动态令牌-(OTP,HOTP,TOTP)-基本原理

已于 2024-04-25 14:09:11 修改
阅读量1.4k 收藏 3
点赞数
文章标签: 哈希算法 算法
于 2023-10-23 16:27:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44460455/article/details/133992932
版权

名词解释和基本介绍

OTP 是 One-Time Password的简写,表示一次性密码。

HOTP 是HMAC-based One-Time Password的简写,表示基于HMAC算法加密的一次性密码。

  是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法运算出一致的密码。

TOTP 是Time-based One-Time Password的简写,表示基于时间戳算法的一次性密码。 

  是时间同步,基于客户端的动态口令和动态口令验证服务器的时间比对,一般每60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。  

原理介绍

OTP基本原理

计算OTP串的公式

1

OTP(K,C) = Truncate(HMAC-SHA-1(K,C))

其中,

K表示秘钥串;

C是一个数字,表示随机数;

HMAC-SHA-1表示使用SHA-1做HMAC;

Truncate是一个函数,就是怎么截取加密后的串,并取加密后串的哪些字段组成一个数字。

对HMAC-SHA-1方式加密来说,Truncate实现如下。

  • HMAC-SHA-1加密后的长度得到一个20字节的密串;
  • 取这个20字节的密串的最后一个字节,取这字节的低4位,作为截取加密串的下标偏移量;
  • 按照下标偏移量开始,获取4个字节,按照大端方式组成一个整数;
  • 截取这个整数的后6位或者8位转成字符串返回。

 Java代码实现

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

public static String generateOTP(String K,

                                     String C,

                                     String returnDigits,

                                     String crypto){

       int codeDigits = Integer.decode(returnDigits).intValue();

       String result = null;

       // K是密码

       // C是产生的随机数

       // crypto是加密算法 HMAC-SHA-1

       byte[] hash = hmac_sha(crypto, K, C);

       // hash为20字节的字符串

       // put selected bytes into result int

       // 获取hash最后一个字节的低4位,作为选择结果的开始下标偏移

       int offset = hash[hash.length - 1] & 0xf;

       // 获取4个字节组成一个整数,其中第一个字节最高位为符号位,不获取,使用0x7f

       int binary =

               ((hash[offset] & 0x7f) << 24) |

               ((hash[offset + 1] & 0xff) << 16) |

               ((hash[offset + 2] & 0xff) << 8) |

               (hash[offset + 3] & 0xff);

       // 获取这个整数的后6位(可以根据需要取后8位)

       int otp = binary % 1000000;

       // 将数字转成字符串,不够6位前面补0

       result = Integer.toString(otp);

       while (result.length() < codeDigits) {

           result = "0" + result;

       }

       return result;

   }

返回的结果就是看到一个数字的动态密码。

HOTP基本原理

知道了OTP的基本原理,HOTP只是将其中的参数C变成了随机数

公式修改一下

1

HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))

HOTP: Generates the OTP for the given count

即:C作为一个参数,获取动态密码。

HOTP的python代码片段:

1

2

3

4

5

6

7

8

class HOTP(OTP):

    def at(self, count):

        """

        Generates the OTP for the given count

        @param [Integer] count counter

        @returns [Integer] OTP

        """

        return self.generate_otp(count)

一般规定HOTP的散列函数使用SHA2,即:基于SHA-256 or SHA-512 [SHA2] 的散列函数做事件同步验证;

TOTP基本原理

TOTP只是将其中的参数C变成了由时间戳产生的数字。

1

TOTP(K,C) = HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))

不同点是TOTP中的C是时间戳计算得出。

1

C = (T - T0) / X;

T 表示当前Unix时间戳

T0一般取值为 0.

X 表示时间步数,也就是说多长时间产生一个动态密码,这个时间间隔就是时间步数X,系统默认是30秒;

例如:

T0 = 0;

X = 30;

T = 30 ~ 59, C = 1; 表示30 ~ 59 这30秒内的动态密码一致。

T = 60 ~ 89, C = 2; 表示30 ~ 59 这30秒内的动态密码一致。

不同厂家使用的时间步数不同;

  • 阿里巴巴的身份宝使用的时间步数是60秒;
  • 宁盾令牌使用的时间步数是60秒;
  • Google的 身份验证器的时间步数是30秒;
  • 腾讯的Token时间步数是60秒;

TOTP的python代码片段:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

class TOTP(OTP):

    def __init__(self*args, **kwargs):

        """

        @option options [Integer] interval (30) the time interval in seconds

            for OTP This defaults to 30 which is standard.

        """

        self.interval = kwargs.pop('interval'30)

        super(TOTP, self).__init__(*args, **kwargs)

    def now(self):

        """

        Generate the current time OTP

        @return [Integer] the OTP as an integer

        """

        return self.generate_otp(self.timecode(datetime.datetime.now()))

    def timecode(self, for_time):

        = time.mktime(for_time.timetuple())

        return int(i / self.interval)

代码说明

self.interval 是时间步数X

datetime.datetime.now()为当前的Unix时间戳

timecode表示(T - T0) / X,即获取获取动态密码计算的随机数。

TOTP 的实现可以使用HMAC-SHA-256或者HMAC-SHA-512散列函数;

python的otp实现

pyotp · PyPI

GitHub - pyauth/pyotp: Python One-Time Password Library

基于pyotp的简单应用

1

2

3

4

5

6

7

8

>>> import base64

>>> base64.b32encode('This is my secret key')

'KRUGS4ZANFZSA3LZEBZWKY3SMV2CA23FPE======'

>>> secretKey = base64.b32encode('This is my secret key')

>>> import pyotp

>>> totp = pyotp.TOTP(secretKey)

>>> totp.now()

423779

程序的简单说明

加载base64的模块,将我的秘钥做一下base32的加密,加载pyotp模块,otp使用base32加密后的秘钥传作为种子,生成随机数字验证的。

可以使用pyotp和expect一起实现基于google authenticator的自动登录(免去每次双认证,输入密码和动态密码)。

pyotp的TOTP的使用说明(官网)

1

2

3

4

5

6

7

totp = pyotp.TOTP('base32secret3232')

totp.now() # => 492039

# OTP verified for current time

totp.verify(492039# => True

time.sleep(30)

totp.verify(492039# => False

pyotp的HOTP的使用说明(官网) 

1

2

3

4

5

6

7

8

hotp = pyotp.HOTP('base32secret3232')

hotp.at(0# => 260182

hotp.at(1# => 55283

hotp.at(1401# => 316439

# OTP verified with a counter

hotp.verify(3164391401# => True

hotp.verify(3164391402# => False

使用场景

  • 服务器登录动态密码验证(如阿里云ECS登录,腾讯机房服务器登录等);
  • 公司VPN登录双因素验证;
  • 网络接入radius动态密码;
  • 银行转账动态密码;
  • 网银、网络游戏的实体动态口令牌;
  • 等动态密码验证的应用场景。

市面上基于HOTP的产品

Google基于TOTP的开源实现

GitHub - google/google-authenticator: Open source version of Google Authenticator (except the Android app)

RFC6238中TOTP基于java代码的实现。

golang的一个otp做的不错的实现

GitHub - gitchs/gootp

RFC参考

RFC 4226 One-Time Password and HMAC-based One-Time Password.

RFC 6238 Time-based One-Time Password.

RFC 2104 HMAC Keyed-Hashing for Message Authentication.

https://www.cnblogs.com/voipman/p/6216328.html原帖链接

restful_resty
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nd-otp-webcrypto:简单的TOTP代码生成器
02-13
@ joph-auth / nd-otp-webcrypto @joph-auth/nd-otp-webcrypto是一个简单的,无依赖性的库,用于生成和验证HOTP和TOTP令牌。 该软件包使用 ,因此只能在可用window.crypto和window.crypto.subtle情况下使用。 为了与@joph-auth/nd-otp-nodecrypto 兼容,您应该改用@joph-auth/nd-otp-nodecrypto 。 注意:此软件包的Web版本和节点版本彼此完全兼容。 警告:此文件仅是出于教育目的而创建的,不应用于加密现实应用程序中的敏感数据。 安装预建套件 该软件包在npm上发布,可以与 npm install --save @joph-auth/nd-otp-webcrypto 或者 yarn add @joph-auth/nd-otp-webcrypto
身份认证OTP动态口令应用案例
安当加密
12-26 2789
随着互联网技术的发展,电子商务、企业办公、电子银行等互联网应用正在日益紧密的和我们的工作、生活相关联。在我们享受互联网带来便利的同时,却一直被互联网安全问题困扰着,有了杀毒软件来帮我们查杀病毒,有了防火墙来帮我们阻止可能的网络威胁等等,然而除了这些来自网络本身的安全威胁外,用户身份的认证(客户端终端安全问题)也成了互联网安全所面临的重要问题。 静态口令(即通常的账号和密码登录)进行身份验证给具有安全隐患 为了便于记忆,用户多选择有特征作为密码,容易被猜测和破解; 黑客可以从网上或电话线上截获静态密
动态令牌认证
seaboat——a free boat on the sea.(公众号:远洋号)
03-13 3338
令牌可以使用户证明自己的身份后获得受保护资源的访问权。令牌会产生一个随机但专用于某个用户的动态口令,其数字只有对指定用户在特定的时刻有效。用户的静态密码+令牌动态口令,使得用户的电子身份很难被模仿、盗用或破坏。对每个用户不同时间的口令,都是随机的,均匀分布在输出范围内。同一令牌的相邻产生的动态口令之间没有相关性,不可能从前一个口令推导出后一个口令。令牌生成的是无法预知的动态口令,并且是一次性的,
探索PyOTP:安全身份验证的利器
gitblog_00093的博客
03-22 388
探索PyOTP:安全身份验证的利器 项目地址:https://gitcode.com/pyauth/pyotp 项目简介 PyOTP 是一个Python实现的两步验证(Two-Factor Authentication, 2FA)库,它遵循了Google Authenticator的标准。这个项目为开发者提供了一种简单易用的方式,在他们的应用或服务中引入增强的安全认证机制。 技术分析 PyOTP的...
基于时间的一次性密码_基于时间的一次性密码的工作方式以及为什么应在应用程序中使用它们。...
07-23 1061
基于时间的一次性密码by Prakash Sharma 通过Prakash Sharma 基于时间的一次性密码的工作方式以及为什么应在应用程序中使用它们。 (How Time-based One-Time Passwords work and why you should use them in your app.) With the increase in cyber security th...
【IoT】加密与安全:动态令牌 OTP、HOTP、TOTP 原理解析
热门推荐
产品线负责人
05-24 1万+
1、OTP、HOTP、TOTP 简介 1.1、OTP One-Time Password 简写,表示一次性密码。 1.2、HOTP HMAC-based One-Time Password 简写,表示基于 HMAC 算法加密的一次性密码。是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过 HASH 算法运算出一致的密码。 1.3、TOTP Time-based One-Ti...
mintotp:使用20行Python的最小TOTP生成器
02-06
MinTOTP MinTOTP是用Python编写的最小的TOTP生成器。 内容 介绍 TOTP代表基于时间的一次性密码。 许多网站和服务需要两因素身份验证(2FA)或多因素身份验证(MFA),其中要求用户提供两个或更多证据: 只有用户知道的内容,例如密码,密码短语等。 只有用户拥有的东西,例如硬件令牌,手机等。 例如,只有用户才可以使用生物识别。 TOTP值用作第二个因素,即,它证明用户拥有包含TOTP秘密密钥的设备(例如,移动电话),并从中生成TOTP值。 通常,提供用户帐户的服务提供商还会发布一个加密为Base32字符串或QR码的密钥。 此密钥被添加到移动设备上的身份验证器应用
动态令牌-(OTP,HOTP,TOTP)
轻耘智科技CTO 尤胜荣 的专栏
12-27 1472
名词解释和基本介绍 OTP 是 One-Time Password的简写,表示一次性密码。 HOTP 是HMAC-based One-Time Password的简写,表示基于HMAC算法加密的一次性密码。 是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法运算出一致的密码。 TOTP 是Time-based One-Time Password的简写,表示基于时间...
动态令牌主要功能是什么???
weixin_33728708的博客
12-31 1876
动态密码手机令牌:手机令牌也称手机口令牌,是用来生成动态口令的手机客户端软件。手机动态令牌是由运行在手机上的程序产生动态口令,动态口令与手机绑定进行身份认证。目前成熟的手机令牌有RSA 手机令牌,国内手机动态令牌DKEY手机令牌,其特点是不仅提供通用版本,还有各种手机操作系统上的包括iPhone、Andriod等。动态口令身份认证是一种高安全的身份认证形式,可以解决帐号被盗以及企业内部应用经常修改...
动态令牌的原理(OTP & HOTP &TOTP)
Null的博客
12-31 1048
2FA,全称 Two-Factor Authentication,中文名叫 双重因素认证。 OTP(One-Time Password,中文名:一次性口令) HOTP(HMAC-based One-Time Password) HMAC(Hash-based Message Authentication Code,中文名:基于哈希的消息认证码) TOTP是基于时间的一次性密码(Time-based One-Time Password)
OTP令牌是什么?有什么作用?是怎么实现的?
行云管家
08-16 256
OTP令牌是什么?有什么作用?是怎么实现的?相信还有不少小伙伴对于这三个问题都不了解,今天我们小编就来给大家简单回答一下,仅供参考哦!
androidtoken:适用于Andriod设备的TOTP和HOTP令牌
05-08
身份验证令牌(以前为Android令牌) 身份验证令牌(以前称为Android令牌)是用于生成一次性密码(OTP)的Android应用程序。 该应用程序是开源的,并用Java编写。 该应用程序支持HOTP(事件令牌, //tools.ietf.org/html/rfc4226)和TOTP令牌(时间令牌, //tools.ietf.org/html/draft-mraihi-totp-timebased- )。 该应用程序支持使用以下资源配置令牌 二维码 手动创建。 可以选择使用PIN保护该应用程序,以阻止对软件令牌的未授权访问。 令牌可以作为QR码导出,也可以通过将种子手动复制到剪贴板来导出。 屏幕截图
secure-pass-otp:从 code.google.compsecure-pass-otp 自动导出
06-18
用于 SecurePass 身份验证服务的完整黑莓一次性密码 (OTP) 客户端。 易于使用的用户界面 BIS-BES 电子邮件集成和自动 TOKEN 导入 支持 TOTP(基于时间的一次性密码算法)和 HOTP(基于 HMAC 的一次性密码)令牌类型 适用于黑莓设备 5.0 及以上 该项目由 SecurePass 赞助。 有关更多信息,请访问
dart-otp:RFC6238基于时间的一次性密码Google身份验证器库
05-24
生成TOTP(RFC6238)和HOTP(RFC4226)代码。 入门 Pubspec pub.dartlang.org :(如果您只想始终使用最新版本,则可以使用“ any”而不是版本) dependencies : otp : 3.0.0-nullsafety.0 import 'package:...
OneTimePassword::key:一个小库,可在iOS上生成TOTP和HOTP一次性密码
05-12
它还可以读取并生成通常用于设置OTP令牌的 ,并且可以将令牌保存到iOS安全钥匙串和从iOS安全钥匙串加载令牌。安装 迦太基将以下行添加到您的Cartfile中: github "mattrubin/OneTimePassword" ~> 3.2 然后运行...
算法训练营第十一天 | LeetCode 20 有效的括号、LeetCode 1047 删除字符串中的所有相邻重复项
qq_63149342的博客
04-27 128
注意用的是字符串数组作为输入,而我们要用int型进行计算,这时候就要用到一个string转int类型的库函数stoi函数,aoti是字符数组转int类型。一个是最后循环结束后要判断栈内存是否为空,一个是出栈时要判断栈是否为空,总的来说是考验对于栈内存空间的掌控吧。这一题考栈的性质,相邻字符用未进栈的元素和进栈的元素进行模拟即可,相同且栈不为空即出栈,否则进栈,之后将栈内元素全部导入一个字符串,还要注意要写一个反转函数翻转下即可。LeetCode 1047 删除字符串中的所有相邻重复项。
c++容器与算法概述
最新发布
北风
05-01 300
简单讲述输入输出运算符重载 以及容器的简单使用及接口哦苦
Golang | Leetcode Golang题解之第56题合并区间
weixin_66442839的博客
04-28 473
Golang | Leetcode Golang题解之第56题合并区间
4/26发布发布:缺了好几次的作业,矩形法+二分法求下面方程根+顺序查找n+程序填空,补一下还有八九没做,炸8412 字不是干的,哈哈哈
2201_75637762的博客
04-26 1242
eps:用于定义逼近的精度,即当x1和x2的差小于eps时,认为找到了根。x1和x2:用于二分法的初始区间,这里选择的是[-10, 10]。y1和y2:分别是x1和x2处函数的值。这个程序通过二分法在一个给定的区间内寻找三次方程的根。它首先检查函数在区间端点的值的符号,然后使用二分法逐步缩小区间,直到找到满足精度要求的根或确定区间内没有根为止。okll测试数据:3 4 7 12 24 78 9 15 80 45第一次运行程序输入测试数据 12。
用java写一段生成动态令牌OTP的代码
06-10
以下是用 Java 生成动态令牌 OTP 的示例代码: ```java import java.util.Date; import java.util.Random; import javax.crypto.Mac; import javax.crypto.spec.SecretKeySpec; import org.apache.commons.codec.binary.Base32; public class OTPUtil { private static final int DIGITS = 6; private static final int PERIOD = 30; public static String generateOTP(String secretKey) { try { byte[] keyBytes = new Base32().decode(secretKey); // 获取当前时间戳,单位为秒 long timestamp = new Date().getTime() / 1000; // 计算时间戳的时间段 long counter = timestamp / PERIOD; // 将计数器转为字节数组 byte[] counterBytes = new byte[8]; for (int i = counterBytes.length - 1; i >= 0; i--) { counterBytes[i] = (byte) (counter & 0xff); counter >>= 8; } // 计算 HMAC-SHA1 哈希值 Mac mac = Mac.getInstance("HmacSHA1"); mac.init(new SecretKeySpec(keyBytes, "RAW")); byte[] hash = mac.doFinal(counterBytes); // 获取哈希值的低位 4 位字节 int offset = hash[hash.length - 1] & 0xf; int binary = ((hash[offset] & 0x7f) << 24) | ((hash[offset + 1] & 0xff) << 16) | ((hash[offset + 2] & 0xff) << 8) | (hash[offset + 3] & 0xff); // 对低位 4 位字节进行模运算 int otp = binary % (int) Math.pow(10, DIGITS); // 将 OTP 转为字符串 String otpStr = Integer.toString(otp); while (otpStr.length() < DIGITS) { otpStr = "0" + otpStr; } return otpStr; } catch (Exception e) { throw new RuntimeException(e); } } public static String generateSecretKey() { byte[] bytes = new byte[20]; new Random().nextBytes(bytes); return new Base32().encodeAsString(bytes); } } ``` 这段代码使用了 Google Authenticator 的算法,可以生成 6 位数字的动态令牌 OTP。其中 `generateSecretKey` 方法用于生成随机的密钥,可以将生成的密钥通过二维码等方式传递给用户,让用户将其添加到 Authenticator 应用中。`generateOTP` 方法用于根据密钥生成动态令牌 OTP,可以在用户登录、重置密码等需要验证身份的场景中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值