首页
社区
课程
招聘
[转帖]创新USB密钥 YubiKey实现双因素验证(1)
发表于: 2013-3-16 09:28 2943

[转帖]创新USB密钥 YubiKey实现双因素验证(1)

2013-3-16 09:28
2943
http://netsecurity.51cto.com/art/201303/384591.htm

    YubiKey是一种新型USB密钥,它通过双因素验证简化了登录过程,用户只要轻触一下设备,它就会在任意电脑或平台上生成一个一次性的密码(OTP),而不需要任何客户端软件。

    YubiKey工作原理:通过轻触按钮,YubiKey会发送一个随机的安全登录密码。这一唯一的密码由YubiKey配套的Web服务或软件应用验证,此文中则是BIG-IP 访问策略管理器。

    什么是YubiCloud:YubiCloud是一款免费的基于云技术的YubiKey验证服务,它将有力的双要素验证于网站或在线服务结合在一起。

    使用APM的YubiKey 2-Factor 验证进程
  
    验证进程可以分解为几个简单步骤,如下:

    步骤一:用户会看到一个登录页面。笔者遇到的登录页面要求填写用户名,密码和YubiKey OTP。在输入用户名和密码后,你可以把YubiKey插入USB端口,再按下按钮。YubiKey将会生成一个唯一的一次性密码供登录者输入进行验证。

    步骤二和三:用户名和密码都由Active Directory验证。

    步骤四和五:检查以确保YubiKey已经分配好用户。笔者将8字节的YubiKey序列号保存到了Active Directory属性:“employeeID”。显然,你可以使用你喜欢的任何属性域或是数据群组。

    步骤六:确保生成的一次性密码与YubiKey序列号匹配。YubiKey 一次性密码使用修改后的十六进制输出(MODHEX)。可在Yubico论坛找到MODHEX表(http://forum.yubico.com/viewtopic.php?f=6&t=96 )笔者创建了一个iRule,它使用一个YubiKey序列号,并将其转换为MODHEX,然后再把它保存到一个APM对话变量。下一步,从步骤一到MODHEX序列号比较OTP值,如果字符存在,就可以往下了。

    步骤7,8,9——把YubiKey一次性密码发送到YubiCloud验证服务。如果YubiCloud API返回“Status=OK”,然后用户就可以访问资源。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//