基于802.1X和DFW的网络安全研究及NAC系统的设计与(18)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

机会利用已截取的响应回复用户。而同一共享密钥可以用在不同地理区域的服务器的认证中，所以请求认证符应该具有全局性和唯一性。

②响应认证标识符

接入允许、接入拒绝和接入挑战数据包中的Authenticator为响应认证标识符，它是对一串字节流计算得出的单向MD5散列值，这些字节流包括:代码域、标识符、长度、来自接入请求数据包的请求认证标识符、应答包中包括的属性和共享密钥。即Response Authenticator=MD5 (Code+ID+Length+RequestAuth+Attributes+Secret )

其中“+”表示连接。

5) Attributes:属性域，指定RADIUS包中的具体内容，可以为RADIUS请求或应 答传递详细的认证、授权信息或配置细节等。每个Attributes又分为3个部分:

Type, Length和Value。

①Type，一个字节，表示 Attributes 的类型，可以取1到53。每个RADIUS数据包只包含必须的属性，没有必要使用全部属性。

②Length:一个字节，表示属性的长度，计算方法为:Type+Length+Value。

③Value:零字节或多字节，表示属性的具体值。

RADIUS认证过程可简单的叙述为：

1) 用户拨入NAS；

2) NAS向RADIUS服务器发送一系列加密的“属性/值”；

3) RADIUS服务器检查用户是否存在、属性/值是否匹配；

4) RADIUS服务器发送回“接受“或“拒绝“给NAS。

2.3.2 RADIUS协议的EAP扩展

RADIUS是一个具有良好扩展性的协议，它可以定义一些新的属性，以达到增加新的功能的目的。为了能够将EAP消息从NAS传到RADIUS服务器，便于RADIUS协议的封装，在原来的RADIUS协议的基础上增加了两个重要的属性：EAP-Message (EAP 消息)和Message－Authenticator（消息认证码）。通过使用EAP，许多认证方案被添加进来[24]。

EAP－Message属性用来把EAP消息封装进RADIUS报文，它的类型字段的值为79。 Message-Authenticator属性用于避免接入请求包被窃听篡改，它的类型字段为80。在含有EAP－Message属性的数据包中，同时也必须含有Message－Authenticator，否则该包被视为无效而被丢弃。在Access-Request包中，Message－Authenticator的计算方法是对整个数据包从code域到attributes域，使用共享密钥作为key做MD5算法，即Message