加密与安全_TOTP 一次性密码生成算法

文章目录

  • Pre
  • TOTP是什么
  • TOTP 算法工作原理
  • TOTP 生成公式
  • TOTP 与 HOTP 的对比
  • Code
    • 生成TOTP
    • 验证 TOTP
    • 使用场景
    • 小结
  • TOTP 与 HOTP 的主要区别
  • TOTP 与 HOTP应用场景比较
  • TOTP 与 HOTP安全性分析

在这里插入图片描述

Pre

加密与安全_HTOP 一次性密码生成算法

https://github.com/samdjstevens/java-totp

https://medium.com/@rakesh.open.source/time-based-one-time-password-totp-java-implementation-82a472bd6bf9

https://gist.github.com/rakeshopensource/def80fac825c3e65804e0d080d2fa9a7


TOTP是什么

TOTP (Time-based One-Time Password) 是基于时间的动态密码生成算法,是 HOTP (基于HMAC的一次性密码) 的一个扩展。它的主要区别在于,TOTP 使用当前时间戳作为动态因子,而不是计数器。因此,生成的密码随时间变化,通常在一段时间(如30秒或60秒)内有效。


TOTP 算法工作原理

TOTP 使用当前时间戳与共享的密钥结合,生成一次性密码。以下是 TOTP 生成密码的主要步骤:

  1. 共享密钥:客户端和服务端预先共享一个密钥(通常是 Base32 编码),这和 HOTP 中的密钥是相同的。

  2. 时间戳:TOTP 使用当前时间戳,按时间步长(例如 30 秒)划分成时间段。每个时间段对应一个唯一的密码。

  3. 时间步数:将当前时间戳除以时间步长,得到时间步数。这个步数类似于 HOTP 中的计数器。

  4. HMAC 计算:使用共享的密钥和时间步数,使用 HMAC-SHA1 算法计算出一个哈希值。

  5. 截取密码:从 HMAC 的输出中提取 6 位或 8 位的动态密码。

TOTP 生成公式

TOTP 的生成公式如下:

TOTP = Truncate(HMAC-SHA-1(K, T))

其中:

  • K 是客户端和服务端之间的共享密钥。
  • T 是当前的时间步数,用公式 T = (currentUnixTime - T0) / X 计算。
    • currentUnixTime 是当前时间戳(以秒为单位)。
    • T0 是时间的起始点(一般为0)。
    • X 是时间步长(通常为30秒)。
  • HMAC-SHA-1 使用 K 作为密钥,对时间步数 T 进行 HMAC 计算。
  • Truncate 是截取函数,将 HMAC 的结果截取为 6 位或 8 位的数字。

TOTP 与 HOTP 的对比

  • 时间敏感 vs 计数敏感:TOTP 使用当前时间生成密码,因此密码是时间敏感的,每个密码只有在特定时间段内有效。HOTP 则基于计数器,每个密码对应一个计数器值。
  • 同步问题:TOTP 依赖于时间戳,因此客户端和服务端的时间需要保持同步,而 HOTP 需要计数器同步。

Code

生成TOTP

下面是一个简单的 TOTP 实现,生成 6 位的一次性密码。代码依赖于 javax.crypto.Macjava.security.Key 类来处理 HMAC-SHA1。

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.ByteBuffer;
import java.util.Base32;
import java.util.TimeZone;
import java.time.Instant;
import java.time.Clock;public class TOTP {// TOTP 生成算法public static String generateTOTP(String secret, long time, int digits) throws Exception {// 使用时间步长30秒long timeStep = 30;// 计算时间步数long t = time / timeStep;// 将密钥解码为字节Base32 base32 = new Base32();byte[] key = base32.decode(secret);// 使用 HMAC-SHA1 计算Mac mac = Mac.getInstance("HmacSHA1");SecretKeySpec keySpec = new SecretKeySpec(key, "HmacSHA1");mac.init(keySpec);// 将时间步数转换为 8 字节的大端字节数组byte[] timeBytes = ByteBuffer.allocate(8).putLong(t).array();// 计算 HMAC 值byte[] hash = mac.doFinal(timeBytes);// 提取动态截取码int offset = hash[hash.length - 1] & 0xf;int binary = ((hash[offset] & 0x7f) << 24)| ((hash[offset + 1] & 0xff) << 16)| ((hash[offset + 2] & 0xff) << 8)| (hash[offset + 3] & 0xff);// 生成 OTP,取二进制数模10^digits,得到指定位数的OTPint otp = binary % (int) Math.pow(10, digits);// 格式化为指定位数return String.format("%0" + digits + "d", otp);}public static void main(String[] args) {try {// 示例密钥(注意:密钥应为 Base32 编码)String secret = "JBSWY3DPEHPK3PXP";// 获取当前 Unix 时间戳long currentTime = Instant.now().getEpochSecond();// 生成 TOTPString otp = generateTOTP(secret, currentTime, 6);System.out.println("生成的 OTP: " + otp);} catch (Exception e) {e.printStackTrace();}}
}

代码解析

  1. 密钥解码:使用 Base32 解码器将字符串密钥解码为字节数组。在 TOTP 中,密钥通常以 Base32 编码存储。
  2. 时间步长:时间步长设为 30 秒,即 TOTP 密码每 30 秒更新一次。
  3. HMAC 计算:使用 HMAC-SHA1 算法,结合密钥和当前时间步数来计算哈希值。
  4. 动态截取:从哈希值中截取出一个 6 位的密码。

验证 TOTP

验证 TOTP 时,客户端和服务端必须在同一时间段内生成相同的密码。为了处理客户端与服务端之间的时间不同步问题,服务端可以允许一个时间窗口范围(例如 ±1 个时间步长)来容错。

为了验证 TOTP,服务端会接收用户输入的 OTP,并根据当前时间戳生成自己的 TOTP,进行比对。如果两者匹配,验证成功,否则失败。为了容错,服务端通常会允许一定的时间窗口来处理客户端和服务端之间可能存在的轻微时间不同步问题。

TOTP 验证流程:

  1. 当前时间戳计算:服务端根据当前时间戳生成 TOTP。
  2. 时间窗口:为了容错,服务端可以生成多个不同时间步内的 TOTP,通常是当前时间步及前后时间步。用户输入的 OTP 与服务端生成的这些 OTP 进行匹配。
  3. 密钥共享:TOTP 的核心是基于一个共享的密钥,客户端和服务端都必须使用同样的密钥生成 OTP。

验证TOTP的Java代码

package com.artisan.otp.totp;import org.apache.commons.codec.binary.Base32;import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.nio.ByteBuffer;
import java.time.Instant;/*** @author 小工匠* @version 1.0* @date 2024/10/2 9:37* @mark: show me the code , change the world*/public class TOTPValidator {/*** TOTP 生成算法(和生成 OTP 的算法一致)** @param secret* @param time* @param digits* @return* @throws Exception*/public static String generateTOTP(String secret, long time, int digits) throws Exception {// 时间步长,通常为30秒long timeStep = 30;// 将时间转换为时间步数long t = time / timeStep;// Base32 解码密钥Base32 base32 = new Base32();byte[] key = base32.decode(secret);// 使用 HMAC-SHA1Mac mac = Mac.getInstance("HmacSHA1");SecretKeySpec keySpec = new SecretKeySpec(key, "HmacSHA1");mac.init(keySpec);// 将时间步数转换为8字节的大端字节数组byte[] timeBytes = ByteBuffer.allocate(8).putLong(t).array();// 生成 HMAC 哈希值byte[] hash = mac.doFinal(timeBytes);// 提取动态截取码int offset = hash[hash.length - 1] & 0xf;int binary = ((hash[offset] & 0x7f) << 24)| ((hash[offset + 1] & 0xff) << 16)| ((hash[offset + 2] & 0xff) << 8)| (hash[offset + 3] & 0xff);// 生成指定位数的 OTPint otp = binary % (int) Math.pow(10, digits);// 格式化 OTP,确保是6位return String.format("%0" + digits + "d", otp);}/*** TOTP 验证算法* @param secret* @param inputOTP* @param window* @param digits* @return* @throws Exception*/public static boolean validateTOTP(String secret, String inputOTP, int window, int digits) throws Exception {// 当前时间戳long currentTime = Instant.now().getEpochSecond();// 在前后时间步长的窗口内验证for (int i = -window; i <= window; i++) {String generatedOTP = generateTOTP(secret, currentTime + (i * 30), digits);System.out.println("Generated OTP: " + generatedOTP);if (generatedOTP.equals(inputOTP)) {// 验证成功return true;}}// 验证失败return false;}public static void main(String[] args) {try {// 示例密钥(注意:应为 Base32 编码)String secret = "JBSWY3DPEHPK3PXP";// 假设用户输入的 OTP(通常由客户端生成的 TOTP)// 示例 OTP,需要实际生成 TOTPString inputOTP = "306461";// 获取当前 Unix 时间戳long currentTime = Instant.now().getEpochSecond();// 生成 TOTPinputOTP = generateTOTP(secret, currentTime, 6);System.out.println("inputOTP: " +inputOTP);// 验证 OTP    容错窗口为1,6位OTPboolean isValid = validateTOTP(secret, inputOTP, 1, 6);if (isValid) {System.out.println("OTP 验证成功!");} else {System.out.println("OTP 验证失败!");}} catch (Exception e) {e.printStackTrace();}}
}

代码说明

  1. generateTOTP: 生成 TOTP 的算法,使用当前时间戳和共享密钥生成一次性密码。
  2. validateTOTP: 验证用户输入的 OTP 是否有效。此函数允许一个时间窗口(window),比如前后 30 秒范围内的 OTP 都可接受。默认 6 位 OTP。
  3. Base32 解码: Base32 编码用于解码密钥,因为密钥通常以 Base32 编码形式存储。
  4. 时间步长: TOTP 的时间步长通常是 30 秒。代码中以当前时间为基准,根据时间步长计算时间步数,生成 OTP。
  5. 容错窗口: 允许服务端生成当前时间步以及前后若干步内的 OTP,防止客户端与服务端时间不同步。

如何使用

  1. 密钥一致: 确保客户端和服务端使用同一个共享密钥。密钥通常是 Base32 编码的字符串。
  2. 验证 OTP: 服务端使用当前时间步生成 TOTP,并与用户输入的 OTP 进行比对。如果在设定的时间窗口内有匹配的 OTP,验证成功。

调试步骤

  1. 打印调试信息: 在生成和验证过程中打印 OTP 和相关的时间步,帮助确认时间步数和生成的 OTP 是否一致。
  2. 调整时间窗口: 如果客户端和服务端的时间差异较大,尝试增加 window 的大小,允许更大的容错范围。
    在这里插入图片描述

这个实现适用于 TOTP 的典型应用场景,例如双因素认证 (2FA)【基于时间的一次性密码生成和验证】。

使用场景

  • 双因素认证 (2FA):TOTP 是常见的 2FA 算法之一,用户使用手机中的身份验证器(如 Google Authenticator)生成一次性密码进行登录验证。
  • 高安全性系统:银行、电子商务网站等需要额外的安全措施,使用 TOTP 来防止密码泄露和账户被劫持。

小结

TOTP 是一种基于时间的动态密码算法,通过时间戳和共享密钥生成一次性密码,常用于双因素身份验证场景。相比于 HOTP,TOTP 不需要计数器同步,使用更加便捷,但要求客户端和服务端的时间同步。


TOTP 与 HOTP 的主要区别

特点HOTPTOTP
依赖性计数器时间戳
密码有效性永久有效,直到被使用短时间内有效(30 或 60 秒)
生成方式每次生成后计数器递增每个时间周期内自动生成
安全性密码可能长期有效,安全性较低动态更新,安全性更高
适用场景适用于基于事件的认证系统适用于二次身份验证系统

TOTP 与 HOTP应用场景比较

  • HOTP 适用场景

    • 基于事件触发的认证系统:每次用户请求认证时,系统会递增计数器生成密码。这类系统适用于需要物理令牌或硬件设备的场景(如早期银行安全令牌)。
    • 设备或网络不稳定环境:由于 HOTP 不依赖时间,客户端和服务器的时间不同步问题不会影响认证。
  • TOTP 适用场景

    • 二次身份验证(2FA):TOTP 在大多数现代的二次身份验证系统中使用,如 Google Authenticator、Microsoft Authenticator 等。用户每 30 秒生成一个新密码,确保密码及时失效。
    • 需要更高安全性和频繁登录的系统:由于 TOTP 密码动态更新且过期较快,适合频繁使用和安全性要求较高的应用。

TOTP 与 HOTP安全性分析

  • HOTP 的安全性弱点:由于 HOTP 密码在未使用前一直有效,攻击者可以通过拦截未被使用的密码进行重放攻击,或暴力猜测计数器值。
  • TOTP 的安全优势:TOTP 基于时间戳生成,密码的有效期较短(通常 30 秒)。即使攻击者截获密码,也很难在其
    过期前使用,因此 TOTP 提供了更强的安全性。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/437474.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

微信小程序服务端API安全鉴权统一调用封装

目录 一、序言二、前置准备1、获取小程序AppID和AppSecret2、下载对称加密密钥3、下载加签私钥4、下载验签证书 三、加解密封装1、相关基础类2、加解密工具类 四、HTTP调用封装五、微信服务端API网关调用封装1、基础类2、属性类和工具类3、枚举类4、网关核心调用抽象类5、网关核…

毕业论文设计javaweb+VUE高校教师信息管理系统

目录 一、系统概述 二、功能详解 1. 教师管理 2. 部门管理 3. 奖惩管理 4. 业绩管理 5. 培训管理 6. 报表查询 三、总结 四、示例代码 1 前端VUE 2 后端SpringBootjava 3 数据库表 随着教育信息化的发展&#xff0c;传统的手工管理方式已经不能满足现代学校对教师…

自动驾驶系列—自动驾驶发展史介绍

&#x1f31f;&#x1f31f; 欢迎来到我的技术小筑&#xff0c;一个专为技术探索者打造的交流空间。在这里&#xff0c;我们不仅分享代码的智慧&#xff0c;还探讨技术的深度与广度。无论您是资深开发者还是技术新手&#xff0c;这里都有一片属于您的天空。让我们在知识的海洋中…

PyCharm开发工具的安装和基础使用

打开官网&#xff1a;https://www.jetbrains.com/ 切换中文语言&#xff0c; 点击开发者工具 → 选择PyCharm&#xff0c; 点击下载&#xff0c; 初学者下载免费使用的社区版&#xff08;community&#xff09;就够了&#xff0c; 点击下载&#xff0c; 点击下一步&am…

高性能架构—存储高性能

1 &#x1f4ca;关系型数据库 存储技术飞速发展&#xff0c;关系型数据的ACID特性以及强大的SQL查询让其成为各种业务系统的关键和核心存储系统。 很多场景下的高性能设计最核心的就是关系型数据库的设计&#xff0c;很多数据库厂商再优化和提升单个数据库服务器的性能方面做了…

Java Web应用升级故障案例解析

在一次Java Web应用程序的优化升级过程中&#xff0c;从Tomcat 7.0.109版本升级至8.5.93版本后&#xff0c;尽管在预发布环境中验证无误&#xff0c;但在灰度环境中却发现了一个令人困惑的问题&#xff1a;新日志记录神秘“失踪”。本文深入探讨了这一问题的排查与解决过程&…

激光切割机适用材质有哪些

激光切割机是一种利用激光束对各种材料进行高精度、高速度切割的机器设备。其适用材质广泛&#xff0c;包括但不限于以下两大类&#xff1a; 一、金属材料 不锈钢&#xff1a;激光切割机较容易切割不锈钢薄板&#xff0c;使用高功率YAG激光切割系统&#xff0c;切割不锈钢板的…

大厂面试真题-说一下Mybatis的缓存

首先看一下原理图 Mybatis提供了两种缓存机制&#xff1a;一级缓存&#xff08;L1 Cache&#xff09;和二级缓存&#xff08;L2 Cache&#xff09;&#xff0c;旨在提高数据库查询的性能&#xff0c;减少数据库的访问次数。注意查询的顺序是先二级缓存&#xff0c;再一级缓存。…

死锁的成因与解决方案

目录 死锁的概念与成因 栗子 死锁的情况 哲学家问题 如何避免死锁 必要条件 死锁的解决方案 总结 死锁的概念与成因 多个线程同时被阻塞,他们中的其中一个或者全部都在等待某个资源的释放,导致线程无限期被阻塞,程序无法停止 栗子 我和美女a出去吃饺子,吃饺子要醋和酱油…

高中教辅汇总【35GB】

文章目录 一、资源概览二、资源亮点三、获取方式 一、资源概览 这份教辅资源汇总&#xff0c;精心搜集了高中各学科的海量教辅资料&#xff0c;总容量高达35GB&#xff0c;覆盖了语文、数学、英语、物理、化学、生物、历史、地理、政治等所有必修及选修科目。从基础知识点到难…

ros2 自定义工作空间添加source

新建一个工作空间&#xff1a;ros2 create pkg~~~~~~~~~~~~ colcon build之后 &#xff0c;在install文件夹里面有一个 setup,bash文件 将这个文件添加到 bashrc gedit .bashrc 这样 在一个新终端中可以直接运行ros2 run package name &#xff08;包名&#xff09; 可执行…

针对考研的C语言学习(2019链表大题)

题目解析&#xff1a; 【考】双指针算法&#xff0c;逆置法&#xff0c;归并法。 解析&#xff1a;因为题目要求空间复杂度为O(1)&#xff0c;即不能再开辟一条链表&#xff0c;因此我们只能用变量来整体挪动原链表。 第一步先找出中间节点 typedef NODE* Node; Node find_m…

鸿蒙NEXT开发-自定义构建函数(基于最新api12稳定版)

注意&#xff1a;博主有个鸿蒙专栏&#xff0c;里面从上到下有关于鸿蒙next的教学文档&#xff0c;大家感兴趣可以学习下 如果大家觉得博主文章写的好的话&#xff0c;可以点下关注&#xff0c;博主会一直更新鸿蒙next相关知识 专栏地址: https://blog.csdn.net/qq_56760790/…

基于Word2Vec和LSTM实现微博评论情感分析

关于深度实战社区 我们是一个深度学习领域的独立工作室。团队成员有&#xff1a;中科大硕士、纽约大学硕士、浙江大学硕士、华东理工博士等&#xff0c;曾在腾讯、百度、德勤等担任算法工程师/产品经理。全网20多万粉丝&#xff0c;拥有2篇国家级人工智能发明专利。 社区特色…

css动态边框

参考&#xff1a; Clip-path实现按钮流动边框动画_在线clip-path-CSDN博客 https://www.5axxw.com/questions/simple/9ju5yt#google_vignette <div class"bottom-top-item-centent bottom-top-item-left"><vue-seamless-scroll :data"listLeftData&q…

【算法】链表:206.反转链表(easy)

系列专栏 《分治》 《模拟》 《Linux》 目录 1、题目链接 2、题目介绍 3、解法&#xff08;快慢指针&#xff09; 解题步骤&#xff1a; 关键点&#xff1a; 复杂度分析&#xff1a; 4、代码 1、题目链接 206. 反转链表 - 力扣&#xff08;LeetCode&#xff09; …

如何用JavaScript编写一个简单的计数器

在网页开发中&#xff0c;计数器是一种常见的功能&#xff0c;它可以帮助我们记录点击次数、显示时间等。下面我将介绍如何在HTML页面中使用JavaScript实现一个基本的计数器。如图&#xff1a; 1、 创建HTML结构 首先&#xff0c;我们需要创建一个基础的HTML结构来容纳我们的计…

自动驾驶系列—深度剖析自动驾驶芯片SoC架构:选型指南与应用实战

&#x1f31f;&#x1f31f; 欢迎来到我的技术小筑&#xff0c;一个专为技术探索者打造的交流空间。在这里&#xff0c;我们不仅分享代码的智慧&#xff0c;还探讨技术的深度与广度。无论您是资深开发者还是技术新手&#xff0c;这里都有一片属于您的天空。让我们在知识的海洋中…

物联网将如何影响全球商业?

互联网使人们能够交流&#xff0c;企业能够全天候不间断地跨洋跨洲持续运营。它重塑、颠覆并催生了新的产业&#xff0c;改变了人类与世界互动的方式。互联网曾经仅仅是一种方便、快捷、廉价的向世界各地发送信息的方式&#xff0c;而现在&#xff0c;只需打开或关闭任何连接到…

【C++】树形结构的关联式容器:set、map、multiset、multimap的使用

&#x1f33b;个人主页&#xff1a;路飞雪吖~ ✨专栏&#xff1a;C/C 目录 一、set的简单介绍和使用 &#x1f31f;set的介绍 &#x1f525;注意&#xff1a; &#x1f320;小贴士&#xff1a; &#x1f31f;set的使用 ✨set的构造 ✨set的迭代器 ​编辑 ✨set的容量 …