a亚洲精品_精品国产91乱码一区二区三区_亚洲精品在线免费观看视频_欧美日韩亚洲国产综合_久久久久久久久久久成人_在线区

首頁 > 系統(tǒng) > Android > 正文

Android中新引進的Google Authenticator驗證系統(tǒng)工作原理淺析

2020-04-11 11:43:00
字體:
供稿:網(wǎng)友

為了改進Android的安全問題,Google在Android系統(tǒng)中引入了谷歌驗證應(yīng)用(Google Authenticator)來保證賬號的安全。谷歌驗證應(yīng)用的使用方法是:用戶安裝手機客戶端,生成臨時身份驗證碼,提交到服務(wù)器驗證身份,類似的驗證系統(tǒng)還有Authy。Robbie在其GitHub頁面發(fā)布了自己用Go語言實現(xiàn)的版本,并撰寫了一篇博文來解釋其工作原理。

通常來講,身份驗證系統(tǒng)都實現(xiàn)了基于時間的一次性密碼算法,即著名的TOTP(Time-Based One-Time Password)。該算法由三部分組成:

1.一個共享密鑰(一系列二進制數(shù)據(jù))
2.一個基于當(dāng)前時間的輸入
3.一個簽名函數(shù)

1、 共享密鑰

用戶在創(chuàng)建手機端身份驗證系統(tǒng)時需要獲取共享密鑰。獲取的方式包括用識別程序掃描給定二維碼或者直接手動輸入。密鑰是三十二位加密,至于為什么不是六十四位,可以參考維基百科給出的解釋。

對于那些手動輸入的用戶,谷歌身份驗證系統(tǒng)給出的共享密鑰有如下的格式:

復(fù)制代碼 代碼如下:

xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx

256位數(shù)據(jù),當(dāng)然別的驗證系統(tǒng)可能會更短。

而對于掃描的用戶,QR識別以后是類似下面的URL鏈接:

otpauth://totp/Google%3Ayourname@gmail.com?secret=xxxx&issuer=Google

2、 基于當(dāng)前時間的輸入

這個輸入是基于用戶手機時間產(chǎn)生的,一旦用戶完成第一步的密鑰共享,就和身份驗證服務(wù)器沒有關(guān)系了。但是這里比較重要的是用戶手機時間要準(zhǔn)確,因為從算法原理來講,身份驗證服務(wù)器會基于同樣的時間來重復(fù)進行用戶手機的運算。進一步來說,服務(wù)器會計算當(dāng)前時間前后幾分鐘內(nèi)的令牌,跟用戶提交的令牌比較。所以如果時間上相差太多,身份驗證過程就會失敗。

3、 簽名函數(shù)

谷歌的簽名函數(shù)使用了HMAC-SHA1。HMAC即基于哈希的消息驗證碼,提供了一種算法,可以用比較安全的單向哈希函數(shù)(如SHA1)來產(chǎn)生簽名。這就是驗證算法的原理所在:只有共享密鑰擁有者和服務(wù)器才能夠根據(jù)同樣的輸入(基于時間的)得到同樣的輸出簽名。偽代碼如下:

復(fù)制代碼 代碼如下:

hmac = SHA1(secret + SHA1(secret + input))

本文開頭提到的TOTP和HMAC原理類似,只是TOTP強調(diào)輸入一定是當(dāng)前時間相關(guān)。類似的還有HOTP,采用增量式計數(shù)器的方式,需要不斷和服務(wù)器同步。

算法流程簡介

首先需要用base32解碼密鑰,為了更方便用戶輸入,谷歌采用了空格和小寫的方式表示密鑰。但是base32不能有空格而且必須大寫,處理偽代碼如下:

復(fù)制代碼 代碼如下:

original_secret = xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx
secret = BASE32_DECODE(TO_UPPERCASE(REMOVE_SPACES(original_secret)))

接下來要從當(dāng)前時間獲得輸入,通常采用Unix時間,即當(dāng)前周期開始到現(xiàn)在的秒數(shù)

復(fù)制代碼 代碼如下:

input = CURRENT_UNIX_TIME()

這里有一點需要說明,驗證碼有一個時效,大概是30秒。這種設(shè)計是出于方便用戶輸入的考慮,每秒鐘變化的驗證碼很難讓用戶迅速準(zhǔn)確輸入。為了實現(xiàn)這種時效性,可以通過整除30的方式來實現(xiàn),即:
復(fù)制代碼 代碼如下:

input = CURRENT_UNIX_TIME() / 30

最后一步是簽名函數(shù),HMAC-SHA1,全部偽代碼如下:
復(fù)制代碼 代碼如下:

original_secret = xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx
secret = BASE32_DECODE(TO_UPPERCASE(REMOVE_SPACES(original_secret)))
input = CURRENT_UNIX_TIME() / 30
hmac = SHA1(secret + SHA1(secret + input))

完成這些代碼,基本就已經(jīng)實現(xiàn)了兩次驗證的功能。由于HMAC是個標(biāo)準(zhǔn)長度的SHA1數(shù)值,有四十個字符的長度,用戶很難一次性正確輸入,因此還需要做一些格式上的處理。可參考下面的偽代碼:
復(fù)制代碼 代碼如下:

four_bytes = hmac[LAST_BYTE(hmac):LAST_BYTE(hmac) + 4]
large_integer = INT(four_bytes)
small_integer = large_integer % 1,000,000

發(fā)表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發(fā)表
主站蜘蛛池模板: 日韩在线一区二区 | 欧美一级爱爱 | 国产精品禁久久精品 | 婷婷亚洲综合 | 亚洲精品不卡 | 欧美日本亚洲 | 亚洲精品一区二区三区在线 | 欧美性猛交一区二区三区精品 | 国产综合亚洲精品一区二 | 久久99精品国产91久久来源 | 99国产视频| 日本伊人网站 | 日韩毛片在线免费观看 | 色悠悠久久| 国产高清在线精品一区二区三区 | 欧美午夜视频在线观看 | av黄色一级片 | 热久久这里只有精品 | 成人午夜视频在线观看 | 亚洲精品一区二区三区在线看 | 欧美成人影院在线 | 国产一级二级毛片 | 欧美99 | 久久精品在线观看视频 | 午夜精品久久久久久久久 | 免费特级黄毛片 | 亚洲最新中文字幕 | 精品视频在线免费观看 | 亚洲黄色免费看 | 国产精品片aa在线观看 | 日一日干一干 | 日夜夜精品 | 国产精品久久久久久一级毛片 | 2021最新热播中文字幕-第1页-看片视频 亚洲第一男人天堂 | 精品久久久精品 | 91精品蜜臀一区二区三区在线 | 中文字幕亚洲天堂 | 一本久久a久久精品亚洲 | 欧美xxxx色视频在线观看免费 | 婷婷伊人| 在线xxx|