|
|
|
|
|
|
|
|
RADIUS分级体系相关。通过PAP鉴权,用户密码在位于接入服务器(而非终端站)的RADIUS客户机,使用MD5散列算法进行处理。终端站向接入服务器发送明文密码,并通过此站点与接入服务器间的加密DiffieHellman隧道防止外部窃听。接入服务器打乱这个密码并使用RADIUS共享密钥对散列进行加密,然后将它发送到RADIUS服务器。只有两种人为情况才能破解这种加密:一种是攻击者成功攻击了在RADIUS服务器中恢复的MD5散列密码;另一种是攻击者创建了自己的接入服务器软件以获得打乱前的密码。但这两种攻击都是很难实现的。
使用安全标记提供“一次性密码”的接入服务器鉴权 IT管理人员可使用RSA的SecurID等安全标记为网络RADIUS服务器进行配置,以便为拨号和无线用户接入网络提供“一次性密码”。攻击者必须在取得密码后一分钟内使用密码,或者必须窃取安全标记和该用户的密码才能接入网络。所有通用RADIUS服务器均可使用SecurID来配置。
结合CHAP、PAP鉴权和“一次性密码”可有效地防止“人为”攻击。即使攻击者成功恢复了用户的MD5散列密码,该密码也已经无效。页码:[1] [2] [3] [4] [5] 第4页、共5页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
