RFC2865在用户服务中的远程身份验证拨号(RADIUS)(9)

RFC2865 NetWare/IP Domain Name and Information 远程拨入用户认证服务

长度

大于或者等于3

字符串

字符串域是一个或多个字节。NAS可以限制用户名的最大长度，但是推荐处理能力至少因该是63个字节。

用户名形式可以是以下几种中的一个：

文本 仅包含UTF－8编码ISO 10646[7]字符。 网络接口标识符 网络接口标识符是在RFC2486中说明。

专用名称 一个用于公共关键认证系统的ASM.1形式的名字。

5.2 用户密码 描述

这个属性显示的是需要被验证的用户密码，或者是在接入盘问提示下的用户输入。它只能用在接入请求数据包中。

在传输时，密码是被隐藏起来的。首先在密码的末尾用nulls代替填补形成多个十六个字节的二进制数。单向MD5散列是通过一串字节流计算出的，该字节流由共享机密和跟随其后的请求鉴别码组成。这个值同密码的第一个16个字节段相异或，然后将异或结果放在用户密码属性字符串域中的第一组16个字节中。 如果密码长于16个字节，则第二次单向MD5散列对一串字节流进行计算，该字节流由共享机密和跟随其后的第一次异或结果组成。这个散列结果与密码的第二组16个字节段相异或，然后将异或结果放在用户密码属性字符串域中的第二组16个字节段中。 如果需要，这个计算过程可以重复。每一个异或结果被用于和共享机密一道生成下一个散列，再与下一个密码段相异或，但最大不超过128个字节。

这个计算方法是来自《网络安全》的109页到110页，作者是Kaufman,Perlman 和Speciner[9]。以下是这种方法更为精确的解释：

调用共享机密S和伪随机128位请求认证鉴别码RA。把密码按16个字节为一组划分为P1、P2等等，在最后一组的结尾处用用null填充以形成一个完整的16字节组。调用以加密的数据组c(1)、c(2)等，b1、b2等是我们将用到的中间值。

b1 = MD5(S + RA) c(1) = p1 异或 b1

b2 = MD5(S + c(1)) c(2) = p2 异或b2 . . . . . .

bi = MD5(S + c(i-1)) c(i) = pi 异或 bi

现在密码字符串包含c(1)+c(2)+...+c(i)，其中“＋”表示串联。

21

RFC2865 NetWare/IP Domain Name and Information 远程拨入用户认证服务

在接收时，这个过程被反过来，从而生成原始的密码。 以下是密码属性格式的总结。域的传输是从左向右。

0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | 类型 | 长度 | 字符串... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

类型

2用于用户密码。

长度

长度值在18到130之间。

字符串

字符串域的长度在16到128个字节之间。