外有变量、方法。
基于微信小程序在线订餐系统
weixin_44308935的博客
09-03 2006
基于微信小程序在线订餐系统
SprinBoot+Vue宠物领养救助微信小程序的设计与实现
赵广陆
09-03 1715
目录1 项目介绍2 项目截图3 核心代码3.1 Controller3.2 Service3.3 Dao3.4 application.yml3.5 SpringbootApplication3.5 Vue3.6 uniapp代码4 数据库表设计5 文档参考6 计算机毕设选题推荐7 源码获取 1 项目介绍 博主个人介绍:CSDN认证博客专家,CSDN平台Java领域优质创作者,全网30w+粉丝,超300w访问量,专注于大学生项目实战开发、讲解和答疑辅导,对于专业性数据证明一切! 主要项目:javawe
uniapp totp算法
12-22
TOTP(Time-Based One-Time Password)是一种基于时间的一次性密码算法,用于生成动态密码。它是基于HOTP(HMAC-Based One-Time Password)算法的扩展,通过结合时间戳和密钥生成密码,以提供更高的安全性。 以下是使用uniapp实现TOTP算法的示例代码: ```javascript // 导入js库 import jsSHA from 'jssha'; // 生成TOTP密码 function generateTOTP(secretKey) { // 获取当前时间戳 const timestamp = Math.floor(Date.now() / 1000); // 将时间戳转换为8字节的大端字节数组 const timeBytes = new Array(8); for (let i = 7; i >= 0; i--) { timeBytes[i] = timestamp & 0xff; timestamp >>>= 8; } // 使用HMAC-SHA1算法计算哈希值 const shaObj = new jsSHA('SHA-1', 'ARRAYBUFFER'); shaObj.setHMACKey(secretKey, 'ARRAYBUFFER'); shaObj.update(new Uint8Array(timeBytes)); const hmac = shaObj.getHMAC('ARRAYBUFFER'); // 获取哈希值的最后一个字节 const offset = hmac[hmac.length - 1] & 0xf; // 从哈希值中截取4个字节作为动态密码 const otp = ( ((hmac[offset] & 0x7f) << 24) | ((hmac[offset + 1] & 0xff) << 16) | ((hmac[offset + 2] & 0xff) << 8) | (hmac[offset + 3] & 0xff) ) % 1000000; // 将动态密码转换为6位字符串 const otpString = otp.toString().padStart(6, '0'); return otpString; } // 使用示例 const secretKey = 'JBSWY3DPEHPK3PXP'; // 密钥 const totp = generateTOTP(secretKey); console.log('TOTP密码:', totp); ``` 请注意,上述代码中使用了`jssha`库来计算HMAC-SHA1哈希值。在使用之前,需要先安装该库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值