【IT168 技术】YubiKey是一种新型USB密钥，它通过双因素验证简化了登录过程，用户只要轻触一下设备，它就会在任意电脑或平台上生成一个一次性的密码(OTP)，而不需要任何客户端软件。

　　YubiKey工作原理：通过轻触按钮，YubiKey会发送一个随机的安全登录密码。这一唯一的密码由YubiKey配套的Web服务或软件应用验证，此文中则是BIG-IP 访问策略管理器。

　　什么是YubiCloud：YubiCloud是一款免费的基于云技术的YubiKey验证服务，它将有力的双要素验证于网站或在线服务结合在一起。

　　使用APM的YubiKey 2-Factor 验证进程

　　验证进程可以分解为几个简单步骤，如下：

　　步骤一：用户会看到一个登录页面。笔者遇到的登录页面要求填写用户名，密码和YubiKey OTP。在输入用户名和密码后，你可以把YubiKey插入USB端口，再按下按钮。YubiKey将会生成一个唯一的一次性密码供登录者输入进行验证。

　　步骤二和三：用户名和密码都由Active Directory验证。

　　步骤四和五：检查以确保YubiKey已经分配好用户。笔者将8字节的YubiKey序列号保存到了Active Directory属性：“employeeID”。显然，你可以使用你喜欢的任何属性域或是数据群组。

　　步骤六：确保生成的一次性密码与YubiKey序列号匹配。YubiKey 一次性密码使用修改后的十六进制输出(MODHEX)。可在Yubico论坛找到MODHEX表(http://forum.yubico.com/viewtopic.php?f=6&t=96 )笔者创建了一个iRule，它使用一个YubiKey序列号，并将其转换为MODHEX，然后再把它保存到一个APM对话变量。下一步，从步骤一到MODHEX序列号比较OTP值，如果字符存在，就可以往下了。

　　步骤7，8，9——把YubiKey一次性密码发送到YubiCloud验证服务。如果YubiCloud API返回“Status=OK”，然后用户就可以访问资源。