RADIUS代理实施的消息身份验证器错误

时间:2019-10-04 12:40:27

标签: java freeradius radius tinyradius

我正在TinyRadius lib的帮助下实现半径代理。 PAP和CHAP代理没有任何问题,但EAP消息没有。因此,添加代理属性后,我将重新计算半径数据包的请求身份验证器,然后根据 RFC3579 重新计算 Message-Authenticator

有两个问题:

根据RFC3579:消息身份验证器 = HMAC-MD5(类型,标识符,长度请求身份验证器,属性)

1) 长度 =?它是半径包或EAP消息的长度吗?

2) 请求身份验证器-这是半径数据包的身份验证器,对吗?因此,如果我将其添加到半径数据包的Message-Authenticator属性中-半径数据包将更改,并且我必须重新计算请求身份验证器,但是如果我重新计算请求身份验证器-消息身份验证器将无效,因为它取决于请求身份验证器。 / p>

客户端和端点半径服务器的共享机密相同(已多次检查)。

我所需要的-是教代理EAP消息的代理,但总会得到:

Received Access-Request Id 191 from 192.168.200.250:1814 to 192.168.200.250:10000 length 171
Dropping packet without response because of error: Received packet from 192.168.200.250 with invalid Message-Authenticator!  (Shared secret is incorrect.)

更新:

请求验证器生成: 

protected byte[] createRequestAuthenticator(String sharedSecret){
        MessageDigest md5=getMd5Digest();
        md5.reset();
        byte[] requestAuthenticator=new byte[16];
        Random r=new Random();
        for(int i=0;i<16;i++){
            requestAuthenticator[i]=(byte)r.nextInt();
        }
        md5.update(sharedSecret.getBytes(),0,sharedSecret.length());
        md5.update(requestAuthenticator,0,requestAuthenticator.length);
        return md5.digest();         
    }

消息身份验证器生成: 

protected byte[] createRFC3579MessageAuthenticator(String sharedSecret,int packetLength,byte[] requestAuthenticator,byte[] attributes){        
        try{
            Mac mac=Mac.getInstance("HmacMD5");
            mac.init(new SecretKeySpec(sharedSecret.getBytes(),"HmacMD5"));
            mac.update((byte)getPacketType());
            mac.update((byte)getPacketIdentifier());
            mac.update((byte)(packetLength>>8));
            mac.update((byte)(packetLength&0x0ff));
            mac.update(requestAuthenticator,0,requestAuthenticator.length);
            mac.update(attributes,0,attributes.length);
            return mac.doFinal();
        }catch(NoSuchAlgorithmException|InvalidKeyException ex){
            Logger.getLogger(RadiusPacket.class.getName()).log(Level.SEVERE,null,ex);
            return null;
        }
    }

1 个答案:

答案 0 :(得分:0)

1)长度是RADIUS数据包的长度,如果执行EAP,则RADIUS数据包包含一个或多个EAP-Message属性。

2)否-请求验证器是RADIUS数据包标头中的随机16位质询,用于重复检测,并且作为诸如CHAP之类的属性的哈希方案的一部分。仅当您生成新数据包时才应更改,而在重新传输现有数据包时则不应更改。

Message-Authenticator是访问请求本身中的一个属性。邮件身份验证器包含从共享密钥中删除的RADIUS数据包的HMAC。

Message-Authenticator错误的原因是:

  • 共享的秘密不匹配。
  • Message-Authenticator HMAC的错误实现。
  • 正在修改RADIUS客户端和服务器之间的数据包。

然后是FreeRADIUS特定的问题:

  • 由于IP范围错误,导致使用了错误的客户端条目。
  • 由于家庭服务器配置错误,共享密钥不正确。

注意:如果您使用的是FreeRADIUS,那么您不应该自己生成Message-Authenticator。您只需要在上游请求中设置Message-Authenticator = 0x00,FreeRADIUS就会自动填充该值。

如果要生成自己的Message-Authenticator值,请参见RFC 2869第#5.14节。

对于访问请求:

Message-Authenticator = HMAC-MD5 (Type, 
                                  Identifier,
                                  Length,
                                  Request Authenticator,
                                  Attributes)

其中的属性包括全零的占位符Message-Authenticator属性,即0x4f1200000000000000000000000000000000。如果您遇到Message-Authenticator验证问题,可能就是您忘记包含的内容。

HMAC的密钥是共享机密。

在计算HMAC之前,您需要先生成随机的Request-Authenticator值。

对于响应数据包(访问接受,访问拒绝,访问挑战),使用访问请求中的请求验证器来计算消息验证器。

响应验证器是在生成消息验证器之后 计算的,并将其写入输出数据包中的占位符字节。因此,Response-Authenticator遍及整个包,包括Message-Authenticator。

相关问题
最新问题