基于TOTP的Web改进认证①.PDFVIP

计 算 机 系 统 应 用 2015 年 第 24 卷 第 9 期 ① 基于TOTP 的Web 改进认证 赵建勋 (西安文理学院 数学与计算机工程学院, 西安 710065) 摘 要: 为了提高TOTP 协议应用在Web 认证中的安全性, 依照HOTP 认证三原则改进了基于TOTP 的认证设计. 改进后的认证系统在一个时间窗口内增加了一个认证次数阈值和时间戳用来更好的抗蛮力攻击和重放攻击, 增 加随机数和 MD5 哈希算法轻量化地抵抗中间人攻击. 最后用 PHP 语言设计了一个安全、实用的 Web 认证系统. 关键词: HOTP; TOTP; 一次性口令; Web 认证; 攻击 Improved Web Authentication Based on TOTP ZHAO Jian-Xun (School of Mathematics and Computer Engineering, Xian University, Xian 710065, China) Abstract: The paper makes an improved authentication method order by Three-Protocol of HOTP authentication method based on TOTP. The authentication method uses an authentication number threshold and a timestamp to resist brute force attacks and replay attacks, uses a random number and the MD5 encryption resist Man-in-the-Middle attack. Finally, a safe and useful Web authentication protocol is designed by PHP . Key words: HOTP; TOTP; One-time-password; Web authentication; attacks 传统的Web 认证下用户的用户名和口令是确定不 的对称密钥 K, 该密钥 K 仅有客户端令牌和认证服务 变的, 这种方式最大的缺陷就是一旦用户名和口令的 器知道. 使用 HMAC-SHA-1[3]算法得到 HOTP 值, 由 信息被非法窃取, 就可能导致重放攻击. 一次性口令 于HMAC-SHA-1 计算输出为 160 比特, 使用截短函数 (One-Time Password)系统下每次登录根据不确定因素 Truncate 以便于用户输入, 总的函数可以表述为 产生一个新的口令从而避免了这种重放攻击, 增强了 HOTP(K,C)[1] = Truncate(HMAC-SHA-1(K,C), N), 其 认 证 的 安 全 性 . HOTP[1](HMAC-Based One-Time 中K 是共享的密钥, C 是加法计数器, N 是截短为十进 Password)和 TOTP[2](Time-Based One-Time Password) 制的位数. 是 OATH 组织成员分别基于事件和时间因子的两种一 TOTP 是基于时间的算法, 其中一个代表时间基准 次性口令算法标准的认证算法, 其中 TOTP 可以看作 和时间步长关系的一个整数 T, 取代 HOTP 加法计数器 是 HOTP 的一种扩展. 基于时间因子的 TOTP 提供了 C. 即TOTP(K,T)=Truncate(HMAC-SHA-1(K,T), N). 一个具有短暂时效性的一次性口令, 这是现代安全认 1.1