Zum Hauptinhalt springen

2.1 Challenge/Response

2.1. Challenge/Response

Bei der Challenge/Response-Authentifizierung wird dem Benutzer eine unvorhersehbare Zahl gegeben und er wird aufgefordert, diese zu verschlüsseln und das Ergebnis zurückzugeben. Autorisierte Benutzer sind mit speziellen Geräten wie Smartcards oder Software ausgestattet, die die Berechnung der korrekten Antwort erleichtern. Nicht autorisierte Benutzer, denen das entsprechende Gerät oder die Software fehlt und die keine Kenntnis des geheimen Schlüssels haben, der notwendig ist, um ein solches Gerät oder eine solche Software zu emulieren, können nur die Antwort erraten.

Das Access-Challenge-Paket enthält typischerweise eine Reply-Message mit einer Challenge, die dem Benutzer angezeigt werden soll, wie z.B. ein numerischer Wert, der wahrscheinlich nie wiederholt wird. Typischerweise wird dies von einem externen Server erhalten, der weiß, welche Art von Authentifikator sich im Besitz des autorisierten Benutzers befindet, und daher eine zufällige oder sich nicht wiederholende pseudozufällige Zahl mit geeigneter Basis und Länge wählen kann.

Der Benutzer gibt dann die Challenge in sein Gerät (oder seine Software) ein, und es berechnet eine Antwort, die der Benutzer in den Client eingibt, der sie über einen zweiten Access-Request an den RADIUS-Server weiterleitet. Wenn die Antwort mit der erwarteten Antwort übereinstimmt, antwortet der RADIUS-Server mit einem Access-Accept, andernfalls mit einem Access-Reject.

Beispiel: Der NAS sendet ein Access-Request-Paket an den RADIUS-Server mit NAS-Identifier, NAS-Port, User-Name, User-Password (das möglicherweise nur eine feste Zeichenkette wie "challenge" ist oder ignoriert wird). Der Server sendet ein Access-Challenge-Paket mit State und einer Reply-Message in der Art von "Challenge 12345678, geben Sie Ihre Antwort an der Eingabeaufforderung ein" zurück, die der NAS anzeigt. Der NAS fordert zur Eingabe der Antwort auf und sendet einen NEUEN Access-Request an den Server (mit einer neuen ID) mit NAS-Identifier, NAS-Port, User-Name, User-Password (die gerade vom Benutzer eingegebene Antwort, verschlüsselt) und dem gleichen State-Attribut, das mit dem Access-Challenge kam. Der Server sendet dann entweder ein Access-Accept oder Access-Reject zurück, basierend darauf, ob die Antwort mit dem erforderlichen Wert übereinstimmt, oder er kann sogar ein weiteres Access-Challenge senden.

Letztes Update am