安全协议复习修订版.docVIP

PAP验证 用户以明文的形式把用户名和口令传递给NAS。 NAS把用户名和加密过的口令放到包的相应属性中传递给RADIUS服务器。 RADIUS服务器返回结果。 NAS来决定是否允许用户上网。 把口令加密 passwd XOR md5(S||RA) S是共享秘密，RA是一次性随机值 PAP：an Access-Request UDP packet The Request Authenticator is a 16 octet random number generated by the NAS. The User-Password is 16 octets of password padded at end with nulls,XORed with MD5(shared secret|Request Authenticator). 01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03 1 Code = Access-Request (1) 1 ID = 0 2 Length = 56 16 Request Authenticator Attributes: 6 User-Name = nemo 18 User-Password 6 NAS-IP-Address = 6 6 NAS-Port = 3 PAP：an Access-Accept UDP packet The Response Authenticator is a 16-octet MD5 checksum of the code(2), id (0), Length (38), the Request Authenticator from above, the attributes in this reply, and the shared secret. 02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03 1 Code = Access-Accept (2) 1 ID = 0 (same as in Access-Request) 2 Length = 38 16 Response Authenticator Attributes: 6 Service-Type (6) = Login (1) 6 Login-Service (15) = Telnet (0) 6 Login-IP-Host (14) = CHAP: Challenge and Response The Response Value is the one-way hash calculated over a stream of octets consisting of the Identifier, followed by (concatenated with) the secret, followed by (concatenated with) the Challenge Value. The length of the Response Value depends upon the hash algorithm used (16 octets for MD5). || 当用户请求上网时，NAS产生一个16字节的随机码给用户。 用户端得到这个包后使用MD5生成一个response传给NAS（还有ID/username等信息）。 NAS把传回来的username和ID/Response作为用户名和口令，并把原来的16字节随机码传给RADIUS服务器。 RADIUS根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的Password作比较，如果相同表明验证通过，如果不相同表明验证失败。 另外如果验证成功，RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问（Challenge）。 Pam由四部分组成 第一部分是libpam,是实现PAM API的库， 第二部分是PAM配置文件，/etc/pam.conf, 第三部分有一套动态可装载两进