EAP-SIM/AKA
Что такое EAP?
EAP (Extensible Authentication Protocol) — это общий протокол аутентификации, используемый для передачи данных аутентификации между клиентом и сервером.
EAP не определяет конкретный метод проверки подлинности, но предоставляет структуру, в которую можно внедрять разные механизмы аутентификации (например, EAP-SIM, EAP-AKA, EAP-TLS, EAP-PEAP и др.).
Что такое EAP-SIM и EAP-AKA?
✅ EAP-SIM
EAP-SIM (Extensible Authentication Protocol - Subscriber Identity Module) — это метод аутентификации, основанный на SIM-карте мобильного устройства, как в GSM-сетях.
✅ EAP-AKA
EAP-AKA (Extensible Authentication Protocol - Authentication and Key Agreement) — аналогичный механизм, но использующий USIM (Universal SIM), как в UMTS/LTE/5G сетях.
Оба механизма позволяют использовать сотовую сеть оператора для безопасной аутентификации в беспроводных и фиксированных сетях.
Как работает EAP-SIM/AKA?
Оба протокола используют симметричное шифрование и предварительно установленные ключи на SIM/USIM карте и в HLR/HSS сети оператора.
Общая схема работы:
[Клиент] → Отправляет запрос на аутентификацию
[AAA Server] → Запрашивает данные у HLR/HSS
[HLR/HSS] → Генерирует RAND, AUTN, XRES, Kc/IK, CK
[AAA Server] → Пересылает RAND и AUTN клиенту
[Клиент] → Проверяет AUTN, вычисляет RES/Kc (для EAP-SIM) или RES/CK/IK (для EAP-AKA)
[Сервер] → Сравнивает результаты
→ Если совпадают, доступ разрешён и генерируется сессионный ключ
Разница между EAP-SIM и EAP-AKA
| Характеристика | EAP-SIM | EAP-AKA |
|---|---|---|
| Используемая карта | GSM SIM | UMTS USIM |
| Алгоритм | COMP128 v1/v2 | Milenage + AES |
| Поддержка шифрования | Да | Да |
| Защита от прослушивания | Нет | Есть (через SQN и AUTN) |
| Ключевой материал | Kc | CK, IK |
| Совместимость | Устаревший, только GSM | Актуальный, UMTS/LTE/5G |
Архитектура взаимодействия
+------------------+ +------------------+ +------------------+
| Клиент | | AAA Сервер | | HLR/HSS |
| (устройство с | <----> | (RADIUS или Diameter) | <----> | (Home Subscriber Server) |
| SIM/USIM) | | | | |
+------------------+ +------------------+ +------------------+
- Клиент отправляет свой IMSI (или псевдо IMSI)
- AAA сервер запрашивает у HLR/HSS данные аутентификации
- Происходит обмен RAND/AUTN и ответов RES
- На основе этого генерируются ключи для шифрования трафика
Использование в сетях Wi-Fi, IMS, LTE/5G
✅ Wi-Fi:
- Используется в Wi-Fi Hotspot 2.0 / Passpoint
- Позволяет пользователям автоматически подключаться к доверенным сетям через SIM-аутентификацию
- Не требует ввода логина/пароля
✅ IMS:
- Используется для регистрации пользователей в IMS-сети
- Интеграция с P-CSCF и Diameter
- Обеспечивает безопасность при VoLTE/VoWiFi
✅ LTE/5G:
- Является частью NAS (Non-Access Stratum) протоколов
- Используется для аутентификации абонента в ядре сети
- Обеспечивает конфиденциальность IMSI (через GUTI)
Преимущества EAP-SIM/AKA
| Преимущество | Описание |
|---|---|
| Автоматическая аутентификация | Не требует ввода пароля |
| Использование SIM/USIM карт | Простота внедрения для операторов |
| Высокая степень безопасности | Шифрование, защита от повторного использования |
| Поддержка роуминга | Возможность использования в других сетях |
| Единая система управления | Интеграция с HLR/HSS и биллингом |
Недостатки и уязвимости
| Недостаток | Описание |
|---|---|
| Уязвимость EAP-SIM | Возможность взлома COMP128, раскрытие IMSI |
| Отсутствие защиты от активного MITM в EAP-SIM | |
| Требует интеграции с HLR/HSS | Сложно внедрить без поддержки оператора |
| Ограничения масштабирования | В больших сетях требуется мощный AAA сервер |
| Зависимость от SIM/USIM | Не подходит для устройств без SIM-карты |
Перспективы развития
| Направление | Описание |
|---|---|
| EAP-AKA’ | Улучшенная версия EAP-AKA с поддержкой TLS 1.3 |
| EAP-TLS с SIM | Комбинация сертификатов и SIM-аутентификации |
| Поддержка 5G AKA | Интеграция с 5G SEAF, AUSF, SUPI вместо IMSI |
| Защита от IMSI-catchers | Использование SUCI (Subscription Concealed Identifier) |
| Интеграция с IoT | Безопасная аутентификация SIM-карт в промышленных системах |