EAP-SIM和RADIUS如何协同工作？

Question

我想知道EAP-SIM和RADIUS是如何协同工作的。假设我们有这样的东西：

[client-1]----+
              |
[client-2]----+----[AP]----------[RADIUS Server]------------[HSS]
              |
[client-3]----+

                                               |- Diameter -|

EAP-SIM和RADIUS应该在客户端和radius服务器之间工作，对吗？

一个在另一个之上吗？(如IP和TCP)

在EAP-SIM和radius的协商期间发送的消息的内容是什么？(让我们假设client-1想要连接并需要进行身份验证。HSS是RADIUS用来检查“凭证”的组件)

Answer 1

EAP SIM协议在客户端(请求方)和RADIUS服务器之间运行。RADIUS服务器将使用它在EAP-SIM会话开始期间获得的IMSI或临时IMSI向HSS发送单独的请求，请求身份验证向量。

HSS将返回多组UMTS五元组或GSM三元组。RADIUS服务器将RAND分量从可变数量的这些矢量(GSM中为2-3个)转发到客户端，客户端将其馈送到SIM卡以产生质询响应。

质询响应和身份验证向量永远不会以明文形式通过线路，而是使用PRF (伪随机函数)来导出会话密钥。此派生发生在RADIUS服务器和客户端(请求方)上。

如果SIM卡没有为RAND质询产生正确的响应，则会话密钥将不匹配，并且身份验证将失败。

请注意，如果HSS返回UMTS向量，并且正在执行EAP-SIM，则从UMTS向量导出GSM向量有单独的步骤。

派生的示例代码如下：https://github.com/FreeRADIUS/freeradius-server/blob/v4.0.x/src/modules/rlm_eap/types/rlm_eap_sim/sim_vector.c#L157