RFC: 2865
Оригинал: Remote Authentication Dial In User Service (RADIUS)
Предыдущие версии: RFC 2058, RFC 2138
Категория: Проект стандарта
Дата публикации:
Авторы: , , ,
Перевод: Николай Малых

2.1. Режим Challenge/Response

При использовании режима challenge/response пользователю передается непредсказуемое число и ожидается возврат зашифрованного отклика на это число. У легитимных пользователей имеется специальное устройство (например, смарт-карта) или программа для вычисления корректного отклика. Пользователь, не имеющий нужного устройства или программы и не знающий секретного ключа, который позволит эмулировать устройство/программу, может лишь попытаться угадать правильный отклик.

Пакет Access-Challenge обычно содержит атрибут Reply-Message, включающий передаваемый пользователю запрос (challenge), в качестве которого могут использоваться редко повторяющиеся числа. Обычно запрос получают от внешнего сервера, которому известен тип идентификатора, доступного пользователю и который, следовательно, может выбрать случайное или редко повторяющееся число с подходящим основанием и длиной.

Пользователь вводит это число в свое устройство (или программу), вычисляющее отклик, которого ожидает сервер RADIUS во втором запросе Access-Request. Если полученное от пользователя значение соответствует ожидаемому, сервер RADIUS возвращает отклик Access-Accept, а при несоответствии — Access-Reject.

Пример: Сервер NAS передает серверу RADIUS пакет Access-Request с атрибутами NAS-Identifier, NAS-Port, User-Name, User-Password (это может быть просто фиксированная строка типа challenge или пустое значение). Сервер возвращает пакет Access-Challenge с атрибутами State и Reply-Message (строка "Challenge 12345678, enter your response at the prompt"[?], которую NAS передает пользователю). NAS принимает введенное пользователем значение и передает серверу новый запрос Access-Request с новым идентификатором, атрибутами NAS-Identifier, NAS-Port, User-Name, User-Password (зашифрованный отклик от пользователя) и значение атрибута State из пакета Access-Challenge. Сервер в ответ шлет отклик Access-Accept или Access-Reject в зависимости от результатов проверки введенного пользователем значения. Допускается также возврат сервером другого отклика Access-Challenge.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.