我正在TinyRadius lib的帮助下实现半径代理。 PAP和CHAP代理没有任何问题,但EAP消息没有。因此,在添加代理属性后,我重新计算了半径数据包的请求身份验证器,然后根据RFC3579重新计算了消息身份验证器。
还有两个问题:
根据RFC3579:消息身份验证器= HMAC-MD5(类型,标识符,长度,请求身份验证器,属性)
1)长度=?它是半径数据包或EAP消息的长度吗?
2)请求验证器-这是半径数据包的验证器,对吗?因此,如果我将其添加到radius数据包的Message-Authenticator属性中,则将更改radius数据包,并且必须重新计算Request Authenticator,但是如果我重新计算Request Authenticator,则Message-Authenticator将无效,因为它取决于Request Authenticator。
客户端和端点半径服务器的共享机密是相同的(已多次检查)。
我需要的是-教代理EAP消息的代理,但总能得到:
Received Access-Request Id 191 from 192.168.200.250:1814 to 192.168.200.250:10000 length 171
Dropping packet without response because of error: Received packet from 192.168.200.250 with invalid Message-Authenticator! (Shared secret is incorrect.)
更新:
请求验证器生成:
protected byte[] createRequestAuthenticator(String sharedSecret){
MessageDigest md5=getMd5Digest();
md5.reset();
byte[] requestAuthenticator=new byte[16];
Random r=new Random();
for(int i=0;i<16;i++){
requestAuthenticator[i]=(byte)r.nextInt();
}
md5.update(sharedSecret.getBytes(),0,sharedSecret.length());
md5.update(requestAuthenticator,0,requestAuthenticator.length);
return md5.digest();
}
消息身份验证器生成:
protected byte[] createRFC3579MessageAuthenticator(String sharedSecret,int packetLength,byte[] requestAuthenticator,byte[] attributes){
try{
Mac mac=Mac.getInstance("HmacMD5");
mac.init(new SecretKeySpec(sharedSecret.getBytes(),"HmacMD5"));
mac.update((byte)getPacketType());
mac.update((byte)getPacketIdentifier());
mac.update((byte)(packetLength>>8));
mac.update((byte)(packetLength&0x0ff));
mac.update(requestAuthenticator,0,requestAuthenticator.length);
mac.update(attributes,0,attributes.length);
return mac.doFinal();
}catch(NoSuchAlgorithmException|InvalidKeyException ex){
Logger.getLogger(RadiusPacket.class.getName()).log(Level.SEVERE,null,ex);
return null;
}
}
最佳答案
1)Length是包含一个或多个EAP-Message属性的RADIUS数据包的长度(如果您正在执行EAP)。
2)否-请求验证器是RADIUS数据包标头中的随机16位质询,用于重复检测,并且作为诸如CHAP之类的属性的哈希方案的一部分。仅当您生成新数据包时才应更改,而在重新传输现有数据包时则不应更改。
Message-Authenticator是访问请求本身中的一个属性。消息身份验证器包含从共享密钥中删除的RADIUS数据包的HMAC。
消息身份验证器不正确的原因是:
共享的秘密不匹配。
消息验证器HMAC的实现不正确。
在RADIUS客户端和服务器之间传输中正在修改的数据包。
然后是FreeRADIUS的特定问题:
由于IP范围错误,使用了错误的客户端条目。
由于家庭服务器配置错误,共享密钥不正确。
注意:如果您使用的是FreeRADIUS,则不应自己生成Message-Authenticator。您只需要在上游请求中设置Message-Authenticator = 0x00,FreeRADIUS将自动填写该值。
如果要生成自己的Message-Authenticator值,请参见RFC 2869第#5.14节。
对于访问请求:
Message-Authenticator = HMAC-MD5 (Type,
Identifier,
Length,
Request Authenticator,
Attributes)
其中属性包括占位符的全零的Message-Authenticator属性,即
0x4f1200000000000000000000000000000000。如果您遇到Message-Authenticator验证问题,可能就是您忘记包含的内容。HMAC的密钥是共享机密。
在计算HMAC之前,您需要先生成随机的Request-Authenticator值。
对于响应数据包(访问接受,访问拒绝,访问挑战),使用访问请求中的请求验证器来计算消息验证器。
在生成消息验证器并将其写入输出数据包中的占位符字节后,将计算响应验证器。因此,Response-Authenticator遍及整个包,包括Message-Authenticator。