RADIUS与MS-CHAPv2说明

找不到对等方之间通信如何工作的stream程图。 我知道在启用了PAP的Radius中它是如何工作的,但是看起来在MS-Chapv2中有很多工作要开发。

我正在尝试开发一个RADIUS服务器来接收和validation用户请求。 请以信息不代码的forms帮助我。

MSCHAPv2非常复杂,通常另一个EAP方法(如EAP-TLS,EAP-TTLS或PEAP)中执行。 这些外部方法使用TLSencryptionMSCHAPv2交换。 下图为PEAPstream程图,客户端或请求者与RADIUS服务器(authentication服务器)build立TLS隧道,并进行MSCHAPv2交换。

在这里输入图像描述

MSCHAPv2交换本身可以概括如下:

  • AS首先生成一个16字节的随机服务器挑战并将其发送给请求者。
  • 请求者也会产生一个随机的16字节同伴挑战。 然后根据用户的密码计算质询响应。 这个质询响应连同对等挑战一起被传回到AS。
  • AS检查质询响应。
  • AS根据密码和对等体质询计算对等质询应答。
  • 请求者检查对等质询响应,完成MSCHAPv2authentication。

如果您想了解所涉及的细节和精确计算,请随时查看我的论文。 4.5.4节和4.5.3节应该包含为了实现能够执行MSCHAP交换的RADIUS服务器所需的全部信息。

正如你在图中看到的,许多不同的键被导出和使用。 本文档提供了一个非常有用的洞察力。 但是,CSK在本文档中没有解释。 该密钥可选地用于“encryption”,即为了向AScertificateTLS隧道和MSCHAPv2交换是由同一对等体执行的。 只能从TLS主密钥中导出MSK是可能的,但是这样你就容易受到中继攻击(本文还包含一个研究论文,举例说明这样的攻击)。

最后, asleap自述文件给出了MSCHAPv2协议的另一个很好和一般的逐步描述,这可能会对您有所帮助。

不幸的是,我不能再添加评论,需求是我有50的声望。

根据您的要求:我的实验室环境是与RADIUS的AS一起使用的SSL-VPN。 以下三项构成:

  1. 最终用户 – >没有“客户端”安装,连接开始通过Web门户。 客户端=网页浏览器

  2. NAS – >这是提供networking入口的机器(最终用户input用户名和密码的地方) ,并充当RADIUS CLient,将请求传送给AS。

  3. AS(RADIUS) – >这是我。 我收到访问请求并validation用户名和密码。

所以按照这个,我在Access-Request中收到的是:

MS-CHAP2-Response: 7d00995134e04768014856243ebad1136e3f00000000000000005a7d2e6888dd31963e220fa0b700b71e07644437bd9c9e09

MS-CHAP-Challenge: 838577fcbd20e293d7b06029f8b1cd0b

根据RFC2548:

  • MS-CHAP-Challenge此属性包含NAS向Microsoft质询握手身份validation协议(MS-CHAP)用户发送的质询。 它可以用于访问请求和访问质询数据包。

  • MS-CHAP2-响应此属性包含由MS-CHAP-V2对等方响应质询所提供的响应值。 它只用于访问请求数据包。

如果我理解正确,请冷静一点,这对我来说都是很新鲜的事情,根据你的stream程图,AS也是LCP中的身份validation者。 在我的情况下,LCP是由NAS发起的,所以我的生活变得简单,我只需要访问请求而不需要创build隧道。

我现在的问题是,我如何解密密码? 我知道有一个随机挑战的16字节密钥,但是由NAS持有。

从我的回忆中,我只需要知道共享的秘密,并使用论文中描述的algorithm解密整个事情。

但algorithm是巨大的,我试过不同的网站,看看它应该使用哪个部分,并在每次尝试解密失败。 因为我不能再在这个线程中寻求帮助,我只能说这个小文本框不能填补我对你的帮助的感激之情,真的很幸运,你看到我的线程。

请给我发电子邮件,我的联系信息在我的个人资料。 另外,出于某种原因,我不能将您的答案标记为解决scheme。

通常在另一种EAP方法(如EAP-TLS,EAP-TTLS或PEAP)中执行”。

那么… RADIUS win2008服务器在这里configuration为NO EAP,只有MS-CHAPv2encryption,才能取代PAP。

这就是为什么你说的很多,我说的不是加起来……我不是MITM,我是AS,而我的NAS(敲门的)是RADIUS_Client / Authenticator。

当用户inputUN&PW随机encryption,我现在正在寻找,是用MS-CHAPv2创build的,上面的所有都是不相关的。

从Authenticator收到的项目又是: – 用户名,MS-CHAP-Challenge,MS-CHAP2-Response

AS执行一个神奇的仪式来提出以下几点: –访问接受

-MPPE-发送键

-MPPE-RECV密钥

-MS-chap2的-Sucess

-MS-CHAP域

这是从一个工作场景,我有一个RADIUS服务器,半径客户端和用户。

不是一个工作场景,是我的RADIUS服务器(AS),因为这是我的目标,build立一个RADIUS服务器,而不是MITM。 所以我剩下的就是找出解密algorithm需要什么以及如何解密。

Interesting Posts

基于订阅的nosql内存数据库

节点:安装npm包时出错

除了less数例外情况,如何除去rimraf的所有内容

不止一次阻止绑定一个函数

使用callback完成树行走后执行一个函数

读取请求体Nodejs

节点插件使用libuv和uv_async_send – 节点进程不会退出

蓝鸟:等待一个承诺解决

mongoose – 不能用子模型创build模型

从child_process.spawn中检索shell错误输出