java - RADIUS 代理实现消息 validator 错误

Question

我正在 TinyRadius lib 的帮助下实现半径代理。 PAP 和 CHAP 代理没有任何问题，但 EAP 消息则不然。因此，我在添加代理属性后重新计算半径数据包的请求 validator ，然后根据RFC3579重新计算消息 validator 。

还有两个问题:

根据 RFC3579:消息 validator = HMAC-MD5(类型、标识符、长度、请求 validator 、属性)

1) 长度=？是radius数据包的长度还是EAP消息的长度？

2) 请求 validator - 这是 Radius 数据包的 validator ，对吗？因此，如果我将其添加到半径数据包的消息 validator 属性中 - 半径数据包将被更改，并且我必须重新计算请求 validator ，但如果我重新计算请求 validator - 消息 validator 将无效，因为它取决于请求 validator 。

客户端和端点 Radius 服务器的共享 key 相同(检查多次)。

我需要的只是教代理代理 EAP 消息，但总是得到:

Received Access-Request Id 191 from 192.168.200.250:1814 to 192.168.200.250:10000 length 171
Dropping packet without response because of error: Received packet from 192.168.200.250 with invalid Message-Authenticator!  (Shared secret is incorrect.)

更新:

请求 validator 生成:

protected byte[] createRequestAuthenticator(String sharedSecret){
        MessageDigest md5=getMd5Digest();
        md5.reset();
        byte[] requestAuthenticator=new byte[16];
        Random r=new Random();
        for(int i=0;i<16;i++){
            requestAuthenticator[i]=(byte)r.nextInt();
        }
        md5.update(sharedSecret.getBytes(),0,sharedSecret.length());
        md5.update(requestAuthenticator,0,requestAuthenticator.length);
        return md5.digest();         
    }

消息 validator 生成:

protected byte[] createRFC3579MessageAuthenticator(String sharedSecret,int packetLength,byte[] requestAuthenticator,byte[] attributes){        
        try{
            Mac mac=Mac.getInstance("HmacMD5");
            mac.init(new SecretKeySpec(sharedSecret.getBytes(),"HmacMD5"));
            mac.update((byte)getPacketType());
            mac.update((byte)getPacketIdentifier());
            mac.update((byte)(packetLength>>8));
            mac.update((byte)(packetLength&0x0ff));
            mac.update(requestAuthenticator,0,requestAuthenticator.length);
            mac.update(attributes,0,attributes.length);
            return mac.doFinal();
        }catch(NoSuchAlgorithmException|InvalidKeyException ex){
            Logger.getLogger(RadiusPacket.class.getName()).log(Level.SEVERE,null,ex);
            return null;
        }
    }

Answer 1

1) 长度是 RADIUS 数据包的长度，如果您正在执行 EAP，则该数据包包含一个或多个 EAP 消息属性。

2) 否 - 请求验证符是 RADIUS 数据包 header 中的随机 16 位质询，用于重复检测并作为 CHAP 等属性的散列方案的一部分。仅当您生成新数据包时，它才应更改，而不是在您重新传输现有数据包时更改。

消息 validator 是访问请求本身的一个属性。消息 validator 包含与共享 key 无关的 RADIUS 数据包的 HMAC。

消息 validator 不正确的原因是:

• 共享 key 不匹配。
• 消息 validator HMAC 实现不当。
• 数据包在 RADIUS 客户端和服务器之间传输时被修改。

然后是 FreeRADIUS 的具体问题:

• 由于 IP 范围不正确，使用了错误的客户端条目。
• 由于家庭服务器配置错误，共享 key 不正确。

注意:如果您使用 FreeRADIUS，则不应自行生成消息 validator 。您只需在上游请求中设置 Message-Authenticator = 0x00，FreeRADIUS 就会自动填写该值。

如果您想生成自己的消息 validator 值，请参见 RFC 2869 第 #5.14 节中的描述。

对于访问请求:

Message-Authenticator = HMAC-MD5 (Type, 
                                  Identifier,
                                  Length,
                                  Request Authenticator,
                                  Attributes)

其中属性包含全零的占位符 Message-Authenticator 属性，即 0x4f1200000000000000000000000000000000。如果您遇到消息 validator 验证问题，这可能是您忘记包含的内容。

HMAC 的 key 是共享 secret 。

在计算 HMAC 之前，您需要先生成随机请求 validator 值。

对于响应数据包(访问接受、访问拒绝、访问挑战)，消息 validator 是使用访问请求中的请求 validator 计算的。

响应 validator 是在消息 validator 生成并写入传出数据包中的占位符字节后计算的。因此，响应 validator 覆盖整个数据包，包括消息 validator 。