EAP 认证 五元组转换三元组算法实现

已于 2022-02-08 17:54:50 修改
阅读量928 收藏
点赞数
分类专栏: java 网络通信 文章标签: 算法
于 2021-12-31 15:27:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31207917/article/details/122256762
版权

最近工作中接触到部分网络通信编程,需要将鉴权五元组转换成三元组,故将此涉及的算法记录一下,方便以后回顾。

USIM卡用2G终端,HLR会发送五元组鉴权,同时VLR会启动五元组/三元组转换流程,将五元组变换为三元组,登陆2G网络。

同时,SIM卡用3G终端,HLR会发送三元组鉴权,同时VLR会启动三元组/五元组转换流程,将三元组变换为五元组,登陆3G网络。

背景知识:

【2G/3G鉴权参数的转换】

2G/3G交互操作中的关键是在两个系统中密钥的长度不同。3G鉴权后,有128位密码和完整性密钥CK和IK。在2G鉴权完成后,只有64位密钥Kc服务于网络,故需要一种转换功能,转换3G密钥的长度以符合2G的长度。

 

当USIM卡接入2G网络时,USIM卡需要支持转换函数,能将XRES’转为SRES’,将CK和IK转为Kc;同时,在不共核心网的情况下,3G HLR/AuC能支持五元组到三元组的转换,从而可以向手机注册的2G MSC/VLR或者SGSN返回三元组认证向量;或者,在共核心网的情况下,HLR/Auc不进行五元组到三元组的转换,而由MSC/VLR与SGSN进行CK+IK到Kc的转换,以支持2G无线网络。

当SIM卡接入3G网络时,其认证过程和2G系统基本相同,只是3G核心网的VLR/SGSN需要通过标准的转换函数将Kc转换为CK和IK,以支持3G无线网络;同时,3G终端从SIM卡得到Kc后,也需要通过同样的转换函数将Kc转换为CK和IK,这样后续终端和3G基站间可以进行加密和完整性保护。

其中 CK+IK到Kc 转换执行c3算法,Xres 到Sres 转换 执行c2算法,以上算法分别通过java 和 pythod 代码实现。


def c2( xres ):
    l = len(xres)
    if l > 16:
        raise PacketError( "xres length:%d error" % l )
    elif l < 16:
        xres += "\x00" * ( 16 - l )
    item = [ xres[pos:pos+4] for pos in range(0, len(xres), 4) ]
    res = item[0]
    for pos in range( 1, len(item) ):
        res = Xor(res, item[pos])
    return res

def c3( ck, ik ):
    if len(ck) != 16:
        raise PacketError( "ck length:%d error" % len(ck) )
    if len(ik) != 16:
        raise PacketError( "ik length:%d error" % len(ik) )
    item = [ ck[0:8], ck[8:16], ik[0:8], ik[8:16] ]
    res = item[0]
    for pos in range( 1, len(item) ):
        res = Xor(res, item[pos])
    return res


  private String c3(String ck, String ik) {
    if (ck.length() != 32) {
      log.error("ck length error" + ck.length());
    }
    if (ik.length() != 32) {
      log.error("ik length error" + ik.length());
    }
    List<String> item = new ArrayList<>();
    item.add(ck.substring(0, 16));
    item.add(ck.substring(16, 32));
    item.add(ik.substring(0, 16));
    item.add(ik.substring(16, 32));
    return getResult(item);
  }

  private String c2(String xres) {
    int len = xres.length();
    if (len > 32) {
      log.error("X_RES length error..." + len);
    }
    if (len < 32) {
      StringBuilder sb = new StringBuilder(xres);
      for (int i = 0; i < 32 - len; i += 2) {
        sb.append("00");
      }
      xres = sb.toString();
    }
    String regex = "(.{8})";
    String data = xres.replaceAll(regex, "$1,");
    List<String> item = Arrays.asList(data.split(","));
    return getResult(item);
  }

  private String getResult(List<String> item) {
    String res = item.get(0);
    for (int i = 1; i < item.size(); i++) {
      res = xor(res, item.get(i));
    }
    return res;
  }

  private String xor(String data1, String data2) {
    byte[] res = BufferUtilities.hexStringToByteArray(data1);
    byte[] data = BufferUtilities.hexStringToByteArray(data2);
    byte[] result = new byte[res.length];
    for (int i = 0; i < res.length; i++) {
      result[i] = (byte) (res[i] ^ data[i]);
    }
    return BufferUtilities.byteToHexString(result, 0, result.length);
  }

雨不在
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EAP软件认证性能分析
07-04
为研究下一代无线网络接入认证协议的性能,利用Opendiameter API在模拟无线网络环境下搭建Diameter节点,基于Diameter协议在NAS(Network Access Server)和AAA Server间传输EAP消息,从而实现移动终端接入无线网的认证。并将该过程中的测试结果与RADIUS PEAP认证性能进行比较,实验证明Diameter PEAP比前者丢包率更低的同时,所需认证时间减少10%,对无线网安全协议的分析是一种有效直观的方式。
通信 三元组/五元组
dhwu43996的博客
12-23 9583
几个定义:(1)IP地址:即依照TCP/IP协议分配给本地主机的网络地址,两个进程要通讯,任一进程首先要知道通讯对方的位置,即对方的IP。(2)端口号:用来辨别本地通讯进程,一个本地的进程在通讯时均会占用一个端口号,不同的进程端口号不同,因此在通讯前必须要分配一个没有被访问的端口号。(3)连接:指两个进程间的通讯链路。(4)半相关:网络中用一个三元组可以在全局唯一标志一个进程:(协议,本...
NAT和智能选路的总结
最新发布
m0_52326740的博客
07-15 908
配置黑洞路由就是会使公网地址池中的地址都生成一条指向其自身的空接口,这里主要是为了应对公网地址和出接口地址不在同一个网段的情况,因为在这种情况下,如果公网用户访问地址池中的公网地址,将可能造成环路,所以,需要通过空接口防环;如果可开启了检测,检测发现目标下一跳不可达,则将使该策略不生效,则直接不匹配流量,数据包将直接走路由表。策略路由 --- PBR --- 策略路由其实也是一种策略,他不仅可以按照现有的路由表进行转发,而且可以根据用户指定的策略进行路由选择的机制,从更多维度决定报文是如何转发的。
一文讲透:2G/3G/4G/5G移动通信的身份认证鉴权机制
热门推荐
Ango_的专栏
03-26 1万+
通信网的身份认证 运营商移动通信网的接入认证是蜂窝通信的服务基础,为用户接入通信网提供了基础的准入保障。纵观历代移动通信网鉴权技术,从鉴权方向上看主要是两大类:单向鉴权→双向鉴权。这里的单向鉴权主要指通信网络对用户的鉴权,而不是反过来;双向鉴权就是用户和移动通信网络双向鉴权。 一,2G时代的认证鉴权 第一代模拟通信系统(就是常见的大哥大),基本上是没有安全防护机制的。到了2G GSM时代,模拟通信系统变成了数字通信系统,增加了很多安全能力。包括,空口信息加密、身份认证鉴权、身份标识码和过期用户过滤。
网络安全(2)
jiaoqingdong的博客
01-29 2029
接口对-·“透明网线”--可以将两个接口绑定成为接口对,如果流量从一个接口进入,则。--其实一个接口也可以做接口对,从该。防火墙的主要职责在于:控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作。带内管理--通过网络环境对设备进行控制--telnet,,ssh,web--登录设备和被登。NAT类型--五元组NAT--针对源IP,目标P,源端口,目标端口,协议这五个参数识别出。安全策略--1,访问控制(允许和拒绝)2,内容检测--如果允许通过,则可以进行内容检测。
SIM(USIM)卡中的数据和2G/3G网络的鉴权
业精于勤,荒于嬉;行成于思,毁于随
09-30 6160
通常SIM(USIM)卡内的数据包括IMSI、ICCID、Ki(2G)、Key(3G)、OPC(3G)、PIN、PUK、OTA、JAVA应用等多种数据。 SIM卡内的数据主要分为索引数据、业务数据、鉴权数据和位置数据四类。 索引数据包括ICCID; 业务数据包括IMSI、PIN、PUK、OTA菜单、JAVA应用数据; 鉴权数据包括IMSI、 Ki(2G) Key(3G)、O
【5G安全系列】NAS层安全密钥衍生——USIM相关密钥的衍生
从善若水的博客
10-06 2569
博主未授权任何人或组织机构转载博主任何原创文章,感谢各位对原创的支持! 博主链接 文章目录NAS层安全密钥衍生——USIM相关密钥的衍生一、K → CK、IK的触发条件二、K → CK、IK衍生的入参三、USIM内部具体衍生流程四、K → CK、IK衍生失败场景4.1 MAC失败场景(MAC failure)4.2 同步失败(Synchronization failure)4.2.1 USIM 如何生成 AUTS参数 本人就职于国际知名终端厂商,负责modem芯片研发。 在5G早期负责终端数据业务层、核心
网络游戏-基于远程认证的网络中实现EAP认证的方法.zip
09-19
EAP是一种灵活的认证框架,最初由互联网工程任务组(IETF)设计,用于无线局域网(WLAN)的802.11标准,但其应用范围已远超于此,包括网络游戏领域。EAP的主要优点在于它能够支持多种不同的认证方法,如SIM卡、智能...
linux下的802.1x客户端源代码(EAP-MD5认证
09-12
linux下的802.1x客户端源代码,采用的是EAP-MD5认证。最简单的802.1x客户端代码,只有一个c文件,基于pcap实现(需要安装libpcap)。可直接编译和运行,自己测试通过。
EAP认证有线及无线侧抓包
05-28
EAP(Extensible Authentication Protocol,可扩展认证协议)是一种用于网络访问验证的框架,它允许在不同的认证协议之间进行选择,适用于有线和无线网络环境。本知识点将深入探讨EAP认证过程,以及如何通过...
rfc2284 PPP扩展认证协议(EAP)_PPP扩展认证协议_
10-03
点到点协议(PPP)提供一种在点到点链路上传输多协议报文的标准方法。在PPP中定义了一个可扩展的链路控制协议(LCP),LCP协议允许协商认证协议,从而可以在网络层报文在链路上...本文档定义了PPP扩展认证协议(EAP
物联网安全期末复习必备知识点
qq_51989792的博客
06-27 905
在计算机互联网基础上,利用条形码、RFID、红外感应器、全国求定位系统、激光扫描器等信息传感设备,通过无线数据通信等技术,构造一个覆盖世界上万事万物的网络,按约定协议把任何物品与互联网连接起来,进行人与人、人与物、物与物等之间的信息交换和通信,全面获取现实世界中的各种信息,以实现自动化和智能化的识别、定位、跟踪、监控和管理等功能。是指物联网环境下的网络安全,是指物联网系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,物联网系统连续可靠正常地运行,网络服务不中断。
802.1X&EAP——一文学会802.1X框架
weixin_44140376的博客
04-13 5531
802.1X是什么?它与EAP的关系是什么? EAPEAPoL的关系是什么? RADIUS服务器和EAP的关系是什么? EAP有那么多认证方式,到底是什么?
TCP/IP协议
DGQ_caiyunzhuiyue的专栏
03-17 1010
<br /> <br /> <br />   V<br />   半相关:在网络中用一个三元组可以在全局唯一标志一个进程:(协议,本地地址,本地端口号)这样一个三元组,叫做一个半相关(half-association),它指定连接的每半部分。<br />   全相关:一个完整的网间进程通信需要由两个进程组成,并且只能使用同一种高层协议。也就是说,不可能通信的一端用TCP协议,而另一端用UDP协议。因此一个完整的网间通信需要一个五元组来标识:(协议,本地地址,本地端口号,远地地址,远地端口号)这样一个五元组
深度好文:源 NAT 类型的防火墙
网络技术联盟站
02-18 1809
防火墙和路由器一样,可以部署 NAT 功能来进行地址转换,但相比路由器,防火墙的NAT功能提供了更丰富的选择,让管理员可以更灵活地使用NAT功能。 在本文中,我们将讨论源 NAT 功能中的防火墙。 防火墙的源NAT可以分为两种:只进行地址转换和同时进行地址和端口转换。仅地址转换模式包括 NAT No-PAT,而地址和端口转换模式包括 NAPT、Smart NAT、Easy IP 和三重 NAT。 NAT No-PAT NAT No-PAT 只执行简单的源地址转换。 管理员在配置NAT No-PAT时,需要指
UICC,USIM卡与SIM的区别
架构设计
08-23 1828
USIM卡与SIM的区别 SIM卡(Subscriber Identity Module),即用户识别卡,是全球通数字移动电话的一张个人资料卡。它采用A 级加密方法制作,存储着用户的数据、鉴权方法及密钥,可供GSM系统对用户身份进行鉴别。同时,用户通过它完成与系统的连接和信息的交换。 移动电话只有装上SIM卡才能使用。“SIM卡”有大小之分,功能完全相同,分别适用于不同类型的GSM移动...
权限系统中的权限三元组概念
a13272899370的专栏
07-19 4327
在各种系统应用中都存在权限控制的概念。那么什么是权限控制?权限控制用一句简单的话描述那就是:控制谁对什么资源执行什么操作这样我们可以抽象出三个对象,即Who(主体),What(资源),How(操作),这样构成了权限三元组,不管你的权限系统多么的复杂,其实核心都是这三个他们的对应关
基于AKA的IMS接入认证机制
资料库
10-12 1361
http://www.c114.net ( 2007/12/26 10:30 ) 摘要:IP多媒体子系统(IMS)作为3G网络的核心控制平台,其安全问题正面临着严峻的挑战。IMS的接入认证机制的实现作为整个IMS安全方案实施的第一步,是保证IMS系统安全的关键。基于
LTE secure mode
yiqingyang2012的专栏
09-14 3532
转载自:http://www.tweet4tutorial.com/tutorial/security-mode-command-in-lte/LTE/SAE的安全鉴权(AKA)机制LTE/SAE的AKA鉴权过程和UMTS中的AKA鉴权过程基本相同,采用Milenage算法,继承了UMTS中五元组鉴权机制的优点,实现了UE和网络侧的双向鉴权。与UMTS相比,SAE的AV(Authentication
FreeRADIUS EAP-TLS认证配置指南
"这篇文档详细介绍了如何在Linux或类似的Unix系统上配置开源软件Freeradius以实现EAP-TLS认证,适用于与CISCO ACCESS POINT等客户端的配合使用。文档作者参考了FreeRADIUS官方文档,并提供了逐步的配置指南,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值