01-Radius原理与应用.ppt

口令的加密: 称共享密钥（key）为Key；16字节的认证请求验证字(Authenticator)为Auth；将口令(Password)分割成16字节一段（最后一段不足16字节时用0补齐），为p1、p2等；加密后的口令块为c(1)、c(2)等。下面运算中b1、b2为中间值： b1 = MD5(Key + Auth) c(1) = p1 xor b1 b2 = MD5(Key + c(1)) c(2) = p2 xor b2 …… …… …… bi = MD5(Key+ c(i-1)) c(i) = pi xor bi 那么加密后的口令为c(1)+c(2)+...+c(i)。 上面是协议规定的算法，也有的RADIUS服务器为了实现起来简单，修改了上述的算法，具体的讲，b1的算法同上，但bi=b2=b1(i=1)，其他运算不变。当用户的口令长度不超过16字节时，两种算法的结果是一样的。 口令的加密 远端（Radius）验证——PAP方式： 远端认证——PAP Secret password =Password XOR MD5（Challenge ＋ Key） (Challenge就是Radius报文中的Authenticator) 我查…… 我算…… 我验…… 如果用户配置了RADIUS验证，其PAP验证过程如下： 采用PAP验证：用户以明文的形式把用户名和他的密码传递给NAS。NAS把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器，根据RADIUS服务器的返回结果来决定是否允许用户上网。 远端认证——PAP 用户名、密码 放行 远端认证——PAP Code = 1 (Access-Request) ID = 0 Length = 56 Request Authenticator = {16 octet random number} Attributes: User-Name = nemo User-Password = {16 octets of Password padded at end with nulls, XORed with MD5(key|Request Authenticator)} NAS-IP-Address = 192.168.1.16 NAS-Port = 3 例1：用户telnet到特定的主机 例1： 1)NAS：192.168.1.16 发送 Access-Request UDP 数据包到 RADIUS Server 。 User-name ：nemo Port logging in ：3 Code = 2 (Access-Accept) ID = 0 (same as in Access-Request) Length = 38 Response Authenticator = {16-octet MD-5 checksum of the code (2),id (0), Length (38), the Request Authenticator from above, the attributes in this reply, and the shared secret} Attributes: Service-Type = Login-User Login-Service = Telnet Login-Host = 192.168.1.3 2)RADIUS server 验证了 nemo, 并且发送了 Access-Accept UDP 数据包到接入服务器，告诉把用户 nemo 登陆到主机 192.168.1.3. 例1：用户telnet到特定的主机 远端（Radius）验证——CHAP方式： 远端认证——CHAP Secret password = MD5（Chap ID + Password + challenge） 我查…… 我算…… 我验…… 采用CHAP验证： 当用户请求上网时， NAS产生一个16字节的随机码给用户（同时还有一个ID号，本地路由器的 host name）。 用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个response传给NAS， NAS把传回来的CHAP ID和Response分别作为用户名和密码，并把原来的 16字节随机码传给RADIUS服务器。 RADIU