CDMA鉴权

WCDMA和GSM安全机制比较

  GSM的缺陷分以下几点

  首先,认证是单向的,只有网络对用户的认证、而没有用户对网络的认证、因此存在安全漏洞。非法设备可以伪装成合法的网络成瘾,欺骗用户,窃取用户信息。

  其次,移动台和网络间的大多数信令是非常敏感的,需要得到完整性的保护。在GSM中,没有考虑数据完整性保护的问题,在传输过程中被改也很难发现。

  再次,加密不是端到端的、只有在无线信道部分加密,在固定网中没有加密,采用明文传输,给攻击者机会。

  3G时代到来,针对GSM安全漏洞,UTMS的安全机制相对完善。WCDMA以五元组鉴权:RAND、期望响应(XRES)、加密密钥(CK)、完整性密钥(IK)、鉴权令牌(AUTN)。

网络和用户的双向鉴权过程

  1. 当用户购机入网时,运营商会将IMSI和用户鉴权键Ki一起分配给用户,同时将用户的IMSI和Ki存入AUC(Authentication Center 鉴权中心)。
  2. VLR(Vistor Location Register 拜访位置寄存器)从AUC获得用户鉴权数据,MSC(Mobile Switching Center 移动交换中心)/VLR从鉴权中心选取一组未使用过的鉴权参数。MSC/VLR向手机发起鉴权请求。请求消息中携带所选取的鉴权参数中的RAND、AUTN和CKSN参数
  3. 手机中的USIM根据收到的RAND和自己保存的IMSI、Ki一起计算出XMAC,与从网络侧收到的AUTN中的MAC值进行比较。如果相同,继续验证收到的AUTN中的序列号SQN是否在有效范围内。序列号SQN是为了防止他人冒充网络,利用截获的、旧的鉴权AUTN欺骗用户。
  4. MSC/VLR将自己用RAND、IMSI和Ki算出的XRES与手机返回的RES进行比较。如果相同,则认为用户合法。

    

3G鉴权算法

  3G鉴权采用MILENAGE算法

  USIM鉴权包括两部分功能:

    (1)网络的双向鉴权:包括USIM卡对网络侧的认证已经网络侧对USIM卡的认证。

    (2)产生用于加密及数据完整性校验的对话密钥-CK及IK

  MILENAGE算法如图

    

  图示的每一列代表一种特殊的安全函数,用fx表示,其中x指一种函数。这些函数不同功能函数和他们用户如下

  f1:网络鉴权函数MAC

  f1*:再-同步信息鉴权函数MAC_S

  f2:用户鉴权函数RES

  f3:加密密钥离散函数CK

  f4:完整性密钥离散函数IK

  f5:匿名密钥离散函数

  f5*:用于再-同步信息的匿名密钥离散函数

  采用序列号SQN机制是为了保证在鉴权之后所生成的密钥CK及IK的新鲜,在AUC/HLR中具备新鲜的SQN的机制,而在USIM卡中具备验证SQN是否新鲜的机制。USIM卡通过判断所接收到的SQN的值是否在一个正确的范围(由IND、L、Delta所确定)内,之后采用已生成的CK、IK进行保密性和完整性的加密运算。

  K、OPc、L、c1-c5、r1-r5等参数的内容由运营商确定,并且由运营商统一维护,从而保证算法的安全性。

原文地址:https://www.cnblogs.com/a-lai/p/8259173.html

时间: 2024-11-05 06:25:47

CDMA鉴权的相关文章

web系统中ACL, RBAC等鉴权系统的异同

ACL, 强调面向资源, 描述对具体资源对象的操作鉴权, 有诸如Zend_ACL(好用), symfony-acl(不好用)等实现 应用场景如:对一条帖子资源的增删改鉴权, 整个鉴权流程中, 权限部分是由具体帖子对象和增删改等操作共同构成的.授权的结果是将 "资源---操作" 组合授权给用户. RBAC,强调面向角色的权限节点鉴权, 描述对功能节点的鉴权,有诸如ThinkPHP-RBAC, sylius/rbac-bundle(symfony)等实现 应用场景如: 依据不同用户角色显示

带鉴权信息的SIP呼叫

INVITE sip:[email protected]/2.0 Via: SIP/2.0/UDP192.168.50.32:2445;branch=z9hG4bK-d8754z-244fd550d2729557-1---d8754z-;rport Max-Forwards: 70 Contact:<sip:[email protected]:2445> To: <sip:[email protected]> From:"1002"<sip:[email 

WebSocket 的鉴权授权方案

引子 WebSocket 是个好东西,为我们提供了便捷且实时的通讯能力.然而,对于 WebSocket 客户端的鉴权,协议的 RFC 是这么说的: This protocol doesn't prescribe any particular way that servers canauthenticate clients during the WebSocket handshake. The WebSocketserver can use any client authentication me

无线端安全登录与鉴权一之Kerberos

无线端登录与鉴权是安全登录以及保证用户数据安全的第一步,也是最重要的一步.之前做过一个安全登录与鉴权的方案,借这个机会,系统的思考一下,与大家交流交流 先介绍一下TX系统使用的Kerberos方案,参考了 http://blog.csdn.net/wulantian/article/details/42418231 的文章 一.概念介绍 Kerberos:起源于希腊神话,是一支守护着冥界长着3个头颅的神犬,在keberos Authentication中,Kerberos的3个头颅代表中认证过程

开放平台鉴权以及OAuth2.0介绍

OAuth 2.0 协议 OAuth是一个开发标准,允许用户授权第三方网站或应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的内容. OAuth 2.0不兼容1.0. 协议的参与者 RO (resource owner): 资源所有者,对资源具有授权能力的人. RS (resource server): 资源服务器,它存储资源,并处理对资源的访问请求. Client: 第三方应用,它获得RO的授权后便可以去访问RO的资源. AS (authoriz

api-gateway实践(7)鉴权场景和网关场景梳理、OAuth2待澄清问题列表

一.身份鉴权验证 1.业务请求 1.1.父元素声明了 "/GroupA/VersionB/*",子元素声明了 "/GroupA/VersionB/Cxxx",access="ROLE_XXXX" 身份识别: 有效token 无token.无效token   权限鉴别: 有权限: 无权限: 1.2.父元素声明了 "/GroupA/VersionB/*",子元素没有声明的 "/GroupA/VersionB/Dxxx&q

搭建一个分布式MongoDB鉴权集群

今天休假在家,测试并搭建了一个replica set shard MongoDB鉴权集群.replica set shard 鉴权集群中文资料比较少,本文是个人笔记,同时也希望对后来者有所帮助.本文仅是搭建步骤和Q&A,用于实际工作中的使用查阅,阅读者需要有分布式集群的理论基础. 关键字:Replica-Set Shard 副本 分片 鉴权 KeyFile auth MongoDB根据部署的不同,有两种添加鉴权的方式,分别是单实例的鉴权方式和KeyFile的鉴权方式.两种方式的共同点都是,先在没

ldap查询、鉴权

package cn.richinfo.ldap; import java.util.Iterator; import com.novell.ldap.LDAPAttribute; import com.novell.ldap.LDAPAttributeSet; import com.novell.ldap.LDAPConnection; import com.novell.ldap.LDAPEntry; import com.novell.ldap.LDAPException; import

取消mod_sofia的呼叫鉴权

FreeSWITCH中默认的SIP呼叫是要鉴权的,流程如下. 1 终端 FreeSWITCH 2 3 A -----Invite------> FS 4 5 A <----Trying------ FS 6 7 A <----407--------- FS 8 9 (携带鉴权请求如下:Proxy-Authenticate: Digest realm="192.168.8.254", nonce="313404c0-fd69-11e5-a89c-0d24bfa