认证令牌

最新推荐文章于 2024-02-18 21:44:31 发布
最新推荐文章于 2024-02-18 21:44:31 发布
阅读量2.5k 收藏 6
点赞数 2
分类专栏: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40279192/article/details/108280003
版权
1.简介

认证令牌是代替口令的好办法。认证令牌是个小设备,在每次使用时生成一个新的随机数。这个随机数是认证的基础。认证令牌通常具有如下特性:处理器;LCD,显示输出;电池;小键盘,用于输入信息(可选);实时时钟(可选)。每个认证令牌(即每个设备)预编程了一个唯一的数字,称为随机种子或种子。种子是保证认证令牌产生唯一输出的基础。其工作的步骤如下所示:
第一步:生成令牌
生成认证令牌时,认证服务器生成令牌的相应随机种子。这个种子在令牌中储存或预编程,并在用户客户机的用户记录中建立其项目。因此,可以把种子看成用户口令(但技术上与口令完全不同)。另外,用户不知道种子值,这是因为,认证令牌自动使用种子。
第二步:使用令牌
认证令牌自动生成伪随机数,称为一次性口令或一次性密码。一次性口令是认证令牌根据预编程的种子值随机产生的。生成之后,使用一次就放弃,因此是一次性的。用户要认证时,出现一个屏幕,要输入用户名和最新的一次性口令。因此,用户输入用户名和从认证令牌取得的一次性口令。用户名与口令在登录请求中传递到服务器。服务器取得用户数据库中与用户名相应的种子(使用种子检索程序),然后调用口令验证程序,服务器向其提供种子和一次性口令。这个程序使用同步技术像认证令牌一样生成一次性口令,认证服务器可以用这个程序确定特定种子值是否与特定一次性口令相关。如下图所示:
在这里插入图片描述
如果用户丢失认证令牌,就会存在一个问题,为了解决这种情况,通常要使用口令或四位PIN保护认证令牌。只有输入这个PIN之后,才能生成一次性口令。这也是多因子认证的基础。口令是单因子认证,因为它只是知道什么的问题。相反,认证令牌是个双因子认证,因为既要知道什么(保护PIN),又要拥有什么(认证令牌),只知道PIN或只拥有令牌是不够的,要使用认证令牌,同时要有这两个因子。
第三步:服务器向用户返回相应消息
根据上述操作成功与否,服务器向用户返回相应消息。

2.认证令牌类型

认证令牌可以可以分为两大类:挑战/响应令牌和基于时间令牌。
2.1 挑战/响应令牌
挑战/响应令牌组合了前面介绍的技术。认证令牌中的预编程种子是秘密,是唯一的。这个事实是挑战/响应令牌的基础。事实上,这个技术把种子当做加密密钥。
第一步:用户发送登录请求
用户发送登录请求,只发送用户名,而不发送一次性口令。。
第二步:服务器生成随机挑战
服务器收到只有用户名的登录请求时,首先检查用户是否有效,只检查用户名。如果无效,则向用户返回相应的错误消息;如果用户名有效,则服务器生成一个随机挑战(随机数,用伪随机数生成方法生成),将其返回用户。随机挑战可以以明文形式传递到用户计算机。如下图所示:
在这里插入图片描述
第三步:用户用口令的消息摘要签名随机挑战
用户得到一个屏幕,显示用户名、从服务器收到的随机挑战和一个数据输入字段。在这个阶段,用户读取屏幕上显示的随机挑战,首先用它的PIN打开令牌,然后向令牌中输入从服务器收到的随机挑战。为此,令牌上有个小键盘。令牌接收随机挑战,用种子值加密,结果就是用种子加密的随机挑战。用户阅读这个值并将其输入屏幕的Password字段,然后将这个请求作为登录请求发送给服务器。假设用户发送的随机挑战为1775567,如下图所示:在这里插入图片描述
第四步:服务器验证从用户收到的加密随机挑战
服务器收到的随机挑战是用户认证令牌用种子加密的。要验证随机挑战是用正确种子加密的,服务器加药进行相同的操作。可以使用两种方法:
1.服务器可以用用户的种子值解密从用户那里收到的加密随机挑战。用户的种子可以通过用户数据库取得。如果解密结果与服务器上原先的随机挑战相符,则服务器可以保证随机挑战是由用户认证令牌的正确种子加密的。
2.服务器也可以用用户的种子加密自己的随机挑战(即前面发给用户的随机挑战)。如果加密得到的随机挑战与从用户收到的随机挑战相符,则服务器可以保证随机挑战是由用户认证令牌的正确种子加密的。
第五步:服务器向用户返回相应消息
根据上述操作成功与否,服务器向用户返回相应消息。
2.2 基于时间令牌
挑战/响应机制存在实际问题。注意用户要进行三次输入:首先要输入PIN以访问令牌,其次要从屏幕上阅读随机挑战,并在令牌中输入随机挑战,最后要从令牌LCD上阅读加密的随机挑战,输入到Password字段。用户这个过程很容易出错,从而在用户计算机、服务器与认证令牌之间出现大量浪费的信息流。在基于时间令牌中,可以克服这些缺点。服务器不必向用户发送任何随机挑战,令牌上不需要输入键板,只要用时间作为认证过程的输入变量,代替随机挑战。
第一步:口令生成与登录请求
令牌和平时一样预编了种子,并向认证服务器提供这个种子的副本。在基于时间令牌中,这些令牌不要任何用户输入,而是没60秒自动生成一个口令,在LCD输出上显示最新口令,让用户阅读与使用。
生成口令时,基于时间令牌使用两个参数:种子和当前系统时间。令牌对这两个参数进行某种加密处理,自动产生口令,然后令牌在LCD上显示口令。用户登录时,只要看看LCD显示,阅读其中的口令,然后用其用户名和口令登录。
第二步:服务器方验证
服务器接收口令,并对用户种子值和当前系统独立执行加密功能,生成自己的口令。如果两个口令相符,则认为用户是有效用户,如下图所示:
在这里插入图片描述
第三步:服务器返回相应消息
根据上述操作成功与否,服务器向用户返回相应消息。
基于时间令牌具有自动性质,与挑战/响应令牌相比,因此在实际中更实用。但是如果用户登录请求到达服务器和认证完成之间经过60s的时间窗口,会出现问题。为了解决这类问题,可以采用重试方法。时间窗口过期时,用户计算机发一个新的登录请求,将时间提前1分钟。如果还是失败,用户计算机发一个新的登录请求,将时间提前2分钟,等等。

ZhInen丶
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JWT - 令牌认证认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
认证令牌_Java应用程序的令牌认证
最佳 Java 编程
06-26 470
认证令牌 建筑物身份管理,包括身份验证和授权? 尝试Stormpath! 我们的REST API和强大的Java SDK支持可以消除您的安全风险,并且可以在几分钟内实现。 注册 ,再也不会建立auth了! 2016年5月12日更新:构建Java应用程序? JJWT是由我们自己的Les Hazlewood开发的Java库,提供端到端JWT的创建和验证。 JJWT永久免费且开源(Apache许...
动态令牌认证
seaboat——a free boat on the sea.(公众号:远洋号)
03-13 3374
令牌可以使用户证明自己的身份后获得受保护资源的访问权。令牌会产生一个随机但专用于某个用户的动态口令,其数字只有对指定用户在特定的时刻有效。用户的静态密码+令牌的动态口令,使得用户的电子身份很难被模仿、盗用或破坏。对每个用户不同时间的口令,都是随机的,均匀分布在输出范围内。同一令牌的相邻产生的动态口令之间没有相关性,不可能从前一个口令推导出后一个口令。令牌生成的是无法预知的动态口令,并且是一次性的,
15、令牌验证
u012153127的博客
09-30 493
令牌验证   通过令牌验证在注册中心控制权限,以决定要不要下发令牌给消费者,可以防止消费者绕过注册中心访问提供者,另外通过注册中心可灵活改变授权方式,而不需修改或升级提供者 可以全局设置开启令牌验证: <!--随机token令牌,使用UUID生成--> <dubbo:provider token="true" /> 或 <!--固定token令牌,相当于密码--> <dubbo:provider token="123456" /> 也可在服务级别设置:
eat:实体证明令牌
03-17
实体证明令牌 eat软件包提供了一个golang API,用于处理定义的实体证明令牌
OpenStack认证管理
最新发布
03-20
- **令牌管理(Token)**:为认证成功的用户提供令牌(Token),该令牌用于后续的服务请求认证。 - **服务管理(Catalog)**:维护一个服务目录,列出所有可用的服务及其端点信息。 - **端点注册(Endpoint)**:记录...
Swift——-keystone认证 获得认证令牌和存储服务URL
01-20
按照《云存储系统—swift的原理、架构及实践》60面的内容,为了获取认证令牌和存储系统URL,可以用: curl -i -H “X-Auth-Key:jdoeseretpassword” -H “X-Auth-user:jdoe” https://auth.api.yourcloud.com/v1.0 ...
java开发jwt认证 令牌,jwt.jar包 jwt 实现token认证,支持jdk1.7版本 java令牌
06-30
jwt.jar包 jwt所需jar包集合 使用commons-codec.jar + java-jwt.jar进行token认证,支持jdk1.7及以上版本,目前大多数jwt支持至少需要1.8及以上,资源不好找,且行且珍惜。 如果需要源码以及功能实现方式,请联系...
ThinkPHP令牌验证实例
10-25
令牌验证机制确保了每次表单提交都携带一个独特的令牌,这个令牌是由服务器生成并验证的,从而有效地防止了恶意用户通过自动化脚本提交表单。 ### 表单令牌验证配置参数 在ThinkPHP中,表单令牌验证功能的配置通过...
深入理解令牌认证机制(token)
10-16
令牌认证机制,或者说Token,是现代Web应用中广泛采用的一种安全认证方式,特别是在前后端分离的架构中。Token主要用于在用户身份验证后提供一种安全的身份标识,使得客户端可以在不暴露用户名和密码的情况下,访问...
数字化时代,基于令牌的身份验证是如何工作?
Java_LingFeng的博客
12-24 845
令牌是计算机生成的代码,充当用户的数字编码签名。它们用于验证用户的身份以访问任何网站或应用程序网络。令牌分为两种类型:物理令牌和网络令牌。让我们了解它们以及它们如何在安全中发挥重要作用。物理令牌:物理令牌使用有形设备来存储用户的信息。在这里,密钥是一种物理设备,可以用来证明用户的身份。物理令牌的两个元素是硬令牌和软令牌。硬令牌使用智能卡和 USB 授予对受限网络的访问权限,就像公司办公室用来访问员工的网络一样。软令牌使用手机或计算机通过授权的应用程序或短信发送加密代码(如 OTP)。
请介绍一下token的概念1. 认证令牌(Authentication Token)2. 访问令牌(Access Token)3. 加密令牌(Crypto Token)4. 代码令牌
m0_62574889的博客
02-18 1681
请介绍一下token的概念 1. 认证令牌(Authentication Token) 2. 访问令牌(Access Token) 3. 加密令牌(Crypto Token) 4. 代码令牌(Code Token) 5. 网络令牌(Network Token) 6. 数字货币和区块链中的Token 请介绍一下在大语言模型中token的含义 1. Token的种类 2. Tokenization(分词) 3. 为什么使用Token 4. Token Embeddings 5. 应用
令牌认证和百度地图
m0_74331160的博客
12-09 804
令牌认证 百度地图 数据库分析
挑战响应技术
z_shaowu的专栏
03-03 6990
<br />一种有效的验证技术<br />用户传一个口令给远程主机,远程主机根据口令传给用户一个挑战信息(加密后的信息),用户根据自己的口令,结合相应的算法,生成一个响应信息去根挑战信息匹配,如果匹配成功,那么认证成功;若匹配失败,则认证失败。<br />例如:<br />假定A服务器要认证B的身份:<br />1)B向A说”我 是B,请认证我!“<br />2)A随机产生一个字串,返回给B<br />3)B用自己的密钥加密收到的字串,然后再传送给A<br />4)A用本地保存的B的密钥加密刚刚产生的随机字
HMAC结合“挑战/响应”保障数据传输安全
weixin_30344995的博客
01-06 481
1、流程图: HMAC的一个典型应用是结合“挑战/响应”(Challenge/Response)来保障客户端和服务器传输数据的安全性。 2、安全性分析: 使用的密钥是双方事先约定的,第三方不可能知道。从整个流程可看出,攻击者只能截获作为“挑战”的随机数和作为“响应”的HMAC结果,无法根据这两个数据推算出密钥。由于不知道密钥,所以攻击者无法...
【6】密评中对服务端采用“挑战-响应”机制进行身份鉴别的验证
司徒荆的博客
01-23 1679
密评中对服务端采用“挑战-响应”机制进行身份鉴别的验证
商用密码产品认证-动态口令系统标准与产品
Lapedius的博客
11-30 3274
商用密码产品认证-动态口令系统标准与产品产品概述相关标准标准和产品应用要点(1)应结合动态口令生成过程,理解动态口令系统的密钥体系结构(2)应注意种子密钥写入动态令牌过程的安全(3)种子密钥应当以加密形式导入至认证系统中,只有获得允许才能使用(4)应注意种子密钥的使用安全(5)令牌在使用时应采用PIN保护(6)认证服务器和应用服务器通信应注意敏感字段的加密 产品概述 动态口令是一种一次性口令机制。用户无需记忆口令,也无需手工更改口令,口令通过用户持有的客户端器件生成,并基于一定的算法与服务端形成同步,从而作
JWT令牌的介绍
快乐学习
08-22 3586
在以前用cookie认证时候,会把状态信息什么的储存在服务器里面,随着用户越来越多,这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。Cookie会造成服务器的压力。那么jwt就出来了,你什么时候来,我什么时候给你颁发一个认证授权访问的令牌就好,不会储存在服务器里面。啪,给你盖章通过认证了,你可以带着这个令牌请求去访问我们服务器的资源了。jwt令牌是无状态的,随时访问随时给令牌认证,一次性的,所以单点登录很适合。不会给服务器造成压力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZhInen丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值