动态令牌之 OTP,HOTP,TOTP 的基本原理 Python

最新推荐文章于 2024-07-18 14:37:07 发布
最新推荐文章于 2024-07-18 14:37:07 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: python面向对象 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41337034/article/details/104862080
版权

先来看个图

名词解释和基本介绍:

  • OTP 是 One-Time Password的简写,标识一次性密码
  • HOTP 是HMAC-based One-Time Password的简写,表示基于HMAC算法加密的一次性密码。是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法运算出一致的密码。(基于事件)
  • TOTP 是Time-based One-Time Password的简写,表示基于时间戳算法的一次性密码。是时间同步,基于客户端的动态口令和动态口令验证服务器的时间比对,一般每60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。

原理介绍

OTP基本原理

计算OTP串的公式:OTP(K,C) = Truncate(HMAC-SHA-1(K,C))
其中,
K表示秘钥串;

  • C是一个数字,表示随机数;
  • HMAC-SHA-1表示使用SHA-1做HMAC;
  • Truncate是一个函数,就是怎么截取加密后的串,并取加密后串的哪些字段组成一个数字。

对HMAC-SHA-1方式加密来说,Truncate实现如下:

  • HMAC-SHA-1加密后的长度得到一个20字节的密串;
  • 取这个20字节的密串的最后一个字节,取这字节的低4位,作为截取加密串的下标偏移量;
  • 按照下标偏移量开始,获取4个字节,按照大端方式组成一个整数;
  • 截取这个整数的后6位或者8位转成字符串返回。

HOTP基本原理

知道了OTP的基本原理,HOTP只是将其中的参数C变成了随机数HOTP(K,C) = Truncate(HMAC-SHA-1(K,C)) 即:C作为一个参数,获取动态密码。
HOTP的python代码片段:

class HOTP(OTP):
    def at(self, count):
        """
        Generates the OTP for the given count
        @param [Integer] count counter
        @returns [Integer] OTP
        """
        return self.generate_otp(count)

一般规定HOTP的散列函数使用SHA2,即:基于SHA-256 or SHA-512 [SHA2] 的散列函数做事件同步验证;

TOTP基本原理

TOTP只是将其中的参数C变成了由时间戳产生的数字。
TOTP(K,C) = HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))
不同点是TOTP中的C是时间戳计算得出。
C = (T - T0) / X;

  • T 表示当前Unix时间戳
  • T0一般取值为 0.
  • X 表示时间步数,也就是说多长时间产生一个动态密码,这个时间间隔就是时间步数X,系统默认是30秒;

例如:

T0 = 0;

X = 30;

T = 30 ~ 59, C = 1; 表示30 ~ 59 这30秒内的动态密码一致。

不同厂家使用的时间步数不同;

  • 阿里巴巴的身份宝使用的时间步数是60秒;
  • Google的 身份验证器的时间步数是30秒;
  • 腾讯的Token时间步数是60秒;

TOTP的python代码片段:

class TOTP(OTP):
    def __init__(self, *args, **kwargs):
        """
        @option options [Integer] interval (30) the time interval in seconds
            for OTP This defaults to 30 which is standard.
        """
        self.interval = kwargs.pop('interval', 30)
        super(TOTP, self).__init__(*args, **kwargs)
    def now(self):
        """
        Generate the current time OTP
        @return [Integer] the OTP as an integer
        """
        return self.generate_otp(self.timecode(datetime.datetime.now()))
 
    def timecode(self, for_time):
        i = time.mktime(for_time.timetuple())
        return int(i / self.interval)

代码说明

self.interval 是时间步数X

datetime.datetime.now()为当前的Unix时间戳

timecode表示(T - T0) / X,即获取获取动态密码计算的随机数。

TOTP 的实现可以使用HMAC-SHA-256或者HMAC-SHA-512散列函数;

python的otp实现

https://pypi.python.org/pypi/pyotp
https://github.com/pyotp/pyotp

基于pyotp的简单应用

>>> import base64
>>> base64.b32encode('This is my secret key')
'KRUGS4ZANFZSA3LZEBZWKY3SMV2CA23FPE======'
>>> secretKey = base64.b32encode('This is my secret key')
>>> import pyotp
>>> totp = pyotp.TOTP(secretKey)
>>> totp.now()
423779
程序的简单说明

加载base64的模块,将我的秘钥做一下base32的加密,加载pyotp模块,otp使用base32加密后的秘钥传作为种子,生成随机数字验证的。

可以使用pyotp和expect一起实现基于google authenticator的自动登录(免去每次双认证,输入密码和动态密码)。

pyotp的TOTP的使用说明(官网)

totp = pyotp.TOTP('base32secret3232')
totp.now() # => 492039
 
# OTP verified for current time
totp.verify(492039) # => True
time.sleep(30)
totp.verify(492039) # => False

pyotp的HOTP的使用说明(官网)

hotp = pyotp.HOTP('base32secret3232')
hotp.at(0) # => 260182
hotp.at(1) # => 55283
hotp.at(1401) # => 316439
 
# OTP verified with a counter
hotp.verify(316439, 1401) # => True
hotp.verify(316439, 1402) # => False

使用场景

  • 服务器登录动态密码验证(如阿里云ECS登录,腾讯机房服务器登录等);
  • 公司VPN登录双因素验证;
  • 网络接入radius动态密码;
  • 银行转账动态密码;
  • 网银、网络游戏的实体动态口令牌;
  • 等动态密码验证的应用场景。

市面上基于HOTP的产品

  • 宁盾令牌
  • 阿里巴巴的 身份宝
  • Google的 身份验证器(google-authenticator)

Google基于TOTP的开源实现

https://github.com/google/google-authenticator
RFC6238中TOTP基于java代码的实现。

golang的一个otp做的不错的实现

https://github.com/gitchs/gootp

RFC参考

  • RFC 4226 One-Time Password and HMAC-based One-Time Password.
  • RFC 6238 Time-based One-Time Password.
  • RFC 2104 HMAC Keyed-Hashing for Message Authentication.
赵北北北北北
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Py-OTP:用python编写的迪士尼OTP服务器的实现
05-01
Py-OTPpython编写的迪士尼OTP服务器的实现
Gurpreet-Singh:使用pythonOTP发件人,这对您来说是一个非常有用的项目,它使您可以在邮件中发送OTP来验证自己的真实生活
04-04
OTP发件人和电子邮件使用python验证 使用pythonOTP发件人,这对您来说是一个非常有用的项目,它使您可以在邮件中发送OTP来验证自己,从而对现实生活有所帮助。
python 整理OTP数据(二)
ShuChengsong的博客
04-13 660
上一篇博客中,虽然初步实现了想法,但仍缺少扩展。0,提供文件名输入的接口,也加一下。1,提供接口,让人输入lsc group的地址,包括valid_flag, start_addr, end_addr, checksum_addr。2,进行valid_flag, checksum的校验。3,将输出结果对齐,并写入文本记录,方便下次查看。4,异常处理,也没有。晚上搞出新代码,加油。麻蛋,一忙起来就是...
在线TOTP工具,支持Github双2FA验证,无需下载任何应用
最新发布
yunmoon的博客
07-18 554
在线OTP动态口令生成器,安全便捷登录验证,为账户提供额外保护。使用动态口令技术,每次登录生成唯一一次性密码,防止恶意攻击和盗号。简单易用,输入用户名和密钥,系统支持自动生成6和8位动态口令。无需安装软硬件,访问网站或使用移动应用即可获取。
Python: 使用pyotp实现OTP一次性密码验证
彭世瑜的博客
05-28 534
生成一个url,使用Google Authenticator扫描。秘钥有一定的规则,可以使用pyotp提供的方法生成一个随机秘钥。比如使用https://cli.im/text 生成二维码如下。使用pyotp实现OTP一次性密码验证。服务端和客户端计算的方式一样。
动态令牌OTPHOTPTOTP基本原理.docx
07-09
动态令牌是一种安全认证机制,主要用于增强用户登录过程的安全性,防止未经授权的访问。...通过了解HOTP和TOTP基本原理,我们可以更好地理解这些安全措施的工作方式,以及如何在实际应用中实施和保护我们的在线身份。
Python库 | django_otp-0.9.2-py3-none-any.whl
03-18
`django_otp`支持多种OTP生成器,包括基于时间的(TOTP)和基于挑战-响应的(HOTP)。 **安装与使用** 要在Python环境中安装`django_otp-0.9.2-py3-none-any.whl`,首先确保已经安装了pip,然后可以通过以下命令...
google双因子验证totp生成函数集合
08-23
包含了一些在web中开发使用的TOTP双重因子验证等函数,可以结合谷歌的authenticator app使用 其中使用pyotp模块是最简单和方便的实现
Python库 | django_otp_yubikey-0.4.0-py2.py3-none-any.whl
02-16
**Pythondjango_otp_yubikey 0.4.0 版本介绍** `django_otp_yubikey` 是一个Python库,专为Django框架设计,用于集成YubiKey设备进行二次身份验证(2FA)。这个库允许开发人员在他们的Django应用中实现基于...
OTP :: One-time Password-开源
07-14
2. **基于事件的OTP (HOTP)**:每次用户进行身份验证时,系统会生成一个新的密码,并且会记录已使用的次数。 3. **基于密钥的OTP**:密码是通过用户的私钥和服务器的公钥计算得出的,如哈希消息认证码(HMAC)。 ### ...
totp:使用 Python 实现 RFC 6238
06-30
非活动项目:我不再使用它,赞成调整我的工作流程并使用 顶 该模块实现了 RFC 6238,TOTP 认证。 用法 生成.py 此脚本创建用于对用户进行身份验证的 YAML 配置文件。 它会引导您完成整个过程,并将结果转储到标准输出或文件。 totp.py 这将处理配置文件读取、密钥操作和代码验证。 一般的做法是实例化一个 totp.Config(file) 对象,获取你的代码,然后调用 Config().authenticate(code) 来检查它。 文件 这旨在与 pam_exec 一起使用。 它处理从 tty 读取和写入以获取代码,并将 0 或 1 返回到 pam_exec 以处理身份验证。 sshd.py 这可以与 sshd_config 中的 ForceCommand 一起使用,如果成功,将 os.execl 用户的 shell。 要求 pyyaml 执照 totp 是在
java-otp, Java的一次性口令( HOTP和 TOTP ) 库.zip
09-17
java-otp, Java的一次性口令( HOTP和 TOTP ) 库 Java otp是使用 Java HOTP ( RFC 4226 ) 或者 TOTP ( RFC 6238 ) 标准生成一次性密码的库。用法为了演示一次生成密码,我们将重点放在TOTP算法。 要创建默认密码长度为( 6位数字),
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码.zip
09-18
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码 otpauth加密插件已经构建了两个因素支持。otpauth是一次口令认证,通常被称为两个步骤验证。 你可能已经从谷歌,Dropbox等听过了。 安装使用 pip 安装otpauth很简单:$ pi
20行Python中最少的TOTP生成器-Python开发
05-25
MinTOTP MinTOTP是用Python编写的最小的TOTP生成器。 目录简介源代码从GitHub上的PyPI安装使用QR代码使用Base32密钥入门MinTOTP MinTOTP是用Python编写的最小的TOTP生成器。 内容简介源代码从PyPI安装,从GitHub安装使用GPG的Base32密钥和QR码保护密钥使用GPG的GPG加密,使用GPG加密Base32密钥,使用GPG的QR代码的使用多个密钥命令行参数权衡替代方案:OATH工具​​包资源许可证感谢简介TOTP立场基于时间的一次性密码。 许多网站和服务都需要两因素身份验证
pyotp,一个无敌的 Python 库!
涛哥聊Python
06-03 1657
标准的TOTP算法默认每30秒生成一个新的一次性密码。然而,某些应用可能需要更长或更短的时间间隔。PyOTP允许开发者自定义这个时间间隔。# 创建TOTP对象,设置30秒的时间间隔print('当前OTP:', totp.now())# 创建TOTP对象,从特定的Unix时间开始计算间隔print('指定时间起的OTP:', totp.now())在这些示例中,第一个TOTP对象使用标准的30秒间隔,而第二个示例设定了从2020年1月1日开始,每60秒更新一次OTP
TOTP(基于时间的一次性口令)简析 python实现
juxua_xatu的专栏
12-10 1万+
OTP 全称叫One-timePassword,也称动态口令,是根据专门的算法每隔60秒生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次,每天可以产生43200个密码。 OTP有3中形式,分别为时间同步(TOTP),事件同步,挑战/应答。 咱们公司的令牌类型属于TOTP,下面就来简单介绍下。 TOTP -Time-based One-time Password Algori
google authenticator算法TOTPpython实现(函数与模块示例)
热门推荐
神棍之路
08-25 7万+
#!/usr/bin/env python # coding:utf8 """ 包含了一些在web中开发使用的TOTP双重因子验证等函数,可以结合谷歌的authenticator app使用 其中使用pyotp模块是最简单和方便的实现 """ import hmac import base64 import struct import hashlib import ti
令牌算法python实现,人人都可以玩算法
weixin_36013896的博客
01-26 2594
from redis import Redis import time import math import random redis_conn = Redis(host='localhost',port=6689,password="redis_user",db=0) hasinit = False def init_redis_key(key,times): redis_conn.hset(key, 'tokens', times) last_time = int(time.t.
动态令牌-(OTP,HOTP,TOTP)
轻耘智科技CTO 尤胜荣 的专栏
12-27 1643
名词解释和基本介绍 OTP 是 One-Time Password的简写,表示一次性密码。 HOTP 是HMAC-based One-Time Password的简写,表示基于HMAC算法加密的一次性密码。 是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法运算出一致的密码。 TOTP 是Time-based One-Time Password的简写,表示基于时间...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值