查看:5362|回复：6
1、方案简介
& &&&领先的动态密码解决方案提供商发布其《DKEY服务器动态口令认证解决方案》，网络管理员只需输入令牌上显示的每隔30/60秒变化一次的随机密码，即使被窃取，由于其一次使用有效的特点，也无法使用，虽然这不是一门新的技术，但是它是目前公认最有效的安全网管技术，DKEY支持为Linux、Unix（AIX、HP-UNIX、Saloris）、BSD服务器增加动态口令安全访问，有效解决密码失窃引起的服务器被非授权访问风险，同时节约密码管理成本。
& && & DKEY服务器动态口令认证解决方案目前是国内IDC、电商、电子政务行业部署最多的案例。
2、认证流程
系统登录以root用户为例，用户名输入root：
在第一次提示输入密码时输入该用户的静态密码：
在第二次提示输入密码时输入该用户绑定的令牌的动态密码：
2.2 SSH以root用户为例，连接SSH，在第一次提示输入密码时输入该用户的静态密码，在第二次提示输入密码时输入该用户绑定的令牌的动态密码：
3、系统配置
3.1认证服务器为了使DKEY动态口令能够保护类Unix系统，需要部署DKEY TMS认证服务器，并进行如下几步操作：
（1）在认证服务器上创建和目标系统对应的账号
（2）将账号与动态令牌建立绑定关系
3.2 Linux/AIX/BSD服务器以AIX为例，安装PAM NDKEY。PAM NDKEY配置和使用方法与PAM RADIUS类似。
3.2.1 安装PAM NDKEY解压缩pam_ndkey.tar:
tar xvf pam_ndkey.tar
将pam_ndkey拷贝至/lib/security/：
将pam_ndkey.conf拷贝至/etc/。
3.2.2配置PAM NDKEY并启动PAM编辑/etc/pam_ndkey.conf:
其中“192.168.56.1”应为DKEY TMS服务器的地址，并设置DKEY TMS默认域的Default认证客户端密码，30为超时时间，建议配置为10~30秒，如果配置多个认证服务器建议配置10秒以下。
当Linux/Unix服务器无法连接认证服务器或者认证服务器故障时，可以通过备用radius服务将认证方式回滚为静态密码登录。
5 SSH客户端配置
5.1SecureCRT
选择一个session，打开属性窗口，配置“Login Actions”，勾选“Display login prompts in terminal window”:
配置SSH2的Authentication，仅选择“Keyboard Interactive”，去掉其它选项, 如果同时使用证书认证，请同时勾选“PublicKey”。
图文并茂，感谢分享
本帖最后由 l_king_lich 于
16:19 编辑
高级工程师
Linuxの小凡
引用:原帖由 ndkey 于
15:51 发表
1、方案简介
http://images.cnblogs.com/cnblogs_com/dkey/dkey_tpass.jpg
& &&&领先的动态密码解决方案提供商发布其《DKEY服务器动态口令认证解决方案》，网络管理员只需输入令牌上显示的每隔30/60秒变化一次的随机 ... 楼主分享的好东西，大家赶紧收藏+关注！
中级工程师
开源精神的继承者
引用:原帖由 ndkey 于
15:51 发表
1、方案简介
http://images.cnblogs.com/cnblogs_com/dkey/dkey_tpass.jpg
& &&&领先的动态密码解决方案提供商发布其《DKEY服务器动态口令认证解决方案》，网络管理员只需输入令牌上显示的每隔30/60秒变化一次的随机 ... 听朋友说过，他们公司交换机好像用的这个~
介绍的很详细
初级工程师
很好的东西啊，介绍的很详细，LZ辛苦了。
引用:原帖由 syd989 于
19:56 发表
很好的东西啊，介绍的很详细，LZ辛苦了。 Windows机器也可以采用动态密码认证，详细配置参考这篇帖子。
本帖最后由 ndkey 于
17:23 编辑
优秀技术经理
这个好啊……他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
令牌方式登录说明-津南劳动力管理系统.doc 8页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
令牌方式登录说明-津南劳动力管理系统.doc
你可能关注的文档：
··········
··········
天津市津南区劳动力信息管理系统
令牌方式登录说明
一、下载安装令牌客户端程序
如果您是第一次登录系统，必须下载并安装令牌客户端程序，以后再次登录系统则不需要执行此步骤。
1、下载令牌客户端程序：打开浏览器，输入系统网址，进入主界面，如图1所示，根据您使用的Windows版本，点击下载相应的令牌客户端程序，保存到计算机里面。
注意：一定要下载与您使用的Windows版本匹配的令牌客户端程序。
2、安装令牌客户端程序：双击下载的令牌客户端程序，打开欢迎界面，如图2所示，单击“Next &”按钮，继续安装。
打开选择安装语言窗口，如图3所示，选择“Chinese”为安装语言，单击“Next &”按钮，继续安装。
打开用户许可窗口，如图4所示，单击选择“I accept the license agreement”,接受许可，单击“Next &”按钮，继续安装。
打开选择安装位置窗口，如图5所示，使用默认安装位置即可，也可以单击“Browse”按钮，选择新的安装位置，单击“Next &”按钮，开始安装。
安装完成，打开安装成功窗口，如图6所示，单击“Finish”按钮，结束安装。
令牌客户端程序安装完成以后，提示需要重新启动计算机，如图7所示，单击“Yes”按钮，立即重启。
令牌客户端程序安装完成以后，在计算机任务栏右侧系统托盘中会出现一个令牌客户端程序的图标，如图8所示，表示该计算机已经安装令牌客户端程序。
二、使用令牌登录系统
1、在已经安装好令牌客户端程序的计算机上，插好身份认证令牌。
2、打开浏览器，输入系统网址，进入主界面，如图1所示，选择进入劳动力管理系统。
3、浏览器提示安全警报，如图9所示，提问是否继续，单击“是（Y）图11
eToken密码”。
注意：如果您计算机任务栏右侧的系统托盘中没有出现图12中的令牌客户端程序图标，请从“开始—&程序—&eToken”中选择“eToken Properties”，如图13所示。
在打开的“eToken属性”窗口中，如图14所示，左侧选择当前设备，右侧单击“更改密码”按钮。
特别提醒：在图14所示的“eToken属性”窗口中，除更改密码外，切勿进行其他操作。
3、打开更改密码窗口中，如图15所示，正确输入“当前eToken密码”，然后输入“新eToken密码”和“确认新eToken密码”，单击“确定”按钮。
4、提示密码更改成功，如图16所示，单击“确定”按钮，下次登录使用新密码。
特别提醒：在修改密码的过程中，如果输入的“新eToken密码”在此之前已经使用过，则提示“密码历史问题”，如图17所示，需要输入之前没有使用过的密码作为新密码。
正在加载中，请稍后...ThinkPHP令牌验证实例_php实例
作者：用户
本文讲的是ThinkPHP令牌验证实例_php实例，
ThinkPHP内置了表单令牌验证功能，可以有效防止表单的远程提交等安全防护。
表单令牌验证相关的配置参数有：
'TOKEN_ON'=&true, // 是否开启令牌验证
'TOKEN_NAME'=&'__hash__'
Think内置了表单令牌验证功能，可以有效防止表单的远程提交等安全防护。
表单令牌验证相关的配置参数有：
'TOKEN_ON'=&true, // 是否开启令牌验证
'TOKEN_NAME'=&'__hash__', // 令牌验证的表单隐藏字段名称
'TOKEN_TYPE'=&'md5', //令牌哈希验证规则 默认为MD5
如果开启表单令牌验证功能，系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域，其值则是TOKEN_TYPE方式生成的哈希字符串，用于实现表单的自动令牌验证。
自动生成的隐藏域位于表单Form结束标志之前，如果希望自己控制隐藏域的位置，可以手动在表单页面添加__TOKEN__ 标识，系统会在输出模板的时候自动替换。如果在开启表单令牌验证的情况下，个别表单不需要使用令牌验证功能，可以在表单页面添加__NOTOKEN__，则系统会忽略当前表单的令牌验证。
如果页面中存在多个表单，建议添加__TOKEN__标识，并确保只有一个表单需要令牌验证。
模型类在创建数据对象的同时会自动进行表单令牌验证操作，如果你没有使用create方法创建数据对象的话，则需要手动调用模型的autoCheckToken方法进行表单令牌验证。如果返回false，则表示表单令牌验证错误。例如：
$User = M("User"); // 实例化User对象
// 手动进行令牌验证
if (!$User-&autoCheckToken($_POST)){
// 令牌验证错误
在ThinkPHP框架的View.class.php里定义了一个公共的模板替换函数
protected function templateContentReplace($content) {
// 系统默认的特殊变量替换
$replace = array(
'../Public' =& APP_PUBLIC_PATH,// 项目公共目录
'__PUBLIC__' =& WEB_PUBLIC_PATH,// 站点公共目录
'__TMPL__' =& APP_TMPL_PATH, // 项目模板目录
'__ROOT__' =& __ROOT__, // 当前网站地址
'__APP__' =& __APP__, // 当前项目地址
'__UPLOAD__' =& __ROOT__.'/Uploads',
'__ACTION__' =& __ACTION__, // 当前操作地址
'__SELF__' =& __SELF__, // 当前页面地址
'__URL__' =& __URL__,
'__INFO__' =& __INFO__,
if(defined('GROUP_NAME'))
$replace['__GROUP__'] = __GROUP__;// 当前项目地址
if(C('TOKEN_ON')) {
if(strpos($content,'{__TOKEN__}')) {
// 指定表单令牌隐藏域位置
$replace['{__TOKEN__}'] = $this-&buildFormToken();
}elseif(strpos($content,'{__NOTOKEN__}')){
// 标记为不需要令牌验证
$replace['{__NOTOKEN__}'] = '';
}elseif(preg_match('/&\/form(\s*)&/is',$content,$match)) {
// 智能生成表单令牌隐藏域
$replace[$match[0]] = $this-&buildFormToken().$match[0];
// 允许用户自定义模板的字符串替换
if(is_array(C('TMPL_PARSE_STRING')) )
$replace = array_merge($replace,C('TMPL_PARSE_STRING'));
$content = str_replace(array_keys($replace),array_values($replace),$content);
上面的if（C('TOKEN_ON')）是对令牌验证的开启状态进行判断，若开启则调用buildFormToken（）方法，$_SESSION[$tokenName] = $tokenV 其实就是给$_SESSION['__hash__']赋值。如果不想进行令牌验证，只要在页面的&/form&之前加入{__NOTOKEN__}就行了，它会被函数替换成空。
在ThinkPHP的Model.class.php类里定义了令牌的验证函数
// 表单令牌验证
if(C('TOKEN_ON') && !$this-&autoCheckToken($data)) {
$this-&error = L('_TOKEN_ERROR_');
// 自动表单令牌验证
public function autoCheckToken($data) {
$name = C('TOKEN_NAME');
if(isset($_SESSION[$name])) {
// 当前需要令牌验证
if(empty($data[$name]) || $_SESSION[$name] != $data[$name]) {
// 非法提交
// 验证完成销毁session
unset($_SESSION[$name]);
以上是云栖社区小编为您精心准备的的内容，在云栖社区的博客、问答、公众号、人物、课程等栏目也有的相关内容，欢迎继续使用右上角搜索按钮进行搜索thinkphp
thinkphp令牌验证、thinkphp表单令牌验证、thinkphp令牌验证原理、thinkphp5 令牌验证、thinkphp自动验证实例，以便于您获取更多的相关知识。
稳定可靠、可弹性伸缩的在线数据库服务，全球最受欢迎的开源数据库之一
6款热门基础云产品6个月免费体验；2款产品1年体验;1款产品2年体验
弹性可伸缩的计算服务，助您降低 IT 成本，提升运维效率
开发者常用软件，超百款实用软件一站式提供
云栖社区(yq.aliyun.com)为您免费提供相关信息，包括
，所有相关内容均不代表云栖社区的意见！CCNP学习指南：CLSC CISCO局域网交换配置技术pdf下载_爱问共享资料
CCNP学习指南：CLSC CISCO局域网交换配置技术.pdf
CCNP学习指南：CLSC CISCO局域网交换配置技术.pdf
CCNP学习指南：CLSC CISCO局域网交换配置技术.pdf
简介：本文档为《CCNP学习指南：CLSC CISCO局域网交换配置技术pdf》，可适用于IT/计算机领域，主题内容包含CCNP学习指南：CLSCCISCO局域网交换配置技术目录第章交换概念导论认证目标：冲突域与广播域冲突域广播域认证目标：局域网分段用路由器将LAN分符等。
侵权或盗版
*若权利人发现爱问平台上用户上传内容侵犯了其作品的信息网络传播权等合法权益时，请按照平台要求书面通知爱问！
赌博犯罪类
添加成功至
资料评价：
所需积分：0