EAP 认证 五元组转换三元组算法实现

已于 2022-02-08 17:54:50 修改
阅读量970 收藏
点赞数
分类专栏: java 网络通信 文章标签: 算法
于 2021-12-31 15:27:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31207917/article/details/122256762
版权

最近工作中接触到部分网络通信编程,需要将鉴权五元组转换成三元组,故将此涉及的算法记录一下,方便以后回顾。

USIM卡用2G终端,HLR会发送五元组鉴权,同时VLR会启动五元组/三元组转换流程,将五元组变换为三元组,登陆2G网络。

同时,SIM卡用3G终端,HLR会发送三元组鉴权,同时VLR会启动三元组/五元组转换流程,将三元组变换为五元组,登陆3G网络。

背景知识:

【2G/3G鉴权参数的转换】

2G/3G交互操作中的关键是在两个系统中密钥的长度不同。3G鉴权后,有128位密码和完整性密钥CK和IK。在2G鉴权完成后,只有64位密钥Kc服务于网络,故需要一种转换功能,转换3G密钥的长度以符合2G的长度。

 

当USIM卡接入2G网络时,USIM卡需要支持转换函数,能将XRES’转为SRES’,将CK和IK转为Kc;同时,在不共核心网的情况下,3G HLR/AuC能支持五元组到三元组的转换,从而可以向手机注册的2G MSC/VLR或者SGSN返回三元组认证向量;或者,在共核心网的情况下,HLR/Auc不进行五元组到三元组的转换,而由MSC/VLR与SGSN进行CK+IK到Kc的转换,以支持2G无线网络。

当SIM卡接入3G网络时,其认证过程和2G系统基本相同,只是3G核心网的VLR/SGSN需要通过标准的转换函数将Kc转换为CK和IK,以支持3G无线网络;同时,3G终端从SIM卡得到Kc后,也需要通过同样的转换函数将Kc转换为CK和IK,这样后续终端和3G基站间可以进行加密和完整性保护。

其中 CK+IK到Kc 转换执行c3算法,Xres 到Sres 转换 执行c2算法,以上算法分别通过java 和 pythod 代码实现。


def c2( xres ):
    l = len(xres)
    if l > 16:
        raise PacketError( "xres length:%d error" % l )
    elif l < 16:
        xres += "\x00" * ( 16 - l )
    item = [ xres[pos:pos+4] for pos in range(0, len(xres), 4) ]
    res = item[0]
    for pos in range( 1, len(item) ):
        res = Xor(res, item[pos])
    return res

def c3( ck, ik ):
    if len(ck) != 16:
        raise PacketError( "ck length:%d error" % len(ck) )
    if len(ik) != 16:
        raise PacketError( "ik length:%d error" % len(ik) )
    item = [ ck[0:8], ck[8:16], ik[0:8], ik[8:16] ]
    res = item[0]
    for pos in range( 1, len(item) ):
        res = Xor(res, item[pos])
    return res


  private String c3(String ck, String ik) {
    if (ck.length() != 32) {
      log.error("ck length error" + ck.length());
    }
    if (ik.length() != 32) {
      log.error("ik length error" + ik.length());
    }
    List<String> item = new ArrayList<>();
    item.add(ck.substring(0, 16));
    item.add(ck.substring(16, 32));
    item.add(ik.substring(0, 16));
    item.add(ik.substring(16, 32));
    return getResult(item);
  }

  private String c2(String xres) {
    int len = xres.length();
    if (len > 32) {
      log.error("X_RES length error..." + len);
    }
    if (len < 32) {
      StringBuilder sb = new StringBuilder(xres);
      for (int i = 0; i < 32 - len; i += 2) {
        sb.append("00");
      }
      xres = sb.toString();
    }
    String regex = "(.{8})";
    String data = xres.replaceAll(regex, "$1,");
    List<String> item = Arrays.asList(data.split(","));
    return getResult(item);
  }

  private String getResult(List<String> item) {
    String res = item.get(0);
    for (int i = 1; i < item.size(); i++) {
      res = xor(res, item.get(i));
    }
    return res;
  }

  private String xor(String data1, String data2) {
    byte[] res = BufferUtilities.hexStringToByteArray(data1);
    byte[] data = BufferUtilities.hexStringToByteArray(data2);
    byte[] result = new byte[res.length];
    for (int i = 0; i < res.length; i++) {
      result[i] = (byte) (res[i] ^ data[i]);
    }
    return BufferUtilities.byteToHexString(result, 0, result.length);
  }

雨不在
关注
专栏目录
移动通信中的鉴权与加密
02-26
讲述了1G、2G、3G和4G移动通信技术中的鉴权和加密技术,概述了移动通信中的信息安全方法。可供网络安全技术人员参考。
通信 三元组/五元组
dhwu43996的博客
12-23 9858
几个定义:(1)IP地址:即依照TCP/IP协议分配给本地主机的网络地址,两个进程要通讯,任一进程首先要知道通讯对方的位置,即对方的IP。(2)端口号:用来辨别本地通讯进程,一个本地的进程在通讯时均会占用一个端口号,不同的进程端口号不同,因此在通讯前必须要分配一个没有被访问的端口号。(3)连接:指两个进程间的通讯链路。(4)半相关:网络中用一个三元组可以在全局唯一标志一个进程:(协议,本...
一文讲透:2G/3G/4G/5G移动通信的身份认证鉴权机制
热门推荐
Ango_的专栏
03-26 1万+
通信网的身份认证 运营商移动通信网的接入认证是蜂窝通信的服务基础,为用户接入通信网提供了基础的准入保障。纵观历代移动通信网鉴权技术,从鉴权方向上看主要是两大类:单向鉴权→双向鉴权。这里的单向鉴权主要指通信网络对用户的鉴权,而不是反过来;双向鉴权就是用户和移动通信网络双向鉴权。 一,2G时代的认证鉴权 第一代模拟通信系统(就是常见的大哥大),基本上是没有安全防护机制的。到了2G GSM时代,模拟通信系统变成了数字通信系统,增加了很多安全能力。包括,空口信息加密、身份认证鉴权、身份标识码和过期用户过滤。
SIM(USIM)卡中的数据和2G/3G网络的鉴权
业精于勤,荒于嬉;行成于思,毁于随
09-30 6463
通常SIM(USIM)卡内的数据包括IMSI、ICCID、Ki(2G)、Key(3G)、OPC(3G)、PIN、PUK、OTA、JAVA应用等多种数据。 SIM卡内的数据主要分为索引数据、业务数据、鉴权数据和位置数据四类。 索引数据包括ICCID; 业务数据包括IMSI、PIN、PUK、OTA菜单、JAVA应用数据; 鉴权数据包括IMSI、 Ki(2G) Key(3G)、O
网络安全(2)
最新发布
jiaoqingdong的博客
01-29 2274
接口对-·“透明网线”--可以将两个接口绑定成为接口对,如果流量从一个接口进入,则。--其实一个接口也可以做接口对,从该。防火墙的主要职责在于:控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作。带内管理--通过网络环境对设备进行控制--telnet,,ssh,web--登录设备和被登。NAT类型--五元组NAT--针对源IP,目标P,源端口,目标端口,协议这五个参数识别出。安全策略--1,访问控制(允许和拒绝)2,内容检测--如果允许通过,则可以进行内容检测。
【5G安全系列】NAS层安全密钥衍生——USIM相关密钥的衍生
从善若水的博客
10-06 2921
博主未授权任何人或组织机构转载博主任何原创文章,感谢各位对原创的支持! 博主链接 文章目录NAS层安全密钥衍生——USIM相关密钥的衍生一、K → CK、IK的触发条件二、K → CK、IK衍生的入参三、USIM内部具体衍生流程四、K → CK、IK衍生失败场景4.1 MAC失败场景(MAC failure)4.2 同步失败(Synchronization failure)4.2.1 USIM 如何生成 AUTS参数 本人就职于国际知名终端厂商,负责modem芯片研发。 在5G早期负责终端数据业务层、核心
网络游戏-基于远程认证的网络中实现EAP认证的方法.zip
09-19
EAP是一种灵活的认证框架,最初由互联网工程任务组(IETF)设计,用于无线局域网(WLAN)的802.11标准,但其应用范围已远超于此,包括网络游戏领域。EAP的主要优点在于它能够支持多种不同的认证方法,如SIM卡、智能...
linux下的802.1x客户端源代码(EAP-MD5认证
09-12
linux下的802.1x客户端源代码,采用的是EAP-MD5认证。最简单的802.1x客户端代码,只有一个c文件,基于pcap实现(需要安装libpcap)。可直接编译和运行,自己测试通过。
EAP软件认证性能分析
07-04
为研究下一代无线网络接入认证协议的性能,利用Opendiameter API在模拟无线网络环境下搭建Diameter节点,基于Diameter协议在NAS(Network Access Server)和AAA Server间传输EAP消息,从而实现移动终端接入无线网的认证。...
EAP认证有线及无线侧抓包
05-28
EAP(Extensible Authentication Protocol,可扩展认证协议)是一种用于网络访问验证的框架,它允许在不同的认证协议之间进行选择,适用于有线和无线网络环境。本知识点将深入探讨EAP认证过程,以及如何通过...
rfc2284 PPP扩展认证协议(EAP)_PPP扩展认证协议_
10-03
点到点协议(PPP)提供一种在点到点链路上传输多协议报文的标准方法。在PPP中定义了一个可扩展的链路控制协议(LCP),LCP协议允许协商认证协议,从而可以在网络层报文在链路上...本文档定义了PPP扩展认证协议(EAP
物联网安全期末复习必备知识点
qq_51989792的博客
06-27 994
在计算机互联网基础上,利用条形码、RFID、红外感应器、全国求定位系统、激光扫描器等信息传感设备,通过无线数据通信等技术,构造一个覆盖世界上万事万物的网络,按约定协议把任何物品与互联网连接起来,进行人与人、人与物、物与物等之间的信息交换和通信,全面获取现实世界中的各种信息,以实现自动化和智能化的识别、定位、跟踪、监控和管理等功能。是指物联网环境下的网络安全,是指物联网系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,物联网系统连续可靠正常地运行,网络服务不中断。
802.1X&EAP——一文学会802.1X框架
weixin_44140376的博客
04-13 5939
802.1X是什么?它与EAP的关系是什么? EAPEAPoL的关系是什么? RADIUS服务器和EAP的关系是什么? EAP有那么多认证方式,到底是什么?
TCP/IP协议
DGQ_caiyunzhuiyue的专栏
03-17 1098
<br /> <br /> <br />   V<br />   半相关:在网络中用一个三元组可以在全局唯一标志一个进程:(协议,本地地址,本地端口号)这样一个三元组,叫做一个半相关(half-association),它指定连接的每半部分。<br />   全相关:一个完整的网间进程通信需要由两个进程组成,并且只能使用同一种高层协议。也就是说,不可能通信的一端用TCP协议,而另一端用UDP协议。因此一个完整的网间通信需要一个五元组来标识:(协议,本地地址,本地端口号,远地地址,远地端口号)这样一个五元组
IMS基本概念之 安全服务和安全机制
foolskindom的专栏
12-17 7547
3.6 IMS中的安全服务本节打算解释IMS网络怎么实现安全。这里故意不深入到密码学中,因此也不会深入的介绍算法和密钥长度,同样也不会对IMS的安全进行密码学分析。有其它的更好的书专门会介绍这些方面。取而代之的是,本节会从较高的角度来展示安全的体系结构,以及解释体系中的各个组成部分,包括提供所需的安全特性的模型和协议。在读完本节后,读者应该熟悉IMS安全体系结构的主要概念,并且理解下面的模
深度好文:源 NAT 类型的防火墙
网络技术联盟站
02-18 1852
防火墙和路由器一样,可以部署 NAT 功能来进行地址转换,但相比路由器,防火墙的NAT功能提供了更丰富的选择,让管理员可以更灵活地使用NAT功能。 在本文中,我们将讨论源 NAT 功能中的防火墙。 防火墙的源NAT可以分为两种:只进行地址转换和同时进行地址和端口转换。仅地址转换模式包括 NAT No-PAT,而地址和端口转换模式包括 NAPT、Smart NAT、Easy IP 和三重 NAT。 NAT No-PAT NAT No-PAT 只执行简单的源地址转换。 管理员在配置NAT No-PAT时,需要指
UICC,USIM卡与SIM的区别
架构设计
08-23 1893
USIM卡与SIM的区别 SIM卡(Subscriber Identity Module),即用户识别卡,是全球通数字移动电话的一张个人资料卡。它采用A 级加密方法制作,存储着用户的数据、鉴权方法及密钥,可供GSM系统对用户身份进行鉴别。同时,用户通过它完成与系统的连接和信息的交换。 移动电话只有装上SIM卡才能使用。“SIM卡”有大小之分,功能完全相同,分别适用于不同类型的GSM移动...
权限系统中的权限三元组概念
a13272899370的专栏
07-19 4407
在各种系统应用中都存在权限控制的概念。那么什么是权限控制?权限控制用一句简单的话描述那就是:控制谁对什么资源执行什么操作这样我们可以抽象出三个对象,即Who(主体),What(资源),How(操作),这样构成了权限三元组,不管你的权限系统多么的复杂,其实核心都是这三个他们的对应关
基于AKA的IMS接入认证机制
资料库
10-12 1411
http://www.c114.net ( 2007/12/26 10:30 ) 摘要:IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。基于
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值