ASP.NET中使用动态令牌进行安全认证

最新推荐文章于 2023-03-13 23:11:59 发布
最新推荐文章于 2023-03-13 23:11:59 发布
阅读量990 收藏 2
点赞数
分类专栏: .NET Web开发 文章标签: 令牌 动态口令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wnety/article/details/113077823
版权

一、前言

在有的项目中,为提高用户身份验证的安全性,需要在账号密码认证身份的基础上增加额外的认证,如加密狗、IC卡等。本例提供另一种方法,采用动态令牌的方式认证,用户在登录时需输入自己令牌产生的口令,认证成功后才能进入系统。

 

二、动态令牌介绍

动态令牌是一个内嵌特殊运算芯片的身份认证产品,根据密钥和动态因子产生动态口令,每次动态随机生成一个新的6位或8位密码。

动态因子可以是时间(时间型)、触发事件(事件型)、服务器端产生随机数(冲击响应)。

动态令牌认证原理可大体上可认为是设备端和程序端使用相同的密码算法、相同的参数独立计算口令值,用户输入设备上显示的口令值后,程序检查是否与自己生成的口令值匹配。

动态令牌

本文使用的动态令牌型号是坚石诚信ET Z201,属于时间型令牌,其大小跟U盘差不多,内置电池,具有以下特点:

1)每分钟更新口令值,为6位长度无规律数字。

2)不需要连接服务器或客户端设备,免驱动,因此可兼容各种项目类型(Web项目、桌面程序、手机端等)。

3)分发令牌手续便利,更换方便。

 

三、背景知识

1、每个动态令牌都有唯一的编号,类似网卡的MAC地址。一般在令牌的背面可以查看到。

令牌号

另外每个令牌都有一个密钥(种子码),一般厂家会随产品发电子文档。

2、动态令牌根据自身编号、当前时间等信息,按一定的算法得到6位长度的口令。口令有效时长1分钟,1分钟内口令不会变化,超过1分钟自动更换新口令。

3、因动态令牌的时间是由电池供电保存在硬件中的,所以令牌中的时间与现实中的时间可能误差。口令认证时不仅仅是验证口令值是否正确,还会后台验证设备时间和现实时间是否相同。为解决时间误差问题,开发时引入了“同步窗口”和“漂移值”两个概念。

4、“同步窗口”含义是时间误差范围,比如设置误差范围为10分钟,则当前时间前后10分钟内都认为是有效时间,超出10分钟则认为时间不符,口令认证失败。其内部工作原理是,程序计算出当前时间前后10分钟的所有动态口令,只要硬件生成的口令在这个范围内就视为有效。

5、“漂移值”含义是设备上的时间与现实时间的误差值,在每次成功验证口令后会返回给系统,目的是给下次验证提供误差纠正标准,减少计算量。

6、每次认证成功时,会返回“成功值”和“漂移值”两个数据,这两个数据需同步更新到该令牌对应的信息中(一般为数据库中)。下一次进行认证时,需要将这两个数据先取出来,再作为参数传递给认证方法。首次认证时这两个数据值可设为0。

 

四、开发思路及步骤

1、数据库中建立令牌信息表,用于存储令牌信息,包括字段:令牌号(string)、密钥(string)、成功值(bigint)、漂移值(int)。

2、数据库中用户表增加令牌号字段,用于关联用户身份与令牌信息。

3、VS项目中引用ET_OTPVerify.dll。

4、用户登录时输入用户名、密码和动态口令,程序根据用户名查询对应的令牌信息,然后进行口令认证,认证成功后进入系统。

 

五、程序开发

1、建立数据库表

2、将开发包ET_OTPVerify.dll放到bin目录下,在项目中以非托管方式调用。开发包有两个方法,分别是认证和同步。

[DllImport("ET_OTPVerify.dll")]
public static extern int ET_CheckPwdz201(string authkey, UInt64 t, UInt64 t0, uint x, int drift, int authwnd, UInt64 lastsucc, string otp, int otplen, ref UInt64 currsucc, ref int currdft);

[DllImport("ET_OTPVerify.dll")]
public static extern int ET_Syncz201(string authkey, UInt64 t, UInt64 t0, uint x, int drift, int syncwnd, UInt64 lastsucc, string otp1, int otp1len, string otp2, int otp2len, ref UInt64 currsucc, ref int currdft);

各参数含义如下:

/* =============================================================================
* Function : ET_CheckPwdz201
* Description: OTP Z201(TOTP) 认证接口
* Parameter :
* authkey 令牌密钥(令牌提供商提供) //应存入数据库中,使用时select
* t 当前时间相对UTC Epoch秒数
* t0 起始参考时间相对UTC Epoch秒数(默认为0)
* x TOTP变化周期(默认为60秒)
* drift 漂移值(用于时间校准) //数据库中取,第一次给0.
* authwnd 认证范围, 通常是0-20
* lastsucc 前一次认证成功的相对UTC Epoch秒数(为防止重放攻击) //数据库中取,第一次给0.
* otp 需要认证的动态口令
* otplen 需要认证的动态口令长度, 通常是6
* currsucc 认证成功后的相对UTC Epoch秒数 //认证成功后应写入数据库,供下次调用。
* currdft 认证成功后的当前漂移次数 //认证成功后应写入数据库,供下次调用。
*
* return : 0 - 成功, 其他值为错误.
*
*int __stdcall ET_CheckPwdz201(char *authkey, uint64_t t, uint64_t t0,
* unsigned int x, int drift, int authwnd, uint64_t lastsucc,
* const char *otp, int otplen, uint64_t *currsucc, int *currdft);
=============================================================================
* Function : ET_Syncz201
* Description: OTP Z201(TOTP) 同步接口
* Parameter :
* authkey 令牌密钥,已经加密过的,需要对其进行解密
* t 当前时间相对UTC Epoch秒数
* t0 起始参考时间相对UTC Epoch秒数(默认为0)
* x TOTP变化周期(默认为60秒)
* drift 漂移值
* syncwnd 同步范围, 通常是0-40
* lastsucc 前一次认证成功的相对UTC Epoch秒数(为防止重放攻击)
* otp1 需要同步的第一个动态口令
* otp1len 需要同步的第一个动态口令长度, 通常是6
* otp2 需要同步的第二个动态口令
* otp2len 需要同步的第二个动态口令长度, 通常是6
* currsucc 认证成功后的相对UTC Epoch秒数 //同步成功后应写入数据库,供下次调用。
* currdft 认证成功后的当前漂移次数 //同步成功后应写入数据库,供下次调用。
*
* return : 0 - 成功, 其他值为错误.

*/

3、用户输入账号、密码、口令,点击“登录”按钮时执行以下代码:

string authkey = "";  //秘钥
UInt64 t = (ulong)(DateTime.UtcNow - new DateTime(1970, 1, 1)).TotalSeconds; //时间戳
UInt64 t0 = 0; //起始参考时间相对UTC
uint x = 60; //口令变化周期,默认60秒
int drift = 0; //上次漂移值
int authwnd = 20; //认证范围
UInt64 lastsucc = 0; //上次成功值
string opt = tbCode.Text; //用户输入的口令
int optlen = 6; //口令长度
UInt64 currsucc = 0; //默认的成功值
int currdft = 0; // 默认的漂移值

//首先验证用户登录密码,验证成功后将用户信息放到userModel中,然后验证口令
Model.TokenModel tokenModel = GetTokenModel(userModel.token_sn); //根据用户表中的令牌序列号查询令牌表中的内容
authkey = tokenModel.token_authkey;
lastsucc = tokenModel.token_currsucc;
drift = tokenModel.token_currdft;

int ret = ET_CheckPwdz201(authkey, t, t0, x, drift, authwnd, lastsucc, opt, optlen, ref currsucc, ref currdft);
if(ret == 0)
{
    更新数据库("update [令牌表] set currsucc='" + currsucc + "',currdft='" + currdft + "' where token_sn='" + tokenModel.token_sn + "'"); //认证成功时需回写该令牌的成功值和漂移值
    Response.Write("认证成功!(成功值:" + currsucc + ",漂移值:" + currdft + "]");
}
else
{
    Response.Write("认证失败,错误码:" + ret);
}

返回值ret含义:

0:操作成功
1 :参数无效
2:认证失败
3:同步失败
4:动态口令被重放

wnety
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET Core 使用 JWT 实现令牌认证及授权范例程序代码
07-02
在这个场景,我们关注的是如何在ASP.NET Core利用JSON Web Tokens (JWT)进行身份验证和授权。JWT是一种轻量级的身份验证机制,适用于分布式系统,因为它不需要在服务器之间存储会话信息。 JWT通常包含三个部分...
OTP动态令牌原理
_
01-22 2655
OTP动态令牌是一种新型的强身份认证的信息安全产品,由于其具有使用简单,携带方便,安全性高,美观时尚等优点,已经广泛应用在网银系统,电子办公系统,网络游戏,网络支付等众多领域。 OTP动态密码的产生主要是通过内置在硬件不可导出的密钥与一个变化因子通过安全算法进行计算完成的。即:算法{密钥(也称为种子),动态因子(时间,事件,冲击响应......)}=OTP口令 算法 可以看到算法有两个输入因子:密钥和动态因子。算法的好坏也决定了OTP的安全程序,一般算法应该考虑几点因素: 权威性:一个算法是需要经
坚石诚信ETz201应用于ASP.NET项目
wnety的专栏
02-28 884
认证思路:1.用户登录时输入口令或登录后在特定权限要求下弹窗输入口令。2.根据用户名从数据库查询对应的令牌信息,获得上一次认证时回写的内容,验证本次口令有效性。操作方法:1.数据库用户表增加字段“令牌序列号”,记录打印在令牌上的产品序号。2.数据库增加新表,记录令牌信息,字段包含令牌序列号、密钥、成功值、漂移值等。其令牌序列号关联用户表对应的字段。需提前将令牌的序列号和秘钥录入数据库,成...
jwt进行token校验 -详细版
weixin_46649054的博客
05-28 7476
jwt的一些介绍 简单使用描述, 代码使用演示 添加JWT的依赖 以及项目依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependenc
Token令牌原理使用
清颖的博客
06-22 5910
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
ASP.Net Core3.0使用JWT认证的实现
10-15
在本文,我们将深入探讨如何在ASP.NET Core 3.0实现JWT(JSON Web Tokens)认证,这是一种轻量级的安全身份验证机制。 JWT认证允许服务器通过向客户端发送一个令牌来确认其身份,而不需要在后续请求携带任何...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API。它依赖于令牌Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
浅谈ASP.NET Core jwt授权认证的流程原理
10-15
ASP.NET Core 的 JWT(JSON Web Tokens)授权认证是一种安全机制,用于验证用户身份并授权访问受保护的API资源。JWT 是一个轻量级的身份验证标准,它允许服务器通过发送一个自包含的令牌来确认用户身份,而不是...
asp.net core 6 api简单授权认证
07-23
ASP.NET Core 6 API 简单授权认证是构建安全Web API的重要环节,它确保只有经过验证的用户或服务能够访问敏感数据或执行特定操作。在这个框架,授权是通过策略来实现的,这些策略定义了用户必须满足的条件才能访问...
Day916.基于JWT令牌安全认证架构 -SpringBoot与K8s云原生微服务实践
阿昌爱Java
03-13 301
Hi,我是阿昌,今天学习记录的是关于的内容。之前的,其实是比较重量级的安全认证架构。用户的登录状态集存储在authService鉴权服务系统上面,客户端每次请求都需要去authService上集认证鉴权校验,这种架构适合对安全要求严格的微服务场景,比方电商等情况。但也有缺陷,就是当网址访问请求量较大时,就对authService的处理压力就较大要求,可能会成为性能和扩展性的瓶颈,要严格的HA和监控,投入成本就很高。但如果应用不需要严格的安全型校验,那2.5阶段这套就会显的很笨重。
asp.net生成N组指定位数随机数都一样的解决办法
Jio168的博客
01-11 957
最初的生成随机字符串的函数 /// /// 随机生成指定长度的字符串(只包括数字) /// /// 长度 /// public static string RandNumStr(int length) { string str = "123456789
坚石诚信ET z201 时间型开发遇到的问题。Microsoft VBScript 运行时错误 (0x800A01AD) ActiveX 部件不能创建对象
bdwl_cn的博客
09-18 918
在开发一个ASP网站程序,后台有一块是微信提现到用户零钱,客户想像银行那样使用加密狗或秘钥来进行操作。后来在我网上查询了坚石诚信ET z201 时间型加密狗。并购买进行对接。 根据官方给的DEMO需要将ETz201COM.dll和ET_OTPVerify.dll拷贝到系统目录下,一般为C:\windows\system32目录,然后在cmd窗口运行regsvr32 ETz201COM.dll命令注册ETz201COM.dll控件。并提示注册成功。 官方给了64位和32位的DLL组件。我部署在2008 6
使用JWT(无Cookie)的ASP.NET CORE令牌认证和授权——第1部分
寒冰屋的专栏
07-15 2673
本文演示如何在Asp.Net CORE使用JWT(JSON Web令牌)实现令牌认证和授权。本文使用的方法不使用任何客户端cookie进行身份验证和授权。这意味着,Token不存储在客户端浏览器,它完全由服务器端处理。由于本文主要关注实现ASP.NET CORE身份验证和授权,因此我们不会深入了解令牌配置和令牌创建。从实现的角度来看,仅给出了令牌配置和创建的简要说明。有许多文章详细解释了它。本文包括完整的代码和LoginDemo.sln项目
.net开发笔记之用自带安全令牌做登陆、注销、取登陆用户名
yuiku008的专栏
12-03 1469
Web.Config 通过 节可以配置 安全身份验证模式,ASP.NET 使用该模式来识别来访用户身份。 --> 在Web.Config里加入上面代码。 loginUrl :未登录用户跳转页面。
ASP.NET ZERO 学习 —— (8) 开发手册之基于令牌的身份认证&其他
alistair_chow的博客
03-01 2287
基于令牌的身份认证对于浏览器,ASP.NET Zero 使用基于Cookie的身份认证,但是,如果在移动应用程序使用Web API或应用服务(通过动态Web API公开),可能需要基于令牌的身份认证机制。ASP.NET Zero包含令牌身份认证基础架构。在.WebApi项目的AccountController 有一个Authenticate 动作,用于获取令牌,然后你就可以在后续请求使用该令
ASP.NET WebApi 实现Token验证
热门推荐
gx_up
07-03 3万+
转自:https://www.cnblogs.com/dukang1991/p/5627584.html 基于令牌认证     我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。     WEB API使用这样的方法不是很适合,于是就有了基于令牌认证使用令牌认证有几...
Asp.net MVC CSRF攻击防御,添加防伪令牌
a616724623的博客
03-27 1935
第一步:页面加上令牌页面加上@Html.AntiForgeryToken(),它会在页面生成一个请求令牌,当然cookie也有一个,不需要管它第二步:请求带上令牌在请求的数据里面加上这个令牌,可以在from里面直接加上@Html.AntiForgeryToken(),如果是ajax请求,那就在参数里面加上这个题外:        因为我接手的是一个已经做得差不多的项目,不可能去每个ajax里面去...
ASP.NET编程知识】浅谈ASP.NET Core jwt授权认证的流程原理.docx
最新发布
05-21
"本文将深入探讨ASP.NET Core基于JWT(JSON Web Tokens)的授权认证流程。我们将了解JWT的基础知识,并通过实例演示如何在ASP.NET Core项目实现JWT验证功能。" 在ASP.NET Core,JWT被广泛用于实现安全的身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值