通过JAVA实现OTP验证-上

最新推荐文章于 2024-08-16 11:17:59 发布
最新推荐文章于 2024-08-16 11:17:59 发布
阅读量1.2k 收藏 4
点赞数 1
文章标签: java 后端 otp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littleflower9/article/details/121046299
版权
本文揭秘动态密码背后的一次性密码(OTP)技术,探讨OATH算法的权威性、安全性及效率,深入解析密钥的唯一性和不可复制性,并介绍三种动态因子类型。同时预告了如何通过JAVA实现OTP验证的过程,涉及所需工具和源码链接。
摘要由CSDN通过智能技术生成

文章目录

前言

不知道你们是否经常碰到在登录腾讯游戏时被要求输入动态密码,手机令牌是第二代密码保护的一种密保手段,它是安装在手机上免费使用的软件,安装成功后会在手机上显示6位动态密码,绑定后,您可以通过验证动态密码,进行修改QQ密码、设置登录保护和Q币、Q点消费保护等操作。那么这个动态密码的实现机制是什么呢?这里我们就带大家来了解一下!
请添加图片描述

动态令牌背后的OTP技术

OTP( One-Time Password,一次性密码)
详情可参考文章OTP动态令牌工作原理分析

OTP动态密码的产生主要是通过内置在硬件中不可导出的密钥与一个变化因子通过安全算法进行计算完成的。即:
算法{密钥(也称为种子),动态因子(时间,事件,冲击响应……)}=OTP口令
可以看到算法有两个输入因子:密钥和动态因子。算法的好坏也决定了OTP的安全程序

1. 算法:

一般算法应该考虑几点因素:

  • 权威性:一个算法是需要经过长时间的研发积累,经过长期广泛的市场验证才能够走向成熟。真正成熟算法的研究需要几年,甚至十几年的时间。坚石诚信ET系列动态令牌采用OTP领域中公认的最具权威的OATH国际组织的安全算法。算法的安全性得到了有效保障。自定义算法未被广泛验证和认可,安全性是一个未知数。

  • 安全性:OTP的算法一般不采用对称加解密算法,如:3DES,AES等。而采用单向散列算法。原因是这样的,拿时间型令牌说明,密钥+时间(动态因子)=OTP,时间是知道的,每分钟产生的动态口令能通过硬件知道,3DES算法也是公开的,这样就有反推出密钥的可能性。而单向散列算法,即使知道通算法计算的结果OTP,由于算法保证单向,那么从根本上就断绝了反推密钥的途径。

  • 效率/耗电:OATH算法是国际OTP领域中公认的安全算法。坚石诚信ET系列动态令牌的OATH算法单次运行时间<1ms,用时极短,耗电极少。保证电池能够正常使用3年以上。按键开关显示OTP设计,更能保证电池寿命可长达5年以上。

2. 密钥

  • 唯一性:每个动态令牌中的密钥都是唯一且不相同的,每个动态令牌与不同的用户绑定,那么该令牌中的密钥就代表这个用户的身份。坚石诚信ET系列OTP动态令牌产品的密钥符合OATH组织规定的160位(20字节)长度。

  • 不可复制:动态令牌硬件保证密钥不可导出,断电即毁。动态口令的计算在硬件内部完成。保证了密钥的安全。

  • 产生/生产:两种模式保证了OTP密钥的唯一性:软实现(符合FIPS140-2标准),硬实现(使用国密办认证的硬件加密卡)。生产时密钥以密文的方式烧入到智能卡中(智能卡由专门的授权的人员负责,读卡器、通讯协议、COS都是自主研发,不公开),使用工控机烧入动态令牌密钥时,智能卡的COS会将烧入成功的密钥删除,所有的密钥烧录成功完成后,智能卡中就没有密钥了。

3. 动态因子

可以有多种选择,目前较多使用的有如下3种:

  • 时间型:以时间为变化因子
  • 事件型:以每次触发计算动态口令的计算事件行为为变化因子
  • 冲击响应:以服务器产生的随机数为变化因子

通过JAVA实现OTP验证

这章我们就讲解到这里了,这边给读者留下一个期待,下篇文章我们再来讲解如何通过JAVA实现OTP验证。
需要准备的工具有:

IntelliJ IDEA
源码 - 提取码:Huah
commons-codec-1.9.jar
二维码生成网站

@花花.
关注
java提供OTP服务
caipiaocloud的博客
01-22 2089
 还记得早些年,网易出了一个"将军令",用于在游戏中授权,以增加整个软件服务的安全性,现在大多数已经不再使用这种硬件口令,主要因为这东西成本较高,也不利于携带,丢失就得线上补办,比较麻烦。随着Google推出谷歌身份验证器 (Google Authenticator),大大便利了"将军令"服务。  下面来说说用Java怎么提供这种服务,主要是服务端校验,客户端直接安装app就好,在应用商店直接搜...
Java使用OTP动态口令(每分钟变一次)进行登录认证
08-25
主要介绍了Java使用OTP动态口令(每分钟变一次)进行登录认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
通过JAVA实现OTP验证-下
littleflower9的博客
10-30 1755
文章目录前言准备工具一、导入项目二、运行源码三、验证令牌总结 前言 在上一篇文章中我们讲了动态令牌背后的OTP技术,这篇文章我们可以尝试自己用JAVA实现OTP验证。 参考文章通过JAVA实现OTP验证-上 准备工具 IntelliJ IDEA 源码 - 提取码:Huah commons-codec-1.9.jar 二维码生成网站 一、导入项目 点击IDEA选项栏中的文件,在点击打开 找到自己存放源码文件的路径,再选择源码,点击下面的打开 这里我们看到这里报错 那是因为我们没有导入org
java实现用户通过opt动态口令登录系统
最新发布
ts977的博客
08-16 648
Java实现一个基于动态口令(OTP, One-Time Password)的用户登录系统,通常涉及到几个关键组件:用户身份验证OTP生成与验证、以及安全存储用户信息。下面简单介绍一下如何实现用户通过动态口令进行登录。
java-otpJava的一次性密码(HOTPTOTP)库
02-05
java-otp是一个Java库,用于生成或密码。 获取java-otp 您可以从将java-otp下载为jar文件(不依赖),并将其添加到项目的classpath中。 如果您正在使用Maven(或一些了解Maven依赖项的东西)来构建项目,则可以将java-otp添加为依赖项: < dependency> < groupId>com.eatthepath</ groupId> < artifactId>java-otp</ artifactId> < version>0.2.0</ version> </ dependency> java-otp适用于Jav
Basic-Java-OTP:一个简单的一次性密码生成器和验证
05-19
基本的OTP生成器/验证器 一个简单的一次性密码生成器和验证器。 OTP通常用于两因素身份验证,其中密码是通过已知的电子邮件或电话号码发送给用户的,然后将其输入站点并进行验证,以确认用户的身份。 OTPGenerator使用密钥生成随机数字密码和相应的HMAC。 生成HMAC时可以添加其他参数。 密码被发送到被认为是“预认证”的辅助设备,而HMAC被发送到请求认证的设备。 在验证步骤中,用户提供的密码和来自先前步骤的HMAC会传递到OTP引擎进行验证。 错误的密码会导致HMAC不匹配,因此被视为无效。 使用指南 生成一次性密码的步骤 1.创建一个OTPEngine实例,传入一个秘密密钥 OTPEngine engine = OTPEngine.getInstance(secretKey); (可选)添加一些额外的参数,以使密码/ hmac组合对于用户/实例是唯一的 字符串参数=新的Str
JS-OTP:用于两因素身份验证的HOTP和TOTP的100%Javascript实现
05-22
HOTP和TOTPJava语言实现 一个小型JavaScript库(最小压缩了17k,最小压缩了6.3k,gzip压缩了),该库和处理生成。根据。 该库产生与Google Authenticator应用相同的代码。 该软件包仅将jsOTP和jsSHA公开给全局...
RabbitMQ-Service-3.8.7和对应版本的otp-win64-23.0安装包
05-17
**正文** RabbitMQ是一个广泛使用的开源消息代理和队列服务器,它实现了AMQP...通过理解安装过程、基本操作和如何与Java应用集成,开发者能够充分利用RabbitMQ实现异步处理、解耦组件以及提高系统的可伸缩性和可靠性。
otp-src-25.3.tar.gz
04-22
通过RabbitMQ等中间件,可以实现Erlang系统与Java应用之间的通信。例如,Java应用可以使用RabbitMQ的Java客户端库来发送和接收消息,与Erlang服务端进行交互。 3. **RabbitMQ**:RabbitMQ是一个广泛使用的开源消息...
基于java实现的OPT算法
Gee_Zer的博客
12-08 2251
1966年,Belady提出最佳页面替换算法(OPTimal replacement,OPT)。是操作系统存储管理中的一种全局页面替换策略 。 当要调入一页而必须淘汰旧页时,应该淘汰以后不再访问的页,或距最长时间后要访问的页面。它所产生的缺页数最少,然而,却需要预测程序的页面引用串,这是无法预知的,不可能对程序的运行过程做出精确的断言,不过此理论算法可用作衡量各种具体算法的标准。 例子: OPT ...
Java实现OTP二次验证
东皋长歌的专栏
08-21 1907
首先简单介绍一下OTP:简单就是说,一个时长30秒的动态密码,和账号绑定了,如果需要做身份验证的话,可以用这个动态码做二次验证。更简单说,就是一个安全要求更高的身份验证方式,一个字,牛!废话不多说,开干!
java-otp, Java的一次性口令( HOTP和 TOTP ) 库.zip
09-17
java-otp, Java的一次性口令( HOTP和 TOTP ) 库 Java otp是使用 Java HOTP ( RFC 4226 ) 或者 TOTP ( RFC 6238 ) 标准生成一次性密码的库。用法为了演示一次生成密码,我们将重点放在TOTP算法。 要创建默认密码长度为( 6位数字),
OATH标准OTP算法Java源代码
12-17
从OATH标准资料整理的OTP算法Java工程代码。 完整Eclipse工程代码,使用JCE。 包括:HOTP(事件OTP),TOTP(时间OTP)和 OCRA(挑战与应答OTP)。 完全来源于网上标准文档,RFC6226,RFC6238,RFC6287。
OTPJava一次动态密码、付款码原理
12-21
1. 什么是OTP 一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。 2. OTP原理 动态密码的产生方式,主要是以时间差做为服务器与密码产生器的同步条件。在需要登录的时候,就利用密码产生器产生动态密码,OTP一般分为计次使用以及计时使用两种,计次使用的OTP产出后,可在不限时间内使用;计时使用的OTP则可设置密码有效时间,从30秒到两分钟不等,而OTP在进行认证之后即废弃不用,下次认证必须使用新的密码,增加了试图不经授权访问有限制资源的难度。 计算公式: OTP(K,C) = Truncate(HMAC-SHA-1(K,C)
extract_otp_secret_keys:从“ Google Authenticator”应用的导出QR码中提取两因素身份验证(2FA,TFA)秘密密钥
04-13
从Google Authenticator中提取TOTP / HOTP秘密密钥 从“ Google Authenticator”应用的导出QR码中提取两因素身份验证(2FA,TFA)秘密密钥 用法 从“ Google Authenticator”应用中导出QR码 使用QR码阅读器阅读QR码 将捕获的QR码保存在文本文件中。 将每个QR码保存在新行中。 (捕获的QR代码看起来像otpauth-migration://offline?data=... ) 使用文件作为输入来调用此脚本: python extract_otp_secret_keys.py -p example_export.txt 要求 要运行此脚本,必须使用Google for proto3的protobuf软件包。 建议使用protobuf> = 3.14。 pip install protobuf 已知与之合作 Py
java使用OTP完成两步验证
lxl的博客
09-26 1005
OTP是指一次性密码(One-Time Password),它是一种常用的身份验证方法,特别是在网络应用和安全系统中。
探索Java OTP:一款强大的一次性密码生成器库
gitblog_00013的博客
04-19 716
探索Java OTP:一款强大的一次性密码生成器库 项目地址:https://gitcode.com/gh_mirrors/ja/java-otp 在网络安全领域,一次性的动态密码(OTP)已经成为身份验证的重要组成部分,它增强了传统的静态密码安全性。如果你正在寻找一个开源、可靠且易于集成的Java OTP解决方案,那么项目值得你深入了解。 项目简介 Java OTP 是一个轻量级的Java库,用...
OTP一次性动态密码工具Java实现
进修的CODER
01-12 2669
一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合,iKEY一次性密码已在金融、电信、网游等领域被广泛应用,有效地保护了用户的安全。
java代码实现otp算法
08-03
### 回答1: 首先,实现OTP算法的Java代码可以按照以下步骤进行:1. 使用SecureRandom生成OTP的秘钥;2. 使用HMAC-SHA-1把OTP秘钥和时间戳进行哈希运算;3. 将哈希值进行分割,并转换为十六进制字符串;4. 将十六进制字符串映射为十位数字;5. 返回OTP结果。 ### 回答2: OTP(一次性密码)算法是一种基于哈希函数和对称密码算法的密码技术,它通过生成一次性的密码来实现安全通信。下面是使用Java代码实现OTP算法的步骤: 步骤1:导入相关的库 ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.Random; ``` 步骤2:生成随机的密钥 ```java public static String generateKey(int length) { String characters = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789"; Random random = new Random(); StringBuilder key = new StringBuilder(length); for (int i = 0; i < length; i++) { key.append(characters.charAt(random.nextInt(characters.length()))); } return key.toString(); } ``` 步骤3:生成一次性密码 ```java public static String generateOTP(String key, String message) throws NoSuchAlgorithmException { MessageDigest md = MessageDigest.getInstance("SHA-256"); md.update((key + message).getBytes()); byte[] digest = md.digest(); StringBuilder otp = new StringBuilder(); for (byte b : digest) { otp.append(String.format("%02x", b)); } return otp.toString(); } ``` 步骤4:使用示例 ```java public static void main(String[] args) throws NoSuchAlgorithmException { String key = generateKey(10); String message = "Hello, World!"; String otp = generateOTP(key, message); System.out.println("One-Time Password: " + otp); } ``` 以上代码通过使用SHA-256算法生成一次性密码,其中`generateKey`函数用于生成长度为`length`的随机密钥,`generateOTP`函数将密钥和消息结合起来,并使用SHA-256算法进行哈希计算。最后,使用`main`函数演示了如何生成一次性密码。 请注意,实际应用中,还需要考虑如何传递密钥和一次性密码以及如何验证接收到的一次性密码的有效性等问题。以上代码只是对OTP算法的简单实现,实际应用中还需要进行更多的安全性验证和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@花花.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值