第一章 雙因子認證專案

　　通常認證方式如圖一所示，使用者僅輸入使用者名稱及密碼；密碼我們可以是為單一認證因子。那何謂雙因子認證？其實生活中就有許多的應用實例，例如：我們使用提款卡到提款機提款，提款卡上的帳號就相等於我們的帳號，而提款卡就是第一認證因子，當提款卡插入至提款機時，提款機會要求我們輸入PIN（Personal Identity Number）碼，這就是第二因子認證，唯有這兩個認證因子全部被認證核可後，才能做後續的轉帳、餘額查詢及提款等行為。

圖一：Windows XP Logon畫面。

　　我們的專案架構如圖二所示，使用者及管理者使用自身所知道的帳號、密碼及第二因子設備（2nd Factor）的相關資訊一併送到後台的認證伺服器，為有通過認證之後，方可使用這個網路所提供的資源及服務。
在本專案中，使用者與第二因子設備以USB作為通溝的介面，透過SCSI Command去讀取第二因子的資訊，與第一因子資訊（該帳號的密碼）合併後以PAM送到RADIUS認證伺服器進行認證；RADIUS伺服器端認證模組再將第一因子與第二因子拆解分別認證，當兩個因子全部通過認證後，方可使用該網路資源。

圖二：雙因子認證專案架構圖。